Wachstumswahn im Silicon Valley? VC Bryce Roberts hält das Modell für überholt
Erst mal wachsen, möglichst groß werden? Dann nach dem Geschäftsmodell suchen? Der VC Bryce Roberts hält nichts mehr von diesem Modell. Und meint, das müsse aufhören.
Der Gründerszene-Artikel enthält nur eine kurze Einleitung und ist ansonsten eine Kopie des originalen Medium-Artikels.
.
Rant: Ein Valley-Investor rechnet mit dem Startup-Wachstumswahn ab
https://www.gruenderszene.de/allgemein/valley-wachstum-wahn
Auf Medium: No More Lost Decades
https://medium.com/strong-words/no-more-lost-decades-901027c6b1df
.
Massives Wachstum, irre Finanzierungsrunden, möglichst schnell eine Milliardenbewertung? Zu ihm kämen Gründer, die beichten:
> I hired too fast. I overspent. I leased too much office space. I obsessed about growth. I spent money like the next round was inevitable. I pitched investors what I thought they wanted to fund, not what I really wanted to build. I did everything I thought a startup CEO was supposed to do.
Zu schnell zu viele Mitarbeiter. Zu viel Geld eingeworben, zu viele Büroräume angemietet. Zu sehr auf Wachstum konzentriert.
Und ein Satz, den ich gruselig finde: Ich pitchte etwas / bot etwas an, bei dem ich dachte, daß das Investoren finanzieren wollen. Nicht das, was ich machen wollte.
Schließlich:
> I thought I was playing the game and the game played me.
Dann geht das Geld aus, es gibt keine Optionen mehr. Außer, zur Profitabilität zu finden. Das würde für viele als ein Scheitern gelten. Aber das sei Unsinn.
> Profitability doesn’t represent failure; rather, it is an unmovable milestone that captures so many values those outside of the world of startups hold dear- self reliance, independence, ownership, control.
Profitabilität sei genau kein Scheitern. Sondern ein unverzichtbarer Meilenstein. Wegzukommen von einem bloß geldverbrennenden Startup. Hinzukommen zu einem "realen Business".
Er zitiert Sam Shank:
> Instead of focusing solely on growth, we charted a path to profitability. Looking back, it was the ultimate test of the resilience of our culture and brand. We went from burning $30 million a year to owning our destiny.
Anstelle eines Focus auf Wachstum konzentrierten sie sich auf die Profitabilität. Das war der ultimative Test für die Stabilität des Unternehmens. Das wechselte von einem 30-Millionen-Dollar-Verbrenner zu einem Unternehmen, dem seine eigene Zukunft gehört.
Die eigene Zukunft besitzen. Das sei ein unschlagbares Konzept.
Silicon Valley sei gut darin, Geschäftsmodelle anderer Branchen zu hinterfragen. Aber sei schlecht darin, das eigene Geschäftsmodell zu hinterfragen.
Er zitiert den ehemaligen SoundCloud-CEO, der von der Dekade II sprach. Damit eine verlorene Dekade I. Stattdessen sollten Gründer darauf achten, von vornherein ein profitables Geschäft aufzubauen.
Wie es eben so gut wie jeder macht und machen muß, der außerhalb der typischen Startupfinanzierungen gründet.
> The employees you don’t have to fire, the users you don’t have to burn and the early investor’s ownership you don’t dilute will thank you for it.
Die Mitarbeiter, die man nicht entläßt. Die Kunden, die nicht verbrannt werden. Und die frühen Investoren würden es danken.
Tja. Viele Gründer machen das ja schon lange so. Hinreichend schnell profitabel werden, weil sie sonst einfach pleite gehen. Und das Geld "zusammenhalten", die klassische Garagengründung. Ob sich die obige Position wirklich im Silicon Valley ausbreiten wird?
OLG Celle: Instagram-Werbung mit #ad als zweitem Hashtag reicht zur Kennzeichnung als Werbung nicht aus - Rossmann verurteilt - 13 U 53/16
Die Werbung auf Plattformen wie Instagram und Twitter, die kaum als Werbung erkennbar ist: Die kann man durchaus als ein ziemliches Ärgernis betrachten.
In Print-Produkten sind Anzeigen üblicherweise klar als solche zu erkennen. Online gibt es einen sehr großen Graubereich.
Das Oberlandesgericht Celle hat nun eine bemerkenswerte Entscheidung getroffen. Die Entscheidung der Vorinstanz wurde korrigiert und die Drogeriekette Rossmann zur Unterlassung verurteilt.
Das Urteil erging also nicht an den Instagram-Nutzer mit etwa 1,3 Millionen Followern, der den Eintrag erstellt hat. Sondern an das beauftragende Unternehmen. Was das Risiko einer Wiederholung auch deutlich verschärft.
.
Versteckte Kennzeichnung reicht nicht aus: Drogeriekette Rossmann für Schleichwerbung mit Instagram-Star verurteilt
http://www.manager-magazin.de/unternehmen/handel/rossmann-fuer-schleichwerbung-mit-instagram-star-verurteilt-a-1164434.html
Das Urteil: Zur Kennzeichnungspflicht gesponsorter Posts bei Instagram mittels Hashtag zur Vermeidung von Schleichwerbung, OLG Celle, Urt. v. 08.06.2017, Az.: 13 U 53/16
http://www.aufrecht.de/index.php?id=8842
Bei Heise: Schleichwerbung auf Instagram: #ad reicht als Kennzeichnung meist nicht aus
https://www.heise.de/newsticker/meldung/Schleichwerbung-auf-Instagram-ad-reicht-als-Kennzeichnung-meist-nicht-aus-3814079.html
.
Die Leitsätze:
> 1. Zu den Voraussetzungen der Kennzeichnung von werbenden Social Media Beiträgen.
> 2. Eine ausreichende Kennzeichnung des kommerziellen Zwecks eines Instagram-Beitrags fehlt, wenn der Hashtag „#ad“ innerhalb des Beitrags nicht deutlich und nicht auf den ersten Blick erkennbar ist.
> 3. Ob der Hinweis „ad“ in Alleinstellung hinreichend deutlich gewesen wäre, lässt das Gericht offen.
Die Abänderung des Urteils:
> Der Verfügungsbeklagten [Rossmann] wird bei Meidung eines vom Gericht für jeden Fall der künftigen Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu 6 Monaten, zu vollziehen an ihren Geschäftsführern, untersagt, im geschäftlichen Verkehr unter Einschaltung einer als Privatperson auftretenden Dritten, beispielsweise „x.“, für kosmetische Produkte zu werben, ohne den geschäftlichen Zweck der Werbung für diese Produkte kenntlich zu machen, insbesondere zu werben:
>
> „An alle Sparfüchse: AUFGEPASST! NUR morgen gibt es in allen Filialen von #r. & im Online Shop 40% Rabatt auf Augen Make-Up! Viel Spaß beim Einkaufen! @m. _r. Eyes: R. Y. S. S. Mascara & M. N. Y. The R. N. Lidschatten Palette
>
> #blackfriyay #ad #eyes #shopping #rabatt #40prozent“
>
> samt der Abbildung zweier weiblicher Unterarme mit Kosmetika und Schmuckstücken, wenn dies geschieht wie im Internet unter www.i. gemäß Ausdruck vom 24. Januar 2017, Anlage A 3.
Man sieht also: Es gab zwar den "markierenden Hashtag" #ad. Aber dieser war im "Hashtagsumpf" am Ende des Beitrags versteckt, nicht am Anfang des Textes.
Der Streitwert wurde auf 20.000 Euro festgesetzt.
Der Hauptsatz des Urteils:
> Der streitgegenständliche Beitrag bei Instagram verstößt gegen § 5a Abs. 6 UWG. Bei dem Beitrag handelt es sich um eine geschäftliche Handlung (dazu (1)), deren kommerzieller Zweck nicht kenntlich gemacht ist (dazu (2)) und der sich auch nicht unmittelbar aus den Umständen ergibt (dazu (3)); die Handlung ist geeignet, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (dazu (4)).
Die geschäftliche Handlung ergab sich bereits daraus, daß der Instagram-Nutzer für den Beitrag Geld erhalten hatte.
Das Landgericht hatte die Kennzeichnung des kommerziellen Zwecks noch als ausreichend betrachtet. Das korrigierte das OLG.
> Die Verwendung des Hashtags „#ad“ ist jedenfalls in der Form, wie es vorliegend erfolgt ist, nicht ausreichend, um den Beitrag als Werbung zu kennzeichnen.
Und weiter:
> Eine ausreichende Kennzeichnung des kommerziellen Zwecks des streitgegenständlichen Beitrags fehlt aber jedenfalls deshalb, weil das Hashtag „#ad“ innerhalb des Beitrags nicht deutlich und nicht auf den ersten Blick erkennbar ist.
Eine weitere Korrektur der LG-Entscheidung:
> Der Senat vermag dem Landgericht auch nicht darin zu folgen, dass eine Kennzeichnung des kommerziellen Zwecks des Beitrags entbehrlich ist, weil sich der kommerzielle Zweck unmittelbar aus den Umständen ergebe.
Laut dem Manager-Magazin hatte der hier klagende Verband etwa zwei Dutzend Instagram-Nutzer abgemahnt, einige hatten eine Unterlassungserklärung unterschrieben. Dort drohen bei Wiederholung 5.100 Euro Vertragsstrafe.
Bei dem Verfahren handelt es sich um ein einstweiliges Verfügungsverfahren. Da ist die Entscheidung unanfechtbar. Es müßte aber noch ein Hauptsacheverfahren denkbar sein, das womöglich noch zum Bundesgerichtshof gehen könnte.
Kunst mit Schatten - Damon Belanger belebt Redwood City
Art In The Shadows: Artist Damon Belanger Enlivens City With Serendipitous Paintwork
designyoutrust.comSchatten beachtet man normalerweise nicht so sehr. Das gilt besonders für Schatten, die von öffentlichen Sitzbänken, Fahrradständern und ähnlichen Utensilien im öffentlichen Raum erzeugt werden.
Aber was passiert, wenn die Schatten nicht zu den Gegenständen passen?
Der Künstler Damon Belanger hat in der kalifornischen Stadt Redwood City 20 dieser eigenwilligen Schatten "gebaut".
.
Art In The Shadows: Artist Damon Belanger Enlivens City With Serendipitous Paintwork
https://designyoutrust.com/2017/08/art-in-the-shadows-artist-damon-belanger-enlivens-city-with-serendipitous-paintwork/
.
Da müßten vier Fahrradständer, die gleich gebaut nebeneinanderstehen, eigentlich auch dieselben Schatten werfen.
Stattdessen sind das "dünne Männchen". Oder - etwas weiter unten - gebogene Blumen.
Ein Automat für einen Parkschein wird - als Schatten - zu einem Affen, der auf einer klassischen Säule sitzt.
Und ein Geländerschatten wird zum Gleis für kleine Wagen.
Eine Beobachtung:
> Beth recalled seeing a father and daughter walking down the street and while the father didn’t notice anything, the daughter spotted the flower shadows on the sidewalk.
Ein Vater ging mit seiner Tochter die Straße mit den Installationen entlang. Der Vater bekam nichts mit. Die Tochter reagierte dagegen.
Laut der Website
Shadow Art
http://www.damonbelanger.com/shadow-art-1/
gab es dafür einen internationalen Design Award.
Bundesfinanzhof: Domain darf gepfändet werden, DENIC ist Drittschuldner - Verhältnismässigkeit zu beachten - VII R 27/15
Wenn das Finanzamt Forderungen an Sie hat und Sie diesen nicht nachkommen, Sie jedoch über eine werthaltige Internet-Domain verfügen: Darf das Finanzamt diese Domain pfänden? Und ist die DENIC, die Vergabe- und Verwaltungsstelle für .de-Domains, in einem solchen Verfahren Drittschuldner, damit erklärungspflichtig?
Zum Begriff des Drittschuldners: Wenn Sie angestellt sind und Steuerschulden haben, kann das Finanzamt Ihren Lohn pfänden. Ihr Arbeitgeber ist in so einem Fall erklärungspflichtiger Drittschuldner. Er muß einen Teil des Lohns direkt an das Finanzamt abführen und darf diesen nicht mehr an Sie auszahlen. Macht er das doch, haftet er gegebenenfalls und muß den Betrag nochmals ans Finanzamt zahlen.
Die Pfändbarkeit einer Domain ist seit langem unstrittig. Die DENIC hatte sich aber über Jahre hinweg geweigert, in so einem Verfahren die Pflichten eines Drittschuldners anzuerkennen.
Im nun vom Bundesfinanzamt behandelten Verfahren war die DENIC Klägerin gegen ein Finanzamt. Der Schuldner, dessen Domain Gegenstand der Pfändung war, war also gar nicht am Verfahren beteiligt.
.
Pfändung einer Internet-Domain unter Beachtung des Verhältnismäßigkeitsgrundsatzes zulässig
https://juris.bundesfinanzhof.de/cgi-bin/rechtsprechung/document.py?Gericht=bfh&Art=en&Datum=Aktuell&nr=34952&pos=3&anz=42
Die Leitsätze:
> 1. Die Gesamtheit der zwischen dem Inhaber einer Internet-Domain und der jeweiligen Vergabestelle bestehenden schuldrechtlichen Haupt- und Nebenansprüche kann als ein anderes Vermögensrecht nach § 321 Abs. 1 AO Gegenstand einer Pfändung sein.
>
> 2. Die Vergabestelle als Vertragspartner des mit dem Domaininhaber geschlossenen Domainvertrags ist Drittschuldner i.S. des § 309 Abs. 1 AO und damit nach § 316 AO erklärungspflichtig.
>
> 3. Bei der Pfändung der sich aus einem Domainvertrag ergebenden Ansprüche hat die Vollstreckungsbehörde insbesondere in Hinblick auf den Wert und die Verwertbarkeit dieser Ansprüche den Grundsatz der Verhältnismäßigkeit zu beachten.
Technisch wurde das Urteil des FG Münster vom 16.09.2015 aufgehoben, weil einige Dinge noch zu klären sind.
Grundlagen: Die Aufgabe der DENIC:
> Die Klägerin und Revisionsklägerin (Klägerin) verwaltet und betreibt als Registrierungsstelle Internet-Domains und nimmt damit zusammenhängende Aufgaben, wie z.B. die Unterhaltung der Anlagen, die Beratung und Schulung der Mitglieder, die Betreuung und Information der Inhaber registrierter Domains und die Wahrnehmung der Interessen der gesamten deutschen Internetgemeinschaft, wahr. Wer eine Domain registrieren lassen will, kann sich direkt an die Klägerin oder an jeden Provider aus der Liste der Mitglieder der Klägerin wenden und bei diesem die Registrierung in Auftrag geben. Unabhängig von der Entscheidung für einen bestimmten Provider erfolgt die Domainregistrierung durch die Klägerin selbst. Daher besteht neben dem Vertragsverhältnis mit einem Provider in jedem Fall auch ein Vertragsverhältnis mit der Klägerin. Mit Abschluss des Registrierungsvertrags erhält der Anmelder einen Anspruch auf Registrierung nach Maßgabe der Domainbedingungen und der Domainrichtlinien der Klägerin. Dieser Anspruch ist gerichtet auf die Eintragung der Domain in das Register der Klägerin und die Nameserver. Daneben bestehen weitere Ansprüche des Domaininhabers wie z.B. Ansprüche auf Anpassung des Registers an veränderte persönliche Daten oder ihre Zuordnung zu einem anderen Rechner durch Änderung der Internet-Protocol (IP) - Nummer.
Der konkrete Fall: Wie das Urteil am Ende ausführte, hatte das Finanzamt Forderungen in Höhe von 89.079,10 Euro gegenüber dem Schuldner.
> Aufgrund rückständiger Steuern und steuerlicher Nebenleistungen des Vollstreckungsschuldners P., der einen Online-Shop mit Unterhaltungselektronik betreibt, erließ der Beklagte und Revisionsbeklagte (das Finanzamt --FA--) eine Pfändungsverfügung gegenüber der Klägerin als Drittschuldnerin. Darin pfändete das FA den Anspruch des Vollstreckungsschuldners auf Aufrechterhaltung der Registrierung ... als Hauptanspruch aus dem mit der Klägerin geschlossenen Registrierungsvertrag und alle weiteren sich aus dem Vertragsverhältnis ergebenden Nebenansprüche. Einspruch und Klage hatten keinen Erfolg (Entscheidungen der Finanzgerichte --EFG-- 2015, 2028). Das Finanzgericht (FG) urteilte, bei den Ansprüchen des Vollstreckungsschuldners, dem Inhaber einer Internet-Domain, aus dem Domainvertrag handele es sich um andere Vermögensrechte i.S. des § 321 Abs. 1 der Abgabenordnung (AO) und Vermögensrechte i.S. des § 857 Abs. 1 der Zivilprozessordnung (ZPO). Nach der Rechtsprechung des Bundesgerichtshofs --BGH-- (Beschluss vom 5. Juli 2005 VII ZB 5/05, Neue Juristische Wochenschrift --NJW-- 2005, 3353) sei der Gegenstand einer Pfän-dung in eine Internet-Domain nicht die Internet-Domain selbst, die lediglich eine technische Adresse im Internet darstelle, sondern die Gesamtheit der schuldrechtlichen Ansprüche, die dem Inhaber der Domain gegenüber der Vergabestelle aus dem der Domainregistrierung zugrunde liegenden Vertragsverhältnis zustünden. Nach der Eintragung der Domain in das Register und den Nameserver schulde die Klägerin aufgrund des bestehenden Dauerschuldverhältnisses dem jeweiligen Anmelder die Aufrechterhaltung der Eintragung im Nameserver als Voraussetzung für den Fortbestand der Konnektierung. Daneben bestünden weitere Ansprüche, wie z.B. Ansprüche auf Anpassung des Registers an veränderte persönliche Daten oder ihre Zuordnung zu einem anderen Rechner durch Änderung der IP-Nummer. Daraus ergebe sich zugleich, dass die Klägerin als Drittschuldner nach § 316 AO anzusehen sei, denn der weit auszulegende Drittschuldnerbegriff erfasse jeden, dessen Rechtsstellung von der Pfändung berührt werde.
Die DENIC argumentierte, daß sie kein Drittschuldner sei, ebenso gäbe es keine Verpflichtung zum Arrestatorium der Domain.
Der Bundesfinanzhof hat das "deutlich anders" gesehen.
> (RN 7) Das FG hat allerdings zu Recht entschieden, dass eine Internet-Domain als eine Gesamtheit schuldrechtlicher Ansprüche, die dem Inhaber der Domain gegenüber der Vergabestelle aus dem Registrierungsvertrag zustehen, Gegenstand einer Pfändung i.S. des § 321 Abs. 1 AO sein kann und dass der Klägerin als Registrierungsstelle die Stellung eines Drittschuldners zukommt, der nach § 316 Abs. 1 AO erklärungs- und auskunftspflichtig ist.
und
> (RN 10) Zu Recht hat das FG die Klägerin als Drittschuldner und damit als nach § 316 Abs. 1 AO auskunftspflichtig angesehen.
Insbesondere beinhaltetet das, daß die DENIC sicherstellen muß, daß der Schuldner die Domain nicht einfach an jemanden anderen überträgt, so daß sie deshalb nicht mehr gepfändet und bsp. versteigert werden kann.
Unklar war allerdings die Frage der Verhältnismäßigkeit:
> (RN 20) Die Pfändung des Anspruchs auf Aufrechterhaltung der Registrierung ... als Hauptanspruch und aller weiteren sich aus dem Registrierungsvertrag ergebenden Nebenansprüche könnte sich jedoch unter Verhältnismäßigkeitsgesichtspunkten als rechtswidrig erweisen.
Es war nicht klar, ob angesichts der hohen Forderung von 89.079,10 Euro überhaupt ein wesentlicher Betrag aus dem Verkauf oder der Versteigerung der Domain zu erwarten gewesen wäre. Das Finanzamt hatte sich zum geschätzten Wert auch nicht wirklich geäußert.
> Ausweislich der streitgegenständlichen Pfändungsverfügung betrugen die vom Vollstreckungsschuldner geschuldeten Abgaben 89.079,10 EUR. Es ist nicht ohne Weiteres erkennbar, dass die Verwertung der von der Klägerin registrierten Internet-Domain ... bzw. der sich aus dem Registrierungsvertrag ergebenden Haupt- und Nebenansprüche zu einer auch nur teilweisen Befriedigung der Forderungen des FA hätte führen können. Das FA hat den Wert bzw. die Verwertbarkeit der von ihm gepfändeten Ansprüche in seinem schriftsätzlichen Vorbringen nicht dargelegt. Auch in der mündlichen Verhandlung hat der Vertreter des FA diesbezüglich keine konkreten Angaben machen können. Da das FG keine Feststellungen zum Wert dieser Ansprüche getroffen hat, ist der erkennende Senat an einer Entscheidung gehindert, so dass die Sache an das FG zurückzuverweisen ist. Im zweiten Rechtsgang hat das FG solche Feststellungen nachzuholen und unter Beachtung der dargestellten Grundsätze darüber zu entscheiden, ob sich die Pfändung unter den besonderen Umständen des Streitfalls unter dem Gesichtspunkt des Verbots der nutzlosen Pfändung als unzulässig erweist.
Deshalb ging das zurück zum Finanzgericht Münster.
Etwas befremdlich finde ich diesen Abschnitt:
> (RN 4) Mit Schriftsatz vom 8. Juni 2016 hat die Klägerin [die DENIC] bestätigt, dass die streitgegenständliche Domain nicht mehr registriert sei, weil sie inzwischen den mit dem bisherigen Domaininhaber bestehenden Domainvertrag aufgrund einer falschen Adresse fristlos gekündigt und die Domain am 17. März 2014 gelöscht habe. Inzwischen sei die Domain frei und seit dem 27. November 2014 unregistriert.
Eine Domain, die aktuell Gegenstand eines Rechtsstreits ist, nun einfach freizugeben, finde ich etwas merkwürdig.
Das Urteil von Münster: Finanzgericht Münster, 7 K 781/14 AO
https://www.justiz.nrw.de/nrwe/fgs/muenster/j2015/7_K_781_14_AO_Urteil_20150916.html
Demnach wurde die Pfändungsverfügung gegenüber der DENIC am 15.05.2013 erlassen.
Die DENIC wurde in einem Fall 2011 sogar zu Schadenersatz verurteilt:
Durchbruch bei den Domainpfändungen - LG Frankfurt: Denic haftet bei Verlust der Domain
http://www.aufrecht.de/beitraege-unserer-anwaelte/it-recht-onlinerecht/domainpfaendung-denic-haftet-als-drittschuldnerin-auf-schadensersatz.html
Da hatte ein Kläger eine Domainpfändung erwirkt. Die DENIC hatte die Abgabe einer Drittschuldnererklärung verweigert, keine Sicherungen ergriffen und die Domain gelöscht. Ein Dritter registrierte diese. Die DENIC wurde zum Schadenersatz verurteilt.
Arbeit statt Urlaub: Beschäftigte in den USA verzichten freiwillig auf Urlaub, nehmen oft nur fünf bis zehn Tage frei
In Deutschland ist der Urlaub für so manch einen ja heilig: Im Sommer zwei bis drei Wochen, im Frühjahr und im Herbst eine Woche. Dazu ein paar geschickt gewählte Brückentage. Selbständige, die womöglich eher selten Urlaub machen: Die haben stattdessen andere Freiheiten als Angestellte.
Frankreich macht kollektiv Urlaub, da ruht das Leben gleich ganz.
Anders sieht die Situation dagegen in den USA aus. Dort gibt es einerseits nicht ganz so viel Urlaub. Andererseits nehmen Arbeitnehmer diesen oft gar nicht in Anspruch. Aus Sorge, ihre Stelle könne anschließend wegfallen.
.
Arbeit statt Urlaubstage: Firma first für Beschäftigte in den USA
http://www.tagesspiegel.de/weltspiegel/arbeit-statt-urlaubstage-firma-first-fuer-beschaeftigte-in-den-usa/20235546.html
.
660 Millionen bezahlte Urlaubstage haben US-Bürger nicht in Anspruch genommen. Es gibt zwar - im Gegensatz zu Europa - keinen gesetzlichen Urlaubsanspruch. Aber trotzdem hat jeder Arbeitnehmer im Schnitt Anspruch auf 20 bezahlte Urlaubstage, also etwa einen Monat.
Der Durchschnitt der genommenen Urlaubstage liegt bei 16 Tagen. Viele US-Bürger kommen aber lediglich auf 10 Tage. Und von denen geht die Hälfte für die Weihnachtszeit drauf. Diese sind in den USA keine staatlichen Feiertage, so daß für die Zeit von Weihnachten bis Neujahr im Schnitt 5 Tage fällig sein dürften.
In Deutschland kann man teils mit zwei Tagen Urlaub und Heiligabend am Montag elf Tage am Stück frei haben.
Besonders heftig sei das im Großraum Washington. Ein Mitarbeiter spricht von einer "John-Wayne-Mentalität":
> „Nicht zur Arbeit zu gehen gilt als Zeichen der Schwäche. Du musst der Firma gegenüber loyal sein.“
Harry, ein Regierungsangestellter:
> „Es gibt immer die Sorge, dass man als entbehrlich betrachtet wird, wenn man zu lange wegbleibt“, sagt er. „Wenn die Leute auch ohne dich auskommen, wollen sie dich vielleicht überhaupt nicht mehr haben.“ Die Firma, betont Harry, sei in diesem Verständnis „wichtiger als alles andere“.
Der Kolumnist Robert Samuelson spricht in der Washington Post von Arbeits-Märtyrern. Theoretisch würden die USA den Urlaub lieben, praktisch würden sie ihn fürchten.
Die Hotels und Freizeitparks klagen über Milliardeneinbußen, da ist die Rede von 220 Milliarden Dollar, die 2015 nicht für Ferienaktivitäten ausgegeben wurde. Auch auffallend: Gegenüber dem Jahr 2000 ist die Zahl der beanspruchten Urlaubstage um 4 Tage gesunken.
Persönlich finde ich das etwas heftig. In Japan gibt es das ja auch - daß sich Leute zu Tode arbeiten. Ähnlich in den USA bei einigen der Großbanken, die daraufhin begannen, zumindest an manchen Punkten gegenzusteuern.
Umstellung einer alten Website auf https - SSL - einige Hinweise
Wenn Sie bei einem der großen Massenhoster heute eine neue Website starten: Dann ist es durchaus denkbar, daß Ihnen der verschlüsselte Zugang per https / SSL kostenlos mit angeboten wird. Buchen Sie SSL gleich mit dazu. Das schadet nichts und kann nur nützlich sein. Sie ersparen sich spätere Anpassungen.
Was aber ist, wenn Sie eine ältere Website haben? Die womöglich seit Jahrzehnten unverschlüsselt läuft? Bei der es "eigentlich" nur Informationen gibt und bei der bsp. ein Kontaktformular bereits auf einen sicheren Kanal ausgelagert worden ist?
Soll man diese auch umstellen? Wenn ja, wo lauern Klippen?
Klar ist: Werden irgendwelche Informationen oder gar Passwörter auf der Seite eingegeben, sollten Sie möglichst schnell umsteigen. Denn Chrome und FireFox zeigen seit etwa Anfang des Jahres hässliche Warnmeldungen an. So etwas ist "nicht so prickelnd".
"Im Prinzip" ist der Umstieg ganz einfach:
(1) Sie müssen dafür sorgen, daß alle Inhalte der Seite, die bislang per http geladen wurden, nun per https geladen werden. Also Bilder, JavaScript-Dateien, iFrame-Einbindungen anderer Sites. Das vermeidet Mixed Content Warnungen, die man immer wieder auf umgestellten Sites sieht. Ich hatte zum Testen zwar kein wirklich geeignetes Tool gefunden. Aber der alte Linkchecker Xenu tat es auch. Diesen über die https-Version laufen lassen und das Ergebnis nach Url sortieren. Dann sieht man, ob es Zugriffe auf die umgestellte Site per http gibt.
(2) Sie sollten dafür sorgen, daß derselbe Inhalt (dieselbe Seite) nicht unter http und https gleichzeitig erreichbar ist. Die http-Version sollte auf die https-Version (Status 301) weiterleiten. Das vermeidet Probleme mit Suchmaschinen, die sonst plötzlich Inhalte unter zwei verschiedenen Adressen (per http und per https) drin haben. Und Sie dementsprechend abwerten. Ferner sollten Sie sich für eine Variante (mit www oder ohne www) entscheiden. Und Zugriffe auf die andere Variante entsprechend weiterleiten.
Dabei ist zu berücksichtigen: Erst von http auf https. Dann bsp. von . domainname . de auf www . domainname . de, wenn Sie die www-Variante bevorzugen.
--
Hintergründe:
Ich bin in der vergangenen Woche mit meiner alten (Inklusiv-) Domain www.sql-und-xml.de von 1&1 auf einen eigenen Server umgezogen. Die lief dort seit 2003. Hintergrund war, daß ich die Website auf SSL umstellen wollte, es mir aber zu unklar war, was ich bei 1&1 selbst konfigurieren kann und was nicht. Das hat einen Umzug der Mailpostfächer mit sich gebracht, dieser eigentliche (technische) Domainumzug war aber problemlos. Kleiner Trick: Vor dem Domainumzug bei 1&1 für jedes Mailkonto zusätzlich eine Weiterleitung auf eine anderswo liegende Mailadresse definieren. Dann bekommt man zwar Mails bis zum Umzug doppelt (über die Weiterleitung und den direkten Kontoabruf). Man stellt aber sicher, daß jede Mail sofort weitergeschickt wird und man nach dem Umzug gar nicht mehr an das alte Konto ran muß.
Früher konnte man an eine IP-Adresse nur ein Zertifikat binden, damit war auf dieser IP-Adresse auch nur eine verschlüsselte Domain möglich. Da Massenhoster auf einer IP-Adresse sehr viele Domains betreiben, war SSL für diese Domains ausgeschlossen. Das hat sich erst mit Server Name Indication (SNI) geändert. Seither kann man unter einer IP-Adresse viele verschlüsselte Domains betreiben.
Ferner war die Erstellung und Erneuerung von Zertifikaten ursprünglich eher Handarbeit. Das geht bei einem Server, wenn man das meinetwegen alle drei Jahre einmal macht und den Server komplett selbst verwaltet. Es war aber undenkbar, das als Massengeschäft zu betreiben. Seit dem Start von Let’s Encrypt Ende 2015 hat sich das gewaltig verändert. Diese bieten (1) kostenlose Zertifikate an und haben (2) ein Protokoll ACME entwickelt, mit dem sich die Anfrage nach einem Zertifikat, die Bestätigung und die Installation automatisieren lassen.
ACME soll Anfang nächsten Jahres in einer Version 2 weltweit standardisiert werden. Die Version 2 soll grade den Bedürfnissen von Massenhostern deutlich entgegenkommen und auch Sternzertifikate (*.example.com) unterstützen. Es ist davon auszugehen, daß Massenhoster Verschlüsselung massiv forcieren.
--
Gründe für den Umstieg:
- Die Seite kann nicht verändert werden. Etwa durch eingeschleuste Werbung. Es ist allerdings weiterhin möglich, daß Addins im lokalen Browser JavaScript injizieren und dadurch Werbung einschleusen. So daß Nutzer denken, daß die Werbung von der Seite käme. Deshalb habe ich gleichzeitig meine Website auf Content Security Policy Header umgestellt. Das hat einige Anpassungsarbeiten in JavaScript-Dateien erfordert. Dies stoppt JavaScript-Injektionen von Addins und Virenscannern, sofern man Inline-JavaScript unterbindet.
- Früher waren Man-in-the-middle-Angriffe nur sehr schwer durchführbar: Im Festnetz muß jemand auf den gesamten Datenverkehr zwischen dem Browser des Nutzers und dem Webserver zugreifen können. Heute sind Man-in-the-middle-Angriffe weitaus leichter. Man kann bsp. am Flughafen per eigenem Laptop einen eigenen WLan-Zugang anbieten. Dann nutzen Leute diesen - und man greift darüber Daten ab. Der "technische Fortschritt" erleichtert ein Angriffsszenario, das früher nur sehr schwierig zu realisieren war.
Keine Gründe für den Umstieg:
- Besseres Ranking: Das Ranking einer Site mag sich marginal verbessern. Einer bis dahin schlecht gerankten Site dürfte das aber nichts helfen, einer guten nutzt es nichts.
- Performance des Clients: Wenn die Verschlüsselung den Client überfordert, dann sieht mir das eher danach aus, daß die Website zu schlecht aufgebaut ist (zu viele Elemente anfordert). Wenn das Sites wie Facebook und Xing seit Jahren schaffen, Clients nicht zu überfordern, dann sollten das auch Webshops schaffen.
Den Kopf geschüttelt habe ich über manche Aussagen (Zitate) in diesem Beitrag von 2014:
HTTPS für jede Website – sinnvoll oder nicht?
https://feller.systems/https-fuer-jede-website-sinnvoll-oder-nicht/
Da hat mich dieses Zitat des "Datenschutz Nord" verblüfft:
> Zum Thema Vollverschlüsselung von Webseiten rät auch der Datenschutz Nord aktuell ab, da es nicht notwendig ist den Inhalt von normalen Webseiten verschlüsselt zu senden. Denn auf einer Webseite liegen keine geheimen Informationen. Anders verhält es sich wenn auf einer Seite persönliche Daten abgefragt werden, Kontaktformulare eingebunden sind oder Logins verwendet werden. Diese Seiten sollten gezielt verschlüsselt sein. Der Rest einer Webseite nicht.
Das Problem dabei ist: Grade so ein Mixbetrieb (dieselbe Domain teils per http, teils per https) macht SSL-Stripping-Angriffe erst möglich. Diese setzen einen Man-in-the-middle-Angriff voraus - und diese sind inzwischen sehr viel einfacher geworden als früher.
SSL-Stripping-Angriffe kann man mit Strict-Transport-Security (HSTS) unterbinden: Da teilt der Webserver dem Browser mit dem ersten Zugriff per https mit, daß in Zukunft alle Zugriffe per https erfolgen sollen. Dann wandelt der Browser von sich her Links, die mit http anfangen, in https-Links um. Das korrekt implementiert bedeutet, daß der Server per http niemals Inhalte, nur 301-Weiterleitungen ausliefert.
Theoretisch ist der Erstzugriff auf eine Website noch gefährdet. Das kann man dadurch vermeiden, daß man sich in die Preload-Liste von Google einträgt und wartet, bis das im Chrome, FireFox und IE übernommen wurde (das kann einige Monate dauern). Dann wird sogar beim allerersten Zugriff auf eine Website nur https aufgerufen, auch wenn der Nutzer http eingegeben hat.
Meine Hauptdienstleistung Server-Daten läuft inzwischen schon seit geraumer Zeit unter https, HSTS und ist in der Preload-Liste drin. Allerdings bedeutet die Nutzung dieser Features auch: Man nagelt sich selbst auf https fest. Sprich: Wenn Sie mit solchen erweiterten Konfigurationen arbeiten, dann ist Ihnen der Rückweg zu http praktisch verbaut. Damit gegebenenfalls auch der Umzug zu einem Hostingunternehmen, das Ihnen kein SSL anbietet.
Links:
https://www.ssllabs.com/ssltest/ - Server-SSL-Konfiguration mit SslLabs testen
https://securityheaders.io/ - zusätzliche Securityheader testen: Strict-Transport-Security, Content Security Policy, Public Key Pins. Die anderen Header sind zwar "nice to have", aber wirklich sicherheitskritisch sind diese drei. Wobei ich auf *.server-daten.de X-Frame-Options nicht gesetzt habe - einige Kunden binden einzelne Seiten per Frame auf ihrer Website ein. Content Security Policy kann umfangreiche Änderungen am gesamten JavaScript-Code einer Site erfordern.
SSL Stripping: Black Hat: Neue Angriffsmethoden auf SSL vorgestellt (2009)
https://www.heise.de/security/meldung/Black-Hat-Neue-Angriffsmethoden-auf-SSL-vorgestellt-198285.html
Ein Video (2012): SSL-Stripping, die ignorierte Gefahr
https://blog.mgm-sp.com/2012/11/02/ssl-stripping-die-ignorierte-gefahr/
https://hstspreload.org/ - HSTS-Preload-Formular. Auch wenn man Preload nicht nutzen möchte, kann man den dortigen Test nutzen, um zu prüfen, ob Weiterleitungen http -> https in der richtigen Reihenfolge durchgeführt werden.
https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json - statische Liste aller Domains mit Preload. Die Domains werden direkt im Quellcode von Chrome verankert. FireFox / Microsoft übernehmen diese Listen nach einiger Zeit.
Es fällt auf, daß bsp. deutsche Banken da überhaupt nicht drin sind. Ferner wächst die Liste mit jeder neuen Chrome-Version. Die server-daten.de ist da drin (schon relativ alt), die sql-und-xml.de noch nicht. Neue Domains kommen dort immer blockweise rein und sind im Block alphabetisch sortiert.