An einem Sonntagabend Anfang Dezember bekam ich eine Threads-Benachrichtigung, die ich fast weggescrollt hätte. Jemand namens Tobias Schrödel hatte meinen Beitrag über NeatPass gesehen und wollte reden. Ich kannte den Namen nicht, also googelte ich ihn. Bestsellerautor. Regelmäßig im deutschen Fernsehen, wo er Cybersicherheit für ein breites Publikum erklärt. Co-Host eines der am längsten laufenden IT-Sicherheitspodcasts Deutschlands. An dem Abend kam eine E-Mail, in der er fragte, ob er NeatPass beta-testen könne. Ich antwortete innerhalb von 25 Minuten mit einem TestFlight-Link und bot an, in die Sendung zu kommen. Drei Tage später nahm ich eine 45-minütige Episode auf. Vier Tage danach war sie live. Acht Tage von „Ist diese E-Mail echt?“ bis zu meiner eigenen Stimme in einem Podcast-Feed.
25.000 Aufrufe und eine E-Mail
Es begann mit einem Post. Ich hatte seit etwa einem Monat an NeatPass gebaut, hatte etwas, das funktionierte, und dachte mir, ich sollte Leuten davon erzählen. Ich hatte noch nie etwas auf Threads gepostet. Mein Gedanke war simpel: Bevor ich auf X gehe, probiere ich einfach mal Threads. Also schrieb ich einen kurzen Post darüber, was NeatPass macht, drückte auf Veröffentlichen und machte weiter.
Zwei Tage später hatte der Post 25.000 Aufrufe. Kommentare flogen rein. Leute fragten nach dem TestFlight-Link, teilten ihn mit Freunden, markierten andere. Mein allererster Threads-Post, und er performte besser als alles, was ich je auf irgendeiner Plattform gepostet hatte. Das Problem, das NeatPass löst - jedes Ticket oder jeden Pass in Apple Wallet zu bekommen, ohne ihn auf einen dubiosen Server hochzuladen - diesen Frust teilen offenbar ziemlich viele Leute.
Die Entstehungsgeschichte ist peinlich simpel. Ich wollte auf eine Party. Ticket gekauft. PDF bekommen. Wollte es in Apple Wallet haben. Fand ein paar Apps, die das angeblich konnten, aber jede einzelne verlangte, mein Ticket auf irgendeinen Server hochzuladen, meistens umgeben von zehn Werbeanzeigen und einem verdächtig kleinen Upload-Button. Ich habe trotzdem eine benutzt, aber das Erlebnis hat mich denken lassen: Das lerne ich doch gerade. Das kann ich besser.
Ein Post, die richtige Person sieht ihn, und plötzlich bekommt man eine E-Mail von einem Bestsellerautor, der sich für deine App interessiert. Das Internet, wie es eigentlich gedacht war - ausnahmsweise mal.
Fünfundvierzig Minuten, keine Fangfragen
Die Podcast-Einladung kam am 11. Dezember. Tobias legte die Rahmenbedingungen dar: 45 Minuten insgesamt, ungefähr die Hälfte über NeatPass, der Rest über allgemeine IT-Themen. Ihr Publikum reicht von Cisco-Vertriebsleuten bis zu technikbegeisterten Normalos. Kein Deep-Dive in den Quellcode, einfach Sachen verständlich erklären.
In der E-Mail stand „Es wird keine Fangfragen geben“ und „du musst dich nicht vorbereiten.“ Ich habe mich trotzdem vorbereitet. Hättet ihr das nicht auch gemacht?
Aufnahmetag war der 12. Dezember, einen Tag nach der Einladung. Nur die zwei Hosts und ich, verbunden über ein browserbasiertes Aufnahmestudio. Mit 20 zwei erfahrenen IT-Sicherheitsprofis gegenüberzusitzen, fühlte sich genau so surreal an, wie es klingt. Der Episodentitel sagt alles: „Technisch, pragmatisch und ausnahmsweise: jung“.
Technisch, pragmatisch und ausnahmsweise: jung.
Es gab auch einen Running Gag während der Aufnahme. Die Hosts hatten eine Dezember-Wette laufen: Jedes Mal, wenn jemand „tatsächlich“ sagt, sind das fünf Euro in eine Spendenkasse. Tobias konnte es offenbar einfach nicht lassen. Schon sein siebtes Wort im Schnitt war ein „tatsächlich“. Mir wurde vorher gesagt, dass wenn ich mich verquatsche, Tobias meinen Anteil übernimmt.
„I Don't Give a Sh*t About Your Data“
Diese Zeile aus einem Threads-Post wurde zum natürlichen Wendepunkt im Gespräch. Wenn man ein Konzertticket auf irgendeiner Webseite hochlädt, die zehn Werbeanzeigen um einen winzigen Upload-Button drapiert hat - wo landen die Daten eigentlich? Dein Name. Deine Adresse. Deine Rechnungsdetails. Der QR-Code, der dich durch die Tür bringt.
Die Hosts haben es sofort begriffen. Rüdiger wies auf etwas hin, woran ich noch gar nicht gedacht hatte: Taylor Swift-Tickets werden für hunderte Euro auf dem Sekundärmarkt gehandelt. Wenn eine Scam-Seite Leute dazu bringt, diese QR-Codes freiwillig hochzuladen? Leichtes Geld. Nicht nur die persönlichen Daten - das Ticket selbst wird wertvoll.
Hier konnte ich die Zero-Knowledge-PKPass-Signierung erklären, das zentrale Datenschutzfeature von NeatPass. Eine PKPass-Datei ist im Grunde ein ZIP-Archiv mit JSON, Bildern und einem Manifest. Das Manifest listet jede Datei im Archiv zusammen mit ihrem SHA-Hash. Der Kerngedanke: Man muss nur das Manifest signieren, nicht den gesamten Pass. Das Manifest enthält nichts als kryptografische Fingerabdrücke.
Der Server sieht eine Liste von Hashes, signiert sie mit einem Apple-Entwicklerzertifikat und verwirft die Pass-Daten anschließend. Grundlegende Server-Logs (IP-Adressen, Request-Metadaten) werden 30 Tage lang aus Sicherheitsgründen aufbewahrt, aber nichts über den Inhalt deines Passes wird jemals gespeichert. Es gibt keine Möglichkeit, zu rekonstruieren, was in dem Pass war. Apples eigene Dokumentation beschreibt genau diesen Ansatz. Warum machen es andere Apps dann nicht so?
Man kann nur vermuten. Vielleicht wollen sie die Daten haben? Vielleicht wissen sie nicht, dass es anders geht?
Warum nicht einfach Apple Intelligence?
Das war Rüdigers erste Frage, und es ist die, die jeder stellt. NeatPass nutzt Qwen (von Alibaba), das lokal auf dem Handy über Apples MLX-Framework läuft. Nicht Apple Intelligence. Keine Cloud-API. Ein dediziertes Modell, das mit der App mitgeliefert wird.
Zwei ehrliche Gründe für diese Entscheidung. Erstens war die Performance von Apple Intelligence für diese spezifische Aufgabe nicht gut genug. Zweitens - und das hat die Hosts zum Lachen gebracht - mein eigenes iPhone unterstützt Apple Intelligence gar nicht. Ich wollte die App selbst benutzen. Also habe ich einen Weg drumherum gefunden.
Der Kompromiss ist ein Download von ungefähr 1 GB beim ersten Öffnen der App. Dieses Modell IST das Herz von NeatPass. Tobias brachte einen berechtigten Einwand: Wenn jede App anfängt, ihr eigenes Modell mitzuliefern, werden Handys schnell zugemüllt. Er hat recht. Aber im Moment ist On-Device der einzige Weg, das Versprechen zu halten, niemals Nutzerdaten anzufassen. Hoffentlich wird Apple Intelligence gut genug, um gebündelte Modelle in Zukunft überflüssig zu machen.
Die Hosts fragten nach kontinuierlichem Lernen. Wird das Modell besser, je mehr man es benutzt? Leider nein. Ein Modell zu trainieren braucht wesentlich mehr Rechenleistung als Inferenz, und das auf einem Handy zu machen ist noch nicht praktikabel. Aber On-Device-Modelle sind von Natur aus limitiert.
Für das, was es hinkriegt, auf so einem kleinen Handy, ist das erst mal schon mal krass.
Fanta 4 in der Kleinen Olympiahalle
Jedes KI-Modell halluziniert. Die Frage ist, ob die Halluzinationen gefährlich oder einfach nur lustig sind. Während des Beta-Tests haben wir ein paar unterhaltsame Beispiele gesammelt, und der Podcast war der perfekte Ort, sie zu teilen.
Tobias hatte ein Fantastische Vier-Konzertticket gescannt. NeatPass extrahierte den Veranstaltungsort als „Kleine Olympiahalle“. Der tatsächliche Ort ist die Olympiahalle, eine große Arena in München. Die Kleine Olympiahalle ist ein deutlich kleinerer Veranstaltungsort nebenan, und das Wort „Kleine“ steht absolut nirgendwo auf dem Ticket. Das Modell hat einfach... entschieden, dass es da stehen sollte.
Dann war da noch das Konzertticket aus Mazedonien, das NeatPass überzeugt in ein Coldplay-Konzert in London verwandelt hat. Rüdigers Reaktion kam sofort:
Was ist eigentlich ein geiles Feature, wenn du so eine Karte für ein Fanta 4 Konzert einscannst und dann auf einmal eine Karte für Coldplay London hast, ja? Das ist ja schon ein Upgrade.
Das Wichtige: Diese Halluzinationen sind kosmetisch, nicht funktional. NeatPass extrahiert den Barcode oder QR-Code separat mittels Computer Vision, nicht über das Sprachmodell. Der Code, der dich tatsächlich durch die Tür bringt, ist immer korrekt. Wenn das Modell „London“ statt „Skopje“ halluziniert, funktioniert dein Ticket trotzdem. Du bekommst nur eine lustigere Wallet-Karte. Und wenn etwas doch komisch aussieht, hat NeatPass einen umfangreichen Bearbeitungsmodus, in dem man jedes Feld manuell anpassen kann.
Das Gespräch schwenkte dann auf LLM-Limitierungen im Allgemeinen. Die Hosts hatten versucht, zu zählen, wie oft sie „tatsächlich“ in ihrem eigenen Transkript gesagt hatten - mithilfe von KI. ChatGPT sagte 15. Auf die Nachfrage „Bist du sicher?“ korrigierte er auf 30, was richtig war. Claude sagte 28. Korrigierte ebenfalls nach Nachfrage. Zwei verschiedene Modelle, zwei falsche erste Antworten, beide durch einen Stupser korrigierbar.
Meine Einschätzung, die ich im Podcast geteilt habe: Es geht nicht darum, wie schlau das Modell ist. Die sind alle recht schlau. Es geht darum, was für Werkzeuge man ihnen gibt. Code-Execution zum Beispiel würde das Zählen sofort lösen. Das Modell muss keine Tokens im Kopf zählen, wenn man es ein Python-Skript schreiben lässt, das das Zählen übernimmt. Die Werkzeuge rund um das Modell sind wichtiger als das Modell selbst.
„Blipp“
Tobias - wie er eben ist - entschied, dass der ultimative Test nicht das Scannen von Tickets in der App war. Sondern einem echten Schaffner in einem echten Zug einen mit NeatPass erstellten Wallet-Pass hinzuhalten.
Er hatte ein Deutsche Bahn-Ticket, ein PDF für eine Fahrt von Dresden nach München. Er ließ es durch NeatPass laufen und bekam einen Wallet-Pass, der überhaupt nicht wie ein normales DB-Ticket aussah. Einfach nur „DB“ als reiner Text oben, Streckeninformationen und ein Barcode. Kein schickes Design, kein offizielles Logo. Die Art von Ding, die ein Schaffner noch nie in seinem Leben gesehen hat.
Er hielt es hin. Der Schaffner scannte es.
Blipp. „Danke, jetzt noch die BahnCard.“
Fertig. Der Schaffner hat nicht mit der Wimper gezuckt. Der Barcode funktionierte, und das war alles, was zählte. Rüdiger testete auch mit MVV-Tickets (Münchner Nahverkehr). Funktionierte einwandfrei.
Beta-Feedback bestimmte die Roadmap. Nutzer wollten Personalisierung: eigene Logos, Banner-Bilder zuschneiden, zwischen QR-Code- und Barcode-Anzeige wählen. All das wurde umgesetzt. Der andere große Wunsch war Unterstützung für Multi-Ticket-PDFs: ein PDF mit vier separaten Tickets drin. NeatPass kann jetzt alle verarbeiten.
Das Geschäftsmodell kam auch zur Sprache. 4,99 $, Einmalkauf. Kein Abo. Man bekommt ein paar kostenlose Pässe zum Testen, ob es einem gefällt. Danach deckt eine einzige Zahlung alles ab.
Dann kriegst du alle Updates, bis Apple nicht mehr existiert oder ich nicht mehr existiere. Und gut ist.
Was man lernt, wenn man über seine Arbeit spricht
45 Minuten lang über NeatPass zu sprechen, erzwang eine Art Klarheit, die ich nicht erwartet hatte. Wenn man alleine an etwas baut, sind viele Entscheidungen Bauchgefühl. Man weiß warum man einen bestimmten Ansatz gewählt hat, aber man musste es noch nie laut aussprechen, in Echtzeit, vor Leuten, die nachhaken. Der Podcast hat mich dazu gebracht, Entscheidungen zu verteidigen, die ich vorher einfach... getroffen hatte.
Die Sherlocking-Frage kam natürlich auch. Was, wenn Apple das einfach in iOS einbaut? Ehrliche Antwort: Das ist immer ein Risiko. Aber Apple lebt auch teilweise vom App Store-Ökosystem. Jede bezahlte App generiert auch für Apple Einnahmen. Wenn Leute bereit sind, 4,99 $ dafür zu zahlen und Apple seine 30 % mitnimmt, ist das nicht nichts. Es könnte sogar in Apples Interesse sein, den Markt das lösen zu lassen.
Der Episodentitel „Technisch, pragmatisch und ausnahmsweise: jung“ ging mir danach noch lange durch den Kopf. Mit 20 in einer Runde von IT-Sicherheitsveteranen zu sitzen war nicht einschüchternd. Es war einladend. Rüdiger und Tobias behandelten das Gespräch wie einen echten Austausch, nicht wie eine Kuriosität. Sie hinterfragten technische Behauptungen, verlangten Details und wollten wirklich die Entscheidungen hinter NeatPass verstehen.
Die Timeline fühlt sich immer noch absurd an. Sonntag, 8. Dezember: erste E-Mail. Sonntagabend: Antwort mit TestFlight-Link. Mittwoch, 11. Dezember: Podcast-Einladung. Donnerstag, 12. Dezember: Aufnahme. Montag, 16. Dezember: Episode geht live. Acht Tage von kalter E-Mail bis zur veröffentlichten Episode. Indie-Development-Momentum ist real.
Rüdiger lud mich ein, in sechs Monaten wiederzukommen, „um deine Erfahrung als App-Millionär mit uns zu teilen.“ Das war als Witz gemeint. Wahrscheinlich. Tobias verglich NeatPass mit Flappy Bird, das über Nacht zur Millionen-Dollar-App wurde. Ich nehme den Optimismus gerne an, auch wenn er mit einer ordentlichen Portion deutschem Humor daherkommt.
Die ganze Episode (auf Deutsch) kann man sich hier anhören: igeh.podigee.io.