FlowFact - Überraschung per Mail

Heute mittag eine Mail erhalten, weil ich mich mal böse über FlowFact ausgelassen habe. Da ich ein mitteilsames Wesen bin, hier mal die Mail plus Antwort von mir. Viel Spass beim Lesen :)

> Sehr geehrter Herr XXX,
>
> 
>
> vielen Dank für Ihre Meinung bezüglich FlowFact eCRM unter
> http://www.schreibtischwerkstatt.de/christian/2010-03-25/flowfact-eine-k....
>
>
> Gerne möchte Ihnen hierzu einige zusätzliche Informationen geben:
>
> 
>
> Bei FlowFact eCRM handelt es sich um ein SaS Produkt mit einem Eclipse
> RCP Client und gehosteten Webservices auf Java-Basis.
>
> 
>
> Grundsätzlich ist der Client betriebssystemunabhängig. Offiziell
> unterstützen wir momentan Windows und Mac.
>
>
> Warum haben wir keine Ajax-Awendung entwickelt? Ja, das wäre deutlich
> günstiger gewesen. Wir haben uns für einen RCP-Client entschieden,
> da dieser die Vorteile einer Browsersoftware und einer Desktop-Software
> vereint.
>
> 
>
> Wer schon mal seine Mails z.B. mit Thunderbird bearbeitet hat weiss die
> Vorteile gegenüber einer Browser-Lösung á la Google-Mail zu schätzen.
> FlowFact eCRM ist eine Anwendung mit der man viel arbeitet. Da spielt
> das Thema User Experience, Komfort und Produktivität eine grosse Rolle.
> Aber auch der Zugriff auf lokale Ressourcen ist bei einer Browserlösung
> nicht so komfortable.
>
> 
>
> Warum kann FlowFact eCRM von einem USB-Stick gestartet werden?
> Installationsfrei ist dort eine komplette Office-Umgebung (CRM und
> Open-Office enthalten). D.h. auch auf einem fremden Rechner kann man
> Installationsfrei alles machen. Das ist für unsere Kunden ein großer
> Vorteil, da oft auf wechselnden Rechnern gearbeitet wird.
> Selbstverständlich kann der Kunde FlowFact eCRM auch lokal starten und
> dann benötigt er den Stick nicht.
>
> Ein weiterer Aspekt ist ein Sicherheitsaspekt. Gewisse Funktionalitäten
> kann der Kunde an den Stick koppeln, sofern er das möchte.
>
> 
>
> Zum Thema Zertifikat. Ja, FlowFact prüft das Zertifikat auch. Ich denke
> das ist ein legetimer Vorgang und keine "Katastrophe". Momentan
> unterstützen wir keine selbstausgestellten Zertifikate. Dies nehme ich
> gerne als Anregung mit für Kunden, die keinen so hohen
> Sicherheitsanspruch haben. Da das Produkt ein SaaS-Produkt ist, können
> die entsprechenden Services (Mail-Service)  natürlich auf lokal
> installierte Zertifikate oder auf eine ADS nicht zugreifen.
>
> 
>
> Da Sie sehr gutes SEO betreiben, herzlichen Glückwunsch dazu, schadet
> Ihr Eintrag der FlowFact AG unangemessen.
>
> 
>
> Wie bei allen Produkten kann man unterschiedlicher Meinung sein. Das ist
> gut so. Ich halte Ihre Überschrift und den Ton aber nicht für angemessen
> und unsachlich. Bitte passen dies entsprechend an.
>
> 
>
> Für Fragen und Anregungen stehe ich jederzeit gerne zur Verfügung.
>
> 
>
> Liebe Grüsse
>
>  XXX

Sehr geehrter Herr XXX,

erstmal vielen Dank für Ihre Mail, und dass sie nicht direkt die
Abmahnkeule auspacken. Ich denke, der Begriff "Streisand-Effekt" wird
Ihnen ebenfalls etwas sagen.

Nun zum eigentlichen:

Ich kann ihre Entscheidung, die Software nicht plattformunabängig zu
gestalten, nicht ganz nachvollziehen, da sie auch keine plausiblen
Gründe dafür genannt haben. Wenn die Software prinzipiell unter *nix
lauffähig ist, warum geben sie dem Kunden dann nicht wiederum die
Möglichkeit dazu? Ich weiß, dass dies argumentativ in der Richtung
"Immobilienmakler nutzen eh zu 99% Mac OS X oder MS Windows" ausarten
wird, aber dies ist für mich ein massiver Schwachpunkt. Sie sind da aber
nicht der einzige Anbieter, der den Kunden dementsprechend die (wirklich
freie) Wahl des Betriebssystem untersagt. Ich musste dementsprechend die
leidliche Erfahrung machen, dass es de facto einen (!) Anbieter gibt,
der eine OS unabhängige Lösung anbietet. Werten sie dies mal als
konstruktive Kritik, da laut Ihrer Aussage die Software auch unter *nix
lauffähig ist. Für mich ist dieser Punkt ein klares "dagegen". AJAX wäre
da nur ein anderes Beispiel für plattformunabhängigkeit gewesen, und
Ihre Kritikpunkte dafür leuchten auch soweit ein. Ich habe grundsätzlich
auch nichts gegen eine Clientbasierte Lösung einzuwenden, solange der
Kunde beim OS die freie Wahl hat.

Ich habe nichts gegen die Idee mit dem "Schlüssel" als USB Stick gesagt
(Marketingtechnisch genial, das muss Ihnen der Neid lassen), nur wenn
sie dort den Punkt "Sicherheit" ansprechen: Sie werden mir mit
Sicherheit zustimmen, dass in einem Windows basierten Netz Arbeitsdaten
auf einem USB Stick generell eine sehr unschöne Lösung darstellen. Noch
dazu die Problematik mit Viren/Würmern, ich erinnere bei diesem Punkt
mal an den Wurm Conficker, welcher sich letztes Jahr unter anderem auch
massiv über USB-Sticks verbreitete und ich nicht nur einmal bereits mit
Infektionen kämpfen musste, die per USB Stick eingeschleppt wurden. Gut,
Ihre Software wird nicht in Unternehmen in der Grössenordnung >20
Rechner eingesetzt, sprich Netzwerksicherheit spielt in dem Bereich
keine große Rolle. Aber es gibt Unternehmen, wie zB unter anderem auch
die deutsche Bundeswehr, die aus diesem Grund die Nutzung von USB
komplett untersagt haben. Dies mal als kleiner Denkanstoss, um den Punkt
"Sicherheit" abzudecken. Um eine Gegenfrage zu stellen: welche
Funktionalitäten werden denn mittels des Sticks geschützt, werden
personenbezogene Daten dort in irgendeiner Form kryptografisch sicher
abgelegt?

Zum Zertifikat: Ich denke, es ist sehr wohl eine Frage, ob und wie
Zertifikate abgefragt werden, respektive aus welchen Quellen diese
berücksichtigt werden. Darf ich da mal die Frage stellen, welche CAs sie
dort als vertrauenswürdig empfinden, respektive wie sie denn
sicherstellen wollen, dass zB eine weniger bekannte CA (CAcert zB, oder
konsultieren Sie mal die CA-Liste vom Mozilla Firefox, von denen mir
persönlich nicht mal die Hälfte der Einträge ein Begriff ist) von Ihnen
als vertrauenswürdig anerkannt wird? Es gibt zig Unternehmenslösungen,
angefangen von Microsoft Active Directory, die es ermöglichen,
Unternehmensweit selbst signierte Zertifikate auszustellen und an die
Clients zu verteilen, und genau das war der Punkt, den ich auch
kritisierte. Natürlich sollte nicht jedes x-beliebige Zertifikat
geschluckt werden, ohne dass es Rückfrage gibt. Aber wenn ich im ADS
oder im Client (Windows XP) ein Zertifikat hinterlege, welches ich in
meiner Eigenschaft als Administrator als vertrauenswürdig empfinde oder
gar selbst er- und bereitgestellt habe, warum hält sich Ihre Software
nicht an diese übergeordnete Instanz? Es ist in meinen Augen unnötig,
für eine interne Firmenmaillösung ein Zertifikat kostenpflichtig von
einer CA absegnen zu lassen.

Im übrigen betreiben wir nicht mal ansatzweise aktives SEO, das ergibt
sich durch die Vernetzung mittels Twitter und anderen Blogs
zwangsläufig. Ich würde ~2000 Klicks im Monat nicht als erfolgreiches
SEO bezeichen, zum Vergleich: Mein Eintrag zu FlowFact hatte zum
jetzigen Zeitpunkt 216 Klicks, wovon etwa 30% auf den Google-Bot
zurückgeführt werden können. SEO sieht anders aus, das müssten sie als
CRM Betreiber denke ich besser wissen als meine Wenigkeit.

Desweiteren weise ich Sie darauf hin, dass ich den strittigen Beitrag
umgehend gelöscht habe, aber wiederum Ihre Mail plus meine anhängende
Antwort auf unseren Blog veröffentlichen werde.

Mit freundlichen Grüssen

Christian XXX