Als Betreiber einer Website hat man eigentlich alles unter Kontrolle: Bilder, Texte, Formulare, Farben, Animationen können frei ausgewählt und mehr oder weniger zweck- und zielgruppengerecht gestaltet werden. Das hat den Vorteil, dass man Misserfolge selbst verantworten kann - und das ist doch viel lustiger als die Schuld auf andere zu schieben.

Nun stimmt das mit dem unter-Kontrolle-haben aber nicht zu 100%, es gibt da nämlich noch allerlei Fenster und Meldungen, die von Browsern, Datenbanken, Servern, Modems, DFÜ-Netzwerken usw. geöffnet bzw. abgesondert und den Benutzern hinterrücks - und meistens ungefragt - präsentiert werden. Deren Reaktionsspektrum reicht dann je nach der Qualität der übermittelten Botschaft von milder Verwunderung über verschiedene Grade der Verblüffung bis zum Einsetzen eines spontanen Totstellreflexes. Leider hilft es in den wenigsten Fällen wirklich weiter, wenn man sich ohnmächtig vom Stuhl fallen läßt.

Diese Meldung des Netscape Communicators...

...liest sich für Normalverbraucher wahrscheinlich so:

Natürlich ist es eigentlich nicht korrekt, in diesem Zusammenhang von "Webdesign" zu sprechen, denn in der Tat hat kann man ja die meisten Verhaltensweisen der fleißigen Heinzelmännchen hinter den Benutzeroberflächen nicht beeinflussen - es sei denn, man ruft eben mal bei Netscape an, um die Verantwortlichen dort zur Optimierung einiger Systemausscheidungen bewegen (ich habe es noch nicht versucht, aber ich vermute, es wäre eine Lebensaufgabe).

Andererseits ist es ein Zeichen für professionelle Betriebsblindheit, wenn man annimmt, Herr Hinz und Frau Kunz wüßten schon, wer da was zu verantworten hat. "Diese blöde Meldung ist in der Shop-Software implementiert, da haben wir ein reines Gewissen." Die Kundschaft hat aber leider nicht die blasseste Ahnung, woher die Meldung stammt, und da sie sich auch nicht dafür interessiert, macht sie in ihrer Einfalt eben doch den Betreiber verantwortlich. Das ist ungerecht? Schon, aber es gibt kein Entrinnen. Die mentalen Modelle, die Durchschnittssurfer vom Funktionieren der Internettechnologien haben, sind platt wie Flundern: Sie enden präzise auf der Scheibe des Monitors. Wer meint, ihnen das übel nehmen zu können ("sollen sie sich doch informieren..."), ist bei der Gestaltung von Websites fehl am Platz.

Das folgende Beispiel zeigt eindrucksvoll, wie vermittels der Äußerungen von Browser-Heinzelmännchen die Kundschaft wirksam vergrault wird. Es handelt sich um ein besonders einschneidendes Erlebnis, das ich beim Besuch eines Online-Shops namens "avitos.com" hatte. Der Versuch, in den dortigen Warenkorb zu spähen, hatte geradezu dramatische Folgen.

Zunächst einmal meldete sich dieses Fenster zu Wort:

(Screenshots vom 02.04.2001)

Ich weiß nicht, wie es Ihnen geht, liebe(r) Leser(in). Ich finde, der wesentliche Teil der Message kommt sofort 'rüber: Das Sicherheitszertifikat der Site ist jedoch fehlerhaft. Oha! Da stimmt etwas nicht! Vorsicht!!

Gefahr!!!

Immerhin kann man nicht behaupten, dass es sich um eine einsilbige Angelegenheit handelt. Im Gegensatz zu Meldungen, die uns eine Fehlernummer anzeigen und daneben einen Button Namens "genauere Informationen" (um uns dann mitzuteilen, dass zu dieser Fehlernummer gerade keine genaueren Informationen abrufbar seien), gibt es hier wirklich reichlich Lesestoff. Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben.

Hier muss ich nun eine peinliche Erinnerungslücke einräumen. Ich kann ich mich nämlich nicht daran erinnern, jemals irgend jemanden als nicht vertrauenswürdig eingestuft zu haben (das Thema Politiker möchte ich ausnehmen). Immerhin habe ich damals wohl Recht gehabt (trotzdem merkwürdig...).

Wahrscheinlich rutscht angesichts dieses Fensters auch bei 89-90% der anderen Kunden von avitos.com das Herz in die Cyberhose. Da wirft man einen unschuldigen Blick in den Warenkorb und was entdeckt man darin? Keine Waren, sondern ein ziemlich bösartig aussehendes Reptil, über dessen Angriffslust und Giftigkeit man sich kein klares Bild machen kann. Normalerweise wäre es vernünftig, das Ding gaaanz vorsichtig abzustellen und den Rückzug anzutreten, aber ich bin ein von Natur aus lernbe- und neugieriger Mensch. Also habe ich den Impuls unterdrückt, mich unauffällig zurückzuziehen. Stattdessen habe ich mir das unwürdige Zertifikat einmal anzeigen lassen - in der (wie sich herausstellen sollte) völlig abwegigen Hoffnung, ich könne dann feststellen, ob ich der ausstellenden Institution vertrauen kann. Der Klick auf Zertifikat anzeigen führt auf direktem Weg zu diesem Fenster:

Das TC TrustCenter Class 3CA hat dieses Zertifikat für www.avitos.com ausgestellt? Das Wort "Trust" weckt natürlich Vertrauen. Und das Zertifikat hat sein Verfallsdatum auch noch nicht überschritten (Gültig bis 31.05.2001). Meine Erfahrungen mit H-Milch lehren mich, dass in dieser Hinsicht alles im grünen Bereich ist. Leider kann ich keine anderen Erfahrungen zur Bewertung der Situation heranziehen - wie so ein verdorbenes Zertifikat wohl riecht? Ich kann auch sonst nichts Verdächtiges erkennen, abgesehen vielleicht davon, dass ich nicht den geringsten Schimmer habe, wer oder was das TC TrustCenter ist und was sich hinter dem Begriff Class 3CA verbirgt. Wäre "Class 4BD besser"? Oder vielleicht "Class 8GM"?

Trotzdem ist der Button am unteren Rand des Fensters der Ansicht, ich sei nun ausreichend informiert und könne das Zertifikat installieren. Aber nein. Gemach, gemach, ich lasse mich nicht so schnell übertölpeln. Wer weiß, was da installiert wird und wem es nützt. (Durch meinen Hinterkopf huschen an dieser Stelle Visionen von trojanischen Pferden, aufdringlichen Vertretern und nichtabstellbaren Werbezusendungen). Ich halte mich also an die erste Meldung, die angezeigt wird: Das Zertifikat kann aufgrund mangelnder Informationen nicht bestätigt werden. Das findet nun wirklich meine uneingeschränkte Zustimmung. Eine interessante Frage noch zum Schluß: Was geschieht, wenn ich auf OK klicke? Bedeutet das "Zertifikat nicht installieren"?

Alles in allem eine beachtliche Leistung in Sachen Konfusionstechnik.

Also weiter. Schauen wir einmal, welche Details das dienstbare Fenster bereit hält. Details klingt ja eigentlich nach "mehr Information", "Erklärung" oder "Aufklärung"...

...was aber - wie man hier schön sehen kann - nicht immer und unbedingt der Fall sein muss. Mehr Information gibt es zwar in der Tat, eine Erklärung des Geschehens rückt aber in unerreichbare Ferne. Dazu muss ich vielleicht erwähnen, dass ich nicht zu dem Kreis der Erwählten gehöre, die wissen, was RSA 1024 Bits bedeutet oder was ein Signaturalgorithmus macht.

Schön. Jetzt habe ich also (a) das Grobe nicht verstanden und wurde (b) von den Details in Verwirrung gestürzt, da kann (c) ein Blick in den Zertifizierungspfad die Sache eigentlich nicht mehr verschlimmern:

Aha!

Zum Glück habe ich es schon lange aufgegeben, derartige Informationen verstehen zu wollen - eine Eigenschaft, die mich, wie ich immer wieder feststelle, von den Anfängern in Sachen Computer und Internet unterscheidet. Wenn jemand darüber klagt, dass er oder sie etwas nicht verstehe, ist das ein untrügliches Zeichen dafür, dass er oder sie noch nicht lange im Geschäft ist. Alte Hasen ersetzen das Verstehen von Systemzusammenhängen durch zeitsparende Problemlösungsstrategien, z.B. einen gefühlvoll ausgeführten Warmstart oder die Neuinstallation einer spontan improvisierten Auswahl wichtiger Programme und Treiber oder einen Testlauf des Virencheckers (man weiß ja nie...)

Der Sachverhalt, dass hier ein Zertifikatsaussteller, dessen Name und eMail Adresse einerseits wohlbekannt sind, andererseits nicht gefunden wird, ist genau so ein Problem, über das man nicht nachdenken sollte. Nein, tun Sie es nicht, Sie werden nicht glücklich. Fragen Sie sich auch nicht, warum Sie sich das Zertifikat nicht anzeigen lassen können oder was hier wohl geschehen mag, wenn Sie auf OK klicken.

Ich selbst konnte durch einen Klick auf den Button zum Schließen des Fensters und 2-3 Klicks auf die Back-Taste wieder eine zertifikatfreie Sicht auf das Web herstellen. Das ging ja nochmal glimpflich ab.