Warum man sich Router nicht vom DSL-Anbieter geben lässt.

Dass es wieder einmal ein größeres Sicherheitsproblem mit Speedport-Routern der Deutschen Telekom gibt, die vornehmlich an DSL-Kunden als gar nicht so kostenlose Dreingabe mitgehen, wundert mich gar nicht – es hat leider System. Denn es ist nicht das erste Sicherheitsproblem, dass im Laufe der Zeit in der Software von Speedport-Routern gefunden wurde. Die Frage stellt sich da schon, was die Deutsche Telekom da eigentlich ihren Kunden zumutet. Und die nächste Frage geht an Kunden selbst: Warum zum Teufel kauft ihr keinen Marken-Router und lässt euch von eurem DSL-Anbieter eine weitgehende Blackbox an das eurige Ende der Leitung legen?

Tatsächlich ist nämlich die Kalkulation, die DSL-Anbieter führen müssen, das tatsächliche Problem dieser Misere. Damit nämlich der Anschluss möglichst konkurrenzfähig bleibt, wird nicht die beste Hardware in die Angebote gepackt, sondern die möglichst günstigste. Und das führt dann dazu, dass unter dem Telekom-Pseudo-Label „Speedport“ eine ganze Reihe von Hardware und Herstellern auftauchen, die aus Fernost kommen, ein reines OEM-Geschäft verrichten und Endkundenorientierung vom Hörensagen kennen. Hardware, die in der Form niemals selbstständig den Weg in den Handel führen würde, weil sie dermaßen miserabel ist, dass die Rückläuferquote viel zu hoch wäre. Es kann hier eigentlich nur Mist dabei herauskommen, manchmal früher und manchmal eben später.

Und genau das ist bei OEM-Hardware für einen Breitenmarkt nun ein riesiges Problem. Zwar hat man wohl mitgedacht und die ausgelieferten Router so konfiguriert, dass sie ein Update automatisch einspielen (wenn der Nutzer das nicht explizit ausgeschaltet hat), aber ein Umdenken wäre dennoch langsam erforderlich.

Bye-bye, webserver-basierte Statistikauswertung.

Seit den Anfangstagen von netplanet habe ich in Sachen Webserver-Auswertung fast durchgehend serverseitige Anwendungen am Start und immerhin seit 2004 den Webalizer. Webserver-seitige Statistiken haben den großen Vorteil, dass das Schreiben von Logfiles nahezu geräuschlos im Hintergrund des Webservers vonstatten geht und eine serverseitige Auswertung einst auch sehr lässig anzuschauen war.

Das funktionierte so lange, bis Weblogs und Kommentar-Spam kamen. Seit diesem Zeitpunkt beschäftigt sich früher oder später ein Webserver mit einem zu hostenden Weblog weitgehend nur noch mit Kommentar-Spam. Und „weitgehend“ ist ernst gemeint, denn als ich spaßeshalber einmal einen halben Tag dazu gebracht habe, die echten Apache-Weblogs nach eindeutigen Spuren von Versuchen, Kommentar-Spam abzulassen, durchforstete, traf mich der berühmt-berüchtigte Schlag – ich hätte eher nach Einträgen suchen sollen, die offensichtlich nicht Spam-Versuche sind, denn während dieses Weblog in der Woche normalerweise 3.000 bis 5.000 Pageviews zustandebringt, waren die Seitenaufrufe im Serverlog für die gleichen Zeiträume rund um den Faktor 10 höher. Wir reden davon, dass auf meinem Webserver für alle hier gehosteten Weblogs rund 90 % aller Seitenaufrufe purer Müll sind. Und ja, in dieser Rechnung ist berücksichtigt, dass Pageviews nicht Hits sind (Grafiken, RSS-Feed-Aufrufe und sonstige Dateien habe ich nicht mitgezählt). Solche Erkenntnisse erden. 🙁

Nun gibt es zwar für alle gängigen Web-Statistikprogramme auch mehr oder weniger ausführliche Filtermöglichkeiten, mit denen sich bekannte IP-Adressen von Kommentar-Spammer ausfiltern lassen, ebenso bestimmte Muster in den URL-Aufrufen. Nur: Was nützt diese Arbeit, wenn sich gerade die Liste der IP-Adressen ständig ändert? Schon zu meiner Zeit als Sysadmin bei einem ISP habe ich sehr schnell gelernt, dass die Pflege einer Installation einer Web-Statistik ein höchst undankbarer Job ist und einer gewaltigen Feineinstellung bedarf, um mit der Berechnung nicht den gesamten Server auszulasten. Bedanken tut sich für die Arbeit maximal der Chef, die meisten Kunden haben nicht ansatzweise eine Ahnung davon, was da im Hintergrund passieren muss, um eine aktuelle Web-Statistik zu produzieren.

Noch fataler wird es, wenn man der eigene Chef ist und man sich dann auch die Frage stellen darf, warum man eigentlich gegen eine elend mächtige Spammer-Front anzukämpfen versucht. Diese Frage habe ich vor einigen Wochen damit beantwortet, dass ich alles netplanetare nebenbei von unserer unternehmenseigenen Piwik-Installation auswerten lasse, also einem System, dass nach dem „Google-Analytics-Prinzip“ arbeitet: Im Seiten-Template meines Weblogs steckt ganz unten im Seitenfuß ein kleines Code-Schnipsel, der einen Aufruf in der Piwik-Installation erzeugt und alle notwendigen Aufrufparameter übermittelt.

Piwik bringt gleich eine ganze Reihe von Vorteilen mit: Die Spam-Aufrufe werden nicht mitgezählt, zudem pflegt die Piwik-Community solche Dinge wie Browser-, Betriebssystem- und Providerlisten. Alles Dinge, mit denen man sich einst mal gern beschäftigt hat. In der Zwischenzeit macht das alles nur noch wenig Spaß. Und noch weniger Sinn.

VPN aus China.

Der kleine VPN-Secure-Gateway-Erfahrungsbericht von heute hat natürlich einen Hintergrund. Es ist sozusagen ein langgehegter Sysadmin-Wunsch in Erfüllung gegangen, in dem meine Schwester, die zur Zeit im Fernen Osten weilt, in Shanghai aufgeschlagen ist und auf ihrem iPhone keinen Zugriff auf Facebook mehr hatte. Tja, so erlebt man als Bürger eines westlichen Staates die staatliche Reglementierung der öffentlichen Meinung am eigenen Leib.

Über normale Wege hilft da nichts, denn die Blockierung von Websites erfolgt im Falle von Facebook offensichtlich durch die Blockierung der von Facebook verwendeten IP-Adressen. Da hilft dann auch kein SSL, denn wenn man eine IP-Adresse erst gar nicht erreichen kann, hilft da auch die beste Verschlüsselung nicht. Also musste gestern mal wieder auf bewährte Weise meine Fritzbox ran, die ja eben VPN-Funktionalitäten mitbringt und mit dem VPN-Client des iPhone auch ganz gut harmoniert.

Zugang auf der Fritzbox eingerichtet, meiner Schwester die Daten zukommen lassen (und natürlich das Passwort nicht in Klartext, wir sind ja paranoid!). Und schon beim zweiten Anlauf funktionierte der VPN-Tunnel anstandslos, was sehr schön am Homescreen zu erkennen ist (man achte auf das kleine VPN-Symbol in der Informationsleiste):

IPSec bzw. Internet-Key-Exchange (IKE) laufen standardmäßig über UDP-Port 500 und der scheint auch tatsächlich nicht gesperrt zu sein von der IP-Adresse aus, von der meine Schwester ins Internet hineinstolpert (China Telecom).

Der Weg aller Daten ist nun folgender: Ist der VPN-Tunnel etabliert, wandern alle Daten, die das iPhone ins Internet abkippen möchte, nicht direkt ins Internet, sondern über den VPN-Tunnel an das andere Ende, das bei mir auf der Fritzbox hier in Deutschland liegt. Von hier aus geht der Verkehr also dann ins Internet und nimmt auch den umgekehrten Weg zurück. Der Zugriff auf Facebook geht also von China nach Deutschland und von hier aus zu Facebook (vermutlich nach Irland) und den gleichen Weg wieder zurück. Der Roundtrip dauert, wenn ich die Ping-Zeiten grob zusammenaddiere, ungefähr 1,5 Sekunden. Schöne neue Welt. Am faszinierendsten finden das übrigens unsere Eltern, für die so eine Story der Sicherstellung der interfamiliären Kommunikation auf IP-Transportebene schon eine fast schon magische Geschichte sein dürfte.

Fritzbox als Secure Gateway, ganz einfach gemacht.

Durch Zufall habe ich herausgefunden, dass AVM die Einrichtung einer Fritzbox zu einem Secure Gateway inzwischen fast kinderleicht gemacht hat. Zur generellen Info: Neuere Fritzboxen haben eine eingebaute VPN-Funktionalität auf Basis von IPSec, die auch recht zuverlässig funktioniert. Anfangs dafür gedacht, dass mobile Geräte so auf das heimische LAN zugreifen können, wurde die VPN-Funktionalität 2010 dahingehend erweitert, dass bei entsprechender Konfiguration mobile Geräte ihren gesamten Datenverkehr über das VPN leiten können, um somit eventuelle Regulierungen umgehen zu können und den Datenverkehr auch in unsicheren Umgebungen wie z.B. öffentlichen WLAN-Hotspots absichern zu können.

Der Schlüssel hierzu ist das kleine Tool namens „Fritz!Box Fernzugang einrichten“, das es im VPN-Themenportal kostenlos gibt. Wird mit diesem kleinen und feinen Tool eine VPN-Verbindung eingerichtet, wird im Einrichtungsassistenten nämlich irgendwann gefragt, ob über die einzurichtende VPN-Verbindung nicht nur das lokale Netzwerk erreicht werden soll oder ob darüber der gesamte Datenverkehr des mobilen Gerätes abgewickelt werden soll. Auf bekannte Weise wird dann die erstellte Konfiguration in die Fritzbox importiert und das mobile Gerät bzw. die VPN-Clientsoftware konfiguriert (Anleitungen gibt es auf der VPN-Themenportalseite).

Wichtig ist bei VPN-Clients, bei denen man angeben muss, welche Netze über den VPN-Tunnel geroutet werden sollen, anzugeben, dass nicht nur das lokale Netzwerk hinter der Fritzbox erreichbar sein soll, sondern eben auch das gesamte Internet. Das bezeichnet man üblicherweise auf IP-Adressebene als „0.0.0.0“ mit der Subnetzmaske „0.0.0.0“. Symbolhaft müssen also folgende Netzwerke über den VPN-Tunnel geroutet werden:

192.168.178.0 mit der Subnetzmaske 255.255.255.0
0.0.0.0 mit der Subnetzmaske 0.0.0.0

Detailierte Informationen zum Routing finden sich in meinem Artikel vom September 2010 zum Thema Secure Gateway mit der Fritzbox.

Kleiner Warnhinweis: Wenn der komplette Datenverkehr über die heimische Fritzbox geroutet wird, sollte man sich bewusst sein, dass der heimische Internet-Zugang und dessen Bandbreite einen Flaschenhals darstellen könnten. Gibt es zu Hause also z.B. nur einen DSL 1000, dann ist dessen Up- und Download-Begrenzungen der Flaschenhals, wenn die VPN-Verbindung nicht sehr flott ist. Wer also regelmäßig seine heimische Fritzbox für VPN und für ein Secure Gateway benötigt, sollte sich zu Hause einen flotten Internet-Zugang leisten.

Der „DENIC-Imagefilm“ und die fehlenden Fakten.

Keine Frage: Der so genannte „DENIC-Imagefilm“ ist ein eher grässliches Stück Public Relations und erfüllt eher den Tatbestand des Erweckens von massivem Fremdschämens. Einen komplexen Sachverhalt aus der Sicht zweier ahnungsloser (und extrem schlecht nachsynchronisierten) Protagonisten zu erklären, die ausgerechnet auf dem heimischen Sofa nichts besseres zu tun haben, als sich über den Fernseher darüber kundig zu machen, wie die DE-Domain funktioniert:

Fachlich freilich ist der Erklärung nicht viel streitig zu machen, was nun auch wirklich extrem verwundern würde, wenn das Gegenteil der Fall wäre. Allerdings prellt es an einer Stelle geschichtlich gehörig. Sabine Dolderer, Vorstand der eingetragenen DENIC-Genossenschaft, sagt nämlich ab Minute 3:35 folgendes:

„Die DE-Domains wurden anfangs in den USA verwaltet. 1996, das waren damals 20.000 Domains, haben 37 Internet-Service-Provider angefangen, sich zu überlegen, wie sie das ganze auf eine breitere Basis stellen könnten. Das war die Geburtsstunde der DENIC e.G, wie wir sie heute kennen.“

Das hört sich hübsch an, es fehlt jedoch einiges: Tatsächlich wird die DE-Top-Level-Domain im November 1986 eingetragen und die ersten zwei Jahre auch in den USA im damaligen CSNET, einer der Vorläufer des späteren Internet, betrieben. Aber schon 1988 wechselte der Betrieb des primären Nameservers und die Domainverwaltung nach Deutschland, nämlich an die Universität Dortmund und die dortige Informatik-Betriebsgruppe. Von dort wechselte der Betrieb 1994 an die Universität Karlsruhe. Die dort nun beheimatete technische Verwaltung wechselte tatsächlich erst im Jahre 1999 zur DENIC e.G.

Die DENIC e.G. wiederum wurde zwar 1997 gegründet und versteht ihre Geburtsstunde in der besagten Versammlung von 37 Internet-Service-Providern, die sich im Dezember 1996 über eine Genossenschaft als zukünftige Betriebsstelle einigten, allerdings gibt es die ersten grundlegenden Bemühungen ebenfalls schon erheblich früher. Denn schon im Dezember 1991 fand in München ein Treffen von 150 Vertretern aus Industrie und Wissenschaft statt, in dem unter anderem über die Zukunft des Betriebes der DE-Top-Level-Domain diskutiert wurde. Daraus entwickelte sich eine Deutsche Interessensgemeinschaft Internet (DIGI), die sich auch um eine dauerhafte Lösung zum Betrieb der DE-Zone kümmern sollte.

Um die Jahre 1992 bis 1996 wird in Sachen DE-Domain mutmaßlich auch deshalb nicht gern geredet, weil es sich, um es einmal gelinde zu sagen, um recht turbulente Jahre (im Text weiter unten) handelte. Ein gar nicht so kleiner Teil der damals lautesten Unternehmen im Business gibt es heute auch schon nicht mehr, was sicherlich in vielen Fällen auch kein allzugroßer Verlust für die besonneneren Akteure im Internet-Business war.

Yahoo (vermeintlich im) Iran.

Als ich gerade im Webbrowser die Website von Yahoo Finances besuchen wollte, musste ich staunen. Zeigte doch tatsächlich das Plugin „Flagfox“, das dem Firefox die nützliche Funktion des automatischen IP-Lookups beibringt, plötzlich eine recht seltene Flagge im IP-Adressraum an. Die Vermutung bestätigte sich – der Iran. Man achte in diesem Screenshot auf die Infobox unterhalb der Suchbox, die anzeigt, dass für den Hostnamen „de.finance.yahoo.com“ die IP-Adresse 188.125.65.211 aufgelöst wurde (was definitiv stimmt und mit nslookup nachprüfbar ist) und diese IP-Adresse offenkundig mit dem Ländercode für den Iran registriert ist:

Yahoo und Iran – das passt ungefähr so gut zusammen wie Audi und der Planet Mars, nämlich gar nicht. Allein dieser Anachronismus, dass mit dieser obigen Auskunft Yahoo irgendetwas im Iran hosten könnte, weckte meine netzwerkdetektivische Leidenschaft.

Erste Auskunftei in Sachen IP-Adressen sind die RIR, die Regional Internet Registries. Diese international tätigen Vergabestellen sind dafür zuständig, in ihrer jeweiligen Region die Zuteilung von IP-Adressen an Internet Service Provider sicherzustellen. Im Falle der Adresspräfix 188 ist hier das RIPE zuständig, also die RIR, die für Europa und Vorderasien zuständig ist.

In Sachen Auskunft ist es im Internet üblich, die Registrierungsinformationen des IP-Adressraumes öffentlich zu dokumentieren und über ein so genanntes WhoIs durchsuchbar zu halten. Internet Service Provider wiederum, die vom RIPE IP-Adressräume zugeteilt bekommen haben, sind vertraglich verpflichtet, diese Registrierungsinformationen für weiterdelegierte Adressräume zeitnah in die RIPE-Datenbank einzupflegen und aktuell zu halten.

Über das WhoIs des RIPE ist also problemlos eine Recherche für die obige IP-Adresse möglich, was folgendes Ergebnis lieferte:

inetnum:        188.125.64.0 - 188.125.71.255
netname:        IR-YAHOO
descr:          Yahoo! Europe
country:        IR
admin-c:        YEU-RIPE
tech-c:         YEU-RIPE
status:         ASSIGNED PA
mnt-by:         YAHOO-MNT
source:         RIPE #Filtered

role:           Yahoo Europe Operations Department
address:        Yahoo Europe Operations
address:        125 Shaftesbury Avenue
address:        London
address:        WC2H 8AD
remarks:        trouble:      uk-abuse@cc.yahoo-inc.com
admin-c:        NA1231-RIPE
tech-c:         SCY3-RIPE
tech-c:         NA1231-RIPE
tech-c:         IG1154-RIPE
tech-c:         DR2790-RIPE
tech-c:         CJO3-RIPE
nic-hdl:        YEU-RIPE
mnt-by:         YAHOO-MNT
source:         RIPE #Filtered
abuse-mailbox:  uk-abuse@cc.yahoo-inc.com

Der obere Block der Auskunft ist das so genannte „inetnum“-Objekt, das enthält die grundlegende Information darüber, in welchen IP-Adressblock die IP-Adresse gehört. Die IP-Adresse 188.125.65.211 gehört also in einen Adressblock, der von 188.125.64.0 bis 188.125.71.255 reicht. Spannend dabei ist der Ländercode, der im Feld „country“ angegeben ist, das ist tatsächlich der Code „IR“, der in der ISO-Ländertabelle für den Iran steht. Dass dieser Adressblock tatsächlich zu Yahoo gehört (genau genommen zu Yahoo Europe), wird über das Feld „admin-c“ angezeigt. Die Abkürzung „YEU-RIPE“ ist wiederum ein Verweis auf ein „role“-Objekt, das Informationen über den Besitzer erhält. Die Auskunft über „YEU-RIPE“ ist der untere Block der obigen Auskunft. Es handelt sich also hier mit maximaler Sicherheit tatsächlich um Yahoo Europe, auf jeden Fall aber über eine offizielle Yahoo-Einrichtung.

Zuerst dachte ich an einen Fehler in der Registrierung. Vielleicht ist dem zuständigen Systemadministrator, der die obigen Informationen in die RIPE-Datenbank eingetragen hat, ein Fehler bei der Eingabe des Ländercodes unterlaufen und das „IR“ steht fälschlicherweise dort. Tatsächlich kann nämlich der Verwalter eines IP-Adressblocks diese Länderinformation selbst eintragen.

Dass es dann doch kein Fehler sein kann, merkte ich schnell an der zweiten Zeile, dem „netname“-Feld. Hier gibt nämlich der Verwalter des IP-Blocks einen frei wählbaren Netznamen an, der rein zur internen Dokumentation dient. Dort findet sich explizit der Eintrag „IR-YAHOO“. Es ist sehr unwahrscheinlich, dass der Autor dieses Eintrages einen falschen Ländercode einträgt und diesen Fehler dann auch nochmal im Netznamen begeht.

Also, der Ländercode „IR“ ist für diesen Netzwerkblock offensichtlich gewollt und beabsichtigt. Warum das so ist, lässt sich erklären, wenn man näher auf die Eigenheiten dieser Ländercodierung eingeht. Denn tatsächlich ist dieser Ländercode, den zwingend jeder Empfänger von IP-Adressblöcken in der Netzwerkdokumentation setzen muss, nicht einfach nur informell, sondern elementar – mit dieser Ländercodierung arbeiten quasi alle Dienste, die eine Recherche von IP-Adressen nach Ländern ermöglichen, so zum Beispiel Statistikdienste wie Google Analytics oder Piwik oder aber auch Dienste, die IP-Adressen nach Ländern sperren müssen.

Und da sind wir dann beim Iran und hier bei einem vermutlich genau umgekehrten Fall. Damit Yahoo seine Dienste in den Iran durchbekommt und seine Netze nicht einfach so gesperrt bekommt, hat Yahoo vermutlich den obigen IP-Adressblock explizit für die Nutzung im Iran vorgesehen und das obige Netz entsprechend mit dem Ländercode „IR“ versehen. Hier will sich Yahoo also offensichtlich in irgendeiner Form fügen und es den iranischen Zensoren, die da mit ziemlicher Sicherheit eine mehr oder weniger umfangreiche Sperrliste pflegen, möglicht unbürokratisch einfach machen, Yahoo nicht zu übersehen und „versehentlich“ zu sperren.

Und dabei vergessen die Jungs von Yahoo Europe eine Sache: Was sie da machen, ist genau genommen nicht erlaubt. Der Ländercode für einen Netzblock ist nicht dazu da, anzugeben, wo vermutlich die Besucher sitzen, die auf Dienste zugreifen, die in diesem Netzblock laufen könnten, sondern er ist dazu da, kennzuzeichnen, wo dieser Netzblock tatsächlich eingesetzt wird, also der Server physikalisch steht. Wenn ich ein traceroute auf die IP-Adresse 188.125.65.211 mache, löst sich das folgendermaßen auf und da ist relativ wenig „Iran“ zu sehen:

tracert 188.125.65.211

Routenverfolgung zu proxy1.stage.finance.vip.ird.yahoo.net
[188.125.65.211] über maximal 30 Abschnitte:

  1. besimox [192.168.124.1]
  2. 217.0.118.47
  3. 87.186.241.42
  4. l-eb2-i.L.DE.NET.DTAG.DE [62.154.89.46]
  5. 217.243.216.202
  6. vlan60.csw1.Frankfurt1.Level3.net [4.69.154.62]
  7. ae-62-62.ebr2.Frankfurt1.Level3.net [4.69.140.17]
  8. ae-21-21.ebr2.London1.Level3.net [4.69.148.185]
  9. vlan104.ebr1.London1.Level3.net [4.69.143.97]
 10. ae-5-5.car1.Dublin1.Level3.net [4.69.136.89]
 11. YAHOO-INC.car1.Dublin.Level3.net [212.73.251.2]
 12. ae-1.msr2.ird.yahoo.com [66.196.67.233]
 13. te-8-4.bas-b1.ird.yahoo.com [87.248.101.107]
 14. proxy1.stage.finance.vip.ird.yahoo.net [188.125.65.211]

Ablaufverfolgung beendet.

Das ist also der Weg von meinem Rechner („besimox“) bis zum Zielserver, ingesamt also 14 Knoten im Internet. Interessant hierbei sind die Knoten ab dem 8. Knoten, die der Provider „Level3“ schön nach der Örtlichkeit, in die der Knoten steht, benannt hat. Der Weg geht also von Frankfurt, nach London und dort nach Dublin, also nach Irland. Was auch so stimmt, denn Yahoo hostet seine Dienste in Europa (unter anderem) in Irland. Und nicht Iran.

BarCamp Stuttgart 4.

Letztes Wochenende fand in Stuttgart das inzwischen legendär gewordene BarCamp Stuttgart 4 statt, diesmal in einer fast schon rekordverdächtigen Länge von Freitagabend bis Montagabend (wenn man den gemeinsamen Kinobesuch mit hinzurechnet). Ich hatte mir eigentlich ein ausgiebiges Barcamp-Wochenende vorgenommen, dieses Vorhaben wurde jedoch von akuten Rückenschmerzen einkassiert, so dass es bei mir nur zum Samstag reichte. Aber nun gut, genommen wird, was gegeben wird.

Session „CAcert – Wie ist der Stand, was gibt es Neues?“ von Andreas Albrecht und Dirk Astrath

Diese Session zum Them CAcert, einer alternativen Zertifizierungsstelle, die vollständig auf dem Ansatz basiert, dass die Nutzer ein eigenes „Web of Trust“ aufbauen und sich selbst zertifizieren, war, wenn man es so sehen mag, eine Reminiszenz zu meiner Zeit als Systemadministrator. Ich finde die Idee der dezentralen Vergabe von Autorität in einer Certification Authority einen sehr spannenden und gewinnbringenden Ansatz. Auch wenn man leider sagen muss, dass CAcert immer noch eine Geschichte ist, die meiner Meinung nach nicht richtig in die Gänge kommt und immer noch recht weit davon entfernt ist, in alle gängigen Webbrowser mit ihren Root-Zertifikaten hineinzukommen.

Albrecht und Astrath haben einen schönen Überblick über den aktuellen Stand des CAcert-Projektes gegeben und natürlich auch einen ganzen Block an Formularen dabeigehabt, um den Sessionteilnehmern die Möglichkeit zu geben, sich gegenseitig zu zertifizieren. Vielleicht wird es irgendwann ja mal etwas mit CAcert.

„Workplace of the future NOW“ von Uwe Hauck

Ich war ein kleinwenig faul und wollte den Raum nicht wechseln und habe mir einfach mal die nächste Session von Uwe Hauck angetan, in dem er darüber referierte, wie wir „digitalen Nomaden“ in der heutigen Welt zu Hause (oder im Büro) sitzen und digital mit der Firma oder mit Kollegen arbeiten. Das liest sich auf der einen Seite recht aufregend, hat aber auch durchaus diskutable Nachteile. Denn wo schaffen wir digitalen Nomaden eine Grenze zwischen Arbeit und Privatleben? Wann ist bei uns der Arbeitstag zu Ende? Wann haben wir Wochenende?

Es entwickelte sich – so war es von Uwe Hauck auch sicher gedacht – eine Diskussion und niemand konnte erwarten, dass die perfekte Lösung am Barcamp dabei herausspringt. Aber die Ansätze, dass in der modernen Arbeitswelt nicht mehr einfach nur das „Absitzen“ der Arbeitszeit zählt, sondern letztendlich die Erfüllung einer definierten Zielvorgabe, das ist schon etwas, was genau dort hin führt, wo wir uns zukünftig sehen müssen. Es gab genau genommen nicht viel Neues hier zu lernen, aber schon die Bestätigung Anderer, dass sie die gleichen Denkspiralen bei dem Thema spinnen, reichte mir vollkommen.

„VG Wort Zählpixel“ von Wolfgang Tischer

Wolfgang ist als Betreiber von literaturcafe.de eine feste Größe in Sachen digitales Publizieren und da ich seit einigen Wochen mit der Zählpixelei der Verwertungsgesellschaft Wort ebenfalls experimentiere, war diese Session eigentlich Pflicht. Da geht es bei mir gar nicht mal so sehr um das Thema Bloggen, sondern eher um das Thema netplanet (also das Internet-Lexikon), denn hier werden einige Texte tatsächlich extrem stark frequentiert und ein paar Euro aus einer Autorentätigkeit zu verdienen, kann nicht schlecht sein. Reich wird man davon sowieso nicht.

Wolfgang Tischer hat dann auch einen schönen Überblick darüber gegeben, wie man sich bei der VG Wort anmeldet, einen Packen Zählpixel bekommt, sich den vernünftig organisiert, sie korrekt einbindet, später personalisiert und dann Monate später dann die ersten Gelder auf dem Konto empfängt. Auch wenn ich das mit den Zählpixeln schon am Start habe – schön, ein paar Dinge austauschen zu können, denn diese Zählpixelei ist, gelinde gesagt, ein Krampf. Wir Blogger, die ein schnelles Publizieren gewöhnt sind, fühlen uns hier mitunter durchaus ein Stück ins 19. Jahrhundert versetzt. 😉

„Wann tragen wir (endlich) den Begriff Social Media zu Grabe?“ von Oliver Sigrist

Am Ende musste ich Oli kurz vor der Sessionplanung am Samstagmorgen noch etwas zwingen, dann aber hat er sich doch entschlossen, seine ketzerisch anmutende Session auf die Agenda zu setzen. Und das war eine gute Entscheidung, denn in der Dreiviertelstunde entwickelte sich im kleinen Plenum eine interessante Diskussion, die locker auch noch zwei Stunden länger hätte dauern können.

Dass Social Media ein Buzzword ist und nichts anderes wie eine Disziplin von Public Relations oder, ganz einfach, der Öffentlichkeitsarbeit ist, ist unbestreitbar. Ebenso bewegte sich die Diskussion auf ein weiteres, spannendes Thema, nämlich die Frage, ob Social Media als Ersatz zu klassischen Medien dienen kann oder nicht. Daraus entwickelte sich dann ein längerer „Dialog der Olivers“, nämlich dem Oliver Sigrist mit dem Oliver Gassner und da haben dann zeitweise zwei Wissenschaftler einen längeren Dialog miteinander geführt. 🙂

„Mobile Fotografie“ von Marco Polletin

Marco Polletin hat einen kurzen und knackigen Überblick über Foto-Apps geboten, vornehmlich für die iOS-Plattform, mit einigen Namensnennungen jedoch auch für Android. Und danach gab es auch noch eine kleine Fotosafari vors Haus.

Drumherum

Das, was ein Barcamp ausmacht, nämlich die Treffen und Diskussionen jenseits der Sessions, das funktionierte in Stuttgart wieder einmal hervorragend und vollkommen automatisch. Das liegt natürlich zum einen daran, dass das Stuttgarter Barcamp für die Szene eine Art Klassentreffen ist, aber eben auch an interessanten Menschen, Aufgaben, Antriebe und Hobbys. Man sieht einen Bekannten (mitunter auch Leute, die man noch nie in „Reallife“ gesehen hat), quatscht sich fest, diskutiert, trinkt einen phantastischen Kaffee, bedient sich vom grandiosen Buffet und setzt sich vielleicht raus vor die Liederhalle in die herrlichste Oktobersonne. Ja, das Barcamp-Leben kann gut sein und Cheforganisator Jan Theofel weiß, wie man sowas organisiert. 😉

Fazit

Wenn man beim letztjährigen BarCamp Stuttgart 3 noch überlegt haben sollte, ob das Stuttgarter Barcamp zu den Highlights der deutschen Barcamp-Kultur gehören kann oder nicht, dann ist spätestens dieses Jahr diese Frage geklärt: Es kann nicht nur, es muss. Das beweisen die Teilnehmerzahlen, der Run auf die Anmeldungen, das dann tatsächlich volle Haus, die vollen Sessionpläne und die gute Stimmung. Und an Jan ist ein echter und professioneller Eventmanager verlorengegangen.

WordCamp 2011 in Köln.

Hinweis: Es gibt am Ende dieses Artikels ein nachträglich hinzugefügtes Addendum.

Die deutsche WordPress-Community hat zu ihrem diesjährigen Barcamp gestern nach Köln an die Humanwissenschaftliche Fakultät (welch wunderbarer Wink mit dem Zaunpfahl) geladen. Der Einladung war zu folgen.

„WordPress sprachfähig machen – Lokalisierung Kür oder Krampf?“ von David Decker

Die Session wählte ich, weil ich mit dem Übersetzen von Open Source ja schon die eine oder andere Erfahrung habe und die andere, interessante Session in diesem Zeitslot zum Thema E-Commerce vermutlich mächtig überlaufen sein würde (was sie auch war). Davids Session war jedoch dennoch eine sehr ordentliche Geschichte zum Einstieg, da neben seinen Erfahrungen aus der Übersetzungsarbeit eine Menge Verweise auf Plugins abfielen, die ich mir notierte und die näher angeschaut werden müssen.

Generell bleibt in Sachen Internationalisation zu sagen, dass in der WordPress-Entwicklung noch eine Menge Verbesserungspotential in Sachen Übersetzung liegt. Es fiel unter anderem eine Aussage, dass die Nutzung einer Übersetzungsdatei die WordPress-Installation bis zu 44 % verlangsamt. Ich habe das zwar nie gemessen, habe aber die generelle Verlangsamung ebenfalls beobachtet. Dazu kommen die vielen Unzulänglichkeiten, die bei der Plugin-Entwicklung entstehen, wenn Plugin-Entwickler schlicht nicht berücksichtigen, dass auf diesem Planeten nicht nur Englisch gesprochen wird. Dabei wäre es so einfach, einfach eine Schnittstelle für Übersetzungsdateien zu schaffen und tatsächlich finden sich auch immer wieder Menschen, die dann auch entsprechende Übersetzungen zur Verfügung stellen.

„Spaßbremse beim Bloggen – rechtliche Rahmenbedingungen“ von Maximilian Brenner

Der Rechtsanwalt Maximilian Brenner veranstaltete vermutlich einer der erfrischensten Sessions des WordCamps – nämlich die aus Sicht eines Rechtsanwaltes. Und die ist selbst in der bunten Social-Media-Welt knochentrocken und formalistisch. Mit einem brillanten Zynismus zeigte er, wie man als Blogger ruckzuck die Basis dafür schaffen kann, in stürmischeres, juristisches Fahrwasser zu kommen, was für die meisten Blogger auch der sofortige Ruin bedeuten dürfte. Und das fängt alles bei der Definition an, ob ein Blog privater Natur ist oder geschäftlicher. Privat ist es tatsächlich nur, wenn es rein private Inhalte aus Familie etc. beinhaltet und keinerlei „regelmäßige, meinungsbildende Inhalte“. Letzteres durchzuhalten, dürfte für die meisten Blogger, die nicht einmal im Jahr aus dem Urlaub bloggen, schon gehörig schwierig werden.

Ist man aus der Definition des Privatbloggers draußen, geht es dann schon los: Impressumspflicht nach § 5 TMG wegen des Anbietens eines Dienstes, Angabe eines redaktionell Verantwortlichen nach § 55 RStV, Informationen über die Verarbeitung personenbezogener Daten. Und das alles dann nicht nur im Weblog, sondern auch auf den Microblogging-Kanälen. Hier immerhin gibt es die Möglichkeit der „Zwei-Klick-Lösung“, d.h. einem direkten Link zu einem Impressum im Weblog. Prinzipiell muss aber im geschäftlichen Verkehr tatsächlich auch der Twitter-Stream mit einem Impressum versehen sein.

Anhand der vielen Notizen, die die meisten Session-Teilnehmer machten und einiger recht hilflos wirkender Fragen, die Maximilian Brenner herzlich amüsant beantwortete, nehme ich an, dass in den nächsten Tagen einige Leute ihre Impressen sehr stark umbauen werden. Inklusive meiner Person.

„Genesis Theme-Framework“ von Heinz Duschanek und „Xtreme One Theme-Framework“ von Alex Frison und Michael Preuß

Die nächsten zwei Session-Blöcke waren dann Framework-Geschichten. Mit Frameworks habe ich bis jetzt noch recht wenig Erfahrungen, weshalb ich einmal sehen wollte, was da geht – und da geht was.

Heinz Duschanek von der österreichischen E-Werkstatt entschuldigte sich schon zu Beginn über seinen österreichischen Akzent und verwies darauf, dass er „die Fähigkeit, Hochdeutsch zu sprechen, nach und nach verlieren wird“. Die verlor er tatsächlich auch sehr schnell, dennoch war sein Überflug ins Genesis- Theme-Framework gut und umfassend.

Mit Theme-Frameworks wird die Web-Entwicklung gehörig vereinfacht. Mit Child-Theming ist es möglich, ein bestehendes Theme mit relativ wenig Einstellungen und dem Austausch von wenigen Grafikelementen an den Kundenbedarf anzupassen. Das Genesis-Framework geht da einen umfassenderen Ansatz mit Einstellungenmöglichkeiten in Sachen SEO und vielen anderen Bereichen, während das Xtreme One Theme-Framework, in das Alex Frison und Michael Preuß einen Einblick gaben, sich auf weniger Bereiche beschränkt, hier aber erschlagend viele Einstellungsmöglichkeiten bietet. Das, was die beiden in Sachen Widget-Design zeigten, ist an Konfigurationsmöglichkeiten kaum noch zu übertreffen.

Beide Frameworks, die wie viele andere Frameworks kostenpflichtig sind, zeigen sehr anschaulich eine Entwicklung: Websites von kleineren Firmen können gut aussehen, mit WordPress ein vernünftiges CMS an Bord haben und mit einem Framework kostengünstig und effizient entwickelt werden.

„Bestehende WordPress-Seiten auf Multisite umstellen“ von Walter Ebert

Walter hielt einer der inhaltlich anspruchsvollsten Sessions, in die er auf die „Erwachsenenversion“ von WordPress, der Multisite-Installation einging. Für mich ist WordPress Multisite immer noch „WordPress µ“, auch wenn das natürlich nicht mehr so ist – die Multisite-Version von WordPress wird nicht mehr als getrenntes Projekt geführt, sondern steckt in jedem WordPress drin und muss nur noch aktiviert werden.

Wie das grundsätzlich geschieht, hat Walter Ebert in einem Schnellkurs beschrieben und ist dann später auch die richtig spannenden Dinge eingegangen, nämlich wie man die Inhalte aus einem Einzelplatz-WordPress in eine Multisite-Installation übernimmt. Der Artikel-Ex-und-Import ist zwar der offizielle Weg, dauert jedoch bis in die Puppen und beinhaltet immer noch die gewaltige Arbeit, alle Plugins auf der neuen Instanz manuell konfigurieren zu müssen. Das hat mich von einigen größeren WordPress-Geschichten bei uns auf dem Server immer zurückschrecken lassen.

Der Weg über einen MySQL-Dump hat Walter beschrieben, mit einigen Insider-Tipps garniert und darauf gepocht, dass der Weg gar nicht so schlimm ist, wie er sich anhört. Für mich ein Ansporn, es tatsächlich mal auf diesem Weg zu probieren. Natürlich nur mit expliziten Backups. 😉

Fazit zum WordCamp 2011 Köln

Überraschend gut, überasschend unaufgeregt, überraschend „barcampig“, überraschend gute, inhaltliche Qualität. Zwar variiert die inhaltliche Qualität in barcamp-artige Konferenzen mitunter gewaltig (keine weiteren Kommentare, die Sessions meines „Lieblingsschlagersängers“ besuche ich nicht mehr), allerdings findet man echte inhaltliche Juwelen zu dem Preis nur auf einem Barcamp. Und während die großen Barcamps inzwischen immer mehr zu Schlipsveranstaltungen von ganz arg wichtigen und an sich inkompetenten Leuten verkommen, ist das WordCamp als „Nischen-Barcamp“ schön außerhalb dieser unschönen Entwicklung. Und ein Barcamp an einer Universität und dort in normalen Klassenräumen abzuhalten, ist „back to the roots“. Die Organisation war gut, das spendierte T-Shirt kommt mit einem tollen Motiv daher, die Verpflegung war herausragend und das von Netcologne gesponserte WLAN funktionierte sogar und hätte sicherlich auch noch besser funktioniert, wenn nicht jeder immer gleich alle seine zehn Gadgets am WLAN anmelden müsste.

Blogger-Kollege Jens vom Pottblog war übrigens auch da. Das heißt: Nicht immer ganz vollständig mit Körper und Verstand, aber BVB-Fans haben samstags eigentlich besseres zu tun:

Ich habe tatsächlich schon um 17 Uhr zusammengepackt und bin mit Straßen- und U-Bahn zurück zum Hauptbahnhof gefahren, um nochmal schnell eine Runde um den Kölner Dom zu fahren und staunend zu sehen, wie tausende Touristen davor sitzen und ebenfalls staunen, allerdings eher über den Kölner Dom an sich. Und vielleicht auch über die davor sitzenden und liegenden Trunkenbolde, die ja wirklich überhaupt keine Scham kennen und ihren Rausch mitten auf der Domplatte ausschlafen. Bei uns im Ländle wird sowas weggekärchert, bevor sie überhaupt ihr erstes Bier im Leben trinken.

Auch ein Erlebnis: Ein praktisch leerer ICE-Großraumwagen, den wir uns zu dritt geteilt haben. Und das erste Mal bei 300 Stundenkilometern aufs Klo gegangen. Bei der Geräuschkulisse und der Schaukelei kommt man sich in dem glänzenden Toilettenabteil vor wie im Space Shuttle. Nur was für die Harten. 😉

Addendum vom 26. September 2011

Zum WordCamp gibt es in der deutschen Blogosphäre inzwischen ein eher durchwachsenes Stimmungsbild. Bemängelt werden da vor allem die an sich üblichen und auf dem WordCamp teilweise fehlenden „Barcamp-Gepflogenheiten“ wie die fehlende Vorstellungsrunde und die weitgehend schon vorab feststehende Sessionplanung.

Kurzum: Ja, kann man monieren. Und nein, muss man nicht unbedingt. Es könnte mich durchaus nerven (was es nicht tut), wenn ich mir anschaue, wie Fans von Barcamps, die vorgeben, die Offenheit und Ungezwungenheit von Barcamps so sehr schätzen, gerade hier auf Formalien pochen, die angeblich erst ein Barcamp zu einem Barcamp machen.

Mir ist es relativ egal, ob man am Anfang eine Vorstellungsrunde macht, in der man viele Namen und viele Hashtags hört, die man im gleichen Moment wieder vergisst. Mir ist es auch relativ egal, ob eine Sessionplanung schon vorgeplante Inhalte hat (und ausdrücklich noch Raum für Ideen vor Ort) oder völlig nackt daherkommt. Ich will vor allem Dinge lernen und mitnehmen und das gern in Sessions, die gut sind und mit Leuten gefüllt, die ähnliche Ideen oder zumindest Bedürfnisse haben und mit denen man dann in Kontakt treten kann. Das ist der Mehrwert in meinen Augen.

Kein Fundamentalismus bei der Diskussion zur Vorratsdatenspeicherung!

Ich habe es ja insgeheim so kommen sehen. Nach der Notbremse des Bundesverfassungsgerichts, die Vorratsdatenspeicherung komplett so lange auszusetzen, bis eine verfassungsverträglichere Neuregelung entworfen und am Start ist, würde es extrem schwierig werden, überhaupt wieder zu einer Speicherung von Verkehrsdaten zu kommen. Auf Fundamentalisten auf allen Seiten ist da Verlass.

Und da sind wir dann auch angekommen. Bei jeglicher Diskussion darüber, ob und wie lange man Verkehrsdaten speichern soll, findet sich eine ziemlich genau umgrenzte Gruppe von so genannten Netzaktivisten, die lauthals „Jehova!“ rufen und den absoluten Worst Case – nämlich gar keine Verkehrsdaten zu haben – als weiterhin begehrenswerten Zustand zu erhalten und vermischen hier wirklich alles. Der Begriff „Vekehrsdaten“ ist dabei herrlich einfach, man müssen schlicht verbieten, Verkehrsdaten zu speichern. Und das ist keine wirklich gute Idee, weil genau diese Forderung den Schäubles, Zensursulas und Friedrichs dieser Welt in ihrer in Endlosschleifen gesungenen Das-Internet-darf-kein-rechtsfreier-Raum-sein-Schlager in die Hände spielt.

Wir Netzaktivisten wollen keine Daten gespeichert haben. Die Leute, die von der Gesellschaft Angst haben und zufälligerweise an der Macht sind, wollen alle Daten gespeichert sehen. Irgendwo in der Mitte müssen wir uns treffen. Das ist Demokratie.

Wir müssen die Grundlagen dafür schaffen, dass Ermittlungsbehörden im Ernstfall tatsächlich ein Datenbestand zur Verfügung steht, mit dem bei einer konkreten oder möglichen Straftat durch die Analyse von Verkehrsdaten aus Telekommunikationsdiensten eine Ermittlungs möglich sind. Dazu gehört – meiner Meinung nach – die zeitlich genau definierte Speicherung und Bereithaltung von reinen Verbindungsdaten beim jeweiligen Diensteanbieter  (da hatten wir einst einmal mal die 80 Tage, mit denen alle sehr gut leben konnten). Damit lässt sich ein Großteil von Straftaten zumindest soweit nachvollziehen, dass man auf den Besitzer des Zuganges kommen kann. 80 Tage halte ich auch nicht für daneben, es hat sich in meiner Erfahrung als Systemadministrator, der hin und wieder Auskunftsanfragen von Ermittlungsbehörden bearbeitet hat, gezeigt, dass dies eine ausreichende Zeit für Ermittlungsbehörden ist.

Alles, was darüber hinausgeht, ist dann eine Geschichte, die im Einzelfall durch Ermittlungsbehörden nur mit richterlichem Beschluss eingefordert werden darf und immer zeitlich beschränkt sein muss. Dazu gehören Abhörmaßnahmen, die Speicherung von erweiterten Verkehrsdaten wie Positionsdaten von Handys oder Zugriffe auf Postfächer o.ä. Das sind nach allgemeiner Auffassung nämlich immer massive Eingriffe in die Privatsphäre von Benutzern und die haben immer Ausnahmen zu bleiben. Und wir müssen vor allem weg von der unsäglichen Eselei, dass Vorratsdatenspeicherung immer noch unter dem Freifahrtschein namens „Terrorismusabwehr“ fährt. „Terrorismusabwehr“ hat in diesem Komplex nichts mit klassischer Strafaufklärung zu tun, sondern hier werden einfach nur Daten der gesamten Bevölkerung auf Halde gesammelt. Und das darf nicht sein. Wo Datenberge vor sich hinfaulen, da finden sich auch die Mistkäfer sehr schnell.

Sprich: Etwas weniger Privacy-Paranoia von Seiten der Netzaktivisten und etwas mehr Konsens führt zu viel mehr, als totaler Keine-Daten-Fundamentalismus. Mit der letztgenannten Haltung werden wir von den Law-and-Order-Politikern viel zu einfach abgekanzelt und kaltgestellt.

In der Torrent-Kneipe, ganz hinten links.

Ich bin keiner, der den halben Tag im Torrent-Space verbringt und sich einen Großteil seines virtuellen Vermögens dort zusammenklaubt. Ich kaufe meine Musik, meine Bücher und das bisschen, was ich an Filmen auf DVD habe, gänzlich und ehrlich ein. Zwar mitunter auf dem Gebrauchtmarkt, aber eben gekauft. Ich wüsste sicherlich, wo man sich das alles zusammenklaut, aber es ergibt sich keine Notwendigkeit dafür, weil ich eher „Altes“ höre und schaue und es dafür einen genügend großen Markt gibt.

Mit sehr wenigen Ausnahmen. Eine Sammlung von alten Science-Fiction-Hörspielen, die einst im öffentlich-rechtlichen Radio liefen, ist so eine Ausnahme. Davon habe ich als Kind einst sehr viele gehört und auch einige auf Cassette aufgenommen, leider gibt es diese Cassetten alle nicht mehr. Aber es gibt ein 20 Gigabyte schweres Torrent mit einer riesigen Sammlung solcher Hörspiele. Hätte ich gern und ist in meinem Torrent-Client auch an oberster Stelle. Seit inzwischen 6 Monaten. Von den insgesamt 10.390 Übertragungspaketen zu je 2 Megabyte hat mein Torrent-Client in diesen 6 Monaten immerhin schon 18 Stück gefunden und heruntergeladen. Fehlen also noch 10.372 Stück. Bei der Download-Rate wäre der Torrent etwa im Jahre 2299 fertig.

Wenn mein Torrent-Client dann mal wieder ein Paket findet und heruntergeladen hat, geht etwas ganz erstaunliches los. Es melden sich dann nämlich ein paar Minuten später immer die vermutlich gleichen Peers, um sehnsüchtig dieses Paket mit mir zu teilen. Ein Peer aus der Schweiz, einer aus Österreich, einer in den USA und einer aus Deutschland. Wir Fünf sind augenscheinlich die einzigen im riesigen Torrent-Space, die auf diese Datei warten und den Glauben noch nicht gänzlich verloren haben, sie irgendwann noch vor 2299 zusammenzubekommen.

Das sind dann genau die Typen, die in eurer Stammkneipe ganz hinten links sitzen und jeden Tag da sind, zwei bis vier Pils trinken, wenig sagen und irgendwann wieder gehen.