Zu den universellen Erfahrungen des dritten Jahrtausends gehört ganz
gewiss die Frustration nach Kontakt mit kommerziellem Kundendienst jeder
Art. Das ist besonders bitter, wenn mensch das Niveau im Free
Software-Bereich gewohnt ist: Bei fast allen Problemen und Wünschen, die
ich zu Freier Software hatte, kam zumindest eine sinnvolle Reaktion,
häufig auch rasch eine Lösung.
Ganz anders im kommerziellen Bereich. Als neulich mein Rezept für
Internet via Telefon nicht mehr funktionierte (im o2-Netz
wiederverkauft von WinSIM), kamen auf zwei schriftliche Supportanfragen
jeweils zwei zusammengeklickte Antworten, die offensichtlich nicht auf
meine Anfragen eingingen und folglich auch komplett nutzlos waren. Ich
wollte eigentlich schon an dieser Stelle empört darüber ranten, als nach
einer verzweifelten telefonischen Anfrage tatsächlich eine nützliche
Antwort mit einer vernünftigen Erklärung kam – gut genug, dass ich
gelegentlich mal separat darüber bloggen will. Danach war ich zu
versöhnt für einen Rant.
Nun aber wieder die Bahn. Im September bekam ich nach einer
Captcha-und-too-many-requests-Zumutung (Rant am Fediverse) auch noch
zwei seltsame Mails von der Bahn, die in etwa so aussahen:
Date: Wed, 21 Sep 2022 19:13:43 +0000 (GMT)
From: DB <noreply@deutschebahn.com>
To: msdemlei@fsfe.org
Subject: Verify email
Someone has created a Deutsche Bahn account with this email address.
If this was you, click the link below to verify your email address
https://accounts.bahn.de/auth/realms/db/login-actions/action-token?key=eyJhbGciO<ungefähr-1k-base64>-<vielleicht-eine-checksumme>&client_id=fe_esuite&tab_id=cY2rW_Q_7wc
This link will expire within 15 minutes.
If you didn't create this account, just ignore this message.
Eine sehr nach fishing aussehende Mail mit genug Binärsoße, um ein
halbes Betriebssystem drin unterzubringen? Auf Englisch von der
deutschen Bahn? Und dann noch ohne CSS-Müll im Text? Das schien mir
extrem verdächtig, aber auch genauere Untersuchung brachte keine
Anzeichen für eine Fälschung zutage. Andererseits war der Bahn-Server
ja vorher offensichtlich kaputt gewesen. Vielleicht war er ja insgesamt
von Parteien übernommen, die mir noch übler wollen als die Bahn?
Von solchen Fragen bewegt habe ich es mal wieder mit dem
Bahn-„Kundendienst“ versucht. Folgendes habe ich noch am 21. September
geschrieben:
Liebe Mitarbeiter/in der Bahn,
Kontext:
Ich hatte heute schon wieder ganz großartige "User Experience" beim
versuchten Fahrkartenkauf -- nicht nur musste ich mal wieder ein
Captcha lösen (was ich offen gestanden für die Ursünde der UX halte),
ich kam nach der Lösung unmittelbar auf eine nginx-Fehlerseite mit
einem schlichten "too many connections". Der Back-Button führte auf
noch ein Captcha.
Gäbe es eine Alternative für den Online-Kauf von Fahrkarten, ich wäre
jetzt dort. So, wie es ist, bin ich dankbar für Fahrkarten-Automaten.
Das eigentliche Problem:
Kurz nach diesem Erlebnis kamen zwei Mails wie die im Anhang. Die
sieht nach allen Kriterien bis hin zu den Received-Headern aus wie
eine legitime Mail von Ihnen. So, wie das gemacht ist, habe ich aber
keine Ahnung, was das tut, und der endlose Binär-String löst jetzt
auch wirklich kein Vertrauen aus. Ich habe das jetzt mal nicht
geklickt -- es könnte ja sein, dass da jemand meinen Account
übernehmen will.
Was ist das? Habe ich das ausgelöst? Wäre es nicht gut, das etwas
weniger spammisch aussehen zu lassen?
Als der Bahn-Webserver wieder ging, hat sich herausgestellt, dass
das tatsächlich Verifikationsmails der Bahn waren und das Web-Interface
die Mails so angekündigt hätte (wenn auch ohne Begründung, warum
überhaupt und gerade jetzt) – hätte ich am 21.9. nicht Captchas und „too
many requests“ statt der Bahn-Webseiten bekommen.
Der Bahn-Kundendienst hätte das jetzt erklären und sich entschuldigen
können. Stattdessen kam fast drei Wochen später, am 11.10., eine
profund nutzlose Antwort, die ich hier öffentlich kommentieren will,
zunächst, weil ich meine Kommentare geistreich finde.
Vor allem habe ich aber den Verdacht, dass jemand mit Technikkompetenz
bei der Bahn dann und wann wahrnimmt, was ich hier schreibe. Warum ich
das glaube? Nun, die Kundendienst-Antwort hatte endlich keinen
CSS-Müll mehr an der text/plain-Alternative. Ich hatte das vor Jahren
mal per Mail bemängelt, ohne dass sich etwas geändert hätte. Nun, nach
meinem Post vom Juni, kommt die Mail endlich vernünftig und lesbar,
sogar mit Absätzen und allem. Kann Zufall sein. Kann aber auch ein
gutes Zeichen sein.
Und drum hier die Bahn-Antwort mit meinen Kommentaren:
vielen Dank für Ihre E-Mail. Bitte entschuldigen Sie die späte Antwort.
Wir haben Ihr Anliegen geprüft.
Die Authentifizierungsmail wird von uns versendet und ist für die
Zurücksetzung Ihres Passwortes notwendig. Nach Klick auf den Link zur
Meine Frage, wozu das Verfahren überhaupt eingerichtet wurde, bleibt
leider unbeantwortet. Außerdem ging es nicht um ein Passwort, und es
wurde auch nichts zurückgesetzt. Wie die ursprüngliche Mail selbst
schon sagte, ging es um die Bestätigung einer Mailadresse. Mit einer
sowohl falschen als auch nutzlosen Information aufzumachen, verdient
für mich den Winston-Churchill-Preis für Erwartungsmanagement („Blut,
Schweiß und Tränen“).
Kontoaktualisierung, öffnet sich eine Seite auf bahn.de. Hier muss die
E-Mail-Adresse mit Klick auf >> Klicken Sie hier, um fortzufahren
bestätigt werden. Anschließend erscheint die Meldung, dass das Konto
aktualisiert wird und Sie können sich wieder in Ihrem Kundenkonto
anmelden.
Achten Sie darüber hinaus bitte darauf, unsere DB Navigator App auf
dem neuesten Stand zu halten und über einer sicheren und stabilen
Internetverbindung zu buchen.
Kundendienst-Tipp #1: Anfragen lesen und dann keine unpassenden
Formtexte in die Antworten pasten -- ich habe keine Hardware, auf der
die App laufen würde, und so dementsprechend hatte meine Anfrage auch
nichts mit der App zu tun.
Bei instabilen Internetverbindungen verzeichnen wir ein hohes
Aufkommen von Buchungsabbrüchen.
Kundendienst-Tipp #2: Fehler eingestehen. Da war keine instabile
Internet-Verbindung. Was da kam, war eine Meldung vom Reverse Proxy
der Bahn, weil offenbar der Dienst dahinter überlastet oder kaputt
war.
Die richtige Reaktion wäre gewesen: „Ja, sorry, wir haben es
verkackt. Und weil das im Zusammenhang mit dem Captcha
eingestandenermaßen nochmal blöder war, werden wir uns jetzt wirklich
mal überlegen, den Captcha-Quatsch zu lassen. Ansonsten
Entschuldigung.“
Empfehlenswert wäre ebenfalls, beim Log-in via Browser die Cookies und
den Verlauf zu löschen und zudem auf dem neuesten Stand zu halten
und ggf. den Adblocker zu deaktivieren.
Kundendienst-Tipp #3: Keine Voodoo-Tipps geben. Wie soll bitte das
Löschen „des Verlaufs“ ein 500 (oder 504, ich weiß nicht mehr) des
Reverse Proxy der Bahn reparieren? Und wenn Leute wirklich der Empfehlung
folgen und „die Cookies löschen“, werden sie unter Umständen
böse Überraschungen erleben. Wenn die Bahn meint, in Einzelfällen
(wenn auch offensichtlich nicht diesem) könne ein Zurücksetzen Ihrer
Cookies nötig sein: das kann mensch von der Server-Seite aus viel
zielgenauer tun, etwa mit einer Webseite, die entsprechende
Set-Cookie-Header ausliefert (und ggf. zu weiteren Seiten weiterleitet,
die das für weitere Domains tun). Damit geht dann ein „gehen Sie zu
<dieser URL>, um die Bahn-Cookies zu löschen“.
Wenn die Bahn schließlich wirklich findet, dass aktivierte Adblocker
die Nutzung ihrer Dienste behindern: Wäre das nicht ein Anlass, darüber
nachzudenken, all den Tracking- und Marketing-Quatsch von der Seite
runterzunehmen? Aber wie gesagt: das war vorliegend gar nicht das
Problem.
Wir hoffen, dass wir Ihre Fragen beantworten konnten und wir Sie bald
in unseren Zügen begrüßen zu dürfen.
Helfen Sie uns unser Angebot und unseren Service weiter zu verbessern.
Beantworten Sie dazu bitte nachfolgende Fragen unter Umfrage
bahn.de. Vielen Dank.
Ganz perfekt sind die text/plain-Alternativen immer noch nicht, denn
die URL der Umfrage geht dabei verloren. Aber weil Umfragen an sich und
schon gar im Web ein Fluch sind, würde ich das in diesem Fall eher als
Feature als als Bug klassifizieren.
![[RSS]](../theme/image/rss.png)
