Das sichere Aufbewahren von Passwörtern – Einrichtung und Nutzung von KeePassXC

Vorwort

Bitte beachten Sie, dass das RRZK bzw. der RRZK-Helpdesk zur Aufbewahrung von Passwörtern mit KeePassXC keinen Support leisten kann. Die Verwendung von KeePassXC stellt keine Nutzungsempfehlung des RRZK dar, sondern die folgenden Ausführungen sind lediglich als persönlicher Erfahrungsbericht zu verstehen.

Warum ein Passwortmanager?

Durch immer neue Arten von Trojanern, Sicherheitslecks und Datendiebstahl wird die Bedeutung von Passwörtern und der Umgang damit immer wichtiger. Schaut man sich die beliebtesten Passwörter des Jahres 2018[1] an, so wird verständlich, wieso auch ohne tiefgreifendes IT-Knowhow ein Account durch Raten und Ausprobieren vergleichsweise einfach zu „hacken“ ist.

Dabei geht es nicht nur um die Einfachheit und Beliebtheit eines Passworts, sondern auch um dessen gleichzeitige Verwendung für mehrere Dienste: Mit einer E-Mail-Adresse/einem bekannten Benutzernamen und einem erratenen oder gehackten Passwort gelangen Kriminelle so bspw. nicht nur an ein E-Mailpostfach, sondern ebenfalls an die Anmeldedaten für Netflix, das Online-Banking und das Online-Portal der Krankenkasse. Die mittlerweile allseits bekannte Schlussfolgerung ist naheliegend: Für jeden Dienst sollte ein unterschiedliches und darüber hinaus ausreichend sicheres Passwort gewählt werden. Dies ist auch die offizielle Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seine bisherige Empfehlung Passwörter regelmäßig zu ändern, hat das BSI inzwischen zurückgenommen.

In Zeiten, in denen viele Menschen dutzende verschiedene Dienste im Internet benutzen, wird es jedoch immer schwieriger, sich alle Zugangsdaten zu merken bzw. diese verlässlich zu speichern. Das Anlegen einer Liste mit Passwörtern in einem Word- oder Exceldokument eignet sich aufgrund der fehlenden bzw. unzureichenden Verschlüsselungsmöglichkeiten ebenso nicht wie bei allen anderen Methoden, bei denen der Zugriff nicht ausreichend geschützt werden kann. Ein klassisches Notizbuch mit handschriftlich notierten Passwörtern scheidet ebenfalls aus, denn bei Verlust sind nicht nur alle Zugangsdaten weg, sondern können unter Umständen sogar in fremde Hände gelangen.

Es bietet sich daher an, einen der zahlreichen Passwortmanager zu verwenden, die es mittlerweile gibt. Ein Passwortmanager ist ein Programm bzw. eine Datenbank, in der die Zugangsdaten für unendlich viele Dienste verschlüsselt und damit sicher gespeichert werden können. In der Grundfunktion wird diese Datenbank mit einem Master-Passwort gesichert, welches im Anschluss das einzige ist, das sich die Nutzer*innen für den Zugang zur Passwortdatenbank merken bzw. aufbewahren müssen. Falls dieses Passwort jemals vergessen sollte, ist der Zugang auf die Datenbank unwiederbringlich verloren und der Zugriff auf die gespeicherten Zugangsdaten somit für immer verschlossen. Es bietet sich daher an, das Passwort einem sicheren Ort, z.B. einem Safe oder einem Bankschließfach, aufzubewahren.

In diesem Artikel soll das Programm „KeePassXC“ vorgestellt werden. Bei zahlreichen unabhängigen Tests zählte es bislang zu den am besten bewerteten Passwortmanagern und ist darüber hinaus als Open-Source-Software kostenlos. Zudem ist es für die gängigsten Betriebssysteme (Windows, Linux und macOS; für Android und iOS gibt kompatible Programme) verfügbar.

Bitte lassen Sie nicht verwirren lassen: Unter dem Namen KeePass gibt es mittlerweile zahlreiche unterschiedliche Versionen, so zum Beispiel KeePassX oder KeePass2. Die hier vorgestellte Version KeePassXC[2] ist im Gegensatz zu den anderen Versionen unter Windows, Linux und macOS nutzbar und hat viele sinnvolle und bereits integrierte Features, welche in den anderen Versionen händisch nachinstalliert werden müssen.

Speicherort der Datenbank

Wie schon erläutert werden die Zugangsdaten im Passwortmanager in einer verschlüsselten Datenbank gespeichert. Wählen Sie als Speicherort für diese Datenbank die lokale Festplatte, bietet dies zunächst keinen größeren Mehrwert. Denn sobald Sie den Computer nicht bei sich haben, können Sie unterwegs auch nicht auf die Zugangsdaten zugreifen. Auch wenn Sie die Passwortdatenbank auf ihrem Handy mit sich tragen würden, könnte sie bei Verlust des Handys verloren gehen. Es bietet sich daher an, die Passwort-Datenbank in einer Cloud abzuspeichern. Somit können Sie nicht nur von überall auf Ihre Passwörter zugreifen, Sie müssen sich auch keine Gedanken über ein Backup Ihrer Passwort-Datenbank machen. Als Angehörige/r der Universität zu Köln können Sie hierzu sciebo[3] verwenden. Im Gegensatz zu den anderen gängigen Cloud-Diensten wie bspw. iCloud, OneDrive, Dropbox befinden sich Ihre Daten auf einem von der WWU Münster verwalteten und DGSVO-konformen Server in NRW.

Einrichtung von KeePassXC

Im Folgenden wird die Einrichtung von KeePassXC und sciebo beschrieben. Die Anleitung[4] orientiert sich dabei an der Windows-Version, gilt aber ebenso mit minimalen Abweichungen für Linux und MacOS.

  1. Installieren Sie zunächst den sciebo-Client[5] und richten diesen mit Ihrem sciebo-Account ein.
  2. Laden Sie KeePassXC von der Internetseite[6] für Ihr jeweiliges Betriebssystem herunter und installieren Sie es anschließend (mit den Standardvoreinstellungen). Alternativ ist auch die Nutzung einer Portable-Version möglich, welche Sie nicht installieren müssen.
  3. Klicken Sie nun auf „Neue Datenbank erstellen“ (oder alternativ im Menü unter „Datenbank“ auf „Neue Datenbank“).
  4. Vergeben Sie nun einen Namen für Ihre Passwort-Datenbank („Datenbankname“). Optional können Sie noch eine Beschreibung hinzufügen.
  5. Lassen Sie bei den „Verschlüsselungseinstellungen“ die Werte unverändert und klicken auf „weiter“.
  6. Vergeben Sie nun bei „Datenbank-Anmeldedaten“ ein neues Master-Passwort, welches besonders sicher sein sollte. Verwenden Sie eine hinreichende Anzahl der Zeichen, Groß- und Kleinschreibung sowie Ziffern und Sonderzeichen. Folgen Sie hierfür bspw. den Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik BSI https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html.
    Wie bereits erwähnt: Wenn Sie das Master-Passwort jemals vergessen sollten, ist der Zugriff auf Ihre Passwörter unwiederbringlich verloren!

Durch Klick auf das Würfel-Symbol erhalten Sie alternativ auch die Möglichkeit, sich ein sicheres Passwort per Zufall generieren zu lassen.

Sollten Sie einen Yubikey[7] besitzen, haben Sie sogar die Möglichkeit, ein sehr langes, mit vielen Sonderzeichen versehenes und „nicht sprechendes“ Passwort nicht händisch eingeben zu müssen, sondern dies per Knopfdruck den Yubikey erledigen lassen (folgen Sie hierfür der Anleitung „Static Password Mode“[8]).

  1. Über „Zusätzlichen Schutz hinzufügen“ können Sie die Datenbank zusätzlich zum Passwort noch durch weitere Sicherheitsmechanismen schützen, siehe Exkurs „zusätzlicher Schutz“.
  2. Nach Klick auf „Fertig“ ist Ihre Datenbank erstellt und Sie müssen diese noch abspeichern. Wählen Sie als Dateispeicherort nun einen Ordner aus, der von sciebo synchronisiert wird. Damit wird Ihre Datenbank auf allen Endgeräten sowie auf dem sciebo-Server auf dem aktuellen Stand gehalten.[9]
  3. Nun können Sie die Datenbank mit Einträgen befüllen und Ihre Zugangsdaten eintragen. Durch das Anlegen von „Gruppen“ können Sie diese thematisch gliedern.

Sobald Ihre Datenbankdatei per sciebo synchronisiert wurde, können Sie auf diese auch von anderen Computern/Endgeräten zugreifen. Für Windows, MacOS und Linux gilt: Installieren Sie hierzu jeweils zunächst den sciebo-Client sowie KeePassXC.

Exkurs: „zusätzlicher Schutz“

Es ist festzuhalten, dass Sie den Zugang zu Ihren Passwörtern bislang zweifach gesichert haben: mit den Zugangsdaten zu sciebo sowie durch das Datenbank-Master-Passwort. Falls Sie also in KeePassXC die Datenbank noch zusätzlich mit einem Sicherheitsmechanismus versehen, erhöht sich die Zahl der Schranken auf drei (oder gar vier). Ob Sie die Passwortdatenbank zusätzlich–schützen sollten, hängt von Ihrem eigenen Schutzbedürfnis ab, ggf. auch von den zu speichernden Zugangsdaten in Ihrer Datenbank. Sie haben hierzu verschiedene Alternativen, die Nutzung einer Schlüsseldatei oder eines Yubikeys.

  1. Durch das Generieren einer „Schlüsseldatei“ erhalten Sie eine Datei, welche fortwährend zusätzlich zur Eingabe eines Passworts für das Öffnen der Datenbank erforderlich ist. Beim Erstellen der Datei wird ein Zahlencode erzeugt, der ein Unikat darstellt bzw. nahezu unmöglich zu erraten ist. Stellen Sie sich die Schlüsseldatei einfach wie eine Schlüsselkarte vor, wie sie bspw. zum Öffnen der Zimmertür in Hotels heutzutage üblich ist. Immer wenn Sie das Passwort zum Öffnen der Datenbank eingeben, müssen Sie parallel auch die Schlüsseldatei vorzeigen. Dementsprechend müssen Sie diese immerzu „mit dabei haben“, falls Sie die Datenbank unterwegs öffnen möchten.

Damit stellt sich die Frage, wo die Schlüsseldatei aufbewahrt werden kann:

  • Falls Sie ausschließlich Desktop-Computer oder Laptops verwenden, bietet es sich an, die Datei auf einen USB-Stick zu speichern, den Sie immer mit sich herumtragen (bspw. am Schlüsselbund, im Geldbeutel). Die Schlüsseldatei befindet sich somit nie dauerhaft auf einem der Computer selbst. Auf mobilen Endgeräten kann der USB-Stick jedoch nicht verwendet werden.
  • Sie können die Schlüsseldatei auch direkt auf die entsprechenden Endgeräte kopieren. Sie ist dann aber einer potentiellen Gefahr ausgesetzt, wenn sich jemand Zugriff auf das mobile Endgerät verschafft. Durch Verschlüsselung des Datenträgers sowie durch das Einrichten eines Zugriffsschutz in Form eines Passworts (Windows, MacOS, Linux), einer PIN oder eines Fingerabdrucks usw. (Android, iOS) kann dieses Risiko wiederum minimiert werden.

Falls jemand Unerwünschtes in Besitz der Schlüsseldatei kommen sollte, sei bemerkt, dass diese ohne das Passwort und ohne Zugriff auf die Datenbank (die Cloud) wertlos ist. Wie beim Passwort gilt, dass die Schlüsseldatei bei Verlust nicht wiederhergestellt werden kann; der Zugriff auf die Datenbank wäre – auch mit dem richtigen Passwort – unwiderruflich verloren. Es bietet sich daher erneut an, die Schlüsseldatei bspw. auf einem (zweiten) USB-Stick zu Hause sicher zu verwahren.
Um eine Schlüsseldatei zu verwenden und zu erstellen, folgen Sie der obigen Anleitung unter Punkt 7 und klicken dort auf „Schlüsseldatei hinzufügen“. Wählen Sie dabei mit „Durchsuchen“ den Pfad aus, unter der die Schlüsseldatei nach dem Erstellen abgelegt werden soll und von wo Sie diesen

  1. Mit Hilfe eines „Yubikeys“ können Sie Ihre Datenbank zusätzlich zu einem Passwort (und zu einer Schlüsseldatei) per sog. „challenge response“ absichern. Eine Anleitung findet sich hier[10]. Ähnlich wie bei einer Schlüsseldatei müssen Sie diesen immer dabeihaben, um Ihre Datenbank zu öffnen. Dieser Sicherungsmechanismus ist nur fortgeschrittenen Userinnen und Usern empfohlen. Zudem ist im Einzelfall zu prüfen, wie der Yubikey unter Android und iOS zum Einsatz kommen kann.

Nutzung unter iOS und Android

Für iOS und Android gibt es keine KeePassXC-Version; hier ist auf andere Apps zurückzugreifen: für iOS die App „Strongbox[11] (erhältlich im AppStore), für Android die App „Keepass2Android[12] (zu beziehen über den PlayStore). Da die Benutzung dieser Apps sich betriebssystembedingt etwas von den Desktop-Versionen unterscheidet, soll hier kurz auf diese eingegangen werden.

iOS

Installieren Sie die Apps „Strongbox“ sowie „sciebo“ und richten Sie letzteres ein. Öffnen Sie die App „Strongbox“ und klicken rechts oben auf das Plus-Symbol. Wählen Sie dort „Vorhandene hinzufügen…“. In der angezeigten Liste klicken Sie auf „WebDAV“. Geben Sie bei Verzeichnis die URL „https://uni-koeln.sciebo.de/remote.php/webdav“, bei „Benutzername“ Ihren sciebo-Benutzernamen (Achtung: Vergessen Sie nicht den Zusatz „@uni-koeln.de“ nach Ihrem Personal-Accountnamen!) sowie Ihr dazugehöriges Passwort ein. Wählen Sie im Anschluss den Pfad zu Ihrer Datenbank-Datei (die Datei hat die Endung „.kdbx“). Sie können nun den Namen der zu öffnenden Datenbank verändern oder per „Hinzufügen“ bestätigen. Klicken Sie nun auf den neu erstellten Eintrag in der Datenbankliste. Dort müssen Sie das Passwort Ihrer Datenbank eingeben und ggf. die Schlüsseldatei „Auswählen“.

Android

Installieren Sie die Apps „Keepass2Android“ und „sciebo“. Öffnen Sie diese und wählen „Datei öffnen“ sowie anschließend „ownCloud“. Geben Sie bei im obersten Feld („ownCloud-URL“) „uni-koeln.sciebo.de“, bei „Benutzername“ Ihren sciebo-Benutzernamen (Achtung: Vergessen Sie nicht den Zusatz „@uni-koeln.de“ nach Ihrem Personal-Accountnamen!) sowie Ihr dazugehöriges Passwort ein. Wählen Sie im Anschluss den Pfad zu Ihrer Datenbank-Datei (die Datei hat die Endung „.kdbx“). Im folgenden Fenster müssen Sie nun den Schutz der Datenbank auswählen: Wählen Sie bspw. „Nur Kennwort“ oder „Kennwort + Schlüsseldatei“. Geben Sie nun Ihr (Master-)Kennwort Ihrer Datenbank ein und wählen ganz unten „Entsperren“.

 

[1] https://hpi.de/pressemitteilungen/2018/die-top-ten-deutscher-passwoerter.html

[2] https://keepassxc.org/

[3] https://www.sciebo.de

[4] Eine sehr ausführliche Anleitung, in der alle Funktionen und Details beschrieben werden, finden Sie unter https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_welcome.

[5] https://hochschulcloud.nrw/de/download/index.html

[6] https://keepassxc.org/download/

[7] Ein Yubikey ist Security-Token mit vielen verschiedenen Funktionen in Hardwareform, der wie ein kleiner USB-Stick aussieht und bspw. am Schlüsselbund oder im Geldbeutel mit sich geführt werden kann, siehe https://www.yubico.com/der-yubikey/?lang=de.

[8] https://keepass.info/help/kb/yubikey.html

[9] Alternativ ist es auch möglich, sciebo per WebDAV-Protokoll als Laufwerk im Windows-Explorer zu verbinden. Die hierfür zu verwendende URL lautet: https://uni-koeln.sciebo.de/remote.php/webdav/.

[10] https://keepassxc.org/docs/#faq-yubikey-howto

[11] https://apps.apple.com/us/app/strongbox-password-safe/id897283731

[12] https://play.google.com/store/apps/details?id=keepass2android.keepass2android

„Mal eben in eine Netzwerk-Verbindung hineinschauen“ – Level2 Bridge auf einem Raspberry Pi

Vorrede

Vor kurzem hatte ich ein Problem: Ich wollte eine IP-Telefonanlage hinter einer Fritzbox anschließen. Die Installation verlief problemlos und alle Netzwerkeinstellungen schienen zu stimmen, aber es wollte einfach nicht funktionieren.
Wenn ich das gleiche Problem an meinem PC gehabt hätte, hätte ich „schnell mal eben“ Wireshark gestartet, um mir den Datenstrom anzuschauen und in den Netzwerk-Paketen Hinweise darauf zu finden, was schief geht. Nun ist es aber so, dass Wireshark und ähnliche Programme den Datenstrom „sehen“ können müssen, um ihn zu analysieren. Das bedeutet zumeist, dass diese Programme auf einem der beiden Endpunkte installiert sein müssen, da in modernen Netzen die Daten von Gerät A an Gerät B nicht bei Gerät C vorbei kommen.

In meinem Fall war das schwierig, denn weder die Fritzbox noch die IP-Telefonanlage ließen mich in den Datenstrom hineinschauen und Software konnte ich dort auch nicht installieren.
Ich hätte mich also ZWISCHEN die beiden Geräte hängen müssen, um sie zu belauschen: eine klassische „Man-In-The-Middle“ Attacke.

ACHTUNG: Das Abfangen und Abhören von Daten anderer ist illegal. Die hier gezeigte Technik darf nur für die Fehlersuche der eigenen(!) Netzwerke verwendet werden. Andere Teilnehmer im Netz müssen zuvor informiert werden!

Da ich schon vorher mal in einer ähnlichen Situation war, wollte ich fürs nächste Mal vorbereitet sein, und habe mir meinen Raspberry Pi geschnappt, um ihn in ein Netzwerk-Analyse-Tool zu verwandeln:

Vorbereitung

Der Linux-Kernel enthält bereits die notwendigen Werkzeuge: Netzwerk-Brücken. In manchen fällen muss jedoch noch das Paket „bridge-utils“ installiert werden (Beispiel für Debian, Ubuntu etc.):

sudo apt install bridge-utils

Beim Erstellen einer Bridge werden zwei oder mehr Netzwerk-Schnittstellen zu einem virtuellen Netzwerkgerät zusammengefügt und alles was auf einer Seite an Datenverkehr geschieht, wird auf die jeweils andere(n) Seite(n) „gespiegelt“.
Ein Netzwerkteilnehmer an Port 1 der Bridge kann also durch die Bridge hindurch mit dem restlichen Netzwerk so kommunizieren, als wäre die Bridge nicht da. Das gilt nicht nur für TCP und UDP sondern auch für die Anmeldung im Netz via DHCP, da die Schnittstellen schon auf Level 2 miteinander verbunden sind (vgl. OSI-Schichtenmodell).

Da Raspberry Pis nur eine einzige physische Netzwerk-Schnittstelle haben, benötigt man noch einen USB-Ethernet-Adapter, den man für wenige Euros bekommt – ich habe für meinen unter 10€ bezahlt (USB 3 mit 1000Mbit) .

Je nach verwendeten Geräten und Betriebssystem bekommen die Schnittstellen unterschiedliche Namen, ich werde im folgenden „eth0“ für die eingebaute Schnittstelle verwenden und „eth1“ für das USB-Gerät (die Schnittstellen erhalten aber zuweilen auch sehr lange Bezeichner wie enp3s0f1 oder noch längeres, das sollte nicht abschrecken). Welche Schnittstellen vorhanden sind, kann man mit dem Befehl „ip addr“ sehen. Die Schnittstelle „lo“ ist nur für die interne Kommunikation und kann ignoriert werden.

Da die Schnittstellen eth0 und eth1 demnächst nur noch Teil der Bridge sein werden, dürfen sie selbst nicht mehr als Netzwerk-Verbindungen konfiguriert sein. Bei meinem RaspberryPi musste ich hierfür zunächst den Network-Manager deinstallieren, damit er nicht dazwischenfunkt:

sudo apt remove network-manager

Achtung: Das Entfernen des Netzwerk-Managers kann zur Folge haben, dass Sie sich nicht mehr (ohne Weiteres) mit dem Netzwerk verbinden können. Entfernen Sie den Netzwerk-Manager nur auf einem Gerät, bei dem Sie nicht darauf angewiesen sind (z.B. ein Rechner, den Sie nur per Netzwerk erreichen).

Einrichten der Bridge

Man kann die Bridge zwar auch „on-the-fly“ mit dem Befehl „brctl“ erstellen, aber auf diesem Wege wäre sie nach einem Reboot wieder weg. Ich halte es daher für sinnvoller, sie in der Datei /etc/network/interfaces einzutragen, so dass sie immer sofort bereitsteht.
Die Netzwerk-Schnittstellen eth0 und eth1 müssen wir dort auf „manual“ stellen, damit sie dem System zwar bekannt sind, aber nicht automatisch eine Konfiguration verpasst bekommen. Der Bridge geben wir hier auch einen beliebigen Namen, ich werde hier br0 verwenden:

#/etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual

auto br0
   iface br0 inet dhcp
   bridge_ports eth0 eth1

Hierbei ist zu beachten, das eth0 und eth1 zwar weiterhin zusehen sind, aber br0 ist die Schnittstelle, über die das System ins Internet kommt, also wird sie hier auch so konfiguriert, ihre eigene IP-Adresse per DHCP zu beziehen. eth0 und eth1 bekommen keine IP-Adressen. Dies kann man auch  – nach einem Reboot – durch einen Aufruf von ip addr sehen:

# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel master br0 state DOWN group default qlen 1000
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
inet 192.168.222.22/24 brd 192.168.222.255 scope global dynamic br0

(Diese Ausgabe wurde zur Übersichtlichkeit etwas gekürzt – nicht wundern, wenn bei Ihnen deutlich mehr steht)

Verwendung der Bridge

Ab nun ist alles eigentlich recht simpel. Ich verwende eth0 (also die eingebaute Schnittstelle), um mich mit meiner Fritzbox zu verbinden, dank DHCP geht das auch vollautomatisch.

Das zu untersuchende Netzwerkgerät stöpsele ich von der Fritzbox ab und stecke es in den USB-Ethernet-Adapter – dass es nun hinter der Bridge hängt, bekommt es nicht mit. Es kann aber gut sein, dass der Netzwerkverkehr nun etwas langsamer ist, da er ja nun durch die beiden Schnittstellen und den Prozessor des Raspberry Pi muss – es ist also keine Dauerlösung, sondern sollte nur zur Fehlersuche verwendet werden.

Auf dem Raspberry Pi kann ich nun mit der Software meiner Wahl alles mitlesen, was durch die Bridge hindurch geht. Wireshark ist dabei ein mächtiges Tool, welches aber mit seiner speicherhungrigen graphischen Oberfläche auf älteren Raspberry Pis etwas träge läuft. Auf die schnelle sehen, was so läuft, kann man mit tcpdump und iptraf-ng. Wie üblich installieren wir diese via:

sudo apt install iptraf tcpdump wireshark

iptraf-ng und tcpdump laufen im Terminalfenster, man kann sich damit an die virtuelle Schnittstelle br0 hängen, dann sieht man aber auch die Kommunikation die vom eigenen RasperryPi ausgeht. Wenn man dagegen an eth1 lauscht sieht man nur die Kommunikation die vom und zum zu untersuchenden Gerät übermittelt wird (incl. Network-Broadcasts).

Was man noch machen kann

Hiervon ausgehend kann man natürlich weiter arbeiten. Hat man einen USB-WLAN-Adapter oder ein RasPi-Modell, welches mit eingebauten WiFi aufwarten kann, kann man dieses so konfigurieren, dass es als WLAN-Access-Point für andere Geräte fungiert. Die Bridge würde man dann zwischen eth0 und wlan0 erstellen und kann dann die Pakete einsehen, die darüber laufen.
Heutzutage sollte eigentlich jegliche wichtige Kommunikation verschlüsselt sein, daher ist es meist nicht möglich den Inhalt der Kommunikation einzusehen, aber es ließe sich so feststellen, ob eine bestimmte App „nach Hause telefoniert“ oder ob Daten wirklich – wie vom Hersteller versprochen – verschlüsselt werden.
Oder man kann, wie ich, sehen, dass ein Gerät eine falsche Absender-IP-Adresse zur Kommunikation verwendet.

VPN als Sicherheitsmaßnahme

Für jemanden mit ein bisschen Linux Erfahrung ist es also möglich in Windeseile einen RaspberryPi Zero-W so zu konfigurieren, dass er als WLAN eines Cafes erscheint oder zwischen einem PC und dem DSL-Router des Ex-Freunds oder der Ex-Freundin geklemmt wird. Dies ist, wie Eingangs erwähnt, illegal und wird empfindlich bestraft, dennoch wird es solche Attacken immer wieder geben.
Wie ich wunderbar beobachten konnte, ist ein VPN eine gute Schutzmaßnahme: Nachdem ich mich auf dem zu analysierenden PC mit dem VPN der Uni Köln verbunden habe (wichtig: Option „Full Tunnel“), konnte mein lauschender RasPi als Angreifer nur noch verschlüsselte VPN-Pakete sehen, die ohne Schlüssel nur Datenmüll enthalten und keine Rückschlüsse mehr darauf zulassen, ob ich gerade auf Facebook bin, oder per IP-Telefonie mit meiner Oma telefoniere.

Aber Achtung: VPNs bieten keine Ende-Zu-Ende-Verschlüsselung! Im Falle des VPN der Uni Köln wird der Internetverkehr lediglich dorthin umgeleitet. Ein Angreifer dort oder ein unseriöser VPN-Anbieter können den Netzverkehr wieder mitlesen. Ab dem VPN-Server laufen die Daten wieder genau so (unverschlüsselt) wie ohne VPN. Sitzt der Angreifer jedoch nicht an meinem DSL-Router, sondern zapft die Leitung meiner Oma an, kann er wohl möglich trotzdem mitlauschen, wie sie mir ihr Geheim-Rezept für ihren Apfelkuchen mitteilt.

Hinweis: Diese Dinge wurden nicht auf einem RaspberryPi sondern auf einem BananaPi mit Armbian Linux getestet. Es sollte so jedoch auf jedem Linux-Gerät umzusetzen sein, dessen Kernel die Bridge-Module enthält, und auf dem die benötigten Pakete bridge-util, iptraf, tcpdump und ggf. wireshark vorhanden sind. Die Befehle zum installieren von Pakten und die Dateien in denen das Netzwerk konfiguriert werden muss, können dabei abweichen.

Sicheres Surfen unter Privacy-Aspekten – Tracker, Cookies, Cookie-Banner und Werbung blockieren

Cookie-Banner der Webseite thomann.de
Keine Kekse? Die Firma Thomann fragt danach in einem schön gestalteten Cookie-Banner – trotzdem kann so etwas nerven.

Beim Surfen im Web begegnet man heutzutage quer durch die Bänke der verschiedenen Browser und Betriebssysteme einigem, das das angenehme Surfen erschwert: Entweder nerven Cookie-Banner, man wird über sämtliche Webseiten mit der immer gleichen Werbung bombardiert und im Hintergrund sammeln Google und Co. fleißig Daten über unsere Webseitenbesuche oder Online-Käufe.

In diesem Beitrag geht es um folgende Fragen:

  • Wie kann man „sicher“ surfen, ohne dass Daten über mich und mein Surfverhalten abfließen?
  • Was kann ich tun, um trotzdem einigermaßen bequem zu Surfen, ohne von Cookiewarnungen gestört zu werden? Und:
  • Wie bekommt man das Blockieren von Cookies in den Griff, ohne dass mein Browser die Webseiten vor lauter Datenschutzeinstellungen nicht mehr richtig anzeigen kann (bespielsweise weil im Hintergrund die nötigen Funktionen zur Anzeige blockiert werden)?

Die c’t hat sich mit diesen Themen auch vor einiger Zeit beschäftigt. Hier versuchen wir, mit noch etwas weniger Aufwand möglichst viel zu erreichen und gehen dabei möglicherweise nicht ganz so weit wie die c’t.

Worum es hier nicht geht

Natürlich gibt es weitere Themen, die ebenso beachtenswert sind, wie beispielsweise „Das absolut sichere Betriebssystem fürs Online-Banking“ oder sehr effektive Skript-Blocker wie NoScript – eines der wirkungsvollsten Tools beim Blockieren von Webinhalten, aber auch eines der am schwierigsten zu bedienenden Tools, wo täglich viel Handarbeit beim Surfen nötig ist. Aber: Geht man so tief, dann bewegt man sich erstens an den Grenzen dessen, was man einem „normal-IT-informierten“ Menschen zumuten kann. Das ist also nur in den seltensten Fällen etwas, das man seinen Eltern empfehlen oder gar einstellen mag.

Zum anderen soll es hier ja um bequeme Lösungen gehen, die alltagstauglich und für alle schnell umsetzbar sind.

Auch das anonyme Surfen ist nicht Ziel dieser Betrachtung.

Der richtige Browser

Bei der Browser-Wahl ist man immer am Rande der Gretchenfrage: Wie hast Du’s mit dem Webbrowser? Firefox? Chrome? oder gar: Edge? Sicherlich kann man die Entscheidung, welches Programm man nutzt, guten Gewissens als Geschmacksfrage betrachten. Objektiv gesehen gibt es Browser, die privacyfreundlicher sind als andere. Erst vor kurzem gab es in der c’t 14/2021 vom heise-Verlag einen Browsertest dazu, siehe hier. Der eigentliche Test in der Onlinefassung befindet sich leider hinter einer Paywall, aber an der Überschrift lässt sich schon das Ergebnis erahnen: Vorne liegen der Brave-Browser (auf dem Google-freien Chromium-Browser basierend), dicht gefolgt von dem bekannten Mozilla Firefox und der Apple-Browser Safari.

Würde man eine Empfehlung aussprechen, ist der Brave-Browser ohne weitere Einschränkungen zu empfehlen. Will man aber noch einige Add-Ons einsetzen, die das bequeme, privacy-bewusste Surfen wirksam unterstützen, hat der Firefox die Nase vorn. Es gibt sicherlich auch für Chrome/Chromium/Brave gute Erweiterungen, aber hier legen wir den Fokus auf den Mozilla-Browser – wobei viele der hiesigen Erweiterungsempfehlungen sowohl für den Firefox als auch für chromium-artige Browser verfügbar sind.

Damit gibt es auch eine klare Warnung vor dem von Google entwickelten Chrome-Browser: Hier werden sämtliche Websuchen, Google-Ergebnisse und aufgerufene URLs mit Google geteilt. <ironie>Falls Sie als Chrome-User:in also mal vergessen haben sollten, auf welcher Webseite Sie dies oder jenes gefunden hatten: Einfach mal bei Google nachfragen, dort wissen sie das sicherlich noch.<ironie /> Bei Chromium und bei Brave ist dies nicht der Fall. Zudem avisiert Google seinen User:innen, dass es zukünftig jegliche Erweiterungen, die die Übermittlung von Werbeanzeigen einschränken, nicht mehr zulassen will.

Kekse ja/nein und wenn ja, wie viele? Cookie-Banner blockieren

Wer es satt ist, bei jeder neuen Seite die Bestätigung für mehr oder weniger Cookies geben zu müssen, und sich darüber zu ärgern, dass die Banner fast alle unterschiedlich aussehen  (und wo war jetzt nochmal die Funktion zum Konfigurieren, wie viel Cookies was an welche Firma weitergeben?), dafür ist das Add-on „I don’t care about Cookies“ geeignet. Nicht ausnahmslos, aber doch in einem größeren Anteil werden sämtliche Cookie-Banner im Hintergrund ohne menschliches Zutun „beantwortet“. Dies jeweils möglichst privacyfreundlich. Wer mag, kann bei fehlgeschlagenen Cookiebannerblockierungsversuchen die URL an den Betreiber übermitteln, in der Hoffnung, dass zukünftig auch diese URL cookie-banner-frei sein wird.

Cookies automatisiert löschen

Der Firefox bringt von sich aus einige cookie-freundliche Einstellungen mit, die man unter den Einstellungen findet. Werden dort Cookies generell blockiert, kann das zu Problemen beim Surfen führen, gerade dann, wenn man beispielsweise bei Webshops eingeloggt ist. Sicherlich ist der Inkognitomodus hier auch eine Möglichkeit, aber wenn man „einfach nur“ möchte, dass nach dem Besuch einer Webseite das dazugehörige Sessioncookie und andere gelöscht werden, leistet dies das Add-on „Cookie Auto-Delete“ (für Firefox und Chrome/ium). Dies lässt sich außerdem konfortabel einstellen, wo wann und in welcher Frequenz Cookies nach Webseitenbesuchen gelöscht werden sollen.

Übermittlung von Daten an Drittanbieter überwachen/deaktivieren

Wissen Sie, wer im Hintergrund eigentlich mitliest, wo und auf welchen Seiten Sie surfen? Das zu analysieren kann schon mal zu überraschenden Erkenntnissen führen. Dazu brauchen Sie das Add-on uBlock origin. Dies gibt es ebenfalls für Firefox und Chrome/ium.

Wenn Sie es ausprobieren wollen, gehen Sie einmal auf die Webseite der Süddeutschen Zeitung oder noch besser: dem Spiegel und schauen Sie, wo die Daten hinfließen! Übrigens: Bei der Zeit besteht übrigens die spannende Option, sich von der Datenübermittlung freizukaufen, für ein paar Euro pro Woche…

Ebenso wirkungsvoll ist der „Privacy Badger„. Hier eine Entscheidung zu fällen, ob uBlock oder der Privacy Badger seine Dienste besser leistet, ist schwer abzuwägen. Beide Add-ons lassen sich bestens nebeneinander betreiben, und meistens werden beide Erweiterungen „fündig“.

Werbung blockieren

Auch das Ermitteln von Werbeanzeigen und das Eintragen in eine Blocklist erledigt das uBlock Origin. Zudem werden Übermittlungen von Webseiten, die bekanntermaßen Schadsoftware verteilen, wirkungsvoll blockiert.

AdBlock Plus ließe sich unter Umständen auch als Werbeblocker verwenden, wobei in den letzten Jahren bekannt wurde, dass bestimmte Werbeeinblendungen bewusst durchgelassen wurden. Offiziell heißt es „einige, nicht aufdringliche Werbung„. Jedoch gab es in der Vergangenheit gewisse Verdachtsmomente, dass sich Werbetreibende auf eine Allowlist einkaufen konnten. Hierzu sei auch auf ein Gerichtsurteil hingewiesen.

Ganz abzuraten ist von AdBlock Plus also nicht. Aber uBlock origin erfüllt sehr ähnliche Zwecke, und zwar sehr wirkungsvoll, so dass die Empfehlungstendenz hier eher in Richtung uBlock geht.

Noch etwas zur Suchmaschinennutzung

Viele Webinhalte sind so ausgelegt, dass die Datenkrake Google sie möglichst gut finden kann. Die Technik der Search Engine Optimization („SEO“) macht leider dort Halt. Beispielsweise schafft es die deutlich datenschutzfreundlichere Suchmaschine duckduckgo.com nicht, sämtliche Inhalte der uni-koeln.de-Webseiten auszulesen. Sucht man etwas auf den universitären Portal- oder Verwaltungsseiten, ist Google derzeit oft die einzige Suchmaschine, die zu den richtigen Stellen führt.

Aus Privacy-Sicht ist duckduckgo.com fraglos die Suchmaschine der Wahl. Aber sie ist leider eben nicht so effektiv, wie man sich das wünscht. Immerhin ist zumindest ein Großteil der Seiten darüber auffindbar. Für uni-koeln-Ergebnisse aber steige ich hin und wieder temporär auf Google um (beispielsweise im Inkognito-Modus).

Fazit

Wer will, kann etwas dafür tun, weniger transparent im Netz unterwegs zu sein. Letztlich ist das Katz- und Mausspiel des Datensammelns durch die DSGVO zwar nicht völlig ausgeschlossen worden, aber zumindest ist das Thema des Schützens der eigenen (Surf-)Daten den Menschen nun etwas bewusster geworden. Mit dem Interesse wuchsen auch die Anreize für Entwicklungsteams, mit Browsererweiterungen wirksam die Übermittlung von Surfdaten zu unterbinden. So ganz intransparent ist man als User:in natürlich nie, aber zumindest fällt es den Datensammelstellen so etwas schwerer, uns allzusehr zu einem vollständigen Profil zusammenzusetzen.

Firefox 89 und sein neues Design: Möchte noch jemand zurück zum alten Firefox?

Firefox Proton
Firefox – Protoneinstellungen

Seitdem ich den Browser Firefox in der Version 89 installiert habe, ist deutlich weniger Platz auf meinem Notebook-Bildschirm: Die obere Tab-Leiste erhält mehr Höhe im Vergleich zu vorher, und für die runden Ecken um jeden Tab herum werden wieder weitere Pixel verschenkt. Mag sein, dass dies viele User:innen so mögen – aber mir ist die alte, platzsparendere Variante beispielsweise auf meinem 13″-Bildschirm deutlich lieber.

So ging es wohl auch weiteren Firefoxer:innen – und kurz nach Veröffentlichung der Version 89 kursierten einige Anleitungen, wie man mit Hilfe der about:config wieder zurück zum alten Design springen kann. Ich verlinke mal auf eine schöne Schritt-für-Schritt-Anleitung:
https://news.itsfoss.com/firefox-old-design-switch

Leider wird diese Änderungsmöglichkeit vom Entwicklungsteam aber nicht gern gesehen. In den offiziellen Bug-Foren findet sich ein entsprechender Eintrag. Es dürfte also nur eine Frage der Zeit sein, bis diese Anpassung nicht mehr möglich ist, weil man die Einträge in der about:config löschen möchte. Bleibt nur zu hoffen, dass sich Fans finden, die vielleicht ein entsprechendes Small-Theme programmieren werden.

Disclaimer: Wie einigen hier schon bekannt sein dürfte, sind Änderungen im Bereich der „about:config“ natürlich mit Vorsicht zu genießen… man kann dort seine Browserkonfiguration komplett zerschießen, wenn man an den falschen Schrauben dreht.

macOS: Yippy! Zwischenablage mit eigenem Gedächtnis

Yippy, Screenshot
Yippy, das Upgrade für die Zwischenablage

Bei Copy und Paste ist es sicher schon allen passiert: Man will etwas wieder einfügen, aber hat inzwischen schon den nächsten Schnipsel kopiert. Je nachdem fängt man dann an, nach dem jeweiligen, vorher kopierten Schnipsel zu suchen (zum Beispiel URLs oder Textbausteine) oder man ärgert sich mehr oder weniger laut, dass der ursprüngliche Inhalt unwiederbringlich verloren ist.

Die Rettung kommt in Form eines Open-Source-Tools namens „Yippy“: Einmal installiert (und über die Systemsteuerung per „Bedienungshilfen“ mit den richtigen Berechtigungen ausgestattet), rettet es einem die letzten Eingaben. Bis zu 1500 Schnipsel können so gespeichert werden!

Der Shortcut „cmd + Shift + v“ blendet die Übersicht mit den letzten Eingaben ein und wieder aus. In dieser Ansicht können die Schnipsel beliebig erneut kopiert oder gelöscht werden. Sowohl die Shortcuts als auch die Erscheinungsform sind weitestgehend anpassbar.

https://yippy.mattdavo.com

Digitale Systemkameras und Spiegelreflexkameras als Webcam für Videokonferenzen und zur Lehrvideoproduktion nutzen

 

Als Reaktion auf die weltweiten Ereignisse und die damit steigende Nachfrage an technischen Voraussetzungen für Videokonferenzen haben mittlerweile auch fast alle namhaften Hersteller von digitalen Fotokameras/Systemkameras ihre Produkte für diesen Bereich interessant gemacht. So bieten die Hersteller nun die Möglichkeit ihre Kameras meist völlig unkompliziert und ohne zusätzliche Kosten zur reinen Videobildübertragung an einen Computer oder Mac anzuschließen. Grundlage hierfür ist eine kleine Software, die es gestattet digitale spiegellose Systemkameras und Spiegelreflexkameras per USB-Anschluss mit dem Computer zu verbinden und sie als Webcam zu verwenden, anstatt wie bislang meist nur die Datenübertragung und Kamerasteuerung zu ermöglichen. Der Anschluss über USB-Schnittstelle bietet mithilfe der Software dann teilweise mehr Flexibilität als eine auf diese Weise angeschlossene Webcam, vorher nötige zusätzliche externe oder interne Karten zur Wandlung des Videosignals über eine gängige Video-Schnittstelle wie zum Beispiel HDMI entfallen.

Wer also bereits eine digitale Kamera besitzt ist gut beraten zu prüfen, ob diese kompatibel ist und sich damit den Kauf einer zusätzlichen Webcam sparen kann. Weitere Vorteile im Gegensatz zu reinen Webcams oder in Notebooks eingebauten Kameras sind die überlegene Bildqualität, die bereits angesprochene höhere Flexibilität hinsichtlich der Aufstellung und Ausrichtung der Kamera sowie auch die bessere Bildsteuerung und Bildqualität bei schwierigen Lichtbedingungen. Zu beachten gilt jedoch, dass solche digitalen Kameras für längere Zeiträume nur verwendet werden können, wenn eine entsprechende Stromversorgung gewährleistet ist. Eine Nutzung über mehrere Stunden könnte problematisch werden, wenn die Kamera nur mit Akkus verwendet werden kann (dauerhafte Stromversorgungen lasen sich meist als Zubehör nachkaufen). Eine echte Webcam hat hier den Vorteil, dass sie über die USB-Schnittstelle mit Strom versorgt wird.

Meine persönliche Erfahrung begrenzt sich hier zwar bis jetzt auf die Hersteller Panasonic und Canon, doch traten hier keinerlei Probleme bei der Nutzung als Webcam auf und die Einrichtung war extrem einfach: einfach die entsprechende Software von der Hersteller-Webseite herunterladen und installieren. Sobald die Kamera dann per USB angeschlossen ist, lässt sie sich in den verschiedenen Softwareanwendungen für Videokonferenzen und in Broadcasting Tools als ‚Webcam‘ auswählen, ein Feature das bislang nur mit zusätzlicher Hardware möglich war.

Zum Zeitpunkt dieses Beitrags befanden sich einige Applikation noch im Beta-Stadium, doch scheinen alle aktiv weiterentwickelt zu werden und kontinuierlich weitere Kameras hinzugefügt zu werden, die die Webcam-Funktion mit Hilfe der Software unterstützen können. Ein Blick auf die bislang unterstützten Kameras der verschiedenen Hersteller legt nahe, dass die Geschwindigkeit der USB-Schnittstelle der Kameras ein entscheidender Faktor sein könnte: So sind es meist die aktuelleren und/oder höherpreisige Modelle, für die die Software angeboten wird, während ältere Modelle bei manchen Herstellern hier eher selten zu finden sind.

Hier ein kleiner Überblick über die zum Zeitpunkt dieses Beitrags unterstützten Kameras der verschiedenen Hersteller (Systemanforderungen lassen sich auf den verlinkten Seiten der jeweiligen Tools einsehen):

Canon

https://www.usa.canon.com/internet/portal/us/home/support/self-help-center/eos-webcam-utility/

Kameras: EOS-1D C, EOS-1D X, EOS-1D X Mark II, EOS-1D X Mark III, EOS 5D Mark III, EOS 5D Mark IV, EOS 5DS, EOS 5DS R, EOS 6D, EOS 6D Mark II, EOS 60D, EOS 7D, EOS 7D Mark II, EOS 70D, EOS 77D, EOS 80D, EOS 90D, EOS M200, EOS M50, EOS M50 Mark II, EOS M6 Mark II, EOS R, EOS R5, EOS R6, EOS Ra, EOS 100D (Rebel SL1), EOS 300D (Rebel SL2), EOS 250D (Rebel SL3), EOS 1100D (Rebel T3), EOS 600D (Rebel T3i), EOS 1200D (Rebel T5), EOS 700D (Rebel T5i), EOS 1300D (Rebel T6), EOS 750D (Rebel T6i), EOS 760D (Rebel T6s), EOS 2000D (Rebel T7), EOS 800D (Rebel T7i), EOS 850D (Rebel T8i), EOS 4000D (Rebel T100), EOS RP, PowerShot G5X Mark II, PowerShot G7X Mark III, PowerShot SX70 HS

FUJIFILM

https://fujifilm-x.com/de-de/support/download/software/x-webcam/

Kameras: GFX100, GFX 50S, GFX 50R, X-H1, X-Pro2, X-Pro3, X-T2, X-T3, X-T4

Nikon

https://downloadcenter.nikonimglib.com/de/download/sw/187.html

Kameras: Z 7II, Z 7, Z 6II, Z 6, Z 5, Z 50, D6, D5, D850, D810, D780, D750, D500, D7500, D7200, D5600, D5500, D5300 und D3500

Olympus

https://learnandsupport.getolympus.com/olympus-om-d-webcam-beta

Kameras: E-M1X, E-M1, E-M1 Mark II, E-M1 Mark III, E-M5 Mark II

Panasonic

https://www.panasonic.com/global/consumer/lumix/lumix_webcam_software.html

Kameras: DC-S1H, DC-S1R, DC-S1, DC-S5, DC-GH5S, DC-GH5, DC-G9, DC-G100/G110

SONY

http://support.d-imaging.sony.co.jp/app/webcam/de/

Kameras: Alpha 7 II, Alpha 7S, Alpha 7S II, Alpha 7R II, a5100, a6300, Alpha 68, Alpha 77 II,  Cyber-shot RX1R II,  Cyber-shot RX10 II,  Cyber-shot RX10 III, Cyber-shot RX-100 IV, Cyber-shot RX-100 V

Besondere Zeiten erfordern besondere Videokonferenzen: Wie führt man eine Online-Feierstunde durch?

Benjamin D. Ferencz ist der letzte noch lebende Ankläger der Nürnberger Prozesse. Für seine Verdienste wurde er vor kurzem mit der Ehrendoktorwürde ausgezeichnet. Wie die Online-Feierstunde aus technischer Sicht verlief, beschreiben wir hier als Erfahrungsbericht – auch als Beispiel für zukünftige, ähnliche Nutzungsszenarien.

Screenshot der Feierstundenaufzeichnung

Was hat das mit IT – beziehungsweise mit dem RRZK – zu tun? Wir wurden gebeten, diese mit rund 400 Teilnehmenden etwas größere Veranstaltung mit technischer Unterstützung zu begleiten und Fragen rund um die Durchführung im Vorfeld der Feierstunde zu klären.

Vorbereitungen

Geplant war die Veranstaltung als Videokonferenz beziehungsweise als Webinar über das Zoom-Portal der Uni Köln. Ein Zoom-Webinar hat den Vorteil, dass die Sprecher*innen auf dem virtuellen Podium als „Panelists“ für alle sichtbar sind. Die (passiv) Teilnehmenden der Feierstunde bleiben unsichtbar, können sich aber jederzeit mit Wortbeiträgen – wie beispielsweise Gratulationen – äußern.

Administration durch mehrere Hosts

In den Einstellungen wurden drei Hosts benannt. Dies hat den Vorteil, dass die Videokonferenz bei möglichen Verbindungsproblemen eines der drei Hosts zum einen aufrecht erhalten werden kann. Zum anderen hätten jederzeit bestimmte administrative Aufgaben (wie das Hineinlassen weiterer Teilnehmender aus dem Warteraum) von den jeweils anderen durch- oder weitergeführt werden können.

Aufzeichnung

Die Feierstunde sollte mit Bild und Ton aufgezeichnet werden. Um diese Aufzeichnung unabhängig von der Verbindungsqualität des jeweiligen Hosts zu erstellen, nutzten wir die Cloud-Aufnahmefunktion von Zoom, die mehrere Videos und Audiospuren als mp4- und mp3-Dateien nach dem Ende des Webinars bereitstellte. Warum mehrere Spuren und Dateien? Auf diese Weise gab es eine „Videogesamtspur“, die alle Panelisten in der Galerieansicht von Zoom zeigte. Zusätzlich wurden die Einzelansichten der Redner*innen separat aufgezeichnet. Am Ende ermöglichte uns das einen dynamischen Zusammenschnitt der Aufnahmen mit einem Wechsel zwischen Einzel- und Gesamtansicht. Wie man dies einstellen kann, beschreibt Zoom in seinem Help-Center.

Absprache zum Wechseln zwischen den Reden

Hätte man die Feierstunde in Präsenz abgehalten (vermutlich im größeren Rahmen der Aula der Universität) wären die Redner nacheinander aufs Podium vor das Mikrofon getreten. Im Virtuellen ist dies durch Zoom ebenfalls möglich, wenn man die Einzelansicht wählt. Zoom erkennt automatisch (leider mit ein paar Sekunden Verzögerung), wer gerade spricht und schaltet dann in der Einzelansicht auf die sprechende Person um. Deshalb sollten die jeweiligen Redenden zunächst einige Sekunden warten, um einen guten Übergang zu gewährleisten.

„Generalprobe“

Durch einen Probedurchlauf wurden die Panelisten vorab instruiert. Dies bezog sich auf den Ablauf der Feierstunde sowie auf die Reihenfolge der Ansprachen. So klärte man die technischen Details zur Einwahl in die Konferenzoberfläche, die Informationen zur Aufzeichnung und weitere Fragen sinnvollerweise im Vorhinein – gute Voraussetzungen für einen reibungslosen Ablauf.

Die Feierstunde

Wie zeigt man ein virtuelles Bühnenbild?

Alternatives Bühnenbild, Text als Überleitung zu Rektor A. Freimuth
Als Alternative zum Bühnenbild hier die Überleitungsgrafik zur Rede von Rektor A. Freimuth

Neben den Redner*innen zeigte man eine per Bildschirm geteilte Präsentation; sie diente sozusagen als Bühnenbild-Ersatz. Eine Folie visualisierte zu Beginn den Titel beziehungsweise den Anlass der Feierstunde sowie die (die Feierstunde ausrichtende) Rechtswissenschaftliche Fakultät mitsamt Fakultätslogo/-siegel. Zwischen den einzelnen Redebeiträgen leitete eine Folie mit Namen und Titel zu den angekündigten Personen über. So konnte die Moderation – in diesem Fall moderierte Prof. Dr. Claus Kreß – von visuellen Überleitungen unterstützt werden (die Reden selbst fanden ohne geteiltes Hintergrundbild statt). Danach blendete man zum Abschluss der Feierstunde einige Fotos aus dem Leben des Gewürdigten ein.

Voraufgezeichnetes Video vorführen

Höhepunkt der Feierstunde war ein Video des Geehrten, das wenige Tage vor der Veranstaltung aufgezeichnet wurde. Dieses blendeten wir mit Bild und Ton über die Bildschirm-Teilen-Funktion ein. Dabei muss man unbedingt darauf achten, die Audioausgabe des eigenen Rechners mit zu übertragen und am besten die Ausgabe für Videoclip zu optimieren.

Hosts / Technik ausgeblendet

Panelisten der Feierstunde
Nur die Redner*innen sollten während der Feierstunde sichtbar sein.

Sichtbar waren während der gesamten Feierstunde nur die Panelisten selbst. Die technisch Verantwortlichen, also die Hosts, hatten Mikrofon und Kamera deaktiviert. Über die Funktion „Teilnehmer ohne Videoübertragung ausblenden“ war sichergestellt, dass es nicht die üblichen „schwarzen Kacheln“ im Webinar zu sehen gab. Nur die Namen der Hosts waren in der Liste der Panelisten sichtbar. Diese angezeigten Namen konnten jedoch so angepasst werden, dass nur noch der jeweilige Einrichtungsname zu sehen war (zum Beispiel „RRZK“). Dies lässt sich entweder direkt im laufenden Meeting ändern oder gleich dauerhaft im eigenen Zoom-Profil einstellen.

Die Videoaufzeichnung

Um die Eindrücke der Feierstunde auch nachträglich verfügbar zu machen, haben wir ein Video aus der Aufzeichnung zusammengeschnitten.

Wie oben benannt, aktivierten wir im Vorhinein die Cloud-Aufzeichnungsfunktion von Zoom. Diese lässt die Hosts (beziehungsweise zunächst nur die Person, die das Webinar erstellt hat!) die Inhalte als mp4-Video- und mp3-Tondateien herunterladen. Zwar erhält man auch eine von Zoom bereitgestellte Webseite mit der bereits eingebetteten Aufzeichnung, die so problemlos auch der Öffentlichkeit hätte zugänglich gemacht machen können. Diese Seite wird jedoch nach 30 Tagen gelöscht. Somit wäre das Video dort nicht dauerhaft erhalten geblieben.

Darüberhinaus wollten wir das von Zoom bereitgestellte Video am Schluss nicht „einfach so“ veröffentlichen und haben dazu mit der Videoschnittsoftware Adobe Premiere Pro noch ein wenig nachbearbeitet. Warum? Zum einen wollten wir das Video etwas „schöner“ machen und hier und da die „leere“ Zeit zwischen den Sprecherwechseln etwas verkürzen. Durch Überblendungen wirkten die Übergänge nicht so hart und direkt. Sinnvollerweise haben wir die beiden Videospuren mit Einzel- und Galerieansicht zu allererst übereinandergelegt und durch entsprechende Schnitte eine passgenaue Überblendung erreichen können. Deshalb wirkt dies so, als wären wie bei einer Präsenzveranstaltung verschiedene Kameras eingesetzt worden.

Hätte es bei einem der Panelisten zwischendurch Audiostörungen (oder Nebengeräusche durch fälschlicherweise aktivierte Mikrofone) gegeben, könnte man durch eine separate mp3-Spur, die nur die jeweils Sprechenden aufgezeichnet hat, als Überbrückung mit hineinsynchronisieren. In diesem Fall war das aber nicht nötig (als Backup ist es aber sinnvoll).

Die während der Veranstaltung eingeblendeten Folien haben wir nachträglich als Grafikdateien eingebunden, so dass jeweils die unkomprimierten Grafiken zu sehen waren – anstatt die bei der Übertragung kleingerechneten, mit Artefakten versehenen Varianten.

So kam ein schöner, leicht dynamischer Bild-Mix zwischen Einzel- und Galerieansicht sowie den präsentierten Fotos zustande. Wer sich das Ergebnis anschauen möchte: Das fertige Video ist hier veröffentlicht. Bereitgestellt wird dies über die Opencast-Plattform der Uni Köln. Über das entsprechende Video-Modul im Typo3-Content-Management-System bindet man den Videoplayer direkt in die Webseite ein.

Fazit

Aus technischer Sicht darf man dieses Webinar als gelungen betrachten, denn: Alles funktionierte reibungslos, die Redebeiträge verliefen technisch einwandfrei, und darüberhinaus gab es keinerlei Störungen während der Übertragung. Nota bene: Nach nun fast einem Jahr Pandemie und ihrer Auswirkungen auf die Forschung und die Arbeitswelt zeigte sich erfreulicherweise, dass die Beteiligten mit der Durchführung von Videokonferenzen gut zurechtkamen und mit den Funktionen (in diesem Fall von Zoom) bestens vertraut waren. Dies wurde aber zusätzlich dadurch sichergestellt, dass das Vorbereitungsteam des Lehrstuhls für Völkerrecht  im Vorhinein gut geplant hatte, und dass alle Panelisten bei einer Testvideokonferenz ausführlich vom Vorbereitungsteam instruiert worden sind.

Inhaltlich lässt sich das Resümee ziehen, dass die Verantwortlichen sehr viel dafür getan haben, die Feierlichkeit einer solchen Zeremonie möglichst angemessen ins Digitale zu übertragen – auch dies ist dem Organisationsteam und den Durchführenden gut gelungen! Davon zeugen die vielen positiven, per Chat am Schluss der Veranstaltung eingegangenen Rückmeldungen der Teilnehmenden. Und für die verantwortliche RRZK-Mitarbeiterin war es abseits aller technischer Unterstützung ein eindrückliches und besonderes Erlebnis, dabei gewesen sein zu dürfen.

 

Webseitenstatistiken und SEO mit Matomo: Hinweise und Tipps

Immer wieder werden wir nach der richtigen Verwendung von Matomo gefragt, und wir helfen gern, soweit wir können.
Es gibt hier aber oft Fehleinschätzung der Bedeutungen der Statistiken. Das häufigste Problem ist das der Sample Size: Eine signifikante Statistik über eine Seite mit nur 2-3 Besuchern am Tag zu erstellen, wird nicht funktionieren.
Daher hier etwas Lesestoff mit Hinweisen und Tipps, die man verinnerlicht haben sollte, bevor man ein großen SEO-Programm oder eine Reichweiten-Analyse beginnt.

HINWEISE:

1. Fast alle Browser bringen eine Funktion mit, die das Tracken von Zugriffen untersagt, bei vielen Browsern ist diese per Default aktiviert. Sie sehen also nur einen Bruchteil der Klicks.

2. Sehr viel häufiger als von Menschen, werden die Webseiten von Bots, Crawlern und auch von böswilligen Angreifern besucht. Um halbwegs verwendbare Zahlen zu liefern, muss Matomo also ordentlich ausfiltern. Diese Filter sind nicht perfekt so dass eine Vielzahl von registrierten Klicks gar nicht auf reale Menschen zurückzuführen ist.

3. Aus der Sicht von Matomo ist jeder Browser zunächst eine eigene Person. Sind Sie mit Ihrem Mobilgerät mal im WLAN, mal im Funk-Netz und mal in einem anderen WLAN oder im VPN, sieht es so aus als wären es mehrere Personen. Haben Sie zuhause eine normale DSL Leitung bekommen Sie wahrscheinlich täglich eine andere IP-Nummer und zwar eine, die an anderen Tagen von anderen Kunden Ihres Providers genutzt wurde.
Aus dieser sehr schmutzigen Datenlage versucht Matomo mit „schlauen“ Filtern anhand von Indizien mehrere scheinbare Besucher zu eindeutigen Besuchern zusammenzufügen. Dies wird niemals perfekt gelingen, so dass die Anzahl von eindeutigen Besuchern immer zu hoch sein wird.

4. Viele Betreiber von Webseiten unterschätzen grob, wie viele Personen fälschlicherweise auf eine Webseite kommen, merken dass es nicht das ist, was sie suchten und wieder gehen. Die „Verweildauer“ einer Person auf der Seite ist sehr wichtig. Selbst reale Personen, die nur wenige Sekunden auf einer Seite bleiben, sollten statistisch eigentlich nicht berücksichtigt werden.

Die Zahlen der „korrekten“ Messungen werden also immer zu niedrig ausfallen, die Zahlen von „falschen“ Messungen immer zu hoch. Dies führt dazu, dass die absoluten Zahlen äußerst unzuverlässig sind, besonders wenn sie klein sind. Sie messen also nicht die tatsächliche Zahl der Besucher, sondern die nur die Wirksamkeit der Matomo-Filter.

Als Faustregel sagen wir immer:

Solange Sie nicht mindestens 100 Besucher am Tag angezeigt bekommen, dürfen Sie die Zahlen in Matomo ignorieren.

TIPPS:

Aber Matomo kann auch für Seiten mit wenigen Besuchern sehr nützlich sein, man muss lediglich mit den relativen Angaben in Matomo arbeiten. Es gilt also immer, zwei aussagekräftige Messungen zu finden und diese in Relation zu einander zu betrachten. Hier ein paar Beispiele:

1. Mobil-Anteil: Wählen Sie links unter „Besucher“/“Geräte“, und sie erhalten Auswertungen, mit was für Geräten Ihre Webseite aufgerufen wird. Oft wird unterschätzt, dass heute (Stand 2020) schon 30-50% Smartphone-User normal sind.

2. Uhrzeiten: Wenn Sie wissen, dass Ihre Zielgruppe aus Deutschland stammt, wählen Sie links unter „Besucher“/“Zeiten“, und Sie erhalten Auswertungen, zu welchen Uhrzeiten sich Personen auf Ihren Seiten bewegen. Haben Sie im Vergleich(!) zu den Spitzenzeiten ungewöhnlich viele Aufrufe zu Zeiten, zu denen Ihre Zielgruppe schlafen sollte, können Sie sehen, dass hier viele falsche Messungen erfasst wurden, und Sie somit auch den anderen Zahlen nicht trauen können. Man kann aber auch Abschätzungen treffen, ob Personen eher zu normalen Arbeitszeiten tagsüber auf Ihre Seite kommen, oder in der Freizeit am Wochenende oder Abend.

3. A/B-Vergleich: Bauen Sie zwei (oder mehrere) unterschiedliche Seiten mit dem gleichen Inhalt, Verlinken Sie diese auf unterschiedliche Weise: In Mailanschreiben, auf Postern, auf Ihrer Startseite als Teaser (verlinktes Bild) oder im Fließtext. Schauen Sie nach einer angemessenen Zeit nach, welche Seite mehr Klicks bekommen hat.

4. Vorher/Nachher-Vergleich: Erstellen Sie eine Seite und bewerben Sie diese eine Zeit lang nicht. Dann ergreifen Sie nacheinander und dokumentiert verschiedene Maßnahmen: Mail-Anschreiben, Verlinkungen auf anderen Seiten, Facebook, Twitter etc. und schauen Sie ob sich die Besucherzahlen nach einer dieser Maßnahmen signifikant ändern.

5. Verweildauer: Wie oben schon erwähnt sind die Verweildauer und die sog. Absprungrate extrem wichtige Messwerte um die Attraktivität Ihrer Seite einzuschätzen. Hier geht es selten um optisches Gefallen, sondern darum, ob ein Besucher nach dem Klick auf Ihre Seite glaubt, am richtigen Ort zu sein. Wird nach einer Detailfrage gegoogelt, man kommt aber auf einer Plakativen Startseite an, wird so manch einer abgeschreckt, auch dann, wenn die gesuchte Information irgendwo auf der Seite zu finden gewesen wäre. Das Verhältnis zwischen der Zahl derer, die Sofort gegangen sind, und derer, die geblieben sind, lässt Rückschlüsse auf die Qualität von Maßnahmen und der Seite als ganzes zu.

6. Transitions: Die Auswertung der Transitions ist ein komplexes Feld in sich welches hier zu erklären zu weit führen würde, doch man sollte dieses Tool zumindest kennen: Im Dashboard finden Sie die Aufzählung Ihrer Seiten und wie viele Klicks diese erhalten haben. Wenn Sie mit der Maus über einer Zeile (ggf. muss ein Order zunächst ausgeklappt werden) hovern, erscheinen drei Symbole, das mit den sich überkreuzenden Pfeilen steht für Transitions. Klicken Sie hierauf und erhalten Sie eine Darstellung, woher die Besucher auf Ihre Seite gekommen sind, und wohin sie danach gegangen sind, oder ob ein Download getätigt wurde. Dies kann gute Erkenntnisse darüber bringen, wie Ihre Seiten aufgebaut werden sollten. Beachten Sie dabei dass es mittlerweile vollkommen normal ist das die überwältigende Mehrheit der Besucher von Suchmaschinen kommt. Selbst wenn jemand die genaue Adresse einer Seite kennt, wird oft eine Suchmaschine verwendet, weil man „zu faul“ ist die Adresse als ganzes zu tippen.

Bedenken Sie aber bei all diesen Überlegungen, dass Matomo lediglich das Verhalten der Besucher aufzeichnet, die Ihre Seite tatsächlich gefunden haben. Nicht erfasst wird das eigentlich viel wichtigere Verhalten der Personen, die Ihre Seiten nützlich gefunden hätten, aber aufgrund falscher Suchbegriffe oder einfach dem Umstand dass die Suchenden gar nicht wissen, wonach sie suchen sollen, Ihre Seite nie gefunden haben.
Auch wissen Sie nicht, was Besucher eigentlich vor hatten, die es auf Ihre Seite geschafft haben.

Ich hoffe diese Informationen helfen Ihnen. Gerne beantworten wir Rückfragen, beachten Sie aber, dass das RRZK Matomo nur bereitstellt. Wir sind keine SEO- und schon gar keine Marketing-Experten.
Matomo ist ein Tool, mit welchem erfahrene Personen Probleme aufdecken können und den Erfolg gezielter Marketingstrategien bewerten können. Wenn Sie in dieses Thema einsteigen wollen, wenden Sie sich bitte an Personen, die sich hiermit beruflich beschäftigen.

 

Noch ein persönlicher Kommentar zu SEO (Suchmaschinenoptimierung):

Wir möchten gerne darauf hinweisen, dass SEO hauptsächlich von Redakteuren umgesetzt werden muss.
Es hält sich hartnäckig der Irrglaube, dass SEO nur die Anwendung technischer Tricks ist. Diese sind wichtig, keine Frage, aber die Suchmaschinen werden immer gute Webseiten belohnen. Wichtiger als dem neusten SEO-Trend hinterherzulaufen ist es meist, verständliche, übersichtliche Webseiten zu erstellen, die den Besuchern bereitwillig die Informationen geben, die gesucht werden, statt ihnen Informationen aufzudrängen, die nicht wirklich nachgefragt werden. (vgl. https://xkcd.com/773/)
Kurze, prägnante Überschriften, klare Einleitungen sind wichtig. Absatz-lange Überschriften, die sich in Details verlieren schrecken ab und lesen sich so gut wie das deutsche Steuergesetzbuch. Bedenken Sie dass Suchmaschinen-Benutzer mit unterschiedlichstem Vorwissen irgendwo auf Ihren Seiten einsteigen. Wer sich sofort gut aufgehoben fühlt, weiß wo man gelandet ist und findet, was er sucht, wird mit einer besseren Meinung die Webseiten verlassen.
Ein wesentlicher Bestandteil in Googles Bewertungssystem war und ist, ob eine Webseite von anderen Seiten verlinkt wird. Verlinken Sie Partnerseiten untereinander und sorgen Sie dafür, dass Sie an wichtigen Stellen erwähnt werden. (Haben Sie aber dabei Verständnis, dass die Startseite der Uni und ähnliche Seiten nur einen begrenzten Platz haben und nicht jede Seite ganz oben stehen kann.)
Beachten Sie aber auch, dass keine Suchmaschinen Optimierung nötig ist, wenn die Suchenden gezielt zu Ihnen wollen: Solange es keine zweite konkurrierende Uni-Köln gibt, werden die Suchbegriffe „Uni Köln“ immer zu uns führen. Finden Sie lieber die Schlagworte, die Sie von anderen Suchergebnissen abgrenzen, und verwenden Sie diese prominent in Überschriften und Seitentiteln.

LOGIN:
Haben Sie eine Webseite, auf der die Statistik Erfassung aktiviert ist, loggen Sie sich mit Ihrem Uni-Account ein unter: https://matomo.rrz.uni-koeln.de. Haben Sie mehrere Webseiten, für die Sie zuständig sind, können Sie zwischen diesen innerhalb von Matomo hin und her wechseln.

Die Statistikerfassung ist bei den meisten TYPO3 Seiten der Uni-Köln bereits aktiviert, falls nicht, wenden Sie sich an Ihren Administrator.

Mit freundlichen Grüßen
Thomas Moll

Zeig‘ Dich, Fenster: Mit AltTab unter macOS durch alle Fenster switchen

Liebe Mac-User:innen, kennen Sie das? In Thunderbird oder im Ticketsystem hat sich ein weiteres Fenster geöffnet (zum Beispiel das Fenster mit der E-Mail-Antwort), und Sie wollen „nur nochmal“ mit einem Tastatur-Shortcut in ein anderes Fenster wechseln?

Bildschirmfoto: AltTab-FensterwechslerFür die Leute mit Windows-Systemen ist das kein Problem: Mit der Tastenkombination [Alt] + [Tab] kann man bequem zwischen Fenstern wechseln. Beim Mac ist dies nativ nur programmweise möglich, das heißt: Mit der bekannten Tastenkombination [cmd] + [Tab] wechseln Mac-Nutzende „nur“ von einem Programm zum nächsten. Damit wird das extra E-Mail-Fenster buchstäblich hinten liegen gelassen. Oder (für alle OTRS-Nutzenden) das offene Ticket-Beantwortungs-Fenster. Wie es so schön heißt: Wer es anders kennt – oder schon immer gern mit Tastaturkürzeln gearbeitet hat –, wird es vermissen.

Abhilfe schafft das schöne, kleine Tool „AltTab“. Das Programm ergänzt die von Windows bekannte Alt-Tab-Kombination um die Möglichkeit, von Fenster zu Fenster zu wechseln. Es ist OpenSource; die Releases stehen außerdem über GitHub zum Download zur Verfügung.

Für das bequeme Wechseln zwischen den Fenstern benötigt AltTab den Zugriff auf den Bildschirm. Also nicht wundern, wenn das Programm um Berechtigungen in der Systemsteuerung bittet.

Auch Apple kann kompliziert: Mails signieren und verschlüsseln mit iPhone und iPad

Auf die Gefahr hin, dass die letzten Beiträge unseres Blogs ein klein wenig Apple-lastig werden, folgt auf den letzten Beitrag ein weiterer über iGeräte, genauer: Über verschlüsselte E-Mails, und warum die Sache mit der Usability nicht immer so einfach ist, wie man das als User*in gerne hätte.

Haben Sie, liebe Blog-Lesende, schon einmal eine E-Mail verschlüsselt? Nein? Dann gehören Sie wahrscheinlich zur großen Mehrheit von IT-Nutzenden, die das Thema zwar „schon einmal irgendwo gehört oder gelesen“ haben, aber sich selbst noch nie damit befasst haben.

Zumindest könnten Sie einmal darüber nachdenken, Ihre E-Mails mit Hilfe eines S/MIME-Zertifikats zu signieren, was gleichzusetzen ist mit einer Unterschrift. Wie Sie an der Uni Köln ein solches Zertifikat beantragen und wofür das gut ist, können Sie hier nachlesen.

Wie man sein Zertifikat dann auf verschiedenen Geräten einrichtet und nutzt, haben wir an dieser Stelle dokumentiert. Einmal eingerichtet, ist das Ganze sofort lauffähig, und Ihre Mails werden fast unmerklich digital signiert. In diesem Beitrag legen wir den Fokus auf mobile Apple-Geräte. iOS unterstützt S/MIME-Zertifikate und die E-Mail-Verschlüsselung schon seit dem Jahr 2015 – so neu ist das Thema zugegebenermaßen also nicht.

Bildschirmabbild, das das Fenster zum Erstellen einer neuen E-Mail zeigt

Verschlüsselte oder signierte E-Mails zu empfangen ist kinderleicht. Neben dem Absende-Namen taucht bei einer signierten und/oder verschlüsselten E-Mail ein kleines Häkchen und gegebenenfalls ein Schlosssymbol auf.

Jetzt kommt der Teil, der komplizierter ist, als es sein müsste: Spannend wird es, wenn man seine Mails neben dem Signieren auch verschlüsseln möchte. Dazu schweigt sich interessanterweise sogar die Anleitung von Apple selbst aus. Das führt dann dazu, dass man zunächst einmal eine Fehlermeldung erhält, wenn man es mit dem Verschlüsseln versucht (siehe Bild). Wo hakt’s? Die Anleitung von Apple sagt, dass in diesem Fall das Zertifikat der Empfänger*in nicht gefunden wurde. Aber kein Wort darüber, was man nun tun soll, damit das iGerät diesen öffentlichen Schlüssel der anderen Person kennenlernen kann…?

Spoiler: Dazu muss man das Zertifikat tatsächlich „installieren“, sagt die Oberfläche, wenn man ein bisschen danach sucht.

Hat man diese Schritte einmal gefunden, ist es ganz einfach:

1.) Eine E-Mail der Person öffnen,
2.) in der Kopfzeile auf den Namen klicken,
3.) gegebenenfalls nochmals auf den Namen klicken, dann
4.) auf „Zertifikat anzeigen“, und zum Schluss
5.) auf „Installieren“ klicken.


Bildschirmabbild, das die Details eines Mail-Zertifikats anzeigt

Diese Schritte muss man für jede Person vornehmen, der man verschlüsselte E-Mails senden will.

Zusammenfassend kann man sagen: Wenn man einmal weiß, was man tun muss, ist es gar nicht so kompliziert. Aber warum gestaltet man – beziehungsweise Apple – diesen Vorgang so umständlich? Einfacher wäre es wie beim Open-Source-Mail-Programm Mozilla Thunderbird: Hier wird der öffentliche Schlüssel der Absender*in – also der Teil des Zertifikats, der dem iOS-System wie oben genannt zunächst „bekannt gemacht“ werden muss – direkt automatisch gespeichert.

Kurzes Fazit: Weniger ist mehr. Ich würde mir wünschen, dass Apple dieses Prozedere vielleicht etwas einfacher gestaltet und zukünftig weniger Arbeitsschritte nötig sind. Das würde zur Akzeptanz von E-Mail-Zertifikaten und deren Einsatz sicher enorm beitragen.