Dunning-Kruger lässt grüßen

[Der] Dunning-Kruger-Effekt (DKE) ist eine Form der kognitiven Verzerrung und beschreibt die Tendenz inkompetenter Menschen, das eigene Können zu überschätzen und die Leistungen kompetenterer Personen zu unterschätzen.

Es kommt nur selten vor, dass mich Anfragen im technischen Support erreichen, die dazu führen, dass meine Gedanken den ganzen Tag über um nichts anderes kreisen und mich letztlich fast verrückt machen.

Vorweg: Ich finde es überhaupt nicht schlimm, wenn man von Technik keine Ahnung hat. Wirklich nicht. Ich sehe auch nicht auf solche Menschen herab. Es gibt genug Bereiche, in denen ich selbst völlig unbewandert bin.

Die Kombination aus Unwissenheit und Ignoranz ist aber dann schon eine Stufe härter. Sowas regt mich dann vielleicht kurz innerlich auf, aber dann hat sich’s auch wieder.

Wenn jedoch Unwissenheit, Ignoranz und dazu noch Besserwisserei zusammenkommen, fällt es mir schwer noch an mich zu halten.

Der Auslöser für diesen Blog-Beitrag war ein einfacher Satz (kurz zuvor hatte ich dem Kunden mitgeteilt, dass ich ihm nicht dabei helfen kann, wie er seinen lokalen Proxy-Server am vernünftigsten konfigurieren solle):

Da Sie mir keine Sicherheitsberatung bieten können, möchte ich Ihnen mal zeigen wie „Sicher“ ihre Server sind.

Gepaart mit einem Link zur Diagnoseseite von Googles Safe Browsing (die sagte, dass mit der Seite alles Bestens sei) und einem Link zu RadaBG.com, der aussagt, dass 0,06% der Seiten im Netz unseres Upstream-Providers (bei dem wir ja nur einer von vielen Kunden sind) vermutlich „malicious“ seien. In absoluten Zahlen: 3 Websites. Festgestellt 2005. Aha. Was das über die Sicherheit unserer Server aussagen soll, erschließt sich mir nicht.

Aber ein wenig zur Vorgeschichte. Im Zuge einer Supportanfrage des betreffenden Kunden fiel mir auf, dass ich beim Aufruf seiner Website ein 410 Gone bekomme, zusammen mit einer detaillierten Hinweissseite, dass ich gesperrt worden sei (beim ersten Aufruf seiner Seite!), weil ich gegen eine der Benutzungsregeln seiner Website verstoßen hätte. Diese Bedingungen („auf Grund meiner schlechten Erfahrungen notwendig“) umfassen diese strikt zu befolgende Anweisungen:

– es darf kein Proxy von mir erkannt werden
– ein wildes herumklicken ohne die Seite durch zu lesen ist nicht gestattet
– es muß von Ihrem Browser ein Referrer gesendet werden
– der Hostname zu Ihrer ip-Adresse muß aufgelöst werden können
– die *.css-Datei muß mit geladen werden
– die Ansicht meiner robots.txt ist nicht gestattet
– automatische Anfragen an meinen Server werden geblockt
– Anfragen in der URL mit http/https werden geblockt
– das scannen nach Schwachstellen mit einer Software sollte auch verhindert werden
– Anfragen außer POST, GET werden von mir abgewiesen
– Besuche ohne Browserkennung sind nicht möglich
– ohne aktivierte Cookies ist die Ansicht von Informationen nicht möglich

Ich blieb beim ersten Lesen nur kurz an „es muß von Ihrem Browser ein Referrer gesendet werden“ hängen. Mein Gefühl sagte mir: Naja, so kann das ja wohl schlecht gemeint sein, dann kann man ja seine Website nur über Links aufrufen – nicht aus einer Mail heraus, nicht von Hand eingegeben, und vor allem auch nicht aus einem Lesezeichen im Browser heraus.

Doch genauso ist es.

Minuten später trifft eine Mail bei mir ein, die mir allen Ernstes eine Anleitung gibt, wie ich seine Seite aufzurufen habe:

ich sehe gerade Sie besuchen meine Seite, und vielleicht auch noch einer Ihrer Kollegen. Damit Sie nicht noch weitere ip-Adressen verschießen besuchen Sie folgenden Link:

http://www.google.de/search?hl=de&q=das+hab+ich+mal+lieber+entfernt

Dort bin ich der 4. Link von oben. Da vielleicht Ihre Kollegen meine Seite direckt aufrufen wird natürlich am Anfang kein Reffer übertragen.

Ab 00:00Uhr setzt sich meine Openbsd Firewall in gang (PF) dort werden alle IP-Adressen die mein Webserver gesammelt hat gesperrt.

Ich war für einen Moment sprachlos. Ein ausgeprägtes Sicherheitsbedürfnis ist ja schön und gut. Bei diesem Mann scheint mir die Grenze zur Paranoia aber schon vor langer Zeit überschritten worden zu sein.

Inhaltlich beschäftigt sich seine Website mit Suchmaschinen-Optimierung (d’oh!). Und was ich da alles gelesen habe, das zog mir wirklich die Schuhe aus angesichts des riesigen Haufen Unsinns, aus richtigen Beobachtungen falsch gezogener Schlüsse, technisch grundfalscher Informationen und nicht zuletzt einer Rechtschreibung, die mir die Tränen in die Augen trieb. Ein andere Kunde von uns, der sich wirklich mit Suchmaschinen-Optimierung auskennt (normalerweise würde ich hier verlinken, aber ich möchte vermeiden, dass sein bissiges Zitat auf ihn zurückfällt), berichtete mir im Chat nach kurzer Lektüre der fraglichen Website von einem Vortrag, den er kürzlich besuchte:

ja, der SEO Papst Mario Fischer sagt dazu: 90% aller SEOs sind Dumpfbacken.

Kein Zweifel, dass ich hier nicht gerade mit jemandem zu tun habe, der sich zu den 10% zählen darf. Oder etwa doch? Immer wenn man ganz besonders laut „au Backe“ rufen möchte, tut es ganz gut, sich zu versichern, ob andere die eigene Einschätzung teilen – schon, um nicht selbst ein Opfer des DKE zu werden. Aber das Urteil der anderen fiel beruhigenderweise ebenso vernichtend aus. Eine kleine Auswahl:

Was für ein Irrer. Und das ist ein Kunde von dir?

Prost an den Herrn, er kann nur im Dauerkoma leben – anders ist das nicht erklärbar.

meinst du, er hat keine ahnung, was er da tut oder glaubst du, er weiß es sehr wohl?

ferndiagnostisch ne schizotype persönlichkeitsstörung :p

wow. der ist unfassbar dumm.

ich würde ihm wirklich das „sind sie blöd formular“ schicken

welcher total hirn ampotierte speert leute die auf seine seite gehen – da müsste ich doch eins an der latte haben

meine Güte, es gibt schon Spezialisten, oder?

Meine ganz persönliche Einschätzung ist: Der hatte noch nie mit jemandem mit technischem Sachverstand zu tun, der ihn mal an die Seite genommen hat und ihm sagte: Pass auf, mein Junge, das ist Mist, was du da schreibst. Ich erklär dir das mal. Und nun sieht er den Umstand, dass jeder mit einfachsten technischen Grundkenntnissen vor ihm sofort die Flucht ergreift, als Bestätigung dafür an, dass nur er der einzig wahre Experte ist.

Was also tun? Ihn in dem Glauben lassen, er sei der Größte auf Erden? Klar, irgendjemand muss ihm mal die Augen öffnen, aber muss unbedingt ich das sein? Höchstwahrscheinlich würde er ohnehin nur beleidigt sein, und noch viel schlimmer: Er würde sich darin bestätigt fühlen, dass auch wir wieder nur einer der vielen inkompetenten Provider sind wie die, mit denen er seiner Aussage nach bisher zu tun hatte. Umgekehrt wäre es natürlich auch fies, jemandem deutlich zu schreiben, dass er keine Ahnung hat, wenn man dann nicht auch bereit wäre, ihn darüber aufzuklären, wie die Dinge in Wirklichkeit funktionieren – aber Hand aufs Herz, soviel Zeit habe ich nicht. Soviel Zeit hat keiner von uns.

Wenn eine Antwort also aller Voraussicht nach sowieso nichts bringt als noch viel längere, fast körperlich qualvolle Diskussionen, dann richtet sie doch vielleicht eher noch Schaden und Verletzung an. Deshalb meine Antwort dazu nicht an ihn persönlich, sondern anonymisiert an dieser Stelle, aus der beliebten Kategorie „Mails, die meinen Postausgang letztendlich doch nicht verlassen haben“:

Hallo Herr $NAME,

ähnlich wie Sie offensichtlich die Sicherheit unserer Server in Zweifel ziehen, ziehen nicht nur ich, sondern auch meine Kollegen die sinnvolle Konfiguration Ihres Servers und auch die Stichhaltigkeit der von Ihnen genannten Punkte in Zweifel.

Ich würde mir normalerweise kein Urteil oder Kritik anmaßen und mit meiner persönlichen Meinung hinter dem Berg halten. Wenn Sie uns aber Nachhilfe darin erteilen möchten, wie „sicher“ unsere Server sind und dazu ausgerechnet eine Website heranziehen, die lediglich eine Aussage über die Anzahl möglicherweise unsicherer Website im Netz unseres Upstream-Providers trifft, dann möchte ich hiermit dann doch gerne ganz schnell einen Schlussstrich unter die Diskussion ziehen:

Selbst wenn ich einmal annehme, dass Sie im SEO-Bereich ein Experte wären (worüber ich mir kein Urteil anmaße, weil ich mich damit nicht auskenne), so zeigt doch nahezu jede Unterseite Ihrer Website grundlegende Verständnisprobleme und gravierende Fehleinschätzungen einfachster technischer Zusammenhänge auf. Dass Sie mit Ihren „Tatsachen“-Schilderungen von Kunden ausgelacht wurden, kann ich von daher – so leid es mir tut, das zu sagen – nur sehr gut nachvollziehen. Meine ganz persönliche Befürchtung ist, dass Sie keine Vorstellung davon haben, wie sehr Sie sich in ihrem eigenen „Wissen“ über angebliche Zusammenhänge verstrickt haben, und wie weit das von der Realität entfernt ist.

Insbesondere da Sie ja ohnehin keine Hosting-Leistungen von uns beziehen, dürfte eine Auseinandersetzung über Sicherheitsthemen so oder so entsprechend fruchtlos verlaufen. Ich bitte daher um Verständnis darum, dass wir diese nicht mit Ihnen zu führen bereit sind.

Freundliche Grüße,
Jonas Pasche

Wenn Sie das hier lesen sollten und sich angesprochen fühlen – dann sind möglicherweise auch Sie gemeint.

So, jetzt geht’s mir besser.

PS: Einen Kreativitätspunkt für „ein wildes herumklicken ohne die Seite durch zu lesen ist nicht gestattet“ gibt es natürlich schon noch. Auf die Idee muss man erstmal kommen..!