Die neuen OX-Versionen integrieren und veröffentlichen Daten aus Social Networks wie Xing, Linkedin, Facebook und Twitter. Warum das Datenschützer auf den Plan ruft, zeigt dieser Artikel.

Screenscraping ist vielerorts verpönt. Nicht nur den Web-2.0-Betreibern ist Software suspekt, die sich mit Hilfe von Skripten mit den Accountdaten des Benutzers bei Google, Facebook oder Xing anmeldet und Inhalte automatisiert ausliest, um sie in anderen Portalen zu veröffentlichen. Auch Open-Xchange seit Version 6.10 kommt als erste Open-Source-Groupware mit solchen vom Marketing Social-OX genannten Funktionen (Abbildung 1) und muss sich nun einiges an Kritik dafür anhören.

Was vermutlich im Interesse der sozialen Netzwerke liegt – immerhin stellt Facebook ein umfangreiches API zur Verfügung, das die Integration des Dienstes in externe Webangebote explizit vorsieht -, stößt bei Datenschützern und Nutzern auf Misstrauen. So praktisch es ist, im Open-Xchange-Account alle Daten und Kontakte verfügbar zu machen, was ja auch im Sinne jeder Unified-Messaging-Lösung ist. So fragwürdig ist aber auch das Veröffentlichen dieser Daten in der Groupware, berührt es doch auch die Interessen der im Xing-Account verwalteten Kontakte, die ja einer Veröffentlichung im Internet außerhalb des Xing-Netzwerks sicherlich nicht zugestimmt haben.

Der OX

Open-Xchange [1] stammt ursprünglich aus dem Suse-Dunstkreis und dürfte vielen Nutzern und Anwendern insbesondere in den letzten Jahren durch die Zusammenarbeit mit dem Provider 1&1 in Form der Hosting-Version 1&1 Mailxchange bekannt sein. Die Community-Version [2] ist zwar kostenlos und lässt sich, fundierte Systemkenntnisse vorausgesetzt, flexibel an die eigene Serverumgebung anpassen. Dafür ist das Übersetzen und Installieren recht aufwändig, weil beides auch das Konfigurieren von Webserver, Datenbank, Verzeichnisdienst und Mailsystem einschließt oder sogar voraussetzt. Allerdings ist das Installieren von Open-Xchange für verschiedene Szenarien und Zielsystem sowohl unter Oxpedia [3] als auch an vielen Stellen im Netz gut dokumentiert.

Im Test hat der Autor die Appliance-Edition installiert, die auf dem Corporate Server [4] von Univention basiert, also auf einem Serversystem mit Debian-Fundament, das eine einheitliche zentrale Administration auf Basis von LDAP umsetzt und dabei Gebrauch von einem vorkonfigurierten Domänen-Konzept macht (Abbildung 2).

Abbildung 2: Im Univention Directory Manager (UDM) der OX Application Edition (AE) lassen sich über die bei der Installation festgelegte DNS-Domain hinaus relativ einfach zusätzliche (Mail-)Domänen angeben.

Aufbauten

Zusätzlich zur freien Version vermarktet Open-Xchange rund um den Applikationsserver auch eine Reihe von Addons, etwa ein Thunderbird-Plugin, den Outlook-Connector Oxtender und mehrere Mobility-Lösungen, zum Beispiel eine kostenpflichtige Sync-ML-Schnittstelle. Das Backend ist ein in Java programmierter und als OSGI-Bundle ausgeführter Collaboration-Server, der auf verschiedenen offenen Standards basiert und über die HTTP-Schnittstelle via Json, Webdav und Webdav.xml mit den unterstützten Frontends kommuniziert.

Meist kommt als E-Mail-Server dabei das Mailsystem Postfix zusammen mit Cyrus Imap zum Einsatz. Als zentraler Datenspeicher dient MySQL, die Nutzerverwaltung findet im LDAP statt. Open-Xchange unterstützt SSL und TLS, das Frontend ist eine Ajax-Browser-Applikation. Alternativ lassen sich native Clients wie MS Outlook, Thunderbird, Kontact & Co. per Imap und Webdav.xml anbinden.

Da Open-Xchange im Gegensatz zur Konkurrenz Zarafa Server-seitig keinen eigenen Mapi-Provider implementiert, sorgt der Outlook-Connector Oxtender lediglich für eine Synchronisation der OX-Daten mit denen der lokalen PST-Dateien in MS Outlook.

Dazu kommuniziert der Oxtender via Webdav/XML mit dem OX-Server. Laut Hersteller soll es in Kürze aber einen Oxtender für Outlook geben, der einen echten Mapi-Store anbietet. Dank offener Schnittstellen ist rund um den OX-Server in den letzen Jahren eine Reihe von Thirdparty-Produkte entstanden, etwa ein Oxtender für Plesk oder Os X.

Seit Version 6.1 macht OX auch Nachrichten aus Webmailern wie GMX, Web.de oder Yahoo im Posteingang zugänglich. Zudem kann der Nutzer Kontaktdaten aus Xing, Facebook oder Linkedin in sein persönliches Adressbuch übernehmen und Kollegen zur Verfügung stellen. (Abbildung 3).

Sozialreform

Mit der neuen Version 6.16 implementiert OX erstmals auch das Abonnieren von Google-Mail und Google-Kontakten ebenso wie eine Vorschau auf die Nachrichten-Integration für Twitter (Abbildung 1), RSS und Facebook. Das Abonnieren von Postfächern und Kontakten via Assistent oder Kontextmenü funktioniert identisch wie bei Diensten wie Linkedin oder Xing. Zum Abonnieren von Nachrichten findet der Benutzer unter »Einstellungen | E-Mail« den mit »Vorschau« geflaggten Eintrag »Messaging«.

Abbildung 3: Beim Veröffentlichen eines Accounts generiert OX eine URL, die der Benutzer weitergeben kann.

Ein neuer Dienst lässt sich mit »Hinzufügen« abonnieren. Hier genügen bereits das Auswählen des Typs (also Twitter, Facebook oder RSS), das Vergeben eines Namens und das Eingeben der URL (oder von Accountdaten, etwa bei Twitter) mit einem anschließenden Klick auf »Speichern«. Die entsprechenden Feeds sind im Ordner des Benutzers sofort sichtbar (Abbildung 4).

Abbildung 4: Web-2.0-fähig und vielseitig: Open-Xchange unterstützt auch RSS-News und Twitter-Feeds.

Das Abonnieren von Nachrichtendiensten ist auch über das Kontextmenü »Erweitert | Abonnieren« des Ordners »InfoStore« möglich. Die Register »Veröffentlichungen« und »Abonnieren« im Eingabedialog sind in der Abbildung mit »Neu« markiert. Voraussetzung ist, dass der Admin im Info-Store einen User-Store anlegt. Inkonsequent fällt dabei die uneinheitliche Schreibweise von »InfoStore« und »Userstore« auf (Abbildung 5).

Abbildung 5: Die neue Version OX 6.16 bringt für den Nutzer einfach zu handhabende Assistenten für das Abonnieren der wichtigsten Web-2.0-Dienste mit.

Leider klappte das Abonnieren eines Facebook-Kontos im Test nicht problemlos. OX reagierte hier nach Eingabe der Kontodaten mit:

15.05.2010 16:54-->Fehlermeldung: Fehler 
bei der Kommunikation mit dem Facebook-
Service: Invalid API key (FACEBOOK-0006,
1436481079-1348)

Das liegt wohl daran, dass das Facebook-API einen Key erwartet, der die anfragende Applikation eindeutig identifiziert, aber aufgrund des Preview-Status offenbar noch nicht Teil der getesten OX-Implementation war. Einzelheiten zum API finden sich unter [5].

Eine weitere Neuerung besteht in der Integration von VoIP. Voraussetzung dafür ist die Unified-Communications-Software 4PSA Voipnow, die Open-Xchange seinen Endkunden über SaaS-Provider anbietet [6]. Alternativ besteht die Möglichkeit, einen eigenen 4PSA-Server aufzusetzen. Derzeit unterstützt die VoIP-Lösung das Anrufen und Empfangen von Gesprächen, den Fax-Empfang und -Versand. Anrufe lassen sich aus dem Adressbuch initiieren und Dateien aus dem Infostore direkt als Fax versenden.

Hieß das Postfach, mit dem sich Mails mehrerer Konten in einem gemeinsamen Ordner darstellen lassen, in Version 6.14 noch »Unified Inbox«, so haben es die Entwickler jetzt konsequenterweise in »Unified Mail« umgetauft. Laut Hersteller lassen sich Kontakte und Adressen jetzt auch im Hcard-Microformat exportieren. Zudem basiert die neue Implementierung für Einladungen und Terminbestätigungen ebenfalls auf dem Ical-Standard, sodass auch Nicht-OX-Anwender Einladungen und Terminbestätigungen verarbeiten können.

Sozialer Ochse

Das Social-OX-Konzept basiert auf Server Side Mashups: Benutzer können ihre Kontakte für Kollegen im LAN oder im Internet freigeben, indem sie ihre Kontakte-Ordner im OX veröffentlichen. OX generiert dann eine URL, die der Nutzer anderen Benutzern per E-Mail zusendet (Abbildung 3). Im Schritt 3 des Assistenten erfordert dieser sicherheitskritische Vorgang nur einen Mausklick.

Das eigentliche Integrieren der Xing- oder Facebook-Kontakte geschieht bereits beim Abonnieren – im Hintergrund. Eine Sicherheitsmeldung weist zwar drauf hin, dass die Kontakte des Accounts dann im Internet für jeden zugänglich sind, mehr Restriktionen als das generellen Sperren der Funktion oder das Maskieren privater Kontakte gibt es aber nicht.

Das Veröffentlichen der Daten von Xing, Facebook & Co. erscheint unter dem Gesichtspunkt problematisch, dass beim Verwenden des Assistenten keine Sicherheits- oder Datenschutz-Informationen erscheinen, wohl aber beim Veröffentlichen über das Kontextmenü des entsprechenden Kontakte-Ordners (im Menü »Erweitert | Veröffentlichen | Hinzufügen«). Mit »Speichern« zeigt OX unmittelbar die Veröffentlichungs-URL mit entsprechenden Datenschutz- und Sicherheitshinweisen an. Wer diese URL kennt, verfügt über alle veröffentlichten Kontakte des OX-Nutzers ohne weiteren Login.

Ist der OX-Server via Dyndns oder bei direkter Anbindung aus dem Internet erreichbar, erweist sich das als bedenklich, weil sich die URLs der veröffentlichten Adressenlisten aus einem fixen Schema zusammensetzen, sodass sie auch durch eine Google-Suchabfrage identifizierbar oder gar skriptbar sind.

Bildschirmkratzer

Unter der Haube arbeitet der Social-OX-Dienst mit der umstrittenen Screenscraping-Technik zum Auslesen der Daten, wobei sich die zuständigen Skripte von Open-Xchange mit den Zugangsdaten des Benutzers zum Beispiel bei Xing anmelden und die benötigten Informationen aus den HTML-Seiten von Xing auslesen. Die Konfiguration dieses Screenscraping läuft über »*.yml«-Konfigurationsdateien (Yaml Markup Language) im Verzeichnis »/opt/open-xchange/etc/groupware/Crawlers«. Hier finden sich Yaml-Dateien für alle Dienste, mit denen Social-OX funktioniert, also Facebook, Google Calendar, Google Mail, Linkedin, Xing, GMX, Web.de und Yahoo.

OX verwendet Yaml, weil sich darin Änderungen viel leichter vornehmen lassen, falls sich etwa Webseiten ändern. Den Anfang einer Beispielkonfiguration für Web.de zeigt Listing 1. Diese Yaml-Dateien konfigurieren den Java-Code, der dann, je nach Dienst, auf ein API zugreift oder Webseiten parst. Dabei sind auch Kombinationen möglich: So kann ein Login über eine Webseite erfolgen, aber der Zugriff auf die eigentlichen Daten über ein zur Verfügung gestelltes API wie bei Facebook. Stellt ein Dienst keine Schnittstelle bereit, hangelt sich der Crawler durch die Webseite und bedient diese wie ein Benutzer.

01 --- !com.openexchange.subscribe.crawler.CrawlerDescription
02 crawlerApiVersion: 616
03 displayName: web.de
04 id: com.openexchange.subscribe.crawler.webde
05 priority: 2
06 workflowString: |
07   --- !com.openexchange.subscribe.crawler.Workflow 
08   steps:
09     - !com.openexchange.subscribe.crawler.LoginPageByFormActionStep
10       actionOfLoginForm: "https://login.web.de/intern/login/"
11       baseUrl: ""
12       description: Log in
13       linkAvailableAfterLogin: "(\/online\/.*)"
14       nameOfPasswordField: password
15       nameOfUserField: username
16       numberOfForm: 2
17       pageTitleAfterLogin: "(\/online\/.*)"
18       password: ""
19       url: "http://web.de/fm/"
20       username: ""
21 [...]

Gegen dieses Verfahren können sich Anbieter wie Xing kaum schützen. Das Werkeln eines guten Screenscraping-Skripts lässt sich kaum von den Aktivitäten eines über den Browser eingeloggten Benutzers unterscheiden. Auf Sicherheit und den Schutz der Privatsphäre ihrer Nutzer bedachte Anbieter wie Xing sind von solch unfreiwilliger Zusammenarbeit nicht unbedingt begeistert.

Schutzbedarf

Immerhin muss der Nutzer seine Daten explizit publizieren wollen. Außerdem veröffentlicht OX als »privat« geflaggte Kontakte nicht, und der Administrator hat immer die Möglichkeit, das Veröffentlichen zu verbieten. Der OX-Server des Nutzers ist immer selbst Screenscraper und verwaltet die ausgelesenen Daten auch ausschließlich selbst. So oder so widerspricht aber die Philosophie von sozialen Netzen dem Sicherheitsanspruch einer auf den Einsatz in Unternehmen ausgelegten Kollaborationslösung.

Laut OX-Chefentwickler Martin Kauss nimmt Open-Xchange solche Bedenken durchaus ernst und arbeitet derzeit an einer ganz neuen Lösung. Das Linux-Magazin hat OX-CEO Rafael Laguna zu der in der Öffentlichkeit kontrovers geführten Diskussion um Screenscraping und das Social-OX-Konzept befragt, seine Antworten finden sich im Kasten “Rafael Laguna de la Vera im Interview”.

Fazit

Open-Xchange ist aktuell eine der interessantesten und engagiertesten Groupware-Lösungen auf Linux-Basis. Ein echter Meilenstein wird die für die kommende Version zu erwartende Mapi-Unterstützung, mit der OX in direkte Konkurrenz zu Zarafa und MS Exchange tritt. Die mit Version 6.10 eingeführten Social-OX-Funktionen stoßen auf geteiltes Echo, erweisen sich aber für manche Anwender als nützlich, weil sie zahlreiche Unified-Messaging-Dienste unter einer gemeinsamen Oberfläche im Blickfeld haben und diese auf Wunsch für alle Mitarbeiter im Unternehmen bereitstehen.

Die kontrovers diskutierten Datenschutz-Bedenken bescheren Open-Xchange jedenfalls derzeit ungeahnte Aufmerksamkeit. Wer Kollaborationslösungen an sich nützlich findet, wird wahrscheinlich auch an Social-OX Gefallen finden. Wer grundsätzlich skeptisch gegenüber der Offenheit von sozialen Netzen ist, wird seine persönlichen Daten ohnehin lieber lokal verwalten und wahrscheinlich auch keine Groupware benutzen.

Open-Xchange muss die Datenschutzbedenken ernst nehmen und die Philosophie des Social-OX-Ansatzes überdenken. Glaubt man der Roadmap und den Ausführungen der Mitarbeiter, ist dieser Prozess bereits im Gang. Sind dann noch die angekündigten technischen Neuerungen wie Mapi umgesetzt, hat der OX gute Chancen. (mfe)