komplette Ausgabe - Comment - Universität Wien

Editorial
Liebe Leserin, lieber Leser!
Ist Ihnen am Titelblatt dieser Zeitschrift etwas aufgefallen?
Nein? Und wenn Sie ganz genau hinsehen?
Auch nicht? Dann müssen wir es Ihnen wohl verraten:
Der Zentrale Informatikdienst hat ab sofort ein neues
Logo, das in den nächsten Wochen auf allen unseren
Print- und Webdokumenten auftauchen wird. Weil‘s so
schön ist, zeigen wir es nochmals etwas größer:
Es handelt sich hierbei um die Schwarz/Weiß-Variante
des neuen Logos, weil der Comment (noch) nicht in
Farbdruck hergestellt wird. Im Gegensatz zum bisherigen
Logo existiert davon aber auch eine „bunte“
Version, wobei dieselben Far ben wie beim Logo der
Uni Wien verwendet wurden – allerdings umgekehrt:
Während das Univer sitäts-Logo aus einem blauen
Schriftzug mit grauem Siegel besteht, ist beim neuen
ZID-Logo die Schrift in Grau und das Pfeil-Signet in
Blau gehalten. Auch mit dem Schriftzug selbst wurde
die Zugehörigkeit zur Univer sität Wien betont: Der
verwendete Font ist exakt derselbe, die Ligaturen (das
Verschmelzen von l, i und d sowie von r und f ) spielen
ebenfalls auf das Uni-Logo an, bei dem die Buchstaben
u und n zusammengezogen wurden, und nicht
zuletzt ist das ZID-Logo analog zum Uni-Logo in Kleinbuchstaben
gehalten. Diese weitgehende Übereinstimmung
konnte dadurch erreicht werden, dass derselbe
Gra fiker beauftragt wurde, der auch für das Universitäts-
Logo verantwortlich zeichnet. Das altbekannte Pfeil-
Signet soll einerseits die Wieder erken nungs rate des
Logos steigern und andererseits auch jene Konti nui tät
sym bolisieren, für die der Zentrale Informatik dienst
seit Jahr zehn ten steht.
Ausgehend von diesem Logo wird in den nächsten
Wochen ein Corporate Design für den ZID entwickelt.
Auch für den Comment haben wir große Pläne: Er soll
ebenfalls ein neues Logo, ein neues Titelblatt so wie
eine neue Website erhalten und bei dieser Gelegenheit
auch etwas bunter werden. Wir hoffen, diese Vorhaben
bereits mit der März-Aus gabe umsetzen zu können.
Bleiben Sie also dran...
Ein erfolgreiches Semester wünscht Ihnen (und sich)
die Comment-Redaktion
Inhalt
Aktuelles
2 Storage & Backup:
Der aktuelle Status des SAN-Projekts
4 Neues Informationsangebot für Studierende
Aktuelles 1
5 Mailbox-Service: Neuerungen bei der Administration
5 Günstig telefonieren mit A1 Member Unlimited
6 Der neue Spamfilter –
Erfahrungen, Empfehlungen, Einstellungen
8 ECDL, die Erweiterung
8 Personalnachrichten
9 eLearning: Fahrplan für WebCT Vista 4.0
PCs & Workstations
12 Alarmstufe Rot: Ihr PC wurde geentert! –
Rootkits unter MS-Windows
17 Neue Standardsoftware
Netzwerk- & Infodienste
18 10 Jahre Vienna Internet eXchange – Ein Service
der Uni Wien für das österreichische Internet
19 GÉANT2 – Ein Glasfaser-Backbone
für die Wissenschaft
20 Datennetz, quo vadis?
22 WLAN: Funknetz-Ausbau an der Uni Wien
24 „Verstrahlte“ Universität? – WLAN und Elektrosmog
29 Verzeichnisdienste: Von X.500 zu LDAP
33 Wie sag ich‘s meinem LDAP-Server?
34 Content Management Systeme:
Software für operative Eingriffe in lebende Websites
37 Webauftritte leicht gemacht:
Typo3 an der Universität Wien
40 Web-Publishing mit XML – Die eXtensible Markup
Language verwirklicht den Cross-Media-Gedanken
Anhang
45 Handbücher
46 EDV-Kurse des ZID bis Ende Jänner 2007
47 eLearning: WebCT Vista-Schulungen
48 Kontaktadressen am ZID
48 Öffnungszeiten
Comment 06/3

2 Aktuelles
Comment 06/3
STORAGE & BACKUP:
DER AKTUELLE STATUS DES SAN-PROJEKTS
Im Comment 06/1 wurde das Projekt vorgestellt, ein Storage
Area Network (SAN) für die Universität Wien zu errichten. 1)
Damit soll einerseits die heterogene und teilweise veraltete
Ausrüstung des ZID mit Massen speicher konsolidiert und
andererseits der chronische Platz mangel durch einen großzügigen
Ausbau behoben werden. Im Rahmen dessen soll
auch das Backup-System (siehe www.univie.ac.at/ZID/
backup/), das 1997 angeschafft wurde und schon in die
Jahre gekommen ist, erneuert werden. Im Folgenden wird
über den aktuellen Status dieses Pro jektes berichtet.
Am 7. Februar 2006 wurde eine entsprechende Ausschreibung
veröffentlicht. 23 Firmen haben die Ausschreibungsunter
lagen abgeholt; davon haben zehn bis zum Ende der
Frist am 31. März 2006 ein Angebot abgegeben. Das mag
nicht viel erscheinen, doch mehr war kaum zu erwarten:
Ob wohl die Ausschreibung EU-weit veröffentlicht wurde,
ist sie hauptsächlich für lokale Anbieter interessant – und
Abb. 1: Das größere der beiden Storage-Systeme (am primären Standort)
da kommen nicht allzu viele in Frage. Das Interesse in der
Branche war enorm: Storage-Projekte dieser Größenordnung
gibt es in Österreich wohl kaum öfter als einmal im Jahr.
Alle namhaften Hersteller von Storage-Produkten waren vertreten,
entweder selbst oder durch Partnerfirmen, die als
Reseller fungierten. Auch ein oder zwei „Außenseiter“ versuchten
ihr Glück mit weniger bekannten Produkten.
Die Ermittlung des Bestbieters war recht aufwendig und erforderte
auch die Durchführung von Leistungstests (Benchmarks),
die gemeinsam mit den Anbietern in der ersten Junihälfte
erfolgte.
The winner is ...
Am 27. Juni 2006 wurde schließlich die Entscheidung gefällt:
Den Zuschlag erhielten die Firmen Bull GmbH für den Teilbereich
Storage und EDV-Design Infor ma tions technologie
GmbH für den Teilbereich Backup.
Bull GmbH ist die österreichische Niederlassung des
internationalen Bull-Konzerns mit Sitz in Frankreich.
Bull – benannt nach dem norwegischen Ingenieur
Fredrik Rosing Bull, der 1919 eine auf Lochkarten basierende
Rechenmaschine erfand – wurde 1931 in
Paris gegründet und hat eine lange und wechselvolle
Geschichte hinter sich. Heute ist Bull ein IT-Unternehmen,
das neben Hardware (Server, Mainframes,
Supercomputer) auch Software, Systemintegration,
Dienstleistungen und Consulting anbietet. Bull GmbH
tritt als Generalunternehmer und Systemintegrator
auf; die Hardware wird größtenteils von anderen
Firmen zugekauft, wobei die meisten Komponenten
von EMC stammen.
EMC wurde 1979 gegründet und produzierte ursprünglich
Möbel. Heute ist EMC einer der führenden Hersteller
von Storage-Systemen. Das Firmenlogo zeigt
den Schriftzug EMC 2 , das ist eine Kon traktion von
EMCC, wobei die ersten drei Buchstaben die Ini tialen
der Firmengründer sind und das zweite C für Corporation
steht. Der Name hat also nichts mit der berühmten
Einstein-Formel E=mc 2 zu tun, obwohl die
Assozia tion möglicherweise durch aus erwünscht ist.
1) siehe Artikel Speicherplatz Absolut Notwendig in Comment
06/1, Seite 2 bzw. unter www.univie.ac.at/comment/
06-1/061_2.html
2) Original Equipment Manufacturer: Damit werden in der
Computerbranche Produkte bezeichnet, die unter dem
Namen eines anderen Herstellers verkauft werden.

1999 übernahm EMC die Firma Data General, die 1994
ein damals höchst innovatives Plattensystem namens
HADA (High Availability Disk Array) vorgestellt hatte.
Später wurde dieses unter dem Namen CLARiiON vermark
tet und von EMC weiterentwickelt. Das neue Storage-System
der Uni versität Wien heißt mit vollem Namen
CLARiiON CX3-80 UltraScale und ist das größte
Modell der neuesten CLARiiON-Generation, die erst am
8. Mai 2006 – also nach Ende der Abgabefrist – offiziell
angekündigt wurde. Die technischen Daten des Systems
sind im Kasten unten zu finden.
Die Netzwerk-Komponenten (Switches) des SAN werden
ebenfalls von EMC geliefert; es handelt sich dabei
aber um OEM-Produkte 2) von Brocade Com munications
Sys tems, dem führenden Hersteller von Fibre Channel-
Switches.
Backup-System
EDV-Design Informationstechnologie GmbH ist eine
kleine Firma, die als IBM-Partner hauptsächlich IBM-
Systeme vertreibt. Auch die angebotene Backup-Lösung
ist von IBM: Nachdem ebenso wie beim bestehenden
Backup-System der IBM Tivoli Storage Manager (TSM)
als Software zum Einsatz kommt, wird sich aus Benutzersicht
nicht viel ändern: Die bisherigen Klienten
funktionieren weiter, 3) durch die höhere Leistungsfähigkeit
der Server und die größere Geschwindigkeit der
Band laufwerke werden Backup und Restore jedoch oft
schneller vonstatten gehen. Vor allem aber sind wir
Storage- und Backup-System: Technische Daten
Primärer Standort (Neues Institutsgebäude / NIG):
Aktuelles 3
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 150 Tera -
byte, davon 62 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre Channel-
Platten (500 GB; diese ersetzen in der neuesten Generation die bisher angebotenen S-ATA-Platten); eine
Management Station Bull Express5800/TM800
• zwei EMC DS-4900B Fibre Channel-Switches mit je 48 Ports (4 Gbit/s)
Sekundärer Standort (derzeit NIG, später Hauptgebäude):
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 50 Terabyte,
davon 20 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre Channel-
Platten (500 GB); eine Management Station Bull Express5800/TM800
• zwei EMC DS-4900B Fibre Channel-Switches mit je 32 Ports (4 Gbit/s)
Abb. 2: Blick in das Innere des Bandroboters des neuen Backup-Systems
• ein Bandarchiv mit Roboter IBM 3584, bestehend aus drei Einheiten („Frames“) mit insgesamt zehn Bandlaufwerken
IBM 3592-E05 („Jaguar“) und 1024 Stellplätzen für Bandkassetten. Davon sind derzeit 800 mit Kassetten
mit einer Kapazität von je 500 GB bestückt, sodass sich eine Gesamtkapazität von 400 Terabyte ergibt
• zwei Backup-Server IBM pSeries 52A mit je vier Prozessoren und 4 GB Hauptspeicher
Comment 06/3

4 Aktuelles
Comment 06/3
durch die weitaus größere Kapazität des neuen Bandarchivs 4)
für einige Zeit für die großen Datenmengen gerüstet, die
demnächst – vor allem auch durch das neue Storage-System
– auf uns zukommen werden.
Zeitplan
Das Backup-System wurde sehr schnell geliefert und im
Laufe des Sommers aufgestellt, installiert und getestet. Die
Abnahme erfolgte am 6. September 2006. Das Storage-
System wurde am 30. August geliefert. Nachdem es sich um
ein sehr komplexes System handelt, nahm die Installation
und Konfiguration längere Zeit in Anspruch und war in der
dritten Septemberwoche abgeschlossen. Wie bereits im
Comment 06/1 berichtet, soll das neue Storage-System aus
Gründen der Ausfallsicherheit auf zwei Universitätsstandorte
(Neues Institutsgebäude und Hauptgebäude) aufgeteilt
werden. Nachdem die Adaptierung der benötigten Räumlichkeiten
im Hauptgebäude noch nicht fertiggestellt ist,
wurden vorläufig beide Teile in getrennten System räumen
des Neuen Institutsgebäudes untergebracht.
Das Storage Area Network wird eine zentrale Komponente
der Infrastruktur des ZID sein, ohne die die meisten Services
Infostand zu Semesterbeginn
Im Wintersemester 2006 hatten Studierende erstmals die
Möglichkeit, sich gleich nach ihrer Studienzulassung direkt
vor Ort – im Hauptgebäude der Universität beim Referat
Studienzulas sung / Student Point – am Infostand des ZID
über die EDV-Services für Studierende zu informieren (siehe
Foto). Das Beratungsangebot wurde dabei von den Studierenden
ebenso gerne angenommen wie die dort verteilten
Info materialien und Comment-Ausgaben.
Das Infoteam in Aktion: Mag. Christoph Burger, Daniel Müller
nicht funktionieren. Aus diesem Grund ist eine gründliche
Vorbereitung mit umfangreichen Tests erforderlich. Die
Testphase wird voraussichtlich Ende Oktober abgeschlossen
sein. Dann werden zuerst die Fileserver 5) an das SAN
angeschlossen werden, weil dort derzeit der größte Platzmangel
herrscht. Weitere Server werden nach und nach folgen;
bis Jahresende sollte der Großteil der Daten übersiedelt
sein. Wann der neue Systemraum im Haupt gebäude in
Betrieb genommen werden kann, ist noch ungewiss: Vor
allem aufgrund von Verzögerungen bei den erforderlichen
Genehmigungen kann das noch länger dauern.
Peter Marksteiner ■
3) Ab einem Stichtag, der noch bekanntgegeben wird, zeigt der
Hostname BACKUP.UNIVIE.AC.AT auf einen der neuen Backup-
Server, sodass Sicherungen auf das neue Backup-System erfolgen.
Um auf Daten zuzugreifen, die vor diesem Tag gesichert wurden,
ist dann der Hostname RESTORE.UNIVIE.AC.AT anzugeben.
4) Zum Vergleich: Das bisherige Bandarchiv besteht aus zehn Frames
und hat etwa ein Viertel der Kapazität der drei Frames des neuen
Systems, welches noch durch zusätzliche Frames beliebig erwei -
tert werden kann.
5) siehe Artikel Fileservices: Willkommen in der Daten-Bank in
Comment 05/1, Seite 24 bzw. unter www.univie.ac.at/
comment/05-1/051_24.html
NEUES INFORMATIONSANGEBOT FÜR STUDIERENDE
Kurs Unet & PC-Raum Basics
Für Studierende, die noch mehr über die EDV-Services des
Zentralen Informatikdienstes erfahren wollen, wird ab dem
Wintersemester 2006 der dreistündige, kostenlose Kurs Unet
& PC-Raum Basics für Studierende angeboten.
• Inhalt: das Unet-Service-Angebot so wie dessen praktische
Nutzung, Erlangung praktischer Fertigkeiten in
den Bereichen Drucken, Scannen, PDF-Erstellung, Daten
sicherung etc. (speziell ausgerichtet auf die Gegebenheiten
in den PC-Räumen des ZID)
• Termine (jeweils 9 – 12 Uhr): 19. Oktober 2006, 9. Novem
ber 2006, 22. November 2006, 12. Dezember 2006
• Kursort: PC-Raum 2 des ZID (Neues Institutsgebäude/
NIG, 1010 Wien, Universitätstraße 7, Stiege I, 1. Stock)
• Anmeldung: Da nur eine beschränkte Anzahl an PCs
zur Verfügung steht, ist eine telefonische oder persönliche
Anmeldung am Helpdesk des ZID er forderlich
(bzw. per eMail an helpdesk.zid@univie.ac.at
oder kurse.zid@univie.ac.at).
Die Anmeldefristen und weitere Infos zu den Kursinhalten
finden Sie unter www.univie.ac.at/ZID/kurse/.
Michaela Bociurko ■

MAILBOX-SERVICE:
NEUERUNGEN BEI DER ADMINISTRATION
In der nunmehr zwölfjährigen Geschichte des Mailbox-
Service (siehe Comment 94/2, Seite 23 bzw. unter www.
univie.ac.at/comment/94-2/942_23.html) gab es
schon etliche Neuerungen, Umbauten und Reformen. Eine
weitere Reform, die ausschließlich die Benutzerverwaltung
betrifft, steht nun bevor:
• Die Anmeldung zum Mailbox-Service soll mit Hilfe
einer Webmaske wesentlich vereinfacht werden. Ganz
ohne „Papierkram“ geht es leider trotzdem nicht: Zur
Anmeldung ist nur die Eingabe der Sozialversicherungsnummer
und des gewünschten Passworts erforderlich.
Alle anderen benötigten Daten werden – sofern bekannt
– automatisch aus der Personaldatenbank übernommen.
Der Mailbox-Account wird sofort angelegt (aber noch
nicht aktiviert), und aus der Webmaske wird eine PDF-
Datei generiert. Sobald diese ausgedruckt und unterschrieben
beim Helpdesk des ZID einlangt, wird der
Account freigeschaltet.
• Das Ablaufen der Mailbox-UserIDs wird automatisiert
erfolgen. Auf der Webseite www.univie.ac.at/
ZID/mailbox-ablauf/ ist detailliert beschrieben,
unter welchen Bedingungen eine Be nutzungs berechti-
Aktuelles 5
gung ab läuft, innerhalb welcher Fristen eine Verständigung
erfolgt und was Sie bei bevorstehendem Ablauf
tun können (z.B. Weiterleitung von eMail und persönlicher
Homepage).
• Für Besucher, Gäste, Kursteilnehmer usw. gibt es derzeit
verschiedene Arten von UserIDs mit eingeschränkten
Be rechtigungen: „K-IDs“ (Näheres siehe www.univie.
ac.at/ZID/k-id/) und temporäre UserIDs (siehe
www.univie.ac.at/ZID/mailbox/#temporaer).
Dieses Konzept wird nun verallgemeinert, sodass für
jedes Service – Wählleitungszugang, Fileservices, Verwendung
der PC-Räume usw. – einzeln festgelegt werden
kann, ob eine UserID dafür berechtigt ist oder
nicht. Solche „Mailbox Light“-UserIDs sollen mittelfristig
K-IDs und temporäre UserIDs ersetzen, vorläufig
stehen diese jedoch weiterhin zur Verfügung.
Die beschriebenen Neuerungen werden voraussichtlich im
November 2006 wirksam; in der nächsten Ausgabe des
Comment wird darüber ausführlicher berichtet werden.
Aktuelle Informationen zur Mailbox-Administration sind
unter www.univie.ac.at/ZID/mailbox/ zu finden.
Peter Marksteiner ■
GÜNSTIG TELEFONIEREN MIT
A1 MEMBER UNLIMITED
Handy-Tarife für MitarbeiterInnen der Universität Wien
A1 bietet nicht nur Geschäftskunden spezielle Tarife und
Lösungen für die Mobiltelefonie an, sondern auch deren
Angestellten. Daher wurden mit den Ta rifen A1 Member
Start Unlimited und A1 Member Business Unlimited
zwei Angebote exklusiv für Mitar beiterInnen geschaffen.
Die beiden Pakete unterscheiden sich bei Grundentgelt und
Gesprächs gebüh ren, abgestimmt auf die Bedürfnisse von
Wenigtelefonierern bzw. Vieltelefo nierern.
Zusätzlich kann die Option –50% Grundentgelt gewählt
werden, die 50 Prozent des monatlichen Grund entgelts erspart,
dafür allerdings die Servicebindung von 12 auf
24 Monate verlängert. Der Tarifwechsel in die Tarif modelle
A1 Member Start Unlimited und A1 Member Busi ness Unlimited
ist kostenlos.
Jede/r Mitarbeiter/in der Universität Wien kann bis zu
4 Anschlüsse anmelden, wobei beide Tarife beliebig kom-
binierbar sind und jeder Anschluss über ein anderes Konto
abgebucht werden kann. Dieses Angebot gilt somit auch
für die Familie oder FreundInnen eines jeden Angestellten,
mit denen man dann besonders günstig telefonieren kann.
Noch bis 30. Juni 2007 haben MitarbeiterInnen der Universität
Wien Zeit, sich für eines der beiden Pakete zu entscheiden.
Weitere Informationen zur An- bzw. Ummeldung sowie zu
den Mitarbeitertarifen finden Sie auf den Webseiten des
Zentralen Informatikdienstes unter www.univie.ac.at/
ZID/a1member/ oder bei der Mobil kom Austria AG unter
www.a1.net/business/memberunlimited.
Eine umfassende telefonische Beratung rund um die Uhr
erhalten Sie zudem unter der kostenlosen A1-Service nummer
0800 664 664.
Karin Geicsnek ■
Comment 06/3

6 Aktuelles
Comment 06/3
DER NEUE SPAMFILTER – ERFAHRUNGEN,
EMPFEHLUNGEN, EINSTELLUNGEN
Am 16. Juni 2006 ist an der Uni Wien ein neuer Spamfilter
in Betrieb gegangen, der im Artikel Wenn der Postmann
zweimal klingelt im Comment 06/2 vorgestellt wurde. 1)
Dieser Spamfilter verwendet eine Kombination verschiedener
Metho den zur Spambekämpfung; die wichtigsten davon
sind Greylisting (temporäres Abweisen verdächtiger Nachrich
ten) sowie eine Bewertung anhand verschiedener formaler
und inhaltlicher Kriterien durch das Programm Spam-
Assassin: Je mehr Punkte SpamAssassin vergibt, desto größer
ist die Wahrscheinlichkeit, dass es sich bei einer Nachricht
um Spam handelt.
Im Folgenden wird über die ersten Erfahrungen mit dem
neuen Spamfilter im Produktionsbetrieb berichtet, und es
werden einige Tipps zur Wahl der optimalen Einstellungen
gegeben.
Erste Erfahrungen:
Ein Monat Spam
Wie viel Spam filtert der neue Spamfilter? Um meinen subjektiven
Eindruck – deutlich weniger Spam – durch harte
Zahlen zu untermauern, habe ich einen Monat lang (vom
16. Juni bis zum 16. Juli 2006) alle Spam-Nachrichten, die
an mich zugestellt wurden, gewissenhaft gesammelt. Nachdem
ich eMail an sehr viele verschiedene Adressen erhalte
und die Charakteristika von Spam weitgehend konstant
sind, lassen sich daraus recht verlässliche Rückschlüsse auf
die Trefferquote insgesamt ziehen.
Die Bewertung dieser Nachrichten durch SpamAssassin ist
in der Abbildung auf Seite 7 zu sehen:
• Der maximale Wert des X-Univie-Spam-Level (das ist
jenes Krite rium, nach dem der Spamfilter die Nachrichten
fil tert) ist 51: Bei Werten von mehr als 50 handelt es
sich ganz sicher um Spam, deshalb wird die Darstellung
dort abgeschnitten. Der numerische Wert des X-Univie-
Spam-Score, von dem der X-Univie-Spam-Level abgeleitet
ist, kann auch höher sein: Der höchste bis jetzt
beobachtete Wert ist 73,4.
• Von 1907 Nachrichten wurden 1593 als Spam erkannt
(d.h. ihr X-Univie-Spam-Score ist mindestens 8,0). Das
entspricht einer Trefferquote von 83,5% bzw. einer Reduk
tion von 64 auf 10 Spam-Nachrichten pro Tag.
• 1119 Nachrichten (58,6%) haben einen X-Univie-Spam-
Score von mindestens 15,0; diese würden bei Verwendung
der Standard-Einstellungen des Spamfilters sofort gelöscht
werden.
• 314 Nachrichten wurden nicht als Spam erkannt; von
diesen haben relativ viele (134) einen X-Univie-Spam-
Score von mindestens 6,0. Wählt man 6 als Grenzwert,
ab dem Nachrichten gefiltert werden (siehe unten), so
erhöht sich dadurch die Trefferquote auf 90,5%.
Diese Trefferquoten beziehen sich nur auf jene Spam-Nachrichten,
die bereits die ersten Hürden (Überprüfung auf
Einhalten des Protokolls, Greylisting) überwunden haben.
Wie viel Spam an diesen Hürden scheitert, lässt sich nur
grob abschätzen: An einem typischen Arbeitstag werden
etwa 150 000 Nachrichten sofort abgewiesen, 250 000 durch
Greylisting verzögert zugestellt oder abgewiesen, etwas
mehr als 100 000 Nachrichten insgesamt werden zugestellt.
Von diesen werden etwa 20 000 von SpamAssassin als Spam
erkannt. Nimmt man 20% nicht erkannte Spam-Nachrichten
an, so werden von etwa 400 000 Zustellversuchen ungefähr
25 000 Spam-Nachrichten tatsächlich zugestellt (die automatisch
generierten Statistiken des neuen Spamfilters können
unter http://mailstats.univie.ac.at/ abgerufen
werden).
Um es kurz zusammenzufassen: Mehr als 90% aller Spam-
Nachrichten scheitern bereits eingangs am Grey listing und
anderen Maßnahmen; von den verbleibenden 5 – 10% werden
etwa 80% vom SpamAssassin als Spam markiert, bei
verschärften Einstellungen etwa 90%. Insgesamt ergibt sich
daraus eine Trefferquote von 96 – 99%. Für eine große und
heterogene Institution wie die Universität Wien ist das ein
sehr respektabler Wert – viel mehr lässt sich mit serverseitiger
Filterung alleine wohl kaum erreichen.
Einstellungen
Der neue Spamfilter muss unter www.univie.ac.at/
ZID/spamfilter-webmaske/ aktiviert werden; dabei
lässt sich seine Funktion über einige Para meter steuern. Bei
den empfohlenen Standard-Einstellungen werden Nachrichten
ab einem Spam-Level von 8 in einen eigenen Spam-
Ordner (Junk Folder) verschoben und ab einem Spam-Level
von 15 automatisch gelöscht (nicht zugestellt). Diese Standard-Einstellungen
sind wohl nie ganz falsch. Nachdem es
aber große Unterschiede gibt – manche erhalten hunderte
Spam-Nachrichten pro Tag, andere fast gar keine –, sind individuelle
Anpassungen oft von Vorteil.
Spam-Level und False Positives
Die Wahl des optimalen Spam-Level, ab dem Nachrichten
gelöscht bzw. in den Spam-Ordner verschoben werden, ist
ein Balanceakt zwischen Effizienz und der Gefahr von False

Positives (das sind legitime Nachrichten, die fälschlicherweise
als Spam klassifiziert werden). Nach unseren Erfahrungen
sind False Positives bei einem Spam-Level von 8
oder mehr äußerst selten. Wer dann immer noch viel Spam
erhält, kann es mit 7 oder 6 versuchen; ein niedrigerer Wert
ist nicht zu empfehlen. Wie groß die Gefahr von False
Positives ist, hängt auch davon ab, mit wem man korrespondiert:
Hat man viele internationale Kontakte, vor allem
in Entwicklungsländern, ist sie verständlicherweise größer.
Zur Vermeidung von False Positives kann auch das neue
Whitelist-Feature des Spamfilters verwendet werden: Damit
wird sichergestellt, dass Nachrichten, die bestimmten Kriterien
genügen (Absender, Betreff) auf jeden Fall zugestellt
werden.
Eine reale Gefahr von False Positives gibt es höchstens bei
akademischen eMail-Diskussionen über Spam: Wenn Sie
eine Spam-Nachricht an einen Freund weiterschicken („Ich
1) siehe Comment 06/2, Seite 13 bzw. unter www.univie.ac.at/
comment/06-2/062_13.html
2) Dasselbe gilt bei Beschwerden über Spam: Aus diesem Grund
werden Nachrichten an abuse@univie.ac.at (das ist jene
Adresse, an die Beschwerden über Spam aus dem Uni-Netz geschickt
werden sollen) nicht gefiltert.
3) Wenn Sie von den beiden Funktionen des Spamfilters (In einen
Ordner verschieben bzw. Nicht zustellen) nur eine aktivieren wollen,
dann tragen Sie bei der anderen als Spam-Level den Wert 99
ein: Keine Nachricht kann einen so hohen Spam-Level haben, weil
der höchste mögliche Wert 51 beträgt.
Aktuelles 7
habe da so eine seltsame Mail bekommen – weißt du, was
das soll?“), kann es durchaus passieren, dass diese nie ankommt.
2)
Nicht zustellen
Bei hinreichend hohem Spam-Level ist das Risiko von False
Positives extrem gering, deshalb können solche Nachrichten
gefahrlos ungelesen gelöscht werden. Der einzige Nachteil
dieser Methode ist, dass im (unwahrscheinlichen) Fall einer
fälschlicherweise gelöschten legitimen Nachricht weder der
Absender noch der Empfänger etwas davon merken. Hier
empfiehlt sich unter Umständen ein „Probelauf“: Lassen Sie
die Nachrichten eine Zeitlang nicht löschen, sondern nur in
einen eigenen Ordner verschieben, 3) und aktivieren Sie das
automatische Löschen erst, wenn Sie sich überzeugt haben,
dass keine legitimen Nachrichten in diesem Ordner gelandet
sind.
Spam-Ordner
Ein Junk Folder ist nur dann sinnvoll, wenn er auch von
Zeit zu Zeit kontrolliert wird. Falls sich die Zahl der in diesen
Ordner verschobenen Nachrichten in Grenzen hält, ist
es durchaus zu empfehlen, ganz darauf zu verzichten: Es
macht wohl kaum mehr Mühe, täglich zwei oder drei Spam-
Nachrichten aus dem Posteingang zu löschen, als einmal in
der Woche den Junk-Folder zu leeren. Wenn die Belästigung
durch Spam sehr gering ist, kann der Spamfilter auch komplett
deaktiviert werden.
Comment 06/3

8 Aktuelles
Comment 06/3
Weiterleitungen
Bei Weiterleitungen ist Folgendes zu beachten:
• Weiterleitung von einer externen Mailadresse (z.B.
name@myprovider.com) an eine Uni-Adresse (z.B.
vorname.nachname@univie.ac.at): Hier sind Greylisting
und andere Maßnahmen, mit denen Spam gleich
beim Eintreffen abgewehrt wird, meist nicht wirksam,
weil die Nachrichten von einem legitimen Mailserver
von myprovider.com entgegenge nommen werden.
Deshalb ist insgesamt mit einer geringeren Trefferquote
zu rechnen, da nur SpamAssassin zum Einsatz kommt
(mehr als zwei Drittel der erwähnten 1907 Spam-Nachrichten
habe ich über externe Adressen empfangen).
• Weiterleitung von einer Uni-Mailadresse (z.B.
vorname.nachname@univie.ac.at) an eine externe
Adresse (z.B. name@myprovider.com): Dabei
kommen alle Maßnahmen wie Greylisting und Markieren
durch SpamAssassin zum Tragen, nicht jedoch das
automatische Filtern. Hier ist also eine Filterung durch
das Mailprogramm des Empfängers erforderlich.
Trotz des großen Erfolges des neuen Spamfilters werden
wir uns nicht auf unseren Lorbeeren ausruhen: Spammer
denken sich immer wieder neue Tricks aus, mit denen sie
Spamfilter umgehen können. Daher sind laufend Anpassungen
und Verbesserungen erforderlich, um die Trefferquote
zumindest zu halten bzw. nach Möglichkeit noch
weiter zu erhöhen.
Peter Marksteiner ■
Diesmal sind die meisten personellen Veränderungen am
ZID aus der Abteilung Universitätsverwaltung zu berichten:
Nach vier Monaten Vakanz hat das Referat UNIVIS-Produktionsbetrieb
wieder eine Leitung: Elisabeth Vinek wurde
mit Oktober 2006 zur Referatsleiterin ernannt. Ab No vember
2006 wird Anita Messinger dieses Re ferat verstärken.
Im Referat i3v-Software entwick lung kümmert sich seit Septem
ber 2006 Joachim Brunbauer um die ETL-Ent wicklung
für das Reporting System der Uni Wien, als Nach folger
von Christopher Anderlik, der leider mit Ende Ok tober
2006 ausscheidet. Alexander Rosenauer hat sich eben falls
entschlossen, die i3v-Entwicklung aufzugeben und den
Zentralen Informatikdienst zu verlassen; mit Franz Seidl
haben wir im August 2006 dafür einen weiteren Java-Entwickler
angestellt. Mit Ende Jän ner 2007 verlässt uns auch
Martin Polaschek: Nachdem er acht Jahre lang am ZID
entscheidend zum Erfolg des UNIVIS-Projekts beigetragen
hat, setzt er seine wissenschaftliche Karriere am In sti tut für
Knowledge and Business Engineering, wo er währenddessen
als Universi täts assistent karenziert war, wieder fort.
PERSONALNACHRICHTEN
ECDL,
die Erweiterung
Seit dem Sommersemester 2006 haben Studierende und
MitarbeiterInnen der Uni Wien die Mög lichkeit, am
Zentralen Informatikdienst ECDL Core-Prüfungen abzulegen
(ECDL = European Computer Driving Licence,
Europäischer Computer Führer schein). Um dieses Angebot
abzurunden, können seit September 2006 auch
ECDL Advanced-Prüfungen am ZID absolviert werden.
Der ECDL Core dient dazu, grundlegende und praktische
Fertigkeiten im Umgang mit dem Computer nachzuweisen;
der ECDL Advanced bietet die Mög lichkeit
der Vertiefung. Er besteht aus vier Modulen (Textverarbeitung,
Tabel len kalkulation, Datenbank, Präsentation),
die – völlig un ab hängig vom ECDL Core – einzeln
absolviert werden können. Für jedes dieser Module
wird eine eigene SkillsCard um € 35,– benötigt, die
Prüfungsge bühr beträgt wie beim ECDL Core € 13,– pro
Modul. Für jede positiv abgelegte Modul-Prüfung wird
ein Zerti fikat ausgestellt. Wer alle vier Module erfolgreich
absolviert hat, erhält das ECDL Advanced Expert
Zertifikat.
Weitere Informationen (Anmeldungsmodalitäten, Prüfungstermine,
Lernunterlagen, Demotests etc.) finden
Sie unter www.univie.ac.at/ZID/ecdl/.
Eveline Platzer-Stessl
In der Abteilung PC-Systeme & Fakultätsunterstützung verstärkt
Christoph Leitl seit Mitte Oktober 2006 das Referat
Support Instituts-PCs; Nasret Ljesevic und Birgit Nierlich
verlassen hingegen den ZID. Auch Walter Glaser, der am
Zen tralen Informatikdienst an einem molekularbiologischen
Forschungsprojekt mitgearbeitet hat, scheidet nach erfolgreichem
Abschluss des Projekts wieder aus dem ZID aus.
Nicole Jezek wurde im Juli 2006 für die vakante Stelle in
unserem eLearning-Team angestellt, und ab November 2006
verstärkt Manfred Rudis das Referat Datenleitungs-Infrastruktur.
Seit Ende September 2006 kümmert sich auch
Claudia Eitler-Buchner nach ihrer Mutterschutz-Karenz
wieder um die Agenden im Direktionssekretariat.
Wie immer wünschen wir allen neuen MitarbeiterInnen viel
Freude und Erfolg mit ihrer Arbeit am ZID, und den scheidenden
KollegInnen danken wir für ihre Leistungen und
wünschen ihnen alles Gute für ihre Zukunft.
Peter Rastl ■

Aktuelles 9
ELEARNING: FAHRPLAN FÜR WEBCT VISTA 4.0
WebCT Vista, die Lernplattform der Universität Wien, ist
jetzt zweieinhalb Jahre alt. Mittlerweile verzeichnen wir
rund 600 Lehrveranstaltungen pro Semester und eine stetig
wachsende Gruppe an Lehrenden und TutorInnen, die im
Umgang mit der Software geschult werden möchte. Stetig
wird eLearning auch in den curricularen Strukturen der
Universität verankert und evolviert: Inzwischen gibt es eine
politische Einbindung der Fakultäten in die Strategie entwicklung
sowie die Funktion fakultärer eLearning-Beauftragter.
Längst ist die Lernplattform der Uni Wien auch im
Kontext einer europaweiten Ausrichtung von eLearning-
Strategien sichtbar.
Nun steht ein weiterer großer Schritt ins Haus: Das Upgrade
vom mittlerweile bewährten WebCT Vista 3.0 auf die neue
Version 4.0. Für diesen Wechsel spricht vor allem die bei
gleichem Funktionsumfang wesentlich verein fachte Benutzer
oberfläche (einen gewissen Lernaufwand be reitet
eventuell das stark veränderte Designerinterface für Lehrende).
Serverseitig bietet Vista 4 strukturelle Verbesserungen,
die sich erfreulich auf die Übersichtlichkeit der Datenbankstruktur
und die Performance des Systems auswirken.
Auch im europäischen Vergleich ist ein Umstieg auf Vista 4
im Sinne der technischen Weiterentwicklung und der Flexibilität
von Content durchaus sinnvoll.
Im Zuge der Vorbereitungen auf Vista 4 wurden auch verbesserte
Schnittstellen und Anmeldeinterfaces für die Lehrenden
entwickelt. Die Anmeldung und Verwaltung von
Lehrveranstaltungen wird dadurch vereinfacht – Lehrende
registrieren ihre Lehrveranstaltungen jetzt über http://
data.univie.ac.at/kurs/elv/. Voraussetzung dafür:
Die Lehrveranstaltung muss schon im Online-Vorlesungsverzeichnis
eingetragen sein. Parallel dazu wird an der Einbindung
externer Applikationen und Add-Ons für Vista 4
(möglicherweise Wiki, ePortfolio) gearbeitet. Eine derzeit
praktikable Funktion ist ein LaTeX-Parser, der bei Eingabe
der Formel (LaTeX-Code) in die Adresszeile des Browsers
eine .png-Datei generiert, die als Grafik in WebCT Vista
eingebunden werden kann (z.B. http://latex.univie.
ac.at/?x=1).
Abb. 1: Der Personal Desktop in WebCT Vista 4.0 – ein vertrautes Bild
Vorbereitungen: Wann kommt Vista 4?
Vor einem Versionsumstieg müssen – mit ausreichender
Vorlaufzeit – viele Parameter abgesichert sein. Dazu zählen
in erster Linie gründliche Tests auf einem einzelnen Vista 4-
Server, die Ausweitung der Software auf einen Vista 4-
Cluster (ein Verbund mehrerer Rechner), das Einspielen notwen
diger bzw. verfügbarer Service Packs und Language
Packs, gefolgt von einem Nachziehen der Supportstrukturen.
Dies umfasst u.a. die Überprüfung der migrierten Daten,
das Testen von Backups und Templates, die Implementierung
von Add-Ons, die Vorbereitung der Lehrenden, die
Ausar beitung von Vista 4-Schulungen, Dokumentationen,
FAQs etc.
Im Sinne einer sorgfältigen Vorbereitung des Vista 4-Software-Upgrades
hat sich das Team entschieden, im Wintersemester
2006 wie bisher den Vista 3-Cluster für den laufenden
Betrieb zur Verfügung zu stellen. Vista 4-Schu lungen
sind frühestens ab November 2006 vorgesehen. Das eigentliche
Upgrade und die Datenmigration werden (nach gründlichen
Tests auf dem Vista 4-Cluster) im vorlesungsfreien
Februar durchgeführt, sodass zu Beginn des Sommer semesters
2007 mit einer verlässlichen Installation von WebCT
Vista 4.0 gerechnet werden kann. Bis dahin werden Upgrade
schulungen und entsprechende Dokumentationen zur
Verfügung stehen, damit es auch für die bereits erfahrenen
UmsteigerInnen keine bösen Überraschungen gibt.
Vorschau: Was bietet Vista 4?
Personal Desktop
Am Personal Desktop (siehe Abb. 1) gibt es nur geringfügige
Änderungen. Neu ist der so genannte Inhalts-Manager,
der den globalen Dateimanager ersetzt. Das Symbol scheint
folglich auch nicht mehr in der Desktop-Toolbar auf.
Veraltete Kurse können, wie schon in Vista 3.0 nach dem
Service Pack 6, aus- und eingeblendet werden.
Studentenansicht
Da sich die Studierenden rein passiv mit den
Kurs inhalten auseinandersetzen müssen, bleiben
hier die Features weitgehend gleich. Verändert
haben sich lediglich einige Standard-
Symbole. Sind neue Objekte verfügbar, so
ver sieht das System sie künftig mit einem
grünen Stern (siehe Abb. 2 auf Seite 10). Die
Studenten ansicht kann vom Lehrenden editiert
werden; das betrifft im Wesentlichen die
An ordnung der Symbole, die Art der Icons
und Menüleisten sowie die Kurs inhalts übersicht.
Comment 06/3

10 Aktuelles
Comment 06/3
Designer und Dozenten
Die weitaus umfangreichsten
Funktionsänderungen und
-erweiterungen betreffen das
Designen und Verwalten von
Lehrveranstaltungen. Die wesentlichsten
Neuerungen sollen
hier skizziert werden.
Wie bisher können Lehrende
entweder einen leeren Kurs
einrichten, Inhalte aus einem
anderen Kurs kopieren, dem
Kurs eine Vorlage zuweisen
oder Inhalte aus einer Datei
importieren. Die neu eingerichteten
Vista-Kurse können
auf eigenen oder Fach bereichs-Vorlagen
basieren. Sie
sind bei der Anmeldung der
eLearning-LV unter http://
data.univie.ac.at/
kurs/elv/ auszuwählen
(Nähe res dazu finden Sie
unter www.univie.ac.at/
ZID/elearning/data/
Doku_elv_beantragen.pdf). Bisher stand nach Anmeldung
einer eLearning-Lehrver anstaltung den Lehrenden
ein roher Standard-Kurs mit allen Werkzeugen zur Verfü-
Abb. 3: Vorauswahl der Werkzeuge zur Einrichtung einer Lehrveranstaltung
Abb. 2: Die Studierendenansicht bleibt in WebCT Vista 4.0 weitgehend gleich.
gung. Jetzt müssen Designer und Instruktoren beim ersten
Login eine spezifische Auswahl an Werkzeugen vordefinieren.
Sie erhalten dabei ein Fenster mit einer Übersicht
über alle verfügbaren
Tools (siehe
Abb. 3). Ihre Auswahl
– und zwar nur
diese! – erscheint anschließend
im Menüpunkt
Kurs werkzeuge.
Sollten Sie später
fest stellen, dass Sie
ein nicht ausgewähltes
Werk zeug doch
benötigen, können
Sie es nachträglich
über die De signerwerk
zeuge (Kurs
verwalten) für den
gesamten Kurs global
freischalten. Es
erscheint dann für
De signer und Dozent
im Menüblock
Kurs werkzeuge bzw.
Ver waltungs werkzeuge;
die Studierenden
haben über
die Kurssymbol leiste
Zugriff.

Insgesamt sind das Designer-
und das Dozenten-Interface
in Vista 4 in tuitiver gestaltet
(siehe Abb. 4). Die Prozesse
des Erstellens und des Lehrens
sind noch immer deutlich getrennt,
die Interfaces selbst
wur den aber im optischen Erscheinungs
bild stark analogisiert.
Das Kursmenü befindet
sich nun in beiden Ansichten
vertikal auf der linken Seite
und bietet einen Hide/Show-
Modus, in dem der Text versteckt
wird. Das umständ liche
Aktions menü ist gänzlich
ver schwun den. Zu beinahe jedem
Element existiert nun direkt
im An schluss an den Text
ein Drop-Down-Menü, das
man durch einen Mausklick
auf fächern kann. Die Studenten
ansicht ermöglicht den Lehrenden wie bisher eine
schnelle Überprüfung der Studierenden perspektive.
Die vielleicht wichtigste Veränderung ist das Wegfallen
des Bestands (Content Inventory). Damit entfällt eine „Lage
rungsebene“ von Content. Die je nach Werkzeug erstellten
Objekte (Inhaltsdateien, Lern module, Diskussionen,
Chats etc.) finden Sie nur mehr rubriziert über das jewei lige
Werkzeug: Um z.B. Zugriff auf alle verfügbaren Tests zu
haben, müssen Sie unter Kurswerkzeuge das Tool Tests anklicken
– dort sind alle Online-Tests aufgelistet. Das Kursdesign
wird damit wesentlich vereinfacht. Auf der Startseite
befinden sich nun drei Rubriken. Aus jeder Rubrik können
Sie per Drop-Down-Menü die entsprechenden Ob jekte einzeln
anwählen und beliebig in Ihre Kursstruktur einbauen.
Auch die Kommunikationswerkzeuge, vor allem Chat
und Diskussionsforen, sind in ihrer Ansicht deutlich vereinfacht;
diese Reduktion der Kanäle hat sich auch auf die
Fehleranfälligkeit von WebCT Vista positiv ausgewirkt. Beim
Abb. 4: Vereinfachtes Strukturieren der Startseite und weiterer Verknüpfungen
Abb. 5: Kein Einstellen des Zeichensatzes mehr beim Upload, .zip-Dateien bei
Upload mehrerer Dateien sind nicht mehr nötig
Aktuelles 11
Kalender, Wirt einiger lästiger Bugs im parasitenträchtigen
Vista 3.0, sind Einträge nun endlich auch über die Jahresgrenze
hinaus möglich! Eine weitere sehr praktische Neuerung:
Beim plattforminternen Mailtool kann man jetzt bei
der Auswahl der Adressaten zwischen Rollen (z.B. alle Studierenden),
Gruppen und Einzelpersonen differenzieren.
Da der Bestand wegfällt, verändert sich auch die Selektive
Freigabe. Aufgaben lassen sich jetzt als .zip-Datei herunterladen
und können wie viele andere Werk zeug komponenten
nun lokal gespeichert und damit fle xibler in anderen
Kursen verwendet werden. Auch die nachträgliche Einbindung
dieser Komponenten ist nun deut lich vereinfacht:
Bislang musste man zwischen der Funktion Inhalts import
und dem Datei manager trennen sowie zur Vermei dung von
Daten korrup tionen mit Zeichensätzen jonglieren. Jetzt gibt
es den Datei manager zwar nach wie vor (Rubrik Designerwerk
zeuge), er befindet sich aber direkt hinter dem Icon
Kurs ver walten, wo durch entsprechende Ver linkung und
ein fachere Dar stel lung die Funktion Import klar entschärft
wurde. Beim Anklicken öffnet sich ein Java-Applet
(siehe Abb. 5). Hier besteht für jegliche Art von Content
eine Ver knüp fung zum Datei mana ger, Templates
werden über den von den Leh renden lang ersehnten
Vorlagen-Manager eingespielt. Deut licher getrennt
sind nun auch die Ordner für persönliche und für
kursbezogene Dateien.
Einen guten Überblick über die wichtigsten Features
bietet das auf Englisch verfügbare Interface-Tutorial
(http://tutorials.webct.com/exploring/
interface.htm). Aufgrund der stark veränderten
Selek tiven Freigabe sollte eventuell das technische
Aufbaumodul Lerngruppen/Aufgaben nochmals besucht
werden (siehe www.univie.ac.at/ZID/
elearning-schulungen/).
Annabell Lorenz ■
Comment 06/3

12 PCs & Workstations
Comment 06/3
ALARMSTUFE ROT: IHR PC WURDE GEENTERT!
Rootkits unter MS-Windows
Das Leben mit Computerviren, Würmern und Trojanern ist
für Windows-Benutzer 1) schon seit langem selbstverständlich.
Die mächtigsten und tückischsten aller Trojaner – bei
Profi-Hackern sehr beliebt und bei Anwendern und Systemadministratoren
entsprechend gefürchtet – sind die so genann
ten Rootkits. Der Name stammt aus der Unix-Welt, da
hier die ersten Rootkits auftraten. Root in Unix entspricht
dem Administrator-Nutzer unter Windows, er hat alle
Rechte am System. Ein Rootkit ist also ein Softwarewerkzeug,
das dem Eindringling alle Rechte des Administrators verschafft
– und dies auf Dauer. Denn: Es versteckt seine
Existenz vor allen, bis auf den Hacker selbst. Selbst die besten
Suchwerkzeuge nach digitalem Ungeziefer versagen
oft bei Rootkits. Zwar muss es dem Angreifer zunächst gelingen,
einen Rechner zu knacken und das Rootkit zu installieren;
anschließend ist dieses jedoch kaum mehr zu finden
bzw. zu entfernen – auch nicht für Experten.
Feindliche Vorgangsweisen
„Blinde Passagiere“ wie Trojaner oder Rootkits erhält man
vorrangig durch administrative Nachlässigkeiten, die ihrerseits
ihre Ursache in mangelndem Sicherheitsbewusstsein
haben: Hacker scannen das Netzwerk nach angreifbaren
Rechnern und nisten sich überall dort ein, wo sie leicht
Unterschlupf finden. Besonders gefährdet sind auch Rechner,
die für Hacker aus strategischen Gründen interessant
sind – z.B. weil sie eine schnelle Internetanbindung haben
oder sich in Netzen befinden, die ergiebige Spionagemöglich
keiten versprechen. Das einzige Mittel dagegen ist eine
rigorose, umfassende Sicherheitspolitik, wie sie der ZID
schon seit längerem empfiehlt (mehr dazu im Abschnitt
Was bleibt zu tun?).
Rootkits sind – obwohl von einer hohen Dunkelziffer ausgegangen
werden muss 2) – unter Windows zwar weniger
verbreitet als Viren und Würmer, dafür aber umso unangenehmer.
Beispielsweise hatte ein Administrator eines Institutsservers
der Uni Wien zweimal ein Problem mit einem
HE4Hook-Rootkit (siehe weiter unten), obwohl sich der Server
hinter einer Firewall befand und sich der Administra tor
deshalb sicher wähnte. Beim ersten Mal fiel der Windows-
Server dadurch auf, dass von ihm eine Netzwerkattacke ausging,
die viel Bandbreite in Anspruch nahm. Virenscanner-
Untersuchungen blieben erfolglos, die schädliche Aktivität
war aber unleugbar. Der Server wurde also vom Netz genommen,
und als der Administrator schließlich die Festplatte
ausbaute und auf einem anderen, „sauberen“ PC als Datenplatte
durchsuchte, wurde das Rootkit sichtbar. Der Server
wurde daraufhin komplett neu aufgesetzt; dennoch gelang
es Hackern wieder, das System zu knacken (vermutlich war
der Server nach einem Software-Update nicht sofort neu
gestartet worden, sodass die Sicherheitsänderungen nur teilweise
aktiv waren). Diesmal wurde der Server nach Strich
und Faden ausspioniert – Serverdaten wurden analysiert
und kopiert, Passwörter abgehört und in versteckten Bereichen
gespeichert – und damit zu einer großen Gefahr für
seine (Netzwerk-)Umgebung. Erst durch weitreichende,
kon sequent eingehaltene Sicherheitsmaßnahmen konnten
die Hacker gestoppt werden.
Rechner an der Uni Wien spielen bei solchen Attacken leider
allzu oft die Rolle des „dummen Opfers“. Meist sind sie
nicht das direkte Ziel des Hackers, sondern nur Mittel zum
eigentlichen Zweck. Mit einem geenterten Universitäts-PC
hat der Angreifer mehrerlei erreicht:
• Der PC dient ihm als Sprungbrett für weitere Attacken
und zur Verschleierung seiner Herkunft.
• Der PC steht ihm als Spam-Verteilerknoten (als Schleuse
für den Versand unerwünschter Massenmail) zur Verfügung.
• Der PC – mit seiner im Allgemeinen guten Ausstattung
und Netzwerkbandbreite – kann im Rahmen eines netzwerkmäßig
verteilten Großangriffs auf ein externes Ziel
(Distributed Denial of Service, DDoS) als ferngesteuerter
„Zombie“ eingesetzt werden.
• Der PC ist der sprichwörtliche „Fuß in der Türe“ zum
Datennetz der Universität. Durch Abhören von Authentisierungsinformationen
(z.B. Mailbox-Passwörter) kann
der Angreifer weitere Systeme infiltrieren bzw. unter
falscher Identität beliebig agieren.
Gut getarnt ist halb gewonnen
Wie unter Unix/Linux 3) gibt es auch unter Windows zwei
grundsätzlich verschiedene Arten von Rootkits. Die Usermode-Rootkits
sind klassische Trojaner und können daher
im Allgemeinen mit einem geeigneten aktuellen Viren-
1) Alle Personenbezeichnungen in diesem Artikel sind geschlechtsneutral
zu verstehen.
2) Das Jahr 2006 wurde von Sicherheitsexperten zum „Year of the
Rootkit“ gekürt.
3) siehe Artikel Ihr Linux-Rechner wurde assimiliert – ist Widerstand
zwecklos? Rootkits unter Linux in Comment 06/1, Seite 19 bzw.
unter www.univie.ac.at/comment/06-1/061_19.html
4) siehe Artikel Sonys digitaler Hausfriedensbruch in Comment 06/1,
Seite 24 bzw. unter www.univie.ac.at/comment/06-1/
061_24.html

scanner gefunden werden. Sie laufen im Usermode, d.h. mit
den Rech ten des Anwenders. Ihr Wirkprinzip ist die Unterdrückung
relevanter Information bei der Ausgabe: Jedes
Programm, das den Hacker verraten könnte, wird so umgeschrieben,
dass die elektronischen Spuren des Angreifers
verwischt werden und seine Anwesenheit im System verborgen
bleibt. Usermode-Rootkits sind unter Windows (im
Gegensatz zu Linux) selten, weil sie für die Hackergemeinschaft
mit großem Aufwand verbunden sind: Aufgrund der
proprietären und noch dazu komplexen grafischen Oberfläche
von Windows müssen dafür sehr viele Anwendungen
umprogrammiert werden.
Umso größerer Beliebtheit bei Hackern erfreuen sich die
Kernelmode-Rootkits. Kernelmode-Rootkits sind äußerst
effizient und daher der ultimative Schrecken jedes PC-Verantwortlichen
oder Anwenders. Sie fälschen Informationen
bereits vor der Ausgabe, auf der Ebene des Systemkerns.
Das Ergebnis: Dateien verschwinden, Anwendungen des
Hackers werden im laufenden System versteckt, offene Netzwerkzugänge
dem eigentlichen Administrator vorenthalten,
Systemregistraturdaten falsch angegeben, Einträge in der Ereignisanzeige
von Windows unterdrückt oder gefälscht und
vieles andere mehr. Jede Anwendung, die ein Nutzer oder
Administrator aufruft, wird daran gehindert, korrekte Daten
wiederzugeben. Daher ist der Schädling auf regulärem Weg
kaum zu finden. Selbstredend können Kernelmode-Rootkits
auch die Ausführung eines Virenscanners behindern oder
gar unterdrücken, während sich der genasführte Administrator
sicher wähnt; dasselbe gilt für den Zugriff auf Ak tualisierungsdaten
des Scanners im Internet. Windows-Fire walls
werden ausgehebelt, Webseiten und Internet adres sen werden
umgelenkt, Kommunikation wird abgehört oder kontrolliert.
Das Bedrohungspotenzial ist schier unerschöpflich.
Unter Windows werden Kernelmode-Rootkits häufig als Gerätetreiber
oder als DLL (Dynamic Link Library) mit allen
Rechten des Administrators – als Teil des Betriebssystems –
installiert. Die alternative Methode ist, mit Hilfe eines einmalig
aufzurufenden Programms die Systemschnittstellen
im Speicher des PCs zu ändern, sodass jeder Systemaufruf
einer Anwendung zuerst an dem im Speicher residierenden
Root kit vorbei muss. Einmal installiert, werden Rootkits
beim Systemstart automatisch wieder geladen. Dank ihrer
Versteck-Technik sind ihre Spuren nach dem Laden sofort
verschwunden – wenn sich der Administrator anmeldet, hat
der PC längst voll durchgestartet und der Spuk läuft. Wie
schwierig das Entfernen eines solchen Rootkits sein kann,
hat der Sicherheitsexperte Marc Russinovich am Beispiel
von Sonys XCP-Rootkit 4) in seinem Weblog dokumentiert
(www.sysinternals.com/blog/blogindex.html).
Das erste Kernelmode-Rootkit für Windows wurde 1999
von Greg Hoglund, einem Systemsicherheitsarchitekten,
entwickelt (bis zu diesem Zeitpunkt waren alle trojanischen
Aktivitäten Teil des Usermodes). Sein NT Rootkit ist in der
Anwendung sehr einfach: Im Prinzip lässt es alle Informationen
– Dateien, laufende Programme (Prozesse), Registratur
einträge – vor den Augen des Anwenders verschwinden,
PCs & Workstations 13
die als Kennung den Text _root_ vorangestellt haben. Es
ist auch in der Lage, eine zweite Internetadresse für den PC
zu vergeben, über die der Hacker unbehelligt in das System
einsteigen kann. Alle Aktivitäten, die der Hacker über diese
Internetadresse abwickelt, werden vom Rootkit getarnt. Das
Rootkit versteckt sich zudem selbst: Nach der Installation ist
es unsichtbar.
Wie gelangt nun der Hacker an die getarnten Daten? Ganz
einfach: Wird ein verborgenes Programm mitsamt seiner
Kennung aufgerufen, so ist die Tarnung dafür aufgehoben.
Die Idee dahinter ist, dass nur der Hacker weiß, welche Programme
vor den Augen des PC-Besitzers versteckt sind,
und daher nur er selbst diese Programme ausführen kann.
Kopiert er z.B. den Windows-Explorer und speichert die
Kopie unter einem neuen Namen (mit Kennung), so wird
beim anschließenden Aufruf dieser Kopie die Dateiansicht
plötzlich wieder vollständig angezeigt. Ähnlich funktioniert
das mit dem Task-Manager, dem Registratur-Editor etc. Ist
ein Hacker nicht imstande, eine individuelle Kennung in
das Rootkit zu programmieren, kann er vom Administra tor
auf diesem Weg enttarnt werden.
Das NT Rootkit ist heute mehr Konzept als taugliches Rootkit,
dennoch wird es gerne als Anschauungsbeispiel für die
Infektionsmöglichkeiten eines Windows-Betriebssystemkerns
präsentiert. Die Janusköpfigkeit solcher Sicherheitsbemühungen
zeigte sich schon bald: Die Ideen Hoglunds
wurden natürlich von der Hackergemeinde aufgegriffen
und verfeinert, sodass mittlerweile eine Vielzahl weit moderner
und wesentlich flexiblerer Kernelmode-Rootkits existiert.
Vier davon – HE4Hook, Vanquish, FU/FUTo und das
AFX-Rootkit – werden im Folgenden näher vorgestellt.
Schurken im Schatten –
und wie man sie aufspürt
Wie kann etwas Unsichtbares gefunden werden? Zum
Glück gilt auch hier: Tand, Tand ist das Rootkit aus des
Hackers Hand. Jedes Rootkit ist nur so gut wie sein Programmierer,
sodass kleinere Fehler dann doch oft zur Enttarnung
führen. Solche Fehler sind sowohl bei der Methode
der Infek tion des Systemkerns als auch bei deren Umsetzung
möglich. Daher ist es grundsätzlich wichtig, den
Gegner zu kennen, d.h. über die Funktionsweise von Rootkits
Bescheid zu wissen.
HE4Hook
Das HE4Hook-Rootkit wird auch als „russisches Rootkit“
bezeichnet. Es ist kein vollständiges Rootkit, d.h. es kann
keine Registratureinträge und offenen Ports verschwin den
lassen, versteckt aber Dateien und Programme (Prozesse).
Auf Anfrage verhindert es auch das Löschen von Dateien
oder das Stoppen von Prozessen, für den Fall, dass jemand
zufällig ein getarntes Objekt ergattert. HE4Hook ist ein älteres
Rootkit und läuft auf modernen Win dows-Versionen
Comment 06/3

14 PCs & Workstations
Comment 06/3
nicht. Beispielsweise erzeugt es unter
Windows XP einen formi dablen
Absturz, wenn es geladen wird, hinterlässt
da bei aber Spuren in der Ereignisanzeige
(siehe Abb. 1). Unter
Windows XP ServiceRelease 2 hingegen
stürzt das Betriebs system
kom plett ab. Falls also auf Ihrem
PC unerklärliche Systemab stürze
oder ähnliche Fehlermel dun gen
wie in Abb. 1 auftreten, könnte es
sein, dass er von einem Hacker geentert
wurde, der beim Installieren
des Rootkits nicht erfolgreich war.
Vanquish
Im Vergleich zu HE4Hook sind die
Möglichkeiten des Vanquish-Rootkit
relativ schlicht gehalten, dafür
funktioniert es aber auch auf neueren
Win dows-Versionen – also auf
Windows 2000, 2003 und XP. Wie das NT Rootkit verbirgt
Vanquish alles, was als Kennung seinen Namen enthält (es
kann aller dings noch keine Nutzer, Prozesse oder offenen
Ports verstecken). Ein mit Vanquish kompromittiertes System
lässt sich nicht mit vernünftigem Aufwand säubern:
Das Rootkit installiert sich nicht nur über die DLLs und setzt
sich vor die Programm schnittstellen (APIs) von Windows,
sondern infiziert auch Prozesse und nistet sich in der Registra
tur ein. Nur Prozesse und Dateien, welche die Kennung
aufweisen, werden von Vanquish verschont. Damit ist es im
laufenden System faktisch nicht mehr sichtbar bzw. entfernbar.
Zu sätzlich protokolliert das Rootkit automatisch jedes
eingegebene Passwort in der Datei C:\vanquish.log.
Da die Kennung vanquish wie bei Hoglunds erstem
Rootkit fix vorgegeben ist, kann das Vorhandensein von
Vanquish auf diesem Weg aufgedeckt werden: Man erstellt
einfach eine Datei mit dieser Kennung im Namen; verschwindet
sie, dann ist Vanquish installiert. Leider ist diese
Methode nicht immer erfolgreich – versierte Hacker bauen
eine andere Kennung in das Rootkit ein. Für einen stichhaltigeren
Test muss man wissen, dass Vanquish lediglich
Windows-APIs täuschen kann, also nur reine Windows-
Anwendungen von ihm betroffen sind. Glücklicherweise
gibt es aber unter Windows immer noch das gute alte DOS,
das keine Windows-APIs verwendet und daher von Vanquish
nicht betrogen werden kann. Wenn Sie also die Windows-
Eingabeaufforderung (die „DOS-Box“, unter Start –
Ausführen zu finden) mittels command – keinesfalls mit
cmd 5) – aufrufen, so läuft DOS in einer Windows-Emulation.
Mittels dir C:\vanquish.log unter command kann ein
Standard-Vanquish gefunden werden. Hat der Hacker die
Kennung geändert, dann muss die Ergebnisliste des Befehls
dir /s unter cmd mit derjenigen des gleichen Befehls
unter command verglichen werden. Zeigt cmd weniger Dateien
als command, so ist mit großer Wahrscheinlichkeit ein
Vanquish-Rootkit aktiv.
Abb. 1: Ereignisanzeige unter Windows XP nach
Systemabsturz durch HE4Hook-Rootkit
FU/FUTo
Das FU-(bzw. das neuere FUTo)-
Rootkit 6) ist Hackern beim Verstecken
von Prozessen behilflich.
Der Windows-Systemkern hält an
einer bestimmten Stelle im Hauptspeicher
eine spezielle Liste von aktiven
Programmen (Prozessen) für
die Abfrage bereit, die durch den
Windows Task-Manager angezeigt
werden kann. In dieser Liste sind
alle ausführbaren Programme eingetragen
und durchnummeriert.
Diese Nummerierung nennt man
Prozess-Identifikation (PID). Da
sich diese Liste in kurzer Zeit sehr
oft ändern kann, wird jedes Programm
zusätzlich mit einem Eintrag
versehen, der auf das vorige bzw.
das nächste Programm in der Liste
verweist. Diese Prozess-Liste wird
daher „Kette“ genannt. Fordert ein Hacker beim FU-Rootkit
das Verstecken eines Programms an, werden die Verkettungs
einträge des vorigen und nachfolgenden Eintrags so
geändert, dass sie das zu tarnende Programm umgehen und
somit unsichtbar machen. Da die PID aber noch existiert,
kann das getarnte Programm trotzdem ausgeführt werden.
Abb. 2 zeigt solche Prozesslisten in der Ansicht des Task-
Managers von Windows 2000 sowie in der Ansicht des FU-
Rootkit. Noch ist alles in Ordnung. Der Hacker, der sich in
diesem Fall bereits Administrator-Rechte angeeignet hat,
bringt jetzt sukzessive alle Prozesse zum Verschwinden
(siehe Abb. 3).
Natürlich ist es nicht sinnvoll, wenn der Hacker alle Prozesse
verschwinden lässt. Diese Demonstration zeigt jedoch, dass
mit Ausnahme des Leerlaufprozesses (das ist jenes Programm,
das ausgeführt wird, wenn das System nichts zu tun
hat) keine Einschränkungen für das Versteckspiel mit FU
bzw. FUTo bestehen. Eine Spezialität von FU ist, dass Pri vilegien
von beliebigen Prozessen im laufenden Betrieb geändert
werden können. Beispielsweise ist es möglich, einem
Programm, das von einem Hauptbenutzer gestartet wurde,
nachträglich Administrator-Rechte zu geben. Darüber hinaus
kann FU den Anmeldevorgang eines Nutzers „impersonalisieren“:
Windows weiß dann nicht, welcher Nutzer
5) Der Unterschied zwischen dem DOS-Befehlsinterpreter command
und seinem Windows-Äquivalent cmd ist, dass cmd sehr wohl
Windows-APIs verwendet. Das äußert sich insbesondere bei langen
Dateinamen: Während diese unter cmd vollständig dargestellt
werden, werden sie unter command nach dem sechsten Zeichen
abgeschnitten und mit einer Tilde (~) sowie einer Ziffer ergänzt.
6) FU steht für fool the superuser („täusche den Administrator“) und
ist eine Anspielung auf den Unix-Befehl su (substitute user), mit
dem im laufenden System ein Benutzerwechsel durchgeführt werden
kann.

wirklich angemeldet wurde. Installiert wird FU über den
Treiber msdirectx.sys, der aufgrund der Namensge bung
leicht mit Microsofts Multimedia-Software DirectX ver wechselt
werden kann.
Wie verrät sich nun dieses Rookit? Das ältere FU-Rootkit
produziert unter neueren Windows-Versionen (2003, XP)
durchaus sporadische Systemabstürze. FUTo geht es mit
Windows 2000 und XP ähnlich. Da Windows nicht nur für
Prozesse, sondern auch für Anwendun gen eine eigene
Namensliste im System kern hält, können Programme,
die explizit den Anwendungs namen
setzen (z.B. die schon erwähnte DOS-Box),
durch FU/FUTo in der Anwen dungsliste des
Task-Managers nicht zum Verschwinden gebracht
werden. Die Folge ist, dass Prozessliste
und Anwen dungsliste des Task-Managers
nicht übereinstimmen – d.h. eine Anwendung
läuft, es ist aber kein zugehöriger Prozess zu
finden.
AFX
Das AFX-Rookit ist der Mercedes unter den
hier genannten Windows-Rootkits: Es läuft
unter Windows NT, 2000, 2003 und XP. AFX
kann Prozesse, Dateien, Verzeichnisse, Systemmodule,
Windows-Registratureinträge, offene
Ports sowie Sys tem-Ikonen (systray icons) verstecken.
Eine Besonderheit von AFX ist, dass es auch
Datei-Deskriptoren (file handles) verbergen
kann. Ein Datei-Deskriptor ist eine Datenstruktur
im Speicher des Sys tems, die zum Zeitpunkt
des Lesens oder Schrei bens einer Datei für
diese zentral angelegt wird und mittels der die
Verwaltung aller Dateien durchgeführt wird,
die soeben geöffnet sind. Werkzeuge wie
Filemon (siehe www.sysinternals.com),
die anhand solcher Datei-Deskriptoren offene
Dateien an zeigen und somit z.B. eine offene
Datei c:\vanquish.log aufdecken können,
sind gegen das AFX-Rootkit chancenlos.
Die Bedienung dieses Rootkits ist verblüffend
einfach: Es versteckt jenes Verzeichnis, aus
dem heraus es installiert wird. Der Ver zeichnisname
(genauer: die unterste Ebene des
Pfades zum Installationsverzeichnis) wird dabei
gleichzeitig zum Schlüssel für die Sichtbarkeit
– wie vanquish bei Vanquish oder
_root_ bei Hoglunds NT Rootkit.
AFX hat – wie viele andere Windows-Rootkits
– derzeit noch das Problem, dass es (z.B. unter
Windows 2003 oder Windows XP) nicht mit
mehreren gleichzeitig angemeldeten Nutzern
umgehen kann. Ein möglicher Administrator-
PCs & Workstations 15
Trick ist daher, sich zunächst als unprivilegierter Hauptbenutzer
anzumelden und dann erst auf den Admi nistrator-
Nutzer zu wechseln, wodurch das Rootkit zumindest teilweise
sichtbar wird.
Das Wettrennen
Wie Linux-Rootkits sind auch Windows-Rootkits sehr abhängig
von ihrer exakten Implementierung. Ändern sich im
Abb. 2: Prozessliste im Task-Manager (links) und in der Ansicht des FU-Rootkits (rechts)
Abb. 3: Das FU-Rootkit kann bis auf den Leerlaufprozess alle Prozesse zum Ver schwinden
bringen.
Comment 06/3

16 PCs & Workstations
Comment 06/3
Windows-Kern oder in den Programmschnittstellen wesentliche
Teile durch ein Service-Release (wie z.B. das Ser vice-
Pack 2 von Windows XP), dann ist mit hoher Wahrscheinlichkeit
das abgestimmte Zusammenspiel zwischen Rootkit
und Systemkern nicht mehr möglich. Die Folge davon sind
Abstürze von Programmen oder des gesamten Betriebssystems,
die vor allem zu zwei Zeitpunkten auftreten: Wenn
der wahre Administrator des Systems ein Upgrade auf ein
neues Service-Release durchführt (also ein ServicePack einspielt)
oder wenn der Hacker sein Rootkit in eine unpassende
Windows-Version einspielt. Daher sind System- oder
Programmabstürze – insbesondere des Windows-Explorers
– vom Sicherheitsstandpunkt generell bedenklich und sollten
analysiert werden.
Zwischen Betriebssystem-Herstellern und Hackern hat sich
diesbezüglich ein richtiggehendes Wettrennen eingestellt:
Die Systemhersteller schließen Lücken und machen den
Hackern durch Änderungen an den Programmschnittstellen
(APIs) das Leben schwer; die Hacker passen sich an und
ent wickeln ausgefeiltere Rootkits. Je nach aktuellem Software-Stand
haben abwechselnd die „Guten“ oder die
„Bösen“ die Nase vorne.
Explizite Rootkit-Scanner, wie sie unter Linux gebräuchlich
sind, gibt es unter Windows nicht. Eine interessante Entwicklung
zur Enttarnung von Rootkits sind jedoch die so genannten
Baseline -Werkzeuge wie z.B. Patchfinder 2 oder
das neuere Windows Memory Forensic Toolkit (zu finden
unter www.rootkit.com). Jede Aktion eines Nutzers bewirkt
eine Vielzahl von Systemaufrufen – wird beispielsweise
der Windows-Explorer gestartet, so müssen Dateien gelesen
und geschrieben, Registratureinträge gelesen bzw. geändert
und Netzwerkschnittstellen verwendet werden. Ein
Baseline-Werkzeug analysiert diese Systemaufrufe und
Abb. 4: HE4Hook wird trotz bekannter Signatur vom Virenscanner nicht gefunden.
merkt sich die Muster. Wird danach ein Rootkit (oder auch
ein Virenscanner!) installiert, schlägt das Baseline-Werkzeug
Alarm, da sich die Aufruf-Muster geändert haben. Selbstverständlich
haben auch Baseline-Werkzeuge ihre Nachteile:
Wie die Virenscanner brauchen sie viele Ressourcen vom
System und sind hochgradig abhängig von der eingesetzten
Windows-Version.
Machtlose Virenscanner
Das Aufspüren aktiver Kernelmode-Rootkits gestaltet sich
schwierig. Ist ein Rootkit erst einmal erfolgreich installiert
und auf Dateisystem-Ebene zum Verschwinden gebracht
worden, entzieht es sich erfolgreich der Suche. In Abb. 4
ist ein ergebnisloser Scan des McAfee Virenscanners nach
einem laufenden HE4Hook-Rootkit zu sehen – obwohl er
die Signatur von HE4Hook kennt, was nicht selbstverständlich
ist: Beispielsweise ignorierten manche Scanner das FU-
Rootkit mehr als zwei Jahre nach dessen Erscheinen noch
immer.
Es gibt also keine zuverlässige Möglichkeit, bereits im
System laufende Kernelmode-Rootkits mittels Virenscanner
zu finden. Windows lässt sich jedoch durch rechtzeitiges
Drücken der F8-Taste beim Start im „abgesicherten Modus“
laden. Viele Rootkits werden dann nicht gestartet, sodass
ein anschließendes Aufspüren möglich wird.
Die beste Möglichkeit, Rootkits zu finden, besteht darin, die
Festplatte in einen anderen Windows-PC zu transferieren
und sie dann mittels Virenscanner zu untersuchen. Dieser
PC sollte jedoch sehr sicher betrieben werden, da eventuelle
dort installierte Rootkits das Ergebnis natürlich verfälschen
würden. Am besten geeignet ist hier ein neu instal-
7) siehe Artikel Sicherheit von Anfang an in
Comment 04/1, Seite 20 bzw. unter www.
univie.ac.at/comment/04-1/041_20.
html
8) siehe Artikel Department of Desktop Security:
Red Alert bei Windows-Betriebssystemen in
Comment 04/1, Seite 18 bzw. unter www.
univie.ac.at/comment/04-1/041_18.
html
9) siehe Artikel McAfee VirusScan – Ihr Goalkeeper
im Einsatz gegen virale Offensiven in Comment
04/1, Seite 21 bzw. unter www.univie.
ac.at/comment/04-1/041_21.html
10) siehe Artikel Phishing: Bitte nicht anbeißen! in
Comment 06/2, Seite 37 bzw. unter www.
univie.ac.at/comment/06-2/062_37.
html
11) siehe Artikel Kammerjäger im Netz in Comment
06/1, Seite 31 bzw. unter www.univie.
ac.at/comment/06-1/061_31.html
12) siehe Artikel Goldene Regeln für ein intaktes
(Windows-)Be triebs system in Comment 04/1,
Seite 16 bzw. unter www.univie.ac.at/
comment/04-1/041_16.html

lierter Win dows-PC, der von Beginn an sicher betrieben
wurde. 7)
Ein Säubern mittels Virenscanner, wie es bei sonstigem digitalen
Ungeziefer üblich ist, reicht bei Rootkits jedoch
nicht. Die einzig sinnvolle Methode zur „Rettung“ eines derart
aufgehackten PCs ist, ihn komplett neu aufzusetzen –
d.h. man muss seine Daten sichern, die Festplatte formatieren
und anschließend sowohl das Be triebssystem als
auch die benötigten Anwen dungsprogramme neu installieren,
wobei das direkte Überspielen von Programmen zu
vermeiden ist.
Was bleibt zu tun?
Es zeigt sich, dass die Suche nach bereits installierten
Rootkits sehr mühsam und zeit intensiv, zugleich aber auch
qualitativ un sicher ist. Wieder einmal ist Vorsorge der beste
Schutz und ein Minimieren der An griffsfläche die beste
Waffe gegen Hacker:
• Halten Sie unbedingt Ihr System durch Security-Updates
8) und regelmäßige Updates des Virenscanners 9)
am aktuellen Stand der Technik.
• Schränken Sie den Zugriff auf Ihren Rechner ein. Verwenden
Sie die Windows-Firewall, wo immer es möglich
ist, und erlauben Sie dabei nur das, was Sie wirklich
brauchen.
• Schalten Sie Windows-Dienste ab, die Sie nicht benötigen.
Leider ist dies nicht leicht zu beurteilen und sollte
daher nur von versierten Benutzern durchgeführt werden;
mit der Verwendung der Windows-Firewall ist jedoch
bereits viel gewonnen.
• Meiden Sie generell dubiose Webseiten und verwenden
Sie Ihren Browser nicht, wenn Sie als Administrator
Ihres PCs angemeldet sind.
• Schalten Sie das automatische Ausführen von programmierten
Webinhalten wie JavaScript und ActiveX nach
Möglichkeit aus – stellen Sie den Browser vielmehr so
ein, dass Sie zuvor gefragt werden, ob Sie das jeweilige
Programm ausführen wollen. Das ist zwar lästig, aber im
Zweifelsfall bewahrt es vor unreflektiert ausgeführten
Programmen aus dem Internet.
• Seien Sie im Umgang mit dem Internet misstrauisch:
Schon so mancher Rechner wurde durch eine Phishing-
Attacke erfolgreich geentert. 10) eMail-Nachrichten von
(vor geblich) Banken, der Polizei oder anderen scheinbar
seriösen Institutionen, in denen Sie aufgefordert
werden, umgehend einem Link zu folgen oder ein
Attach ment zu öffnen (paradoxerweise werden hierfür
oft Sicherheitsgründe angeführt), zielen in aller Regel
nur darauf ab, Sie zu einer unüberlegten Handlung zu
verführen – z.B. zur Preisgabe Ihres Mailbox-Passworts
PCs & Workstations 17
Neue Standard software
Neue Produkte (Stand: 2. Oktober 2006)
• Corel WordPerfect Office X3 für Win.
• Endnote X für Win. & Mac
• MS-Visual Studio 2005 Prof. für Win., deutsch
(englisch ist seit längerem verfügbar)
• MS-Windows 2003 Server Standard R2
• ScanSoft PaperPort Prof. 11.0 für Win.
• SigmaPlot 10.0 für Win.
• SPSS 13.0 für Mac
Updates (Stand: 2. Oktober 2006)
• RSI IDL 6.3 für Win., Mac & Unix (bisher 6.2)
Alle Informationen zur Standardsoftware sind unter
www.univie.ac.at/ZID/standardsoftware/ zu
fin den. Eine Liste der Softwareprodukte, die im Rahmen
der Fakultätsunterstützung (Ferninstallation und Software
wartung von PCs) angeboten werden, finden Sie
unter www.univie.ac.at/ZID/fu-windows/.
Peter Wienerroither
oder der Anmeldeinformation für Ihren lokalen PC.
Beliebt sind auch Word-Dokumente, bei deren Öffnen
ein Makro aktiviert wird, das wiederum einen Trojaner
auf Ihrem PC installiert. Lassen Sie sich nicht reinlegen
– solche Mails können Sie getrost löschen!
Notebooks sind durch ihren häufigen Standortwechsel besonders
gefährdet: Moderne Computer-Würmer melden ihr
erfolgreiches Eindringen in ein System an zentraler Stelle
und führen anschließend Befehle von dort aus. 11) Hat sich
ein Wurm in ein Notebook eingenistet, kann er damit auch
hinter Firewalls verschleppt werden und sogar dort – in
vermeintlich geschützter Umgebung – sein Unwesen treiben.
Ein Notebook ist kein Server; daher sollten hier potentiell
riskante Dienste wie integrierte Webserver, Datei- und
Druckerfreigaben etc. unbedingt deaktiviert werden.
Einen Windows-Rechner „sauber“ zu halten bedeutet Arbeit,
manchmal sogar viel Arbeit. Der nötige Aufwand lässt
sich stark reduzieren, indem Sie Ihren Arbeitsplatzrechner
vom ZID im Rahmen des PC-Deployment managen lassen
(siehe www.univie.ac.at/ZID/fu/). Richtiges Verhalten
beim Umgang mit Netzwerkdiensten wie WWW, eMail und
dergleichen 12) lässt sich dadurch aber nicht ersetzen: Nur
permanente Wachsamkeit und ein kritisches Überdenken
der eigenen Sicherheitsstrategie kann einigermaßen verlässlich
Ruhe verschaffen.
Weitere Informationen, Windows-Rootkits und Rootkit-
Analysewerkzeuge finden Sie unter www.rootkit.com.
Aron Vrtala ■
Comment 06/3

18 Netzwerk- & Infodienste
Comment 06/3
10 JAHRE VIENNA INTERNET EXCHANGE
Ein Service der Uni Wien für das österreichische Internet
Seit dem letzten Comment-Bericht
über den vom Zentralen Informatikdienst
der Uni Wien betriebenen
Vienna Internet eXchange (VIX,
www.vix.at) sind schon wieder
fünf Jahre vergangen. 1) Gut funktionierende
Einrichtungen werden
wie selbstverständlich genutzt und
erhalten selten ein ex plizites Presse-
Echo; es ist also durchaus erfreulich,
dass seither weder hier noch
an anderer Stelle über den VIX berichtet werden musste.
10 Jahre sind allerdings ein würdiger Anlass, wieder einmal
Bilanz zu ziehen. Unsere Entscheidung vor etwa sechs Jahren,
interessierten Internet Service Providern neben dem
Neuen Institutsgebäude (1010 Wien, Universitätsstraße 7)
noch einen zweiten Standort für Anschlüsse an den VIX anzubieten
und zu diesem Zweck einen Partner-Vertrag mit
der Firma Interxion in der Shuttleworthstraße in Wien-
Florids dorf abzuschließen, hat sich als goldrichtig erwiesen:
Einerseits funktioniert die Zusammenarbeit mit den Interxion-MitarbeiterInnen
seit Beginn der Partnerschaft ausgezeichnet;
andererseits hat die von Interxion strikt eingehaltene
Carrier&Provider-Neutralität und -Unabhängigkeit
wesentlich dazu beigetragen, dass diese Firma sämtliche
Turbulenzen nach dem „Internet-Hype“ bestens überstanden
hat und heute mit einem in Wien nahezu konkurrenzlosen
Internet-Datacenter weiterhin als einziger sinnvoller
Standort-Partner für den Betrieb eines neutralen Internet
Exchange Point (IXP) in Frage kommt.
Neue „Terabit-Switches“
zum Geburtstag
Es stand daher für uns außer Frage, auch bei der jüngsten
gerätetechnischen Neuausstattung des VIX für beide Standorte
– VIX1 im NIG und VIX2 bei Interxion – identisch leistungsfähige
Ethernet-Switches zu beschaffen. Nachdem
die Anfang 2001 in Betrieb gegangenen Switches (Extreme
Networks, Black Diamond 6808) trotz eines zwischenzeitlichen
Upgrades im Jahr 2004 am Ende ihrer Leistungs fähigkeit
angelangt waren, war die Zeit reif für eine neue Hardware-Generation
– nicht zuletzt auch deshalb, um den VIX-
KundInnen 10-Gigabit-Anschlussports anbieten zu können.
Die entsprechende Ausschreibung (Ende 2005) hat Siemens
Austria mit Foundry Networks BigIron RX-16 Switches gewonnen.
Diese Switches haben eine Datendurchsatz-Kapazität
von bis zu 1,6 Terabit pro Sekunde (800 Gbit/s Full
Duplex) und sind auf die bevorstehende 40 GigabitEthernet-
bzw. 100 GigabitEthernet-Technologie
vorbereitet. Wir sind also sehr
zuversichtlich, mit diesen Geräten
wieder eine gute Wahl für etwa die
nächsten fünf Jahre getroffen zu
haben.
Die Umstellung gelang reibungslos
in zwei Nächten Ende März 2006,
dank perfekter Zu sammenarbeit
unserer eigenen TechnikerInnen
mit jenen von Sie mens und Interxion. Die Umstellung je
Standort dauerte jeweils weniger als zwei Stunden; ein
Komplettausfall des gesamten VIX konnte vermieden werden.
Die Betriebsstabilität des Vienna Internet eXchange ist
eines unserer Aushäng eschilder, und es erfüllt uns durchaus
mit Stolz, dass der VIX als ein „universitär“ betriebener
Internet Exchange Point zu den stabilsten Infrastruktur-
Einrich tun gen im Inter net gehört.
Das Volumen des gesamten Peering-Verkehrs am VIX liegt
derzeit in einer Größenordnung von 1 Gigabyte pro Sekunde,
also knapp 100 Terabyte pro Tag. Wir beobachten
am VIX in den letzten Jahren etwa eine Verdoppelung des
Volumens pro Jahr, was im Vergleich zu den größten Internet
Exchange Points in Europa (etwa AMS-IX in Amsterdam,
DE-CIX in Frankfurt oder LINX in London) zwar ein geringeres
Wachstum darstellt, aber für einen IXP mit eher
regio nalem Fokus durchaus beachtlich ist.
Noch ein Geburtstag:
5 Jahre Euro-IX
VIX war und ist als Gründungsmitglied maßgeblich am
Aufbau und der Weiterentwicklung der European Internet
Ex change Association (Euro-IX, www.euro-ix.net) beteiligt,
die seit Anfang 2001 insbesondere der Kommunikation
und dem Erfahrungsaustausch von primär europäischen
IXP-Betreibern und damit der Verbesserung der
euro päischen Internet-Infrastruktur dient. Das Interesse von
IXP-Betreibern aus Japan und den USA war allerdings bald
so groß, dass Euro-IX seit Anfang 2005 auch Betreibern von
außerhalb Europas eine assoziierte Mitgliedschaft anbietet –
kürzlich ist sogar der National Internet eXchange of India
(www.nixi.in) beigetreten.
Christian Panigl ■
1) siehe Comment 01/1, Seite 30 bzw. unter www.univie.ac.at/
comment/01-1/011_30.html (dort fi nden Sie auch einige
gene relle Hintergrundinformationen zu Internet Exchange Points
sowie zum VIX)

Netzwerk- & Infodienste 19
GÉANT2 – EIN GLASFASER-BACKBONE
Das seit einigen Jahren unter dem Namen GÉANT (www.
geant.net) bekannte und von DANTE (www.dante.net)
betriebene europäische Backbone-Netzwerk für Wissenschaft
und Bildung hat in den letzten Monaten einen Generations
wechsel vollzogen und heißt nun GÉANT2 (www.
geant2.net). In einem aufwendigen Ausschreibungs verfahren
wurde das Netzwerk weitestgehend auf Basis gemieteter
Glasfaser strecken neu gestaltet. Den europäischen
Wis sen schafts netzen – von Irland bis Griechenland, von
Spanien bis Finn land – stehen jetzt Bandbreiten von mehr
als 10 Giga bit pro Sekunde (Gbit/s) zur Verfügung. Der direkte
Zugriff auf die Glasfaser-Infrastruktur (Dark Fibre) erlaubt
DANTE nunmehr eine rela tiv kostengünstige Erweiterung
der gemeinsam genutzten Band breiten. Ebenso ist
es jetzt möglich, dedizierte Hochgeschwin digkeitsverbindungen
für Spezialprojekte anzubieten – z.B. im Bereich
der Astronomie, Hochenergiephysik, Meteoro logie, Telemedizin
sowie anderer Grid-Projekte.
10 Gbit/s für ACOnet
Auch das vom ZID der Uni Wien in Kooperation mit anderen
Universitäten betriebene österreichische Wissenschaftsnetz
ACOnet (www.aco.net) verfügt seit Dezember 2005
über einen 10 Gbit/s-Anschluss an GÉANT2 (zuletzt war
ACOnet mit einem redundanten 622 Mbit/s-Anschluss an
Topologie von GÉANT2 (Mai 2006)
FÜR DIE WISSENSCHAFT
GÉANT angebunden). Ein zweiter 10 Gbit/s-Anschluss soll
spätestens zum Jahresende 2006 zur Verfügung stehen; dieser
dient zur Erhöhung der Ausfallsicherheit und ermöglicht
die Nutzung von dedizierten Gigabit-Verbindungen zu anderen
europäischen Wissenschaftsnetzen.
Die ebenfalls auf Basis einer gemieteten Glasfaserstrecke
von unserem slowakischen Schwesternetzwerk SANET errichtete
Verbindung zwischen Bratislava und Wien wurde
im Jänner 2006 auf 10 Gbit/s umgestellt. Eine weitere Glasfaser
strecke zwischen Brno und Wien wurde in den Sommer
monaten im Auftrag des tschechischen Wissenschaftsnetzes
CESNET errichtet und getestet und konnte mittlerweile
eben falls mit 10 Gbit/s in Betrieb genommen werden.
Diese Strecke komplettiert nunmehr ein trilaterales Glasfaser
dreieck Bratislava–Brno–Wien. Über diese bi- bzw. trilateralen
Verbindungen wird, im Gegensatz zu GÉANT2,
nicht ausschließlich Datenverkehr zwischen den angeschlossenen
Wissenschaftsnetzen ausgetauscht: Wir nutzen
diese zusätzliche Infrastruktur auch zur Verbesserung unserer
regionalen Internet Connectivity, indem wir jeweils die
Netze unserer „Schwestern“ am lokalen Internet Exchange
Point ankündigen (siehe dazu auch Artikel auf Seite 18).
Somit ist ACOnet in direkt über SANET am slowakischen SIX
(www.six.sk) sowie über CESNET am tschechischen NIX
(www.nix.cz) vertreten, ebenso wie die genannten Schwesternetzwerke
über ACOnet am Vienna Internet eXchange
(www.vix.at). Ein ähnliches Modell ist mit dem polnischen
Wissenschaftsnetz in Planung.
ACOnet hat daher im April 2006 als erster VIX-Teilnehmer
auch dort die durch neue Infrastruktur geschaffene Möglichkeit
eines 10 Gbit/s-Peering-Anschlusses realisiert und im
Sinne der Ausfallsicherheit im Mai 2006 durch einen zweiten
solchen Anschluss erweitert.
Ausblick
Diese enorme Bandbreitenerhöhung soll jedoch nicht nur
den ACOnet-Teilnehmern in Wien zur Verfügung stehen,
son dern auch in den Bundesländern zugänglich werden.
Deshalb sind wir derzeit dabei, mittels einer Ausschreibung
(zweistufiges Verhandlungsverfahren) den österreichweiten
ACOnet-Backbone zu erneuern. Unser Ziel ist es, eine ähnlich
flexible und zukunftsorientierte Infrastruktur auf Basis
von Glasfaserstrecken zu errichten, wie sie bei den meisten
nationalen Wissenschaftsnetzen und im GÉANT2 realisiert
wurde und wird. Ab Mitte 2007 sollten damit allen österreichischen
Uni versitäten und ACOnet-Teilnehmern Bandbreiten
von 10 Gbit/s und mehr zur Ver fügung stehen.
Christian Panigl ■
Comment 06/3

20 Netzwerk- & Infodienste
Comment 06/3
DATENNETZ, QUO VADIS?
Netzwerke sind aus unserem Leben kaum noch wegzudenken:
Ein PC an jedem Arbeitsplatz, ein Telefon sowieso
schon lange, Notebooks und PDAs ersetzen zunehmend
Papier und Bleistift, immer mehr wird über das Internet
abge wickelt – von Milch kaufen bis hin zu Operationen
über ganze Kontinente hinweg. Aus der „Spielwiese Internet“
ist eine Infrastruktur geworden, die zuverlässig funktionieren
muss.
Das Internet ist an Universitäten schon seit langem ein integraler
Bestandteil der Forschung und kommt seit einigen
Jahren auch in der Lehre immer stärker zum Einsatz.
Aufgrund dessen hat sich das Datennetz der Uni Wien zu
einem komplexen System entwickelt, das ständig erweitert
und ausgebaut wird, um dem wachsenden Bedarf an
Bandbreite gerecht zu werden, eine möglichst hohe Verfügbarkeit
für die BenutzerInnen sicherzustellen und neue
Einsatzgebiete abzudecken. Der folgende Artikel soll einen
kleinen Überblick über den aktuellen Status und die Möglichkeiten
des Uni-Datennetzes geben, aber auch aufzeigen,
warum gewisse Dinge (noch) nicht realisierbar sind.
Schneller, höher, weiter
Vor wenigen Jahren waren PCs mit integrierten Netzwerkanschlüssen
noch ausgesprochen unüblich. Netzwerkkarten
mussten extra gekauft und in den Rechner eingebaut werden,
wobei eine Bandbreite von 10 Megabit pro Sekunde
(Mbit/s) durchaus als leistungsfähiger Anschluss galt. Heute
sind PCs nicht mehr ohne Netzwerk erhältlich, und die eingebauten
Anschlüsse sind meist schon auf GigabitEthernet
(= 1000 Mbit/s) ausgelegt.
Als Folge dieser Entwicklung hat sich nicht nur die Zahl der
an das Uni-Datennetz angeschlossenen Rechner drastisch
erhöht (heute sind es bereits über 15 000), auch der „Bandbreiten-Hunger“
der einzelnen BenutzerInnen ist gestiegen.
Um die Netzwerkinfrastruktur diesen Anfor derungen anzupassen,
war eine Reihe von Maßnahmen notwendig: Einerseits
wurde die Netzwerkanbindung der meisten Universitäts
standorte auf Glasfaserleitungen und GigabitEthernet
umgestellt (früher waren es Kupferkabel, und die Bandbreite
betrug oft nur 1 Mbit/s), und alle größeren Standorte wurden
im Sinne der Ausfallsicherheit redundant – d.h. über
mehr als einen Weg – angebunden. Zum anderen wurde
auch inner halb der Gebäude die Infrastruktur dahingehend
ausgebaut, dass jeder Anschluss mit 100 Mbit/s versorgt
werden kann. 1)
Hier drängt sich natürlich sofort eine Frage auf: Warum nur
100 Mbit/s und nicht gleich GigabitEthernet, wenn die meisten
PCs sowieso schon dafür ausgerüstet sind? Die Antwort
auf diese Frage hat mehrere Aspekte. Zum einen zei gen die
Statistiken, dass fast alle Rechner mit diesen 100 Mbit/s das
Auslangen finden – für die meisten PCs würden so gar
10 Mbit/s reichen. Dies liegt in der Regel daran, dass der
Kommunikationspartner im Internet üblicherweise nicht
einmal annähernd über die Bandbreite eines Universitäts-
PCs verfügt. Beim Zugriff auf Netzwerkdienste innerhalb
der Uni Wien (Fileservices, Backup etc.) trifft das zwar
nicht zu; nachdem diese Server mit ihrem Gigabit-Anschluss
aber eine Vielzahl von Klienten versorgen müssen, steht
dem einzelnen Benutzer ohnehin nur ein Teil der Bandbreite
des Servers zur Verfügung.
An vielen Universitätsstandorten kommt erschwerend hinzu,
dass die Verkabelung zu einem Zeitpunkt errichtet wurde,
als GigabitEthernet noch nicht spezifiziert war. Im Gegensatz
zu FastEthernet (= 100 Mbit/s), das nur zwei Drahtpaare
eines Kabels für die Datenübertragung verwendet, benötigt
GigabitEthernet vier Paare. Daher könnte man mit Gigabit-
Ether net nur die Hälfte der vorhandenen An schlüsse nutzen,
was im Widerspruch zum wachsenden Bedarf an Anschlüssen
steht.
Während Arbeitsplatzrechner in der Regel mit 100 Mbit/s
auskommen, sieht die Lage bei Servern naturgemäß etwas
anders aus: Nicht nur vom ZID, sondern auch von anderen
Organisationseinheiten der Uni Wien werden zahlreiche
Server betrieben, die große Datenmengen verarbeiten oder
schnell übertragen müssen und eine entsprechende Netzwerkan
bindung benötigen. (Achtung: Da die geeignete
Einbindung in das Datennetz von Fall zu Fall unterschiedlich
sein kann, ist es wichtig, dass der ZID rechtzeitig – d.h.
bereits in der Planungsphase solcher Projekte – kontaktiert
wird, um Verzögerungen möglichst zu vermeiden!) Ein aktuelles
Beispiel für vermehrten Bandbreiten-Bedarf sind internationale
Kooperationen zum verteilten Rechnen in so
genannten Grids. Dabei werden Rechner mittels spezieller
Software so vernetzt, dass die im Grid vorhandenen Ressourcen
(Rechenleistung, Daten, ...) von allen TeilnehmerInnen
genutzt werden können – in Analogie zum Strom,
der aus der Dose fließt, sobald ein Gerät angesteckt wird,
wobei allerdings bei Grid Computing jeder beteiligte Computer
auch Ressourcen zur Verfügung stellt. Um Rechner
rund um die Welt in einem solchen Verbund zusammenfassen
zu können, sind schnelle Datennetze dazwischen unabdingbar.
Die verfüg baren Bandbreiten im europäischen
Backbone-Netz wurden im Rahmen des GÉANT2-Pro jekts
erst kürzlich erhöht (siehe Seite 19) und sollten nun für längere
Zeit ausreichen; allerdings gilt es jetzt, auch innerhalb
1) Nähere Informationen dazu fi nden Sie im Artikel Der ZID wirft
neue Netze aus in Comment 05/2, Seite 41 bzw. unter www.
univie.ac.at/comment/05-2/052_41b.html.
2) siehe Artikel Social Software mit dunkler Seite in Comment 06/2,
Seite 27 bzw. unter www.univie.ac.at/comment/06-2/
062_27.html

der Universität die Systeme so anzubinden, dass diese zusätzlichen
Kapazitäten ausgenutzt werden können.
Grenzenlos mobil
Das „klassische“ Datennetz der Uni Wien besteht aus Kabeln
und Verteilern; um es verwenden zu können, braucht man
einen physischen Netzwerkanschluss innerhalb der Universität.
In den letzten Jahren hat sich jedoch die Realität
des Arbeitens und Studierens massiv verändert: In vielen
Fällen spielt es inzwischen keine Rolle mehr, wo man sich
tat sächlich aufhält, solange man Zugang zu den benötigten
Informationen hat. Dieser Trend wird dadurch verstärkt,
dass ein Computer heute zwar noch nicht in jede Hosentasche,
aber zumindest schon komfortabel in jeden Rucksack
passt. Damit ist es oft nicht mehr erforderlich, den Studierenden
einen PC für ihr Studium zur Verfügung zu stellen
– den bringen sie mittlerweile oft selbst mit. Immer wichtiger
wird hingegen die Möglichkeit, mit diesem Rechner
auch ab seits der herkömmlichen Netzwerkdosen Zugang
zum Internet zu erhalten. Hier stehen heute vor allem zwei
Techno logien im Vordergrund:
• Zum einen bietet der ZID für alle Rechner mit Internetanschluss
die Möglichkeit, von überall her mittels VPN
(Virtual Private Network, siehe www.univie.ac.at/
ZID/vpn/) eine verschlüsselte Verbindung zum Uni-
Datennetz aufzubauen. Damit ist der Rechner – egal wo
er sich physisch befindet – ein (virtueller) Teil des Univer
sitätsnetzes und kann alle Services genau so nutzen,
als wäre er direkt an der Uni angebunden. Das aktuelle
Schlag wort dazu heißt Personal Network: Die im Netz
benötigten Berechtigungen werden künftig nicht mehr
einem be stimmten Rechner (d.h. einer IP-Adresse) zugeordnet
werden, sondern einer UserID.
• Um innerhalb der Universität auch Notebook-Benutzern
eine Netzwerkanbindung zur Verfü gung stellen zu können,
baut der ZID die Versorgung mit WLAN (Wire less
Local Area Network, siehe www.univie.ac.at/ZID/
wlan/ bzw. Artikel auf Seite 22 und 24) lau fend aus.
Derzeit bieten ca. 250 Accesspoints an fast allen Standorten
der Universität einen kostenlosen Inter net zugang
für Studierende und MitarbeiterInnen. Be sonderes Augen
merk beim WLAN-Ausbau liegt auf je nen Bereichen,
die von Notebook-BenutzerInnen häufig besucht werden
– z.B. Bibliotheken, Seminarräume, Auf enthalts bereiche,
aber auch zum Teil die Mensen oder die Höfe
des Universitätscampus AAKH. Aufgrund ihrer Größe
wird es zwar kaum realisierbar sein, die gesamte Universi
tät flächendeckend mit Funknetzen zu versorgen (dafür
wären tausende Accesspoints erforderlich), aber die
Netzabdeckung Schritt für Schritt zu er höhen, ist ein
Projekt, das uns noch einige Jahre begleiten wird.
Der ständige Ausbau der Netzwerk-Infrastruktur ist unumgänglich,
weil das Internet in den letzten Jahren immer stärker
Verwendung findet – insbesondere in der Lehre. Die
Netzwerk- & Infodienste 21
Universität fördert den Einsatz solcher Technologien z.B.
durch das eLearning-Strategieprojekt Neue Medien in der
Lehre, an dem auch der ZID beteiligt ist. Dar über hin aus hat
die Vernetzung der Studierenden untereinander ebenfalls
massiv zugenommen: Das Internet entwickelt sich immer
mehr zur zentralen Kommunika tions platt form, und der
Wunsch, überall entsprechende Zugangs mög lichkeiten vorzufinden,
ist daher nur die logische Folge.
In diese Richtung geht auch das europaweite Projekt eduroam,
das es den BenutzerInnen ermöglicht, mit den Zugangsdaten
des Heimat-Netzwerks nicht nur an der eigenen
Universität, sondern auch an allen anderen teil nehmenden
Organisationen einen Internetzugang zu erhalten (siehe
dazu auch Seite 22). In Österreich ist eduroam erst im Aufbau
begriffen; dennoch kann man mit einem Unet- oder
Mailbox-Account bereits in vielen Ländern Europas die
Netzwerke der dortigen Universitäten verwenden. Sogar in
Australien besteht mittlerweile an 52 Universitäten die Möglichkeit,
auf diese Art zu surfen.
Was kommt?
Das Internet hat bereits einiges an klassischer Techno logie
abgelöst: Briefe wurden zu eMails, Telegramme gibt es (zumindest
in Österreich) überhaupt nicht mehr, Faxe werden
nur noch verschickt, wenn es notwendig ist, Fotoalben legt
man nicht mehr ins Bücherregal, sondern auf seine Homepage
– und das ist erst der Anfang der Entwicklung. Besonders
gut ist diese Veränderung im Moment im Bereich der
Telefonie zu beobachten. Das herkömmliche Festnetztelefon
ist mittlerweile ziemlich aus der Mode gekommen und oft
nur deshalb noch vorhanden, weil es für den ADSL-Anschluss
benötigt wird. Telefonie via Internet (z.B. mittels
Skype) ist bereits eine ernst zu nehmenden Alternative,
auch wenn sie ihre Tücken hat. 2) Und dort, wo es mobil
sein soll, ist das Handy zu einem Teil unseres Alltags geworden:
Vor 10 Jahren war es noch eine Kuriosität, wenn
jemand ein Handy hatte; heute ist es schon fast eine Kuriosität,
wenn jemand „nur“ ein Handy – ohne allerlei Zusatzfunktionen
– hat. Auch hier ist trotz etlicher Startschwierigkeiten
der nächste Entwicklungsschritt schon abzusehen:
die Verbindung von Handy und Internet. Telefonieren und
Surfen aus (oder vielmehr in) einer Hand, mit zahlreichen
Features angereichert, soll die Richtung sein, in die es geht.
„Fernsehen am Handy“ geistert hier immer wieder durch
die Medien, und auch wenn nicht alles so kommen wird,
wie es zu lesen ist – ein Teil davon wird wohl eintreffen.
In jedem Fall wird es nicht mehr entscheidend sein, ob man
Zugang zur vernetzten Welt hat (das wird genauso selbstverständlich
sein wie der Strom aus der Steckdose), sondern
wie man Zugang erhält – ob mittels Kabel, WLAN oder
Mobilfunk. Im Bereich der Uni Wien ist der ZID bemüht,
das Netzwerk in diesem Sinn zu betreiben und allen Universitätsangehörigen
weiterhin einen schnellen, verlässlichen
und sicheren Weg in die digitale Welt zu bieten.
Ulrich Kiermayr ■
Comment 06/3

22 Netzwerk- & Infodienste
Comment 06/3
WLAN: FUNKNETZ-AUSBAU AN DER UNI WIEN
In den letzten Jahren hat der wireless Internetzugang, die
drahtlose Einwahl mit dem Computer in das Netz, zunehmend
an Bedeutung gewonnen. Sowohl in Firmen als auch
im privaten wie im Bildungsbereich wurden diese Internetzugänge
massiv ausgebaut, d.h. auf Funkverbin dungen umgerüstet,
und immer größere Bereiche wurden mit WLAN
(Wireless Local Area Network) abgedeckt bzw. traditionelle
(verkabelte) Verbindungen ersetzt. Zu den wichtigsten
Gründen hierfür zählen:
• Mobilität der BenutzerInnen: Der standortunabhängige
Inter netzugang wird immer wichtiger. Die Möglichkeit
zur Einwahl in das Inter net soll überall verfügbar
und einfach zu verwenden sein.
• Abdeckung unzugänglicher Bereiche: Mit WLAN
können nun auch jene Bereiche abgedeckt werden, die
mit einer Verkabelung nur schwer erreichbar sind (Freiflächen,
spezielle Räume wie z.B. Altbau, denkmalgeschützte
Gebäude etc.).
• Geringerer Zeit- und Kostenaufwand: Die Planung,
Verkabelung und Montage eines Accesspoints 1) nimmt
deutlich weniger Arbeitszeit und Installationskosten in
Anspruch als die vollständige Verkabelung eines Raumes,
insbesondere wenn es sich dabei um einen Raum mit
stark wechselnder Nutzung wie z.B. ein Besprechungszimmer
handelt.
Dennoch werden fixe Arbeitsplätze auch weiterhin mit
Kabel versorgt werden, da WLAN trotz aller Vorteile nicht
die Stabilität und Geschwindigkeit einer verkabelten Verbindung
bieten kann.
An der Uni Wien wurden in den letzten Jahren sowohl die
flächenmäßige Abdeckung des WLAN-Zuganges erweitert
als auch viele Verbesserungen im Bereich der Funk tionalität
geschaffen. So wurden in den letzten drei Jahren
1) Accesspoint = Zugangspunkt, der die Verbindung (Brücke) zwischen
WLAN (Wireless Local Area Network: Funknetzwerk) und
LAN (Local Area Network: verkabeltes Netzwerk) herstellt
2) siehe Artikel Datentankstelle802.1X – Ein verschlüsseltes Funknetz
für die Uni Wien in Comment 06/1, Seite 54 bzw. unter www.
univie.ac.at/comment/06-1/061_54.html sowie Artikel
Education Roaming – Freier WLAN-Zugang für Uni-Angehörige im
eduroam-Verbund in Comment 06/1, Seite 53 bzw. unter www.
univie.ac.at/comment/06-1/061_53.html
3) siehe Artikel Education Roaming – Freier WLAN-Zugang für Uni-
Angehörige im eduroam-Verbund in Comment 06/1, Seite 53 bzw.
unter www.univie.ac.at/comment/06-1/061_53.html
4) 802.1X = auf dem RADIUS-Protokoll basierender IEEE-Standard für
Benutzerauthentifi zierung und -accoun ting, der hauptsächlich im
WLAN-Bereich eingesetzt wird
• die verfügbaren Accesspoints mehr als verzehnfacht
(deren Anzahl ist von 20 Stück im Jahr 2003 auf derzeit
über 250 Stück gewachsen),
• immer mehr Universitätsgebäude mit flächendeckender
WLAN-Versorgung ausgestattet statt nur mit einzelnen
Hotspots (z.B. in einem Hörsaal) versehen und
• verschiedene Netze (Datentankstelle, Datentank stelle-
802.1X, eduroam und eduroamWeb) 2) nebeneinander
auf gebaut, die gemeinsam mehr bzw. unterschiedliche
Funktionalitäten und Sicherheit für verschiedene Benutzer
gruppen bieten.
Neuerungen beim WLAN-Service
Im Folgenden wird auf die Umbauten beim WLAN-Service
(ehemals Wireless PNS, Wireless Public Network Services) in
den letzten Monaten an der Universität Wien und die damit
entstandenen Veränderungen für BenutzerInnen näher eingegangen.
An folgenden Standorten wurden erst kürzlich WLAN-
Access points errichtet:
Vollversorgung:
• Zentrum für Translationswissenschaften
(1190 Wien, Gym nasiumstraße 50)
• Zentrum für Sportwissenschaften, USZ II
(1150 Wien, Auf der Schmelz 6a / Possingergasse)
• In Zusammenarbeit mit der Leitung der Universitätsbiblio
theken wurde darüber hinaus auch der Großteil der
Bibliotheks stand orte voll mit WLAN-Accesspoints versorgt.
Teilversorgung (Hörsäle):
• Universitätshauptgebäude
(1010 Wien, Dr.-Karl-Lueger-Ring 1)
• Zentrum für Sportwissenschaften, USZ I
(1150 Wien, Auf der Schmelz 6)
• Neues Institutsgebäude / NIG
(1010 Wien, Universitäts straße 7)
Ein neues Funknetz
Zusätzlich zum 802.1X-Netz (eduroam) 3) ist seit einigen
Wochen auch das eduroamWeb-Netz verfügbar. Dieses
bietet – wie eduroam – Internetzugang für Mitarbei terInnen
und Studierende jener Universitäten, die am internationa -
len eduroam-Projekt teilnehmen. Allerdings ist eduroam-
Web unverschlüsselt und die Authentifizierung erfolgt über
eine Webseite anstatt über 802.1X 4) . Dieses Netz kann daher
auch mit älteren Betriebssystemen (z.B. Windows 95/98)
bzw. bei Problemen mit 802.1X verwendet werden.

Benutzerfreundlicher Zugang
Aufgrund der großen Anzahl an Accesspoints wird seit etwa
drei Monaten ein WLAN Management System eingesetzt,
das Neuerrichtungen, Konfigurationsänderungen und Fehler
analysen deutlich vereinfacht und damit eine bessere
Verfügbarkeit und Stabilität der Funknetze garantieren soll.
Für die BenutzerInnen sind im Zuge dessen folgende positive
Ände rungen entstanden:
• Die neue Login-Webseite (Datentankstelle, eduroam-
Web) hat sich nicht nur im Design verbessert, sondern
ermöglicht auch eine kontinuierliche WLAN-Nutzung
über einen beliebigen Zeitraum hinweg, anstatt der bisherigen
fixen Nutzungsintervalle von 1, 2 oder 8 Stunden
(nach dieser Zeit wurden die BenutzerInnen automatisch
ausgeloggt).
• Weiters hat sich die Roaming-Funktionalität 5) verbessert.
Standort- und Accesspoint-Wechsel bei laufender
Verbindung ist jetzt an der gesamten Universität möglich,
solange die Funkwolke nicht vollständig verlassen
wird.
Stichwort Wireless Security
Parallel zu dem Ausbau bzw. zu der stärkeren Verwendung
der WLAN-Netze wird auch das Thema Wireless Security
immer wichtiger. Wie auch verkabelte Netze sind Funknetze
permanent Hacker-Attacken ausgesetzt und müssen gegen
unrechtmäßigen Zugriff und Missbrauch geschützt werden.
Hier ein kurzer Auszug von WLAN-spezifischen Attacken:
• Deauthentication Flooding: Der Angreifer sendet gefälschte
Deauthentifizierungs-Pakete 6) entweder an den
Access point oder an den Klienten und beendet damit
die Verbindung zwischen diesen beiden. Bei regelmäßiger
Wiederholung dieses Angriffs hat der Klient keine
Mög lich keit, eine funktionierende Verbindung zustande
zu bringen.
• Association Flooding: Der Angreifer schickt Asso ziierungs-Pakete
7) an den Accesspoint, um dessen Klienten-
Tabellen 8) zu füllen. Wenn die Attacke erfolgreich ist,
hat der Accesspoint viele „sinnlose“ Klienten in seiner
Tabelle und kann keine weiteren (wenn auch legitimen)
Verbindungen akzeptieren.
• AP Impersonation / Honeypot AP / MITM 9) : Der Angreifer
betreibt einen Accesspoint mit derselben MAC-
Adresse 10) und identischem WLAN-Netz wie der legitime
Accesspoint. Klienten, die zwischen diesen beiden
nicht unterscheiden können, verbinden sich eventuell
mit dem falschen Accesspoint. Der Angreifer kann somit
falsche Login-Seiten vortäuschen und/oder im schlimmsten
Fall Benutzeraccounts und -daten mitlesen.
Netzwerk- & Infodienste 23
Ausbaurichtlinien für
WLAN-Beamer
und andere WLAN-basierte Geräte, z.B. Bluetooth
WLAN-Beamer 11) verwenden dieselben Funkfre quenzen
wie WLAN-Accesspoints (802.11b/g-Standard 12) ).
Da es laut Standard nur drei nicht überlappende Funkfrequenzen
gibt und oft bereits zwei oder drei Accesspoints
in einem Bereich funken, kann der zusätzliche
Einsatz von WLAN-Beamern zu störenden Interferenzen
führen. Sowohl die Funknetze der Universität Wien als
auch die Übertragung zum Beamer können dadurch
an Geschwindigkeit verlieren bzw. die Verbindung
sogar abbrechen.
Aus diesem Grund bittet der ZID alle Institute, die
über die Anschaffung von WLAN-Beamern nachdenken,
um Kontaktaufnahme mit dem ZID unter netzwerk.zid@univie.ac.at,
um Probleme dieser Art
schon vor der Errichtung zu besprechen und sofern
möglich zu vermeiden.
Hier sind nicht nur Internet-Banking oder ähnlich sensible
Anwendungen gefährdet – auch Mailverkehr, Online-Einkäufe
oder einfach das Surfverhalten eines Benutzers könnten
für einen Angreifer interessant sein.
Wenn auch solche Attacken nicht einfach durchzuführen
bzw. nicht mit fertigen Tools oder Programmen ohne spezielles
Wissen möglich sind, sollte sich trotzdem jeder
Benutzer, der sich in ein Funknetz einwählt, dieses Risikos
bewusst sein. Die Uni versität Wien bietet mit der Datentankstelle802.1X
und eduroam zwei verschlüsselte, relativ
5) Roaming = Wechsel des Verbindungsanbieters (Betreiber, Funkstation,
Accesspoint, …) bei laufender Verbindung
6) Deauthentifi cation = Beendigung der Authentifi zierung
7) Assoziierung = erstmaliges Herstellen der Verbindung mit einem
Accesspoint
8) Klienten-Tabelle = lokale Tabelle mit allen momentan verbundenen
Geräten
9) MITM (Man In The Middle) = ein Angriff, bei dem versucht wird,
Teil einer Verbindung zu werden, um Daten zu lesen, zu löschen
oder zu verändern
10) MAC-Adresse (Media Access Control ) = Hardware-Adresse jeder
einzelnen Netzwerkkarte bzw. jedes einzelnen WLAN-USB-Adapters,
die zur eindeutigen Identifi kation des Geräts im Netzwerk
dient
11) Ein WLAN-Beamer ermöglicht die drahtlose Datenübertragung und
Wiedergabe von Computerinhalten zum Projektor über ein Funknetzwerk.
12) 802.11b/g = IEEE-Standard für Funknetze im 2,4 GHz-Bereich, inkl.
z.B. möglicher Frequenzkanäle
Comment 06/3

24 Netzwerk- & Infodienste
Comment 06/3
sichere Netze an. So fern möglich, sollten diese gegenüber
der Datentankstelle oder eduroamWeb bevorzugt verwendet
werden. Anleitungen zum Konfigurieren der Datentankstelle802.1X
für Windows XP und Mac OS X finden Sie
unter www.univie.ac.at/zid/anleitungen-wlan/.
Alle BenutzerInnen, die bei der Durchführung einer
Attacke identifiziert werden, sowie BenutzerInnen
mit virenverseuchten Computern bzw. Notebooks
werden vom ZID für den Zugang zum WLAN gesperrt.
Falls Ihr Account im WLAN-Netz der Universität Wien nicht
mehr funktionieren sollte, wenden Sie sich bitte an den
Helpdesk des ZID, um Funktionsstörungen bzw. Sperren
zu beheben:
NIG (1010 Wien, Universitätsstraße 7), Stg. II, 1. Stock
eMail: helpdesk.zid@univie.ac.at
Telefon: +43-1-4277-14060
Daniel Schirmer ■
„VERSTRAHLTE“ UNIVERSITÄT?
WLAN und Elektrosmog
Wenn im Alltag von „Elektrosmog“ gesprochen wird, sind
meist technisch – d.h. durch elektrische Geräte, Leitungen
und Sender – erzeugte elektrische und magnetische Felder
gemeint. International gebräuchlich ist der Ausdruck EMF,
elektromagnetische Felder.
Grundlagen
Jede Anwendung von Elektrizität, wie z.B. das Stromversorgungsnetz
oder Mobilfunk, erzeugt Felder und führt so zu
Elektrosmog. Man unterscheidet zwischen Gleich- und
Wechselfeldern. Felder lassen sich durch ihre Stärke (Amplitude)
beschreiben; bei Wechselfeldern ist zusätzlich die
Schwingung (Wellenlänge) sowie die Schwin gungszahl
(Frequenz) charakteristisch. Die Erde ist von natürlichen
elektrischen und magnetischen Feldern umgeben. Das tech-
Abb. 1: Frequenzbereiche elektromagnetischer Felder
nologische Eingreifen durch den Menschen seit dem Ende
des 19. Jahrhunderts bewirkt, dass die Erde nun auch von
künstlichen elektromagnetischen Feldern umgeben ist.
• Gleichfelder (oder statische Felder) werden beispielsweise
durch Bat terien oder elektrostatische Aufladungen
produziert. Sie haben eine im Wesentlichen zeitlich
konstante Stärke.
• Bei Wechselfeldern dagegen, wie sie z.B. im öffentlichen
Stromnetz auftreten, ändern sich Polarität und Stärke
periodisch: Sie schwingen mit einer bestimm ten Frequenz
(siehe Abb. 1). Abhängig von ihrer jeweiligen Fre quenz
haben die von Wechselfeldern ausgehen den elek tro magne
tischen Felder entsprechende Wellen län gen: Je höher
die Frequenz, desto kürzer die Wellen länge. Elektro magnetische
Felder breiten sich also als Welle frei im Raum

aus. Aus prak tischen Gründen werden Wechselfelder in
nieder- und hochfrequente ein geteilt. Während niederfrequente
Wech selfelder (bis 30 kHz) in sämtliche Stoffe
relativ tief eindringen können, können hochfrequente
Wechsel felder in Abhän gigkeit von ihrer Frequenz nur
bis zu einer gewissen Tiefe (wenige Zentimeter bis Millimeter)
in diese Stoffe – z.B. in den mensch lichen Organis
mus – eindringen.
Niederfrequente Wechselfelder (bis 30 kHz)
Bis zu einer Frequenz von 30 kHz (das sind Wellenlängen
von 10 km und mehr) spricht man von „niederfrequenten
Wechselfeldern“. Vereinfacht ausgedrückt gilt: Wo Spannung
ist, ist ein elektrisches Feld – und wo Strom ist, ist ein magne
tisches Feld. Sobald z.B. eine (ausgeschaltete) Schreibtischlampe
an eine Steckdose angesteckt wird, erzeugt die
nun anliegende, mit 50 Hz wech selnde Span nung des öffentlichen
Stromversorgungsnetzes ein elektromagnetisches
Wechselfeld. Schaltet man die Lam pe ein, bringt der im
Kabel der Lampe fließende Strom die Glüh birne zum
Leuchten, die Stärke des elektromagne ti schen Wechselfeldes
wird durch den Stromfluß erhöht.
Ty pische Verursacher von niederfrequenten elektromagnetischen
Wechselfeldern im täglichen Leben sind z.B. E-
Herd, Haar fön, Lampen, Strominstallationen in Gebäuden
oder Ober leitungen bei Eisenbahn bzw. Straßenbahn.
Hochfrequente Wechselfelder
(30 kHz bis 300 GHz)
Bei Frequenzen zwischen 30 kHz und 300 GHz spricht man
von „hochfrequenten Wechselfeldern“ bzw. nicht ionisierender
Strahlung. Dies entspricht Wellenlängen von 10 km
bis hin zu 1 mm. Hoch frequente elektromagnetische Felder
werden zum Beispiel bei Radio und Fernsehen, Mobilfunk,
WLAN, Blue tooth, Rettungs-, Betriebs- und Taxifunk oder
funkbasierten Diebstahlsicherungen genutzt.
Wechselfelder in diesem Frequenzbereich werden grundsätzlich
schwächer, je größer der Abstand zur Quelle ist.
Aufgrund ihrer relativ kurzen Wel lenlänge nimmt die Intensität
der Strah lung – infolge von Reflexionen und Interferenzen
bzw. Abschirmungen – jedoch nicht immer gleich mit
der Entfer nung ab: Einerseits kön nen im Raum Schwingungsknoten
mit wesentlich stärkeren Feld stärken beobachtet
werden, andererseits können aber auch Punkte im
Raum mit wesentlich schwächeren Feld stär ken beobachtet
werden. Hier lässt sich ohne spe zielle Com puterprogramme
bzw. Mes sungen vor Ort keine ge naue Vorhersage über
mögliche Feldstärken treffen.
Die für Handy, Bluetooth, Mikrowelle und WLAN verwendeten
Frequenzen umfassen den Bereich von ca. 1 GHz bis
3 GHz; das bedeutet Wellenlängen im Bereich von 30 cm
bis 10 cm. Die erwähnten lokalen Unterschiede in der Feldstärke
können daher auch in diesen kleinen Dimensionen
beträchtlich sein.
Netzwerk- & Infodienste 25
Weiterführende Informationen
• Informationsstelle zum Thema WLAN & Elektro
smog: Zentraler Informatikdienst der Universität
Wien (Kontakt: netzwerk.zid@univie.ac.at)
• Informationsstelle zum Thema Elektrosmog &
gesundheitliche Beeinträchtigungen: Ab tei -
lung für Arbeitnehmerinnen- und Arbeitnehmerschutz
(ANS) des Raum- und Ressourcenmanagements
(www.univie.ac.at/ANS/) bzw. Arbeitsmediziner
der Uni Wien (über ANS erreichbar)
• Broschüre Elektromagnetische Felder der
AUVA: erhältlich in der Abteilung für Arbeitnehmerin
nen- und Arbeitnehmerschutz, auch als PDF-
Datei verfügbar
• ÖNORM S 1119: Grenzwerte für niederfrequente
elektrische und magnetische Wechselfelder (www.
ove.at)
• ÖVE/ÖNORM 8850: Grenzwerte für hochfrequente
elektromagnetische Wechselfelder (www.ove.at)
• Elektrosmog auf Wikipedia: http://de.
wikipedia.org/wiki/Elektrosmog
• Informationsplattform zum Thema EMF der
For schungsstiftung Mobilkommunikation, ETH
Zürich: www.emf-info.ch (alltägliche Belastung
leicht verständlich aufbereitet – sehr empfehlenswert
für Neueinsteiger)
• Deutsches Mobilfunk-Forschungsprogramm:
www.emf-forschungsprogramm.de
• Moser, Rolf: Das Handyhandbuch, Verlag der
Grünen Bildungswerkstatt OÖ, ISBN 3-902009-25-X
(kostenloser Download unter www.ooe.gbw.at/
verlag/vorschau/das-handyhandbuch-neu/)
• Grasberger, Th. und Kotteder, F.: Mobilfunk – Freilandversuch
am Menschen, Kunstmann (2003),
ISBN 3-88897-328-7
Strahlung (über 300 GHz)
Über einer Frequenz von 300 GHz spricht man von Strahlung.
Die Wellenlängen betragen hier weniger als einen
Millimeter. In diese Kategorie fallen das sichtbare Licht und
die so genannte ionisierende Strahlung, z.B. Röntgen- und
Gammastrahlung. Ionisierende Strahlung wird heute unter
anderem für die Sterilisation von Geräten, Implantaten oder
Lebensmitteln eingesetzt, aber auch für die Strahlentherapie
in der Krebsbekämpfung.
Comment 06/3

26 Netzwerk- & Infodienste
Comment 06/3
Zur Festlegung von offiziellen Grenz- und Richtwerten
(siehe Tabelle unten) werden folgende Messverfahren
herangezogen:
Stromdichtemessung
Bei niederfrequenter Strahlung bis 30 kHz wird zur
Ermittlung von Grenzwerten die Änderung der Stromdichte
im Kör per gemessen. Niederfrequente magnetische
Wechselfelder induzieren bei geeigneter Stärke
einen elektrischen Strom fluss im Körper. Niederfrequente
elektrische Wechselfelder bewirken durch Ladungsverteilung
einen elektrischen Stromfluss im Körper. Die
Grenzwerte werden für das magnetische Wechselfeld in
Tesla (T) bzw. für das elektrische Wechselfeld in Volt
pro Meter (V/m) angegeben.
Spezifische Absorptionsrate (SAR)
Das thermische Wirkungsmodell ist die Grundlage der
gesetzlichen Grenzwerte für hochfrequente elektromagnetische
Wechselfelder (nicht ionisierende Strahlung).
Diese beziehen sich daher nur auf die thermischen Effekte,
also auf Ge webeerwärmungen durch Strahlungsabsorption.
In den Körper eindringende, nicht ionisierende Strahlung
kann ab einer bestimmten Stärke das Gewebe erwärmen
und es dadurch schädigen. Es wird davon ausgegangen,
dass dafür eine bestimmte Zeit notwendig ist.
Da her werden zur Einschätzung der biologischen Wirkungen
nicht die für Sekundenbruchteile auftretenden
Spitzenwerte herangezogen, sondern die über ein bestimmtes
Zeitintervall gemittelten Leistungsflussdichten.
Bei hochfrequenter Strahlung zwischen 30 kHz und
300 GHz wird daher die spezifische Absorptionsrate
(SAR) des ge samten Organismus bzw. des Kopfes ermittelt.
Die SAR gibt an, wie viel elektro-
magnetische Energie vom Körper in
äußeren Fel dern aufgenommen und in
Wärme umgewandelt wird. Über einer
Frequenz von 30 kHz treten die Moleküle
des Organismus mit den Wellen
der äußeren Felder in Resonanz und
beginnen zu schwin gen bzw. zu ro tieren.
Dies er zeugt einen Wärmeeffekt
im Orga nis mus, der heute als Basis für
Grenz werte der Welt ge sund heits organisa
tion (WHO), der Internationalen
Kommis sion zum Schutz vor nicht ionisierender
Strahlung (ICNIRP) und auch
der Europäischen Union herangezogen
wird.
Messverfahren für Elektrosmog
Man unterscheidet zwischen Ganzkörper-SAR und Teilkörper-SAR
(kleinerer Gewebebereich, z.B. Kopf). Die
SAR wird in Watt pro Kilogramm (W/kg) angegeben. In
Österreich gelten für elektromagnetische Felder ebenfalls
die Grenzwerte der Weltgesund heits organisation
(WHO). So wurde z.B. als SAR im Umfeld von Handymasten
0,08 W/kg für den ganzen Körper und als SAR
beim Telefonieren mit dem Handy 2 W/kg für den Kopf
als betroffenen Teilbereich des Körpers festgesetzt.
Leistungsflussdichte
(abgeleiteter Grenzwert)
Die Leistungsflussdichte beschreibt die Intensität der
Strahlung. Sie gibt an, wie viel Energie mit Hilfe elektromagneti
scher Wellen durch den Raum transportiert
wird. Als Einheit der Leistungsflussdichte wird Watt pro
Quadratmeter (W/m 2 ) verwendet; häufig wird auch
Milliwatt pro Quadratmeter (mW/m 2 ) bzw. Mikrowatt
pro Quadratmeter (µW/m 2 ) als Einheit angegeben (1 W
= 1000 mW; 1 mW = 1000 µW).
Da die Ermittlung der SAR-Basisgrenzwerte in der Praxis
sehr aufwendig ist, wurden so genannte „abgeleitete
Grenz werte“ zur einfachen Messung der elektromagnetischen
Felder entwickelt. Aus den SAR-Basisgrenzwerten
und unter Berücksichtigung eines Sicherheitsfaktors
von 50 ergeben sich folgende frequenzspezifischen
Grenz werte:
• UMTS: 10 W/m 2
• GSM 1800 MHz: 9 W/m 2
• GSM 900 MHz: 4,5 W/m 2
Diese abgeleiteten Grenzwerte stellen sicher, dass die
Basisgrenzwerte (SAR) nicht überschritten werden, d.h.
dass die Erwärmung des Kopfes beim Telefonieren mit
dem Handy 0,1° C nicht übersteigt.
Grenz- und Richtwerte mW/m 2
ICNIRP/WHO/EU-Ratsempfehlung (1800 MHz, z.B. GSM) 9000*
Deutschland (1800 MHz, z.B. GSM) 9000
Österreich-ÖNORM S 1120 (900 MHz / 1800 MHz, z.B. GSM) 6000 / 10000
Russland (Summe Hochfrequenz) 100
Wien (Gemeindebauten Summe GSM, Innen und Außen) 10*
Salzburger Vorsorgewert 1998 (Summe GSM Außen) 1*
Salzburger Vorsorgewert 2002 (Summe GSM Außen) 0,01*
Salzburger Vorsorgewert 2002 (Summe GSM Innen) 0,001*
Grenz-/Richtwerte für hochfrequente elektromagnetische Wechselfelder (Mobilfunk)
* = Richtwerte

Wirkungen auf den Körper
Prinzipiell muss zwischen thermischen und nichtthermischen
Wirkungen bzw. Effekten unterschieden werden:
• Unter thermische Effekte fallen Gewebeerwär mun gen
durch Strahlungsabsorption, wie wir sie auch von der
Infra rotstrahlung durch die Wärmeempfindung anschaulich
kennen.
• Beeinflussungen des Organismus wie z.B. Beeinflussung
des Herz-/Kreislaufsystems oder der biologischen
Strö me (Nervensystem, Gehirn) werden den nichtthermischen
Wirkungen zugerechnet.
Das thermische Wirkungsmodell bildet die Grundlage der
gesetzlichen Grenzwerte für hochfrequente elektromagnetische
Wechselfelder. Nichtthermische Wirkungen werden
nicht berücksichtigt. Zahlreiche Wissenschaftler sind jedoch
der Ansicht, dass Aus wir kungen der Strahlung auf den
Körper schon weit unterhalb der thermischen Grenzwerte
möglich sind. Sie fordern da her die Einführung von „Vorsorge
werten“, die deutlich unter den gesetzlichen Grenzwer
ten liegen (siehe Kasten Messverfahren für Elektrosmog
auf Seite 26). Die wissenschaftliche Diskussion über dieses
Thema ist auch nach Jahren noch nicht abgeschlossen. Es
gibt zwar unzählige Beobachtungen, Arbeiten und Stu dien,
die über mögliche Gesundheitsrisiken und Befindlichkeitsstörungen
berich ten, aber keine wissenschaftlich abgesicherten
Daten über eine konkrete Gesundheitsgefährdung
durch schwache hoch frequente Strahlung. Dennoch warnte
die Ärztekammer im Jahr 2005 vor einem unkontrollierten
Gebrauch von Handys durch Kinder (basierend auf der
REFLEX-Studie – Näheres dazu siehe z.B. http://www.
aekwien.at/media/REFLEX_Vortrag.pdf).
Folgende nichtthermische Wirkungen werden unter anderem
vermutet:
• Effekte auf das genetische Material (chromosomale Schäden,
Tumorentstehung);
• neurologische Symptome und EEG(Hirnstromaktivi tät)-
Veränderungen;
• Blutdruckveränderungen;
• Verhaltensstörungen, Schlafstörungen, Kopfschmerzen,
Mü digkeit, Tinnitus, Änderung der kognitiven Funktionen
1) ;
• übersteigerte Empfindlichkeit gegenüber elektromagnetischen
Feldern („Elektrosensibilität“).
1) Anmerkung: Diese Symptome, wie auch die oben genannten Blutdruckveränderungen,
werden mittlerweile bei den verschiedensten
Krank heitsbildern angeführt – z.B. bei Elektrosensibilität oder auch
bei diversen Umweltkrankheiten wie Chemikalienunver träg lichkeiten.
2) Wolf C., Barth A.: Befi ndlichkeitsstörungen ohne Befund – mo derne
Symptome, Internist 43: 833 (2002)
3) Krause et al. 2000: Effects of electromagnetic fi eld emitted by cellular
phones on the EEG during a memory task, Neuroreport 11(4), 761–
764
Elektrosensibilität
Netzwerk- & Infodienste 27
Unter Elektrosensibilität versteht man das Auftreten von
mindestens einem psychischen und/oder physischen Sym ptom
(z.B. Kopfschmerzen, Schlafstörungen, Konzentrationsschwächen,
Veränderungen von Blutdruck und Herzschlag
etc.), verursacht durch diverse elektromagnetische Felder.
Ursachen dieser Belastungen können elektromagnetische
Felder sein (ausgehend von Mobilfunk, Radio- und Fernsehsendern,
Mikrowellengeräten), aber auch niederfrequente
elek trische und magnetische Wechselfelder, wie sie im Haushalt
oder in der Nähe von Trafo-Stationen und Fernleitungen
vorkommen. Die Anzahl von elektrosensiblen Personen
wird in manchen Studien mit bis zu 6% angegeben. Für dieses
Krankheitsbild gibt es zwei Erklärungsmodelle:
• Elektrosensibilität ist tatsächlich vorhanden
Ursache der Elektrosensibilität ist demnach ein bis jetzt
noch nicht entdeckter „bioelektrischer“ Mechanismus.
Vertreter dieses Mo dells empfehlen daher eine Expositionsreduktion
(Iso lierung von Elektrokabeln, Installation
von Netzfrei schaltern, Abschirmungen u.Ä.).
• Elektrosensibilität als psychologisches Phänomen
Die Beschwerden als solche werden zwar nicht bezweifelt,
sehr wohl aber ihre Auslösung durch elektromagnetische
Felder. Ausgehend von Symptomen, für die die
Be troffenen keine einleuchtende medizinische Erklärung
und/oder Therapie erhalten, entwickelt sich stufenweise
ein Zustand, in dem bei jedem Auftreten von Beschwer
den elektromagnetische Felder gesucht und als
Aus löser identifiziert werden. 2)
Wegen des großen öffentlichen Interesses wurde im
Februar 2004 von Infrastrukturminister Hubert Gorbach der
Wis senschaftliche Beirat Funk (WBF) eingerichtet. Dieser
sollte als erstes die weltweit vorliegenden Studien zum
Thema Mobilfunk und Gesundheit kritisch durchleuchten.
Das Ergebnis: Es sind sehr wohl Effekte feststellbar, doch in
keiner Studie konnte ein schädlicher oder gar krankmachender
Effekt nachgewiesen werden (z.B. wurden EEG-
Veränderun gen während des Handy-Telefonierens zwar beobachtet,
aber als nicht schädlich eingestuft). 3)
E-Smog durch WLAN
an der Universität Wien?
Der ZID wurde im Zuge des Ausbaus der WLAN-Infrastruktur
an der Uni Wien (WLANs = Wireless Local Area Networks,
lokale Funknetzwerke) verstärkt mit dem Thema Elektrosmog
konfrontiert: Von einigen Univer si tätsmit arbeiterInnen
wurde eine ernst zu nehmende, von den Access points
ausgehende Strahlenbelastung be fürch tet. Daher entschloss
sich der Zentrale Informatikdienst, sich mit der The matik
genauer auseinanderzusetzen und eine entsprechende Arbeits
gruppe ins Leben zu rufen – gemeinsam mit der Abteilung
für Arbeitnehmerinnen- und Arbeitnehmerschutz des
Raum- und Ressourcen managements unter der Leitung von
Comment 06/3

28 Netzwerk- & Infodienste
Comment 06/3
Mag. Martina Kaburek
(www.univie.ac.at/
ANS/) und den für die
Universität Wien zuständigen
Arbeits medi zi nern
Dr. Clemens Becsi und
Dr. Beata Lutomska-Kaufmann
von der Team Prevent
GmbH (siehe www.
teamprevent.at).
Medizinische
Beurteilung
Es gibt mittlerweile zahlreiche nationale und internationale
Studien über die Wirkung von hochfrequenten elektromagnetischen
Wechselfeldern. Bei allen diesen Studien steht die
Frage im Vordergrund, ob Mobilfunk (z.B. GSM, UMTS) ein
Gesundheitsrisiko darstellt. Zum Thema WLAN liegen jedoch
noch keine Wirkungsdaten vor. Eine medizinische
Beurteilung kann daher nur anhand von Analogieschlüssen
mit dem GSM-Netz erfolgen.
Bei WLAN-Netzen wird, analog zu den GSM-Basisstationen,
über einen Accesspoint ständig gepulste Strahlung aus gesandt.
Der Nutzer und seine Umgebung sind über die Sendeantenne
des Notebooks einer näheren und damit stär keren
Strahlenexposition ausgesetzt. Die stärkste Belastung liegt
also bei Benutzung des Notebooks vor (wie im GSM-Netz
beim Telefonieren mit dem Handy) und erfolgt nur während
der Nutzdatenübertragung. Dauersendende Mobilfunk-Basisstationen
sind beim GSM-Netz in der Regel weiter
weg und außerhalb des Gebäudes, wobei allerdings immer
mehr Mikrozellen zur lückenlosen Versorgung in Gebäuden
(z.B. in Tiefgaragen) zum Einsatz kommen.
WLAN arbeitet im Frequenzbereich von 2400–2483,5 MHz.
GSM arbeitet in den Frequenzbereichen 1710–1785 MHz
(uplink) und 1805–1880 MHz (downlink). Die maximal zulässige
EIRP (= äquivalente isotrope Strahlungsleistung:
Sender-Ausgangsleistung plus Berücksichtigung der Antennen
richtwirkung) für WLAN im Frequenzbereich von
2400–2483,5 MHz beträgt in Österreich 100 mW. Als
Reichweite werden in den Produktbeschreibungen – bei
Einha ltung von 100 mW EIRP – je nach Datenübertra gungsrate
für Innen räume etwa 25–50 m und für das Freie etwa
150–550 m angegeben. In der Praxis liegen die Expositionen
in Innenräumen etwa im Bereich von 0,0001 mW/m 2
bis 1 mW/m 2 ; es treten natürlich auch höhere und tiefere
Werte auf. Die maximal zulässige Leistung der WLAN-Geräte
liegt allerdings mit 100 mW deutlich unter der Maxi mal-
Quelle Frequenzbereiche Maximal zulässige Sendeleistung Mindestabstand
Basisstation Mobilfunk 900 MHz / 1800 MHz bis 50 W / 20 W 2,5 m
Handy 900 MHz / 1800 MHz bis 2 W / 1 W keiner
Bluetooth 2,4 GHz bis 1 mW / 2,5 mW / 100 mW keiner
DECT (Schnurlostelefon) 1880 MHz bis 250 mW keiner
WLAN 2,4 GHz / 5 GHz bis 100 mW / 1 W keiner
WLAN – Uni Wien / ZID 2,4 GHz / 5 GHz 1 mW * keiner
Tabelle 1: Maximal zulässige Sendeleistungen in Österreich (* Bei manchen technisch schwierig zu versorgenden
Außenbereichen muss die maximale Sendeleistung von 1 mW überschritten werden.)
leistung von Handys, die in Österreich bei GSM 1800 MHz
bis zu 1 W betragen darf (siehe Tabelle 1). Dafür senden
diese wiederum leistungsgeregelt, d.h. nur während des Gebrauchs
und nur in der jeweils erforderlichen Intensität.
Bewertung des ZID
Auf die Auswertung des aktuellen Stands der Wissenschaft
bzw. Medizin folgte am ZID die Erkenntnis, dass das Thema
„WLAN und E-Smog“ umfassend und mit Bedacht behandelt
werden muss: Ob und welche Risiken von einer möglichen
Elektrosmog-Belastung durch WLAN ausgehen, kann
derzeit nicht endgültig beantwortet werden. Selbst die aktuellen
Grenzwertempfehlungen namhafter Wissenschaftler
reichen von 0,001 mW/m 2 bis 10 W/m 2 (siehe Tabelle 2).
Daher entschloss sich der ZID, das Vorsorgeprinzip anzuwenden
und alles zu tun, um die von den Accesspoints ausgehende
Strahlenbelastung möglichst gering zu halten. Dies
erreichen wir durch eine Beschränkung der maximalen Sendeleistung
der Accesspoints auf 1 mW. Eine mögliche Elektrosmog-Belastung
an Dauerarbeitsplätzen kann zu sätz lich
durch sorgfältige Wahl des Aufstellungsortes (Einhal tung
eines möglichst großen Abstands zu Dauerarbeits plätzen,
Aus nutzung der abschirmenden Wirkung von Ge bäu de teilen
wie Wände oder Glasscheiben) vermindert werden.
Durch sorgfältige Festlegung der Strategie, welche Bereiche
mit WLAN versorgt werden sollen, ist ebenfalls eine Senkung
der E-Smog-Belastung für die UniversitätsmitarbeiterInnen
möglich. So könnten z.B. Notebooks an Dauerarbeits
plätzen anstatt über WLAN weiterhin über die Netzwerkver
kabelung angebunden werden. In Aufenthalts bereichen
– speziell solchen für Studierende – oder Besprechungs
räu men ist eine WLAN-Versorgung hingegen durchaus
sinnvoll. Die Initiative zur Errichtung einer solchen
Infrastruktur muss allerdings von der jeweiligen Or gani sa-
Experte Institution Grenzwertempfehlung
Prof. Dr. Robert Wana Wissenschaftlicher Beirat Funk (WBF) 10 W/m2 (ÖVE/ÖNORM 8850)
DI Dr. Hans-Peter Hutter Institut für Umwelthygiene (Medizinische Universität Wien) 1 mW/m2 Dr. Gerd Oberfeld Landessanitätsdirektion Salzburg 0,001 mW/m 2 (Salzburger Vorsorgewert)
Tabelle 2: Von namhaften Experten im Juni 2006 empfohlene Grenzwerte für Belastungen durch elektromagnetische Wechselfelder

tionseinheit der Uni ver sität
Wien ausgehen (wenden Sie
sich dazu bitte per eMail an
netzwerk.zid@univie.
ac.at).
Fazit
Bei der Abwägung möglicher
Risiken gegen den Nutzen mobiler
Technologien hat sich
die heutige Gesellschaft für
den Mobilfunk entschieden.
Wis senschaftliche Forschun gen liefern derzeit noch zu
wenig stichhaltige Ergebnisse, um diesen Trend wesentlich
zu beeinflussen: Es gibt keine direkt messbaren Anzeichen
dafür, dass elektromagnetische Strahlung in den derzeit üblichen
Mengen eine schädliche Wirkung hat, gesundheitliche
Beeinträchtigungen durch Funknetze konnten bisher
noch nicht wissenschaftlich eindeutig nachgewiesen werden.
Diesem Trend folgend wurde auch an der Uni Wien –
aufgrund der großen Nachfrage durch MitarbeiterInnen und
Studierende und auf ausdrück lichen Wunsch der LeiterInnen
von Organisationseinheiten – der Ausbau der WLAN-Infrastruktur
an den Universitäts standorten in der Leistungsverein
barung des Zentralen In for matikdienstes festgelegt.
Nachdem diese Technologien erst seit wenigen Jahren eingesetzt
werden, liegen allerdings noch keine Untersuchungen
über mögliche Langzeitfolgen von durch WLAN bzw.
Mobilfunk verursachtem Elektrosmog vor; auch können
beob achtete Phänomene zum Teil noch nicht wissenschaftlich
erklärt werden. Somit ist noch kein endgültiges Urteil
Vernetzte Computersysteme sind ohne den Einsatz von
Verzeichnisdiensten kaum mehr denkbar. Ob es um die Zustel
lung von eMail, den Status bzw. die Berechtigungen
eines Accounts oder um die Information geht, von welchem
File server das Home-Verzeichnis geholt werden soll: Verzeich
nisse versammeln für den Betrieb relevante Informa tionen
in standardisierter, menschen- wie maschinenlesbarer
Form und ermöglichen damit erst die großen und komplexen
Netzwerke und Netzwerk-Anwendungen, auf die wir
heute oft angewiesen sind.
Einer der wichtigsten Ver zeich nis dienste ist LDAP, das Lightweight
Directory Access Protocol. Neben diesem Bei trag zum
Problemkontext und zur historischen Entwick lung werden
sich künftige Comment-Artikel anhand des LDAP-Ein satzes
an der Uni Wien auch mit praktischen Fragen beschäftigen.
Netzwerk- & Infodienste 29
Quelle Exposition Mittelwert Exposition Spitzenwert
WLAN – Uni Wien / ZID, 1 m 0,047 mW/m2 0,14 mW/m2 WLAN – Uni Wien / ZID, 3 m 0,038 mW/m 2 0,26 mW/m 2
WLAN – Uni Wien / ZID, 5 m 0,018 mW/m 2 0,169 mW/m 2
Notebook, 60 cm Abstand 0,0014 mW/m 2 0,082 mW/m 2
Handy Nokia 6210, 2 m, Verbindungsaufbau 1,2 mW/m 2 > 20 mW/m 2
Handy Nokia 6210, 2 m, Gespräch 1,8 mW/m 2 2,8 mW/m 2
Tabelle 3: Tatsächliche Belastungen ausgehend von aktiven Komponenten, gemessen im Juni 2006
am ZID der Universität Wien (verwendetes Messgerät: Gigahertz-Solutions HF59B)
VERZEICHNISDIENSTE:
VON X.500 ZU LDAP
mög lich, weshalb das Vorsorgeprinzip auch an der Uni versität
Wien zur Anwendung gelangen muss. Die Heraus forderung
für den ZID liegt also darin, dem stetig wachsenden
Bedürfnis nach mobiler Kommunikation gerecht zu werden
und gleichzeitig die Funknetze der Uni Wien – wie oben
beschrieben – mit Bedacht zu errichten und zu betreiben,
um ein mögliches Risiko für alle Universitätsangehörigen
und Gäste auf ein Minimum zu reduzieren. Regelmäßige
exempla rische Messungen der realen Strahlenbe lastung
sind in diesem Zusammenhang selbstverständlich.
Abschließend soll nicht unerwähnt bleiben, dass jeder einzelne
von uns sich selbst und sein Umfeld durch den unbedachten
Einsatz mobiler Kommunikationsgeräte temporär
wesentlich größeren Strahlenbelastungen aussetzt als z.B.
von der WLAN-Infrastruktur permanent abgestrahlt werden
(siehe Tabelle 3).
Markus Ankner (ZID), Mag. Martina Kaburek (ANS),
Dr. Clemens Becsi, Dr. Beata Lutomska-Kaufmann
(TeamPrevent GmbH) ■
Überall Verzeichnisse
Im Alltag pflegen wir einen ganz selbstverständlichen
Umgang mit verschiedensten Verzeichnissen: gedruckte
und elektronische Telefonbücher, Gebäudepläne (etwa um
einen Hörsaal in einem Universitätsgebäude zu finden),
Kataloge (z.B. gewisser schwedischer Möbelfabrikanten),
TV-Programm-Guides oder das Vorlesungsverzeichnis der
Universität Wien. Verzeichnisse helfen uns, Informationen
zu verwalten und wieder zu finden. Im Idealfall vereinheitlichen
sie ver sammelte Informationen aus verschiedenen
Quellen und werden damit selbst zur maßgeblichen (autoritativen)
Quelle für diese Daten.
Moderne vernetzte Computer sind ebenso von Verzeich nissen
umgeben: Verzeichnisse gültiger User-Accounts, Grup-
Comment 06/3

30 Netzwerk- & Infodienste
Comment 06/3
pen von BenutzerInnen (etwa zur Rechteverwaltung), namentlich
bekannte Maschinen im lokalen Netzwerk und
weltweiten Internet, Services, die im Netzwerk zur Verfügung
gestellt werden, usw. All diese Informationen wollen versammelt
und mehr oder weniger ständig aktualisiert werden
– auf jedem einzelnen Rechner, bei stetig zunehmender
Zahl der vernetzten PCs. Daher entwickelte man spezialisierte
Verzeichnisdienste (naming services), die diese Informationen
zentral im Netzwerk zugänglich machen, sodass
die Wartung auf den einzelnen Maschinen entfallen kann.
Ein solcher Netzwerk-Verzeichnisdienst sind z.B. die Yellow
Pages (in Analogie zu den Gelben Seiten, also dem Branchenverzeichnis),
die später aus markenrechtlichen Gründen
Network Information System (NIS) getauft wurden. Auch
das Domain Name System (DNS), das im Internet die IP-
Adressen in Hostnamen umsetzt (und umgekehrt), ist im
Prinzip ein spezialisierter Verzeichnisdienst.
Der Einsatz von spezialisierten Verzeichnisdiensten führt
aber in der Regel zum N+1 directory problem: Für jede zusätzliche
Anwendung (z.B. ein zentrales eMail-Service, eine
Groupware-Software oder ein webbasiertes Content Management
System) muss ein weiteres, spezialisiertes Verzeichnis
betrieben und verwaltet werden, was zu redundanten Daten
und erschwerter Administration sowie in weiterer Folge zu
höheren Betriebskosten und Sicherheitspro blemen führt.
Ein möglicher Weg aus diesem Dilemma ist der Einsatz von
standardbasierten, erweiterbaren Verzeich nisdiensten, die
für den jeweiligen Zweck adaptiert werden können. X.500 1)
und heute LDAP sind Versuche in diese Richtung.
X.500
INSERAT
Mitte der 1980er Jahre trafen Bestrebungen zweier Normierungsorganisationen
(ITU, ISO) aufeinander, die später zum
ISO OSI Directory Standard (CCITT Recommendation
X.500) führen sollten:
Das Comité Consultatif International Téléphonique et Télégraphique
(CCITT, heute ITU-T) der Internationalen Fernmeldeunion
(ITU) gibt technische Standards heraus, die in
Kategorien von A bis Z sortiert und durchnummeriert werden.
In der Kategorie X (Data networks and open system
communications) finden sich die bis heute weiterentwickelten
Bündel von Standards wie X.400 (Messaging systems)
und eben X.500, das Online-Verzeichnisdienste standardisiert.
Anliegen der CCITT war es nun, ein globales elektronisches
Telefonverzeichnis zu schaffen, das gleichzeitig
auch Fax nummern und eMail-Adressen 2) beinhalten sollte:
„If only we could computerise the entire set of global telephone
direc tories, and interconnect them, and give people
access to them all via a standard interface, then we would
have a real directory service. X.500 of course is designed to
provide this service, and many more besides.“ (Chadwick,
1996)

Ähnliche Bedürfnisse hatten die Internationale Organisation
für Normung (ISO) und die private Normungsorganisation
ECMA, die auf der Suche nach einem naming service für
OSI-Netzwerke und -Anwendungen waren. X.500 und das
dazu gehörige Directory Access Protocol (DAP) wurden daher
auf dem OSI-Stack realisiert, einem siebenschichtigen
Netz werkarchitekturmodell mit entsprechender Protokollimple
mentierung (dem stack), der von der ISO als Standard
für interoperable, heterogene Computernetzwerke entwickelt
wurde. Der OSI-Stack konnte sich jedoch letztlich
nicht gegen das Internet-Protokoll TCP/IP behaupten: TCP/
IP war einfacher, schneller und günstiger umzusetzen.
Neben der technischen Komponente ist hier auch ein kultureller
Bruch erkennbar, wie technische Standards überhaupt
zustande kommen sollen: Auf der einen Seite die als
bürokratisch, langsam und politisch motiviert empfundenen
Ent scheidungsprozesse innerhalb der ISO, dem „Standards
elephant“. Dem gegenüber die TechnikerInnen und
Akademi kerInnen der IETF (des „Standards body“ der Internet
Community), die sich in konsensdemokratischen bzw.
merito kratischen Prozessen schneller, flexibler und realitätsnäher
fühlten: „We reject: kings, presidents, and voting.
We be lieve in: rough consensus and running code.“, wie
David Clake 1992 auf einer Krisensitzung der IETF das
Motto der Internet Community pointiert formulierte. Dieser
Bruch 3) ist heute weitgehend überwunden, was neben
einer gewissen personellen Konvergenz der verschiedenen
Standardisierungsgremien nicht zuletzt am durchschlagenden
Erfolg des Internet liegt.
The Directory
Verzeichnisdienste nach X.500 waren groß und komplex
angelegt, wie von den involvierten Gremien nicht anders zu
erwarten. Eigentlich gab es in der Vision der EntwicklerInnen
nur einen einzigen Verzeichnisdienst: The Directory – ein
globales Verzeichnis mit u.a. diesen Eigenschaften:
• Ein verteiltes System (was zum Teil Verfügbarkeit, Verläss
lichkeit und Geschwindigkeit durch Lokalität mit
sich bringt) mit verteilter Administration (denn die beste
Information ist immer vor Ort verfügbar und sollte daher
dort gepflegt werden);
• general-purpose, d.h. für verschiedene Anwendungen
geeignet und bereits erweiterbar konzipiert;
• mächtige Suchfunktionen für verschiedene Arten von
Abfragen;
• basierend auf offenen, internationalen Standards, damit
Interoperabilität (zwischen Systemen, Herstellern, Ländern
etc.) gewährleistet ist.
Durch die Komplexität der Standards und Protokolle waren
die ersten X.500-Implementierungen sehr fehlerbehaftet
und wenig performant; echte Interoperabilität wurde erst
Netzwerk- & Infodienste 31
spät erreicht. Auch waren die Datenquellen, aus denen sich
ein Verzeichnisdienst möglichst automatisch speisen soll,
oft von schlechter Qualität (das ist bis heute ein zentraler
Pro blembereich), was die Attraktivität des Verzeichnisses
natürlich schmälerte und dem weiten Einsatz des global
direc tory nicht gerade zuträglich war. Die zunehmende
Bedeutungslosigkeit des OSI-Modells gegenüber dem
Internet trug ebenfalls dazu bei, die Entwicklung der X.500-
Services zu bremsen.
LDAP
Da Internet-basierte Klientenprogramme für die Nutzung
des Verzeichnisses leichter zu realisieren waren, wurden
bald TCP/IP-Gateways entwickelt (DAS, DIXIE), die Anfragen
der IP-Klienten übersetzten und via DAP/OSI an X.500-
Server weiterleiteten. Beide Projekte sind heute obsolet; ihr
Erfolg bestand aber darin, erstmals die große Nützlichkeit
eines IP-Zugriffs auf Verzeichnisse gezeigt zu haben.
Um die Verwendung von X.500-Verzeichnissen zu fördern
(nicht etwa, um diese abzulösen), wurde schließlich von
der IETF das IP-basierte Lightweight Directory Access Protocol
(LDAP) spezifiziert und – aufbauend auf den Erfahrungen
der vorangegangenen Projekte – ein Gateway von
LDAP zu DAP an der University of Michigan entwickelt. Der
längere Einsatz dieses so genannten ldapd (LDAP daemon)
zeigte je doch, dass Mitte der 1990er Jahre über 99% der
Zugriffe auf den Verzeichnisdienst via LDAP (also über das
Gateway) statt direkt über DAP erfolgten. Etwa zur gleichen
Zeit stellte sich auch die Erkenntnis ein, dass es mit dem
global interconnected X.500 directory wohl nichts mehr
wird, womit die X.500-Services als Ganzes in Frage gestellt
wurden.
In der Folge ersetzte der slapd (standalone LDAP daemon)
den ldapd, es gab also kein dahinterliegendes X.500-Verzeichnis
mehr, an das lediglich Anfragen weitergeleitet wurden.
LDAP war damit von X.500 losgelöst und wurde mit
kleinen Erweiterungen und einigem Straffen (etwa der Reduktion
auf nur neun Funktionen bei gleichzeitigem Er halt
zukünftiger Erweiterbarkeit ohne Änderungen am Pro tokoll)
als Grundlage eines kompletten Verzeichnisdienstes
neu definiert.
1) Hintergrundinformationen zu X.500: In der englischen Wikipedia
(http://en.wikipedia.org/) fi nden Sie u.a. Erläuterun gen
zu folgenden Begriffen und Abkürzungen: CCITT, ITU, ITU-T, ISO,
X.400, X.500, ECMA, OSI, Whois, TCP/IP, IETF, RFC, DAS (RFC 1202)
und DIXIE (RFC 1249).
2) Die rasche Verbreitung von eMail erschien diesbezüglich besonders
problematisch, da es für Mailadressen im Gegensatz zu Tele fonnummern
keine etablierten (z.B. gedruckten) Verzeichnisse gab:
Um mit jemandem per eMail in Kontakt zu treten, musste die
Mailadresse oft erst telefonisch erfragt werden.
3) Näheres dazu siehe z.B. www.alvestrand.no/x400/debate/
itu-vs-ietf.html
Comment 06/3

32 Netzwerk- & Infodienste
Comment 06/3
Die aktuelle Version des Standards heißt LDAPv3 (siehe
LDAP Technical Specification, http://ftp.univie.
ac.at/netinfo/rfc/rfc4510.txt) und zeichnet sich
u.a. durch folgende Eigenschaften aus:
• Durch volle Unicode-Unterstützung in UTF-8-Kodierung
4) können theoretisch sämtliche Zeichen sämtlicher
Sprachen verarbeitet werden, es lassen sich aber auch
ASCII- oder Binärdaten speichern.
• Mittels Verkettung (chaining), Verweisen (referrals), Zusam
menkleben (glueing) oder Replikation können auch
mit dem slapd aus mehreren LDAP-Servern vernetzte
Systeme aufgebaut werden. Teile der Komplexität von
X.500 kommen also in kleinen Dosen wieder, allerdings
optional.
• Die Nutzung von TLS (Transport Layer Security, bekannter
als SSL) und SASL (dem geradezu irrwitzig unpassend
benannten Simple [!] Authentication and Security
Layer) ermöglicht sichere Authentifizierung und Daten
übertra gung, ist modular und vom LDAP-Protokoll
un abhängig. Sowohl TLS als auch SASL werden von
vielen anderen Technologien, Protokollen und Projekten
verwendet, was z.B. die einfache und sichere Authentifizierung
mit SMTP AUTH oder IMAP/POP über einen
LDAPv3-Verzeichnisdienst ermöglicht.
• So genannte extended operations und controls können
zusätzliche Funktionalität bieten oder bestehende Funktio
nen modifizieren, ohne das Protokoll selbst verändern
zu müssen (z.B. zum Ändern des eigenen Passworts).
• Diese Erweiterungen – wie auch andere Funktionen oder
unterstützte Standard-Datentypen des Servers – kann dieser
ankündigen und Klienten können diese selb stän dig
„entdecken“, ähnlich der capabilities-Funk tion von IMAP,
wo Mailklienten (z.B. Mozilla Thunderbird) im „Gespräch“
mit dem IMAP-Server dessen unterstützte Funktionen
und Erweiterungen abfragen, um sich entsprechend
darauf einzustellen (z.B. Kann StartTLS benutzt
werden, um die Verbindung zu verschlüsseln? Wel che
SASL-Mechanismen werden zur Authentifizie rung angeboten?
).
Neben proprietären Angeboten von Novell, Sun, Oracle,
IBM, Microsoft u.a. gibt es heute mittlerweile auch drei größere
Open Source-Implementierungen des LDAP-Service:
OpenLDAP, Fedora Directory Server (früher Net scape DS)
und neuerdings Sun OpenDS 5) . Weiters existieren kommer-
4) siehe Artikel Unicode: Kiss Your ASCII Goodbye? in Comment 04/3,
Seite 12 bzw. unter www.univie.ac.at/comment/04-3/043_
12.html
5) Sun OpenDS ist komplett in der Programmiersprache Java ge -
schrieben und nicht zu verwechseln mit dem immer noch proprietären
Sun Java System Directory Server, der verwirrenderweise
nicht in Java geschrieben ist.
Neugierig?
Über die Struktur von LDAP-Verzeichnissen, über Klientenprogramme
und Abfragemethoden soll in der
nächsten Ausgabe des Comment berichtet werden.
Wer nicht so lange warten bzw. es ganz genau wissen
will, sei auf die fol gende Literatur verwiesen:
LDAP
• http://de.wikipedia.org/wiki/
Lightweight_Directory_Access_Protocol
• http://en.wikipedia.org/wiki/
Directory_service
• LDAP for Rocket Scientists,
www.zytrax.com/books/ldap/
• T. Howes, M. Smith, G. Good (2003): Understanding
and Deploying LDAP Directory Services,
2.ed., Addison-Wesley, ISBN 0672323168
X.500
• David W. Chadwick (1996): Understanding X.500
(The Directory), online: http://sec.cs.kent.
ac.uk/x500book/
• Steve Kille (1996): LDAP and X.500,
ISODE White paper (www.isode.com/
whitepapers/ic-6033.html)
ISO vs. Internet
• Andrew L. Russell (2006): ‚Rough Consensus and
Running Code’ and the Internet-OSI Standards
War, IEEE Annals of the History of Computing,
July–September 2006, online: www.computer.
org/portal/cms_docs_annals/annals/
content/promo2.pdf
zielle Varianten dieser Open Source-Imple mentierungen,
z.B. die OpenLDAP-Distribution Connexitor von Symas
oder Apples Open Directory, das auf Open LDAP und MIT-
Kerberos aufbaut.
Diese Unterstützung durch alle relevanten Hersteller, Systeme,
Plattformen und Programmiersprachen sowie die
freie Verfügbarkeit von hochqualitativer, standardkonfor mer
Software (von Apache bis Zope) sind wichtige Gründe für
den immer noch zunehmenden Einsatz von LDAP-Verzeichnissen
in Unternehmen und im Internet. Auch an der
Uni versität Wien wird LDAP als wichtige Infrastruktur-Kompo
nente auf- und ausgebaut; zwei Anwendungsmög lichkeiten
sind im nachfolgenden Artikel Wie sag ich’s meinem
LDAP-Server? beschrieben.
Peter Schober ■

Netzwerk- & Infodienste 33
WIE SAG ICH‘S MEINEM LDAP-SERVER?
Das WorldWideWeb hat viele der Funktionen über nom -
men, für die Verzeichnisdienste wie X.500 und LDAP ursprüng
lich erfunden wurden: Die im Artikel Verzeichnisdienste:
Von X.500 zu LDAP auf Seite 29 eingangs erwähnten
Ver zeichnisse (Tele fonbücher, Gebäudepläne, Vorlesungs
verzeich nisse, schwedische Möbelkataloge usw.) werden
alle in Form von Webapplikationen angeboten, aber
nur in den seltensten Fäl len als LDAP-Verzeichnisse. Für
manche An wendungen – vor allem für Adressverzeichnisse,
die maschinenlesbare, strukturierte Daten benötigen – ist
das Light weight Directory Access Protocol dennoch das
Mittel der Wahl.
Damit steht man allerdings vor dem nächsten Problem: Wie
man mit Webservern kommuniziert, ist bekannt – mittels
Browser. Wie aber greift man auf LDAP-Ver zeich nisse zu?
Zwar gibt es eigene LDAP-Klienten pro gramme, diese werden
jedoch nicht oft verwendet. Viel häu figer sind LDAP-
Funktionen und -Erweiterun gen in allen möglichen Program
men, z.B. in Webserver- und Mailing-Software.
LDAP und Mailing
Wie bereits in der letzten Ausgabe des Comment berichtet,
ist LDAP ein zentraler Bestandteil des neuen Mailsystems
der Universität Wien (siehe Comment 06/2, Seite 11 bzw.
www.univie.ac.at/comment/06-2/062_11.html).
Welche Mailadressen an der Uni gültig sind und welche
nicht, wohin eMail zugestellt oder weiterge leitet werden
muss, erfahren die Mailserver durch LDAP-Anfragen. Dementsprechend
groß ist die Zahl der Zugriffe, die auf die
LDAP-Server der Uni Wien einprasseln, nämlich rund zwei
Millionen pro Tag. Es ist eine der großen Stärken dieses
Protokolls, dass die LDAP-Server einen solchen An sturm
vollkommen problemlos be wältigen können (in diesem
Sinne ist das Protokoll wirklich „leichtgewichtig“).
Auch mit Mailprogrammen kann man auf LDAP-Verzeichnisse
zugreifen und diese als Adressbuch verwenden. Im
Gegensatz zu einem webbasierten Verzeichnis wie dem
Personalverzeichnis der Universität (http://online.
univie.ac.at/pers) lässt sich das öffentliche LDAP-
Verzeichnis der Uni Wien (LDAP.UNIVIE.AC.AT) in die meisten
Mailklienten direkt integrieren, wie hier am Beispiel des
Mozilla Thunderbird illustriert wird:
Um das Adressbuch einzurichten, wählen Sie im Mailprogramm
Thunderbird den Menüpunkt Adressbuch – Datei
– Neu – LDAP-Verzeichnis und füllen Sie die Felder so
aus, wie in Abb. 1 dargestellt ist:
• Name: Uni Wien
• Hostname: ldap.univie.ac.at
• Basis-DN: dc=univie,dc=ac,dc=at
• Port-Nummer: 389
Anschließend müssen Sie noch unter Extras – Ein stel lungen
– Verfassen auf der Registerkarte Adressieren im
Bereich Adress-Autovervollständigung die Option LDAP-
Verzeichnisserver aktivieren (der LDAP-Server Uni Wien
sollte bereits in der Liste rechts daneben aufscheinen).
Damit können Sie nun – vorausgesetzt, Sie sind online –
das gesamte Verzeichnis der Uni Wien genau so nutzen wie
Ihr persönliches Adressbuch: Beim Verfassen einer Nachricht
an eine beliebige Universitäts-Adresse brauchen Sie als
Empfänger nur dessen Namen oder einen Teil davon einzugeben,
woraufhin die eMail-Adresse automatisch ergänzt
bzw. ein Auswahlmenü mit Vorschlägen angezeigt wird.
LDAP und Authentifizierung
LDAP teilt das Schicksal vieler anderer Erfindungen: Es wird
für ganz andere Zwecke eingesetzt als ursprünglich gedacht.
Obwohl LDAP keineswegs als Authentifizierungs-
Protokoll entwickelt wurde, ist Authentifizierung – also die
Überprüfung der Zugangsberechtigung eines bestimmten
Nutzers zu einem bestimmten Netzwerkservice – heute
eines seiner wichtigsten Anwendungsgebiete. LDAP wird
mittlerweile weitaus häufiger zur Authentifizierung verwendet
als dedizierte Protokolle wie z.B. RADIUS (Remote
Authen tication Dial-In User Service).
Die vom ZID verwalteten Benutzungs berechtigungen (v.a.
Unet- und Mailbox-UserIDs) erlauben den Zugriff auf viele
verschiedene Netzwerkdienste – von eMail, Fileservices
und ADSL bis zur Lernplatt form WebCT Vista. Intern werden
zur Authentifizierung verschiedene Mechanismen und
Protokolle eingesetzt: LDAP, RADIUS (z.B. für Wähllei tungsverbindungen,
ADSL, WLAN, VPN) und andere. Ob wohl es
bereits eine große Erleich terung darstellt, auf verschiedene
Dienste mit derselben Username-/Passwort-Kombination
zugreifen zu können anstatt sich viele ein zelne Passwörter
mer ken zu müssen, sind wir von einer echten Single Sign-
On-Lösung, bei der nach ein maligem Login der Zugriff auf
Abb. 1: Einrichten des LDAP-Verzeichnisses der Uni Wien
als Mail-Adressbuch (Thunderbird)
Comment 06/3

34 Netzwerk- & Infodienste
Comment 06/3
alle verfügbaren Services gewährt wird, noch weit entfernt.
Es wird jedoch daran gearbeitet, diesem Ziel zumindest
näher zu kommen und die Authentifizierung der verschiedenen
Services zu vereinfachen und besser zu integrieren.
In diesem Zusammenhang soll auch ein Authentifizie rungs-
Service für Dritte angeboten werden: Von etlichen Instituten
und Dienststellen der Universität Wien werden für Studierende
bzw. Uni-Mit arbeiterIn nen verschiedene Anwendungen
(meis tens Webappli kationen) mit Zugangskontrolle zur
Verfügung gestellt, die üblicher weise über eine eigene Benutzerverwaltung
mit spe ziellen Usernamen und Passwörtern
verfügen. Die Admi ni stration solcher Anwendungen
könnte durch eine zen trale Authentifizierung wesentlich vereinfacht
werden.
Bei einer solchen zentralen Authentifizierung für Dritte
muss selbstverständlich besondere Sorgfalt an den Tag gelegt
werden, was Sicherheit und Datenschutz betrifft. Aus
diesem Grund wird das zu schaffende System zwar LDAP
ver wenden (möglicherweise sogar auf LDAP basieren), aber
kein reines „LDAP-Service“ sein, sondern auch andere Authentifizierungs-Methoden
mit einbeziehen.
Wenn Sie an einem solchen Authentifizierungs-Service interessiert
sind, teilen Sie uns dies bitte per eMail an
help desk.zid@univie.ac.at mit – wir werden dann
ver suchen, Ihre speziellen Anforderungen in das künftige
Authentifizierungs-System zu integrieren.
Peter Marksteiner ■
CONTENT MANAGEMENT SYSTEME:
Software für operative Eingriffe in lebende Websites
Auf die Frage „Kennen Sie ein CMS?“ hört man so gut wie
immer: „Nein, nie gehört!“ oder „Noch nie gesehen!“ – und
genau das ist die Stärke eines CMS: verborgen im Hintergrund
zu agieren.
Ein CMS (Content Management System) ist eine Software,
welche die gemeinschaftliche und einfache Eingabe von
Webseiten-Inhalten (Content) auch für BenutzerInnen ohne
technisches Verständnis bzw. ohne Kenntnisse in HTML/
XML 1) /CSS etc. ermöglicht. Eines haben alle CMS-Produkte
gemeinsam: Beim Besuch einer Webseite bemerkt man
nichts davon. Interessierte finden eventuell im Quelltext versteckt
den Hinweis, ob ein (bzw. welches) CMS verwendet
wurde; oft wird diese Information aber auch verborgen.
Breite Auswahl – kostenlos
Bei der Flut an verschiedenen Systemen ist es schwer, die
Übersicht zu bewahren und seinen Favoriten zu küren.
Neben kommerziellen CMS-Produkten, die von Firmen auf
die jeweiligen Umgebungen und deren Bedürfnisse zurechtgestrickt
werden und die üblicherweise späteren Support
beinhalten, haben die Open Source-Systeme einen gewichtigen
Platz am CMS-Markt eingenommen. Eine feine
Übersicht der wichtigsten Produkte mit der Möglichkeit,
diese auch gleich live auszuprobieren, findet man unter
www.opensourcecms.com.
In diesem Artikel wird bewusst auf kein spezielles CMS eingegangen,
auch wird weder Werbung gemacht noch eine
Empfehlung für ein bestimmtes Produkt ausgesprochen.
Aufgrund der Vielzahl an Systemen, die es derzeit am Markt
gibt, wäre dies auch nicht ratsam, da jeder Anwender seine
eigenen Anforderungen und Bedürfnisse hat, welche von
seinem bevorzugten CMS abgedeckt werden sollen. Daher
beschränken wir uns im Folgenden auf die Nen nung von
vier bekannteren und leistungsfähigeren Content Mana gement
Systemen: Joomla, Typo3, Wordpress und Postnuke.
• Joomla (www.joomla.de) hat im Laufe seiner eher
kurzen Existenz schon einiges mitgemacht – hat es sich
doch vor kurzem vom ursprünglichen Mutterprodukt
Mambo (www.mambo-foundation.org) abgespalten
und lebt nun weiter durch engagierte Programmierer
und eine beispielhafte Community. Dieses CMS zeich -
net sich durch seine schnelle Erlernbarkeit und relativ
einfache Bedienung, gepaart mit Optionsvielfalt, aus.
• Typo3 (www.typo3.org) wurde von einem dänischen
Programmierer ins Leben gerufen und seither stetig weiter
entwickelt. Die Stärken von Typo3 liegen in der fast
unübertroffenen Leistungsfähig keit und Flexibilität –
gute Gründe dafür, dass Typo3 auch an der Uni Wien
ein gesetzt wird (siehe hierzu Artikel Web auf tritte leicht
gemacht: Typo3 an der Universität Wien auf Seite 37).
• Wordpress (http://wordpress.de/) hat sich ganz
dem Blog 2) verschrieben und bietet Add-Ons, also optionale
Module bzw. Erweiterungen, sowie Features speziell
für diesen Bereich an.
• Postnuke (www.postnuke.com) hingegen besticht
vorrangig durch seine Stabilität und Performance.
Eine der schönsten Eigenschaften haben viele CMS-Systeme
gemeinsam: Sie sind kostenlos. Geschützt nur durch die
GNU GPL (General Public License) 3) dürfen sie also frei
verwendet, verändert und weitergegeben werden – solange
man sie nicht als sein eigenes Produkt ausgibt. Weiters existiert
für diese Systeme eine riesige Anzahl an Erweiterungen
(Add-Ons), um Webseiten mit neuen Features zu ver-

sehen – z.B. mit Gästebüchern, Newsletters, erweiterten
Suchfel dern oder Ähnlichem.
Wie läuft‘s?
Als Basis für den überwiegenden Teil der Content Mana gement
Systeme dient die Programmsammlung LAMP. Diese
stellt alles Nötige zur Verfügung, um einen Webserver zu betreiben.
Das Akronym LAMP steht für
• Linux (das Betriebssystem, unter dem die Sammlung
läuft),
• Apache (der eigentliche Webserver),
• MySQL (die Datenbank) und
• PHP (die Skriptsprache).
Als weitere Formen existieren noch WAMP für Windows
und MAMP für Mac OS X.
Einzelne CMS setzen auf Perl anstatt auf PHP; andere bieten
wiederum den erforderlichen Support, um eine Oracle-
Datenbank, PostgreSQL oder MS-SQL anstatt MySQL zu verwenden.
Auch den jeweils verfügbaren Webspace sollte man bedenken:
Bei einer Typo3-Instanz nimmt beispielsweise die
reine Erst-Installation bereits etwa 8 MB in Anspruch. Hierzu
kommen noch Erwei terungen von Typo3 (Exten sions) sowie
die eigentliche Homepage samt Bil dern und sonstigen
Dateien.
Klassifizierung
Content Management Systeme lassen sich durch zwei wichtige
Merkmale charakterisieren:
Dynamik der Content-Bereitstellung
Man unterscheidet hierbei zwischen statischen, volldynamischen
und gemischten Systemen.
• Statische Systeme legen jedes HTML-Dokument als
statische Webseite auf dem Server ab. Der Vorteil dieser
Variante ist der geringe Ressourcenver brauch des Servers
bzw. dessen Prozessors, da die Seite nicht bei jedem
Aufruf mittels einer Programmiersprache (z.B. Perl,
PHP) dynamisch generiert werden muss.
• Volldynamische CMS zeigen bei jedem Seitenaufruf
den jeweils aktuellsten Content an. Am meisten von
dieser Methode profitieren z.B. Nachrichten-Seiten, auf
denen es mitunter zu minütlichen Änderungen kommt.
• Gemischte Systeme stellen den Content teilweise statisch
zur Verfügung, wobei jedoch Bereiche, die häufigen
Aktualisierungen unterliegen, dynamisch generiert
und eingebunden werden. Diese Art trifft man am häufigsten
an, da sie die Vorteile eines statischen mit den
Vorzügen eines dynamischen CMS verbindet.
Beherbergung der CMS-Software
Netzwerk- & Infodienste 35
Hier unterscheidet man clientseitige, serverbasierende und
kombinierte Systeme.
• Clientseitige CMS – das sind jene Produkte, die auf
dem Rechner des Anwenders installiert sind und mit
denen die Seiten auch direkt dort erstellt und bearbeitet
werden –, sind eher in der Minderzahl. Sie finden zumeist
bei Dateien Anwendung, deren Bearbeitung auf
einem Server zu viele Ressourcen verbrauchen würde
(z.B. Videos).
• Am weitesten verbreitet ist die serverbasierende CMS-
Variante, die eine Bearbeitung des Content direkt am
Server erlaubt. Ihr großer Vorteil ist, dass das Arbeiten
mit dem CMS von jedem Computer (mit Internetzugang)
von jedem Standort der Welt aus und mit jedem Betriebs
system nur mit einem Browser möglich ist. Die
Anforderungen an das technische Verständnis der Redakteure
sind extrem niedrig, wodurch praktisch allen
An wenderInnen die Verwendung des Systems ermöglicht
wird.
• Die dritte, seltener anzutreffende Kategorie sind kombinierte
Systeme, die sowohl client- als auch serverseitig
arbeiten.
Händisch oder CMS-basiert?
Der Arbeitsaufwand im Vergleich
Wenn man den Aufwand für Erstellung und Wartung einer
herkömmlichen (= händisch erstellten und großteils statischen)
Web seite mit dem bei einer CMS-verwalteten 4) Seite
anfallenden Aufwand vergleicht, kristallisieren sich fol gende
Vor- und Nachteile heraus:
Erstellung
Hier hat eindeutig die herkömmliche Variante die Nase
vorn. Während es mit Hilfe eines HTML-Editors (üblicher-
1) siehe hierzu Artikel Web-Publishing mit XML auf Seite 40
2) siehe Artikel (B)logbuch des Captains, Sternzeit zweitausend undsechs
... in Comment 06/1, Seite 41 bzw. unter www.univie.
ac.at/comment/06-1/061_41.html
3) Die GNU GPL ist eine von der Free Software Foundation (einer
ge meinnützigen Organisation mit dem Zweck, freie Software zu fördern;
siehe www.fsf.org) herausgegebene Lizenz mit Copyleft
(einem Schutzverfahren, welches Weiterverbreitung und Modifi -
kationen von Software erlaubt, sofern dies unter derselben Lizenz
und damit denselben Bedingungen geschieht) für die Lizenzierung
freier Software. Nähere Informationen dazu sind unter www.gnu.
org/licenses/licenses.html#GPL zu fi nden.
4) Dies bezieht sich auf die oben genannten, leistungsfähigeren Content
Management Systeme.
Comment 06/3

36 Netzwerk- & Infodienste
Comment 06/3
weise eines WYSIWYG-Editors) relativ leicht und schnell
möglich ist, eine ansprechende Webseite zu gestalten, muss
man für ein CMS schon mal einiges an Zeit und Geduld investieren,
ehe man vernünftig damit arbeiten kann: Anleitungen
wollen gelesen, Workshops durchgemacht, Foren
durchforstet und Nerven bewahrt werden, vor allem bei
hartnäckigen Problemen. Der Aufwand variiert selbstverständlich
je nach Umfang des verwendeten CMS.
Layout
Auch im Hinblick auf die Gestaltung ist es mit der statischen
Methode relativ einfach, ein Layout zu kreieren. Ein wenig
aufwendiger gestaltet sich diese Aufgabe mittels CMS. Hier
werden so genannte Templates (Designvorlagen) verwendet,
die komplett unabhängig vom eigentlichen Content behandelt
werden. Dadurch wird das Layout jedoch flexibler und
lässt sich für einzelne Seiten oder den gesamten Web auftritt
mit nur wenigen Mausklicks komplett verändern.
Pflege
Vor allem bei der späteren Pflege der Seiten spielt ein CMS
seine Stärken voll aus. Während es bei einer händisch gepflegten
Website aufwendig und mühsam ist, eine Änderung
auf allen bestehenden Seiten durchzuziehen, wird dies mittels
CMS zum Kinderspiel. Ist man erst einmal mit der
Benutzeroberfläche vertraut, lassen sich sämtliche Arbeitsschritte
im Handumdrehen und nur mit Hilfe des Browsers
erledigen. Zudem behält man gerade bei umfangreichen
Web auftritten dank CMS leichter den Überblick: Programmier
sprachen wie JavaScript vereinfachen z.B. mittels Drag
& Drop die Bearbeitung oder auch das Verschieben ganzer
Seiten im Menü baum.
Multi-User-Betrieb
Die gleichzeitige Bearbeitung einer Webseite durch mehrere
Redakteure kann bei einem herkömmlichen System
mitunter gravierende Auswirkungen haben. Mühsam eingegebener
Content kann leicht überschrieben werden, Sicherungen
sind für den kurzen Zeitraum einer Änderung meist
keine vorhanden – die Arbeit war umsonst. Da es keine
Logfiles gibt, kann auch nicht schnell herausgefunden werden,
wer gerade an einer Webseite arbeitet.
Dieser Fall kann mit einem CMS nicht eintreten: Sobald ein
Benutzer eine Seite bearbeitet, wird diese für alle anderen
gesperrt. Änderungen können jederzeit wieder rückgängig
gemacht werden, detaillierte Logfiles sind vorhanden. Umfangreichere
Sys teme beinhalten ausgeklü gelte User- und
Gruppen-Berechti gungssysteme, welche z.B. den Zu griff,
Änderungen, Erstellungen oder Löschvor gänge auf bestimmte
AnwenderInnen beschränken können.
Dateiverwaltung
Dateisammlungen, die in Webseiten eingebunden oder zum
Download angeboten werden (Bilder, PowerPoint-Präsen-
tationen, PDF-Dateien etc.), können im Laufe der Zeit einen
beachtlichen Umfang annehmen. Einzeln hochgeladen,
meist nur durch Ordner und Unterordner sortiert, verliert
man schnell die Übersicht.
Ganz anders gestaltet sich das mit einem CMS, welches eine
Dateiverwaltung aufweist, mit der sich Dateien einfach mittels
Browser hochladen, einordnen, beschriften und natürlich
auch gleich ansehen lassen. Große Dateisamm lungen
wie z.B. Fotogalerien lassen sich auf diese Art und Weise
unkompliziert publizieren und verwalten.
Neue Features
Beim Einbau neuer Features – wie etwa eines Gästebuchs,
einer Fotogalerie oder eines eigenen Forums – entstehen
bei herkömmlich gewarteten Webseiten Arbeiten in Form
von: gewünschte Software aussuchen, downloaden, installieren,
an die eigene Seite in Funktion und Design anpassen,
im Betrieb warten und gegebenenfalls updaten. CMS-
An wen derInnen können sich hingegen über vorgefertigte
Add-Ons freuen, die man einfach mittels Mausklick einspielen,
konfigurieren und auch gleich im System warten und
ak tuell halten kann.
Technische Wartung und Sicherheit
Im Hinblick auf die Sicherheit des Systems ist es auch beim
Einsatz eines CMS unerlässlich, die einzelnen Software-
Komponenten auf dem Stand der Technik zu halten. Händisch
alle eingepflegten, dynamischen Programmcodes zu
suchen, zu überprüfen, gegebenenfalls manuell Programmteile
auszubessern oder gleich den kompletten Code zu ersetzen,
gestaltet sich langwierig und zeitaufwendig. Mit
einem CMS wird gerade dieser Vorgang erheblich vereinfacht.
Der Administrator kann bequem im CMS seine Extensions
anzeigen lassen und diese mit wenigen Maus klicks
auf den aktuellen Stand bringen.
CMS – ja oder nein?
Ob sich der Einsatz eines Content Management Systems
lohnt, lässt sich nicht pauschal beantworten. Es gibt die verschiedensten
Beweg gründe, ein solches Produkt zu verwenden
– sei es die Benutzerverwaltung, das übersichtliche
und professionelle Administrations-Interface, die kinderleichte
Einpflege von Content oder die einfache Wartung
des Systems. Oft ist es auch einfach die Neugier, die einen
dazu treibt, sich in die Ma terie zu vertiefen.
Was man unbedingt berücksichtigen sollte, bevor man sich
für die Verwendung eines CMS entscheidet: Je umfangreicher
und komplexer das System ist, desto länger dauert
es, sich einzuarbeiten, um danach effizient und zufrieden
stellend da mit umgehen zu können. Wer jedoch die dafür
nötige Zeit investiert und nicht zu früh aufgibt, wird sicherlich
nicht enttäuscht werden.
Alexander Berndl ■

WEBAUFTRITTE LEICHT GEMACHT:
Typo3 an der Universität Wien
In der Dienstleistungseinrichtung (DLE) Öffentlichkeitsarbeit
und Veranstaltungsmanagement der Universität Wien
wird seit mehr als zwei Jahren ein Content Management
System (CMS; Näheres siehe Seite 34) für die Publikation
von Online inhalten verwendet: das Open Source-Produkt 1)
Typo3 (http://typo3.org/).
Typo3 ist ein webbasiertes CMS, welches unter der GNU
GPL (General Public License) 2) lizenziert ist. Es wird seit
1997 von dem Dänen Kasper Skårhøj mit der Hilfe und
nach Anregungen von Usern entwickelt. Typo3 ist in der
Skriptsprache PHP geschrieben und arbeitet vorzüglich mit
MySQL-Datenbanksystemen. Über einen integrierten Database
Abstraction Layer ist es aber auch möglich, andere
Datenbanksysteme (z.B. Oracle) zu verwenden.
Aufgrund der Trennung von Content und Design eignen
sich Content Management Systeme sehr gut für die Erstellung
von Internetseiten mit einheitlichem Layout und individuellem
Inhalt. Im Zusammenhang mit dem neu entwickelten
Corporate Design der Universität Wien wurde daher begonnen,
den Webauftritt der Universität basierend auf Typo3
anzulegen sowie im weiteren Verlauf dieses CMS auch für
andere Organisationseinheiten der Uni Wien – Fakultäten,
Institute und DLEs – zur Verfügung zu stellen.
Mit dem Angebot der DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement,
die Designvorlage für universitäre
Webseiten zu liefern, entschieden sich viele Organisationseinheiten
dafür, ihre Webseiten in das Typo3-System zu integrieren.
AutorInnen, SachbearbeiterInnen und Redakteur-
In nen können sich damit ganz auf die Pflege und Aktualisie
rung von Inhalten konzentrieren, ohne sich um das Layout,
die Einbindung von Seiten oder andere technische
Aspekte kümmern zu müssen.
Open Source vs. proprietäre Software
Warum gerade Typo3? Einer der wichtigsten Punkte ist,
dass die Verwendung von Open Source-Software unabhängig
macht. Beim diesjährigen Treffen der ARGE-Info (einer
Arbeitsgemeinschaft von MitarbeiterInnen österreichischer
Universitäten, die im Webbereich tätig sind) war zu erfahren,
wie der worst case beim Einsatz von proprietärer Software
aussehen kann: Eine kleinere österreichische Uni versität
verwendete ein kommerzielles, in Java geschriebenes
Content Management System. Als sich die Hersteller firma
umstrukturierte, wurde der Support für dieses CMS eingestellt.
Aufgrund der Geschlossenheit des Systems war es
den MitarbeiterInnen der Universität nicht möglich, auftretende
Fehler selbst zu beheben; auch der Umstieg auf ein
anderes CMS gestaltete sich schwierig. 3)
Netzwerk- & Infodienste 37
Ein erfolgreiches Open Source-Projekt wie Typo3 funktioniert
hingegen etwas anders:
Typo3-Community
Die aktive Typo3-Community ist groß, international und
immer noch im Wachstum begriffen. Wie bei vielen anderen
Projekten fungieren verschiedene Mailinglisten mit zumeist
öffentlich einsehbaren Archiven (siehe http://
lists.netfielders.de/) als Kommunikationsplattform
für die Typo3-Gemeinde. Zudem zählen jährlich veran staltete
Events wie die Typo3-Konferenz, aber auch die Typo3-
Snowboard-Tour zu wichtigen Treffpunkten des fachlichen
Aus tausches.
Typo3-Referenzen
Die Auflistung der Websites, die auf Typo3 basieren, ist
recht imposant: Neben namhaften Fir men (3M, DHL, EADS,
Ford, Lufthansa, Philips, REWE, Volkswagen etc.) finden
sich hier auch Non-Profit-Organisa tionen oder große Medien
unternehmen (z.B. New York Times). Eine Referenzliste
ist unter http://typo3.com/References.1249.0.
html verfügbar. Als Referenzbei spiel mit lokalem Bezug ist
die Universität für Bodenkultur Wien (www.boku.ac.at)
zu nennen, die eine komplette Umstellung ihres Web auftritts
auf Typo3 vollzogen hat. Auch die neue ACOnet-Website
(www.aco.net) wurde mit Typo3 realisiert.
Aufbau eines Typo3-CMS
Content Management Systeme, so auch Typo3, trennen
Inhalt, Struktur und Layout von Webdokumenten. Ein CMS
wird zudem von einem Punkt aus betreut, was bedeutet,
dass die Designvorlagen zentral eingebaut, gepflegt und ver-
1) Open Source bedeutet, dass es jedem ermöglicht wird, Einblick in
den Quellcode einer Software zu erhalten sowie diesen Quell code
auch beliebig weiterzugeben oder zu verändern.
2) Die GNU GPL ist eine von der Free Software Foundation (einer
ge meinnützigen Organisation mit dem Zweck, freie Software zu fördern;
siehe www.fsf.org) herausgegebene Lizenz mit Copyleft
(einem Schutzverfahren, welches Weiterverbreitung und Modifikationen
von Software erlaubt, sofern dies unter derselben Lizenz
und damit denselben Bedingungen geschieht) für die Lizenzierung
freier Software. Nähere Informationen dazu sind unter www.gnu.
org/licenses/licenses.html#GPL zu finden.
3) Es ging dabei um die fehlende Funktion, den Cache zu löschen,
was dazu führte, dass die Performance des Systems von Tag zu Tag
schlechter wurde. Die Migration der Daten in ein anderes CMS war
aufgrund des nicht transparenten Datenbankaufbaus ebenfalls
nicht leicht zu bewerkstelligen.
Comment 06/3

38 Netzwerk- & Infodienste
Comment 06/3
waltet werden. Dies erspart den einzelnen AnwenderInnen
Wartungsarbeiten sowie Layoutanpassungen. Für alle integrierten
Seiten existiert ein so genanntes Template, also
eine einheitliche Vorlage, nach der alle Seiten aufgebaut
sind. Für die Seiten der Uni Wien wurde ein Design gewählt,
das aus einer Kopfzeile, einer vertikalen Menüleiste
(Naviga tion) auf der linken Seite sowie aus den zugehörigen
CSS-Dateien 4) besteht (siehe Abb. 1). Den Rest der
Seite bildet der frei editierbare Content-Bereich. Innerhalb
dieses Bereiches können die Inhalte der Webseite (Texte,
Bilder, Dateien zum Downloaden, Tabellen, Sta tisti ken etc.)
von den zuständigen Personen der jeweiligen Ein richtung
über einen Webbrowser selbständig erstellt und gepflegt
werden – und zwar ohne besonderes technisches Knowhow:
Typo3 ist einfach zu erlernen, zudem braucht man
keine Kenntnisse in HTML, JavaScript, XML, PHP etc.
Das Hauptargument für den Einsatz eines CMS ist die Ressourcenersparnis.
Aufgrund des zentralen Zu griffs auf die
Struktur und das Layout kann man ganze Web auftritte binnen
weniger Stunden fertig stellen, ohne sich mit der
Programmierung des Designs befassen zu müssen. Weitere
Vorteile sind die Zuverlässigkeit, die universale Fehlerbehebung
sowie die effektive Weiterentwicklung des Systems.
Frontend und Backend
Bei Typo3 unterscheidet man zwei Seiten:
• Das Frontend von Typo3 („vordere Seite“, siehe Abb. 1)
ist der Webserver, der den BesucherInnen die fertigen
Seiten anzeigt. Der Zugriff kann mit jedem beliebigen
Webbrowser erfolgen, auch mit älteren Versionen. Spezielle
Funktionen wie Cookies oder JavaScript sind nur
notwendig, wenn die jeweilige Webseite diese ver langt.
• Das Backend von Typo3 („hintere Seite“, siehe Abb. 2)
ist das webbasierte Bearbeitungstool des CMS, mit dem
die Webseiten erstellt und editiert werden. Der Zugriff
kann mit allen gängigen, neueren Webbrowsern erfolgen.
Cookies und JavaScript müssen eingeschaltet und
Popup-Fenster für diesen Vorgang erlaubt werden.
Der Zugriff auf das Backend ist nur für berechtigte Personen,
die so genannten Webautoren oder Redakteure, möglich.
Diese brauchen dafür einen Benutzernamen und ein Passwort
mit einer entsprechenden Typo3-Berechtigung. Die
Be nutzungsberechtigungen beinhalten nicht nur die Definition,
welche Seiten wie und von wem bearbeitet werden
dürfen, sondern definieren auch die Auswahl an Werkzeugen,
die man im Backend zur Verfügung hat. Außer dem lassen
sich Rollen für einen Workflow festlegen (z.B. Erstellung
des Content durch Benutzer A – Freigabe der Inhalte durch
Benutzer B – Publikation auf der Web seite).
Typo3-Extensions
Typo3 ist genau betrachtet nur ein Framework, also eine
Rahmenanwendung, die durch Extensions erweitert wird
4) Mittels CSS (Cascading Style Sheets) können Stil-Definitionen für
HTML- und XML-Elemente zentral festgelegt werden (Näheres
siehe z.B. Comment 03/1, Seite 30 bzw. unter www.univie.
ac.at/comment/03-1/031_30.html).
Abb. 1: Ansicht einer Webseite der Universität Wien im Typo3-Frontend (Ausschnitt)

(im Grunde ist das gesamte Backend eine große Extension).
Solche Extensions können unterschiedlicher Natur sein:
• Backend-Tools – z.B. Dateimanager, Werkzeuge für erweiterte
Gruppenverwaltung oder Template-Verwaltung
– werden direkt ins Backend eingebunden.
• Frontend-Plugins sind Webapplikationen, die als Content-Element
in eine Webseite integriert werden können,
wie z.B. Gästebücher, Foren oder Fotogalerien.
Extensions bestehen aus mehreren Dateien innerhalb eines
Verzeichnisses – meist PHP- und Bilddateien, SQL-Queries,
aber auch HTML-Dateien. Es existiert ein zentrales Onlineverzeichnis
mit der Möglichkeit zum Up- und Down load
von Extensions. In diesem Extension Repository (http://
typo3.org/extensions/) findet man zahlreiche Typo3-
Erweiterungen aller Art, von Wikis über Foren bis hin zu
einer phpMyAd min-Integration ins Backend. Wenn man
eine neue Funktionalität benötigt, kann man sich also aus
dem Pool der schon existierenden Extensions bedienen,
eine vorhandene Extension weiterentwickeln bzw. modifizieren
oder eine neue Extension selbst erstellen.
TypoScript
Typo3 verwendet für die Konfiguration eine eigene Sprache:
TypoScript ist weder – wie der Name fälschlich vermuten
lässt – eine Skriptsprache noch eine Programmiersprache,
sondern eine Beschreibungssprache. Es besitzt eine eigene
Syntax und dient als direkte Verbindung zu den Kernfunktionen
sowie zur Ausgabe-Engine von Typo3.
Infos & Ansprechpartner
Abb. 2: Bearbeitung derselben Webseite im Typo3-Backend (Ausschnitt)
Netzwerk- & Infodienste 39
Der Betrieb, die Pflege sowie der technische und didaktische
Support des Typo3-Systems an der Universität Wien
be ruht auf der Zusammenarbeit mehrerer Abteilungen:
• Derzeit ist die DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement
für die Entwicklung, für den
Aufbau sowie für die Administration des Systems verantwortlich,
wodurch die Ausweitung des Systems begrenzt
ist. Über die weitere Entwicklung wird Anfang 2007 informiert
werden.
• Die technische Infrastruktur besteht aus einem für Content
Management Systeme optimierten Server, der vom
Zen tralen Informatikdienst zur Verfügung gestellt wird.
In Zusammenarbeit mit dem Helpdesk des ZID (siehe
www.univie.ac.at/ZID/helpdesk/) entsteht derzeit
ein organisierter technischer Support.
• Weiters wird vom Referat für Personalentwicklung
in Zusammenarbeit mit dem Projektzentrum Lehrentwick
lung allen MitarbeiterInnen der Universität Wien
ein kostenloser Typo3-Einschulungskurs angeboten. Infor
mationen hierzu finden Sie unter www.univie.ac.
at/personalentwicklung/.
Bei Fragen und Anregungen wenden Sie sich bitte per
eMail an die zentrale Informationsstelle für Typo3-Fragen,
die unter cms.public@univie.ac.at erreichbar ist.
André Seirafi (DLE Öffentlichkeits arbeit und
Veranstaltungsmanagement) ■
Comment 06/3

40 Netzwerk- & Infodienste
Comment 06/3
WEB-PUBLISHING MIT XML
Die eXtensible Markup Language verwirklicht
den Cross-Media-Gedanken
XML ist in aller Munde. Dank XML (Extensible Markup
Language, übersetzt: erweiterbare Auszeichnungssprache),
so versprechen die Hersteller und Dienstleister, werden
Datenformate kompatibler, Daten maschinenlesbarer und
Anwender entlastet. Besonders für das Publizieren im Web
verspricht die Wandlungsfähigkeit von XML-Daten ein wahrer
Segen zu sein: Mit XML als Standard zur Erstellung maschinen-
und menschenlesbarer Dokumente könnte endlich
der Cross-Media-Gedanke – das Verbreiten der gleichen
Information über mehrere Kanäle – technisch so umgesetzt
werden, dass beispielsweise Artikel wirklich nur
einmal editiert werden müssen, bevor sie sowohl in elektronischen
wie in sonstigen Medien im jeweils adäquaten –
sprich mediengerechten Format – verfügbar sind.
XML definiert die Regeln für den Aufbau von Dokumenten
in Form einer Baumstruktur. Im Gegensatz zu bekannten
Auszeichnungssprachen wie beispielsweise HTML (Hypertext
Markup Language) oder TeX (bzw. LaTeX) 1) ist XML
ein Standard zur Definition von beliebigen, in ihrer Grundstruktur
jedoch stark verwandten Auszeich nungs sprachen
und wird daher auch als Metasprache bezeichnet.
Zwei Hauptargumente, die für das Publizieren mit XML zumeist
genannt werden, sind, dass
1. Inhalte nur einmal eingegeben werden müssen, um
über mehrere Kanäle abrufbar zu sein und
2. die Kompatibilität zu anderer Software erhöht wird, so
dass Importvorgänge erleichtert werden.
Wo macht der Einsatz von XML wirklich Sinn? Wo ist er im
Vergleich zu herkömmlichen Technologien besser oder gar
schlechter geeignet?
Bevor diese Fragen beantwortet werden, soll ein kurzer
Überblick gegeben werden, wie Web-Publishing mit nicht
XML-basierten Technolo gien aussieht.
Web-Publishing ohne XML
Zum „herkömmlichen“ Web-Publishing zählen das Publizieren
von rein statischen Webdokumenten sowie die serverseitig
programmierten Ausgabesysteme (dynamische Systeme).
Gerade der Einsatz von serverseitigen Skriptsprachen hat in
den letzten Jahren erheblich an Bedeutung gewonnen und
lässt sich durchaus als Standardlösung für Webprojekte aller
Größenordnungen bezeichnen. Sehr populär ist zum Beispiel
der kombinierte Einsatz der Skriptsprache PHP zusammen
mit dem MySQL-Datenbank-Managementsystem.
Beide sind wichtige Vertreter der Open Source-Gemeinde
und stehen somit nicht nur jedem Entwickler frei zur Verfügung,
sondern laden auch zu eigenen Verbesserungsansätzen
ein.
Statisches Publizieren
Das statische Publizieren ist vom Prinzip her denkbar einfach
und schnell erklärt: Die zu publizierenden Dokumente
werden in einem Editor (oft ein WYSIWYG 2) - oder ein einfacher
Texteditor) erstellt bzw. bearbeitet und mit allen gewünschten
Funktionen versehen. Das Resultat sind ein -
zelne HTML-Dokumente, von denen jedes einzelne alle
notwendigen Daten enthält, das heißt, dass keinerlei Daten
gemeinsam verwendet werden. Dann wird eine Kopie dieser
Dateien auf dem System gespeichert (meist mit Hilfe
von SSH, FTP 3) oder WebDAV 4) ), auf dem auch der Webserverdienst
läuft.
Der Webserver liefert dann bei jeder Anfrage eines Clients
das gewünschte Dokument aus, und zwar ohne es weiter
zu verarbeiten oder sonstige Aktionen zu verrichten. Auch
die URLs, die vom Client abgerufen werden, geben exakt
die Struktur des Dateisystems wieder: So befindet sich zum
Beispiel eine Datei, deren URL auf .../kontakt/index.
html endet, auf dem Webserver im Verzeichnis kontakt
und hat den Dateinamen index.html.
1) siehe hierzu Artikel LamportTauepsilonXi – Textverarbeitung und
mehr in Comment 06/1, Seite 25 bzw. unter www.univie.ac.
at/comment/06-1/061_25.html
2) WYSIWYG ist die Abkürzung für das Prinzip What You See Is What
You Get („was du siehst, ist, was du bekommst“). Bei echtem
WYSIWYG wird ein Dokument während der Bearbeitung – z.B. in
einem Editor – genauso angezeigt, wie es bei der Ausgabe des fertigen
Dokuments aussieht.
3) FTP (File Transfer Protocol ) ist ein spezifi ziertes Netzwerkprotokoll
zur Dateiübertragung und wird benutzt, um Dateien vom Server
zum Client (Download), vom Client zum Server (Upload) oder
clientgesteuert zwischen zwei Servern zu übertragen. Außerdem
können mit FTP Verzeichnisse angelegt und ausgelesen sowie Verzeichnisse
und Dateien umbenannt oder gelöscht werden.
4) WebDAV (Web-based Distributed Authoring and Versioning) ist ein
offener Standard zur Bereitstellung von Dateien im Internet.
5) Der Begriff Netzwerklaufzeit bezeichnet die Zeitspanne, die eine
Information benötigt, um von A nach B zu kommen.

Vorteile
Der größte Vorteil dieser Art des Publizierens ist die offensichtliche
Einfachheit. Dass von Seiten des Webserverdienstes
keine weiteren Aktionen notwendig sind, bringt
einen zusätzlichen Geschwindigkeitsvorteil, der in der Praxis
jedoch nicht spürbar ist. Die Performance von Skriptsprache-Interpretern
und vor allem der Server-Hardware ist
in den letzten Jahren so gut geworden, dass auf einem gewöhnlichen
Mietserversystem bei vernünftiger Programmierung
keine Verzögerung wahrnehmbar ist, zumal die Netzwerklaufzeiten
5) meist erheblich höher sind.
Ein weiterer Vorteil ist die Möglichkeit, den gesamten Inhalt
des Webprojektes auch ohne Webserverdienst erschließen
zu können. Wenn ein lokaler Zugang zu den HTML-Dateien
besteht, sind diese von jedem beliebigen Browser les- und
darstellbar.
Dynamische Systeme
Schon von den ersten Jahren des WWW an gab es immer
Systeme, die HTML-Code dynamisch generierten. Der Entwickler
programmiert dabei ein System, dessen Aufgabe es
ist, bei der Anfrage eines bestimmten URL ein HTML-Dokument
ganz oder teilweise neu zu erstellen.
Für die hierzu notwendigen Informationen kommt jede
denkbare Datenquelle in Frage: Daten aus dem Dateisystem,
aus Datenbanken, von entfernten Rechnern oder auch
Daten, die der Besucher innerhalb einer Sitzung dem Server
übermittelt, wie etwa durch das Ausfüllen eines Kontaktformulars.
Der Server erstellt dann anhand der angefragten Daten
ein fertiges HTML-Dokument, das an den Client zurückgesandt
wird.
Vorteil
Der Vorteil eines dynamischen Systems liegt auf der Hand:
Es können nicht nur, wie beim statischen Publizieren, vorgefertigte
Dokumente ausgeliefert werden, sondern auch
Antworten, die zur Laufzeit erstellt werden. Zudem können
alle redundanten Bestandteile eines Dokuments wie etwa
Navigation oder Fußzeile zentral abgelegt und vor allem separat
gepflegt werden. Auch wird so eine Integration des
Webauftrittes in weitere Geschäftsprozesse überhaupt erst
möglich, wenn z.B. das online Abrufen von Lager beständen
einen Zugriff auf die Lagerdatenbank erfordert.
Statisch oder dynamisch: XML bleibt draußen
Sowohl beim Publizieren von statischen Inhalten als auch
bei den dynamischen Systemen kommen bisher in aller
Regel keine XML-Technologien zum Einsatz, weder als
Datenquelle noch zur Verarbeitung. Gleichwohl ist diese
Möglichkeit denkbar, und streng genommen kann auch
eine einzelne valide XHTML-Seite als Verwendung von XML
verstanden werden. Dieser Fall soll jedoch ausgeschlossen
werden, da die Vorteile von XML hier bei weitem nicht ausgenutzt
werden, insbesondere weil keine Transformationen
von Inhalten erfolgen.
Netzwerk- & Infodienste 41
Bei dynamischen Ansätzen sind durchaus Lösungen denkbar,
die XML-Datenquellen zur Publikation nutzen. Dennoch
ist diese Kombination nicht sonderlich oft anzutreffen, weil
in der Regel relationale Datenbankmanagement systeme als
Datenquellen genutzt werden. Ein möglicher Grund hierfür
ist bei den Programmiergewohnheiten der jeweiligen Programmierer
zu suchen. Da Entwickler von skriptbasierten
Systemen sich häufig der schlichteren prozeduralen Programmierung
bedienen, ist der Schritt zu den eher objektorientierten
Denkmodellen der XML-Verarbeitung oft nicht
der nahe liegendste. Zudem erschließt sich das volle Spektrum
der Vorteile von XML erst durch einen übergreifenden
und konsistenten Workflow (Näheres im Abschnitt Noch
mehr Vorteile).
So wird XML beispielsweise in großen kommerziellen
Applikationen eingesetzt, die üblicherweise in Java geschrieben
sind und einen Application Server verwenden
(z.B. den Oracle Application Server). Bei solchen Anwendungen
ist die Webschnittstelle oft nur ein kleiner Teil des
Gesamtsystems, das noch über zahlreiche weitere Schnittstellen
verfügt. Für einen komfortablen Datenaus tausch
über verschiedene Schnittstellen ist XML hervorragend geeignet.
Die eXtensible Markup Language
XML ist im Laufe der letzten Jahre zu einem echten Schlagwort
geworden. Bei einer etwas nüchterneren Betrach tung
ist XML selbst zunächst allerdings nicht mehr und nicht weniger
als eine standardisierte Weise, Daten abzuspeichern
oder zu übertragen. Dabei spielt die Gliederung innerhalb
der Dateien eine entscheidende Rolle. Viel konkreter ist
XML zunächst nicht erklärbar, denn zu dessen größter
Stärke gehört die Flexibilität, was es allerdings auch am
Anfang etwas schwer fassbar macht. XML ist aus der bereits
1986 definierten Auszeichnungssprache Standard Generalized
Markup Language (SGML) entstanden. XML sollte so
einfach zu handhaben sein wie HTML, dabei aber so flexibel
wie SGML bleiben.
Ein mit XML beschriebener Datenbestand ist mit so genannten
Tags (übersetzbar mit „Markierung“) versehen, die das
Dokument logisch bzw. semantisch gliedern. Würde man
die Gliederung verwerfen, wäre der gesamte Text einfach
ein einziges, zusammenhängendes Gebilde, etwa so, als
würde man aus einem Theaterstück alle Rollenzuweisungen,
Regieanweisungen und Szenenbeschreibungen entfernen
oder die Tageszeitung in einem Stück diktieren, ohne
eine Unterscheidung zwischen Titel und Text zu machen.
Welche Tags verwendet werden und wie sie angeordnet
werden, hängt vom Zweck des Dokumentes ab. Für alle
Dokumente, die den gleichen Zweck erfüllen, wird eine so
genannte XML-Applikation definiert, also ein konkreter
Umfang von Tags mit Regeln, die festlegen, wo, wie oft und
unter welchen Bedingungen ein Tag gesetzt werden muss.
Ein sehr einfaches Beispiel für XML ist etwa eine Einkaufsliste,
wie sie in Abb. 1 auf der Folgeseite notiert ist.
Comment 06/3

42 Netzwerk- & Infodienste
Comment 06/3
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Milch
1
Liter
Semmeln
2
Stück
Orangen
1
Kilo
Abb. 1: Beispiel eines XML-Dokuments, hier eine Einkaufsliste
Wie im Beispiel der Einkaufsliste zu sehen ist, wird für
jeden einzelnen Posten ein Bereich eröffnet, in
dem wiederum andere Tags geschachtelt enthalten sind.
Jedes Tag mit seinem Inhalt stellt ein Element dar. Trotz seiner
etwas wiederholenden Natur bleibt das Dokument
selbst für ein ungeübtes Auge leicht les- und erfassbar.
XML-Dokumente sind immer Textdateien – selbst wenn innerhalb
der Tags später auch Binärinformationen erlaubt
sind –, was die Handhabung sehr erleichtert. Die strenge
Struktur dieses Dokumentes ermöglicht die einfache und
flexible Verarbeitung, für die XML steht.
Typische Eigenschaften eines XML-Dokumentes
Ein XML-Dokument hat verschiedene Merkmale. Einige
davon sind zwingend notwendig, andere Eigenschaften
sind optional, und wieder andere sind logische oder stilistische
Richtlinien. Im Folgenden sind die wichtigsten
Eigenschaften von XML zusammengefasst:
• Syntax: Jedes Element wird mit Hilfe eines Tags begonnen
und beendet, bei dem der Tagname in spitzen
Klam mern steht. Dazwischen kann ein Text stehen:
foobar, oder es handelt sich
um ein leeres Element: . Innerhalb des
Tags können noch weitere Daten gespeichert werden,
in Form so genannter Attribute: .
Das öffnende Tag enthält dabei den
Tag namen und optionale Attribut-Wert-Zuweisungen.
Das schließende Tag beginnt mit einem Schrägstrich
nach der öffnenden Klammer und darf keine Attribute
enthalten. Leere Tags enden mit einem Schrägstrich vor
der schließenden Klammer. Bei Tagnamen wird Groß-
und Kleinschreibung berücksichtigt.
• Wohlgeformtheit: Ein Dokument ist wohlgeformt,
wenn alle Elemente, die geöffnet werden, auch wieder
geschlossen werden (...) oder die Elemente
leer sind (). Außerdem dürfen Elemente
zwar geschachtelt werden (), aber
nicht über Kreuz geöffnet und geschlossen werden
(). Die Einhaltung dieser Regeln ist
absolut notwendig, da die meisten Programme die Verarbeitung
eines nicht wohlgeformten Dokumentes abbrechen
werden.
• Validierung mittels DTD und anderer Technologien:
Wie bereits erwähnt, definiert man für mehrere
Do kumente, die dem gleichen Zweck dienen, eine so
genannte XML-Applikation. Beispiele hierfür sind etwa
MathML zur Notation von mathematischen Formeln
oder XHTML für Hypertext-Dokumente im Web. Das
Mittel hierzu ist die Beschreibung einer so genannten
Document Type Definition (DTD). Hierin wird standardisiert,
welche Tags benutzt werden dürfen, welche ineinander
geschachtelt werden können, und welche
Attri bute zugelassen oder zwingend notwendig sind.
Die Standardisierung solcher Applikationen ist unerlässlich,
damit ein Programm, das Daten aus einem XML-
Dokument erhält, sichergeht, dass alle Daten aus dem
Dokument im Programm zuordnungsfähig sind und umgekehrt
alle für das Programm notwendigen Daten im
Dokument vorhanden sind. Braucht z.B. ein Programm
zwingend die Information, ob eine Person männlich
oder weiblich ist, so wird dies in der DTD fes tgelegt. Ein
entsprechend valides Element könnte etwa so aussehen:
.... Würde
hier das gender-Attribut weggelassen werden, wäre das
Dokument nicht mehr gegen diese DTD valide.
Das DTD-Format ist nicht die einzige Sprache, in der die
Syntax von XML-Dokumenten festgelegt werden kann.
Profiliert haben sich vor allem auch die Sprachen XML
Schema 6) , welche den Vorteil hat, selbst eine XML-
Applikation zu sein, und Relax NG 7) , die für sich beansprucht,
besonders leicht erlernbar zu sein.
• Trennung von Inhalt und Darstellung: XML ist eine
Auszeichnungssprache, mit deren Hilfe logische bzw.
semantische Strukturen der Daten auf das Dokument
übertragen werden sollen. Der Zweck eines Dokuments
kann dabei je nach XML-Applikation völlig verschieden
sein. Jede Applikation erfüllt genau ihren Zweck und
keinen anderen. So sollen zum Beispiel auch XHTML-
Elemente nicht zur visuellen Gestaltung verwendet werden,
sondern die dafür vorgesehene Sprache CSS (Casca
ding Style Sheets) 8) . Andere Applikationen hingegen,
wie SVG 9) und XSL-FO 10) , sind genau hierfür gedacht.
• Portierbarkeit ist einer der meist gepriesenen Vorteile
von XML und beschreibt die Fähigkeit, Daten auf anderen
Rechnern, auf anderen Betriebssystemen oder mit
anderer Anwendungs- oder Server-Software weiter benutzen
zu können. Dies verdankt XML einerseits der

leichten Verarbeitbarkeit des Datenformats, andererseits
sicherlich aber auch einer gewissen Mode, durch die
(dan kens werterweise) viele Anwendungen eine Schnittstelle
zum XML-Import oder -Export implementiert haben
oder sogar gleich konsequenterweise ihre Daten
in XML-Formaten speichern.
Für fast alle Program mier sprachen gibt es Pakete, mit
denen Softwareentwickler relativ leicht XML-Funktio -
nen nachrüsten können, allen voran Java und Perl.
Unter stützt wird die Portierbarkeit über verschiedene
Sprachen und Alphabete hinweg vor allem durch die
Verwendung von adäquaten Encodings, nach aller Möglichkeit
Unicode (UTF-8).
• Transformierbarkeit ist ebenfalls eine der Schlüsseltechnologien
von XML. Bei Transformationen handelt es
sich um Prozesse, die nach einer bestimmten Vorschrift
Daten aus einem XML-Dokument extrahieren und sie in
ein zweites niederschreiben, wobei sich allerdings das
Schema, also die Struktur der Daten, verändert. Auf
diese Weise könnte zum Beispiel die Einkaufsliste aus
Abbildung 1, die einem generischen 11) XML-Schema
folgt, in ein XHTML-konformes Dokument transformiert
werden:
...
1 Liter Milch
2 Stück Semmeln
1 Kilo Orangen
Die so transformierte Einkaufsliste kann nun problemlos
in jede Website eingebunden werden. Die wichtig ste
Technologie für Transformationen ist die Extensible
Stylesheet Language Transformation (XSLT) 12) .
• Document Object Model (DOM): Die geschachtelte
Struktur eines XML-Dokumentes lässt sich als Baumstruktur
darstellen, in der das oberste Element das Root
Element darstellt. Alle weiteren Elemente sind hierarchisch
unter diesem Element sortiert, als so genannte
Child Elements. Sie sind in dem Root Element enthalten.
Bei der Verarbeitung spielt dieser Umstand eine entscheidende
Rolle, da viele Schnittstellen zur Programmie
rung nach diesem Modell arbeiten.
Diese Punkte machen deutlich, warum XML so viele Vorteile
in sich vereint, die für sich genommen nicht unbedingt revolutionäre
Neuerungen sind, aber hier konsequent und
zusammen umgesetzt wurden. Was die Verwendung dieser
Technologie allerdings erst so richtig interessant und mächtig
macht, ist die umfangreiche Sammlung von Werkzeugen
und Schnittstellen zu allen erdenklichen Systemen, Pro-
Netzwerk- & Infodienste 43
grammen und Plattformen. XML unterliegt als offener Standard
nicht der Kontrolle einer einzelnen Firma, und seine
Verwendung ist nicht geschützt oder begrenzt.
Auch für Entwickler sind die Gründe nahe liegend: Statt mit
viel Aufwand einen Parser 13) für ein eigenes Textformat zu
programmieren, greift man auf XML zurück – und erntet
damit noch alle weiteren Vorteile.
Noch mehr Vorteile …
Von diesen ausführlich beschriebenen Merkmalen von XML
abgesehen ist für den Zweck des Web-Publishing vor allem
der folgende Aspekt interessant: Die Datenspeicherung soll
möglichst zentral und mit möglichst wenig Redundanz auskommen,
besonders sollen aber redundante Arbeitsschritte
bei der Verarbeitung der Inhalte vermieden werden. Dieser
Aspekt betrifft mehrheitlich Redakteure von Webseiten.
Wenn erreicht werden kann, dass Artikel, Bild- und Grafikmaterial,
Adressdaten, Daten zu Geschäftsprozessen (wie
z.B. Nutzerstatistiken oder Lagerhaltungsdaten) wirklich
nicht mehr isoliert auf den Arbeitsplatzrechnern der einzelnen
Mitarbeiter, sondern zentral und direkt auf gemeinsamen
Servern gespeichert werden, ist ein sehr großer Schritt
nach vorne gelungen.
Wenn hierzu noch die Software der Endanwender, also die
Redaktionssysteme, Adresspro gramme, Textverarbeitungen
und andere Programme, auch über eine einheitliche Schnittstelle
auf diese Datenbestände zugreifen kann und die
Server-Software keine proprie tären Datenformate mehr verarbeiten
muss, so werden die positiven Auswirkungen für
jeden Mitarbeiter spürbar und offensichtlich sein:
Datenbestände sind dann immer auf dem neuesten Stand,
lästiges und fehleranfälliges Abgleichen von Listen entfällt
6) Eine Einführung in XML Schema ist unter www.edition-w3c.
de/TR/2001/REC-xmlschema-0-20010502/ verfügbar.
7) siehe hierzu http://relaxng.org/ (nur englisch)
8) siehe Artikel Cascading Style Sheets in Comment 03/1, Seite 30
bzw. unter www.univie.ac.at/comment/03-1/031_30.html
9) Scalable Vector Graphics (übersetzt: „skalierbare Vektorgrafi ken“)
ist ein Standard zur Beschreibung zweidimensionaler Vektorgra fi -
ken in der XML-Syntax.
10) Extensible Stylesheet Language – Formatting Objects ist eine XML-
Anwendung, die beschreibt, wie Text, Bilder, Linien und andere
grafi sche Elemente auf einer Seite angeordnet werden.
11) „Generisch“ meint in diesem Fall: nur für dieses eine Dokument
zutreffend; es handelt sich hierbei nicht um ein Standardformat.
12) Ein Tutorial zu XSLT ist unter www.data2type.de/xml/XML.
html verfügbar.
13) Parser bezeichnet ein Computerprogramm zur Verarbeitung von
Textdokumenten.
Comment 06/3

44 Netzwerk- & Infodienste
Comment 06/3
völlig, und Funktionen für komplexere Zugriffe können
vom Systemadministrator jederzeit nachgerüstet werden.
Vor allem aber kann eine Datei (etwa ein Artikel) nicht nur
mit dem Programm verarbeitet werden, in dem die Datei erstellt
wurde, sondern jedem anderen Zweck übergeben
werden, für den eine Transformationsregel geschrieben
wurde. Ein einmal gespeichertes OpenOffice.org-Dokument
14) könnte so beispielsweise direkt ohne weitere
Arbeitsschritte im Web veröffentlicht werden.
Bei der Veröffentlichung der Daten ist aber nicht nur ein
Weg möglich, sondern im Sinne des anfangs bereits erwähnten
Cross-Publishing eine Publikation über mehrere
Ausgangsformate hinweg denkbar. Üblich wäre es zum Beispiel,
einen Artikel im Web über einen Link als Druckversion
in Form einer PDF-Datei anzubieten. Ein RSS-Stream 15) , wie
ihn in letzter Zeit immer mehr Websites anbieten, wäre
ebenfalls über eine recht einfache Transformation direkt
aus den Datenbeständen zu gewinnen. WML-Versionen 16)
für mobile Endgeräte, Web-Services und proprietäre XML-
Formate sind nur Beispiele für eine beinahe beliebig erweiterbare
Liste weiterer Ausgabeformate.
Auf Seiten der Programmierer der Website ergibt sich einer
der Hauptvorteile allein durch die konsequente Nutzung
von XML: Für die verschiedenen Arten von Daten muss
nicht für jede Anwendung eine andere Technologie beherrscht
werden. Unterschiede der Verarbeitung und der
Datenmodelle, wie sie zwischen relationalen Datenbanken,
objektorientierten Datenbanken, Spezial-Datenschnitt stellen
wie LDAP (Lightweight Directory Access Protocol, siehe
Artikel auf Seite 29 und 33) für die Ablage von Adressdaten
etc. existieren, können so auf einen einheitlichen Nenner
gebracht werden. Zwar erfordern die XML-Technologien
auch aufgrund ihrer Anzahl eine gewisse Einarbeitungszeit,
aber schnell wird deutlich, dass sie sich meist eines gemeinsamen
Denk modells bedienen.
… und die Kehrseite
Damit diese Ziele realisiert werden können, ist insbesondere
die richtige Planung von entscheidender Wichtigkeit.
Nur wenn alle Arbeitsschritte von der Erstellung bis zur
Veröffentlichung der Inhalte wirklich konsequent auf den
Austausch von XML-Daten ausgelegt werden, ergibt sich
XML-Literaturtipps
• Erik T. Ray: Einführung in XML, O‘Reilly 2004
• Helmut Vonhoegen: Einstieg in XML, Galileo Computing
2005
XML-Webtipp
• XML in der Praxis: Extensible Markup Language
für Profis:
www.linkwerk.com/pub/xmlidp/2000/
aus der Umstellung der Datenspeicherung auch tatsäch lich
ein arbeitstechnischer und mithin wirtschaftlicher Vorsprung.
Der Grund dafür ist, dass XML als isolierte Lösung in einem
Bereich nicht erheblich besser ist als konventionelle
Formate, und sich somit der Arbeitsaufwand zur Vereinheitlichung
beziehungsweise Umstellung kaum rentieren
würde. Die Anforderungen sind nämlich nicht gering:
Es müssen die Datenbanken sowie die Programme für Endan
wender (insbesondere Redakteure) überarbeitet oder
neu angeschafft werden, und die Server-Software muss in
aller Regel erneuert werden. Der wichtigste Teil der Arbeit
entfällt aber mit Sicherheit auf die Planung einer solchen
Konsolidierung auf XML, damit sie über Jahre (und Programmversionen)
hin nutzbar und skalierbar bleibt.
Der Selbstversuch
Wer selbst Hand an ein XML-basiertes Publishing-System
legen will, ist gut beraten, sich zu Beginn mit den einschlägigen
Frameworks zu beschäftigen. Frameworks sind
Rahmen anwendungen, deren Module ähnlich einem Baukasten
system zu einem neuen System zusammengesetzt
werden können. In X4U 17) beispielsweise kann mit wenig
Aufwand eine komplette typische Website mit Navigation,
Inhalten, Statistiken und Ähnlichem generiert werden. Cocoon
18) hingegen ist Teil des bekannten Apache-Projekts
und wahrscheinlich das umfangreichste und mächtigste
XML-Publishing-Framework.
Außer den beiden genannten existieren noch unzählige
weitere Frameworks und Module, oft auch welche, die für
Nischenanwendungen programmiert und dann als Open-
Source-Software veröffentlicht wurden. Wie erwähnt, sollte
die Einrichtung eines kompletten Systems von langer Hand
konzipiert und vor allem auf den Workflow des jeweiligen
Einsatzes abgestimmt werden.
Mit ein wenig Pro bierfreu digkeit und den richtigen Beispielen
kann man jedoch bereits in wenigen Tagen ein
gutes Gefühl für die Stärken und Tücken der Datenverarbeitung
mit XML gewinnen.
Katharina Lüthke (ZID)
& Michael Probst Stuckmann (netconstructions) ■
14) OpenOffi ce.org speichert seine Daten im so genannten Open-
Document-Format, einem XML-Format für Offi ce-Dokumente.
15) siehe hierzu Artikel RSS Enterprise in Comment 06/1, Seite 46 bzw.
unter www.univie.ac.at/comment/06-1/061_46.html
16) WML (Wireless Markup Language) als Teil des Wireless Application
Protocol (WAP) dient zur Darstellung von Inhalten im Internet auf
Mobiltelefonen.
17) auf Anfrage (per eMail an probst@netconstructions.de)
beim Autor erhältlich
18) http://cocoon.apache.org/