Mit einem "souveränen Arbeitsplatz" wollen Bund und Länder die Abhängigkeit von Microsoft reduzieren. Nur Bayern äußert sich ablehnend zu dem Vorhaben.
Das internationale System personalisierter Werbung bröckelt. Manche wollen sie insgesamt abschaffen – und eine ganze Industrie sucht neue Datenquellen.
Für vertiefte Kooperationen mit US-Konzernen hat Andrea Wörrlein kein Verständnis. Mit iX spricht sie über die Probleme von Gaia-X – und mögliche Alternativen.
Die Hoffnung, mit der Corona-Pandemie geht jetzt auch mit der Digitalisierung alles ganz schnell – wie haltbar ist sie eigentlich noch?
Die Krise sorgt für einen deutlichen Schub bei der Digitalisierung der Arbeitswelt, hieß es im vergangenen Jahr von der Bertelsmann-Stiftung. Die Pandemie beschleunigt Innovationen, betonte Microsoft-Gründer Bill Gates noch vor ein paar Wochen auf einer Konferenz. “Und siehe da: Es funktioniert!”, heißt es in der “Welt”, der damit ein digitaler Stein vom anlogen Herzen fällt. Das, was 2020 passiert ist, bezeichnet die Zeitung als “Zwangsdigitalisierung”.
“2020 wird als das Jahr in die Geschichte eingehen, in dem in Deutschland der digitale Dammbruch begann”, schreibt Stefan Münz bei Twitter. Denn “die ewigen Blockierer, Verweigerer und Analog-Kokettierer” bekämen jetzt endlich Gegenwind.
2021 wird ein Backlash – ein Schritt zurück
Mittlerweile bin ich mir sicher: So wird es nicht. Wir werden 2021 nicht als das Jahr erleben, in dem Deutschland volldigitalisiert wieder aus der Krise aufwacht. Wir werden 2021 als Backlash erleben, als Schritt zurück nach einem Ausnahmejahr.
Mindset ist veraltet – WDR 5 Politikum
Zeichen dafür gibt es viele: Die vielen Menschen, die sich nach fast einem Jahr Pandemie noch immer nicht auf den digitalen Raum einlassen. Die vielen Sätze, die mit “Wenn wir dann wieder in Präsenz sind …” anfangen. Die laut der Hans-Böckler-Stiftung nur noch 14 % der Menschen im Homeoffice – trotz aller Appelle an Unternehmen, das Zuhausebleiben möglich zu machen, und an Menschen, dann auch zu Hause zu bleiben.
Ende 2020 habe ich einen vieldiskutierten Kommentar auf WDR 5 gesprochen: über das tief verwurzelte kulturelle Problem der Deutschen, mit der Digitalisierung umzugehen. Selbst eine Pandemie “hilft” nicht darüber hinweg.
Das Jahr 2020 mag vielleicht ein Wendepunkt für das digitale Deutschland gewesen sein. Aber dass er das war, wird sich vielleicht erst sehr viel später bemerkbar machen.
In Baden-Württemberg laufen einige Vereine und Verbände weiter Sturm gegen den Einsatz von Microsoft-Produkten in Schulen als handle es sich dabei um von Bill Gates persönlich verimpfte atomgetriebene Tunnelbahnhöfe der fünften Generation. Neben ätherischen Ideen wie WeltSchulfrieden, Datenschutz und digitaler Souveränität sowie abstrusen Prägungstheorien führen die Vereine als Argument auch angebliche Alternativen an (PDF):
„Mit Moodle (Lernplattform), BigBlueButton (Videokonferenzsystem), LibreOffice (Bürosoftware), Thunderbird (Mailprogramm) und Nextcloud (Dateiablage und Kooperation) stehen allen Schulen Anwendungen zur Verfügung, die den Funktionsumfang von MS 365 abdecken oder übertreffen.“
Eine Sprecherin des Kultusministeriums zitiert dagegen positive Erfahrungen und findet es „verwunderlich, dass die Verbände in ihrer gemeinsamen Stellungnahme die Bedürfnisse der Schulen und Praktiker vor Ort offenbar nicht zur Kenntnis nehmen und die Realitäten des Alltags verkennen.“ Ich teile ihre Verwunderung nicht, denn die Ansichten der Aktivisten lassen sich zwanglos mit einem engen Erfahrungshorizont erklären. Anscheinend hat keiner von ihnen in den letzten zehn Jahren eine moderne Office-Installation aus der Nähe gesehen.
Wer Microsoft Office hört, denkt zuerst an Word, Excel und PowerPoint. Kein Wunder, denn aus diesen Produkten schnürte Microsoft vor gut drei Jahrzehnten sein erstes Office-Paket. Bis heute sind sie in jeder Version enthalten, doch die Hauptrolle spielen sie nicht mehr. Microsoft Office heißt heute: Outlook und Skype for Business und OneNote und Teams sowie im Hintergrund in einer herkömmlichen On-Premise-Installation Exchange, SharePoint und Active Directory. Und das ist zusammen kein Zoo aus einzelnen Anwendungsgehegen, sondern eine integrierte Lösung, ein digitales Gondwanaland.
Eine Besprechung mit Microsoft Office geht ungefähr so: Zuerst sagst du Outlook, dass du gerne Leute einladen würdest, und suchst dir die Teilnehmer aus dem Adressbuch aus. Dein Adressbuch weiß, wo das Active Directory steht, deshalb findest du da jeden aus deiner Organisation. Outlook schaut dann selbständig in die einzelnen Kalender und schlägt dir Zeiten vor, die allen passen. Du schreibst deinen Einladungstext und klickst auf den Skype-Button, der einen Block mit den Zugangsdaten fürs Meeting in deine Nachricht einfügt. Das ist alles. Kein Wechsel zwischen Programmen, keine mentale Checkliste erforderlicher Fleißarbeiten – du schreibst einfach eine Einladung, der Rest geht mehr oder weniger von selbst. Wenn nicht gerade Pandemie ist und alle zu Hause bleiben, kannst du im Vorbeigehen auch einen freien Besprechungsraum suchen und reservieren.
Genauso unkompliziert legst du aus deinem Kalender einen Notizzettel in OneNote an, entweder für dich alleine oder auf dem Sharepoint-Server für alle. Auf diesem Notizzettel erscheinen von selbst die Metadaten zur Besprechung – Betreff, Datum, Uhrzeit, Teilnehmerliste und so etwas — und dann kannst du oder könnt ihr loslegen und zum Beispiel die Agenda entwerfen. Dir fällt dabei ein, dass du zur Vorbereitung unbedingt noch etwas erledigen musst? Kein Problem, aus OneNote heraus kannst du deine Outlook-Aufgabenliste befüllen und aus der Aufgabenliste kommst du selbstverständlich auch zurück zum Ursprung und ob du deine Aufgabe in Outlook oder in OneNote als erledigt abhakst, bleibt dir überlassen.
Kurz bevor die Besprechung losgeht, meldet sich Outlook mit einer Erinnerung. Daraufhin beginnst du nicht etwa hektisch im Kalender und deiner E-Mail nach den Einwahldaten zu suchen, sondern du klickst einfach den Beitreten-Button im Erinnerungsfensterchen an und setzt dein Headset auf, während Skype for Business die Verbindung aufbaut. Während der Besprechung kommt dann vielleicht mal PowerPoint zum Einsatz oder Excel oder was auch immer man gerade zum Arbeiten braucht. Das Protokoll schreibst du in OneNote, das dir die im Skype-Meeting erschienenen Teilnehmer in der Liste selbständig ankreuzt, damit du dich auf Wichtigeres konzentrieren kannst. Du berichtest im Meeting von einem Telefonat letzte Woche und kannst dich nicht mehr erinnern, wer dich da angeskypet hat? Guckst du Outlook, das merkt sich deine Chats und Anrufe aus Skype for Business.
Du bist oft unterwegs und willst lieber mit dem Smartphone? Dann nimmst du halt Outlook und OneNote und Skype for Business für Smartphones. So wird nicht nur die Cloud als Backend auf einen Schlag plausibel, sondern du bekommst auch noch gratis Office Lens dazu, das dir Whiteboards und Flipcharts und Visitenkarten und Dokumente nach OneNote fotografiert und sie dabei entzerrt und zuschneidet. Und ja, wenn es sich um Drucksachen handelt, macht OneNote unaufgefordert OCR und du kannst später nach dem Inhalt suchen.
Das, und nicht Word/Excel/PowerPoint, ist ein zeitgemäßes Officepaket: eine integrierte Lösung für die Organisation, Kommunikation und Zusammenarbeit im Arbeitsalltag. Wer ganz oder teilweise im Manager Schedule arbeitet, viele verschiedene Vorgänge im Blick behalten muss oder aufgrund seiner Rolle mit vielen verschiedenen Menschen zu tun hat, erleichtert sich seine Arbeit damit ungemein. Gelungene Integration kommt unauffällig daher, hat jedoch einen großen Nutzen, denn sie beseitigt Reibungsverluste und Hürden. Fürs Wesentliche bleibt mehr Zeit, die Kommunikation und Zusammenarbeit läuft rund. Dabei habe ich Microsoft Teams mangels eigener Erfahrung damit noch nicht einmal berücksichtigt.
In vielen Unternehmen funktioniert das so. Richtig klar wird einem das vielleicht erst, wenn man es mal selbst erlebt hat – und dann südwestdeutschen Querdünkel von Dateiablagen und LibreOffice schwärmen hört. Solche Alternativen spielen nicht in derselben Liga und auch nicht in der nächstniedrigeren. Google Workspace spielt in derselben Liga, aber das würde ihnen ja genauso wenig gefallen.
Selbstverständlich könnte man sich vornehmen, Ähnliches auf der Grundlage von Open-Source-Software selbst zu entwickeln. Vorher möge man jedoch kurz überschlagen, wie viele Jahre Vorsprung Microsoft und Google haben, wie viele Milliarden an Investitionen in ihren Produkten stecken und wie viele voraussichtlich noch hinzukämen, bevor man sie eingeholt hätte. Fünf Milliarden aus einem Digitalpakt würden dort kein ganzes und auch kein halbes Jahr reichen.
Gewiss, in die Hände von Grundschülern gehört ein digitaler Büroarbeitsplatz nicht. In die ihrer Lehrerinnen und Lehrer dagegen schon und dann bitte ordentlich, nicht als Modell 601S. Lehrerinnen und Lehrer haben nämlich allerlei zu planen, zu kommunizieren und zu organisieren. Gibt man ihnen vernünftige Werkzeuge dafür, können sie sich genau wie Büroarbeiter besser aufs Wesentliche konzentrieren. Ein paar jugendfreie Funktionen wie einfach zu nutzende Konferenzschaltungen für improvisierten Fernunterricht fallen dabei fast von alleine mit ab und vielleicht kann auch die Redaktion der Schülerzeitung etwas mit zeitgemäßen Werkzeugen anfangen. Von mir aus kann die gerne jemand anderes als Microsoft oder Google liefern, wenn es denn jemand anderes kann. Solche Diskussionen müssen aber auf dem Stand der Technik geführt werden und nicht auf der Basis von Fake News. Stand der Technik sind integrierte Lösungen, die Arbeit erleichtern, und nicht zusammengewürfelte Sammlungen halbgarer Me-too-Produkte. Mal schnell für ein paar Euro Open-Source-Software aufzusetzen, die gerade auf der Anwendungsebene oft hinterherhinkt, rettet uns nicht.
P.S. (2021-01-17) Im Golem.de-Diskussionsforum findet User Oktavian diese schöne Metapher:
„Als Bauherr möchte ich ein Haus. Der Bauträger bietet mir ein Haus gebaut nach meinen Wünschen an. Du möchtest mir einen Bagger liefern, Steine, einen Kran und Dachziegel. Daraus kann ich mir bestimmt ein Haus bauen, aber dann brauche ich noch Bauarbeiter, einen Plan, Genehmigungen, ein Grundstück, einen Architekten, einen Statiker und habe das Risiko, dass alles nicht funktioniert. Was glaubst Du wohl, wessen Angebot ich reizvoller finde?“
Und auch sonst dreht sich die Diskussion dort um die hier angesprochenen Punkte.
„Es gibt sie noch, die guten Dinge“, wirbt ein Einzelhändler, der sich auf altmodische, handgefertigte Haushaltswaren spezialisiert hat. Wer es geil findet, einen Tischfernsprecher W 48 – außen Bakelit®, innen solide Nachkriegselektrik, Digitalkonverter separat erhältlich – in sein Wohnzimmer zu stellen oder den Rasen seines Anwesens mit einem handbetriebenen Spindelmäher kurz zu halten, wird dort zu gesalzenen Preisen fündig.
Nüchtern betrachtet ergibt solch ein Kauf wenig Sinn. In derselben Preisklasse bekommt man als Gegenwartstechnik ein Smartphone oder einen Mähroboter und damit viel mehr Leistung für sein Geld. Der bloße Kauf eines altmodischen Manufakturprodukts mag noch wie eine Geschmackssache wirken, in der man sich willkürlich so oder so entscheiden kann. Doch über die Nutzungsdauer betrachtet zahlt man beim Manufakturprodukt verglichen mit seinen zeitgemäßen Nachfolgern fortwährend drauf. Deswegen kaufen Menschen nur dann „die guten Dinge“, wenn ihnen diese Folgekosten egal sind, etwa weil es sich um ein Geschenk mit externalisierten Kosten handelt oder weil sie mit einem Statussymbol unaufdringlich Vermögen demonstrieren möchten.
„Es gibt sie noch, die guten Dinge“, behaupten auch Technik- und Kulturpessimisten, denen der Fortschritt zu schnell fortschreitet und ob das denn nötig sei und nicht am Ende unsere Jugend verdürbe. Die guten Dinge, das sind ihnen Telefonate statt Videokonferenzen, selbst betriebene Open-Source-Anwendungen, Endgeräte und Anwendungen ohne Telemetrie und dergleichen mehr. Der Rest der Welt hat sich derweil an Videokonferenzen gewöhnt, wartet sehnlichst darauf, dass öffentliche Einrichtungen wie Schulen und Ämter endlich in der IT-Gegenwart ankommen, und nutzt selbstverständlich Anwendungen und Plattformen aus der Steckdose.
Die angeblich guten Dinge ähneln ihren Vorbildern aus dem Reich der Haushaltswaren. Wäre das Telefon eine ebenbürtige Alternative zur Videokonferenz, gäbe niemand Geld für Videokonferenzdienste aus. Dass es doch alle tun, liegt daran, dass es sich eben nicht nur um eine Art Bildtelefon handelt, sondern um Anwendungen für multimediale 1:n- und m:n-Kommunikation. Wo das Telefon genügt, greifen Menschen von alleine zu diesem, aber das Telefon kann im Vergleich zur Videokonferenz ungefähr so viel wie ein Tischfernsprecher W 48 im Vergleich zum Smartphone.
Auch Telemetrie und Cloud Computing entspringen nicht etwa einem gemeinen Weltherrschaftsplan amerikanischer Überwachungskapitalisten, sondern schlicht technisch-ökonomischem Fortschritt, der selbst und autark betriebene Anwendungen nach und nach zu einem Thema für die Geschichtsbücher macht. Dahinter steckt ein Prozess der Kommoditisierung, den jede Infrastrukturinnovation durchläuft. Anwendungen wandern im aus denselben Gründen von eigenen Servern in die Cloud, aus denen einst Dampfmaschinen in Kraftwerke und die Inhalte von Sparstrümpfen auf Bankkonten wanderten: Weil es möglich wurde und sich als effizienter erwies.
Die Vorteile sind offensichtlich. Dieses Blog hier zum Beispiel läuft komplett in der Cloud, bei wordpress.com. Ich muss mich um nichts anderes kümmern als die Inhalte: keine Server betreiben, keine Software installieren, keine Updates einspielen, kein Backup machen, nicht nach Einbrüchen aufräumen. Ich muss mir nur mein Passwort merken und, wenn ich es schön haben möchte, jedes Jahr ein paar Euro bezahlen. Alles selbst zu machen, wäre in der Summe teurer bei einem schlechteren Ergebnis, deshalb lasse ich das.
Dass dieses Geschäft funktioniert, liegt an Skaleneffekten: Durch Massenproduktion sinken die Kosten pro Stück. WordPress.com betreibt mein Blog nicht auf dieselbe Weise, wie ich es tun würde, also mit einem dedizierten und individuell administrierten Server, sondern auf einer eine Plattform mit Millionen von Blogs und Benutzern. Die Grenzkosten für ein einzelnes Blog verschwinden praktisch. Deshalb kann wordpress.com jeden Aufwand unterbieten, den ich für die Leistung „funktionierendes Blog“ in derselben Qualität betreiben müsste. Manufaktur ist teurer als Massenproduktion, in der Anschaffung wie im Betrieb.
Der Trend zum Software-Service betrifft nicht nur Anwendungen, sondern auch das, was wir früher Betriebssystem nannten und was heute den Charakter eine Managed Platform hat. Früher baute man seine Computersysteme selbst: schaffte Hardware an, installierte Betriebssysteme darauf und schließlich Anwendungsprogramme, organisierte den Betrieb des teuren Geräts zum Beispiel mit regelmäßigen Datensicherungen und Virenscans. Wer wollte, konnte den Computer später für einen anderen Zweck verwenden, indem er diesen Prozess mit demselben oder einem anderen Betriebssystem und neuen Anwendungen erneut begann.
Heute sind Geräte austauschbar und Betriebssysteme eine Dienstleistung. Wir haben Benutzerkonten bei Apple/Google/Microsoft, die wir mal mit diesem, mal mit jenem Gerät nutzen. Kommt mal ein Gerät weg, tritt man es online aus allen Diensten raus, stellt ein neues hin und macht dort weiter, wo man aufgehört hatte. An der Software der Endgeräte herumzubasteln, macht noch weniger Sinn als ein eigener Anwendungsbetrieb.
Themen wie Telemetrie in Windows und Office oder auch Apples automatischer Sicherheitscheck beim Programmstart, der neulich einen kurzen Aufruhr auslöste, muss man in diesem Kontext betrachten. Es hat keinen Sinn mehr, sich über „nach Hause telefonierende“ Software zu erregen. Der Normalfall ist, dass Software in der Cloud läuft und dort betreut und weiterentwickelt wird; teilautonome Endgeräte werden stattdessen als Näherungslösung so an die Cloud angeschlossen, dass man ihren Benutzern trotzdem Stress mit der Systemadministration ersparen kann. Und das ist gut, denn inzwischen kann man auch Laien einen Internetapparat anvertrauen, ohne ständig auf sie aufpassen zu müssen.
In der konsequentesten Umsetzung bekommt man am Ende einen Thin Client wie Googles Chromebook als Interface zur Cloud, bei dem lokale Anwendungen keine Rolle mehr spielen. Dann bereitet das einzelne Gerät praktisch keinen Administrationsaufwand mehr, weil es nur noch einen Browser booten muss, der durch ein Benutzerlogin an einem Cloudservice personalisiert wird. Damit lässt sich zum Beispiel ein Laptopverleih organisieren, wie ihn die ULB Darmstadt anbietet. Einige sind der Ansicht, dass dies auch für den Schulbetrieb genau der richtige Ansatz sei.
Wer unbedingt in einem Gefühl digitaler Souveränität schwelgen möchte, kann das alles auch nachbauen. Das wird jedoch voraussichtlich ein teures und zeitraubendes Projekt. Man bekommt eben nicht dasselbe, indem man mal schnell einen Linux-Server mit ein paar Open-Source-Paketen aufsetzt, sondern müsste schon das ganze System und dessen Betrieb replizieren und außerdem in die Weiterentwicklung investieren wie ein etablierter Cloudversorger. Das kann man tun, aber es ist nicht die beste Idee, wenn man gerade etliche Jahre verschlafen hat und einen nun auch noch eine Viruspandemie zu schnellem Handeln zwingt. Obendrein hält ein in der Hinterhofwerkstatt aus Subprime-Software zusammengefrickeltes System in Sachen SIcherheit und Datenschutz nicht unbedingt, was seine Verfechter versprechen. So fiel die häufig genannte Videokonferenzsoftware Big Blue Button kürzlich mit langen Reaktionszeiten auf gemeldete Sicherheitsmängel auf. Dort hätte man also nachzuarbeiten.
Es gibt sie noch, die guten Dinge, doch sie sind gar nicht gut, sondern alt, rückständig, umständlich produziert. Dennoch empfohlen werden sie als Scheinalternative von Akteuren, denen niemand die Kosten ihrer Ratschläge in Rechnung stellt, die sich jedoch eigene – nicht-monetäre – Gewinne erhoffen. Datenschutzbeauftragte sollen schnellen Fortschritt in der IT nicht fördern, sondern bremsen und ihre Arbeit beruht auf Gesetzen und Traditionen, welche die Datenverarbeitung unter den Generalverdacht der Grundrechtsgefährdung stellen. Vereinsinformatiker können sich umso wichtiger fühlen, je komplizierter Informationstechnik zu nutzen ist, je exklusiver also ihre Expertise bleibt. Verbraucherschützer benötigen einen Antagonisten, und sei es ein erfundener wie die „Prägung“ von Schülerinnen und Schülern auf Microsoft-Produkte und die angebliche Vermarktung ihrer Verhaltensdaten durch Microsoft. All jene, die tatsächliche Kosten gegen den tatsächlichen Nutzen abwägen müssen, sind mit zeitgemäßen Services besser bedient als mit Manufakturalternativen. Wer nicht möchte, dass deren Anbieter Microsoft oder Google heißen, muss konkurrenzfähige Alternativen als Dienstleistung anbieten und nicht Software zum Selbermachen empfehlen.
Das Gesundheitsministerium unter Minister Spahn digitalisiert das Gesundheitswesen im Eiltempo. Ärzte und Patienten haben wenig zu sagen. Eine Bestandsaufnahme.
The reason I hate compliance programs is because they’re lists of things we need to do, and many times, those things don’t seem to make a great deal of sense. In threat modeling, I talk about the interplay between threats, controls, and requirements, and I joke that “a requirement to have a control absent any threat” is why we hate compliance programs (not joking).
So when Anton Chuvakin wrote an article on Data Security and Threat Models and closed it with “explicit threat models do make security better,” I remembered that I’d actually written up a threat model for PCI, but not shared it. It’s now at A PCI Threat Model, and I have a column in Dark Reading explaining how this can solve the problem with security standards.
American Express, Visa und Mastercard können entspannt aufatmen. Die EU-Kommission hat heute ihre Bilanz zur Interbankenentgeld-Verordnung (MIF-VO) von 2015 und der damit einhergehenden Deckelung der Kredit- und Debitkartengebühren auf 0,3 Prozent bzw. 0,2 Prozent vom Umsatz veröffentlicht. Der in der MIF-VO vorgeschriebene Bericht an EU-Rat und EU-Parlament enthält keinen Vorschlag zu einer weiteren Regulierung der Kartenbranche. Die Handelslobbyisten von EuroCommerce reagieren enttäuscht. Bei den Kreditkartenorganisationen und mancher Bank dürften dagegen die Sektkorken knallen. Mit einer regelrechten Gutachterschlacht hatten beide Seiten versucht, die Kommission auf den rechten Pfad zu bringen. Derweil zeigen die aktuellen Zahlen des EHI Retail Institute erwartungsgemäß: Der Siegeszug der unbaren Zahlungsmethoden an den Kassen des Handels schreitet ebenso stetig wie unaufhaltsam voran. Und dabei sind die zuverlässigen Zahlen aus Köln noch aus der Zeit „BC“ – „before Corona“.
Die EU-Kommission ist zufrieden mit sich und zieht eine positive Bilanz zu der seit dem 9. Dezember 2015 geltenden Interbankenentgelt-Verordnung. Die Hauptziele der MIF-VO seien erreicht worden, heißt es in dem heute veröffentlichten „Commission Staff Working Document“, das im Wesentlichen die Ergebnisse der EY-Studie zusammenfasst, die BargeldlosBlog im Februar europaweit exklusiv vorab veröffentlichte. (Ja, genau, „EY“, da schmunzelt, kotzt oder stirnrunzelt die Payment-Branche seit dem Wirecard-Desaster.)
Die MIF-Regulierung habe zu geringeren Kartengebühren für Händler und Dienstleister und damit auch zu niedrigeren Preisen für die Verbraucher geführt – aber darüber hinaus auch positive Effekte auf den Markt für unbare Zahlungsverkehr gehabt. Das kann eigentlich niemand ernsthaft bestreiten. Wenn man sich beispielhaft den deutschen Markt anschaut, sind die weißen Flecken auf der Landkarte der Kreditkartenakzeptanz weitgehend verschwunden. Und das der Handel jedwede Kosteneinsparung aufgrund des intensiven Wettbewerbsdrucks weitgehend an die Verbraucher weitergibt, davon zeugt aktuell die Senkung der Mehrwertsteuer in eindrucksvoller Weise.
Die Zuverlässigkeit der genauen Zahlen der EY-Studie seien mal dahingestellt. Es war mutig und richtig von der EU-Kommission, den Kartenkartellen Einhalt zu gebieten und einfach mal 0,3 Prozent bzw. 0,2 Prozent vom Umsatz als ausreichenden Betrag bzw. „fair share“ für das Interbanken-Entgelt festzusetzen.
Aufrichtig auch die Feststellung im Working Document, dass es für eine weitere Regulierung bzw. Bewertung noch mehr Daten und Zeit braucht. Natürlich kann man über die drastisch steigenden Scheme Fees reden und über Inkonsistenzen in der Regulierung (Drei-Parteien-Systeme, Commercial-Cards, etc.). Aber aktuell will die EU-Kommission die ohnehin strapazierten Banken offenbar nicht weiter mit Regulierungen und Ertragsschmälerungen drangsalieren. Zudem träumt man ja in Brüssel und Frankfurt schließlich auch von einem pan-europäischen (Karten-)Zahlungsverfahren. Wer soll das aufbauen wollen, wenn es kein Interbanken-Entgelt zur Finanzierung der ganzen Rules & Regulations, des Scheme Marketings und der Innovationsabteilung gibt?
Die schönen Studien zu den Auswirkungen des Gebührendeckels
Die ganzen schönen und teuren Studien zu den Auswirkungen der MIF-Regulierung sind jetzt jedenfalls Makulatur und können vom Schreibtisch direkt in die Rundablage geschmissen werden. Ich liebe das: Die dicken Papiere vom „Muss ich noch lesen / Muss ich noch was zu schreiben“-Stapel nach drei bis sechs Monaten einfach in den Papierkorb schmeißen. Hat etwas sehr Befreiendes. Wer sich noch dafür interessiert:
Visa (hat seine Studie nie veröffentlicht, kenne leider nur eine Präsentation, die aufzeigen will, dass die MIF und die Interchange-Fees gar nicht so schlimm/relevant sind. Die bösen Acquirer nehmen den KMU das Geld aus der Tasche).
Mastercard hat EDC eine Studie veröffentlichen lassen (Beim Konsumenten kommt nichts an, Scheme Fees sind hier Netzwerkgebühren und die sollen sogar gesunken sein und der Konsument leidet, weil es die schönen Membership-Reward-Programme nicht mehr im Vergleichbaren Umfang gibt.)
Und der europäische Händlerverband EuroCommerce hat sich natürlich auch mit einer Studie in der Lobbyschlacht positioniert, die nun wohl abgeblasen wurde. Er hat heute eine Pressemitteilung veröffentlicht, in der er sich erwartungsgemäß enttäuscht zeigt, dass die Kommission nicht noch einmal an das Thema ran will. Statt eines One-Pagers wurde es ein Four-Pager, so groß ist der verständliche Groll.
Eine lesenswerte, ausführliche Analyse der EY- und der EDC-Studie hat Hugo Godschalk, Geschäftsführer von Paysys, auf dem Paytechlaw-Blog gegenüber und in zwei Paysys-Reports veröffentlicht.
Wie dem auch sei, das Thema „Kartenregulierung“ ist jetzt erstmal durch. Das EU-Parlament wird vielleicht noch einmal seine widerborstige Stimme erheben, aber mit Rat und Kommission ist da erstmal nichts mehr zu machen. Da lege ich mich gerne fest. Verständlich aber auch, dass der Handelsverband noch nicht klein bei geben will, wie der Zahlungsverkehrsexperte des HDE, Ulrich Binnebößel, kurz nach Erscheinen dieses Blogpost per Twitter versicherte:
… zitiert Binnebößel die Passage im Report aus der die Kartenakzeptanten Hoffnung schöpfen. Gleich mal beim Europaabgeordneten Sven Giegold von den Grünen nachhaken, wie der Bericht dort aufgefasst wird. Giegold hat sich 2014/2015 für die Regulierung stark gemacht und das Parlament fordert schließlich eine Interchange fee von 0,0 Prozent. Aber das Parlament will immer.
Die EHI-Zahlen zum Zahlen
Nicht missen möchte ich – auch aus Chronistenpflicht – den Hinweis auf die aktuellen Zahlen des EHI-Retail Institutes zur Kartenzahlung im Einzelhandel. Auch wenn ich hier in diesem Blog damit Eulen nach Athen trage und nur noch das erzähle, was alle in der Payment-Community schon mal zum Besten gegeben haben:
Mehr als jeder zweite Euro wurde 2019 demnach per Karte bezahlt. Mit 50,5 Prozent des gesamten Einzelhandelsumsatzes von 445 Mrd. Euro gewinnt die Kartenzahlung also weiter Anteile an der Kasse. „Haupttreiber dieses dynamischen Wachstums war einmal mehr das Girocard-System (ehemals electronic cash-System) der Deutschen Kreditwirtschaft, das an den Kassen des Einzelhandels um 3,5 Prozentpunkte (19,9 Mrd. Euro) auf 149,5 Mrd. Euro zulegen konnte“, bilanziert das EHI. Kreditkarten sind ebenfalls seit drei Jahren im Aufwind, auch ein Verdienst der MIF-Regulierung, die dazu führte, dass Aldi, Lidl, MediaMarkt & Co. die ehemals zu teuren Plastikkarten akzeptieren. Sie konnten ihren Anteil um 0,7 Prozentpunkte auf 7,6 Prozent des Umsatzes erhöhen. Das unterschriftbasierte ELV-Lastschriftverfahren verliert dagegen weiter Anteile, bilanziert Payment-Papst Horst Rüter. Laut EHI gibt es vielleicht schon im November neue aktuelle Zahlen, die dann auch die Auswirkungen der Corona-Krise auf die Zahlverfahren am POS aufzeigen. Und die dürften ganz erheblich sein, wo doch jede Boutique Susi, jeder Bäcker und jedes Wasserhäuschen inzwischen um die „hygienische kontaktlose Kartenzahlung“ bittet.
Die Graifk der Payment-Grafiken schlechthin im neuen Design. (Quelle: EHI Retail Institute)
Eine irische Studie zweifelt die Wirksamkeit der Kontaktverfolgung bei Corona-Warn-Apps an. In Straßenbahnen versage die Abstandsbestimmung per Bluetooth.
Back in 2018, I explained how some websites use various tricks to detect that visitors are using Private Mode browsers and force such users to log-in. The most common reason that such sites do this is that they’ve implemented a “Your first five articles are free, then you have to pay” model, and cookies or similar storage are used to keep track of the user’s read count.
The New Yorker magazine is one such site:
Unfortunately, such “Private Mode blockers” make it hard for those of us who use Private Mode for other reasons (I don’t want to leave any traces of my Beanie Baby shopping research!). Private Mode detectors typically trigger for Chromium-based browsers’ Guest Profile that you might be use when borrowing a trusted friend’s computer.
So, what’s a privacy-conscious user to do?
If you’re using Firefox, you can use that browser’s “Containers” feature to isolate such sites into a partitioned container such that trackers from the site cannot follow you around the web.
If you use Microsoft Edge, you might consider creating your own “Ephemeral” browser profile for browsing sites that block InPrivate:
After you create the new profile, visit its Settings page at edge://settings/clearBrowsingDataOnClose and configure all storage areas to be cleared every time you close the browser1:
Note: Chrome does not offer a Clear on Closelist, but does offer a limited Clear cookies and site data when you quit Chrome option.
You can then adjust any other settings you like, for instance, adjusting Tracking Protection to Strict in edge://settings/privacy or the like.
Then when you want to visit a site that blocks InPrivate, you can either open your Ephemeral profile from your profile icon, or use the Open link as command on a hyperlink’s context-menu:
Over time, browsers will continue to work to make Private Mode detectors less reliable, but it’s unlikely that they’ll ever be perfect. Creating an ephemeral profile that clears everything on exit is a useful trick to combat sites which prioritize their business model needs over your privacy.
-Eric
1 In Edge 85 and earlier, you must unfortunately close all browser windows (even from your main profile) to trigger the cleanup of your ephemeral profile; closing just the windows from the ephemeral profile alone is not enough. This bug was recently fixed in Edge 86.
Advanced Q&A
Q: How is this Ephemeral/ClearOnExit Profile different than a regular InPrivate Mode session?
A: There are a few key differences.
InPrivate tries not to write anything to disk (although the OS memory manager might at any time decide swap process memory to the disk), while true profiles do not impose such a limitation. The “no disk write” behavior of Private Mode is the primary source of web-platform-observable differences in behavior that allow sites to build Private Mode detectors.
By default, your default browser extensions do not load in InPrivate, but they can be configured to do so. In a different profile, you’ll have to install any desired extensions individually.
By default, your credentials (usernames and passwords) do not autofill while InPrivate. In a different profile, your main profile’s credentials will not be available (and will be cleared on exit if configured to do so).
InPrivate tabs do not perform Windows Integrated Authentication to Intranet sites automatically. Regular browser profiles do not have such a limitation.
Es ist ein Auftritt, der vor Selbstbewusstsein strotzt: „Apple Pay mit der Girocard kommt diesen Sommer“, verkündeteten die Sparkassen gestern auch offiziell (wir hatten’s letzte Woche ja schon gemutmaßt) – und schrieben gleich in einem gut sichtbaren, leicht gekippten Banner dazu: „NEU: Die ersten mit Girocard“. Ganz offenbar haben die Sparkassen entsprechende Exklusivitäts-Vereinbarungen mit den Amerikanern geschlossen. Damit ihnen bloß keine andere Bank zuvorkommt.
Und in der Tat: Apple Pay via Girocard – das ist ein großes Ding. Technisch. Aber auch strategisch. Ein potenzieller Gamechanger. Grund genug für ein großes FAQ:
Warum haben sich die Sparkassen für Apple Pay via Girocard entschieden?
Zunächst gilt: Es spart langfristig betrachtet Zeit, Nerven und Geld, sich unabhängiger von Visa und Mastercard zu machen. Denn in der „klassischen“ Variante von Apple Pay (die Hinterlegung einer physischen oder virtuellen Debit- oder Kreditkarte von Visa oder Mastercard) kassieren die beiden Kreditkarten-Schemes mit. Und: Man liefert dem Duo auch strategisch aus. Jedenfalls wenn man unterstellt, dass Apple Pay künftig eine Commodity im Retail-Banking sein wird.
Nun gehört zur Wahrheit freilich auch, dass sich ausgerechnet die Sparkassen (die jetzt bei der Girocard-Lösung den Exklusiv-Deal suchen) Apple Pay lange Zeit verweigert haben. Gilt also weiterhin das, was unserer Ansicht nach vor einem Jahr noch galt – nämlich dass sich die Sparkassen der Übermacht des US-Technologiekonzerns gebeugt haben? Nicht unbedingt! Denn vielleicht lässt sich das Ganze mittlerweile auch so interpretieren, dass nicht Apple die Sparkassen sondern umgekehrt die Sparkassen Apple in einen Deal gezwungen haben.
Denn: Die verspätete Einführung von Apple Pay bei den Sparkassen (also die Einführung per Kreditkarte war dem Vernehmen nach ein solcher Erfolg (siehe hier), dass die Amerikaner damals regelrecht auf den Geschmack gekommen sein dürften. Und dass man in Cupertino spätestens da gemerkt hat: Wenn Apple Pay in Deutschland ein Erfolg werden soll – dann kommt man an den 45 Mio. Girocards von Sparkassen-Kunden nicht vorbei. (Uns ist natürlich bewusst, dass der größere Teil hiervon Android-Nutzer sind – aber die Rate der Nutzer von mobilem Bezahlen dürfte mutmaßlich bei Apple-Nutzern höher sein).
Nach allem, was wir hören, waren es die Amerikaner, die in den letzten Wochen Druck gemacht haben, die Verbindung von Apple Pay und Girocard möglichst rasch und damit noch im Sommer zu finalisieren. Der Verhandlungsposition der Sparkassen dürfte das nicht geschadet haben.
Was spricht strategisch für die Integration von Apple Pay in die Girocard?
Schlicht gedacht ist das Motiv der Sparkassen: Wenn wir Apple Pay auch per Girocard anbieten – dann werden mehr unserer Kunden mit Apple Pay bezahlen. Es könnte allerdings lohnen, den gestern verkündeten Schritt mal ein bisschen weiter zu denken: Wenn es den deutschen Banken mit #DK (also mit der Verschmelzung von Girocard, Giropay und Paydirekt) wirklich ernst ist und das #DK-Projekt in einem zweiten Schritt tatsächlich in die geplante European Payment Initiative hineinwächst (also ein regelrechtes europäisches Payment-Scheme entsteht) – dann ist die Verknüpfung der Girocard mit Apple Pay sicherlich nicht der dümmste Schritt. Denn: Ein europäisches Payment-Scheme ohne Apple Pay wäre aus Kundensicht (und diese Sicht ist ja die entscheidende …) von vornherein eher unattraktiv. Man kann und muss das Ganze aber vermutlich sogar noch einen Schritt weiter denken: Wird die Girocard perspektivisch auch E-Commerce-fähig? Können Debitkarten von Visa bzw. Mastercard als Co-Brand zugeschaltet werden?
Werden die „Mastercard/Visa-Debitkarten“-Initiativen bei den Sparkassen jetzt ausgebremt?
Nicht unbedingt. Die verschiedenen Lösungen können durchaus nebeneinander existieren. Sollten Apple Pay und die Girocard irgendwann eine hinreichend große Marktdurchdringung haben – dann kann man das Ganze ja trotzdem über die Debit-Lösung von Visa bzw. Mastercard noch aufwerten, etwa für den einfachen Auslandseinsatz.
Und was ist mit den Debit-Lösungen anderer Banken?
Sollte Apple Pay via Girocard bei den Sparkassen zum Erfolg werden – dann wird der Druck auf andere Banken steigen, ihren Kunden dasselbe anzubieten. Was zumal für Institute gilt, die jenseite der Girocard bislang keine Debit-Alternativen anbieten. Und: Auch der Akzeptanzvorteil ist zu beachten. Typischerweise sind noch viele Bäcker, Parkautomaten, Fahrkartenautomaten, Behörden und kleinere Läden vollständig auf die Girocard ausgerichtet, sodass eine Akzeptanz von Mastercard oder Visa nicht möglich ist. Den Sparkassen dürfte das recht sein: Man ist First Mover, hat ein bisschen Exklusivität – und ziehen andere nach, festigt das zudem die Rolle der Girocard.
Auch hier gilt: Es ist keine Entweder-Oder-Frage zwischen den Girocards auf der einen und Mastercard/Visa-Debitkarten physisch oder virtuell auf der anderen Seite. Eine Koexistenz ist hier durchaus denkbar, solange keine hausspezifischen Exklusivitäts-Deals mit Visa/Mastercard bestehen. Insgesamt dürfte sich mit dem gestrigen Tag die Verhandlungsposition aller deutschen Banken gegenüber den beiden großen US-Schemes verbessert haben.
Warum haben sich die Sparkassen ursprünglich so viel Zeit mit Apple Pay gelassen?
Unklar. Vielleicht haben die Sparkassen das Thema Apple Pay am Anfang dann doch zu langsam angegangen; vielleicht haben sie darauf gesetzt, dass Apple seine NFC-Schnittstelle für die sparkasseneigene „Mobile Payment“-Lösung öffnen muss; vielleicht hatten die Sparkassen aber auch von Anfang an das (richtige) Grundgefühl: Entscheidend ist nicht die Kreditkarte. Entscheidend ist die Girocard.
Was es in diesem Kontext freilich auch zu bedenken gilt (auch wenn’s jetzt ein wenig nerdig wird): Der wesentliche Unterschied zwischen Apple Pay und Google Pay ist: Bei Apple Pay sind Transaktionen auch komplett ohne Internetverbindung möglich, der „Secure Element”-Chip in Zusammenarbeit mit der “Secure Enclave” generiert auch „On Device“ die (für einen Bezahlvorgang nötigen) Sicherheitsschlüssel.
Google Pay benötigt dagegen immer wieder eine Internetverbindung, die Token werden dann in der Cloud erzeugt und bei bestehender Internetverbindung in kleinen Tranchen nachgeladen. Der Unterschied ist technisch eher minimal. Die Sparkassen haben sich aber – sicherlich und vor allem auch aus datenschutzrechtlichen Bedenken – , wie andere Banken schon früh gegen Google Pay entschieden und stattdessen eine eigene Android Lösung für das mobile Bezahlen unabhängig von Google Pay entwickelt. In der „großen Kooperationsfrage“ waren die Sparkassen aber auf Apple Pay damit angewiesen – und folglich war auch die eigene Apple-Strategie des „Aussitzens“ zum Erfolg verdammt.
Was wissen wir über den Erfolg der bisherigen Mastercard- und Visa-Lösungen für Apple Pay bei den Sparkassen?
Offen gestanden liegen uns seit dem durchschlagenden Erfolg bei der Einführung (nochmal der Hinweis auf das Stück: „Sparkassen im Apple-Rausch: Offenbar > 200.000 Aktivierungen„) keine neuen Zahlen mehr vor. Aus dem roten Lager ist allerdings zu hören, dass der Erfolg angehalten hat. Vermutlich haben die Sparkassen hierdurch erheblich an Verhandlungsmacht gewonnen haben und wurden so zum bevorzugten Partner von Apple Pay in Deutschland.
Warum wurde der Streit um die NFC-Schnittstelle begraben?
Siehe oben: Unklar. (Für die Nicht-Nerds hier nochmal unser Stück zur sogenannten Lex Apple Pay; daraus geht hervor, was mit der NFC-Schnittstellt überhaupt gemeint ist und warum das Thema so ein Aufreger war). Vielleicht haben sich die Sparkassen an dieser Stelle falsche Hoffnungen gemacht; vielleicht waren die Forderungen nach einer Öffnung der NFC-Schnittstelle aber auch einfach nur verhandlungstaktisch geschickt (übrigens: Vielleicht stimmt ja auch beides …).
Was ist nun mit den anderen Banken?
Auf der Hand liegt, dass alle Banken ein Interesse daran haben, möglichst schnell möglichst viele Kunden an Apple Pay heranzuführen: Zum einen, weil kontaktlose Zahlungen einen Boom erlebt. Zum anderen, weil man ein bisschen mitverdient an der Transaktion. Vor allem aber, weil eine rasche Adaption digitaler Bezahlmöglichkeiten den Banken hilft, Kosten zu sparen, etwa in der Bargeld-Bereitstellung über Automaten beim Privatkunden. Retail-Banking-Experten glauben, dass der Ersparnis-Faktor den der potenziellen Erlöse deutlich überwiegt.
Fest dürfte stehen: Aus Sicht von Apple gilt 2020 als Jahr der Debitkarte. Die direkte Abbuchung vom Girokonto ist immer noch die bevorzugte Form der Kunden in Deutschland – und daran wird sich so bald auch nichts ändern.
Kommt nach dem Girocard-Apple-Pay-Durchbruch auch die Girocard fürs E-Commerce?
Kann sein. Zumindest ist (wenn auch sehr leise) zu hören, dass angeblich an Lösungen für eine E-Commerce-fähige Girocard gearbeitet werden soll. Sinn würde es fraglos machen. Auch (siehe oben) im Kontext von #DK. Heute und morgen ist mit einem Durchbruch auch an dieser Front aber sicherlich noch nicht zu rechnen. Im Fokus steht also erst einmal der physiche Point of Sale.
Im Wirecard-Skandal rückt nun auch die Rolle von Visa und Mastercard in den Fokus. Laut Recherchen von Finanz-Szene.de kam es im Binnenverhältnis zwischen dem Aschheimer Zahlungsdienstleister und den beiden weltweit agierenden Kreditkarten-Konzernen wiederholt zu Verwerfungen. Mindestens zweimal soll Wirecard angeblich sogar mit dem Entzug der Acquiring-Lizenz gedroht worden sein – zuletzt vor etwa fünf Jahren. Der Verlust dieser Zulassung hätte das Geschäftsmodell von Wirecard unterminiert und den späteren Aufstieg zum Dax-Konzern aller Wahrscheinlich nach verhindert. Weder Visa noch Mastercard wollten sich zu den Informationen konkret äußern. Wirecard, der Insolvenzverwalter und die Wirecard Bank lehnten einen Kommentar ab.
Tatsächlich ist Wirecards Aufstieg vom zwielichtigen E-Commerce-Startup zum zwischenzeitlichen Superstar der deutschen Digitalwirtschaft aufs Engste mit Visa und Mastercard verknüpft. Wer Kreditkarten an Endkunden aushändigen („Issuing“) oder Kreditkarten-Transaktionen für Einzelhändler abwickeln will („Acquiring“), braucht dafür die Lizenzen der beiden Karten-Schemes. Ursprünglich war der entsprechende Status vornehmlich Banken und bankennahmen Unternehmen vorbehalten. Erst als im Zuge der Digitalisierung immer mehr Technologie-Konzerne ins Payment-Geschäft vordrangen, erhielten auch Unternehmen wie der niederländische Wirecard-Rivale Adyen eine Acquiring-Lizenz.
Trotzdem verfügen selbst heutzutage nur wenige Unternehmen über die begehrte Zulassung. Bei Mastercard sind es hierzulande (siehe unsere Übersicht aus der vergangenen Woche) aktuell 14; bei Visa sollen es Branchenkennern zufolge ähnlich viele sein. Bezeichnend: Selbst etablierte Branchengrößen wie Heidelpay oder Computop sind keine Acquirer. Als „Payment Service Provider“ dürfen sie Händler lediglich an die Infrastrukturen der Karten-Schemes ankoppeln – aber keine Zahlungen im Sinne von echtem Acquiring abwickeln.
Umso bemerkenswerter, dass Wirecard (von Haus aus eigentlich auch nur ein „Payment Service Provider“) schon Mitte der Nullerjahre die Liaison mit Mastercard und Visa suchte. Im September 2005 verkündete das damals noch als „Wire Card AG“ firmierende Startup den Kauf der nahe Mönchengladbach beheimateten Xcom-Bank. Somit verfügten die Bayern plötzlich über eine Bafin-Lizenz. Eng verwoben mit der Übernahme von Xcom war der Erhalt der Acquiring-Lizenzen der beiden großen Schemes. So fand sich im 2006er-Geschäftsbericht der neuen Wirecard Bank AG unter Punkt „1.2.5. Kreditkarten-Acquiring“ der folgende Hinweis: „Die Wirecard Bank AG betätigte sich bereits sehr früh im Jahr 2006 mit dem Kreditkarten Akquiring, da hier große Synergieeffekte mit dem Wirecard Konzern bestehen. Als Principle Member von MasterCard und Visa […] hat sie alle Voraussetzungen erfüllt, um ihre Geschäftstätigkeit in diesem Bereich immer weiter auszubauen.“
Laut Finanz-Szene.de-Informationensollen der Lizenz-Erteilung an die Wirecard Bank AG sowohl bei Mastercard als auch bei Visa kontroverse interne Debatten vorausgegangen sein – schließlich hatte das Mutterunternehmen schon damals einen eher schillernden Ruf. Andererseits: Mit der Übernahme der Xcom-Bank war Wirecard nun ein Unternehmen, das sich freiwillig dem zumindest indirekten Zugriff der Bafin ausgesetzt hatte und dem daher ein gewisses Grundvertrauen entgegengebracht wurde. Das galt um so mehr, als dass die Finanzaufsicht bei Eigentümerwechseln von Banken immer sehr genau hinschaut.
Hinzu kam: Damals wie heute begegneten die Kreditkarten-Konzerne neuen Akteuren auf dem Payment-Markt mit grundsätzlichem Wohlwollen. „Natürlich haben Visa und Mastercard sehr früh antizipiert, dass sich das Endkundengeschäft im Zahlungsverkehr von den klassischen Banken wegzubewegen beginnt“, erklärt ein Branchenkenner. „In diesem Kontext galt auch Wirecard – zum Beispiel im Bereich Prepaidkarten – als innovativer und damit potenziell lukrativer neuer Geschäftspartner.“
Insider-Schilderungen zufolge soll den beiden Kreditkarten-Konzernen allerdings recht bald geschwant haben, dass sie sich nicht nur auf einen lukrativen, sondern auch auf einen schwierigen neuen Partner eingelassen hatten. Angeblich machten in der Payment-Branche damals Berichte die Runde, Wirecard betreibe nicht nur in Europa, sondern auch in Teilen Asiens lizenzpflichtiges Kartengeschäft – obwohl die Zulassungen von Visa und Mastercard hierfür gar nicht galten. Die gerade erst geschlossenen neuen Bündnisses sollen deshalb gleich wieder auf der Kippe gestanden haben. Auch hierzu will sich keines der genannten Unternehmen äußern.
Indes: Den Darstellungen zufolge gelang es Wirecard angeblich, die Karten-Schemes nach dem ersten großen Ärger bald auch wieder zu besänftigen – ein Muster, das sich von da an wie ein roter Faden durch die Beziehungen zwischen dem deutschen Payment-Parvenü und den beiden Weltkonzernen gezogen haben soll.
Tatsächlich sollen die Spannungen den Insidern zufolge mit den Jahren so etwas wie strukturellen Charakter bekommen haben. Die Spezialität von Wirecard lag immer im E-Commerce-Handel und damit in einem Umfeld, in dem die Übergänge zwischen normalen „High Risk“-Transaktionen (etwa im Airline- und Tourismusbereich) und umstrittenem Graugeschäft (z.B. Online-Gambling oder CFD-Wertpapierhandel) fließend sind. Nach allem, was man weiß, war Wirecard auf beiden Seiten der imaginären Trennlinie unterwegs. Offenbar selbst dann noch, als sich der Aufstieg in den Dax bereits abzuzeichnen begann.
So berichtete die „Financial Times“ (Paywall) kürzlich unter Berufung auf interne Unterlagen, zu den wichtigsten Wirecard-Kunden im Geschäftsjahr 2017 hätten die beiden zypriotischen Onlinebroker Rodeler und Hoch Capital gehört; lukrativ sei auch ein Portfolio an Pornoseiten-Kunden mit Margen von rund 15% gewesen. Jedenfalls: Da es in der Natur einer Kreditkarten-Transaktion liegt, dass das Geld von den Schemes zum Acquirer fließt, bevor der es von dort dann beim Händler landet, darf man davon auszugehen, dass Visa und Mastercard in all den Jahren zumindest eine grobe Vorstellung davon gehabt haben könnten, was Wirecard da eigentlich trieb.
Um zu verstehen, wie mit dem Fall umgegangen worden sein soll, muss man sich noch einmal ganz kurz vor Augen führen, welchem Akteur im Kartengeschäft welche Rolle zukommt und wer deshalb welchen Motiven folgt:
Der Händler will seine Produkte einer möglichst großen Zahl potenzieller Kunden zugänglich machen – und er will bezahlt werden. Kreditkarten sind darum insbesondere im Online-Handel (und zumal im grenzüberschreitenden Online-Handel) ein Mittel der Wahl
Visa und Mastercard streben nach einer möglichst großen Zahl an angeschlossenen Händlern und damit nach möglichst vielen Transaktionen – allerdings bei zugleich möglichst wenigen „Ausfällen“ (sprich: Reklamationen und Chargebacks)
Da Visa und Mastercard aber nicht jeden einzelnen Händler überprüfen wollen, schalten sie weltweit hunderte, wenn nicht tausende von Acquirern zwischen, die als „Akzeptanzstelle“ des Händlers für dessen Seriosität bürgen sollen.
Gerade im Online-Handel ist die Rolle des Acquirers essentiell. Denn anders als am Point of Sale nimmt der Endkunde die Ware nicht gleich in Empfang. Sondern: Er setzt die Kreditkarten-Zahlung in Gang im Vertrauen darauf, dass die Ware, die er bestellt hat, auch tatsächlich bei ihm ankommt (wobei es natürlich nicht nur um „physische“ Waren geht, sondern zum Beispiel auch um das Settlement einer CFD-Transaktion). Der Acquirer muss also – salopp gesagt – darauf achten, dass er nicht an die falschen Händler gerät. Schließlich ist er ja der Bürge gegenüber den Kreditkarten-Organisationen
Obwohl Visa und Mastercard das unmittelbare Risiko also an Acquirer wie Wirecard auslagern, haben sie trotzdem ein vitales Interesse, die Zahl der Ausfälle zu begrenzen. Schließlich soll das „Zahlungsmittel Kreditkarte“ nicht in Misskredit geraten. Daher beschäftigen die beiden Schemes ganze Heerscharen von „Fraud“- und „Risk“-Experten, die auf Basis der erhobenen Transaktionsdaten untersuchen, bei welchen Acquirern sich auffällige Muster ergeben und vorgegebene Schwellenwerte regelmäßig überschritten werden.
Schlagen die internen Warnsysteme ein bisschen zu oft an, dann setzen sich die Karten-Schemes mit den betreffenden Zahlungsdienstleister ins Benehmen. Wobei die grundsätzliche Annahme gilt: Der Acquirer hat keine grundsätzlich anderen Interessen als wir. Auch er will Chargebacks und Reklamationen begrenzen. Vielleicht müssen wir ihm einfach daher nur helfen, bei der Auswahl und dem Tracking seiner „Merchants“ besser zu werden.
Freilich: Das mit der Auswahl und dem Tracking der „Merchants“ ist so eine Sache. Denn so richtig, richtig Marge wird im Acquiring-Business natürlich nicht mit den Aldis und Media-Markts dieser Welt gemacht. Sondern: Mit finanziell angeschlagenen Airlines. Mit zweifelhaften Händlern aller Art. Mit zypriotischen CFD-Spezialisten. Mit Online-Gambling-Anbieterrn auf Gibraltar. Mit Porno. Sprich: Gerade für Zahlungsabwickler, die über die Marge kommen und nicht über die Masse, liegt die Versuchung, nicht nur Triple-A-Händler anzubinden, auf der Hand. Was unstrittig ist: Die Margen von Wirecard waren im Konkurrenzvergleich unnatürlich hoch; zeitweise machten die Aschheimer ausweislich ihrer Bilanz sogar viermal (!) so viel Marge wie der europäische Hauptkonkurrent Adyen.
Nun muss man mit Behauptungen vorsichtig sein. Aber nach allem, was wir aus dem Umfeld der Kreditkarten-Organisationen hören, muss Wirecard über Jahre hinweg zu den Playern im Markt gehört haben, die die Grenzen zum Graugeschäft regelmäßig und wohl auch sehr bewusst ausloteten. Was den Umgang noch erschwert haben soll: Als Anbieter einer großen „Payment Service Provider“-Plattform war es Wirecard möglich, mit verschiedenen Acquirern (und also nicht nur mit sich selbst) zusammenzuarbeiten. In der Theorie scheint deshalb denkbar, das risikoreiche Händlergeschäft so zu verteilen, dass die eigenen Warnlampen bei Visa und Mastercard nicht ganz so häufig anschlagen wie es sonst der Fall gewesen wäre.
Und in der Praxis? Soll das durchaus vorgekommen sein, sagt einer der Insider. Visa und Mastercard wollten sich zu dieser wie auch zu allen anderen konkret auf Wirecard bezogenen Fragen nicht äußern. Mastercard teilte mit: „Bitte haben Sie Veständnis, dass wir uns nicht zu den Details der Zusammenarbeit mit einzelnen Kunden äußern oder Aussagen von anonymen Quellen kommentieren.“ Vonseiten Visas hieß es unter anderem (die komplette Stellungnahme finden Sie am Ende des Artikels*): „Wir wickeln Milliarden von Zahlungen ab. Dies geschieht sicher und zuverlässig, sowie immer im Einklang mit den lokalen Gesetzen und Vorschriften von mehr als 220 Ländern und Regionen.“
Jedenfalls: So wie Wirecard auf seiner Klaviatur gespielt haben soll, so soll auf der anderen Seite speziell Visa (aufgrund der früheren und stärkeren Fokussierung aufs E-Commerce dürfte Visa mehr Geschäft mit Wirecard gemacht haben als Mastercard) diverse Register gezogen haben. So seien bald nicht mehr nur Warnungen ausgesprochen, sondern angeblich auch Sicherheitseinbehalte („Safeguards“) drastisch erhöht und angeblich sogar saftige Strafen verhängt worden. Gerüchten zufolge sollen sich die sogenannten „Penalties“ in manchen Jahren auf angeblich deutlich siebenstellige Summen summiert haben. Einen schriftlichen Beleg hierfür haben wir nicht. Im 2018er-Geschäftbericht der Wirecard Bank AG findet sich unter den „Operationellen Risiken“ lediglich folgender Satz:
„Risiken aus Lizenzverträgen: bestehen in der Reaktion der Kreditkartenorganisationen auf ein unerwünschtes Verhalten der Wirecard Bank AG und/oder ihrer Kunden in Form einer Strafzahlung oder dem Verlust der Lizenz“
Tatsächlich soll besagter „Verlust der Lizenz“ – genau wie in den Nullerjahren – auch noch einmal sehr konkret gedroht haben, als Wirecard längst zu einem Konzern mit Milliardenbewertung herangewachsen war. Doch auch diesmal habe das Unternehmen den Super-GAU abwenden können, heißt es. Tatsächlich sei das Verhältnis in der Folgezeit ein entspannteres gewesen. Wie gehabt: Auch hierzu kein konkreter Kommentar der beteiligten Unternehmen.
Haben Visa und Mastercard mehr gewusst als andere? Hätten Sie den unglückseligen Aufstieg Wirecards stoppen können? Solche Fragen sind leicht aufzuwerfen – aber schwierig zu beantworten. Denn für den Blick, den Visa und Mastercard auf Wirecard hatten, gilt zunächst einmal dasselbe, was auch für Aufseher, Analysten oder Investoren gilt: Wirecard war ein gefeiertes Unternehmen. Wirecard erhielt Jahr für Jahr ein Testat für seinen Geschäftsbericht. Und bei allem „Fake“, der dieser Tage ruchbar wird: Wirecard hatte ja zweifelsohne auch real existierendes Geschäft und namhafte Kunden wie auf Händlerseite beispielsweise Aldi.
Zur Wahrheit gehört freilich auch: Visa und Mastercard dürften mit Wirecard ordentlich verdient haben. Branchenkenner gehen über die Jahres gerechnet von Erträgen in signifikant zweistelliger, vielleicht sogar niedriger dreistelliger Millionenhöhe aus.
*Die Stellungnahme von Visa:
„Es ist schon immer das Ziel von Visa, Zahlungsdienstleistungen weltweit verfügbar zu machen – vorausgesetzt, der Verkauf eines bestimmten Produkts oder einer bestimmten Dienstleistung ist legal. Wir wickeln Milliarden von Zahlungen ab. Dies geschieht sicher und zuverlässig, sowie immer im Einklang mit den lokalen Gesetzen und Vorschriften von mehr als 220 Ländern und Regionen. Die Visa Regeln verlangen von allen Visa Mitgliedern die Einhaltung aller für sie geltenden Gesetze. Visa nimmt die Einhaltung der Gesetze sehr ernst. Hält ein Visa Mitglied das geltende Recht und die Visa Regeln nicht ein, kann das zu Maßnahmen zum Schutz des Visa Systems sowie unseren weiteren Mitgliedern, Verbrauchern und Händlern führen. Das kann auch eine „Non Compliance“-Bewertung und – schlussendlich – die Kündigung der Kooperation mit Visa beinhalten. Wir bitten um Verständnis, dass wir uns nicht öffentlich zu spezifischen Compliance-Maßnahmen in Bezug auf einzelne Kunden äußern.
Blog » It may not be possible for us to ever reach empirical definitions of "good code" or "clean code", which means that any one person's opinion about another person's opinions about "clean code" are necessarily highly subjective. I cannot review Robert C. Martin's 2008 book Clean Code from your perspective, only mine.
That said, the major problem I have with Clean Code is that a lot of the example code in the book is just dreadful.
*
In chapter 3, "Functions", Martin gives a variety of advice for writing functions well. Probably the strongest single piece of advice in this chapter is that functions should not mix levels of abstraction; they should not perform both high-level and low-level tasks, because this is confusing and muddles the function's responsibility. There's other valid stuff in this chapter: Martin says that function names should be descriptive, and consistent, and should be verb phrases, and should be chosen carefully. He says that functions should do exactly one th...
Apple, Amazon, Microsoft, Google, Facebook, Twitter, Netflix, Uber, Alibaba, Samsung, Huawei, Xiaomi, Baidu... Ninguna de las grandes tecnológicas mundiales se ha gestado en Europa, salvo honrosas excepciones como el fabricante alemán de software corporativo SAP y el gigante sueco del streaming musical Spotify. ¿Por qué ocurre esto?
Wer WhatsApp oder Facebook nutze, könne bedenkenlos auch die Corona-Warn-App installieren, tönt es durchs Netz – das stimmt zwar vielleicht trotz der Bedenken um Einlasskontrollen, ist aber dennoch kein gutes Argument.
Einige Schlaumeier erklären uns gerade, wer WhatsApp et al. nutze, könne getrost auch die Corona-Warn-App installieren oder wer angesichts der Corona-Warn-App Überwachungsangst verspüre, müsse konsequenterweise auch auf WhatsApp et al. verzichten. Hier zum Beispiel:
und da und dort. Das ist nett gemeint, führt jedoch nicht weit, denn es handelt sich um eine widersprüchliche Doppelbotschaft. Ihre Adressaten sollen entweder die Harmlosigkeit der Corona-Warn-App anerkennen und dann auch WhatsApp benutzen dürfen, oder sie sollen die Gefährlichkeit von WhatsApp anerkennen und dann auf beide verzichten. Unausgesprochen, weil sie nicht so gut ins Argument passt, bleibt die Option, die Corona-Warn-App zu nutzen, WhatsApp jedoch nicht.
Formallogisch scheint zunächst alles in Ordnung. Es handelt sich um die Implikation: „wenn WhatsApp dann Corona-Warn-App“. Widersprüche tun sich erst beim Versuch auf, den so als falsch deklarierten Fall zu rechtfertigen, dass jemand WhatsApp nutzt, aber die Corona-Warn-App ablehnt. Das geht, aber man muss dazu diese Implikation zurückweisen. Mehrere Möglichkeiten bieten sich an.
Man könnte trotzig antworten, man wolle halt das eine und das andere nicht. Dabei stünde man immerhin mit beiden Beinen fest auf dem Boden der informationellen Selbstbestimmung, die genau diese Entscheidungsfreiheit gewährt und keine Begründung verlangt. Gehört man selbst nicht zur Gruppe derjenigen, die WhatsApp nutzen, aber die Corona-Warn-App ablehnen, könnte man auch mit der empirisch-statistischen Frage antworten, ob die angesprochene Gruppe überhaupt in einem nennenswerten Umfang existiere. Möglicherweise sind die meisten Aluhutträger tatsächlich so konsequent, auch einen anderen Messenger als WhatsApp einzusetzen, oder tragen ihren Aluhut erst, seit sie Telegram für sich entdeckt haben.
Man könnte auch analytisch antworten, die Verengung auf das Merkmal Datenschutz sei unangemessen, In Wirklichkeit handele es sich um eine mehrdimensionale Kosten-Nutzen- und Risiko-Nutzen-Abwägung, welche in diesem Fall so und in jenem anders ausfalle. Schließlich verspricht WhatsApp einen erheblichen persönlichen Vorteil, während der Nutzen der Corona-Warn-App vorwiegend als externer Effekt in der Gesellschaft eintritt.
Wer dezente Gemeinheit nicht scheut, kann zu guter Letzt auch sein Gegenüber im eigenen Argument einwickeln: Man habe jetzt jahrelang immer wieder die Gefahren von WhatsApp gepredigt, ohne dass viel passiert sein – wo solle nun die Glaubwürdigkeit herkommen, zumal man über die Corona-Warn-App auch noch das genaue Gegenteil sage? Oder anders verpackt in Abwandlung des gestrigen Tagesthemen-Kommentars:
„Diejenigen, die die App kategorisch empfehlen, weil sie zu Recht keine Gefahren befürchten, sollten bitte auch mal kurz prüfen, ob sie WhatsApp oder Facebook ablehnen.“
Wendet das Gegenüber daraufhin ein, dies sei doch etwas völlig anderes, nickt man nur noch andächtig und sagt: „Genau.“ Wer mag, kann noch einen Treffer landen mit der Frage, wieso angesichts der Corona-Warn-App jetzt auf einmal die Gefahr und die (Un-)Zulässigkeit von Einlasskontrollen anhand der App diskutiert werde, während WhatsApp über ein Jahrzehnt nie jemanden auf diese Idee gebracht habe.
Nein, dass jemand WhatsApp nutzt, ist kein gutes Argument dafür, auch die Corona-Warn-App zu nutzen. Dass viele Menschen WhatsApp nutzen, ohne sich große Sorgen zu machen und wohl auch, ohne objektive Nachteile aufgrund mangelnden Datenschutzes zu erleiden oder zu verursachen, sollte uns hingegen Anlass sein, unser Verständnis und unsere Prioritäten nachzujustieren. WhatsApp und andere zeigen, dass Erfolg auch gegen die Kritik der Datenschützer möglich ist. Die Corona-Warn-App wird uns zeigen, wo die Grenzen mit dem Segen der Datenschützer liegen. Statt Populismus zu betreiben, sollten wir uns mehr mit den tatsächlichen, vieldimensionalen Erfolgsvoraussetzungen von Anwendungen beschäftigen und mit den Gestaltungsprozessen, die Anforderungen erkunden, abwägen und umsetzen.
Pünktlich zum Start der Corona-Warn-App meldet sich der Vorstand des VZBV und warnt davor, „dass Restaurants, Geschäfte oder Flughäfen die Freiwilligkeit der App faktisch aushöhlen, indem sie nur App-Nutzern Zutritt gewähren“. Er hält diese Gefahr für real, doch das ist sie nicht.
Die App-Nutzung zu kontrollieren und daraufhin Kundinnen den Zutritt zu verweigern, ergibt nämlich für Unternehmen keinen Sinn. Solche Kontrollen kosteten doppelt Geld, einmal für die Arbeitszeit der Kontrolleure und einmal in Form verlorener Umsätze der abgewiesenen Kunden. Dem steht kein messbarer Nutzen des Unternehmens gegenüber. Selbst wenn man rein hypothetisch annähme, bei Infektionsfällen im Unternehmen drohe eine vorübergehende Betriebsschließung, bliebe dieses Risiko gering. Zum einen bleiben die Infektionszahlen und damit auch das mittlere Ansteckungsrisiko gering. Maßnahmen zur Pandemiebekämpfung zielen darauf, diesen Zustand zu erhalten. Zum anderen ist bei größeren Unternehmen auch ein Betrieb nicht dasselbe wie das Unternehmen, ein Supermarkt keine Supermarktkette. Doch schon bei Kleinunternehmen stellt sich die Frage: Was hätten etwa die darbenden Gastronomen davon, noch zusätzlich Gäste abzuweisen?
Realistischer erscheinen Kontrollen dort, wo Kontrollen ohne besonderen Aufwand praktikabel sind und Zutrittsbeschränkungen keinen Einfluss aufs Geschäft haben. Dies gilt zum Beispiel für Besuche in Krankenhäusern und Pflegeheimen. Auch hier stellt sich jedoch die Frage nach dem Nutzen. Das bloße Vorhandensein der App auf einem Smartphone sagt wenig aus und selbst der Warnstatus filtert nur diejenigen heraus, die unterwegs gewarnt wurden und es noch nicht bemerkt haben.
Eigentlich gehört das Kontrollszenario auch gar nicht zur Corona-Warn-App, sondern zu den zeitweise diskutierten Immunitätsnachweisen. Dort gehört die Kontrolle zum Konzept, sonst sind sie nutzlos, und die Frage ist berechtigt, unter welchen Bedingungen man sie ausnahmsweise zulassen möchte. Dies ist jedoch kein App-Problem.
The Sonatype 2020 DevSecOps Community Survey is a really interesting report. Most interesting to me is the importance of effective communication, with both tools and human communication in developer happiness.
But even more important is my belief that to reach developers Star Wars is better than Star Trek is confirmed. No bias there.
There are many praise-worthy aspects of this report, starting from the amazing lack of hyperbole, and the focus on facts, rather than opinions. The extraordinary lack of adjectives is particularly refreshing, as is the presence of explanations for the conclusions drawn. (“This conclusion is based on the threat actor’s use of shared attachment macros, malware installation techniques, and overlapping delivery infrastructure.”)
But most important to me is the clear and detailed exposition of how the attack itself worked. Proofpoint shared both sample emails, showing the human-level hooks, and the way the attacks worked (“Microsoft Word documents with malicious macros…the FlowCloud macro used privacy enhanced mail (“.pem”) files which were subsequently renamed to the text file “pense1.txt”. This file is next saved as a portable executable file named “gup.exe” and executed using a version of the certutil.exe tool named “Temptcm.tmp”.)
This is important because, as a defender focused on building products, I can use these details to conceptualize defenses. For example, we can see in their figure 6 the use of cmd. Perhaps we could block the use of cmd from macros, or require that the files executed be in certain locations? The malware copies certutil into %tmp% (I am unsure why.) Perhaps we could block execution of code in %tmp% (and %downloads%, while we’re at it.) Perhaps we could block the renaming of files? That appears hard – once we can run arbitrary commands, there are a plethora of confusable deputies. Perhaps we could prevent anything inside a macro from making a file executable?
These models of the malicious acts and models of defense can be considered both for these details or other attacks. We might look at these attacks and their common features as we design new defenses. All too often, we only talk about what the malware does after it gets the ability to run code, not how it gets there. (For example, what we see in their Figure 9 is often Figure 1 or 2.) And while that’s useful to the anti-malware community, more detail of the attacks help us design better defenses.
Very nice work by Michael Raggi, Dennis Schwarz, and Georgi Mladenov.
Die Corona-Warn-App soll ab Dienstag nutzbar sein. Der Bundesdatenschutzbeauftragte hält sie für solide, der TÜV für stabil und sicher (ähm*) und Fabian A. Scherschel ist für Heise Online beeindruckt. Kanzleramtschef Braun meint rückblickend, man hätte die Entwickler ein paar Tage früher beauftragen sollen; die auch zeitliche Abhängigkeit von Apple und Google hätte das freilich nicht beseitigt. Die Entwicklung kostet 20 Millionen Euro, umgerechnet etwa zwei Kilometer Autobahn in einfachem Gelände, und soll auch nach dem Veröffentlichungstermin weitergehen. Als – überwindbares – Hindernis erweist sich die bisher schleppend verlaufene Vernetzung des Gesundheitswesens.
Alexander Roßnagel hält den Datenschutz der Corona-Warn-App für beispielgebend, fordert aber dennoch weiter ein Gesetz zur Regelung jener Fragen, die sich jenseits des Datenschutz-Horizonts aufdrängen. Ein Teilproblem hat das Bundesgesundheitsministerium mittlerweile per Verordnung gelöst: Anspruch auf einen kostenlosen Test hat man jetzt auch nach einer Warnung durch die App und schon bevor Symptome auftreten.
Nach einer nicht repräsentativen Twitter-Umfrage von Malte Engeler würde jeweils etwa ein Drittel der Befragten die Corona-Warn-App auch ohne Begleitgesetz, nur mit Begleitgesetz beziehungsweise auf gar keinen Fall installieren.
Seit April verbreitet sich das Mem, wenigstens 60% der Bevölkerung müssten eine App zur Kontaktverfolgung nutzen, damit sie einen Nutzen habe. Dem widersprechen nun die Autoren der Studie, auf die diese Angabe zurückgeht. Auch bei geringeren Akzaptanzraten sei die Kontaktverfolgung per App nützlich, die Angabe 60% habe ein Eigenleben als Mem entwickelt.
In Nordrhein-Westfalen können nach Angaben des WDR drei Millionen Menschen die Corona-Warn-App nicht nutzen, das ist ein Sechstel der Bevölkerung.
Das Schweizer Parlament hat eine Rechtsgrundlage für den Einsatz der dortigen App geschaffen. Die App selbst lässt noch auf sich warten, sie soll Ende des Monats zur Verfügung stehen.
Die französische App StopCovid fand in den ersten vier Tagen nach ihrer Veröffentlichung eine Million Nutzer.
Eine ganz andere Form der Kontaktverfolgung demonstriert El País und rekonstruiert minutiös drei Virusverbreitungsereignisse in einem Großraumbüro, einem Restaurant sowie in einem Reisebus.
Für die Erfassung von Kontaktdaten in Restaurants bietet das amerikanische Unternehmen 360 Virtual Experts eine Lösung, bei der die Gäste keine App installieren müssen. Stattdessen werden sie per QR-Code auf eine Website geschickt, wo sie ihre Daten eintragen können. So ähnlich soll wohl darfichrein.de funktionieren, aber das wird weder aus der Website noch aus der Demo so recht klar. Fertiger wirkt Miss Racoon aus dem Taunus.
*) Den TÜV gibt es gar nicht und das mit dem Damm in Brasilien war ein anderer.
Die offizielle Corona-Warn-App von SAP und Telekom ist fast fertig. Im Vorfeld veröffentlichten die Entwickler Dokumentationen zur App und der Risikobewertung.
Are you a Developer and understand (Micro-) Services? I am a database person and a bit simple, and I have a genuine Question:
When moving to a services architecture, where do the JOINs go?
I gave the following context:
A simple shop
So you sell stuff, that is, you have an orders table o with an oid, which stores a customer id cid from a customersc table, and an article id aid, from an articles table a and a count cnt.
-- customer 17 ordered 3 45's
? SELECT o.cnt, a.aid
> FROM o JOIN c ON o.cid = o.cid
> JOIN a ON o.aid = a.aid
> WHERE c.cid = 17
= 3 45
When moving to services because you are a multibillion dollar enterprise, your customers, orders and articles can no longer fit into a single database, and there are other reasons to have an OrderService, CustomerService and ArticleService. You still want to ask something (OrderService?) about the number of 45’s that 17 ordered.
Who do you ask? What does this do to connect the dots? How do you do reporting (“Show me all top 10 articles by country, zipcode digit 1 by week over the last 52 weeks”)?
So you reimplement join algorithms by hand in application code? Are there supporting tools? Do you reimplement data warehousing aggregations, too? If so, what tooling for reporting does exist, and how does that compare to eg existing tooling for data warehousing?
I got… lots of answers, but now have even more questions.
Usually they go into application code. You have to design the services to minimize the joins. Also, microservices often keep read-only copies of other data to minimize joins.
For reporting, you could have a big analytics DB that does the joins.
In your example, the order service might copy some details from the product service to know what’s shipped, and the customer name + address. These copies are read-only, and stay with the order even if the shipping addresses changes in the main customer service.
This is actually what a proper order application in a traditional database would do as well:
The order table most likely would be an orderlog table, and we would record not only the aid (keep the link to the source article) and cid, but would make copies of the price at the time of sale, the time of sale timestamp, and the address at the time of sale or the actual shipping address. Entries in the orderlog would stay there until fulfillment and maybe payment, and then can go from the OLTP system. We would also immediately emit a copy of the data that goes to our data warehouse as part of some kind of ETL setup.
There are multiple good things about this, which is why we are doing it like this in relational systems as well:
The OrderService can handle the order from all the data in the one single order event, because it contains all the relevant information for the most common purpose, fulfillment.
This is most likely also all the information that we would put into the Event that feeds the data warehouse.
Doing things this way keeps the size of our OLTP system bounded (for the same number of customers, articles and active orders, over an infinite amount of time, the system does not grow). The data lifecycle in the OLTP system is complete and we do not accrete an infinite amount of data - Data Warehouses do grow infinitely unless you drop after x years, OLTP system must not grow infinitely and if they do, they do contain a small DWH that struggles to get out.
Anyway:
To map this onto a services design, we do ask the CustomerService and the ArticleService at the time of sale for the data necessary to make an order, and this is done by OrderService. These are two point lookups, and that is probably an okay thing to do manually at the application level. We also emit a pre-joined hierarchical structure equivalent to the orderlog entry (maybe some JSON?) onto an event bus (maybe a Kafka?) where it is consumed by other services.
These event stream consumers work as materialization engines: They do have state, and modify it whenever they consume a relevant event. For example, we could have a continous query running in some engine that builds the aggregation I asked about from a stream:
Show me all top 10 articles by country, zipcode digit 1 by week over the last 52 weeks
This reads almost directly like an Influx query. So this is a thing that you can answer from a stream.
If you have questions that arise at a later point in time, things become complicated without an image, though, because you are missing the start value. So the only option would be to start back in time at the big bang, and replay the event log for that new query, or to cut off at some other point in time and not have older data where possible.
For aggregations over intervals like in the example query above that is entirely possible: We work over individual weeks, going back a year and we either have data for older weeks or not. If not, we can still accurately determine weekly aggregates for newer weeks, because they are independent of each other.
For absolutes, totals and other sequentially dependent values you need some kind of calibration, if you can’t go back to the big bang - “how many 45’s did we ever sell” or “how much did 17 ever buy” can only be answered accurately if you have all the logs and the time to replay them from scratch. This quickly gets out of hand.
And there is the problem that I still see (or not quite understand wrt to CQRS):
So if a service does not reign over a set of data, but it’s supposedly the authoritative data source for a thing where multiple copies can exist - how do you validate?
The authoritative source of the data is the event stream.
I will have to check out the linked talk. I think I get hung up because this is what databases do:
A database is a giant global persistent variable with a network interface. Datadir is full of schemas is full of tables is full of rows has multiple fields. We can stop all traffic to the database and make an image. That’s a backup.
We make changes to the database using grouped data modification language: transactions. Transactions are recorded in the binlog. We record and keep the binlog, and also the backups (and the binlog position we took the backups at).
We can roll back to an earlier image, and then replay the binlog to move forward again in time at will, but this is bounded in time (and disk space) by the amount of binlog we keep. So if we store backups and binlogs for 7 days, we can go back 7 days and roll forward again.
In a MySQL database with row based replication, the actual row events are even idempotent. We record “set x = 10”, not “x = x + 1”. We still can’t replay old binlogs over a newer image without constraints (this is a different discussion), but it does make things a lot more robust.
In fact, with RBR the actual row events with full row images are even reversible: we do not only get “set x = 10”, we do get “set x from 9 to 10”, and if the log were pure we could play it backwards and walk back in time step by step (this fails in reality in the general case, but again this is a different discussion).
So if you think of the database as a giant global variable that is modified in transactions, and as the binlog as a recording of these transactions in ideally reversible notation, then we can think of a services system as “that binlog on an event bus”, and as each of these services as a thing that builds materialized views (projections) of fragments of the total database and the total globalized state is gone, because it has become too big to maintain (We will see about that in a second).
But: You cannot realistically keep the log an indefinite amount of time. And even if you did, you cannot replay it from the Big Bang, because your recovery time would be unbounded. So there must be backups (images) associated with positions in the event stream, that allow individual services to reset and replay themselves. Or you demand that all questions are always sequentially independent and over fixed time windows so they can be starting up in the middle of an ongoing stream. Maybe that is even a reasonable restriction, it is in any case a useful classification for types of queries on a stream.
But there is also the problem of complicance/correctness/synchronisation: How do you show that for every event in your orderlog there is also an entry in the payment service that matches the order? Probably with some event reader that consumes both types of events, orders and payments. It would have to match one up with the other or alert if some order is being maintained as active for too long without finding a matching payment.
At some point in the evening I got into a chat with a colleague:
L> You asked:
Where do the Joins go?
To the JoinDataService, obviously.
Aka “Data Lake”.
aka The Data Monolith that secretly underpins all the service shit.
He’s not wrong. The Hadoop in the end is the global state where all the events get joined together again and it produces a giant global image of the current and all past states. That is why the big data is big (and you can go back to the big bang, it just eats Megawatthours to do so.)
At some point I was like:
K> I get the feeling that the answer is “we are looking at each event in a self-contained fashion. One event is one Transaction.”
So an order event is self-contained and does not need to refer to other orders or other facts.
It contains all data necessary to fulfull the order. It also means “Fuck you, reporting.”
And that is where your data lake comes in.
L> I wasn’t kidding.
K> “Why is it called data lake?” “Because this is where we drown our problems in hardware and petabytes”
Unfortunately, book keeping is stateful and cannot look at individual orders, it is all about aggregation.
I also get the feeling that is where the blockchain bros come in.
“by turning your event stream into a sequence of chained and signed blocks you get guarantees of losslessness”
L> Blockchain == storage.
K> Ok, that’s a Merkle tree then, it needs a wasteful PoW to become a real blockchain. And we have plenty of successful Merkle Trees, git, zfs and so on, just zero successful Blockchains, so it is useful to make this distinction.
…
L> There will always be two things: state and changes to state.
Unless every change contains the entire previous state, or changes are distributed guaranteed, there is risk of diversion.
K> So this is also a question I have about Blockch… Merkle trees. You can spot holes. How do you heal them?
L> Perhaps every change could contain hash of previous state, but that only helps detect diversion, not solve it.
K> Yes, that is the merkle tree thing. Well, it is tree-dimensional and time-dimensional. you have the data structure itself, checksummed, and you have the stream of changes, also checksummed.
L> Now. The obvious solution is detect then replay. But this poses two new problems. 1) what state do we trust enough to start from. 2) where do we replay changes from.
K> In blockchains this is a voting problem. In git and the Linux kernel, this is literally Linus day job.
…
L> Right. Snapshot and replay from there. Like I said.
K> Yes. I do believe it does not get more complicated than mysql binlogs and binlog positions, but with JSON as a REST service.
Gaia-X soll der Chuck Norris unter den Clouds – nein, das passt nicht, zu wenig europäische Werte. Gaia-X soll die Abteilung für Informationswiederbeschaffung unter den Clouds werden, der Goldstandard, die digitale Mondrakete. Wäre Elon Musk Europäer, hätte er statt eines Tesla Gaia-X ins All geschossen. Gaia-X war einziger Teilnehmer eines Wettbewerbs der Agentur für Sprunginnovation und schloss diesen mit einem überdurchschnittlichen Ergebnis ab. Gaia-X heilt Krebs. Chatbots werden mit Gaia-X zu geistreichen Gesprächspartnern. Gaia-X wird alle Versionen des Trolley-Problems in einem Tweet lösen. Gaia-X transzendiert Raum, Zeit, Rechenzentren und Unternehmen. Gaia-X läuft nicht in der Cloud, sondern die Cloud läuft in Gaia-X. Gaia-X braucht kein Geschäftsmodell, sondern Geschäftsmodelle brauchen Gaia-X. Amazon kauft bei Gaia-X ein. Uber lässt sich von Gaia-X ein Taxi rufen. Gaia-X sitzt in den Aufsichtsräten aller europäischen Internet-Konzerne. Mit Gaia-X wird Deutschland E-Government-Weltmeister. Die Büros von Gaia-X arbeiten papierlos. Gaia-X hatte seine Corona-App schon vor der Schweinegrippe fertig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder empfiehlt Videokonferenzen per Gaia-X als Alternative zur Briefpost.
PS (2020-06-11): Die Fortsetzung gibt’s häppchenweise bei Twitter.
Datenschutz gilt im Zusammenhang mit der Corona-Warn-App als überragend wichtig. Zugleich zeigt er jedoch gerade daran seine Grenzen.
Im engeren Sinn steht Datenschutz für Maßnahmen, die informationelle Selbstbestimmung ermöglichen. Mit einigen Ausnahmen soll jede selbst entscheiden dürfen, wer was über sie erfährt und zu welchen Zwecken ihre personenbezogenen Daten verwendet werden. Aus dieser klassischen Perspektive geht es vor allem um die Zugriffs- und Verwendungskontrolle von Daten. Der moderne europäische Datenschutz vertritt dagegen einen umfassenderen Anspruch und möchte allgemein Gefahren für die Rechte und Freiheiten natürlicher Personen durch die Datenverarbeitung abwehren. An Grenzen stößt er, wo nicht mehr das zentralisierte Sammeln und Auswerten von Daten die Auswirkungen des Technikeinsatzes bestimmt, Begriffe und Werkzeuge aber auf Daten fokussiert und damit der engen Sicht verhaftet bleiben.
Persönliche Geräte und ihre Anwendungen wie aktuell die Corona-Warn-App sind so ein Fall. Sie begleiten uns überallhin und interagieren mit uns, nicht nur reaktiv als benutzergesteuerte Geräte, sondern auch aktiv mit Nachrichten und Aufforderungen. Die Corona-Warn-App hat sogar ausdrücklich zum Ziel das Verhalten ihrer Benutzerinnen und Benutzer zu beeinflussen, denn diese sollen sich auf eine Nachricht der App hin in Quarantäne begeben. Eine auf den „Spion in der Tasche“ und mögliche Missbräuche zentraler Datensammlungen reduzierte Betrachtung wird den daraus resultierenden Fragen und Problemen nicht gerecht.
Der unnötigen zentralen Aufbewahrung personenbezogener Daten und dem Missbrauch zentral vorliegender Daten schieben die Corona-Warn-App und die zugrundeliegenden Plattformmechanismen von Apple und Google einen effektiven Riegel vor. Nur im Fall einer nachgewiesenen Infektion erhalten die zentralen Server überhaupt Informationen und dann nur über praktisch anonyme Kontakte der infizierten Person in einem begrenzten Zeitraum. Zur Massenüberwachung taugt das System daher kaum, weil dafür geeignete Daten gar nicht in ausreichendem Umfang anfallen.
Dieses Zugeständnis an den Datenschutz fällt leicht, denn das Wirkprinzip der Corona-Warn-App beruht eben nicht auf Überwachung, sondern auf gezielt übermittelten Verhaltensmaßregeln. Zu ihrer näheren Verwandtschaft gehören nicht Überwachungskameras, Datenbanken und die Rasterfahndung, sondern das Microtargeting der Online-Werbung und die Prompts, mit denen alle möglichen Apps um Aufmerksamkeit und Streicheleinheiten betteln. Aus dem Prinzip der teilautomatisierten Verhaltensbeeinflussung ergeben sich ungeklärte Fragen sowie Missbrauchsmöglichkeiten.
Ungeklärt bleibt bis heute, wie es für Kontaktpersonen nach einer Benachrichtigung weitergeht, wie etwa aus der Bitte um freiwillige Selbstisolation eine dafür nötige Arbeitsbefreiung wird und welche Konsequenzen es hat, wenn jemand in Kenntnis einer erhaltenen Warnung Kontakt mit anderen Menschen hat. Zugunsten der Freiwilligkeit mag man hinnehmen, dass Warnungen ignoriert werden, wenn der Selbstisolation Hindernisse im Weg stehen, zumal die herkömmliche Kontaktverfolgung parallel weitergeht. Folgenlos bleibt dies jedoch nicht, denn wenn die Warn-App den versprochenen Nutzen hat, führen ignorierte Warnungen zu vermeidbaren Ansteckungen, übrigens unabhängig davon, ob und wie die unnötig Angesteckten selbst die App nutzen. Von hier ist es nicht mehr weit zum Vorwurf der Körperverletzung, wenn jemand nach Erhalt und in Kenntnis einer Warnung Kontakte pflegt und dabei jemanden ansteckt. Vor der forensischen Untersuchung des betreffenden Smartphones schützt die Datensammelbremse des Systems dann wohl nicht mehr.
Gleichermaßen liege Missbrauchspotenziale im System selbst und nicht nur in seinen Daten. Bereits vielfach diskutiert und von einzelnen Politikern sogar befürwortet wurden dezentrale Kontrollen der App-Nutzung beispielsweise am Arbeitsplatz oder Supermarkteingang; das bekäme man mit der DSGVO vielleicht noch in den Griff. Aber auch die Kernfunktion – Kontakterfassung und Benachrichtigung – lässt sich zweckentfremden. Technisch gesehen erfasst die Corona-Warn-App gemeinsame Aufenthalte ihrer Benutzerinnen und Benutzer an einem Ort von einer gewissen Dauer. Dass es dabei um Ansteckungsrisiken mit dem Corona-Virus gehe, bleibt letztlich eine Konvention. Deren Einhaltung garantiert nicht das System selbst, sondern seine Anwendungsumgebung. Ohne große Umstände könnte man mit derselben technischen Infrastruktur all jene für zwei Wochen in Quarantäne bitten, die letzte Woche im Puff waren oder sich mit einem Datenschutzbeauftragten getroffen haben. Dass dies tatsächlich jemand versuchte und mehr noch, dass es ungestraft gelänge, halte ich in einem demokratischen Rechtsstaat für sehr unwahrscheinlich, aber dabei handelt es sich um externe Faktoren und nicht um inhärente Zwänge im System.
Was hier zu klären ist, reicht über den Horizont und Instrumente des klassischen Datenschutzes hinaus. Weder das allgemeine Datenschutzrecht noch der technische Datenschutz können alle Fragen, die eine Corona-Warn-App aufwirft, befriedigend beantworten. Ich schließe mich deshalb der verschiedentlichgeäußerten Auffassung an, dass die Corona-Warn-App eine spezifische Rechtsgrundlage erfordert. Allgemeiner und auf lange Sicht stehen wir auch vor der Frage, nach welcher Regulierung zentral steuerbare, aber dezentral agierende Geräte- und Anwendungsökosysteme jenseits des Datenschutzes verlangen.
Digitale Plattformwirtschaft gilt der Bundesregierung als großes Ding, seit sie bemerkt hat, dass wir keine eigene haben. Um diese Lücke zu schließen, fördert Berlin Plattformprojekte. Zum Universalleuchtturm Gaia-X, dessen Anwendungen von Chatbots für das eGovernment bis zur Krebsheilung reichen sollen, kommen die Themen der einzelnen Ressorts. Das Verkehrsministerium fördert, naheliegend, die Mobilitätsplattform Stadtnavi, die nicht weniger verspricht als Mobilität gemeinsam neu zu denken. Das Ergebnis ist Asche, nämlich ein notdürftig als Plattform verkleideter Karten- und Routenplanungsdienst, der seine Claims statt auf die Hauptsache direkt auf Nebengebiete wie Open Data, Open Source und Datenschutz legt. Zu kurz kommt wie so oft die Nutzerorientierung und damit das, was andere Plattformen erfolgreich macht.
Der Fairness halber sei gesagt, dass Stadtnavi nach eigener Aussage noch nicht fertig ist und das Projektbudget mit 370.000 Euro überschaubar bleibt. Gleichwohl lässt sich bereits eine Richtung erkennen. Stadtnavi bietet im Wesentlichen einen Karten- und Navigationsdienst, der verschiedene Verkehrsträger berücksichtigt und der mit Echtzeitdaten zum Beispiel über freie Parkplätze, Ladestationen, Mitfahrgelegenheiten, Busverspätungen und so weiter angereichert wird. Richtig verpackt sind solche Dienste unbestritten nützlich, das zeigen die Navigationssysteme in vielen Autos, Karten- und Navigationsapps für Smartphones sowie der DB Navigator. Anders als der DB Navigator, der auch Fahrkarten verkauft und Bahnreisende unterwegs unterstützt, bleibt Stadtnavi jedoch auf der Metaebene: Man kann sich dort über Mobilität informieren, sonst nichts.
Gemessen am eigenen Anspruch, für saubere Luft zu sorgen, wie auch an den Erfolgsvoraussetzungen für ein Plattformgeschäft drückt man sich vor der eigentlichen Herausforderung: Mobilität nutzerorientiert anders zu organisieren. Dazu müsste man nicht nur irgendwas mit Internet machen, sondern echte und konkurrenzfähige Mobilitätslösungen bieten. Messen lassen müssen sich solche Angebote am Auto, das bei vielen Menschen vor der Tür steht und darauf wartet, gefahren zu werden. Das Auto vor der Tür befriedigt bequem und flexibel eine breite Palette an Mobilitätsbedürfnissen. Wer sich einmal daran gewöhnt hat, einfach einzusteigen und loszufahren, findet kaum einen Anlass, sich überhaupt über Alternativen zu informieren. Wer es dennoch tut, wird häufig in seiner Entscheidung für das Auto bestärkt. Mit Ausnahme der Schnellbahnsysteme in Großstädten und Ballungsräumen bleibt der öffentliche Nahverkehr der individuellen Fortbewegung – einschließlich Fahrrad und Taxi – oft unterlegen.
So verwundert nicht, dass eine kommerzielle Plattform wie Uber, in deren Motivation saubere Luft so wenig eine Rolle spielt wie die Arbeitsbedingungen ihrer scheinselbständigen Fahrer, einen Taxidienst anbietet. Ein Ubertaxi ist so bequem wie das eigene Auto vor der Tür, erspart einem jedoch den Ärger damit und steht im Gegensatz zum eigenen Auto auch am Zielflughafen auf Wunsch vor der Tür. Ob man Uber deswegen auch gestatten sollte, an die Stelle der bisherigen Taxiwirtschaft mit ihrem vergleichbaren Angebot zu treten, sei dahingestellt. Jedenfalls bieten alte wie neue Taxis heute echte Mobilitätsplattformen mit einem Smartphone-Interface, die digital eine Schar mehr oder minder unabhängig arbeitender Dienstleister koordiniert.
Erfolgreiche Plattformen vernetzen Anbieter und Kunden so, dass für alle ein Mehrwert entsteht. Von Amazon zum Beispiel bekomme ich einen Online-Shop für fast alles, was man überhaupt kaufen kann. Manches liefert Amazon selbst, anderes kommt von unabhängigen Händlern, die (auch) über Amazon verkaufen. Mir erleichtert Amazon das Leben, weil ich einmal bestelle und dann in den nächsten Tagen Klemmstifte für die Heizung aus der Oberlausitz, Ersatzteile für meine Fahrradtaschen aus dem Schwarzwald und eine Fahrradbremse aus dem Amazon-Lager geliefert bekomme. Den Händlern nimmt es einen Teil des Shop-Betriebs ab und führt ihnen Kunden zu. Amazon sorgt dafür, dass das alles reibungslos funktioniert. Analog bekomme ich von Apple, Google oder Microsoft nicht einfach ein Gerät oder ein Betriebssystem, sondern Appstores, aus denen ich mir über viele Anbieter hinweg meine Anwendungslandschaft zuammenklicke und Updates bekomme.
Eine echte und nützliche Mobilitätsplattform müsste dasselbe tun und die Verkehrsbedürfnisse ihrer Nutzerinnen und Nutzer besser und einfacher befriedigen als ohne sie. Ein Ansatz dazu ist die echte Vernetzung verschiedender Verkehrsträger nicht nur in Form integrierter Navigation und Fahrplanauskunft, sondern zu einem nützlichen Mehrwertdienst. Möchte ich zum Beispiel nach Frankfurt oder über Frankfurt irgendwohin fahren, muss ich erst einmal zum Bahnhof kommen. Ich wohne zwischen zwei etwa gleich weit entfernten Strecken, auf denen jeweils S-Bahnen und Nahverkehrszüge und auf einer auch nutzbarer Fernverkehr fahren. Die ÖPNV-Anbindung ist in einer Richtung besser als in der anderen, und unabhängig davon etwa einen Kilometer Fußweg entfernt. Mit einem eigenen Fahrzeug, das ich am Bahnhof parke – egal ob Fahrrad oder Auto – beschränke ich mich für die Rückfahrt auf eine der beiden Strecken. Mit einem Rollkoffer im Schlepp fällt das Fahrrad aus und ein eigenes Auto habe ich gar nicht.
Möglicherweise könnte ich mich für eine Plattform begeistern, die mir in dieser Situation das Denken und Organisieren abnimmt. So einer Plattform würde ich einfach sagen, dass ich jetzt nach Frankfurt möchte. Daraufhin bekäme ich die Antwort: „Kein Problem, kostet 25 Goldstücke, Sie werde in zehn Minuten abgeholt. Dürfen wir Sie am Zielort noch irgendwo hinbringen?“, oder auch: „Um die Ecke steht ein freies Mietfahrrad. Wenn Sie darauf spätestens halb drei gen Westen reiten, bekommen Sie die nächste Regionalbahn oder notfalls ein paar Minuten später die nachfolgende S-Bahn. Möchten Sie das Rad bis dahin reservieren?“ Für die zweite Variante fehlt es meiner Kleinstadt an Mieträdern, die gibt es nur in der größeren Nachbarstadt. In der ersten wüsste der Fahrer, der mich abholt, dass ich mit der Bahn weiter möchte und zu welchem Bahnhof er mich bei der aktuellen Verkehrslage fahren soll. In beiden Fällen hätte sich jemand Gedanken gemacht, was mein Mobilitätsbedarf ist, wie er sich befriedigen lässt und wie das für mich möglichst einfach wird. Dafür jedoch etwas mehr nötig als nur Auskünfte.
Nützlich machen könnte sich eine Mobilitätsplattform auch in Ausnahmesituationen. Unsere alltägliche Mobilität ist stark von Gewohnheiten geprägt. Wir fahren so oft zur Arbeit, zum Einkaufen, zu Verwandten und Freunden oder zu regelmäßigen Freizeitbeschäftigungen, dass wir darüber nicht mehr nachdenken, sondern alles wie immer tun. So mancher ist schon versehentlich Samstags zur Arbeit gefahren, weil er irgendwohin wollte, der Anfang des Weges derselbe war und dann der innere Autopilot übernahm. Manchmal haben wir jedoch ungewöhnliche Bedürfnisse, müssen mehr transportieren als das Fahrrad schafft, organisieren eine Familienfeier mit dezentralen Übernachtungen und mehreren Ortswechseln oder müssen eine Zeit überbrücken, in der das eigene Fahrzeug nicht verfügbar ist oder aus sonst einem Grund alles nicht wie gewohnt funktioniert.
Mit intelligenten Angeboten für solche Situationen bekäme eine Mobilitätsplattform vielleicht auch bei jenen einen Fuß in die Tür, die sich sonst gewohnheitsmäßig ins eigene Auto setzen und das auch noch täten, wenn der Benzinpreis bei fünf Euro und die Höchstgeschwindigkeit auf Autobahnen bei 80 km/h läge. Denken wir noch einmal an Amazon: In seiner Jugend konnte der Konzern bei vielen Kunden damit punkten, dass er englischsprachige Bücher ohne Umstände lieferte. Heute sind dort noch viel mehr Dinge zu bekommen, die man in Geschäften und Kaufhäusern vor Ort vergebens sucht. Fotopapier, Feuerpoi, Fahrradständer – alles kein Problem. So etwas kommt heraus, wenn man mit einer Plattform Geld verdienen möchte, so dass man gezwungen ist, sich mit Nutzerbedürfnissen auseinanderzusetzen und echte Vorteile zu verkaufen. Aus ehrgeizarmen Förderprojekten kommt dagegen so etwas wie Stadtnavi, immer und immer wieder.
We’re launching the crowdfund for the first of a series of new language editions in GERMAN!
Seems, to me like we’ve been talking about the possibility of this for ages.
If you are reading this now the chances are you already have a copy in English. We’re doing this project for all the jugglers that would like to read it in their own language, as well as all the kids in youth circuses that can be inspired to create work that they feel represents them better, while of course having more fun!
To pull this off we’re going to need all your help.
Juggling friends from Germany, Austria and Switzerland, if you’ve enjoyed Pearls please let other juggling friends and communities know about this project. Think about getting a special signed copy for yourself knowing that you helped make it a reality!
The campaign is “all or nothing“. That means that we need 120 pledged copies for the project to be able to go ahead. That makes it more exciting but also more real.
Chris Blessing has translated it, the graphic artists is ready and the printers are hot and ready!
The project will end in two full moons time. Please support the project as soon as you can as it will give it the necessary momentum we need to make it a success!
If we manage to go beyond out goal we will revamp our website and integrate Pearls much more into it.
Thanks for reading this email and being as excited about this project as I am.
The promotional site for Managing Humans still makes me smile. The photos were from a part of the property we call the Fairy Meadow. It’s a horse chestnut tree surrounded by a stream that only runs during the rainy season.
We return to the Fairy Meadow for the third book.
Thanks to my good friend Paul Campbell, we’re doing an online launch of the book Monday, June 8th at 11am Pacific. This is a live virtual event where we’ll be talking about the book as well as doing a moderated online Q&A. This is also done via the magic of Vito, a new live-streaming and community platform that Paul has been working on for the last few months. You can sign-up for the event here.
Yes, you can pre-order the book right now. Some folks have already received their pre-orders and more copies are arriving imminently. I’ll be writing more about the book here and elsewhere in the time leading up the launch.
My preference would’ve been cracking open a bottle with y’all, but… reasons.
Vehicular cycling advocate, John Forrester, recently passed away. The video below illustrates his ideas. In a nutshell, as a cyclist you should take yourself seriously as a road user, confidently claim the same right to the road as anybody else, and behave mostly as you would driving a motor vehicle. I have only one nit to pick: the cyclists in the video seem rather shy when it comes to claiming space, they could take the middle of the lane more often.
According to my experience, Forrester’s ideas work very well although they may take some getting used to before one can really appreciate them. Against general inclusionist trends in western societies, modern-day cycling infrastructure advocates nevertheless reject his approach, arguing that roads – or rather, segregated bike paths – should be designed for cyclists instead. In a rhetorical sleight of hand they gain approval to the truism that infrastructure design influence the safety and happiness of cyclists only to switch the general notion of infrastructure for their narrow definition later.
Dense or fast traffic can feel scary, but the real danger often looms where we least expect it. A crossroads in the middle of nowhere can be dangerous due to the angle in which roads meet. This is an infrastructure issue to be fixed by redesigning the crossroads for better visibility and perceptibility. Being advocates for a particular design, segregationists rarely discuss bicycle-friendly road design – or design objectives and tradeoffs at all.
Vehicular cycling works better on some roads than it does on others. It works where other road users do not perceive cyclists as an obstacle, either because there is ample space to pass or traffic is running so slow that passing does not really make a difference. Vehicular cycling becomes psychologically much harder for everyone when road design turns cyclists on the road into a seemingly unnecessary obstacle and therefore, a provocation. Durch designs with narrow lanes on the regular road and separate bike paths do a great job at that. Vehicular cycling would be virtually impossible here:
This road design causes the very stress bike path advocates promise to relieve through segregation. Unless you give up and comply, that is. Any honest debate of cycling infrastructure should at least acknowledge that regular roads are infrastructure and segregation is not the only viable approach to infrastructure design for cycling. If someone tries to sell you bike paths while avoiding a more comprehensive discussion of infrastructure design for cyclists, just walk ride away.
I have an embedded Mac mini, it drives the local TV screen by doing OpenVPN to Germany, Netflix, Amazon and the local Subsonic. It does not really do much with the local disk, and it does not need to wake up every hour to make a Time Machine backup over the network.
Time Machine Editor can change the Time Machine Backup interval. It has a background daemon that triggers the backups, a GUI application and a command line utility.
Time Machine Editor works with automatic Time Machine backups disabled, which will turn off the local scheduler. It instead installs its own scheduler as a background process, which will then kick off the regular Time Machine backup process, but on the schedule you want. It can control all aspects of Time Machine: remote backups to an external disk as well as local snapshots. It understands applications that prevent display and machine sleep, exclusion times for the night and custom schedules. A command line application, tmectl, allows control of all aspects programmatically as well.
Because of the way the application is built, it does not require special privileges, and is also not running into System Integrity Protection problems with Catalina.
does no longer work: It tries to change a plist in /System and fails. The approach chosen by Time Machine Editor is cleaner and not subject to these new Apple limitations.
Energy consumption of the Mac mini before and after installation of Time Machine Editor. I am running a backup every 6h, and that is just fine with this machine and how it is being used.
Thematisch passt es hier eigentlich nicht rein, aber vielleicht stolpert trotzdem jemand darüber, den es interessiert. Zurzeit läuft eine Crowdfunding-Kampagne mit dem Ziel, eine deutsche Übersetzung des Buchs „Pearls of Juggling“ von Anthony Trahair zu finanzieren. In diesem Buch geht es nicht ums Werfen und Fangen, um Tricks und Muster oder die verschiedenen Gegenstände, die sich jonglieren lassen, sondern um Themen wie Bewegung, Musik, Training, Kreativität und Auftritte. Erreicht die Kampagne ihr Ziel von 120 Vorbestellungen, erhaltet Ihr für 24 € ein signiertes Exemplar der Übersetzung.
