Gehackt und zum Spamversand missbraucht …

Diens­tag, 8:15 Uhr:

Men­no, die Schul­home­page ist ja wie­der schne­cken­lahm. Joom­la ist doch ein­fach Mist. Jetzt aber los zur Bera­tung zwei­er Schu­len.

Diens­tag, 14:42 Uhr:

Boah ey, immer noch. Ich rufe da gleich mal im Rechen­zen­trum an. Das Ding ist zwar gespons­ort, aber so … Hm. Zur Sicher­heit guckst du dir wohl bes­ser noch­mal die Sache von der Kon­so­le aus an.

Diens­tag, 14:53 Uhr:

Über 50 akti­ve post­fix-Pro­zes­se, Load bei 22, vie­les boun­ce-Pro­zes­se – komisch, sind wir wie­der mal auf irgend­ei­ner Black­list gelan­det? Aber wir ver­schi­cken über die­sen Ser­ver doch gar kei­ne Mails.

Diens­tag, 15:01 Uhr:

Arrrgh. 46531 Mails in der Queue. Alle mit einer Domain, die gar nicht als akti­ve Mail­do­main genutzt wird. Und: Wir sind so ziem­lich auf allen Black­lists gelan­det. Bes­ser mal das Mail­sys­tem her­un­ter­fah­ren. Puh. Load nor­ma­li­siert sich.

Diens­tag, 15:13 Uhr:

Erst­mal ist Ruhe – zumin­dest geht nichts mehr raus, aber die Mail­queue füllt sich wie­der Stück für Stück mit ca. 3 Mails / Sekun­de und war­tet auf Aus­lie­fe­rung. Damit ist zumin­dest der Mail­ser­ver schon­mal sau­ber. Kommt der Kram über den Web­ser­ver rein? Ooops. Des­sen Log ist ja leer?

Diens­tag, 15:42 Uhr:

Joah. Der Mist kommt über Apa­che rein und irgend­ein Script setzt des­sen Log auf Null. Aber: Es gibt ja noch wei­te­re Logs an Orten, die der Wurm so nicht vor­her­se­hen konn­te. Aber wel­ches ist das Rich­ti­ge? Auf dem Ser­ver lie­gen unzäh­li­gen Home­pages von Schu­len und auch Test­in­stal­la­tio­nen.

Diens­tag, 16:25 Uhr:

Ein Log ist beson­ders groß. Dank tail mal die letz­ten 50 Zei­len aus­ge­ben. Tref­fer! Ein Word­Press­plugin, aktu­ells­te Ver­si­on, trotz­dem offen­bar ver­wund­bar. Vie­le net­te ver­schlüs­sel­te PHP-Scripts als Pay­load. Alles säu­ber­lich im Custom­log als Pfad­an­ga­be.

Diens­tag, 16:48 Uhr:

War­tungs­sei­te set­zen, Instal­la­ti­on hin­ter .htac­cess-Schutz ver­ste­cken, Mail­ser­ver anfah­ren, war­ten.

Diens­tag, 17:03 Uhr:

Mail­ser­ver bleibt unauf­fäl­lig. Ver­seuch­te Instal­la­ti­on rei­ni­gen und wie­der online stel­len. Da es ein Kalen­der­plugin war, gibt es lei­der eini­ges an Daten­ver­lust.

Diens­tag, 18:15 Uhr:

Seufz. Dann man die IP von dem Spam­lis­ten delis­ten (las­sen). Mails an t-online hän­gen immer noch :o(…

Tage, an denen es bes­ser wäre, ein­fach nur Leh­rer zu sein. Hei­se kam just zum Zeit­punkt mei­ner Suche mit der ent­spre­chen­den War­nung raus – wäh­rend ich schon such­te. Und natür­lich war dann ein Able­ger eines von mir ein­ge­setz­ten Plugins auf der ent­spre­chen­den Lis­te. Tja. Es ist halt nicht immer gut, unter den ers­ten zu sein.

Minigrundschule mit IT ausstatten

Die Aus­gangs­la­ge einer klei­nen Grund­schu­le:

  • Rech­ner­raum, zwölf Pen­ti­um 4-Rech­ner, Win­dows XP, Office XP
  • Kein WLAN
  • DSL1000, t@school der ers­ten Genera­ti­on
  • Arbeits­rech­ner im Leh­rer­zim­mer
  • Note­book für die Klas­sen
  • mobi­ler Bea­mer
  • sofort abruf­ba­res Bud­get: 2500,- Euro

 Die Lösung:

  1. drei­zehn HP Com­paq DC7900, Core2Duo 3Ghz, 2GB RAM, Win­dows7-Pro­fes­sio­nal-Lizenz, 160 GB HDD
  2. zwei HP Work­sta­tion xw6400, 2x Intel Xeon 5130, 2GB RAM, Win­dows7-Pro­fes­sio­nal-Lizenz, 80 GB
  3. vier neue 1TB HDDs
  4. 3x TP-Link WR1043ND WLAN-Rou­ter mit DD-WRT-Firm­ware
  5. 1x Jah­res­ge­bühr Schul­netz­werk­lö­sung IServ
  6. 1x Ein­rich­tungs­ge­bühr Schul­netz­werk­lö­sung IServ
  7. Upgrade des t@school-Anschlusses auf DSL6000

Die Kos­ten:

  1. 90 Euro / Stck. = 1170,- Euro
  2. 99 Euro / Stck. = 180,- Euro
  3. 60 Euro / Stck. = 240,- Euro
  4. 30 Euro / Stck. = 90,- Euro
  5. 230,- Euro / Jahr
  6. 595,- Euro (ein­ma­lig)
  7. kos­ten­los

Gesamt­sum­me: ca. 2500,- Euro

Arbeits­lohn bei Durch­füh­rung durch eine Fach­fir­ma:

ange­nom­me­ner Stun­den­satz:  80,- Euro (brut­to)

24 Mann­stun­den kom­plett, Leis­tun­gen:

  • Recher­che geeig­ne­ter Rech­ner­sys­te­me (Beschaf­fung in Ver­ant­wor­tung der Schu­le, um Garan­tie­an­sprü­che abzu­weh­ren) (zwei Stun­den)
  • Instal­la­ti­on und Ser­ver- und Back­up­sys­tem inkl. Ein­rich­tung der Nut­zer (vier Stun­den)
  • Vor­in­stal­la­ti­on aller Cli­ents und Acces­s­points (ser­ver­ge­steu­er­te Bespie­lung mit Soft­ware, Absi­che­rung und Kon­fi­gu­ra­ti­on des BIOS) (zwölf Stun­den)
  • Doku­men­ta­ti­on (Pass­wör­ter, IP-Adres­sen etc.) (eine Stun­de)
  • Auf­bau und Ver­ka­be­lung vor Ort inkl. Anfahrt (fünf Stun­den)

Gesamt­sum­me: ca. 1920,- Euro

Ver­gleich:

Bei ent­spre­chen­der Vor­be­rei­tung und Vor­wis­sen benö­ti­ge ich als unge­lern­te Kraft  für der­ar­ti­ge Arbei­ten ca. 12 Stun­den (schnel­ler Inter­net­an­schluss und ent­spre­chend kon­fi­gu­rier­te Arbeits­um­ge­bung vor­aus­ge­setzt). Bei der Zeit­be­rech­nung sind daher Ein­le­se­zei­ten und Sup­port­kon­tak­te mit ein­ge­rech­net.

Das Resul­tat:

  • Schul­netz­werk von außen erreich­bar unter voll­wer­ti­ger Domain
  • Datei­aus­tausch über http, https, ftp, ftps, dav, davs
  • voll­wer­ti­ger E-Mail­ser­ver
  • voll­wer­ti­ger Kalen­der­ser­ver nach dem Cal­DAV-Stan­dard
  • Soft­ware­ver­tei­lung per Klick, inkl. auto­ma­ti­sier­te OS-Instal­la­ti­on
  • Auto­ma­ti­sches Update aller Rech­ner inklu­si­ve der instal­lier­ten Soft­ware per WOL nachts
  • Schul­wei­tes WLAN (RADIUS)
  • Inhouse-Hos­ting aller Diens­te
  • exter­nes Moni­to­ring
  • Remo­te Sup­port per E-Mail und Tele­fon

Kri­tik:

Es ist nicht Auf­ga­be der Schu­le oder der Medi­en­be­ra­tung, der­ar­ti­ge Pro­zes­se zu initi­ie­ren, son­dern die des Schul­trä­gers. Poli­ti­sche Wege sind lang. Schü­le­rin­nen und Schü­ler gibt es aber jetzt genau wie die zuneh­men­de Digi­ta­li­sie­rung unse­res All­tags. Durch ver­läss­li­che Infra­struk­tur ent­ste­hen nach mei­ner Erfah­rung Ide­en. Die­se fan­gen immer so an, dass Unter­richt sich nicht ver­än­dert, son­dern zunächst Schul­or­ga­ni­sa­ti­on und Schul­kom­mu­ni­ka­ti­on. Durch Infra­struk­tur und Opti­mie­rung von Kom­mu­ni­ka­ti­ons­pro­zes­sen ent­ste­hen dann oft genug Frei­räu­me für die kon­zep­tio­nel­le Arbeit, die Auf­ga­be der Schu­le ist.

Mit Infra­struk­tur pas­sie­ren selt­sa­me Din­ge, z.B. das auf ein­mal schul­über­grei­fen­de Fach­schafts­sit­zun­gen jetzt an einem Stand­ort statt­fin­den, weil die­ser auf ein­mal über die ent­spre­chen­de Aus­stat­tung ver­fügt. Davon wird erzählt.

  • Wie? Ihr könnt die Online­me­di­en des Lan­des und des Medi­en­zen­trums jetzt über­all nut­zen?
  • Wie? Ihr braucht Soft­ware jetzt nicht mehr Rech­ner für Rech­ner auf­spie­len?
  • Wie? Ihr habt über­all WLAN? Zu dem Preis?

Par­al­lel:

Par­al­lel muss poli­ti­sche Arbeit erfol­gen, z.B. die Imple­men­tie­rung von Medi­en­ent­wick­lungs­plä­nen, deren Ziel es ist, Sup­port, Pla­nung, Beschaf­fung und Instal­la­ti­on zen­tral zu orga­ni­sie­ren. Das ist Kern­auf­ga­be mei­ner Tätig­keit als Medi­en­be­ra­ter.

Das geht nur mit einer kri­ti­schen Schü­ler­zahl ver­läss­lich und erfor­dert gera­de in einem Flä­chen­land wie Nie­der­sach­sen Zeit. Die­se Zeit geht den jet­zi­gen Schü­le­rin­nen und Schü­lern sowie Lehr­kräf­ten ver­lo­ren.

Daher arbei­te ich von unten nach oben, in ich dem Schu­len, die sich jetzt auf den Weg machen wol­len, zu einer ver­läss­lich Infra­struk­tur ver­hel­fe. Finan­zie­rungs­we­ge fin­den sich da immer. Ich schaf­fe ca. drei bis vier Schu­len pro Jahr.

Gleich­zei­tig führt kein Weg dar­an vor­bei, auch von oben nach unten, also poli­tisch zu arbei­ten, damit wir irgend­wann zu neu­er Hard­ware, ver­läss­li­chen Sup­port­kon­zep­ten, ver­nünf­ti­gem Lizenz­ma­nage­ment und pro­fes­sio­nel­lem WLAN kom­men – und zu einem fai­ren Wett­be­werb der Schul­netz­werk­lö­sun­gen. IServ ist nach mei­ner Erfah­rung für die Arbeit im Jetzt vor allem bud­get­tech­nisch alter­na­tiv­los gemes­sen am Preis-/Leis­tungs­ver­hält­nis. Es gibt m.E. her­vor­ra­gen­de Lösun­gen, die vor allem im Blick auf eine zu ent­wi­ckeln­de Zukunft eine bes­se­re Figur machen, jedoch Hard­ware, Ver­ka­be­lung und Lizenz­kos­ten vor­aus­set­zen, die im Jetzt nicht rea­lis­tisch zu finan­zie­ren sind.

Schmerzen – für Administratoren

Wenn wir Admi­nis­tra­to­ren von „Schmer­zen“ reden, mei­nen wir damit oft Set­ups, die recht kom­plex sind und sich nur durch extrem viel Durch­hal­te­ver­mö­gen rea­li­sie­ren las­sen. Ein gutes Bei­spiel sind Ver­zeich­nis­diens­te - durch mei­ne Linux­nä­he ins­be­son­de­re openLDAP. Bei die­sem Dienst hat man das Gefühl, als ob die Ent­wick­ler nor­ma­les „Fuß­volk“ gar nicht wol­len.

Den­noch feie­re ich hier einen Durch­bruch nach dem ande­ren. Im Prin­zip läuft das zunächst für mich dar­auf hin­aus, dass ich Sin­gle-Sign-On (ein Pass­wort für alles) jetzt extrem aus­wei­ten kann, z.B. mei­ne Klas­sen­blogs und -wikis jetzt auch recht sicher mit den Anmel­de­da­ten nut­zen kann, die die SuS auch im Schul­netz­werk ver­wen­den. In Own­cloud kann ich sogar Grup­pen aus dem Schul­netz­werk über­neh­men. Oder ein schul­über­grei­fen­des WLAN auf­span­nen. Davon mache ich nahe­zu nichts. Aber ich könn­te jetzt schon auf eine Anfor­de­rung reagie­ren, die mit zieim­li­cher Sicher­heit irgend­wann kom­men wird.

Wer mei­ne „Schmer­zen“ live erle­ben will, kann sich mei­ne Doku­men­ta­ti­on dazu zu Gemü­te füh­ren. Als Anwen­der muss man dafür schon sehr hart sein :o)… Viel­leicht fin­det der eine oder ande­re tech­nisch inter­es­sier­te auch auf der Haupt­sei­te etwas.

Verzeichnisdienste

Weit­ge­hend unbe­merkt von uns Nor­mal­sterb­li­chen ver­rich­ten unzäh­li­ge Ver­zeich­nis­diens­te ihr Werk in ver­schie­de­nen Insti­tu­tio­nen. Wenn man Netz­wer­ke etwas wei­ter denkt als auf einen Stand­ort bezo­gen, kommt man um die­ses The­ma irgend­wann nicht mehr her­um. Ver­zeich­nis­diens­te gel­ten als sper­rig, nur für Ein­ge­weih­te zu admi­nis­trie­ren und haben immer die Aura des Mys­te­riö­sen um sich. Das stimmt übri­gens bei­des. Gleich­zei­tig sind Ver­zeich­nis­diens­te das zen­tra­le Ele­ment, um Zugän­ge, Grup­pen­zu­ge­hö­rig­kei­ten, Rech­te u.v.m. zu mana­gen. Bei Micro­soft heißt der Dienst Active­Di­rec­to­ry (AD), bei uni­xoi­den Betriebs­sys­te­men openLDAP. Die Spra­che (das Pro­to­koll), mit dem Ver­zeich­nis­diens­te ange­spro­chen wer­den, nennt sich LDAP.

Bei­spiel­vi­si­on:

Die Schul­se­kre­tä­rin gibt einen neu­en Schü­ler in die Schul­ver­wal­tung ein, der die Schu­le gewech­selt hat. Gleich­zei­tig sind damit ein Account auf dem Schul­ser­ver, eine E-Mail­adres­se und ein WLAN-Zugang ange­legt und sämt­li­che Zugän­ge und Zugriffs­be­rech­ti­gun­gen auf der alten Schu­le deak­ti­viert. Selbst­re­dend ist unser Schü­ler damit auch gleich den rich­ti­gen Grup­pen auf der Lern­platt­form der Schu­le zuge­wie­sen, in die Schul­sta­tis­tik ein­ge­pflegt und in der Lehr­mit­tel­ver­wal­tung mit den kor­rek­ten Attri­bu­ten ver­se­hen (z.B. Geschwis­ter­er­mä­ßi­gung bei der Schul­buch­aus­lei­he).

Das ist kei­ne Zau­be­rei und erst recht kein Daten­schutz­gau, son­dern der Grund, war­um Ver­zeich­nis­diens­te erfun­den wor­den sind. Sche­ma­tisch sieht so etwas so aus:

verzeichnisdienst

Wir fan­gen mal unten an: In einem Ver­zeich­nis­dienst sind ver­schie­de­ne Insti­tu­tio­nen ange­legt, die z.B. jeweils Nut­zer, Grup­pen und z.B. Gerä­te besit­zen. Wir schau­en uns mal einen Nut­zer­ein­trag an:

---------------------------------------------------------------------
| Objektname: Maik Riecken => Nutzer => Schule => Verzeichnisdienst |
|-------------------------------------------------------------------|
| Attribute:  Name                                                  |
|             Nachname                                              |
|             Benutzername                                          |
|             E-Mailadresse                                         |
|             Passwort (verschlüsselt)                              |
---------------------------------------------------------------------

Maik, der zur Insti­tu­ti­on „Schu­le“ gehört, möch­te jetzt ger­ne mit sei­nem Han­dy im Rat­haus sur­fen. Ein Acces­s­point im Rat­haus muss jetzt prü­fen, ob Maik das auch darf. Dazu fragt er Maik erst­mal nach sei­nem Nut­zer­na­men und sei­nem Pass­wort und gibt bei­des an einen Ver­mitt­ler­dienst wei­ter – im WLAN-Bereich über einen wie­der­um ver­schlüs­sel­ten Weg oft an einen soge­nann­ten RADI­US-Ser­ver. Der RADI­US-Ser­ver lei­tet die Anfra­ge an den Ver­zeich­nis­dienst wei­ter und bekommt eine 1 oder eine 0 zur Ant­wort. Ist die Ant­wort 1, bekommt Maik jetzt Zugriff auf das Inter­net, ist sie 0, muss er lei­der wei­ter UMTS oder LTE nut­zen. Der Witz an der Sache ist, dass außer sehr weni­gen und dar­über­hin­aus auch noch ver­schlüs­sel­ten Daten nur sehr wenig über das Netz geht (Daten­schutz).

Für die­se Auf­ga­be kann man auch theo­re­tisch eine Daten­bank wie MyS­QL nut­zen. In der Tat ern­tet man oft Stirn­run­zeln, wenn man Leu­ten vor­schlägt, auf einen Ver­zeich­nis­dienst umzu­stei­gen. Eine Daten­bank kann die glei­chen Auf­ga­ben erle­di­gen – aber:

  1. Für Ver­zeich­nis­diens­te exis­tie­ren stan­dar­di­sier­te Sche­ma­ta für Objekt­klas­sen
  2. Für Ver­zeich­nis­diens­te exis­tie­ren genau wegen die­ser Sche­ma­ta in sehr vie­len Pro­duk­ten stan­dar­di­sier­te Schnitt­stel­len (Mood­le, Own­cloud, Word­Press, Dru­pal, Joom­la! – fast jedes grö­ße­re Pro­jekt unter­stützt LDAP und damit Sin­gle-Sign-On = ein Pass­wort für alles). Ich kann platt­form­über­grei­fend jeden Dienst mit LDAP betrei­ben, der das LDAP-Pro­to­koll unter­stützt. Sogar Apple.
  3. Die Orga­ni­sa­ti­on von Insti­tu­tio­nen in hier­ar­chi­schen Bäu­men ermög­licht eine sehr gra­nu­la­re und stan­dar­di­sier­te Rech­te­zu­wei­sung, z.B. bekom­men Poli­zei und Schul­trä­ger dann nur die Daten, die das jewei­li­ge Lan­des­da­ten­schutz­recht vor­sieht – dafür aber jeweils immer tages­ak­tu­ell. Auch die belieb­ten Schul­sta­tis­ti­ken gehö­ren bei ent­spre­chen­der Imple­men­ta­ti­on der Ver­gan­gen­heit an und lie­gen eben­falls tages­ak­tu­ell vor. Nie­mand kann mehr „ein­fach so“ Lis­ten mit Daten erstel­len, die dem Gebot der Daten­spar­sam­keit nicht genü­gen – weil es kei­nen Export mehr gibt und der auch nicht not­wen­dig ist.
  4. Das Pro­to­koll ist „light­weight“ und damit äußerst per­for­mant
  5. Wenn man den Ver­zeich­nis­dienst als Haupt­da­ten­quel­le imple­men­tiert, bekommt man über ihn eine Ver­net­zung ver­schie­de­ner Appli­ka­tio­nen und Insti­tu­tio­nen ganz auto­ma­tisch.

Die Lage in Deutsch­land sieht lei­der so aus:

  1. Es gibt kaum Schul­ver­wal­tungs­soft­ware, die das kann.
  2. Es ist unklar, wo und von wem ein Ver­zeich­nis­dienst betrie­ben wer­den kann.
  3. Durch 16 unter­schied­li­che Daten­schutz- bzw. Schul­ge­set­ze in den Bun­des­län­dern ist es für Anbie­ter nahe­zu unmög­lich, eine Lösung anzu­bie­ten, die sich wirt­schaft­lich abbil­den lässt.
  4. Ein Ver­zeich­nis­dienst gehört m.E. gene­rell nicht in die Hand eines Anbie­ters, son­dern ist eine öffent­li­che Auf­ga­be – gera­de wegen der Kumu­la­ti­on der ver­schie­dens­ten Daten an einer Stel­le – also z.B. in ein kom­mu­na­les oder Lan­des­re­chen­zen­trum.
  5. Die wenigs­ten Anbie­ter sind dar­an inter­es­siert, stan­dar­di­sier­te Schnitt­stel­len anzu­bie­ten (oder las­sen sich das teu­erst ver­gü­ten), weil pro­prie­tä­re Daten­hal­tung immer ein will­kom­me­nes Instru­ment der Kun­den­bin­dung ist – man muss sich nur mal anschau­en, wel­cher Mist (z.B. SCORM in mei­nen Augen) in der Bil­dungs­in­dus­trie zum „Indus­trie­aus­s­tausch­stan­dard“ erklärt wird – obwohl es gut doku­men­tier­te und stan­dar­di­sier­te For­ma­te und Pro­to­kol­le gibt.
  6. Päd­ago­gi­sche und Ver­wal­tungs­an­for­de­run­gen sind nicht immer klar zu tren­nen. Noten gehö­ren für mich z.B. nicht in einen zen­tral auf­ge­stell­ten Dienst.

Wer macht schon sowas in Ansät­zen?

Uni­ven­ti­on ist sehr weit auf die­sem Feld und betreut z.B. die Schul­ver­wal­tung in Bre­men. Die Schles­wig-Hol­stei­ner den­ken Dank des ULD und der Pira­ten­frak­ti­on auch stark in die­se Rich­tung. Ich selbst ver­su­che, die­se Lösung immer gleich mit im Blick für die Bera­tung und Kon­zep­ti­on von Netz­wer­ken zu haben. Sie müs­sen es jetzt heu­te nicht kön­nen, aber spä­ter die Mög­lich­keit dafür bie­ten.

 

 

Googles Macht (prevalence)

Goog­le hat etwas ange­kün­digt: Die Tat­sa­che, dass eine Sei­te Inhal­te auch ver­schlüs­selt per TLS ereich­bar ist, wird sich zukünf­tig posi­tiv auf das Ran­king aus­wir­ken. Auch die­ses Blog ist durch­gän­gig über https erreich­bar. Tes­ten lässt sich das für die eige­ne Home­page hier. riecken.de bekommt heu­te, am 31. Dezem­ber 2014 ein „A-“-Rating (vor­wie­gend, weil kei­ne älte­ren Refe­renz­brow­ser unter­stützt wer­den).

ssllab_2014-12-31

Die Reak­tio­nen auf Goo­g­les Vor­stoß sind unter­schied­lich.

Welche Vorteile ergeben sich dadurch?

  • ver­schlüs­sel­ter Inter­net­ver­kehr kann nicht ohne Wei­te­res mit­ge­le­sen wer­den, d.h. ein Admin wie ich hät­te – selbst wenn er es woll­te – kei­nen Zugriff auf die Inhal­te, die bei einer Inter­net­sit­zung über­tra­gen wer­den – ledig­lich die auf­ge­ru­fe­nen Sei­ten sehe ich im Log. In Fir­men- und Schul­netz­wer­ken kann man aber durch­aus trick­sen, wenn man die Kon­trol­le über die Cli­ents hat.
  • Orga­ni­sa­tio­nen, die im gro­ßen Stil Inter­net­ver­kehr mit­schnei­den wol­len, bekom­men über kurz oder lang das Pro­blem, dass immer mehr Rechen­ka­pa­zi­tät zur Ent­schlüs­se­lung not­wen­dig wird. Mas­sen­über­wa­chung wird damit also teu­rer - wenn die Ver­bin­dung durch geeig­ne­te Ein­stel­lun­gen ent­spre­chend gesi­chert ist.
  • Man erzwingt, dass Log­in- und Anmel­de­da­ten – z.B. wenn ich mich hier ein­log­ge, um einen Arti­kel zu schrei­ben – auch ver­schlüs­selt über­ge­ben wer­den. Das ist ein Sicher­heits­ge­winn.

Warum macht man das also nicht schon lange?

Das ist eine span­nen­de und gar nicht so leicht zu beant­wor­ten­de Fra­ge. Es gibt eini­ge Fall­stri­cke dabei.

1. Identität

Durch ver­schlüs­sel­te Ver­bin­dun­gen kann man ledig­lich sicher­stel­len, dass die Ver­bin­dung eben ver­schlüs­selt ist. Man weiß bei den aller­meis­ten Ver­bin­dun­gen nicht, ob man wirk­lich mit der im Zer­ti­fi­kat hin­ter­leg­ten Stel­le kom­mu­ni­ziert. Man bekommt heu­te pro­blem­los Zer­ti­fi­ka­te für Domains ohne Whois-Ein­trag – meist wird nur rudi­men­tär geprüft, ob Zugriff auf eine bestimm­te Sys­tem-E-Mail­adres­se besteht. Ledig­lich bei EV-Zer­ti­fi­ka­ten (grü­ne Adress­zei­le) kann man sich recht sicher sein, z.B. wirk­lich mit der eige­nen Bank zu spre­chen.

2. Entschlüsselung

Ich als Geheim­dienst wür­de ver­schlüs­sel­te Ver­bin­dun­gen auf­zeich­nen und dar­auf hof­fen, dass irgend­wann mei­ne Rechen­ka­pa­zi­tä­ten für eine Ent­schlüs­se­lung aus­rei­chen. Dem kann man nur ent­ge­gen­wir­ken, indem man ser­ver­sei­tig bestimm­te Ver­schlüs­se­lungs­ver­fah­ren erzwingt, z.B. Dif­fie-Hell­mann. Das geht wie­der­um oft zu Las­ten der Unter­stüt­zung älte­ren Brow­ser und Betriebs­sys­te­me. Der Kom­pro­miss bei den Ein­stel­lun­gen – gera­de bei Ban­ken – ist eben ein Kom­pro­miss.

3. Eingebettete Inhalte

Mein Brow­ser wird meckern, wenn auch einer ver­schlüs­sel­ten Web­sei­te unver­schlüs­sel­te Inhal­te nach­ge­la­den wer­den, also z.B. ein ein­ge­bet­te­tes Video von einer unver­schlüs­sel­ten Quel­le. Die­se War­nung sieht für den uner­fah­re­nen Nut­zer ziem­lich bedroh­lich aus. Er wird im Zwei­fel die­se Sei­te nicht besu­chen.

Gleich­zei­tig erschwert es genau die­ser Mecha­nis­mus z.B. Schad­pro­gram­men unent­deckt zu blei­ben – wenn sich der jewei­li­ge Ser­ver­be­trei­ber nicht die Mühe macht, ein Zer­ti­fi­kat zu besor­gen. Das Glei­che gilt aber auch für Wer­be­netz­wer­ke, die sehr oft mit ein­ge­bet­te­ten Inhal­ten arbei­ten.

Des­we­gen wird man heu­te kaum bekann­te Inter­net­por­ta­le fin­den, die über https erreich­bar sind.

4. Performance

Ver­schlüs­se­lung erfor­dert etwas mehr CPU-Power auf Sei­ten des Cli­ents und des Ser­vers. Groß­ar­ti­ge Unter­schie­de mer­ke ich bei mei­nen Last­mes­sun­gen aber nicht. Die Aus­sa­gen zum Caching­ver­hal­ten bei ver­schlüs­sel­ten Ver­bin­dun­gen sind wider­sprüch­lich. Alles in allem den­ke ich, dass die­ser Punkt ver­nach­läs­sig­bar ist.

Das sehen Fir­men, die Ange­bo­te für Bil­dungs­in­sti­tu­tio­nen machen, natur­ge­mäß oft anders. Da wird ger­ne noch die Mär von „über­flüs­sig außer beim Log­in“ (immer­hin) erzählt – weil oft genug ein CDN (Con­tent-Deli­very-Net­work) im Hin­ter­grund wer­kelt und sta­ti­sche Inhal­te cached oder gar Wer­be­ban­ner nach­lädt. Das umzu­stel­len ist dann schon Auf­wand, wenn man es nach­träg­lich ange­hen muss.

5. Aufwand und Kosten

Bei Zer­ti­fi­ka­ten muss jemand bestä­ti­gen, dass mei­ne Iden­ti­tät stimmt. Das machen Zer­ti­fi­zie­rungs­stel­len, die das nach bestimm­ten Kri­te­ri­en prü­fen. Zer­ti­fi­ka­te, die jähr­lich erneu­ert wer­den müs­sen, gibt es kos­ten­los bei StartS­SL.

Die­ses Geschäfts­mo­dell ist vie­len ande­ren Händ­lern von Zer­ti­fi­ka­ten natür­lich ein Dorn im Auge – für eine pri­va­te Web­sei­te reicht ein sol­ches Zer­ti­fi­kat jedoch voll­kom­men aus. Güns­ti­ge Ein­stei­gerzer­ti­fi­ka­te gibt es ab ca. 5,- Euro pro Jahr – und die­se Zer­ti­fi­zie­rungs­stel­len prü­fen dabei nach mei­nen Erfah­run­gen auch nicht bes­ser als StartS­SL. Als Hos­ting­kun­de wird man etwas mehr anle­gen müs­sen. Gese­hen habe ich Ange­bo­te ab 15,- Euro pro Jahr – dafür hat man nichts mit Ser­ver­kon­fi­gu­ra­tio­nen zu tun.

Für Online­shops oder gar öffent­li­che Lern­platt­for­men soll­te man etwas mehr anle­gen – unter 300,- Euro pro Jahr ist da kaum etwas zu machen. Wenn mir da ein Anbie­ter ohne EV-Zer­ti­fi­kat kommt, ist das eigent­lich schon ein Aus­schluss­grund.

Ein ein­fa­ches Zer­ti­fi­kat über StartS­SL oder Como­do habe ich nach ca. fünf Minu­ten in den Hän­den und auf dem Ser­ver instal­liert. Eine EV-Vali­die­rung ist deut­lich auf­wän­di­ger. Dafür wird man einen Mit­ar­bei­ter wohl 1–2 Stun­den beschäf­ti­gen müs­sen.

Google

Goog­le nutzt eige­ne Wer­be­netz­wer­ke und kann für die­se recht pro­blem­los eine voll­stän­di­ge Ver­schlüs­se­lung ein­rich­ten. Goog­le zwingt ande­re Wer­be­netz­wer­ke jetzt qua­si dazu, es ihnen gleich­zu­tun. Wenn sich zudem höhe­re Stan­dards bei der Iden­ti­täts­va­li­die­rung durch­set­zen, wird es für Wer­be­trei­ben­de, die im Netz uner­kannt blei­ben wol­len, immer schwie­ri­ger, auch pro­mi­nent in Erschei­nung zu tre­ten – z.B. durch ein­ge­bet­te­te Ban­ner­wer­bung.

Wofür nutzt Goog­le also sei­ne Markt­macht? War­um lau­fen Ver­mark­ter gera­de Sturm gegen die­sen Vor­stoß Goo­g­les? Wie wer­den Info­por­ta­le damit umge­hen, dass sie nun Gefahr lau­fen, im Ran­king von Goog­le zu sin­ken? Han­delt Goog­le auch aus Eigen­in­ter­es­se? Oder setzt sich Goog­le hier für unse­re Sicher­heit ein?

Es ist sehr inter­es­sant, wie Goog­le hier sei­nen Ein­fluss ein­mal mehr nutzt.

1 2 3 4 5 21