Wenn Automatisierung Vertrauen zerstoert

Kolumne, Programmierung ca. 5 Min. Lesezeit

Vor ein paar Wochen bekam ich eine automatisierte E-Mail von einem Unternehmen, mit dem ich seit Jahren zusammenarbeite. Betreffzeile unauffällig, Absender korrekt, Layout professionell. Im Text stand eine Beleidigung. Keine subtile Spitze — eine echte, persönliche, unmissverständliche Beleidigung. In einer offiziellen Unternehmens-E-Mail.

Automatisierte Nachricht auf einem Bildschirm in leerem Raum

Spoofing. Jemand hatte die Absenderadresse gefälscht und über das automatisierte Mailsystem des Unternehmens eine manipulierte Nachricht verschickt. Das System hat sie brav zugestellt. An alle Kunden im Verteiler. Niemand hat es bemerkt — bis ich angerufen habe.

Wie so etwas passiert

„Niemand hat es bemerkt“ — das ist der Satz, der mich seitdem beschäftigt. Nicht die Beleidigung selbst. Die war offensichtlich nicht vom Unternehmen. Was mich beschäftigt, ist die Frage, wie ein automatisiertes System im Namen eines Unternehmens kommunizieren kann, ohne dass irgendjemand kontrolliert, was es kommuniziert.

Technisch ist die Erklärung simpel: kein SPF-Record, kein DKIM, kein DMARC. Oder falsch konfiguriert. Das sind drei Einstellungen im DNS. Zehn Minuten Arbeit für jemanden, der weiß, was er tut. Aber niemand hat es getan.

Warum? Weil es nicht im Scope war. Weil es niemand auf dem Schirm hatte. Weil das Mailsystem „funktioniert hat“ — im Sinne von: Es hat E-Mails verschickt. Dass es auch gefälschte E-Mails verschickt hat, fiel nicht auf, weil es dafür kein Dashboard gibt. Kein rotes Lämpchen, kein Alert.

Ich kenne das Muster aus dutzenden Projekten. Irgendjemand richtet ein Mailsystem ein. Es funktioniert. Alle sind zufrieden. Drei Jahre später hat niemand mehr die Zugangsdaten, und die Konfiguration wurde nie überprüft. Das System läuft einfach weiter. Wie ein Wasserhahn, den niemand zugedreht hat.

Der Schaden, den keine Metrik erfasst

Ich habe das Unternehmen kontaktiert und auf das Problem hingewiesen. Die Reaktion war dankbar, aber spät. Die entscheidende Frage hat mir niemand beantworten können: Wie viele andere Kunden haben diese Mail bekommen? Wie viele haben nicht angerufen, sondern einfach aufgehört, dort zu kaufen?

Genau das ist das Problem mit zerstörtem Vertrauen: Es gibt keine Fehlermeldung. Der Kunde verschwindet. Still. Ohne Feedback. Ohne Exit-Interview. Ohne Ticket im Support-System.

Stell dir vor, du gehst in einen Laden und an der Kasse sagt dir die Kassiererin etwas Unverschämtes. Du sagst nichts, du drehst dich um, du gehst. Und du kommst nie wieder. Der Laden merkt es nicht. Er sieht nur, dass die Umsätze langsam sinken, aber er weiß nicht warum. Es gibt keinen KPI für „Kunden, die wegen einer schlechten Erfahrung nie wiedergekommen sind“.

Kein Analytics-Dashboard zeigt „Vertrauen verloren“ als Metrik. Kein A/B-Test erfasst den Schaden einer einzigen kompromittierten Nachricht. Kein Monitoring-Tool meldet „Reputation beschädigt“, und keine Conversion-Rate bildet ab, was eine gefälschte E-Mail an einem Dienstagmorgen angerichtet hat.

Der Schaden ist real. Er ist nur unsichtbar. Und unsichtbare Schäden werden nicht repariert, weil niemand den Reparaturauftrag auslöst.

Unhöflichkeit skaliert

In der physischen Welt ist eine unhöfliche Erfahrung lokal begrenzt. Ein patziger Verkäufer trifft vielleicht zwanzig Kunden am Tag. Ein beleidigendes Schild im Schaufenster sehen die Passanten dieser einen Straße. Der Radius des Schadens ist begrenzt.

IT macht Unhöflichkeit skalierbar. Eine falsche Auto-Reply erreicht 10.000 Kunden gleichzeitig. Eine schlecht formulierte Push-Notification geht an jeden Nutzer der App. Ein unsensibles Pop-up erscheint auf jeder Seite, tausendfach pro Stunde. Und das Perfide: Niemand hat es so gemeint. Es gibt keinen böswilligen Akteur. Es gibt nur ein System, das tut, was es tun soll — ohne zu verstehen, was es tut.

Die Beleidigung in meiner E-Mail war ein extremes Beispiel. Aber die alltäglichen Varianten sind genauso schädlich, nur subtiler:

Eine Mahnung, die am Tag einer Beerdigung kommt — automatisch generiert, termingerecht, tonlos. Eine fröhliche Marketing-Mail an einen Kunden, der gerade eine Beschwerde eingereicht hat. Eine automatisierte Bewertungsanfrage für ein Produkt, das defekt geliefert wurde. „Wie zufrieden waren Sie mit Ihrer Lieferung?“ — drei Tage nachdem der Kunde eine wütende Support-Mail geschrieben hat.

Technisch korrekt. Menschlich desaströs.

IT ist Kommunikation

Wir behandeln IT-Systeme als technische Infrastruktur. Server, Datenbanken, APIs, Deployments. Aber ein Großteil dessen, was IT-Systeme tun, ist nicht rechnen — es ist kommunizieren. Sie schreiben E-Mails im Namen von Menschen. Sie erzeugen Benachrichtigungen, Fehlermeldungen, Statusupdates. Sie repräsentieren ein Unternehmen nach außen, rund um die Uhr, an jedem Tag.

Wenn ein Mitarbeiter eine beleidigende E-Mail an einen Kunden schickt, ist das ein HR-Fall. Sofortige Konsequenzen. Wenn ein IT-System dasselbe tut? Ein „technisches Problem“. Ein Ticket. Priorität Medium. Wird nächste Woche bearbeitet.

Aber für den Empfänger ist es dasselbe. Er sieht den Absender. Er sieht den Firmennamen. Er sieht eine Nachricht, die im Namen dieses Unternehmens verschickt wurde. Ob ein Mensch oder eine Maschine den Senden-Button gedrückt hat, ist für ihn irrelevant. Der Schaden ist identisch.

Verantwortung automatisiert sich nicht

Je mehr wir automatisieren, desto wichtiger wird die Frage: Was passiert, wenn die Automatisierung falsch kommuniziert? Nicht technisch falsch — das fängt das Monitoring ab. Sondern menschlich falsch. Tonfall, Timing, Kontext.

Wer ein Mailsystem einrichtet, muss sich fragen: Wer prüft, was dieses System verschickt? Nicht einmal — sondern regelmäßig. Wer prüft die Auto-Replies, die Transaktionsmails, die Benachrichtigungstexte? Wer testet, ob das System noch das tut, was es tun soll — und nicht das, was jemand vor drei Jahren konfiguriert hat?

In den meisten Unternehmen lautet die Antwort: niemand.

Automatisierung ohne Empathie ist keine Effizienz. Sie ist Fahrlässigkeit mit Skalierungsfaktor.

Jede automatisierte Nachricht ist ein Vertrauensbeweis — oder das Gegenteil. Jede E-Mail, jede Push-Notification, jede Statusmeldung spricht im Namen des Unternehmens. Wer diese Stimme nicht kontrolliert, gibt sie ab. Nicht an die Kunden — an den Zufall. Und der Zufall ist kein guter Sprecher.