Die deutsche Lufthansa hat mich netterweise über Twitter auf ein interessantes Angebot aufmerksam gemacht: Ich kann vorab herausfinden welche Filme auf welchen Flügen gezeigt werden.

lufthansa-twitter

Leider funktionierte das Formular nicht wie gewünscht. Die Auswahlfelder waren deaktiviert, auch ein Klick auf „Auswahl anzeigen“ half nicht weiter.lh-select

Bestimmt klemmt da was, ich rufe die Webseite einfach nochmal neu auf… und am besten ohne weitere Parameter, dann gehen bestimmt die Auswahl Felder auch. So mein Gedanke. Dass ich gerade dabei war, Zugang zum Redaktionssystem der Lufthansa zu bekommen, konnte ich nicht ahnen. Also tippte ich ein:

http://www.lufthansa-inflightentertainment.de/mediaworld/

und mir wurde lediglich der Verzeichnisinhalt angezeigt. Keine Lufthansa Webseite, nur eine Auswahl. „Framework“, „Redaktionssystem“… na das wird dann wohl der richtige Link sein. Framework wollte ich nicht, ich wollte die Filme sehen.

Am Redaktionssystem war dann mit meinen normalen Lufthansa.com Zugangsdaten keine Anmeldung möglich, ich vermutete, dass ich mich zur Nutzung registrieren muss. (Sonst wäre ja wohl kaum der „register“ Link dort aufgeführt.) Die Oberfläche – eher „funktional“ als optisch ansprechend gestaltet erwartet von mir Login, Passwort und eine E-Mail Adresse. Kein Ding, die Lufthansa geht ja sicherlich gut mit meinen Daten um.

lufthansa redaktionssystem

Nachdem ich mich dort also angemeldet habe, war mein Zugang auch schon aktiviert. Wunderbar, keine nervigen „klicken Sie den Bestätigungslink“ Mails, sofort drinn! Im Redaktionssystem – und zwar inclusive Zugriff auf eine Online Umfrage auf der Lufthansa Kunden sich Musiktitel wünschen, Grüsse eingeben und unter anderem auch ihren Namen hinterlassen.

Datenschutz? Lufthansa? Ich fing an die Sache genauer zu analysieren.Wie kann soetwas passieren – und was sonst verbirgt sich hinter den bunten Fassaden selbst großer deutscher Unternehmen.

Bei dem Webauftritt handelt es sich nicht etwa um einen durch die Lufthansa Systems betreuten und auf eigener Infrastruktur laufenden Dienst. Oft ist es nämlich so, dass gerade bei Großunternehmen die eigene IT sehr teuer ist. Umständliche Prozesse, von denen man den Eindruck bekommt, dass der einzige Nutzen darin besteht, die Umsetzung zu verhindern.

Vergleicht man dann die Kosten mit einem Angebot von einer Web-Agentur stellt man manchmal sogar um Größenordnungen anderen Kalkulationen fest. In diesem Fall wird der Auftritt offenbar durch die „Ray Sono AG“ betreut und auf einem gemieteten Webspace betrieben. Neben dem Auftritt dieses Bereichs der Lufthansa tummeln sich dann möglicherweise noch eine Vielzahl anderer Auftritte auf dem Server.

Außerhalb des Kontrollbereichs des eigenen IT Anbieters Lufthansa Systems – damit ist natürlich der Betrieb sehr günstig. Schon für 5 Euro im Monat kann man einen entsprechenden Webspace mit Datenbank bekommen und muss sich um nichts kümmern.

Auch bei der Softwareentwicklung geht es oft leichter – keine schwerfälligen Prozesse mit viel Papierkram. Manche Agenturen („flexibel“ oder „agil“) können per Anruf neue Featurewünsche umsetzen!

Doch wenn es brennt… ich rief bei der Lufthansa in Frankfurt an, um über diesen Umstand zu informieren. Leider erreichte ich niemanden, also rief ich bei der Lufthansa Systems an. Als ich dann mit dem richtigen Ansprechpartner verbunden war, zeigte sich sehr interessiert, freute sich über den Hinweis. Sofortige Abhilfe wurde zugesagt.

Am nächsten Tag war Feiertag – also schaute ich am Freitag rein. Wow! Da hat sich wirklich viel getan. Der Verzeichnis Inhalt war nicht mehr zu sehen – der Link zur Erstellung eines neuen Zugangs am Redaktionssystem war verschwunden. (Agentur angerufen, Featurewunsch umgesetzt – da gehts dann eben flott.)

Doch halt. „register.php“ war weiterhin aufzurufen. Mein Account funktionierte noch. Auch die Registrierung tat weiterhin. Mein erster Gedanke „Agentur eben“ – und der zweite Gedanke war, dass ich schon einge Menge Zeit in diese Sache investier thatte. Aber auf der anderen Seite konnte ich es dabei auch nicht bewenden lassen.

Mein nächster Versuch führte mich dann zur Lufthansa Verwaltung nach Köln. Doch hier hieß es nur „Brückentag, leider niemand im Hause“. Doch etwas Hartnäckigkeit und verdeutlichend dass es sich in meinen Augen um eine Sicherheitslücke handelte deren Auswirkungen ich nicht abschätzen kann half weiter.

Jemand vom Datenschutz – diese Leute nehmen ihren Job ernst und haben in der Regel auch Möglichkeiten erforderlichen Nachdruck aufzubauen. Ich erzählte also was sich zugetragen hatte, schrieb eine detaillierte E-Mail. Sofort wurde mir gesagt, dass es sich ja um etwas externes handele, aber für unverzügliche Abhilfe gesorgt werde.

Heute erhielt ich dann eine E-Mail mit der Information dass alles gesichert sei, und zukünftig Registrierungen anders gehandhabt würden. Und auch einen Satz mit „Dankeschön“.

Ich verteufel sicherlich nicht Agenturen, auf keinen Fall. Jedoch sollte man sich stets überlegen, ob man auch den Betrieb von Anwendungen aus der Hand geben möchte. Was wäre, wenn die Agentur mittlerweile Pleite ist? Niemand erreichbar? Das Hosting gar „sonstwo“ stattfindet. Oder der Webspace durch andere dort beheimatete Kunden eingesehen werden kann? Fragen deren Beantwortung deutlich macht, dass es einen Grund für bestimmte Kalkulationen gibt. Gründe die man gerne außer acht läßt, wenn man das günstigste Angebot annimmt.

Ich weiß übrigens noch immer nicht, welche Filme laufen.