Markus Baersch

Software · Beratung · Lösungen

Suche im Blog

Sign In

Tuesday, 15 September 2015

Content ist... manchmal wirklich zu bedauern

Schon am Titel wird man es merken können: Dieser Beitrag verfolgt keinerlei Rankingziele. Er will nur meckern. Es gibt allerdings im folgenden Extremfall auch reichlich Anlass dazu, denn er zeigt, wie krank manche Websites sind. Nicht, dass es ein besonders trafficstarkes Beispiel wäre... aber es ist dafür sagenhaft miserabel.

Der Anfang allen Übels

Alles fing mit einer “ganz normalen” Websuche an. Ich habe die folgende Seite im Zuge einer Recherche in einem sehr engen und vergleichsweise "unspannenden" Keywordbereich gefunden, so dass zu Googles Entschuldigung gesagt sei, dass es ganz einfach auch nur wenig passende Inhalte gibt. Außerdem war der Inhalt selbst gar nicht so übel. Gelandet bin ich jedenfalls bei forums.codescript.in und da auf einer Seite mit dem schönen Namen how-to-fetch-top-pages-and-top-query-data-from-google-webmaster-tool-by-usi-2543.html. Warum ich nicht einfach einen Link setze? Weil ich das nicht mal mit nofollow entwertet auf einer verschlüsselten Seite machen würde, die hinter einem Login auf einem Server ohne Internetverbindung vor allen Suchmaschinen dieser Welt versteckt wäre. Deshalb!

Dabei fing alles so "harmlos" an: Schon nach 3 Minuten war die Seite augenscheinlich erstmals mit dem Laden fertig. Für die, die es wissen wollen: DOMContentLoaded nach 31,15 Sekunden. Also nichts wirklich Ungewöhnliches. Leider.

Nach 10 Minuten

Auch nicht ungewöhnlich ist es heute (ebenso leider), dass Hardcore-Monetarisierer einfach nicht mit dem Nachladen von irgendwelchem Zeugs aufhören können. Wenn die Tracker erst mal durch sind, dann halt ständig neue Werbemittel. Und zwar - natürlich - absolute Qualitätsware wie sowas hier:

Werbemittel aus der Hölle

Rein, Impression, raus, Dankeschön. In Zahlen bedeutet das, dass die Seite dann nach 10 Minuten schon über 3000 Requests abgesetzt hatte. Siehe Timeline und Statusleiste:

Ressourcenverschwendung im Browser sichtbar gemacht

Das Spiel geht natürlich immer weiter. Nach weniger als 15 Minuten sind über 4700 Requests abgesetzt und ca. 8MB an Schrott nachgeladen. Inzwischen hatten mehr als 200 Domains ihre Cookies bei mir abgeladen.

Nach 20 Minuten

... sind es schon mehr als 6000 Requests, über 10MB. Mein treuer Begleiter Ghostery zeigt mir satte 115 Tracker an, die er kennt. Es sind auch inzwischen schon 6 zum Scheitern verurteilte (Antwortcode 404 / 500) und knapp 300 failed / canceled Requests für "Werbemittel" abgesetzt worden.

Fehlerhafte Anfragen

Die Entropie wird also langsam messbar :|

Nach 30 Minuten

Hurra. Es sind nun mehr als 8700 Requests angesetzt worden und weiter wechseln die Werbemittel. Hier eine Abbildung mit gerade mal wieder angesprungener Liste von Ghostery, die alle gefundenen Tracker auflistet.

Ghostery ist voll. Aufhören bitte!

Also gut. Nach 14MB, 124 Trackern in Ghostery und grob 500 Cookies von fast ebenso zahlreichen Domains verliere ich endgültig die Lust und ziehe den Stecker. Wer mehr wissen will, kann das gern selbst probieren und länger laufen lassen.

Extremfall <> Einzelfall

Das Ergebnis liegt auf der Hand: Da stimmt was nicht. Auch wenn diese Site ein Sonderfall ist (den vermutlich auch vergleichsweise wenige zu sehen bekommen), so ist das nicht so weit von der Realität reichweitenstarker Portale aus allen möglichen Bereichen entfernt. Und natürlich überreifer Affiliateprojekte, die aus Versehen noch ranken und daher so weit ausgequetscht werden, wie es nur geht. Ich kann das zwar nachvollziehen... aber besser wird das Web davon nicht.

Da helfen dann auch keine aufgesetzten Datenschutzhinweise oder Links zu 700 verschiedenen Opt-Out-Möglichkeiten mehr. Fälle wie dieser sind für jeden Besucher, der sich dorthin verirrt, ein Loch ohne Boden, wenn es um unerwünschtes Tracking und seine kranken Verwandten geht. In solchen Momenten verstehe ich, warum Script- und Adblocker so beliebt sind. Schade um jeden auch nur ansatzweise hilfreichen Inhalt, der sich in eine so unpassende Form quetschen lassen muss!

# 
Monday, 11 February 2013

Webanalyse mit Yandex.Metrica

Nachdem in diesem Blog schon eine ganze Weile nichts mehr passiert ist und der letzte Beitrag das Aussterben von Yahoo! Webanalytics zum Thema hatte, finde ich als Wiedereinstieg den Überblick eines denkbaren Ersatzes als würdiges Thema.

Durch Zufall bin ich auf Yandex.Metrica gestoßen - dem "Google Analytics dieser anderen Suchmaschine". Und mein erster Eindruck lässt mich hoffen, dass hier eine echte Alternative zu Analytics lauert. Sicher nicht auf dem gleichen Stand - und leider auch nicht mit den gleichen Stärken und Besonderheiten von Yahoo! Webanalytics gesegnet -, aber dennoch ein interessanter Kandidat.

Datenschutz?

Datenschutz ist hier nicht das eigentliche Thema und ich bin weder Fachmann noch Jurist. Metrica ist halt wie viele andere ein Tool, dass Daten auf dem Server des Anbieters speichert. Genau wie Clicktale und tausend andere gängige Tags, die in Webseiten nisten. IP-Adressen werden nicht offenkundig verarbeitet und ob diese gespeichert werden, kann ich nicht beantworten. Die Nutzungsbedingungen sprechen von einer anonymen Aufzeichnung und Speicherung - mehr weiß ich zu diesem Zeitpunkt auch nicht. Die Cookies enthalten eine verschlüsselte ID, die keine direkten Rückschlüsse auf private Daten des Surfers zu geben scheint. Es sind keine "untergejubelten" FirstParty-Cookies, sondern Drittanbieterkekse. Das macht allein schon hinsichtlich der Browsereinstellungen einen Unterschied. Solange man aber keine persönlichen Daten in URLs o. Ä. an das System überträgt, besteht wohl kaum ein Nachteil ggü. vielen anderen Webanalysesystemen und so sollte es auch für Deutschland "reichen". Auch die in der Hilfe aufgezählten gesammelten Daten sind eine Auflistung der üblichen Kennzahlen. Der europäische, speziell der deutsche Markt wird für Yandex vermutlich noch nicht so schwierig erscheinen, wie er es vermutlich noch werden kann, sobald die Datenschützer bei wachsender Verbreitung hellhörig werden. Schließlich ist "Yandex das Google von vor 5 Jahren", wenngleich (noch) in einem anderen Markt und wer weiß schon, wie sich dieser noch entwickelt. Wenn es spezielle Anforderungen gibt, wird man diese bestimmt bald auch bei Yandex kennen...

Konfiguration und Einrichtung

Die Installation ist denkbar einfach und die Konfiguration erscheint durchdacht. Nach Anlage eines Yandex-Accounts (der wie bei Google Zugriff auf eine ganze Menge weiterer Dienste inkl. Mail etc. erlaubt) kann der "Counter", der ungeachtet des altmodisch klingenden Namens mehr als nur ein Besucherzähler ist, konfiguriert und der Code angerufen werden.

Konfiguration Y.M Counter

Dabei sind bereits eine ganze Menge an Optionen möglich und es können auch mehrere "Mirror"-Domains eingegeben werden, die die gleichen Inhalte ausliefern.

Optionen Y.M Trackingcode

Mehrere Sites in einem Profil scheinen aber nicht vorgesehen zu sein und obschon ich es nicht getestet habe, scheint die "Mirror"-Option eher darauf hinzudeuten, dass aller Traffic von hier nicht angegebenen Domains nicht im Profil ankommt. Auf der anderen Seite könnte genau diese Option auch ein Tracking mehrerer Domains dennoch ermöglichen... der ThirdParty-Cookie wäre dabei dann hilfreich. Wer es schon ausprobiert hat, dem bin ich für eine Nachricht oder einen Kommentar dankbar.

Als Besonderheit bietet Yandex die eigene Definition des Timeouts für Sessions, Infos über wichtige Probleme mit der Site per Mail und / oder SMS (also Webmaster Tools Light gleich eingebaut ;)), (gute, auch nicht-klickbare Bereiche umfassende) Clickmaps, Tracking von Downloads, externen Links und Shares, benutzerdefinierte Variablen und für zahlende (Werbe-) Kunden gibt es mit WebVisor sogar aufgezeichnete Einzelsessions zu sehen. Alles direkt aus der Dose und ohne viel Anpassungsarbeit.

Wer mehr braucht, findet in der Hilfe passende Hinweise eher mittels Suchfunktion, denn die in per Navigation erreichbaren Angaben kratzen wirklich nur an der Oberfläche. So gibt es eCommerce-Tracking, Zieltrichter (hier: "Multi Step Goals"), manuell aufgerufene "Zielerreichung", die als Ersatz für Events verwendet werden können, eine (offenbar nicht immer auf Anhieb funktionierende) Analyse von Formularabbrüchen, Steuerung und Reporting per API... und jede Menge weitere Optionen, mit denen sich vermutlich auch die meisten tieferen Implementierungen von Google Analytics weitestgehend ersetzen lassen.

Der so konfigurierte Code zum Einbau auf der eigenen Website funktioniert wahlweise klassisch (was für Tagmanagement Systeme hilfreich sein sollte) oder asynchron. Man kann bis zu 100 Ziele pro Site und unbegrenzt viele Filter definieren. Das ist im Zweifelsfall auch erforderlich, denn ausgefuchste Filter mittels Regex scheinen hier nicht möglich zu sein, so dass es auch schon mal ein paar mehr sein müssen als vielleicht bei Google Analytics. Auch einen Nutzermanager gibt es, mit dem man zusätzlichen Usern Zugriff auf die Daten eines Counters (oder aller Counter eines Kontos) gewähren kann.

Reports

Die Oberfläche ist etwas gewöhnungsbedürftig und sieht eher sparsam aus. Jeder Report kann in verschiedenen Darstellungsformen als Diagramm angezeigt; Daten können für weitere Analysen exportiert werden. Außerdem sind alle Reports in einem Editor anpass- und erweiterbar. Dabei sind die Freiheiten zwar zugegebenermaßen nicht so groß wie bei Google, aber Kennzahlauswahl und Filtermöglichkeiten reichen für sinnvolle vorsegmentierte eigene Reports locker aus. Avinash´s "ABO"-Reports kann man so mit etwas Mühe einmalig konfigurieren und schnell wieder finden. Nett ist es, dass alle Zahlen absolut und als Prozentwert dargestellt und zur optischen Unterstützung mit Balken hinterlegt sind.

Reports Y.M

Aufgeteilt in die üblichen Bereiche finden sich eigentlich alle Kennzahlen, die man von einer Webanalyse erwarten darf; auch mobiler Traffic hat hier seinen eigenen Platz in der Navigation. Gegen "not provided" ist man freilich auch hier nicht immun, aber zumindest wird der hier unter "Unknown" laufende Riesenanteil in nach Traffic sortierten Listen nicht oben angezeigt, sondern an das Ende gestellt, so dass man sich auf die Daten beschränken kann, die vorhanden und auswertbar sind. Zu den vorgefertigten Berichten gehören bei Yandex Schätze wie Ladezeiten und die Servererreichbarkeit. Die Auswertungsperiode und Auflösung ist leicht einzustellen; allerdings scheint es keine Vergleichszeiträume zu geben - das ist schon ein wenig eigenartig. Auch gewöhnungsbedürftig (aber praktisch) ist die Eigenart, dass eine "Segmentierung"; die man z. B. durch Drill Down auf einzelne Ziele o. Ä. vorgenommen hat, beim Wechsel eines Reports bestehen bleibt. Die Vielfalt der Reports kennt aber auch deutliche Grenzen.

Dashboard Y.M

Einschränkungen

Es gibt nur ein Dashboard und die Möglichkeiten zur Anpassung sind vergleichsweise begrenzt. Dafür gibt es hier aber zum Trost eine Vorschau auf den zu erwartenden Traffic für den nächsten Tag. Wird diese Prognose aber unter- oder überschritten, scheint es genau so wenig eine Möglichkeit zur Benachrichtigung zu geben, wie für andere Auffälligkeiten, die dem "Radar" in Google Analytics entsprechen würden. Auch so praktische Dinge wie AdHoc-Trichteranalysen aus Yahoo! oder andere echte "Knaller", die Alleinstellungsmerkmale oder zumindest echte "Premiumfunktionen" ausmachen können, scheint man hier vergeblich zu suchen. Sicher: Die Darstellung der Keywords als Wortwolke ist nett, aber das reicht 2013 bestimmt nicht mehr, um damit in die Zeitung zu kommen.

Auch nach Vergleichbarem zum Goal- oder Visitor-Flow, haarkleinen Segmentierungsmöglichkeiten oder vielen neueren Dingen (z. B. Multi-Channel Reports, definierbare Attributionsmodelle etc.), die in den letzten Monaten in Google Analytics Einzug gehalten haben, gibt es nicht (oder ich habe sie nicht gefunden). Auch keine RealTime - dafür werden die Daten aber mehrfach in der Stunde aktualisiert und unter den Reports findet sich stets die Angabe, wie alt die Datenbasis einer Tabelle oder eines Diagramms ist.

Ich habe den Eindruck, dass auch bei Yandex noch nicht das Ende der Fahnenstange erreicht ist und in den nächsten Monaten werde ich ja mitbekommen, wie schnell sich hier das Rad dreht und in welcher Schlagzahl Innovationen und nachgeholte Funktionen aus dem Wettbewerb hier Einzug halten. Oder eben nicht...

# 
Monday, 07 May 2012

Achtung Sicherheitsproblem: PHP Quellcode u. U. im Browser lesbar

Ein Albtraum wird wahr: Wie ich gerade beim Boesenseo gelesen habe, besteht bei PHP-Scripten unter gewissen Bedingungen (PHP im CGI-Modus) eine realistische Chance, dass durch das simple Anhängen des Kommandozeilenparameters "-s" der Quellcode jeder PHP-Seite sichtbar gemacht werden kann... weitere Schweinereien per Kommandozeile sind freilich mit ausreichender krimineller Energie auch denkbar.

Man könnte diese Chance jetzt nutzen, um (mal wieder) dazu aufzurufen, alle kritischen Inhalte wie Zugangsdaten etc. auch in Kleinstprojekten und einfachen Scripts zum Mailversand etc. aus den erreichbaren PHP-Dateien fern zu halten und per geschütztem Include vor Zugriffen zu schützen... aber wer würde es schon hören? Es muss also reichen, auf den o. a. Beitrag zu verweisen und jedem Betreiber einer eigenen Site zu raten, den Schnelltest zu machen, indem z. B. die Startseite (nennen wir sie mal ganz willkürlich "index.php") mit dem Parameter -s (also "index.php?-s") aufgerufen wird. Sieht man nun den Quellcode, ist es höchste Zeit, sich an den Admin des Servers, den Hoster - oder wer auch immer für das Schließen dieser Lücke verantwortlich ist - zu wenden.

# 
Monday, 13 February 2012

Google Datenschutzbestimmungen: Nichts Neues!

Ja, Google hat seine Datenschutzbestimmungen vereinfacht. Und ja: Dabei sind auch ein paar Kleinigkeiten geändert worden. Aber das große Gejammer über die Konsolidierung von Nutzerinformationen über Produktgrenzen hinweg, über die sich derzeit auch in meinem privaten Bekanntenkreis überraschenderweise die Gemüter erhitzen, kann ich nicht nachvollziehen, denn das ist nun wirklich keine Neuigkeit.

Google Datenschutzbedingungen

Auch die vorher für jedes Produkt einzeln existierenden Nutzungsbedingungen haben stets darauf hingeweisen, dass sich Google diese Option offen hält. Dass man es jetzt... naja: ehrlicher formuliert und durch die Zusammenfassung der vielen einzelnen Dokumente mehr in den Fokus rückt, ändert nichts daran, dass Google schon immer ein nahezu zu 100% datengetriebenes Untermnehmen ist und sich die vielen "kostenlosen" Angebote schon immer mit den Daten der Nutzer hat bezahlen lassen, aus denen laufend Erkenntnisse gewonnen und oft auch neue Produkte gefüttert werden.

Da ist eine kostenlose Telefonauskunft, deren zahlreiche US-Nutzer dafür gesorgt haben, dass Google nun lebendige Sprache besser verstehen kann als Siri & Co. nur ein Beispiel von vielen. Google ist nicht kostenlos. Und das Interesse am einzelnen Nutzer ist durchaus vorhanden, wenngleich dieses (noch) etwas anderer Natur ist, als bei anderen Plattformen. Es geht hauptsächlich darum, jeden (möglichst regelmäßigen) Nutzer optimal mit Werbung zu beballern, denn da kommt (mal von Android abgesehen) das Geld her Wer damit wirklich ein Problem hat, war auch schon vor den geänderten Datenschutzbestimmungen gut beraten, sich bewußt zu machen, wann wo und wie Google überall Daten über Nutzer und Nicht-Nutzer (z. B. via Google Analytics) sammelt... und ggf. aktiv etwas dagegen zu tun, wenn er damit nicht einverstanden ist.

Einige Hilfsmittel bietet Google dazu selbst an - wohlwissend, dass die Mehrheit sich überhaupt keine Gedanken macht und der Großteil des Rests zwar gerne meckert, aber trotzdem kaum jemand die Plugins zum Ausstieg aus dem Tracking installiert oder den privaten Modus auch beim "normalen" Surfen aktiviert. Wer sich einen Überblick verschaffen will, findet bei Google eine übersichtliche Auflistung aller Datenschutztools. Und ich habe mit diesem Blogpost nun eine einfache Antwort auf eine derzeit recht beliebte Frage ;)

# 
Tuesday, 08 November 2011

Willkommen zur SSL-Volksverdummung. Danke Google!

Ich wollte eigentlich kein Wort drüber verlieren und habe es auch fast zwei Wochen geschafft. Aber nachdem ich nun den oberflächlichsten Verdummungbeitrag seit langem in der Webmaster Zentrale dazu gelesen habe, müssen ein paar Dinge einfach mal raus - egal, ob es wirklich jemand liest oder nicht.

Was passiert denn?

Google stellt also seine Suche auf SSL um. Https statt http. Verschlüsselt suchen. Toll. Und wenn Google uns sagt, dass dies "im Rahmen unserer Verpflichtung, das Web noch sicherer zu machen" geschehe, dann muss man das wohl auch glauben. Selbst dann, wenn man sich zufällig gleichtzeitig dazu entschlossen hat, den Referer zusätzlich künstlich zu verstümmeln, so dass in der Webanalyse und den Webmaster Tools nichts mehr zu Impressions oder Klicks in Verbindung zu einem Suchbegriff erscheint. Jedenfalls dann, wenn nicht gerade zufällig jemand auf eine Anzeige geklickt hätte. Denn wer über Anzeigen auf eine Website kommt, bringt auf jeden Fall noch - ebenso künstlich - Angaben über den Suchbegriff mit. Der "normale" organische Besucher aber eben nicht mehr.

Was hat Google davon?

Der Sicherheitsvorwand (der sich in Deutschland dann auch gern gleich magisch erweitert in "Datenschutz" übersetzt) ist aus mehreren Gründen aber m. E. der totale Unsinn. Erstens hat das nichts mit Datenschutz zu tun, zweitens ist die ganze Angelegenheit - nicht zuletzt zur Aufrechterhaltung der CashCow "AdWords", die sich den Verlust der Keywordinfos zu ordentlichen Kampagnensteuerung einfach nicht erlauben kann - mehr oder minder "künstlich" geschaffen / verändert worden. Wäre "nur https passiert", müßte m. W. (ich bin da allerdings nicht 100% sicher und lasse mich gern vom Gegenteil überzeugen), der interessierte Webmaster, SEO, Affiliate seine Site ebenso komplett auf SSL umstellen und erhielte alle Infos, die er bisher auch bekommen hat. Hätte vielleicht also das Web sogar wirklich ein wenig besser gemacht, was sicher auch in der oben als Argument angeführten "Google Selbstverprflichtung" steht. Wer weiß. Das primäre Ziel der Aktion ist aber vermutlich an ganz anderer Stelle zu suchen. Im Satz "better protection against snooping from third parties" aus dem offiziellen Statement kann man sich zwar auf "protection" konzentrieren (und soll das sicher auch), viel interessanter ist aber "third parties" in diesem Zusammenhang. Es geht um Drittanbieter. Nur welche? Irgendwelche "Bösewichte"? Werbenetzwerke? Oder doch jeder einzelne Webmaster, Toolanbieter, SEO?

Was hat "König Kunde" davon?

Für den Nutzer der Suchmaschine ist damit jedenfalls kaum was gewonnen. Ausreichend schlaue Toolbars und Plugins werden vermutlich immer noch genug Daten über das Suchverhalten sammeln, wenn sie denn wollen. Und wenn ich Suchbegriffe verwende, für die ich mich schämen muss, kamen die früher ja auch nicht gleich mit meinem Namen und meiner Anschrift bei jedem an, dessen Site ich besucht habe. Naaaaihn (Diese Verbindung haben nur Google und besonders neugiereige Cookieplatzierer ;))! Man sieht aber möglicherweise weniger stumpfsinnige Einblendungen über Blogposts, die mir nochmal sagen, wonach ich vor einer Sekunde gesucht habe, falls ich mich nicht mehr daran erinnern sollte. Und nicht nur Webmaster, sondern auch Werbenetzwerke (besonders die, deren Geschäftsmodell auf Suchanfragen angewiesen sind. Ja die gibt es!) wissen nun weniger über meine Interessen (was aber Google bestimmt mehr Nutzen bringt als dem einzelnen User). Ansonsten sitzen nun aber jede Menge SEOs, Webmaster & Co. vor den Daten, die immer mehr hämisch (not provided)-grinsende Lücken enthalten.

Alles supi? Oder nicht so wild?

"Passiert ja nur bei google.com und nur, wenn man angemeldet ist". Ja klar. Das war bei Google Instant, Google Dingens und Google Sonstwas auch erst der Fall, wird aber ganz sicher mit der Zeit immer mehr Suchanfragen betreffen. Weniger wird´s jedenfalls nicht. Und je nachdem, wo der Hauptteil der Besucher her kommt, fehlen jetzt schon zweistellige Anteile der Keywords in der Webanalyse. Nicht nur in Google Analytics (wo der Kunde demnächst ja auch zahlender König werden kann - huch, habe ich das jetzt laut gedacht?), sondern in jedem Tool... außer vielleicht demnächst dann in Google Analytics Premium. Wie? Ich spinne? Naja: Nachdem Google in letzter Zeit nicht gerade zimperlich bei der Suche nach neuen Einnahmequellen vorgeht, der Charme der ersten 10 Jahre langsam aber sicher verblasst und sich Google mehr und mehr Bedrohungen ausgesetzt fühlt, traue ich Google inzwischen auch Schritte wie diesen zu. Jedenfalls manchmal. Und vor allem dann, wenn ich solchen Flachsinn wie im oben verlinkten Blogpost lese, der mit vielen Worten nichts sagt. Warum Nebelbomben werfen und dann nicht angreifen? Na gut: Ich kann mir zwar "Alle Keywords in der Premium-Version" auf einer Featureliste weder wirklich ernsthaft vorstellen, noch kommt man vermutlich einfach so damit durch, wenn man sich so ein Alleinstellungsmerkmal im Markt der Webanalyse-Tools schafft (und sei es - wie in diesem Fall - dann auf Basis von "eigenen" Daten), aber langsam sollte der letzte gemerkt haben, dass eine Menge Googler jeden Tag satt werden müssen und Geld nicht an Bäumen wächst. "SSL für Suchanfragen" gehört jedenfalls ganz bestimmt nicht zu den Dingen, die man sich mal wieder einfach so als "Oh toll, dann wird ja bestimmt alles noch sicherer und besser, oder?" unterjubeln lassen sollte. Echt nicht...

# 
Monday, 21 September 2009

Bekomme ich meine Daten von Google zurück?

Wenngleich ich persönlich recht gern eine ganze Menge von Google-Tools einsetze und schon berufsbedingt damit lebe, dass Google einen ganzen Haufen meiner Daten für mich verwaltet, kann ich den Wunsch durchaus nachvollziehen, dass andere Benutzer verschiedenster Google-Tools die eigenen Daten lieber "zurückbekommen" und in anderen Werkzeugen einsetzen wollen. Oder im gleichen Werkzeug, aber unter einem anderen Namen / Konto. Oder vielleicht parallel in mehreren Produkten... oder wie auch immer. Während in fast allen Anwendungen entsprechende Exportmöglichkeiten - und mitunter auch die Fähigkeit zum Import - vorhanden sind, ist es je nach Produkt nicht immer ganz einfach, diese auch zu finden. Nicht zuletzt wird dazu auch gern mal ein zusätzliches Produkt wie der AdWords-Editor, Google Calendar Sync oder ein entsprechendes API dazu benötigt.

Praktisch für alle, die Ihre Daten beim Umzug zu oder von einer Google-Anwendung mitnehmen möchten, ist daher die Website dataliberation.org, auf der für viele Google-Produkte (verlinkt) aufgezeigt wird, wie man Daten in die Anwendung oder wieder heraus bekommt. Selbst wenn hier nur stehen sollte, dass es derzeit keinen Weg gibt, den gewünschten Schritt von oder zu einer der Anwendungen nebst Daten zu vollziehen, ist das ja auch schon eine Hilfe und erspart mühseliges (und erfolgloses) Rumklicken in diversen Einstellungsdialogen.

# 
Wednesday, 15 July 2009

Google "Mein Standort" (my location) mit Firefox 3.5

Wer es bisher nur aus der Google IO-Keynote kennt oder im USA-Urlaub plötzlich Gutscheine von der Pizzeria nebenan auf dem Handy hatte und die dahinter liegende Technik nun auch mal daheim ausprobieren will, der muss eigentlich nur seinen Firefox auf 3.5 aktualisieren (wenn nicht bereits geschehen) und dann Google Maps besuchen. Auch mit Chome und anderen Browsern ist Dank Google Gears die Nutzung des Geolocation-API, welches für die Offenlegung des eigenen Standorts auf Anfrage sorgt, problemlos nun über den integrierten "my location"-Dienst in Google Maps möglich.

Dabei ist es schon erstaunlich, wie genau mitunter die Anzeige sein kann. In meinem Fall ist der heimische Balkon nur um geschätzte knappe 40 Meter verfehlt worden. Gruselig, wenn man sich ausmalt, was da wohl bald an lokaler Werbung über uns hereinprasseln wird, vor allem auf der mobilen Schiene...

Aber Wurscht, man will es ja mal ausprobieren, gell? Also nix wir hin zu Maps und auf den kleinen unscheinnbaren Punkt obren rechts auf der Karte klicken:

my location aktivieren

Unscheinbar, aber für erstaunlich genaue Ortung auch im "DSL-Festnetz"...

Anständigerweise fragt Firefox (ja, auch Chrome fragt und bietet eine Option zum Speichern an) nach, ob man den Zugriff zulassen will. Per Optionsschalter kann die Auswahl dauerhaft gespeichert werden - was ich mich ehrlich zugegeben jetzt erst mal noch nicht getraut habe...

GEOlocation API Zugriff zulassen

Mein kleiner blauer Punkt auf der anschließend erscheinenden Karte war erstaunlich genau platziert...

Ob das nun gut oder schlecht ist, mag jeder für sich selbst entscheiden. Mir war jedenfalls schon nach dem entsprechenden "Opera-Abschnitt" bei o. g. Keynote (siehe Youtube-Video, der Link spingt gleich zur richtigen Stelle...) schon mulmig, als ich zwischen die Zeilen geschaut habe..."Life´s Better with Location". Ja klar. Aber für wen genau? Ich stelle mir vor allem die Frage, ob jedem Benutzer klar sein wird, was eine schluderige Einstellung in küftigen Tools so alles über jemanden preisgibt, der sich ansonsten rühmt, nicht mal eine Payback-Karte zu haben, um nicht zum gläsernen Kunden zu werden. Unwissenheit wird hier potentiell einigen Schaden anrichten, auf den sich Anbieter lokaler Werbekonzepte (also nicht zuletzt auch Google selbst) schon freuen können.

# 
Friday, 20 March 2009

"Flashwarnungsgau" beim IE8 fällt offenbar aus

Nachdem mir noch in der vergangenen Woche die letzte Fassung vom Internet Explorer 8 beim Besuch einer jeden Seite, die mit dem Google Analytics Trackingcode versehen ist, eine Warnung ausgegeben hat, scheint das in der finalen Fassung des IE8, die ich mir gerade installiert habe, nicht mehr der Fall zu sein.

Warnung im IE8
Klick zum Vergrößern

Warum überhaupt solche Warnungen bei Seiten erschienen, die offenkundig nichts mit Flash am Hut haben, war mir zuerst gar nicht klar, bevor ich an die Flash-Erkennung bei Google Analytics gedacht habe. Und wenn jede Site bei der Initialisierung des Trackings die beim Besucher vorhandene Flashunterstützung nur nach aktiver Bestätigung hätte auslesen können, wäre das sicherlich noch zum echten Gewissensproblem für jeden Webmaster geworden, der sich für Webanalytics entschieden hat. Möglicherweise also eine Konzessionsentscheidung bei MS gegen eine eigentlich gute Idee zu Gunsten einer ungestörten Browserbenutzung auf den letzten Drücker? Wie auch immer, ich find´s in dieser Auslieferungskonfiguration auf jeden Fall dann doch anwedergerechter.

# 
Friday, 13 March 2009

Interessenbasierte Werbung: AdSense-Publisher in der Pflicht

* Nachtrag zum Beitrag vom 11.03 zum Google Anzeigenvorgaben-Manager: Inzwischen hat sich auch die Frage nach der praktischen Implementierung bei AdSense geklärt. Jeder AdSense-Publisher bekommt die neue Option in aktiviertem Zustand untergejubelt und ist damit in der Pflicht, seine Datenschutzbestimmungen entsprechend anzupassen und auf die interessenbasierte Werbung und den DART-Cookie hinzuweisen (Links und ein Beispiel in den Datenschutzbestimmungen zu markus-baersch.de unter "Werbung auf dieser Site", obgleich ich die Option deaktiviert habe), der auch geblockt werden kann.

Option in AdSense

Natürlich kann man die Option auch über "Bearbeiten" ausschalten und ansonsten nichts weiter tun... Dennoch ist jeder Publisher zur Aktion aufgerufen, weil er sonst nach dem Start der Anpassung ohne Änderung der Option an dieser Veränderung des Programms teilnimmt, ohne seine Besucher darauf aufmerksam zu machen. Dass die Informationen an die Publisher zusätzlich per E-Mail versendet wurden, wird nichts daran ändern, dass es demnächst eine Menge Sites gibt, die AdSense einsetzen und weder die Option verändert noch die Datenschutzerklärung ergänzt haben. Abmahnwelle schon vorhersehbar? Wer sich jetzt die Hände reibt: Wer meckern will, wird sicher irgendwie nachweisen müssen, dass er seinen Interessen entsprechende Werbung per AdSense auf einer Seite geliefert bekommt, die ganz offenkundig nichts mit dem beworbenen Thema zu tun hat. Wenn Google diese Einblendungen nicht gesondert kennzeichnet, hilft also möglicherweise nur eine "beweissicher" festgehaltene Einblendung einer AdSense - Babywindelwerbung auf einer Contentsite für Sportwaffen bei gleichzweitigem Nachweis, dass man sich ständig in Mütterforen rumtreibt, die mit AdSense beworben werden und jeden Tag nach Babynahrung googelt... Wer kann (und will) das schon? ;)

# 
Wednesday, 11 March 2009

Google Anzeigenvorgaben-Manager: Schreien Sie "hier", wenn Sie meine Werbung sehen wollen...

Dass Google eine ganze Menge über seine Nutzer weiß und damit auch bereit ist, etwas anzufangen, ist kein Geheimnis, sondern wird aus verschiedensten Perspektiven seit jeher kontrovers diskutiert. Jetzt gibt es eine neue Funktion, die alle aktiv ausschalten müssen, die Google verwenden, aber dabei nicht immer "gläserner" werden wollen. Ähnlich wie beim Web-Protokoll ("Waaas, Google weiß, welche Seiten ich besucht habe, nachdem ich auf einen Suchtreffer geklickt habe???" - "Ja natürlich, Du Depp!"), das erst dann für Aufsehen gesorgt hat, als es zu einer vom Nutzer beeinflussbaren Option gemacht wurde, wird die der "Google Anzeigenvorgaben-Manager" sicher ähnliche Entrüstung derjenigen provozieren, die sich vorher überhaupt keine Gedanken beim Surfen gemacht haben, aber nun protestieren, sobald die Bestätigung der Existenz einer solchen Funktion für alle im Web verfügbar ist. Komischerweise ist diese Untermenge der Webnutzer in weiten Teilen deckungsgleich mit den Usern zahlreicher Web 2.0 Communities und Portale, in denen sie bedenkenlos jede Menge Daten in ihre Profile eingeben, die ein noch weitaus wirkungsvolleres Targeting erlauben als die durch die Anzeigenvorgaben bei Google reflektierten Informationen. Aber egal, ich schweife offenbar schon wieder ab... 

Es geht um eine Liste der persönlichen Interessen des Surfers, die sich durch Websites ermitteln lassen, die man besucht hat oder Videos, die man bei YouTube angesehen hat. Sind mehrere der von mir bevorzugten Websites Partner im Google Werbenetzwerk (erscheinen dort also über das AdSense-Programm von Google ausgelieferte Anzeigen), wird davon ausgegangen, dass meine persönlichen Interessen mit den Informations-Segmenten übereinstimmt, in die die entsprechenden Websites einsortiert wurden. Google weiß also auch ohne Verwendung eines Google-Accounts durch entsprechende Cookies unter Umständen nach einer Weile theoretisch recht gut, was mich interessiert. Was liegt näher, als mir beim nächsten Besuch bei YouTube oder einer Website mit aktiviertem Google-Werbeprogramm Anzeigen zu präsentieren, die meinen Interessen entsprechen? Das System, welches mehrfach effektlos ausgelieferte Anzeigen immer weiter aus dem Fokus des Benutzers rückt (das passiert z. B. bei AdWords-Anzeigen in Suchergebnissen, wenn mehrfach nach dem gleichen Begriff gesucht wird), kann auf diese Weise noch verbessert werden und mir nicht nur "relevantere und interessantere Werbung" liefern, sondern eben auch genau die Anzeigen, die die besten Chancen auf einen Klick von mir - unter Berücksichtigung meiner offenkundigen Interessen - haben.

Da dieses System seine Grenzen hat, kann auch der "anonyme Google Nutzer" ohne Anmeldung in einem Google Account selbst Finetuning an den ermittelten Interessen haben. Vordergründig kann so z. B. die Tatsache "korrigiert" werden, dass ich beruflich vielleicht jede Menge Sites besuche, die meine privaten Interessen überhaupt nicht abdecken, so dass ich Werbung sehe, die für meinen Chef sicher klasse ich, mich selbst aber überhaupt nicht anspricht. Kein Problem: Unter http://www.google.com/ads/preferences/ lassen sich die ermittelten Vorgaben bereinigen, eigene Einträge hinzufügen oder die Funktion komplett deaktivieren.

Ich für meinen Teil werde nun erst einmal von der üblichen Cookievernichtung beim Sitzungsende absehen und aus reinem Interesse beobachten, welche Schwerpunkte denn so ermittelt werden, wenn die Funktion einige Zeit zur Analyse meines Surfverhaltens bekommt. Da ich ansonsten ohnehin privat relativ "web-werberesistent" bin und nur aus beruflichen gründen Interesse an AdWords, AdSense und anderen Programmen habe, ist diese Funktion für mich vom reinen Anwendernutzen her eher irrelevant. Aus Sicht des Datenschutzes sehe ich keinen Aspekt, der wirklich neu wäre... außer natürlich, dass Google diese Daten nur dort nutzen kann, wo der AdSense-Publisher dieser Form des verbesserten Targetings überhaupt per AGB oder sonstwie zustimmt*. Illusionen über Privatsphäre im Web ohne besondere Vorkehrungen habe ich auch seit längerer Zeit nicht, so dass mir die Funktion mehr oder weniger "wurscht" ist. Das mag aber nicht jeder teilen und vor allem diejenigen, die aus Prinzip entrüstet sind, wenn es um Google und Nutzerdaten geht, dürfen nun wieder ihre Blogs vollschreiben. Viel Material habe ich zwar zu diesem Thema komischerweise noch nicht gefunden; das kommt aber sicher in den nächsten Tagen.

Siehe hierzu den Beitrag AdSense Publisher in der Pflicht.

# 
Saturday, 28 February 2009

Warum Kommentare derzeit deaktiviert sind

Wer sich wundert, warum in einzelnen Beiträgen dazu aufgerufen wird, Kommentare zu hinterlassen oder in Nachträgen auf Kommentare Bezug genommen wird, die man gar nicht sehen kann, dem sei versichert, dass ich das mindestens genau so blöd finde wie er selbst. Da ich derzeit aber täglich - nach einem Update der Blogsoftware (grummel!) - mit ca. 10.000 Spamkommentaren beballert werde, die im Gegensatz zu Wordpress in "dasBlog" leider überhaupt nicht zu handhaben sind (Sorry Clemens); ich aber aus alter Liebe zum Produkt und zum Erhalt der auch nicht immer gelungenen URLs (nochmal Sorry, Clemens*) nicht umsteigen will, muss die Kommentarfunktion leider komplett ausgeschaltet bleiben, bis eine Lösung gefunden ist oder sich die freundlichen Kommentargeber aus SpamALot dauerhaft ein anderes Ziel gesucht haben.

Ich kann also zwar nichts dafür, entschuldige mich aber dennoch für dieses daher hinsichtlich der Interaktion auf "Web1.0-Level" zurückgefallene Blog. Wer Kommentare dennoch über den Umweg einer Mail (gern veröffentliche ich Hinweise auf Wunsch auch "manuell") loswerden möchte, verwendet bitte einfach das Kontaktformular oder sendet mir eine Mail (siehe Impressum).

* ... obschon ich natürlich weiß, dass das inzwischen schon andere längst hätten angehen können und es Dir nicht persönlich ankreide ;)

# 
Thursday, 11 December 2008

Vista Passwort vergessen: Benutzeraccount per Software zurücksetzen

Es gibt ein hilfreiches Werkzeug zum Zurücksetzen eines vergessenen Passworts für Windows Vista. Während eine Anmeldung mit dem unter XP bewährten ERD-Commander unter Vista scheitert, hilft der Offline NT Password & Registry Editor als Boot-CD, USB-Stick oder zur Not sogar Diskette auch beim XP-Nachfolger - selbst bei Vista 64 Bit.

Ich habe zwar normalerweise kein Interesse am Hacken von Passwörtern, aber in diesem Fall war es der nicht nur potentiell (Dank CCC weiß es ja nun auch jeder) unsichere, sondern auch viel zu bequeme Fingerprint-Sensor, der dafür gesorgt hat, dass ich das nie zur Eingabe gebrauchte Passwort einfach vergessen hatte. Dumm nur, wenn man auf einem eingeschränkten Account dann Software installieren oder aktualiseren will, denn da hilft der Fingerabdruck leider nichts. Mit der auf Linux basierenden Live-CD ist das Zurückstellen des Passworts (ich habe mich an die Empfehlung gehalten und das vegessene Vista-Passwort nur auf ein leeres Kennwort zurückgesetzt) schnell erledigt. Die Hinweise des grafikfreien und schnell gebooteten Helfers sind zwar in englischer Sprache, die Auswahl der richtigen Partition und der gewünschten Funktionen zum Zurücksetzen des Passworts sind aber dennoch dank der meist schon richtig vorgewählten Optionen einfach. Wer das Encrypted File System einsetzt und mit dem Tool eine verschlüsselte Partition bearbeiten will, muss aber leider die Finger von dieser Lösung lassen, denn die verschüsselten Informationen bleiben auch nach dem Vorgang leider unzugänglich. Funktioniert aber ansonsten angeblich auch prima bei vergessenem Windows-Kennwort für andere Windows-Versionen:

  • NT 3.51
  • NT 4
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista 32 Bit
  • Windows Vista 64 Bit
  • Windows Server 2008 32 Bit
  • Windows Server 2008 64 Bit

Übrigens: Wer bei Vista einen Benutzer mit Administratorrechten angelegt und nun das Kennwort vergessen hat, sollte möglicherweise erst einmal versuchen, im abgesicherten Modus zu starten und sich dann als Administrator anzumelden - recht oft ist dieser Account noch seit der Installation unverändert und hat gar kein Kennwort, so dass die Anmeldung am System noch gelingt und auch ohne irgendwelche Hilfsmittel ein neues Kennwort für den ausgesperrten Benutzer erzeugt werden kann. ;)
# 
Tuesday, 02 December 2008

"Klickbetrug" mal anders: angeblich besuchte Links in Spam-Mails

Das Thema "Klickbetrug" ist zwar nicht ganz neu, hat aber durch Clickjacking (Infos dazu am Ende des verlinkten Beitrags zu Klickbetrug) aktuell ein neues Hoch erfahren. Und auch Spam ist nichts neues und begenet uns in der täglichen Arbeit in der Agentur auch im Zusammenhang mit gefälschten Google AdWords-E-Mails. Was sich aber letztens in mein Postfach geschlichen hat, war mir in dieser Form doch neu:

Die empfangene Mail war zwar weder besonders geschickt übersetzt, noch besonders professionell formatiert, aber das man den Leser dadurch zum Klick auf einen Link bewegen will, indem man diesen wie einen "besuchten Link" aussehen läßt, habe ich glaube ich noch nicht gesehen.

Spam-Mail

Dabei ist die Idee ja ganz einfach: Der Link wird so eingefärbt, wie er auch in den meisten Mailprogrammen aussehen würde, wäre die verlinkte Seite bereits in der Historie des Browsers vorhanden ("visited link"). Wer mißtraut schon einer Seite, die er offenkundig bereits selbst besucht hat? Schaden ist schließlich offenbar keiner entstanden. Fast wäre ich aus reiner Neugier dem Link gefolgt um herauszufinden, welche Seite denn wohl dahinter stecken könnte. Fast... Warum ich das überhaupt extra erwähne? Weil ich nicht umhin komme, die total simple Methode zu bewundern, mit der ein recht komplexer Entscheidungsprozess subtil in die vom Angreifer gewünschte Richtung gelenkt wird. Und das sicher weitaus erfolgreicher als mit manch anderem und viel komplizierteren Trick.

# 
Monday, 03 September 2007

Google Webmaster Tools als Pflichtprogramm für Webmaster?

Haben Sie in den letzten Monaten auch die eine oder andere Mail erhalten, die offenkundig von Google stammte und die eine Verbannung Ihrer Site aus dem Index zum Thema hatte? Vielleicht haben Sie auch erst mal einen ordentlichen Schreck bekommen und erst nach Einnahme der Herzptropfen den Absender als toten GMAIL-Account entlarvt oder auf anderem Weg davon erfahren, dass mal wieder eine Spam-Welle mit gefälschten "Abstraf-Mails" von Google über das Internet schwappt und ein paar Spritzer davon auch in Ihrem Postfach niedergegangen sind.

Die gute Nachricht: Künftig können Sie zu 100% sicher sein, dass eine solche Mail, wenn Sie denn nochmal eine erhalten sollten, eine Fäschung ist. Die - wenngleich vielleicht auch erst auf den zweiten Blick - schlechte Nachricht ist nämlich, dass Google solche Mails, die es in der Vergangenheit durchaus auch mit ernstem Hintergrund und echtem Absender gab, künftig nicht mehr versenden wird.

Statt dessen gibt es jetzt einen hochtrabend "Message Center" genannten Bereich in den Google Webmaster Tools, die ab sofort für diese und andere Nachrichten (es sind sicher selten gute...) zuständig ist. Das bedeutet erst einmal im Prinzip, dass Sie die Google Webmaster Tools auch einsetzen müssen, wenn Sie künftig erfahren wollen, gegen welche (Ihnen nicht unbedingt bekannten oder vollkommen neuen Regeln) Sie nun verstoßen haben und Ihre Site deshalb in Verdacht geraten ist, Suchmaschinen austricksen zu wollen. Und es heißt, dass Sie dort regelmäßig vorbeischauen müssen, wenn Sie böse Überraschungen nicht erst durch sinkende Umsätze erfahren wollen, sondern einigermaßen rechtzeitig, um direkt gegenzusteuern und eine Neuaufnahme zu erzielen.

Hintergründig bedeutet es auch, dass Sie mehr oder weniger keine andere Wahl haben, als jede Ihrer Sites, die Sie betreiben und an denen Ihr wirtschaftlicher Erfolg hängt, bei Google als Ihre Site identifizieren müssen. Das ist nicht wirklich tragisch; kann Google doch seit geraumer Zeit ohnehin auf alle erforderlichen Daten bei DENIC zugreifen, wenn man dies im Zuge der Bewertung eingehender Links wirklich wissen will... seit man ohne viel Rummel in das Geschäft des Webhostings "eingestiegen" ist, ohne es ernsthaft betreiben zu wollen. Wie praktisch, oder?

Natürlich können und sollten(!) Sie auch auf anderem Weg beobachten, ob Ihre Seiten und Angebote nach wie vor gut bei Google gefunden werden, spielt hier schließlich je nach Erhebung immer "so um die 80%" der Musik in der Informations- und Produktsuche im Internet. Aber Hand auf´s Herz: Wer macht sich schon wirklich die Mühe oder schafft die notwendigen Systeme dazu an und betreibt sie?

Also wurscht, was Sie sonst noch einsetzen: Wenn Sie sich nicht die Mühe gemacht haben, jede der für Ihr "privates Linknetzwerk" verwendeten Domains auf einen entfernten verwandten zu registrieren, schaden Sie Ihrem selbst aufgebauten Geflecht von "externen Links aus eigener Produktion" (mir fiel einfach keine noch vorsichtigere Umschreibung ein) auch nicht, wenn Sie sich zusätzlich zu allem anderen die Google Webmaster Tools antun und ab und zu einen Blick rein werfen. Als Bonus kommen Sie vielleicht ja auch erstmalig auf die Idee, eine Sitemap hochzuladen und wissen auch ansonsten gar nicht, worum es in diesem Artikel geht ;)

# 
Saturday, 31 March 2007

USB-Stick kostenlos verschlüsseln. Warum und wie?

Was schleppt man nicht immer so alles mit sich herum...  und es ist ja so einfach geworden mit den USB-Sticks, die man inzwischen an jeder zweiten Tankstelle als Werbegeschenk bekommt und deren bezahlbare Kapazität sich mittlerweile in Bereiche vorwagt, die nie ein ZIP- oder JAZ-Laufwerk gesehen hat (wer sich noch erinnern kann).

<Kleiner Exkurs> Und überhaupt ist USB inzwischen irgendwie mein Ding geworden, obwohl ich länger dazu gebraucht habe als andere: Der neue Brenner, der vor einiger Zeit seinen dahingeschiedenen eingebauten Großvater ersetzt hat, brennt problemlos und ausreichend performant extern via USB. Die ein wenig an den Hüften spannende Festplatte wird durch eine robuste externe Platte entschlackt, auf die all der Kram kommt, der nach einer Neuinstallation oder Rechnertausch schmerzlich vermisst wird. Beides ist mir persönlich sicher auch noch in fünf, sechs Jahren - ja vielleicht sogar noch länger - schnell genug, wenn die outgesourced'te (wie zum Teufel soll man das eigentlich richtig schreiben? Muss man das überhaupt?)  Peripherie lange genug durchhält. Der Rechner sicher nicht! </kleiner Exkurs>

OK, zurück zum Thema: Auf schlüsselanhängergroßen "Platten", Sticks, MP3-Playern und auf unterschiedlichsten Vertretern der formfaktorreichen Speicherkartenwelt trägt Hinz wie Kunz heute federleichte und dennoch enorme Datenmengen durch die Gegend, die in ausgedruckter Form selbst dem guten alten Hulk beim hilfsmittellosen Transport den (grünen?) Schweiß auf die Stirn treiben würde. Sind das alles immer nur die neusten Top 8000 aus den gängigen Charts? Verstohlen abgefilmte Augenkrebsfassungen der bald erscheinenden cineastischen Meisterwerke mit Wolldecken-im-Mund-Ton? Oder hat der eine oder andere auch Dinge bei sich, die er nicht nur vermissen würde, sondern auch gern selbst nach einem Verlust des Datenträgers "einigermaßen sicher" wissen würde? Und das vorzugsweise kostenlos?

Klar weiß ich selbst, dass nichts, was von Menschenhirn zum Schutz von Privatsphäre erdacht wurde, nicht mehr oder minder leicht von versierter und gut ausgerüsteter Hackerhand wieder an´s Tageslicht gezerrt werden kann (Ihr Säcke!), aber wenn wir mal ehrlich sind, so finden die statistisch gesehen weniger häufig einen USB-Stick mit vielleicht doch eher privatem Inhalt als das Heer der reinen PC-Anwender. Und die mögen zwar allesamt ein gewisses Potential krimineller Energie in sich tragen, aber nicht alle haben das Rüstzeug, um sich selbst durch eine vergleichsweise einfache Verschlüsselung zu bohren.

Dummerweise ist aber für alles, was einem dazu zuerst einfällt, ein leicht googlebares Kraut gewachsen: Verschlüsselte ZIP-Archive sind weniger sicher als die Rente, versteckte Dateien und Ordner keine wirklich sichere Lösung und alles nach dem Gebrauch in "tmpaskdsdjlasds.$$$" umzubenennen oder ähnliche Späße ist gleichfalls kindisch wie umständlich. Hausgemachte Verschlüsselung von Office-Dokumenten und gängigen Datenbanken hält einer guten Suche im Web auch nicht lange Stand. (Nebenbei tun dies die Passwörter vieler Anwender auch nicht und für eine BruteForce-Attacke braucht es neben einem der vielen Tools dann nur noch ein wenig Zeit, die man mit Kenntnissen über den Angegriffenen noch verkürzen kann, indem man ein paar Stichworte vorgibt und das Werkzeug dann seine Arbeit machen läßt).

Also muss ein anderes Stück Software her, dem man ansatzweise vertraut. Das kann die Anwendung sein, die beim USB-Stick der preislichen Mittelklasse gleich dabei war oder die bisher unbeachtet zum schon lange gekauften "Alles kein Problem, wir kümmern uns drum" - Sicherheitspaket gehört, dass man sich in einem Moment geistiger Klarheit mal für den heimischen PC gegönnt (und seit Ablauf der im Preis enthaltenen Updates natürlich nicht mehr aktualisiert) hat.

Wer nun aber einen USB-Stick oder anderen externen Datenträger - mit elektronischen Kontoauszügen, den Passwörtern seiner Bank- und Mailaccounts, abgelegt in Pimmy oder anderen praktischen Programmen oder die anzüglichen Fotos der Freundin (die die Frau besser nicht sehen sollte) - ohne Software hat und plötzlich oder erst jetzt beim Lesen einen Anflug von Sicherheitsbedürfnis verspürt, dem mag ich nun, da er so lange durchgehalten hat, auch gern einen Tipp geben. Ich habe mir einige Dinge angesehen. Für mein portables Fort Knox Light fiel die Wahl nach einigen Versuchen auf (... and the winner is:) TrueCrypt (Tusch verklingt, Beifall setzt ein).

Neben dem angenehmen Preis gefallen mir einige Kleinigkeiten an dieser Lösung, die optisch vielleicht nicht das Maß der Dinge ist, aber ich will ja auch verschlüsseln und nicht in's Kunstmuseum.

  • Das Programm selbst (man kann sich bis auf unter 900 KB sparen, wenn man nur das allernötigste für die meisten Fälle mitnimmt) passt gut auf den USB-Stick, so dass man an jeden beliebigen PC alles mitbringt, was man braucht, damit man auf seine geschützten Daten zugreifen oder das geschützte Archiv mit frischen Daten ausbauen kann
  • Der Zugriff auf das Archiv kann dadurch problemlos auch via Autorun.inf gleich beim Einstecken des Sticks angeworfen werden. Ein Archiv läßt sich dann einfach wie ein weiteres Laufwerk mounten, so dass man "natürlich" darauf zugreifen kann
  • Es bietet nicht nur ein, sondern mehrere Verschlüsselungsverfahren und -algorhytmen, die sich auch unterschiedlich Kombinieren lassen
  • Auf Zuruf kann es auch Deutsch und andere Sprachen; Sprachdateien gibt es wie XML-Sand am Meer. Das mag dem einen oder anderen bei der Bedienung des nicht ganz intuitiven Menüs helfen
  • Hardcore-Paranoiker können versteckte innere Volumes in "ummantelnden" Archiven anlegen und je nach Passwort das innere oder äußere Volume beim Zugriff öffnen. Mir gefällt das deswegen so gut, weil man den drei "Schichten" der Verschlüsselung eines Archivs so auch weitere Schalen hinzufügen kann - und ganz einfach, weil es geht und ich die Idee mag. Das Argument, dass man das Kennwort der ersten drei Schalen preisgeben kann, wenn man dazu gezwungen wird, um die Existenz des inneren Volumes mit den "eigentlichen" Daten, die durch Pseudowichtiges Beiwerk im äußeren Container noch weiter verschleiert werden, zu schützen, mag für Geheimagenten noch gut sein, die dem Druck einer Folter ausreichend lange Stand halten können; mir gefällt einzig und allein das Konzept... Ich gedenke ja aber auch nicht, mit einem USB-Stick voller Geheimpläne in Krisengebiete zu fliegen, sonst denke ich vielleicht mal anders darüber.
  • Das Tool ist nicht nur für USB-Sticks, sondern auch für Archive auf MP3-Playern, externen Festplatten (siehe oben ;)) oder auch dem (bitte niemals verlieren!) Notebook oder Desktop prima geeignet (übrigens nicht nur unter Windows)
  • Per Kommandozeilenparameter kann man das Programm so ziemlich zu allem veranlassen, nur nicht zum Stepptanz. Wer Spaß an autorun.infs, Batch-Dateien oder Scripten aller Art hat, wird sich darüber freuen. So zusagen "adminkompatibel" :-)

Eine Installations- und Bedienungsanleitung spare ich mir allein deshalb schon, weil das hier sonst noch das Internet sprengt. Außerdem habe ich bei meiner Suche nach einer kostenlosen Lösung meines Anliegens einen Haufen an deutschen und englischen Anleitungen in den Suchergebnissen gefunden, also warum noch eine mehr dahin posten, wo selten die Sonne scheint? Statt dessen möchte ich Dir, lieber Leser, noch ein paar Tipps und Anregungen geben, wenn Du TrueCrypt wirklich ausprobieren möchtest oder ernsthaft darüber nachdenkst, portable Daten mit dessen Hilfe zu rüsten:

  • In einer Autorun.inf auf dem Stick kann mehr passieren, als nur "etwas" zu starten. Ich statte z. B. alles, was ich so mit mir rumtrage, mit einer Bitte um Rückgabe aus, da ich prinzipiell immer noch an das Gute im Menschen glaube. Eine Textdatei mit der Adresse und dem Angebot eines angemessenen Finderlohns (Betrag ruhig reinschreiben!) erhöht die Rückgabewahrscheinlichkeit selbst bei einem MP3-Player enorm, wenn man an einen entsprechenden Finder gerät; selbst wenn der auch prima einen neuen Player gebrauchen kann. Je nachdem, ob auf dem Player nur Mucke oder auch wichtigere Dinge untergebracht sind, mag das also durchaus sinnvoll sein. Diese Textdatei kann beim Zugriff auf den Stick gleich geöffnet (open=...) - bzw. mit einem entsprechend reißerischen Titel wie "BITTE BITTE BITTE LESEN" in das Menü neuerer Windowsfassungen eingebunden werden.

    In meinem Fall beschränke ich mich darauf, ein "Gefunden? <meine Mailadresse>" als Label des Laufwerks via autorun zu beschränken. Das ist erstens weniger umständlich; zweitens muss das reichen, wenn der potentielle Finder wirklich vorhaben sollte, Gefundenes zurück zu geben. Ein kleines Beispiel dafür siehe unten.
  • Wenn alles, was portabel und per USB anschließbar ist, im Explorer nun plötzlich "Gefunden? Bitte [email protected]" (siehe oben) heißt, kann das unübersichtlich werden, wenn mehr als ein Gerät eingesteckt wird. Egal, dafür gibt es Icons. Der MP3-Player bekommt ein schönes Grammofonsymbol (Mist, ich wollte doch "Grammophon" schreiben!); der USB-Stick 1 ein anderes, ebenso eindeutiges Symbol , das von USB Stick 2 abweicht usw.  "Icon=blabla.ico" in der autorun reicht und die Icons findet man zu Phantastilliarden Hoch Zehn im Web.
  • Twofish, AES und die NavySeals zusammen helfen nichts, wenn das Passwort zu kurz, zu erratbar oder schlicht "zu doof" ist.  Ein einigermaßen ordentliches Passwort (sicher ist man nie, aber wir versuchen es hier ja gerade) ist auch ordentlich lang; enthält große wie kleine Lettern nebst Zahlen und vorzugsweise auch das eine oder andere Sonderzeichen. Und wenn es schon "lesbare" Begriffe sein müssen, dann bitte falsch kombiniert und / oder falsch geschrieben. Genug davon; nur bitte mal drüber nachdenken. Es muss ja nicht jedes Passwort "recht sicher" sein, das man im Leben braucht - aber wir verstecken hier schließlich gerade die Pläne zur angestrebten Weltherrschaft auf dem Stick und da darf es auch gern etwas sicherer sein, oder?
  • Auch der Dateiname eines verschlüsselten Containers muss nicht immer gleich darauf hinweisen, dass darin etwas liegt, dass man schützen möchte. Die meisten Verschlüsselungsprogramme sind sehr nachsichtig, wenn man einen andere oder gar keine Extension vergibt. Das hilft zwar im Beispiel eines automatisch geöffneten Archivs beim Einstecken nicht viel, da hier der Name des Archivs und dessen Existenz ja direkt kundgetan wird, kann aber als Denkanstoß beim Schützen von Daten auf dem heimischen PC dienen.
  • Als "Quickstart" mag ein Beispiel für eine autorun.inf auf einem USB-Datenträger dienen:

    [autorun]
    label=Gefunden? [email protected]
    icon=TC\stick.ico
    action=Archiv öffnen
    open=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\mdec=Archiv öffnen...
    shell\mdec\command=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\start=TrueCrypt starten...
    shell\start\command=TC\TrueCrypt.exe
    shell\dismount=Alle TrueCrypt - Laufwerke trennen
    shell\dismount\command=TC\TrueCrypt.exe /q /d

Tipp: Sollte das "Starten" des Archivs auf einem Zielrechner mal nicht funktionieren, ist dort wahrscheinlich eine ältere Fassung von TrueCrypt installiert und aktiv, so dass der Treiber beleidigt ist und sich weigert, das Archiv seines Nachfolgers zu öffnen. In diesem Fall zuerst (-> siehe Tray) TrueCrypt auf dem Rechner beenden und dann noch Mal "ein-sticken"...

#