Markus Baersch

Ich wollte eigentlich kein Wort drüber verlieren und habe es auch fast zwei Wochen geschafft. Aber nachdem ich nun den oberflächlichsten Verdummungbeitrag seit langem in der Webmaster Zentrale dazu gelesen habe, müssen ein paar Dinge einfach mal raus - egal, ob es wirklich jemand liest oder nicht.

Was passiert denn?

Google stellt also seine Suche auf SSL um. Https statt http. Verschlüsselt suchen. Toll. Und wenn Google uns sagt, dass dies "im Rahmen unserer Verpflichtung, das Web noch sicherer zu machen" geschehe, dann muss man das wohl auch glauben. Selbst dann, wenn man sich zufällig gleichtzeitig dazu entschlossen hat, den Referer zusätzlich künstlich zu verstümmeln, so dass in der Webanalyse und den Webmaster Tools nichts mehr zu Impressions oder Klicks in Verbindung zu einem Suchbegriff erscheint. Jedenfalls dann, wenn nicht gerade zufällig jemand auf eine Anzeige geklickt hätte. Denn wer über Anzeigen auf eine Website kommt, bringt auf jeden Fall noch - ebenso künstlich - Angaben über den Suchbegriff mit. Der "normale" organische Besucher aber eben nicht mehr.

Was hat Google davon?

Der Sicherheitsvorwand (der sich in Deutschland dann auch gern gleich magisch erweitert in "Datenschutz" übersetzt) ist aus mehreren Gründen aber m. E. der totale Unsinn. Erstens hat das nichts mit Datenschutz zu tun, zweitens ist die ganze Angelegenheit - nicht zuletzt zur Aufrechterhaltung der CashCow "AdWords", die sich den Verlust der Keywordinfos zu ordentlichen Kampagnensteuerung einfach nicht erlauben kann - mehr oder minder "künstlich" geschaffen / verändert worden. Wäre "nur https passiert", müßte m. W. (ich bin da allerdings nicht 100% sicher und lasse mich gern vom Gegenteil überzeugen), der interessierte Webmaster, SEO, Affiliate seine Site ebenso komplett auf SSL umstellen und erhielte alle Infos, die er bisher auch bekommen hat. Hätte vielleicht also das Web sogar wirklich ein wenig besser gemacht, was sicher auch in der oben als Argument angeführten "Google Selbstverprflichtung" steht. Wer weiß. Das primäre Ziel der Aktion ist aber vermutlich an ganz anderer Stelle zu suchen. Im Satz "better protection against snooping from third parties" aus dem offiziellen Statement kann man sich zwar auf "protection" konzentrieren (und soll das sicher auch), viel interessanter ist aber "third parties" in diesem Zusammenhang. Es geht um Drittanbieter. Nur welche? Irgendwelche "Bösewichte"? Werbenetzwerke? Oder doch jeder einzelne Webmaster, Toolanbieter, SEO?

Was hat "König Kunde" davon?

Für den Nutzer der Suchmaschine ist damit jedenfalls kaum was gewonnen. Ausreichend schlaue Toolbars und Plugins werden vermutlich immer noch genug Daten über das Suchverhalten sammeln, wenn sie denn wollen. Und wenn ich Suchbegriffe verwende, für die ich mich schämen muss, kamen die früher ja auch nicht gleich mit meinem Namen und meiner Anschrift bei jedem an, dessen Site ich besucht habe. Naaaaihn (Diese Verbindung haben nur Google und besonders neugiereige Cookieplatzierer ;))! Man sieht aber möglicherweise weniger stumpfsinnige Einblendungen über Blogposts, die mir nochmal sagen, wonach ich vor einer Sekunde gesucht habe, falls ich mich nicht mehr daran erinnern sollte. Und nicht nur Webmaster, sondern auch Werbenetzwerke (besonders die, deren Geschäftsmodell auf Suchanfragen angewiesen sind. Ja die gibt es!) wissen nun weniger über meine Interessen (was aber Google bestimmt mehr Nutzen bringt als dem einzelnen User). Ansonsten sitzen nun aber jede Menge SEOs, Webmaster & Co. vor den Daten, die immer mehr hämisch (not provided)-grinsende Lücken enthalten.

Alles supi? Oder nicht so wild?

"Passiert ja nur bei google.com und nur, wenn man angemeldet ist". Ja klar. Das war bei Google Instant, Google Dingens und Google Sonstwas auch erst der Fall, wird aber ganz sicher mit der Zeit immer mehr Suchanfragen betreffen. Weniger wird´s jedenfalls nicht. Und je nachdem, wo der Hauptteil der Besucher her kommt, fehlen jetzt schon zweistellige Anteile der Keywords in der Webanalyse. Nicht nur in Google Analytics (wo der Kunde demnächst ja auch zahlender König werden kann - huch, habe ich das jetzt laut gedacht?), sondern in jedem Tool... außer vielleicht demnächst dann in Google Analytics Premium. Wie? Ich spinne? Naja: Nachdem Google in letzter Zeit nicht gerade zimperlich bei der Suche nach neuen Einnahmequellen vorgeht, der Charme der ersten 10 Jahre langsam aber sicher verblasst und sich Google mehr und mehr Bedrohungen ausgesetzt fühlt, traue ich Google inzwischen auch Schritte wie diesen zu. Jedenfalls manchmal. Und vor allem dann, wenn ich solchen Flachsinn wie im oben verlinkten Blogpost lese, der mit vielen Worten nichts sagt. Warum Nebelbomben werfen und dann nicht angreifen? Na gut: Ich kann mir zwar "Alle Keywords in der Premium-Version" auf einer Featureliste weder wirklich ernsthaft vorstellen, noch kommt man vermutlich einfach so damit durch, wenn man sich so ein Alleinstellungsmerkmal im Markt der Webanalyse-Tools schafft (und sei es - wie in diesem Fall - dann auf Basis von "eigenen" Daten), aber langsam sollte der letzte gemerkt haben, dass eine Menge Googler jeden Tag satt werden müssen und Geld nicht an Bäumen wächst. "SSL für Suchanfragen" gehört jedenfalls ganz bestimmt nicht zu den Dingen, die man sich mal wieder einfach so als "Oh toll, dann wird ja bestimmt alles noch sicherer und besser, oder?" unterjubeln lassen sollte. Echt nicht...

Wenngleich ich persönlich recht gern eine ganze Menge von Google-Tools einsetze und schon berufsbedingt damit lebe, dass Google einen ganzen Haufen meiner Daten für mich verwaltet, kann ich den Wunsch durchaus nachvollziehen, dass andere Benutzer verschiedenster Google-Tools die eigenen Daten lieber "zurückbekommen" und in anderen Werkzeugen einsetzen wollen. Oder im gleichen Werkzeug, aber unter einem anderen Namen / Konto. Oder vielleicht parallel in mehreren Produkten... oder wie auch immer. Während in fast allen Anwendungen entsprechende Exportmöglichkeiten - und mitunter auch die Fähigkeit zum Import - vorhanden sind, ist es je nach Produkt nicht immer ganz einfach, diese auch zu finden. Nicht zuletzt wird dazu auch gern mal ein zusätzliches Produkt wie der AdWords-Editor, Google Calendar Sync oder ein entsprechendes API dazu benötigt.

Praktisch für alle, die Ihre Daten beim Umzug zu oder von einer Google-Anwendung mitnehmen möchten, ist daher die Website dataliberation.org, auf der für viele Google-Produkte (verlinkt) aufgezeigt wird, wie man Daten in die Anwendung oder wieder heraus bekommt. Selbst wenn hier nur stehen sollte, dass es derzeit keinen Weg gibt, den gewünschten Schritt von oder zu einer der Anwendungen nebst Daten zu vollziehen, ist das ja auch schon eine Hilfe und erspart mühseliges (und erfolgloses) Rumklicken in diversen Einstellungsdialogen.

Wer es bisher nur aus der Google IO-Keynote kennt oder im USA-Urlaub plötzlich Gutscheine von der Pizzeria nebenan auf dem Handy hatte und die dahinter liegende Technik nun auch mal daheim ausprobieren will, der muss eigentlich nur seinen Firefox auf 3.5 aktualisieren (wenn nicht bereits geschehen) und dann Google Maps besuchen. Auch mit Chome und anderen Browsern ist Dank Google Gears die Nutzung des Geolocation-API, welches für die Offenlegung des eigenen Standorts auf Anfrage sorgt, problemlos nun über den integrierten "my location"-Dienst in Google Maps möglich.

Dabei ist es schon erstaunlich, wie genau mitunter die Anzeige sein kann. In meinem Fall ist der heimische Balkon nur um geschätzte knappe 40 Meter verfehlt worden. Gruselig, wenn man sich ausmalt, was da wohl bald an lokaler Werbung über uns hereinprasseln wird, vor allem auf der mobilen Schiene...

Aber Wurscht, man will es ja mal ausprobieren, gell? Also nix wir hin zu Maps und auf den kleinen unscheinnbaren Punkt obren rechts auf der Karte klicken:

Unscheinbar, aber für erstaunlich genaue Ortung auch im "DSL-Festnetz"...

Anständigerweise fragt Firefox (ja, auch Chrome fragt und bietet eine Option zum Speichern an) nach, ob man den Zugriff zulassen will. Per Optionsschalter kann die Auswahl dauerhaft gespeichert werden - was ich mich ehrlich zugegeben jetzt erst mal noch nicht getraut habe...

Mein kleiner blauer Punkt auf der anschließend erscheinenden Karte war erstaunlich genau platziert...

Ob das nun gut oder schlecht ist, mag jeder für sich selbst entscheiden. Mir war jedenfalls schon nach dem entsprechenden "Opera-Abschnitt" bei o. g. Keynote (siehe Youtube-Video, der Link spingt gleich zur richtigen Stelle...) schon mulmig, als ich zwischen die Zeilen geschaut habe..."Life´s Better with Location". Ja klar. Aber für wen genau? Ich stelle mir vor allem die Frage, ob jedem Benutzer klar sein wird, was eine schluderige Einstellung in küftigen Tools so alles über jemanden preisgibt, der sich ansonsten rühmt, nicht mal eine Payback-Karte zu haben, um nicht zum gläsernen Kunden zu werden. Unwissenheit wird hier potentiell einigen Schaden anrichten, auf den sich Anbieter lokaler Werbekonzepte (also nicht zuletzt auch Google selbst) schon freuen können.

Nachdem mir noch in der vergangenen Woche die letzte Fassung vom Internet Explorer 8 beim Besuch einer jeden Seite, die mit dem Google Analytics Trackingcode versehen ist, eine Warnung ausgegeben hat, scheint das in der finalen Fassung des IE8, die ich mir gerade installiert habe, nicht mehr der Fall zu sein.

Klick zum Vergrößern

Warum überhaupt solche Warnungen bei Seiten erschienen, die offenkundig nichts mit Flash am Hut haben, war mir zuerst gar nicht klar, bevor ich an die Flash-Erkennung bei Google Analytics gedacht habe. Und wenn jede Site bei der Initialisierung des Trackings die beim Besucher vorhandene Flashunterstützung nur nach aktiver Bestätigung hätte auslesen können, wäre das sicherlich noch zum echten Gewissensproblem für jeden Webmaster geworden, der sich für Webanalytics entschieden hat. Möglicherweise also eine Konzessionsentscheidung bei MS gegen eine eigentlich gute Idee zu Gunsten einer ungestörten Browserbenutzung auf den letzten Drücker? Wie auch immer, ich find´s in dieser Auslieferungskonfiguration auf jeden Fall dann doch anwedergerechter.

* Nachtrag zum Beitrag vom 11.03 zum Google Anzeigenvorgaben-Manager: Inzwischen hat sich auch die Frage nach der praktischen Implementierung bei AdSense geklärt. Jeder AdSense-Publisher bekommt die neue Option in aktiviertem Zustand untergejubelt und ist damit in der Pflicht, seine Datenschutzbestimmungen entsprechend anzupassen und auf die interessenbasierte Werbung und den DART-Cookie hinzuweisen (Links und ein Beispiel in den Datenschutzbestimmungen zu markus-baersch.de unter "Werbung auf dieser Site", obgleich ich die Option deaktiviert habe), der auch geblockt werden kann.

Natürlich kann man die Option auch über "Bearbeiten" ausschalten und ansonsten nichts weiter tun... Dennoch ist jeder Publisher zur Aktion aufgerufen, weil er sonst nach dem Start der Anpassung ohne Änderung der Option an dieser Veränderung des Programms teilnimmt, ohne seine Besucher darauf aufmerksam zu machen. Dass die Informationen an die Publisher zusätzlich per E-Mail versendet wurden, wird nichts daran ändern, dass es demnächst eine Menge Sites gibt, die AdSense einsetzen und weder die Option verändert noch die Datenschutzerklärung ergänzt haben. Abmahnwelle schon vorhersehbar? Wer sich jetzt die Hände reibt: Wer meckern will, wird sicher irgendwie nachweisen müssen, dass er seinen Interessen entsprechende Werbung per AdSense auf einer Seite geliefert bekommt, die ganz offenkundig nichts mit dem beworbenen Thema zu tun hat. Wenn Google diese Einblendungen nicht gesondert kennzeichnet, hilft also möglicherweise nur eine "beweissicher" festgehaltene Einblendung einer AdSense - Babywindelwerbung auf einer Contentsite für Sportwaffen bei gleichzweitigem Nachweis, dass man sich ständig in Mütterforen rumtreibt, die mit AdSense beworben werden und jeden Tag nach Babynahrung googelt... Wer kann (und will) das schon? ;)

Dass Google eine ganze Menge über seine Nutzer weiß und damit auch bereit ist, etwas anzufangen, ist kein Geheimnis, sondern wird aus verschiedensten Perspektiven seit jeher kontrovers diskutiert. Jetzt gibt es eine neue Funktion, die alle aktiv ausschalten müssen, die Google verwenden, aber dabei nicht immer "gläserner" werden wollen. Ähnlich wie beim Web-Protokoll ("Waaas, Google weiß, welche Seiten ich besucht habe, nachdem ich auf einen Suchtreffer geklickt habe???" - "Ja natürlich, Du Depp!"), das erst dann für Aufsehen gesorgt hat, als es zu einer vom Nutzer beeinflussbaren Option gemacht wurde, wird die der "Google Anzeigenvorgaben-Manager" sicher ähnliche Entrüstung derjenigen provozieren, die sich vorher überhaupt keine Gedanken beim Surfen gemacht haben, aber nun protestieren, sobald die Bestätigung der Existenz einer solchen Funktion für alle im Web verfügbar ist. Komischerweise ist diese Untermenge der Webnutzer in weiten Teilen deckungsgleich mit den Usern zahlreicher Web 2.0 Communities und Portale, in denen sie bedenkenlos jede Menge Daten in ihre Profile eingeben, die ein noch weitaus wirkungsvolleres Targeting erlauben als die durch die Anzeigenvorgaben bei Google reflektierten Informationen. Aber egal, ich schweife offenbar schon wieder ab... 

Es geht um eine Liste der persönlichen Interessen des Surfers, die sich durch Websites ermitteln lassen, die man besucht hat oder Videos, die man bei YouTube angesehen hat. Sind mehrere der von mir bevorzugten Websites Partner im Google Werbenetzwerk (erscheinen dort also über das AdSense-Programm von Google ausgelieferte Anzeigen), wird davon ausgegangen, dass meine persönlichen Interessen mit den Informations-Segmenten übereinstimmt, in die die entsprechenden Websites einsortiert wurden. Google weiß also auch ohne Verwendung eines Google-Accounts durch entsprechende Cookies unter Umständen nach einer Weile theoretisch recht gut, was mich interessiert. Was liegt näher, als mir beim nächsten Besuch bei YouTube oder einer Website mit aktiviertem Google-Werbeprogramm Anzeigen zu präsentieren, die meinen Interessen entsprechen? Das System, welches mehrfach effektlos ausgelieferte Anzeigen immer weiter aus dem Fokus des Benutzers rückt (das passiert z. B. bei AdWords-Anzeigen in Suchergebnissen, wenn mehrfach nach dem gleichen Begriff gesucht wird), kann auf diese Weise noch verbessert werden und mir nicht nur "relevantere und interessantere Werbung" liefern, sondern eben auch genau die Anzeigen, die die besten Chancen auf einen Klick von mir - unter Berücksichtigung meiner offenkundigen Interessen - haben.

Da dieses System seine Grenzen hat, kann auch der "anonyme Google Nutzer" ohne Anmeldung in einem Google Account selbst Finetuning an den ermittelten Interessen haben. Vordergründig kann so z. B. die Tatsache "korrigiert" werden, dass ich beruflich vielleicht jede Menge Sites besuche, die meine privaten Interessen überhaupt nicht abdecken, so dass ich Werbung sehe, die für meinen Chef sicher klasse ich, mich selbst aber überhaupt nicht anspricht. Kein Problem: Unter http://www.google.com/ads/preferences/ lassen sich die ermittelten Vorgaben bereinigen, eigene Einträge hinzufügen oder die Funktion komplett deaktivieren.

Ich für meinen Teil werde nun erst einmal von der üblichen Cookievernichtung beim Sitzungsende absehen und aus reinem Interesse beobachten, welche Schwerpunkte denn so ermittelt werden, wenn die Funktion einige Zeit zur Analyse meines Surfverhaltens bekommt. Da ich ansonsten ohnehin privat relativ "web-werberesistent" bin und nur aus beruflichen gründen Interesse an AdWords, AdSense und anderen Programmen habe, ist diese Funktion für mich vom reinen Anwendernutzen her eher irrelevant. Aus Sicht des Datenschutzes sehe ich keinen Aspekt, der wirklich neu wäre... außer natürlich, dass Google diese Daten nur dort nutzen kann, wo der AdSense-Publisher dieser Form des verbesserten Targetings überhaupt per AGB oder sonstwie zustimmt*. Illusionen über Privatsphäre im Web ohne besondere Vorkehrungen habe ich auch seit längerer Zeit nicht, so dass mir die Funktion mehr oder weniger "wurscht" ist. Das mag aber nicht jeder teilen und vor allem diejenigen, die aus Prinzip entrüstet sind, wenn es um Google und Nutzerdaten geht, dürfen nun wieder ihre Blogs vollschreiben. Viel Material habe ich zwar zu diesem Thema komischerweise noch nicht gefunden; das kommt aber sicher in den nächsten Tagen.

Siehe hierzu den Beitrag AdSense Publisher in der Pflicht.

Wer sich wundert, warum in einzelnen Beiträgen dazu aufgerufen wird, Kommentare zu hinterlassen oder in Nachträgen auf Kommentare Bezug genommen wird, die man gar nicht sehen kann, dem sei versichert, dass ich das mindestens genau so blöd finde wie er selbst. Da ich derzeit aber täglich - nach einem Update der Blogsoftware (grummel!) - mit ca. 10.000 Spamkommentaren beballert werde, die im Gegensatz zu Wordpress in "dasBlog" leider überhaupt nicht zu handhaben sind (Sorry Clemens); ich aber aus alter Liebe zum Produkt und zum Erhalt der auch nicht immer gelungenen URLs (nochmal Sorry, Clemens*) nicht umsteigen will, muss die Kommentarfunktion leider komplett ausgeschaltet bleiben, bis eine Lösung gefunden ist oder sich die freundlichen Kommentargeber aus SpamALot dauerhaft ein anderes Ziel gesucht haben.

Ich kann also zwar nichts dafür, entschuldige mich aber dennoch für dieses daher hinsichtlich der Interaktion auf "Web1.0-Level" zurückgefallene Blog. Wer Kommentare dennoch über den Umweg einer Mail (gern veröffentliche ich Hinweise auf Wunsch auch "manuell") loswerden möchte, verwendet bitte einfach das Kontaktformular oder sendet mir eine Mail (siehe Impressum).

* ... obschon ich natürlich weiß, dass das inzwischen schon andere längst hätten angehen können und es Dir nicht persönlich ankreide ;)

Es gibt ein hilfreiches Werkzeug zum Zurücksetzen eines vergessenen Passworts für Windows Vista. Während eine Anmeldung mit dem unter XP bewährten ERD-Commander unter Vista scheitert, hilft der Offline NT Password & Registry Editor als Boot-CD, USB-Stick oder zur Not sogar Diskette auch beim XP-Nachfolger - selbst bei Vista 64 Bit.

Ich habe zwar normalerweise kein Interesse am Hacken von Passwörtern, aber in diesem Fall war es der nicht nur potentiell (Dank CCC weiß es ja nun auch jeder) unsichere, sondern auch viel zu bequeme Fingerprint-Sensor, der dafür gesorgt hat, dass ich das nie zur Eingabe gebrauchte Passwort einfach vergessen hatte. Dumm nur, wenn man auf einem eingeschränkten Account dann Software installieren oder aktualiseren will, denn da hilft der Fingerabdruck leider nichts. Mit der auf Linux basierenden Live-CD ist das Zurückstellen des Passworts (ich habe mich an die Empfehlung gehalten und das vegessene Vista-Passwort nur auf ein leeres Kennwort zurückgesetzt) schnell erledigt. Die Hinweise des grafikfreien und schnell gebooteten Helfers sind zwar in englischer Sprache, die Auswahl der richtigen Partition und der gewünschten Funktionen zum Zurücksetzen des Passworts sind aber dennoch dank der meist schon richtig vorgewählten Optionen einfach. Wer das Encrypted File System einsetzt und mit dem Tool eine verschlüsselte Partition bearbeiten will, muss aber leider die Finger von dieser Lösung lassen, denn die verschüsselten Informationen bleiben auch nach dem Vorgang leider unzugänglich. Funktioniert aber ansonsten angeblich auch prima bei vergessenem Windows-Kennwort für andere Windows-Versionen:

• NT 3.51
• NT 4
• Windows 2000
• Windows XP
• Windows Server 2003
• Windows Vista 32 Bit
• Windows Vista 64 Bit
• Windows Server 2008 32 Bit
• Windows Server 2008 64 Bit

Übrigens: Wer bei Vista einen Benutzer mit Administratorrechten angelegt und nun das Kennwort vergessen hat, sollte möglicherweise erst einmal versuchen, im abgesicherten Modus zu starten und sich dann als Administrator anzumelden - recht oft ist dieser Account noch seit der Installation unverändert und hat gar kein Kennwort, so dass die Anmeldung am System noch gelingt und auch ohne irgendwelche Hilfsmittel ein neues Kennwort für den ausgesperrten Benutzer erzeugt werden kann. ;)

Das Thema "Klickbetrug" ist zwar nicht ganz neu, hat aber durch Clickjacking (Infos dazu am Ende des verlinkten Beitrags zu Klickbetrug) aktuell ein neues Hoch erfahren. Und auch Spam ist nichts neues und begenet uns in der täglichen Arbeit in der Agentur auch im Zusammenhang mit gefälschten Google AdWords-E-Mails. Was sich aber letztens in mein Postfach geschlichen hat, war mir in dieser Form doch neu:

Die empfangene Mail war zwar weder besonders geschickt übersetzt, noch besonders professionell formatiert, aber das man den Leser dadurch zum Klick auf einen Link bewegen will, indem man diesen wie einen "besuchten Link" aussehen läßt, habe ich glaube ich noch nicht gesehen.

Dabei ist die Idee ja ganz einfach: Der Link wird so eingefärbt, wie er auch in den meisten Mailprogrammen aussehen würde, wäre die verlinkte Seite bereits in der Historie des Browsers vorhanden ("visited link"). Wer mißtraut schon einer Seite, die er offenkundig bereits selbst besucht hat? Schaden ist schließlich offenbar keiner entstanden. Fast wäre ich aus reiner Neugier dem Link gefolgt um herauszufinden, welche Seite denn wohl dahinter stecken könnte. Fast... Warum ich das überhaupt extra erwähne? Weil ich nicht umhin komme, die total simple Methode zu bewundern, mit der ein recht komplexer Entscheidungsprozess subtil in die vom Angreifer gewünschte Richtung gelenkt wird. Und das sicher weitaus erfolgreicher als mit manch anderem und viel komplizierteren Trick.

Haben Sie in den letzten Monaten auch die eine oder andere Mail erhalten, die offenkundig von Google stammte und die eine Verbannung Ihrer Site aus dem Index zum Thema hatte? Vielleicht haben Sie auch erst mal einen ordentlichen Schreck bekommen und erst nach Einnahme der Herzptropfen den Absender als toten GMAIL-Account entlarvt oder auf anderem Weg davon erfahren, dass mal wieder eine Spam-Welle mit gefälschten "Abstraf-Mails" von Google über das Internet schwappt und ein paar Spritzer davon auch in Ihrem Postfach niedergegangen sind.

Die gute Nachricht: Künftig können Sie zu 100% sicher sein, dass eine solche Mail, wenn Sie denn nochmal eine erhalten sollten, eine Fäschung ist. Die - wenngleich vielleicht auch erst auf den zweiten Blick - schlechte Nachricht ist nämlich, dass Google solche Mails, die es in der Vergangenheit durchaus auch mit ernstem Hintergrund und echtem Absender gab, künftig nicht mehr versenden wird.

Statt dessen gibt es jetzt einen hochtrabend "Message Center" genannten Bereich in den Google Webmaster Tools, die ab sofort für diese und andere Nachrichten (es sind sicher selten gute...) zuständig ist. Das bedeutet erst einmal im Prinzip, dass Sie die Google Webmaster Tools auch einsetzen müssen, wenn Sie künftig erfahren wollen, gegen welche (Ihnen nicht unbedingt bekannten oder vollkommen neuen Regeln) Sie nun verstoßen haben und Ihre Site deshalb in Verdacht geraten ist, Suchmaschinen austricksen zu wollen. Und es heißt, dass Sie dort regelmäßig vorbeischauen müssen, wenn Sie böse Überraschungen nicht erst durch sinkende Umsätze erfahren wollen, sondern einigermaßen rechtzeitig, um direkt gegenzusteuern und eine Neuaufnahme zu erzielen.

Hintergründig bedeutet es auch, dass Sie mehr oder weniger keine andere Wahl haben, als jede Ihrer Sites, die Sie betreiben und an denen Ihr wirtschaftlicher Erfolg hängt, bei Google als Ihre Site identifizieren müssen. Das ist nicht wirklich tragisch; kann Google doch seit geraumer Zeit ohnehin auf alle erforderlichen Daten bei DENIC zugreifen, wenn man dies im Zuge der Bewertung eingehender Links wirklich wissen will... seit man ohne viel Rummel in das Geschäft des Webhostings "eingestiegen" ist, ohne es ernsthaft betreiben zu wollen. Wie praktisch, oder?

Natürlich können und sollten(!) Sie auch auf anderem Weg beobachten, ob Ihre Seiten und Angebote nach wie vor gut bei Google gefunden werden, spielt hier schließlich je nach Erhebung immer "so um die 80%" der Musik in der Informations- und Produktsuche im Internet. Aber Hand auf´s Herz: Wer macht sich schon wirklich die Mühe oder schafft die notwendigen Systeme dazu an und betreibt sie?

Also wurscht, was Sie sonst noch einsetzen: Wenn Sie sich nicht die Mühe gemacht haben, jede der für Ihr "privates Linknetzwerk" verwendeten Domains auf einen entfernten verwandten zu registrieren, schaden Sie Ihrem selbst aufgebauten Geflecht von "externen Links aus eigener Produktion" (mir fiel einfach keine noch vorsichtigere Umschreibung ein) auch nicht, wenn Sie sich zusätzlich zu allem anderen die Google Webmaster Tools antun und ab und zu einen Blick rein werfen. Als Bonus kommen Sie vielleicht ja auch erstmalig auf die Idee, eine Sitemap hochzuladen und wissen auch ansonsten gar nicht, worum es in diesem Artikel geht ;)

Was schleppt man nicht immer so alles mit sich herum...  und es ist ja so einfach geworden mit den USB-Sticks, die man inzwischen an jeder zweiten Tankstelle als Werbegeschenk bekommt und deren bezahlbare Kapazität sich mittlerweile in Bereiche vorwagt, die nie ein ZIP- oder JAZ-Laufwerk gesehen hat (wer sich noch erinnern kann).

<Kleiner Exkurs>Und überhaupt ist USB inzwischen irgendwie mein Ding geworden, obwohl ich länger dazu gebraucht habe als andere: Der neue Brenner, der vor einiger Zeit seinen dahingeschiedenen eingebauten Großvater ersetzt hat, brennt problemlos und ausreichend performant extern via USB. Die ein wenig an den Hüften spannende Festplatte wird durch eine robuste externe Platte entschlackt, auf die all der Kram kommt, der nach einer Neuinstallation oder Rechnertausch schmerzlich vermisst wird. Beides ist mir persönlich sicher auch noch in fünf, sechs Jahren - ja vielleicht sogar noch länger - schnell genug, wenn die outgesourced'te (wie zum Teufel soll man das eigentlich richtig schreiben? Muss man das überhaupt?)  Peripherie lange genug durchhält. Der Rechner sicher nicht!</kleiner Exkurs>

OK, zurück zum Thema: Auf schlüsselanhängergroßen "Platten", Sticks, MP3-Playern und auf unterschiedlichsten Vertretern der formfaktorreichen Speicherkartenwelt trägt Hinz wie Kunz heute federleichte und dennoch enorme Datenmengen durch die Gegend, die in ausgedruckter Form selbst dem guten alten Hulk beim hilfsmittellosen Transport den (grünen?) Schweiß auf die Stirn treiben würde. Sind das alles immer nur die neusten Top 8000 aus den gängigen Charts? Verstohlen abgefilmte Augenkrebsfassungen der bald erscheinenden cineastischen Meisterwerke mit Wolldecken-im-Mund-Ton? Oder hat der eine oder andere auch Dinge bei sich, die er nicht nur vermissen würde, sondern auch gern selbst nach einem Verlust des Datenträgers "einigermaßen sicher" wissen würde? Und das vorzugsweise kostenlos?

Klar weiß ich selbst, dass nichts, was von Menschenhirn zum Schutz von Privatsphäre erdacht wurde, nicht mehr oder minder leicht von versierter und gut ausgerüsteter Hackerhand wieder an´s Tageslicht gezerrt werden kann (Ihr Säcke!), aber wenn wir mal ehrlich sind, so finden die statistisch gesehen weniger häufig einen USB-Stick mit vielleicht doch eher privatem Inhalt als das Heer der reinen PC-Anwender. Und die mögen zwar allesamt ein gewisses Potential krimineller Energie in sich tragen, aber nicht alle haben das Rüstzeug, um sich selbst durch eine vergleichsweise einfache Verschlüsselung zu bohren.

Dummerweise ist aber für alles, was einem dazu zuerst einfällt, ein leicht googlebares Kraut gewachsen: Verschlüsselte ZIP-Archive sind weniger sicher als die Rente, versteckte Dateien und Ordner keine wirklich sichere Lösung und alles nach dem Gebrauch in "tmpaskdsdjlasds.$$$" umzubenennen oder ähnliche Späße ist gleichfalls kindisch wie umständlich. Hausgemachte Verschlüsselung von Office-Dokumenten und gängigen Datenbanken hält einer guten Suche im Web auch nicht lange Stand. (Nebenbei tun dies die Passwörter vieler Anwender auch nicht und für eine BruteForce-Attacke braucht es neben einem der vielen Tools dann nur noch ein wenig Zeit, die man mit Kenntnissen über den Angegriffenen noch verkürzen kann, indem man ein paar Stichworte vorgibt und das Werkzeug dann seine Arbeit machen läßt).

Also muss ein anderes Stück Software her, dem man ansatzweise vertraut. Das kann die Anwendung sein, die beim USB-Stick der preislichen Mittelklasse gleich dabei war oder die bisher unbeachtet zum schon lange gekauften "Alles kein Problem, wir kümmern uns drum" - Sicherheitspaket gehört, dass man sich in einem Moment geistiger Klarheit mal für den heimischen PC gegönnt (und seit Ablauf der im Preis enthaltenen Updates natürlich nicht mehr aktualisiert) hat.

Wer nun aber einen USB-Stick oder anderen externen Datenträger - mit elektronischen Kontoauszügen, den Passwörtern seiner Bank- und Mailaccounts, abgelegt in Pimmy oder anderen praktischen Programmen oder die anzüglichen Fotos der Freundin (die die Frau besser nicht sehen sollte) - ohne Software hat und plötzlich oder erst jetzt beim Lesen einen Anflug von Sicherheitsbedürfnis verspürt, dem mag ich nun, da er so lange durchgehalten hat, auch gern einen Tipp geben. Ich habe mir einige Dinge angesehen. Für mein portables Fort Knox Light fiel die Wahl nach einigen Versuchen auf (... and the winner is:) TrueCrypt (Tusch verklingt, Beifall setzt ein).

Neben dem angenehmen Preis gefallen mir einige Kleinigkeiten an dieser Lösung, die optisch vielleicht nicht das Maß der Dinge ist, aber ich will ja auch verschlüsseln und nicht in's Kunstmuseum.

• Das Programm selbst (man kann sich bis auf unter 900 KB sparen, wenn man nur das allernötigste für die meisten Fälle mitnimmt) passt gut auf den USB-Stick, so dass man an jeden beliebigen PC alles mitbringt, was man braucht, damit man auf seine geschützten Daten zugreifen oder das geschützte Archiv mit frischen Daten ausbauen kann
  
• Der Zugriff auf das Archiv kann dadurch problemlos auch via Autorun.inf gleich beim Einstecken des Sticks angeworfen werden. Ein Archiv läßt sich dann einfach wie ein weiteres Laufwerk mounten, so dass man "natürlich" darauf zugreifen kann
  
• Es bietet nicht nur ein, sondern mehrere Verschlüsselungsverfahren und -algorhytmen, die sich auch unterschiedlich Kombinieren lassen
  
• Auf Zuruf kann es auch Deutsch und andere Sprachen; Sprachdateien gibt es wie XML-Sand am Meer. Das mag dem einen oder anderen bei der Bedienung des nicht ganz intuitiven Menüs helfen
  
• Hardcore-Paranoiker können versteckte innere Volumes in "ummantelnden" Archiven anlegen und je nach Passwort das innere oder äußere Volume beim Zugriff öffnen. Mir gefällt das deswegen so gut, weil man den drei "Schichten" der Verschlüsselung eines Archivs so auch weitere Schalen hinzufügen kann - und ganz einfach, weil es geht und ich die Idee mag. Das Argument, dass man das Kennwort der ersten drei Schalen preisgeben kann, wenn man dazu gezwungen wird, um die Existenz des inneren Volumes mit den "eigentlichen" Daten, die durch Pseudowichtiges Beiwerk im äußeren Container noch weiter verschleiert werden, zu schützen, mag für Geheimagenten noch gut sein, die dem Druck einer Folter ausreichend lange Stand halten können; mir gefällt einzig und allein das Konzept... Ich gedenke ja aber auch nicht, mit einem USB-Stick voller Geheimpläne in Krisengebiete zu fliegen, sonst denke ich vielleicht mal anders darüber.
  
• Das Tool ist nicht nur für USB-Sticks, sondern auch für Archive auf MP3-Playern, externen Festplatten (siehe oben ;)) oder auch dem (bitte niemals verlieren!) Notebook oder Desktop prima geeignet (übrigens nicht nur unter Windows)
  
• Per Kommandozeilenparameter kann man das Programm so ziemlich zu allem veranlassen, nur nicht zum Stepptanz. Wer Spaß an autorun.infs, Batch-Dateien oder Scripten aller Art hat, wird sich darüber freuen. So zusagen "adminkompatibel"

Eine Installations- und Bedienungsanleitung spare ich mir allein deshalb schon, weil das hier sonst noch das Internet sprengt. Außerdem habe ich bei meiner Suche nach einer kostenlosen Lösung meines Anliegens einen Haufen an deutschen und englischen Anleitungen in den Suchergebnissen gefunden, also warum noch eine mehr dahin posten, wo selten die Sonne scheint? Statt dessen möchte ich Dir, lieber Leser, noch ein paar Tipps und Anregungen geben, wenn Du TrueCrypt wirklich ausprobieren möchtest oder ernsthaft darüber nachdenkst, portable Daten mit dessen Hilfe zu rüsten:

• In einer Autorun.inf auf dem Stick kann mehr passieren, als nur "etwas" zu starten. Ich statte z. B. alles, was ich so mit mir rumtrage, mit einer Bitte um Rückgabe aus, da ich prinzipiell immer noch an das Gute im Menschen glaube. Eine Textdatei mit der Adresse und dem Angebot eines angemessenen Finderlohns (Betrag ruhig reinschreiben!) erhöht die Rückgabewahrscheinlichkeit selbst bei einem MP3-Player enorm, wenn man an einen entsprechenden Finder gerät; selbst wenn der auch prima einen neuen Player gebrauchen kann. Je nachdem, ob auf dem Player nur Mucke oder auch wichtigere Dinge untergebracht sind, mag das also durchaus sinnvoll sein. Diese Textdatei kann beim Zugriff auf den Stick gleich geöffnet (open=...) - bzw. mit einem entsprechend reißerischen Titel wie "BITTE BITTE BITTE LESEN" in das Menü neuerer Windowsfassungen eingebunden werden.
  
  In meinem Fall beschränke ich mich darauf, ein "Gefunden? <meine Mailadresse>" als Label des Laufwerks via autorun zu beschränken. Das ist erstens weniger umständlich; zweitens muss das reichen, wenn der potentielle Finder wirklich vorhaben sollte, Gefundenes zurück zu geben. Ein kleines Beispiel dafür siehe unten.
  
• Wenn alles, was portabel und per USB anschließbar ist, im Explorer nun plötzlich "Gefunden? Bitte mail@sowieso.nix" (siehe oben) heißt, kann das unübersichtlich werden, wenn mehr als ein Gerät eingesteckt wird. Egal, dafür gibt es Icons. Der MP3-Player bekommt ein schönes Grammofonsymbol (Mist, ich wollte doch "Grammophon" schreiben!); der USB-Stick 1 ein anderes, ebenso eindeutiges Symbol , das von USB Stick 2 abweicht usw.  "Icon=blabla.ico" in der autorun reicht und die Icons findet man zu Phantastilliarden Hoch Zehn im Web.
  
• Twofish, AES und die NavySeals zusammen helfen nichts, wenn das Passwort zu kurz, zu erratbar oder schlicht "zu doof" ist.  Ein einigermaßen ordentliches Passwort (sicher ist man nie, aber wir versuchen es hier ja gerade) ist auch ordentlich lang; enthält große wie kleine Lettern nebst Zahlen und vorzugsweise auch das eine oder andere Sonderzeichen. Und wenn es schon "lesbare" Begriffe sein müssen, dann bitte falsch kombiniert und / oder falsch geschrieben. Genug davon; nur bitte mal drüber nachdenken. Es muss ja nicht jedes Passwort "recht sicher" sein, das man im Leben braucht - aber wir verstecken hier schließlich gerade die Pläne zur angestrebten Weltherrschaft auf dem Stick und da darf es auch gern etwas sicherer sein, oder?
  
• Auch der Dateiname eines verschlüsselten Containers muss nicht immer gleich darauf hinweisen, dass darin etwas liegt, dass man schützen möchte. Die meisten Verschlüsselungsprogramme sind sehr nachsichtig, wenn man einen andere oder gar keine Extension vergibt. Das hilft zwar im Beispiel eines automatisch geöffneten Archivs beim Einstecken nicht viel, da hier der Name des Archivs und dessen Existenz ja direkt kundgetan wird, kann aber als Denkanstoß beim Schützen von Daten auf dem heimischen PC dienen.
  
• Als "Quickstart" mag ein Beispiel für eine autorun.inf auf einem USB-Datenträger dienen:
  
  

  [autorun]
  label=Gefunden? mail@juppschmitz.nix
  icon=TC\stick.ico
  action=Archiv öffnen
  open=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
  shell\mdec=Archiv öffnen...
  shell\mdec\command=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
  shell\start=TrueCrypt starten...
  shell\start\command=TC\TrueCrypt.exe
  shell\dismount=Alle TrueCrypt - Laufwerke trennen
  shell\dismount\command=TC\TrueCrypt.exe /q /d

Tipp: Sollte das "Starten" des Archivs auf einem Zielrechner mal nicht funktionieren, ist dort wahrscheinlich eine ältere Fassung von TrueCrypt installiert und aktiv, so dass der Treiber beleidigt ist und sich weigert, das Archiv seines Nachfolgers zu öffnen. In diesem Fall zuerst (-> siehe Tray) TrueCrypt auf dem Rechner beenden und dann noch Mal "ein-sticken"...