Markus Baersch

Software · Beratung · Lösungen

Suche im Blog

Sign In

Tuesday, 14 June 2016

Error 522 - Timeout bei Cloudflare

Seit gestern war meine Website einige Stunden bis gerade eben offline. Untypisch. Das ist zwar immer ärgerlich - aber besonders dann, wenn man in einem Shared Hosting Paket unterwegs ist und daher eigentlich kaum etwas tun kann, um das Problem selbst zu beseitigen.

Kontakt bei meinem Lieblingshoster 2 Minus 2 ergab dann, dass auf deren Seite alles OK ist. Das war auch zu vermuten, weil andere Sites, die im gleichen Paket, aber nicht über Cloudflare laufen, keine Probleme gezeigt haben. Nach einigem Ping-Pong zwischen Hoster, Cloudflare und mir per Mail ergab sich dann eher nebenbei die Lösung: Meine IP-Adresse hatte sich von gestern auf heute geändert. Neuer Server, Umverteilung bei 1&1, was auch immer... man erfährt es eben leider nicht und es ist auch auf Nachfrage dort nicht nachvollziehbar, ob ein Umzug stattgefunden hat oder nicht. Klingt unlogisch? Ist es auch. Egal.

Update der DNS-Einstellungen bei Cloudflare erforderlich

Wer ähnliche Probleme hat, loggt sich daher einfach bei 1&1 ein, sucht in der Domainverwaltung die Adresse des Servers, auf dem man sich den Platz mit zahlreichen anderen Kunden (sxxx.online.de) teilt und schaut sich dessen IP an, z. B. per "ping s87654321.online.de" in der Kommandozeile. Passt diese IP nicht zu dem, was in Cloudflare eingetragen ist, muss die IP dort nur noch angepasst werden und schon ist die Site unmittelbar wieder erreichbar.

IP bei Cloudflare aktualisieren

Warum ich das verblogge? Weil man mir beim 1&1-Support mitgeteilt hat, dass seit gestern vermehrt solche Probleme gemeldet werden und diese alle Sites betreffen, die mit Cloudflare arbeiten. Daher gehe ich davon aus, dass dies häufiger vorkommt, ohne dass man bei 1&1 diese Information als mögliche typische Lösung anzubieten hat. Folgerichtig darf man erwarten, dass es hin und wieder periodisch Betroffene mit dem gleichen Problem geben wird. Hilft es nur einem, die bei mir heute damit verplemperte Zeit zu sparen, hat sich das schon gelohnt :)

# 
Monday, 10 November 2014

10+1 Argumente gegen eine (unvorbereitete) SSL-Umstellung

Gleich vorab: Ich bin kein Gegener von SSL. Überhaupt nicht. Aber es scheint mir, als würden derzeit zahlreiche Websites aus völlig falschen Gründen auf den SSL-Zug aufspringen... um sich dabei nicht selten derb selbst ins Knie zu schießen. Daher sollen hier nicht die zahlreichen Argumente für einen Umstieg auf https statt http aufgezählt werden, die ich gar nicht anzweifeln will, sondern ein paar m. E. wichtige Punkte zur Sprache kommen, die vor einer Umstellung bedacht, abgewägt und vor allem vorher geprüft werden sollten. Und wenn es nur ein paar böse Überraschungen vermeiden hilft ;)

Umstellung aus den falschen Gründen?

Der Grund für das stark angestiegene Interesse liegt oft in der Hoffnung auf bessere Rankings bei Google. Wie diese Hoffnung aufgekommen ist, soll hier nicht interessieren (und ist den meisten der wenigen Leser dieses Blogs ohnehin bestens bekannt), aber es gibt m. E. für 99,99% der Webmaster, die sich gerade aus SEO-Gründen mit SSL befassen, mindestens 100 andere Baustellen, an denen mit dem gleichen Aufwand viel mehr Effekt zu erzielen ist, wenn es um Rankings geht.

Nur weil das Thema gerade durch die SEO-Blogs geht und die großen Hoster ihre Kunden zusätzlich mit Dingen wie "Umstellung mit wenigen Klicks" - natürlich erst einmal auch noch kostenlos - locken, ist das noch lange kein Anlass zum Handeln, ohne sich zuvor über Gegenargumente bzw. potentielle Probleme Gedanken gemacht zu haben.

SSL Werbung bei 1und1
Beispiel 1&1: "Wenige Klicks". Jaja. Und dann geht der Spaß los...

Viele der Hindernisse sind technischer Natur. Das ist nicht für jeden Webmaster gleich abschreckend, bedeutet aber auf jeden Fall, dass diese gelöst werden müssen, wenn die Site nach einer Umstellung noch genau so funktionieren soll wie vorher. Hier sind ein paar Denkanstöße:

Die "Miesmacherliste" zur SSL-Umstellung

  1. Anpassung der Inhalte: Alle Verweise auf Bilder, Videos, Ressourcen in iFrames (bis hin zur eingebundenen Werbung etc.) müssen ggf. angepasst werden, wenn diese direkt auf eine http-Variante auf der eigenen Domain zugreifen. Oder eben auch auf einer anderen Domain... hoffentlich gibt es dort dann auch SSL. Ohne eine Anpassung drohen je nach Browser fehlende Bilder bzw. Ressourcen (was durchaus auch die Bedienbarkeit der Site beeinträchtigen kann!) oder zumindest unterschiedlich aufdringliche Warnhinweise beim Verschlüsselungssymbol bzw. sogar Warndialoge. Wer das in seinem Browser nach der Umstellung nicht sieht, mag sich sicher fühlen... ist es aber nicht! Beispiele gefällig?
    SSL Probleme
    Die nachträgliche Anpassung von Content ist also zwingend erforderlich, aber nicht immer einfach. Je nach Umfang mag sich der Aufwand in Grenzen halten oder ist vielleicht mit ein wenig "Suchen und Erstzen" erledigt. Komplexere / umfangreichere Websites und deren Content Management Systeme erfordern hier aber deutlich mehr als nur den einen Klick, den man beim Hoster zu erledigen hat! Wo Inhalte in einer Datenbank umgestellt werden müssen, braucht es nicht nur die erforderlichen Möglichkeiten zum Zugriff und entsprechendes Spezialwissen - es muss auch Backups und vernünftige Tests vor einer Umstellung im Livebetrieb geben. Hier steckt folgerichtig oft der größte Brocken an Arbeit. Wer diese erst beim Erwachen nach der Umstellung angeht, wird es mit Hektik kaum sorgfältig genug hinbekommen, auf Backups verzichten und sich ernsthafte Probleme einhandeln. Externe Kosten sind hier für viele Websitebetreiber nicht nur unvermeidbar, sondern im Vorfeld auch schlecht anzuschätzen.
  2. Ressourcen: Wie sieht es mit im CSS referenzierten Hintergrundbildern aus... oder @import-Anweisungen? Wenn CSS kein Problem ist, folgen spätestens bei internen - und vor allem externen - JavaScript-Dateien schnell ernsthafte Hürden für Webmaster, die nicht zufällig die entsprechenden Kenntnisse zur Analyse und Korrektur selbst mitbringen. Siehe oben: weitere Kosten drohen.
  3. Content Management System: Idealerweise geht alles einfach glatt. Das wird bei gängigen Systemen auch der Fall sein und höchstens ein paar Anpassungen in der Konfiguration erfordern, die sich sogar für "Laienadmins" ergoogeln lassen. Bei alten Systemen oder Exoten (ich betreibe mit meinem Blog selbst so ein Urvieh) sind Verweise im System inkl. "http://" statt nur "//" aber mitunter "sehr sehr hart" codiert. Kann man dann wirklich alles ändern (wieder: Die Kenntnisse und den Zugriff vorausgesetzt)? Was ist denn, wenn die Problemstellen nicht im Quelltext vorliegen, sondern in einer .NET oder ISAPI DLL oder noch gruseligeren Dingen auf dem Server vorliegen? Und überhaupt: Was ist bei einer Anpassung in Eigenregie, wenn es dann doch irgendwann Updates des Systems gibt?
  4. Templates: Je nach System kann die erforderliche Anpassung in den Themes bzw. Templates des CMS selbst HTML-feste Webmaster überfordern. PHP, Smarty oder gar proprietäre Lösungen mögen für "Nichtkenner" zu kryptisch für Selbsthife ausfallen. Schwupps, wieder Geld an den nächsten Profi ausgegeben, der das passende Spezialwissen mitbringt.
  5. Fremdcode / Erweiterungen: Weil fast alle Systeme mit AddOns, PlugIns, Modulen oder unter anderen abstrusen Bezeichnungen erweiterbar sind, ist das einen eigenen Punkt auf der Checkliste wert. Denn diese stammen oft aus fremder Feder und entziehen sich vielleicht sogar einer Analyse (und ggf. erforderlicher Korrektur). Auf jeden Fall erfordern solche Kandidaten einen Testlauf, der wieder mal Aufwand und / oder Kosten mit sich bringt.
  6. Rankings werden vermutlich nicht steigen: Alle vermuteten Rankingvorteile sind derzeit eher "hypothetisch" und wie oben beschrieben gibt es meistens Besseres zu tun. Selbst John Mu sagt, dass er sich den ganzen Kram selbst nicht antun würde... wenn das primäre Ziel nicht Sicherheit ist, sondern damit bessere Rankings erreicht werden sollen.
  7. Rankings können sogar leiden: Es sind sogar Rankingverluste statt einer Steigerung möglich - oder zumindest unnötige Probleme für Google & Co. Diese können durch Doubletten entstehen, die auf fehlende oder falsche Weiterleitungen auf die https-Variante zurückzuführen sind. Mit korrekten Weiterleitungen bleibt immer noch zu bedenken, dass eingehende Links i. d. R. nicht auf die https-Variante gehen. Man mag fragen: Wie viel geht ggf. durch die 301-Weiterleitungen auf https-Fassungen verloren und macht das zunichte, was mit dem angeblichen Rankingboost(chen) gewonnen wird? Auch steckt ein gewisses Risiko in vergessenen "Kleinigkeiten" wie Weiterleitungen auf nicht-SSL-Varianten in der eigenen .htaccess oder im System. Oder in auf einmal giftigen Canonicals mit http statt https. Und so weiter ;)
  8. Kosten des Zertifikats: Auch wenn in anderen Punkten schon reichlich Kosten angesprochen wurden, sind auch die Kosten einzurechnen, die das Zertifikat betreffen. Ein "ordentliches" (AKA eigenes und vertrauenswürdiges) Zertifikat kostet Geld. Was ist, wenn billige Wildcard-Zertifikate oder kostenlose Zertifikate von CloudFlare & Co. übermorgen einen Rankingnachteil statt eines Rankingboosts bedeuten? Vielleicht sind Billigzertifikate die Artikelverzeichnisse von morgen... wer weiß das schon?
  9. Nicht jede Site braucht SSL: Oft ist die Umstellung schlichtweg unnötig. Auf vielen Sites gibt es streng genommen außer dem Besucherverhalten, das ohnehin über zahlreiche Systeme aufgezeichnet wird (s.u.) und der IP nichts an potentiell schützenswerten Informationen, die bei der Benutzung der Site anfallen und auf dem Transportweg gefährdet sind. Selbst in Shops ist jenseits des Checkouts - heute noch - ein Verzicht auf SSL nicht unüblich. Außerdem werden Informationen wie Verhalten und IP durch SSL nicht wirklich "sicherer", solange diese durch eingebundene "Mithörer" wie SocialMedia-Plugins, Webanalysesysteme u. Ä. gespeichert und ggf. vom Systemanbieter oder auch Dritten aktiv genutzt werden.
  10. Falsche Sicherheit: Wer im einem Shop, Portal oder der Landingpage mit neugierigem Formular die Eingaben seiner Besucher und deren Übertragung zum eigenen Server schützen will, ist mit SSL gut beraten. Spätestens seit Firesheep ist das auch beim "informierten Verbraucher" angekommen. Außerdem mag sich der Hinweis auf verschlüsselte Übertragung sogar positiv auf die Abschlussrate auswirken (muss es aber nicht unbedingt, nur weil das in CaseStudies so steht!). Dass mit SSL aber die gespeicherten Daten noch lange nicht sicher sind, scheint nicht allen klar zu sein und so sind oft dahinter immer noch hochgradig unsichere Backendsysteme im Einsatz. So wird SSL zum Tropfen auf den heißen Stein und verhindert in keiner Weise automatisierte oder gar gezielte Versuche, an die sensiblen Daten zu gelangen. Wer seinen Shop wirklich sicher machen will, darf nicht beim SSL-Zertifikat aufhören, sondern muss sich um Verringerung der Angriffsfläche des Servers sowie Aktualität und Absicherung des Backends einschließlich der Datenbank kümmern.
  11. Performance: PageSpeed ist längst ein "akzeptierter" Rankingfaktor. Spätestens auf dem Umweg der Nutzersignale wird sich heute jeder SEO Gedanken um die Optimierung von Ladezeiten machen. Selbst wenn es für Suchmaschinen egal wäre: Besucher nehmen je nach Site selbst geringe Veränderungen wahr, was an veränderten Konversionsraten sogar in Experimenten nachweisbar ist. Durch SSL wird die Ladezeit aber messbar größer. Dazu gibt es hier einen kleinen "Videobeweis" ;)

SSL vs. Non-SSL im Ladezeitenvergleich

Ich habe mir den Spaß gegönnt und anhand meiner eigenen und sehr überschaubaren Website die Umstellung auf SSL durchgespielt. Da ich dies aber hauptsächlich deshalb angegangen bin, um Erfahrungen für größere Projekte zu sammeln und meine Website m. E. kein SSL braucht, habe ich diese Variante wieder deaktiviert. Nicht zuletzt wegen der unvermeidlichen Einbußen in den Ladezeiten.

Das "Test-Setup"

Beim Selbsversuch sind mir auch dank meines Blogs ein paar der o. a. eher exotischen Hindernisse in den Sinn (und in den Weg) gekommen. Zumindest für den Rest der Domain war die Umstellung aber mit vertretbarem Aufwand in ein paar Stunden erledigt. Das Zertifikat stammt von CloudFlare; ist also nicht auf meinem eigenen Server installiert. Das dürfte aber allein schon dank der Tatsache, dass CloudFlare als CDN genutzt wird und der Content so aus der gleichen Quelle wie das Zertifikat stammt, kaum störend ins Gewicht fallen.

Ergebnisse

Tests habe ich mit verschiedenen Services wie pingdom.com, pagespeed.de, gtmetrix.com und ein paar anderen gemacht und (bedingt durch die unterschiedlichen Standorte) eine relativ breite Streuung in den Ladezeiten gesehen. In allen Fällen aber waren die https-Fassungen der Seiten (ich habe nicht nur die Startseite getestet, sondern auch "ressourcenreichere" Inhalte) langsamer als die Versionen mit http. Mal mehr, mal weniger - aber stets langsamer.

Natürlich kann man diesen "Test" mit nur einem Kandidaten an einem einzelnen Tag und mit zufällig (bzw. vom jeweiligen Tool abhängigen) Rahmenbedinungen belächeln bzw. zumindest zurecht dessen Signifikanz anzweifeln. Totzdem finde ich das folgende Video der Ergebnisse von WebPageTest.org sehr anschaulich. Deshalb mag ich diese Präsentationsform auch viel lieber als alle Diagramme ;) Datanerds mögen sich nun aber Tabellen und Wasserfalldiagramme wünschen - z. B. hier finden sich welche.

Um zu zeigen, dass die reinen Zahlen egal sind, im Ergebnis aber mit SSL stets langsamer ist als ohne, habe ich den Test dort einfach noch einmal wiederholt und dabei beide Varianten zweimal eingetragen, so dass vier - recht unterschiedliche - Ladezeiten herauskommen. Es bleibt aber dabei, dass https immer langsamer ist als http.



Fazit? Empfehlung?

Eine Umstellung ist angesichts dieser Punkte für viele Betreiber möglicherweise wirtschaftlich betrachtet tatsächlich unsinnig. Oder zumindest unnötig. Der Eingriff geht jedenfalls im Regelfall sehr viel tiefer, als es zunächst klingen mag. Daher sollte man sich erstens aus gutem Grund (SEO als Hauptargument lasse ich nach aktuellem Stand nicht gelten) und zweitens entsprechend vorbereitet damit auseinandersetzen. Zu einer guten Vorbereitung ist umfängliches testen unabdingbar; vorher und nachher. Wer noch einen Plan B bei sich zeigenden Einbußen in Sichtbarkeit und Traffic zur Hand hat, sollte sich aber nicht aufhalten lassen. Viel Spaß ;)

# 
Monday, 28 April 2014

Virtual Box: XP in der VM offline weiter nutzen

Bei mir - wie vielen anderen Benutzern - lebt XP in einer virtuellen Maschine weiter. Schon zur Einführung von Windows Vista hatte ich aufgehört, mir immer und immer wieder die Arbeit der Neueinrichtung von Delphi- und .NET-Entwicklungsumgebung nebst allem sonstigen Schnickschnack anzutun. Die Idee war, eine VM aufzusetzen und alles, was bei System- oder Rechnerwechsel durch langwierige Einrichtung den Spaß versaut, nur noch in dieser VM zu nutzen. Das hat mir auch so manchen Wechsel des Host-Systems deutlich vereinfacht und inzwischen sind es nur noch wenige Dinge, die ich mir auf einem neuen Rechner installieren muss, sobald erst einmal Virtual Box eingerichtet und mit der virtuellen XP-Maschine versehen ist.

Mit dem "Aus" für XP stellt sich also nun die Frage, ob man sich wirklich die Mühe machen muss, die VM auf eine "neuere" Version wie Windows 7 zu heben. Einen wirklichen Grund gibt es dafür ja nicht - abgesehen von der steigenden Gefahr, sich mit einem ollen XP online "was einzufangen". Und da steckt auch schon der Knackpunkt: Online muss das Ding eigentlich nie sein. Die üblichen Tipps aus der Fachpresse, die sich derzeit auf die Virtualisierung alter XP-Systeme einzuschießen scheint, sind mir da aber zu drastisch: "Einfach den Netzwerkadapter aus der VM entfernen" liest man da gern mal. Ich möchte aber nicht ganz allein in der VM sitzen und keinen Zugriff mehr auf lokale Ressourcen haben und nicht mal mehr gemeinsame Ordner mit dem Host nutzen können... Unter XP soll nur nichts mehr das LAN verlassen dürfen und es soll nichts mehr von draußen rein.

Zum Glück gibt es bei Virtual Box dafür eine viel elegantere Lösung: den Netzwerk-Adapter nicht löschen, sondern nur den "Anschluss" von LAN auf Host-only umstellen.

Netzwerkadapter der VM anpassen

Diese Einstellung bewirkt genau das, was man sich für einen VM-Client wünscht, der besser nicht mehr online gehen sollte, aber dennoch nach wie vor am eigenen Netzwerk teilhaben soll. Und wer den Internetzugriff "nur selten" statt "nie" benötigt, kann entweder die Anschlussart des Netzwerkadapters vorher umstellen oder die VM einfach als "verknüpften Klon" duplizieren, dort auf Host-only umstellen und so zwei Fassungen seiner VM betreiben, die dann je nach Einsatzzweck mal mit und mal ohne Internetzugriff genutzt werden können (das geht übrigens nicht nur mit XP-Clients ;)).

# 
Friday, 13 May 2011

Social Media als Trafficquelle - nur ein Witz?

Wenngleich die Ergebnisse der frisch bei SEO-United durchgeführten Umfrage zum Social-Media-Traffic aus mehreren Gründen nicht als Messlatte für den gesamten deutschen Online-Markt genommen werden kann, ist es doch ein weiteres Beispiel für das, was viele Webmaster selbst in ihren Projekten feststellen: Social Media ist nur für sehr wenige, meist direkt an die sich auf Facebook tummelnde Masse gerichtete Angebote als direkter Trafficlieferant geeignet.

Trafficverteilung für 150 Websites

Facebook bringt schlappe 5%; Twitter keine 3%. Da ist Yahoo oder ASK für viele deutlich relevanter, wenn man nur den direkten (und direkt zuzuordnenden) Traffic zählt.

Klar, es gibt noch die 999 anderen Gründe, warum man an Social Media nicht vorbei kommt, aber wenn selbst in einer Umfrage, deren Zielgruppe schon viel IT-lastiger ist als der Rest der Republik, so ernüchternde Zahlen rauskommen, muss sich doch eigentlich niemand mehr ernsthaft die Frage stellen, ob man den Like-, Tweet- und +1-Button wirklich braucht oder nicht. Jedenfalls in den meisten Projekten. Deutlich mehr wird es natürlich, wenn man unter "Social Media Traffic" auch Besucher aus anderen Blogs versteht... entweder direkt oder über den Umweg "Google"... denn auch dieser Traffic kann ja durchaus "Social" sein. Wer das aber grundätzlich anders sieht, darf gern die Facebook-Kommentarfunktion nutzen und das kundtun ;)

# 
Monday, 19 April 2010

EasyPeasy: Ideales Linux für den eeePC 901

Wer sich zu früh für ein Netbook entschieden hat, wird an Windows nicht viel Freude haben. Nachdem ich mit der viel zu kleinen 7 Zoll Version meine ersten Schritte mit Linux auf einem eeePC machen durfte und ich zu schnell auf ein neueres Modell umgestiegen war (901), auf dem Windows XP zwar läuft, aber wegen der kleinen, schnellen (4 GB) und viel zu lahmen zweiten SSD in keiner Installationsvariante Spaß macht, habe ich mich entschieden, auch den wegen des ewig knappen Speichers und der ewigen Probleme bei der Aktualisierung des Systems ungeliebten 901 wieder nutzbar zu machen. Sprich: Auch da muss Linux her.

Ein paar Versuche mit eeebuntu und anderen Kandidaten später bin ich nun bei EasyPeasy hängen geblieben:

EasyPeasy 1.5
EasyPeasy nutzt 1024x600 optimal aus: Klick mich!

Die Installation ist denkbar simpel und nach dem Download des ISO-Images und der Erstellung eines USB-Bootsticks kann man erst einmal in Ruhe als Livesystem austesten, ob man damit glücklich wird, bevor die Installation vorgenommen wird. Parallelinstallationen zu XP sollte man sich aber sparen, wenn man nicht selbst für mehr Platz auf den SSDs gesorgt hat.

An Applikationen mangelt es nicht und ich habe dem Standardumfang nur wenige Anwendungen hinzufügen müssen, um alles, was ich vorher unter Windows mit dem Netbook angestellt habe, nun auch mit EasyPeasy zu erledigen. Gute Sache - kann ich nur jedem empfehlen, der wie ich bisher das Gefühl hatte, die Lücke zwischen Handy und Notebook mit dem Netbook dann doch nur zum Teil geschlossen zu haben ;)

# 
Tuesday, 03 March 2009

Steigende Gefahr der Abmahnung wegen fehlerhafter AGB

Fehlende Angaben im Impressum, auf wackeligen Beinen stehende Preisauszeichnungen, unklare Versandkonditionen, mangelhafte Implementierung der Widerrufsbelehrung in den Verkaufsprozess... die Ansatzpunkte für abmahnfreudige Wettbewerber im Internet scheinen besonders für Shopbetreiber oft ein Fass ohne Boden zu sein. Nun kommt mehr und mehr das Thema "Abmahnungen wegen AGB" hinzu. Denn nirgends wird auf das Naivste so viel aus unterschiedlichen Vorlagen "zusammengeklaubt" und zu - nur auf den ersten Blick - passenden und schlüssigen Fassungen neu zusammengestellt wie bei Allgemeinen Geschäftsbedingungen. Dass gerade hier also besonders viele fragwürdige, unklare oder geltendes Recht ignorierende verstoßende Formulierungen zu finden sind, ist eigentlich kein Wunder.

Während aber bisher der Schaden in der Regel gering war und im Fall unwirksamer Klauseln "nur" die entsprechende gesetzliche Regelung als Ersatz herhalten musste, wenn es denn überhaupt zur Beanstandung kam, ist die Veröffentlichung der AGB im Internet möglicherweise bald eine regelrechte Einladung für echte oder "konstruierte" Wettbewerber, wenn die fraglichen Klauseln mit dem Wettbewerbsrecht kollidieren (siehe auch Beitrag "Klauselkrieg" in der c`t Ausgabe 4/09). Künftige Massenabmahnungen in diesem Bereich sind offenkundig nicht einfach auszuschließen.

Und während man in vielen Fällen (wie z. B. der Preisauszeichnung oder der Versandkostendeklaration) schon durch die sorgfältige Auswahl eines passenden Shopsystems oder die Anpassung einer bestehenden Lösung, die nicht explizit auf die Anforderungen für deutsche Shopbetreiber ausgelegt ist, viele Probleme zur Not auch selbst und aus eigener Kraft vermeiden kann, ist spätestens bei den AGB Schluss mit sinnvoller "Selbsthilfe". Musterwiderrufsbelehrung: OK. Aber "Muster-AGB" in einem Shop können im Ernstfall eigentlich nur schaden und selten helfen. Es gibt also einen Grund, warum es in Shops nur selten vorgefertigte Muster für AGB gibt, wenngleich es in einem guten Shop ansonsten für fast alle anderen Texte, die bei der Einrichtung zu individualisieren sind, in der Regel fast gebrauchsfertige Beispieleinträge existieren. Die AGB müssen zum Unternehmen und den angeboteten Waren und Dienstleistungen passen und bei Einführung neuer Vertriebswege wie einem Onlineshop ggf. fachgerecht überarbeitet oder ergänzt werden, wenn Sie sicher stellen wollen, dass Sie sich auch in Zukunft ansatzweise sicher vor Abmahnungen wegen mangelhafter AGB fühlen können. Ihr Webdesigner kann das nicht; auch nicht die Buchhaltung im eigenen Haus. Aus der Erfahrung mit diversen Shopprojekten für Kunden kann die Empfehlung nur lauten: Ziehen Sie einen Fachanwalt hinzu, wenn es um die Definition von AGB geht und ruhen Sie sich auch nicht auf einer Fassung aus, die bereits mehrere Jahre auf dem Buckel hat. Eine regelmäßige Prüfung verursacht überschaubare Kosten, die Ihnen eine Menge Ärger ersparen können. Und selbst wenn Sie bisher immer gut mit Ihren AGB gefahren sind, lassen Sie sie dennoch von einem Anwalt auf ggf. erforderliche Anpassungen prüfen, bevor Sie damit in einem neu eingerichteten Onlineshop versehen. Verlassen Sie sich nicht darauf, dass ein Dritter alles so einrichtet, wie es dann schlussendlich auch "rechtskonform gebrauchsfertig" ist - gerade im Fall eines Shops.

Denn selbst dann, wenn es Ihnen mit entsprechenden Mitteln wie JavaScript oder "noindex"-Anweisungen für Robots gelingt, Ihre AGB aus den Suchmaschinen rauszuhalten und sich so wenigstens vor Abmahnungen zu schützen, die daudurch entstehen, dass jemand einfach nach häufig kopierten, aber rechtswidrigen Klauseln bei Google sucht und die Betreiber der Sites aus der Trefferliste mit ungewünschter Post beglückt... Ihre AGB sind dadurch weder besser noch unangreifbarer geworden. Spätestens bei konkretem Interesse eines Ihrer Wettbewerber (im echten Leben oder auch nur in den Suchergebnissen) wird dieser sich Ihre Site genauer ansehen und ggf. auch in den AGB finden, was er gesucht hat, wenn Sie nicht vorgesorgt haben. Es mag heute für diesen noch eine zu große Hürde darstellen, Ihnen daraus einen Strick zu drehen... im "Abmahnland" Deutschland wird sich aber sicher recht bald ein gangbarer Weg finden - wäre ja gelacht, oder?

# 
Tuesday, 02 December 2008

"Klickbetrug" mal anders: angeblich besuchte Links in Spam-Mails

Das Thema "Klickbetrug" ist zwar nicht ganz neu, hat aber durch Clickjacking (Infos dazu am Ende des verlinkten Beitrags zu Klickbetrug) aktuell ein neues Hoch erfahren. Und auch Spam ist nichts neues und begenet uns in der täglichen Arbeit in der Agentur auch im Zusammenhang mit gefälschten Google AdWords-E-Mails. Was sich aber letztens in mein Postfach geschlichen hat, war mir in dieser Form doch neu:

Die empfangene Mail war zwar weder besonders geschickt übersetzt, noch besonders professionell formatiert, aber das man den Leser dadurch zum Klick auf einen Link bewegen will, indem man diesen wie einen "besuchten Link" aussehen läßt, habe ich glaube ich noch nicht gesehen.

Spam-Mail

Dabei ist die Idee ja ganz einfach: Der Link wird so eingefärbt, wie er auch in den meisten Mailprogrammen aussehen würde, wäre die verlinkte Seite bereits in der Historie des Browsers vorhanden ("visited link"). Wer mißtraut schon einer Seite, die er offenkundig bereits selbst besucht hat? Schaden ist schließlich offenbar keiner entstanden. Fast wäre ich aus reiner Neugier dem Link gefolgt um herauszufinden, welche Seite denn wohl dahinter stecken könnte. Fast... Warum ich das überhaupt extra erwähne? Weil ich nicht umhin komme, die total simple Methode zu bewundern, mit der ein recht komplexer Entscheidungsprozess subtil in die vom Angreifer gewünschte Richtung gelenkt wird. Und das sicher weitaus erfolgreicher als mit manch anderem und viel komplizierteren Trick.

# 
Thursday, 20 November 2008

Live Search wirbt mit Prämien um neue Benutzer

Jaja, die Live Search: Spenden für gute Zwecke, nun Prämien... wie verzweifelt muss man dort wohl sein? Microsoft sieht den Suchmaschinenzug offenkundig zwar Richtung Google abfahren und langsam in der Ferne entschwinden, will aber anscheinend um jeden Preis irgendwie auch noch auf die Schienen kommen. Die nächste Idee ist die aktive Belohnung der Benutzer durch verschiedenste Prämien; vom Musik-Download bis zum X-Box-Zubehör. Schade nur, dass in den "Terms & Conditions" zu lesen ist, dass man ein mindestens 13-jähriger US-Amerikaner sein muss, um am Programm teil zu nehmen, denn die erforderlichen Punkte für den ersten Download hat man schon nach Anmeldung und einem Tag zusammen; anschließend können 25 neue Punkte pro Tag durch die Verwendung der Live Search gesammelt werden.

Wenn das Programm Mitte April 2009 endet, wird sich ja vielleicht tatsächlich eine signifikante Verbesserung der Nutzerzahlen eingestellt haben... ich kann es mir aber eigentlich kaum vorstellen. Wenn doch, wird es vielleicht ja auch eine entsprechende Aktion in Europa geben und dann wäre ich auch bereit, mein Suchverhalten (temporär) umzustellen ;)

# 
Wednesday, 19 November 2008

Spam-Studie: Na also - Spam ist doch Mist!

Das wollte ich schon immer mal wissen: Lohnt sich dieser ganze Viaaaaagra-Mist eigentlich, der täglich versendet wird? Generieren die normalerweise grauenhaft aussehenden Mails mit den - zwecks Spamfiltervermeidung - immer komischeren Formulierungen wirklich Geschäft? Informatiker am der Uni Berkeley, genauer gesagt des International Computer Science Institute (ICSI), haben das nun auf ungewöhnlichem Weg getestet. Denn zum Versand von vielen Millionen Spammails nutzten Sie Teile eines bestehenden Botnetzes, über das ohnehin ständig Massen von Spam versendet werden; zumeist ohne dass die armen infiltrierten Zombies etwas davon mitbekommen. Es wurde also ein Test unter möglichst realen Bedingungen durchgeführt ;) Auch die beworbenen Sites wurden nach üblichem Muster erstellt und hierüber die Conversionrate ermittelt. Details der Studie zur Conversionrate von Spam stehen zum Download bereit.

Die gute Nachricht: Die Raten sind miserabel. 28 Bestellungen aus 350 Millionen Mails einer Beispielkampagne für eine "Internet-Apotheke" liefern ernüchternde Zahlen. Verglichen mit selbst den miesesten "normalen" Marketing-Kampagnen - auch bei echt kalten Leads - ist das absolut unterirdisch... Aber leider nur auf den ersten Blick, denn schließlich steckt für den Versender nach Leistung eines "Einmalaufwands" kaum noch Arbeit hinter einer solchchen Spamwelle, die zudem auch noch beinahe beliebig oft wiederholt werden kann. Selbst bei so miesen Erfolgsraten bleibt unter Ausnutzung aller bekannter und unbekannter Botnetze ein rechnerischer Jahresumsatz von mehreren Millionen Euro übrig. Und der ist Dank der zumeist hoch unseriösen Natur der Angebote auch schon fast mit Jahresgewinn gleichzusetzen. Spam in der Gesamtheit macht also durchaus reich. Der Einzelne wird aber von diesem Kuchen (hoffentlich) nicht allzu viel abbekommen.

So, und nun viel Spaß mit der Kommentarfunktion, liebe Spam-Millionäre. Laßt mich wissen, wenn die Studie Unsinn war und Eure Ergebnisse doch an konservatives Marketing heranreichen ;)


# 
Thursday, 03 April 2008

Internet Explorer 8 (IE8) gefahrlos selbst testen

Dass der IE8 den Acid2 - Test ohne allzu große Schmerzen bestanden hat und auch dem Acid3 - Test zumindest eine auswertbare Antwort zurückliefern kann, hatte mich schon neugierig gemacht. Nach anfänglichen Problemen mit dem Download ist es mir dann zwar gelungen, das Setup für die Testversion des IE8 für Vista herunterzuladen, eine Installation auf einem Produktivrechner wollte ich mir dann aber nach einiger Überlegung doch nicht antun. Konflikte mit der bestehenden Installation des IE7, der nur dank "MultipleIEs" friedlich neben seinen Ahnen IE6, IE5.5, IE4 und IE3 lebt, sind schließlich vorhersehbar und den IE7 mit einer so frühen (und englischsprachigen) Version des IE8 zu ersetzen, klingt trotz des "IE7-Simulationsmodus" im Internet-Explorer 8 nicht nach einer guten Idee.

Ein Image des kompletten Systems zu ziehen, wenn man weiß, dass man es gleich wieder zurückspielen wird, um vernünftig weiter zu arbeiten, ist sicher auch nicht die Lösung. Also flugs zur Virtualisierung gegriffen. Ob man nun Virtual PC, Moka, Virtual Box oder VMWare bevorzugt: Auf einem virtuellen PC ist der Test solcher Vorabversionen zweifelsfrei einfacher und problemloser als auf einem Rechner, auf dem man ernsthaft arbeiten möchte.

IE8 und Virtual PC

Angenehm überrascht war ich da, dass man bei Microsoft ein fertiges Image von Windows XP inkl. Internet Explorer 8 für Virtual PC 2007 finden kann. Neben den älteren Fassungen des fertigen XP - VPC mit IE6 oder IE7 hat man erfreulicherweise auch gleich eine Variante für frühe Kompatibilitätstests zum IE8 im Download Center bereitgestellt. Damit ist ein gefahrloser und vor allem problemloser Test des IE8 ein Kinderspiel und man muss sich nicht einmal selbst Gedanken über die Installation eines entsprechenden virtuellen Systems machen oder gar sein Gewissen mit virtuellen Installationen von Betriebssystemen belasten, die die man gar keine Lizenz hat. Die Systeme, die mittels eines "Internet Explorer Application Compatibility VPC Image" erstellt werden, sind zwar nur in englisch verfügbar, dafür aber bis zum Ende der beschränkten Laufzeit (derzeit bis Anfang Juli 2008) auch legal. Da sie schließlich nur dem Testen dienen, muss man sich auch keine großen Gedanken wegen der eingeschränkten Nutzbarkeit machen und es ist davon auszugehen, dass rechtzeitig neue VPC-Images zur Verfügung gestellt werden, wenn die Nutzbarkeit der aktuellen Fassungen ausläuft. Klasse Service von MS, der nur dadurch geschmälert wird, dass man sich bei der Beschreibung der herunterladbaren Dateien nicht gerade um epische Breite bemüht hat....

Wer deshalb von den Dateinamen der Downloadliste unter oben genanntem Link verrwirrt ist und nicht weiß, was genau er herunterladen soll: IEx_VPC.EXE steht für ein XP-Image mit Internet Explorer Version x. Die anderen drei Dateien IE7-VIS1.exe bis IE7-VIS2.rar enthalten offensichtlich genau das, was man vermutet: Einen komplett fertig installierten und ebenso englischen Virtual PC mit Windows Vista (Business) und dem IE7. Wer also schon immer mal sehen wollte, ob sich auch Vista ordentlich virtualisieren läßt und den Download der 1.8 GB nicht scheut, darf sich hier ebenfalls bedienen, ohne sich eine Vista-Lizenz aus den Rippen schneiden zu müssen. Für gewisse Tests sicher recht praktisch; für einen ersten Eindruck vom IE8 aber definitiv die falsche Wahl...

# 
Tuesday, 25 March 2008

Neue Vorlage für Widerrufsbelehrung und Rückgabebelehrung

Prima, wenn es Muster vom Bundesministerium für Justiz (BMJ) gibt, die man z. B. bei so sensiblen Themen wie der Widerrufsbelehrung in einem Online-Shop einsetzen kann. Leider haben die bisherigen Muster aber nicht immer für Sicherheit gesorgt, sondern hier und da auch Anlass zur Klage gegeben. Aus diesem Grund können neue Mustertexte für Widerrifsbelehrung und Rückgabebelehrung im Rahmen der BGB-Informationspflichten-Verordnung beim BMJ online bezogen werden, die ab dem 1.4. gültig sind. Wenn Sie in Ihrem Shop ebenfalls im Bestellvorgang sichtbar und möglichst rechtssicher auf Widerrufs- oder Rückgaberecht hinweisen wollen, um die Fristen bereits ab der Tätigung des Onlinekaufs laufen zu lassen, sollten Sie also ab April auf die neuen Muster aufspringen und passende Belehrungstexte in den Shop einpflegen. Die alten Texte bleiben noch mit einer Übergangsfrist "gültig" (siehe http://www.bmj.de/bgbinfovo)

# 
Wednesday, 12 March 2008

Kostenloses eBook zum Internetrecht als PDF

Datenschutz, eigener Online-Shops, Web 2.0 - Funktionen, Suchmaschinenoptimierung und Online-Marketing... alles Dinge, mit denen im Web oft sehr laienhaft umgegangen wird. Nicht nur bei Dauerbrennern wie der Betrieb "rechtssicherer Shops" oder derzeit aktuelle Themen wie die Verwendung fremder Markenbezeichnungen in Metatags oder als bezahlte Suchbegriffe bei Google AdWords ist ständig Bewegung in der Rechtsprechung. Umso besser, wenn man ein Nachschlagewerk zur Hand hat, dass im Zweifelsfall möglichst aktuelle Informationen und Anwendungsbeispiele liefern kann. Ein im Web erhältliches kostenloses eBook dreht sich um mehr oder weniger alle Bereiche des Internetrechts, so z. B. auch dem Domainhandel, in abgeschlossenen Kapiteln. Der Autor Prof. Dr. Thomas Hoeren ist als Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht an der Uni Münster sicherlich nicht die schlechteste Adresse, wenn es um Informationen zum Internetrecht geht...

Kostenlos herunterladen und lesen ist ausdrücklich erlaubt, einer Spende für die Kaffekasse des Instituts ist man aber lt. Deckblatt nicht abgeneigt. Noch praktischer als der kostenlose Download des eBooks ist es zudem, dass die "online-Ausgabe" häufig aktualisiert wird und bei der Lektüre der neuesten Fassung vom Server unter http://www.uni-muenster.de/Jura.itm/hoeren/materialien/Skript/ bestmöglich davor schützt, sich auf veraltete Informationen zu stützen - abgesehen natürlich von der Konsultation eines Fachmanns (was im Einzelfall so oder so immer die bessere Alternative zum Selbststudium ist).

# 
Thursday, 05 April 2007

CeBIT Nachlese: Sinnvolle Anwendung für RFID - "MICA"

Sicher, die CeBIT ist schon ein paar Tage vorbei und schon fast vergessen. Eine Sache aber, die ich auf der Messe gesehen habe, hat sich per Mail nun wieder in den Fokus gerückt und mich daran erinnert, wie ich mich beim ersten Mal, als ich etwas von RFID gelesen hatte, dachte  "Was soll mir das bringen, außer dass ich künftig in FutureStores keine Waren mehr auf ein Band legen muss?"

Zugegeben, dass war so naiv wie potentialverkennend und inzwischen gibt es eine Menge an sinnvollen Anwendungen für RFID in der Praxis oder im Labor. Eine dieser Laborratten habe ich auf der "Future Factory" auf dem SAP-Hauptstand kennen gelernt und war sehr davon angetan, wie eine wirklich praxisbezogene Anwendung auf Basis RFID (freilich nur ein kleiner Baustein, aber den gab es nun mal vorher nicht) entstanden ist bzw. bald "serienreif "entstehen wird....

Als Exponat zur Verdeutlichung künftiger möglicher Anwendungen technischer Innovationen an Station 4 wurde gezeigt, wie die Arbeit eines Kommissionierers mit dem Forschungsprototypen "MICA" so vereinfacht werden kann, dass vollkommen ungelernte und im Lager "unortskundige" Aushilfen bei der Zusammenstellung der Lieferung einzusetzen sind (was sicher nicht ganz praxisfern ist, oder?)

MICA besteht laienhaft ausgedrückt (was mir in diesem Zusammenhang sicher zusteht) aus einem RFID-Tags erkennenden Einkaufswagen mit TabletPC und Headset und ein paar anderen Kleinigkeiten. Die Idee dahinter ist, dass auf dem Screen per Touchsteuerung die Kommission (oder gleich mehrere Kommissionen) ausgewählt wird und zunächst einmal der (oder die, sich spare mir weitere Klammern) passende Versandkarton auf den Wagen gestellt wird. Da auch diese alle mit RFID-Tags ausgestattet sind, meckert der sprachausgebende Einkaufswagen solange, bis ein passender Karton gefunden ist. Anschließend wird per Bildschirm vom Startpunkt aus die "Route" durch das Lager berechnet, wobei sich der Lagerist freilich nach wie vor frei bewegen und ab und zu mal eine Rauchen gehen kann. Auf der lustigen Tour durch die Regale wird der Kommissionierer dann - je nach aktueller Kommission - aufgefordert, Artikel x, y und z in den Karton a, b oder c zu legen; je nach Gusto und Abstand zum Wagen per Kommando am Bildschirm und / oder via Headset. Auch hier sorgt RFID dafür, dass wirklich die richtigen Artikel eingepackt werden. Ist die "Tour" beendet, wird zum Ausgangspunkt zurückgekehrt, abgeladen und... schon beginnt das lustige Packen erneut. 

Auf der Softwareseite wird mit Profilen gearbeitet, über die je Level des Lageristen mehr oder weniger Funktion freigeschaltet wird, so dass nach und nach immer mehr Aufgaben (z. B. das Verbingen neuer Ware in die Regale etc.) übernommen werden können. Lichtsensoren, die erkennen, dass der arme Anwender bei starker Sonneneinstrahlung wahrscheinlich gar keine Chance hat, das Display abzulesen etc. runden das System zu einem intelligenten Helfer ab, der als zusätzliche Komponente zum Funktionieren "nur noch" einen austauschbaren Lagerhelfer benötigt. Schöne neue Welt? Chance für Ungelernte oder Bedrohung der Position (oder zumindest des Gehalts) etablierter Regalartisten? Ich weiß es nicht, aber wir werden schon sehen....

Das Bemerkenswerte insgesamt ist, dass wirklich nur alte Hüte zum Einsatz kommen und allein durch RFID aus der Zusammenstellung der Komponenten nun etwas wird, das zuvor in dieser Form undenkbar gewesen wäre. Wer weitere Infos darüber sucht, findet bei SAP ein knapp 45 MB großes Video dazu, das die Funktionsweise verdeutlicht. Unbedingt den auch im ersten Teil interessanten Ton anmachen, sonst schläft man während der ersten Hälfte ein und verpasst die spannenden Szenen am Ende :)

# 
Sunday, 01 April 2007

Quo Vadis Delphi oder WIN32 vs. dotNET

OK, am ersten April sollte man sicher nicht zu viel Ernstes schreiben. Aber da ich just wieder mein kürzlich erhaltenes Angebot für ein Upgrade auf Delphi 2007 (WIN32) in der Hand hatte, stelle ich mir nicht zum ersten Mal die Frage, wo es mit Delphi hingehen wird und was aus dem typischen Delphi-Entwickler wird... oder schon geworden ist; bin ich schließlich auch einer davon.

Schon bevor ich zum ersten Mal "DevCo" gehört habe und definitiv vor Erscheinen der Turbo-Versionen und der gefundenen CodeGear - Lösung habe ich mich zu verschiedener Gelegenheit mit der Frage konfrontiert gesehen, ob der eingeschlagene Weg zum "Zwitter" zwischen Win32 und .NET (teils aus Überzeugung und sicher auch zum Teil -seitens Borland - aus der Not heraus) nun gut oder schlecht ist. Cool ist er zweifelsohne, aber er lässt wohl eine klare Linie vermissen, oder?

Noch so eine Frage: Wozu dienen die Turbos? Ist dies ein Zeichen, dass sich CodeGear auf seine Community zurückbesonnen hat und zu deren Pflege und Mehrung eingesehen hat, dass der typische Delphianer nicht den Umfang einer Top-hochpreisigen-All-In-One-Lösung sucht, sondern eine gut bedienbare IDE für die ihm gestellten und zumeist sehr klar abgegrenzten Aufgaben, bezahlbar? Oder bedeutet dies, dass man am managementseitig längst abgesehenen und vorsichtig eingeläuteten Ende von Delphi noch mal jeden Euro und Dollar rausholen will, den man noch bekommen kann und der Abgesang auf Delphi längst (von vielen ungehört) erklingt?

Derweil kämpft die Community mit allen Mitteln darum, Delphi ein Gesicht zu entlocken. Stolz, grimmig und siegessicher soll es sein und sich einen Sch.. um die kleinen Falten und die angesetzten Pölsterchen scheren. Und wie man unter http://delphiroadmap.untergrund.net zwischen den Zeilen exemplarisch für das, was sicher viele Delphianer denken (alle so um die vierzig?) nachlesen kann, wird Win32 auch noch ewig leben. Wenn David I das sagt, glaubt man es ja auch allzu gern. Zum Beweis wird hier z. B. eine Statistik angeführt, die zeigt, dass nach wie vor das Interesse an Win32 überwiegt. Nur: Was ist die Basis für diese oder andere Statistiken? 

Wenn man Studien liest, die die Gesamtheit aller Entwickler betrachtet und nicht nur die Welt von Borland, Inprise, DevCo und CodeGear (für alle, die lange genug durchgehalten haben), dann sieht man schnell, dass VS.NET die Musik bestellt, bezahlt und auch selbst spielt, zuhört und applaudiert. Man verstehe mich bitte nicht falsch; ich liebe Delphi seit dem ersten unschuldigen und vorsichtigen 16-Bit breiten Gefummel in der Version 1.0; habe alle (selbstredend nur die ungeraden) Updates mitgemacht und finde mich bei .NET auch heute noch am besten mit Hilfe von VCL.NET oder zumindest Delphi 2006 zur Erweckung der FCL zurecht. Aber mir scheint, als würde das Heer der Delphianer eher auf .NET spucken als zuzugeben, dass VS.NET inzwischen auch ganz nett zu bedienen ist und in den letzten Jahren (spätestens seit "Borland die IDE gegen das MS-Framework getauscht hat") den Unterschied in der Useability / Usability (für falsch Gehaltenes bitte im Kopf streichen, ich halte beides für vertretbar) und Vollständigkeit längst ein- bis überholt hat. 

Da ich selbst einer der vielleicht schon heute Gestrigen bin, da ich immer noch an Delphi festhalte und mich sogar nach Kylix noch über sowas wie Delphi for PHP freuen kann, will ich nicht so schlecht über die Community reden, die mich warm hält und der ich auf jeder EKON der nächsten 100 Jahre noch gern begegnen mag, aber manchmal überkommt mich schon das Gefühl, es riecht manchmal ein wenig nach Staub. Macht mir zwar nix; man muss den Geruch vielleicht nur lieb gewinnen können und nicht gleich versuchen, ihn mit WCF & Co. unter den .NETisch zu fegen. Aber muss man deswegen gleich die Augen vor allem anderen verschließen, was so an spannenden Dingen in der Entwicklerwelt  passiert? Ich hoffe nicht! 

Wer das ganz anders sieht, mag es mich möglichst emotionslos wissen lassen...

 

# 
Saturday, 31 March 2007

USB-Stick kostenlos verschlüsseln. Warum und wie?

Was schleppt man nicht immer so alles mit sich herum...  und es ist ja so einfach geworden mit den USB-Sticks, die man inzwischen an jeder zweiten Tankstelle als Werbegeschenk bekommt und deren bezahlbare Kapazität sich mittlerweile in Bereiche vorwagt, die nie ein ZIP- oder JAZ-Laufwerk gesehen hat (wer sich noch erinnern kann).

<Kleiner Exkurs> Und überhaupt ist USB inzwischen irgendwie mein Ding geworden, obwohl ich länger dazu gebraucht habe als andere: Der neue Brenner, der vor einiger Zeit seinen dahingeschiedenen eingebauten Großvater ersetzt hat, brennt problemlos und ausreichend performant extern via USB. Die ein wenig an den Hüften spannende Festplatte wird durch eine robuste externe Platte entschlackt, auf die all der Kram kommt, der nach einer Neuinstallation oder Rechnertausch schmerzlich vermisst wird. Beides ist mir persönlich sicher auch noch in fünf, sechs Jahren - ja vielleicht sogar noch länger - schnell genug, wenn die outgesourced'te (wie zum Teufel soll man das eigentlich richtig schreiben? Muss man das überhaupt?)  Peripherie lange genug durchhält. Der Rechner sicher nicht! </kleiner Exkurs>

OK, zurück zum Thema: Auf schlüsselanhängergroßen "Platten", Sticks, MP3-Playern und auf unterschiedlichsten Vertretern der formfaktorreichen Speicherkartenwelt trägt Hinz wie Kunz heute federleichte und dennoch enorme Datenmengen durch die Gegend, die in ausgedruckter Form selbst dem guten alten Hulk beim hilfsmittellosen Transport den (grünen?) Schweiß auf die Stirn treiben würde. Sind das alles immer nur die neusten Top 8000 aus den gängigen Charts? Verstohlen abgefilmte Augenkrebsfassungen der bald erscheinenden cineastischen Meisterwerke mit Wolldecken-im-Mund-Ton? Oder hat der eine oder andere auch Dinge bei sich, die er nicht nur vermissen würde, sondern auch gern selbst nach einem Verlust des Datenträgers "einigermaßen sicher" wissen würde? Und das vorzugsweise kostenlos?

Klar weiß ich selbst, dass nichts, was von Menschenhirn zum Schutz von Privatsphäre erdacht wurde, nicht mehr oder minder leicht von versierter und gut ausgerüsteter Hackerhand wieder an´s Tageslicht gezerrt werden kann (Ihr Säcke!), aber wenn wir mal ehrlich sind, so finden die statistisch gesehen weniger häufig einen USB-Stick mit vielleicht doch eher privatem Inhalt als das Heer der reinen PC-Anwender. Und die mögen zwar allesamt ein gewisses Potential krimineller Energie in sich tragen, aber nicht alle haben das Rüstzeug, um sich selbst durch eine vergleichsweise einfache Verschlüsselung zu bohren.

Dummerweise ist aber für alles, was einem dazu zuerst einfällt, ein leicht googlebares Kraut gewachsen: Verschlüsselte ZIP-Archive sind weniger sicher als die Rente, versteckte Dateien und Ordner keine wirklich sichere Lösung und alles nach dem Gebrauch in "tmpaskdsdjlasds.$$$" umzubenennen oder ähnliche Späße ist gleichfalls kindisch wie umständlich. Hausgemachte Verschlüsselung von Office-Dokumenten und gängigen Datenbanken hält einer guten Suche im Web auch nicht lange Stand. (Nebenbei tun dies die Passwörter vieler Anwender auch nicht und für eine BruteForce-Attacke braucht es neben einem der vielen Tools dann nur noch ein wenig Zeit, die man mit Kenntnissen über den Angegriffenen noch verkürzen kann, indem man ein paar Stichworte vorgibt und das Werkzeug dann seine Arbeit machen läßt).

Also muss ein anderes Stück Software her, dem man ansatzweise vertraut. Das kann die Anwendung sein, die beim USB-Stick der preislichen Mittelklasse gleich dabei war oder die bisher unbeachtet zum schon lange gekauften "Alles kein Problem, wir kümmern uns drum" - Sicherheitspaket gehört, dass man sich in einem Moment geistiger Klarheit mal für den heimischen PC gegönnt (und seit Ablauf der im Preis enthaltenen Updates natürlich nicht mehr aktualisiert) hat.

Wer nun aber einen USB-Stick oder anderen externen Datenträger - mit elektronischen Kontoauszügen, den Passwörtern seiner Bank- und Mailaccounts, abgelegt in Pimmy oder anderen praktischen Programmen oder die anzüglichen Fotos der Freundin (die die Frau besser nicht sehen sollte) - ohne Software hat und plötzlich oder erst jetzt beim Lesen einen Anflug von Sicherheitsbedürfnis verspürt, dem mag ich nun, da er so lange durchgehalten hat, auch gern einen Tipp geben. Ich habe mir einige Dinge angesehen. Für mein portables Fort Knox Light fiel die Wahl nach einigen Versuchen auf (... and the winner is:) TrueCrypt (Tusch verklingt, Beifall setzt ein).

Neben dem angenehmen Preis gefallen mir einige Kleinigkeiten an dieser Lösung, die optisch vielleicht nicht das Maß der Dinge ist, aber ich will ja auch verschlüsseln und nicht in's Kunstmuseum.

  • Das Programm selbst (man kann sich bis auf unter 900 KB sparen, wenn man nur das allernötigste für die meisten Fälle mitnimmt) passt gut auf den USB-Stick, so dass man an jeden beliebigen PC alles mitbringt, was man braucht, damit man auf seine geschützten Daten zugreifen oder das geschützte Archiv mit frischen Daten ausbauen kann
  • Der Zugriff auf das Archiv kann dadurch problemlos auch via Autorun.inf gleich beim Einstecken des Sticks angeworfen werden. Ein Archiv läßt sich dann einfach wie ein weiteres Laufwerk mounten, so dass man "natürlich" darauf zugreifen kann
  • Es bietet nicht nur ein, sondern mehrere Verschlüsselungsverfahren und -algorhytmen, die sich auch unterschiedlich Kombinieren lassen
  • Auf Zuruf kann es auch Deutsch und andere Sprachen; Sprachdateien gibt es wie XML-Sand am Meer. Das mag dem einen oder anderen bei der Bedienung des nicht ganz intuitiven Menüs helfen
  • Hardcore-Paranoiker können versteckte innere Volumes in "ummantelnden" Archiven anlegen und je nach Passwort das innere oder äußere Volume beim Zugriff öffnen. Mir gefällt das deswegen so gut, weil man den drei "Schichten" der Verschlüsselung eines Archivs so auch weitere Schalen hinzufügen kann - und ganz einfach, weil es geht und ich die Idee mag. Das Argument, dass man das Kennwort der ersten drei Schalen preisgeben kann, wenn man dazu gezwungen wird, um die Existenz des inneren Volumes mit den "eigentlichen" Daten, die durch Pseudowichtiges Beiwerk im äußeren Container noch weiter verschleiert werden, zu schützen, mag für Geheimagenten noch gut sein, die dem Druck einer Folter ausreichend lange Stand halten können; mir gefällt einzig und allein das Konzept... Ich gedenke ja aber auch nicht, mit einem USB-Stick voller Geheimpläne in Krisengebiete zu fliegen, sonst denke ich vielleicht mal anders darüber.
  • Das Tool ist nicht nur für USB-Sticks, sondern auch für Archive auf MP3-Playern, externen Festplatten (siehe oben ;)) oder auch dem (bitte niemals verlieren!) Notebook oder Desktop prima geeignet (übrigens nicht nur unter Windows)
  • Per Kommandozeilenparameter kann man das Programm so ziemlich zu allem veranlassen, nur nicht zum Stepptanz. Wer Spaß an autorun.infs, Batch-Dateien oder Scripten aller Art hat, wird sich darüber freuen. So zusagen "adminkompatibel" :-)

Eine Installations- und Bedienungsanleitung spare ich mir allein deshalb schon, weil das hier sonst noch das Internet sprengt. Außerdem habe ich bei meiner Suche nach einer kostenlosen Lösung meines Anliegens einen Haufen an deutschen und englischen Anleitungen in den Suchergebnissen gefunden, also warum noch eine mehr dahin posten, wo selten die Sonne scheint? Statt dessen möchte ich Dir, lieber Leser, noch ein paar Tipps und Anregungen geben, wenn Du TrueCrypt wirklich ausprobieren möchtest oder ernsthaft darüber nachdenkst, portable Daten mit dessen Hilfe zu rüsten:

  • In einer Autorun.inf auf dem Stick kann mehr passieren, als nur "etwas" zu starten. Ich statte z. B. alles, was ich so mit mir rumtrage, mit einer Bitte um Rückgabe aus, da ich prinzipiell immer noch an das Gute im Menschen glaube. Eine Textdatei mit der Adresse und dem Angebot eines angemessenen Finderlohns (Betrag ruhig reinschreiben!) erhöht die Rückgabewahrscheinlichkeit selbst bei einem MP3-Player enorm, wenn man an einen entsprechenden Finder gerät; selbst wenn der auch prima einen neuen Player gebrauchen kann. Je nachdem, ob auf dem Player nur Mucke oder auch wichtigere Dinge untergebracht sind, mag das also durchaus sinnvoll sein. Diese Textdatei kann beim Zugriff auf den Stick gleich geöffnet (open=...) - bzw. mit einem entsprechend reißerischen Titel wie "BITTE BITTE BITTE LESEN" in das Menü neuerer Windowsfassungen eingebunden werden.

    In meinem Fall beschränke ich mich darauf, ein "Gefunden? <meine Mailadresse>" als Label des Laufwerks via autorun zu beschränken. Das ist erstens weniger umständlich; zweitens muss das reichen, wenn der potentielle Finder wirklich vorhaben sollte, Gefundenes zurück zu geben. Ein kleines Beispiel dafür siehe unten.
  • Wenn alles, was portabel und per USB anschließbar ist, im Explorer nun plötzlich "Gefunden? Bitte [email protected]" (siehe oben) heißt, kann das unübersichtlich werden, wenn mehr als ein Gerät eingesteckt wird. Egal, dafür gibt es Icons. Der MP3-Player bekommt ein schönes Grammofonsymbol (Mist, ich wollte doch "Grammophon" schreiben!); der USB-Stick 1 ein anderes, ebenso eindeutiges Symbol , das von USB Stick 2 abweicht usw.  "Icon=blabla.ico" in der autorun reicht und die Icons findet man zu Phantastilliarden Hoch Zehn im Web.
  • Twofish, AES und die NavySeals zusammen helfen nichts, wenn das Passwort zu kurz, zu erratbar oder schlicht "zu doof" ist.  Ein einigermaßen ordentliches Passwort (sicher ist man nie, aber wir versuchen es hier ja gerade) ist auch ordentlich lang; enthält große wie kleine Lettern nebst Zahlen und vorzugsweise auch das eine oder andere Sonderzeichen. Und wenn es schon "lesbare" Begriffe sein müssen, dann bitte falsch kombiniert und / oder falsch geschrieben. Genug davon; nur bitte mal drüber nachdenken. Es muss ja nicht jedes Passwort "recht sicher" sein, das man im Leben braucht - aber wir verstecken hier schließlich gerade die Pläne zur angestrebten Weltherrschaft auf dem Stick und da darf es auch gern etwas sicherer sein, oder?
  • Auch der Dateiname eines verschlüsselten Containers muss nicht immer gleich darauf hinweisen, dass darin etwas liegt, dass man schützen möchte. Die meisten Verschlüsselungsprogramme sind sehr nachsichtig, wenn man einen andere oder gar keine Extension vergibt. Das hilft zwar im Beispiel eines automatisch geöffneten Archivs beim Einstecken nicht viel, da hier der Name des Archivs und dessen Existenz ja direkt kundgetan wird, kann aber als Denkanstoß beim Schützen von Daten auf dem heimischen PC dienen.
  • Als "Quickstart" mag ein Beispiel für eine autorun.inf auf einem USB-Datenträger dienen:

    [autorun]
    label=Gefunden? [email protected]
    icon=TC\stick.ico
    action=Archiv öffnen
    open=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\mdec=Archiv öffnen...
    shell\mdec\command=TC\TrueCrypt.exe /q background /e /c y /m rm /v "tc\meinschmutzigeskleinesgeheimnis"
    shell\start=TrueCrypt starten...
    shell\start\command=TC\TrueCrypt.exe
    shell\dismount=Alle TrueCrypt - Laufwerke trennen
    shell\dismount\command=TC\TrueCrypt.exe /q /d

Tipp: Sollte das "Starten" des Archivs auf einem Zielrechner mal nicht funktionieren, ist dort wahrscheinlich eine ältere Fassung von TrueCrypt installiert und aktiv, so dass der Treiber beleidigt ist und sich weigert, das Archiv seines Nachfolgers zu öffnen. In diesem Fall zuerst (-> siehe Tray) TrueCrypt auf dem Rechner beenden und dann noch Mal "ein-sticken"...

#