drweb-buch-5-teil-2

Suchmaschinen

Suchmaschinen schicken Besucher vorbei, ohne dass dafürein finanzieller Einsatz erbracht werden muss. Nicht zuletztdeshalb sind sie bei Homepagebastlern genauso beliebtwie bei den Großen der Branche. Doch von allein funktio-niert es nicht. Auf der anderen Seite sind vorallem Über-treibungen schädlich.

165

Ranking Faktoren

Worauf kommt es denn nun wirklich an? Was braucht eineSeite, und was ist besser zu meiden? Häufig gestellte Fra-gen, deren Antworten sich im Laufe der Zeit zumindestteilweise verändern.

Ein Ranking entsteht nicht absolut, sondern auch im Ver-gleich zu anderen Seiten. Diese gilt es auszustechen. Dabeispielen viele Faktoren eine Rolle. Nicht alles lässt sich ohneweiteres berücksichtigen, denn eine Suchmaschine ziehtzahlreiche Faktoren heran, um die Autorität und die Wich-tigkeit eines Dokuments zu bestimmen. Die hier vorge-stellten, wichtigsten und am häufigsten genannten Kriteri-en beziehen sich nicht auf eine bestimmte Suchmaschine.

Der Seitentitel

Ein Klassiker. Der Seitentitel <title></title> zählte schonimmer zu den bedeutendsten Faktoren das Ranking betref-fend. Dies gilt noch immer. Mehr darüber weiter unten.

Keywords im Text

Eine Selbstverständlichkeit, die Suchbegriffe des Surfersmüssen im Seitentext auftauchen. Splash-Pages, Flash-Sei-ten oder Layouts komplett aus Grafiken haben deshalbweniger gute Chancen.

Text in ALT- und TITLE-Attributen

Wird berücksichtigt, wenn er auch geringere Bedeutung alsder eigentliche Body-Text hat.

Originalcontent

Was öfter in gleicher Form zu finden ist, erhält Abzüge oderwird komplett aus dem Index entfernt. Ein Nachteil für syn-dizierte Inhalte. Mehrere Websites mit identischem Inhaltoder verschiedenen Domainnamen bringen keine Vorteile.

166

Das Alter

Je länger eine Seite bereits existiert, desto mehr Gewichtkann ihr beigemessen werden. Insbesondere dann, wennsich über die Zeit allerlei externe Verweise angesammelthaben. Es lohnt sich deshalb, eine einmal vergebene URLweiter zu verwenden, oder sie gar mit neuen, ähnlichenInhalten zu recyclen, anstatt sie zu löschen.

Inhaltliche Änderungen

Gleiches gilt für regelmäßige Änderungen, die im Übrigenauch für erhöhte Spideraktivitäten sorgen. Auf „wichtigen“Seiten passiert auch mehr, so der Umkehrschluss.

Interne Verlinkung

Eine dichte Vernetzung innerhalb der eigenen Website istanzustreben. Eine Sitemap und ein Index können dabei hel-fen – ebenso wie eine Verschlagwortung (Tags) mit ent-sprechender Auflistung.

Meta Description

Ihre Bedeutung für das Ranking besteht dieser Tage fastnur noch darin eine eventuelle Seitenbeschreibung zu lie-fern, weswegen man nicht darauf verzichten sollte. DieBedeutung für das Ranking ist nur noch marginal.

Meta Keywords

Sind ebenfalls marginal. Ellenlange Listen lohnen sichschon gleich gar nicht. Nützlich sind Meta Keywordsaber noch immer zum Beispiel um passende Tippfehler,Buchstabendreher und ähnliche Begriffe gleich mitzulie-fern.

Überschriften

Die Verwendung der Elemente H1 bis H6 ist nach wie vorangeraten. Auch semantische Korrektheit, sowie die Ein-

167

haltung von Standards können helfen, wenn es darum gehtIhr Dokument vor einem anderen zu platzieren.

Seitenlänge

Auch wenn Suchmaschinen riesige Dokumente erfassenkönnen, es lohnt nicht das auszureizen. Die Relevanz ein-zelner Begriffe leidet, wenn diese erst am Ende eines lan-gen Dokuments zu finden sind.

Anker

Auch die seiteninterne Verlinkung mit Hilfe von Ankern fin-det wohlwollende Berücksichtigung.

Textauszeichnungen

Etwas Fett- oder Kursivschrift schadet sicher nicht. Ihre Wir-kung ist umstritten und eher gering einzuschätzen.

Domainname

Kommt das Keyword im Domainnamen vor, ist mit einemPluspunkt zu rechnen. Zu viele Bindestriche sollte einDomainname nicht enthalten. Zwei müssen genügen. TLDszeigen ebenfalls Wirkung, auch wenn diese nur darinbesteht .edu und .gov zu fördern, die im deutsprachigenRaum keine Bedeutung haben.

URL

Auch sie findet Berücksichtigung. Vorbei aber sind die Zei-ten in denen man eine Suchmaschine wie Fireball mitnichts anderem als einer perfekten URL komplett austrick-sen konnte. So genannte „Sprechende URLs“ mit inhalts-bezogenen Keywords bieten Vorteile. Also statt:

http://www.domain.de/seiten/artikel254.php

besser

168

http://www.domain.de/suchmaschinen-ranking.php

Zudem können überlange URLs einen Spam-Verdacht nachsich ziehen.

Tiefe in der Dateistruktur

Je tiefer ein Dokument in einer Dateistruktur vergrabenliegt, desto unwichtiger erscheint es.

Größe der Website

Ein Faktor auf den nur langfristig Einfluss zu nehmen ist.Schwergewichte erhalten Vorteile zugesprochen. 10.000Seiten beeindrucken mehr als nur 100.

Ganz allgemein und abschließend darf man behaupten:Gute Inhalte ergeben ein gutes Ranking! (sl)

Ranking Faktoren: Die dunkle Seite

Spam ist die Geißel des Internetzeitalters. Als Seitenbe-treiber hat man sich vor den Techniken der Spammer zuhüten, um nicht unfreiwillig in deren Nähe gerückt zu wer-den. Auch sonst lässt sich in guter Absicht jede Mengefalsch machen.

Die hier vorgestellten, wichtigsten und am häufigstengenannten Kriterien beziehen sich nicht auf eine bestimm-te Suchmaschine. Die vorgestellten Techniken haben dasPotenzial dazu, ein Ranking negativ zu beeinflussen, man-che können einen kompletten Ausschluss zur Folgehaben.

169

Keyword Spamming

Die Versuchung ist groß. Doch, wer es übertreibt, riskiertseine gute Platzierung. Ein Übermaß an Keywords findetsich oft in den Meta-Tags oder als mehr oder weniger ver-steckter Text typischerweise am Seitenende, manchmaldurch zahlreiche Leerzeilen vom eigentlichen Inhalt abge-grenzt. Suchmaschinen mögen Übertreibungen nicht. Siekönnen Keyword Spamming leicht feststellen.

Cloaking

Eine Methode von der Besucher nichts mitbekommen, daihnen ein anderer Inhalt als einer Suchmaschine geliefertwird. Scripts sorgen anhand einer stets aktuell gehaltenenIP-Liste dafür, dass möglichst jeder Spider nur „seine“ Ver-sion zu Gesicht bekommt. Nützlicher Nebeneffekt, die fürSuchmaschinen relevanten Seiten bleiben vor Mitbewer-ben versteckt und lassen keinerlei Rückschlüsse auf dasZustandekommen des Rankings zu.

Verschiedene Versionen

Gut möglich, dass eine (Start)seite gleich in mehreren Ver-sion in einer Suchmaschine auftaucht. Also:

http://www.domain.dehttp://domain.dehttp://www.domain.de/index.htmlhttp://domain.de/index.html

Möglich, dass sich diese Versionen ein Ranking quasi „tei-len“ müssen. Gleiches kann bei einem Domainwechselpassieren. Neuer und alter Name können lange nebenein-ander in einem Index existieren.

170

Zu viele 404 Fehler

Kann die Suchmaschine veranlassen eine Website als Quel-le minderer Qualität einzustufen.

Was der Google-Bot nicht findet... Google gibt gern Aus-kunft über solche Probleme. Bedingung ist die Benutzungder Sitemap und eine Verifizierung Ihrer Website.

Neue Domains

Zumindest von Google ist die Tatsache bekannt. Neue Pro-jekte unter frischen Domainnamen werden erst einmal unterQuarantäne gestellt. Die so genannte „Sandbox“. Erst wersich bewährt, wird vollständig auf den Index losgelassen.Für den Webdesigner und Seitenbetreiber heißt das: dieneue Domain schon einmal provisorisch befüllen undanmelden, bevor mit den eigentlichen Arbeiten am Projektbegonnen wird. Wer das versäumt, muss mit monatelanger

171

Wartezeit rechnen. Das passiert nicht immer, die Wahr-scheinlichkeit ist aber gegeben. Gerüchte sagen: Seiten, dieper AdWords beworben werden, verlassen die Sandboxschneller. Ein höheres Ranking erreichen sie jedoch nicht.

Duplikate

Tauchen Inhalte mehrfach auf, liegt der Verdacht nahe, esmit automatisch generierten Content zu tun zu haben. Esgibt Software, die aus freien Quellen und RSS-Feeds neueSeiten in Massen zusammenbasteln. Eine gute Suchma-schine verzichtet auf solchen Content und legt Wert auf Ori-ginale. Subdomains oder zusätzliche Domainnamen wer-den erkannt.

Mindere Link-Qualität

Verweise zum Beispiel im Rahmen von Partnerprogram-men in das virtuelle Rotlichtviertel oder auf Online-Casinoskönnen für Abzüge sorgen, da man dieser, als zwielichtiggeltenden Klientel dann zugeordnet wird. Dasselbe gilt,sollte man Links aus solchen Quellen erhalten. Oder Trafficvon so genannten „free-for-all“-Listen beziehen.

Link Spam

Jede Menge Links aus schwach positionierten Gäste-büchern, aus Forensignaturen, Blog-Kommentaren undähnlichem können einen Spam-Verdacht zur Folge haben.

Illegale Inhalte

Das mit illegalen Inhalten oder deren Beschreibung keinStaat zu machen ist, liegt auf der Hand.

Unsaubere Codierungen

Ausufernd komplex oder gar fehlerhaft codierte Seiten wir-ken auf einen Spider wenig anziehend. Texte können nichtausgelesen oder Verweise nicht erkannt werden.

172

Partnerprogramme

Sind selbstverständlich erlaubt, doch auch hier muss mansich vor Übertreibungen hüten. Partnerprogramme sind dieHaupt Einnahmequelle für Spammer.

Javascript, Java, Flash, PDF

Machen mehr oder weniger große Schwierigkeiten. Auchwenn ein PDF-Dokument verlinkt und indiziert werdenkann, die Nachteile bleiben. Denn eine suchmaschinenge-rechte Aufbereitung des Dokuments ist unmöglich. DenLinks einer mit Java realisierten Menüleiste folgt kein Spi-der. Glücklicherweise wird Java kaum noch dafür einge-setzt. Aber auch Javascript sorgt für Ungemach. Seine Ver-wendung sollte im Zusammenhang mit Links vermiedenwerden.

Brückenseiten

Man konstruiert eine Garnitur zusätzlicher, keywordoptimier-ter Seiten, die einen einzigen Link enthält. Man versucht aufdiese Weise mehrere Eingänge etwa für die Startseite oderein wichtiges Thema zu schaffen. Sinnvoll ist das auch, wennFrames oder viel Grafik zum Einsatz kommen. Da eineBrückenseite keinen originären Inhalt einbringt, mögenSuchmaschinen sie nicht. Auch hier gilt, die Menge macht dasProblem. Die eine oder andere Brücke stellt kein Problem dar.

Eine Frage bleibt. Warum ist das Web voll von Spam, wenndie genannten Techniken zu Abzügen oder gar zum Rauf-wurf aus einem Index führen? Simpel. Ein Spammer befülltständig neue Domains. Das PHP-Script ist sein besterFreund. Er ist Kunde bei vielen Providern. Wenn an einemTag zehn Domains gesperrt wurden, entstehen am näch-sten zwanzig neue. Unbrauchbare gewordene Domainswerden anschließend im Paket verkauft. (sl)

173

Ranking Faktoren: Starke Links

Es ist kein Geheimnis, jeder Link zählt. Je mehr davon aufdie eigenen Seiten verweisen, desto besser. Oder vielleichtdoch nicht? Durch die schiere Masse lassen sich Suchma-schinen jedenfalls nicht beeindrucken.

Wie, wo und auf welche Weise jemand einen Link auf einbestimmtes Projekt oder eine bestimmte Seite setzt, Ein-fluss hat man darauf in der Regel nicht. Es sei denn manvereinbart einen Tausch. Oder man verlinkt selbst.

Linktext

Das A und O. Ein guter Link braucht einen passenden,beschreibenden Text, der auch geeignete Keywords ent-hält. Ein Link wie „siehe“, „weiterlesen“, „hier“ oder gar„Link“ darf als vergleichsweise schwach gelten. Wer bei-spielsweise auf diesen Artikel verlinken wollte, tut diesoptimal mit einer Beschreibung wie „Dr. Web PLUS überLinks und Ranking Faktoren“. Besser kann man es nichtmachen. Je stärker die Beziehung zur verlinkten Seite ist,desto größer ist der Effekt. Mehr dazu weiter unten.

Die Umgebung des Linktextes

Suchmaschinen lassen in ihre Bewertung auch die Umge-bung einfließen. Welche Keywords in einem definiertenBereich vor und hinter dem Link erscheinen, trägt zurBewertung bei.

Links im Fließtext versus Linkblock

Der Link im Fließtext wird höher bewertet. Ein Link, direktaus einem Text heraus, zählt also mehr als ein Link, der amSeitenende darben muss. Dies gilt nicht nur bei überlangenSeiten.

174

Das thematische Umfeld

Auch das Umfeld muss passen, wenn eine optimale Aus-beute erzielt werden soll. Dr. Web zum Beispiel gilt Googleals Top-Referenz zum Thema Photoshop. Ein Link von unsauf eine Photoshop-Website hätte entsprechendesGewicht. Käme der Link, sagen wir von einem befreunde-ten Hotelier, sähe die Sache komplett anders aus. EinLinktausch mit befreundeten Webmastern bringt nur dannetwas, wenn man sich in ähnlichen Gefilden bewegt.

Das Ranking des Linkenden

Je besser der Verlinkende angesehen ist, desto mehr zählt sei-ne Meinung. Ein klarer Fall. Ein Link von einer PR 7 Seite istmehr Wert als der gleiche Link von einem PR 2 Projekt. Dasthematische Umfeld oder die Linkbetextung relativieren dies.

TITLE-Attribute

Sie können einen Link verstärken. Dies gilt vor allem dann,wenn der Linktext schwach oder unzureichend gewähltwurde. Attribute sollten aber nicht überbewertet werden.

Textauszeichnungen

Überschriften oder Fettschrift sind für Links nicht unbe-dingt üblich. Sie können eine positive Wirkung entfalten,die aber umstritten ist.

Herkunft

Das Verlinken eigener Projekte, die auf dem selben Serverliegen oder aus demselben IP-Adressbereich stammen, istnaheliegenderweise weniger wirksam. Wer sich auf dieseWeise selbst befördern möchte, braucht verschiedene Pro-vider, Server und Webspaces. Google, so heißt es nachGerüchten, könnte AdSense zur Bestimmung von Bezie-hungen verwenden, denn dort reicht eine Anmeldung füreine Vielzahl von Projekten.

175

Links mit dem Attribut rel=nofollow werden nicht oder soll-ten nicht gewertet werden. Der Einsatz ist immer dannsinnvoll, wenn man selbst keine oder nur unzureichendeKontrolle über gesetzte Links hat. Etwa bei Kommentarenin Weblogs, Mitmach-Aktionen oder Gästebüchern. (sl)

Der präzise Link

Spielt es eine Rolle, wie man einen Link betextet? Aber ja,seitdem Google und Co. sich für Hyperlinks besondersinteressieren, lohnt sich die Beschäftigung damit. Denn,erst wenn Linktext und Suchbegriffe perfekt zusammen-treffen, passt alles.

Zwar hat man selten die Kontrolle über externe Links, dievon sonst wo auf die eigenen Seiten verweisen; aber manhat in der Hand, was man für andere tut. „Mehr Informa-tionen auf dieser Seite“ oder „Klicken Sie hier“ sind häufi-ge aber unzureichende Beispiele. Mehr Aussagekraft wirdganz nebenbei auch die eigenen Besucher erfreuen. EinPlus in Sachen Usability.

Sie kennen die Links, wie wir sie auf unseren Startseitenverwenden. „Weiterlesen“ heißt es da lapidar. Ein eigent-lich schlechter Link, doch ohne Folgen und nicht sofort zuerkennen. Denn eigentlich handelt es sich ja um einen drei-fachen Verweis. Nicht nur der Schriftzug „Weiterlesen“dient als Link, auch der Titel tut es, und die Grafik kommtdazu.

Ganz anders in unserem Beispiel. Über den zu setzendenLink hat man Einfluss darüber, wie dieser Link bei welchenStichwort gewichtet wird – wenn überhaupt.

176

Beispiel 1

„Ein Artikel von Klaus Musterschreiber über den neuenDreamweaver 8 im Online Magazin Software Praxis.“

Dies lässt einen Link auf die Startseite des Magazins erwar-ten, nicht aber auf den erwähnten Artikel.

Beispiel 2


Keine Frage, dies ist ein Link auf die Homepage des AutorsKlaus Musterschreiber.

Beispiel 3


Man sollte einen Link zur Produktseite bei Macromediaerwarten.

Beispiel 4


Ein miserabler Link. Das allein stehende Keyword „neuen“ist unbrauchbar. Weder lässt sich daraus schließen, wohinder Link führen soll, noch hilft dieser dem Artikel später inder Suchmaschine.

Beispiel 5


Durchaus korrekt im Zusammenhang und für den Leserauch nachvollziehbar. Doch für Suchmaschinen nicht gutgenug.

177

Beispiel 6


Sofern man nicht den kompletten Satz als Verweis nutzenwill – denn schön sieht das nicht immer aus – beschränktman sich auf die zentrale Aussage.

Beispiel 7

„Das Online Magazin Software Praxis über den neuen Dre-amweaver 8. Ein Artikel von Klaus Musterschreiber .“

Auch der Satzbau lässt sich noch drehen. Durch eine sim-ple Umstellung wird der Link aus Sicht eines informations-hungrigen Suchmaschinenbenutzers freundlicher. Autorund Magazin sind hier wahrscheinlich egal, doch das Wort„Software“ kann manches wettmachen.

Je präziser der Link, desto besser funktioniert das Web. Ein-deutigkeit und Aussagekraft stehen jeder Site gut zuGesicht. (sl)

Alles rausholen –

So werden Suchmaschinen ausgenutzt

Ist die Website nach harter Arbeit endlich fertig, geht dieeigentliche Strapaze erst richtig los. Neben der unerlässli-chen Pflege und der Kommunikation mit den Besuchernstellt sich vor allem eine Frage: Woher sollen die Besuchereigentlich kommen?

178

Wer nicht viel Geld für aktive Werbung erübrigen kann,setzt mit Vorliebe auf Suchmaschinen. Davon gibt es vie-le und die bringen scharenweise Besucher, vorausge-setzt man setzt auf die richtigen Techniken.

Über Meta-Tags, Textauszeichnungen und Anmeldestra-tegien können Sie überall im Web lesen. So richtig ver-schlagen und geheimnisvoll wird es, wenn man aufBegriffe wie Cloaking, Stealth oder Phantomseiten trifft.

Bevor eine Suchmaschine eine Webseite in ihren Indexaufnimmt, wird diese Seite geprüft. Genau da liegt dasProblem. Moderne Methoden wie Javascript, Flash, jaselbst Grafiken sind nicht sonderlich geeignet für Such-maschinen. Die lieben vor allem reinen Text. Doch denkann sich der Webdesigner kaum leisten, es sei dennman bevorzugt ganz einfache Seiten. Der nahe liegendeGedanke besteht nun darin, der Suchmaschine etwasanderes zu zeigen als dem menschlichen Besucher. Manbraucht also mehrere Seiten oder Seitenteile und einSkript auf dem Server, welches die Herkunft der Gästeunterscheiden kann.

Damit handelt man sich Probleme ein. Naheliegender-weise sind die Betreiber der Suchmaschinen nicht son-derlich von solchen Techniken begeistert. Schließlichwird dem menschlichen Surfer etwas ganz anderesgezeigt, als die Suchmaschinen in ihrer Trefferausbeuteversprechen. Und natürlich können solche Tricks auchausgenutzt werden. Wenn die verschiedenen Seiteninhaltlich nichts mehr gemeinsam haben, wird die Sachefraglich. Diesem Problem sollte sich auch der Traffic-hungrige Webmaster stellen. Denn auch er braucht funk-tionierende Suchmaschinen.

179

Wie funktioniert das nun in der Praxis?

Abgesehen von Skripten, die Sie entweder selbst schrei-ben oder käuflich erwerben müssen, klappt die Sache auchmit Hausmitteln. Und zwar mit einer Technik, die man Ser-ver Side Includes nennt. Dabei handelt es sich um einenSatz von Befehlen, die direkt vom Server ausgeführt wer-den und die jeder recht einfach in seine Seiten einbauenkann.

Einige wenige Zeilen innerhalb des Dateikopfes bewirkenetwas Erstaunliches. Wird die Seite aufgerufen, schaut derServer, wer das tut. Ist es eine Suchmaschinen, respektiveder Spider (der automatische Agent) einer solchen, wirdauf eine andere Seite umgeleitet. Wird die Seite von einemmenschlichen Surfer mit einem Browser aufgerufen, wirdsie normal dargestellt, eine Weiterleitung erfolgt dannnicht. Das allerdings akzeptieren nicht alle Suchmaschi-nen. Sie kennen diese Techniken und wissen damit umzu-gehen.

Eine andere Möglichkeit, mit der selben Technik realisiert,sorgt dafür das der Spider andere Meta-Tags zu sehenbekommt als der Surfer, der schließlich benötigt dieseunsichtbaren Informationen überhaupt nicht. PositiverNebeneffekt, die neugierige Konkurrenz sieht diese Infor-mationen ebenfalls nicht und kann davon nicht profitieren.Gute Positionen sind schließlich hart umkämpft.

Wem das nicht genügt, der setzt auf die Hilfe serverseitigerSoftware (Scripts). Ein solcher Bursche ist der Shadow Sni-per. Der martialische Name, der an drittklassige Actionfil-me erinnert, kommt nicht von ungefähr. Diese Software istgefährlich. Sie erkennt an Hand einer laufend aktualisiertenListe so ziemlich jeden Spider und liefert spezielle Infor-mationen an ihn zurück. Im Quellcode der HTML Seite istdavon nicht das Geringste zu erkennen, demzufolge merktauch der Surfer nichts davon. Die Spider werden trickreich

180

und zuverlässig anhand ihrer IP-Adressen erkannt, das isteine wichtige Anmerkung, den im Prinzip kann sich jederals Browser, Robot oder sonst etwas tarnen, der so genann-te User Agent ist konfigurierbar.

An dieser Stelle verschwimmen die Grenzen zum Spam-ming. Wer unbemerkt im Hintergrund walten kann, kommtleicht auf den Gedanken, die Sache noch etwas auszuwei-ten. Da der Besucher ja nichts davon merkt, werden denSuchmaschinen Informationen übergeben, die mit demInhalt einer Seite nichts mehr zu tun haben. Ein unsinnigesVerhalten, bedeutet doch ein hoher Traffic nicht zwangs-läufig auch zufriedene Kunden oder Leser. Wer etwas ver-spricht, was er dann nicht halten kann, ist schnell weg vomFenster.

Eine etwas andere Technik bieten Brückenseiten, manch-mal auch „Doorway Pages“ genannt. Diese Seiten sind kei-ne Phantome sondern existieren wirklich. Meist handelt essich um stark abgespeckte Versionen der eigentlichen Sei-ten. Abgespeckt deshalb, weil sich der Spider der Such-maschine ja nur für Texte interessiert. Solche Seiten sindschnell erstellt. Eben das ist auch ihr Nachteil. Niemandkann verhindern, dass übereifrige Webmaster gleich Tau-sende solcher Seiten anlegen, mit leichten inhaltlichenVariationen. Das nützt dem Surfer nichts, schwemmt dieDatenbasis der Suchmaschinen unnötig auf und sorgt soletztlich dafür, dass noch weniger gefunden wird. Vor allemTeilnehmer an Partnerprogrammen machen sich solchePrinzipien zu Nutze.

Beliebt ist auch die Methode sich scriptgesteuert Seiten ausfrei verfügbaren Inhalten zusammenzukleistern. Hier wer-den dann Keywords, Partnerlinks und Artikel (zum Beispielaus der Wikipedia) miteinander verknüpft. Messbare Ergeb-nisse werden generiert, sofern die Zahl der Seiten in dieZehntausende geht.

181

182

Gefilterter Kommentar Spam eines Weblogs. Blogs sehen sich durchihre Kommentarfunktion heftigen Angriffen ausgesetzt. Ziel der Spam-mer: ein besseres Ranking und Traffic von Suchmaschinen.

Das klappt vor allem auch deshalb, weil man die Anmel-dung der Seiten bei den Suchmaschinen automatisierenkann. Einige hundert Euro in ein Skript investiert und dieMassenanmeldung kann starten. Sogar für den Desktopgibt es geeignete Programme. Die Promoware Server Edi-tion ist ein stets dienstbarer Geist. Diese Software meldetautomatisiert so viele Seiten einzeln an, wie Sie möchten.Eine Automatik wacht im Hintergrund und beginnt sofortmit der Arbeit, sobald eine URL-Liste aktualisiert wird.Sorgfältige Webmaster, die noch alles von Hand erledigen,sehen dagegen blass aus.

Dennoch: Erfolg hat einen langen Atem. Wer sich mit einpaar billigen Tricks über andere stellt, muss eines Tages mitder Quittung rechnen. Nicht auszuschließen ist, dass dieBetreiber der Suchmaschinen Wind von unlauterenBemühungen bekommen und Gegenmaßnahmen einlei-ten. (sl)

Der optimale Seitentitel

Alles fängt mit dem Titel an. Mit ihm beginnt die Seite. Under ist das Erste, was Besucher und Suchmaschinen an ech-ter Information zu sehen bekommen. Nicht nur deshalb ister von entscheidender Bedeutung.

Wer Google den Begriff „Untitled Document“ zu fressengibt, wird schnell fündig. Das liegt daran, dass viele Edito-ren eben diese Worte als „Standard Titel“ definieren, bisein richtige Titel eingesetzt wird. Dasselbe passiert, wenneben kein <title> definiert wird. Das kann jedem passieren...

183

Was soll drin stehen?

Im besten Falle gibt der Titel den Inhalt wieder, in kompri-mierter Form versteht sich. Nichts zu suchen haben dortBegrüßungen, wie etwa „Willkommen auf unserer Home-page“.

Nur die Startseite darf in gewisser Weise eine Ausnahmemachen, denn Sie ist allgemein gehalten und vertritt denRest der Website. Unmöglich, das alles in wenige Worte zufassen. Ganz daneben liegt, wer den Titel schlichtweg ver-gisst.

Vermeiden Sie Titel wie:

Dies ist die Website der Firma Müller

Besser:

Gartentechnik Müller

Idealerweise lässt der Seitentitel bereits erkennen, worumes im Folgenden geht. Das ist nicht immer einfach zumachen. Weder lange Formulierungen, noch Aneinander-reihungen von Einzelwörtern erfüllen diesen Zweck. Letz-tes mag dem Einen oder Anderen im Hinblick auf Suchma-

184

Zehntausende sind schon darauf hereingefallen: Adobes Editor Goli-ve nimmt sich selbst als „Default“-Title.

schinen vielleicht geboten erscheinen. Die aber sind aufHäppchen nicht angewiesen. Ein Besucher stört sich eherdaran, denn er möchte nicht für eine Maschine oder füreinen Legastheniker gehalten werden und mit einer ordent-lichen Formulierung begrüßt werden.


Garten Geräte Tipps Homepage Experte Rat Fachmann

Besser:

Gartentipps vom Fachmann

Wie lang darf der Titel sein?

Sie möchten eine klare Regel? Bitte sehr: 20 Zeichen, mehrsind nicht nötig. Mehr ist auch nicht angenehm. Denn derSeitentitel wird auch als Beschriftung für Bookmarks (Favo-riten) benutzt. Lange Konstrukte ärgern den Benutzer, derdann die Titel möglicherweise manuell umbenennen muss.Das gilt natürlich auch für gespeicherte Seiten, langeBezeichnungen sind einfach unpraktisch. Auch automati-sche Systeme, etwa Backlink- oder Syndication, haben soihre Mühe. Ein Skript schneidet nach einer bestimmtenBuchstabenzahl den Titel gnadenlos ab. Darunter leidetdann gelegentlich die Eindeutigkeit, zumal wenn schlechtformuliert wurde.


Gartenhilfe Forum: Die schnelle und kompetente Hilfe für

alle Gartenfreunde und solche die es werden wollen.

185

Extrem langer Seitentitel im Browser

Besser:

Gartenhilfe Forum

Suchmaschinen

Suchmaschinen weigern sich, lange Seitentitel höher zubewerten. Wer versucht große Mengen an Keywords unter-zubringen, stellt sich selbst ein Bein, weil darunter die Rele-vanz leidet. Das heißt je mehr Keywords, desto wenigersind sie wert.

Nichtsdestotrotz hat das wichtigste Schlüsselwort natürlichim Titel aufzutauchen, das versteht sich von selbst, da derTitel den Inhalt widerspiegelt, wenn auch in einer knappenForm. Ob es gleich zu Beginn oder auch erst am Ende auf-tauchen muss oder soll, darüber gibt es kaum gesicherteErkenntnisse; wahrscheinlich spielt es keine Rolle. Es seidenn man überschreitet die 20-Zeichen-Regel, dann tutman gut daran, das Wichtigste nach vorn zu setzen.

Seitentitel tauchen auch in Social-Bookmarks auf. Fallen siezu lang aus, wird die Liste beeinträchtigt.

186

Extrem langer Seiten-titel auf dem Window-Desktop.

All das macht es schwer, eine Einzelseite für mehrereSchlüsselbegriffe zu optimieren. Versuchen Sie es bessererst gar nicht, sondern erstellen Sie weitere Seiten.Schließlich sollte immer der Besucher, nicht die Suchma-schine im Vordergrund stehen, er braucht aussagekräftigeund praktische Seitentitel.

Google für Profis: Die APIs

Mit der Google API bekommt man es immer dann zu tun,wenn spezielle Dienste genutzt werden sollen. Das kanneine angepasste Sonderversion der Suchmaschine seinoder die Möglichkeit tiefschürfender SEO-Analysen. Mit-machen darf jeder, allerdings mit Einschränkungen.

Ein „Application Programming Interface“ ist zu Deutscheine Programmschnittstelle. Dem entsprechend ist die

187

Überlagener Seitentitel auf der Startseite von Spurl.

Google API eine Schnittstelle zu Googles Diensten. Dabeigeht es um sogenannte Web Services, deren API per HTTPangesprochen wird. Einmal mehr ist XML die Schlüssel-technologie.

Die Google APIs sind bei Web-Entwicklern mittlerweile sehrbeliebt, obwohl die APIs laut Google noch im Beta-Stadi-um sind. Ein sicheres Zeichen für den durchschlagendenErfolg: Google hat mit Yahoo bereits einen Nachahmergefunden. Auch Microsoft will offenbar mitspielen. Das„MSN Search SDK Beta“ bietet Klassenbibliotheken, mitdenen Entwickler den MSN-Suchdienst über SOAP-XMLansprechen können.

Wozu Web APIs nutzen?

Entwickler könnten natürlich auch einfach Googles Websi-te mit den Suchergebnissen per HTML „parsen“, umSuchergebnisse per Script weiter zu verarbeiten. Das istaber sehr unelegant und extrem fehleranfällig.

Generell sind Klassenbibliotheken dazu gedacht, in Pro-gramm-Anwendungen genutzt zu werden. Die Nutzer dieserProgramme merken nichts davon und müssen sich dafürauch nicht interessieren. Klassenbibliotheken kommen immerdann zum Einsatz, wenn Programmcode von mehreren Pro-grammen genutzt werden soll. Programmierer können soRedundanzen vermeiden, schnell entwickeln und somit Pro-dukte früher als Konkurrenten auf den Markt bringen.

Nicht jeder hat die Zeit oder die Kompetenz eine der bestenSuchmaschinen der Welt zu entwickeln. Google ist an einermöglichst breiten Nutzung seiner Dienste interessiert, umdie Messlatte für die Konkurrenz hoch zu setzen. Daher bie-tet Google seine Web APIs an. Programmierer können Goo-gle-Dienstleistungen in ihre Produkte einbauen und zum Bei-spiel die Präsentation von Suchergebnissen selbst gestalten.

188

Zurzeit dürfen Programme, die Googles Web-APIs nutzen,nicht ohne Googles Einverständnis kommerziell angebotenwerden. Für die kommerzielle Nutzung müssen Unterneh-men eine Erlaubnis einholen, was mit Lizenzkosten ver-bunden sein kann. Über Googles WebAPI können Pro-grammierer pro Tag ungefähr 1000 Anfragen stellen.

Vor- und Nachteile

Klassenbibliotheken, die über eine Web-API verfügen, wer-den zentral angeboten und dezentral genutzt. Darin liegtder hauptsächliche Vorteil dieser Technik. Der Anbieterkann seine Eigenentwicklung vor dem Zugriff von Konkur-renten schützen und die Software dennoch quasi offen nut-zen lassen.

Dieser Vorteil ist jedoch mit erheblichen Reibungsverlustenverbunden. Besonders effizient ist diese Technik nicht. EinFunktionsaufruf muss regelgerecht formuliert werden,nämlich in XML. Das XML muss (meistens) per HTTP imSOAP-Protokoll an den Webserver geschickt werden. Die-ser muss das XML annehmen, aufschlüsseln und verarbei-ten. Der Server formuliert das Ergebnis wieder in XML undsendet es und zurück.

Ein Beispiel: Google Search

Beispiele sind immer hilfreich, neue Themen zu veran-schaulichen. Auf der Website phpclasses.org bietet derPHP-Programmierer Vijay Immanuel seine GoogleSearch-Klassenbibliothek an. Sie ist nicht perfekt und scheint nicht100%ig kompatibel mit der aktuellen Web API von Googlezu sein. Dafür ist sie einfach zu benutzen und gut für denEinstieg in dieses Thema geeignet. Die GoogleSearch-Bibliothek wiederum nutzt die SOAP-Bibliothek nusoap.phpvon NuSphere. Beide Bibliotheken sind freie Software,lizensiert unter LGPL. Diese Lizenz erlaubt es, nusoap.php

189

und GoogleSearch.php auch in proprietärer Software zuverwenden.

Entwickler sollten sich auch das PEAR-Paket „Services_Google“ ansehen. PEAR-Bibliotheken bieten in der Regelhohe Qualität. Allerdings existiert bisher nur eine Alpha-Version des Pakets.

Wie einfach es ist, mit GoogleSearch.php und nusoap.phpGoogles Web-Suche zu nutzen, zeigt das Beispiel:

// GoogleAPI-Klasse einbindenrequire_once ‘GoogleSearch.php’;

// Neue Instanz unserer GoogleSearch-Klasseerzeugen// Sie bindet nusoap.php selbst ein$gs = new GoogleSearch();

// Google Lizenzschluessel(http://www.google.de/apis/)$gs->setKey(„lizenzschluessel“);

// Was soll gesucht werden?$gs->setQueryString(„Linux“);

// Die Suche konfigurieren...$gs->setMaxResults(6);$gs->setSafeSearch(true);

// Suche starten$search_result = $gs->doSearch();

// Fehlermeldungen ausgeben, falls noetigif(!$search_result)if($err = $gs->getError()) {printf( „ Fehler: %s“, $err );exit(„ Ende...“);}

// Statusinformationen der aktuellen Suche aus-geben

190

printf( „ Ungefähre AnzahlSuchergebnisse: %s“, $search_result->getEstimatedTotalResultsCount() );printf( „ Suchanfrage: %s“,$search_result->getSearchQuery() );printf( „ Dauer der Suche:%s Sekunden“, $search_result->getSearchTime());

// Suchergebnisse ausgebenprint( „ Suchergebnisse: “ );

foreach($search_result->getResultElements() as$element) {printf( „<hr>Titel: %s „,$element->getTitle() );printf( „ URL: %s „, $ele-ment->getURL() );printf( „ Auszug:%s“, $element->getSnippet() );printf( „ Zusammenfassung:%s“, $element->getSummary() );}

Der Quellcode ist selbsterklärend. In der Zeile 10 $gs->set-Key(„lizenzschluessel“); muss der GoogleAPI-Lizenz-schlüssel zwischen den Anführungszeichen eingetragenwerden. Google sendet einen solchen Schlüssel jedem perE-Mail, der sich dafür registriert.

Das kleine Script sendet eine Suchanfrage an den GoogleSearch Web-Service und zeigt die ersten sechs Ergebnissean. Die Ergebnisse können dann beliebig weiterverarbeitetund formatiert werden, zum Beispiel im eigenen Designeiner Website. Weitere Beispielskripte und die benötigtenKlassenbibliotheken erhalten Sie als ZIP-Archiv zum Down-load (siehe Linksammlung/Vorwort). (rs)

191

Die perfekte Analyse: Google Analytics

Counter, Logfileanalyse, Statistiken, ohne geht es kaum.Auch Google mischt mit. Analytics heißt der Dienst. Er istkostenlos, einfach zu nutzen, bestens optisch aufbereitetund bereits ausgereift.

Eine Frage von grundsätzlicher Bedeutung ist zuvor zu klären.Wie abhängig will man sich von Google machen? Eine Porti-on Besorgnis scheint angebracht. Wenn der Gigant aus Mo-untain View nicht nur einen Großteil der Besucher schickt,sondern über AdWords für die Promotion und via AdSenseauch für das Verdienen zu-ständig ist, wenn Gmail undFroogle im Gebrauch sind,spätestens mit Analytics weißGoogle fast alles über eineWebsite. Auch wenn dieSuchmaschine versichert, kei-nen Gebrauch von ihrem Wis-sen zu machen, ein Hauchvon Unbehagen bleibt. Werweiß schon, was zukünftigdaraus wird und was passie-ren könnte, würden Datenmiteinander in Bezug ge-bracht. Google als datensam-melnde Riesenkrake ist eineVorstellung, die zuletzt an Po-pularität gewinnen konnte.Auch ein Rauswurf, eine Ab-wertung oder technische Pro-bleme können ein vollständigvon Google abhängiges Ge-schäft zum Erliegen bringen.

192

Vielfältige Optionen im Menü

Google Analytics ist ein reines Online-Werkzeug, eineInstallation ist nicht notwendig. Es basiert auf dem Stati-stik-Tool der Urchin Software Corporation, die Google imApril 2005 übernahm. Die Software wurde seinerzeit inmehrere Paketen angeboten und kostete je nach Größemehrere Hundert Dollar.

Analytics ist ein ausgereiftes Produkt, das weit mehr Daten lie-fert als ein simpler Counter. Ein besonderer Schwerpunkt liegtauf der Erhebung von Daten für das Marketing. Die Stichwor-te lauten Conversion, Tracking, CPC, Rendite. Wer eCommer-ce betreibt, ist hier gut aufgehoben. Sinnvoll ist der Einsatz imZusammenhang mit AdWords, der nachdrücklich unterstütztwird. AdWords-Kunden können ihre Daten direkt im Ad-Words-Konto abrufen. Davon abgesehen spielt es keine Rol-le, ob man eine HobbyWebsite oder ein ausgewachsenes Pro-jekt betreut. Bis fünf Millionen Pageviews sind gestattet; wermehr produziert, braucht lediglich die AdWords Anmeldung– keine hohe Hürde.

Anmeldung

Aufgrund der hohen Nachfrage werden derzeit keine Neu-anmeldungen angenommen. Wer bereits über einAdWords-Konto verfügt, sollte direkt auf Analytics zugrei-fen können. Bei der Anmeldung ebenfalls hilfreich ist einvorhandenes Google-Konto, etwa für Gmail oder das Site-map-Programm.

Damit Daten gesammelt werden können, sind die eigenenSeiten mit sieben Zeilen Javascript auszustatten. Es han-delt sich um einen individuellen Code nach diesem Muster:

193

Datenexport in XML, Text oder CSV

Profile und Filter

Erlaubt sind bis zu 50 selbst definierte Profile. Damit lassensich mehrere Websites getrennt voneinander beobachten.Das funktioniert auch mit Subdomains oder bestimmte Sei-ten oder Verzeichnissen einer Website. Zudem könnenunterschiedliche Benutzerrechte gesetzt werden.

Filter erlauben es, bestimmte Daten aus den Berichten fern-zuhalten oder getrennt zu analysieren. Das können zumBeispiel die eigenen Zugriffe sein, Seitentitel, URLs, Arti-kelnummern, IDs, Spracheinstellungen, Browser und sofort. Die Möglichkeiten scheinen unerschöpflich undmachen deutlich, wie komplex Google Analytics in seinerjetzigen Form bereits ist.

Conversion-Ziele und Trichter

Die Einstellungen helfen bei der Beantwortung entschei-dender Fragen. Etwa wie viele Besucher abonnieren tat-sächlich einen auf der Startseite annoncierten Newsletter,

195

Basisdaten in der Übersicht

wie viele Interessenten kaufen ein bestimmtes Produktoder welche Seiten haben Downloads zur Folge. Der Trich-ter ist dabei der Weg zum Ziel. Gemessen wird am Beispieldes Newsletters folgendermaßen:

Aufrufe der Startseite —> Aufrufe der Newsletterseite —>Aufrufe der Erfolgsmeldung nach bestelltem Newsletter(„Danke-Seite“).

Das ließe sich auch manuell ausrechnen, wenn die ent-sprechenden Zahlen vorliegen, praktischer und übersicht-licher ist es mit Googles Hilfe allemal. Zudem können biszu vier solcher Trichter je Profil festgelegt werden. Ebensogut kann bestimmt werden, von welcher Seite aus die mei-sten Newsletteranmeldungen zum Erfolg führten oder Pro-dukte gekauft werden.

Im Zusammenspiel mit AdWords erfährt man, welcheAnzeigen die meisten Kunden bringen oder wie hoch derUmsatz mit einem bestimmten Keyword ist.

Weitere Daten

Absprungraten, beliebte Inhalte, Länge und Tiefe der Besu-che, Keywords und ähnliche Fakten sind selbstverständlichkein Problem.

196

Besuchszeiten aufgeschlüsselt

Analytics liefert auch Statistiken und Werte wie man sievon Javascript-Countern kennt. Dazu gehören:

� Browserversion� Betriebsystem� Bildschirmauflösung� Bildschirmfarben� Sprachen� Java � Flash-Version� Verbindungsgeschwindigkeit� Hostnamen

197

Browserstatistik

Google Analytics ist ein mächtiges Werkzeug, mit dem manviel Zeit verbringen kann. Der Funktionsumfang erscheintfast schon zu groß. Wer keine Bedenken hat, sich Googleanzuvertrauen, erhält ohne finanzielle Gegenleistung einausgezeichnetes Produkt, das kaum Wünsche offen lässt.Einzig die mangelnde Verfügbarkeit trübt derzeit das Bild.(sl)

198

AdSense

Textanzeigen der Marke Google haben das Web inBeschlag genommen und finden sich inzwischen auf Mil-lionen von Seiten. Diese Popularität hat Gründe, denn dieTeilnahme kann sich lohnen.

199

Geld von Google

AdSense gibt es in Deutschland seit Ende 2003. Als Sei-tenbetreiber ist hier unter Umständen für Sie etwas für Siezu holen. Wir zeigen, wie es geht und was möglich ist.

Über Google AdWords kauft der werbende Kunde Anzei-gen nach einem Gebotsverfahren. Diese beinhalten einenkurzen Text, einen Link und Stichwörter, unter denen dieAnzeige erscheinen soll. Im Anschluss legt er das Tages-budget und den CPC, also den Preis pro Klick, fest. Dieserentscheidet, wie oft und in welcher Position seine Anzeigeerscheint. Je höher der CPC, umso öfter und prominenterwird die Anzeige dargeboten.

Am Anzeigenprogramm für Seitenbetreiber – AdSense –darf im Prinzip jeder teilnehmen. Es werden Seiten mit text-lichen Inhalten benötigt. Google liest diese Inhalte ein,soweit nicht eh schon geschehen, und liefert themenbezo-gene Anzeigen aus. Auch wenn das nicht immer zu 100%klappt, in der Regel passen die beworbenen Produkte oderDienstleistungen tatsächlich zu den Inhalten der jeweiligenSeite. Das ist natürlich besonders praktisch, wenn manmehrere Themen anzubieten hat.

200

Google Anzeigen bei Dr. Web

Für Anzeigenblöcke stehen Ihnen diverse Formate zur Ver-fügung. Dies sind unter anderem:

� Skyscraper: 120 x 600 � Wide Skyscraper 160 x 600� Vertical Banner 120 x 240� Banner: 468 x 60 � Leaderboard: 728 x 90 � Inline Rectangle: 300 x 250 � Square 250 x 250� Button 125 x 125� Half Banner 234 x 60� Small Rectangle 180 x 150� Medium Rectangle 300 x 250� Quadrat 250 x 250� Large Rectangle 336 x 280

Google erweitert das Angebot laufend und experimentiertmit weiteren Formen. Wer mag, kann AdSense auch inForm von GIFs oder in anderen Grafikformaten bekommen,was in vielen Fällen vielleicht keine gute Idee ist.

Pro Seite sind mehrere Blöcke erlaubt, sofern man seinenBesuchern dies zumuten will. Hintergrundfarben und Rah-men können an das Site-Design angepasst werden, dieGrößen jedoch nicht.

201

Anzeigendesign auswählen

Die Einbindung der Anzeigen erfolgt mittels Javascript. Es istmöglich, damit Includes zu bestücken. Sie können ansch-ließend sofort loslegen. Weniger etwas zu suchen, habenGoogle Anzeigen auf den Ergebnisseiten einer internen Such-maschine, da Google deren Inhalte nicht kennt – verboten istdas aber nicht. Anzeigen sollen nicht in Pop-Up Fenstern,Emails, Fehler-, Registrierungs- oder „Dankeschön“-Seitenplatziert werden. Frames sind kein Problem, solange dieAnzeige im selben Frame erscheinen wie der Inhalt.

Später wurden die so genannten Anzeigenlinks eingeführt.Die kommen mit ganz besonders wenig Platz aus und ver-weisen – kontextbezogen – auf andere, von Google bereit-gestellt Anzeigenseiten. Bis zu 5 Stichwörter können so mitAnzeigen verbunden werden.

Nach der Anmeldung wird jede Bewerbung geprüft, wasim Fall von Dr. Web übrigens rasch vonstatten ging. Ein-nahmen erzielen kann man nur, wenn auf die eingeblende-ten Anzeigen geklickt wird (Cost Per Click = CPC).

Was verdient man denn?

Je gefragter ein Schlüsselwort ist, desto teurer ist auch dieWerbung damit. Dementsprechend werden für einen Klickunterschiedliche Provisionen an den Programmpartnerausgezahlt. Genauere Angaben darüber macht Googlenicht. In einem umkämpften Segment wie etwa Versiche-rungen oder Reisen liegen die Auszahlungen deutlichhöher als auf weniger gefragten Gebieten. Als Richtwertgelten 0,50 bis 1,50 Dollar pro Tausend Seiten (eCPM proSeite). Damit kommt man im Schnitt bei 100.000 Page-Vie-ws pro Monat auf 100,– Dollar.

Dies ist aber keineswegs sicher und selbstverständlichstark von der jeweiligen Website und deren Themenabhängig. Ebenso gut ist ein eCPM von 0,10 Dollar mög-

202

lich. Und dann lohnt sich die ganze Sache kaum noch.Nicht vergessen werden darf, das Googles Anzeigen nurauf von Menschen gesehenen Seiten gezeigt werden.Wenn Ihnen eine Logfile-Analyse – sagen wir – 3 Mio.Page-Views nachweist, dann gilt dies für AdSense nochlange nicht. Je nach Filter kann die tatsächlich Zahl ganzerheblich geringer ausfallen. Mögliche Einnahmen lassensich mit dem Online Kalkulator schon einmal ausrechnen.

Ausgezahlt wird 30 Tage nach Ende eines Kalendermonats,sofern man es auf mindestens 100 Dollar gebracht hat.Wurden Anfangs noch Schecks aus den USA zugestellt, istinzwischen auch eine Überweisung auf ein deutsches Kon-to und eine Abrechnung in Euro und in anderen Landes-währungen möglich. Wer es eilig hat, wählt den geschütz-ten Expressversand und zahlt dafür 29,00 Dollar anBearbeitungsgebühr, um schnell an einen Scheck zu kom-men.

Die Abwicklung aus den USA ist nicht unkompliziert, es müs-sen steuerliche Informationen nachgereicht und Formulareausgefüllt werden. Der derzeit schwache Dollar schmälertdie Erträge. Aber dass mag sich zukünftig ändern.

Die Teilnahme am AdSense Programm wirkt sich nicht aufPlatzierungen oder den PageRank innerhalb Googles aus.So jedenfalls sagt es die Suchmaschine selbst. Freilichdürfte Google daran gelegen sein, möglichst viele IhrerSeiten zu indexieren. Dementsprechend gibt man demGoogleBot einen dezenten Hinweis über die Dateirobots.txt:

User-agent: Mediapartners-Google* Disallow:

Von Nachteil ist die Teilnahme am AdSense Programm alsosicher nicht.

203

Da niemand gern für die Konkurrenz Werbung macht, wer-den außerdem Filter angeboten. Bis zu 200 URLs könnenauf diese Weise ausgeschlossen werden.

Textanzeigen sind im Übrigen für Besucher sehr viel weni-ger störend als flimmernde Banner oder animierte Unter-brecher. Die Klickraten müssen deshalb aber nicht schlech-ter sein – der Themenbezug macht es möglich.

Eine Live-Statistik gibt jederzeit Auskunft über den Standder Dinge und die bisher erzielten Klicks und Umsätze. Siekann jederzeit im CSV Format herunter geladen werden.Leider erlaubt es uns Google nicht, Ergebnisse hier zu zei-gen.

Sogar ein Partnerprogramm gibt es, mit dem neue AdSen-se-Teilnehmer geworben werden können. Google spendiert100 Dollar sofern ein neu gewonnener Partner die 100Dollar Grenze erreicht. Und wer mag, kann auf ähnlicheWeise für den Download der Firefox Googleleiste werben.Ein Erfolg wird mit einem Dollar honoriert. (sl)

Formate und Farben

Seit Google ist alles anders. Denn, wo der Webdesignerfrüher einfach Platz für ein 468x60 Banner ließ, bietet Goo-gle heute ein volles Programm mit mehreren Dutzend For-maten. Wo bringt man die Anzeigen am besten unter?

Besucher haben die klassischen Banner-Formate längst alsWerbung verinnerlicht und beachten sie schlicht gar nichtmehr. Sogar einen Begriff gibt es dafür: „Banner Blindness“.

204

Ein 468x60er Banner ganz oben oder ein Skyscraper unter-halb der Navigation ist deshalb in vielen Fällen kaum nochlukrativ.

Google hat das erkannt und bie-tet verschiedene und auch unge-wohnte Formate an, die auf sogut wie allen Webseiten einengut sichtbaren Platz finden. AuchPartnerprogramme mit Textlinkslassen sich auf diese Weise wun-derbar in praktisch jede Seite in-tegrieren. Die meisten Webseitenbieten genügend Platz, sofernman nicht an eine bestimmteGröße gebunden ist. Denn so un-gern wir als Leser Anzeigen mit-ten im Text sehen, so erfolgreichwerden diese wahrgenommen.

Schmale Linkblöcke gelten man-chem als Geheimtipp. Die lassensich Platz sparend und raffiniert

205

Google-Big-Banner unterhalb eines Forumspostings

Typische Trickserei. Die Navigationsleiste wird so gestal-tet, dass sie perfekt zur Anzeige passt.Umgekehrt ist es nicht erlaubt

an den Beginn einer Seite setzen. In den meisten Layoutsist Platz dafür, was man von einem dicken Skyscraper-For-mat nicht behaupten kann. Mancher schwört darauf. Wirhaben es auch ausprobiert und kein gutes Ergebnis erzielt.

Das Forum in der Abbildung unten nutzt zwar den Skysc-raper und den Standard-Banner von Google, zusätzlichaber sorgt ein Button mit 125x125 Pixel Größe für etwasUmsatz. Dafür ist immer Platz.

Im nächsten Fall geht man noch einen Schritt weiter undplatziert Google-Werbung oder Partnerprogramme direktim Content. Das ist gewöhnungsbedürftig, fällt aber ebenauf und stört viel zumindest weniger als aufgeregte Ani-mationen.

Ein Kleinformat kann auf diese Weise mehr bringen, als derdickste Skycraper. Der nämlich wird üblicherweise an denrechten Bildschirmrand verbannt. Dort wird er oft nicht

206

Nicht zu übersehen: Anzeigen im Forumscontent

wahrgenommen, weil die Browserfenster der Benutzernicht auf die dazu nötige Größe aufgezogen werden. Diesgeschieht durchaus mit Absicht.

Wer selbst keine Möglichkeit hat, Gästebuch, Forum oderWeblog entsprechend anzupassen, findet in den Support-Foren des jeweiligen Anbieters garantiert Hilfe bei der Umset-zung. Schließlich stellt sich für andere dasselbe Problem.

Wer sich an neue Anzeigen-Größen oder Textlinks wagt,kann in den meisten Fällen die Werbung besser auf der Sei-te unterbringen. Vor Übertreibungen muss man sich aberauch in diesem Fall hüten, denn es ist mehr als ein Anzei-genblock pro Seite erlaubt.

Google Anzeigen sinddezent und passen –wenn es klappt – perfektzum jeweiligen Inhalt.Damit spielen sie klassi-sche Banner an dieWand. Textanzeigen kön-nen von Grafiken profitie-ren. Oberhalb oder seit-lich neben deneigentlichen Google-Anzeigen. So könnten ineiner Tabelle dem Adsen-se-Code Fotos oder Iconszugeordnet werden.

207

Abwords kreativ(www.karencheng.com.au)

Es ist klar, das vier gleiche Laptops über vier Anzeigen zumThema weniger Wirkung haben, als vier individuelle Bilder.Austauschen könnte man diese leicht, etwa über ein PHP-Script, so dass die Werbung für das Auge frisch bleibt. Nut-zen sollte man aber keine Produktfotos, sondern unspezifi-sche Darstellungen ohne Copyright, wie man sie inkostenlosen Bildarchiven findet. Völlig themenfremd dür-fen die Grafiken aber nicht sein. Wird nämlich der Besucherauf eine falsche Fährte geführt, mag Google das nicht.

Ein Wort noch zur Gestaltung: Hier gelten zwei Prinzipien.

1.) AuffallenLeuchtende Rahmen und Hintergrundfarben erlan-gen auf sonst eher zurückhaltenden Seiten ganzsicher die Aufmerksamkeit des Besuchers.

2.) IntegrierenAdSense Blöcke werden nahtlos in das Seitenlayoutintegriert, so dass man sie auf den ersten, flüchtigenBlick gar nicht wahrnimmt. Was besser funktioniert,hängt vom jeweiligen Fall ab und sollte einfach aus-probiert werden.

Auch wenn Textwerbung in der Regel weniger stört alsGrafiken oder gar Flash, auch AdSense kann dem Besuchergehörig auf die Nerven gehen. Zum Beispiel wenn voll-ständig integrierte Linkblöcke mit siteinternen Hyperlinksverwechselt werden. Oder die AdSense Blöcke ohne Rück-sicht auf Verluste eingefügt werden.

208

Wer so etwas tut, darf sich über verärgerte Besucher nichtwundern. (sl)

Keywords und Co.

Je mehr Google pro Klick herausrückt, desto größer ist derVerdienst. Logisch. Es gilt deshalb herauszufinden, nachwelchen Keywords gesucht wird, welche Kombinationenbrauchbar sind und was letztlich dafür bezahlt wird.

209

AdSense Anzeigen zwischen Navigation und Inhalt stören nicht nurdie Usability

Angenommen es geht um einen Beitrag zum Thema Web-design. Für den Begriff „Homepage“ werden 0,60 Eurovom Werbenden eingesetzt, für „Website“ nur 0,32 Euro.Obwohl vom Sinn her gleich, hat es doch Auswirkungenauf die gezeigten Anzeigen und somit auf den Verdienst.Die Frage ist, wie man Google dazu bekommt, besserbezahlte Werbung anzuzeigen.

Ein Beispiel, Mesothelioma – eine seltene durch Asbestausgelöste Krebserkrankung – gilt als das teuerste Keywordder Welt – mit über 80 Dollar pro Klick, gezahlt von daraufspezialisierten Anwaltskanzleien. Ein Link wie im Screens-hot oben, bringt aber noch lange keine entsprechendenGoogleanzeigen. Warum sollte er auch, wenn die Websitesich eigentlich mit einem Bildbearbeitungsprogrammbeschäftigt? Und selbst wenn, die Wahrscheinlichkeit dasjemand freiwillig auf eine Anzeige klickt, ist denkbar gering.

Man sollte in seinem Umfeld bleiben. Eine Option ist dieAnmeldung bei Googles Adwords, denn dort kann man überdie Kampagnenverwaltung und deren Tools herausfinden,welche Keywords oder Keyword-Kombinationen mehrkosten. Statt AdWords kann auch Overture genutzt werden.Dort wird das erste Keyword eingegeben. Oben rechts beiden Suchergebnissen steht „Höchstgebote anzeigen“, worü-ber ermittelt werden kann, wo es mehr zu verdienen gibt.

210

Webmaster tricksen gern

Tools, wie etwa der kommerzielle Wordtracker oder dasOnline-Tool „Keyword Density“, könnten ebenfalls behilf-lich sein. Bei reinen Inhaltsseiten – etwa Artikeln – machtdas aber wenig Sinn. Schließlich wird niemand aus Hun-den Katzen oder aus Linux Windows machen, nur weil sichauf diese Weise mehr verdienen lässt. Die Sache mag aberihre Vorteile überall da haben, wo man es mit relativ stati-schen Seiten zu hat. Und schließlich ist auch immer dieUmgebung mit einzubeziehen.

211

Gebote ansehen bei Overture – Mit CAPTCHA geschützt

OvertureKeywordSuggestionTool

Sogar Fremdanzeigen, sofern diese in Textform vorliegen,können die AdSense Einblendung komplett durcheinanderwirbeln. Im Übrigen hilft die Einrichtung der so genannten„Channels“, um zu bestimmen wo die lukrativsten Berei-che und Seiten einer Website überhaupt liegen. Die Mühelohnt sich.

Verschiedene Tools eignen sich gut, um überhaupt erst ein-mal herauszufinden, wonach gesucht wird und wie häufig.Nur Spammer können ihre Seiten komplett nach solchenErkenntnissen ausrichten. Doch auch der ehrliche Seiten-betreiber profitiert und kann die auf diese Weise gewonne-nen Kenntnisse in seine Arbeit einfließen lassen. (sl)

Die Suchbox

Das Suchfeld kann sich lohnen. Statt einer eigenen site-internen Suche greift man auf Googles Lösung zurück. Einbisschen darf man die Ergebnissseiten sogar anpassen undmit einem eigenen Logo aufwerten.

Keine optimale Lösung und nicht immer ein adäquaterErsatz für ein eigenes Script, aber besser als nichts. Nachunseren Erfahrungen lohnt sich die Verwendung. DieKlickraten fallen kräftiger aus.

Eine Google Suchbox, die durfte man schon seit jeher aufden eigenen Seiten präsentieren. Gedacht als netter Servi-ce für den Besucher, der bei Ihnen auch gleich seine übri-gen „Webgeschäfte“ erledigen kann – oder zumindesteinen Teil davon.

212

Eine Variante davon erlaubt eine site-interne Suche viaGoogle Index. Interessanterweise konnten die von Googlegelieferten Ergebnisseiten zumindest ein wenig auch aneigene Designbedürfnisse angepasst werden – inklusivedes Firmenlogos.

Eben dies verknüpft Google mit AdSense. Heißt, wer dieGoogle Suchbox verwendet, verdient mit – denn die Ergeb-nisseiten enthalten wie bei Google selbst Anzeigen.

213

Google Suchbox für die eigenen Seiten

Ergebnisseite mit Anzeigen

Wer schon am AdSense Programm teilnimmt, muss dieneue Funktion freischalten lassen. Farben für Text, Links,Hintergrund und Rahmen sind wählbar. Und um die Sacheeinfacher zu machen werden auch Templates angeboten.Komplett verändern darf man die Box allerdings nicht. ImZweifelsfall lieber beim AdSense Team nachfragen.

Die Suchbox ist gewiss keine Revolution, kann dem einenoder anderen Seitenbetreiber aber helfen, seine Werbeer-träge zu verbessern. Die neue Funktion eignet sich vorallem für Portal- und Übersichtsseiten, Linklisten undNewsseiten, die höheren Traffic aufweisen und diesen ehverteilen.

Und wonach suchen die Leute? Nach allem Möglichen undnur zum Teil nach site-relevantem Content. Durchaus mög-lich, das pro Tag 30 Mal nach „roten Gummihandschuhen“geforscht wird. So jedenfalls will es die Google-Statistikinnerhalb der AdSense-Berichte. Da niemand 30 Mal die-selbe Suche von derselben Website aus startet, heißt das,das Durchklicken durch die Ergebnisse wird hier ebenfallsgezählt. Umso besser, denn desto mehr Anzeigen werdeneingeblendet und können Erträge liefern. (sl)

Mehr Anzeigen, mehr Geld?

Lange Seiten mit viel Text sind ideal für Google-Anzeigen,denn hier ist die Wahrscheinlichkeit sehr hoch, dass auchviele relevante Anzeigen für ordentlich bezahlte Klicks sor-gen. Damit die Werbung zwischen dem Inhalt nicht ganzuntergeht, lassen sich jetzt bis zu drei Werbeblöcke nutzen.Doch diese wollen schlau platziert sein.

214

Das Google-System erkennt von selbst, wenn mehrere An-zeigen eingeblendet werden sollen, und sorgt dafür, dassnach Möglichkeit stets unterschiedliche Anzeigen einge-bunden werden. Wer also drei große Werbeblöcke mit jefünf Anzeigen nutzt, kann mit insgesamt 15 verschiedenenTextanzeigen garantiert mehr Kunden zum Klicken überre-den. Da alle Anzeigen im besten Fall vom Inhalt zur ange-zeigten Webseite passen, ist es schließlich recht sicher,dass die eine oder andere Anzeige für den Besucher vonInteresse ist.

Um einen zweiten Werbeblock hinzuzufügen, reicht es imPrinzip aus, den HTML-Code des ersten Blocks zu kopierenund an passender Stelle erneut in die Seite einzufügen. Beider Gestaltung hat der Webmaster allerdings ebenso freieWahl zwischen unterschiedlichen Farben und Formatenwie beim allerersten Block. Es ist also problemlos möglich,ein Standardbanner der Größe 468x60 zusammen miteinem „Skyscraper“ und einem „Leaderboard“ zu nutzen.Durch die Möglichkeit, diese Werbeblöcke verschiedenen„Channels“ zuzuweisen, lässt sich dann pro Seite genauablesen, welches Bannerformat an welcher Stelle am erfol-greichsten ist.

Achten muss man allerdings auf die Platzierung der ein-zelnen Blöcke im Quellcode. Google beurteilt die Prioritä-ten der einzelnen Blöcke nämlich nach ihrer Anordnungim HTML-Code. Der weiter oben stehende Anzeigenblockgilt als der wichtigste, gefolgt von den beiden anderen.Wenn eine Seite auf Tabellen aufbaut, kann zum Beispielein links unterhalb der Navigation sitzender Werbeblockals Block 1 gewertet werden. Er bekommt bei Anzeigen-mangel die Anzeigen, obwohl er vielleicht gar nichtimmer sichtbar ist.

215

Sind nicht genug passende Anzeigen vorhanden, um alledrei Werbeblöcke zu füllen, werden diese nach ihrer Prio-rität beliefert. Block 1 als wichtigster Block weit obenbekommt dann die Anzeigen, die beiden anderen Blöckegehen eventuell leer aus. Diese werden dann als transpa-rente Flächen angezeigt. Wenn eigene Alterniv-URLs ange-geben wurden, können aber auch die genutzt werden.

Die PSA-Anzeigen (Public Service Ads) für gemeinnützigeOrganisationen werden trotzdem nur im ersten Blockgezeigt und nicht auf alle drei Anzeigenblöcke verteilt.Immerhin ein schwacher Trost, wenn noch nicht genugpassende Anzeigen parat sind. (sl)

216

Tabellen: Der erste Block bekommt diebesten Anzeigen

AdSense Tipps

AdSense ist spannender als es Bannertauschdienste oderAnzeigennetzwerke jemals waren. Die Möglichkeiten sindvielfältig. Formate, Positionen, Farben und Spielarten ladenzum Experimentieren ein. Aber das ist nicht alles.

Alternative Anzeigen

Gelegentlich kommt es vor, das Google keine passendenAnzeigen zum Inhalt ausliefern kann. Bei frisch eingestell-ten Seiten zum Beispiel. In einem solchen Fall werdenAnzeigen für gemeinnützige Organisationen gezeigt. Einnetter Zug, doch nicht immer im Sinne des Webmasters. Esgibt Alternativen, die lediglich genutzt werden müssen.

Google kann dazu veranlasst werden die Anzeigenflächeleer darzustellen, sie kann auch komplett verschwindenoder durch eine Grafik ersetzt werden. Diese Grafik könnteeine Anzeige in eigener Sache sein, die aber nicht klickbarist. Hierzu eignet sich auch das Google Partnerprogramm!Will man einen vollwertigen Ersatz, kann eine HTML-Seiteals Alternative angegeben werden. Diese Seite wiederumkönnte wie eine echte Google-Anzeige aussehen, aber aus-schließlich Ihren Interessen dienen.

AdSense als Counter

Ist die Website noch nicht allzu groß, lässt sich AdSense alsCounter zweckentfremden. Einfach allen VerzeichnissenChannels zuweisen. Mit Einzelseiten geht das auch. Mehr

217

Alternativen einrichten

als 200 dürfen es aber nicht werden. Auf diese Weise erhältman eine ganz brauchbare Aufstellung darüber, welcheSeiten gefragt sind.

AdSense Farbrotation

Ein mögliches Mittel gegen die allgegenwärtige Anzeigen-Blindheit ist die Farbrotation. Mit jedem Seitenausruf wech-selt die gewählte Farbkombination, das schafft Aufmerk-samkeit. Die Umsetzung in die Tat ist einfach. BeimAnlegen des AdSense Quellcodes einfach mehrere Tem-plates auswählen (multiple Vorlagen einstellen). Das klapptdurch das gedrückthalten der STRG-Taste.

Anzeigen Vorschau

Mit Hilfe des Internet Explorers kann man mit dem AdSen-se Preview-Tool eine Vorschau von Anzeigen auf beliebigenWebseiten erstellen. Man sieht, welche Anzeigen voraus-sichtlich auf einer Seite geschaltet werden und kanngefahrlos experimentieren. Dieser Service stellt Ähnlichesin Aussicht.

Schummeln verboten

Niemals sollte man Werbung anklicken, die auf der eigenenWebsite angezeigt wird, um das Einkommen zu erhöhen.

218

Mehrere Templates auswählen

Google hat seine Möglichkeiten (Stichwort: IP-Adresse),um diesen so genannten „Click Fraud“ aufzudecken. Wererwischt wird, fliegt raus. Umgekehrte Fälle gibt es auch,indem die Anzeigen der Konkurrenz solange geklickt wer-den, bis das Budget erschöpft ist. Die Folge sind Kostenohne irgendein Nutzen. Angeblich soll darüber in Indienbereits ein florierender Wirtschaftszweig entstanden sein.Und natürlich gibt es findige Unternehmen, die einenSchutz dagegen versprechen.

Schönere Statistiken

AdSense Berichte lassen sich im CSV-Format (CommaSeparated Values) speichern. Diese Dateien können zumBeispiel in MS Excel oder OpenOffice eingelesen werden.Es ist nicht schwierig daraus eindrucksvolle Diagramme zuerzeugen.

Die Herkunft zählt

Jim Rutherford hatte eine drastische Vorstellung. SeineIdee: Stammbesucher, die tendenziell eh selten auf Anzei-gen klicken, sollen von diesen verschont werden. Besucherjedoch, die über Suchmaschinen kommen, werden im Aus-gleich dafür gleich mit mehreren Anzeigenblöckenbeglückt. Eine Idee, die Sinn macht, und die zum Erfolgführen kann.

Wer über Google und Co. auf eine Website gelangt, istnoch auf der Suche, und daher empfänglich für Textanzei-gen. Insbesondere dann – was häufig vorkommt – wenn ernicht findet, was er sucht. Eine Google-Anzeige mag seinenWünschen dann eher entsprechen.

Jim Rutherford allerdings gibt an 80% seines Traffics vonSuchmaschinen zu bekommen. Sollte er sich auf die Refer-rer in Logfile-Analysen verlassen haben, dann ist diese Zahlmöglicherweise nicht korrekt. Es mögen 80% aller dort

219

angegebenen Referrer sein, direkte Aufrufe via Bookmarkund URL-eintippen sind jedoch nicht erfasst. Kein Wunder,dass sich die Zahl der Stammbesucher schmal ausnimmt.Je älter und beliebter eine Website ist, desto höher ist derAnteil der Direktsurfer.

Rutherford spricht von Erträgen, die um mehrere HundertProzent angewachsen sind. Es könnte sich also lohnen einScript für diese Anwendung zu basteln. Mit Cloaking hat dasim Übrigen nichts zu tun. Ein solcher Fall läge nur dann vor,wenn dem Spider der Suchmaschine etwas anderes gezeigtwürde als dem Besucher. Dies ist aber nicht der Fall.

Eine spezielle Rotation

Ebenfalls auf Abwechslung setzt ein Vorschlag von Christi-an Weier. Dort blendet man nur bei jedem zweiten Aufrufeine Werbung ein. Die anderen 50% sind redaktionellen Tea-sern vorbehalten. Was nicht nur mit AdSense funktioniert,sondern auch mit klassischen Bannern. So ist auch der wie-derkehrende Benutzer veranlasst, öfter mal einen Blick aufdie Werbesektion zu werfen. Der Wechsel funktioniert überein PHP-Include. Auch ein AdServer wäre dafür geeignet.

Blockbildung

Ein ganz anderer Tipp: Blöcke mit vier Anzeigen bleibengelegentlich teilweise leer. Eine mögliche Alternativebesteht darin, einfach zwei Blöcke mit zwei Anzeigen unter-oder nebeneinander zu setzen – oder statt eines Zweier-blocks zwei Einzelblöcke zu verwenden.

Inhalte versus Anzeigen

Je fesselnder die Inhalte, desto schlechter performen dieAnzeigen. Eine Tatsache, die Spammer begünstigt und denehrlichen Seitenbetreiber in eine ungünstige Position setzt.Das gilt nicht nur für redaktionelle Websites wie Dr. Web,sondern besonders auch für Foren und Weblogs.

220

Der Surfer ist auf Inhalte konzentriert und würdigt die Wer-bung keines Blickes. Ein Ausgleich lässt sich schaffen,indem man Anzeigen direkt in den Content platziert, wie esGoogle beispielsweise für Foren empfiehlt. Der Besucherist dann gezwungen sich mit ihnen auseinander zu setzen.

Eine andere Methode: Anzeigen zwischen Navigation undInhalt, also drei Spalten statt zweier. Das Problem ist, derBesucher mag es nicht, hasst es sogar, letztlich leidet dieQualität der gesamten Site.

Wir möchten stattdessen empfehlen den Besucher dortabzuholen, wo er noch auf der Suche ist. Das ist die sitein-terne Suchfunktion. Eine Platzierung dort, Linkblöcke oderEinzelblöcke eignen sich am besten, belästigt nicht, siekann sogar nützlich erscheinen. Weniger erfahrene oderbesonders eilige Surfer können Linkblöcke mit internenLinks verwechseln. Die Gefahr besteht immer, vor allemwenn AdSense-Flächen in das Seitendesign eingepasstwerden. Viele Betreiber werden dies aber gern in Kauf neh-men. Möglicherweise funktioniert auch eine Platzierunginnerhalb der Navigation. (sl)

Googles AdWords-API und APIlity

Google bietet für sein AdWords-Programm eine Web-APIund eine Klassenbibliothek für PHP an. Diese ermöglichenauch Einsteigern, mit simpelsten Mitteln Web-ProjekteAdWords-fähig zu machen. Dr. Web zeigt eine sinnvolleAnwendung, die mit wenigen Zeilen PHP-Code auskommt.Damit keine Missverständnisse aufkommen, für AdSenseist die Schnittstelle nicht benutzbar.

221

Mit Googles AdWords-Angebot können Website-Betreiberkleine Textanzeigen buchen. Diese Anzeigen werden aufWebseiten des „Google Networks“ angezeigt, die Inhaltepassend zur Anzeige anbieten. Dadurch sollen Streuverlus-te minimiert werden.

Es liegt nahe, dass es sich beim „Google Network“hauptsächlich um Websites handelt, die am AdSense-Pro-gramm teilnehmen. Tatsächlich verschweigt Google aller-dings diesen Zusammenhang. Auf keiner Webseite vonGoogle wird ein Zusammenhang zwischen den Angebotenhergestellt. Die Trennung wird auf Googles Übersicht zuAdSense und AdWords sogar plakativ dargestellt.

Ebenso wie für die Suchfunktionen bietet Google fürAdSense eine Web-API an. Über diese Schnittstelle stattenEntwickler ihre Software mit AdSense-Funktionen aus undgreifen auf Daten der Kampagnen zu. Im Gegensatz zurWeb-API zur Online-Suche bietet Google für AdSense eineeigene PHP-Klassenbibliothek namens APIlity an. Sie stehtunter einer BSD-ähnlichen, freien Lizenz.

Die APIlity-Bibliothek arbeitet intern objektorientiert. Diebeigefügten Beispiele zeigen jedoch, dass APIlity, nichtobjektorientiert, sondern über statische Funktionen genutztwerden soll. Leider hat das den Nachteil, dass APIility nichtohne Veränderungen von Entwicklern erweitert werdenkann. Eleganter wäre es gewesen, statt dieser statischenWrapper-Funktionen eine Wrapper-Klasse zu verwenden,die Entwickler mittels Vererbung um neue Funktionenerweitern könnten. So wären Eingriffe in APIlity unnötigund die Bibliothek wäre einfacher zu aktualisieren.

Trotzdem ist APIlity einfach zu nutzen. Das folgende simpleBeispiel holt die Daten der ersten nicht inaktiven Kampa-gne eines AdWords-Kontos und prüft, ob die Click-Through-Rate (CTR) im grünen Bereich ist. Ist sie das nicht,

222

schickt das Skript eine E-Mail mit einer Warnung. DasSkript ist erst dann so richtig sinnvoll, wenn es zum Bei-spiel per Cron-Job regelmäßig gestartet wird und natürlicheine AdWords-Kampagne läuft.

Wichtig zu wissen: Die AdWords-Software liefert alles, nur dieCTR nicht. Entwickler müssen sie selbst berechnen lassen.

So starten Sie

Bevor Sie das Skript testen, müssen Sie ein AdWords-Kon-to mit einer laufenden Kampagne besitzen. Darüber hinausbenötigen Sie eine AdWords-API-Entwickler-Kennung.Danach füllen Sie die bei APIlity mitgelieferte Datei „aut-hentication.ini“ korrekt aus. Informationen zu den System-voraussetzungen stehen im README des Projekts. Das Dr.Web-Beispielskript muss sich am gleichen Ort befinden wiedie Datei „authentication.ini“.

$schwelle = 0.01;$empf = „[email protected]“;$betreff = „Kampagne ‘%s’ unterschreitet kri-tische CTR-Schwelle!“;$inhalt = „Die CTR der Kampagne %s unterschreitet die kritische Schwelle von %01.4f%%\nUnternehmen Sie etwas!\n htt-ps://adwords.google.com/select/CampaignManagement?campaignid=%d“;

Im ersten Teil wird das Skript konfiguriert. $schwelle gibt inProzent an, ab wann der Nutzer per E-Mail über eineschlecht laufende Kampagne informiert werden soll. Einsinnvoller Wert hängt stark von der Qualität der Anzeigenund der persönlichen Präferenz des Nutzers ab. $empf istdie E-Mail-Adresse des Empfängers. $betreff und $inhaltsind genau das und werden für den Versand der E-Mailbenötigt. An die mit % gekennzeichneten Stellen der Zei-chenketten werden später sinnvolle Daten eingefügt.

223

$anzeigen = true;

Wenn das Skript automatisiert gestartet werden soll, solltenSie die Ausgabe der Kampagnendaten abschalten und $anzei-gen auf ‘false’ setzen. Unter Linux/Unix erhält sonst der Syste-madministrator in jedem Fall eine Mail mit der Ausgabe desSkripts als Inhalt. Das wäre in diesem Fall völlig uninteressant.

Im zweiten Teil des Skripts sind keine Änderungen not-wendig.

include(‘apility.php’);

Hier wird nur die APIlity-Bibliothek eingebunden.

list($kamp,) = getAllCampaigns();$r = $kamp->getCampaignStats($kamp->getStartDa-te(), $kamp->getEndDate());

In der ersten Zeile holt das Skript Informationen zu allenverfügbaren Kampagnen von Google ab. Allerdings spei-chert das Skript nur die erste und lässt alle weiteren außenvor. In $r werden dann in einem Array Informationen wieAnzahl der Anzeigen (Impressions) und Anzahl der Klicksauf diese Anzeigen gespeichert.

$clicks = (int)$r[‘clicks’];$impres = (int)$r[‘impressions’];

Nur diese beiden Werte benötigt das Skript, um die CTR zuberechnen. Sie sind im Array allerdings als Strings gespei-chert, so dass das Skript sie der Sauberkeit halber explizitin ganze Zahlen (Integer) konvertiert. PHP kann das anson-sten auch automatisch.

(float)$ctr = $clicks*100/$impres;

Auch bei der Berechnung der CTR ist die explizite Typan-gabe „float“ (Gleitkommazahl) nicht unbedingt notwendig.Sie dient mehr zur Information des Betrachters.

224

$betreff= sprintf($betreff, $kamp->getName());$inhalt = sprintf($inhalt, $kamp->getName(),$schwelle, $kamp->getId() );

In diesen beiden Zeilen füllt das Skript die E-Mail mit sinn-vollen Werten.

if(!$anzeigen) {$ctr < $schwelle && mail($empf, $betreff,

$inhalt);exit();

}

Wenn das Skript die gewonnenen Daten nicht anzeigensoll, prüft es, ob die CTR unter der Schwelle liegt. Nur dannwird die Mail abgesendet. Danach wird das Skript beendet.Steht $anzeige auf „false“ und liegt die CTR über derSchwelle wird das Skript stillschweigend beendet.

Steht $anzeigen auf „true“, fährt das Skript mit der Anzei-ge der Kampagnendaten fort. In dieser Betrachtung ist dasnicht weiter interessant.

So einfach ist es, auf AdWords-Kampagnendaten zuzugrei-fen. Wenn Sie möchten, erweitern Sie das Skript nun so,dass es alle aktiven Kampagnen berücksichtigt – nicht nurdie erste. (rs)

225

Netzwerk, Server und TeamarbeitEin Server ist die technische Grundlage jeder Webpräsenz.Eine Wissenschaft für sich, die manche böse Überraschungbereithält. Außerdem: Technik und Software für ein moder-nes Leben im weltweiten Netz.

227

Was kann er? Server im Test

Der Weg zum „perfekten“ Webhoster für eigene kleine bismittelgroße Projekte kann lang sein – schlechte Erfahrun-gen und Lehrgeld inklusive. Neben Kundenservice undfinanziellen Aspekten spielt auch die Technik bei der Wahleine große Rolle. Dr. Web zeigt, wie Sie die Leistungs-fähigkeit eines Webhosters messen.

Die Erreichbarkeit des Webservers ist besonders bei kom-merziellen Websites essentiell. Spezialisierte Web-Dienstekönnen die Erreichbarkeit einer Website und des Webser-vers zuverlässig messen. Einstiegsangebote gibt es gratisoder gegen Bannereinblendung. ServerGuard24 verlangtein Banner und bietet seine Dienste in deutscher Sprachean. Der US-amerikanische Anbieter ServiceUptime bietetebenfalls ein kostenloses Einstiegsangebot an, allerdingsnur in englischer Sprache.

228

Die Dr.Web-httperf-Schnittstelle ist einfach zu bedienen:Host und Pfad eingeben und auf „Testen“ klicken

Die Reaktionsgeschwindigkeit eines Webservers hängt inerheblichem Maße davon ab, was aufgerufen wird. Hard-ware-Ausstattung des Servers und dessen Netz-Anbindungmüssen ebenfalls berücksichtigt werden. Eine statischeHTML-Seite wird natürlich schneller ausgeliefert als ein PHP-Skript, für das der Webserver vielleicht erst einen PHP-Pro-zess starten, das Skript übersetzen und dann ausführenmuss.

Für Linux und Unix gibt es kostengünstige und einfach zubedienende Programme im Überfluss. Für Sie hat Dr. Webdas bekannte englischsprachige Programm „httperf“ vonDavid Mosberger übersetzt und mit einer einfachen Web-Schnittstelle ausgestattet. Das Programm misst, wieschnell jeweils 10 Anfragen von 5 gleichzeitigen Nutzernabgearbeitet werden. Das Original-Programm erlaubt er-heblich feinere und umfangreichere Tests.

Geben Sie in das Formular den Hostnamen und den die URLeiner Website ein und klicken Sie auf „Testen“. Das Ergebniserscheint nach einigen Sekunden. Testen Sie bitte nur eigeneWebsites, um nicht in den Verdacht zu geraten, den Betriebfremder Websites stören zu wollen. Damit Sie besser verglei-chen können, sollten Sie auf zwei oder mehr Webservern diegleichen Dateien und Skripte testen. Die Resultate sind aller-dings nicht als 100%ig stichhaltig zu betrachten, weil dieserDienst auf einer gut ausgelasteten Maschine läuft und je nachAuslastung die Ergebnisse variieren. Tendenzen sind mit die-sem Werkzeug aber durchaus festzustellen.

Genauere Ergebnisse erzielen Sie, wenn Sie das originalehttperf-Programm auf einem nicht unter Last stehendenRechner verwenden. Die Linux-Live-CD „grml“ (sprich:Grummel) bietet sich dafür an. Die kostenlose CD bietet einganzes Arsenal an Werkzeugen für Systemadministratorenan. Natürlich ist auch httperf direkt nach dem Booten dergrml-CD und der Netzwerk-Konfiguration einsatzbereit.

229

Datenbanken

Datenbanken, die Webhoster in Hosting-Paketen integriertanbieten, sind nicht einfach zu testen. Meistens lassen dieDatenbankserver nur interne Verbindungen zu, so dassvom Desktop-Rechner aus keine Verbindung hergestelltwerden kann. Sie können sich auf die Geschwindigkeitenberufen, mit denen Skripte mit Datenbankanbindung ver-arbeitet werden.

Wenn Sie Shell-Zugriff bei Ihrem Webhoster haben, könnenSie den SQL-Bench von MySQL ausprobieren. Die Soft-ware ist auf der MySQL-Website erhältlich. Das Perl-Skriptführt einen synthetischen Benchmark aus, der alle mögli-chen Schreib- und Lese-Zugriffe umfasst. Achten Sie dar-auf, dass Sie nicht die gesamten Server-Kapazitäten einesmit anderen Kunden gemeinsam genutzten Servers miteinem solchen Test belegen: Probleme mit dem Hosting-Unternehmen können unangenehm sein.

Eine gute Methode, die Ausführungsgeschwindigkeit vonPerl- und PHP-Skripts zu prüfen ist die Stoppuhr. Program-mierer greifen dabei zu Timer-Klassen wie Benchmark::Timerfür Perl“ oder „PEAR::Benchmark für PHP-Skripte“. Dasfunktioniert natürlich auch bei Skripten mit Datenbank-Zugriffen. Ein Skript wird manuell mit „Wegmarken“ verse-hen und ausgeführt. Aus den Zeiten, die zwischen der Abar-beitung der Wegmarken vergehen, ist am Ende auch diegesamte Ausführungsdauer abzulesen. Besonders interes-sant sind aber die Zeiträume zwischen den Wegmarken. Siegeben Hinweise zu Skriptteilen, die langsamer als gedachtlaufen. Entsprechend können Entwickler sich um diese Män-gel kümmern und die Laufzeiten verbessern.

Wenn Websites auf exklusiv genutzten Webservern gete-stet werden sollen, sollten Sie zu mächtigeren Program-men greifen.

230

Mit Preisen ab 200 Euro recht günstig ist das WebserverStress Tool von Paessler. Es erlaubt umfangreiche Tests-zenarien und bereitet die Ergebnisse grafisch auf. Leiderist das Programm nur unter Windows lauffähig.

Die freien OpenSource-Projekte OpenSTA und JMeter ausdem Apache-Jakarta-Projekt bieten ebenfalls umfangreicheMöglichkeiten, um Webserver auf Herz und Nieren zu testen.Allerdings schlägt sich diese Flexibilität auch im Bedienkom-fort nieder: ohne Studium der Anleitung kommt man hiernicht weit. (rs)

231

Webstress Tool: einfach zu bedienen und kostengünstig

Ordnung auf dem Server

Das wwwroot ist das Hauptverzeichnis einer Website. Allesim wwwroot und darunter ist über einen Webbrowserabrufbar, sofern der Zugang nicht beschränkt wurde.Üblich ist es leider, alle Dateien einer Website oder einerWeb-Anwendung darin zu speichern. Ein Fehler.

wwwroot – Ablageplatz für alles?

Neben dem bereits bekannten Motto „Nichts und nieman-dem vertrauen“ gilt noch ein weiterer Spruch für Web-Ent-wickler: „Was nicht per http abgerufen werden muss, darfnicht per http abgerufen werden können“. Man sollte nievergessen, dass alles, was per http abrufbar ist, eben auchfür jeden abrufbar ist – also auch für Saboteure. Ob eineURL bekannt ist oder nicht, spielt keine Rolle. Im Zweifelwird einfach alles durchprobiert, so wie es von E-Mail-Adressen bekannt ist, die irgendwann von Spammern mitihrer Fracht „beglückt“ werden, obwohl die Adressenselbst nie bekannt gegeben wurden.

Der Hintergrund: Websites und Web-Anwendungen bestehenselten nur aus HTML-Dateien und Skripten, sondern meistensauch aus HTML-Vorlagen, Klassenbibliotheken und Datei-Includes, die für den Besucher unsichtbar sind. Im Laufe derZeit wird in so gut wie jeder Software eine Sicherheitslückeentdeckt und vom Hersteller behoben. Den Zeitraum zwi-schen Entdeckung einer Sicherheitslücke und Aktualisierungder Installation nutzen Kriminelle, um ihre Angriffe zu starten.Ihre Motivation kann es sein, ihre Neugier zu befriedigen,Spam-Mails abzusetzen, Daten auszuspähen oder zu randa-lieren. Edle Motive haben die Wenigsten.

Die Erkenntnis

Die Teile einer Web-Anwendung, die nicht vom Besucherdirekt oder indirekt aufgerufen werden müssen, haben im

232

wwwroot oder darunter nichts verloren. Eine sinnvolle Ver-zeichnisstruktur für eine Website oder eine Web-Anwen-dung, die Übergänge sind fließend, könnte aussehen wieim folgenden Beispiel.

Der abgebildete Pfad setzt voraus, dass das wwwroot einerWeb-Domain bis auf den vorgegebenen Teil frei gewähltwerden kann, zum Beispiel über die Administrations-Web-site eines Webhosters für seine Kunden.

Das Beispiel

Das „www.testbeispiel.de“ im gezeigten wwwroot hatnicht direkt etwas mit einer Web-Domain zu tun. Dieser Teilkönnte auch anders lauten. Wenn mit einem Benutzerkon-to jedoch mehrere Webseiten und Domains verwaltet wer-den, bietet es sich an, im Pfad einen Hinweis auf dieDomain aufzunehmen – das hat rein organisatorische Vor-teile.

Wenn es viele Dateien einer Klasse gibt (viele Javascriptsund viele Stylesheets beispielsweise), sollte für sie jeweils

233

Aufbau eines Pfades

ein Extra-Verzeichnis angelegt werden. Aber was kommtwohin?

(HTML-Dateien und Skripte)/www/k12345678/www.testbeispiel.de/wwwroot/

(für Bilder)/www/k12345678/www.testbeispiel.de/wwwroot/img/

(für Javascripts, Stylesheets...)/www/k12345678/www.testbeispiel.de/wwwroot/wwwinc/

Nun folgen die Verzeichnisse, die nicht online vom Besu-cher aufgerufen werden müssen. Diese Dateien werdenvon online abrufbaren Skripten und HTML-Seiten nicht perhttp eingebunden, sondern direkt über das Dateisystem –sie müssen deshalb nicht online abrufbar sein und liegenaußerhalb des wwwroots. Für Angreifer sind diese Dateienohne weiteres unerreichbar.

(hier sind die Klassenbibliotheken gespeichert)/www/k12345678/www.testbeispiel.de/lib/

(Skript- und HTML-Includes)/www/k12345678/www.testbeispiel.de/lib/inc/

(Hier sind HTML- und E-Mail-Vorlagen gespei-chert, zum Beispiel für Smarty)/www/k12345678/www.testbeispiel.de/lib/templa-tes/

(sonstiges, zum Beispiel htpasswd-Dateien oderKonfigurationsdateien)/www/k12345678/www.testbeispiel.de/lib/etc/

234

Die gezeigte Beispielstruktur ist nicht für alle Situationenperfekt. In der Praxis haben sich ähnliche Strukturen aberdurchaus bewährt – und besser, als alles ins wwwroot zustopfen, sind sie allemal.

Aus dem Nähkästchen

Die Praxis zeigt allerdings auch, dass viele Webdesignertrotz Fachausbildung nicht selten wenig Erfahrung mit rela-tiver Verlinkung haben. Dabei ist gerade dieses Detailwissenhilfreich, wenn Ordnung auf dem Webserver herrschen soll.

Beispiel: in der Datei /www/k12345678/www.testbeispiel.de/wwwroot/index.php soll ein Include mit häufig genutztenFunktionen per require() eingebunden werden. Pfad undDateiname des Includes ist /www/k12345678/www.testbei-spiel.de/lib/func.php. In index.php könnte func.php nun soeingebunden werden:

require(‘/www/k12345678/www.testbeispiel.de/lib/inc/func.php’);

Wenn die Dateien auf einen anderen Webserver mit ande-ren Pfadangaben geschoben werden, macht das aberunnötig Arbeit, denn die Pfadangaben müssten in allenDateien geändert werden. Relative Verlinkung ist komfor-tabler, weil die Pfadangaben immer relativ zum Verzeichnisder „aufrufenden“ Datei sind. Mit einem relativen Pfad lau-tet der Aufruf

require(‘../lib/inc/func.php’);

„../“ bedeutet übersetzt „gehe von hier ein Verzeichnishöher“, man landet, von index.php aus gesehen. In/www/k12345678/www.testbeispiel.de/. Der Rest der Pfad-angabe ist trivial.

Der Vollständigkeit halber sei erwähnt, dass „../../“ dasselbeist wie „gehe zwei Verzeichnisse höher“. Ein Schrägstrich am

235

Anfang einer Pfadangabe macht selbigen zu einem absolutenPfad, welcher im Hauptverzeichnis des Linux-Servers beginnt.Zum Beispiel ist „/www/k12345678/www.testbeispiel.de/wwwroot/index.php“ der absolute Pfad von index.php. Feh-len sowohl „../“ als auch ein Schrägstrich, beginnt ein Pfad andem Ort, wo die originäre Datei gespeichert ist.

Wenn in der Datei index.php ein Stylesheet namens „sty-le.css“ per <link> eingebunden werden soll, sind verschie-dene Pfadangaben möglich.

1. <link rel=“stylesheet“ href=“/wwwinc/style.css“ /> 2. <link rel=“stylesheet“ href=“wwwinc/style.css“ /> 3. <link rel=“stylesheet“ href=“./wwwinc/style.css“ /> 4. <link rel=“stylesheet“ href=“../wwwinc/style.css“ />

Das erste Beispiel ist eine absolute Pfadangabe, allerdingsist das Hauptverzeichnis das des Webservers, also daswwwroot. Das zweite ist eine relative Pfadangabe, vomSpeicherort der Datei index.php aus gesehen. Das dritteBeispiel bedeutet dasselbe wie das zweite, nur dass deraktuelle Pfad explizit mit „./“ angegeben wurde. Das vierteBeispiel bedeutet: „Gehe ein Verzeichnis höher und dannin wwwinc, binde von dort die Datei style.css ein“

Diese Vorgehensweise funktioniert so nicht bei Pfadanga-ben in HTML-Tags oder Javascript. Beides wird vom Web-browser interpretiert, der auf dem Rechner des Besuchersläuft und nur per http auf die Inhalte des Webserverszugreifen kann. Daher muss alles, was online erreichbarsein soll, im wwwroot gespeichert werden. (rs)

236

Den Server abdichten

So genannte Skriptkiddies und auch „echte“ Hacker sindständig auf der Suche nach dem nächsten Opfer. Hat derServer eine Schwachstelle, wird diese Lücke mit kleinenProgrammen vergrößert. Bevor es soweit kommt, solltenSicherheitslecks gestopft werden.

Wer meint, ein unattraktives Ziel für einen Hackerangriff zusein, täuscht sich. Denn schon die Technik, also der Serveran sich, ist für den Angreifer interessant. Der Rechner könn-te etwa als Versender von SPAM-Mails dienen oder fürandere kriminelle Aktivitäten auf Abruf bereitstehen, wieetwa für Denial-of-Service-Attacken, ohne das man etwasbemerkt. Genauso wie der Verzicht auf heikle Daten denHacker nicht abhält, darf man sich auch nicht auf die schi-er unglaubliche Anzahl von Servern verlassen. Die Sucheerfolgt automatisch. Ohne sein Zutun bekommt der Hackerdas Opfer auf dem Silbertablett gereicht.

Den Feind kennen

Immer öfter sind es Skriptkiddies, die den Ärger verursa-chen. Statt selber zu programmieren, wird einfach ein ent-sprechendes Programm heruntergeladen und nach Anlei-tung im Netz randaliert. Dazu gehört zum Beispiel derNetwork Mapper, kurz nmap, der alle Ports auf einem Hostüberprüft. Schon mit dieser Software kann man feststellen,welche UDP-Ports offen sind, welche IP-Protokolle unter-stützt werden und welches Betriebssystem auf dem Serverinstalliert ist. Der Ursprung des Scans wird dabei ver-schleiert. Ein Beispiel von vielen. Es gibt zahlreiche Spe-zialisten, die aber allesamt auf offene Ports hoffen.

Einige Portbereiche sind da besonders gefährdet und wer-den gleich als erstes gescannt. So etwa Port 20 (FTP-Data),Port 21 (FTP-Server), Port 22 (Secure FTP), Port 23 (Telnet),

237

Port 25 (SMTP), Port 53 (Domain Name Server), Port 80(WWW), Port 110 (POP3), Port 143 (IMAP) und Port 161/162(SNMP/SNMPTRAP). Jeder offene Port bietet einenAngriffspunkt, weshalb man seinen Server abdichten soll-te. Als Beispiel soll uns Secure FTP dienen.

Herzlich Willkommen, Hacker

Beim Secure FTP wird eine FTP-Verbindung über SecureShell (SSH) getunnelt. So erfolgt die Verbindung ver-schlüsselt. Hört sich risikolos an, doch zumeist ist für denLogin der Nutzer „root“ erlaubt, eine für den Hackerbekannte Variabel. Bleibt nur noch das Passwort, dasschnell mit einer „Brute-Force-Attacke“ geknackt wird. Einkleines Programm probiert alle erdenklichen Kombinatio-nen von Buchstaben und Zahlen durch, bis das richtigePasswort gefunden wurde. Und der Software wird es nochleicht gemacht, da das gesuchte Passwort oft nur wenigeBuchstaben hat. Man könnte ja auch meinen, dass etwasechs Buchstaben ausreichen, da diese schon über 300 Mil-lionen Kombinationen bieten. Doch selbst der heimischeDurchschnittsrechner schafft 30 Millionen Schlüssel proSekunde. Das Passwort ist also ein Augenzwinkern späterkein Geheimnis mehr.

Die Länge, die Mischung aus Groß- und Kleinbuchstabensowie der Einsatz von Sonderzeichen und Zahlen sorgenfür die nötige Sicherheit. So verlängert die Ausweitung desPassworts um ein Zeichen die Dauer zur Berechnung derKombinationen um ein 26faches. Wird die Passwortlängeauf 10 Zeichen erhöht und mit Großbuchstaben gemixt,benötigt die Software schon theoretische 150 Jahre. Dabeiist als Nutzer immer noch „root“ möglich. Dieser Login als„root“ per SSH könnte aber auch grundsätzlich verbotenwerden. Jetzt darf der Hacker zum Passwort auch noch denBenutzernamen enträtseln.

238

Neben dem Schließen ungenutzter Ports und angreifbarenServices sowie der Deaktivierung des Benutzers „root“ solltedas Telnet-Protokoll ausgeschaltet, Backups regelmäßig vor-genommen und das Passwort auch mal gewechselt werden.

Übliche Verdächtige

Der Administrator des Content Managment System hatbesondere Rechte auf seinem Server. Auch hier setzenHacker an, um diese Root-Rechte zu erlangen. Viele Syste-me basieren auf PHP. Wurde das falsch konfiguriert, alsozum Beispiel in der php.ini der „safe_mode“ ausgeschaltet,können alle Dateifunktionen wie mkdir() oder include() freigenutzt werden. Ein PHP-Skript hat ja einen guten, wennnicht ganz freien Zugang zum System, so weit es eben dieRechte des PHP-Interpreters erlauben. Diese Dateirechteentsprechend einzustellen, ist der erste Schritt.

Einen zusätzlichen Schutz gewährt „open_basedir“, worü-ber festgelegt wird, in welchen Ordnern ein PHP-Skript lesenund schreiben darf. Das kann in der php.ini oder in der Kon-figurationsdatei des Servers für die einzelnen virtuellenHosts eingestellt werden. Eine gängige Lösung ist eine Ord-nerstruktur auf dem Server, wie etwa „pfad/virtualhost/html“. Die PHP- und HTML-Dateien liegen im Ordner „html“.Der passende Eintrag in der php.ini sieht dann wie folgt aus:„open_basedir = /pfad/virtualhost/“. Man kann nur auf dieDateien des aktuellen virtuellen Host zugreifen und, da sichalle Dateien im Unterordner „html“ befinden, können dieseund auch der Ordner „html“ selbst gelesen werden.

Dazu kann man in der php.ini „doc_root“ und „user_dir“angeben. Mit „doc_root“ leitet man die PHP-Skripte auf dasgewünschte Stammverzeichnis. Ist PHP im Safe Mode,werden Files außerhalb dieses Verzeichnisses ignoriert.„user_dir“ gibt den Basisnamen des Verzeichnisses an, dasfür Benutzer-Verzeichnisse mit PHP-Dateien genutzt wird,

239

wie etwa public_html. Übrigends: „register_globals“ sollteimmer deaktiviert sein, wenn der globale Bereich nichtdurch Userdaten verschmutzt werden soll. So kann die Zahl„vergifteter“ Variablen verkleinert werden, die ein mögli-cher Angreifer zufügen könnte.

Bei PHP läuft nur ein Interpreter, der seinen limitiertenBefehlssatz versteht. Bei CGI sind das echte Programme.Hier steckt Perl, manchmal auch Python dahinter. Die Pro-gramme laufen im User-Space des Servers und habendamit alle Optionen der User-Prozesse, inklusive Zugriff aufdas Dateisystem, Einsicht in Systemvariablen sowie Pro-zess- und Userlisten. Schreibzugriffe auf den Webspace mit„chmod 777“ sollte man besser vermeiden. Leider benöti-gen zumeist Gästebücher und Foren diese Rechte. DerenVerzeichnisse sind offen wie Scheunentore.

Ganz egal, ob Windows oder Linux: Anfällig sind die Syste-me hier wie da. Immer sollten nicht benötigte Dienste aus-geschaltet oder besser noch, gar nicht erst installiert wer-den. Gerade Linux kann man sehr schlank halten. Leiderbleibt selbst das sicherste System nur einige Zeit geschützt.Regelmäßige Updates, etwa in Form von Patches, sind dieRegel. Suse und der Microsoft-Server bieten eine Update-Funktion, die man nutzen sollte. (dm)

Gefährlicher Rootserver

Rootserver bieten die vollständige Verfügbarkeit über eineneigenen Web-Server zu inzwischen günstigen Preisen.Doch Verwaltung und Administration überfordern denungeübten Anwender. Die Folge sind schwerwiegende Pro-bleme und klaffende Sicherheitslücken.

240

Anbieter von Rootservern machen es ihren Kunden schein-bar einfach. Sehr niedrige Preise und komfortabel zu bedien-ende Web-Oberflächen sollen Einsteigern den Betrieb einesRootservers ermöglichen. Doch das Bild trügt. Mit einerWeb-Oberfläche kommen Kunden in der Regel nicht weit,weil diese für Einsteiger geeignet sein soll und daher sim-plifiziert ist. Einige Oberflächen bieten auch nur Konfigurati-onstextdateien zur Bearbeitung an. In den meisten Fällen istdie auf Servern übliche Art der Konfiguration unumgänglich:die Text-Shell. Server haben meist keine grafischen Benut-zeroberflächen. Sie sind für die Administration des Serversnicht notwendig, belegen unnötig Ressourcen und bedeutenerhöhten Administrationsaufwand.

Unerfahrene Rootserver-Kunden mieten Server an, obwohl

� Unsicherheit darüber herrscht, ob ein Rootserver not-wendig ist,

� tiefere Kenntnisse über Betriebsysteme und Netz-werke fehlen,

� nicht bekannt ist, welche Software eingesetzt werdensoll,

� ihnen nicht klar ist, dass der Rootserver „in der Wild-nis“ steht und jederzeit angegriffen werden kann undwird.

Das Spektrum der Konsequenzen einer Rootserver-Fehlad-ministration reicht vom Missbrauch des Servers als Spam-Station bis hin zum Verteilen von Viren, Kinderpornografie,illegalen Software-, Film- und Musik-Kopien und verfas-sungsfeindlicher Inhalte. Dass dabei meistens erhebliche Da-tenmengen übertragen werden, ist eine weitere Konse-quenz. Schnell ist das im Tarif inbegriffene Datenvolumenaufgezehrt – und danach wird nach Verbrauch abgerechnet.Dabei können erhebliche Summen zustande kommen. Dasbedeutet Ärger, der sehr einfach hätte vermieden werdenkönnen.

241

Angriffe auf geschäftlich genutzte Server können für einUnternehmen existenzbedrohend sein, denn Geschäfts-führer können für daraus resultierende Schäden haftbargemacht werden.

In fast allen Fällen ist ein eigener Rootserver unnötig undvöllig überdimensioniert. Vor allem Online-Spiele-Clansbegehen oft den Fehler, sich einen Spiele-Server aufeinem Rootserver einzurichten und sich sehr hohenAdministrationsaufwand zuzumuten. Mit fertigen Miet-Clanservern sind sie besser bedient. Diese Angebotesind auch auf den Kenntnisstand der Zielgruppe zuge-schnitten.

Tomcat- und Zope-Unterstützung – um nur zwei Beispie-le zu nennen – gibt es im Massen-Hosting-Markt ehernicht. Exotische Konfigurationen müssen oft als Grundfür einen Miet-Rootserver herhalten. Kleinere und mit-telgroße Hoster bieten allerdings durchaus diese Konfi-gurationen an – ohne dass Kunden sich um die Admini-stration des Servers kümmern müssten. Ressourcenfressende Web-Applikationen können die Kapazitäteneines Rootservers gut gebrauchen. Kunden verschwen-den jedoch Geld, wenn die Applikationen nicht Laufzeit-Optimiert werden. Meistens haben komplexe Anwen-dungen noch erheblichen Spielraum dafür, so dassdieser Aspekt auch kein schlagendes Argument für einenRootserver darstellt.

Eigene Server können für selbst entwickelte und komple-xe Web-Anwendungen notwendig sein – aber selbst fürdiese Fälle ist ein Rootserver nicht unbedingt notwendig.Dedizierte Server mit professioneller Administration bie-ten viele Unternehmen als so genannte „Managed“-Ser-ver an. Der Leistungsumfang solcher Angebote variiertsehr stark.

242

Was ist zu tun?

Kunden müssen sich bewusst machen, dass sie für ihreServer selbst verantwortlich sind. Programm-Aktualisie-rungen müssen eigenständig besorgt und installiert wer-den. Aktuelle Meldungen zu neu entdeckten Sicherheits-lücken müssen gelesen, entsprechende Maßnahmenumgehend ergriffen werden. Damit ist erheblicher Zeitauf-wand verbunden.

Eine ganze Reihe an Kenntnissen und Fähigkeiten muss einAdministrator mitbringen, will er einen Rootserver verant-wortungsvoll administrieren. Englisch-Grundkenntnissesind besonders bei Unix- und Linux-Systemen unabding-bar, denn ein Großteil der Dokumentation zu diesen Syste-men liegt nur in englischer Sprache vor. Wo die Dokumen-tation zu finden ist und wie sie benutzt wird, sollte klar sein.Grundlegende Möglichkeiten, wie ein Server gegen Mis-sbrauch geschützt wird, müssen bekannt sein und umge-setzt werden können. Damit einhergehen auch Kenntnissezu Netzwerktechnik im Allgemeinen, zum Beispiel DNS.Nicht zuletzt sollte sich ein guter Administrator über diekorrekte Funktion des Servers vergewissern können.

Ohne diese Fähigkeiten ist es nicht möglich, einen Root-server korrekt selbst zu bedienen.

Linux, Windows und BSD

Die meisten Rootserver laufen unter GNU/Linux. FreieBetriebsysteme wie Linux und die BSDs sind in derHosting-Branche sehr beliebt, weil sie schlank und flexibelanpassbar sind. Die Server-Administration von Linux- undgenerell Unix-Systemen ist grundlegend anders als dieBedienung von Linux-Desktops und Windows-Servern, beidenen für fast alle Programme grafische Benutzerober-flächen existieren. Dafür sind Linux- und BSD-Systeme freiverfügbar. Jeder kann sich eine ISO-Datei mit einem sol-

243

chen System gebührenfrei herunterladen, auf einem priva-ten Server zuhause installieren und gefahrlos Trockenü-bungen machen. Interessenten sollten das machen, bevorsie einen Rootserver anmieten.

Die hier genannten Empfehlungen treffen ganz besondersauf Windows-Server zu. Die grafischen Oberflächenerleichtern die Bedienung des Servers. Das täuscht darü-ber hinweg, dass trotzdem mehr als nur Grundkenntnissezur Netzwerktechnik vorhanden sein müssen. (rs)

Sicher ist sicher – Backup-Strategien für

den Server-Content

Mangelnde Ressourcen oder die Beeinträchtigung derNetzwerk- und Serverleistungen sind kein Grund, die Datendes Servers dem Schicksal zu überlassen. Backup-Routinensind Pflicht. Weiß jeder. Macht keiner. Oder?

Die Arten der Sicherung

Da die Datensicherung ein wichtiges Thema in jedemUnternehmen ist, das von seinen Daten lebt, muss siedurchdacht sein. Je nach Anforderung kann man ein Voll-backup, ein differenzielles oder ein inkrementelles Backupdurchführen. Beim Vollbackup wird der gesamte Datenbe-stand gesichert. Beim differenziellen Backup dagegen nurdie Daten, die sich seit dem letzten Vollbackup geänderthaben. Der inkrementelle Backup ist eine Schritt für SchrittSicherung aller Daten. Die Kombination aus einem erstenVollbackup mit anschließendem differenziellem Backup ist

244

die sinnvollste Lösung. Wie oft dieses Teilbackup vorge-nommen wird, hängt von der Beanspruchung des Serversab. Viele Änderungen erfordern häufige Teil-Backups, diemonatlich, wöchentlich oder sogar täglich durchgeführtwerden.

Als Speichermedien kommen DVDs, Streamer (also Band-laufwerke), Backup-Server oder (Wechsel-)festplatten zumEinsatz. Ob ein automatisches Backup eingesetzt werdensoll oder die Datensicherung lieber manuell vorgenommenwird, bleibt jedem selbst überlassen. Für den Restore, alsodie Wiederherstellung der Daten, sollte in jedem Fall eineentsprechende Backupsoftware eingesetzt werden.

Backup-Software

Mindestens genauso wichtig wie die Auswahl der Hard-ware zur Datensicherung ist die Backup-Software. Mit ihrist es möglich, Daten gezielt wieder herzustellen und dasBackup zu managen. Deshalb sollte die Wahl der Softwaregut überlegt sein. Ein konsequent durchgeführtes Backupnützt niemanden etwas, wenn keiner in der Lage ist, Datenbei Verlust wieder herzustellen.

Simply Safe Backup 2005 – Freeware

Für das erste Test-Backup ohne Investition können dieDaten des Servers mit dem Simply Safe Backup 2005 gesi-chert werden. Egal ob als Zip-File, auf einen anderen Ser-ver, auf ein ZIP-Drive, ein Bandlaufwerk oder auf DVD – dasProgramm unterstützt alle Medien. Mit dem Backup & Re-store-Wizard lässen sich Schritt-für-Schritt alle Einstellun-gen vornehmen. Die Daten können komprimiert undBackups automatisiert werden. Ein „MySQL Agent“ sorgtfür komplette MySQL-Backups. Die Daten werden in einemeigenen Dateiformat abgelegt und können nur mit demProgramm selbst wiederhergestellt werden. Ein Zeitplaner

245

hilft beim regelmäßigen Sichern der Daten. Der Haken: Diekostenlose Version ist auf 79.990 Dateien pro Datensiche-rung „beschränkt“.

Vision Backup – Der günstige Einsteiger

Vision Backup bietet eine günstige Server- und Desktop-Backup-Möglichkeit für Unternehmen an. Wie auch beiRetrospectiv (s.u.) werden alle bekannten Backup-Medienunterstützt. Dazu gehören Band-, DVD-, und USB-Laufwer-ke ebenso wie die Sicherung über FTP, LAN und auf dieFestplatte. Die Daten können verschlüsselt und kompri-miert werden, das Backup wird auf Fehler überprüft undeine Zeitplanungs-Funktion hilft zu organisieren. Mit einemDatei-Browser können gesicherte Daten durchsucht wer-

246

Simply Safe Backup 2005 MySQL Agent

den. Das Programm kostet 69,– Euro. Zahlreiche kostenlo-se Plugins, etwa um SQL- oder Exchange-Datenbanken zusichern, E-Mails zu speichern oder mit dem Webseite Mir-ror ein komplettes Spiegelbild der Firmenpräsenz zuerschaffen, können herunter geladen werden.

Dantz Retrospect – Die Profi-Liga

Die Firma Dantz bietet mit Retrospect Datensicherung fürden Einzelrechner, genauso wie Netzwerk-Backups für Cli-ents und mehrere Server oder das Server-Backup alsGroupware. Sämtlichen Versionen eigen ist die Datensi-cherung kombiniert mit integrierter Geräte-Unterstützung,Datei-Auswahl nach verschiedenen Kriterien und einer rela-

247

Vision Backup kann mit PlugIns erweitert werden

tiv einfachen Bedienung. Nachdem der Zeitplan, die Quel-len, Ziele und Dateien eingestellt wurden, können einfacheBackups mit Hilfe des Assistenten durchgeführt werden.

Für spätere Backups erstellt man Backup-Scripts, die dannautomatisch ablaufen. Bei vollständigen Backups sichertdas Programm auch alle Informationen zu Registry,Systemstatus, NTFS-Dateien und zur Dateisystem-Seman-tik. Die Backup-Überprüfung garantiert, dass nicht nurName und Dateigröße sondern auch die aktuellen Datenkorrekt sind. Angebundene Desktops und Notebooks wer-den mit einbezogen.

Alle Geschäftsanwendungen wie Datenbanken, CRM undWebsites können auch bei gerade geöffneten und verwen-deten Dateien gesichert werden. Das ist wichtig bei Ser-vern, die rund um die Uhr in Betrieb sind (wie SQL-,Exchange-Server, CRM-Software usw.) Auch E-Mails wer-den gespeichert. Nicht gesicherte Stationen werden beimnächsten Backup-Termin berücksichtigt. Unterstützt wer-den praktisch alle bekannten Backup-Medien. Der Viren-Schutz, die Verschlüsselung und Komprimierung sowieeine Suchfunktion gehören zum Standard des Programms.Die Einzelrechner-Version kostet 98,00 Euro, die „Single-Server“-Version 729,00 Euro und die „Multi-Server“-Vari-ante 999,00 Euro.

Doch welche Software auch immer zum Einsatz kommtund welche Strategie gewählt wird, wichtig ist, es über-haupt zu tun. Nur wer gelegentlich und ausschließlich sta-tische Seiten aufspielt, ist nicht betroffen, in diesen Fällenexistiert eine lokale Kopie bereits. (dm)

248

Mit Honig fängt man Wespen –

Der Honeypot

Statt den Angreifer auf dem Server abzuwehren, legt maneinen Köder aus und lockt ihn so in die Falle. Die Schwach-stellen des simulierten Systems stellen für einen Hacker einreizvolles Opfer dar.

Honeypot?

Software, die Angriffe auf das Netzwerk auf unwichtigeDaten eines eigens zusammengestellten Systems lenkt,nennt man Honeypot. Wobei aber auch echte Technik hin-ter dem Honeypot stehen kann. Die Taten des Angreiferswerden protokolliert. Diese Informationen können genutztwerden, um das eigentliche Netzwerk vor möglichenAngriffen besser zu schützen.

Klar kennen auch Hacker die Honeypot-Idee und analysie-ren schon lange, wo die Unterschiede zum echten Netz-werk liegen. Doch solange nicht jeder zwischen echtenNetzwerk und Honeypots einen Unterschied ausmachenkann, bleibt es bei der gewohnten Überprüfung aller Netz-werk-Komponenten auf Schwachstellen. Die Falle schnapptzu.

Da der „gefakte“ Rechner nicht genutzt wird, deutet sämt-liche Aktivität auf illegale Zugriffe hin. Der Honeypot infor-miert über diese Angriffe, verhindern kann er sie nicht. DerEindringling allerdings wird ausgebremst, sein Angriff aufvirtuelle Ziele umgelenkt und damit von den eigentlichinteressanten Zielen ferngehalten.

Tarnen und täuschen ist also alles, wozu man eine spezia-lisierte Software benötigt. Dabei unterscheidet man inHigh- und Low-Interaction Honeypots. High-Interaction istaufwändiger als Low-Interaction, da hier nicht nur das

249

Betriebssystem mit den gängigen Diensten, sondern auchdie Software mit gefakten Daten und Datenfluss ein echtesSystem bilden, das der Hacker gerne angreifen darf. Erbekommt viele Interaktionsmöglichkeiten geboten. Low-Interaction-Honeypots sind dagegen leichter zu installieren,werden aber auch schneller enttarnt.

Honeyd

Ein Beispiel für so ein Low-Interaction-Honepot ist dieOpen-Source-Software Honeyd, die Anwendungen unterverschiedenen Betriebssystemen emuliert. So könnte etwaein Windows-Server-System mit den AnwendungenWWWServer und Exchange-Mail-Server, ein Windows-Cli-ent-System, ein Linux-Server-System mit Anwendungenwie Apache, POP-Server und FTP-Server oder auch ein Cis-co-Router emuliert werden. Für die Emulation von Dienstenwerden Skriptdateien, zumeist Shell-Skripts, eingesetzt.Unter Windows müsste dazu eine Shell-Scripting-Engineinstalliert werden. Honeyd für Windows beinhaltet dreiSkripts, die eine Telnet-Anmeldung, eine SSH-Sitzung(Secure Shell) und einen IIS-5.0-Server mit Standard-Ver-zeichnisnamen simulieren. Weitere Skripts findet man überGoogle.

Für den Angreifer wird es umso schwieriger, wenn mehre-re Betriebssysteme gleichzeitig simuliert werden, wasHoneyd ermöglicht. Alle Anstrengungen des Hackers wer-den dann in einer ASCII-Datei auf dem Host gespeichert.Wer sicher gehen möchte, speichert diese Daten besser aufeinem Remote-Server, falls der Honeypot doch einmalgeknackt wird.

Der Profi setzt auf einen so genannten Paket-Sniffer, umjeglichen Betrieb von und zum Honeypot abzufangen. Lei-der bietet das von Unix auf Windows portierte Programmnoch keine Windows-GUI. Auch fehlt die Option zur Simu-

250

lierung eines NetBIOS-Namen. Das könnte dem Störenfriedein Hinweis auf das unechte Netzwerk sein. Wem die Kon-figurationsdatei zu abstrakt und die Befehlszeileneingabezu ungewohnt ist, der sollte sich das voreingestellteHoneyd Linux Toolkit ansehen, das mit einer Auswahl derbesten Skripts und einem Template daher kommt, odersich gleich für einen einfachen Windows-Honeypot ent-scheiden. Einzigartig: Dieser Honeypot kann auch zumAbfangen von Spam verwendet werden.

BackOfficer

Ein simpler und kostenloser Honeypot ist BOF, der untervielen Windows-Versionen und eingeschränkt auch aufUnix-Plattformen läuft. Die Windows-Version hat eine gra-fische Oberfläche und ist problemlos konfigurierbar.

Auch der BackOfficer ist ein Low Interactive Honeypot, dergerade das Unentbehrliche, wie etwa das Betriebssystem,den IP-Stack und gebräuchliche Dienste simuliert, wie FTP,Telnet, SMTP, HTTP oder POP3. Er enthält keinen Contentoder gar laufende Anwendungen, dafür bietet er eineschnelle Einrichtung, was auch bei Kompromittierungenerfreut.

Nach dem Download wird als erstes die IP-Adressebestimmt, auf der das Programm mithören soll, dann einBetriebssystem sowie die IP-Ports, die vorgetäuscht wer-den. Kommt es zum Angriff, werden alle Versuche aufge-zeichnet und der Administrator benachrichtigt. Darin liegtauch die Hauptarbeit dieser Software, die relativ schnellentlarvt werden kann. Weitergehende Konfigurationsmög-lichkeiten, die etwa Honeyd bietet, fehlen hier.

Symantec Decoy Server

Der Decoy Server simuliert bis zu vier funktionstüchtigeServer. Ergänzend generiert die Software auch gleich den

251

üblichen E-Mail-Verkehr zwischen den virtuellen Anwen-dern, so dass der Angreifer ein lebendiges Netzwerk vor-findet. Das Programm erkennt dabei sowohl Host- als auchnetzwerkbasierte Angriffe. Die detaillierten Informationenwerden in so genannten Datensammlungsmodulen gelei-tet und zur Auswertung bereitgestellt.

Filter ermöglichen es, belangloses automatisch zu ver-werfen, so dass nur die Daten übrig bleiben, die zur Reak-tion auf Bedrohungen notwendig sind. Wird der Angriff zugefährlich, können automatisch Systeme heruntergefah-ren werden. Die Lizenz für 2 virtuelle Server, hier Cagesgenannt, kostet um die Neuntausend Euro. Symantec bie-tet weitere Komponenten zur Hackerabwehr, ist aberschon mit dem Decoy Server auf High-Interaction ausge-richtet.

Specter

Mit 599,00 Euro ist die Low-Interaction-Lösung von Netsecfür Windows wesentlich günstiger. Die von Specter ange-botenen Dienste können über Checkboxen aktiviert wer-den. Das schafft eine Übersicht, die anderen Programmendieser Art auch gut stehen würde. So fällt die Wahl leicht,welche Betriebssysteme und Dienste simuliert werden sol-len.

Auch wenn nur Windows XP für das Programm selbst inFrage kommt, simuliert werden auch Linux-, Solaris-, Unix-und Mac-OS-Rechner. Bei jeglicher Aktivität wird der Admi-nistrator benachrichtigt, der mit den gebotenen Informa-tionen durchaus das Weiterkommen des Hackers verhin-dern kann. Denn neben den gängigen Daten wird auchgleich das Ziel des Täters angezeigt. Das Programm über-nimmt also einen Teil der Analyse.

252

Google Hack Honeypot

Man glaubt es kaum, aber auch Google kann mißbrauchtwerden, um eine Website zu hacken. Es gibt zahlreicheTricks, die ganze Bücher füllen. Als Beispiel sei die Suchenach Kreditkartennummern genannt. Der Hacker suchtnach den ersten vier Stellen der Kreditkarte, was funktio-niert, da viele Karten an erster Stelle die gleichen Ziffernhaben. Nehmen wir etwa 4052. Die Nummer im Ganzen istzumeist 16-stellig. Die Suche wird also von4052000000000000 bis 4052999999999999 gehen, was so inGoogle eingegeben wird. Die Suchergebnisse zeigen nunWebsites, die 16-stellige Nummern haben, deren erste vierStellen mit 4052 anfangen.

Je mehr dieser Nummern auf einer Website zu finden sind,umso höher ist auch die Position in den Suchergebnissen.Die Website mit den meisten Nummern wird also vermut-

253

Funktionen abhaken

lich auf Platz 1 landen. Das war sehr einfach, doch welcheWebsite veröffentlicht schon tausende Kreditkartennum-mern? Keine, doch Googles Indexierung zeigt eben auchUnsichtbares auf, so auch schlecht programmierte Appli-kationen, etwa für den Online-Shop, der vielleicht eineLücke zuviel hat.

Genau da kommt der Google Hack Honeypot ins Spiel, derso eine schlecht programmierte Applikation simuliert. DieBesucher der Website werden diese niemals zu sehenbekommen, doch Google findet sie. Jeder Möchtegern-Hacker wird nun zu einem PHP-Skript gelenkt, das jede Tataufzeichnet. Der Zugriff wird also – Honeypot-typisch –nicht abgewehrt, sondern dokumentiert. Das sind Daten,die zur Sicherheit der Website und der Online-Geschäftebeitragen. Google Hack Honeypot steht unter der „GNUPublic License“ und ist somit kostenlos.

Das Honeynet-Projekt

Wer seinen Feind kennt, kann ihn bekämpfen. Deshalb wirddas Hacker-Verhalten gezielt erforscht. Das German Honey-net Project hat sich genau das auf die Flagge geschriebenund lockt mit nur scheinbar geschützten Servern den Täterin die Falle. Hauptziel ist die Untersuchung von so genann-ten Botnets, also Netzwerke, die etwa von Trojanern fern-gesteuert werden. Deren Ziel könnte zum Beispiel die Ver-breitung von Spam oder Denial-of-Service-Attacken sein.Wie man sich denken kann, stellen Botnets eine großeGefährdung für die Internet-Infrastruktur dar.

Das Team konnte über 100 Botnets anlocken, die insgesamt226.585 Rechner kontrollierten. Die mächtigste Streitmachtferngesteuerter PCs hatte ein Bot mit fast 50.000 Systemen.Um diese Technik besser zu verstehen, wurde ein eigenerBot programmiert, natürlich ohne die üblichen schädlichenRoutinen. Von DoS-Attacken über Spam-Versand bis zum

254

Auskundschaften einzelner User konnte der Bot zu allenBosheiten verleitet werden. Die Ergebnisse ihrer Studienstellt das Team auf der Homepage zur Verfügung.

Honeywall

Die Honeywall CDROM des oben genannten Projekts hilft,einen eigenen High-Interaction-Honeypot zu erstellen. Manbenötigt nur einen Köder-PC oder Vmware, für die unsicht-bare Bridging-Firewall und ein komplexes Honeynet. DieInstallation des Honeynet Gateways ist vollständig auto-matisiert. Diese Honeywall ist oft der schwierigste Teil derInstallation eines Honeynets. Jeder, der in das Honeynethinein oder daraus hinaus will, wird abgefangen und über-prüft.

Alle benötigten Elemente werden auf einer einzigen boot-fähigen CD-ROM zusammengefasst. Nach der Installationsind nur noch kleinere Konfigurationsarbeiten notwendig,um das System restlos einsatzbereit zu machen. Doch dazumehr in einen eigenen Artikel.

255

Die Honeynet Website

Werden Schwachstellen geboten, zieht das natürlichHacker an, wie eben Honig die Bienen. Er wird zum Angriffverleitet. Wenn ein guter Hacker den Honeypot erkennt,motiviert es ihn erst recht, weiterzumachen. Es bleibt eineMedaille mit zwei Seiten.

Auch sollte man bedenken, dass durch die Verwendungvon Honeypots das eigentliche Netzwerk genauso ver-wundbar oder unverwundbar bleibt, wie zuvor. Folglichstellt ein Honeypot keine Alternative, sondern eine Erwei-terung der üblichen Schutzmaßnahmen wie etwa Firewallsoder Intrusion Detection Systems dar. (dm)

Website-Ausfallsicherheit

Was ist zu tun, wenn die geschäftswichtige Website aus-fällt? Diese Frage stellen sich Unternehmen meist erstdann, wenn es soweit gekommen ist. Es ist allerdings ein-fach, zumindest ein Lebenszeichen zu geben.

Das Szenario

Kleine und auch viele mittelständische Unternehmenhaben meist weder eigene Server noch besondere hoch-verfügbare Technik im Einsatz, denn für beides bräuchtedas Unternehmen regelmäßig einen Techniker, der oft nichtvorhanden ist. Trotzdem kann die Website ein wichtigesStandbein des Unternehmens sein, zum Beispiel wenn Pro-dukte über sie verkauft werden.

Server- und Programmierungsdienstleistungen werdenvon Praktikanten meistens mehr schlecht als recht erledigt

256

oder von außen je nach Bedarf eingekauft. Service desHosters für Rootserver oder Managed Rootserver ist in derRegel nicht viel Wert – entgegen vollmundiger Verspre-chungen. Das ist bei 10–20 Euro Aufpreis zum normalenRootserver betriebswirtschaftlich auch nicht zu erwarten.Nehmen Sie die Dinge selbst die Hand – das ist gar nichtschwer.

Vor dem Ausfall: Backup

Machen Sie Sicherheitskopien Ihres Webservers. DieBackups sollten Sie regelmäßig machen, beispielsweisejeden Montag und Donnerstag. Automatisieren Sie so vielwie möglich. Prüfen Sie, ob die Daten überhaupt gesichertwerden und ob sie sich schnell zurückspielen lassen.Machen Sie auch Backups von allen wichtigen Datenban-ken.

Möglich ist es beispielsweise, Datenbanken durch einShell-Skript automatisiert im Dateisystem zu sichern, sodass das gesamte Backup per FTP übertragen werdenkann. Danach kann ein anderes Skript alle Dateien in einArchiv komprimieren und auf einen anderen Rechner über-tragen. Ein SSH-Shell-Zugang ist beim Einrichten eines sol-chen flexiblen Systems eine sehr große Hilfe. Die Automa-tisierung hat den Vorteil, dass Faulheit oder laxe Auslegungder Backup-Politik nicht Ihr Geschäft gefährdet.

Kunden informieren

Verfolgen Sie eine offene Kommunikationspolitik IhrenKunden gegenüber. Auch das dient der Schadensbegren-zung. Informieren Sie offen während des Ausfalls und nachdem Ausfall über weitere Präventionsmaßnahmen. Sie fah-ren so besser als mit einer Kopf-in-den-Sand-Strategie. Siezeigen Offenheit und Ehrlichkeit und beweisen, wie wich-tig es für Sie ist, für den Kunden da zu sein.

257

Generell gilt: je mehr Menschen die Website im Schnitt besu-chen, desto eher sollten Sie Ihre Kunden informieren. ImZweifel sollten Sie nicht länger als fünf Minuten mit der erstenInformation warten, insbesondere wenn Sie das Ausmaß unddie Dauer des Ausfalls noch gar nicht abschätzen können.

Anfragen umleiten

Die Kunden zu informieren ist natürlich schwer, wenn dasNewsletter-System auch auf dem Webserver liegt und eineInformationsseite wegen des Ausfalls nicht auf demWebserver hinterlegt werden kann. Doch auch dafür gibt eseine (relativ) einfache Lösung.

Egal, ob Sie einen Rootserver, einen Managed-Rootserveroder ein anderes Hosting-Angebot nutzen: achten Sie dar-auf, dass das Hosting-Unternehmen seinen Kunden dieMöglichkeit gibt, die Nameserver-Einträge der Hauptdo-main einer Website zu verändern. Es ist wichtig, dass Siedas selbst machen können, damit Sie nicht vom Wohlwol-len des Hosters abhängig sind. Eine Umleitung per Name-server ist die einfachste Möglichkeit, eine aus dem WWWgefegte Website schnell und ohne technische oder finanzi-elle Kraftakte wieder online zu bekommen. Wie das genaugeht, kann Ihr Hoster am besten erklären.

Das Prinzip: die Hauptdomain Ihrer Website bei Hosting-Unternehmen A lautet zum Beispiel „xyz.de“. Der Webser-ver ist unter der Subdomain „www.xyz.de“ erreichbar.

Schritt 1

Besorgen Sie sich bei einem anderen Hoster B Webspaceund eine Domain, zum Beispiel „test.de“.

Schritt 2

Richten Sie bei Hoster B eine Subdomain ein, zum Beispiel„xyz.test.de“.

258

Schritt 3

Erstellen Sie im Nameserver für „xyz.de“ bei Hoster Aeinen CNAME-Eintrag von „www.xyz.de“ auf die Subdo-main „xyz.test.de“.

Schritt 4

Unter xyz.test.de können Sie nun entweder ein Backup derOriginal-Website einspielen oder wenigstens eine Informa-tionsseite für Kunden anbieten. Nach einer gewissen Zeit(ca. 1–2 Stunden) sollten alle Anfragen von www.xyz.detransparent nach xyz.test.de umgeleitet werden – in derAdressezeile des Browsers ist weiterhin die Domain„www.xyz.de“ zu sehen.

Ihr Unternehmen ist nun wieder online und Sie haben nunfür die Problemlösung etwas Zeit gewonnen.

Natürlich können auch die Nameserver des Hosters ausfal-len. In diesem Fall haben Sie keine kurzfristige Möglichkeit,einzugreifen. Allerdings wird das Problem dann nicht nurSie betreffen (bei Rootservern und Managed Rootservern),sondern in der Regel viele oder gar alle Kunden desHosters. Es wäre Selbstmord für das Unternehmen, nichtsofort alle verfügbaren Ressourcen einzusetzen, um dasProblem schnell zu beheben. (rs)

Website-Update: Operation am offenen

Herzen

Dynamische Websites im laufenden Betrieb zu ändern kanngefährlich sein und Probleme nach sich ziehen. Die Lösung:leiten Sie die Besucher um und nicht sich selbst.

259

Website-Betreiber haben es nicht leicht. Websites müssenohne Unterbrechung online sein. Software-Aktualisierun-gen sollten auf einem separaten Server entwickelt undgetestet werden, um Ausfallzeiten des Webservers zu ver-meiden. Doch viele Betreiber versuchen nicht einmal beikleinen Updates, sich diesem Ideal zu nähern.

Kleine Software-Aktualisierungen auf dynamischen Websiteswerden meist im laufenden Betrieb vorgenommen oder dieganze Website wird für diese Zeit vom Netz getrennt. Beidesmuss nicht sein. Solche Arbeiten am offenen Herzen könnenzu ungewollten Effekten führen, falls in dieser Zeit dochjemand den gerade zu aktualisierenden Teil einer Website auf-ruft. Besonders ärgerlich sind Inkonsistenzen in Datenbanken,weil sie erhebliche Aufräumarbeiten nach sich ziehen können.Ebenso können wirtschaftliche Schäden auftreten, wennBesucher durch die Web-Bauarbeiten vergrault werden.

Zunächst sollten solche Arbeiten nicht zu den Stoßzeitenim Internet durchgeführt werden. Weiterhin gilt es, denmöglichen Besucherstrom um die Baustelle herum zu lei-ten oder Besucher wenigstens auf die kurze und nur teil-weise Einschränkung der Website-Funktionen hinzuweisen.Sie als Entwickler müssen aber die neue Version testenkönnen, ohne umgeleitet zu werden.

Das folgende Beispiel zeigt, wie Sie vorgehen können,wenn Sie einen Apache-Webserver mit aktiviertemmod_rewrite-Modul verwenden.

Datei „TestA.php“ soll aktualisiert werden. Besucher, dieauf dieses Script zugreifen, müssen umgeleitet werden -Sie selbst aber nicht.

Es sind einige Konfigurationsvariablen anzupassen. DasScript ist anschließend auf seine korrekte Funktion zu testen.Eventuell treten in der Produktionsumgebung Probleme auf,die es auf dem Test- und Entwicklungsserver nicht gab.

260

Schritt 1:

Legen Sie eine Kopie dieser Datei an und nennen Sie siezum Beispiel „TestA_alt.php“. Testen Sie, ob die Kopiefunktioniert.

Schritt 2:

Legen Sie im Verzeichnis der Datei „TestA.php“ eine „.htac-cess“-Datei an und schreiben Sie folgendes hinein:

RewriteEngine onRewriteCond %{REMOTE_HOST} !^85\.140\.148\.70$RewriteRule ^TestA\.php$ /TestA_alt\.php[R=302,L]

Erklärung: Die erste Zeile aktiviert die Rewrite-Engine desWebservers. Die zweite Zeile definiert eine Bedingung, diefür die Umleitung erfüllt sein muss. In der Umgebungs-Variablen „%{REMOTE_HOST}“ ist die IP-Adresse desBesuchers enthalten. Sie wird durch die Bedingung aufeinen bestimmten Wert getestet. Im Beispiel lautet dieAdresse 85.140.148.70.

Die Adresse ist als so genannter „Regulärer Ausdruck“angegeben. Das „!“ am Anfang bedeutet „nicht“. Das Dach„^“ bedeutet, dass die Adresse so wie folgt beschrieben zubeginnen hat. Die Schrägstriche vor den Punkten sagen,dass der Punkt ein Punkt ist und kein Platzhalter für genauein beliebiges Zeichen – denn diese Bedeutung hat derPunkt normalerweise in regulären Ausdrücken. Das „$“ amEnde gibt an, dass die IP-Adresse nur genau so und nichtanders enden darf.

Mit der dritten Zeile legen Sie die Aktion fest, die ausge-führt wird, falls die Bedingung aus Zeile 2 zutrifft. Zunächstdefinieren Sie, für welche Dateinamen überhaupt eineUmleitung erfolgen soll. Auch hier kommen reguläre Aus-drücke ins Spiel. Die Bedeutung von „$“, „^“ und „\.“ ist

261

die gleiche wie in Zeile 2. Danach geben sie das Ziel an,inklusive Schrägstrich am Anfang. Er steht für das WWW-Root.

Die Angaben in den eckigen Klammern gehören wie derName der Zieldatei nicht mehr zum reglären Ausdrück.„R=“ leitet eine Umleitung ein, 302 („vorübergehendeUmleitung“) ist der Statuscode, den der Webserver an denBrowser senden soll. Das „L“ bedeutet, dass keine eventu-ell folgenden Anweisungen für mod_rewrite beachtet wer-den sollen, falls diese Regel zutrifft.

Übersetzt bedeuten die mod_rewrite-Regeln also: Lautetdie IP-Adresse des Besuchers nicht exakt 85.140.148.70, lie-fere auf alle Anfragen nach TestA.php die Datei/TestA_alt.php aus. Beim Ausliefern soll der Statuscode 302an den Browser gesendet werden („vorübergehendeUmleitung“). Falls diese Regel zutrifft, bearbeite keine wei-teren mod_rewrite-Anweisungen.“

Schritt 3:

Ändern Sie die IP-Adresse im Beispiel auf Ihre eigene ab.Testen Sie, ob die Umleitung wie gewünscht funktioniert.Ihre eigene IP-Adresse finden Sie auf http://www.whatis-myip.com/ heraus. Besucher-Zugriffe können Sie vom eige-nen Rechner aus simulieren, in dem Sie in Ihrem Browsereinen fremden Proxy-Server einstellen und einen Website-Besucher spielen.

Schritt 4:

Wenn die Umleitung funktioniert, überschreiben Sie dieDatei „TestA.php“ mit einer neuen Version. Sie können sienun in aller Ruhe testen – und zwar online auf dem Live-Server. Wenn auch das neue Script wie gewünscht funk-tioniert, kommentieren die entsprechenden mod_rewrite-

262

Anweisungen in .htaccess durch eine Raute „#“ am Zei-lenanfang aus – Sie brauchen sie später bestimmt nocheinmal. Die alte Version der Datei sollten Sie aus Sicher-heitsgründen löschen. (rs)

Was ist ein Ping?

Ping, das ist nicht nur der Name des Pinguins aus „Urmelaus dem Eis“, ein Fluss in Südostasien und der Laut einesSonars, sondern auch ein kleines Programm zur Überprü-fung, ob ein Computer in einem Netzwerk erreichbar istoder nicht.

Mike Muus hatte Ende 1983 den ersten Ping für Unixgeschrieben. Als Fan von Sonar- und Radar-Systemen saher Analogien zum Cyberspace und seinem Programm, wasauch den Namen erklärt. Denn das Geräusch des Sonarsmacht Ping, wenn es Schallwellen ausstrahlt. Ping sendetzeitgesteuerte „IP/ICMP ECHO_REQUEST“-Pakete, um den„Abstand“ zur Zielmaschine zu prüfen.

Und einem Satz von Dave Mills haben wir es zu verdanken,dass Ping existiert. Dieser erzählte von seinen Versuchen,die Weglatenz mit zeitgesteuerten ICMP-Echopaketen zumessen. Daran erinnerte sich Muus bei einem ähnlichenProblem und schrieb Ping – an nur einem Tag. Seine Ker-nelmodifikationen und der Ping-Code wurden übernom-men und haben sich seitdem weit verbreitet. Selbst Micro-soft gefiel die Idee und bietet dieses Feature in seinenBetriebssystemen an.

263

Das steckt dahinter

Ping sendet also ein ICMP-Echo-Request-Paket an die zu prü-fende Zieladresse. Der Empfänger wird per ICMP Echo-Rep-ly eine Antwort senden, wenn er denn erreichbar ist. Anson-sten antwortet der Router mit Gegenstelle unerreichbar(„Host unreachable“) oder Netzwerk unerreichbar („Networkunreachable“). Manche Hosts ignorieren allerdings ICMP-Pakete, weshalb eine ausbleibende Antwort nicht zwingendbedeutet, dass die Gegenstelle nicht erreichbar ist. Übrigens:Bei Eingabe des Hostnamen statt der IP-Adresse löst Pingdiesen durch das Betriebssystem auf.

Der Nutzen von Ping

Mit Ping kann man die Zuverlässigkeit einer Netzverbin-dung und die Reaktionszeit eines Servers messen. Dazuklickt man unter Windows auf „Start -> Ausführen“ undgibt „command“ ein. In dem neu geöffneten Fenster wirdmit Ping und einer beliebigen Internetadresse (etwa Pingwww.drweb.de) die IP-Adresse, die gesendeten Bytes, dieAntwortzeit in Millisekunden und die Lebensdauer derPakete angezeigt.

Ping mich an

264

Ein Ping

Schon Ramius, der Kapitain bei „Jagd auf Roter Oktober“flehte „Vasili, ein Ping... bitte nur ein einziges Ping“.Genauso geht es vielen Weblog-Usern, die es gernesehen, wenn ein anderes Weblog einen Artikel zitiert. Zwi-schen den Weblogs werden dazu spezielle Pings ausge-tauscht. Diese sogenannten Trackbacks stehen oft amEnde eines Weblog-Eintrages mit den zugehörigen Kom-mentaren. Sie enthalten den Titel des Eintrags, denNamen des Weblogs, die URL (Permalink) und eine Kurz-version des Weblog-Artikels mit maximal 255 ZeichenUmfang. Bei einem Trackback Ping wird ein HTTP POSTRequest ausgesendet, was auch mittels PHP realisiertwerden kann.

$fp = @fsockopen($host, 80);@fwrite($fp, „POST „.$trackback_url.“HTTP/1.1\r\n“);@fwrite($fp, „Host: „.$host.“\r\n“);@fwrite($fp, „Content-Type: application/x-www-form-urlencoded; charset=utf-8\r\n“);@fwrite($fp, „Content-length:„.strlen($data).“\r\n“);@fwrite($fp, „Connection: close\r\n\r\n“);@fwrite($fp, $data);@fclose($fp);

Um mögliche Fehlermeldungen zu unterdrücken steht vorjeder Funktion ein @-Zeichen. fsockopen stellt eine Inter-net- oder Unix-Domain-Socket-Verbindung her. $host istdie direkte Adresse zum Weblog, wie etwa http://www.drweb.de/weblog. Mit $trackback_url wird die URL des Ein-trags beschrieben, auf den man sich beziehen möchte. str-len($data) stellt die Länge des zu sendenden Strings fest.Die Spezifikation des Content-Types verlangen auch daspassende Charset (hier UTF-8). $data nimmt den Inhalt auf,was wie folgt aussehen könnte:

265

$data = „title=DieÜberschrift&http://www.drweb.de/weblog/weblog/index.php?p=349&excerpt=Kurzer Anriss desInhalts&blog_name=Dr.Web Weblog“;

Wer Trackbacks empfangen möchte, verarbeitet die Datenüber $_POST[‘blog_name’], $_POST[‘url’], $_POST[‘excerpt’]und $_POST[‘title’] und führt sie einer Datenbank zu, um siedann im Blog-Artikel zu präsentieren.

Tipp: Ping-O-Matic ist ein Online-Tool, mit dem ganz auto-matisch Weblog-Dienste angepingt und die Daten weiter-geleitet werden. So muss man sich nicht selbst um dieganzen Adressen kümmern, sondern benötigt nur eine ein-zige. Allerdings werden bisher nur englischsprachigeDienste unterstützt.

Mike Muus ist am 20. November 2000 bei einem Autoun-fall tödlich verunglückt. Sein Ping wird weiterleben. (dm)

266

SSH: Die Arbeit mit der Secure Shell

Das Secure-Shell-Protokoll ermöglicht eine sichere Verbin-dung und Datenübertragung zwischen zwei Rechnern.Unerlässlich für die Installation von Software direkt aufdem Server.

Am Anfang gab der Unix-Gott seinen Anwendern das Tel-net-Protokoll, damit sie von einem Rechner aus auf einenanderen zugreifen konnten. Noch heute ermöglichen eini-ge Server-Anbieter ihren Kunden Telnet zur Administrationvon Unix- oder Linux-Servern – eine schlechte Entschei-dung. Nach einem leeren Root-Passwort ist Telnet wohl dasUnsicherste, was man einem Server antun kann.

Secure Shell

Das Secure-Shell-Protokoll (ab Version 2) ermöglicht siche-re Übertragungsverbindungen zwischen zwei Rechnern.Die Verbindung muss nicht direkt von Rechner zu Rechnerbestehen, sondern kann auch über völlig fremde und damitpotenziell unsichere Rechner führen. Häufig wird SSH ein-gesetzt, um andere Rechner per Shell zu steuern oder umDateien zu übertragen (Secure Copy, SCP). Die Anwen-dungsmöglichkeiten sind vielfältig, zum Beispiel könnenauch MySQL-Verbindungen über SSH getunnelt werden,wenn der Datenbankserver nicht mit fremden Rechnern„reden“ darf.

Dateien per SCP zu übertragen hat den Vorteil, dass sie nichtunverschlüsselt übertagen werden und die Verbindungsomit nur schwer oder gar nicht abgehört werden kann. Dasist wichtig, weil zahlreiche Web-Applikationen wie Wikisoder Foren Datenbank-Zugangsinformationen im Klartextspeichern. Würden diese Daten unverschlüsselt übertragen,zum Beispiel um die Web-Applikation zu installieren, hättenAngreifer leichtes Spiel, den Server anzugreifen.

267

Den größten Vorteil kann SSH beim Absichern interaktiverShell-Sitzungen ausspielen. Web-Anwendungen lassensich leichter und schneller installieren – einige Grund-kenntnisse in der Bedienung von Unix-Shells vorausge-setzt.

Beispiel Web-Applikation-Installation: der geneigte Instal-lateur muss das gepackte Archiv der Web-Applikation nichterst auf seinen Rechner herunterladen, entpacken, konfi-gurieren und dann zig oder hunderte Dateien mühsam ein-zeln übertragen lassen. Stattdessen loggt er sich auf demWebserver per SSH ein (wenn ein solcher Zugang vorhan-den und konfiguriert ist), lädt sich das Archiv direkt vomAnbieter auf den Webserver, entpackt und konfiguriert esvor Ort. Wer regelmäßig Web-Anwendungen installiertoder selbst welche entwickelt, wird diese Vorgehensweisesehr schnell zu schätzen wissen.

Warum keine grafische Fernsteuerung?

Die Programme VNC und Microsofts Remote Desktopermöglichen die grafische Fernsteuerung entfernter Rech-ner. Wozu also Administration per Text-Shell? Unix- undLinux-Server haben anders als Unix- und Linux-Desktopskeine grafische Benutzeroberfläche, weil sie unnötig Res-sourcen belegt und extra gesichert werden muss. AusKosten- und Sicherheitsgründen ist daher ein grafischerBetriebssystem-Aufsatz in der Regel nicht verfügbar.

SSH-Verbindung von Windows zu Linux

SSH gibt es mittlerweile natürlich auch für Windows-Syste-me. Die Programme WinSCP für die sichere Dateiübertra-gung und PuTTY als SSH-Client für die interaktive Fern-steuerung per Shell sind beliebt. Ein SSH-Benutzerkontoauf einem Unix- oder Linux-Server sollte natürlich vorhan-den sein.

268

1. Die einfache Art unter Windows

Laden Sie sich WinSCP und PuTTY herunter und installie-ren Sie beide Programme.

Rufen Sie PuTTY auf und geben Sie bei „Host Name (or IPaddress)“ den Namen des Benutzerkontos und die Adressedes Host-Servers in dieser Form an: [email protected] Sie auf „Open“. Sie werden dann im PuTTY-Einga-befenster aufgefordert, das Passwort Ihres SSH-Kontosanzugeben. Schließen Sie die Eingabe mit Return ab. Siesollten nun auf dem Server angemeldet sein. Die Shell ist einmächtiges Werkzeug – im konstruktiven wie im destruktivenSinn. Wenn Sie keine Shell-Kenntnisse haben, sollten Sie dieSitzung zunächst mit „exit“ und „Return“ beenden.

Anmelden mit WinSCP ist ebenso einfach. Starten Sie Win-SCP und geben Sie im Anmeldefenster bei „Rechnername“die Host-Adresse des Servers, sowie ini den dafür vorge-sehenen Feldern Benutzername und Kennwort ein. KlickenSie auf „Anmelden“. Danach sollte dann die Dateiliste ausdem Heimatverzeichnis des SSH-Benutzerkontos erschei-nen. Schließen Sie WinSCP, um die Sitzung zu beenden.

269

Für manche archaisch, für andere die effizienteste Artder Computerbedienung

Das alles funktioniert gut und ist komfortabel genug, wennSie nicht mehrere Server per SSH administrieren wol-len.Wenn Sie mehrere Sitzungen am Tag aufbauen odermehrere Server administrieren wollen, kann das Zugangs-daten-Jonglieren bald mühselig werden. Auch dafür gibt eseine Lösung. Neben der Passworteingabe gibt es noch eineandere Möglichkeit, sich bei einem SSH-Server anzumel-den. Beim Public-Key-Verfahren lässt der Admin einSchlüsselpaar erzeugen, das aus einem geheimen undeinem öffentlichen Teil besteht. Der öffentliche Schlüsselwird auf allen Rechnern hinterlegt, auf die sich der Adminkomfortabel anmelden möchte.

2. Die komfortablere Art unter Windows

Starten Sie über das Menü „Start/Programme/WinSCP3/Schlüssel Werkzeuge“ das Programm PuTTYgen und klickenSie auf „Generate“. Bewegen Sie Maus solange, bis der Bal-

270

Anmelden mit WinSCP

ken einmal komplett ist. Computer können nur Pseudo-Zufallszahlen erzeugen. Die unvorhersehbaren Mausbewe-gungen helfen dem Rechner, bessere Zufallsdaten zu produ-zieren. Sobald das Programm die Schlüssel erzeugt hat,geben Sie bei „Passphrase“ ein ausreichend sicheres Pas-swort ein und bestätigen Sie es. Mit diesem Passwort wirdder private Schlüssel vor Missbrauch geschützt. Kopieren Sieden Inhalt des Felds „Public key for pasting...“ in einen Text-Editor wie Notepad und speichern Sie die Datei als „authori-zed_keys.txt“. Speichern Sie danach mit „Save public key“und „Save private key“ beide Schlüssel.

271

Schlüsselerzeugung mit PuTTYgen

Starten Sie zunächst WinSCP und melden Sie sich wiegewohnt auf dem Server an. Das Heimatverzeichnis desBenutzerkontos erscheint. In der Standardeinstellung zeigtWinSCP auch Dateien und Verzeichnisse an, die mit einemvorangestellten Punkt eigentlich versteckt sind. Wenn Siekein Verzeichnis namens „.ssh“ entdecken, legen Sie es mitder Taste „F7“ an. Wechseln Sie in dieses Verzeichnis injedem Fall. Wenn Sie keine Datei namens „authorized_keys“sehen, kopieren Sie die Datei „authorized_keys.txt“ vonIhrem Rechner auf den Server und ändern Sie dort denNamen der Datei in „authorized_keys“ (ohne „.txt“). Fallsdort bereits eine solche Datei existiert, benutzen Sie einenText-Editor und hängen den Inhalt von „authorized_keys.txt“der vorhandenen Datei „authorized_keys“ einfach unten an.Beenden Sie das Programm.

Starten Sie im Menü „Start/Programme/WinSCP3/Schlüs-sel Werkzeuge“ den Schlüssel-Agenten Pageant. ImSystem-Tray erscheint dessen Symbol. Klicken Sie mit derrechten Maustaste auf das Symbol und wählen Sie „Addkey“, um dem Agenten Ihren neu erzeugten Schlüssel zuübergeben. Geben Sie das Schlüssel-Kennwort ein. DerSchlüssel ist nun aktiv und kann für WinSCP- und PuTTY-Sitzungen verwendet werden – es muss bis zum nächstenNeustart des Agenten kein Benutzer-Kennwort und auchkein Schlüssel-Kennwort eingegeben werden.

In WinSCP müssen Sie fortan für einen vorbereiteten Rech-ner nur noch die Host-Adresse und den Benutzernamenangeben – fürs Anmelden ist der Agent zuständig. In PuTTYgeben Sie als Hostadresse wieder „benutzername@host“ an– das genügt.

Shell-Grundkenntnisse

Der Name „Shell“ macht es deutlich: die Shell umgibt denschützenswerten (Betriebssytem-) Kern. Sie ist eine alterna-

272

tive Art der Interaktion mit einem Betriebsystem. Diese Artmuss man nicht lieben – es gibt allerdings viele erfahreneNutzer, die diese Art der Bedienung grafischen Oberflächenvorziehen oder zumindest gerne nutzen. Die Vorteile einerShell bleiben Einsteigern am Anfang meist verborgen.Grundkenntnisse in der Bedienung der am weitesten ver-breiteten Shell „Bash“ bietet das Projekt SelfLinux.

Und was ist mit Unix/Linux?

Unix-Nutzer starten einfach ein Terminal-Programm und kön-nen sich mit „ssh benutzername@host“ auf anderen Rech-nern einloggen. Der SSH-Client ist normalerweise auf jedemUnix/Linux-Rechner installiert. Anmelden über das Public-Key-Verfahren ist noch einfacher als unter Windows, weil dieNutzer sich beim obligatorischen Betriebssystem-Login mitdem mit dem SSH-Passwort anmelden können. Der SSH-Schlüssel-Agent kann also völlig transparent genutzt werden.

Wie das geht, wird in zwei Artikeln des Autors auf derLinux-Website Pro-Linux beschrieben: Elegante SSH-Aut-hentifizierung über PAM und Elegante SSH-Authentifizie-rung Reloaded (rs)

Optimierte Teamarbeit mit Groupware

Der Austausch von Dateien und der Zugriff auf eine Vielzahlvon Informationen gehören zum Standard der internenKommunikation innerhalb von Unternehmen. Vor Ort hatman dank einer Groupware wie MS Exchange kaum Proble-me. Anders sieht das bei Außendienst- oder freien Mitarbei-tern aus, die ebenso auf die Projektdaten zugreifen möchten.

273

Bei einer so genannten Groupware existieren verschie-dene Ansätze, die es zu unterscheiden gilt. Denn schondie Bezeichnung gilt für verschiedene Lösungen. Erstmalist die Groupware eine Software für die kollektiveZusammenarbeit über den Computer. Dazu könnte manauch schon den Mail-Client, Wikis oder den Instant-Mes-senger zählen. In Unternehmen sind das hauptsächlichProgramme wie MS Exchange, Novell Groupwise oderIBM Workplace, die für die interne Kommunikation mitTerminabgleich und Datenaustausch sorgen. Die vor-handene Software könnte man nun für den Zugriff vonAußen erweitern, was sich aber für zeitlich begrenzteProjekte oder kleinere Unternehmen nicht lohnen wird.Doch auch hier findet man kostenlose bis günstige Ange-bote.

Open-Xchange

Der unter der General Public License stehende Groupwa-re-Server Open-Xchange von Netline ist ein Kommunika-tionsprofi, der mit seiner Kalender-Funktion, der E-Mail-und Kontakte-Verwaltung, ToDo-Listen sowie einer Doku-menten-Speicherung überzeugt. Alle Daten werden zen-tral in Echtzeit erfasst. Einzig ein Support und die Option,PlugIns von Drittanbietern einzubinden, fehlen. Das bie-tet nur die kommerzielle Version der Software, doch dieWebsite bietet neben der Dokumentation auch ein Wiki,was zumindest den fehlenden Support verschmerzbarmacht.

Open-Xchange läuft unter Suse Linux, Red Flag, Red Hatund Debian. Bedienen lässt sie sich aber auch über Win-dows oder Mac OS, denn dazu reicht der Browser aus.WebDAV, also das „Web-based Distributed Authoring“,wird genauso unterstützt, wie der Austausch mit vorhan-dener CRM- und Projekt-Management-Software.

274

Opengroupware

Die kostenlose Groupware-Lösung „OGo“ (Opengroupwa-re) kann für Suse oder Fedora als vorkompiliertes Paketheruntergeladen werden. Ein Gruppenkalendar, Kontakte,das E-Mail- und Dokumenten-Managment sowie einResourcenplaner gehören zum Lieferumfang. Auch dieDaten eines Palm-Handhelds lassen sich mit Hilfe einesspeziellen Moduls mit der globalen Unternehmensdaten-bank synchronisieren. Ein Support existiert hier nur inForm einer Mailingliste. Dafür bietet die Website eine aus-führliche Dokumentation an. Testen kann man „OGo“ auchmit der bootfähigen CD-ROM des Entwicklerteams, mit derdas Programm direkt gestartet wird, selbst auf dem Win-dows-Rechner. Denn ein komplettes Linux-System, einekonfigurierte OGo-Installation, ein Cyru-Server und einWeb-Interface zur Administration des Servers stehen aufeiner CDROM zum sofortigen Einsatz bereit.

275

Der Open-Xchange im Einsatz

PHProjekt

Sehr beliebt ist auch die Open-Source Groupware PHProjekt,nicht zuletzt auch deshalb, da hier viel Wert auf Barrierefrei-heit gelegt wird. Die aktuelle Version 5.0 bietet ein Interface-Design, das den Empfehlungen des Behindertengleichstel-lungsgesetzes entspricht. Zu den Komponenten gehören einGruppenkalender mit Ressourcenbuchung, die Arbeitszeit-erfassung mit Projektzuweisung und -Auswertung, ein Pro-jektmanagement, ein Mailclient, eine Dokumentenablage,ein Trouble Ticket System, ein Notizblock, Kontakt-Manager,Forum, Chat, ToDo-Listen und ein Umfragesystem.

Zahlreiche Add-ons können das Programm je nach Bedarferweitern. So gibt es ein PlugIn für das Budget-Manag-ment, ein FAQ-Modul, ein Projekt-Wiki, einen Webpublis-her und ein SMS-Reminder. Dazu noch verschiedene Skins,um die Oberfläche an den eigenen Geschmack anzupassen.Ein Forum sowie eine FAQ beantworten Fragen zum Pro-jekt. Testen kann man diese Groupware, in dem man sichin die Online-Demo mit deutsch/deutsch einloggt.

276

Die Schaltzentrale des „OGo“

Teamspace

Wer sich die Installation solcher Systeme sparen möchte,kann sie auch mieten. Mit Teamspace bekommt man einenKalender, Adressenverwaltung, ein Aufgaben- und Projektm-anagment, Dokumentenablage, SMS-, Chat-, Pinnwand- undForen-Kommunikation sowie einer Zeiterfassung fertig konfi-guriert online präsentiert. Nach der Anmeldung als Admini-strator werden die Benutzer in der Mitgliederverwaltung fest-gelegt, die daraufhin per E-Mail eingeladen werden, undschon kann die Zusammenarbeit beginnen. Mehr als eineSpielerei könnte das Ideen-Modul sein, wo Mitarbeiter ihreEinfälle zum Projekt aufschreiben, die anderen Ideen gegenü-ber gestellt, dann kombiniert werden können. Ein Team aus10 Mitarbeitern und 50 MB Speicherplatz kostet 35,00 Europro Monat. Kommen 10 Mitarbeiter oder 50 MB dazu, kostetdas 10,00 Euro mehr. Die Kündigungsfrist beträgt 30 Tage.

277

Dank vieler Add-ons schnell erweitert: PHProjekt

WebOffice

Zu den Features des WebOffice von WebEx gehört ebenfallsein Kalender, hier mit Mailerinnerung, Foren, ein internesNachrichtensystem, Kontakteverwaltung, ein Dokumenten-,Aufgaben- und Datenbank-Manager sowie ein Modul zurSpesenabrechnung. Das Groupware-Portal kann sehr leichtan die Corporate Identity des Unternehmens angepasst wer-den. Nicht nur das Farbschemata, Logo, Texte und Bilder las-sen sich verändern, sondern auch häufiger genutzte Funk-tionen an den Anfang der Website verschieben.

Über ein Zugriffssystem werden die Rechte bestimmt. Sokann auch ein Extranet für Kunden eingerichtet werden.Auch hier werden die Team-Mitglieder nach der Festlegungper E-Mail eingeladen. Das WebOffice kann 30 Tage getestetwerden. Danach kostet das Starter-Paket für 3 Mitarbeiter

278

Teamspace

und 100 MB Speicherplatz 30,00 Euro pro Monat. EineArbeitsgruppe mit 75 Team-Mitglieder und 750 MB kostet499,00 Euro pro Monat, 500 Mitglieder und 10 GB 1999,00Euro. Der WebEx-Service kann jederzeit gekündigt werden.

ThemeWare

Adarvos ThemeWare ist eine Mischung aus Software undeinem Groupware-Dienstleister. Die Software wird auf demRechner installiert, aber für Online-Kollaborationen der Ser-ver von Adarvo genutzt. Und genau darin liegt ein kleinerNachteil, da neben der Installation und Konfiguration auchnoch auf dem Server ein „Ordner“ angelegt werden muss,den man mit eingeschränkten Rechten belegen sollte, umunerwünschte Einblicke zu vermeiden. Team-Mitgliederwerden über „Extras -> Jemanden einladen“ informiert.Ihnen steht ein Dokumenten-, Projekt- und Knowledge-Management zur Verfügung, dazu ein E-Mail-, Adressen-und Termine-Verwalter sowie individuelle Linklisten.

279

WebOffice Website

Die Verbindung vom Desktop zum Server funktioniert tadel-los. So kann eine Datei per Rechtsklick auf den Adarvo-Ser-ver hochgeladen werden. Die Software ist kostenlos undkann auch offline genutzt werden. Sobald der Adarvo-Ser-ver ins Spiel kommt, zahlt man. Für 30 Nutzer und 200 MBSpeicherplatz wären das 150,00 Euro pro Monat. Mehr Nut-zer und Speicher kosten entsprechend mehr. Die Online-Funktionen können ohne Verpflichtung einen Monat langkostenlos getestet werden.

Ist das Projekt zeitlich begrenzt, lohnt sich die Miete beimGroupware-Dienstleister, da ohne Zeitverlust und großenInvestitionen sofort losgelegt werden kann. Bei Außen-dienst- und freien Mitarbeitern sind die Open-Source-Lösungen die bessere Wahl. (dm)

Kollektives Arbeiten mit PHProjekt

Die Open-Source Alternative zu Sharepoint heißt PHPro-jekt. Ein Paket, das sämtliche Werkzeuge mitbringt, die einfunktionales Teamwork erst ermöglichen. Es kann gemein-sam geplant, untereinander getauscht und dezentral gear-beitet werden.

Mit PHProjekt erhält man eine modular aufgebaute underweiterbare Groupware, die einen Terminkalender, einZeiterfassungssystem, einen Projekt- und Kontaktmanager,ein Ticketsystem, ein Mailmodul und ToDo-Listen sowieeinen Chat, ein Forum und eine Volltextsuche mitbringt.Mit den 36 Sprachdateien, der möglichen SSL-Verschlüs-selung und den unterstützten Datenbanksystemen wie

280

MySQL, Oracle oder MSSQL bleiben keine Wünsche offen.Wenn doch, dann lassen sich weitere Funktionen mit Hilfevon PlugIns rasch dazuschalten. Wer nicht nur nehmen,sondern selbst kreieren möchte, der kann die offene APIzum Einfügen eigener Module nutzen und auch dasErscheinungsbild an die Corporate-Identity des Unterneh-mens anpassen.

Glanzlichter bietet der Terminkalender mit Gegenüberstel-lung der Pläne verschiedener Anwender, Buchung vonRessourcen, und Zeiterfassung mit Darstellung inklusiveProjektzuweisung. Dazu kommen noch ein Projektmanagermit Baumstruktur und Kostenauswertung, Kontaktma-nager, Ticketsystem und Wissensdatenbank, Dateimanagermit Zugriffsregelung und Sortierfunktionen, Mailmodul mitFax- und SMS-Support. Von der Ressourcenübersicht, demReminder und der Bookmarkfunktion ganz zu schweigen.Genug Gründe also, die für PHProjekt sprechen, doch gibtes Voraussetzungen, die es zu überprüfen gilt.

281

Vor der Installation wird getestet

Vor der Installation

Da PHProjekt nur PHP und eine Datenbank voraussetzt – allewichtigen sind abdeckt – sollte es bei der Installation kaumProbleme geben. Wer sicher gehen möchte, macht einenUmgebungstest und startet das Skript „env_test.php“, dasim PHProjekt-Paket enthalten ist. Dazu kopiert man die Dateiauf den Server und startet das Skript im Browser. EinigeTests werden auf Knopfdruck gestartet und das Ergebnisverkündet, ob eine Installation möglich ist.

Die Installation

Nach dem Download entpackt man die Datei in den neuenOrdner „phpprojekt“, der komplett per FTP auf den Serverübertragen wird. Der Ordner bekommt die uneinge-schränkten Rechte zum Schreiben, Lesen und Ausführen(chmod 777). Dann wird über den Browser die Datei„setup.php“ des PHProjekt-Verzeichnisses aufgerufen.

Als erstes wird „First Time Installation“ und die Spracheausgewählt, um im nächsten Schritt alle Informationen zurDatenbank anzugeben. Das PHProjekt-Setup bietet beierfolgreichem Kontakt zur Datenbank nun die Auswahl derModule an. Diese werden entweder mit einer 1 ausgewähltund somit installiert oder mit 0 ausgeschlossen.

In der folgenden Abfrage kann bereits das Design ange-passt werden. All das lässt sich aber auch später in allerRuhe über diverse „Skins“ regeln. Immer sollte an dieserStelle aber das Administrator-Passwort, der Link zur Fir-men-Website und zum Firmen-Logo gesetzt werden. Gibtes kein Firmenlogo, bleibt dieses Feld leer. Im Anschlusswird man über die hoffentlich erfolgreiche Installationinformiert. Gestartet wird die Applikation über die Datei„index.php“ im Ordner „phprojekt“. Zuvor sollten aber dieRechte so geändert werden, dass die Verzeichnisse „uplo-ad“ und „attach“ Schreibrechte besitzen.

282

Gruppen und Benutzer

Nachdem man sich als „root“ angemeldet hat, könnenGruppen und für diese User angelegt werden. Dazu klicktman im Menü auf „Admin“ und legt vorerst nur die einzel-nen Gruppen, also die Team-Namen, fest. Wer in das Teamgehört, wird als „User“ angelegt und mit entsprechendenRechten ausgestattet. Bei großen Gruppen mit gleichenRechten kann man eine so genannte „Rolle“ definieren, dieauf Abruf bereit steht und das Festlegen von Usern verein-facht.

PHProjekt unterscheidet in drei Benutzertypen: Der „Nor-male Benutzer“ hat Zugriff auf alle Module, kann aber nichtwie der „Benutzer mit Chef-Rechten“ Termine in alle Kalen-der eintragen, neue Projekte anlegen, Anfragen aufbestimmte User weiterleiten und gebuchte Ressourcen ein-sehen. Er behält die Oberhand über die Projekte. Nur derAdministrator hat alle Rechte und Zugriff auf das Admin-Modul sowie das Setup.

283

Weitere Gruppen lassen sich schnell anlegen

PHProjekt erweitern

Zahlreiche Add-ons stehen für das PHProjekt zum Downlo-ad bereit. Mit dem PHProjekt Backup Addon können dieDaten der MySQL-Datenbank leicht gesichert werden.Natürlich gehört auch ein Werkzeug dazu, das die Datenwieder zurückkopiert, falls mal etwas verloren gegangenist. Mit dem CMS-Modul können die User auch noch Arti-kel verfassen, wobei eine Kommentar- und Bewertungs-funktion für mehr Qualität sorgt. Zusammen mit den Kol-legen schreiben kann man auch über das Wiki-Modul. Fürdie Budget-Berechnung gibt es gleich drei Module, wobeiPHProjekt Budget auch ein deutsches Sprachmodul mit-bringt. Der Shop, das FAQ-Modul und der SMS Remindersind ebenso empfehlenswert.

284

Neue Bezüge

Nicht ganz so wichtig, aber durchaus gängig ist die Anpas-sung des Layouts an die Corporate-Identity des Unterneh-mens. Wer es sich einfach machen will, der kann einen derfertigen Skins benutzen, die auf der PHProjekt-Website zurVerfügung stehen. Die Dateien werden einfach entpacktund in den Ordner „Layout“ auf den Server kopiert. Unterdem Menüpunkt „Einstellungen“ findet man jetzt weitereSkins, die neben dem Standard eingesetzt werden können.Wem die fertigen Skins nicht gefallen, der kann über dieSetup-Routine die Option „Configure Actual Version“anklicken, um dann die Farben abzuändern und ein Fir-menlogo einzusetzen.

Die Features sprechen für sich: PHProjekt ist eine lei-stungsstarke Groupware, die leicht zu bedienen und erwei-terbar ist. Als Open-Source eine veritable Alternative zumkommerziellen Produkt Sharepoint, um das es auf dennächsten Seiten geht. (dm)

Teamwork mit Microsofts SharePoint

Gemeinsam auf einem Server arbeiten? Kein Problem mitSharePoint. Gegenüber Erwerb und Konfiguration einessolches Servers gibt es das SharePoint-Hosting als günsti-ge Alternative mit weiteren Vorteilen.

Windows SharePoint Services ist eine Komponente vonWindows Server 2003. Die Anwendungen von MicrosoftOffice 2003 bieten eine Schnittstelle, welche die Zusam-menarbeit mit Windows SharePoint Services ermöglicht.

285

Über diese haben die Team-Mitglieder Zugriff auf Funktio-nen und Daten, die von Windows SharePoint Services be-reitgestellt werden.

Team-Arbeit

Eine Arbeitsgemeinschaft, die über das Internet bestmög-lich zusammenarbeiten soll, benötigt ein Hilfsmittel. Tech-nik, die eine gemeinsame Basis bietet. Das SharePoint-Hosting stellt diese jedem autorisierten Mitarbeiter derkünftigen „Team-Website“ zur Verfügung. Ein unterstüt-zendes Gerüst, das gleichzeitig Extranet, Intranet und Con-tent Management System ist und so eine zentrale Arbeit-sumgebung bildet.

Dabei ist es niemals leicht, Mitarbeiter, die in unterschied-lichen Städten sitzen, unter einen Hut zu bekommen. DieWindows-basierende Teamwork-Lösung „SharePoint“ bie-tet da die richtige Plattform, welche dank zentraler Verwal-tung aller Daten, Terminplanung und Versionskontrolle dasZusammenspiel stark vereinfacht. Man könnte es ein Team-orientiertes CMS nennen.

286

SharePoint-Angebot von 1&1

Der eigene SharePoint-Server aber kostet aufgrund dernötigen Infrastruktur samt Hard- und Software sowie derNetzwerktechnik viel Geld, dazu kommt die verzwickte Ein-richtung. Die großen Provider bieten mit ihren speziellenHosting-Angeboten die Lösung. Statt kaufen, mietensolange man es braucht. Das sind bewährte Systeme,deren Kosten überschaubar bleiben und zumeist nur einemonatliche Gebühr fordern. Der womöglich größere Auf-wand für weiteren Webspace und mehr Traffic ist in denPreislisten genannt. Das bringt eine simple Kalkulationund man kann sich statt auf das Technische auf die Arbeitkonzentrieren.

Zu Anfang wird bequem über den Browser gearbeitet undda als erstes die Grundkonfiguration vorgenommen. Dieseliegt bei der gemieteten Variante in der Festlegung einesneuen Passworts. Ebenfalls sollte die eventuell vorhande-ne Kostenkontrolle aktiviert werden. Für alle Mitarbeiterwesentlich: Im täglichen Gebrauch existiert später zwi-schen dem eigenen Rechner und dem gehosteten Sha-rePoint-Server keine große Differenz.

Kinderleichte Konfiguration

Der Administrator ist berechtigt, neue User mit eigenenZugangs-Accounts für die Team-Website einzurichten. Manlegt also fest, welche Mitarbeiter zum Team gehören, wiedie zugehörigen E-Mail-Adressen lauten und ähnliche Din-ge, bei denen zumeist Assistenten hilfreich zur Seite ste-hen. Eine erste, sehr rudimentäre Team-Website ist auchschon vorhanden. Wie von Content Management Syste-men gewohnt, kann diese auch ohne HTML-Kenntnisseverändert und erweitert werden. So genannte Module, wieetwa Bild- oder Dokumentenarchive, Foren oder Mail-Ein-heiten, werden schnell dazugeschaltet.

287

Wichtig ist, den Mitarbeitern mit dem ersten Start Ordnerzu präsentieren, die das gewohnte Arbeiten ermöglichen.Wenn diese wie die herkömmlichen Windows-Ordner wir-ken, ist man auf den besten Weg. Geeignete Bezeichnun-gen wie „Eigene Dateien - Mustermann“ oder „Arbeits-platz“ für allgemeine Dokumente könnten helfen. Dabeimuss primär die Zusammenarbeit des Teams gefördertwerden. Es bringt nichts, eine gemeinsame Umgebung zuentwickeln, in der jeder weiterhin auf seiner Insel und fürsich arbeitet. Auch an die logische Verteilung entsprechen-der Rechte sollte dabei gedacht werden. Ist der Mitarbeiterdann eingeloggt, kann er Dokumente und Bilder herunter-laden, bearbeiten und wieder zum Server senden.

Die User-Gruppen

SharePoint grenzt einzelne User-Gruppen ab: So gibt eseine Gruppe, die Informationen ausschließlich lesen darf,eine Gruppe, die am Austausch von Dokumenten teilneh-

288

Schlund+Partner mit eigener SharePoint-Lösung

men kann (also Dokumente freigeben oder verändern),eine Gruppe, der die Gestaltung des SharePoints gestattetist und zuletzt die Gruppe der Administratoren, die alleOptionen haben, inklusive jede Änderung auf der admini-strativen Website.

SharePoint-Client Office 2003

Das Standardtool für jegliche Kontakte ist der Browser, dochkomfortabler geht das mit einem spezialisierten Client-Pro-gramm. Weit verbreitet ist die Teamwork-Lösung von Micro-soft, denn Office 2003 bietet nicht nur Word und Excel, son-dern ist – wen wundert’s – die ideale lokale Arbeitsumgebungfür SharePoint. Ein Klick auf ein „geteiltes Dokument“ öffnetdirekt die dazugehörende Anwendung. Beim Speichern einersolchen Datei wird diese automatisch per HTTP auf den Sha-rePoint zurückkopiert. Der Unterschied zwischen Rechnerund Server ist beinahe nicht wahrnehmbar.

Die Integration ist allumfassend: Wenn etwa eine Kontakt-liste in SharePoint eingerichtet wird, dann findet man inOutlook 2003 selbsttätig einen Link zu diesen Daten. Mankann sich also an der Kontaktliste des SharePoint direkt inOutlook bedienen. Das Gleiche gilt für eine ganze Reiheanderer Dienste der SharePoint Services: So ist in der Auf-zählung der Ereignisse in SharePoint der Button „Link inOutlook“ zu sehen. Ein Klick genügt und man findet alleSharePoint-Ereignisse im Outlook-Kalender wieder.

Doch die Windows SharePoint-Lösung bietet noch mehr.So werden ToDo-Aufzählungen, Adressenverzeichnisse,Links und andere auflistbare Daten mit dem Listen-Modulermöglicht. Soll das Design für eine dieser Listen geändertwerden, wird das Template mit einem anderen ausge-tauscht, wobei eine Auswahl im Paket enthalten ist. Für dieanderen Erweiterungen, wie etwa das Forum- oder Umfra-ge-Modul, ist das natürlich genauso einfach umsetzbar.

289

Schnell zusammengeklickt

Mit wenigen Klicks lassen sich einzelne Werkzeuge in dieTeam-Website einflechten. Als Administrator geht mandazu in der Menüleiste auf den Punkt „Dokumente undListen“, klickt auf „Erstellen“ und wählt aus den angezeig-ten Modulen die aus, die für das Projekt benötigt werden.Nach Eingabe der verlangten Infos wie Titel und kurzerAnleitung für die Mitarbeiter ist alles installiert. Wer möch-te, kann weitere Parameter wie die Position auf der Seite,eine neue Datei mit jeder Änderung oder eine Dokumen-tenvorlage festlegen.

Neue Listen werden ebenso leicht erzeugt. Wieder klicktman auf „Dokumente und Listen“, dann auf „Erstellen“.Jetzt wählt man jedoch den gewünschten Listen-Typ undfüllt das Formular aus. Neue Funktionen sind also sehrleicht zu integrieren. Aber auch das Design kann unter„Websiteeinstellungen“ über „Design auf Website anwen-den“ flott angepasst werden. Man wählt einfach eines derTemplates aus. Wie von den CMS gewohnt, wird auch hierdas Design vom Content getrennt, sodass man ohneGefahr eines Datenverlustes herumspielen darf.

Über „Erstellen -> Webseiten -> Websites und Arbeitsbe-reiche“ wird bei Bedarf eine weitere Team-Website einge-richtet. Das wird erforderlich, wenn verschiedene Gruppenmit abweichenden Bedürfnissen auf einen SharePoint-Ser-ver zugreifen sollen. Jede Team-Website wird dann für sichmit den erforderlichen Modulen ausgestattet. Die Adresse,unter der die neue Team-Website erreichbar sein soll, wirdin das Formular mit den weiteren erwünschten Daten ein-gegeben.

Die Benutzer werden über „Websiteeinstellungen“ und daüber „Benutzer verwalten -> Benutzer hinzufügen -> Neu-en User anlegen“ eingerichtet. Wird im Anschluss an dieStandardabfragen zu Login-Name und Passwort die Check-

290

box „Mail schicken“ aktiviert, bekommt der neue Teilneh-mer gleich eine Info-Mail mit allen Zugangsdaten. AproposE-Mail: Jeder Mitarbeiter kann sich per Mail über Modifi-kationen eines Dokumentes in SharePoint informieren las-sen. Dazu muss SharePoint allerdings auf den SMTP-Ser-ver zugreifen können, über den daraufhin solche Mailsversendet werden.

Dieser Mitarbeiter wird über seinen Browser die Team-Website aufrufen, sich einloggen und sogleich loslegen.Zum Beispiel könnte er Dokumente in Word vom Sha-rePoint-Server über „Öffnen -> Datei“ direkt aufrufen,bearbeiten und wieder auf den Server abspeichern, ohneeinen großen Unterschied zur herkömmlichen Arbeit wahr-zunehmen.

Angebote für SharePoint-Server sind in Deutschlandzunehmend zu finden. Microsoft Office Professional Editi-on 2003 sollte immer im Paket enthalten sein. Elementarsind weiter genügend Speicherplatz (ab 1 GB), ausreichendTraffic (ab 25 GB), eine möglichst hohe Benutzerzahl (ab50), SSL-Verschlüsselung und die gängige Browser-basier-te Verwaltung und Konfiguration.

Schon für nur circa 20,00 Euro pro Monat kann der eigeneSharePoint-Server gemietet werden. Ein unschlagbarerPreis, wenn ansonsten die nötige Technik fehlt und eineAnschaffung nicht lohnt, da das Projekt etwa zeitlichbegrenzt ist. (dm)

291

XP unter Fremdeinfluss

Die Fernsteuerung eines PCs, auch am anderen Ende derWelt mit voller Kontrolle über Maus und Tastatur, ist dankschneller Verbindungen kaum ein Problem mehr. WindowsXP bietet alles, was man braucht.

Wenn es denn keine abgespeckte Home-Edition ist. Anson-sten ist der „Remote Desktop“ einer der besten Wege zumFernsteuern eines Computers. Aber auch die Home-Editionkann, etwa mit WinConnect, entsprechend erweitert wer-den. Welche Lösung man auch wählt, die Einsatzgebietesind vielfältig. Der Administrator kann Home-Office-Mitar-beiter anleiten, das Büro auf dem Heim-PC eingesehenoder die Rechner im Netzwerk bedient werden, ohne stän-dig von Stuhl zu Stuhl zu hüpfen.

Wer Hilfe annehmen möchte, muss Windows zuvor für alleRemote-Vorhaben freischalten. Über die Systemsteuerungwerden die Eigenschaften des Systems aufgerufen und inden Remote-Bereich gewechselt. Die Remoteunterstützungkann für einige Minuten, Stunden und bis zu 30 Tage zuge-lassen werden, was über „Erweitert“ festgelegt wird. DerButton „Remotebenutzer auswählen“ ist für den „Remote-desktop“ von Bedeutung und zeigt die Nutzer an, die eineVerbindung mit dem Computer herstellen dürfen. Auchneue Benutzer werden hier eingerichtet.

Gibt es die Erlaubnis, eine Remoteverbindung herzustellen,wird die XP-eigene Firewall automatisch umkonfiguriert.Ansonsten ist die Freigabe des Ports 3389 im Router aus-reichend. Ändert man den Port, so ist diese Änderung auchin der Firewall vorzunehmen. Wer auf Nummer Sichergehen möchte, sorgt mit VPN-Technik für Schutz gegen„Eindringlinge“. Ein kleiner Tipp: Bei den Benutzerkontenin der Systemsteuerung sollte die „Art der Benutzeranmel-

292

dung“ die „Schnelle Benutzerumschaltung“ sein. So wirdder Hilfesuchende gefragt, ob er die Kontrolle abgebenmöchte und fliegt nicht gleich raus, wenn der Helfende dieMacht übernimmt.

Es gibt bei XP zwei Arten der Fernsteuerung, die zuvorschon freigeschaltet wurden. Einmal die Remoteunterstüt-

293

Die Remoteunterstützung muss erst zugelassen werden

zung und der Remotedesktop. „Windows XP Home“-Nut-zer sind da etwas eingeschränkt und können ohne Zusatz-programme nur den Weg der Remoteunterstützung gehen.

Über „Start -> Hilfe und Support“ kann der Hilfesuchende„einen Bekannten auffordern, eine Verbindung mit demComputer herzustellen“. Genau so steht es auch im Menü,wonach aber noch einmal mit „Jemanden einladen, Ihnenzu helfen“ das Vorhaben bestätigt werden muss. Der Hilfe-ruf muss ankommen, weshalb in der folgenden Auswahlder Windows Messenger, Outlook Express oder „Einladungals Datei speichern“ genutzt wird. Eine Eingabemöglichkeitfür eine persönliche Nachricht, die Festlegung der Gültig-keitsdauer sowie die Festlegung eines Kennworts folgen.Letzteres sollte unbedingt bestimmt werden, um für einkleines Plus an Sicherheit zu sorgen. Dieses Kennwort dannaber bitte per Telefon oder verschlüsselter E-Mail mitteilen.Die versendeten Einladungen werden in einer Übersichtmit Verfallsdatum angezeigt. Tipp: Möchte man die Maus-bewegungen deutlicher sehen, sollte in der Systemsteue-rung bei den Zeigeroptionen die Mausspur aktiviert sein.

Die „andere Seite“ bekommt nun, etwa per eMail, eine Ein-ladung als Datei mit der Endung .MSRcIncident, die nacheinem Doppelklick zur Eingabe des Passworts auffordert.Der Hilfesuchende bekommt eine Nachricht, dass der Emp-fänger die Einladung angenommen hat und er bereit ist,eine Verbindung herzustellen. Noch einmal bekommt man

294

Die Einladungen können jederzeit gelöscht werden

die Möglichkeit sich zu entscheiden, ob dieser Persongestattet ist, den Bildschirm einzusehen. Dem stimmt manzu, womit Chatten, Dateien versenden oder auch eineSprachverbindung möglich werden. Der Helfende kannjetzt mit einem Klick auf „Steuerung übernehmen“ denComputer beherrschen, dem die andere Partei nur nochzustimmen muss.

Keine Angst, beide Seiten können die Verbindung jederzeittrennen. Sollte diese Verbindung einmal nicht klappen kannes daran liegen, das mit der Einladung die lokale IP statt der„Online-IP“ mitgesendet wurde. Dann bitte „Einladung alsDatei speichern“ nutzen und die IP von Hand abändern.Diese IP kann man aus dem Status des Routers ablesen,eines der zahlreichen Online-Tools ansurfen oder sichgleich bei DynDNS anmelden, einem kostenlosen Dienstfür die eigene feste IP-Adresse.

Der andere Weg führt über den Remotedesktop, der Nut-zern der Home-Variante leider verschlossen bleibt. Alleanderen wechseln zur schon bekannten Registerkarte„Remote“ und klicken auf „Remotebenutzer auswählen“.Dann auf „Hinzufügen“ und „Erweitert“. Ein Klick auf„Jetzt suchen“ listet die lokalen Benutzergruppen auf.Damit hat man die Berechtigten für den Remotedesktopfestgelegt, wenn die Auswahl mit „OK“ bestätigt wurde.

295

Erst mit „Steuerung übernehmen“ hat man die Kontrolle

Über „Programme -> Zubehör -> Kommunikation -> Remo-tedesktopverbindung“ kann eben diese aufgerufen undeingerichtet werden. Die Verbindung ist aber auch vonjedem anderen Windows-System wie 98 oder 2000 mög-lich. Dazu einfach die kostenlose Remote Desktop Connec-tion Software installieren.

Zuerst klickt man auf „Optionen“. Die Eingabemaske„Computer“ wartet auf den Rechnernamen oder die IP-Adresse. Auch der Benutzername und das Kennwort wer-den hier verzeichnet. Für den Zugriff auf den Terminalser-ver muss man mit den entsprechenden Login-Daten vorabals „berechtigt“ freigeschaltet sein. Das bedeutet, dass aufdem Zielsystem der gleiche User mit der Berechtigung zurRemoteverbindung vorhanden sein muss.

Die Registerkarten „Anzeige“ und „Erweitert“ bieten eini-ge Optionen, die Übertragung flüssiger zu gestalten. Dasmacht Sinn, denn allein die Bildschirmdaten einer 1024 x768-Auflösung bringen 750 MBit pro Sekunde auf die Waa-ge. Unnütze Effekte wie Hintergrundbild, Animationen oderDesigns sollten ausgeschaltet werden. Achtung: Für denZugriff auf den Remotedesktop muss für das genutzteBenutzerkonto ein Kennwort vergeben sein.

Steht die Verbindung, kann man sich ganz einfach alsBenutzer anmelden und Hilfe leisten. Noch flexibler istVNC, also Virtual Network Computing, womit eine Vielzahlan Betriebssystemen ferngesteuert werden kann. (dm)

296

XP unter Fremdeinfluss mit VNC

Virtual Network Computing, kurz VNC, ist die UniversalFernbedienung schlechthin. Egal ob Linux, Mac OS X oderWindows – der Rechner wird komfortabel aus der Fernegesteuert.

In der Urform von AT&T entwickelt, ist die Software mitt-lerweile ein OpenSource-Projekt mit zahlreichen Weiter-entwicklungen. Auf das Wesentliche reduziert, läuft VNCnicht nur unter Windows, sondern auch auf dem Mac,unter Linux, Unix und zahlreichen anderen, fast vergesse-nen Betriebssystemen. Ohne Mühe können so die unter-schiedlichsten Plattformen mit einem gemeinsamen Pro-gramm ferngesteuert werden.

RealVNC und das darauf basierende TightVNC sind ver-breitete Nachkömmlinge. Aber auch UltraVNC erfreut sichimmer größer werdender Beliebtheit und soll hier exem-plarisch vorgestellt werden. Die Programme sind zumGlück sehr ähnlich und oft auch untereinander kompatibel.Problematisch ist nur, dass kaum Rücksicht auf den Daten-schutz genommen wird. Eine VPN-Lösung bietet sich dem-nach an und beruhigt die Nerven.

UltraVNC

Der Ursprung VNC ist veraltet.RealVNC und TightVNC sind alsweiterentwickelte Versionen guteProgramme. Doch die aktuell wohlaktivste Weiterentwicklung undschnellste VNC-Lösung bietetUltraVNC. Bei der Installation soll-te unter „Server Configuration“VNC als „System Service“ aktiviertsein, womit der Rechner auch

297

RealVNC und TightVNCsind weitverbreiteteLösungen

ohne Benutzeranmeldung jederzeit über das Netz gesteu-ert werden kann. Bei der automatisch geöffneten Konfigu-ration des Servers ändert man unbedingt das Passwort ab.Für mehr Geschwindigkeit sollte hier auch die Option„Video Hook Driver“ aktiviert werden.

Verbindung testen

Den Verbindungsaufbau testet man als „Hilfeleistender“ mitdem Programm UltraVNC Viewer, das über „Start -> Pro-gramme -> UltraVNC -> Run Ultr@VNC Viewer“ geöffnetwird. Bei „VNC Server“ wird der Rechnername des im loka-len Netzwerk zu findenden Computers oder die IP des zusteuerenden Rechners eingetippt. Hinter der IP gehört derPort 5900, der beim Router freigeschaltet sein sollte (Bei-spiel: 85.145.231.238:5900). Mit „Connect“ wird die Verbin-

298

Einstellungen

dung hergestellt, wenn auch auf dem Zielrechner VNC instal-liert ist. Dann genügt die Eingabe des richtigen Kennwortsund der Bildschirm des anderen Computers erscheint.

Tipp: Für einen beschleunigten Bildaufbau sollte derVideotreiber von UltraVNC installiert werden. Dazu klicktman in der Systemsteuerung auf „Hardware“ (klassischeAnsicht), bestätigt den Anschluss der Hardware, sagt„Neue Hardware hinzufügen“, klickt „Hardware manuellaus einer Liste wählen und installieren“ an, um dann „AlleGeräte anzeigen“ und „Datenträger“ auszuwählen. Mit„Durchsuchen“ geben wir den Installationspfad zum Trei-ber an, um „vncdrv.inf“ anzugeben. Noch dreimal bestäti-gen und „Fertig stellen“ und der Treiber ist installiert.

299

Viewer

Hilfswerkzeuge en masse

Der Bildschirminhalt kann per Klick im Full-Screen- oder ska-liertem Modus, aber auch in einem eigenen Fenster präsen-tiert werden. Selbst die Toolbar wird dort angezeigt. Darübersieht man das simple Menü von UltraVNC. Der File-Transfermit eigenem Interface und ein einfach gestrickter Text-Chatgehören zu den wichtigsten Zusatz-Funktionen.

UltraVNC arbeitet gut mit anderen VNC-Lösungen zusam-men, kann durch PlugIns erweitert werden und selbstSTRG-ALT-ENTF wird an das Zielsystem übermittelt, wasnicht selbstverständlich ist. Die Geschwindigkeit bleibt aberder Hauptvorteil gegenüber anderen VNC-Lösungen. (dm)

Getunnelt und gesichert –

Mit VPN zur abgeschirmten Vernetzung

Zweigstellen, Außendienst- und Home-Office-Mitarbeitergehören zum modernen Arbeitsalltag. Da werden zwangs-läufig Daten über das Internet ausgetauscht. Ein VPN, dasVirtuelle Private Netzwerk, bietet die nötige Sicherheit.

Mit dem „Virtual Private Network“ ist zuerst einmal die Ver-bindung über das Internet über einen Tunnel, also ein Netz-werkprotokoll, das mit einem anderen Netzwerkprotokollübertragen wird, gemeint. Dazu kommt eine Authentifizie-rung der Nutzer, sowie die Verschlüsselung der Daten.Somit bietet sich VPN an für die „vertrauliche Vernetzung“.

Niederlassungen, Außendienst- und Telearbeiter haben soZugang zum Firmennetzwerk, ohne Offenlegung der „sen-siblen“ Daten des Unternehmens. Denn das Internet ist

300

ohne VPN ein unsicheres Pflaster. Zahlreiche Gauner lau-ern am Datenhighway, wo ohne Schutz die Firmendatenauf dem Silbertablett präsentiert werden.

VPN-Angebote en masse

Unter der Flagge VPN findet man zahlreiche Lösungen, dieper Software, Hardware oder auch mit Hilfe eines Dienst-leisters angeboten werden. Die Software-Lösung macht vorallem beim Einzelarbeitsplatz im Home-Office Sinn, waskostengünstig per DSL-Zugang auch ohne speziellen Rou-ter umsetzbar ist. Allerdings ist der Anwender gezwungen,die Nutzung einer VPN-Software zu erlernen oder derAdministrator darf vor Ort einrichten, was je nach Entfer-nung zum Firmensitz ein Problem darstellen kann.

Kleinen und mittelständischen Unternehmen, die Mitarbeiternvon außerhalb Zugang zum LAN geben müssen, sei eine spe-zialisierte VPN-Hardware ans Herz gelegt, wobei keine Soft-ware auf die Rechner im Netzwerk installiert werden muss.Sämtliche VPN-Einstellungen erfolgen auf dem Router. BeimKauf sollte auf die Zahl der VPN-Tunnel geachtet werden. AlsBeispiel sei hier das Lancom 1711 VPN genannt. Das Gerätbietet für 400,00 Euro ein kombiniertes DSL- und ISDN-Mo-dem mit einem 4-Port-Ethernet-Switch. Fünf VPN-Kanäle (op-tional 25), eine integrierte Firewall, Fernwartung, Backup- undFax-Funktionen sowie ein VPN-Hardware-Beschleuniger ma-chen das Gerät selbst für die Vernetzung von Filialen interes-sant.

Da die Verbindung zwischen den Niederlassungen stetig ge-nutzt wird und somit zuverlässig funktionieren muss, könnteauch ein VPN-Dienstleister in Frage kommen. Stellt man sichein großes Unternehmen mit seinen Nebenstellen und un-zähligen Außendienstmitarbeitern vor, muss man nicht langenach einem Grund für das Outsourcen suchen. Die Arbeitübernimmt ein Provider, der schlüsselfertige VPN-Pakete imAngebot hat.

301

Die Arbeitsweise

Um VPN zu verstehen und um zu wissen, was eine VPN-Software, der VPN-Dienstleister oder die VPN-Hardware lei-sten kann, bedarf es einer Portion Hintergrundwissen. EinVPN verbindet Netzwerk mit Netzwerk, Rechner mit Rech-ner oder auch Rechner mit Netzwerk über eine sichere Ver-bindung. Auf jeder Seite werden die Daten verschlüsseltverschickt und am Ziel entschlüsselt, so dass sie ohneGefahren durch das unsichere Internet transportiert wer-den können. Diesen Transport übernimmt eines der dreifolgenden Protokolle.

PPTP

PPTP teilt die Nutzer in den PPTP Access Concentrator (kurzPAC) und den PPTP Network Server (PNS) auf. Der Routerübernimmt hier die Rolle des PNS. Jeder Client wird also

302

Zahlreiche Internetseiten informieren

zum PAC. Über eine PPP-Verbindung wird der PNS ange-sprochen, die Authentifizierung erfolgt und der Client erhälteine Adresse aus dem lokalen Netzwerk. Leider bietet PPTPallein keine Verschlüsselung an. Das müssen andere Pro-tokolle übernehmen.

L2TP

Wie bei PPTP werden auch hier die Aufgaben verteilt. DerClient wird zum L2TP Access Concentrator (LAC), der Routerzum L2TP Network Server (LNS). Über eine PPP-Verbindungwird dem Anwender eine IP-Adresse aus dem LAN zugeteilt.Als Schutzmechanismus bietet L2TP ein Shared Secret an,das nur dem LAC und dem LNS bekannt ist. So wird eineVerschlüsselung der Kontrolldaten wie Usernamen möglich.Sicherer als PPTP, doch muss bei L2TP die Firewall so ein-gestellt werden, dass ausgehende L2TP-Pakete erkannt undjeder Absender-Port vermerkt werden. So wird das Blockender Pakete verhindert. Eine Konfiguration der Firewallkommt also hinzu. Wie beim PPTP müssen auch hier ande-re Protokolle für die Sicherheit der Daten sorgen.

IPSec

Mit IPSec bekommt man den Spezialisten für den Schutzder Daten. Anders als PPTP oder L2TP wurde dieses Proto-koll nicht für den Fernzugriff entwickelt, sondern es werdenzusätzliche Sicherheitsdienste für die Protokolle Ipv4 undIpv6 angeboten. Die klassischen Internet-Protokolle mitdem Plus an Sicherheit, sozusagen. Dieses „Plus“ ergibtsich aus dem kryptografischen Schutz, der Zugriffskontrol-le, der Datenintegrität und der Authentifizierung. Wobei dasIPSec auch noch sehr flexibel ist.

Wird eine verbesserte Verschlüsselung verfügbar, kann derAnwender diese gleich einsetzen. Für das „Tunneling“ istes ausreichend, wenn beide Firewalls eine Security Asso-

303

ciation haben, die verschiedenste Authentifizierungs- undVerschlüsselungsalgorithmen anbietet. Security Associati-ons sind Sicherheitsvereinbarungen, die zwei mittels IPS-ec vernetzte Rechner vor dem Senden von Daten unterein-ander austauschen. Für höchstmögliche Sicherheit nutztman also das IPSec.

Die Kostenfrage muss auch bei VPN gestellt werden.Während PPTP bereits Bestandteil jeder Windows-Versionist, muss ein IPSec-Client oft dazu gekauft werden. Wer beider Anschaffung von Routern auf eine VPN-Funktionalitätachtet, kann spätere Neuanschaffungen einsparen. Kosten-lose Software ist als erster Schritt im VPN-Bereich emp-fehlenswert. (dm)

VPN für alle mit OpenVPN

Wer eine verlässliche und anpassungsfähige VPN-Lösungauf Softwarebasis sucht, ist mit OpenVPN gut bedient. DasProgramm ist kostenlos und läuft auf einer Vielzahl vonBetriebssystemen.

Egal, ob Windows, Linux, Mac, Solaris, OpenBSD, Fre-eBSD oder NetBSD – es läuft. Auch das erklärt den gutenMarktanteil, der mit dem übersichtlichen Konzept und ei-ner einfachen Bedienung erreicht wurde. Unter Windowsmuss zur Installation nur die „self-install.exe“ Datei aus-geführt werden. Die findet man auf openvpn.net in der Ka-tegorie „Download“. Zu allen anderen Betriebssystemenfindet sich dort auch das passende .tar.gz-Archiv. Die Vor-aussetzung, um OpenVPN zum Laufen zu bringen, ist im-mer ein virtueller Netzwerkanschluss (also ein TUN oder

304

auch TAP Device). Der ist eigentlich Standard. Nur bei äl-teren LINUX-Kernels und bei MAC OSX muss möglicher-weise ein neuer Kernel oder Kernelpatch installiert wer-den. Für Windows wird der Treiber mit dem OpenVPN-Pa-ket geliefert.

Installation unter Windows

Exemplarisch soll hier die Installation unter Windows mitanschließendem Einsatz gezeigt werden. Geht man davonaus, dass zumeist Außendienst- und Home-Office-Mitar-beiter per Software mit dem Firmennetzwerk verbundenwerden, hat die Windows-Plattform wohl die größte Wahr-scheinlichkeit, auf diesen Rechnern installiert zu sein. UndWindows-Nutzer haben es leicht. Da wird die Installations-software nach dem Download mit allen Standardeinstel-lungen abgenickt und installiert. Dann Neustart und fertig.Wer sicher gehen möchte, dass er den Verbleib der Schlüs-sel nachvollziehen kann, dem sei geraten, OpenVPN ineinem verschlüsselten Verzeichnis, etwa per PGPDisk, zuinstallieren.

Zwei Computer, eine Leitung

Und diese Leitung soll sicher sein. Beide Rechner müssendazu den gleichen Schlüssel besitzen, um die Daten ver-und wieder entschlüsseln zu können. Dieser Schlüssel wirdauf einem der Rechner erzeugt und in das entsprechendeVerzeichnis auf dem anderen Computer kopiert. Da dieserSchlüssel den Zugang von jedem Rechner aus ermöglicht,kann jeder der ihn besitzt, auch auf das Netzwerk zugreifen.Eine sichere Übermittlung ist also zwingende Vorausset-zung. Unverschlüsselte eMails kommen nicht in Frage.Sicherer ist allemal, pro Monat einen neuen Schlüssel ein-zusetzen. Und dieser Schlüssel wird wie folgt erstellt: Überdas Startmenü klickt man auf „Start -> Programme ->OpenVPN -> Generate a static OpenVPN key“.

305

Mehr ist das nicht. Der gerade erstellte Schlüssel ist nununter C:\Programme\OpenVPN\config\key.txt zu finden.

Hallo, ist da jemand?

Um eine Verbindung aufzunehmen benötigt man eine Kon-figurationsdatei. Die erstellt man im Verzeichnis C:\Pro-gramme\OpenVPN\config als Textdatei mit dem Namenkonfig.ovpn. Hat jeder Rechner eine feste IP-Adresse, etwader eine Computer (München) 192.168.1.1, der andereComputer (Hamburg) 192.168.2.1, dann sieht die jeweiligeKonfigurationsdatei wie folgt aus:

Auf dem Computer in München

remote 192.168.2.1 („die statische IP-Adresse von Ham-burg“)dev tunifconfig 10.0.0.1 10.0.0.2 („die getunnelten IP-Adressen vonMünchen und Hamburg“)secret key.txtport 5000

306

Einfach: Schlüssel erstellen

Auf dem Computer in Hamburg

remote 192.168.1.1 („die statische IP-Adresse von München“)dev tunifconfig 10.0.0.2 10.0.0.1 („die getunnelten IP-Adressen vonHamburg und München“)secret key.txtport 5000

Bei einer dynamisch generierten IP-Adresse, etwa vomLaptop des Außendienstmitarbeiters, zum Computer (Mün-chen) mit der IP 192.168.1.1, fällt nur der Eintrag „remote“mit der dahinter stehenden IP bei der Konfigurationsdateiauf dem Rechner in München weg.

Mit OpenVPN in den Tunnel

Der Tunnel baut sich auf, wenn auf beiden Seiten OpenVPNmit der entsprechenden Konfigurationsdatei gestartet wird.Soll der eine Rechner generell ansprechbar sein, sollteOpenVPN mit der Konfigurationsdatei immer beim Startgeladen werden. Dazu einfach im Startmenü „Einstellungen-> Systemsteuerung -> Verwaltung -> Dienste“ anklicken,den Dienst OpenVPN auswählen und über die Eigenschaftendie Startoption von manuell auf automatisch abändern.

Auf dem anderen Rechner könnte der VPN-Tunnel auch „vonHand“ gestartet werden. Man geht in das Verzeichnis „Pro-gramme -> OpenVPN -> config“ und klickt die Dateikonfig.ovpn mit der rechten Maustaste an. Im sich öffnendenKontextmenü wählt man „start OpenVPN on this config file“aus. Es öffnet sich ein Fenster. Wurde alles richtig gemacht,steht in der untersten Zeile „Peer Connection initiated with...“.

Der Tunnel steht. Doch OpenVPN ermöglicht auch diesichere WLAN-Verbindung ins Internet, was für die Laptopsder Außendienstmitarbeiter wichtig ist. (dm)

307

OpenVPN und WLAN

Nicht nur Außendienstmitarbeiter sind oft und gern mitdem Laptop unterwegs. Eine Anbindung an den Fir-menserver über WLAN bietet sich an, wäre sie nur sicher.OpenVPN bietet eine Lösung.

Damit sich Computer finden und verbinden können, müs-sen sie die Route von einem zum anderen Rechner kennen.Das Routing ist ein Thema für sich und beinhaltet das Wis-sen um Dutzende Protokolle, IP-Klassen, Ports und Pakete.Ganz so weit wollen wir aber nicht gehen...

Das Wichtigste

Das TCP/IP-Netzwerkprokoll kennt fast jeder. Auf allen Rech-nern, auf denen es im Einsatz ist, gibt es auch eine Routing-Tabelle - „routing table“ genannt. Die entsprechenden Rou-ten von Computer zu Computer (die „Hostrouten“) oder inein anderes Netzwerk (die „Netzwerkrouten“) sind in dieserListe vermerkt. Jeder dieser Routen führt durch ein „Gate-way“, dass Tor zu allen anderen Computern. Ein besonderesGateway ist das „Standardgateway“ oder „Defaultgateway“.Es steht damit ein Tor zu allen Computern, die nicht genauklassifiziert sind, zur Verfügung. Ein Gateway muss sichimmer in dem Subnetz befinden oder die Route zum Gate-way muss schon bekannt sein. Auf einem Computer mit

Windows kann die Rou-tingtabelle mit demBefehl „route print“ inder Eingabeaufforde-rung aufgerufen wer-den.

308

Ausführen: route print

Die Route durch das Internet

Das Internet ist auf das Routing bezogen das Netzwerk allerComputer, auf IP bezogen die Route zu allen IP-Adressen.Soll also der Laptop sicher an das Internet angeschlossenwerden, etwa über ein WLAN, dann muss der Rechner ersteinmal Wissen, über welches Tor (Gateway) er Verbindungnach außerhalb bekommt. Wir möchten ja, dass er denWeg über das sichere Netzwerk nimmt, weshalb die Konfi-gurationsdatei von OpenVPN auf dem Laptop angepasstwerden muss. Ein Beispiel: Bei einer Verbindung vomNotebook zum Firmensitz in München (mit der IP192.168.1.1) sieht die Konfigurationsdatei „konfig.ovpn“wie folgt aus:

remote 192.168.1.1 („die statische IP-Adresse von Mün-chen“)dev tunifconfig 10.0.0.2 10.0.0.1 („die getunnelten IP-Adressenvom Laptop und München“)secret key.txtport 5000route-gateway 10.0.0.1 („Der Weg zum Standardgate-way“)route 0.0.0.0 0.0.0.0 („Die Route zu allen Computern imInternet“)

Umleitung

Zwei Standardgateways können Probleme verursachen. Daes sein kann, dass bereits so ein Defaultgateway auf demLaptop eingetragen ist, wird dieses ganz einfach mit einemkleinen Zusatz in der Konfigurationsdatei umgeleitet:

remote 192.168.1.1 („die statische IP-Adresse von Mün-chen“)dev tunifconfig 10.0.0.2 10.0.0.1 („die getunnelten IP-Adressen

309

vom Laptop und München“)secret key.txtport 5000route-gateway 10.0.0.1redirect-gateway („Die Umleitung des Standardgate-ways“)route 0.0.0.0 0.0.0.0

Eventuell ist es noch erforderlich, den entsprechend DNS-Server von Hand anzugeben, bevor die Verbindung stehtund durch das Internet gesurft werden kann. Dann aberendlich sicher! (dm)

Unterwegs ins Netz

Egal, ob im Urlaub, auf der Dienstreise oder Messe, denZugang zum Internet benötigt und findet man überall. Auchim Hotel, über Access Points oder das Handy. Wir machenSie mobil.

WLAN

Um WLAN von unterwegs zu nutzen, benötigt man einNotebook mit einer WLAN-Karte. Darüber wird dann derHotSpot gesucht. HotSpots, auch Access Points genannt,findet man in Business-Hotels, an vielen Flüghäfen undanderen exklusiven Orten. Auch Internetprovider stellenvermehrt HotSpots zur Verfügung. Ob am Ziel auch so einHotSpot zu finden ist, beantworten Internetprojekte wieHotspot-Locations, MobileAccess oder nodedb. Da derzeitrecht viele HotSpots dazu kommen, können diese Ver-zeichnisse nur schwer aktuell gehalten werden. Es lohntsich also, am Zielort nachzufragen.

310

WLAN ist günstiger als die Verbindung über das Handy. Sokostet ein Zugang über die HotSpot-Standorte von T-Com0,16 Euro die Minute. 1&1 bietet mit seinen DSL-Tarifen proMonat sogar 100 Freiminuten über HotSpots an. Jede wei-tere Minute kostet 9 Cent. Die Nachteile von WLAN, wiedas Abfangen der Daten oder die eingeschränkte Reich-weite, sind bekannt. Vertrauliche Informationen wie Finanz-daten sollten nicht übertragen werden. Übrigens haben dieDeutsche Bahn und T-Mobile eine Partnerschaft geschlos-sen, um die ICE-Zugflotte mit WLAN zu versorgen.

Im Internet-Cafe

Selbst ein Internet-Cafe am „Unawatuna Beach“ in Sri Lan-ka erscheint nicht unwahrscheinlich. Solche Surfplätze sindweit verbreitet. Gerade in Regionen mit schlechter Interne-tanbindung muss man nicht lange danach suchen. Sitztman endlich für seine gemietete Zeit vor dem Computer,steht ein fremdes, nicht näher definierbares System zurVerfügung. Der Browser lässt sich noch bestimmen, dochob alle Sicherheitslücken gestopft sind, kann nicht über-prüft werden. Wenn jetzt ein Keylogger im Hintergrundläuft, werden Passwörter abgefangen und gespeichert.Online-Banking, Ebay-Geschäfte und andere Dienste, dievertrauliche Daten abfragen, sind also risikoreich.

Selbst die Abfrage der Mails könnte für Überraschungensorgen. Ist zum Beispiel „Autovervollständigen“ im Inter-net Explorer aktiviert, können sich die nächsten Surfer indas Mailfach einloggen. Funktionen dieser Art lassen sichmeist weder aktivieren noch deaktivieren. Schon eher kön-nen temporäre Dateien gelöscht werden. Über „Extras ->Internetoptionen“ kann man beim Internet Explorer Coo-kies, Dateien und den Verlauf löschen. Beim Firefox ist dasim Datenschutz-Menü unter Einstellungen zu finden, wo dieChronik, gespeicherte Formulardaten und Passwörtersowie Cookies und Cache gelöscht werden. Eine Prozedur,

311

die bei fernen Fremdsprachen nicht ganz unkompliziertausfallen kann. Gegen die Abfrage von News- und Wetter-diensten spricht nichts, alles „Vertrauliche“ aber sollte imInternet-Cafe tabu sein. Bei der Suche könnte die Website„World of Internetcafes“ helfen. Eine Suchmaschine fürgeeignete Lokalitäten.

Über das Handy

In größeren Städten ist UMTS die modernste und Internet-tauglichste Lösung. Mit Geschwindigkeiten von bis zu 384kBit pro Sekunde steht die Hälfte der einfachen DSL-Band-breite zur Verfügung. Möchte man diese nutzen, sollte eineUMTS-Karte mit WLAN-Modul für das Notebook gekauftwerden. So surft man über GPRS, UMTS und WLAN mitnur einer Karte. Dieses GPRS ist schneller als das her-kömmliche GSM-Netz und wird von allen aktuellen Handysunterstützt. Mit seinen 54 kBit/s kein Vergleich zu UMTS.Hier muss allerdings keine Karte gekauft werden, sonderndas Handy dient als Modem für das Notebook.

Wer unterwegs lediglich seine Mails abrufen möchte, soll-te sich die neueste Handy-Generation mit Blackberryanschauen. Diese erlauben das Empfangen und Versendenvon Mails, bieten einen Browser und diverse andere Pro-gramme, wie Kalender oder ToDo-Listen. Pop3- und Imap-Accounts, sowie AOL, Outlook Web-Access und Lotus I-Notes werden schon unterstützt.

Mit etwa 5,– Euro pro Stunde ist UMTS die teuersteLösung. Wobei jeweils das Übertragungsvolumen eine Rol-le spielt und für weitere Kosten sorgt. GPRS kostet proMByte etwa einen Euro, was aber bei der Geschwindigkeit,die GPRS bietet, nicht zu allzu großen Kosten führen sollte.Für den Blackberry-Dienst wird eine monatliche Grundge-bühr von etwa 15,– Euro fällig mit einem Transfervolumenvon 5 MByte. Das reicht für einige Textmails aus.

312

Strom kommt aus der Steckdose

Dass diese Steckdosen nicht immer gleich aussehen undauch die Netzspannung von Land zu Land variert, wirdschnell vergessen. Vor der Reise sollte man sich also mitdem passenden Netzsteckeradapter ausrüsten. Doch nichtnur der Strom-, sondern auch der Internetanschluss sollteüberprüft werden. So ist es nicht selbstverständlich, dassein Hotel einen ISDN-Anschluss im Zimmer anbietet. Ana-loge Zugänge sind da verbreiteter. Ein Adapter für dieSteckverbindung zum Internet könnte notwendig sein. Eineautomatische Beantwortung von Mail-Anfragen bei Abwe-senheit sorgt für Klarheit beim Kunden. Erst recht wenn inder Mail Angaben zur Rückkehr gemacht werden. Wereinen Provider im Ausland finden möchte, befragt interna-tionale Provider-Verbände wie iPass oder GRIC.

Selbst im Flugzeug bekommt man Verbindung zum Inter-net. So bietet die Lufthansa etwa mit Flynet einen Breit-band-Zugang auf seinen Langflügen an. 30 Minuten kosten9,– Euro, sechs Stunden nur 29,– Euro. Das Internet kenntkeine Grenzen mehr. (dm)

E-Mails kostenlos verschlüsseln in

4 Schritten

E-Mails werden meistens komplett unverschlüsselt übertra-gen und nicht authentifiziert. Hat ein Angreifer Zugriff aufden Übertragungsweg, kann er ohne weitere Hürden dieNachrichten lesen. Weder Absender noch Empfänger derMail bemerken das. Spionage und Datenmanipulation ste-hen Tür und Tor offen. Gerade für Webworker mit hohem E-Mail-Aufkommen ist das ein ständiges Risiko. Eine Lösungist mit Hilfe von OpenPGP und Thunderbird möglich.

313

Auf die fehlende Sicherheit bei E-Mail angesprochen rea-gieren Laien oft mit „Ich habe nichts zu verbergen“ odergar völliger Gleichgültigkeit. Dabei hat ein Individuum nichtunbedingt Einfluss darauf, was in Zukunft gesellschaftlichakzeptiert ist. Auch weiß niemand – ein Angreifer ebenfallsnicht – welche Informationen des Opfers wichtig und inter-essant sein könnten.

E-Mail-Verschlüsselung und -Authentifizierung haben bisheute einen schweren Stand. Der Hauptgrund: die Bedro-hung ist für den Anwender diffus („Wer interessiert sichschon für meine Mails?“). Das Problem ist aber, dass Angrei-fer oft nicht wissen, ob es beim Opfer etwas zu holen gibt.Manche gehen „auf gut Glück“ vor. Drei weitere Gründe sindUnwissenheit, Gleichgültigkeit und Bequemlichkeit. Alle Hür-den können aber einfach überwunden werden. In diesemBeitrag geht es um die Bequemlichkeit, daher wird hier nichtdie sicherste Vorgehensweise vorgestellt. Stattdessen istbequeme Bedienung bei relativ hoher Sicherheit das Ziel.

In den letzten Jahren hat sich OpenPGP als Verschlüsse-lungssystem im Internet bewährt. Es ist nicht juristischanerkannt, aber es gilt als sicher und erfüllt seinen Zweck.An diese Stelle gehört eigentlich eine genauere Erklärung,wie das System funktioniert. Die Erfahrung zeigt jedoch,dass die Komplexität des Funktionsprinzips eher zu Ver-wirrung führt und abschreckt. Daher nur soviel: ein Schlüs-selpaar besteht aus einem geheimen und einem öffentli-chen Schlüssel. Den öffentlichen Schlüssel können Sieohne Bedenken anderen Personen geben, den geheimenSchlüssel dagegen in keinem Fall!

Schritt 1: Installieren

Besorgen Sie sich die aktuelle Version des Mail-ProgrammsThunderbird und installieren Sie es. Danach laden Sie dasOpenPGP-Verschlüsselungsprogramm GnuPG herunter und

314

installieren es mit Administratorrechten. EnigMail ist einefreie Thunderbird-Erweiterung und dient als Benutzerober-fläche für GnuPG. Starten Sie Thunderbird und richten Sieein Mailkonto ein. Wählen Sie danach den Menüpunkt„Extras/Erweiterungen“. Klicken Sie auf „Installieren“ undwählen Sie die herunter geladene EnigMail-Datei. NachdemSie auf „Jetzt installieren“ geklickt und Thunderbird neugestartet haben, besitzt Thunderbird den neuen Menüpunkt„OpenPGP“. Die Installation ist nun abgeschlossen.

Schritt 2: Schlüssel erzeugen

Starten Sie den OpenPGP-Assistenten über den Menüpunkt„OpenPGP/Schlüssel verwalten“. Beantworten Sie alle Fra-gen des Assistenten mit „Ja“ und geben Sie ein Kennwort(Passphrase genannt) für Ihr neues OpenPGP-Schlüssel-

315

Schlüsseldienst

paar ein. Nur mit diesem Kennwort ist es möglich, dengeheimen Schlüssel zu verwenden. Lassen Sie ein Wider-rufszertifikat erzeugen und speichern Sie es. Sie benötigenes vielleicht später, wenn Sie das Schlüsselpaar für ungül-tig erklären wollen.

Schritt 3: Hochladen

Beenden Sie den Assistenten. Die Schlüsselverwaltungerscheint. Öffnen Sie mit einem Rechtsklick auf Ihren eigenenSchlüssel dessen Kontext-Menü. Wählen „Auf Schlüssel-Ser-ver hochladen“, damit andere Personen Ihren öffentlichenSchlüssel bei Bedarf finden können. Für diesen Beitrag soll-ten Sie den voreingestellten Server „random.sks.keyserver.penguin.de“ verwenden. Beenden Sie den Dialog mit „OK“und schließen Sie die Schlüsselverwaltung.

Der letzte Schritt: Konfiguration

Gehen Sie über „OpenPGP/Einstellungen“ in den Konfigu-rationsdialog von OpenPGP. Geben Sie bei „Passphrasen-Einstellungen“ den Wert „9999“ (Minuten) an und bestäti-gen mit „OK“. So müssen Sie die Passphrase nur einmalpro Thunderbird-Sitzung eingeben – ein Tribut an dieBequemlichkeit des Menschen.

Thunderbird ist nun fertig eingerichtet. Schließen Sie alleKonfigurationsfenster. Nun müssen Sie das System nochtesten. Der Autor des Beitrags steht dafür kostenlos zur Ver-fügung. In der OpenPGP-Schlüsselverwaltung wählen Sie„Schlüssel-Server/Schlüssel suchen“ und lassen Sie auf„random.sks.keyserver.penguin.de“ nach „[email protected]“ suchen. Starten Sie Suche mit „OK“. AlsSuchergebnis sollte die Schlüssel-ID „5A579F67“ erschei-nen. Bestätigen Sie mit „OK“. Wählen Sie dann im Kontext-Menü dieses Schlüssels den Punkt „Vertrauenswürdigkeitfestlegen“ und wählen Sie „Ich vertraue ihm absolut“.

316

Senden Sie dann auf ganz gewöhnliche Weise eine E-Mailan „[email protected]“ – weitere Einstellungen sind nichtnotwendig. Sie erhalten eine verschlüsselte Antwort. (rs)

Gegen den Lauschangriff: E-Mail Verschlüs-

selung mit Ciphire

Die Verschlüsselung der E-Mail und die digitale Signaturwerden immer wichtiger. Ciphire übernimmt diese Aufga-be. Das System ist einfach zu bedienen und obendreinkostenlos. Das sollte uns einen Blick wert sein.

Sichere Kommunikation und einfache Bedienung kommenselten zusammen. Leiden doch die zwar anständigen Open-Source Verschlüsselungsprogramme wie PGP unter der fürden Unbedarften schwierigen Handhabung. Ciphire auto-matisiert die Mail-Verschlüsselung weitgehend und unter-stützt dabei alle gängigen Mail-Clients unter Windows, Linuxund Mac OS X. Für den Privatanwender ist das Programmschon erhältlich und bietet eine einfache Installation.

317

Der Weg der Mail über Ciphire

So geht`s

Man besucht die Firmen-Website und wählt die für dasgenutzte Betriebssystem richtige Version von Ciphire Mailaus. Als erstes fragt das Programm nach dem Starten derInstallation, ob eine neue Mail-Adresse geschützt oder obdie Daten einer bereits geschützten Adresse importiert wer-den sollen. Wir möchten eine neue E-Mail-Adresse sichernund geben im Anschluss deren Namen und eine Passphra-se ein, die den Account vor unliebsamen Mitlesern schützt.Daraufhin wird der Schlüssel generiert, was einige Minu-ten dauern kann. Die verwirrende Auswahl der Chiffrier-Algorithmen entfällt hier ganz.

Geprüfte Sicherheit

Der nächste Schritt ist denkbar einfach: Man öffnet seinMail-Programm. Eine E-Mail von Ciphire ist dort bereits zu

318

Der erste Schritt: Neue Adresse angeben

finden. Die genutzte Mail-Software wird automatischerkannt, Ciphire klinkt sich automatisch in den Mail-Clien-ten ein, wo die Software von nun an für den Anwenderunsichtbar im Hintergrund arbeitet. Zum Ende der Installa-tion können die Daten noch für andere Rechner mit glei-cher Mail-Adresse zugänglich gemacht werden. Zu diesemZweck wird das Zertifikat per Knopfdruck exportiert undverschlüsselt, um auf einen anderen Rechner in Ciphireimportiert zu werden. Nutzt man einen weiteren, nochungeschützten E-Mail-Account aus dem gleichen Mailpro-gramm, fragt Ciphire freundlicherweise, ob nicht auch die-se Adresse in Zukunft geschützt werden soll.

Und weiter?

Ciphire möchte den Empfänger über den Schutz informie-ren. So erhält die Betreffzeile mit [ciphired] einen unschö-nen Zusatz, der für alle sichtbar ist. Vom Client aus fängtCiphire die E-Mail ab und prüft online, ob der Empfängergleichfalls Ciphire-Nutzer ist. Trifft das zu, wird die Emailverschlüsselt, andernfalls nur signiert. Unterstützt wirdPOP3, SMTP und IMAP.

Wie PGP auch, nutzt Ciphire eine Verbindung aus öffentli-chen und privaten Schlüsseln. Doch anders als bei PGPsind hier die öffentlichen Schlüssel eben nicht öffentlich,sondern im „Ciphire Certificate Directory“ abgelegt. Dortschöpft das Programm den Schlüssel des Empfängers abund chiffriert damit die Nachricht. Erst dann wird sie an denSMTP-Server weitergeleitet. Zur Verschlüsselung mussalso die Technik von Ciphire in Betrieb sein, denn ohne denzentralen Certificate-Server funktioniert nichts. Unterstütztwerden gängige Verschlüsselungs-Algorithmen wie RSA,El Gamal und DSA-2k.

Ein weiterer Nachteil: Für die sichere Übertragung benötigtauch der Empfänger das Programm Ciphire und muss sei-

319

nen Private-Key in die Datenbank eingetragen haben. Lei-der ausschließlich Ciphire, denn andere Verschlüsselungs-programme, wie etwa PGP, werden ignoriert. Der langegenutzte PGP-Schlüssel wird also nicht übernommen. Dadie Software recht neu ist, hat sie eine geringe Verbreitung.

Doch die Bedienung im Alltag ist einfacher als bei ver-gleichbaren Programmen: Wenn der Empfänger einenCiphire-Schlüssel hat, wird mit dem Senden der Mail dieseautomatisch verschlüsselt. Schlüssellänge und Algorith-men muss der Anwender hier nicht extra einstellen. Andersals bei Lösungen wie PGP, bei denen die Verschlüsselungimmer getrennt vorgenommen werden muss, merkt derNutzer bei Ciphire nichts von dem Betrieb des Programms.Übrigens: Das „Ciphire Message Log“ protokolliert jedeAktion der Software.

Die Frage, ob die genutzten öffentlichen Schlüssel auchsicher auf dem Ciphire-Server liegen, bleibt unbeantwortet.Man muss dem Unternehmen schlicht vertrauen. (dm)

Gegen den Lauschangriff: Verschlüsselung

mit GnuPG

Ungeschützt, und so theoretisch für jedermann lesbar,schwirren unsere E-Mails täglich durchs Netz. Doch wasprivat ist, sollte privat bleiben – für das Geschäft gilt nichtsanders. Die elektronische Post kann gesichert werden – mitdem richtigen Tool.

Es ist nur ein einziges Werkzeug nötig, um E-Mails zu ver-schlüsseln. Weit verbreitet und wohl der bekannteste Ver-treter zur Verschlüsselung von E-Mails ist Pretty Good Pri-

320

vacy, PGP, welches nicht mehr weiter entwickelt wird.Unzählige Alternativen buhlen heute um die Gunst desAnwenders, die nicht nur auf dem neuesten Stand, sondernauch für den kommerziellen Einsatz freigegeben sind. Einedieser Alternativen ist die Open-Source-Software GNU Pri-vacy Guard oder kurz GnuPG.

So geht`s

Zunächst wird die aktuelle Version von GnuPT heruntergela-den, einem Installations-Programm mit GnuPG, WinPT,GPGRelay und einer deutschen Hilfe. GnuPG nutzt zweiSchlüssel. Einen öffentlichen Schlüssel zur Verschlüsselungund einen privaten Schlüssel zur Entschlüsselung. Für diesenSchlüssel benötigen wir einen eigenen neuen Ordner. DasProgramm wird ausgeführt, der Pfad zum „Schlüssel“-Ordnerangegeben und alle restlichen Dialoge bestätigt. Man findetauch ein auf GnuPT basierendes Setup, welches das aktuelleOutlook-Plugin Version enthält. Doch dazu später mehr.

Der erste Start der Software fordert zum Erstellen derSchlüssel auf. Ein einfaches Bestätigen von „Generate aGnuPG key pair“, die Eingabe des Namens und der E-Mail-Adresse, sowie die Eingabe eines „Mantras“ (ein einfacherSatz wie: „All you need is love“) genügen. Aus diesen Anga-ben entsteht das Schlüsselpaar. In der Taskleiste klickt mannun mit der rechten Maustaste auf das Icon „Windows Pri-vacy Tray“ und wählt die Schlüsselverwaltung aus. EinenEintrag aus der Liste klickt man an, um diesen über die rech-te Maustaste und „Send to Keyserver“ zu veröffentlichen.Hat die Übertragung geklappt, ist GnuPG einsatzbereit.

Thunderbird und GnuPG

Mit dem Add-On Enigmail bekommt man die grafischeBedienführung für GnuPG beim Thunderbird. Liegt dieDatei „Enigmail_tb_win32_0.91.0_de-DE.xpi“ auf der Fest-

321

platte, kann per „Extras -> Erweiterungen“ in ThunderbirdEnigmail eingerichtet werden. Dazu auf „Installieren“klicken, die Datei auswählen und „Jetzt installieren“. Beimnächsten Start findet man in der Menüleiste den neuen Ein-trag Enigmail. Man wählt da „Einstellungen“ an, um denPfad zur GnuPG-Anwendung anzugeben. Jetzt kann beijeder neuen Mail über OpenPGP die Nachricht verschlüs-selt und unterschrieben versendet werden.

Outlook und GnuPG

Um Outlook vorzubereiten, deaktiviert man unter „Extras -> Optionen... -> E-Mail-Format -> E-Mail mit MicrosoftWord bearbeiten“. Das Outlook-Plugin unterstützt Outlook2000, 2002 und 2003, nicht aber Outlook Express, da hierdie Einbindung von Plugins nicht möglich ist. (DownloadOutlook- Plugin Standalone und Signatur-Datei). Ist dasPlugin installiert, wird beim nächsten Öffnen von Outlook

322

Auch Thunderbird kann es verschlüsselt

ein neues Icon angezeigt. Man kann die Schlüsselverwal-tung sowohl über dieses Icon, als auch über das Menü„Extras“ öffnen.

Word und GnuPG

Mit dem GnuPG-Word-Plugin kann Word ab der Version 97die Verschlüsselungsfunktionen von GnuPG nutzen. DasPlugin setzt die Installation von GnuPT oder dem Outlook-Plugin voraus. Mit dem Plugin können Word-Dateien direktaus Word heraus mit GnuPG verschlüsselt werden. Weiterim umgekehrten Fall ein verschlüsseltes Dokument ent-schlüsselt, in Word geöffnet und die verschlüsselte Dateiauch gelöscht werden. Beim Verschlüsseln wird – sofernerwünscht – mit einen eigenen Schlüssel verschlüsselt. DasPlugin ist bedienerfreundlich und leicht zu konfigurieren.

Unbedingt sollten alle Schlüssel gesichert werden. Sind dieSchlüssel verschwunden, können sämtliche verschlüssel-ten E-Mails nicht mehr gelesen werden. (dm)

323

Die Autoren

Sven Lennartz

Gründer und Chefredakteur des Dr. Web Magazin. Autorund Herausgeber der Fachbücher „Coole Websites“, „Web-design Aktuell“ sowie von fünf Dr. Web-Büchern. Als Web-designer und Autor seit über acht Jahren für verschiedeneUnternehmen und Verlage tätig.

Dirk Metzmacher

Seit 1996 Freelancer im Bereich Multimedia. Webproduk-tionen, Werbegrafiken, Logo-Gestaltung und Schulungenbestimmen seinen Arbeitsalltag. Seit mehreren Jahren ister als freiberuflicher Photoshop-Trainer tätig (Klett-Verlag,RTL), produziert Schulungs-CDROMs (Photoshop-Tricks 1und 2, Photoshop CS Tutorials).

Frank Puscher

Autor der Fachbücher „Das Usability-Prinzip“, „Flash MX-Das Kochbuch“ und „Die Tricks der Internet Künstler“.Frank Puscher ist nicht nur ein angesehener Autor, der fürzahlreiche Fachzeitschriften tätig ist, er ist auch als Schu-lungsleiter und Berater erfolgreich. Website

Rene Schmidt

Hat als Web-Entwickler und Projektmanager bei Tiscali undNikotel gearbeitet. Studiert zurzeit Informatik und bietet alsFreiberufler Web-Dienstleistungen an, zum Besipiel Bera-tung, Programmierung, HTML-Integration und Aufbau vonkomplexen Websites.

324

Stichwortverzeichnis

3-Klick-Regel 76

80/20-Regel 76

Accessibility 69, 76

AdWords 192, 222

Akronym 71

Angebot 38

Animation 72, 102

Anzeigenblock 201

API 187, 221

Auftraggeber 13

Backup 244, 257

Barrierefrei 69

Benchmarking 77

BITV 69

Blinde 69

Brotkrümel 99

Brückenseiten 173, 181

CD-ROM 37, 255

Ciphire 317

Cloaking 170, 181, 219

CMS 239

325

Corporate Design 68

CPC 200

CSV 219

Datenbank 230

Datensicherung 244

Deep-Link 77

Dienstvertrag 35

DIV-Container 119, 147

Domains 84, 168, 171

eCPM 202

Einkommensteuer 45

Einzelkämpfer 12

Einzelunternehmer 46

Elster 49, 51

Evaluierung 77

Expertentest 78, 109

Eyetracking 78, 95

Farbenblind 70

Fehlersuche 126

Firefox 128

Flash 24

Float 121

Frames 72, 118

Frist 36

Formulare 90

326

GEMA 54

GnuPG 320

Google 187, 182, 200, 221, 253

GoogleBot 203

Google Analytics 192

Groupware 273

Hacker 238, 253

Heatmap 78

Heuristik 78, 111

Honeypot 249

Hotkey 79

Hotspot 79

HTTP 232

Hyperlinks 87, 98, 102. 112, 150, 176

IDE 135

Inkasso 40

Keywords 209

Keyword Densitiy 211

Keyword Spamming 170

Kompetenz 8

Körperschaftssteuer 50

Kostenvoranschlag 38

KSK 58

Künstlersozialabgabe 59

Kunden 10

327

Layout-Tabellen 71, 118

Linktext 174, 176

Linux 243, 251, 268, 297

Linux-Live-CD 229

Lohnsteuer 50, 51

Mahnung 42

Mahnverfahren 45

Marketingbegriffe 10

Mehrwertsteuer 47

Mesothelioma 210

Meta-Keywords 167

MSN Search SDK 188

Musik 56

MySQL 230, 257, 281

Navigation 97, 141, 153, 204

Netzwerk 13

Nielsen 96, 108

Paginierung 80

Partnerprogramm 168, 204

Passwort 238

Pfad 233

PHProjekt 276, 280

Ping 263

PopUp-Fenster 101

Port 237

328

Preis 14, 38

PuTTY 268

OpenPGP 313

Q-Bullets 152

Ranking 166, 169, 174

Referenzen 9

Repository 137

Rootserver 240, 257

Safe Mode 239

SCHUFA 60

Scheinlink 80

Scoring 61

Screenreader 74

Scriptkiddie 237

Seitenlänge 168

Seitentitel 166, 183

Selbstauskunft 62

Selbstdarstellung 11

Selbständigkeit 46

Server Side Includes 180

Servertest 228

SharePoint 285

Sitemap 80, 143

Skonto 41

329

Sonderwünsche 4

Spam 169, 237, 251

Splash-Page 80

Sprachausgabe 75

Sprechende URLs 168

SSH 267, 273

Startseite 8

Steuervorauszahlung 48

Stickiness 81

Stresstool 231

Styleguide 66

SVN 135

Team 13

Templates 17, 24

Testimonial 9

Textgröße 102

TortoiseSVN 133

Trail 81

Umsatzsteuer 46

Umsatzsteuerpflicht 47

Umsatzsteuer-Voranmeldung 48

UMTS 311

Urheberrechtsvertrag 37

Usability 73, 82, 104

User-Interface 81

User-Testing 81, 107, 109

330

VCS 132

VNC 258, 296, 297

VPN 292, 300, 304, 308

Warenkorb 94, 96, 100

Web-Service 191

Web-Standards 125, 126

Werkvertrag 36

WLAN 310

wwwroot 232

WYSIWYG 125

Zahlungsfrist 41

XML 189

Zeigarnik-Effekt 82

331

drweb-buch-5-teil-2

Documents

Transcript of drweb-buch-5-teil-2