Inhalt Editorial - Comment

Transcription

Aktuelles
Editorial
Inhalt
Liebe Leserin, lieber Leser!
Aktuelles
Ist Ihnen am Titelblatt dieser Zeitschrift etwas aufgefallen? Nein? Und wenn Sie ganz genau hinsehen?
Auch nicht? Dann müssen wir es Ihnen wohl verraten:
2
Storage & Backup:
Der aktuelle Status des SAN-Projekts
4
Neues Informationsangebot für Studierende
Der Zentrale Informatikdienst hat ab sofort ein neues
Logo, das in den nächsten Wochen auf allen unseren
Print- und Webdokumenten auftauchen wird. Weil‘s so
schön ist, zeigen wir es nochmals etwas größer:
5
Mailbox-Service: Neuerungen bei der Administration
5
Günstig telefonieren mit A1 Member Unlimited
6
Der neue Spamfilter –
Erfahrungen, Empfehlungen, Einstellungen
8
ECDL, die Erweiterung
8
Personalnachrichten
9
eLearning: Fahrplan für WebCT Vista 4.0
1
PCs & Workstations
Es handelt sich hierbei um die Schwarz/Weiß-Variante
des neuen Logos, weil der Comment (noch) nicht in
Farbdruck hergestellt wird. Im Gegensatz zum bisherigen Logo existiert davon aber auch eine „bunte“
Version, wobei dieselben Farben wie beim Logo der
Uni Wien verwendet wurden – allerdings umgekehrt:
Während das Universitäts-Logo aus einem blauen
Schriftzug mit grauem Siegel besteht, ist beim neuen
ZID-Logo die Schrift in Grau und das Pfeil-Signet in
Blau gehalten. Auch mit dem Schriftzug selbst wurde
die Zugehörigkeit zur Universität Wien betont: Der
verwendete Font ist exakt derselbe, die Ligaturen (das
Verschmelzen von l, i und d sowie von r und f ) spielen ebenfalls auf das Uni-Logo an, bei dem die Buchstaben u und n zusammengezogen wurden, und nicht
zuletzt ist das ZID-Logo analog zum Uni-Logo in Kleinbuchstaben gehalten. Diese weitgehende Übereinstimmung konnte dadurch erreicht werden, dass derselbe
Grafiker beauftragt wurde, der auch für das UniversitätsLogo verantwortlich zeichnet. Das altbekannte PfeilSignet soll einerseits die Wiedererkennungsrate des
Logos steigern und andererseits auch jene Kontinuität
symbolisieren, für die der Zentrale Informatikdienst
seit Jahrzehnten steht.
17 Neue Standardsoftware
Netzwerk- & Infodienste
18 10 Jahre Vienna Internet eXchange – Ein Service
der Uni Wien für das österreichische Internet
19 GÉANT2 – Ein Glasfaser-Backbone
für die Wissenschaft
20 Datennetz, quo vadis?
22 WLAN: Funknetz-Ausbau an der Uni Wien
24 „Verstrahlte“ Universität? – WLAN und Elektrosmog
29 Verzeichnisdienste: Von X.500 zu LDAP
33 Wie sag ich‘s meinem LDAP-Server?
34 Content Management Systeme:
Software für operative Eingriffe in lebende Websites
37 Webauftritte leicht gemacht:
Typo3 an der Universität Wien
40 Web-Publishing mit XML – Die eXtensible Markup
Language verwirklicht den Cross-Media-Gedanken
Anhang
45 Handbücher
46 EDV-Kurse des ZID bis Ende Jänner 2007
47 eLearning: WebCT Vista-Schulungen
Ein erfolgreiches Semester wünscht Ihnen (und sich)
die Comment-Redaktion
48 Kontaktadressen am ZID
48 Öffnungszeiten
Comment 06 /3
Ausgehend von diesem Logo wird in den nächsten
Wochen ein Corporate Design für den ZID entwickelt.
Auch für den Comment haben wir große Pläne: Er soll
ebenfalls ein neues Logo, ein neues Titelblatt sowie
eine neue Website erhalten und bei dieser Gelegenheit
auch etwas bunter werden. Wir hoffen, diese Vorhaben
bereits mit der März-Ausgabe umsetzen zu können.
Bleiben Sie also dran...
12 Alarmstufe Rot: Ihr PC wurde geentert! –
Rootkits unter MS-Windows
2
Aktuelles
STORAGE & BACKUP :
DER AKTUELLE STATUS DES SAN-PROJEKTS
Im Comment 06/1 wurde das Projekt vorgestellt, ein Storage
Area Network (SAN) für die Universität Wien zu errichten.1)
Damit soll einerseits die heterogene und teilweise veraltete
Ausrüstung des ZID mit Massenspeicher konsolidiert und
andererseits der chronische Platzmangel durch einen großzügigen Ausbau behoben werden. Im Rahmen dessen soll
auch das Backup-System (siehe www.univie.ac.at/ZID/
backup/), das 1997 angeschafft wurde und schon in die
Jahre gekommen ist, erneuert werden. Im Folgenden wird
über den aktuellen Status dieses Projektes berichtet.
Am 7. Februar 2006 wurde eine entsprechende Ausschreibung veröffentlicht. 23 Firmen haben die Ausschreibungsunterlagen abgeholt; davon haben zehn bis zum Ende der
Frist am 31. März 2006 ein Angebot abgegeben. Das mag
nicht viel erscheinen, doch mehr war kaum zu erwarten:
Obwohl die Ausschreibung EU-weit veröffentlicht wurde,
ist sie hauptsächlich für lokale Anbieter interessant – und
da kommen nicht allzu viele in Frage. Das Interesse in der
Branche war enorm: Storage-Projekte dieser Größenordnung
gibt es in Österreich wohl kaum öfter als einmal im Jahr.
Alle namhaften Hersteller von Storage-Produkten waren vertreten, entweder selbst oder durch Partnerfirmen, die als
Reseller fungierten. Auch ein oder zwei „Außenseiter“ versuchten ihr Glück mit weniger bekannten Produkten.
Die Ermittlung des Bestbieters war recht aufwendig und erforderte auch die Durchführung von Leistungstests (Benchmarks), die gemeinsam mit den Anbietern in der ersten Junihälfte erfolgte.
The winner is ...
Am 27. Juni 2006 wurde schließlich die Entscheidung gefällt:
Den Zuschlag erhielten die Firmen Bull GmbH für den Teilbereich Storage und EDV-Design Informationstechnologie GmbH für den Teilbereich Backup.
Bull GmbH ist die österreichische Niederlassung des
internationalen Bull-Konzerns mit Sitz in Frankreich.
Bull – benannt nach dem norwegischen Ingenieur
Fredrik Rosing Bull, der 1919 eine auf Lochkarten basierende Rechenmaschine erfand – wurde 1931 in
Paris gegründet und hat eine lange und wechselvolle
Geschichte hinter sich. Heute ist Bull ein IT-Unternehmen, das neben Hardware (Server, Mainframes,
Supercomputer) auch Software, Systemintegration,
Dienstleistungen und Consulting anbietet. Bull GmbH
tritt als Generalunternehmer und Systemintegrator
auf; die Hardware wird größtenteils von anderen
Firmen zugekauft, wobei die meisten Komponenten
von EMC stammen.
Comment 06 /3
EMC wurde 1979 gegründet und produzierte ursprünglich Möbel. Heute ist EMC einer der führenden Hersteller von Storage-Systemen. Das Firmenlogo zeigt
den Schriftzug EMC2, das ist eine Kontraktion von
EMCC, wobei die ersten drei Buchstaben die Initialen
der Firmengründer sind und das zweite C für Corporation steht. Der Name hat also nichts mit der berühmten Einstein-Formel E = mc2 zu tun, obwohl die
Assoziation möglicherweise durchaus erwünscht ist.
1) siehe Artikel Speicherplatz Absolut Notwendig in Comment
06/1, Seite 2 bzw. unter www.univie.ac.at/comment/
06-1/061_2.html
Abb. 1: Das größere der beiden Storage-Systeme (am primären Standort)
2) Original Equipment Manufacturer : Damit werden in der
Computerbranche Produkte bezeichnet, die unter dem
Namen eines anderen Herstellers verkauft werden.
Aktuelles
3
1999 übernahm EMC die Firma Data General, die 1994
ein damals höchst innovatives Plattensystem namens
HADA (High Availability Disk Array) vorgestellt hatte.
Später wurde dieses unter dem Namen CLARiiON vermarktet und von EMC weiterentwickelt. Das neue Storage-System der Universität Wien heißt mit vollem Namen CLARiiON CX3-80 UltraScale und ist das größte
Modell der neuesten CLARiiON-Generation, die erst am
8. Mai 2006 – also nach Ende der Abgabefrist – offiziell
angekündigt wurde. Die technischen Daten des Systems
sind im Kasten unten zu finden.
Die Netzwerk-Komponenten (Switches) des SAN werden ebenfalls von EMC geliefert; es handelt sich dabei
aber um OEM-Produkte2) von Brocade Communications
Systems, dem führenden Hersteller von Fibre ChannelSwitches.
Backup-System
EDV-Design Informationstechnologie GmbH ist eine
kleine Firma, die als IBM-Partner hauptsächlich IBMSysteme vertreibt. Auch die angebotene Backup-Lösung
ist von IBM: Nachdem ebenso wie beim bestehenden
Backup-System der IBM Tivoli Storage Manager (TSM)
als Software zum Einsatz kommt, wird sich aus Benutzersicht nicht viel ändern: Die bisherigen Klienten
funktionieren weiter,3) durch die höhere Leistungsfähigkeit der Server und die größere Geschwindigkeit der
Bandlaufwerke werden Backup und Restore jedoch oft
schneller vonstatten gehen. Vor allem aber sind wir
Abb. 2: Blick in das Innere des Bandroboters des neuen Backup-Systems
Storage- und Backup-System: Technische Daten
Primärer Standort (Neues Institutsgebäude / NIG):
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 150 Terabyte, davon 62 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre ChannelPlatten (500 GB; diese ersetzen in der neuesten Generation die bisher angebotenen S-ATA-Platten); eine
Management Station Bull Express5800/TM800
• zwei EMC DS-4900B Fibre Channel-Switches mit je 48 Ports (4 Gbit/s)
Sekundärer Standort (derzeit NIG, später Hauptgebäude):
• zwei EMC DS-4900B Fibre Channel-Switches mit je 32 Ports (4 Gbit/s)
• ein Bandarchiv mit Roboter IBM 3584, bestehend aus drei Einheiten („Frames“) mit insgesamt zehn Bandlaufwerken IBM 3592-E05 („Jaguar“) und 1024 Stellplätzen für Bandkassetten. Davon sind derzeit 800 mit Kassetten
mit einer Kapazität von je 500 GB bestückt, sodass sich eine Gesamtkapazität von 400 Terabyte ergibt
• zwei Backup-Server IBM pSeries 52A mit je vier Prozessoren und 4 GB Hauptspeicher
Comment 06 /3
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 50 Terabyte, davon 20 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre ChannelPlatten (500 GB); eine Management Station Bull Express5800/TM800
4
Aktuelles
durch die weitaus größere Kapazität des neuen Bandarchivs 4)
für einige Zeit für die großen Datenmengen gerüstet, die
demnächst – vor allem auch durch das neue Storage-System
– auf uns zukommen werden.
Zeitplan
Das Backup-System wurde sehr schnell geliefert und im
Laufe des Sommers aufgestellt, installiert und getestet. Die
Abnahme erfolgte am 6. September 2006. Das StorageSystem wurde am 30. August geliefert. Nachdem es sich um
ein sehr komplexes System handelt, nahm die Installation
und Konfiguration längere Zeit in Anspruch und war in der
dritten Septemberwoche abgeschlossen. Wie bereits im
Comment 06/1 berichtet, soll das neue Storage-System aus
Gründen der Ausfallsicherheit auf zwei Universitätsstandorte (Neues Institutsgebäude und Hauptgebäude) aufgeteilt
werden. Nachdem die Adaptierung der benötigten Räumlichkeiten im Hauptgebäude noch nicht fertiggestellt ist,
wurden vorläufig beide Teile in getrennten Systemräumen
des Neuen Institutsgebäudes untergebracht.
Das Storage Area Network wird eine zentrale Komponente
der Infrastruktur des ZID sein, ohne die die meisten Services
nicht funktionieren. Aus diesem Grund ist eine gründliche
Vorbereitung mit umfangreichen Tests erforderlich. Die
Testphase wird voraussichtlich Ende Oktober abgeschlossen sein. Dann werden zuerst die Fileserver5) an das SAN
angeschlossen werden, weil dort derzeit der größte Platzmangel herrscht. Weitere Server werden nach und nach folgen; bis Jahresende sollte der Großteil der Daten übersiedelt sein. Wann der neue Systemraum im Hauptgebäude in
Betrieb genommen werden kann, ist noch ungewiss: Vor
allem aufgrund von Verzögerungen bei den erforderlichen
Genehmigungen kann das noch länger dauern.
Peter Marksteiner I
3) Ab einem Stichtag, der noch bekanntgegeben wird, zeigt der
Hostname BACKUP.UNIVIE.AC.AT auf einen der neuen BackupServer, sodass Sicherungen auf das neue Backup-System erfolgen.
Um auf Daten zuzugreifen, die vor diesem Tag gesichert wurden,
ist dann der Hostname RESTORE.UNIVIE.AC.AT anzugeben.
4) Zum Vergleich: Das bisherige Bandarchiv besteht aus zehn Frames
und hat etwa ein Viertel der Kapazität der drei Frames des neuen
Systems, welches noch durch zusätzliche Frames beliebig erweitert werden kann.
5) siehe Artikel Fileservices: Willkommen in der Daten-Bank in
Comment 05/1, Seite 24 bzw. unter www.univie.ac.at/
comment/05-1/051_24.html
NEUES INFORMATIONSANGEBOT FÜR STUDIERENDE
Infostand zu Semesterbeginn
Kurs Unet & PC-Raum Basics
Im Wintersemester 2006 hatten Studierende erstmals die
Möglichkeit, sich gleich nach ihrer Studienzulassung direkt
vor Ort – im Hauptgebäude der Universität beim Referat
Studienzulassung / Student Point – am Infostand des ZID
über die EDV-Services für Studierende zu informieren (siehe
Foto). Das Beratungsangebot wurde dabei von den Studierenden ebenso gerne angenommen wie die dort verteilten
Infomaterialien und Comment-Ausgaben.
Für Studierende, die noch mehr über die EDV-Services des
Zentralen Informatikdienstes erfahren wollen, wird ab dem
Wintersemester 2006 der dreistündige, kostenlose Kurs Unet
& PC-Raum Basics für Studierende angeboten.
• Inhalt: das Unet-Service-Angebot sowie dessen praktische Nutzung, Erlangung praktischer Fertigkeiten in
den Bereichen Drucken, Scannen, PDF-Erstellung, Datensicherung etc. (speziell ausgerichtet auf die Gegebenheiten in den PC-Räumen des ZID)
• Termine (jeweils 9 – 12 Uhr): 19. Oktober 2006, 9. November 2006, 22. November 2006, 12. Dezember 2006
Comment 06 /3
• Kursort: PC-Raum 2 des ZID (Neues Institutsgebäude/
NIG, 1010 Wien, Universitätstraße 7, Stiege I, 1. Stock)
• Anmeldung: Da nur eine beschränkte Anzahl an PCs
zur Verfügung steht, ist eine telefonische oder persönliche Anmeldung am Helpdesk des ZID erforderlich
(bzw. per eMail an [email protected]
oder [email protected]).
Das Infoteam in Aktion: Mag. Christoph Burger, Daniel Müller
Die Anmeldefristen und weitere Infos zu den Kursinhalten
finden Sie unter www.univie.ac.at/ZID/kurse/.
Michaela Bociurko I
Aktuelles
5
MAILBOX-SERVICE:
NEUERUNGEN BEI DER ADMINISTRATION
In der nunmehr zwölfjährigen Geschichte des MailboxService (siehe Comment 94/2, Seite 23 bzw. unter www.
univie.ac.at/comment/94-2/942_23.html) gab es
schon etliche Neuerungen, Umbauten und Reformen. Eine
weitere Reform, die ausschließlich die Benutzerverwaltung
betrifft, steht nun bevor:
• Die Anmeldung zum Mailbox-Service soll mit Hilfe
einer Webmaske wesentlich vereinfacht werden. Ganz
ohne „Papierkram“ geht es leider trotzdem nicht: Zur
Anmeldung ist nur die Eingabe der Sozialversicherungsnummer und des gewünschten Passworts erforderlich.
Alle anderen benötigten Daten werden – sofern bekannt
– automatisch aus der Personaldatenbank übernommen.
Der Mailbox-Account wird sofort angelegt (aber noch
nicht aktiviert), und aus der Webmaske wird eine PDFDatei generiert. Sobald diese ausgedruckt und unterschrieben beim Helpdesk des ZID einlangt, wird der
Account freigeschaltet.
• Das Ablaufen der Mailbox-UserIDs wird automatisiert erfolgen. Auf der Webseite www.univie.ac.at/
ZID/mailbox-ablauf/ ist detailliert beschrieben,
unter welchen Bedingungen eine Benutzungsberechti-
gung abläuft, innerhalb welcher Fristen eine Verständigung erfolgt und was Sie bei bevorstehendem Ablauf
tun können (z.B. Weiterleitung von eMail und persönlicher Homepage).
• Für Besucher, Gäste, Kursteilnehmer usw. gibt es derzeit
verschiedene Arten von UserIDs mit eingeschränkten
Berechtigungen: „K-IDs“ (Näheres siehe www.univie.
ac.at/ZID/k-id/) und temporäre UserIDs (siehe
www.univie.ac.at/ZID/mailbox/#temporaer ).
Dieses Konzept wird nun verallgemeinert, sodass für
jedes Service – Wählleitungszugang, Fileservices, Verwendung der PC-Räume usw. – einzeln festgelegt werden kann, ob eine UserID dafür berechtigt ist oder
nicht. Solche „Mailbox Light“-UserIDs sollen mittelfristig K-IDs und temporäre UserIDs ersetzen, vorläufig
stehen diese jedoch weiterhin zur Verfügung.
Die beschriebenen Neuerungen werden voraussichtlich im
November 2006 wirksam; in der nächsten Ausgabe des
Comment wird darüber ausführlicher berichtet werden.
Aktuelle Informationen zur Mailbox-Administration sind
unter www.univie.ac.at/ZID/mailbox/ zu finden.
Peter Marksteiner I
GÜNSTIG TELEFONIEREN MIT
A1 MEMBER UNLIMITED
Handy-Tarife für MitarbeiterInnen der Universität Wien
Zusätzlich kann die Option –50% Grundentgelt gewählt
werden, die 50 Prozent des monatlichen Grundentgelts erspart, dafür allerdings die Servicebindung von 12 auf
24 Monate verlängert. Der Tarifwechsel in die Tarifmodelle
A1 Member Start Unlimited und A1 Member Business Unlimited ist kostenlos.
Jede/r Mitarbeiter/in der Universität Wien kann bis zu
4 Anschlüsse anmelden, wobei beide Tarife beliebig kom-
binierbar sind und jeder Anschluss über ein anderes Konto
abgebucht werden kann. Dieses Angebot gilt somit auch
für die Familie oder FreundInnen eines jeden Angestellten,
mit denen man dann besonders günstig telefonieren kann.
Noch bis 30. Juni 2007 haben MitarbeiterInnen der Universität Wien Zeit, sich für eines der beiden Pakete zu entscheiden.
Weitere Informationen zur An- bzw. Ummeldung sowie zu
den Mitarbeitertarifen finden Sie auf den Webseiten des
Zentralen Informatikdienstes unter www.univie.ac.at/
ZID/a1member/ oder bei der Mobilkom Austria AG unter
www.a1.net/business/memberunlimited.
Eine umfassende telefonische Beratung rund um die Uhr
erhalten Sie zudem unter der kostenlosen A1-Servicenummer 0800 664 664.
Karin Geicsnek I
Comment 06 /3
A1 bietet nicht nur Geschäftskunden spezielle Tarife und
Lösungen für die Mobiltelefonie an, sondern auch deren
Angestellten. Daher wurden mit den Tarifen A1 Member
Start Unlimited und A1 Member Business Unlimited
zwei Angebote exklusiv für MitarbeiterInnen geschaffen.
Die beiden Pakete unterscheiden sich bei Grundentgelt und
Gesprächsgebühren, abgestimmt auf die Bedürfnisse von
Wenigtelefonierern bzw. Vieltelefonierern.
6
Aktuelles
DER NEUE SPAMFILTER – ERFAHRUNGEN,
EMPFEHLUNGEN, EINSTELLUNGEN
Am 16. Juni 2006 ist an der Uni Wien ein neuer Spamfilter
in Betrieb gegangen, der im Artikel Wenn der Postmann
zweimal klingelt im Comment 06/2 vorgestellt wurde.1)
Dieser Spamfilter verwendet eine Kombination verschiedener Methoden zur Spambekämpfung; die wichtigsten davon
sind Greylisting (temporäres Abweisen verdächtiger Nachrichten) sowie eine Bewertung anhand verschiedener formaler und inhaltlicher Kriterien durch das Programm SpamAssassin: Je mehr Punkte SpamAssassin vergibt, desto größer ist die Wahrscheinlichkeit, dass es sich bei einer Nachricht um Spam handelt.
Im Folgenden wird über die ersten Erfahrungen mit dem
neuen Spamfilter im Produktionsbetrieb berichtet, und es
werden einige Tipps zur Wahl der optimalen Einstellungen
gegeben.
Erste Erfahrungen:
Ein Monat Spam
Wie viel Spam filtert der neue Spamfilter? Um meinen subjektiven Eindruck – deutlich weniger Spam – durch harte
Zahlen zu untermauern, habe ich einen Monat lang (vom
16. Juni bis zum 16. Juli 2006) alle Spam-Nachrichten, die
an mich zugestellt wurden, gewissenhaft gesammelt. Nachdem ich eMail an sehr viele verschiedene Adressen erhalte
und die Charakteristika von Spam weitgehend konstant
sind, lassen sich daraus recht verlässliche Rückschlüsse auf
die Trefferquote insgesamt ziehen.
• 314 Nachrichten wurden nicht als Spam erkannt; von
diesen haben relativ viele (134) einen X-Univie-SpamScore von mindestens 6,0. Wählt man 6 als Grenzwert,
ab dem Nachrichten gefiltert werden (siehe unten), so
erhöht sich dadurch die Trefferquote auf 90,5%.
Diese Trefferquoten beziehen sich nur auf jene Spam-Nachrichten, die bereits die ersten Hürden (Überprüfung auf
Einhalten des Protokolls, Greylisting) überwunden haben.
Wie viel Spam an diesen Hürden scheitert, lässt sich nur
grob abschätzen: An einem typischen Arbeitstag werden
etwa 150 000 Nachrichten sofort abgewiesen, 250 000 durch
Greylisting verzögert zugestellt oder abgewiesen, etwas
mehr als 100 000 Nachrichten insgesamt werden zugestellt.
Von diesen werden etwa 20 000 von SpamAssassin als Spam
erkannt. Nimmt man 20% nicht erkannte Spam-Nachrichten
an, so werden von etwa 400 000 Zustellversuchen ungefähr
25 000 Spam-Nachrichten tatsächlich zugestellt (die automatisch generierten Statistiken des neuen Spamfilters können
unter http://mailstats.univie.ac.at/ abgerufen
werden).
Um es kurz zusammenzufassen: Mehr als 90% aller SpamNachrichten scheitern bereits eingangs am Greylisting und
anderen Maßnahmen; von den verbleibenden 5 – 10% werden etwa 80% vom SpamAssassin als Spam markiert, bei
verschärften Einstellungen etwa 90%. Insgesamt ergibt sich
daraus eine Trefferquote von 96 – 99%. Für eine große und
heterogene Institution wie die Universität Wien ist das ein
sehr respektabler Wert – viel mehr lässt sich mit serverseitiger Filterung alleine wohl kaum erreichen.
Comment 06 /3
Die Bewertung dieser Nachrichten durch SpamAssassin ist
in der Abbildung auf Seite 7 zu sehen:
• Der maximale Wert des X-Univie-Spam-Level (das ist
jenes Kriterium, nach dem der Spamfilter die Nachrichten filtert) ist 51: Bei Werten von mehr als 50 handelt es
sich ganz sicher um Spam, deshalb wird die Darstellung
dort abgeschnitten. Der numerische Wert des X-UnivieSpam-Score, von dem der X-Univie-Spam-Level abgeleitet ist, kann auch höher sein: Der höchste bis jetzt
beobachtete Wert ist 73,4.
• Von 1907 Nachrichten wurden 1593 als Spam erkannt
(d.h. ihr X-Univie-Spam-Score ist mindestens 8,0). Das
entspricht einer Trefferquote von 83,5% bzw. einer Reduktion von 64 auf 10 Spam-Nachrichten pro Tag.
• 1119 Nachrichten (58,6%) haben einen X-Univie-SpamScore von mindestens 15,0; diese würden bei Verwendung
der Standard-Einstellungen des Spamfilters sofort gelöscht werden.
Einstellungen
Der neue Spamfilter muss unter www.univie.ac.at/
ZID/spamfilter-webmaske/ aktiviert werden; dabei
lässt sich seine Funktion über einige Parameter steuern. Bei
den empfohlenen Standard-Einstellungen werden Nachrichten ab einem Spam-Level von 8 in einen eigenen SpamOrdner (Junk Folder) verschoben und ab einem Spam-Level
von 15 automatisch gelöscht (nicht zugestellt). Diese Standard-Einstellungen sind wohl nie ganz falsch. Nachdem es
aber große Unterschiede gibt – manche erhalten hunderte
Spam-Nachrichten pro Tag, andere fast gar keine –, sind individuelle Anpassungen oft von Vorteil.
Spam-Level und False Positives
Die Wahl des optimalen Spam-Level, ab dem Nachrichten
gelöscht bzw. in den Spam-Ordner verschoben werden, ist
ein Balanceakt zwischen Effizienz und der Gefahr von False
Aktuelles
Positives (das sind legitime Nachrichten, die fälschlicherweise als Spam klassifiziert werden). Nach unseren Erfahrungen sind False Positives bei einem Spam-Level von 8
oder mehr äußerst selten. Wer dann immer noch viel Spam
erhält, kann es mit 7 oder 6 versuchen; ein niedrigerer Wert
ist nicht zu empfehlen. Wie groß die Gefahr von False
Positives ist, hängt auch davon ab, mit wem man korrespondiert: Hat man viele internationale Kontakte, vor allem
in Entwicklungsländern, ist sie verständlicherweise größer.
Zur Vermeidung von False Positives kann auch das neue
Whitelist-Feature des Spamfilters verwendet werden: Damit
wird sichergestellt, dass Nachrichten, die bestimmten Kriterien genügen (Absender, Betreff) auf jeden Fall zugestellt
werden.
Eine reale Gefahr von False Positives gibt es höchstens bei
akademischen eMail-Diskussionen über Spam: Wenn Sie
eine Spam-Nachricht an einen Freund weiterschicken ( „Ich
1) siehe Comment 06/2, Seite 13 bzw. unter www.univie.ac.at/
2) Dasselbe gilt bei Beschwerden über Spam: Aus diesem Grund
werden Nachrichten an [email protected] (das ist jene
Adresse, an die Beschwerden über Spam aus dem Uni-Netz geschickt werden sollen) nicht gefiltert.
3) Wenn Sie von den beiden Funktionen des Spamfilters (In einen
Ordner verschieben bzw. Nicht zustellen) nur eine aktivieren wollen, dann tragen Sie bei der anderen als Spam-Level den Wert 99
ein: Keine Nachricht kann einen so hohen Spam-Level haben, weil
der höchste mögliche Wert 51 beträgt.
7
habe da so eine seltsame Mail bekommen – weißt du, was
das soll?“ ), kann es durchaus passieren, dass diese nie ankommt.2)
Nicht zustellen
Bei hinreichend hohem Spam-Level ist das Risiko von False
Positives extrem gering, deshalb können solche Nachrichten
gefahrlos ungelesen gelöscht werden. Der einzige Nachteil
dieser Methode ist, dass im (unwahrscheinlichen) Fall einer
fälschlicherweise gelöschten legitimen Nachricht weder der
Absender noch der Empfänger etwas davon merken. Hier
empfiehlt sich unter Umständen ein „Probelauf“: Lassen Sie
die Nachrichten eine Zeitlang nicht löschen, sondern nur in
einen eigenen Ordner verschieben,3) und aktivieren Sie das
automatische Löschen erst, wenn Sie sich überzeugt haben,
dass keine legitimen Nachrichten in diesem Ordner gelandet sind.
Spam-Ordner
Ein Junk Folder ist nur dann sinnvoll, wenn er auch von
Zeit zu Zeit kontrolliert wird. Falls sich die Zahl der in diesen Ordner verschobenen Nachrichten in Grenzen hält, ist
es durchaus zu empfehlen, ganz darauf zu verzichten: Es
macht wohl kaum mehr Mühe, täglich zwei oder drei SpamNachrichten aus dem Posteingang zu löschen, als einmal in
der Woche den Junk-Folder zu leeren. Wenn die Belästigung
durch Spam sehr gering ist, kann der Spamfilter auch komplett deaktiviert werden.
Comment 06 /3
8
Aktuelles
Weiterleitungen
Bei Weiterleitungen ist Folgendes zu beachten:
• Weiterleitung von einer externen Mailadresse (z.B.
[email protected]) an eine Uni-Adresse (z.B.
[email protected]): Hier sind Greylisting und andere Maßnahmen, mit denen Spam gleich
beim Eintreffen abgewehrt wird, meist nicht wirksam,
weil die Nachrichten von einem legitimen Mailserver
von myprovider.com entgegengenommen werden.
Deshalb ist insgesamt mit einer geringeren Trefferquote
zu rechnen, da nur SpamAssassin zum Einsatz kommt
(mehr als zwei Drittel der erwähnten 1907 Spam-Nachrichten habe ich über externe Adressen empfangen).
• Weiterleitung von einer Uni-Mailadresse (z.B.
[email protected]) an eine externe Adresse (z.B. [email protected] ): Dabei
kommen alle Maßnahmen wie Greylisting und Markieren durch SpamAssassin zum Tragen, nicht jedoch das
automatische Filtern. Hier ist also eine Filterung durch
das Mailprogramm des Empfängers erforderlich.
Trotz des großen Erfolges des neuen Spamfilters werden
wir uns nicht auf unseren Lorbeeren ausruhen: Spammer
denken sich immer wieder neue Tricks aus, mit denen sie
Spamfilter umgehen können. Daher sind laufend Anpassungen und Verbesserungen erforderlich, um die Trefferquote zumindest zu halten bzw. nach Möglichkeit noch
weiter zu erhöhen.
Peter Marksteiner I
ECDL,
die Erweiterung
Seit dem Sommersemester 2006 haben Studierende und
MitarbeiterInnen der Uni Wien die Möglichkeit, am
Zentralen Informatikdienst ECDL Core-Prüfungen abzulegen (ECDL = European Computer Driving Licence,
Europäischer Computer Führerschein). Um dieses Angebot abzurunden, können seit September 2006 auch
ECDL Advanced-Prüfungen am ZID absolviert werden.
Der ECDL Core dient dazu, grundlegende und praktische Fertigkeiten im Umgang mit dem Computer nachzuweisen; der ECDL Advanced bietet die Möglichkeit
der Vertiefung. Er besteht aus vier Modulen (Textverarbeitung, Tabellenkalkulation, Datenbank, Präsentation), die – völlig unabhängig vom ECDL Core – einzeln
absolviert werden können. Für jedes dieser Module
wird eine eigene SkillsCard um € 35,– benötigt, die
Prüfungsgebühr beträgt wie beim ECDL Core € 13,– pro
Modul. Für jede positiv abgelegte Modul-Prüfung wird
ein Zertifikat ausgestellt. Wer alle vier Module erfolgreich absolviert hat, erhält das ECDL Advanced Expert
Zertifikat.
Weitere Informationen (Anmeldungsmodalitäten, Prüfungstermine, Lernunterlagen, Demotests etc.) finden
Sie unter www.univie.ac.at/ZID/ecdl/.
Eveline Platzer-Stessl
Comment 06 /3
PERSONALNACHRICHTEN
Diesmal sind die meisten personellen Veränderungen am
ZID aus der Abteilung Universitätsverwaltung zu berichten:
Nach vier Monaten Vakanz hat das Referat UNIVIS-Produktionsbetrieb wieder eine Leitung: Elisabeth Vinek wurde
mit Oktober 2006 zur Referatsleiterin ernannt. Ab November 2006 wird Anita Messinger dieses Referat verstärken.
Im Referat i3v-Softwareentwicklung kümmert sich seit September 2006 Joachim Brunbauer um die ETL-Entwicklung für das Reporting System der Uni Wien, als Nachfolger
von Christopher Anderlik, der leider mit Ende Oktober
2006 ausscheidet. Alexander Rosenauer hat sich ebenfalls
entschlossen, die i3v-Entwicklung aufzugeben und den
Zentralen Informatikdienst zu verlassen; mit Franz Seidl
haben wir im August 2006 dafür einen weiteren Java-Entwickler angestellt. Mit Ende Jänner 2007 verlässt uns auch
Martin Polaschek: Nachdem er acht Jahre lang am ZID
entscheidend zum Erfolg des UNIVIS-Projekts beigetragen
hat, setzt er seine wissenschaftliche Karriere am Institut für
Knowledge and Business Engineering, wo er währenddessen als Universitätsassistent karenziert war, wieder fort.
In der Abteilung PC-Systeme & Fakultätsunterstützung verstärkt Christoph Leitl seit Mitte Oktober 2006 das Referat
Support Instituts-PCs; Nasret Ljesevic und Birgit Nierlich
verlassen hingegen den ZID. Auch Walter Glaser, der am
Zentralen Informatikdienst an einem molekularbiologischen
Forschungsprojekt mitgearbeitet hat, scheidet nach erfolgreichem Abschluss des Projekts wieder aus dem ZID aus.
Nicole Jezek wurde im Juli 2006 für die vakante Stelle in
unserem eLearning-Team angestellt, und ab November 2006
verstärkt Manfred Rudis das Referat Datenleitungs-Infrastruktur. Seit Ende September 2006 kümmert sich auch
Claudia Eitler-Buchner nach ihrer Mutterschutz-Karenz
wieder um die Agenden im Direktionssekretariat.
Wie immer wünschen wir allen neuen MitarbeiterInnen viel
Freude und Erfolg mit ihrer Arbeit am ZID, und den scheidenden KollegInnen danken wir für ihre Leistungen und
wünschen ihnen alles Gute für ihre Zukunft.
Peter Rastl I
Aktuelles
ELEARNING:
9
FAHRPLAN FÜR WEBCT VISTA 4.0
WebCT Vista, die Lernplattform der Universität Wien, ist
jetzt zweieinhalb Jahre alt. Mittlerweile verzeichnen wir
rund 600 Lehrveranstaltungen pro Semester und eine stetig
wachsende Gruppe an Lehrenden und TutorInnen, die im
Umgang mit der Software geschult werden möchte. Stetig
wird eLearning auch in den curricularen Strukturen der
Universität verankert und evolviert: Inzwischen gibt es eine
politische Einbindung der Fakultäten in die Strategieentwicklung sowie die Funktion fakultärer eLearning-Beauftragter. Längst ist die Lernplattform der Uni Wien auch im
Kontext einer europaweiten Ausrichtung von eLearningStrategien sichtbar.
Nun steht ein weiterer großer Schritt ins Haus: Das Upgrade
vom mittlerweile bewährten WebCT Vista 3.0 auf die neue
Version 4.0. Für diesen Wechsel spricht vor allem die bei
gleichem Funktionsumfang wesentlich vereinfachte Benutzeroberfläche (einen gewissen Lernaufwand bereitet
eventuell das stark veränderte Designerinterface für Lehrende). Serverseitig bietet Vista 4 strukturelle Verbesserungen, die sich erfreulich auf die Übersichtlichkeit der Datenbankstruktur und die Performance des Systems auswirken.
Auch im europäischen Vergleich ist ein Umstieg auf Vista 4
im Sinne der technischen Weiterentwicklung und der Flexibilität von Content durchaus sinnvoll.
Im Zuge der Vorbereitungen auf Vista 4 wurden auch verbesserte Schnittstellen und Anmeldeinterfaces für die Lehrenden entwickelt. Die Anmeldung und Verwaltung von
Lehrveranstaltungen wird dadurch vereinfacht – Lehrende
registrieren ihre Lehrveranstaltungen jetzt über http://
data.univie.ac.at/kurs/elv/. Voraussetzung dafür:
Die Lehrveranstaltung muss schon im Online-Vorlesungsverzeichnis eingetragen sein. Parallel dazu wird an der Einbindung externer Applikationen und Add-Ons für Vista 4
(möglicherweise Wiki, ePortfolio) gearbeitet. Eine derzeit
praktikable Funktion ist ein LaTeX-Parser, der bei Eingabe
der Formel (LaTeX-Code) in die Adresszeile des Browsers
eine .png-Datei generiert, die als Grafik in WebCT Vista
eingebunden werden kann (z.B. http://latex.univie.
ac.at/?x=1).
Vorbereitungen: Wann kommt Vista 4?
Vor einem Versionsumstieg müssen – mit ausreichender
Vorlaufzeit – viele Parameter abgesichert sein. Dazu zählen
in erster Linie gründliche Tests auf einem einzelnen Vista 4Server, die Ausweitung der Software auf einen Vista 4Cluster (ein Verbund mehrerer Rechner), das Einspielen notwendiger bzw. verfügbarer Service Packs und Language
Packs, gefolgt von einem Nachziehen der Supportstrukturen.
Dies umfasst u.a. die Überprüfung der migrierten Daten,
das Testen von Backups und Templates, die Implementierung von Add-Ons, die Vorbereitung der Lehrenden, die
Ausarbeitung von Vista 4-Schulungen, Dokumentationen,
FAQs etc.
Im Sinne einer sorgfältigen Vorbereitung des Vista 4-Software-Upgrades hat sich das Team entschieden, im Wintersemester 2006 wie bisher den Vista 3-Cluster für den laufenden Betrieb zur Verfügung zu stellen. Vista 4-Schulungen
sind frühestens ab November 2006 vorgesehen. Das eigentliche Upgrade und die Datenmigration werden (nach gründlichen Tests auf dem Vista 4-Cluster) im vorlesungsfreien
Februar durchgeführt, sodass zu Beginn des Sommersemesters 2007 mit einer verlässlichen Installation von WebCT
Vista 4.0 gerechnet werden kann. Bis dahin werden Upgradeschulungen und entsprechende Dokumentationen zur
Verfügung stehen, damit es auch für die bereits erfahrenen
UmsteigerInnen keine bösen Überraschungen gibt.
Vorschau: Was bietet Vista 4?
Personal Desktop
Am Personal Desktop (siehe Abb. 1) gibt es nur geringfügige Änderungen. Neu ist der so genannte Inhalts-Manager,
der den globalen Dateimanager ersetzt. Das Symbol scheint
folglich auch nicht mehr in der Desktop-Toolbar auf.
Veraltete Kurse können, wie schon in Vista 3.0 nach dem
Service Pack 6, aus- und eingeblendet werden.
Studentenansicht
Comment 06 /3
Abb. 1: Der Personal Desktop in WebCT Vista 4.0 – ein vertrautes Bild
Da sich die Studierenden rein passiv mit den
Kursinhalten auseinandersetzen müssen, bleiben hier die Features weitgehend gleich. Verändert haben sich lediglich einige StandardSymbole. Sind neue Objekte verfügbar, so
versieht das System sie künftig mit einem
grünen Stern (siehe Abb. 2 auf Seite 10). Die
Studentenansicht kann vom Lehrenden editiert werden; das betrifft im Wesentlichen die
Anordnung der Symbole, die Art der Icons
und Menüleisten sowie die Kursinhaltsübersicht.
10
Aktuelles
Designer und Dozenten
Die weitaus umfangreichsten
Funktionsänderungen und
-erweiterungen betreffen das
Designen und Verwalten von
Lehrveranstaltungen. Die wesentlichsten Neuerungen sollen hier skizziert werden.
Wie bisher können Lehrende
entweder einen leeren Kurs
einrichten, Inhalte aus einem
anderen Kurs kopieren, dem
Kurs eine Vorlage zuweisen
oder Inhalte aus einer Datei
importieren. Die neu eingerichteten Vista-Kurse können
auf eigenen oder Fach bereichs-Vorlagen basieren. Sie
sind bei der Anmeldung der
eLearning-LV unter http://
data.univie.ac.at/
kurs/elv/ auszuwählen
(Nähe res dazu finden Sie
unter www.univie.ac.at/
Abb. 2: Die Studierendenansicht bleibt in WebCT Vista 4.0 weitgehend gleich.
ZID/elearning/data/
Doku_elv_beantragen.pdf ). Bisher stand nach An-
Comment 06 /3
meldung einer eLearning-Lehrveranstaltung den Lehrenden
ein roher Standard-Kurs mit allen Werkzeugen zur Verfü-
Abb. 3: Vorauswahl der Werkzeuge zur Einrichtung einer Lehrveranstaltung
gung. Jetzt müssen Designer und Instruktoren beim ersten
Login eine spezifische Auswahl an Werkzeugen vordefinieren. Sie erhalten dabei ein Fenster mit einer Übersicht
über alle verfügbaren Tools (siehe
Abb. 3). Ihre Auswahl – und zwar nur
diese! – erscheint anschließend im Menüpunkt Kurswerkzeuge.
Sollten Sie später
feststellen, dass Sie
ein nicht ausgewähltes Werkzeug doch
benötigen, können
Sie es nachträglich
über die Designerwerk zeuge (Kurs
verwalten) für den
gesamten Kurs global freischalten. Es
erscheint dann für
De signer und Dozent im Menüblock
Kurswerkzeuge bzw.
Ver waltungs werkzeuge; die Studierenden haben über
die Kurssymbolleiste
Zugriff.
Aktuelles
Abb. 5: Kein Einstellen des Zeichensatzes mehr beim Upload, .zip-Dateien bei
Upload mehrerer Dateien sind nicht mehr nötig
Einen guten Überblick über die wichtigsten Features
bietet das auf Englisch verfügbare Interface-Tutorial
(http://tutorials.webct.com/exploring/
interface.htm). Aufgrund der stark veränderten
Selektiven Freigabe sollte eventuell das technische
Aufbaumodul Lerngruppen/Aufgaben nochmals besucht werden (siehe www.univie.ac.at/ZID/
elearning-schulungen/).
Annabell Lorenz I
Comment 06 /3
Insgesamt sind das Designerund das Dozenten-Interface
in Vista 4 intuitiver gestaltet
(siehe Abb. 4). Die Prozesse
des Erstellens und des Lehrens
sind noch immer deutlich getrennt, die Interfaces selbst
wurden aber im optischen Erscheinungsbild stark analogisiert. Das Kursmenü befindet
sich nun in beiden Ansichten
vertikal auf der linken Seite
und bietet einen Hide/ShowModus, in dem der Text versteckt wird. Das umständliche
Aktions menü ist gänzlich
verschwunden. Zu beinahe jedem Element existiert nun direkt im Anschluss an den Text
ein Drop-Down-Menü, das
man durch einen Mausklick Abb. 4: Vereinfachtes Strukturieren der Startseite und weiterer Verknüpfungen
auffächern kann. Die StudenKalender, Wirt einiger lästiger Bugs im parasitenträchtigen
tenansicht ermöglicht den Lehrenden wie bisher eine
Vista 3.0, sind Einträge nun endlich auch über die Jahresschnelle Überprüfung der Studierendenperspektive.
grenze hinaus möglich! Eine weitere sehr praktische Neuerung: Beim plattforminternen Mailtool kann man jetzt bei
Die vielleicht wichtigste Veränderung ist das Wegfallen
der Auswahl der Adressaten zwischen Rollen (z.B. alle Studes Bestands (Content Inventory). Damit entfällt eine „Ladierenden), Gruppen und Einzelpersonen differenzieren.
gerungsebene“ von Content. Die je nach Werkzeug erstellten Objekte (Inhaltsdateien, Lernmodule, Diskussionen,
Da der Bestand wegfällt, verändert sich auch die Selektive
Chats etc.) finden Sie nur mehr rubriziert über das jeweilige
Freigabe. Aufgaben lassen sich jetzt als .zip-Datei herunWerkzeug: Um z.B. Zugriff auf alle verfügbaren Tests zu
terladen und können wie viele andere Werkzeugkompohaben, müssen Sie unter Kurswerkzeuge das Tool Tests annenten nun lokal gespeichert und damit flexibler in andeklicken – dort sind alle Online-Tests aufgelistet. Das Kursren Kursen verwendet werden. Auch die nachträgliche Eindesign wird damit wesentlich vereinfacht. Auf der Startseite
bindung dieser Komponenten ist nun deutlich vereinfacht:
befinden sich nun drei Rubriken. Aus jeder Rubrik können
Bislang musste man zwischen der Funktion Inhaltsimport
Sie per Drop-Down-Menü die entsprechenden Objekte einund dem Dateimanager trennen sowie zur Vermeidung von
zeln anwählen und beliebig in Ihre Kursstruktur einbauen.
Datenkorruptionen mit Zeichensätzen jonglieren. Jetzt gibt
es den Dateimanager zwar nach wie vor (Rubrik DesignerAuch die Kommunikationswerkzeuge, vor allem Chat
werkzeuge), er befindet sich aber direkt hinter dem Icon
und Diskussionsforen, sind in ihrer Ansicht deutlich verKurs verwalten, wo durch entsprechende Verlinkung und
einfacht; diese Reduktion der Kanäle hat sich auch auf die
einfachere Darstellung die Funktion Import klar entschärft
Fehleranfälligkeit von WebCT Vista positiv ausgewirkt. Beim
wurde. Beim Anklicken öffnet sich ein Java-Applet
(siehe Abb. 5). Hier besteht für jegliche Art von Content eine Verknüpfung zum Dateimanager, Templates
werden über den von den Lehrenden lang ersehnten
Vorlagen-Manager eingespielt. Deutlicher getrennt
sind nun auch die Ordner für persönliche und für
kursbezogene Dateien.
11
12
PCs & Workstations
ALARMSTUFE ROT: IHR PC WURDE GEENTERT !
Rootkits unter MS-Windows
Das Leben mit Computerviren, Würmern und Trojanern ist
für Windows-Benutzer1) schon seit langem selbstverständlich. Die mächtigsten und tückischsten aller Trojaner – bei
Profi-Hackern sehr beliebt und bei Anwendern und Systemadministratoren entsprechend gefürchtet – sind die so genannten Rootkits. Der Name stammt aus der Unix-Welt, da
hier die ersten Rootkits auftraten. Root in Unix entspricht
dem Administrator-Nutzer unter Windows, er hat alle
Rechte am System. Ein Rootkit ist also ein Softwarewerkzeug,
das dem Eindringling alle Rechte des Administrators verschafft – und dies auf Dauer. Denn: Es versteckt seine
Existenz vor allen, bis auf den Hacker selbst. Selbst die besten Suchwerkzeuge nach digitalem Ungeziefer versagen
oft bei Rootkits. Zwar muss es dem Angreifer zunächst gelingen, einen Rechner zu knacken und das Rootkit zu installieren; anschließend ist dieses jedoch kaum mehr zu finden bzw. zu entfernen – auch nicht für Experten.
Feindliche Vorgangsweisen
Comment 06 / 3
„Blinde Passagiere“ wie Trojaner oder Rootkits erhält man
vorrangig durch administrative Nachlässigkeiten, die ihrerseits ihre Ursache in mangelndem Sicherheitsbewusstsein
haben: Hacker scannen das Netzwerk nach angreifbaren
Rechnern und nisten sich überall dort ein, wo sie leicht
Unterschlupf finden. Besonders gefährdet sind auch Rechner, die für Hacker aus strategischen Gründen interessant
sind – z.B. weil sie eine schnelle Internetanbindung haben
oder sich in Netzen befinden, die ergiebige Spionagemöglichkeiten versprechen. Das einzige Mittel dagegen ist eine
rigorose, umfassende Sicherheitspolitik, wie sie der ZID
schon seit längerem empfiehlt (mehr dazu im Abschnitt
Was bleibt zu tun?).
Rootkits sind – obwohl von einer hohen Dunkelziffer ausgegangen werden muss2) – unter Windows zwar weniger
verbreitet als Viren und Würmer, dafür aber umso unangenehmer. Beispielsweise hatte ein Administrator eines Institutsservers der Uni Wien zweimal ein Problem mit einem
HE4Hook-Rootkit (siehe weiter unten), obwohl sich der Server hinter einer Firewall befand und sich der Administrator
deshalb sicher wähnte. Beim ersten Mal fiel der WindowsServer dadurch auf, dass von ihm eine Netzwerkattacke ausging, die viel Bandbreite in Anspruch nahm. VirenscannerUntersuchungen blieben erfolglos, die schädliche Aktivität
war aber unleugbar. Der Server wurde also vom Netz genommen, und als der Administrator schließlich die Festplatte
ausbaute und auf einem anderen, „sauberen“ PC als Datenplatte durchsuchte, wurde das Rootkit sichtbar. Der Server
wurde daraufhin komplett neu aufgesetzt; dennoch gelang
es Hackern wieder, das System zu knacken (vermutlich war
der Server nach einem Software-Update nicht sofort neu
gestartet worden, sodass die Sicherheitsänderungen nur teilweise aktiv waren). Diesmal wurde der Server nach Strich
und Faden ausspioniert – Serverdaten wurden analysiert
und kopiert, Passwörter abgehört und in versteckten Bereichen gespeichert – und damit zu einer großen Gefahr für
seine (Netzwerk-)Umgebung. Erst durch weitreichende,
konsequent eingehaltene Sicherheitsmaßnahmen konnten
die Hacker gestoppt werden.
Rechner an der Uni Wien spielen bei solchen Attacken leider allzu oft die Rolle des „dummen Opfers“. Meist sind sie
nicht das direkte Ziel des Hackers, sondern nur Mittel zum
eigentlichen Zweck. Mit einem geenterten Universitäts-PC
hat der Angreifer mehrerlei erreicht:
• Der PC dient ihm als Sprungbrett für weitere Attacken
und zur Verschleierung seiner Herkunft.
• Der PC steht ihm als Spam-Verteilerknoten (als Schleuse
für den Versand unerwünschter Massenmail) zur Verfügung.
• Der PC – mit seiner im Allgemeinen guten Ausstattung
und Netzwerkbandbreite – kann im Rahmen eines netzwerkmäßig verteilten Großangriffs auf ein externes Ziel
(Distributed Denial of Service, DDoS) als ferngesteuerter
„Zombie“ eingesetzt werden.
• Der PC ist der sprichwörtliche „Fuß in der Türe“ zum
Datennetz der Universität. Durch Abhören von Authentisierungsinformationen (z.B. Mailbox-Passwörter) kann
der Angreifer weitere Systeme infiltrieren bzw. unter
falscher Identität beliebig agieren.
Gut getarnt ist halb gewonnen
Wie unter Unix/Linux3) gibt es auch unter Windows zwei
grundsätzlich verschiedene Arten von Rootkits. Die Usermode-Rootkits sind klassische Trojaner und können daher
im Allgemeinen mit einem geeigneten aktuellen Viren-
1) Alle Personenbezeichnungen in diesem Artikel sind geschlechtsneutral zu verstehen.
2) Das Jahr 2006 wurde von Sicherheitsexperten zum „Year of the
Rootkit“ gekürt.
3) siehe Artikel Ihr Linux-Rechner wurde assimiliert – ist Widerstand
zwecklos? Rootkits unter Linux in Comment 06/1, Seite 19 bzw.
unter www.univie.ac.at/comment/06-1/061_19.html
4) siehe Artikel Sonys digitaler Hausfriedensbruch in Comment 06/1,
Seite 24 bzw. unter www.univie.ac.at/comment/06-1/
061_24.html
PCs & Workstations
scanner gefunden werden. Sie laufen im Usermode, d.h. mit
den Rechten des Anwenders. Ihr Wirkprinzip ist die Unterdrückung relevanter Information bei der Ausgabe: Jedes
Programm, das den Hacker verraten könnte, wird so umgeschrieben, dass die elektronischen Spuren des Angreifers
verwischt werden und seine Anwesenheit im System verborgen bleibt. Usermode-Rootkits sind unter Windows (im
Gegensatz zu Linux) selten, weil sie für die Hackergemeinschaft mit großem Aufwand verbunden sind: Aufgrund der
proprietären und noch dazu komplexen grafischen Oberfläche von Windows müssen dafür sehr viele Anwendungen
umprogrammiert werden.
Umso größerer Beliebtheit bei Hackern erfreuen sich die
Kernelmode-Rootkits. Kernelmode-Rootkits sind äußerst
effizient und daher der ultimative Schrecken jedes PC-Verantwortlichen oder Anwenders. Sie fälschen Informationen
bereits vor der Ausgabe, auf der Ebene des Systemkerns.
Das Ergebnis: Dateien verschwinden, Anwendungen des
Hackers werden im laufenden System versteckt, offene Netzwerkzugänge dem eigentlichen Administrator vorenthalten,
Systemregistraturdaten falsch angegeben, Einträge in der Ereignisanzeige von Windows unterdrückt oder gefälscht und
vieles andere mehr. Jede Anwendung, die ein Nutzer oder
Administrator aufruft, wird daran gehindert, korrekte Daten
wiederzugeben. Daher ist der Schädling auf regulärem Weg
kaum zu finden. Selbstredend können Kernelmode-Rootkits
auch die Ausführung eines Virenscanners behindern oder
gar unterdrücken, während sich der genasführte Administrator sicher wähnt; dasselbe gilt für den Zugriff auf Aktualisierungsdaten des Scanners im Internet. Windows-Firewalls
werden ausgehebelt, Webseiten und Internetadressen werden umgelenkt, Kommunikation wird abgehört oder kontrolliert. Das Bedrohungspotenzial ist schier unerschöpflich.
Das erste Kernelmode-Rootkit für Windows wurde 1999
von Greg Hoglund, einem Systemsicherheitsarchitekten,
entwickelt (bis zu diesem Zeitpunkt waren alle trojanischen
Aktivitäten Teil des Usermodes). Sein NT Rootkit ist in der
Anwendung sehr einfach: Im Prinzip lässt es alle Informationen – Dateien, laufende Programme (Prozesse), Registratureinträge – vor den Augen des Anwenders verschwinden,
die als Kennung den Text _root_ vorangestellt haben. Es
ist auch in der Lage, eine zweite Internetadresse für den PC
zu vergeben, über die der Hacker unbehelligt in das System
einsteigen kann. Alle Aktivitäten, die der Hacker über diese
Internetadresse abwickelt, werden vom Rootkit getarnt. Das
Rootkit versteckt sich zudem selbst: Nach der Installation ist
es unsichtbar.
Wie gelangt nun der Hacker an die getarnten Daten? Ganz
einfach: Wird ein verborgenes Programm mitsamt seiner
Kennung aufgerufen, so ist die Tarnung dafür aufgehoben.
Die Idee dahinter ist, dass nur der Hacker weiß, welche Programme vor den Augen des PC-Besitzers versteckt sind,
und daher nur er selbst diese Programme ausführen kann.
Kopiert er z.B. den Windows-Explorer und speichert die
Kopie unter einem neuen Namen (mit Kennung), so wird
beim anschließenden Aufruf dieser Kopie die Dateiansicht
plötzlich wieder vollständig angezeigt. Ähnlich funktioniert
das mit dem Task-Manager, dem Registratur-Editor etc. Ist
ein Hacker nicht imstande, eine individuelle Kennung in
das Rootkit zu programmieren, kann er vom Administrator
auf diesem Weg enttarnt werden.
Das NT Rootkit ist heute mehr Konzept als taugliches Rootkit, dennoch wird es gerne als Anschauungsbeispiel für die
Infektionsmöglichkeiten eines Windows-Betriebssystemkerns präsentiert. Die Janusköpfigkeit solcher Sicherheitsbemühungen zeigte sich schon bald: Die Ideen Hoglunds
wurden natürlich von der Hackergemeinde aufgegriffen
und verfeinert, sodass mittlerweile eine Vielzahl weit moderner und wesentlich flexiblerer Kernelmode-Rootkits existiert. Vier davon – HE4Hook, Vanquish, FU/FUTo und das
AFX-Rootkit – werden im Folgenden näher vorgestellt.
Schurken im Schatten –
und wie man sie aufspürt
Wie kann etwas Unsichtbares gefunden werden? Zum
Glück gilt auch hier: Tand, Tand ist das Rootkit aus des
Hackers Hand. Jedes Rootkit ist nur so gut wie sein Programmierer, sodass kleinere Fehler dann doch oft zur Enttarnung führen. Solche Fehler sind sowohl bei der Methode
der Infektion des Systemkerns als auch bei deren Umsetzung möglich. Daher ist es grundsätzlich wichtig, den
Gegner zu kennen, d.h. über die Funktionsweise von Rootkits Bescheid zu wissen.
HE4Hook
Das HE4Hook-Rootkit wird auch als „russisches Rootkit“
bezeichnet. Es ist kein vollständiges Rootkit, d.h. es kann
keine Registratureinträge und offenen Ports verschwinden
lassen, versteckt aber Dateien und Programme (Prozesse).
Auf Anfrage verhindert es auch das Löschen von Dateien
oder das Stoppen von Prozessen, für den Fall, dass jemand
zufällig ein getarntes Objekt ergattert. HE4Hook ist ein älteres Rootkit und läuft auf modernen Windows-Versionen
Comment 06 / 3
Unter Windows werden Kernelmode-Rootkits häufig als Gerätetreiber oder als DLL (Dynamic Link Library) mit allen
Rechten des Administrators – als Teil des Betriebssystems –
installiert. Die alternative Methode ist, mit Hilfe eines einmalig aufzurufenden Programms die Systemschnittstellen
im Speicher des PCs zu ändern, sodass jeder Systemaufruf
einer Anwendung zuerst an dem im Speicher residierenden
Rootkit vorbei muss. Einmal installiert, werden Rootkits
beim Systemstart automatisch wieder geladen. Dank ihrer
Versteck-Technik sind ihre Spuren nach dem Laden sofort
verschwunden – wenn sich der Administrator anmeldet, hat
der PC längst voll durchgestartet und der Spuk läuft. Wie
schwierig das Entfernen eines solchen Rootkits sein kann,
hat der Sicherheitsexperte Marc Russinovich am Beispiel
von Sonys XCP-Rootkit4) in seinem Weblog dokumentiert
(www.sysinternals.com/blog/blogindex.html).
13
14
PCs & Workstations
nicht. Beispielsweise erzeugt es unter Windows XP einen formidablen
Absturz, wenn es geladen wird, hinterlässt dabei aber Spuren in der Ereignisanzeige (siehe Abb. 1). Unter
Windows XP ServiceRelease 2 hingegen stürzt das Betriebssystem
komplett ab. Falls also auf Ihrem
PC unerklärliche Systemabstürze
oder ähnliche Fehlermel dun gen
wie in Abb. 1 auftreten, könnte es
sein, dass er von einem Hacker geentert wurde, der beim Installieren
des Rootkits nicht erfolgreich war.
FU/FUTo
Comment 06 / 3
Das FU- (bzw. das neuere FUTo)Rootkit6) ist Hackern beim Verstecken von Prozessen behilflich.
Der Windows-Systemkern hält an
einer bestimmten Stelle im Hauptspeicher eine spezielle Liste von aktiven Programmen (Prozessen) für
die Abfrage bereit, die durch den
Windows Task-Manager angezeigt
werden kann. In dieser Liste sind
alle ausführbaren Programme eingetragen und durchnummeriert.
Diese Nummerierung nennt man
Prozess-Identifikation (PID). Da
Vanquish
sich diese Liste in kurzer Zeit sehr
Im Vergleich zu HE4Hook sind die
oft ändern kann, wird jedes ProMöglichkeiten des Vanquish-Rootgramm zusätzlich mit einem Eintrag
Abb. 1: Ereignisanzeige unter Windows XP nach
kit relativ schlicht gehalten, dafür
versehen, der auf das vorige bzw.
Systemabsturz durch HE4Hook-Rootkit
funktioniert es aber auch auf neuedas nächste Programm in der Liste
ren Windows-Versionen – also auf
verweist. Diese Prozess-Liste wird
Windows 2000, 2003 und XP. Wie das NT Rootkit verbirgt
daher „Kette“ genannt. Fordert ein Hacker beim FU-Rootkit
Vanquish alles, was als Kennung seinen Namen enthält (es
das Verstecken eines Programms an, werden die Verketkann allerdings noch keine Nutzer, Prozesse oder offenen
tungseinträge des vorigen und nachfolgenden Eintrags so
Ports verstecken). Ein mit Vanquish kompromittiertes Sysgeändert, dass sie das zu tarnende Programm umgehen und
tem lässt sich nicht mit vernünftigem Aufwand säubern:
somit unsichtbar machen. Da die PID aber noch existiert,
Das Rootkit installiert sich nicht nur über die DLLs und setzt
kann das getarnte Programm trotzdem ausgeführt werden.
sich vor die Programmschnittstellen (APIs) von Windows,
sondern infiziert auch Prozesse und nistet sich in der ReAbb. 2 zeigt solche Prozesslisten in der Ansicht des Taskgistratur ein. Nur Prozesse und Dateien, welche die Kennung
Managers von Windows 2000 sowie in der Ansicht des FUaufweisen, werden von Vanquish verschont. Damit ist es im
Rootkit. Noch ist alles in Ordnung. Der Hacker, der sich in
laufenden System faktisch nicht mehr sichtbar bzw. entferndiesem Fall bereits Administrator-Rechte angeeignet hat,
bar. Zusätzlich protokolliert das Rootkit automatisch jedes
bringt jetzt sukzessive alle Prozesse zum Verschwinden
eingegebene Passwort in der Datei C:\vanquish.log.
(siehe Abb. 3).
Da die Kennung vanquish wie bei Hoglunds erstem
Rootkit fix vorgegeben ist, kann das Vorhandensein von
Vanquish auf diesem Weg aufgedeckt werden: Man erstellt
einfach eine Datei mit dieser Kennung im Namen; verschwindet sie, dann ist Vanquish installiert. Leider ist diese
Methode nicht immer erfolgreich – versierte Hacker bauen
eine andere Kennung in das Rootkit ein. Für einen stichhaltigeren Test muss man wissen, dass Vanquish lediglich
Windows-APIs täuschen kann, also nur reine WindowsAnwendungen von ihm betroffen sind. Glücklicherweise
gibt es aber unter Windows immer noch das gute alte DOS,
das keine Windows-APIs verwendet und daher von Vanquish
nicht betrogen werden kann. Wenn Sie also die WindowsEingabeaufforderung (die „DOS-Box“, unter Start –
Ausführen zu finden) mittels command – keinesfalls mit
cmd 5) – aufrufen, so läuft DOS in einer Windows-Emulation.
Mittels dir C:\vanquish.log unter command kann ein
Standard-Vanquish gefunden werden. Hat der Hacker die
Kennung geändert, dann muss die Ergebnisliste des Befehls
dir /s unter cmd mit derjenigen des gleichen Befehls
unter command verglichen werden. Zeigt cmd weniger Dateien als command, so ist mit großer Wahrscheinlichkeit ein
Vanquish-Rootkit aktiv.
Natürlich ist es nicht sinnvoll, wenn der Hacker alle Prozesse
verschwinden lässt. Diese Demonstration zeigt jedoch, dass
mit Ausnahme des Leerlaufprozesses (das ist jenes Programm, das ausgeführt wird, wenn das System nichts zu tun
hat) keine Einschränkungen für das Versteckspiel mit FU
bzw. FUTo bestehen. Eine Spezialität von FU ist, dass Privilegien von beliebigen Prozessen im laufenden Betrieb geändert werden können. Beispielsweise ist es möglich, einem
Programm, das von einem Hauptbenutzer gestartet wurde,
nachträglich Administrator-Rechte zu geben. Darüber hinaus kann FU den Anmeldevorgang eines Nutzers „impersonalisieren“: Windows weiß dann nicht, welcher Nutzer
5) Der Unterschied zwischen dem DOS-Befehlsinterpreter command
und seinem Windows-Äquivalent cmd ist, dass cmd sehr wohl
Windows-APIs verwendet. Das äußert sich insbesondere bei langen Dateinamen: Während diese unter cmd vollständig dargestellt
werden, werden sie unter command nach dem sechsten Zeichen
abgeschnitten und mit einer Tilde (~) sowie einer Ziffer ergänzt.
6) FU steht für fool the superuser ( „täusche den Administrator“) und
ist eine Anspielung auf den Unix-Befehl su (substitute user ), mit
dem im laufenden System ein Benutzerwechsel durchgeführt werden kann.
PCs & Workstations
wirklich angemeldet wurde. Installiert wird FU über den
Treiber msdirectx.sys, der aufgrund der Namensgebung
leicht mit Microsofts Multimedia-Software DirectX verwechselt werden kann.
Wie verrät sich nun dieses Rookit? Das ältere FU-Rootkit
produziert unter neueren Windows-Versionen (2003, XP)
durchaus sporadische Systemabstürze. FUTo geht es mit
Windows 2000 und XP ähnlich. Da Windows nicht nur für
Prozesse, sondern auch für Anwendungen eine eigene
Namensliste im Systemkern hält, können Programme, die explizit den Anwendungsnamen
setzen (z.B. die schon erwähnte DOS-Box),
durch FU/FUTo in der Anwendungsliste des
Task-Managers nicht zum Verschwinden gebracht werden. Die Folge ist, dass Prozessliste
und Anwen dungsliste des Task-Managers
nicht übereinstimmen – d.h. eine Anwendung
läuft, es ist aber kein zugehöriger Prozess zu
finden.
15
Trick ist daher, sich zunächst als unprivilegierter Hauptbenutzer anzumelden und dann erst auf den AdministratorNutzer zu wechseln, wodurch das Rootkit zumindest teilweise sichtbar wird.
Das Wettrennen
Wie Linux-Rootkits sind auch Windows-Rootkits sehr abhängig von ihrer exakten Implementierung. Ändern sich im
AFX
Das AFX-Rookit ist der Mercedes unter den
hier genannten Windows-Rootkits: Es läuft
unter Windows NT, 2000, 2003 und XP. AFX
kann Prozesse, Dateien, Verzeichnisse, Systemmodule, Windows-Registratureinträge, offene
Ports sowie System-Ikonen (systray icons) verstecken.
Eine Besonderheit von AFX ist, dass es auch
Datei-Deskriptoren ( file handles) verbergen
kann. Ein Datei-Deskriptor ist eine Datenstruktur im Speicher des Systems, die zum Zeitpunkt
des Lesens oder Schreibens einer Datei für
diese zentral angelegt wird und mittels der die
Verwaltung aller Dateien durchgeführt wird,
die soeben geöffnet sind. Werkzeuge wie
Filemon (siehe www.sysinternals.com ),
die anhand solcher Datei-Deskriptoren offene
Dateien anzeigen und somit z.B. eine offene
Datei c:\vanquish.log aufdecken können,
sind gegen das AFX-Rootkit chancenlos.
Abb. 2: Prozessliste im Task-Manager (links) und in der Ansicht des FU-Rootkits (rechts)
AFX hat – wie viele andere Windows-Rootkits
– derzeit noch das Problem, dass es (z.B. unter
Windows 2003 oder Windows XP) nicht mit
mehreren gleichzeitig angemeldeten Nutzern
umgehen kann. Ein möglicher Administrator-
Comment 06 / 3
Die Bedienung dieses Rootkits ist verblüffend
einfach: Es versteckt jenes Verzeichnis, aus
dem heraus es installiert wird. Der Verzeichnisname (genauer: die unterste Ebene des
Pfades zum Installationsverzeichnis) wird dabei gleichzeitig zum Schlüssel für die Sichtbarkeit – wie vanquish bei Vanquish oder
_root_ bei Hoglunds NT Rootkit.
Abb. 3: Das FU-Rootkit kann bis auf den Leerlaufprozess alle Prozesse zum Verschwinden bringen.
16
PCs & Workstations
Windows-Kern oder in den Programmschnittstellen wesentliche Teile durch ein Service-Release (wie z.B. das ServicePack 2 von Windows XP), dann ist mit hoher Wahrscheinlichkeit das abgestimmte Zusammenspiel zwischen Rootkit
und Systemkern nicht mehr möglich. Die Folge davon sind
Abstürze von Programmen oder des gesamten Betriebssystems, die vor allem zu zwei Zeitpunkten auftreten: Wenn
der wahre Administrator des Systems ein Upgrade auf ein
neues Service-Release durchführt (also ein ServicePack einspielt) oder wenn der Hacker sein Rootkit in eine unpassende Windows-Version einspielt. Daher sind System- oder
Programmabstürze – insbesondere des Windows-Explorers
– vom Sicherheitsstandpunkt generell bedenklich und sollten analysiert werden.
Zwischen Betriebssystem-Herstellern und Hackern hat sich
diesbezüglich ein richtiggehendes Wettrennen eingestellt:
Die Systemhersteller schließen Lücken und machen den
Hackern durch Änderungen an den Programmschnittstellen
(APIs) das Leben schwer; die Hacker passen sich an und
entwickeln ausgefeiltere Rootkits. Je nach aktuellem Software-Stand haben abwechselnd die „Guten“ oder die
„Bösen“ die Nase vorne.
Explizite Rootkit-Scanner, wie sie unter Linux gebräuchlich
sind, gibt es unter Windows nicht. Eine interessante Entwicklung zur Enttarnung von Rootkits sind jedoch die so genannten Baseline -Werkzeuge wie z.B. Patchfinder 2 oder
das neuere Windows Memory Forensic Toolkit (zu finden
unter www.rootkit.com). Jede Aktion eines Nutzers bewirkt eine Vielzahl von Systemaufrufen – wird beispielsweise der Windows-Explorer gestartet, so müssen Dateien gelesen und geschrieben, Registratureinträge gelesen bzw. geändert und Netzwerkschnittstellen verwendet werden. Ein
Baseline-Werkzeug analysiert diese Systemaufrufe und
merkt sich die Muster. Wird danach ein Rootkit (oder auch
ein Virenscanner!) installiert, schlägt das Baseline-Werkzeug
Alarm, da sich die Aufruf-Muster geändert haben. Selbstverständlich haben auch Baseline-Werkzeuge ihre Nachteile:
Wie die Virenscanner brauchen sie viele Ressourcen vom
System und sind hochgradig abhängig von der eingesetzten
Windows-Version.
Machtlose Virenscanner
Das Aufspüren aktiver Kernelmode-Rootkits gestaltet sich
schwierig. Ist ein Rootkit erst einmal erfolgreich installiert
und auf Dateisystem-Ebene zum Verschwinden gebracht
worden, entzieht es sich erfolgreich der Suche. In Abb. 4
ist ein ergebnisloser Scan des McAfee Virenscanners nach
einem laufenden HE4Hook-Rootkit zu sehen – obwohl er
die Signatur von HE4Hook kennt, was nicht selbstverständlich ist: Beispielsweise ignorierten manche Scanner das FURootkit mehr als zwei Jahre nach dessen Erscheinen noch
immer.
Es gibt also keine zuverlässige Möglichkeit, bereits im
System laufende Kernelmode-Rootkits mittels Virenscanner
zu finden. Windows lässt sich jedoch durch rechtzeitiges
Drücken der F8-Taste beim Start im „abgesicherten Modus“
laden. Viele Rootkits werden dann nicht gestartet, sodass
ein anschließendes Aufspüren möglich wird.
Die beste Möglichkeit, Rootkits zu finden, besteht darin, die
Festplatte in einen anderen Windows-PC zu transferieren
und sie dann mittels Virenscanner zu untersuchen. Dieser
PC sollte jedoch sehr sicher betrieben werden, da eventuelle dort installierte Rootkits das Ergebnis natürlich verfälschen würden. Am besten geeignet ist hier ein neu instal7) siehe Artikel Sicherheit von Anfang an in
Comment 04/1, Seite 20 bzw. unter www.
univie.ac.at/comment/04-1/041_20.
html
8) siehe Artikel Department of Desktop Security:
Red Alert bei Windows-Betriebssystemen in
html
Comment 06 / 3
9) siehe Artikel McAfee VirusScan – Ihr Goalkeeper
im Einsatz gegen virale Offensiven in Comment 04/1, Seite 21 bzw. unter www.univie.
ac.at/comment/04-1/041_21.html
10) siehe Artikel Phishing: Bitte nicht anbeißen! in
html
11) siehe Artikel Kammerjäger im Netz in Comment
06/1, Seite 31 bzw. unter www.univie.
Abb. 4: HE4Hook wird trotz bekannter Signatur vom Virenscanner nicht gefunden.
12) siehe Artikel Goldene Regeln für ein intaktes
(Windows-)Betriebssystem in Comment 04/1,
Seite 16 bzw. unter www.univie.ac.at/
PCs & Workstations
lierter Windows-PC, der von Beginn an sicher betrieben
wurde.7)
Ein Säubern mittels Virenscanner, wie es bei sonstigem digitalen Ungeziefer üblich ist, reicht bei Rootkits jedoch
nicht. Die einzig sinnvolle Methode zur „Rettung“ eines derart aufgehackten PCs ist, ihn komplett neu aufzusetzen –
d.h. man muss seine Daten sichern, die Festplatte formatieren und anschließend sowohl das Betriebssystem als
auch die benötigten Anwendungsprogramme neu installieren, wobei das direkte Überspielen von Programmen zu
vermeiden ist.
Was bleibt zu tun?
Es zeigt sich, dass die Suche nach bereits installierten
Rootkits sehr mühsam und zeitintensiv, zugleich aber auch
qualitativ unsicher ist. Wieder einmal ist Vorsorge der beste
Schutz und ein Minimieren der Angriffsfläche die beste
Waffe gegen Hacker:
• Halten Sie unbedingt Ihr System durch Security-Updates 8) und regelmäßige Updates des Virenscanners 9)
am aktuellen Stand der Technik.
• Schränken Sie den Zugriff auf Ihren Rechner ein. Verwenden Sie die Windows-Firewall, wo immer es möglich ist, und erlauben Sie dabei nur das, was Sie wirklich
brauchen.
• Schalten Sie Windows-Dienste ab, die Sie nicht benötigen. Leider ist dies nicht leicht zu beurteilen und sollte
daher nur von versierten Benutzern durchgeführt werden; mit der Verwendung der Windows-Firewall ist jedoch bereits viel gewonnen.
• Meiden Sie generell dubiose Webseiten und verwenden
Sie Ihren Browser nicht, wenn Sie als Administrator
Ihres PCs angemeldet sind.
• Schalten Sie das automatische Ausführen von programmierten Webinhalten wie JavaScript und ActiveX nach
Möglichkeit aus – stellen Sie den Browser vielmehr so
ein, dass Sie zuvor gefragt werden, ob Sie das jeweilige
Programm ausführen wollen. Das ist zwar lästig, aber im
Zweifelsfall bewahrt es vor unreflektiert ausgeführten
Programmen aus dem Internet.
Neue Standardsoftware
Neue Produkte (Stand: 2. Oktober 2006)
• Corel WordPerfect Office X3 für Win.
• Endnote X für Win. & Mac
• MS-Visual Studio 2005 Prof. für Win., deutsch
(englisch ist seit längerem verfügbar)
• MS-Windows 2003 Server Standard R2
• ScanSoft PaperPort Prof. 11.0 für Win.
• SigmaPlot 10.0 für Win.
• SPSS 13.0 für Mac
Updates (Stand: 2. Oktober 2006)
• RSI IDL 6.3 für Win., Mac & Unix (bisher 6.2)
Alle Informationen zur Standardsoftware sind unter
www.univie.ac.at/ZID/standardsoftware/ zu
finden. Eine Liste der Softwareprodukte, die im Rahmen
der Fakultätsunterstützung (Ferninstallation und Softwarewartung von PCs) angeboten werden, finden Sie
unter www.univie.ac.at/ZID/fu-windows/.
Peter Wienerroither
oder der Anmeldeinformation für Ihren lokalen PC.
Beliebt sind auch Word-Dokumente, bei deren Öffnen
ein Makro aktiviert wird, das wiederum einen Trojaner
auf Ihrem PC installiert. Lassen Sie sich nicht reinlegen
– solche Mails können Sie getrost löschen!
Notebooks sind durch ihren häufigen Standortwechsel besonders gefährdet: Moderne Computer-Würmer melden ihr
erfolgreiches Eindringen in ein System an zentraler Stelle
und führen anschließend Befehle von dort aus.11) Hat sich
ein Wurm in ein Notebook eingenistet, kann er damit auch
hinter Firewalls verschleppt werden und sogar dort – in
vermeintlich geschützter Umgebung – sein Unwesen treiben. Ein Notebook ist kein Server; daher sollten hier potentiell riskante Dienste wie integrierte Webserver, Datei- und
Druckerfreigaben etc. unbedingt deaktiviert werden.
Einen Windows-Rechner „sauber“ zu halten bedeutet Arbeit, manchmal sogar viel Arbeit. Der nötige Aufwand lässt
sich stark reduzieren, indem Sie Ihren Arbeitsplatzrechner
vom ZID im Rahmen des PC-Deployment managen lassen
(siehe www.univie.ac.at/ZID/fu/). Richtiges Verhalten
beim Umgang mit Netzwerkdiensten wie WWW, eMail und
dergleichen12) lässt sich dadurch aber nicht ersetzen: Nur
permanente Wachsamkeit und ein kritisches Überdenken
der eigenen Sicherheitsstrategie kann einigermaßen verlässlich Ruhe verschaffen.
Weitere Informationen, Windows-Rootkits und RootkitAnalysewerkzeuge finden Sie unter www.rootkit.com.
Aron Vrtala I
Comment 06 / 3
• Seien Sie im Umgang mit dem Internet misstrauisch:
Schon so mancher Rechner wurde durch eine PhishingAttacke erfolgreich geentert.10) eMail-Nachrichten von
(vorgeblich) Banken, der Polizei oder anderen scheinbar seriösen Institutionen, in denen Sie aufgefordert
werden, umgehend einem Link zu folgen oder ein
Attachment zu öffnen (paradoxerweise werden hierfür
oft Sicherheitsgründe angeführt), zielen in aller Regel
nur darauf ab, Sie zu einer unüberlegten Handlung zu
verführen – z.B. zur Preisgabe Ihres Mailbox-Passworts
17
18
10 JAHRE VIENNA INTERNET EXCHANGE
Ein Service der Uni Wien für das österreichische Internet
Seit dem letzten Comment-Bericht
über den vom Zentralen Informatikdienst der Uni Wien betriebenen
Vienna Internet eXchange (VIX,
www.vix.at ) sind schon wieder
fünf Jahre vergangen.1) Gut funktionierende Einrichtungen werden
wie selbstverständlich genutzt und
erhalten selten ein explizites PresseEcho; es ist also durchaus erfreulich, dass seither weder hier noch
an anderer Stelle über den VIX berichtet werden musste.
10 Jahre sind allerdings ein würdiger Anlass, wieder einmal
Bilanz zu ziehen. Unsere Entscheidung vor etwa sechs Jahren, interessierten Internet Service Providern neben dem
Neuen Institutsgebäude (1010 Wien, Universitätsstraße 7)
noch einen zweiten Standort für Anschlüsse an den VIX anzubieten und zu diesem Zweck einen Partner-Vertrag mit
der Firma Interxion in der Shuttleworthstraße in WienFloridsdorf abzuschließen, hat sich als goldrichtig erwiesen:
Einerseits funktioniert die Zusammenarbeit mit den Interxion-MitarbeiterInnen seit Beginn der Partnerschaft ausgezeichnet; andererseits hat die von Interxion strikt eingehaltene Carrier & Provider-Neutralität und -Unabhängigkeit
wesentlich dazu beigetragen, dass diese Firma sämtliche
Turbulenzen nach dem „Internet-Hype“ bestens überstanden hat und heute mit einem in Wien nahezu konkurrenzlosen Internet-Datacenter weiterhin als einziger sinnvoller
Standort-Partner für den Betrieb eines neutralen Internet
Exchange Point (IXP) in Frage kommt.
Comment 06 /3
Neue „Terabit-Switches“
zum Geburtstag
Es stand daher für uns außer Frage, auch bei der jüngsten
gerätetechnischen Neuausstattung des VIX für beide Standorte – VIX1 im NIG und VIX2 bei Interxion – identisch leistungsfähige Ethernet-Switches zu beschaffen. Nachdem
die Anfang 2001 in Betrieb gegangenen Switches (Extreme
Networks, Black Diamond 6808) trotz eines zwischenzeitlichen Upgrades im Jahr 2004 am Ende ihrer Leistungsfähigkeit angelangt waren, war die Zeit reif für eine neue Hardware-Generation – nicht zuletzt auch deshalb, um den VIXKundInnen 10-Gigabit-Anschlussports anbieten zu können.
Die entsprechende Ausschreibung (Ende 2005) hat Siemens
Austria mit Foundry Networks BigIron RX-16 Switches gewonnen. Diese Switches haben eine Datendurchsatz-Kapazität von bis zu 1,6 Terabit pro Sekunde (800 Gbit/s Full
Duplex) und sind auf die bevorstehende 40 GigabitEthernet-
bzw. 100 GigabitEthernet-Technologie vorbereitet. Wir sind also sehr
zuversichtlich, mit diesen Geräten
wieder eine gute Wahl für etwa die
nächsten fünf Jahre getroffen zu
haben.
Die Umstellung gelang reibungslos
in zwei Nächten Ende März 2006,
dank perfekter Zu sammenarbeit
unserer eigenen TechnikerInnen
mit jenen von Siemens und Interxion. Die Umstellung je
Standort dauerte jeweils weniger als zwei Stunden; ein
Komplettausfall des gesamten VIX konnte vermieden werden. Die Betriebsstabilität des Vienna Internet eXchange ist
eines unserer Aushängeschilder, und es erfüllt uns durchaus mit Stolz, dass der VIX als ein „universitär“ betriebener
Internet Exchange Point zu den stabilsten InfrastrukturEinrichtungen im Internet gehört.
Das Volumen des gesamten Peering-Verkehrs am VIX liegt
derzeit in einer Größenordnung von 1 Gigabyte pro Sekunde, also knapp 100 Terabyte pro Tag. Wir beobachten
am VIX in den letzten Jahren etwa eine Verdoppelung des
Volumens pro Jahr, was im Vergleich zu den größten Internet Exchange Points in Europa (etwa AMS-IX in Amsterdam,
DE-CIX in Frankfurt oder LINX in London) zwar ein geringeres Wachstum darstellt, aber für einen IXP mit eher
regionalem Fokus durchaus beachtlich ist.
Noch ein Geburtstag:
5 Jahre Euro-IX
VIX war und ist als Gründungsmitglied maßgeblich am
Aufbau und der Weiterentwicklung der European Internet
Exchange Association (Euro-IX, www.euro-ix.net) beteiligt, die seit Anfang 2001 insbesondere der Kommunikation und dem Erfahrungsaustausch von primär europäischen IXP-Betreibern und damit der Verbesserung der
europäischen Internet-Infrastruktur dient. Das Interesse von
IXP-Betreibern aus Japan und den USA war allerdings bald
so groß, dass Euro-IX seit Anfang 2005 auch Betreibern von
außerhalb Europas eine assoziierte Mitgliedschaft anbietet –
kürzlich ist sogar der National Internet eXchange of India
(www.nixi.in) beigetreten.
Christian Panigl I
1) siehe Comment 01/1, Seite 30 bzw. unter www.univie.ac.at/
comment/01-1/011_30.html (dort finden Sie auch einige
generelle Hintergrundinformationen zu Internet Exchange Points
sowie zum VIX)
19
GÉANT2 – EIN GLASFASER-BACKBONE
FÜR DIE WISSENSCHAFT
Das seit einigen Jahren unter dem Namen GÉANT (www.
geant.net) bekannte und von DANTE (www.dante.net)
betriebene europäische Backbone-Netzwerk für Wissenschaft und Bildung hat in den letzten Monaten einen Generationswechsel vollzogen und heißt nun GÉANT2 (www.
geant2.net). In einem aufwendigen Ausschreibungsverfahren wurde das Netzwerk weitestgehend auf Basis gemieteter Glasfaserstrecken neu gestaltet. Den europäischen
Wissenschaftsnetzen – von Irland bis Griechenland, von
Spanien bis Finnland – stehen jetzt Bandbreiten von mehr
als 10 Gigabit pro Sekunde (Gbit/s) zur Verfügung. Der direkte Zugriff auf die Glasfaser-Infrastruktur (Dark Fibre) erlaubt DANTE nunmehr eine relativ kostengünstige Erweiterung der gemeinsam genutzten Bandbreiten. Ebenso ist
es jetzt möglich, dedizierte Hochgeschwindigkeitsverbindungen für Spezialprojekte anzubieten – z.B. im Bereich
der Astronomie, Hochenergiephysik, Meteorologie, Telemedizin sowie anderer Grid-Projekte.
10 Gbit/s für ACOnet
Auch das vom ZID der Uni Wien in Kooperation mit anderen Universitäten betriebene österreichische Wissenschaftsnetz ACOnet (www.aco.net) verfügt seit Dezember 2005
über einen 10 Gbit/s-Anschluss an GÉANT2 (zuletzt war
ACOnet mit einem redundanten 622 Mbit/s-Anschluss an
GÉANT angebunden). Ein zweiter 10 Gbit/s-Anschluss soll
spätestens zum Jahresende 2006 zur Verfügung stehen; dieser dient zur Erhöhung der Ausfallsicherheit und ermöglicht
die Nutzung von dedizierten Gigabit-Verbindungen zu anderen europäischen Wissenschaftsnetzen.
Die ebenfalls auf Basis einer gemieteten Glasfaserstrecke
von unserem slowakischen Schwesternetzwerk SANET errichtete Verbindung zwischen Bratislava und Wien wurde
im Jänner 2006 auf 10 Gbit/s umgestellt. Eine weitere Glasfaserstrecke zwischen Brno und Wien wurde in den Sommermonaten im Auftrag des tschechischen Wissenschaftsnetzes CESNET errichtet und getestet und konnte mittlerweile ebenfalls mit 10 Gbit/s in Betrieb genommen werden.
Diese Strecke komplettiert nunmehr ein trilaterales Glasfaserdreieck Bratislava–Brno–Wien. Über diese bi- bzw. trilateralen Verbindungen wird, im Gegensatz zu GÉANT2,
nicht ausschließlich Datenverkehr zwischen den angeschlossenen Wissenschaftsnetzen ausgetauscht: Wir nutzen
diese zusätzliche Infrastruktur auch zur Verbesserung unserer regionalen Internet Connectivity, indem wir jeweils die
Netze unserer „Schwestern“ am lokalen Internet Exchange
Point ankündigen (siehe dazu auch Artikel auf Seite 18).
Somit ist ACOnet indirekt über SANET am slowakischen SIX
(www.six.sk) sowie über CESNET am tschechischen NIX
(www.nix.cz) vertreten, ebenso wie die genannten Schwesternetzwerke über ACOnet am Vienna Internet eXchange
(www.vix.at). Ein ähnliches Modell ist mit dem polnischen Wissenschaftsnetz in Planung.
ACOnet hat daher im April 2006 als erster VIX-Teilnehmer
auch dort die durch neue Infrastruktur geschaffene Möglichkeit eines 10 Gbit/s-Peering-Anschlusses realisiert und im
Sinne der Ausfallsicherheit im Mai 2006 durch einen zweiten solchen Anschluss erweitert.
Ausblick
Comment 06 /3
Topologie von GÉANT2 (Mai 2006)
Diese enorme Bandbreitenerhöhung soll jedoch nicht nur
den ACOnet-Teilnehmern in Wien zur Verfügung stehen,
sondern auch in den Bundesländern zugänglich werden.
Deshalb sind wir derzeit dabei, mittels einer Ausschreibung
(zweistufiges Verhandlungsverfahren) den österreichweiten
ACOnet-Backbone zu erneuern. Unser Ziel ist es, eine ähnlich flexible und zukunftsorientierte Infrastruktur auf Basis
von Glasfaserstrecken zu errichten, wie sie bei den meisten
nationalen Wissenschaftsnetzen und im GÉANT2 realisiert
wurde und wird. Ab Mitte 2007 sollten damit allen österreichischen Universitäten und ACOnet-Teilnehmern Bandbreiten von 10 Gbit/s und mehr zur Verfügung stehen.
Christian Panigl I
20
DATENNETZ, QUO VADIS ?
Netzwerke sind aus unserem Leben kaum noch wegzudenken: Ein PC an jedem Arbeitsplatz, ein Telefon sowieso
schon lange, Notebooks und PDAs ersetzen zunehmend
Papier und Bleistift, immer mehr wird über das Internet
abgewickelt – von Milch kaufen bis hin zu Operationen
über ganze Kontinente hinweg. Aus der „Spielwiese Internet“ ist eine Infrastruktur geworden, die zuverlässig funktionieren muss.
Das Internet ist an Universitäten schon seit langem ein integraler Bestandteil der Forschung und kommt seit einigen
Jahren auch in der Lehre immer stärker zum Einsatz.
Aufgrund dessen hat sich das Datennetz der Uni Wien zu
einem komplexen System entwickelt, das ständig erweitert
und ausgebaut wird, um dem wachsenden Bedarf an
Bandbreite gerecht zu werden, eine möglichst hohe Verfügbarkeit für die BenutzerInnen sicherzustellen und neue
Einsatzgebiete abzudecken. Der folgende Artikel soll einen
kleinen Überblick über den aktuellen Status und die Möglichkeiten des Uni-Datennetzes geben, aber auch aufzeigen,
warum gewisse Dinge (noch) nicht realisierbar sind.
Schneller, höher, weiter
Comment 06 /3
Vor wenigen Jahren waren PCs mit integrierten Netzwerkanschlüssen noch ausgesprochen unüblich. Netzwerkkarten
mussten extra gekauft und in den Rechner eingebaut werden, wobei eine Bandbreite von 10 Megabit pro Sekunde
(Mbit/s) durchaus als leistungsfähiger Anschluss galt. Heute
sind PCs nicht mehr ohne Netzwerk erhältlich, und die eingebauten Anschlüsse sind meist schon auf GigabitEthernet
(= 1000 Mbit/s) ausgelegt.
Als Folge dieser Entwicklung hat sich nicht nur die Zahl der
an das Uni-Datennetz angeschlossenen Rechner drastisch
erhöht (heute sind es bereits über 15 000), auch der „Bandbreiten-Hunger“ der einzelnen BenutzerInnen ist gestiegen.
Um die Netzwerkinfrastruktur diesen Anforderungen anzupassen, war eine Reihe von Maßnahmen notwendig: Einerseits wurde die Netzwerkanbindung der meisten Universitätsstandorte auf Glasfaserleitungen und GigabitEthernet
umgestellt (früher waren es Kupferkabel, und die Bandbreite
betrug oft nur 1 Mbit/s), und alle größeren Standorte wurden im Sinne der Ausfallsicherheit redundant – d.h. über
mehr als einen Weg – angebunden. Zum anderen wurde
auch innerhalb der Gebäude die Infrastruktur dahingehend
ausgebaut, dass jeder Anschluss mit 100 Mbit/s versorgt
werden kann.1)
Hier drängt sich natürlich sofort eine Frage auf: Warum nur
100 Mbit/s und nicht gleich GigabitEthernet, wenn die meisten PCs sowieso schon dafür ausgerüstet sind? Die Antwort
auf diese Frage hat mehrere Aspekte. Zum einen zeigen die
Statistiken, dass fast alle Rechner mit diesen 100 Mbit/s das
Auslangen finden – für die meisten PCs würden sogar
10 Mbit/s reichen. Dies liegt in der Regel daran, dass der
Kommunikationspartner im Internet üblicherweise nicht
einmal annähernd über die Bandbreite eines UniversitätsPCs verfügt. Beim Zugriff auf Netzwerkdienste innerhalb
der Uni Wien (Fileservices, Backup etc.) trifft das zwar
nicht zu; nachdem diese Server mit ihrem Gigabit-Anschluss
aber eine Vielzahl von Klienten versorgen müssen, steht
dem einzelnen Benutzer ohnehin nur ein Teil der Bandbreite
des Servers zur Verfügung.
An vielen Universitätsstandorten kommt erschwerend hinzu,
dass die Verkabelung zu einem Zeitpunkt errichtet wurde,
als GigabitEthernet noch nicht spezifiziert war. Im Gegensatz zu FastEthernet (= 100 Mbit/s), das nur zwei Drahtpaare
eines Kabels für die Datenübertragung verwendet, benötigt
GigabitEthernet vier Paare. Daher könnte man mit GigabitEthernet nur die Hälfte der vorhandenen Anschlüsse nutzen, was im Widerspruch zum wachsenden Bedarf an Anschlüssen steht.
Während Arbeitsplatzrechner in der Regel mit 100 Mbit/s
auskommen, sieht die Lage bei Servern naturgemäß etwas
anders aus: Nicht nur vom ZID, sondern auch von anderen
Organisationseinheiten der Uni Wien werden zahlreiche
Server betrieben, die große Datenmengen verarbeiten oder
schnell übertragen müssen und eine entsprechende Netzwerkanbindung benötigen. (Achtung: Da die geeignete
Einbindung in das Datennetz von Fall zu Fall unterschiedlich sein kann, ist es wichtig, dass der ZID rechtzeitig – d.h.
bereits in der Planungsphase solcher Projekte – kontaktiert
wird, um Verzögerungen möglichst zu vermeiden! ) Ein aktuelles Beispiel für vermehrten Bandbreiten-Bedarf sind internationale Kooperationen zum verteilten Rechnen in so
genannten Grids. Dabei werden Rechner mittels spezieller
Software so vernetzt, dass die im Grid vorhandenen Ressourcen (Rechenleistung, Daten, ...) von allen TeilnehmerInnen genutzt werden können – in Analogie zum Strom,
der aus der Dose fließt, sobald ein Gerät angesteckt wird,
wobei allerdings bei Grid Computing jeder beteiligte Computer auch Ressourcen zur Verfügung stellt. Um Rechner
rund um die Welt in einem solchen Verbund zusammenfassen zu können, sind schnelle Datennetze dazwischen unabdingbar. Die verfügbaren Bandbreiten im europäischen
Backbone-Netz wurden im Rahmen des GÉANT2-Projekts
erst kürzlich erhöht (siehe Seite 19) und sollten nun für längere Zeit ausreichen; allerdings gilt es jetzt, auch innerhalb
1) Nähere Informationen dazu finden Sie im Artikel Der ZID wirft
neue Netze aus in Comment 05/2, Seite 41 bzw. unter www.
univie.ac.at/comment/05-2/052_41b.html.
2) siehe Artikel Social Software mit dunkler Seite in Comment 06/2,
Seite 27 bzw. unter www.univie.ac.at/comment/06-2/
062_27.html
der Universität die Systeme so anzubinden, dass diese zusätzlichen Kapazitäten ausgenutzt werden können.
Grenzenlos mobil
Das „klassische“ Datennetz der Uni Wien besteht aus Kabeln
und Verteilern; um es verwenden zu können, braucht man
einen physischen Netzwerkanschluss innerhalb der Universität. In den letzten Jahren hat sich jedoch die Realität
des Arbeitens und Studierens massiv verändert: In vielen
Fällen spielt es inzwischen keine Rolle mehr, wo man sich
tatsächlich aufhält, solange man Zugang zu den benötigten
Informationen hat. Dieser Trend wird dadurch verstärkt,
dass ein Computer heute zwar noch nicht in jede Hosentasche, aber zumindest schon komfortabel in jeden Rucksack
passt. Damit ist es oft nicht mehr erforderlich, den Studierenden einen PC für ihr Studium zur Verfügung zu stellen
– den bringen sie mittlerweile oft selbst mit. Immer wichtiger wird hingegen die Möglichkeit, mit diesem Rechner
auch abseits der herkömmlichen Netzwerkdosen Zugang
zum Internet zu erhalten. Hier stehen heute vor allem zwei
Technologien im Vordergrund:
• Zum einen bietet der ZID für alle Rechner mit Internetanschluss die Möglichkeit, von überall her mittels VPN
(Virtual Private Network, siehe www.univie.ac.at/
ZID/vpn/) eine verschlüsselte Verbindung zum UniDatennetz aufzubauen. Damit ist der Rechner – egal wo
er sich physisch befindet – ein (virtueller) Teil des Universitätsnetzes und kann alle Services genau so nutzen,
als wäre er direkt an der Uni angebunden. Das aktuelle
Schlagwort dazu heißt Personal Network: Die im Netz
benötigten Berechtigungen werden künftig nicht mehr
einem bestimmten Rechner (d.h. einer IP-Adresse) zugeordnet werden, sondern einer UserID.
Der ständige Ausbau der Netzwerk-Infrastruktur ist unumgänglich, weil das Internet in den letzten Jahren immer stärker Verwendung findet – insbesondere in der Lehre. Die
Universität fördert den Einsatz solcher Technologien z.B.
durch das eLearning-Strategieprojekt Neue Medien in der
Lehre, an dem auch der ZID beteiligt ist. Darüber hinaus hat
die Vernetzung der Studierenden untereinander ebenfalls
massiv zugenommen: Das Internet entwickelt sich immer
mehr zur zentralen Kommunikationsplattform, und der
Wunsch, überall entsprechende Zugangsmöglichkeiten vorzufinden, ist daher nur die logische Folge.
In diese Richtung geht auch das europaweite Projekt eduroam, das es den BenutzerInnen ermöglicht, mit den Zugangsdaten des Heimat-Netzwerks nicht nur an der eigenen
Universität, sondern auch an allen anderen teilnehmenden
Organisationen einen Internetzugang zu erhalten (siehe
dazu auch Seite 22). In Österreich ist eduroam erst im Aufbau begriffen; dennoch kann man mit einem Unet- oder
Mailbox-Account bereits in vielen Ländern Europas die
Netzwerke der dortigen Universitäten verwenden. Sogar in
Australien besteht mittlerweile an 52 Universitäten die Möglichkeit, auf diese Art zu surfen.
Was kommt?
Das Internet hat bereits einiges an klassischer Technologie
abgelöst: Briefe wurden zu eMails, Telegramme gibt es (zumindest in Österreich) überhaupt nicht mehr, Faxe werden
nur noch verschickt, wenn es notwendig ist, Fotoalben legt
man nicht mehr ins Bücherregal, sondern auf seine Homepage – und das ist erst der Anfang der Entwicklung. Besonders gut ist diese Veränderung im Moment im Bereich der
Telefonie zu beobachten. Das herkömmliche Festnetztelefon
ist mittlerweile ziemlich aus der Mode gekommen und oft
nur deshalb noch vorhanden, weil es für den ADSL-Anschluss benötigt wird. Telefonie via Internet (z.B. mittels
Skype) ist bereits eine ernst zu nehmenden Alternative,
auch wenn sie ihre Tücken hat.2) Und dort, wo es mobil
sein soll, ist das Handy zu einem Teil unseres Alltags geworden: Vor 10 Jahren war es noch eine Kuriosität, wenn
jemand ein Handy hatte; heute ist es schon fast eine Kuriosität, wenn jemand „nur“ ein Handy – ohne allerlei Zusatzfunktionen – hat. Auch hier ist trotz etlicher Startschwierigkeiten der nächste Entwicklungsschritt schon abzusehen:
die Verbindung von Handy und Internet. Telefonieren und
Surfen aus (oder vielmehr in) einer Hand, mit zahlreichen
Features angereichert, soll die Richtung sein, in die es geht.
„Fernsehen am Handy“ geistert hier immer wieder durch
die Medien, und auch wenn nicht alles so kommen wird,
wie es zu lesen ist – ein Teil davon wird wohl eintreffen.
In jedem Fall wird es nicht mehr entscheidend sein, ob man
Zugang zur vernetzten Welt hat (das wird genauso selbstverständlich sein wie der Strom aus der Steckdose), sondern wie man Zugang erhält – ob mittels Kabel, WLAN oder
Mobilfunk. Im Bereich der Uni Wien ist der ZID bemüht,
das Netzwerk in diesem Sinn zu betreiben und allen Universitätsangehörigen weiterhin einen schnellen, verlässlichen und sicheren Weg in die digitale Welt zu bieten.
Ulrich Kiermayr I
Comment 06 /3
• Um innerhalb der Universität auch Notebook-Benutzern
eine Netzwerkanbindung zur Verfügung stellen zu können, baut der ZID die Versorgung mit WLAN (Wireless
Local Area Network, siehe www.univie.ac.at/ZID/
wlan/ bzw. Artikel auf Seite 22 und 24) laufend aus.
Derzeit bieten ca. 250 Accesspoints an fast allen Standorten der Universität einen kostenlosen Internetzugang
für Studierende und MitarbeiterInnen. Besonderes Augenmerk beim WLAN-Ausbau liegt auf jenen Bereichen,
die von Notebook-BenutzerInnen häufig besucht werden – z.B. Bibliotheken, Seminarräume, Aufenthaltsbereiche, aber auch zum Teil die Mensen oder die Höfe
des Universitätscampus AAKH. Aufgrund ihrer Größe
wird es zwar kaum realisierbar sein, die gesamte Universität flächendeckend mit Funknetzen zu versorgen (dafür wären tausende Accesspoints erforderlich), aber die
Netzabdeckung Schritt für Schritt zu erhöhen, ist ein
Projekt, das uns noch einige Jahre begleiten wird.
21
22
WLAN: FUNKNETZ-AUSBAU AN DER UNI WIEN
In den letzten Jahren hat der wireless Internetzugang, die
drahtlose Einwahl mit dem Computer in das Netz, zunehmend an Bedeutung gewonnen. Sowohl in Firmen als auch
im privaten wie im Bildungsbereich wurden diese Internetzugänge massiv ausgebaut, d.h. auf Funkverbindungen umgerüstet, und immer größere Bereiche wurden mit WLAN
(Wireless Local Area Network) abgedeckt bzw. traditionelle
(verkabelte) Verbindungen ersetzt. Zu den wichtigsten
Gründen hierfür zählen:
• Mobilität der BenutzerInnen: Der standortunabhängige Internetzugang wird immer wichtiger. Die Möglichkeit zur Einwahl in das Internet soll überall verfügbar
und einfach zu verwenden sein.
• Abdeckung unzugänglicher Bereiche: Mit WLAN
können nun auch jene Bereiche abgedeckt werden, die
mit einer Verkabelung nur schwer erreichbar sind (Freiflächen, spezielle Räume wie z.B. Altbau, denkmalgeschützte Gebäude etc.).
• Geringerer Zeit- und Kostenaufwand: Die Planung,
Verkabelung und Montage eines Accesspoints1) nimmt
deutlich weniger Arbeitszeit und Installationskosten in
Anspruch als die vollständige Verkabelung eines Raumes,
insbesondere wenn es sich dabei um einen Raum mit
stark wechselnder Nutzung wie z.B. ein Besprechungszimmer handelt.
Dennoch werden fixe Arbeitsplätze auch weiterhin mit
Kabel versorgt werden, da WLAN trotz aller Vorteile nicht
die Stabilität und Geschwindigkeit einer verkabelten Verbindung bieten kann.
An der Uni Wien wurden in den letzten Jahren sowohl die
flächenmäßige Abdeckung des WLAN-Zuganges erweitert
als auch viele Verbesserungen im Bereich der Funktionalität
geschaffen. So wurden in den letzten drei Jahren
Comment 06 /3
1) Accesspoint = Zugangspunkt, der die Verbindung (Brücke) zwischen WLAN (Wireless Local Area Network: Funknetzwerk) und
LAN (Local Area Network: verkabeltes Netzwerk) herstellt
2) siehe Artikel Datentankstelle802.1X – Ein verschlüsseltes Funknetz
für die Uni Wien in Comment 06/1, Seite 54 bzw. unter www.
univie.ac.at/comment/06-1/061_54.html sowie Artikel
Education Roaming – Freier WLAN-Zugang für Uni-Angehörige im
eduroam-Verbund in Comment 06/1, Seite 53 bzw. unter www.
univie.ac.at/comment/06-1/061_53.html
3) siehe Artikel Education Roaming – Freier WLAN-Zugang für UniAngehörige im eduroam-Verbund in Comment 06/1, Seite 53 bzw.
4) 802.1X = auf dem RADIUS-Protokoll basierender IEEE-Standard für
Benutzerauthentifizierung und -accounting, der hauptsächlich im
WLAN-Bereich eingesetzt wird
• die verfügbaren Accesspoints mehr als verzehnfacht
(deren Anzahl ist von 20 Stück im Jahr 2003 auf derzeit
über 250 Stück gewachsen),
• immer mehr Universitätsgebäude mit flächendeckender
WLAN-Versorgung ausgestattet statt nur mit einzelnen
Hotspots (z.B. in einem Hörsaal) versehen und
• verschiedene Netze (Datentankstelle, Datentankstelle802.1X, eduroam und eduroamWeb) 2) nebeneinander
aufgebaut, die gemeinsam mehr bzw. unterschiedliche
Funktionalitäten und Sicherheit für verschiedene Benutzergruppen bieten.
Neuerungen beim WLAN-Service
Im Folgenden wird auf die Umbauten beim WLAN-Service
(ehemals Wireless PNS, Wireless Public Network Services) in
den letzten Monaten an der Universität Wien und die damit
entstandenen Veränderungen für BenutzerInnen näher eingegangen.
An folgenden Standorten wurden erst kürzlich WLANAccesspoints errichtet:
Vollversorgung:
• Zentrum für Translationswissenschaften
(1190 Wien, Gymnasiumstraße 50)
• Zentrum für Sportwissenschaften, USZ II
(1150 Wien, Auf der Schmelz 6a / Possingergasse)
• In Zusammenarbeit mit der Leitung der Universitätsbibliotheken wurde darüber hinaus auch der Großteil der
Bibliotheksstandorte voll mit WLAN-Accesspoints versorgt.
Teilversorgung (Hörsäle):
• Universitätshauptgebäude
(1010 Wien, Dr.-Karl-Lueger-Ring 1)
• Zentrum für Sportwissenschaften, USZ I
(1150 Wien, Auf der Schmelz 6)
• Neues Institutsgebäude / NIG
(1010 Wien, Universitätsstraße 7)
Ein neues Funknetz
Zusätzlich zum 802.1X-Netz (eduroam) 3) ist seit einigen
Wochen auch das eduroamWeb-Netz verfügbar. Dieses
bietet – wie eduroam – Internetzugang für MitarbeiterInnen
und Studierende jener Universitäten, die am internationalen eduroam-Projekt teilnehmen. Allerdings ist eduroamWeb unverschlüsselt und die Authentifizierung erfolgt über
eine Webseite anstatt über 802.1X 4). Dieses Netz kann daher auch mit älteren Betriebssystemen (z.B. Windows 95/98)
bzw. bei Problemen mit 802.1X verwendet werden.
23
Benutzerfreundlicher Zugang
Aufgrund der großen Anzahl an Accesspoints wird seit etwa
drei Monaten ein WLAN Management System eingesetzt,
das Neuerrichtungen, Konfigurationsänderungen und Fehleranalysen deutlich vereinfacht und damit eine bessere
Verfügbarkeit und Stabilität der Funknetze garantieren soll.
Für die BenutzerInnen sind im Zuge dessen folgende positive Änderungen entstanden:
• Die neue Login-Webseite (Datentankstelle, eduroamWeb) hat sich nicht nur im Design verbessert, sondern
ermöglicht auch eine kontinuierliche WLAN-Nutzung
über einen beliebigen Zeitraum hinweg, anstatt der bisherigen fixen Nutzungsintervalle von 1, 2 oder 8 Stunden
(nach dieser Zeit wurden die BenutzerInnen automatisch ausgeloggt).
• Weiters hat sich die Roaming-Funktionalität 5) verbessert. Standort- und Accesspoint-Wechsel bei laufender
Verbindung ist jetzt an der gesamten Universität möglich, solange die Funkwolke nicht vollständig verlassen
wird.
Stichwort Wireless Security
Parallel zu dem Ausbau bzw. zu der stärkeren Verwendung
der WLAN-Netze wird auch das Thema Wireless Security
immer wichtiger. Wie auch verkabelte Netze sind Funknetze
permanent Hacker-Attacken ausgesetzt und müssen gegen
unrechtmäßigen Zugriff und Missbrauch geschützt werden.
Hier ein kurzer Auszug von WLAN-spezifischen Attacken:
• Deauthentication Flooding: Der Angreifer sendet gefälschte Deauthentifizierungs-Pakete 6) entweder an den
Accesspoint oder an den Klienten und beendet damit
die Verbindung zwischen diesen beiden. Bei regelmäßiger Wiederholung dieses Angriffs hat der Klient keine
Möglichkeit, eine funktionierende Verbindung zustande
zu bringen.
• AP Impersonation / Honeypot AP / MITM 9): Der Angreifer betreibt einen Accesspoint mit derselben MACAdresse10) und identischem WLAN-Netz wie der legitime Accesspoint. Klienten, die zwischen diesen beiden
nicht unterscheiden können, verbinden sich eventuell
mit dem falschen Accesspoint. Der Angreifer kann somit
falsche Login-Seiten vortäuschen und/oder im schlimmsten Fall Benutzeraccounts und -daten mitlesen.
und andere WLAN-basierte Geräte, z.B. Bluetooth
WLAN-Beamer 11) verwenden dieselben Funkfrequenzen wie WLAN-Accesspoints (802.11b/g-Standard 12) ).
Da es laut Standard nur drei nicht überlappende Funkfrequenzen gibt und oft bereits zwei oder drei Accesspoints in einem Bereich funken, kann der zusätzliche
Einsatz von WLAN-Beamern zu störenden Interferenzen
führen. Sowohl die Funknetze der Universität Wien als
auch die Übertragung zum Beamer können dadurch
an Geschwindigkeit verlieren bzw. die Verbindung
sogar abbrechen.
Aus diesem Grund bittet der ZID alle Institute, die
über die Anschaffung von WLAN-Beamern nachdenken, um Kontaktaufnahme mit dem ZID unter [email protected], um Probleme dieser Art
schon vor der Errichtung zu besprechen und sofern
möglich zu vermeiden.
Hier sind nicht nur Internet-Banking oder ähnlich sensible
Anwendungen gefährdet – auch Mailverkehr, Online-Einkäufe oder einfach das Surfverhalten eines Benutzers könnten für einen Angreifer interessant sein.
Wenn auch solche Attacken nicht einfach durchzuführen
bzw. nicht mit fertigen Tools oder Programmen ohne spezielles Wissen möglich sind, sollte sich trotzdem jeder
Benutzer, der sich in ein Funknetz einwählt, dieses Risikos
bewusst sein. Die Universität Wien bietet mit der Datentankstelle802.1X und eduroam zwei verschlüsselte, relativ
5) Roaming = Wechsel des Verbindungsanbieters (Betreiber, Funkstation, Accesspoint, …) bei laufender Verbindung
6) Deauthentification = Beendigung der Authentifizierung
7) Assoziierung = erstmaliges Herstellen der Verbindung mit einem
Accesspoint
8) Klienten-Tabelle = lokale Tabelle mit allen momentan verbundenen
Geräten
9) MITM (Man In The Middle) = ein Angriff, bei dem versucht wird,
Teil einer Verbindung zu werden, um Daten zu lesen, zu löschen
oder zu verändern
10) MAC-Adresse (Media Access Control ) = Hardware-Adresse jeder
einzelnen Netzwerkkarte bzw. jedes einzelnen WLAN-USB-Adapters, die zur eindeutigen Identifikation des Geräts im Netzwerk
dient
11) Ein WLAN-Beamer ermöglicht die drahtlose Datenübertragung und
Wiedergabe von Computerinhalten zum Projektor über ein Funknetzwerk.
12) 802.11b/g = IEEE-Standard für Funknetze im 2,4 GHz-Bereich, inkl.
z.B. möglicher Frequenzkanäle
Comment 06 /3
• Association Flooding: Der Angreifer schickt Assoziierungs-Pakete 7) an den Accesspoint, um dessen KlientenTabellen 8) zu füllen. Wenn die Attacke erfolgreich ist,
hat der Accesspoint viele „sinnlose“ Klienten in seiner
Tabelle und kann keine weiteren (wenn auch legitimen)
Verbindungen akzeptieren.
Ausbaurichtlinien für
WLAN-Beamer
24
sichere Netze an. Sofern möglich, sollten diese gegenüber
der Datentankstelle oder eduroamWeb bevorzugt verwendet werden. Anleitungen zum Konfigurieren der Datentankstelle802.1X für Windows XP und Mac OS X finden Sie
unter www.univie.ac.at/zid/anleitungen-wlan/.
Alle BenutzerInnen, die bei der Durchführung einer
Attacke identifiziert werden, sowie BenutzerInnen
mit virenverseuchten Computern bzw. Notebooks
„VERSTRAHLTE “
werden vom ZID für den Zugang zum WLAN gesperrt.
Falls Ihr Account im WLAN-Netz der Universität Wien nicht
mehr funktionieren sollte, wenden Sie sich bitte an den
Helpdesk des ZID, um Funktionsstörungen bzw. Sperren
zu beheben:
NIG (1010 Wien, Universitätsstraße 7), Stg. II, 1. Stock
eMail: [email protected]
Telefon: +43-1-4277-14060
Daniel Schirmer I
UNIVERSITÄT ?
WLAN und Elektrosmog
Wenn im Alltag von „Elektrosmog“ gesprochen wird, sind
meist technisch – d.h. durch elektrische Geräte, Leitungen
und Sender – erzeugte elektrische und magnetische Felder
gemeint. International gebräuchlich ist der Ausdruck EMF,
elektromagnetische Felder.
Grundlagen
Comment 06 /3
Jede Anwendung von Elektrizität, wie z.B. das Stromversorgungsnetz oder Mobilfunk, erzeugt Felder und führt so zu
Elektrosmog. Man unterscheidet zwischen Gleich- und
Wechselfeldern. Felder lassen sich durch ihre Stärke (Amplitude) beschreiben; bei Wechselfeldern ist zusätzlich die
Schwingung (Wellenlänge) sowie die Schwingungszahl
(Frequenz) charakteristisch. Die Erde ist von natürlichen
elektrischen und magnetischen Feldern umgeben. Das tech-
Abb. 1: Frequenzbereiche elektromagnetischer Felder
nologische Eingreifen durch den Menschen seit dem Ende
des 19. Jahrhunderts bewirkt, dass die Erde nun auch von
künstlichen elektromagnetischen Feldern umgeben ist.
• Gleichfelder (oder statische Felder) werden beispielsweise durch Batterien oder elektrostatische Aufladungen produziert. Sie haben eine im Wesentlichen zeitlich
konstante Stärke.
• Bei Wechselfeldern dagegen, wie sie z.B. im öffentlichen
Stromnetz auftreten, ändern sich Polarität und Stärke
periodisch: Sie schwingen mit einer bestimmten Frequenz
(siehe Abb. 1). Abhängig von ihrer jeweiligen Frequenz
haben die von Wechselfeldern ausgehenden elektromagnetischen Felder entsprechende Wellenlängen: Je höher
die Frequenz, desto kürzer die Wellenlänge. Elektromagnetische Felder breiten sich also als Welle frei im Raum
aus. Aus praktischen Gründen werden Wechselfelder in
nieder- und hochfrequente eingeteilt. Während niederfrequente Wechselfelder (bis 30 kHz) in sämtliche Stoffe
relativ tief eindringen können, können hochfrequente
Wechselfelder in Abhängigkeit von ihrer Frequenz nur
bis zu einer gewissen Tiefe (wenige Zentimeter bis Millimeter) in diese Stoffe – z.B. in den menschlichen Organismus – eindringen.
Niederfrequente Wechselfelder (bis 30 kHz)
Bis zu einer Frequenz von 30 kHz (das sind Wellenlängen
von 10 km und mehr) spricht man von „niederfrequenten
Wechselfeldern“. Vereinfacht ausgedrückt gilt: Wo Spannung
ist, ist ein elektrisches Feld – und wo Strom ist, ist ein magnetisches Feld. Sobald z.B. eine (ausgeschaltete) Schreibtischlampe an eine Steckdose angesteckt wird, erzeugt die
nun anliegende, mit 50 Hz wechselnde Spannung des öffentlichen Stromversorgungsnetzes ein elektromagnetisches
Wechselfeld. Schaltet man die Lampe ein, bringt der im
Kabel der Lampe fließende Strom die Glühbirne zum
Leuchten, die Stärke des elektromagnetischen Wechselfeldes
wird durch den Stromfluß erhöht.
Typische Verursacher von niederfrequenten elektromagnetischen Wechselfeldern im täglichen Leben sind z.B. EHerd, Haarfön, Lampen, Strominstallationen in Gebäuden
oder Oberleitungen bei Eisenbahn bzw. Straßenbahn.
Hochfrequente Wechselfelder
(30 kHz bis 300 GHz)
Bei Frequenzen zwischen 30 kHz und 300 GHz spricht man
von „hochfrequenten Wechselfeldern“ bzw. nicht ionisierender Strahlung. Dies entspricht Wellenlängen von 10 km
bis hin zu 1 mm. Hochfrequente elektromagnetische Felder
werden zum Beispiel bei Radio und Fernsehen, Mobilfunk,
WLAN, Bluetooth, Rettungs-, Betriebs- und Taxifunk oder
funkbasierten Diebstahlsicherungen genutzt.
Die für Handy, Bluetooth, Mikrowelle und WLAN verwendeten Frequenzen umfassen den Bereich von ca. 1 GHz bis
3 GHz; das bedeutet Wellenlängen im Bereich von 30 cm
bis 10 cm. Die erwähnten lokalen Unterschiede in der Feldstärke können daher auch in diesen kleinen Dimensionen
beträchtlich sein.
Weiterführende Informationen
• Informationsstelle zum Thema WLAN & Elektrosmog: Zentraler Informatikdienst der Universität
Wien (Kontakt: [email protected])
• Informationsstelle zum Thema Elektrosmog &
gesundheitliche Beeinträchtigungen: Abteilung für Arbeitnehmerinnen- und Arbeitnehmerschutz (ANS) des Raum- und Ressourcenmanagements (www.univie.ac.at/ANS/) bzw. Arbeitsmediziner der Uni Wien (über ANS erreichbar)
• Broschüre Elektromagnetische Felder der
AUVA: erhältlich in der Abteilung für Arbeitnehmerinnen- und Arbeitnehmerschutz, auch als PDFDatei verfügbar
• ÖNORM S 1119: Grenzwerte für niederfrequente
elektrische und magnetische Wechselfelder (www.
ove.at)
• ÖVE/ÖNORM 8850: Grenzwerte für hochfrequente
elektromagnetische Wechselfelder (www.ove.at)
• Elektrosmog
auf Wikipedia: http://de.
wikipedia.org/wiki/Elektrosmog
• Informationsplattform zum Thema EMF der
Forschungsstiftung Mobilkommunikation, ETH
Zürich: www.emf-info.ch (alltägliche Belastung
leicht verständlich aufbereitet – sehr empfehlenswert für Neueinsteiger)
• Deutsches Mobilfunk-Forschungsprogramm:
www.emf-forschungsprogramm.de
• Moser, Rolf: Das Handyhandbuch, Verlag der
Grünen Bildungswerkstatt OÖ, ISBN 3-902009-25-X
(kostenloser Download unter www.ooe.gbw.at/
verlag/vorschau/das-handyhandbuch-neu/)
• Grasberger, Th. und Kotteder, F.: Mobilfunk – Freilandversuch am Menschen, Kunstmann (2003),
ISBN 3-88897-328-7
Strahlung (über 300 GHz)
Über einer Frequenz von 300 GHz spricht man von Strahlung. Die Wellenlängen betragen hier weniger als einen
Millimeter. In diese Kategorie fallen das sichtbare Licht und
die so genannte ionisierende Strahlung, z.B. Röntgen- und
Gammastrahlung. Ionisierende Strahlung wird heute unter
anderem für die Sterilisation von Geräten, Implantaten oder
Lebensmitteln eingesetzt, aber auch für die Strahlentherapie
in der Krebsbekämpfung.
Comment 06 /3
Wechselfelder in diesem Frequenzbereich werden grundsätzlich schwächer, je größer der Abstand zur Quelle ist.
Aufgrund ihrer relativ kurzen Wellenlänge nimmt die Intensität der Strahlung – infolge von Reflexionen und Interferenzen bzw. Abschirmungen – jedoch nicht immer gleich mit
der Entfernung ab: Einerseits können im Raum Schwingungsknoten mit wesentlich stärkeren Feldstärken beobachtet werden, andererseits können aber auch Punkte im
Raum mit wesentlich schwächeren Feldstärken beobachtet
werden. Hier lässt sich ohne spezielle Computerprogramme
bzw. Messungen vor Ort keine genaue Vorhersage über
mögliche Feldstärken treffen.
25
26
Messverfahren für Elektrosmog
Zur Festlegung von offiziellen Grenz- und Richtwerten
(siehe Tabelle unten) werden folgende Messverfahren
herangezogen:
Stromdichtemessung
Bei niederfrequenter Strahlung bis 30 kHz wird zur
Ermittlung von Grenzwerten die Änderung der Stromdichte im Körper gemessen. Niederfrequente magnetische Wechselfelder induzieren bei geeigneter Stärke
einen elektrischen Stromfluss im Körper. Niederfrequente
elektrische Wechselfelder bewirken durch Ladungsverteilung einen elektrischen Stromfluss im Körper. Die
Grenzwerte werden für das magnetische Wechselfeld in
Tesla (T) bzw. für das elektrische Wechselfeld in Volt
pro Meter (V/m) angegeben.
Spezifische Absorptionsrate (SAR)
Das thermische Wirkungsmodell ist die Grundlage der
gesetzlichen Grenzwerte für hochfrequente elektromagnetische Wechselfelder (nicht ionisierende Strahlung).
Diese beziehen sich daher nur auf die thermischen Effekte, also auf Gewebeerwärmungen durch Strahlungsabsorption.
Comment 06 /3
In den Körper eindringende, nicht ionisierende Strahlung kann ab einer bestimmten Stärke das Gewebe erwärmen und es dadurch schädigen. Es wird davon ausgegangen, dass dafür eine bestimmte Zeit notwendig ist.
Daher werden zur Einschätzung der biologischen Wirkungen nicht die für Sekundenbruchteile auftretenden
Spitzenwerte herangezogen, sondern die über ein bestimmtes Zeitintervall gemittelten Leistungsflussdichten.
Man unterscheidet zwischen Ganzkörper-SAR und Teilkörper-SAR (kleinerer Gewebebereich, z.B. Kopf). Die
SAR wird in Watt pro Kilogramm (W/kg) angegeben. In
Österreich gelten für elektromagnetische Felder ebenfalls die Grenzwerte der Weltgesundheitsorganisation
(WHO). So wurde z.B. als SAR im Umfeld von Handymasten 0,08 W/kg für den ganzen Körper und als SAR
beim Telefonieren mit dem Handy 2 W/kg für den Kopf
als betroffenen Teilbereich des Körpers festgesetzt.
Leistungsflussdichte
(abgeleiteter Grenzwert)
Die Leistungsflussdichte beschreibt die Intensität der
Strahlung. Sie gibt an, wie viel Energie mit Hilfe elektromagnetischer Wellen durch den Raum transportiert
wird. Als Einheit der Leistungsflussdichte wird Watt pro
Quadratmeter (W/m2 ) verwendet; häufig wird auch
Milliwatt pro Quadratmeter (mW/m2 ) bzw. Mikrowatt
pro Quadratmeter (µW/m2 ) als Einheit angegeben (1 W
= 1000 mW; 1 mW = 1000 µW).
Da die Ermittlung der SAR-Basisgrenzwerte in der Praxis
sehr aufwendig ist, wurden so genannte „abgeleitete
Grenzwerte“ zur einfachen Messung der elektromagnetischen Felder entwickelt. Aus den SAR-Basisgrenzwerten und unter Berücksichtigung eines Sicherheitsfaktors von 50 ergeben sich folgende frequenzspezifischen Grenzwerte:
• UMTS:
10 W/m2
• GSM 1800 MHz: 9 W/m2
• GSM 900 MHz:
4,5 W/m2
Diese abgeleiteten Grenzwerte stellen sicher, dass die
Basisgrenzwerte (SAR) nicht überschritten werden, d.h.
Bei hochfrequenter Strahlung zwischen 30 kHz und
dass die Erwärmung des Kopfes beim Telefonieren mit
300 GHz wird daher die spezifische Absorptionsrate
dem Handy 0,1° C nicht übersteigt.
(SAR) des gesamten Organismus bzw. des Kopfes ermittelt. Die SAR gibt an, wie viel elektromagnetische Energie vom Körper in
Grenz- und Richtwerte
mW/ m2
äußeren Feldern aufgenommen und in
ICNIRP/WHO/EU-Ratsempfehlung (1800 MHz, z.B. GSM)
9000 *
Wärme umgewandelt wird. Über einer
Frequenz von 30 kHz treten die MoleDeutschland (1800 MHz, z.B. GSM)
9000
küle des Organismus mit den Wellen
Österreich-ÖNORM S 1120 (900 MHz / 1800 MHz, z.B. GSM)
6000 / 10 000
der äußeren Felder in Resonanz und
Russland (Summe Hochfrequenz)
100
beginnen zu schwingen bzw. zu rotieren. Dies erzeugt einen Wärmeeffekt
Wien (Gemeindebauten Summe GSM, Innen und Außen)
10 *
im Organismus, der heute als Basis für
Salzburger Vorsorgewert 1998 (Summe GSM Außen)
1*
Grenzwerte der Weltgesundheitsorganisation (WHO), der Internationalen
Salzburger Vorsorgewert 2002 (Summe GSM Außen)
0,01 *
Kommission zum Schutz vor nicht ioniSalzburger Vorsorgewert 2002 (Summe GSM Innen)
0,001 *
sierender Strahlung (ICNIRP) und auch
der Europäischen Union herangezogen
Grenz-/Richtwerte für hochfrequente elektromagnetische Wechselfelder (Mobilfunk)
* = Richtwerte
wird.
Wirkungen auf den Körper
Elektrosensibilität
Prinzipiell muss zwischen thermischen und nichtthermischen Wirkungen bzw. Effekten unterschieden werden:
Unter Elektrosensibilität versteht man das Auftreten von
mindestens einem psychischen und/oder physischen Symptom (z.B. Kopfschmerzen, Schlafstörungen, Konzentrationsschwächen, Veränderungen von Blutdruck und Herzschlag
etc.), verursacht durch diverse elektromagnetische Felder.
Ursachen dieser Belastungen können elektromagnetische
Felder sein (ausgehend von Mobilfunk, Radio- und Fernsehsendern, Mikrowellengeräten), aber auch niederfrequente
elektrische und magnetische Wechselfelder, wie sie im Haushalt oder in der Nähe von Trafo-Stationen und Fernleitungen vorkommen. Die Anzahl von elektrosensiblen Personen
wird in manchen Studien mit bis zu 6% angegeben. Für dieses Krankheitsbild gibt es zwei Erklärungsmodelle:
• Unter thermische Effekte fallen Gewebeerwärmungen
durch Strahlungsabsorption, wie wir sie auch von der
Infrarotstrahlung durch die Wärmeempfindung anschaulich kennen.
• Beeinflussungen des Organismus wie z.B. Beeinflussung des Herz-/Kreislaufsystems oder der biologischen
Ströme (Nervensystem, Gehirn) werden den nichtthermischen Wirkungen zugerechnet.
Das thermische Wirkungsmodell bildet die Grundlage der
gesetzlichen Grenzwerte für hochfrequente elektromagnetische Wechselfelder. Nichtthermische Wirkungen werden
nicht berücksichtigt. Zahlreiche Wissenschaftler sind jedoch
der Ansicht, dass Auswirkungen der Strahlung auf den
Körper schon weit unterhalb der thermischen Grenzwerte
möglich sind. Sie fordern daher die Einführung von „Vorsorgewerten“, die deutlich unter den gesetzlichen Grenzwerten liegen (siehe Kasten Messverfahren für Elektrosmog
auf Seite 26). Die wissenschaftliche Diskussion über dieses
Thema ist auch nach Jahren noch nicht abgeschlossen. Es
gibt zwar unzählige Beobachtungen, Arbeiten und Studien,
die über mögliche Gesundheitsrisiken und Befindlichkeitsstörungen berichten, aber keine wissenschaftlich abgesicherten Daten über eine konkrete Gesundheitsgefährdung
durch schwache hochfrequente Strahlung. Dennoch warnte
die Ärztekammer im Jahr 2005 vor einem unkontrollierten
Gebrauch von Handys durch Kinder (basierend auf der
REFLEX-Studie – Näheres dazu siehe z.B. http://www.
aekwien.at/media/REFLEX_Vortrag.pdf).
Folgende nichtthermische Wirkungen werden unter anderem vermutet:
• Effekte auf das genetische Material (chromosomale Schäden, Tumorentstehung);
• neurologische Symptome und EEG(Hirnstromaktivität)Veränderungen;
• Blutdruckveränderungen;
• Verhaltensstörungen, Schlafstörungen, Kopfschmerzen,
Müdigkeit, Tinnitus, Änderung der kognitiven Funktionen1);
• übersteigerte Empfindlichkeit gegenüber elektromagnetischen Feldern („Elektrosensibilität“).
2) Wolf C., Barth A.: Befindlichkeitsstörungen ohne Befund – moderne
Symptome, Internist 43: 833 (2002)
3) Krause et al. 2000: Effects of electromagnetic field emitted by cellular
phones on the EEG during a memory task, Neuroreport 11(4), 761–
764
• Elektrosensibilität ist tatsächlich vorhanden
Ursache der Elektrosensibilität ist demnach ein bis jetzt
noch nicht entdeckter „bioelektrischer“ Mechanismus.
Vertreter dieses Modells empfehlen daher eine Expositionsreduktion (Isolierung von Elektrokabeln, Installation von Netzfreischaltern, Abschirmungen u.Ä.).
• Elektrosensibilität als psychologisches Phänomen
Die Beschwerden als solche werden zwar nicht bezweifelt, sehr wohl aber ihre Auslösung durch elektromagnetische Felder. Ausgehend von Symptomen, für die die
Betroffenen keine einleuchtende medizinische Erklärung und/oder Therapie erhalten, entwickelt sich stufenweise ein Zustand, in dem bei jedem Auftreten von Beschwerden elektromagnetische Felder gesucht und als
Auslöser identifiziert werden.2)
Wegen des großen öffentlichen Interesses wurde im
Februar 2004 von Infrastrukturminister Hubert Gorbach der
Wissenschaftliche Beirat Funk (WBF) eingerichtet. Dieser
sollte als erstes die weltweit vorliegenden Studien zum
Thema Mobilfunk und Gesundheit kritisch durchleuchten.
Das Ergebnis: Es sind sehr wohl Effekte feststellbar, doch in
keiner Studie konnte ein schädlicher oder gar krankmachender Effekt nachgewiesen werden (z.B. wurden EEGVeränderungen während des Handy-Telefonierens zwar beobachtet, aber als nicht schädlich eingestuft). 3)
E-Smog durch WLAN
an der Universität Wien?
Der ZID wurde im Zuge des Ausbaus der WLAN-Infrastruktur an der Uni Wien (WLANs = Wireless Local Area Networks,
lokale Funknetzwerke) verstärkt mit dem Thema Elektrosmog konfrontiert: Von einigen UniversitätsmitarbeiterInnen wurde eine ernst zu nehmende, von den Accesspoints
ausgehende Strahlenbelastung befürchtet. Daher entschloss
sich der Zentrale Informatikdienst, sich mit der Thematik
genauer auseinanderzusetzen und eine entsprechende Arbeitsgruppe ins Leben zu rufen – gemeinsam mit der Abteilung für Arbeitnehmerinnen- und Arbeitnehmerschutz des
Raum- und Ressourcenmanagements unter der Leitung von
Comment 06 /3
1) Anmerkung: Diese Symptome, wie auch die oben genannten Blutdruckveränderungen, werden mittlerweile bei den verschiedensten
Krankheitsbildern angeführt – z.B. bei Elektrosensibilität oder auch
bei diversen Umweltkrankheiten wie Chemikalienunverträglichkeiten.
27
28
Mag. Martina Kaburek
(www.univie.ac.at/
ANS/ ) und den für die
Universität Wien zuständigen Arbeitsmedizinern
Dr. Clemens Becsi und
Dr. Beata Lutomska-Kaufmann von der TeamPrevent GmbH (siehe www.
teamprevent.at).
Medizinische
Beurteilung
Quelle
Frequenzbereiche
Maximal zulässige Sendeleistung
Mindestabstand
Basisstation Mobilfunk
900 MHz / 1800 MHz
bis 50 W / 20 W
2,5 m
Handy
900 MHz / 1800 MHz
bis 2 W / 1 W
keiner
Bluetooth
2,4 GHz
bis 1 mW / 2,5 mW / 100 mW
keiner
DECT (Schnurlostelefon)
1880 MHz
bis 250 mW
keiner
WLAN
2,4 GHz / 5 GHz
bis 100 mW / 1 W
keiner
WLAN – Uni Wien / ZID
2,4 GHz / 5 GHz
1 mW *
keiner
Tabelle 1: Maximal zulässige Sendeleistungen in Österreich (* Bei manchen technisch schwierig zu versorgenden
Außenbereichen muss die maximale Sendeleistung von 1 mW überschritten werden.)
Es gibt mittlerweile zahlreiche nationale und internationale
Studien über die Wirkung von hochfrequenten elektromagnetischen Wechselfeldern. Bei allen diesen Studien steht die
Frage im Vordergrund, ob Mobilfunk (z.B. GSM, UMTS) ein
Gesundheitsrisiko darstellt. Zum Thema WLAN liegen jedoch noch keine Wirkungsdaten vor. Eine medizinische
Beurteilung kann daher nur anhand von Analogieschlüssen
mit dem GSM-Netz erfolgen.
Comment 06 /3
Bei WLAN-Netzen wird, analog zu den GSM-Basisstationen,
über einen Accesspoint ständig gepulste Strahlung ausgesandt. Der Nutzer und seine Umgebung sind über die Sendeantenne des Notebooks einer näheren und damit stärkeren
Strahlenexposition ausgesetzt. Die stärkste Belastung liegt
also bei Benutzung des Notebooks vor (wie im GSM-Netz
beim Telefonieren mit dem Handy) und erfolgt nur während der Nutzdatenübertragung. Dauersendende Mobilfunk-Basisstationen sind beim GSM-Netz in der Regel weiter weg und außerhalb des Gebäudes, wobei allerdings immer mehr Mikrozellen zur lückenlosen Versorgung in Gebäuden (z.B. in Tiefgaragen) zum Einsatz kommen.
WLAN arbeitet im Frequenzbereich von 2400–2483,5 MHz.
GSM arbeitet in den Frequenzbereichen 1710 –1785 MHz
(uplink) und 1805 –1880 MHz (downlink). Die maximal zulässige EIRP (= äquivalente isotrope Strahlungsleistung:
Sender-Ausgangsleistung plus Berücksichtigung der Antennenrichtwirkung) für WLAN im Frequenzbereich von
2400 –2483,5 MHz beträgt in Österreich 100 mW. Als
Reichweite werden in den Produktbeschreibungen – bei
Einhaltung von 100 mW EIRP – je nach Datenübertragungsrate für Innenräume etwa 25–50 m und für das Freie etwa
150 –550 m angegeben. In der Praxis liegen die Expositionen in Innenräumen etwa im Bereich von 0,0001 mW/m2
bis 1 mW/m2; es treten natürlich auch höhere und tiefere
Werte auf. Die maximal zulässige Leistung der WLAN-Geräte liegt allerdings mit 100 mW deutlich unter der Maximal-
leistung von Handys, die in Österreich bei GSM 1800 MHz
bis zu 1 W betragen darf (siehe Tabelle 1). Dafür senden
diese wiederum leistungsgeregelt, d.h. nur während des Gebrauchs und nur in der jeweils erforderlichen Intensität.
Bewertung des ZID
Auf die Auswertung des aktuellen Stands der Wissenschaft
bzw. Medizin folgte am ZID die Erkenntnis, dass das Thema
„WLAN und E-Smog“ umfassend und mit Bedacht behandelt werden muss: Ob und welche Risiken von einer möglichen Elektrosmog-Belastung durch WLAN ausgehen, kann
derzeit nicht endgültig beantwortet werden. Selbst die aktuellen Grenzwertempfehlungen namhafter Wissenschaftler
reichen von 0,001 mW/m2 bis 10 W/m2 (siehe Tabelle 2).
Daher entschloss sich der ZID, das Vorsorgeprinzip anzuwenden und alles zu tun, um die von den Accesspoints ausgehende Strahlenbelastung möglichst gering zu halten. Dies
erreichen wir durch eine Beschränkung der maximalen Sendeleistung der Accesspoints auf 1 mW. Eine mögliche Elektrosmog-Belastung an Dauerarbeitsplätzen kann zusätzlich
durch sorgfältige Wahl des Aufstellungsortes (Einhaltung
eines möglichst großen Abstands zu Dauerarbeitsplätzen,
Ausnutzung der abschirmenden Wirkung von Gebäudeteilen wie Wände oder Glasscheiben) vermindert werden.
Durch sorgfältige Festlegung der Strategie, welche Bereiche
mit WLAN versorgt werden sollen, ist ebenfalls eine Senkung der E-Smog-Belastung für die UniversitätsmitarbeiterInnen möglich. So könnten z.B. Notebooks an Dauerarbeitsplätzen anstatt über WLAN weiterhin über die Netzwerkverkabelung angebunden werden. In Aufenthaltsbereichen – speziell solchen für Studierende – oder Besprechungsräumen ist eine WLAN-Versorgung hingegen durchaus sinnvoll. Die Initiative zur Errichtung einer solchen
Infrastruktur muss allerdings von der jeweiligen Organisa-
Experte
Institution
Grenzwertempfehlung
Prof. Dr. Robert Wana
Wissenschaftlicher Beirat Funk (WBF)
10 W/m2 (ÖVE/ÖNORM 8850)
DI Dr. Hans-Peter Hutter
Institut für Umwelthygiene (Medizinische Universität Wien)
1 mW/m2
Dr. Gerd Oberfeld
Landessanitätsdirektion Salzburg
0,001 mW/m2 (Salzburger Vorsorgewert)
Tabelle 2: Von namhaften Experten im Juni 2006 empfohlene Grenzwerte für Belastungen durch elektromagnetische Wechselfelder
tionseinheit der Uni ver sität
Wien ausgehen (wenden Sie
sich dazu bitte per eMail an
netzwerk.zid@univie.
ac.at).
Fazit
Quelle
Exposition Mittelwert
Exposition Spitzenwert
WLAN – Uni Wien / ZID, 1 m
0,047 mW/m2
0,14 mW/m2
0,038 mW/m2
0,26 mW/m2
0,018 mW/m2
0,169 mW/m2
Notebook, 60 cm Abstand
0,0014 mW/m2
0,082 mW/m2
Handy Nokia 6210, 2 m, Verbindungsaufbau
1,2 mW/m2
> 20 mW/m2
29
Handy Nokia 6210, 2 m, Gespräch
1,8 mW/m2
2,8 mW/m2
Bei der Abwägung möglicher
Risiken gegen den Nutzen moTabelle 3: Tatsächliche Belastungen ausgehend von aktiven Komponenten, gemessen im Juni 2006
biler Technologien hat sich am ZID der Universität Wien (verwendetes Messgerät: Gigahertz-Solutions HF59B)
die heutige Gesellschaft für
den Mobilfunk entschieden.
Wissenschaftliche Forschungen liefern derzeit noch zu
möglich, weshalb das Vorsorgeprinzip auch an der Univerwenig stichhaltige Ergebnisse, um diesen Trend wesentlich
sität Wien zur Anwendung gelangen muss. Die Herausforzu beeinflussen: Es gibt keine direkt messbaren Anzeichen
derung für den ZID liegt also darin, dem stetig wachsenden
dafür, dass elektromagnetische Strahlung in den derzeit übBedürfnis nach mobiler Kommunikation gerecht zu werden
lichen Mengen eine schädliche Wirkung hat, gesundheitund gleichzeitig die Funknetze der Uni Wien – wie oben
liche Beeinträchtigungen durch Funknetze konnten bisher
beschrieben – mit Bedacht zu errichten und zu betreiben,
noch nicht wissenschaftlich eindeutig nachgewiesen werum ein mögliches Risiko für alle Universitätsangehörigen
den. Diesem Trend folgend wurde auch an der Uni Wien –
und Gäste auf ein Minimum zu reduzieren. Regelmäßige
aufgrund der großen Nachfrage durch MitarbeiterInnen und
exemplarische Messungen der realen Strahlenbelastung
Studierende und auf ausdrücklichen Wunsch der LeiterInnen
sind in diesem Zusammenhang selbstverständlich.
von Organisationseinheiten – der Ausbau der WLAN-Infrastruktur an den Universitätsstandorten in der LeistungsverAbschließend soll nicht unerwähnt bleiben, dass jeder eineinbarung des Zentralen Informatikdienstes festgelegt.
zelne von uns sich selbst und sein Umfeld durch den unbedachten Einsatz mobiler Kommunikationsgeräte temporär
Nachdem diese Technologien erst seit wenigen Jahren einwesentlich größeren Strahlenbelastungen aussetzt als z.B.
gesetzt werden, liegen allerdings noch keine Untersuchunvon der WLAN-Infrastruktur permanent abgestrahlt werden
gen über mögliche Langzeitfolgen von durch WLAN bzw.
(siehe Tabelle 3).
Mobilfunk verursachtem Elektrosmog vor; auch können
Markus Ankner (ZID), Mag. Martina Kaburek (ANS),
beobachtete Phänomene zum Teil noch nicht wissenschaftDr. Clemens Becsi, Dr. Beata Lutomska-Kaufmann
lich erklärt werden. Somit ist noch kein endgültiges Urteil
(TeamPrevent GmbH) I
VERZEICHNISDIENSTE:
VON X.500 ZU LDAP
Einer der wichtigsten Verzeichnisdienste ist LDAP, das Lightweight Directory Access Protocol. Neben diesem Beitrag zum
Problemkontext und zur historischen Entwicklung werden
sich künftige Comment-Artikel anhand des LDAP-Einsatzes
an der Uni Wien auch mit praktischen Fragen beschäftigen.
Überall Verzeichnisse
Im Alltag pflegen wir einen ganz selbstverständlichen
Umgang mit verschiedensten Verzeichnissen: gedruckte
und elektronische Telefonbücher, Gebäudepläne (etwa um
einen Hörsaal in einem Universitätsgebäude zu finden),
Kataloge (z.B. gewisser schwedischer Möbelfabrikanten),
TV-Programm-Guides oder das Vorlesungsverzeichnis der
Universität Wien. Verzeichnisse helfen uns, Informationen
zu verwalten und wieder zu finden. Im Idealfall vereinheitlichen sie versammelte Informationen aus verschiedenen
Quellen und werden damit selbst zur maßgeblichen (autoritativen) Quelle für diese Daten.
Moderne vernetzte Computer sind ebenso von Verzeichnissen umgeben: Verzeichnisse gültiger User-Accounts, Grup-
Comment 06 /3
Vernetzte Computersysteme sind ohne den Einsatz von
Verzeichnisdiensten kaum mehr denkbar. Ob es um die Zustellung von eMail, den Status bzw. die Berechtigungen
eines Accounts oder um die Information geht, von welchem
Fileserver das Home-Verzeichnis geholt werden soll: Verzeichnisse versammeln für den Betrieb relevante Informationen in standardisierter, menschen- wie maschinenlesbarer
Form und ermöglichen damit erst die großen und komplexen Netzwerke und Netzwerk-Anwendungen, auf die wir
heute oft angewiesen sind.
30
pen von BenutzerInnen (etwa zur Rechteverwaltung), namentlich bekannte Maschinen im lokalen Netzwerk und
weltweiten Internet, Services, die im Netzwerk zur Verfügung
gestellt werden, usw. All diese Informationen wollen versammelt und mehr oder weniger ständig aktualisiert werden – auf jedem einzelnen Rechner, bei stetig zunehmender Zahl der vernetzten PCs. Daher entwickelte man spezialisierte Verzeichnisdienste (naming services), die diese Informationen zentral im Netzwerk zugänglich machen, sodass
die Wartung auf den einzelnen Maschinen entfallen kann.
Ein solcher Netzwerk-Verzeichnisdienst sind z.B. die Yellow
Pages (in Analogie zu den Gelben Seiten, also dem Branchenverzeichnis), die später aus markenrechtlichen Gründen
Network Information System (NIS) getauft wurden. Auch
das Domain Name System (DNS), das im Internet die IPAdressen in Hostnamen umsetzt (und umgekehrt), ist im
Prinzip ein spezialisierter Verzeichnisdienst.
Der Einsatz von spezialisierten Verzeichnisdiensten führt
aber in der Regel zum N+1 directory problem: Für jede zusätzliche Anwendung (z.B. ein zentrales eMail-Service, eine
Groupware-Software oder ein webbasiertes Content Management System) muss ein weiteres, spezialisiertes Verzeichnis
betrieben und verwaltet werden, was zu redundanten Daten
und erschwerter Administration sowie in weiterer Folge zu
höheren Betriebskosten und Sicherheitsproblemen führt.
Ein möglicher Weg aus diesem Dilemma ist der Einsatz von
standardbasierten, erweiterbaren Verzeichnisdiensten, die
für den jeweiligen Zweck adaptiert werden können. X.5001)
und heute LDAP sind Versuche in diese Richtung.
X.500
Mitte der 1980er Jahre trafen Bestrebungen zweier Normierungsorganisationen (ITU, ISO) aufeinander, die später zum
ISO OSI Directory Standard (CCITT Recommendation
X.500) führen sollten:
Das Comité Consultatif International Téléphonique et Télégraphique (CCITT, heute ITU-T) der Internationalen Fernmeldeunion (ITU) gibt technische Standards heraus, die in
Kategorien von A bis Z sortiert und durchnummeriert werden. In der Kategorie X (Data networks and open system
communications) finden sich die bis heute weiterentwickelten Bündel von Standards wie X.400 (Messaging systems)
und eben X.500, das Online-Verzeichnisdienste standardisiert. Anliegen der CCITT war es nun, ein globales elektronisches Telefonverzeichnis zu schaffen, das gleichzeitig
auch Faxnummern und eMail-Adressen2) beinhalten sollte:
„If only we could computerise the entire set of global telephone directories, and interconnect them, and give people
access to them all via a standard interface, then we would
have a real directory service. X.500 of course is designed to
provide this service, and many more besides.“ (Chadwick,
1996)
Comment 06 /3
INSERAT
Ähnliche Bedürfnisse hatten die Internationale Organisation
für Normung (ISO) und die private Normungsorganisation
ECMA, die auf der Suche nach einem naming service für
OSI-Netzwerke und -Anwendungen waren. X.500 und das
dazugehörige Directory Access Protocol (DAP) wurden daher auf dem OSI-Stack realisiert, einem siebenschichtigen
Netzwerkarchitekturmodell mit entsprechender Protokollimplementierung (dem stack), der von der ISO als Standard
für interoperable, heterogene Computernetzwerke entwickelt wurde. Der OSI-Stack konnte sich jedoch letztlich
nicht gegen das Internet-Protokoll TCP/IP behaupten: TCP/
IP war einfacher, schneller und günstiger umzusetzen.
spät erreicht. Auch waren die Datenquellen, aus denen sich
ein Verzeichnisdienst möglichst automatisch speisen soll,
oft von schlechter Qualität (das ist bis heute ein zentraler
Problembereich), was die Attraktivität des Verzeichnisses
natürlich schmälerte und dem weiten Einsatz des global
directory nicht gerade zuträglich war. Die zunehmende
Bedeutungslosigkeit des OSI-Modells gegenüber dem
Internet trug ebenfalls dazu bei, die Entwicklung der X.500Services zu bremsen.
Neben der technischen Komponente ist hier auch ein kultureller Bruch erkennbar, wie technische Standards überhaupt zustande kommen sollen: Auf der einen Seite die als
bürokratisch, langsam und politisch motiviert empfundenen Entscheidungsprozesse innerhalb der ISO, dem „Standards elephant“. Dem gegenüber die TechnikerInnen und
AkademikerInnen der IETF (des „Standards body“ der Internet Community), die sich in konsensdemokratischen bzw.
meritokratischen Prozessen schneller, flexibler und realitätsnäher fühlten: „We reject: kings, presidents, and voting.
We believe in: rough consensus and running code.“, wie
David Clake 1992 auf einer Krisensitzung der IETF das
Motto der Internet Community pointiert formulierte. Dieser
Bruch3) ist heute weitgehend überwunden, was neben
einer gewissen personellen Konvergenz der verschiedenen
Standardisierungsgremien nicht zuletzt am durchschlagenden Erfolg des Internet liegt.
Da Internet-basierte Klientenprogramme für die Nutzung
des Verzeichnisses leichter zu realisieren waren, wurden
bald TCP/IP-Gateways entwickelt (DAS, DIXIE), die Anfragen der IP-Klienten übersetzten und via DAP/OSI an X.500Server weiterleiteten. Beide Projekte sind heute obsolet; ihr
Erfolg bestand aber darin, erstmals die große Nützlichkeit
eines IP-Zugriffs auf Verzeichnisse gezeigt zu haben.
The Directory
Verzeichnisdienste nach X.500 waren groß und komplex
angelegt, wie von den involvierten Gremien nicht anders zu
erwarten. Eigentlich gab es in der Vision der EntwicklerInnen
nur einen einzigen Verzeichnisdienst: The Directory – ein
globales Verzeichnis mit u.a. diesen Eigenschaften:
• Ein verteiltes System (was zum Teil Verfügbarkeit, Verlässlichkeit und Geschwindigkeit durch Lokalität mit
sich bringt) mit verteilter Administration (denn die beste
Information ist immer vor Ort verfügbar und sollte daher dort gepflegt werden);
31
LDAP
Um die Verwendung von X.500-Verzeichnissen zu fördern
(nicht etwa, um diese abzulösen), wurde schließlich von
der IETF das IP-basierte Lightweight Directory Access Protocol (LDAP) spezifiziert und – aufbauend auf den Erfahrungen der vorangegangenen Projekte – ein Gateway von
LDAP zu DAP an der University of Michigan entwickelt. Der
längere Einsatz dieses so genannten ldapd (LDAP daemon)
zeigte jedoch, dass Mitte der 1990er Jahre über 99 % der
Zugriffe auf den Verzeichnisdienst via LDAP (also über das
Gateway) statt direkt über DAP erfolgten. Etwa zur gleichen
Zeit stellte sich auch die Erkenntnis ein, dass es mit dem
global interconnected X.500 directory wohl nichts mehr
wird, womit die X.500-Services als Ganzes in Frage gestellt
wurden.
In der Folge ersetzte der slapd (standalone LDAP daemon)
den ldapd, es gab also kein dahinterliegendes X.500-Verzeichnis mehr, an das lediglich Anfragen weitergeleitet wurden. LDAP war damit von X.500 losgelöst und wurde mit
kleinen Erweiterungen und einigem Straffen (etwa der Reduktion auf nur neun Funktionen bei gleichzeitigem Erhalt
zukünftiger Erweiterbarkeit ohne Änderungen am Protokoll) als Grundlage eines kompletten Verzeichnisdienstes
neu definiert.
• general-purpose, d.h. für verschiedene Anwendungen
geeignet und bereits erweiterbar konzipiert;
• basierend auf offenen, internationalen Standards, damit
Interoperabilität (zwischen Systemen, Herstellern, Ländern etc.) gewährleistet ist.
Durch die Komplexität der Standards und Protokolle waren
die ersten X.500-Implementierungen sehr fehlerbehaftet
und wenig performant; echte Interoperabilität wurde erst
1) Hintergrundinformationen zu X.500: In der englischen Wikipedia
(http://en.wikipedia.org/) finden Sie u.a. Erläuterungen
zu folgenden Begriffen und Abkürzungen: CCITT, ITU, ITU-T, ISO,
X.400, X.500, ECMA, OSI, Whois, TCP/IP, IETF, RFC, DAS (RFC 1202)
und DIXIE (RFC 1249).
2) Die rasche Verbreitung von eMail erschien diesbezüglich besonders
problematisch, da es für Mailadressen im Gegensatz zu Telefonnummern keine etablierten (z.B. gedruckten) Verzeichnisse gab:
Um mit jemandem per eMail in Kontakt zu treten, musste die
Mailadresse oft erst telefonisch erfragt werden.
3) Näheres dazu siehe z.B. www.alvestrand.no/x400/debate/
itu-vs-ietf.html
Comment 06 /3
• mächtige Suchfunktionen für verschiedene Arten von
Abfragen;
32
Die aktuelle Version des Standards heißt LDAPv3 (siehe
LDAP Technical Specification, http://ftp.univie.
ac.at/netinfo/rfc/rfc4510.txt) und zeichnet sich
u.a. durch folgende Eigenschaften aus:
• Durch volle Unicode-Unterstützung in UTF-8-Kodierung4) können theoretisch sämtliche Zeichen sämtlicher
Sprachen verarbeitet werden, es lassen sich aber auch
ASCII- oder Binärdaten speichern.
Neugierig?
Über die Struktur von LDAP-Verzeichnissen, über Klientenprogramme und Abfragemethoden soll in der
nächsten Ausgabe des Comment berichtet werden.
Wer nicht so lange warten bzw. es ganz genau wissen
will, sei auf die folgende Literatur verwiesen:
• Mittels Verkettung (chaining), Verweisen (referrals), Zusammenkleben (glueing) oder Replikation können auch
mit dem slapd aus mehreren LDAP-Servern vernetzte
Systeme aufgebaut werden. Teile der Komplexität von
X.500 kommen also in kleinen Dosen wieder, allerdings
optional.
LDAP
• Die Nutzung von TLS (Transport Layer Security, bekannter als SSL) und SASL (dem geradezu irrwitzig unpassend benannten Simple [!] Authentication and Security Layer) ermöglicht sichere Authentifizierung und Datenübertragung, ist modular und vom LDAP-Protokoll
unabhängig. Sowohl TLS als auch SASL werden von
vielen anderen Technologien, Protokollen und Projekten
verwendet, was z.B. die einfache und sichere Authentifizierung mit SMTP AUTH oder IMAP/POP über einen
LDAPv3-Verzeichnisdienst ermöglicht.
• LDAP for Rocket Scientists,
• http://de.wikipedia.org/wiki/
Lightweight_Directory_Access_Protocol
• http://en.wikipedia.org/wiki/
Directory_service
www.zytrax.com/books/ldap/
• T. Howes, M. Smith, G. Good (2003): Understanding and Deploying LDAP Directory Services,
2.ed., Addison-Wesley, ISBN 0672323168
X.500
• David W. Chadwick (1996): Understanding X.500
(The Directory), online: http://sec.cs.kent.
ac.uk/x500book/
• So genannte extended operations und controls können
zusätzliche Funktionalität bieten oder bestehende Funktionen modifizieren, ohne das Protokoll selbst verändern
zu müssen (z.B. zum Ändern des eigenen Passworts).
Comment 06 /3
• Diese Erweiterungen – wie auch andere Funktionen oder
unterstützte Standard-Datentypen des Servers – kann dieser ankündigen und Klienten können diese selbständig
„entdecken“, ähnlich der capabilities-Funktion von IMAP,
wo Mailklienten (z.B. Mozilla Thunderbird) im „Gespräch“ mit dem IMAP-Server dessen unterstützte Funktionen und Erweiterungen abfragen, um sich entsprechend darauf einzustellen (z.B. Kann StartTLS benutzt
werden, um die Verbindung zu verschlüsseln? Welche
SASL-Mechanismen werden zur Authentifizierung angeboten? ).
Neben proprietären Angeboten von Novell, Sun, Oracle,
IBM, Microsoft u.a. gibt es heute mittlerweile auch drei größere Open Source-Implementierungen des LDAP-Service:
OpenLDAP, Fedora Directory Server (früher Netscape DS)
und neuerdings Sun OpenDS 5). Weiters existieren kommer-
4) siehe Artikel Unicode: Kiss Your ASCII Goodbye? in Comment 04/3,
Seite 12 bzw. unter www.univie.ac.at/comment/04-3/043_
12.html
5) Sun OpenDS ist komplett in der Programmiersprache Java geschrieben und nicht zu verwechseln mit dem immer noch proprietären Sun Java System Directory Server, der verwirrenderweise
nicht in Java geschrieben ist.
• Steve Kille (1996): LDAP and X.500,
ISODE Whitepaper (www.isode.com/
whitepapers/ic-6033.html)
ISO vs. Internet
• Andrew L. Russell (2006): ‚Rough Consensus and
Running Code’ and the Internet-OSI Standards
War, IEEE Annals of the History of Computing,
July–September 2006, online: www.computer.
org/portal/cms_docs_annals/annals/
content/promo2.pdf
zielle Varianten dieser Open Source-Implementierungen,
z.B. die OpenLDAP-Distribution Connexitor von Symas
oder Apples Open Directory, das auf OpenLDAP und MITKerberos aufbaut.
Diese Unterstützung durch alle relevanten Hersteller, Systeme, Plattformen und Programmiersprachen sowie die
freie Verfügbarkeit von hochqualitativer, standardkonformer
Software (von Apache bis Zope) sind wichtige Gründe für
den immer noch zunehmenden Einsatz von LDAP-Verzeichnissen in Unternehmen und im Internet. Auch an der
Universität Wien wird LDAP als wichtige Infrastruktur-Komponente auf- und ausgebaut; zwei Anwendungsmöglichkeiten sind im nachfolgenden Artikel Wie sag ich’s meinem
LDAP-Server? beschrieben.
Peter Schober I
33
WIE SAG ICH‘S MEINEM LDAP-SERVER ?
Das WorldWideWeb hat viele der Funktionen übernommen, für die Verzeichnisdienste wie X.500 und LDAP ursprünglich erfunden wurden: Die im Artikel Verzeichnisdienste: Von X.500 zu LDAP auf Seite 29 eingangs erwähnten Verzeichnisse (Telefonbücher, Gebäudepläne, Vorlesungsverzeichnisse, schwedische Möbelkataloge usw.) werden alle in Form von Webapplikationen angeboten, aber
nur in den seltensten Fällen als LDAP-Verzeichnisse. Für
manche Anwendungen – vor allem für Adressverzeichnisse,
die maschinenlesbare, strukturierte Daten benötigen – ist
das Lightweight Directory Access Protocol dennoch das
Mittel der Wahl.
Damit steht man allerdings vor dem nächsten Problem: Wie
man mit Webservern kommuniziert, ist bekannt – mittels
Browser. Wie aber greift man auf LDAP-Verzeichnisse zu?
Zwar gibt es eigene LDAP-Klientenprogramme, diese werden jedoch nicht oft verwendet. Viel häufiger sind LDAPFunktionen und -Erweiterungen in allen möglichen Programmen, z.B. in Webserver- und Mailing-Software.
LDAP und Mailing
Wie bereits in der letzten Ausgabe des Comment berichtet,
ist LDAP ein zentraler Bestandteil des neuen Mailsystems
der Universität Wien (siehe Comment 06/2, Seite 11 bzw.
www.univie.ac.at/comment/06-2/062_11.html ).
Welche Mailadressen an der Uni gültig sind und welche
nicht, wohin eMail zugestellt oder weitergeleitet werden
muss, erfahren die Mailserver durch LDAP-Anfragen. Dementsprechend groß ist die Zahl der Zugriffe, die auf die
LDAP-Server der Uni Wien einprasseln, nämlich rund zwei
Millionen pro Tag. Es ist eine der großen Stärken dieses
Protokolls, dass die LDAP-Server einen solchen Ansturm
vollkommen problemlos bewältigen können (in diesem
Sinne ist das Protokoll wirklich „leichtgewichtig“).
Um das Adressbuch einzurichten, wählen Sie im Mailprogramm Thunderbird den Menüpunkt Adressbuch – Datei
– Neu – LDAP-Verzeichnis und füllen Sie die Felder so
aus, wie in Abb. 1 dargestellt ist:
• Name: Uni Wien
• Hostname: ldap.univie.ac.at
• Basis-DN: dc=univie,dc=ac,dc=at
• Port-Nummer: 389
LDAP und Authentifizierung
LDAP teilt das Schicksal vieler anderer Erfindungen: Es wird
für ganz andere Zwecke eingesetzt als ursprünglich gedacht. Obwohl LDAP keineswegs als AuthentifizierungsProtokoll entwickelt wurde, ist Authentifizierung – also die
Überprüfung der Zugangsberechtigung eines bestimmten
Nutzers zu einem bestimmten Netzwerkservice – heute
eines seiner wichtigsten Anwendungsgebiete. LDAP wird
mittlerweile weitaus häufiger zur Authentifizierung verwendet als dedizierte Protokolle wie z.B. RADIUS (Remote
Authentication Dial-In User Service).
Die vom ZID verwalteten Benutzungsberechtigungen (v.a.
Unet- und Mailbox-UserIDs) erlauben den Zugriff auf viele
verschiedene Netzwerkdienste – von eMail, Fileservices
und ADSL bis zur Lernplattform WebCT Vista. Intern werden zur Authentifizierung verschiedene Mechanismen und
Protokolle eingesetzt: LDAP, RADIUS (z.B. für Wählleitungsverbindungen, ADSL, WLAN, VPN) und andere. Obwohl es
bereits eine große Erleichterung darstellt, auf verschiedene
Dienste mit derselben Username-/Passwort-Kombination
zugreifen zu können anstatt sich viele einzelne Passwörter
merken zu müssen, sind wir von einer echten Single SignOn-Lösung, bei der nach einmaligem Login der Zugriff auf
Comment 06 /3
Auch mit Mailprogrammen kann man auf LDAP-Verzeichnisse zugreifen und diese als Adressbuch verwenden. Im
Gegensatz zu einem webbasierten Verzeichnis wie dem
Personalverzeichnis der Universität (http://online.
univie.ac.at/pers ) lässt sich das öffentliche LDAPVerzeichnis der Uni Wien ( LDAP.UNIVIE.AC.AT ) in die meisten Mailklienten direkt integrieren, wie hier am Beispiel des
Mozilla Thunderbird illustriert wird:
Anschließend müssen Sie noch unter Extras – Einstellungen – Verfassen auf der Registerkarte Adressieren im
Bereich Adress-Autovervollständigung die Option LDAPVerzeichnisserver aktivieren (der LDAP-Server Uni Wien
sollte bereits in der Liste rechts daneben aufscheinen).
Damit können Sie nun – vorausgesetzt, Sie sind online –
das gesamte Verzeichnis der Uni Wien genau so nutzen wie
Ihr persönliches Adressbuch: Beim Verfassen einer Nachricht an eine beliebige Universitäts-Adresse brauchen Sie als
Empfänger nur dessen Namen oder einen Teil davon einzugeben, woraufhin die eMail-Adresse automatisch ergänzt
bzw. ein Auswahlmenü mit Vorschlägen angezeigt wird.
Abb. 1: Einrichten des LDAP-Verzeichnisses der Uni Wien
als Mail-Adressbuch (Thunderbird)
34
alle verfügbaren Services gewährt wird, noch weit entfernt.
Es wird jedoch daran gearbeitet, diesem Ziel zumindest
näher zu kommen und die Authentifizierung der verschiedenen Services zu vereinfachen und besser zu integrieren.
In diesem Zusammenhang soll auch ein AuthentifizierungsService für Dritte angeboten werden: Von etlichen Instituten
und Dienststellen der Universität Wien werden für Studierende bzw. Uni-MitarbeiterInnen verschiedene Anwendungen (meistens Webapplikationen) mit Zugangskontrolle zur
Verfügung gestellt, die üblicherweise über eine eigene Benutzerverwaltung mit speziellen Usernamen und Passwörtern verfügen. Die Administration solcher Anwendungen
könnte durch eine zentrale Authentifizierung wesentlich vereinfacht werden.
Bei einer solchen zentralen Authentifizierung für Dritte
muss selbstverständlich besondere Sorgfalt an den Tag gelegt werden, was Sicherheit und Datenschutz betrifft. Aus
diesem Grund wird das zu schaffende System zwar LDAP
verwenden (möglicherweise sogar auf LDAP basieren), aber
kein reines „LDAP-Service“ sein, sondern auch andere Authentifizierungs-Methoden mit einbeziehen.
Wenn Sie an einem solchen Authentifizierungs-Service interessiert sind, teilen Sie uns dies bitte per eMail an
[email protected] mit – wir werden dann
versuchen, Ihre speziellen Anforderungen in das künftige
Authentifizierungs-System zu integrieren.
Peter Marksteiner I
CONTENT MANAGEMENT SYSTEME:
Software für operative Eingriffe in lebende Websites
Auf die Frage „Kennen Sie ein CMS?“ hört man so gut wie
immer: „Nein, nie gehört!“ oder „Noch nie gesehen!“ – und
genau das ist die Stärke eines CMS: verborgen im Hintergrund zu agieren.
Ein CMS (Content Management System) ist eine Software,
welche die gemeinschaftliche und einfache Eingabe von
Webseiten-Inhalten (Content) auch für BenutzerInnen ohne
technisches Verständnis bzw. ohne Kenntnisse in HTML/
XML1)/CSS etc. ermöglicht. Eines haben alle CMS-Produkte
gemeinsam: Beim Besuch einer Webseite bemerkt man
nichts davon. Interessierte finden eventuell im Quelltext versteckt den Hinweis, ob ein (bzw. welches) CMS verwendet
wurde; oft wird diese Information aber auch verborgen.
Comment 06 /3
Breite Auswahl – kostenlos
Bei der Flut an verschiedenen Systemen ist es schwer, die
Übersicht zu bewahren und seinen Favoriten zu küren.
Neben kommerziellen CMS-Produkten, die von Firmen auf
die jeweiligen Umgebungen und deren Bedürfnisse zurechtgestrickt werden und die üblicherweise späteren Support beinhalten, haben die Open Source-Systeme einen gewichtigen Platz am CMS-Markt eingenommen. Eine feine
Übersicht der wichtigsten Produkte mit der Möglichkeit,
diese auch gleich live auszuprobieren, findet man unter
www.opensourcecms.com.
In diesem Artikel wird bewusst auf kein spezielles CMS eingegangen, auch wird weder Werbung gemacht noch eine
Empfehlung für ein bestimmtes Produkt ausgesprochen.
Aufgrund der Vielzahl an Systemen, die es derzeit am Markt
gibt, wäre dies auch nicht ratsam, da jeder Anwender seine
eigenen Anforderungen und Bedürfnisse hat, welche von
seinem bevorzugten CMS abgedeckt werden sollen. Daher
beschränken wir uns im Folgenden auf die Nennung von
vier bekannteren und leistungsfähigeren Content Management Systemen: Joomla, Typo3, Wordpress und Postnuke.
• Joomla (www.joomla.de) hat im Laufe seiner eher
kurzen Existenz schon einiges mitgemacht – hat es sich
doch vor kurzem vom ursprünglichen Mutterprodukt
Mambo (www.mambo-foundation.org) abgespalten
und lebt nun weiter durch engagierte Programmierer
und eine beispielhafte Community. Dieses CMS zeichnet sich durch seine schnelle Erlernbarkeit und relativ
einfache Bedienung, gepaart mit Optionsvielfalt, aus.
• Typo3 (www.typo3.org) wurde von einem dänischen
Programmierer ins Leben gerufen und seither stetig weiterentwickelt. Die Stärken von Typo3 liegen in der fast
unübertroffenen Leistungsfähigkeit und Flexibilität –
gute Gründe dafür, dass Typo3 auch an der Uni Wien
eingesetzt wird (siehe hierzu Artikel Webauftritte leicht
gemacht: Typo3 an der Universität Wien auf Seite 37).
• Wordpress (http://wordpress.de/) hat sich ganz
dem Blog2) verschrieben und bietet Add-Ons, also optionale Module bzw. Erweiterungen, sowie Features speziell für diesen Bereich an.
• Postnuke (www.postnuke.com) hingegen besticht
vorrangig durch seine Stabilität und Performance.
Eine der schönsten Eigenschaften haben viele CMS-Systeme
gemeinsam: Sie sind kostenlos. Geschützt nur durch die
GNU GPL (General Public License) 3) dürfen sie also frei
verwendet, verändert und weitergegeben werden – solange
man sie nicht als sein eigenes Produkt ausgibt. Weiters existiert für diese Systeme eine riesige Anzahl an Erweiterungen (Add-Ons), um Webseiten mit neuen Features zu ver-
sehen – z.B. mit Gästebüchern, Newsletters, erweiterten
Suchfeldern oder Ähnlichem.
35
Beherbergung der CMS-Software
Hier unterscheidet man clientseitige, serverbasierende und
kombinierte Systeme.
Wie läuft‘s?
Als Basis für den überwiegenden Teil der Content Management Systeme dient die Programmsammlung LAMP. Diese
stellt alles Nötige zur Verfügung, um einen Webserver zu betreiben. Das Akronym LAMP steht für
• Linux (das Betriebssystem, unter dem die Sammlung
läuft),
• Apache (der eigentliche Webserver),
• MySQL (die Datenbank) und
• PHP (die Skriptsprache).
Als weitere Formen existieren noch WAMP für Windows
und MAMP für Mac OS X.
Einzelne CMS setzen auf Perl anstatt auf PHP; andere bieten wiederum den erforderlichen Support, um eine OracleDatenbank, PostgreSQL oder MS-SQL anstatt MySQL zu verwenden.
Auch den jeweils verfügbaren Webspace sollte man bedenken: Bei einer Typo3-Instanz nimmt beispielsweise die
reine Erst-Installation bereits etwa 8 MB in Anspruch. Hierzu
kommen noch Erweiterungen von Typo3 (Extensions) sowie die eigentliche Homepage samt Bildern und sonstigen
Dateien.
Klassifizierung
Content Management Systeme lassen sich durch zwei wichtige Merkmale charakterisieren:
Dynamik der Content-Bereitstellung
Man unterscheidet hierbei zwischen statischen, volldynamischen und gemischten Systemen.
• Statische Systeme legen jedes HTML-Dokument als
statische Webseite auf dem Server ab. Der Vorteil dieser
Variante ist der geringe Ressourcenverbrauch des Servers
bzw. dessen Prozessors, da die Seite nicht bei jedem
Aufruf mittels einer Programmiersprache (z.B. Perl,
PHP) dynamisch generiert werden muss.
• Gemischte Systeme stellen den Content teilweise statisch zur Verfügung, wobei jedoch Bereiche, die häufigen Aktualisierungen unterliegen, dynamisch generiert
und eingebunden werden. Diese Art trifft man am häufigsten an, da sie die Vorteile eines statischen mit den
Vorzügen eines dynamischen CMS verbindet.
• Am weitesten verbreitet ist die serverbasierende CMSVariante, die eine Bearbeitung des Content direkt am
Server erlaubt. Ihr großer Vorteil ist, dass das Arbeiten
mit dem CMS von jedem Computer (mit Internetzugang)
von jedem Standort der Welt aus und mit jedem Betriebssystem nur mit einem Browser möglich ist. Die
Anforderungen an das technische Verständnis der Redakteure sind extrem niedrig, wodurch praktisch allen
AnwenderInnen die Verwendung des Systems ermöglicht wird.
• Die dritte, seltener anzutreffende Kategorie sind kombinierte Systeme, die sowohl client- als auch serverseitig
arbeiten.
Händisch oder CMS-basiert?
Der Arbeitsaufwand im Vergleich
Wenn man den Aufwand für Erstellung und Wartung einer
herkömmlichen (= händisch erstellten und großteils statischen) Webseite mit dem bei einer CMS-verwalteten4) Seite
anfallenden Aufwand vergleicht, kristallisieren sich folgende
Vor- und Nachteile heraus:
Erstellung
Hier hat eindeutig die herkömmliche Variante die Nase
vorn. Während es mit Hilfe eines HTML-Editors (üblicher-
1) siehe hierzu Artikel Web-Publishing mit XML auf Seite 40
2) siehe Artikel (B)logbuch des Captains, Sternzeit zweitausendundsechs ... in Comment 06/1, Seite 41 bzw. unter www.univie.
3) Die GNU GPL ist eine von der Free Software Foundation (einer
gemeinnützigen Organisation mit dem Zweck, freie Software zu fördern; siehe www.fsf.org) herausgegebene Lizenz mit Copyleft
(einem Schutzverfahren, welches Weiterverbreitung und Modifikationen von Software erlaubt, sofern dies unter derselben Lizenz
und damit denselben Bedingungen geschieht) für die Lizenzierung
freier Software. Nähere Informationen dazu sind unter www.gnu.
org/licenses/licenses.html#GPL zu finden.
4) Dies bezieht sich auf die oben genannten, leistungsfähigeren Content Management Systeme.
Comment 06 /3
• Volldynamische CMS zeigen bei jedem Seitenaufruf
den jeweils aktuellsten Content an. Am meisten von
dieser Methode profitieren z.B. Nachrichten-Seiten, auf
denen es mitunter zu minütlichen Änderungen kommt.
• Clientseitige CMS – das sind jene Produkte, die auf
dem Rechner des Anwenders installiert sind und mit
denen die Seiten auch direkt dort erstellt und bearbeitet
werden –, sind eher in der Minderzahl. Sie finden zumeist bei Dateien Anwendung, deren Bearbeitung auf
einem Server zu viele Ressourcen verbrauchen würde
(z.B. Videos).
36
weise eines WYSIWYG-Editors) relativ leicht und schnell
möglich ist, eine ansprechende Webseite zu gestalten, muss
man für ein CMS schon mal einiges an Zeit und Geduld investieren, ehe man vernünftig damit arbeiten kann: Anleitungen wollen gelesen, Workshops durchgemacht, Foren
durchforstet und Nerven bewahrt werden, vor allem bei
hartnäckigen Problemen. Der Aufwand variiert selbstverständlich je nach Umfang des verwendeten CMS.
Layout
Auch im Hinblick auf die Gestaltung ist es mit der statischen
Methode relativ einfach, ein Layout zu kreieren. Ein wenig
aufwendiger gestaltet sich diese Aufgabe mittels CMS. Hier
werden so genannte Templates (Designvorlagen) verwendet,
die komplett unabhängig vom eigentlichen Content behandelt werden. Dadurch wird das Layout jedoch flexibler und
lässt sich für einzelne Seiten oder den gesamten Webauftritt
mit nur wenigen Mausklicks komplett verändern.
Pflege
Vor allem bei der späteren Pflege der Seiten spielt ein CMS
seine Stärken voll aus. Während es bei einer händisch gepflegten Website aufwendig und mühsam ist, eine Änderung
auf allen bestehenden Seiten durchzuziehen, wird dies mittels CMS zum Kinderspiel. Ist man erst einmal mit der
Benutzeroberfläche vertraut, lassen sich sämtliche Arbeitsschritte im Handumdrehen und nur mit Hilfe des Browsers
erledigen. Zudem behält man gerade bei umfangreichen
Webauftritten dank CMS leichter den Überblick: Programmiersprachen wie JavaScript vereinfachen z.B. mittels Drag
& Drop die Bearbeitung oder auch das Verschieben ganzer
Seiten im Menübaum.
Multi-User-Betrieb
Comment 06 /3
Die gleichzeitige Bearbeitung einer Webseite durch mehrere Redakteure kann bei einem herkömmlichen System
mitunter gravierende Auswirkungen haben. Mühsam eingegebener Content kann leicht überschrieben werden, Sicherungen sind für den kurzen Zeitraum einer Änderung meist
keine vorhanden – die Arbeit war umsonst. Da es keine
Logfiles gibt, kann auch nicht schnell herausgefunden werden, wer gerade an einer Webseite arbeitet.
Dieser Fall kann mit einem CMS nicht eintreten: Sobald ein
Benutzer eine Seite bearbeitet, wird diese für alle anderen
gesperrt. Änderungen können jederzeit wieder rückgängig
gemacht werden, detaillierte Logfiles sind vorhanden. Umfangreichere Systeme beinhalten ausgeklügelte User- und
Gruppen-Berechtigungssysteme, welche z.B. den Zugriff,
Änderungen, Erstellungen oder Löschvorgänge auf bestimmte AnwenderInnen beschränken können.
Dateiverwaltung
Dateisammlungen, die in Webseiten eingebunden oder zum
Download angeboten werden (Bilder, PowerPoint-Präsen-
tationen, PDF-Dateien etc.), können im Laufe der Zeit einen
beachtlichen Umfang annehmen. Einzeln hochgeladen,
meist nur durch Ordner und Unterordner sortiert, verliert
man schnell die Übersicht.
Ganz anders gestaltet sich das mit einem CMS, welches eine
Dateiverwaltung aufweist, mit der sich Dateien einfach mittels Browser hochladen, einordnen, beschriften und natürlich auch gleich ansehen lassen. Große Dateisammlungen
wie z.B. Fotogalerien lassen sich auf diese Art und Weise
unkompliziert publizieren und verwalten.
Neue Features
Beim Einbau neuer Features – wie etwa eines Gästebuchs,
einer Fotogalerie oder eines eigenen Forums – entstehen
bei herkömmlich gewarteten Webseiten Arbeiten in Form
von: gewünschte Software aussuchen, downloaden, installieren, an die eigene Seite in Funktion und Design anpassen, im Betrieb warten und gegebenenfalls updaten. CMSAnwenderInnen können sich hingegen über vorgefertigte
Add-Ons freuen, die man einfach mittels Mausklick einspielen, konfigurieren und auch gleich im System warten und
aktuell halten kann.
Technische Wartung und Sicherheit
Im Hinblick auf die Sicherheit des Systems ist es auch beim
Einsatz eines CMS unerlässlich, die einzelnen SoftwareKomponenten auf dem Stand der Technik zu halten. Händisch alle eingepflegten, dynamischen Programmcodes zu
suchen, zu überprüfen, gegebenenfalls manuell Programmteile auszubessern oder gleich den kompletten Code zu ersetzen, gestaltet sich langwierig und zeitaufwendig. Mit
einem CMS wird gerade dieser Vorgang erheblich vereinfacht. Der Administrator kann bequem im CMS seine Extensions anzeigen lassen und diese mit wenigen Mausklicks
auf den aktuellen Stand bringen.
CMS – ja oder nein?
Ob sich der Einsatz eines Content Management Systems
lohnt, lässt sich nicht pauschal beantworten. Es gibt die verschiedensten Beweggründe, ein solches Produkt zu verwenden – sei es die Benutzerverwaltung, das übersichtliche
und professionelle Administrations-Interface, die kinderleichte Einpflege von Content oder die einfache Wartung
des Systems. Oft ist es auch einfach die Neugier, die einen
dazu treibt, sich in die Materie zu vertiefen.
Was man unbedingt berücksichtigen sollte, bevor man sich
für die Verwendung eines CMS entscheidet: Je umfangreicher und komplexer das System ist, desto länger dauert
es, sich einzuarbeiten, um danach effizient und zufrieden
stellend damit umgehen zu können. Wer jedoch die dafür
nötige Zeit investiert und nicht zu früh aufgibt, wird sicherlich nicht enttäuscht werden.
Alexander Berndl I
37
WEBAUFTRITTE LEICHT GEMACHT:
Typo3 an der Universität Wien
In der Dienstleistungseinrichtung (DLE) Öffentlichkeitsarbeit und Veranstaltungsmanagement der Universität Wien
wird seit mehr als zwei Jahren ein Content Management
System (CMS; Näheres siehe Seite 34) für die Publikation
von Onlineinhalten verwendet: das Open Source-Produkt 1)
Typo3 (http://typo3.org/).
Typo3 ist ein webbasiertes CMS, welches unter der GNU
GPL (General Public License) 2) lizenziert ist. Es wird seit
1997 von dem Dänen Kasper Skårhøj mit der Hilfe und
nach Anregungen von Usern entwickelt. Typo3 ist in der
Skriptsprache PHP geschrieben und arbeitet vorzüglich mit
MySQL-Datenbanksystemen. Über einen integrierten Database Abstraction Layer ist es aber auch möglich, andere
Datenbanksysteme (z.B. Oracle) zu verwenden.
Aufgrund der Trennung von Content und Design eignen
sich Content Management Systeme sehr gut für die Erstellung
von Internetseiten mit einheitlichem Layout und individuellem Inhalt. Im Zusammenhang mit dem neu entwickelten
Corporate Design der Universität Wien wurde daher begonnen, den Webauftritt der Universität basierend auf Typo3
anzulegen sowie im weiteren Verlauf dieses CMS auch für
andere Organisationseinheiten der Uni Wien – Fakultäten,
Institute und DLEs – zur Verfügung zu stellen.
Mit dem Angebot der DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement, die Designvorlage für universitäre
Webseiten zu liefern, entschieden sich viele Organisationseinheiten dafür, ihre Webseiten in das Typo3-System zu integrieren. AutorInnen, SachbearbeiterInnen und RedakteurInnen können sich damit ganz auf die Pflege und Aktualisierung von Inhalten konzentrieren, ohne sich um das Layout, die Einbindung von Seiten oder andere technische
Aspekte kümmern zu müssen.
Ein erfolgreiches Open Source-Projekt wie Typo3 funktioniert hingegen etwas anders:
Typo3-Community
Die aktive Typo3-Community ist groß, international und
immer noch im Wachstum begriffen. Wie bei vielen anderen Projekten fungieren verschiedene Mailinglisten mit zumeist öffentlich einsehbaren Archiven (siehe http://
lists.netfielders.de/) als Kommunikationsplattform
für die Typo3-Gemeinde. Zudem zählen jährlich veranstaltete Events wie die Typo3-Konferenz, aber auch die Typo3Snowboard-Tour zu wichtigen Treffpunkten des fachlichen
Austausches.
Typo3-Referenzen
Die Auflistung der Websites, die auf Typo3 basieren, ist
recht imposant: Neben namhaften Firmen (3M, DHL, EADS,
Ford, Lufthansa, Philips, REWE, Volkswagen etc.) finden
sich hier auch Non-Profit-Organisationen oder große Medienunternehmen (z.B. New York Times). Eine Referenzliste
ist unter http://typo3.com/References.1249.0.
html verfügbar. Als Referenzbeispiel mit lokalem Bezug ist
die Universität für Bodenkultur Wien (www.boku.ac.at)
zu nennen, die eine komplette Umstellung ihres Webauftritts auf Typo3 vollzogen hat. Auch die neue ACOnet-Website (www.aco.net) wurde mit Typo3 realisiert.
Aufbau eines Typo3-CMS
Content Management Systeme, so auch Typo3, trennen
Inhalt, Struktur und Layout von Webdokumenten. Ein CMS
wird zudem von einem Punkt aus betreut, was bedeutet,
dass die Designvorlagen zentral eingebaut, gepflegt und ver-
Open Source vs. proprietäre Software
1) Open Source bedeutet, dass es jedem ermöglicht wird, Einblick in
den Quellcode einer Software zu erhalten sowie diesen Quellcode
auch beliebig weiterzugeben oder zu verändern.
2) Die GNU GPL ist eine von der Free Software Foundation (einer
gemeinnützigen Organisation mit dem Zweck, freie Software zu fördern; siehe www.fsf.org) herausgegebene Lizenz mit Copyleft
(einem Schutzverfahren, welches Weiterverbreitung und Modifikationen von Software erlaubt, sofern dies unter derselben Lizenz
und damit denselben Bedingungen geschieht) für die Lizenzierung
freier Software. Nähere Informationen dazu sind unter www.gnu.
org/licenses/licenses.html#GPL zu finden.
3) Es ging dabei um die fehlende Funktion, den Cache zu löschen,
was dazu führte, dass die Performance des Systems von Tag zu Tag
schlechter wurde. Die Migration der Daten in ein anderes CMS war
aufgrund des nicht transparenten Datenbankaufbaus ebenfalls
nicht leicht zu bewerkstelligen.
Comment 06 /3
Warum gerade Typo3? Einer der wichtigsten Punkte ist,
dass die Verwendung von Open Source-Software unabhängig macht. Beim diesjährigen Treffen der ARGE-Info (einer
Arbeitsgemeinschaft von MitarbeiterInnen österreichischer
Universitäten, die im Webbereich tätig sind) war zu erfahren, wie der worst case beim Einsatz von proprietärer Software aussehen kann: Eine kleinere österreichische Universität verwendete ein kommerzielles, in Java geschriebenes
Content Management System. Als sich die Herstellerfirma
umstrukturierte, wurde der Support für dieses CMS eingestellt. Aufgrund der Geschlossenheit des Systems war es
den MitarbeiterInnen der Universität nicht möglich, auftretende Fehler selbst zu beheben; auch der Umstieg auf ein
anderes CMS gestaltete sich schwierig.3)
38
waltet werden. Dies erspart den einzelnen AnwenderInnen
Wartungsarbeiten sowie Layoutanpassungen. Für alle integrierten Seiten existiert ein so genanntes Template, also
eine einheitliche Vorlage, nach der alle Seiten aufgebaut
sind. Für die Seiten der Uni Wien wurde ein Design gewählt, das aus einer Kopfzeile, einer vertikalen Menüleiste
(Navigation) auf der linken Seite sowie aus den zugehörigen CSS-Dateien4) besteht (siehe Abb. 1). Den Rest der
Seite bildet der frei editierbare Content-Bereich. Innerhalb
dieses Bereiches können die Inhalte der Webseite (Texte,
Bilder, Dateien zum Downloaden, Tabellen, Statistiken etc.)
von den zuständigen Personen der jeweiligen Einrichtung
über einen Webbrowser selbständig erstellt und gepflegt
werden – und zwar ohne besonderes technisches Knowhow: Typo3 ist einfach zu erlernen, zudem braucht man
keine Kenntnisse in HTML, JavaScript, XML, PHP etc.
Das Hauptargument für den Einsatz eines CMS ist die Ressourcenersparnis. Aufgrund des zentralen Zugriffs auf die
Struktur und das Layout kann man ganze Webauftritte binnen weniger Stunden fertig stellen, ohne sich mit der
Programmierung des Designs befassen zu müssen. Weitere
Vorteile sind die Zuverlässigkeit, die universale Fehlerbehebung sowie die effektive Weiterentwicklung des Systems.
Frontend und Backend
Webbrowser erfolgen, auch mit älteren Versionen. Spezielle Funktionen wie Cookies oder JavaScript sind nur
notwendig, wenn die jeweilige Webseite diese verlangt.
• Das Backend von Typo3 („hintere Seite“, siehe Abb. 2)
ist das webbasierte Bearbeitungstool des CMS, mit dem
die Webseiten erstellt und editiert werden. Der Zugriff
kann mit allen gängigen, neueren Webbrowsern erfolgen. Cookies und JavaScript müssen eingeschaltet und
Popup-Fenster für diesen Vorgang erlaubt werden.
Der Zugriff auf das Backend ist nur für berechtigte Personen,
die so genannten Webautoren oder Redakteure, möglich.
Diese brauchen dafür einen Benutzernamen und ein Passwort mit einer entsprechenden Typo3-Berechtigung. Die
Benutzungsberechtigungen beinhalten nicht nur die Definition, welche Seiten wie und von wem bearbeitet werden
dürfen, sondern definieren auch die Auswahl an Werkzeugen, die man im Backend zur Verfügung hat. Außerdem lassen sich Rollen für einen Workflow festlegen (z.B. Erstellung
des Content durch Benutzer A – Freigabe der Inhalte durch
Benutzer B – Publikation auf der Webseite).
Typo3-Extensions
Typo3 ist genau betrachtet nur ein Framework, also eine
Rahmenanwendung, die durch Extensions erweitert wird
Bei Typo3 unterscheidet man zwei Seiten:
4) Mittels CSS (Cascading Style Sheets) können Stil-Definitionen für
HTML- und XML-Elemente zentral festgelegt werden (Näheres
siehe z.B. Comment 03/1, Seite 30 bzw. unter www.univie.
ac.at/comment/03-1/031_30.html).
Comment 06 /3
• Das Frontend von Typo3 („vordere Seite“, siehe Abb. 1)
ist der Webserver, der den BesucherInnen die fertigen
Seiten anzeigt. Der Zugriff kann mit jedem beliebigen
Abb. 1: Ansicht einer Webseite der Universität Wien im Typo3-Frontend (Ausschnitt)
(im Grunde ist das gesamte Backend eine große Extension).
Solche Extensions können unterschiedlicher Natur sein:
• Backend-Tools – z.B. Dateimanager, Werkzeuge für erweiterte Gruppenverwaltung oder Template-Verwaltung
– werden direkt ins Backend eingebunden.
• Frontend-Plugins sind Webapplikationen, die als Content-Element in eine Webseite integriert werden können,
wie z.B. Gästebücher, Foren oder Fotogalerien.
Extensions bestehen aus mehreren Dateien innerhalb eines
Verzeichnisses – meist PHP- und Bilddateien, SQL-Queries,
aber auch HTML-Dateien. Es existiert ein zentrales Onlineverzeichnis mit der Möglichkeit zum Up- und Download
von Extensions. In diesem Extension Repository (http://
typo3.org/extensions/) findet man zahlreiche Typo3Erweiterungen aller Art, von Wikis über Foren bis hin zu
einer phpMyAdmin-Integration ins Backend. Wenn man
eine neue Funktionalität benötigt, kann man sich also aus
dem Pool der schon existierenden Extensions bedienen,
eine vorhandene Extension weiterentwickeln bzw. modifizieren oder eine neue Extension selbst erstellen.
TypoScript
Typo3 verwendet für die Konfiguration eine eigene Sprache:
TypoScript ist weder – wie der Name fälschlich vermuten
lässt – eine Skriptsprache noch eine Programmiersprache,
sondern eine Beschreibungssprache. Es besitzt eine eigene
Syntax und dient als direkte Verbindung zu den Kernfunktionen sowie zur Ausgabe-Engine von Typo3.
39
Infos & Ansprechpartner
Der Betrieb, die Pflege sowie der technische und didaktische Support des Typo3-Systems an der Universität Wien
beruht auf der Zusammenarbeit mehrerer Abteilungen:
• Derzeit ist die DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement für die Entwicklung, für den
Aufbau sowie für die Administration des Systems verantwortlich, wodurch die Ausweitung des Systems begrenzt
ist. Über die weitere Entwicklung wird Anfang 2007 informiert werden.
• Die technische Infrastruktur besteht aus einem für Content Management Systeme optimierten Server, der vom
Zentralen Informatikdienst zur Verfügung gestellt wird.
In Zusammenarbeit mit dem Helpdesk des ZID (siehe
www.univie.ac.at/ZID/helpdesk/) entsteht derzeit ein organisierter technischer Support.
• Weiters wird vom Referat für Personalentwicklung
in Zusammenarbeit mit dem Projektzentrum Lehrentwicklung allen MitarbeiterInnen der Universität Wien
ein kostenloser Typo3-Einschulungskurs angeboten. Informationen hierzu finden Sie unter www.univie.ac.
at/personalentwicklung/.
Bei Fragen und Anregungen wenden Sie sich bitte per
eMail an die zentrale Informationsstelle für Typo3-Fragen,
die unter [email protected] erreichbar ist.
André Seirafi (DLE Öffentlichkeitsarbeit und
Veranstaltungsmanagement) I
Comment 06 /3
Abb. 2: Bearbeitung derselben Webseite im Typo3-Backend (Ausschnitt)
40
WEB-PUBLISHING MIT XML
Die eXtensible Markup Language verwirklicht
den Cross-Media-Gedanken
XML ist in aller Munde. Dank XML (Extensible Markup
Language, übersetzt: erweiterbare Auszeichnungssprache),
so versprechen die Hersteller und Dienstleister, werden
Datenformate kompatibler, Daten maschinenlesbarer und
Anwender entlastet. Besonders für das Publizieren im Web
verspricht die Wandlungsfähigkeit von XML-Daten ein wahrer Segen zu sein: Mit XML als Standard zur Erstellung maschinen- und menschenlesbarer Dokumente könnte endlich der Cross-Media-Gedanke – das Verbreiten der gleichen Information über mehrere Kanäle – technisch so umgesetzt werden, dass beispielsweise Artikel wirklich nur
einmal editiert werden müssen, bevor sie sowohl in elektronischen wie in sonstigen Medien im jeweils adäquaten –
sprich mediengerechten Format – verfügbar sind.
XML definiert die Regeln für den Aufbau von Dokumenten
in Form einer Baumstruktur. Im Gegensatz zu bekannten
Auszeichnungssprachen wie beispielsweise HTML (Hypertext Markup Language) oder TeX (bzw. LaTeX)1) ist XML
ein Standard zur Definition von beliebigen, in ihrer Grundstruktur jedoch stark verwandten Auszeichnungssprachen
und wird daher auch als Metasprache bezeichnet.
Zwei Hauptargumente, die für das Publizieren mit XML zumeist genannt werden, sind, dass
1. Inhalte nur einmal eingegeben werden müssen, um
über mehrere Kanäle abrufbar zu sein und
2. die Kompatibilität zu anderer Software erhöht wird, so
dass Importvorgänge erleichtert werden.
Comment 06 /3
Wo macht der Einsatz von XML wirklich Sinn? Wo ist er im
Vergleich zu herkömmlichen Technologien besser oder gar
schlechter geeignet?
Größenordnungen bezeichnen. Sehr populär ist zum Beispiel der kombinierte Einsatz der Skriptsprache PHP zusammen mit dem MySQL-Datenbank-Managementsystem.
Beide sind wichtige Vertreter der Open Source-Gemeinde
und stehen somit nicht nur jedem Entwickler frei zur Verfügung, sondern laden auch zu eigenen Verbesserungsansätzen ein.
Statisches Publizieren
Das statische Publizieren ist vom Prinzip her denkbar einfach und schnell erklärt: Die zu publizierenden Dokumente
werden in einem Editor (oft ein WYSIWYG2)- oder ein einfacher Texteditor) erstellt bzw. bearbeitet und mit allen gewünschten Funktionen versehen. Das Resultat sind einzelne HTML-Dokumente, von denen jedes einzelne alle
notwendigen Daten enthält, das heißt, dass keinerlei Daten
gemeinsam verwendet werden. Dann wird eine Kopie dieser Dateien auf dem System gespeichert (meist mit Hilfe
von SSH, FTP 3) oder WebDAV 4) ), auf dem auch der Webserverdienst läuft.
Der Webserver liefert dann bei jeder Anfrage eines Clients
das gewünschte Dokument aus, und zwar ohne es weiter
zu verarbeiten oder sonstige Aktionen zu verrichten. Auch
die URLs, die vom Client abgerufen werden, geben exakt
die Struktur des Dateisystems wieder: So befindet sich zum
Beispiel eine Datei, deren URL auf .../kontakt/index.
html endet, auf dem Webserver im Verzeichnis kontakt
und hat den Dateinamen index.html.
1) siehe hierzu Artikel LamportTauepsilonXi – Textverarbeitung und
mehr in Comment 06/1, Seite 25 bzw. unter www.univie.ac.
at/comment/06-1/061_25.html
Bevor diese Fragen beantwortet werden, soll ein kurzer
Überblick gegeben werden, wie Web-Publishing mit nicht
XML-basierten Technologien aussieht.
2) WYSIWYG ist die Abkürzung für das Prinzip What You See Is What
You Get („was du siehst, ist, was du bekommst“ ). Bei echtem
WYSIWYG wird ein Dokument während der Bearbeitung – z.B. in
einem Editor – genauso angezeigt, wie es bei der Ausgabe des fertigen Dokuments aussieht.
Web-Publishing ohne XML
3) FTP (File Transfer Protocol ) ist ein spezifiziertes Netzwerkprotokoll
zur Dateiübertragung und wird benutzt, um Dateien vom Server
zum Client (Download), vom Client zum Server (Upload) oder
clientgesteuert zwischen zwei Servern zu übertragen. Außerdem
können mit FTP Verzeichnisse angelegt und ausgelesen sowie Verzeichnisse und Dateien umbenannt oder gelöscht werden.
Zum „herkömmlichen“ Web-Publishing zählen das Publizieren von rein statischen Webdokumenten sowie die serverseitig programmierten Ausgabesysteme (dynamische Systeme).
Gerade der Einsatz von serverseitigen Skriptsprachen hat in
den letzten Jahren erheblich an Bedeutung gewonnen und
lässt sich durchaus als Standardlösung für Webprojekte aller
4) WebDAV (Web-based Distributed Authoring and Versioning) ist ein
offener Standard zur Bereitstellung von Dateien im Internet.
5) Der Begriff Netzwerklaufzeit bezeichnet die Zeitspanne, die eine
Information benötigt, um von A nach B zu kommen.
Vorteile
Der größte Vorteil dieser Art des Publizierens ist die offensichtliche Einfachheit. Dass von Seiten des Webserverdienstes keine weiteren Aktionen notwendig sind, bringt
einen zusätzlichen Geschwindigkeitsvorteil, der in der Praxis jedoch nicht spürbar ist. Die Performance von Skriptsprache-Interpretern und vor allem der Server-Hardware ist
in den letzten Jahren so gut geworden, dass auf einem gewöhnlichen Mietserversystem bei vernünftiger Programmierung keine Verzögerung wahrnehmbar ist, zumal die Netzwerklaufzeiten5) meist erheblich höher sind.
Ein weiterer Vorteil ist die Möglichkeit, den gesamten Inhalt
des Webprojektes auch ohne Webserverdienst erschließen
zu können. Wenn ein lokaler Zugang zu den HTML-Dateien
besteht, sind diese von jedem beliebigen Browser les- und
darstellbar.
Dynamische Systeme
Schon von den ersten Jahren des WWW an gab es immer
Systeme, die HTML-Code dynamisch generierten. Der Entwickler programmiert dabei ein System, dessen Aufgabe es
ist, bei der Anfrage eines bestimmten URL ein HTML-Dokument ganz oder teilweise neu zu erstellen.
Für die hierzu notwendigen Informationen kommt jede
denkbare Datenquelle in Frage: Daten aus dem Dateisystem,
aus Datenbanken, von entfernten Rechnern oder auch
Daten, die der Besucher innerhalb einer Sitzung dem Server
übermittelt, wie etwa durch das Ausfüllen eines Kontaktformulars. Der Server erstellt dann anhand der angefragten Daten
ein fertiges HTML-Dokument, das an den Client zurückgesandt wird.
Vorteil
Der Vorteil eines dynamischen Systems liegt auf der Hand:
Es können nicht nur, wie beim statischen Publizieren, vorgefertigte Dokumente ausgeliefert werden, sondern auch
Antworten, die zur Laufzeit erstellt werden. Zudem können
alle redundanten Bestandteile eines Dokuments wie etwa
Navigation oder Fußzeile zentral abgelegt und vor allem separat gepflegt werden. Auch wird so eine Integration des
Webauftrittes in weitere Geschäftsprozesse überhaupt erst
möglich, wenn z.B. das online Abrufen von Lagerbeständen
einen Zugriff auf die Lagerdatenbank erfordert.
Statisch oder dynamisch: XML bleibt draußen
Bei dynamischen Ansätzen sind durchaus Lösungen denkbar, die XML-Datenquellen zur Publikation nutzen. Dennoch
ist diese Kombination nicht sonderlich oft anzutreffen, weil
in der Regel relationale Datenbankmanagementsysteme als
Datenquellen genutzt werden. Ein möglicher Grund hierfür
ist bei den Programmiergewohnheiten der jeweiligen Programmierer zu suchen. Da Entwickler von skriptbasierten
Systemen sich häufig der schlichteren prozeduralen Programmierung bedienen, ist der Schritt zu den eher objektorientierten Denkmodellen der XML-Verarbeitung oft nicht
der nahe liegendste. Zudem erschließt sich das volle Spektrum der Vorteile von XML erst durch einen übergreifenden
und konsistenten Workflow (Näheres im Abschnitt Noch
mehr Vorteile).
So wird XML beispielsweise in großen kommerziellen
Applikationen eingesetzt, die üblicherweise in Java geschrieben sind und einen Application Server verwenden
(z.B. den Oracle Application Server). Bei solchen Anwendungen ist die Webschnittstelle oft nur ein kleiner Teil des
Gesamtsystems, das noch über zahlreiche weitere Schnittstellen verfügt. Für einen komfortablen Datenaustausch
über verschiedene Schnittstellen ist XML hervorragend geeignet.
Die eXtensible Markup Language
XML ist im Laufe der letzten Jahre zu einem echten Schlagwort geworden. Bei einer etwas nüchterneren Betrachtung
ist XML selbst zunächst allerdings nicht mehr und nicht weniger als eine standardisierte Weise, Daten abzuspeichern
oder zu übertragen. Dabei spielt die Gliederung innerhalb
der Dateien eine entscheidende Rolle. Viel konkreter ist
XML zunächst nicht erklärbar, denn zu dessen größter
Stärke gehört die Flexibilität, was es allerdings auch am
Anfang etwas schwer fassbar macht. XML ist aus der bereits
1986 definierten Auszeichnungssprache Standard Generalized Markup Language (SGML) entstanden. XML sollte so
einfach zu handhaben sein wie HTML, dabei aber so flexibel wie SGML bleiben.
Ein mit XML beschriebener Datenbestand ist mit so genannten Tags (übersetzbar mit „Markierung“) versehen, die das
Dokument logisch bzw. semantisch gliedern. Würde man
die Gliederung verwerfen, wäre der gesamte Text einfach
ein einziges, zusammenhängendes Gebilde, etwa so, als
würde man aus einem Theaterstück alle Rollenzuweisungen, Regieanweisungen und Szenenbeschreibungen entfernen oder die Tageszeitung in einem Stück diktieren, ohne
eine Unterscheidung zwischen Titel und Text zu machen.
Welche Tags verwendet werden und wie sie angeordnet
werden, hängt vom Zweck des Dokumentes ab. Für alle
Dokumente, die den gleichen Zweck erfüllen, wird eine so
genannte XML-Applikation definiert, also ein konkreter
Umfang von Tags mit Regeln, die festlegen, wo, wie oft und
unter welchen Bedingungen ein Tag gesetzt werden muss.
Ein sehr einfaches Beispiel für XML ist etwa eine Einkaufsliste, wie sie in Abb. 1 auf der Folgeseite notiert ist.
Comment 06 /3
Sowohl beim Publizieren von statischen Inhalten als auch
bei den dynamischen Systemen kommen bisher in aller
Regel keine XML-Technologien zum Einsatz, weder als
Datenquelle noch zur Verarbeitung. Gleichwohl ist diese
Möglichkeit denkbar, und streng genommen kann auch
eine einzelne valide XHTML-Seite als Verwendung von XML
verstanden werden. Dieser Fall soll jedoch ausgeschlossen
werden, da die Vorteile von XML hier bei weitem nicht ausgenutzt werden, insbesondere weil keine Transformationen
von Inhalten erfolgen.
41
42
1
<einkaufsliste>
2
<posten>
3
<ware>Milch</ware>
4
<menge>1</menge>
5
<einheit>Liter</einheit>
6
</posten>
7
<posten>
8
<ware>Semmeln</ware>
9
<menge>2</menge>
10
<einheit>Stück</einheit>
11
</posten>
12
<posten>
13
<ware>Orangen</ware>
14
<menge>1</menge>
15
<einheit>Kilo</einheit>
16
</posten>
17
</einkaufsliste>
Abb. 1: Beispiel eines XML-Dokuments, hier eine Einkaufsliste
Wie im Beispiel der Einkaufsliste zu sehen ist, wird für
jeden einzelnen Posten ein Bereich <posten> eröffnet, in
dem wiederum andere Tags geschachtelt enthalten sind.
Jedes Tag mit seinem Inhalt stellt ein Element dar. Trotz seiner etwas wiederholenden Natur bleibt das Dokument
selbst für ein ungeübtes Auge leicht les- und erfassbar.
XML-Dokumente sind immer Textdateien – selbst wenn innerhalb der Tags später auch Binärinformationen erlaubt
sind –, was die Handhabung sehr erleichtert. Die strenge
Struktur dieses Dokumentes ermöglicht die einfache und
flexible Verarbeitung, für die XML steht.
Typische Eigenschaften eines XML-Dokumentes
Comment 06 /3
Ein XML-Dokument hat verschiedene Merkmale. Einige
davon sind zwingend notwendig, andere Eigenschaften
sind optional, und wieder andere sind logische oder stilistische Richtlinien. Im Folgenden sind die wichtigsten
Eigenschaften von XML zusammengefasst:
• Syntax: Jedes Element wird mit Hilfe eines Tags begonnen und beendet, bei dem der Tagname in spitzen
Klammern steht. Dazwischen kann ein Text stehen:
<tagname>foobar</tagname>, oder es handelt sich
um ein leeres Element: <tagname/>. Innerhalb des
Tags können noch weitere Daten gespeichert werden,
in Form so genannter Attribute: <tagname attribut=“wert“>. Das öffnende Tag enthält dabei den
Tagnamen und optionale Attribut-Wert-Zuweisungen.
Das schließende Tag beginnt mit einem Schrägstrich
nach der öffnenden Klammer und darf keine Attribute
enthalten. Leere Tags enden mit einem Schrägstrich vor
der schließenden Klammer. Bei Tagnamen wird Großund Kleinschreibung berücksichtigt.
• Wohlgeformtheit: Ein Dokument ist wohlgeformt,
wenn alle Elemente, die geöffnet werden, auch wieder
geschlossen werden (<tag>...</tag>) oder die Elemente leer sind (<tag/>). Außerdem dürfen Elemente
zwar geschachtelt werden (<a><b></b></a>), aber
nicht über Kreuz geöffnet und geschlossen werden
(<a><b></a></b>). Die Einhaltung dieser Regeln ist
absolut notwendig, da die meisten Programme die Verarbeitung eines nicht wohlgeformten Dokumentes abbrechen werden.
• Validierung mittels DTD und anderer Technologien: Wie bereits erwähnt, definiert man für mehrere
Dokumente, die dem gleichen Zweck dienen, eine so
genannte XML-Applikation. Beispiele hierfür sind etwa
MathML zur Notation von mathematischen Formeln
oder XHTML für Hypertext-Dokumente im Web. Das
Mittel hierzu ist die Beschreibung einer so genannten
Document Type Definition (DTD). Hierin wird standardisiert, welche Tags benutzt werden dürfen, welche ineinander geschachtelt werden können, und welche
Attribute zugelassen oder zwingend notwendig sind.
Die Standardisierung solcher Applikationen ist unerlässlich, damit ein Programm, das Daten aus einem XMLDokument erhält, sichergeht, dass alle Daten aus dem
Dokument im Programm zuordnungsfähig sind und umgekehrt alle für das Programm notwendigen Daten im
Dokument vorhanden sind. Braucht z.B. ein Programm
zwingend die Information, ob eine Person männlich
oder weiblich ist, so wird dies in der DTD festgelegt. Ein
entsprechend valides Element könnte etwa so aussehen:
<person gender=“female“>...</person>. Würde
hier das gender-Attribut weggelassen werden, wäre das
Dokument nicht mehr gegen diese DTD valide.
Das DTD-Format ist nicht die einzige Sprache, in der die
Syntax von XML-Dokumenten festgelegt werden kann.
Profiliert haben sich vor allem auch die Sprachen XML
Schema6), welche den Vorteil hat, selbst eine XMLApplikation zu sein, und Relax NG7), die für sich beansprucht, besonders leicht erlernbar zu sein.
• Trennung von Inhalt und Darstellung: XML ist eine
Auszeichnungssprache, mit deren Hilfe logische bzw.
semantische Strukturen der Daten auf das Dokument
übertragen werden sollen. Der Zweck eines Dokuments
kann dabei je nach XML-Applikation völlig verschieden
sein. Jede Applikation erfüllt genau ihren Zweck und
keinen anderen. So sollen zum Beispiel auch XHTMLElemente nicht zur visuellen Gestaltung verwendet werden, sondern die dafür vorgesehene Sprache CSS (Cascading Style Sheets) 8). Andere Applikationen hingegen,
wie SVG 9) und XSL-FO10), sind genau hierfür gedacht.
• Portierbarkeit ist einer der meist gepriesenen Vorteile
von XML und beschreibt die Fähigkeit, Daten auf anderen Rechnern, auf anderen Betriebssystemen oder mit
anderer Anwendungs- oder Server-Software weiter benutzen zu können. Dies verdankt XML einerseits der
leichten Verarbeitbarkeit des Datenformats, andererseits
sicherlich aber auch einer gewissen Mode, durch die
(dankenswerterweise) viele Anwendungen eine Schnittstelle zum XML-Import oder -Export implementiert haben oder sogar gleich konsequenterweise ihre Daten
in XML-Formaten speichern.
Für fast alle Programmiersprachen gibt es Pakete, mit
denen Softwareentwickler relativ leicht XML-Funktionen nachrüsten können, allen voran Java und Perl.
Unterstützt wird die Portierbarkeit über verschiedene
Sprachen und Alphabete hinweg vor allem durch die
Verwendung von adäquaten Encodings, nach aller Möglichkeit Unicode (UTF-8).
• Transformierbarkeit ist ebenfalls eine der Schlüsseltechnologien von XML. Bei Transformationen handelt es
sich um Prozesse, die nach einer bestimmten Vorschrift
Daten aus einem XML-Dokument extrahieren und sie in
ein zweites niederschreiben, wobei sich allerdings das
Schema, also die Struktur der Daten, verändert. Auf
diese Weise könnte zum Beispiel die Einkaufsliste aus
Abbildung 1, die einem generischen11) XML-Schema
folgt, in ein XHTML-konformes Dokument transformiert
werden:
...
<ol class=“einkaufsliste“>
<li>1 Liter Milch</li>
<li>2 Stück Semmeln</li>
<li>1 Kilo Orangen</li>
43
grammen und Plattformen. XML unterliegt als offener Standard nicht der Kontrolle einer einzelnen Firma, und seine
Verwendung ist nicht geschützt oder begrenzt.
Auch für Entwickler sind die Gründe nahe liegend: Statt mit
viel Aufwand einen Parser 13) für ein eigenes Textformat zu
programmieren, greift man auf XML zurück – und erntet
damit noch alle weiteren Vorteile.
Noch mehr Vorteile …
Von diesen ausführlich beschriebenen Merkmalen von XML
abgesehen ist für den Zweck des Web-Publishing vor allem
der folgende Aspekt interessant: Die Datenspeicherung soll
möglichst zentral und mit möglichst wenig Redundanz auskommen, besonders sollen aber redundante Arbeitsschritte
bei der Verarbeitung der Inhalte vermieden werden. Dieser
Aspekt betrifft mehrheitlich Redakteure von Webseiten.
Wenn erreicht werden kann, dass Artikel, Bild- und Grafikmaterial, Adressdaten, Daten zu Geschäftsprozessen (wie
z.B. Nutzerstatistiken oder Lagerhaltungsdaten) wirklich
nicht mehr isoliert auf den Arbeitsplatzrechnern der einzelnen Mitarbeiter, sondern zentral und direkt auf gemeinsamen Servern gespeichert werden, ist ein sehr großer Schritt
nach vorne gelungen.
Wenn hierzu noch die Software der Endanwender, also die
Redaktionssysteme, Adressprogramme, Textverarbeitungen
und andere Programme, auch über eine einheitliche Schnittstelle auf diese Datenbestände zugreifen kann und die
Server-Software keine proprietären Datenformate mehr verarbeiten muss, so werden die positiven Auswirkungen für
jeden Mitarbeiter spürbar und offensichtlich sein:
</ol>
Datenbestände sind dann immer auf dem neuesten Stand,
lästiges und fehleranfälliges Abgleichen von Listen entfällt
Die so transformierte Einkaufsliste kann nun problemlos in jede Website eingebunden werden. Die wichtigste
Technologie für Transformationen ist die Extensible
Stylesheet Language Transformation (XSLT) 12).
Diese Punkte machen deutlich, warum XML so viele Vorteile
in sich vereint, die für sich genommen nicht unbedingt revolutionäre Neuerungen sind, aber hier konsequent und
zusammen umgesetzt wurden. Was die Verwendung dieser
Technologie allerdings erst so richtig interessant und mächtig macht, ist die umfangreiche Sammlung von Werkzeugen
und Schnittstellen zu allen erdenklichen Systemen, Pro-
7) siehe hierzu http://relaxng.org/ (nur englisch)
8) siehe Artikel Cascading Style Sheets in Comment 03/1, Seite 30
bzw. unter www.univie.ac.at/comment/03-1/031_30.html
9) Scalable Vector Graphics (übersetzt: „skalierbare Vektorgrafiken“)
ist ein Standard zur Beschreibung zweidimensionaler Vektorgrafiken in der XML-Syntax.
10) Extensible Stylesheet Language – Formatting Objects ist eine XMLAnwendung, die beschreibt, wie Text, Bilder, Linien und andere
grafische Elemente auf einer Seite angeordnet werden.
11) „Generisch“ meint in diesem Fall: nur für dieses eine Dokument
zutreffend; es handelt sich hierbei nicht um ein Standardformat.
12) Ein Tutorial zu XSLT ist unter www.data2type.de/xml/XML.
html verfügbar.
13) Parser bezeichnet ein Computerprogramm zur Verarbeitung von
Textdokumenten.
Comment 06 /3
• Document Object Model (DOM): Die geschachtelte
Struktur eines XML-Dokumentes lässt sich als Baumstruktur darstellen, in der das oberste Element das Root
Element darstellt. Alle weiteren Elemente sind hierarchisch unter diesem Element sortiert, als so genannte
Child Elements. Sie sind in dem Root Element enthalten.
Bei der Verarbeitung spielt dieser Umstand eine entscheidende Rolle, da viele Schnittstellen zur Programmierung nach diesem Modell arbeiten.
6) Eine Einführung in XML Schema ist unter www.edition-w3c.
de/TR/2001/REC-xmlschema-0-20010502/ verfügbar.
44
völlig, und Funktionen für komplexere Zugriffe können
vom Systemadministrator jederzeit nachgerüstet werden.
Vor allem aber kann eine Datei (etwa ein Artikel) nicht nur
mit dem Programm verarbeitet werden, in dem die Datei erstellt wurde, sondern jedem anderen Zweck übergeben
werden, für den eine Transformationsregel geschrieben
wurde. Ein einmal gespeichertes OpenOffice.org-Dokument 14) könnte so beispielsweise direkt ohne weitere
Arbeitsschritte im Web veröffentlicht werden.
Bei der Veröffentlichung der Daten ist aber nicht nur ein
Weg möglich, sondern im Sinne des anfangs bereits erwähnten Cross-Publishing eine Publikation über mehrere
Ausgangsformate hinweg denkbar. Üblich wäre es zum Beispiel, einen Artikel im Web über einen Link als Druckversion
in Form einer PDF-Datei anzubieten. Ein RSS-Stream15), wie
ihn in letzter Zeit immer mehr Websites anbieten, wäre
ebenfalls über eine recht einfache Transformation direkt
aus den Datenbeständen zu gewinnen. WML-Versionen16)
für mobile Endgeräte, Web-Services und proprietäre XMLFormate sind nur Beispiele für eine beinahe beliebig erweiterbare Liste weiterer Ausgabeformate.
Auf Seiten der Programmierer der Website ergibt sich einer
der Hauptvorteile allein durch die konsequente Nutzung
von XML: Für die verschiedenen Arten von Daten muss
nicht für jede Anwendung eine andere Technologie beherrscht werden. Unterschiede der Verarbeitung und der
Datenmodelle, wie sie zwischen relationalen Datenbanken,
objektorientierten Datenbanken, Spezial-Datenschnittstellen wie LDAP (Lightweight Directory Access Protocol, siehe
Artikel auf Seite 29 und 33) für die Ablage von Adressdaten
etc. existieren, können so auf einen einheitlichen Nenner
gebracht werden. Zwar erfordern die XML-Technologien
auch aufgrund ihrer Anzahl eine gewisse Einarbeitungszeit,
aber schnell wird deutlich, dass sie sich meist eines gemeinsamen Denkmodells bedienen.
… und die Kehrseite
Damit diese Ziele realisiert werden können, ist insbesondere die richtige Planung von entscheidender Wichtigkeit.
Nur wenn alle Arbeitsschritte von der Erstellung bis zur
Veröffentlichung der Inhalte wirklich konsequent auf den
Austausch von XML-Daten ausgelegt werden, ergibt sich
aus der Umstellung der Datenspeicherung auch tatsächlich
ein arbeitstechnischer und mithin wirtschaftlicher Vorsprung.
Der Grund dafür ist, dass XML als isolierte Lösung in einem
Bereich nicht erheblich besser ist als konventionelle
Formate, und sich somit der Arbeitsaufwand zur Vereinheitlichung beziehungsweise Umstellung kaum rentieren würde. Die Anforderungen sind nämlich nicht gering:
Es müssen die Datenbanken sowie die Programme für Endanwender (insbesondere Redakteure) überarbeitet oder
neu angeschafft werden, und die Server-Software muss in
aller Regel erneuert werden. Der wichtigste Teil der Arbeit
entfällt aber mit Sicherheit auf die Planung einer solchen
Konsolidierung auf XML, damit sie über Jahre (und Programmversionen) hin nutzbar und skalierbar bleibt.
Der Selbstversuch
Wer selbst Hand an ein XML-basiertes Publishing-System
legen will, ist gut beraten, sich zu Beginn mit den einschlägigen Frameworks zu beschäftigen. Frameworks sind
Rahmenanwendungen, deren Module ähnlich einem Baukastensystem zu einem neuen System zusammengesetzt
werden können. In X4U 17) beispielsweise kann mit wenig
Aufwand eine komplette typische Website mit Navigation,
Inhalten, Statistiken und Ähnlichem generiert werden. Cocoon18) hingegen ist Teil des bekannten Apache-Projekts
und wahrscheinlich das umfangreichste und mächtigste
XML-Publishing-Framework.
Außer den beiden genannten existieren noch unzählige
weitere Frameworks und Module, oft auch welche, die für
Nischenanwendungen programmiert und dann als OpenSource-Software veröffentlicht wurden. Wie erwähnt, sollte
die Einrichtung eines kompletten Systems von langer Hand
konzipiert und vor allem auf den Workflow des jeweiligen
Einsatzes abgestimmt werden.
Mit ein wenig Probierfreudigkeit und den richtigen Beispielen kann man jedoch bereits in wenigen Tagen ein
gutes Gefühl für die Stärken und Tücken der Datenverarbeitung mit XML gewinnen.
Katharina Lüthke (ZID)
& Michael Probst Stuckmann (netconstructions) I
Comment 06 /3
XML-Literaturtipps
• Erik T. Ray: Einführung in XML, O‘Reilly 2004
• Helmut Vonhoegen: Einstieg in XML, Galileo Computing 2005
XML-Webtipp
• XML in der Praxis: Extensible Markup Language
für Profis:
www.linkwerk.com/pub/xmlidp/2000/
14) OpenOffice.org speichert seine Daten im so genannten OpenDocument-Format, einem XML-Format für Office-Dokumente.
15) siehe hierzu Artikel RSS Enterprise in Comment 06/1, Seite 46 bzw.
16) WML (Wireless Markup Language) als Teil des Wireless Application
Protocol (WAP) dient zur Darstellung von Inhalten im Internet auf
Mobiltelefonen.
17) auf Anfrage (per eMail an [email protected])
beim Autor erhältlich
18) http://cocoon.apache.org/

Inhalt Editorial - Comment

Transcription

Similar documents

RW 1 - GW Rett Fahrgestell für

Wi-Fi-Sicherheit – WEP, WPA und WPA2

Inhalt - Stadt Dorsten

Comment 04/1 (März 2004)

Barcelona Reiseführer Band I

Comment 06/1 (März 2006)

Ausarbeitung Mechanismenmodellierung mittels

17 Vorgehensweise für ausgewählte Objekttypen

(22 abr 2011). - Supremo Tribunal Federal

Inhalt Hilde Gruber - Comment

Intrusion Prevention: Neue Trends aus den USA

Bildformate

overview of medical services

Neun Gänge, kompakt und effizient Die Generation Y begeistern

Ausgabe 1-2011

Comment 97/3 (September 1997)

PDF-Datei, 12,8 MB - Wasserburg am Inn!

TightGate-Pro - M

Qualitäts- management - Alpen-Adria

(Powerpoint XP/2003) (Übung)

OpenOLAT 9.3 - Benutzerhandbuch

Sizing Guide Exchange Server 2003