komplette Ausgabe - Comment - Universität Wien
komplette Ausgabe - Comment - Universität Wien
komplette Ausgabe - Comment - Universität Wien
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Editorial<br />
Liebe Leserin, lieber Leser!<br />
Ist Ihnen am Titelblatt dieser Zeitschrift etwas aufgefallen?<br />
Nein? Und wenn Sie ganz genau hinsehen?<br />
Auch nicht? Dann müssen wir es Ihnen wohl verraten:<br />
Der Zentrale Informatikdienst hat ab sofort ein neues<br />
Logo, das in den nächsten Wochen auf allen unseren<br />
Print- und Webdokumenten auftauchen wird. Weil‘s so<br />
schön ist, zeigen wir es nochmals etwas größer:<br />
Es handelt sich hierbei um die Schwarz/Weiß-Variante<br />
des neuen Logos, weil der <strong>Comment</strong> (noch) nicht in<br />
Farbdruck hergestellt wird. Im Gegensatz zum bisherigen<br />
Logo existiert davon aber auch eine „bunte“<br />
Version, wobei dieselben Far ben wie beim Logo der<br />
Uni <strong>Wien</strong> verwendet wurden – allerdings umgekehrt:<br />
Während das Univer sitäts-Logo aus einem blauen<br />
Schriftzug mit grauem Siegel besteht, ist beim neuen<br />
ZID-Logo die Schrift in Grau und das Pfeil-Signet in<br />
Blau gehalten. Auch mit dem Schriftzug selbst wurde<br />
die Zugehörigkeit zur Univer sität <strong>Wien</strong> betont: Der<br />
verwendete Font ist exakt derselbe, die Ligaturen (das<br />
Verschmelzen von l, i und d sowie von r und f ) spielen<br />
ebenfalls auf das Uni-Logo an, bei dem die Buchstaben<br />
u und n zusammengezogen wurden, und nicht<br />
zuletzt ist das ZID-Logo analog zum Uni-Logo in Kleinbuchstaben<br />
gehalten. Diese weitgehende Übereinstimmung<br />
konnte dadurch erreicht werden, dass derselbe<br />
Gra fiker beauftragt wurde, der auch für das <strong>Universität</strong>s-<br />
Logo verantwortlich zeichnet. Das altbekannte Pfeil-<br />
Signet soll einerseits die Wieder erken nungs rate des<br />
Logos steigern und andererseits auch jene Konti nui tät<br />
sym bolisieren, für die der Zentrale Informatik dienst<br />
seit Jahr zehn ten steht.<br />
Ausgehend von diesem Logo wird in den nächsten<br />
Wochen ein Corporate Design für den ZID entwickelt.<br />
Auch für den <strong>Comment</strong> haben wir große Pläne: Er soll<br />
ebenfalls ein neues Logo, ein neues Titelblatt so wie<br />
eine neue Website erhalten und bei dieser Gelegenheit<br />
auch etwas bunter werden. Wir hoffen, diese Vorhaben<br />
bereits mit der März-Aus gabe umsetzen zu können.<br />
Bleiben Sie also dran...<br />
Ein erfolgreiches Semester wünscht Ihnen (und sich)<br />
die <strong>Comment</strong>-Redaktion<br />
Inhalt<br />
Aktuelles<br />
2 Storage & Backup:<br />
Der aktuelle Status des SAN-Projekts<br />
4 Neues Informationsangebot für Studierende<br />
Aktuelles 1<br />
5 Mailbox-Service: Neuerungen bei der Administration<br />
5 Günstig telefonieren mit A1 Member Unlimited<br />
6 Der neue Spamfilter –<br />
Erfahrungen, Empfehlungen, Einstellungen<br />
8 ECDL, die Erweiterung<br />
8 Personalnachrichten<br />
9 eLearning: Fahrplan für WebCT Vista 4.0<br />
PCs & Workstations<br />
12 Alarmstufe Rot: Ihr PC wurde geentert! –<br />
Rootkits unter MS-Windows<br />
17 Neue Standardsoftware<br />
Netzwerk- & Infodienste<br />
18 10 Jahre Vienna Internet eXchange – Ein Service<br />
der Uni <strong>Wien</strong> für das österreichische Internet<br />
19 GÉANT2 – Ein Glasfaser-Backbone<br />
für die Wissenschaft<br />
20 Datennetz, quo vadis?<br />
22 WLAN: Funknetz-Ausbau an der Uni <strong>Wien</strong><br />
24 „Verstrahlte“ <strong>Universität</strong>? – WLAN und Elektrosmog<br />
29 Verzeichnisdienste: Von X.500 zu LDAP<br />
33 Wie sag ich‘s meinem LDAP-Server?<br />
34 Content Management Systeme:<br />
Software für operative Eingriffe in lebende Websites<br />
37 Webauftritte leicht gemacht:<br />
Typo3 an der <strong>Universität</strong> <strong>Wien</strong><br />
40 Web-Publishing mit XML – Die eXtensible Markup<br />
Language verwirklicht den Cross-Media-Gedanken<br />
Anhang<br />
45 Handbücher<br />
46 EDV-Kurse des ZID bis Ende Jänner 2007<br />
47 eLearning: WebCT Vista-Schulungen<br />
48 Kontaktadressen am ZID<br />
48 Öffnungszeiten<br />
<strong>Comment</strong> 06/3
2 Aktuelles<br />
<strong>Comment</strong> 06/3<br />
STORAGE & BACKUP:<br />
DER AKTUELLE STATUS DES SAN-PROJEKTS<br />
Im <strong>Comment</strong> 06/1 wurde das Projekt vorgestellt, ein Storage<br />
Area Network (SAN) für die <strong>Universität</strong> <strong>Wien</strong> zu errichten. 1)<br />
Damit soll einerseits die heterogene und teilweise veraltete<br />
Ausrüstung des ZID mit Massen speicher konsolidiert und<br />
andererseits der chronische Platz mangel durch einen großzügigen<br />
Ausbau behoben werden. Im Rahmen dessen soll<br />
auch das Backup-System (siehe www.univie.ac.at/ZID/<br />
backup/), das 1997 angeschafft wurde und schon in die<br />
Jahre gekommen ist, erneuert werden. Im Folgenden wird<br />
über den aktuellen Status dieses Pro jektes berichtet.<br />
Am 7. Februar 2006 wurde eine entsprechende Ausschreibung<br />
veröffentlicht. 23 Firmen haben die Ausschreibungsunter<br />
lagen abgeholt; davon haben zehn bis zum Ende der<br />
Frist am 31. März 2006 ein Angebot abgegeben. Das mag<br />
nicht viel erscheinen, doch mehr war kaum zu erwarten:<br />
Ob wohl die Ausschreibung EU-weit veröffentlicht wurde,<br />
ist sie hauptsächlich für lokale Anbieter interessant – und<br />
Abb. 1: Das größere der beiden Storage-Systeme (am primären Standort)<br />
da kommen nicht allzu viele in Frage. Das Interesse in der<br />
Branche war enorm: Storage-Projekte dieser Größenordnung<br />
gibt es in Österreich wohl kaum öfter als einmal im Jahr.<br />
Alle namhaften Hersteller von Storage-Produkten waren vertreten,<br />
entweder selbst oder durch Partnerfirmen, die als<br />
Reseller fungierten. Auch ein oder zwei „Außenseiter“ versuchten<br />
ihr Glück mit weniger bekannten Produkten.<br />
Die Ermittlung des Bestbieters war recht aufwendig und erforderte<br />
auch die Durchführung von Leistungstests (Benchmarks),<br />
die gemeinsam mit den Anbietern in der ersten Junihälfte<br />
erfolgte.<br />
The winner is ...<br />
Am 27. Juni 2006 wurde schließlich die Entscheidung gefällt:<br />
Den Zuschlag erhielten die Firmen Bull GmbH für den Teilbereich<br />
Storage und EDV-Design Infor ma tions technologie<br />
GmbH für den Teilbereich Backup.<br />
Bull GmbH ist die österreichische Niederlassung des<br />
internationalen Bull-Konzerns mit Sitz in Frankreich.<br />
Bull – benannt nach dem norwegischen Ingenieur<br />
Fredrik Rosing Bull, der 1919 eine auf Lochkarten basierende<br />
Rechenmaschine erfand – wurde 1931 in<br />
Paris gegründet und hat eine lange und wechselvolle<br />
Geschichte hinter sich. Heute ist Bull ein IT-Unternehmen,<br />
das neben Hardware (Server, Mainframes,<br />
Supercomputer) auch Software, Systemintegration,<br />
Dienstleistungen und Consulting anbietet. Bull GmbH<br />
tritt als Generalunternehmer und Systemintegrator<br />
auf; die Hardware wird größtenteils von anderen<br />
Firmen zugekauft, wobei die meisten Komponenten<br />
von EMC stammen.<br />
EMC wurde 1979 gegründet und produzierte ursprünglich<br />
Möbel. Heute ist EMC einer der führenden Hersteller<br />
von Storage-Systemen. Das Firmenlogo zeigt<br />
den Schriftzug EMC 2 , das ist eine Kon traktion von<br />
EMCC, wobei die ersten drei Buchstaben die Ini tialen<br />
der Firmengründer sind und das zweite C für Corporation<br />
steht. Der Name hat also nichts mit der berühmten<br />
Einstein-Formel E=mc 2 zu tun, obwohl die<br />
Assozia tion möglicherweise durch aus erwünscht ist.<br />
1) siehe Artikel Speicherplatz Absolut Notwendig in <strong>Comment</strong><br />
06/1, Seite 2 bzw. unter www.univie.ac.at/comment/<br />
06-1/061_2.html<br />
2) Original Equipment Manufacturer: Damit werden in der<br />
Computerbranche Produkte bezeichnet, die unter dem<br />
Namen eines anderen Herstellers verkauft werden.
1999 übernahm EMC die Firma Data General, die 1994<br />
ein damals höchst innovatives Plattensystem namens<br />
HADA (High Availability Disk Array) vorgestellt hatte.<br />
Später wurde dieses unter dem Namen CLARiiON vermark<br />
tet und von EMC weiterentwickelt. Das neue Storage-System<br />
der Uni versität <strong>Wien</strong> heißt mit vollem Namen<br />
CLARiiON CX3-80 UltraScale und ist das größte<br />
Modell der neuesten CLARiiON-Generation, die erst am<br />
8. Mai 2006 – also nach Ende der Abgabefrist – offiziell<br />
angekündigt wurde. Die technischen Daten des Systems<br />
sind im Kasten unten zu finden.<br />
Die Netzwerk-Komponenten (Switches) des SAN werden<br />
ebenfalls von EMC geliefert; es handelt sich dabei<br />
aber um OEM-Produkte 2) von Brocade Com munications<br />
Sys tems, dem führenden Hersteller von Fibre Channel-<br />
Switches.<br />
Backup-System<br />
EDV-Design Informationstechnologie GmbH ist eine<br />
kleine Firma, die als IBM-Partner hauptsächlich IBM-<br />
Systeme vertreibt. Auch die angebotene Backup-Lösung<br />
ist von IBM: Nachdem ebenso wie beim bestehenden<br />
Backup-System der IBM Tivoli Storage Manager (TSM)<br />
als Software zum Einsatz kommt, wird sich aus Benutzersicht<br />
nicht viel ändern: Die bisherigen Klienten<br />
funktionieren weiter, 3) durch die höhere Leistungsfähigkeit<br />
der Server und die größere Geschwindigkeit der<br />
Band laufwerke werden Backup und Restore jedoch oft<br />
schneller vonstatten gehen. Vor allem aber sind wir<br />
Storage- und Backup-System: Technische Daten<br />
Primärer Standort (Neues Institutsgebäude / NIG):<br />
Aktuelles 3<br />
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 150 Tera -<br />
byte, davon 62 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre Channel-<br />
Platten (500 GB; diese ersetzen in der neuesten Generation die bisher angebotenen S-ATA-Platten); eine<br />
Management Station Bull Express5800/TM800<br />
• zwei EMC DS-4900B Fibre Channel-Switches mit je 48 Ports (4 Gbit/s)<br />
Sekundärer Standort (derzeit NIG, später Hauptgebäude):<br />
• ein Storage-System EMC CLARiiON CX3-80 UltraScale mit 16 GB Cache und einer Gesamtkapazität von 50 Terabyte,<br />
davon 20 TB in Form von 146 GB- und 300 GB-FC-Platten, der Rest in Form von Low-Cost Fibre Channel-<br />
Platten (500 GB); eine Management Station Bull Express5800/TM800<br />
• zwei EMC DS-4900B Fibre Channel-Switches mit je 32 Ports (4 Gbit/s)<br />
Abb. 2: Blick in das Innere des Bandroboters des neuen Backup-Systems<br />
• ein Bandarchiv mit Roboter IBM 3584, bestehend aus drei Einheiten („Frames“) mit insgesamt zehn Bandlaufwerken<br />
IBM 3592-E05 („Jaguar“) und 1024 Stellplätzen für Bandkassetten. Davon sind derzeit 800 mit Kassetten<br />
mit einer Kapazität von je 500 GB bestückt, sodass sich eine Gesamtkapazität von 400 Terabyte ergibt<br />
• zwei Backup-Server IBM pSeries 52A mit je vier Prozessoren und 4 GB Hauptspeicher<br />
<strong>Comment</strong> 06/3
4 Aktuelles<br />
<strong>Comment</strong> 06/3<br />
durch die weitaus größere Kapazität des neuen Bandarchivs 4)<br />
für einige Zeit für die großen Datenmengen gerüstet, die<br />
demnächst – vor allem auch durch das neue Storage-System<br />
– auf uns zukommen werden.<br />
Zeitplan<br />
Das Backup-System wurde sehr schnell geliefert und im<br />
Laufe des Sommers aufgestellt, installiert und getestet. Die<br />
Abnahme erfolgte am 6. September 2006. Das Storage-<br />
System wurde am 30. August geliefert. Nachdem es sich um<br />
ein sehr komplexes System handelt, nahm die Installation<br />
und Konfiguration längere Zeit in Anspruch und war in der<br />
dritten Septemberwoche abgeschlossen. Wie bereits im<br />
<strong>Comment</strong> 06/1 berichtet, soll das neue Storage-System aus<br />
Gründen der Ausfallsicherheit auf zwei <strong>Universität</strong>sstandorte<br />
(Neues Institutsgebäude und Hauptgebäude) aufgeteilt<br />
werden. Nachdem die Adaptierung der benötigten Räumlichkeiten<br />
im Hauptgebäude noch nicht fertiggestellt ist,<br />
wurden vorläufig beide Teile in getrennten System räumen<br />
des Neuen Institutsgebäudes untergebracht.<br />
Das Storage Area Network wird eine zentrale Komponente<br />
der Infrastruktur des ZID sein, ohne die die meisten Services<br />
Infostand zu Semesterbeginn<br />
Im Wintersemester 2006 hatten Studierende erstmals die<br />
Möglichkeit, sich gleich nach ihrer Studienzulassung direkt<br />
vor Ort – im Hauptgebäude der <strong>Universität</strong> beim Referat<br />
Studienzulas sung / Student Point – am Infostand des ZID<br />
über die EDV-Services für Studierende zu informieren (siehe<br />
Foto). Das Beratungsangebot wurde dabei von den Studierenden<br />
ebenso gerne angenommen wie die dort verteilten<br />
Info materialien und <strong>Comment</strong>-<strong>Ausgabe</strong>n.<br />
Das Infoteam in Aktion: Mag. Christoph Burger, Daniel Müller<br />
nicht funktionieren. Aus diesem Grund ist eine gründliche<br />
Vorbereitung mit umfangreichen Tests erforderlich. Die<br />
Testphase wird voraussichtlich Ende Oktober abgeschlossen<br />
sein. Dann werden zuerst die Fileserver 5) an das SAN<br />
angeschlossen werden, weil dort derzeit der größte Platzmangel<br />
herrscht. Weitere Server werden nach und nach folgen;<br />
bis Jahresende sollte der Großteil der Daten übersiedelt<br />
sein. Wann der neue Systemraum im Haupt gebäude in<br />
Betrieb genommen werden kann, ist noch ungewiss: Vor<br />
allem aufgrund von Verzögerungen bei den erforderlichen<br />
Genehmigungen kann das noch länger dauern.<br />
Peter Marksteiner ■<br />
3) Ab einem Stichtag, der noch bekanntgegeben wird, zeigt der<br />
Hostname BACKUP.UNIVIE.AC.AT auf einen der neuen Backup-<br />
Server, sodass Sicherungen auf das neue Backup-System erfolgen.<br />
Um auf Daten zuzugreifen, die vor diesem Tag gesichert wurden,<br />
ist dann der Hostname RESTORE.UNIVIE.AC.AT anzugeben.<br />
4) Zum Vergleich: Das bisherige Bandarchiv besteht aus zehn Frames<br />
und hat etwa ein Viertel der Kapazität der drei Frames des neuen<br />
Systems, welches noch durch zusätzliche Frames beliebig erwei -<br />
tert werden kann.<br />
5) siehe Artikel Fileservices: Willkommen in der Daten-Bank in<br />
<strong>Comment</strong> 05/1, Seite 24 bzw. unter www.univie.ac.at/<br />
comment/05-1/051_24.html<br />
NEUES INFORMATIONSANGEBOT FÜR STUDIERENDE<br />
Kurs Unet & PC-Raum Basics<br />
Für Studierende, die noch mehr über die EDV-Services des<br />
Zentralen Informatikdienstes erfahren wollen, wird ab dem<br />
Wintersemester 2006 der dreistündige, kostenlose Kurs Unet<br />
& PC-Raum Basics für Studierende angeboten.<br />
• Inhalt: das Unet-Service-Angebot so wie dessen praktische<br />
Nutzung, Erlangung praktischer Fertigkeiten in<br />
den Bereichen Drucken, Scannen, PDF-Erstellung, Daten<br />
sicherung etc. (speziell ausgerichtet auf die Gegebenheiten<br />
in den PC-Räumen des ZID)<br />
• Termine (jeweils 9 – 12 Uhr): 19. Oktober 2006, 9. Novem<br />
ber 2006, 22. November 2006, 12. Dezember 2006<br />
• Kursort: PC-Raum 2 des ZID (Neues Institutsgebäude/<br />
NIG, 1010 <strong>Wien</strong>, <strong>Universität</strong>straße 7, Stiege I, 1. Stock)<br />
• Anmeldung: Da nur eine beschränkte Anzahl an PCs<br />
zur Verfügung steht, ist eine telefonische oder persönliche<br />
Anmeldung am Helpdesk des ZID er forderlich<br />
(bzw. per eMail an helpdesk.zid@univie.ac.at<br />
oder kurse.zid@univie.ac.at).<br />
Die Anmeldefristen und weitere Infos zu den Kursinhalten<br />
finden Sie unter www.univie.ac.at/ZID/kurse/.<br />
Michaela Bociurko ■
MAILBOX-SERVICE:<br />
NEUERUNGEN BEI DER ADMINISTRATION<br />
In der nunmehr zwölfjährigen Geschichte des Mailbox-<br />
Service (siehe <strong>Comment</strong> 94/2, Seite 23 bzw. unter www.<br />
univie.ac.at/comment/94-2/942_23.html) gab es<br />
schon etliche Neuerungen, Umbauten und Reformen. Eine<br />
weitere Reform, die ausschließlich die Benutzerverwaltung<br />
betrifft, steht nun bevor:<br />
• Die Anmeldung zum Mailbox-Service soll mit Hilfe<br />
einer Webmaske wesentlich vereinfacht werden. Ganz<br />
ohne „Papierkram“ geht es leider trotzdem nicht: Zur<br />
Anmeldung ist nur die Eingabe der Sozialversicherungsnummer<br />
und des gewünschten Passworts erforderlich.<br />
Alle anderen benötigten Daten werden – sofern bekannt<br />
– automatisch aus der Personaldatenbank übernommen.<br />
Der Mailbox-Account wird sofort angelegt (aber noch<br />
nicht aktiviert), und aus der Webmaske wird eine PDF-<br />
Datei generiert. Sobald diese ausgedruckt und unterschrieben<br />
beim Helpdesk des ZID einlangt, wird der<br />
Account freigeschaltet.<br />
• Das Ablaufen der Mailbox-UserIDs wird automatisiert<br />
erfolgen. Auf der Webseite www.univie.ac.at/<br />
ZID/mailbox-ablauf/ ist detailliert beschrieben,<br />
unter welchen Bedingungen eine Be nutzungs berechti-<br />
Aktuelles 5<br />
gung ab läuft, innerhalb welcher Fristen eine Verständigung<br />
erfolgt und was Sie bei bevorstehendem Ablauf<br />
tun können (z.B. Weiterleitung von eMail und persönlicher<br />
Homepage).<br />
• Für Besucher, Gäste, Kursteilnehmer usw. gibt es derzeit<br />
verschiedene Arten von UserIDs mit eingeschränkten<br />
Be rechtigungen: „K-IDs“ (Näheres siehe www.univie.<br />
ac.at/ZID/k-id/) und temporäre UserIDs (siehe<br />
www.univie.ac.at/ZID/mailbox/#temporaer).<br />
Dieses Konzept wird nun verallgemeinert, sodass für<br />
jedes Service – Wählleitungszugang, Fileservices, Verwendung<br />
der PC-Räume usw. – einzeln festgelegt werden<br />
kann, ob eine UserID dafür berechtigt ist oder<br />
nicht. Solche „Mailbox Light“-UserIDs sollen mittelfristig<br />
K-IDs und temporäre UserIDs ersetzen, vorläufig<br />
stehen diese jedoch weiterhin zur Verfügung.<br />
Die beschriebenen Neuerungen werden voraussichtlich im<br />
November 2006 wirksam; in der nächsten <strong>Ausgabe</strong> des<br />
<strong>Comment</strong> wird darüber ausführlicher berichtet werden.<br />
Aktuelle Informationen zur Mailbox-Administration sind<br />
unter www.univie.ac.at/ZID/mailbox/ zu finden.<br />
Peter Marksteiner ■<br />
GÜNSTIG TELEFONIEREN MIT<br />
A1 MEMBER UNLIMITED<br />
Handy-Tarife für MitarbeiterInnen der <strong>Universität</strong> <strong>Wien</strong><br />
A1 bietet nicht nur Geschäftskunden spezielle Tarife und<br />
Lösungen für die Mobiltelefonie an, sondern auch deren<br />
Angestellten. Daher wurden mit den Ta rifen A1 Member<br />
Start Unlimited und A1 Member Business Unlimited<br />
zwei Angebote exklusiv für Mitar beiterInnen geschaffen.<br />
Die beiden Pakete unterscheiden sich bei Grundentgelt und<br />
Gesprächs gebüh ren, abgestimmt auf die Bedürfnisse von<br />
Wenigtelefonierern bzw. Vieltelefo nierern.<br />
Zusätzlich kann die Option –50% Grundentgelt gewählt<br />
werden, die 50 Prozent des monatlichen Grund entgelts erspart,<br />
dafür allerdings die Servicebindung von 12 auf<br />
24 Monate verlängert. Der Tarifwechsel in die Tarif modelle<br />
A1 Member Start Unlimited und A1 Member Busi ness Unlimited<br />
ist kostenlos.<br />
Jede/r Mitarbeiter/in der <strong>Universität</strong> <strong>Wien</strong> kann bis zu<br />
4 Anschlüsse anmelden, wobei beide Tarife beliebig kom-<br />
binierbar sind und jeder Anschluss über ein anderes Konto<br />
abgebucht werden kann. Dieses Angebot gilt somit auch<br />
für die Familie oder FreundInnen eines jeden Angestellten,<br />
mit denen man dann besonders günstig telefonieren kann.<br />
Noch bis 30. Juni 2007 haben MitarbeiterInnen der <strong>Universität</strong><br />
<strong>Wien</strong> Zeit, sich für eines der beiden Pakete zu entscheiden.<br />
Weitere Informationen zur An- bzw. Ummeldung sowie zu<br />
den Mitarbeitertarifen finden Sie auf den Webseiten des<br />
Zentralen Informatikdienstes unter www.univie.ac.at/<br />
ZID/a1member/ oder bei der Mobil kom Austria AG unter<br />
www.a1.net/business/memberunlimited.<br />
Eine umfassende telefonische Beratung rund um die Uhr<br />
erhalten Sie zudem unter der kostenlosen A1-Service nummer<br />
0800 664 664.<br />
Karin Geicsnek ■<br />
<strong>Comment</strong> 06/3
6 Aktuelles<br />
<strong>Comment</strong> 06/3<br />
DER NEUE SPAMFILTER – ERFAHRUNGEN,<br />
EMPFEHLUNGEN, EINSTELLUNGEN<br />
Am 16. Juni 2006 ist an der Uni <strong>Wien</strong> ein neuer Spamfilter<br />
in Betrieb gegangen, der im Artikel Wenn der Postmann<br />
zweimal klingelt im <strong>Comment</strong> 06/2 vorgestellt wurde. 1)<br />
Dieser Spamfilter verwendet eine Kombination verschiedener<br />
Metho den zur Spambekämpfung; die wichtigsten davon<br />
sind Greylisting (temporäres Abweisen verdächtiger Nachrich<br />
ten) sowie eine Bewertung anhand verschiedener formaler<br />
und inhaltlicher Kriterien durch das Programm Spam-<br />
Assassin: Je mehr Punkte SpamAssassin vergibt, desto größer<br />
ist die Wahrscheinlichkeit, dass es sich bei einer Nachricht<br />
um Spam handelt.<br />
Im Folgenden wird über die ersten Erfahrungen mit dem<br />
neuen Spamfilter im Produktionsbetrieb berichtet, und es<br />
werden einige Tipps zur Wahl der optimalen Einstellungen<br />
gegeben.<br />
Erste Erfahrungen:<br />
Ein Monat Spam<br />
Wie viel Spam filtert der neue Spamfilter? Um meinen subjektiven<br />
Eindruck – deutlich weniger Spam – durch harte<br />
Zahlen zu untermauern, habe ich einen Monat lang (vom<br />
16. Juni bis zum 16. Juli 2006) alle Spam-Nachrichten, die<br />
an mich zugestellt wurden, gewissenhaft gesammelt. Nachdem<br />
ich eMail an sehr viele verschiedene Adressen erhalte<br />
und die Charakteristika von Spam weitgehend konstant<br />
sind, lassen sich daraus recht verlässliche Rückschlüsse auf<br />
die Trefferquote insgesamt ziehen.<br />
Die Bewertung dieser Nachrichten durch SpamAssassin ist<br />
in der Abbildung auf Seite 7 zu sehen:<br />
• Der maximale Wert des X-Univie-Spam-Level (das ist<br />
jenes Krite rium, nach dem der Spamfilter die Nachrichten<br />
fil tert) ist 51: Bei Werten von mehr als 50 handelt es<br />
sich ganz sicher um Spam, deshalb wird die Darstellung<br />
dort abgeschnitten. Der numerische Wert des X-Univie-<br />
Spam-Score, von dem der X-Univie-Spam-Level abgeleitet<br />
ist, kann auch höher sein: Der höchste bis jetzt<br />
beobachtete Wert ist 73,4.<br />
• Von 1907 Nachrichten wurden 1593 als Spam erkannt<br />
(d.h. ihr X-Univie-Spam-Score ist mindestens 8,0). Das<br />
entspricht einer Trefferquote von 83,5% bzw. einer Reduk<br />
tion von 64 auf 10 Spam-Nachrichten pro Tag.<br />
• 1119 Nachrichten (58,6%) haben einen X-Univie-Spam-<br />
Score von mindestens 15,0; diese würden bei Verwendung<br />
der Standard-Einstellungen des Spamfilters sofort gelöscht<br />
werden.<br />
• 314 Nachrichten wurden nicht als Spam erkannt; von<br />
diesen haben relativ viele (134) einen X-Univie-Spam-<br />
Score von mindestens 6,0. Wählt man 6 als Grenzwert,<br />
ab dem Nachrichten gefiltert werden (siehe unten), so<br />
erhöht sich dadurch die Trefferquote auf 90,5%.<br />
Diese Trefferquoten beziehen sich nur auf jene Spam-Nachrichten,<br />
die bereits die ersten Hürden (Überprüfung auf<br />
Einhalten des Protokolls, Greylisting) überwunden haben.<br />
Wie viel Spam an diesen Hürden scheitert, lässt sich nur<br />
grob abschätzen: An einem typischen Arbeitstag werden<br />
etwa 150 000 Nachrichten sofort abgewiesen, 250 000 durch<br />
Greylisting verzögert zugestellt oder abgewiesen, etwas<br />
mehr als 100 000 Nachrichten insgesamt werden zugestellt.<br />
Von diesen werden etwa 20 000 von SpamAssassin als Spam<br />
erkannt. Nimmt man 20% nicht erkannte Spam-Nachrichten<br />
an, so werden von etwa 400 000 Zustellversuchen ungefähr<br />
25 000 Spam-Nachrichten tatsächlich zugestellt (die automatisch<br />
generierten Statistiken des neuen Spamfilters können<br />
unter http://mailstats.univie.ac.at/ abgerufen<br />
werden).<br />
Um es kurz zusammenzufassen: Mehr als 90% aller Spam-<br />
Nachrichten scheitern bereits eingangs am Grey listing und<br />
anderen Maßnahmen; von den verbleibenden 5 – 10% werden<br />
etwa 80% vom SpamAssassin als Spam markiert, bei<br />
verschärften Einstellungen etwa 90%. Insgesamt ergibt sich<br />
daraus eine Trefferquote von 96 – 99%. Für eine große und<br />
heterogene Institution wie die <strong>Universität</strong> <strong>Wien</strong> ist das ein<br />
sehr respektabler Wert – viel mehr lässt sich mit serverseitiger<br />
Filterung alleine wohl kaum erreichen.<br />
Einstellungen<br />
Der neue Spamfilter muss unter www.univie.ac.at/<br />
ZID/spamfilter-webmaske/ aktiviert werden; dabei<br />
lässt sich seine Funktion über einige Para meter steuern. Bei<br />
den empfohlenen Standard-Einstellungen werden Nachrichten<br />
ab einem Spam-Level von 8 in einen eigenen Spam-<br />
Ordner (Junk Folder) verschoben und ab einem Spam-Level<br />
von 15 automatisch gelöscht (nicht zugestellt). Diese Standard-Einstellungen<br />
sind wohl nie ganz falsch. Nachdem es<br />
aber große Unterschiede gibt – manche erhalten hunderte<br />
Spam-Nachrichten pro Tag, andere fast gar keine –, sind individuelle<br />
Anpassungen oft von Vorteil.<br />
Spam-Level und False Positives<br />
Die Wahl des optimalen Spam-Level, ab dem Nachrichten<br />
gelöscht bzw. in den Spam-Ordner verschoben werden, ist<br />
ein Balanceakt zwischen Effizienz und der Gefahr von False
Positives (das sind legitime Nachrichten, die fälschlicherweise<br />
als Spam klassifiziert werden). Nach unseren Erfahrungen<br />
sind False Positives bei einem Spam-Level von 8<br />
oder mehr äußerst selten. Wer dann immer noch viel Spam<br />
erhält, kann es mit 7 oder 6 versuchen; ein niedrigerer Wert<br />
ist nicht zu empfehlen. Wie groß die Gefahr von False<br />
Positives ist, hängt auch davon ab, mit wem man korrespondiert:<br />
Hat man viele internationale Kontakte, vor allem<br />
in Entwicklungsländern, ist sie verständlicherweise größer.<br />
Zur Vermeidung von False Positives kann auch das neue<br />
Whitelist-Feature des Spamfilters verwendet werden: Damit<br />
wird sichergestellt, dass Nachrichten, die bestimmten Kriterien<br />
genügen (Absender, Betreff) auf jeden Fall zugestellt<br />
werden.<br />
Eine reale Gefahr von False Positives gibt es höchstens bei<br />
akademischen eMail-Diskussionen über Spam: Wenn Sie<br />
eine Spam-Nachricht an einen Freund weiterschicken („Ich<br />
1) siehe <strong>Comment</strong> 06/2, Seite 13 bzw. unter www.univie.ac.at/<br />
comment/06-2/062_13.html<br />
2) Dasselbe gilt bei Beschwerden über Spam: Aus diesem Grund<br />
werden Nachrichten an abuse@univie.ac.at (das ist jene<br />
Adresse, an die Beschwerden über Spam aus dem Uni-Netz geschickt<br />
werden sollen) nicht gefiltert.<br />
3) Wenn Sie von den beiden Funktionen des Spamfilters (In einen<br />
Ordner verschieben bzw. Nicht zustellen) nur eine aktivieren wollen,<br />
dann tragen Sie bei der anderen als Spam-Level den Wert 99<br />
ein: Keine Nachricht kann einen so hohen Spam-Level haben, weil<br />
der höchste mögliche Wert 51 beträgt.<br />
Aktuelles 7<br />
habe da so eine seltsame Mail bekommen – weißt du, was<br />
das soll?“), kann es durchaus passieren, dass diese nie ankommt.<br />
2)<br />
Nicht zustellen<br />
Bei hinreichend hohem Spam-Level ist das Risiko von False<br />
Positives extrem gering, deshalb können solche Nachrichten<br />
gefahrlos ungelesen gelöscht werden. Der einzige Nachteil<br />
dieser Methode ist, dass im (unwahrscheinlichen) Fall einer<br />
fälschlicherweise gelöschten legitimen Nachricht weder der<br />
Absender noch der Empfänger etwas davon merken. Hier<br />
empfiehlt sich unter Umständen ein „Probelauf“: Lassen Sie<br />
die Nachrichten eine Zeitlang nicht löschen, sondern nur in<br />
einen eigenen Ordner verschieben, 3) und aktivieren Sie das<br />
automatische Löschen erst, wenn Sie sich überzeugt haben,<br />
dass keine legitimen Nachrichten in diesem Ordner gelandet<br />
sind.<br />
Spam-Ordner<br />
Ein Junk Folder ist nur dann sinnvoll, wenn er auch von<br />
Zeit zu Zeit kontrolliert wird. Falls sich die Zahl der in diesen<br />
Ordner verschobenen Nachrichten in Grenzen hält, ist<br />
es durchaus zu empfehlen, ganz darauf zu verzichten: Es<br />
macht wohl kaum mehr Mühe, täglich zwei oder drei Spam-<br />
Nachrichten aus dem Posteingang zu löschen, als einmal in<br />
der Woche den Junk-Folder zu leeren. Wenn die Belästigung<br />
durch Spam sehr gering ist, kann der Spamfilter auch komplett<br />
deaktiviert werden.<br />
<strong>Comment</strong> 06/3
8 Aktuelles<br />
<strong>Comment</strong> 06/3<br />
Weiterleitungen<br />
Bei Weiterleitungen ist Folgendes zu beachten:<br />
• Weiterleitung von einer externen Mailadresse (z.B.<br />
name@myprovider.com) an eine Uni-Adresse (z.B.<br />
vorname.nachname@univie.ac.at): Hier sind Greylisting<br />
und andere Maßnahmen, mit denen Spam gleich<br />
beim Eintreffen abgewehrt wird, meist nicht wirksam,<br />
weil die Nachrichten von einem legitimen Mailserver<br />
von myprovider.com entgegenge nommen werden.<br />
Deshalb ist insgesamt mit einer geringeren Trefferquote<br />
zu rechnen, da nur SpamAssassin zum Einsatz kommt<br />
(mehr als zwei Drittel der erwähnten 1907 Spam-Nachrichten<br />
habe ich über externe Adressen empfangen).<br />
• Weiterleitung von einer Uni-Mailadresse (z.B.<br />
vorname.nachname@univie.ac.at) an eine externe<br />
Adresse (z.B. name@myprovider.com): Dabei<br />
kommen alle Maßnahmen wie Greylisting und Markieren<br />
durch SpamAssassin zum Tragen, nicht jedoch das<br />
automatische Filtern. Hier ist also eine Filterung durch<br />
das Mailprogramm des Empfängers erforderlich.<br />
Trotz des großen Erfolges des neuen Spamfilters werden<br />
wir uns nicht auf unseren Lorbeeren ausruhen: Spammer<br />
denken sich immer wieder neue Tricks aus, mit denen sie<br />
Spamfilter umgehen können. Daher sind laufend Anpassungen<br />
und Verbesserungen erforderlich, um die Trefferquote<br />
zumindest zu halten bzw. nach Möglichkeit noch<br />
weiter zu erhöhen.<br />
Peter Marksteiner ■<br />
Diesmal sind die meisten personellen Veränderungen am<br />
ZID aus der Abteilung <strong>Universität</strong>sverwaltung zu berichten:<br />
Nach vier Monaten Vakanz hat das Referat UNIVIS-Produktionsbetrieb<br />
wieder eine Leitung: Elisabeth Vinek wurde<br />
mit Oktober 2006 zur Referatsleiterin ernannt. Ab No vember<br />
2006 wird Anita Messinger dieses Re ferat verstärken.<br />
Im Referat i3v-Software entwick lung kümmert sich seit Septem<br />
ber 2006 Joachim Brunbauer um die ETL-Ent wicklung<br />
für das Reporting System der Uni <strong>Wien</strong>, als Nach folger<br />
von Christopher Anderlik, der leider mit Ende Ok tober<br />
2006 ausscheidet. Alexander Rosenauer hat sich eben falls<br />
entschlossen, die i3v-Entwicklung aufzugeben und den<br />
Zentralen Informatikdienst zu verlassen; mit Franz Seidl<br />
haben wir im August 2006 dafür einen weiteren Java-Entwickler<br />
angestellt. Mit Ende Jän ner 2007 verlässt uns auch<br />
Martin Polaschek: Nachdem er acht Jahre lang am ZID<br />
entscheidend zum Erfolg des UNIVIS-Projekts beigetragen<br />
hat, setzt er seine wissenschaftliche Karriere am In sti tut für<br />
Knowledge and Business Engineering, wo er währenddessen<br />
als Universi täts assistent karenziert war, wieder fort.<br />
PERSONALNACHRICHTEN<br />
ECDL,<br />
die Erweiterung<br />
Seit dem Sommersemester 2006 haben Studierende und<br />
MitarbeiterInnen der Uni <strong>Wien</strong> die Mög lichkeit, am<br />
Zentralen Informatikdienst ECDL Core-Prüfungen abzulegen<br />
(ECDL = European Computer Driving Licence,<br />
Europäischer Computer Führer schein). Um dieses Angebot<br />
abzurunden, können seit September 2006 auch<br />
ECDL Advanced-Prüfungen am ZID absolviert werden.<br />
Der ECDL Core dient dazu, grundlegende und praktische<br />
Fertigkeiten im Umgang mit dem Computer nachzuweisen;<br />
der ECDL Advanced bietet die Mög lichkeit<br />
der Vertiefung. Er besteht aus vier Modulen (Textverarbeitung,<br />
Tabel len kalkulation, Datenbank, Präsentation),<br />
die – völlig un ab hängig vom ECDL Core – einzeln<br />
absolviert werden können. Für jedes dieser Module<br />
wird eine eigene SkillsCard um € 35,– benötigt, die<br />
Prüfungsge bühr beträgt wie beim ECDL Core € 13,– pro<br />
Modul. Für jede positiv abgelegte Modul-Prüfung wird<br />
ein Zerti fikat ausgestellt. Wer alle vier Module erfolgreich<br />
absolviert hat, erhält das ECDL Advanced Expert<br />
Zertifikat.<br />
Weitere Informationen (Anmeldungsmodalitäten, Prüfungstermine,<br />
Lernunterlagen, Demotests etc.) finden<br />
Sie unter www.univie.ac.at/ZID/ecdl/.<br />
Eveline Platzer-Stessl<br />
In der Abteilung PC-Systeme & Fakultätsunterstützung verstärkt<br />
Christoph Leitl seit Mitte Oktober 2006 das Referat<br />
Support Instituts-PCs; Nasret Ljesevic und Birgit Nierlich<br />
verlassen hingegen den ZID. Auch Walter Glaser, der am<br />
Zen tralen Informatikdienst an einem molekularbiologischen<br />
Forschungsprojekt mitgearbeitet hat, scheidet nach erfolgreichem<br />
Abschluss des Projekts wieder aus dem ZID aus.<br />
Nicole Jezek wurde im Juli 2006 für die vakante Stelle in<br />
unserem eLearning-Team angestellt, und ab November 2006<br />
verstärkt Manfred Rudis das Referat Datenleitungs-Infrastruktur.<br />
Seit Ende September 2006 kümmert sich auch<br />
Claudia Eitler-Buchner nach ihrer Mutterschutz-Karenz<br />
wieder um die Agenden im Direktionssekretariat.<br />
Wie immer wünschen wir allen neuen MitarbeiterInnen viel<br />
Freude und Erfolg mit ihrer Arbeit am ZID, und den scheidenden<br />
KollegInnen danken wir für ihre Leistungen und<br />
wünschen ihnen alles Gute für ihre Zukunft.<br />
Peter Rastl ■
Aktuelles 9<br />
ELEARNING: FAHRPLAN FÜR WEBCT VISTA 4.0<br />
WebCT Vista, die Lernplattform der <strong>Universität</strong> <strong>Wien</strong>, ist<br />
jetzt zweieinhalb Jahre alt. Mittlerweile verzeichnen wir<br />
rund 600 Lehrveranstaltungen pro Semester und eine stetig<br />
wachsende Gruppe an Lehrenden und TutorInnen, die im<br />
Umgang mit der Software geschult werden möchte. Stetig<br />
wird eLearning auch in den curricularen Strukturen der<br />
<strong>Universität</strong> verankert und evolviert: Inzwischen gibt es eine<br />
politische Einbindung der Fakultäten in die Strategie entwicklung<br />
sowie die Funktion fakultärer eLearning-Beauftragter.<br />
Längst ist die Lernplattform der Uni <strong>Wien</strong> auch im<br />
Kontext einer europaweiten Ausrichtung von eLearning-<br />
Strategien sichtbar.<br />
Nun steht ein weiterer großer Schritt ins Haus: Das Upgrade<br />
vom mittlerweile bewährten WebCT Vista 3.0 auf die neue<br />
Version 4.0. Für diesen Wechsel spricht vor allem die bei<br />
gleichem Funktionsumfang wesentlich verein fachte Benutzer<br />
oberfläche (einen gewissen Lernaufwand be reitet<br />
eventuell das stark veränderte Designerinterface für Lehrende).<br />
Serverseitig bietet Vista 4 strukturelle Verbesserungen,<br />
die sich erfreulich auf die Übersichtlichkeit der Datenbankstruktur<br />
und die Performance des Systems auswirken.<br />
Auch im europäischen Vergleich ist ein Umstieg auf Vista 4<br />
im Sinne der technischen Weiterentwicklung und der Flexibilität<br />
von Content durchaus sinnvoll.<br />
Im Zuge der Vorbereitungen auf Vista 4 wurden auch verbesserte<br />
Schnittstellen und Anmeldeinterfaces für die Lehrenden<br />
entwickelt. Die Anmeldung und Verwaltung von<br />
Lehrveranstaltungen wird dadurch vereinfacht – Lehrende<br />
registrieren ihre Lehrveranstaltungen jetzt über http://<br />
data.univie.ac.at/kurs/elv/. Voraussetzung dafür:<br />
Die Lehrveranstaltung muss schon im Online-Vorlesungsverzeichnis<br />
eingetragen sein. Parallel dazu wird an der Einbindung<br />
externer Applikationen und Add-Ons für Vista 4<br />
(möglicherweise Wiki, ePortfolio) gearbeitet. Eine derzeit<br />
praktikable Funktion ist ein LaTeX-Parser, der bei Eingabe<br />
der Formel (LaTeX-Code) in die Adresszeile des Browsers<br />
eine .png-Datei generiert, die als Grafik in WebCT Vista<br />
eingebunden werden kann (z.B. http://latex.univie.<br />
ac.at/?x=1).<br />
Abb. 1: Der Personal Desktop in WebCT Vista 4.0 – ein vertrautes Bild<br />
Vorbereitungen: Wann kommt Vista 4?<br />
Vor einem Versionsumstieg müssen – mit ausreichender<br />
Vorlaufzeit – viele Parameter abgesichert sein. Dazu zählen<br />
in erster Linie gründliche Tests auf einem einzelnen Vista 4-<br />
Server, die Ausweitung der Software auf einen Vista 4-<br />
Cluster (ein Verbund mehrerer Rechner), das Einspielen notwen<br />
diger bzw. verfügbarer Service Packs und Language<br />
Packs, gefolgt von einem Nachziehen der Supportstrukturen.<br />
Dies umfasst u.a. die Überprüfung der migrierten Daten,<br />
das Testen von Backups und Templates, die Implementierung<br />
von Add-Ons, die Vorbereitung der Lehrenden, die<br />
Ausar beitung von Vista 4-Schulungen, Dokumentationen,<br />
FAQs etc.<br />
Im Sinne einer sorgfältigen Vorbereitung des Vista 4-Software-Upgrades<br />
hat sich das Team entschieden, im Wintersemester<br />
2006 wie bisher den Vista 3-Cluster für den laufenden<br />
Betrieb zur Verfügung zu stellen. Vista 4-Schu lungen<br />
sind frühestens ab November 2006 vorgesehen. Das eigentliche<br />
Upgrade und die Datenmigration werden (nach gründlichen<br />
Tests auf dem Vista 4-Cluster) im vorlesungsfreien<br />
Februar durchgeführt, sodass zu Beginn des Sommer semesters<br />
2007 mit einer verlässlichen Installation von WebCT<br />
Vista 4.0 gerechnet werden kann. Bis dahin werden Upgrade<br />
schulungen und entsprechende Dokumentationen zur<br />
Verfügung stehen, damit es auch für die bereits erfahrenen<br />
UmsteigerInnen keine bösen Überraschungen gibt.<br />
Vorschau: Was bietet Vista 4?<br />
Personal Desktop<br />
Am Personal Desktop (siehe Abb. 1) gibt es nur geringfügige<br />
Änderungen. Neu ist der so genannte Inhalts-Manager,<br />
der den globalen Dateimanager ersetzt. Das Symbol scheint<br />
folglich auch nicht mehr in der Desktop-Toolbar auf.<br />
Veraltete Kurse können, wie schon in Vista 3.0 nach dem<br />
Service Pack 6, aus- und eingeblendet werden.<br />
Studentenansicht<br />
Da sich die Studierenden rein passiv mit den<br />
Kurs inhalten auseinandersetzen müssen, bleiben<br />
hier die Features weitgehend gleich. Verändert<br />
haben sich lediglich einige Standard-<br />
Symbole. Sind neue Objekte verfügbar, so<br />
ver sieht das System sie künftig mit einem<br />
grünen Stern (siehe Abb. 2 auf Seite 10). Die<br />
Studenten ansicht kann vom Lehrenden editiert<br />
werden; das betrifft im Wesentlichen die<br />
An ordnung der Symbole, die Art der Icons<br />
und Menüleisten sowie die Kurs inhalts übersicht.<br />
<strong>Comment</strong> 06/3
10 Aktuelles<br />
<strong>Comment</strong> 06/3<br />
Designer und Dozenten<br />
Die weitaus umfangreichsten<br />
Funktionsänderungen und<br />
-erweiterungen betreffen das<br />
Designen und Verwalten von<br />
Lehrveranstaltungen. Die wesentlichsten<br />
Neuerungen sollen<br />
hier skizziert werden.<br />
Wie bisher können Lehrende<br />
entweder einen leeren Kurs<br />
einrichten, Inhalte aus einem<br />
anderen Kurs kopieren, dem<br />
Kurs eine Vorlage zuweisen<br />
oder Inhalte aus einer Datei<br />
importieren. Die neu eingerichteten<br />
Vista-Kurse können<br />
auf eigenen oder Fach bereichs-Vorlagen<br />
basieren. Sie<br />
sind bei der Anmeldung der<br />
eLearning-LV unter http://<br />
data.univie.ac.at/<br />
kurs/elv/ auszuwählen<br />
(Nähe res dazu finden Sie<br />
unter www.univie.ac.at/<br />
ZID/elearning/data/<br />
Doku_elv_beantragen.pdf). Bisher stand nach Anmeldung<br />
einer eLearning-Lehrver anstaltung den Lehrenden<br />
ein roher Standard-Kurs mit allen Werkzeugen zur Verfü-<br />
Abb. 3: Vorauswahl der Werkzeuge zur Einrichtung einer Lehrveranstaltung<br />
Abb. 2: Die Studierendenansicht bleibt in WebCT Vista 4.0 weitgehend gleich.<br />
gung. Jetzt müssen Designer und Instruktoren beim ersten<br />
Login eine spezifische Auswahl an Werkzeugen vordefinieren.<br />
Sie erhalten dabei ein Fenster mit einer Übersicht<br />
über alle verfügbaren<br />
Tools (siehe<br />
Abb. 3). Ihre Auswahl<br />
– und zwar nur<br />
diese! – erscheint anschließend<br />
im Menüpunkt<br />
Kurs werkzeuge.<br />
Sollten Sie später<br />
fest stellen, dass Sie<br />
ein nicht ausgewähltes<br />
Werk zeug doch<br />
benötigen, können<br />
Sie es nachträglich<br />
über die De signerwerk<br />
zeuge (Kurs<br />
verwalten) für den<br />
gesamten Kurs global<br />
freischalten. Es<br />
erscheint dann für<br />
De signer und Dozent<br />
im Menüblock<br />
Kurs werkzeuge bzw.<br />
Ver waltungs werkzeuge;<br />
die Studierenden<br />
haben über<br />
die Kurssymbol leiste<br />
Zugriff.
Insgesamt sind das Designer-<br />
und das Dozenten-Interface<br />
in Vista 4 in tuitiver gestaltet<br />
(siehe Abb. 4). Die Prozesse<br />
des Erstellens und des Lehrens<br />
sind noch immer deutlich getrennt,<br />
die Interfaces selbst<br />
wur den aber im optischen Erscheinungs<br />
bild stark analogisiert.<br />
Das Kursmenü befindet<br />
sich nun in beiden Ansichten<br />
vertikal auf der linken Seite<br />
und bietet einen Hide/Show-<br />
Modus, in dem der Text versteckt<br />
wird. Das umständ liche<br />
Aktions menü ist gänzlich<br />
ver schwun den. Zu beinahe jedem<br />
Element existiert nun direkt<br />
im An schluss an den Text<br />
ein Drop-Down-Menü, das<br />
man durch einen Mausklick<br />
auf fächern kann. Die Studenten<br />
ansicht ermöglicht den Lehrenden wie bisher eine<br />
schnelle Überprüfung der Studierenden perspektive.<br />
Die vielleicht wichtigste Veränderung ist das Wegfallen<br />
des Bestands (Content Inventory). Damit entfällt eine „Lage<br />
rungsebene“ von Content. Die je nach Werkzeug erstellten<br />
Objekte (Inhaltsdateien, Lern module, Diskussionen,<br />
Chats etc.) finden Sie nur mehr rubriziert über das jewei lige<br />
Werkzeug: Um z.B. Zugriff auf alle verfügbaren Tests zu<br />
haben, müssen Sie unter Kurswerkzeuge das Tool Tests anklicken<br />
– dort sind alle Online-Tests aufgelistet. Das Kursdesign<br />
wird damit wesentlich vereinfacht. Auf der Startseite<br />
befinden sich nun drei Rubriken. Aus jeder Rubrik können<br />
Sie per Drop-Down-Menü die entsprechenden Ob jekte einzeln<br />
anwählen und beliebig in Ihre Kursstruktur einbauen.<br />
Auch die Kommunikationswerkzeuge, vor allem Chat<br />
und Diskussionsforen, sind in ihrer Ansicht deutlich vereinfacht;<br />
diese Reduktion der Kanäle hat sich auch auf die<br />
Fehleranfälligkeit von WebCT Vista positiv ausgewirkt. Beim<br />
Abb. 4: Vereinfachtes Strukturieren der Startseite und weiterer Verknüpfungen<br />
Abb. 5: Kein Einstellen des Zeichensatzes mehr beim Upload, .zip-Dateien bei<br />
Upload mehrerer Dateien sind nicht mehr nötig<br />
Aktuelles 11<br />
Kalender, Wirt einiger lästiger Bugs im parasitenträchtigen<br />
Vista 3.0, sind Einträge nun endlich auch über die Jahresgrenze<br />
hinaus möglich! Eine weitere sehr praktische Neuerung:<br />
Beim plattforminternen Mailtool kann man jetzt bei<br />
der Auswahl der Adressaten zwischen Rollen (z.B. alle Studierenden),<br />
Gruppen und Einzelpersonen differenzieren.<br />
Da der Bestand wegfällt, verändert sich auch die Selektive<br />
Freigabe. Aufgaben lassen sich jetzt als .zip-Datei herunterladen<br />
und können wie viele andere Werk zeug komponenten<br />
nun lokal gespeichert und damit fle xibler in anderen<br />
Kursen verwendet werden. Auch die nachträgliche Einbindung<br />
dieser Komponenten ist nun deut lich vereinfacht:<br />
Bislang musste man zwischen der Funktion Inhalts import<br />
und dem Datei manager trennen sowie zur Vermei dung von<br />
Daten korrup tionen mit Zeichensätzen jonglieren. Jetzt gibt<br />
es den Datei manager zwar nach wie vor (Rubrik Designerwerk<br />
zeuge), er befindet sich aber direkt hinter dem Icon<br />
Kurs ver walten, wo durch entsprechende Ver linkung und<br />
ein fachere Dar stel lung die Funktion Import klar entschärft<br />
wurde. Beim Anklicken öffnet sich ein Java-Applet<br />
(siehe Abb. 5). Hier besteht für jegliche Art von Content<br />
eine Ver knüp fung zum Datei mana ger, Templates<br />
werden über den von den Leh renden lang ersehnten<br />
Vorlagen-Manager eingespielt. Deut licher getrennt<br />
sind nun auch die Ordner für persönliche und für<br />
kursbezogene Dateien.<br />
Einen guten Überblick über die wichtigsten Features<br />
bietet das auf Englisch verfügbare Interface-Tutorial<br />
(http://tutorials.webct.com/exploring/<br />
interface.htm). Aufgrund der stark veränderten<br />
Selek tiven Freigabe sollte eventuell das technische<br />
Aufbaumodul Lerngruppen/Aufgaben nochmals besucht<br />
werden (siehe www.univie.ac.at/ZID/<br />
elearning-schulungen/).<br />
Annabell Lorenz ■<br />
<strong>Comment</strong> 06/3
12 PCs & Workstations<br />
<strong>Comment</strong> 06/3<br />
ALARMSTUFE ROT: IHR PC WURDE GEENTERT!<br />
Rootkits unter MS-Windows<br />
Das Leben mit Computerviren, Würmern und Trojanern ist<br />
für Windows-Benutzer 1) schon seit langem selbstverständlich.<br />
Die mächtigsten und tückischsten aller Trojaner – bei<br />
Profi-Hackern sehr beliebt und bei Anwendern und Systemadministratoren<br />
entsprechend gefürchtet – sind die so genann<br />
ten Rootkits. Der Name stammt aus der Unix-Welt, da<br />
hier die ersten Rootkits auftraten. Root in Unix entspricht<br />
dem Administrator-Nutzer unter Windows, er hat alle<br />
Rechte am System. Ein Rootkit ist also ein Softwarewerkzeug,<br />
das dem Eindringling alle Rechte des Administrators verschafft<br />
– und dies auf Dauer. Denn: Es versteckt seine<br />
Existenz vor allen, bis auf den Hacker selbst. Selbst die besten<br />
Suchwerkzeuge nach digitalem Ungeziefer versagen<br />
oft bei Rootkits. Zwar muss es dem Angreifer zunächst gelingen,<br />
einen Rechner zu knacken und das Rootkit zu installieren;<br />
anschließend ist dieses jedoch kaum mehr zu finden<br />
bzw. zu entfernen – auch nicht für Experten.<br />
Feindliche Vorgangsweisen<br />
„Blinde Passagiere“ wie Trojaner oder Rootkits erhält man<br />
vorrangig durch administrative Nachlässigkeiten, die ihrerseits<br />
ihre Ursache in mangelndem Sicherheitsbewusstsein<br />
haben: Hacker scannen das Netzwerk nach angreifbaren<br />
Rechnern und nisten sich überall dort ein, wo sie leicht<br />
Unterschlupf finden. Besonders gefährdet sind auch Rechner,<br />
die für Hacker aus strategischen Gründen interessant<br />
sind – z.B. weil sie eine schnelle Internetanbindung haben<br />
oder sich in Netzen befinden, die ergiebige Spionagemöglich<br />
keiten versprechen. Das einzige Mittel dagegen ist eine<br />
rigorose, umfassende Sicherheitspolitik, wie sie der ZID<br />
schon seit längerem empfiehlt (mehr dazu im Abschnitt<br />
Was bleibt zu tun?).<br />
Rootkits sind – obwohl von einer hohen Dunkelziffer ausgegangen<br />
werden muss 2) – unter Windows zwar weniger<br />
verbreitet als Viren und Würmer, dafür aber umso unangenehmer.<br />
Beispielsweise hatte ein Administrator eines Institutsservers<br />
der Uni <strong>Wien</strong> zweimal ein Problem mit einem<br />
HE4Hook-Rootkit (siehe weiter unten), obwohl sich der Server<br />
hinter einer Firewall befand und sich der Administra tor<br />
deshalb sicher wähnte. Beim ersten Mal fiel der Windows-<br />
Server dadurch auf, dass von ihm eine Netzwerkattacke ausging,<br />
die viel Bandbreite in Anspruch nahm. Virenscanner-<br />
Untersuchungen blieben erfolglos, die schädliche Aktivität<br />
war aber unleugbar. Der Server wurde also vom Netz genommen,<br />
und als der Administrator schließlich die Festplatte<br />
ausbaute und auf einem anderen, „sauberen“ PC als Datenplatte<br />
durchsuchte, wurde das Rootkit sichtbar. Der Server<br />
wurde daraufhin komplett neu aufgesetzt; dennoch gelang<br />
es Hackern wieder, das System zu knacken (vermutlich war<br />
der Server nach einem Software-Update nicht sofort neu<br />
gestartet worden, sodass die Sicherheitsänderungen nur teilweise<br />
aktiv waren). Diesmal wurde der Server nach Strich<br />
und Faden ausspioniert – Serverdaten wurden analysiert<br />
und kopiert, Passwörter abgehört und in versteckten Bereichen<br />
gespeichert – und damit zu einer großen Gefahr für<br />
seine (Netzwerk-)Umgebung. Erst durch weitreichende,<br />
kon sequent eingehaltene Sicherheitsmaßnahmen konnten<br />
die Hacker gestoppt werden.<br />
Rechner an der Uni <strong>Wien</strong> spielen bei solchen Attacken leider<br />
allzu oft die Rolle des „dummen Opfers“. Meist sind sie<br />
nicht das direkte Ziel des Hackers, sondern nur Mittel zum<br />
eigentlichen Zweck. Mit einem geenterten <strong>Universität</strong>s-PC<br />
hat der Angreifer mehrerlei erreicht:<br />
• Der PC dient ihm als Sprungbrett für weitere Attacken<br />
und zur Verschleierung seiner Herkunft.<br />
• Der PC steht ihm als Spam-Verteilerknoten (als Schleuse<br />
für den Versand unerwünschter Massenmail) zur Verfügung.<br />
• Der PC – mit seiner im Allgemeinen guten Ausstattung<br />
und Netzwerkbandbreite – kann im Rahmen eines netzwerkmäßig<br />
verteilten Großangriffs auf ein externes Ziel<br />
(Distributed Denial of Service, DDoS) als ferngesteuerter<br />
„Zombie“ eingesetzt werden.<br />
• Der PC ist der sprichwörtliche „Fuß in der Türe“ zum<br />
Datennetz der <strong>Universität</strong>. Durch Abhören von Authentisierungsinformationen<br />
(z.B. Mailbox-Passwörter) kann<br />
der Angreifer weitere Systeme infiltrieren bzw. unter<br />
falscher Identität beliebig agieren.<br />
Gut getarnt ist halb gewonnen<br />
Wie unter Unix/Linux 3) gibt es auch unter Windows zwei<br />
grundsätzlich verschiedene Arten von Rootkits. Die Usermode-Rootkits<br />
sind klassische Trojaner und können daher<br />
im Allgemeinen mit einem geeigneten aktuellen Viren-<br />
1) Alle Personenbezeichnungen in diesem Artikel sind geschlechtsneutral<br />
zu verstehen.<br />
2) Das Jahr 2006 wurde von Sicherheitsexperten zum „Year of the<br />
Rootkit“ gekürt.<br />
3) siehe Artikel Ihr Linux-Rechner wurde assimiliert – ist Widerstand<br />
zwecklos? Rootkits unter Linux in <strong>Comment</strong> 06/1, Seite 19 bzw.<br />
unter www.univie.ac.at/comment/06-1/061_19.html<br />
4) siehe Artikel Sonys digitaler Hausfriedensbruch in <strong>Comment</strong> 06/1,<br />
Seite 24 bzw. unter www.univie.ac.at/comment/06-1/<br />
061_24.html
scanner gefunden werden. Sie laufen im Usermode, d.h. mit<br />
den Rech ten des Anwenders. Ihr Wirkprinzip ist die Unterdrückung<br />
relevanter Information bei der <strong>Ausgabe</strong>: Jedes<br />
Programm, das den Hacker verraten könnte, wird so umgeschrieben,<br />
dass die elektronischen Spuren des Angreifers<br />
verwischt werden und seine Anwesenheit im System verborgen<br />
bleibt. Usermode-Rootkits sind unter Windows (im<br />
Gegensatz zu Linux) selten, weil sie für die Hackergemeinschaft<br />
mit großem Aufwand verbunden sind: Aufgrund der<br />
proprietären und noch dazu komplexen grafischen Oberfläche<br />
von Windows müssen dafür sehr viele Anwendungen<br />
umprogrammiert werden.<br />
Umso größerer Beliebtheit bei Hackern erfreuen sich die<br />
Kernelmode-Rootkits. Kernelmode-Rootkits sind äußerst<br />
effizient und daher der ultimative Schrecken jedes PC-Verantwortlichen<br />
oder Anwenders. Sie fälschen Informationen<br />
bereits vor der <strong>Ausgabe</strong>, auf der Ebene des Systemkerns.<br />
Das Ergebnis: Dateien verschwinden, Anwendungen des<br />
Hackers werden im laufenden System versteckt, offene Netzwerkzugänge<br />
dem eigentlichen Administrator vorenthalten,<br />
Systemregistraturdaten falsch angegeben, Einträge in der Ereignisanzeige<br />
von Windows unterdrückt oder gefälscht und<br />
vieles andere mehr. Jede Anwendung, die ein Nutzer oder<br />
Administrator aufruft, wird daran gehindert, korrekte Daten<br />
wiederzugeben. Daher ist der Schädling auf regulärem Weg<br />
kaum zu finden. Selbstredend können Kernelmode-Rootkits<br />
auch die Ausführung eines Virenscanners behindern oder<br />
gar unterdrücken, während sich der genasführte Administrator<br />
sicher wähnt; dasselbe gilt für den Zugriff auf Ak tualisierungsdaten<br />
des Scanners im Internet. Windows-Fire walls<br />
werden ausgehebelt, Webseiten und Internet adres sen werden<br />
umgelenkt, Kommunikation wird abgehört oder kontrolliert.<br />
Das Bedrohungspotenzial ist schier unerschöpflich.<br />
Unter Windows werden Kernelmode-Rootkits häufig als Gerätetreiber<br />
oder als DLL (Dynamic Link Library) mit allen<br />
Rechten des Administrators – als Teil des Betriebssystems –<br />
installiert. Die alternative Methode ist, mit Hilfe eines einmalig<br />
aufzurufenden Programms die Systemschnittstellen<br />
im Speicher des PCs zu ändern, sodass jeder Systemaufruf<br />
einer Anwendung zuerst an dem im Speicher residierenden<br />
Root kit vorbei muss. Einmal installiert, werden Rootkits<br />
beim Systemstart automatisch wieder geladen. Dank ihrer<br />
Versteck-Technik sind ihre Spuren nach dem Laden sofort<br />
verschwunden – wenn sich der Administrator anmeldet, hat<br />
der PC längst voll durchgestartet und der Spuk läuft. Wie<br />
schwierig das Entfernen eines solchen Rootkits sein kann,<br />
hat der Sicherheitsexperte Marc Russinovich am Beispiel<br />
von Sonys XCP-Rootkit 4) in seinem Weblog dokumentiert<br />
(www.sysinternals.com/blog/blogindex.html).<br />
Das erste Kernelmode-Rootkit für Windows wurde 1999<br />
von Greg Hoglund, einem Systemsicherheitsarchitekten,<br />
entwickelt (bis zu diesem Zeitpunkt waren alle trojanischen<br />
Aktivitäten Teil des Usermodes). Sein NT Rootkit ist in der<br />
Anwendung sehr einfach: Im Prinzip lässt es alle Informationen<br />
– Dateien, laufende Programme (Prozesse), Registratur<br />
einträge – vor den Augen des Anwenders verschwinden,<br />
PCs & Workstations 13<br />
die als Kennung den Text _root_ vorangestellt haben. Es<br />
ist auch in der Lage, eine zweite Internetadresse für den PC<br />
zu vergeben, über die der Hacker unbehelligt in das System<br />
einsteigen kann. Alle Aktivitäten, die der Hacker über diese<br />
Internetadresse abwickelt, werden vom Rootkit getarnt. Das<br />
Rootkit versteckt sich zudem selbst: Nach der Installation ist<br />
es unsichtbar.<br />
Wie gelangt nun der Hacker an die getarnten Daten? Ganz<br />
einfach: Wird ein verborgenes Programm mitsamt seiner<br />
Kennung aufgerufen, so ist die Tarnung dafür aufgehoben.<br />
Die Idee dahinter ist, dass nur der Hacker weiß, welche Programme<br />
vor den Augen des PC-Besitzers versteckt sind,<br />
und daher nur er selbst diese Programme ausführen kann.<br />
Kopiert er z.B. den Windows-Explorer und speichert die<br />
Kopie unter einem neuen Namen (mit Kennung), so wird<br />
beim anschließenden Aufruf dieser Kopie die Dateiansicht<br />
plötzlich wieder vollständig angezeigt. Ähnlich funktioniert<br />
das mit dem Task-Manager, dem Registratur-Editor etc. Ist<br />
ein Hacker nicht imstande, eine individuelle Kennung in<br />
das Rootkit zu programmieren, kann er vom Administra tor<br />
auf diesem Weg enttarnt werden.<br />
Das NT Rootkit ist heute mehr Konzept als taugliches Rootkit,<br />
dennoch wird es gerne als Anschauungsbeispiel für die<br />
Infektionsmöglichkeiten eines Windows-Betriebssystemkerns<br />
präsentiert. Die Janusköpfigkeit solcher Sicherheitsbemühungen<br />
zeigte sich schon bald: Die Ideen Hoglunds<br />
wurden natürlich von der Hackergemeinde aufgegriffen<br />
und verfeinert, sodass mittlerweile eine Vielzahl weit moderner<br />
und wesentlich flexiblerer Kernelmode-Rootkits existiert.<br />
Vier davon – HE4Hook, Vanquish, FU/FUTo und das<br />
AFX-Rootkit – werden im Folgenden näher vorgestellt.<br />
Schurken im Schatten –<br />
und wie man sie aufspürt<br />
Wie kann etwas Unsichtbares gefunden werden? Zum<br />
Glück gilt auch hier: Tand, Tand ist das Rootkit aus des<br />
Hackers Hand. Jedes Rootkit ist nur so gut wie sein Programmierer,<br />
sodass kleinere Fehler dann doch oft zur Enttarnung<br />
führen. Solche Fehler sind sowohl bei der Methode<br />
der Infek tion des Systemkerns als auch bei deren Umsetzung<br />
möglich. Daher ist es grundsätzlich wichtig, den<br />
Gegner zu kennen, d.h. über die Funktionsweise von Rootkits<br />
Bescheid zu wissen.<br />
HE4Hook<br />
Das HE4Hook-Rootkit wird auch als „russisches Rootkit“<br />
bezeichnet. Es ist kein vollständiges Rootkit, d.h. es kann<br />
keine Registratureinträge und offenen Ports verschwin den<br />
lassen, versteckt aber Dateien und Programme (Prozesse).<br />
Auf Anfrage verhindert es auch das Löschen von Dateien<br />
oder das Stoppen von Prozessen, für den Fall, dass jemand<br />
zufällig ein getarntes Objekt ergattert. HE4Hook ist ein älteres<br />
Rootkit und läuft auf modernen Win dows-Versionen<br />
<strong>Comment</strong> 06/3
14 PCs & Workstations<br />
<strong>Comment</strong> 06/3<br />
nicht. Beispielsweise erzeugt es unter<br />
Windows XP einen formi dablen<br />
Absturz, wenn es geladen wird, hinterlässt<br />
da bei aber Spuren in der Ereignisanzeige<br />
(siehe Abb. 1). Unter<br />
Windows XP ServiceRelease 2 hingegen<br />
stürzt das Betriebs system<br />
kom plett ab. Falls also auf Ihrem<br />
PC unerklärliche Systemab stürze<br />
oder ähnliche Fehlermel dun gen<br />
wie in Abb. 1 auftreten, könnte es<br />
sein, dass er von einem Hacker geentert<br />
wurde, der beim Installieren<br />
des Rootkits nicht erfolgreich war.<br />
Vanquish<br />
Im Vergleich zu HE4Hook sind die<br />
Möglichkeiten des Vanquish-Rootkit<br />
relativ schlicht gehalten, dafür<br />
funktioniert es aber auch auf neueren<br />
Win dows-Versionen – also auf<br />
Windows 2000, 2003 und XP. Wie das NT Rootkit verbirgt<br />
Vanquish alles, was als Kennung seinen Namen enthält (es<br />
kann aller dings noch keine Nutzer, Prozesse oder offenen<br />
Ports verstecken). Ein mit Vanquish kompromittiertes System<br />
lässt sich nicht mit vernünftigem Aufwand säubern:<br />
Das Rootkit installiert sich nicht nur über die DLLs und setzt<br />
sich vor die Programm schnittstellen (APIs) von Windows,<br />
sondern infiziert auch Prozesse und nistet sich in der Registra<br />
tur ein. Nur Prozesse und Dateien, welche die Kennung<br />
aufweisen, werden von Vanquish verschont. Damit ist es im<br />
laufenden System faktisch nicht mehr sichtbar bzw. entfernbar.<br />
Zu sätzlich protokolliert das Rootkit automatisch jedes<br />
eingegebene Passwort in der Datei C:\vanquish.log.<br />
Da die Kennung vanquish wie bei Hoglunds erstem<br />
Rootkit fix vorgegeben ist, kann das Vorhandensein von<br />
Vanquish auf diesem Weg aufgedeckt werden: Man erstellt<br />
einfach eine Datei mit dieser Kennung im Namen; verschwindet<br />
sie, dann ist Vanquish installiert. Leider ist diese<br />
Methode nicht immer erfolgreich – versierte Hacker bauen<br />
eine andere Kennung in das Rootkit ein. Für einen stichhaltigeren<br />
Test muss man wissen, dass Vanquish lediglich<br />
Windows-APIs täuschen kann, also nur reine Windows-<br />
Anwendungen von ihm betroffen sind. Glücklicherweise<br />
gibt es aber unter Windows immer noch das gute alte DOS,<br />
das keine Windows-APIs verwendet und daher von Vanquish<br />
nicht betrogen werden kann. Wenn Sie also die Windows-<br />
Eingabeaufforderung (die „DOS-Box“, unter Start –<br />
Ausführen zu finden) mittels command – keinesfalls mit<br />
cmd 5) – aufrufen, so läuft DOS in einer Windows-Emulation.<br />
Mittels dir C:\vanquish.log unter command kann ein<br />
Standard-Vanquish gefunden werden. Hat der Hacker die<br />
Kennung geändert, dann muss die Ergebnisliste des Befehls<br />
dir /s unter cmd mit derjenigen des gleichen Befehls<br />
unter command verglichen werden. Zeigt cmd weniger Dateien<br />
als command, so ist mit großer Wahrscheinlichkeit ein<br />
Vanquish-Rootkit aktiv.<br />
Abb. 1: Ereignisanzeige unter Windows XP nach<br />
Systemabsturz durch HE4Hook-Rootkit<br />
FU/FUTo<br />
Das FU-(bzw. das neuere FUTo)-<br />
Rootkit 6) ist Hackern beim Verstecken<br />
von Prozessen behilflich.<br />
Der Windows-Systemkern hält an<br />
einer bestimmten Stelle im Hauptspeicher<br />
eine spezielle Liste von aktiven<br />
Programmen (Prozessen) für<br />
die Abfrage bereit, die durch den<br />
Windows Task-Manager angezeigt<br />
werden kann. In dieser Liste sind<br />
alle ausführbaren Programme eingetragen<br />
und durchnummeriert.<br />
Diese Nummerierung nennt man<br />
Prozess-Identifikation (PID). Da<br />
sich diese Liste in kurzer Zeit sehr<br />
oft ändern kann, wird jedes Programm<br />
zusätzlich mit einem Eintrag<br />
versehen, der auf das vorige bzw.<br />
das nächste Programm in der Liste<br />
verweist. Diese Prozess-Liste wird<br />
daher „Kette“ genannt. Fordert ein Hacker beim FU-Rootkit<br />
das Verstecken eines Programms an, werden die Verkettungs<br />
einträge des vorigen und nachfolgenden Eintrags so<br />
geändert, dass sie das zu tarnende Programm umgehen und<br />
somit unsichtbar machen. Da die PID aber noch existiert,<br />
kann das getarnte Programm trotzdem ausgeführt werden.<br />
Abb. 2 zeigt solche Prozesslisten in der Ansicht des Task-<br />
Managers von Windows 2000 sowie in der Ansicht des FU-<br />
Rootkit. Noch ist alles in Ordnung. Der Hacker, der sich in<br />
diesem Fall bereits Administrator-Rechte angeeignet hat,<br />
bringt jetzt sukzessive alle Prozesse zum Verschwinden<br />
(siehe Abb. 3).<br />
Natürlich ist es nicht sinnvoll, wenn der Hacker alle Prozesse<br />
verschwinden lässt. Diese Demonstration zeigt jedoch, dass<br />
mit Ausnahme des Leerlaufprozesses (das ist jenes Programm,<br />
das ausgeführt wird, wenn das System nichts zu tun<br />
hat) keine Einschränkungen für das Versteckspiel mit FU<br />
bzw. FUTo bestehen. Eine Spezialität von FU ist, dass Pri vilegien<br />
von beliebigen Prozessen im laufenden Betrieb geändert<br />
werden können. Beispielsweise ist es möglich, einem<br />
Programm, das von einem Hauptbenutzer gestartet wurde,<br />
nachträglich Administrator-Rechte zu geben. Darüber hinaus<br />
kann FU den Anmeldevorgang eines Nutzers „impersonalisieren“:<br />
Windows weiß dann nicht, welcher Nutzer<br />
5) Der Unterschied zwischen dem DOS-Befehlsinterpreter command<br />
und seinem Windows-Äquivalent cmd ist, dass cmd sehr wohl<br />
Windows-APIs verwendet. Das äußert sich insbesondere bei langen<br />
Dateinamen: Während diese unter cmd vollständig dargestellt<br />
werden, werden sie unter command nach dem sechsten Zeichen<br />
abgeschnitten und mit einer Tilde (~) sowie einer Ziffer ergänzt.<br />
6) FU steht für fool the superuser („täusche den Administrator“) und<br />
ist eine Anspielung auf den Unix-Befehl su (substitute user), mit<br />
dem im laufenden System ein Benutzerwechsel durchgeführt werden<br />
kann.
wirklich angemeldet wurde. Installiert wird FU über den<br />
Treiber msdirectx.sys, der aufgrund der Namensge bung<br />
leicht mit Microsofts Multimedia-Software DirectX ver wechselt<br />
werden kann.<br />
Wie verrät sich nun dieses Rookit? Das ältere FU-Rootkit<br />
produziert unter neueren Windows-Versionen (2003, XP)<br />
durchaus sporadische Systemabstürze. FUTo geht es mit<br />
Windows 2000 und XP ähnlich. Da Windows nicht nur für<br />
Prozesse, sondern auch für Anwendun gen eine eigene<br />
Namensliste im System kern hält, können Programme,<br />
die explizit den Anwendungs namen<br />
setzen (z.B. die schon erwähnte DOS-Box),<br />
durch FU/FUTo in der Anwen dungsliste des<br />
Task-Managers nicht zum Verschwinden gebracht<br />
werden. Die Folge ist, dass Prozessliste<br />
und Anwen dungsliste des Task-Managers<br />
nicht übereinstimmen – d.h. eine Anwendung<br />
läuft, es ist aber kein zugehöriger Prozess zu<br />
finden.<br />
AFX<br />
Das AFX-Rookit ist der Mercedes unter den<br />
hier genannten Windows-Rootkits: Es läuft<br />
unter Windows NT, 2000, 2003 und XP. AFX<br />
kann Prozesse, Dateien, Verzeichnisse, Systemmodule,<br />
Windows-Registratureinträge, offene<br />
Ports sowie Sys tem-Ikonen (systray icons) verstecken.<br />
Eine Besonderheit von AFX ist, dass es auch<br />
Datei-Deskriptoren (file handles) verbergen<br />
kann. Ein Datei-Deskriptor ist eine Datenstruktur<br />
im Speicher des Sys tems, die zum Zeitpunkt<br />
des Lesens oder Schrei bens einer Datei für<br />
diese zentral angelegt wird und mittels der die<br />
Verwaltung aller Dateien durchgeführt wird,<br />
die soeben geöffnet sind. Werkzeuge wie<br />
Filemon (siehe www.sysinternals.com),<br />
die anhand solcher Datei-Deskriptoren offene<br />
Dateien an zeigen und somit z.B. eine offene<br />
Datei c:\vanquish.log aufdecken können,<br />
sind gegen das AFX-Rootkit chancenlos.<br />
Die Bedienung dieses Rootkits ist verblüffend<br />
einfach: Es versteckt jenes Verzeichnis, aus<br />
dem heraus es installiert wird. Der Ver zeichnisname<br />
(genauer: die unterste Ebene des<br />
Pfades zum Installationsverzeichnis) wird dabei<br />
gleichzeitig zum Schlüssel für die Sichtbarkeit<br />
– wie vanquish bei Vanquish oder<br />
_root_ bei Hoglunds NT Rootkit.<br />
AFX hat – wie viele andere Windows-Rootkits<br />
– derzeit noch das Problem, dass es (z.B. unter<br />
Windows 2003 oder Windows XP) nicht mit<br />
mehreren gleichzeitig angemeldeten Nutzern<br />
umgehen kann. Ein möglicher Administrator-<br />
PCs & Workstations 15<br />
Trick ist daher, sich zunächst als unprivilegierter Hauptbenutzer<br />
anzumelden und dann erst auf den Admi nistrator-<br />
Nutzer zu wechseln, wodurch das Rootkit zumindest teilweise<br />
sichtbar wird.<br />
Das Wettrennen<br />
Wie Linux-Rootkits sind auch Windows-Rootkits sehr abhängig<br />
von ihrer exakten Implementierung. Ändern sich im<br />
Abb. 2: Prozessliste im Task-Manager (links) und in der Ansicht des FU-Rootkits (rechts)<br />
Abb. 3: Das FU-Rootkit kann bis auf den Leerlaufprozess alle Prozesse zum Ver schwinden<br />
bringen.<br />
<strong>Comment</strong> 06/3
16 PCs & Workstations<br />
<strong>Comment</strong> 06/3<br />
Windows-Kern oder in den Programmschnittstellen wesentliche<br />
Teile durch ein Service-Release (wie z.B. das Ser vice-<br />
Pack 2 von Windows XP), dann ist mit hoher Wahrscheinlichkeit<br />
das abgestimmte Zusammenspiel zwischen Rootkit<br />
und Systemkern nicht mehr möglich. Die Folge davon sind<br />
Abstürze von Programmen oder des gesamten Betriebssystems,<br />
die vor allem zu zwei Zeitpunkten auftreten: Wenn<br />
der wahre Administrator des Systems ein Upgrade auf ein<br />
neues Service-Release durchführt (also ein ServicePack einspielt)<br />
oder wenn der Hacker sein Rootkit in eine unpassende<br />
Windows-Version einspielt. Daher sind System- oder<br />
Programmabstürze – insbesondere des Windows-Explorers<br />
– vom Sicherheitsstandpunkt generell bedenklich und sollten<br />
analysiert werden.<br />
Zwischen Betriebssystem-Herstellern und Hackern hat sich<br />
diesbezüglich ein richtiggehendes Wettrennen eingestellt:<br />
Die Systemhersteller schließen Lücken und machen den<br />
Hackern durch Änderungen an den Programmschnittstellen<br />
(APIs) das Leben schwer; die Hacker passen sich an und<br />
ent wickeln ausgefeiltere Rootkits. Je nach aktuellem Software-Stand<br />
haben abwechselnd die „Guten“ oder die<br />
„Bösen“ die Nase vorne.<br />
Explizite Rootkit-Scanner, wie sie unter Linux gebräuchlich<br />
sind, gibt es unter Windows nicht. Eine interessante Entwicklung<br />
zur Enttarnung von Rootkits sind jedoch die so genannten<br />
Baseline -Werkzeuge wie z.B. Patchfinder 2 oder<br />
das neuere Windows Memory Forensic Toolkit (zu finden<br />
unter www.rootkit.com). Jede Aktion eines Nutzers bewirkt<br />
eine Vielzahl von Systemaufrufen – wird beispielsweise<br />
der Windows-Explorer gestartet, so müssen Dateien gelesen<br />
und geschrieben, Registratureinträge gelesen bzw. geändert<br />
und Netzwerkschnittstellen verwendet werden. Ein<br />
Baseline-Werkzeug analysiert diese Systemaufrufe und<br />
Abb. 4: HE4Hook wird trotz bekannter Signatur vom Virenscanner nicht gefunden.<br />
merkt sich die Muster. Wird danach ein Rootkit (oder auch<br />
ein Virenscanner!) installiert, schlägt das Baseline-Werkzeug<br />
Alarm, da sich die Aufruf-Muster geändert haben. Selbstverständlich<br />
haben auch Baseline-Werkzeuge ihre Nachteile:<br />
Wie die Virenscanner brauchen sie viele Ressourcen vom<br />
System und sind hochgradig abhängig von der eingesetzten<br />
Windows-Version.<br />
Machtlose Virenscanner<br />
Das Aufspüren aktiver Kernelmode-Rootkits gestaltet sich<br />
schwierig. Ist ein Rootkit erst einmal erfolgreich installiert<br />
und auf Dateisystem-Ebene zum Verschwinden gebracht<br />
worden, entzieht es sich erfolgreich der Suche. In Abb. 4<br />
ist ein ergebnisloser Scan des McAfee Virenscanners nach<br />
einem laufenden HE4Hook-Rootkit zu sehen – obwohl er<br />
die Signatur von HE4Hook kennt, was nicht selbstverständlich<br />
ist: Beispielsweise ignorierten manche Scanner das FU-<br />
Rootkit mehr als zwei Jahre nach dessen Erscheinen noch<br />
immer.<br />
Es gibt also keine zuverlässige Möglichkeit, bereits im<br />
System laufende Kernelmode-Rootkits mittels Virenscanner<br />
zu finden. Windows lässt sich jedoch durch rechtzeitiges<br />
Drücken der F8-Taste beim Start im „abgesicherten Modus“<br />
laden. Viele Rootkits werden dann nicht gestartet, sodass<br />
ein anschließendes Aufspüren möglich wird.<br />
Die beste Möglichkeit, Rootkits zu finden, besteht darin, die<br />
Festplatte in einen anderen Windows-PC zu transferieren<br />
und sie dann mittels Virenscanner zu untersuchen. Dieser<br />
PC sollte jedoch sehr sicher betrieben werden, da eventuelle<br />
dort installierte Rootkits das Ergebnis natürlich verfälschen<br />
würden. Am besten geeignet ist hier ein neu instal-<br />
7) siehe Artikel Sicherheit von Anfang an in<br />
<strong>Comment</strong> 04/1, Seite 20 bzw. unter www.<br />
univie.ac.at/comment/04-1/041_20.<br />
html<br />
8) siehe Artikel Department of Desktop Security:<br />
Red Alert bei Windows-Betriebssystemen in<br />
<strong>Comment</strong> 04/1, Seite 18 bzw. unter www.<br />
univie.ac.at/comment/04-1/041_18.<br />
html<br />
9) siehe Artikel McAfee VirusScan – Ihr Goalkeeper<br />
im Einsatz gegen virale Offensiven in <strong>Comment</strong><br />
04/1, Seite 21 bzw. unter www.univie.<br />
ac.at/comment/04-1/041_21.html<br />
10) siehe Artikel Phishing: Bitte nicht anbeißen! in<br />
<strong>Comment</strong> 06/2, Seite 37 bzw. unter www.<br />
univie.ac.at/comment/06-2/062_37.<br />
html<br />
11) siehe Artikel Kammerjäger im Netz in <strong>Comment</strong><br />
06/1, Seite 31 bzw. unter www.univie.<br />
ac.at/comment/06-1/061_31.html<br />
12) siehe Artikel Goldene Regeln für ein intaktes<br />
(Windows-)Be triebs system in <strong>Comment</strong> 04/1,<br />
Seite 16 bzw. unter www.univie.ac.at/<br />
comment/04-1/041_16.html
lierter Win dows-PC, der von Beginn an sicher betrieben<br />
wurde. 7)<br />
Ein Säubern mittels Virenscanner, wie es bei sonstigem digitalen<br />
Ungeziefer üblich ist, reicht bei Rootkits jedoch<br />
nicht. Die einzig sinnvolle Methode zur „Rettung“ eines derart<br />
aufgehackten PCs ist, ihn komplett neu aufzusetzen –<br />
d.h. man muss seine Daten sichern, die Festplatte formatieren<br />
und anschließend sowohl das Be triebssystem als<br />
auch die benötigten Anwen dungsprogramme neu installieren,<br />
wobei das direkte Überspielen von Programmen zu<br />
vermeiden ist.<br />
Was bleibt zu tun?<br />
Es zeigt sich, dass die Suche nach bereits installierten<br />
Rootkits sehr mühsam und zeit intensiv, zugleich aber auch<br />
qualitativ un sicher ist. Wieder einmal ist Vorsorge der beste<br />
Schutz und ein Minimieren der An griffsfläche die beste<br />
Waffe gegen Hacker:<br />
• Halten Sie unbedingt Ihr System durch Security-Updates<br />
8) und regelmäßige Updates des Virenscanners 9)<br />
am aktuellen Stand der Technik.<br />
• Schränken Sie den Zugriff auf Ihren Rechner ein. Verwenden<br />
Sie die Windows-Firewall, wo immer es möglich<br />
ist, und erlauben Sie dabei nur das, was Sie wirklich<br />
brauchen.<br />
• Schalten Sie Windows-Dienste ab, die Sie nicht benötigen.<br />
Leider ist dies nicht leicht zu beurteilen und sollte<br />
daher nur von versierten Benutzern durchgeführt werden;<br />
mit der Verwendung der Windows-Firewall ist jedoch<br />
bereits viel gewonnen.<br />
• Meiden Sie generell dubiose Webseiten und verwenden<br />
Sie Ihren Browser nicht, wenn Sie als Administrator<br />
Ihres PCs angemeldet sind.<br />
• Schalten Sie das automatische Ausführen von programmierten<br />
Webinhalten wie JavaScript und ActiveX nach<br />
Möglichkeit aus – stellen Sie den Browser vielmehr so<br />
ein, dass Sie zuvor gefragt werden, ob Sie das jeweilige<br />
Programm ausführen wollen. Das ist zwar lästig, aber im<br />
Zweifelsfall bewahrt es vor unreflektiert ausgeführten<br />
Programmen aus dem Internet.<br />
• Seien Sie im Umgang mit dem Internet misstrauisch:<br />
Schon so mancher Rechner wurde durch eine Phishing-<br />
Attacke erfolgreich geentert. 10) eMail-Nachrichten von<br />
(vor geblich) Banken, der Polizei oder anderen scheinbar<br />
seriösen Institutionen, in denen Sie aufgefordert<br />
werden, umgehend einem Link zu folgen oder ein<br />
Attach ment zu öffnen (paradoxerweise werden hierfür<br />
oft Sicherheitsgründe angeführt), zielen in aller Regel<br />
nur darauf ab, Sie zu einer unüberlegten Handlung zu<br />
verführen – z.B. zur Preisgabe Ihres Mailbox-Passworts<br />
PCs & Workstations 17<br />
Neue Standard software<br />
Neue Produkte (Stand: 2. Oktober 2006)<br />
• Corel WordPerfect Office X3 für Win.<br />
• Endnote X für Win. & Mac<br />
• MS-Visual Studio 2005 Prof. für Win., deutsch<br />
(englisch ist seit längerem verfügbar)<br />
• MS-Windows 2003 Server Standard R2<br />
• ScanSoft PaperPort Prof. 11.0 für Win.<br />
• SigmaPlot 10.0 für Win.<br />
• SPSS 13.0 für Mac<br />
Updates (Stand: 2. Oktober 2006)<br />
• RSI IDL 6.3 für Win., Mac & Unix (bisher 6.2)<br />
Alle Informationen zur Standardsoftware sind unter<br />
www.univie.ac.at/ZID/standardsoftware/ zu<br />
fin den. Eine Liste der Softwareprodukte, die im Rahmen<br />
der Fakultätsunterstützung (Ferninstallation und Software<br />
wartung von PCs) angeboten werden, finden Sie<br />
unter www.univie.ac.at/ZID/fu-windows/.<br />
Peter <strong>Wien</strong>erroither<br />
oder der Anmeldeinformation für Ihren lokalen PC.<br />
Beliebt sind auch Word-Dokumente, bei deren Öffnen<br />
ein Makro aktiviert wird, das wiederum einen Trojaner<br />
auf Ihrem PC installiert. Lassen Sie sich nicht reinlegen<br />
– solche Mails können Sie getrost löschen!<br />
Notebooks sind durch ihren häufigen Standortwechsel besonders<br />
gefährdet: Moderne Computer-Würmer melden ihr<br />
erfolgreiches Eindringen in ein System an zentraler Stelle<br />
und führen anschließend Befehle von dort aus. 11) Hat sich<br />
ein Wurm in ein Notebook eingenistet, kann er damit auch<br />
hinter Firewalls verschleppt werden und sogar dort – in<br />
vermeintlich geschützter Umgebung – sein Unwesen treiben.<br />
Ein Notebook ist kein Server; daher sollten hier potentiell<br />
riskante Dienste wie integrierte Webserver, Datei- und<br />
Druckerfreigaben etc. unbedingt deaktiviert werden.<br />
Einen Windows-Rechner „sauber“ zu halten bedeutet Arbeit,<br />
manchmal sogar viel Arbeit. Der nötige Aufwand lässt<br />
sich stark reduzieren, indem Sie Ihren Arbeitsplatzrechner<br />
vom ZID im Rahmen des PC-Deployment managen lassen<br />
(siehe www.univie.ac.at/ZID/fu/). Richtiges Verhalten<br />
beim Umgang mit Netzwerkdiensten wie WWW, eMail und<br />
dergleichen 12) lässt sich dadurch aber nicht ersetzen: Nur<br />
permanente Wachsamkeit und ein kritisches Überdenken<br />
der eigenen Sicherheitsstrategie kann einigermaßen verlässlich<br />
Ruhe verschaffen.<br />
Weitere Informationen, Windows-Rootkits und Rootkit-<br />
Analysewerkzeuge finden Sie unter www.rootkit.com.<br />
Aron Vrtala ■<br />
<strong>Comment</strong> 06/3
18 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
10 JAHRE VIENNA INTERNET EXCHANGE<br />
Ein Service der Uni <strong>Wien</strong> für das österreichische Internet<br />
Seit dem letzten <strong>Comment</strong>-Bericht<br />
über den vom Zentralen Informatikdienst<br />
der Uni <strong>Wien</strong> betriebenen<br />
Vienna Internet eXchange (VIX,<br />
www.vix.at) sind schon wieder<br />
fünf Jahre vergangen. 1) Gut funktionierende<br />
Einrichtungen werden<br />
wie selbstverständlich genutzt und<br />
erhalten selten ein ex plizites Presse-<br />
Echo; es ist also durchaus erfreulich,<br />
dass seither weder hier noch<br />
an anderer Stelle über den VIX berichtet werden musste.<br />
10 Jahre sind allerdings ein würdiger Anlass, wieder einmal<br />
Bilanz zu ziehen. Unsere Entscheidung vor etwa sechs Jahren,<br />
interessierten Internet Service Providern neben dem<br />
Neuen Institutsgebäude (1010 <strong>Wien</strong>, <strong>Universität</strong>sstraße 7)<br />
noch einen zweiten Standort für Anschlüsse an den VIX anzubieten<br />
und zu diesem Zweck einen Partner-Vertrag mit<br />
der Firma Interxion in der Shuttleworthstraße in <strong>Wien</strong>-<br />
Florids dorf abzuschließen, hat sich als goldrichtig erwiesen:<br />
Einerseits funktioniert die Zusammenarbeit mit den Interxion-MitarbeiterInnen<br />
seit Beginn der Partnerschaft ausgezeichnet;<br />
andererseits hat die von Interxion strikt eingehaltene<br />
Carrier&Provider-Neutralität und -Unabhängigkeit<br />
wesentlich dazu beigetragen, dass diese Firma sämtliche<br />
Turbulenzen nach dem „Internet-Hype“ bestens überstanden<br />
hat und heute mit einem in <strong>Wien</strong> nahezu konkurrenzlosen<br />
Internet-Datacenter weiterhin als einziger sinnvoller<br />
Standort-Partner für den Betrieb eines neutralen Internet<br />
Exchange Point (IXP) in Frage kommt.<br />
Neue „Terabit-Switches“<br />
zum Geburtstag<br />
Es stand daher für uns außer Frage, auch bei der jüngsten<br />
gerätetechnischen Neuausstattung des VIX für beide Standorte<br />
– VIX1 im NIG und VIX2 bei Interxion – identisch leistungsfähige<br />
Ethernet-Switches zu beschaffen. Nachdem<br />
die Anfang 2001 in Betrieb gegangenen Switches (Extreme<br />
Networks, Black Diamond 6808) trotz eines zwischenzeitlichen<br />
Upgrades im Jahr 2004 am Ende ihrer Leistungs fähigkeit<br />
angelangt waren, war die Zeit reif für eine neue Hardware-Generation<br />
– nicht zuletzt auch deshalb, um den VIX-<br />
KundInnen 10-Gigabit-Anschlussports anbieten zu können.<br />
Die entsprechende Ausschreibung (Ende 2005) hat Siemens<br />
Austria mit Foundry Networks BigIron RX-16 Switches gewonnen.<br />
Diese Switches haben eine Datendurchsatz-Kapazität<br />
von bis zu 1,6 Terabit pro Sekunde (800 Gbit/s Full<br />
Duplex) und sind auf die bevorstehende 40 GigabitEthernet-<br />
bzw. 100 GigabitEthernet-Technologie<br />
vorbereitet. Wir sind also sehr<br />
zuversichtlich, mit diesen Geräten<br />
wieder eine gute Wahl für etwa die<br />
nächsten fünf Jahre getroffen zu<br />
haben.<br />
Die Umstellung gelang reibungslos<br />
in zwei Nächten Ende März 2006,<br />
dank perfekter Zu sammenarbeit<br />
unserer eigenen TechnikerInnen<br />
mit jenen von Sie mens und Interxion. Die Umstellung je<br />
Standort dauerte jeweils weniger als zwei Stunden; ein<br />
Komplettausfall des gesamten VIX konnte vermieden werden.<br />
Die Betriebsstabilität des Vienna Internet eXchange ist<br />
eines unserer Aushäng eschilder, und es erfüllt uns durchaus<br />
mit Stolz, dass der VIX als ein „universitär“ betriebener<br />
Internet Exchange Point zu den stabilsten Infrastruktur-<br />
Einrich tun gen im Inter net gehört.<br />
Das Volumen des gesamten Peering-Verkehrs am VIX liegt<br />
derzeit in einer Größenordnung von 1 Gigabyte pro Sekunde,<br />
also knapp 100 Terabyte pro Tag. Wir beobachten<br />
am VIX in den letzten Jahren etwa eine Verdoppelung des<br />
Volumens pro Jahr, was im Vergleich zu den größten Internet<br />
Exchange Points in Europa (etwa AMS-IX in Amsterdam,<br />
DE-CIX in Frankfurt oder LINX in London) zwar ein geringeres<br />
Wachstum darstellt, aber für einen IXP mit eher<br />
regio nalem Fokus durchaus beachtlich ist.<br />
Noch ein Geburtstag:<br />
5 Jahre Euro-IX<br />
VIX war und ist als Gründungsmitglied maßgeblich am<br />
Aufbau und der Weiterentwicklung der European Internet<br />
Ex change Association (Euro-IX, www.euro-ix.net) beteiligt,<br />
die seit Anfang 2001 insbesondere der Kommunikation<br />
und dem Erfahrungsaustausch von primär europäischen<br />
IXP-Betreibern und damit der Verbesserung der<br />
euro päischen Internet-Infrastruktur dient. Das Interesse von<br />
IXP-Betreibern aus Japan und den USA war allerdings bald<br />
so groß, dass Euro-IX seit Anfang 2005 auch Betreibern von<br />
außerhalb Europas eine assoziierte Mitgliedschaft anbietet –<br />
kürzlich ist sogar der National Internet eXchange of India<br />
(www.nixi.in) beigetreten.<br />
Christian Panigl ■<br />
1) siehe <strong>Comment</strong> 01/1, Seite 30 bzw. unter www.univie.ac.at/<br />
comment/01-1/011_30.html (dort fi nden Sie auch einige<br />
gene relle Hintergrundinformationen zu Internet Exchange Points<br />
sowie zum VIX)
Netzwerk- & Infodienste 19<br />
GÉANT2 – EIN GLASFASER-BACKBONE<br />
Das seit einigen Jahren unter dem Namen GÉANT (www.<br />
geant.net) bekannte und von DANTE (www.dante.net)<br />
betriebene europäische Backbone-Netzwerk für Wissenschaft<br />
und Bildung hat in den letzten Monaten einen Generations<br />
wechsel vollzogen und heißt nun GÉANT2 (www.<br />
geant2.net). In einem aufwendigen Ausschreibungs verfahren<br />
wurde das Netzwerk weitestgehend auf Basis gemieteter<br />
Glasfaser strecken neu gestaltet. Den europäischen<br />
Wis sen schafts netzen – von Irland bis Griechenland, von<br />
Spanien bis Finn land – stehen jetzt Bandbreiten von mehr<br />
als 10 Giga bit pro Sekunde (Gbit/s) zur Verfügung. Der direkte<br />
Zugriff auf die Glasfaser-Infrastruktur (Dark Fibre) erlaubt<br />
DANTE nunmehr eine rela tiv kostengünstige Erweiterung<br />
der gemeinsam genutzten Band breiten. Ebenso ist<br />
es jetzt möglich, dedizierte Hochgeschwin digkeitsverbindungen<br />
für Spezialprojekte anzubieten – z.B. im Bereich<br />
der Astronomie, Hochenergiephysik, Meteoro logie, Telemedizin<br />
sowie anderer Grid-Projekte.<br />
10 Gbit/s für ACOnet<br />
Auch das vom ZID der Uni <strong>Wien</strong> in Kooperation mit anderen<br />
<strong>Universität</strong>en betriebene österreichische Wissenschaftsnetz<br />
ACOnet (www.aco.net) verfügt seit Dezember 2005<br />
über einen 10 Gbit/s-Anschluss an GÉANT2 (zuletzt war<br />
ACOnet mit einem redundanten 622 Mbit/s-Anschluss an<br />
Topologie von GÉANT2 (Mai 2006)<br />
FÜR DIE WISSENSCHAFT<br />
GÉANT angebunden). Ein zweiter 10 Gbit/s-Anschluss soll<br />
spätestens zum Jahresende 2006 zur Verfügung stehen; dieser<br />
dient zur Erhöhung der Ausfallsicherheit und ermöglicht<br />
die Nutzung von dedizierten Gigabit-Verbindungen zu anderen<br />
europäischen Wissenschaftsnetzen.<br />
Die ebenfalls auf Basis einer gemieteten Glasfaserstrecke<br />
von unserem slowakischen Schwesternetzwerk SANET errichtete<br />
Verbindung zwischen Bratislava und <strong>Wien</strong> wurde<br />
im Jänner 2006 auf 10 Gbit/s umgestellt. Eine weitere Glasfaser<br />
strecke zwischen Brno und <strong>Wien</strong> wurde in den Sommer<br />
monaten im Auftrag des tschechischen Wissenschaftsnetzes<br />
CESNET errichtet und getestet und konnte mittlerweile<br />
eben falls mit 10 Gbit/s in Betrieb genommen werden.<br />
Diese Strecke komplettiert nunmehr ein trilaterales Glasfaser<br />
dreieck Bratislava–Brno–<strong>Wien</strong>. Über diese bi- bzw. trilateralen<br />
Verbindungen wird, im Gegensatz zu GÉANT2,<br />
nicht ausschließlich Datenverkehr zwischen den angeschlossenen<br />
Wissenschaftsnetzen ausgetauscht: Wir nutzen<br />
diese zusätzliche Infrastruktur auch zur Verbesserung unserer<br />
regionalen Internet Connectivity, indem wir jeweils die<br />
Netze unserer „Schwestern“ am lokalen Internet Exchange<br />
Point ankündigen (siehe dazu auch Artikel auf Seite 18).<br />
Somit ist ACOnet in direkt über SANET am slowakischen SIX<br />
(www.six.sk) sowie über CESNET am tschechischen NIX<br />
(www.nix.cz) vertreten, ebenso wie die genannten Schwesternetzwerke<br />
über ACOnet am Vienna Internet eXchange<br />
(www.vix.at). Ein ähnliches Modell ist mit dem polnischen<br />
Wissenschaftsnetz in Planung.<br />
ACOnet hat daher im April 2006 als erster VIX-Teilnehmer<br />
auch dort die durch neue Infrastruktur geschaffene Möglichkeit<br />
eines 10 Gbit/s-Peering-Anschlusses realisiert und im<br />
Sinne der Ausfallsicherheit im Mai 2006 durch einen zweiten<br />
solchen Anschluss erweitert.<br />
Ausblick<br />
Diese enorme Bandbreitenerhöhung soll jedoch nicht nur<br />
den ACOnet-Teilnehmern in <strong>Wien</strong> zur Verfügung stehen,<br />
son dern auch in den Bundesländern zugänglich werden.<br />
Deshalb sind wir derzeit dabei, mittels einer Ausschreibung<br />
(zweistufiges Verhandlungsverfahren) den österreichweiten<br />
ACOnet-Backbone zu erneuern. Unser Ziel ist es, eine ähnlich<br />
flexible und zukunftsorientierte Infrastruktur auf Basis<br />
von Glasfaserstrecken zu errichten, wie sie bei den meisten<br />
nationalen Wissenschaftsnetzen und im GÉANT2 realisiert<br />
wurde und wird. Ab Mitte 2007 sollten damit allen österreichischen<br />
Uni versitäten und ACOnet-Teilnehmern Bandbreiten<br />
von 10 Gbit/s und mehr zur Ver fügung stehen.<br />
Christian Panigl ■<br />
<strong>Comment</strong> 06/3
20 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
DATENNETZ, QUO VADIS?<br />
Netzwerke sind aus unserem Leben kaum noch wegzudenken:<br />
Ein PC an jedem Arbeitsplatz, ein Telefon sowieso<br />
schon lange, Notebooks und PDAs ersetzen zunehmend<br />
Papier und Bleistift, immer mehr wird über das Internet<br />
abge wickelt – von Milch kaufen bis hin zu Operationen<br />
über ganze Kontinente hinweg. Aus der „Spielwiese Internet“<br />
ist eine Infrastruktur geworden, die zuverlässig funktionieren<br />
muss.<br />
Das Internet ist an <strong>Universität</strong>en schon seit langem ein integraler<br />
Bestandteil der Forschung und kommt seit einigen<br />
Jahren auch in der Lehre immer stärker zum Einsatz.<br />
Aufgrund dessen hat sich das Datennetz der Uni <strong>Wien</strong> zu<br />
einem komplexen System entwickelt, das ständig erweitert<br />
und ausgebaut wird, um dem wachsenden Bedarf an<br />
Bandbreite gerecht zu werden, eine möglichst hohe Verfügbarkeit<br />
für die BenutzerInnen sicherzustellen und neue<br />
Einsatzgebiete abzudecken. Der folgende Artikel soll einen<br />
kleinen Überblick über den aktuellen Status und die Möglichkeiten<br />
des Uni-Datennetzes geben, aber auch aufzeigen,<br />
warum gewisse Dinge (noch) nicht realisierbar sind.<br />
Schneller, höher, weiter<br />
Vor wenigen Jahren waren PCs mit integrierten Netzwerkanschlüssen<br />
noch ausgesprochen unüblich. Netzwerkkarten<br />
mussten extra gekauft und in den Rechner eingebaut werden,<br />
wobei eine Bandbreite von 10 Megabit pro Sekunde<br />
(Mbit/s) durchaus als leistungsfähiger Anschluss galt. Heute<br />
sind PCs nicht mehr ohne Netzwerk erhältlich, und die eingebauten<br />
Anschlüsse sind meist schon auf GigabitEthernet<br />
(= 1000 Mbit/s) ausgelegt.<br />
Als Folge dieser Entwicklung hat sich nicht nur die Zahl der<br />
an das Uni-Datennetz angeschlossenen Rechner drastisch<br />
erhöht (heute sind es bereits über 15 000), auch der „Bandbreiten-Hunger“<br />
der einzelnen BenutzerInnen ist gestiegen.<br />
Um die Netzwerkinfrastruktur diesen Anfor derungen anzupassen,<br />
war eine Reihe von Maßnahmen notwendig: Einerseits<br />
wurde die Netzwerkanbindung der meisten <strong>Universität</strong>s<br />
standorte auf Glasfaserleitungen und GigabitEthernet<br />
umgestellt (früher waren es Kupferkabel, und die Bandbreite<br />
betrug oft nur 1 Mbit/s), und alle größeren Standorte wurden<br />
im Sinne der Ausfallsicherheit redundant – d.h. über<br />
mehr als einen Weg – angebunden. Zum anderen wurde<br />
auch inner halb der Gebäude die Infrastruktur dahingehend<br />
ausgebaut, dass jeder Anschluss mit 100 Mbit/s versorgt<br />
werden kann. 1)<br />
Hier drängt sich natürlich sofort eine Frage auf: Warum nur<br />
100 Mbit/s und nicht gleich GigabitEthernet, wenn die meisten<br />
PCs sowieso schon dafür ausgerüstet sind? Die Antwort<br />
auf diese Frage hat mehrere Aspekte. Zum einen zei gen die<br />
Statistiken, dass fast alle Rechner mit diesen 100 Mbit/s das<br />
Auslangen finden – für die meisten PCs würden so gar<br />
10 Mbit/s reichen. Dies liegt in der Regel daran, dass der<br />
Kommunikationspartner im Internet üblicherweise nicht<br />
einmal annähernd über die Bandbreite eines <strong>Universität</strong>s-<br />
PCs verfügt. Beim Zugriff auf Netzwerkdienste innerhalb<br />
der Uni <strong>Wien</strong> (Fileservices, Backup etc.) trifft das zwar<br />
nicht zu; nachdem diese Server mit ihrem Gigabit-Anschluss<br />
aber eine Vielzahl von Klienten versorgen müssen, steht<br />
dem einzelnen Benutzer ohnehin nur ein Teil der Bandbreite<br />
des Servers zur Verfügung.<br />
An vielen <strong>Universität</strong>sstandorten kommt erschwerend hinzu,<br />
dass die Verkabelung zu einem Zeitpunkt errichtet wurde,<br />
als GigabitEthernet noch nicht spezifiziert war. Im Gegensatz<br />
zu FastEthernet (= 100 Mbit/s), das nur zwei Drahtpaare<br />
eines Kabels für die Datenübertragung verwendet, benötigt<br />
GigabitEthernet vier Paare. Daher könnte man mit Gigabit-<br />
Ether net nur die Hälfte der vorhandenen An schlüsse nutzen,<br />
was im Widerspruch zum wachsenden Bedarf an Anschlüssen<br />
steht.<br />
Während Arbeitsplatzrechner in der Regel mit 100 Mbit/s<br />
auskommen, sieht die Lage bei Servern naturgemäß etwas<br />
anders aus: Nicht nur vom ZID, sondern auch von anderen<br />
Organisationseinheiten der Uni <strong>Wien</strong> werden zahlreiche<br />
Server betrieben, die große Datenmengen verarbeiten oder<br />
schnell übertragen müssen und eine entsprechende Netzwerkan<br />
bindung benötigen. (Achtung: Da die geeignete<br />
Einbindung in das Datennetz von Fall zu Fall unterschiedlich<br />
sein kann, ist es wichtig, dass der ZID rechtzeitig – d.h.<br />
bereits in der Planungsphase solcher Projekte – kontaktiert<br />
wird, um Verzögerungen möglichst zu vermeiden!) Ein aktuelles<br />
Beispiel für vermehrten Bandbreiten-Bedarf sind internationale<br />
Kooperationen zum verteilten Rechnen in so<br />
genannten Grids. Dabei werden Rechner mittels spezieller<br />
Software so vernetzt, dass die im Grid vorhandenen Ressourcen<br />
(Rechenleistung, Daten, ...) von allen TeilnehmerInnen<br />
genutzt werden können – in Analogie zum Strom,<br />
der aus der Dose fließt, sobald ein Gerät angesteckt wird,<br />
wobei allerdings bei Grid Computing jeder beteiligte Computer<br />
auch Ressourcen zur Verfügung stellt. Um Rechner<br />
rund um die Welt in einem solchen Verbund zusammenfassen<br />
zu können, sind schnelle Datennetze dazwischen unabdingbar.<br />
Die verfüg baren Bandbreiten im europäischen<br />
Backbone-Netz wurden im Rahmen des GÉANT2-Pro jekts<br />
erst kürzlich erhöht (siehe Seite 19) und sollten nun für längere<br />
Zeit ausreichen; allerdings gilt es jetzt, auch innerhalb<br />
1) Nähere Informationen dazu fi nden Sie im Artikel Der ZID wirft<br />
neue Netze aus in <strong>Comment</strong> 05/2, Seite 41 bzw. unter www.<br />
univie.ac.at/comment/05-2/052_41b.html.<br />
2) siehe Artikel Social Software mit dunkler Seite in <strong>Comment</strong> 06/2,<br />
Seite 27 bzw. unter www.univie.ac.at/comment/06-2/<br />
062_27.html
der <strong>Universität</strong> die Systeme so anzubinden, dass diese zusätzlichen<br />
Kapazitäten ausgenutzt werden können.<br />
Grenzenlos mobil<br />
Das „klassische“ Datennetz der Uni <strong>Wien</strong> besteht aus Kabeln<br />
und Verteilern; um es verwenden zu können, braucht man<br />
einen physischen Netzwerkanschluss innerhalb der <strong>Universität</strong>.<br />
In den letzten Jahren hat sich jedoch die Realität<br />
des Arbeitens und Studierens massiv verändert: In vielen<br />
Fällen spielt es inzwischen keine Rolle mehr, wo man sich<br />
tat sächlich aufhält, solange man Zugang zu den benötigten<br />
Informationen hat. Dieser Trend wird dadurch verstärkt,<br />
dass ein Computer heute zwar noch nicht in jede Hosentasche,<br />
aber zumindest schon komfortabel in jeden Rucksack<br />
passt. Damit ist es oft nicht mehr erforderlich, den Studierenden<br />
einen PC für ihr Studium zur Verfügung zu stellen<br />
– den bringen sie mittlerweile oft selbst mit. Immer wichtiger<br />
wird hingegen die Möglichkeit, mit diesem Rechner<br />
auch ab seits der herkömmlichen Netzwerkdosen Zugang<br />
zum Internet zu erhalten. Hier stehen heute vor allem zwei<br />
Techno logien im Vordergrund:<br />
• Zum einen bietet der ZID für alle Rechner mit Internetanschluss<br />
die Möglichkeit, von überall her mittels VPN<br />
(Virtual Private Network, siehe www.univie.ac.at/<br />
ZID/vpn/) eine verschlüsselte Verbindung zum Uni-<br />
Datennetz aufzubauen. Damit ist der Rechner – egal wo<br />
er sich physisch befindet – ein (virtueller) Teil des Univer<br />
sitätsnetzes und kann alle Services genau so nutzen,<br />
als wäre er direkt an der Uni angebunden. Das aktuelle<br />
Schlag wort dazu heißt Personal Network: Die im Netz<br />
benötigten Berechtigungen werden künftig nicht mehr<br />
einem be stimmten Rechner (d.h. einer IP-Adresse) zugeordnet<br />
werden, sondern einer UserID.<br />
• Um innerhalb der <strong>Universität</strong> auch Notebook-Benutzern<br />
eine Netzwerkanbindung zur Verfü gung stellen zu können,<br />
baut der ZID die Versorgung mit WLAN (Wire less<br />
Local Area Network, siehe www.univie.ac.at/ZID/<br />
wlan/ bzw. Artikel auf Seite 22 und 24) lau fend aus.<br />
Derzeit bieten ca. 250 Accesspoints an fast allen Standorten<br />
der <strong>Universität</strong> einen kostenlosen Inter net zugang<br />
für Studierende und MitarbeiterInnen. Be sonderes Augen<br />
merk beim WLAN-Ausbau liegt auf je nen Bereichen,<br />
die von Notebook-BenutzerInnen häufig besucht werden<br />
– z.B. Bibliotheken, Seminarräume, Auf enthalts bereiche,<br />
aber auch zum Teil die Mensen oder die Höfe<br />
des <strong>Universität</strong>scampus AAKH. Aufgrund ihrer Größe<br />
wird es zwar kaum realisierbar sein, die gesamte Universi<br />
tät flächendeckend mit Funknetzen zu versorgen (dafür<br />
wären tausende Accesspoints erforderlich), aber die<br />
Netzabdeckung Schritt für Schritt zu er höhen, ist ein<br />
Projekt, das uns noch einige Jahre begleiten wird.<br />
Der ständige Ausbau der Netzwerk-Infrastruktur ist unumgänglich,<br />
weil das Internet in den letzten Jahren immer stärker<br />
Verwendung findet – insbesondere in der Lehre. Die<br />
Netzwerk- & Infodienste 21<br />
<strong>Universität</strong> fördert den Einsatz solcher Technologien z.B.<br />
durch das eLearning-Strategieprojekt Neue Medien in der<br />
Lehre, an dem auch der ZID beteiligt ist. Dar über hin aus hat<br />
die Vernetzung der Studierenden untereinander ebenfalls<br />
massiv zugenommen: Das Internet entwickelt sich immer<br />
mehr zur zentralen Kommunika tions platt form, und der<br />
Wunsch, überall entsprechende Zugangs mög lichkeiten vorzufinden,<br />
ist daher nur die logische Folge.<br />
In diese Richtung geht auch das europaweite Projekt eduroam,<br />
das es den BenutzerInnen ermöglicht, mit den Zugangsdaten<br />
des Heimat-Netzwerks nicht nur an der eigenen<br />
<strong>Universität</strong>, sondern auch an allen anderen teil nehmenden<br />
Organisationen einen Internetzugang zu erhalten (siehe<br />
dazu auch Seite 22). In Österreich ist eduroam erst im Aufbau<br />
begriffen; dennoch kann man mit einem Unet- oder<br />
Mailbox-Account bereits in vielen Ländern Europas die<br />
Netzwerke der dortigen <strong>Universität</strong>en verwenden. Sogar in<br />
Australien besteht mittlerweile an 52 <strong>Universität</strong>en die Möglichkeit,<br />
auf diese Art zu surfen.<br />
Was kommt?<br />
Das Internet hat bereits einiges an klassischer Techno logie<br />
abgelöst: Briefe wurden zu eMails, Telegramme gibt es (zumindest<br />
in Österreich) überhaupt nicht mehr, Faxe werden<br />
nur noch verschickt, wenn es notwendig ist, Fotoalben legt<br />
man nicht mehr ins Bücherregal, sondern auf seine Homepage<br />
– und das ist erst der Anfang der Entwicklung. Besonders<br />
gut ist diese Veränderung im Moment im Bereich der<br />
Telefonie zu beobachten. Das herkömmliche Festnetztelefon<br />
ist mittlerweile ziemlich aus der Mode gekommen und oft<br />
nur deshalb noch vorhanden, weil es für den ADSL-Anschluss<br />
benötigt wird. Telefonie via Internet (z.B. mittels<br />
Skype) ist bereits eine ernst zu nehmenden Alternative,<br />
auch wenn sie ihre Tücken hat. 2) Und dort, wo es mobil<br />
sein soll, ist das Handy zu einem Teil unseres Alltags geworden:<br />
Vor 10 Jahren war es noch eine Kuriosität, wenn<br />
jemand ein Handy hatte; heute ist es schon fast eine Kuriosität,<br />
wenn jemand „nur“ ein Handy – ohne allerlei Zusatzfunktionen<br />
– hat. Auch hier ist trotz etlicher Startschwierigkeiten<br />
der nächste Entwicklungsschritt schon abzusehen:<br />
die Verbindung von Handy und Internet. Telefonieren und<br />
Surfen aus (oder vielmehr in) einer Hand, mit zahlreichen<br />
Features angereichert, soll die Richtung sein, in die es geht.<br />
„Fernsehen am Handy“ geistert hier immer wieder durch<br />
die Medien, und auch wenn nicht alles so kommen wird,<br />
wie es zu lesen ist – ein Teil davon wird wohl eintreffen.<br />
In jedem Fall wird es nicht mehr entscheidend sein, ob man<br />
Zugang zur vernetzten Welt hat (das wird genauso selbstverständlich<br />
sein wie der Strom aus der Steckdose), sondern<br />
wie man Zugang erhält – ob mittels Kabel, WLAN oder<br />
Mobilfunk. Im Bereich der Uni <strong>Wien</strong> ist der ZID bemüht,<br />
das Netzwerk in diesem Sinn zu betreiben und allen <strong>Universität</strong>sangehörigen<br />
weiterhin einen schnellen, verlässlichen<br />
und sicheren Weg in die digitale Welt zu bieten.<br />
Ulrich Kiermayr ■<br />
<strong>Comment</strong> 06/3
22 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
WLAN: FUNKNETZ-AUSBAU AN DER UNI WIEN<br />
In den letzten Jahren hat der wireless Internetzugang, die<br />
drahtlose Einwahl mit dem Computer in das Netz, zunehmend<br />
an Bedeutung gewonnen. Sowohl in Firmen als auch<br />
im privaten wie im Bildungsbereich wurden diese Internetzugänge<br />
massiv ausgebaut, d.h. auf Funkverbin dungen umgerüstet,<br />
und immer größere Bereiche wurden mit WLAN<br />
(Wireless Local Area Network) abgedeckt bzw. traditionelle<br />
(verkabelte) Verbindungen ersetzt. Zu den wichtigsten<br />
Gründen hierfür zählen:<br />
• Mobilität der BenutzerInnen: Der standortunabhängige<br />
Inter netzugang wird immer wichtiger. Die Möglichkeit<br />
zur Einwahl in das Inter net soll überall verfügbar<br />
und einfach zu verwenden sein.<br />
• Abdeckung unzugänglicher Bereiche: Mit WLAN<br />
können nun auch jene Bereiche abgedeckt werden, die<br />
mit einer Verkabelung nur schwer erreichbar sind (Freiflächen,<br />
spezielle Räume wie z.B. Altbau, denkmalgeschützte<br />
Gebäude etc.).<br />
• Geringerer Zeit- und Kostenaufwand: Die Planung,<br />
Verkabelung und Montage eines Accesspoints 1) nimmt<br />
deutlich weniger Arbeitszeit und Installationskosten in<br />
Anspruch als die vollständige Verkabelung eines Raumes,<br />
insbesondere wenn es sich dabei um einen Raum mit<br />
stark wechselnder Nutzung wie z.B. ein Besprechungszimmer<br />
handelt.<br />
Dennoch werden fixe Arbeitsplätze auch weiterhin mit<br />
Kabel versorgt werden, da WLAN trotz aller Vorteile nicht<br />
die Stabilität und Geschwindigkeit einer verkabelten Verbindung<br />
bieten kann.<br />
An der Uni <strong>Wien</strong> wurden in den letzten Jahren sowohl die<br />
flächenmäßige Abdeckung des WLAN-Zuganges erweitert<br />
als auch viele Verbesserungen im Bereich der Funk tionalität<br />
geschaffen. So wurden in den letzten drei Jahren<br />
1) Accesspoint = Zugangspunkt, der die Verbindung (Brücke) zwischen<br />
WLAN (Wireless Local Area Network: Funknetzwerk) und<br />
LAN (Local Area Network: verkabeltes Netzwerk) herstellt<br />
2) siehe Artikel Datentankstelle802.1X – Ein verschlüsseltes Funknetz<br />
für die Uni <strong>Wien</strong> in <strong>Comment</strong> 06/1, Seite 54 bzw. unter www.<br />
univie.ac.at/comment/06-1/061_54.html sowie Artikel<br />
Education Roaming – Freier WLAN-Zugang für Uni-Angehörige im<br />
eduroam-Verbund in <strong>Comment</strong> 06/1, Seite 53 bzw. unter www.<br />
univie.ac.at/comment/06-1/061_53.html<br />
3) siehe Artikel Education Roaming – Freier WLAN-Zugang für Uni-<br />
Angehörige im eduroam-Verbund in <strong>Comment</strong> 06/1, Seite 53 bzw.<br />
unter www.univie.ac.at/comment/06-1/061_53.html<br />
4) 802.1X = auf dem RADIUS-Protokoll basierender IEEE-Standard für<br />
Benutzerauthentifi zierung und -accoun ting, der hauptsächlich im<br />
WLAN-Bereich eingesetzt wird<br />
• die verfügbaren Accesspoints mehr als verzehnfacht<br />
(deren Anzahl ist von 20 Stück im Jahr 2003 auf derzeit<br />
über 250 Stück gewachsen),<br />
• immer mehr <strong>Universität</strong>sgebäude mit flächendeckender<br />
WLAN-Versorgung ausgestattet statt nur mit einzelnen<br />
Hotspots (z.B. in einem Hörsaal) versehen und<br />
• verschiedene Netze (Datentankstelle, Datentank stelle-<br />
802.1X, eduroam und eduroamWeb) 2) nebeneinander<br />
auf gebaut, die gemeinsam mehr bzw. unterschiedliche<br />
Funktionalitäten und Sicherheit für verschiedene Benutzer<br />
gruppen bieten.<br />
Neuerungen beim WLAN-Service<br />
Im Folgenden wird auf die Umbauten beim WLAN-Service<br />
(ehemals Wireless PNS, Wireless Public Network Services) in<br />
den letzten Monaten an der <strong>Universität</strong> <strong>Wien</strong> und die damit<br />
entstandenen Veränderungen für BenutzerInnen näher eingegangen.<br />
An folgenden Standorten wurden erst kürzlich WLAN-<br />
Access points errichtet:<br />
Vollversorgung:<br />
• Zentrum für Translationswissenschaften<br />
(1190 <strong>Wien</strong>, Gym nasiumstraße 50)<br />
• Zentrum für Sportwissenschaften, USZ II<br />
(1150 <strong>Wien</strong>, Auf der Schmelz 6a / Possingergasse)<br />
• In Zusammenarbeit mit der Leitung der <strong>Universität</strong>sbiblio<br />
theken wurde darüber hinaus auch der Großteil der<br />
Bibliotheks stand orte voll mit WLAN-Accesspoints versorgt.<br />
Teilversorgung (Hörsäle):<br />
• <strong>Universität</strong>shauptgebäude<br />
(1010 <strong>Wien</strong>, Dr.-Karl-Lueger-Ring 1)<br />
• Zentrum für Sportwissenschaften, USZ I<br />
(1150 <strong>Wien</strong>, Auf der Schmelz 6)<br />
• Neues Institutsgebäude / NIG<br />
(1010 <strong>Wien</strong>, <strong>Universität</strong>s straße 7)<br />
Ein neues Funknetz<br />
Zusätzlich zum 802.1X-Netz (eduroam) 3) ist seit einigen<br />
Wochen auch das eduroamWeb-Netz verfügbar. Dieses<br />
bietet – wie eduroam – Internetzugang für Mitarbei terInnen<br />
und Studierende jener <strong>Universität</strong>en, die am internationa -<br />
len eduroam-Projekt teilnehmen. Allerdings ist eduroam-<br />
Web unverschlüsselt und die Authentifizierung erfolgt über<br />
eine Webseite anstatt über 802.1X 4) . Dieses Netz kann daher<br />
auch mit älteren Betriebssystemen (z.B. Windows 95/98)<br />
bzw. bei Problemen mit 802.1X verwendet werden.
Benutzerfreundlicher Zugang<br />
Aufgrund der großen Anzahl an Accesspoints wird seit etwa<br />
drei Monaten ein WLAN Management System eingesetzt,<br />
das Neuerrichtungen, Konfigurationsänderungen und Fehler<br />
analysen deutlich vereinfacht und damit eine bessere<br />
Verfügbarkeit und Stabilität der Funknetze garantieren soll.<br />
Für die BenutzerInnen sind im Zuge dessen folgende positive<br />
Ände rungen entstanden:<br />
• Die neue Login-Webseite (Datentankstelle, eduroam-<br />
Web) hat sich nicht nur im Design verbessert, sondern<br />
ermöglicht auch eine kontinuierliche WLAN-Nutzung<br />
über einen beliebigen Zeitraum hinweg, anstatt der bisherigen<br />
fixen Nutzungsintervalle von 1, 2 oder 8 Stunden<br />
(nach dieser Zeit wurden die BenutzerInnen automatisch<br />
ausgeloggt).<br />
• Weiters hat sich die Roaming-Funktionalität 5) verbessert.<br />
Standort- und Accesspoint-Wechsel bei laufender<br />
Verbindung ist jetzt an der gesamten <strong>Universität</strong> möglich,<br />
solange die Funkwolke nicht vollständig verlassen<br />
wird.<br />
Stichwort Wireless Security<br />
Parallel zu dem Ausbau bzw. zu der stärkeren Verwendung<br />
der WLAN-Netze wird auch das Thema Wireless Security<br />
immer wichtiger. Wie auch verkabelte Netze sind Funknetze<br />
permanent Hacker-Attacken ausgesetzt und müssen gegen<br />
unrechtmäßigen Zugriff und Missbrauch geschützt werden.<br />
Hier ein kurzer Auszug von WLAN-spezifischen Attacken:<br />
• Deauthentication Flooding: Der Angreifer sendet gefälschte<br />
Deauthentifizierungs-Pakete 6) entweder an den<br />
Access point oder an den Klienten und beendet damit<br />
die Verbindung zwischen diesen beiden. Bei regelmäßiger<br />
Wiederholung dieses Angriffs hat der Klient keine<br />
Mög lich keit, eine funktionierende Verbindung zustande<br />
zu bringen.<br />
• Association Flooding: Der Angreifer schickt Asso ziierungs-Pakete<br />
7) an den Accesspoint, um dessen Klienten-<br />
Tabellen 8) zu füllen. Wenn die Attacke erfolgreich ist,<br />
hat der Accesspoint viele „sinnlose“ Klienten in seiner<br />
Tabelle und kann keine weiteren (wenn auch legitimen)<br />
Verbindungen akzeptieren.<br />
• AP Impersonation / Honeypot AP / MITM 9) : Der Angreifer<br />
betreibt einen Accesspoint mit derselben MAC-<br />
Adresse 10) und identischem WLAN-Netz wie der legitime<br />
Accesspoint. Klienten, die zwischen diesen beiden<br />
nicht unterscheiden können, verbinden sich eventuell<br />
mit dem falschen Accesspoint. Der Angreifer kann somit<br />
falsche Login-Seiten vortäuschen und/oder im schlimmsten<br />
Fall Benutzeraccounts und -daten mitlesen.<br />
Netzwerk- & Infodienste 23<br />
Ausbaurichtlinien für<br />
WLAN-Beamer<br />
und andere WLAN-basierte Geräte, z.B. Bluetooth<br />
WLAN-Beamer 11) verwenden dieselben Funkfre quenzen<br />
wie WLAN-Accesspoints (802.11b/g-Standard 12) ).<br />
Da es laut Standard nur drei nicht überlappende Funkfrequenzen<br />
gibt und oft bereits zwei oder drei Accesspoints<br />
in einem Bereich funken, kann der zusätzliche<br />
Einsatz von WLAN-Beamern zu störenden Interferenzen<br />
führen. Sowohl die Funknetze der <strong>Universität</strong> <strong>Wien</strong> als<br />
auch die Übertragung zum Beamer können dadurch<br />
an Geschwindigkeit verlieren bzw. die Verbindung<br />
sogar abbrechen.<br />
Aus diesem Grund bittet der ZID alle Institute, die<br />
über die Anschaffung von WLAN-Beamern nachdenken,<br />
um Kontaktaufnahme mit dem ZID unter netzwerk.zid@univie.ac.at,<br />
um Probleme dieser Art<br />
schon vor der Errichtung zu besprechen und sofern<br />
möglich zu vermeiden.<br />
Hier sind nicht nur Internet-Banking oder ähnlich sensible<br />
Anwendungen gefährdet – auch Mailverkehr, Online-Einkäufe<br />
oder einfach das Surfverhalten eines Benutzers könnten<br />
für einen Angreifer interessant sein.<br />
Wenn auch solche Attacken nicht einfach durchzuführen<br />
bzw. nicht mit fertigen Tools oder Programmen ohne spezielles<br />
Wissen möglich sind, sollte sich trotzdem jeder<br />
Benutzer, der sich in ein Funknetz einwählt, dieses Risikos<br />
bewusst sein. Die Uni versität <strong>Wien</strong> bietet mit der Datentankstelle802.1X<br />
und eduroam zwei verschlüsselte, relativ<br />
5) Roaming = Wechsel des Verbindungsanbieters (Betreiber, Funkstation,<br />
Accesspoint, …) bei laufender Verbindung<br />
6) Deauthentifi cation = Beendigung der Authentifi zierung<br />
7) Assoziierung = erstmaliges Herstellen der Verbindung mit einem<br />
Accesspoint<br />
8) Klienten-Tabelle = lokale Tabelle mit allen momentan verbundenen<br />
Geräten<br />
9) MITM (Man In The Middle) = ein Angriff, bei dem versucht wird,<br />
Teil einer Verbindung zu werden, um Daten zu lesen, zu löschen<br />
oder zu verändern<br />
10) MAC-Adresse (Media Access Control ) = Hardware-Adresse jeder<br />
einzelnen Netzwerkkarte bzw. jedes einzelnen WLAN-USB-Adapters,<br />
die zur eindeutigen Identifi kation des Geräts im Netzwerk<br />
dient<br />
11) Ein WLAN-Beamer ermöglicht die drahtlose Datenübertragung und<br />
Wiedergabe von Computerinhalten zum Projektor über ein Funknetzwerk.<br />
12) 802.11b/g = IEEE-Standard für Funknetze im 2,4 GHz-Bereich, inkl.<br />
z.B. möglicher Frequenzkanäle<br />
<strong>Comment</strong> 06/3
24 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
sichere Netze an. So fern möglich, sollten diese gegenüber<br />
der Datentankstelle oder eduroamWeb bevorzugt verwendet<br />
werden. Anleitungen zum Konfigurieren der Datentankstelle802.1X<br />
für Windows XP und Mac OS X finden Sie<br />
unter www.univie.ac.at/zid/anleitungen-wlan/.<br />
Alle BenutzerInnen, die bei der Durchführung einer<br />
Attacke identifiziert werden, sowie BenutzerInnen<br />
mit virenverseuchten Computern bzw. Notebooks<br />
werden vom ZID für den Zugang zum WLAN gesperrt.<br />
Falls Ihr Account im WLAN-Netz der <strong>Universität</strong> <strong>Wien</strong> nicht<br />
mehr funktionieren sollte, wenden Sie sich bitte an den<br />
Helpdesk des ZID, um Funktionsstörungen bzw. Sperren<br />
zu beheben:<br />
NIG (1010 <strong>Wien</strong>, <strong>Universität</strong>sstraße 7), Stg. II, 1. Stock<br />
eMail: helpdesk.zid@univie.ac.at<br />
Telefon: +43-1-4277-14060<br />
Daniel Schirmer ■<br />
„VERSTRAHLTE“ UNIVERSITÄT?<br />
WLAN und Elektrosmog<br />
Wenn im Alltag von „Elektrosmog“ gesprochen wird, sind<br />
meist technisch – d.h. durch elektrische Geräte, Leitungen<br />
und Sender – erzeugte elektrische und magnetische Felder<br />
gemeint. International gebräuchlich ist der Ausdruck EMF,<br />
elektromagnetische Felder.<br />
Grundlagen<br />
Jede Anwendung von Elektrizität, wie z.B. das Stromversorgungsnetz<br />
oder Mobilfunk, erzeugt Felder und führt so zu<br />
Elektrosmog. Man unterscheidet zwischen Gleich- und<br />
Wechselfeldern. Felder lassen sich durch ihre Stärke (Amplitude)<br />
beschreiben; bei Wechselfeldern ist zusätzlich die<br />
Schwingung (Wellenlänge) sowie die Schwin gungszahl<br />
(Frequenz) charakteristisch. Die Erde ist von natürlichen<br />
elektrischen und magnetischen Feldern umgeben. Das tech-<br />
Abb. 1: Frequenzbereiche elektromagnetischer Felder<br />
nologische Eingreifen durch den Menschen seit dem Ende<br />
des 19. Jahrhunderts bewirkt, dass die Erde nun auch von<br />
künstlichen elektromagnetischen Feldern umgeben ist.<br />
• Gleichfelder (oder statische Felder) werden beispielsweise<br />
durch Bat terien oder elektrostatische Aufladungen<br />
produziert. Sie haben eine im Wesentlichen zeitlich<br />
konstante Stärke.<br />
• Bei Wechselfeldern dagegen, wie sie z.B. im öffentlichen<br />
Stromnetz auftreten, ändern sich Polarität und Stärke<br />
periodisch: Sie schwingen mit einer bestimm ten Frequenz<br />
(siehe Abb. 1). Abhängig von ihrer jeweiligen Fre quenz<br />
haben die von Wechselfeldern ausgehen den elek tro magne<br />
tischen Felder entsprechende Wellen län gen: Je höher<br />
die Frequenz, desto kürzer die Wellen länge. Elektro magnetische<br />
Felder breiten sich also als Welle frei im Raum
aus. Aus prak tischen Gründen werden Wechselfelder in<br />
nieder- und hochfrequente ein geteilt. Während niederfrequente<br />
Wech selfelder (bis 30 kHz) in sämtliche Stoffe<br />
relativ tief eindringen können, können hochfrequente<br />
Wechsel felder in Abhän gigkeit von ihrer Frequenz nur<br />
bis zu einer gewissen Tiefe (wenige Zentimeter bis Millimeter)<br />
in diese Stoffe – z.B. in den mensch lichen Organis<br />
mus – eindringen.<br />
Niederfrequente Wechselfelder (bis 30 kHz)<br />
Bis zu einer Frequenz von 30 kHz (das sind Wellenlängen<br />
von 10 km und mehr) spricht man von „niederfrequenten<br />
Wechselfeldern“. Vereinfacht ausgedrückt gilt: Wo Spannung<br />
ist, ist ein elektrisches Feld – und wo Strom ist, ist ein magne<br />
tisches Feld. Sobald z.B. eine (ausgeschaltete) Schreibtischlampe<br />
an eine Steckdose angesteckt wird, erzeugt die<br />
nun anliegende, mit 50 Hz wech selnde Span nung des öffentlichen<br />
Stromversorgungsnetzes ein elektromagnetisches<br />
Wechselfeld. Schaltet man die Lam pe ein, bringt der im<br />
Kabel der Lampe fließende Strom die Glüh birne zum<br />
Leuchten, die Stärke des elektromagne ti schen Wechselfeldes<br />
wird durch den Stromfluß erhöht.<br />
Ty pische Verursacher von niederfrequenten elektromagnetischen<br />
Wechselfeldern im täglichen Leben sind z.B. E-<br />
Herd, Haar fön, Lampen, Strominstallationen in Gebäuden<br />
oder Ober leitungen bei Eisenbahn bzw. Straßenbahn.<br />
Hochfrequente Wechselfelder<br />
(30 kHz bis 300 GHz)<br />
Bei Frequenzen zwischen 30 kHz und 300 GHz spricht man<br />
von „hochfrequenten Wechselfeldern“ bzw. nicht ionisierender<br />
Strahlung. Dies entspricht Wellenlängen von 10 km<br />
bis hin zu 1 mm. Hoch frequente elektromagnetische Felder<br />
werden zum Beispiel bei Radio und Fernsehen, Mobilfunk,<br />
WLAN, Blue tooth, Rettungs-, Betriebs- und Taxifunk oder<br />
funkbasierten Diebstahlsicherungen genutzt.<br />
Wechselfelder in diesem Frequenzbereich werden grundsätzlich<br />
schwächer, je größer der Abstand zur Quelle ist.<br />
Aufgrund ihrer relativ kurzen Wel lenlänge nimmt die Intensität<br />
der Strah lung – infolge von Reflexionen und Interferenzen<br />
bzw. Abschirmungen – jedoch nicht immer gleich mit<br />
der Entfer nung ab: Einerseits kön nen im Raum Schwingungsknoten<br />
mit wesentlich stärkeren Feld stärken beobachtet<br />
werden, andererseits können aber auch Punkte im<br />
Raum mit wesentlich schwächeren Feld stär ken beobachtet<br />
werden. Hier lässt sich ohne spe zielle Com puterprogramme<br />
bzw. Mes sungen vor Ort keine ge naue Vorhersage über<br />
mögliche Feldstärken treffen.<br />
Die für Handy, Bluetooth, Mikrowelle und WLAN verwendeten<br />
Frequenzen umfassen den Bereich von ca. 1 GHz bis<br />
3 GHz; das bedeutet Wellenlängen im Bereich von 30 cm<br />
bis 10 cm. Die erwähnten lokalen Unterschiede in der Feldstärke<br />
können daher auch in diesen kleinen Dimensionen<br />
beträchtlich sein.<br />
Netzwerk- & Infodienste 25<br />
Weiterführende Informationen<br />
• Informationsstelle zum Thema WLAN & Elektro<br />
smog: Zentraler Informatikdienst der <strong>Universität</strong><br />
<strong>Wien</strong> (Kontakt: netzwerk.zid@univie.ac.at)<br />
• Informationsstelle zum Thema Elektrosmog &<br />
gesundheitliche Beeinträchtigungen: Ab tei -<br />
lung für Arbeitnehmerinnen- und Arbeitnehmerschutz<br />
(ANS) des Raum- und Ressourcenmanagements<br />
(www.univie.ac.at/ANS/) bzw. Arbeitsmediziner<br />
der Uni <strong>Wien</strong> (über ANS erreichbar)<br />
• Broschüre Elektromagnetische Felder der<br />
AUVA: erhältlich in der Abteilung für Arbeitnehmerin<br />
nen- und Arbeitnehmerschutz, auch als PDF-<br />
Datei verfügbar<br />
• ÖNORM S 1119: Grenzwerte für niederfrequente<br />
elektrische und magnetische Wechselfelder (www.<br />
ove.at)<br />
• ÖVE/ÖNORM 8850: Grenzwerte für hochfrequente<br />
elektromagnetische Wechselfelder (www.ove.at)<br />
• Elektrosmog auf Wikipedia: http://de.<br />
wikipedia.org/wiki/Elektrosmog<br />
• Informationsplattform zum Thema EMF der<br />
For schungsstiftung Mobilkommunikation, ETH<br />
Zürich: www.emf-info.ch (alltägliche Belastung<br />
leicht verständlich aufbereitet – sehr empfehlenswert<br />
für Neueinsteiger)<br />
• Deutsches Mobilfunk-Forschungsprogramm:<br />
www.emf-forschungsprogramm.de<br />
• Moser, Rolf: Das Handyhandbuch, Verlag der<br />
Grünen Bildungswerkstatt OÖ, ISBN 3-902009-25-X<br />
(kostenloser Download unter www.ooe.gbw.at/<br />
verlag/vorschau/das-handyhandbuch-neu/)<br />
• Grasberger, Th. und Kotteder, F.: Mobilfunk – Freilandversuch<br />
am Menschen, Kunstmann (2003),<br />
ISBN 3-88897-328-7<br />
Strahlung (über 300 GHz)<br />
Über einer Frequenz von 300 GHz spricht man von Strahlung.<br />
Die Wellenlängen betragen hier weniger als einen<br />
Millimeter. In diese Kategorie fallen das sichtbare Licht und<br />
die so genannte ionisierende Strahlung, z.B. Röntgen- und<br />
Gammastrahlung. Ionisierende Strahlung wird heute unter<br />
anderem für die Sterilisation von Geräten, Implantaten oder<br />
Lebensmitteln eingesetzt, aber auch für die Strahlentherapie<br />
in der Krebsbekämpfung.<br />
<strong>Comment</strong> 06/3
26 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
Zur Festlegung von offiziellen Grenz- und Richtwerten<br />
(siehe Tabelle unten) werden folgende Messverfahren<br />
herangezogen:<br />
Stromdichtemessung<br />
Bei niederfrequenter Strahlung bis 30 kHz wird zur<br />
Ermittlung von Grenzwerten die Änderung der Stromdichte<br />
im Kör per gemessen. Niederfrequente magnetische<br />
Wechselfelder induzieren bei geeigneter Stärke<br />
einen elektrischen Strom fluss im Körper. Niederfrequente<br />
elektrische Wechselfelder bewirken durch Ladungsverteilung<br />
einen elektrischen Stromfluss im Körper. Die<br />
Grenzwerte werden für das magnetische Wechselfeld in<br />
Tesla (T) bzw. für das elektrische Wechselfeld in Volt<br />
pro Meter (V/m) angegeben.<br />
Spezifische Absorptionsrate (SAR)<br />
Das thermische Wirkungsmodell ist die Grundlage der<br />
gesetzlichen Grenzwerte für hochfrequente elektromagnetische<br />
Wechselfelder (nicht ionisierende Strahlung).<br />
Diese beziehen sich daher nur auf die thermischen Effekte,<br />
also auf Ge webeerwärmungen durch Strahlungsabsorption.<br />
In den Körper eindringende, nicht ionisierende Strahlung<br />
kann ab einer bestimmten Stärke das Gewebe erwärmen<br />
und es dadurch schädigen. Es wird davon ausgegangen,<br />
dass dafür eine bestimmte Zeit notwendig ist.<br />
Da her werden zur Einschätzung der biologischen Wirkungen<br />
nicht die für Sekundenbruchteile auftretenden<br />
Spitzenwerte herangezogen, sondern die über ein bestimmtes<br />
Zeitintervall gemittelten Leistungsflussdichten.<br />
Bei hochfrequenter Strahlung zwischen 30 kHz und<br />
300 GHz wird daher die spezifische Absorptionsrate<br />
(SAR) des ge samten Organismus bzw. des Kopfes ermittelt.<br />
Die SAR gibt an, wie viel elektro-<br />
magnetische Energie vom Körper in<br />
äußeren Fel dern aufgenommen und in<br />
Wärme umgewandelt wird. Über einer<br />
Frequenz von 30 kHz treten die Moleküle<br />
des Organismus mit den Wellen<br />
der äußeren Felder in Resonanz und<br />
beginnen zu schwin gen bzw. zu ro tieren.<br />
Dies er zeugt einen Wärmeeffekt<br />
im Orga nis mus, der heute als Basis für<br />
Grenz werte der Welt ge sund heits organisa<br />
tion (WHO), der Internationalen<br />
Kommis sion zum Schutz vor nicht ionisierender<br />
Strahlung (ICNIRP) und auch<br />
der Europäischen Union herangezogen<br />
wird.<br />
Messverfahren für Elektrosmog<br />
Man unterscheidet zwischen Ganzkörper-SAR und Teilkörper-SAR<br />
(kleinerer Gewebebereich, z.B. Kopf). Die<br />
SAR wird in Watt pro Kilogramm (W/kg) angegeben. In<br />
Österreich gelten für elektromagnetische Felder ebenfalls<br />
die Grenzwerte der Weltgesund heits organisation<br />
(WHO). So wurde z.B. als SAR im Umfeld von Handymasten<br />
0,08 W/kg für den ganzen Körper und als SAR<br />
beim Telefonieren mit dem Handy 2 W/kg für den Kopf<br />
als betroffenen Teilbereich des Körpers festgesetzt.<br />
Leistungsflussdichte<br />
(abgeleiteter Grenzwert)<br />
Die Leistungsflussdichte beschreibt die Intensität der<br />
Strahlung. Sie gibt an, wie viel Energie mit Hilfe elektromagneti<br />
scher Wellen durch den Raum transportiert<br />
wird. Als Einheit der Leistungsflussdichte wird Watt pro<br />
Quadratmeter (W/m 2 ) verwendet; häufig wird auch<br />
Milliwatt pro Quadratmeter (mW/m 2 ) bzw. Mikrowatt<br />
pro Quadratmeter (µW/m 2 ) als Einheit angegeben (1 W<br />
= 1000 mW; 1 mW = 1000 µW).<br />
Da die Ermittlung der SAR-Basisgrenzwerte in der Praxis<br />
sehr aufwendig ist, wurden so genannte „abgeleitete<br />
Grenz werte“ zur einfachen Messung der elektromagnetischen<br />
Felder entwickelt. Aus den SAR-Basisgrenzwerten<br />
und unter Berücksichtigung eines Sicherheitsfaktors<br />
von 50 ergeben sich folgende frequenzspezifischen<br />
Grenz werte:<br />
• UMTS: 10 W/m 2<br />
• GSM 1800 MHz: 9 W/m 2<br />
• GSM 900 MHz: 4,5 W/m 2<br />
Diese abgeleiteten Grenzwerte stellen sicher, dass die<br />
Basisgrenzwerte (SAR) nicht überschritten werden, d.h.<br />
dass die Erwärmung des Kopfes beim Telefonieren mit<br />
dem Handy 0,1° C nicht übersteigt.<br />
Grenz- und Richtwerte mW/m 2<br />
ICNIRP/WHO/EU-Ratsempfehlung (1800 MHz, z.B. GSM) 9000*<br />
Deutschland (1800 MHz, z.B. GSM) 9000<br />
Österreich-ÖNORM S 1120 (900 MHz / 1800 MHz, z.B. GSM) 6000 / 10000<br />
Russland (Summe Hochfrequenz) 100<br />
<strong>Wien</strong> (Gemeindebauten Summe GSM, Innen und Außen) 10*<br />
Salzburger Vorsorgewert 1998 (Summe GSM Außen) 1*<br />
Salzburger Vorsorgewert 2002 (Summe GSM Außen) 0,01*<br />
Salzburger Vorsorgewert 2002 (Summe GSM Innen) 0,001*<br />
Grenz-/Richtwerte für hochfrequente elektromagnetische Wechselfelder (Mobilfunk)<br />
* = Richtwerte
Wirkungen auf den Körper<br />
Prinzipiell muss zwischen thermischen und nichtthermischen<br />
Wirkungen bzw. Effekten unterschieden werden:<br />
• Unter thermische Effekte fallen Gewebeerwär mun gen<br />
durch Strahlungsabsorption, wie wir sie auch von der<br />
Infra rotstrahlung durch die Wärmeempfindung anschaulich<br />
kennen.<br />
• Beeinflussungen des Organismus wie z.B. Beeinflussung<br />
des Herz-/Kreislaufsystems oder der biologischen<br />
Strö me (Nervensystem, Gehirn) werden den nichtthermischen<br />
Wirkungen zugerechnet.<br />
Das thermische Wirkungsmodell bildet die Grundlage der<br />
gesetzlichen Grenzwerte für hochfrequente elektromagnetische<br />
Wechselfelder. Nichtthermische Wirkungen werden<br />
nicht berücksichtigt. Zahlreiche Wissenschaftler sind jedoch<br />
der Ansicht, dass Aus wir kungen der Strahlung auf den<br />
Körper schon weit unterhalb der thermischen Grenzwerte<br />
möglich sind. Sie fordern da her die Einführung von „Vorsorge<br />
werten“, die deutlich unter den gesetzlichen Grenzwer<br />
ten liegen (siehe Kasten Messverfahren für Elektrosmog<br />
auf Seite 26). Die wissenschaftliche Diskussion über dieses<br />
Thema ist auch nach Jahren noch nicht abgeschlossen. Es<br />
gibt zwar unzählige Beobachtungen, Arbeiten und Stu dien,<br />
die über mögliche Gesundheitsrisiken und Befindlichkeitsstörungen<br />
berich ten, aber keine wissenschaftlich abgesicherten<br />
Daten über eine konkrete Gesundheitsgefährdung<br />
durch schwache hoch frequente Strahlung. Dennoch warnte<br />
die Ärztekammer im Jahr 2005 vor einem unkontrollierten<br />
Gebrauch von Handys durch Kinder (basierend auf der<br />
REFLEX-Studie – Näheres dazu siehe z.B. http://www.<br />
aekwien.at/media/REFLEX_Vortrag.pdf).<br />
Folgende nichtthermische Wirkungen werden unter anderem<br />
vermutet:<br />
• Effekte auf das genetische Material (chromosomale Schäden,<br />
Tumorentstehung);<br />
• neurologische Symptome und EEG(Hirnstromaktivi tät)-<br />
Veränderungen;<br />
• Blutdruckveränderungen;<br />
• Verhaltensstörungen, Schlafstörungen, Kopfschmerzen,<br />
Mü digkeit, Tinnitus, Änderung der kognitiven Funktionen<br />
1) ;<br />
• übersteigerte Empfindlichkeit gegenüber elektromagnetischen<br />
Feldern („Elektrosensibilität“).<br />
1) Anmerkung: Diese Symptome, wie auch die oben genannten Blutdruckveränderungen,<br />
werden mittlerweile bei den verschiedensten<br />
Krank heitsbildern angeführt – z.B. bei Elektrosensibilität oder auch<br />
bei diversen Umweltkrankheiten wie Chemikalienunver träg lichkeiten.<br />
2) Wolf C., Barth A.: Befi ndlichkeitsstörungen ohne Befund – mo derne<br />
Symptome, Internist 43: 833 (2002)<br />
3) Krause et al. 2000: Effects of electromagnetic fi eld emitted by cellular<br />
phones on the EEG during a memory task, Neuroreport 11(4), 761–<br />
764<br />
Elektrosensibilität<br />
Netzwerk- & Infodienste 27<br />
Unter Elektrosensibilität versteht man das Auftreten von<br />
mindestens einem psychischen und/oder physischen Sym ptom<br />
(z.B. Kopfschmerzen, Schlafstörungen, Konzentrationsschwächen,<br />
Veränderungen von Blutdruck und Herzschlag<br />
etc.), verursacht durch diverse elektromagnetische Felder.<br />
Ursachen dieser Belastungen können elektromagnetische<br />
Felder sein (ausgehend von Mobilfunk, Radio- und Fernsehsendern,<br />
Mikrowellengeräten), aber auch niederfrequente<br />
elek trische und magnetische Wechselfelder, wie sie im Haushalt<br />
oder in der Nähe von Trafo-Stationen und Fernleitungen<br />
vorkommen. Die Anzahl von elektrosensiblen Personen<br />
wird in manchen Studien mit bis zu 6% angegeben. Für dieses<br />
Krankheitsbild gibt es zwei Erklärungsmodelle:<br />
• Elektrosensibilität ist tatsächlich vorhanden<br />
Ursache der Elektrosensibilität ist demnach ein bis jetzt<br />
noch nicht entdeckter „bioelektrischer“ Mechanismus.<br />
Vertreter dieses Mo dells empfehlen daher eine Expositionsreduktion<br />
(Iso lierung von Elektrokabeln, Installation<br />
von Netzfrei schaltern, Abschirmungen u.Ä.).<br />
• Elektrosensibilität als psychologisches Phänomen<br />
Die Beschwerden als solche werden zwar nicht bezweifelt,<br />
sehr wohl aber ihre Auslösung durch elektromagnetische<br />
Felder. Ausgehend von Symptomen, für die die<br />
Be troffenen keine einleuchtende medizinische Erklärung<br />
und/oder Therapie erhalten, entwickelt sich stufenweise<br />
ein Zustand, in dem bei jedem Auftreten von Beschwer<br />
den elektromagnetische Felder gesucht und als<br />
Aus löser identifiziert werden. 2)<br />
Wegen des großen öffentlichen Interesses wurde im<br />
Februar 2004 von Infrastrukturminister Hubert Gorbach der<br />
Wis senschaftliche Beirat Funk (WBF) eingerichtet. Dieser<br />
sollte als erstes die weltweit vorliegenden Studien zum<br />
Thema Mobilfunk und Gesundheit kritisch durchleuchten.<br />
Das Ergebnis: Es sind sehr wohl Effekte feststellbar, doch in<br />
keiner Studie konnte ein schädlicher oder gar krankmachender<br />
Effekt nachgewiesen werden (z.B. wurden EEG-<br />
Veränderun gen während des Handy-Telefonierens zwar beobachtet,<br />
aber als nicht schädlich eingestuft). 3)<br />
E-Smog durch WLAN<br />
an der <strong>Universität</strong> <strong>Wien</strong>?<br />
Der ZID wurde im Zuge des Ausbaus der WLAN-Infrastruktur<br />
an der Uni <strong>Wien</strong> (WLANs = Wireless Local Area Networks,<br />
lokale Funknetzwerke) verstärkt mit dem Thema Elektrosmog<br />
konfrontiert: Von einigen Univer si tätsmit arbeiterInnen<br />
wurde eine ernst zu nehmende, von den Access points<br />
ausgehende Strahlenbelastung be fürch tet. Daher entschloss<br />
sich der Zentrale Informatikdienst, sich mit der The matik<br />
genauer auseinanderzusetzen und eine entsprechende Arbeits<br />
gruppe ins Leben zu rufen – gemeinsam mit der Abteilung<br />
für Arbeitnehmerinnen- und Arbeitnehmerschutz des<br />
Raum- und Ressourcen managements unter der Leitung von<br />
<strong>Comment</strong> 06/3
28 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
Mag. Martina Kaburek<br />
(www.univie.ac.at/<br />
ANS/) und den für die<br />
<strong>Universität</strong> <strong>Wien</strong> zuständigen<br />
Arbeits medi zi nern<br />
Dr. Clemens Becsi und<br />
Dr. Beata Lutomska-Kaufmann<br />
von der Team Prevent<br />
GmbH (siehe www.<br />
teamprevent.at).<br />
Medizinische<br />
Beurteilung<br />
Es gibt mittlerweile zahlreiche nationale und internationale<br />
Studien über die Wirkung von hochfrequenten elektromagnetischen<br />
Wechselfeldern. Bei allen diesen Studien steht die<br />
Frage im Vordergrund, ob Mobilfunk (z.B. GSM, UMTS) ein<br />
Gesundheitsrisiko darstellt. Zum Thema WLAN liegen jedoch<br />
noch keine Wirkungsdaten vor. Eine medizinische<br />
Beurteilung kann daher nur anhand von Analogieschlüssen<br />
mit dem GSM-Netz erfolgen.<br />
Bei WLAN-Netzen wird, analog zu den GSM-Basisstationen,<br />
über einen Accesspoint ständig gepulste Strahlung aus gesandt.<br />
Der Nutzer und seine Umgebung sind über die Sendeantenne<br />
des Notebooks einer näheren und damit stär keren<br />
Strahlenexposition ausgesetzt. Die stärkste Belastung liegt<br />
also bei Benutzung des Notebooks vor (wie im GSM-Netz<br />
beim Telefonieren mit dem Handy) und erfolgt nur während<br />
der Nutzdatenübertragung. Dauersendende Mobilfunk-Basisstationen<br />
sind beim GSM-Netz in der Regel weiter<br />
weg und außerhalb des Gebäudes, wobei allerdings immer<br />
mehr Mikrozellen zur lückenlosen Versorgung in Gebäuden<br />
(z.B. in Tiefgaragen) zum Einsatz kommen.<br />
WLAN arbeitet im Frequenzbereich von 2400–2483,5 MHz.<br />
GSM arbeitet in den Frequenzbereichen 1710–1785 MHz<br />
(uplink) und 1805–1880 MHz (downlink). Die maximal zulässige<br />
EIRP (= äquivalente isotrope Strahlungsleistung:<br />
Sender-Ausgangsleistung plus Berücksichtigung der Antennen<br />
richtwirkung) für WLAN im Frequenzbereich von<br />
2400–2483,5 MHz beträgt in Österreich 100 mW. Als<br />
Reichweite werden in den Produktbeschreibungen – bei<br />
Einha ltung von 100 mW EIRP – je nach Datenübertra gungsrate<br />
für Innen räume etwa 25–50 m und für das Freie etwa<br />
150–550 m angegeben. In der Praxis liegen die Expositionen<br />
in Innenräumen etwa im Bereich von 0,0001 mW/m 2<br />
bis 1 mW/m 2 ; es treten natürlich auch höhere und tiefere<br />
Werte auf. Die maximal zulässige Leistung der WLAN-Geräte<br />
liegt allerdings mit 100 mW deutlich unter der Maxi mal-<br />
Quelle Frequenzbereiche Maximal zulässige Sendeleistung Mindestabstand<br />
Basisstation Mobilfunk 900 MHz / 1800 MHz bis 50 W / 20 W 2,5 m<br />
Handy 900 MHz / 1800 MHz bis 2 W / 1 W keiner<br />
Bluetooth 2,4 GHz bis 1 mW / 2,5 mW / 100 mW keiner<br />
DECT (Schnurlostelefon) 1880 MHz bis 250 mW keiner<br />
WLAN 2,4 GHz / 5 GHz bis 100 mW / 1 W keiner<br />
WLAN – Uni <strong>Wien</strong> / ZID 2,4 GHz / 5 GHz 1 mW * keiner<br />
Tabelle 1: Maximal zulässige Sendeleistungen in Österreich (* Bei manchen technisch schwierig zu versorgenden<br />
Außenbereichen muss die maximale Sendeleistung von 1 mW überschritten werden.)<br />
leistung von Handys, die in Österreich bei GSM 1800 MHz<br />
bis zu 1 W betragen darf (siehe Tabelle 1). Dafür senden<br />
diese wiederum leistungsgeregelt, d.h. nur während des Gebrauchs<br />
und nur in der jeweils erforderlichen Intensität.<br />
Bewertung des ZID<br />
Auf die Auswertung des aktuellen Stands der Wissenschaft<br />
bzw. Medizin folgte am ZID die Erkenntnis, dass das Thema<br />
„WLAN und E-Smog“ umfassend und mit Bedacht behandelt<br />
werden muss: Ob und welche Risiken von einer möglichen<br />
Elektrosmog-Belastung durch WLAN ausgehen, kann<br />
derzeit nicht endgültig beantwortet werden. Selbst die aktuellen<br />
Grenzwertempfehlungen namhafter Wissenschaftler<br />
reichen von 0,001 mW/m 2 bis 10 W/m 2 (siehe Tabelle 2).<br />
Daher entschloss sich der ZID, das Vorsorgeprinzip anzuwenden<br />
und alles zu tun, um die von den Accesspoints ausgehende<br />
Strahlenbelastung möglichst gering zu halten. Dies<br />
erreichen wir durch eine Beschränkung der maximalen Sendeleistung<br />
der Accesspoints auf 1 mW. Eine mögliche Elektrosmog-Belastung<br />
an Dauerarbeitsplätzen kann zu sätz lich<br />
durch sorgfältige Wahl des Aufstellungsortes (Einhal tung<br />
eines möglichst großen Abstands zu Dauerarbeits plätzen,<br />
Aus nutzung der abschirmenden Wirkung von Ge bäu de teilen<br />
wie Wände oder Glasscheiben) vermindert werden.<br />
Durch sorgfältige Festlegung der Strategie, welche Bereiche<br />
mit WLAN versorgt werden sollen, ist ebenfalls eine Senkung<br />
der E-Smog-Belastung für die <strong>Universität</strong>smitarbeiterInnen<br />
möglich. So könnten z.B. Notebooks an Dauerarbeits<br />
plätzen anstatt über WLAN weiterhin über die Netzwerkver<br />
kabelung angebunden werden. In Aufenthalts bereichen<br />
– speziell solchen für Studierende – oder Besprechungs<br />
räu men ist eine WLAN-Versorgung hingegen durchaus<br />
sinnvoll. Die Initiative zur Errichtung einer solchen<br />
Infrastruktur muss allerdings von der jeweiligen Or gani sa-<br />
Experte Institution Grenzwertempfehlung<br />
Prof. Dr. Robert Wana Wissenschaftlicher Beirat Funk (WBF) 10 W/m2 (ÖVE/ÖNORM 8850)<br />
DI Dr. Hans-Peter Hutter Institut für Umwelthygiene (Medizinische <strong>Universität</strong> <strong>Wien</strong>) 1 mW/m2 Dr. Gerd Oberfeld Landessanitätsdirektion Salzburg 0,001 mW/m 2 (Salzburger Vorsorgewert)<br />
Tabelle 2: Von namhaften Experten im Juni 2006 empfohlene Grenzwerte für Belastungen durch elektromagnetische Wechselfelder
tionseinheit der Uni ver sität<br />
<strong>Wien</strong> ausgehen (wenden Sie<br />
sich dazu bitte per eMail an<br />
netzwerk.zid@univie.<br />
ac.at).<br />
Fazit<br />
Bei der Abwägung möglicher<br />
Risiken gegen den Nutzen mobiler<br />
Technologien hat sich<br />
die heutige Gesellschaft für<br />
den Mobilfunk entschieden.<br />
Wis senschaftliche Forschun gen liefern derzeit noch zu<br />
wenig stichhaltige Ergebnisse, um diesen Trend wesentlich<br />
zu beeinflussen: Es gibt keine direkt messbaren Anzeichen<br />
dafür, dass elektromagnetische Strahlung in den derzeit üblichen<br />
Mengen eine schädliche Wirkung hat, gesundheitliche<br />
Beeinträchtigungen durch Funknetze konnten bisher<br />
noch nicht wissenschaftlich eindeutig nachgewiesen werden.<br />
Diesem Trend folgend wurde auch an der Uni <strong>Wien</strong> –<br />
aufgrund der großen Nachfrage durch MitarbeiterInnen und<br />
Studierende und auf ausdrück lichen Wunsch der LeiterInnen<br />
von Organisationseinheiten – der Ausbau der WLAN-Infrastruktur<br />
an den <strong>Universität</strong>s standorten in der Leistungsverein<br />
barung des Zentralen In for matikdienstes festgelegt.<br />
Nachdem diese Technologien erst seit wenigen Jahren eingesetzt<br />
werden, liegen allerdings noch keine Untersuchungen<br />
über mögliche Langzeitfolgen von durch WLAN bzw.<br />
Mobilfunk verursachtem Elektrosmog vor; auch können<br />
beob achtete Phänomene zum Teil noch nicht wissenschaftlich<br />
erklärt werden. Somit ist noch kein endgültiges Urteil<br />
Vernetzte Computersysteme sind ohne den Einsatz von<br />
Verzeichnisdiensten kaum mehr denkbar. Ob es um die Zustel<br />
lung von eMail, den Status bzw. die Berechtigungen<br />
eines Accounts oder um die Information geht, von welchem<br />
File server das Home-Verzeichnis geholt werden soll: Verzeich<br />
nisse versammeln für den Betrieb relevante Informa tionen<br />
in standardisierter, menschen- wie maschinenlesbarer<br />
Form und ermöglichen damit erst die großen und komplexen<br />
Netzwerke und Netzwerk-Anwendungen, auf die wir<br />
heute oft angewiesen sind.<br />
Einer der wichtigsten Ver zeich nis dienste ist LDAP, das Lightweight<br />
Directory Access Protocol. Neben diesem Bei trag zum<br />
Problemkontext und zur historischen Entwick lung werden<br />
sich künftige <strong>Comment</strong>-Artikel anhand des LDAP-Ein satzes<br />
an der Uni <strong>Wien</strong> auch mit praktischen Fragen beschäftigen.<br />
Netzwerk- & Infodienste 29<br />
Quelle Exposition Mittelwert Exposition Spitzenwert<br />
WLAN – Uni <strong>Wien</strong> / ZID, 1 m 0,047 mW/m2 0,14 mW/m2 WLAN – Uni <strong>Wien</strong> / ZID, 3 m 0,038 mW/m 2 0,26 mW/m 2<br />
WLAN – Uni <strong>Wien</strong> / ZID, 5 m 0,018 mW/m 2 0,169 mW/m 2<br />
Notebook, 60 cm Abstand 0,0014 mW/m 2 0,082 mW/m 2<br />
Handy Nokia 6210, 2 m, Verbindungsaufbau 1,2 mW/m 2 > 20 mW/m 2<br />
Handy Nokia 6210, 2 m, Gespräch 1,8 mW/m 2 2,8 mW/m 2<br />
Tabelle 3: Tatsächliche Belastungen ausgehend von aktiven Komponenten, gemessen im Juni 2006<br />
am ZID der <strong>Universität</strong> <strong>Wien</strong> (verwendetes Messgerät: Gigahertz-Solutions HF59B)<br />
VERZEICHNISDIENSTE:<br />
VON X.500 ZU LDAP<br />
mög lich, weshalb das Vorsorgeprinzip auch an der Uni versität<br />
<strong>Wien</strong> zur Anwendung gelangen muss. Die Heraus forderung<br />
für den ZID liegt also darin, dem stetig wachsenden<br />
Bedürfnis nach mobiler Kommunikation gerecht zu werden<br />
und gleichzeitig die Funknetze der Uni <strong>Wien</strong> – wie oben<br />
beschrieben – mit Bedacht zu errichten und zu betreiben,<br />
um ein mögliches Risiko für alle <strong>Universität</strong>sangehörigen<br />
und Gäste auf ein Minimum zu reduzieren. Regelmäßige<br />
exempla rische Messungen der realen Strahlenbe lastung<br />
sind in diesem Zusammenhang selbstverständlich.<br />
Abschließend soll nicht unerwähnt bleiben, dass jeder einzelne<br />
von uns sich selbst und sein Umfeld durch den unbedachten<br />
Einsatz mobiler Kommunikationsgeräte temporär<br />
wesentlich größeren Strahlenbelastungen aussetzt als z.B.<br />
von der WLAN-Infrastruktur permanent abgestrahlt werden<br />
(siehe Tabelle 3).<br />
Markus Ankner (ZID), Mag. Martina Kaburek (ANS),<br />
Dr. Clemens Becsi, Dr. Beata Lutomska-Kaufmann<br />
(TeamPrevent GmbH) ■<br />
Überall Verzeichnisse<br />
Im Alltag pflegen wir einen ganz selbstverständlichen<br />
Umgang mit verschiedensten Verzeichnissen: gedruckte<br />
und elektronische Telefonbücher, Gebäudepläne (etwa um<br />
einen Hörsaal in einem <strong>Universität</strong>sgebäude zu finden),<br />
Kataloge (z.B. gewisser schwedischer Möbelfabrikanten),<br />
TV-Programm-Guides oder das Vorlesungsverzeichnis der<br />
<strong>Universität</strong> <strong>Wien</strong>. Verzeichnisse helfen uns, Informationen<br />
zu verwalten und wieder zu finden. Im Idealfall vereinheitlichen<br />
sie ver sammelte Informationen aus verschiedenen<br />
Quellen und werden damit selbst zur maßgeblichen (autoritativen)<br />
Quelle für diese Daten.<br />
Moderne vernetzte Computer sind ebenso von Verzeich nissen<br />
umgeben: Verzeichnisse gültiger User-Accounts, Grup-<br />
<strong>Comment</strong> 06/3
30 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
pen von BenutzerInnen (etwa zur Rechteverwaltung), namentlich<br />
bekannte Maschinen im lokalen Netzwerk und<br />
weltweiten Internet, Services, die im Netzwerk zur Verfügung<br />
gestellt werden, usw. All diese Informationen wollen versammelt<br />
und mehr oder weniger ständig aktualisiert werden<br />
– auf jedem einzelnen Rechner, bei stetig zunehmender<br />
Zahl der vernetzten PCs. Daher entwickelte man spezialisierte<br />
Verzeichnisdienste (naming services), die diese Informationen<br />
zentral im Netzwerk zugänglich machen, sodass<br />
die Wartung auf den einzelnen Maschinen entfallen kann.<br />
Ein solcher Netzwerk-Verzeichnisdienst sind z.B. die Yellow<br />
Pages (in Analogie zu den Gelben Seiten, also dem Branchenverzeichnis),<br />
die später aus markenrechtlichen Gründen<br />
Network Information System (NIS) getauft wurden. Auch<br />
das Domain Name System (DNS), das im Internet die IP-<br />
Adressen in Hostnamen umsetzt (und umgekehrt), ist im<br />
Prinzip ein spezialisierter Verzeichnisdienst.<br />
Der Einsatz von spezialisierten Verzeichnisdiensten führt<br />
aber in der Regel zum N+1 directory problem: Für jede zusätzliche<br />
Anwendung (z.B. ein zentrales eMail-Service, eine<br />
Groupware-Software oder ein webbasiertes Content Management<br />
System) muss ein weiteres, spezialisiertes Verzeichnis<br />
betrieben und verwaltet werden, was zu redundanten Daten<br />
und erschwerter Administration sowie in weiterer Folge zu<br />
höheren Betriebskosten und Sicherheitspro blemen führt.<br />
Ein möglicher Weg aus diesem Dilemma ist der Einsatz von<br />
standardbasierten, erweiterbaren Verzeich nisdiensten, die<br />
für den jeweiligen Zweck adaptiert werden können. X.500 1)<br />
und heute LDAP sind Versuche in diese Richtung.<br />
X.500<br />
INSERAT<br />
Mitte der 1980er Jahre trafen Bestrebungen zweier Normierungsorganisationen<br />
(ITU, ISO) aufeinander, die später zum<br />
ISO OSI Directory Standard (CCITT Recommendation<br />
X.500) führen sollten:<br />
Das Comité Consultatif International Téléphonique et Télégraphique<br />
(CCITT, heute ITU-T) der Internationalen Fernmeldeunion<br />
(ITU) gibt technische Standards heraus, die in<br />
Kategorien von A bis Z sortiert und durchnummeriert werden.<br />
In der Kategorie X (Data networks and open system<br />
communications) finden sich die bis heute weiterentwickelten<br />
Bündel von Standards wie X.400 (Messaging systems)<br />
und eben X.500, das Online-Verzeichnisdienste standardisiert.<br />
Anliegen der CCITT war es nun, ein globales elektronisches<br />
Telefonverzeichnis zu schaffen, das gleichzeitig<br />
auch Fax nummern und eMail-Adressen 2) beinhalten sollte:<br />
„If only we could computerise the entire set of global telephone<br />
direc tories, and interconnect them, and give people<br />
access to them all via a standard interface, then we would<br />
have a real directory service. X.500 of course is designed to<br />
provide this service, and many more besides.“ (Chadwick,<br />
1996)
Ähnliche Bedürfnisse hatten die Internationale Organisation<br />
für Normung (ISO) und die private Normungsorganisation<br />
ECMA, die auf der Suche nach einem naming service für<br />
OSI-Netzwerke und -Anwendungen waren. X.500 und das<br />
dazu gehörige Directory Access Protocol (DAP) wurden daher<br />
auf dem OSI-Stack realisiert, einem siebenschichtigen<br />
Netz werkarchitekturmodell mit entsprechender Protokollimple<br />
mentierung (dem stack), der von der ISO als Standard<br />
für interoperable, heterogene Computernetzwerke entwickelt<br />
wurde. Der OSI-Stack konnte sich jedoch letztlich<br />
nicht gegen das Internet-Protokoll TCP/IP behaupten: TCP/<br />
IP war einfacher, schneller und günstiger umzusetzen.<br />
Neben der technischen Komponente ist hier auch ein kultureller<br />
Bruch erkennbar, wie technische Standards überhaupt<br />
zustande kommen sollen: Auf der einen Seite die als<br />
bürokratisch, langsam und politisch motiviert empfundenen<br />
Ent scheidungsprozesse innerhalb der ISO, dem „Standards<br />
elephant“. Dem gegenüber die TechnikerInnen und<br />
Akademi kerInnen der IETF (des „Standards body“ der Internet<br />
Community), die sich in konsensdemokratischen bzw.<br />
merito kratischen Prozessen schneller, flexibler und realitätsnäher<br />
fühlten: „We reject: kings, presidents, and voting.<br />
We be lieve in: rough consensus and running code.“, wie<br />
David Clake 1992 auf einer Krisensitzung der IETF das<br />
Motto der Internet Community pointiert formulierte. Dieser<br />
Bruch 3) ist heute weitgehend überwunden, was neben<br />
einer gewissen personellen Konvergenz der verschiedenen<br />
Standardisierungsgremien nicht zuletzt am durchschlagenden<br />
Erfolg des Internet liegt.<br />
The Directory<br />
Verzeichnisdienste nach X.500 waren groß und komplex<br />
angelegt, wie von den involvierten Gremien nicht anders zu<br />
erwarten. Eigentlich gab es in der Vision der EntwicklerInnen<br />
nur einen einzigen Verzeichnisdienst: The Directory – ein<br />
globales Verzeichnis mit u.a. diesen Eigenschaften:<br />
• Ein verteiltes System (was zum Teil Verfügbarkeit, Verläss<br />
lichkeit und Geschwindigkeit durch Lokalität mit<br />
sich bringt) mit verteilter Administration (denn die beste<br />
Information ist immer vor Ort verfügbar und sollte daher<br />
dort gepflegt werden);<br />
• general-purpose, d.h. für verschiedene Anwendungen<br />
geeignet und bereits erweiterbar konzipiert;<br />
• mächtige Suchfunktionen für verschiedene Arten von<br />
Abfragen;<br />
• basierend auf offenen, internationalen Standards, damit<br />
Interoperabilität (zwischen Systemen, Herstellern, Ländern<br />
etc.) gewährleistet ist.<br />
Durch die Komplexität der Standards und Protokolle waren<br />
die ersten X.500-Implementierungen sehr fehlerbehaftet<br />
und wenig performant; echte Interoperabilität wurde erst<br />
Netzwerk- & Infodienste 31<br />
spät erreicht. Auch waren die Datenquellen, aus denen sich<br />
ein Verzeichnisdienst möglichst automatisch speisen soll,<br />
oft von schlechter Qualität (das ist bis heute ein zentraler<br />
Pro blembereich), was die Attraktivität des Verzeichnisses<br />
natürlich schmälerte und dem weiten Einsatz des global<br />
direc tory nicht gerade zuträglich war. Die zunehmende<br />
Bedeutungslosigkeit des OSI-Modells gegenüber dem<br />
Internet trug ebenfalls dazu bei, die Entwicklung der X.500-<br />
Services zu bremsen.<br />
LDAP<br />
Da Internet-basierte Klientenprogramme für die Nutzung<br />
des Verzeichnisses leichter zu realisieren waren, wurden<br />
bald TCP/IP-Gateways entwickelt (DAS, DIXIE), die Anfragen<br />
der IP-Klienten übersetzten und via DAP/OSI an X.500-<br />
Server weiterleiteten. Beide Projekte sind heute obsolet; ihr<br />
Erfolg bestand aber darin, erstmals die große Nützlichkeit<br />
eines IP-Zugriffs auf Verzeichnisse gezeigt zu haben.<br />
Um die Verwendung von X.500-Verzeichnissen zu fördern<br />
(nicht etwa, um diese abzulösen), wurde schließlich von<br />
der IETF das IP-basierte Lightweight Directory Access Protocol<br />
(LDAP) spezifiziert und – aufbauend auf den Erfahrungen<br />
der vorangegangenen Projekte – ein Gateway von<br />
LDAP zu DAP an der University of Michigan entwickelt. Der<br />
längere Einsatz dieses so genannten ldapd (LDAP daemon)<br />
zeigte je doch, dass Mitte der 1990er Jahre über 99% der<br />
Zugriffe auf den Verzeichnisdienst via LDAP (also über das<br />
Gateway) statt direkt über DAP erfolgten. Etwa zur gleichen<br />
Zeit stellte sich auch die Erkenntnis ein, dass es mit dem<br />
global interconnected X.500 directory wohl nichts mehr<br />
wird, womit die X.500-Services als Ganzes in Frage gestellt<br />
wurden.<br />
In der Folge ersetzte der slapd (standalone LDAP daemon)<br />
den ldapd, es gab also kein dahinterliegendes X.500-Verzeichnis<br />
mehr, an das lediglich Anfragen weitergeleitet wurden.<br />
LDAP war damit von X.500 losgelöst und wurde mit<br />
kleinen Erweiterungen und einigem Straffen (etwa der Reduktion<br />
auf nur neun Funktionen bei gleichzeitigem Er halt<br />
zukünftiger Erweiterbarkeit ohne Änderungen am Pro tokoll)<br />
als Grundlage eines <strong>komplette</strong>n Verzeichnisdienstes<br />
neu definiert.<br />
1) Hintergrundinformationen zu X.500: In der englischen Wikipedia<br />
(http://en.wikipedia.org/) fi nden Sie u.a. Erläuterun gen<br />
zu folgenden Begriffen und Abkürzungen: CCITT, ITU, ITU-T, ISO,<br />
X.400, X.500, ECMA, OSI, Whois, TCP/IP, IETF, RFC, DAS (RFC 1202)<br />
und DIXIE (RFC 1249).<br />
2) Die rasche Verbreitung von eMail erschien diesbezüglich besonders<br />
problematisch, da es für Mailadressen im Gegensatz zu Tele fonnummern<br />
keine etablierten (z.B. gedruckten) Verzeichnisse gab:<br />
Um mit jemandem per eMail in Kontakt zu treten, musste die<br />
Mailadresse oft erst telefonisch erfragt werden.<br />
3) Näheres dazu siehe z.B. www.alvestrand.no/x400/debate/<br />
itu-vs-ietf.html<br />
<strong>Comment</strong> 06/3
32 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
Die aktuelle Version des Standards heißt LDAPv3 (siehe<br />
LDAP Technical Specification, http://ftp.univie.<br />
ac.at/netinfo/rfc/rfc4510.txt) und zeichnet sich<br />
u.a. durch folgende Eigenschaften aus:<br />
• Durch volle Unicode-Unterstützung in UTF-8-Kodierung<br />
4) können theoretisch sämtliche Zeichen sämtlicher<br />
Sprachen verarbeitet werden, es lassen sich aber auch<br />
ASCII- oder Binärdaten speichern.<br />
• Mittels Verkettung (chaining), Verweisen (referrals), Zusam<br />
menkleben (glueing) oder Replikation können auch<br />
mit dem slapd aus mehreren LDAP-Servern vernetzte<br />
Systeme aufgebaut werden. Teile der Komplexität von<br />
X.500 kommen also in kleinen Dosen wieder, allerdings<br />
optional.<br />
• Die Nutzung von TLS (Transport Layer Security, bekannter<br />
als SSL) und SASL (dem geradezu irrwitzig unpassend<br />
benannten Simple [!] Authentication and Security<br />
Layer) ermöglicht sichere Authentifizierung und Daten<br />
übertra gung, ist modular und vom LDAP-Protokoll<br />
un abhängig. Sowohl TLS als auch SASL werden von<br />
vielen anderen Technologien, Protokollen und Projekten<br />
verwendet, was z.B. die einfache und sichere Authentifizierung<br />
mit SMTP AUTH oder IMAP/POP über einen<br />
LDAPv3-Verzeichnisdienst ermöglicht.<br />
• So genannte extended operations und controls können<br />
zusätzliche Funktionalität bieten oder bestehende Funktio<br />
nen modifizieren, ohne das Protokoll selbst verändern<br />
zu müssen (z.B. zum Ändern des eigenen Passworts).<br />
• Diese Erweiterungen – wie auch andere Funktionen oder<br />
unterstützte Standard-Datentypen des Servers – kann dieser<br />
ankündigen und Klienten können diese selb stän dig<br />
„entdecken“, ähnlich der capabilities-Funk tion von IMAP,<br />
wo Mailklienten (z.B. Mozilla Thunderbird) im „Gespräch“<br />
mit dem IMAP-Server dessen unterstützte Funktionen<br />
und Erweiterungen abfragen, um sich entsprechend<br />
darauf einzustellen (z.B. Kann StartTLS benutzt<br />
werden, um die Verbindung zu verschlüsseln? Wel che<br />
SASL-Mechanismen werden zur Authentifizie rung angeboten?<br />
).<br />
Neben proprietären Angeboten von Novell, Sun, Oracle,<br />
IBM, Microsoft u.a. gibt es heute mittlerweile auch drei größere<br />
Open Source-Implementierungen des LDAP-Service:<br />
OpenLDAP, Fedora Directory Server (früher Net scape DS)<br />
und neuerdings Sun OpenDS 5) . Weiters existieren kommer-<br />
4) siehe Artikel Unicode: Kiss Your ASCII Goodbye? in <strong>Comment</strong> 04/3,<br />
Seite 12 bzw. unter www.univie.ac.at/comment/04-3/043_<br />
12.html<br />
5) Sun OpenDS ist komplett in der Programmiersprache Java ge -<br />
schrieben und nicht zu verwechseln mit dem immer noch proprietären<br />
Sun Java System Directory Server, der verwirrenderweise<br />
nicht in Java geschrieben ist.<br />
Neugierig?<br />
Über die Struktur von LDAP-Verzeichnissen, über Klientenprogramme<br />
und Abfragemethoden soll in der<br />
nächsten <strong>Ausgabe</strong> des <strong>Comment</strong> berichtet werden.<br />
Wer nicht so lange warten bzw. es ganz genau wissen<br />
will, sei auf die fol gende Literatur verwiesen:<br />
LDAP<br />
• http://de.wikipedia.org/wiki/<br />
Lightweight_Directory_Access_Protocol<br />
• http://en.wikipedia.org/wiki/<br />
Directory_service<br />
• LDAP for Rocket Scientists,<br />
www.zytrax.com/books/ldap/<br />
• T. Howes, M. Smith, G. Good (2003): Understanding<br />
and Deploying LDAP Directory Services,<br />
2.ed., Addison-Wesley, ISBN 0672323168<br />
X.500<br />
• David W. Chadwick (1996): Understanding X.500<br />
(The Directory), online: http://sec.cs.kent.<br />
ac.uk/x500book/<br />
• Steve Kille (1996): LDAP and X.500,<br />
ISODE White paper (www.isode.com/<br />
whitepapers/ic-6033.html)<br />
ISO vs. Internet<br />
• Andrew L. Russell (2006): ‚Rough Consensus and<br />
Running Code’ and the Internet-OSI Standards<br />
War, IEEE Annals of the History of Computing,<br />
July–September 2006, online: www.computer.<br />
org/portal/cms_docs_annals/annals/<br />
content/promo2.pdf<br />
zielle Varianten dieser Open Source-Imple mentierungen,<br />
z.B. die OpenLDAP-Distribution Connexitor von Symas<br />
oder Apples Open Directory, das auf Open LDAP und MIT-<br />
Kerberos aufbaut.<br />
Diese Unterstützung durch alle relevanten Hersteller, Systeme,<br />
Plattformen und Programmiersprachen sowie die<br />
freie Verfügbarkeit von hochqualitativer, standardkonfor mer<br />
Software (von Apache bis Zope) sind wichtige Gründe für<br />
den immer noch zunehmenden Einsatz von LDAP-Verzeichnissen<br />
in Unternehmen und im Internet. Auch an der<br />
Uni versität <strong>Wien</strong> wird LDAP als wichtige Infrastruktur-Kompo<br />
nente auf- und ausgebaut; zwei Anwendungsmög lichkeiten<br />
sind im nachfolgenden Artikel Wie sag ich’s meinem<br />
LDAP-Server? beschrieben.<br />
Peter Schober ■
Netzwerk- & Infodienste 33<br />
WIE SAG ICH‘S MEINEM LDAP-SERVER?<br />
Das WorldWideWeb hat viele der Funktionen über nom -<br />
men, für die Verzeichnisdienste wie X.500 und LDAP ursprüng<br />
lich erfunden wurden: Die im Artikel Verzeichnisdienste:<br />
Von X.500 zu LDAP auf Seite 29 eingangs erwähnten<br />
Ver zeichnisse (Tele fonbücher, Gebäudepläne, Vorlesungs<br />
verzeich nisse, schwedische Möbelkataloge usw.) werden<br />
alle in Form von Webapplikationen angeboten, aber<br />
nur in den seltensten Fäl len als LDAP-Verzeichnisse. Für<br />
manche An wendungen – vor allem für Adressverzeichnisse,<br />
die maschinenlesbare, strukturierte Daten benötigen – ist<br />
das Light weight Directory Access Protocol dennoch das<br />
Mittel der Wahl.<br />
Damit steht man allerdings vor dem nächsten Problem: Wie<br />
man mit Webservern kommuniziert, ist bekannt – mittels<br />
Browser. Wie aber greift man auf LDAP-Ver zeich nisse zu?<br />
Zwar gibt es eigene LDAP-Klienten pro gramme, diese werden<br />
jedoch nicht oft verwendet. Viel häu figer sind LDAP-<br />
Funktionen und -Erweiterun gen in allen möglichen Program<br />
men, z.B. in Webserver- und Mailing-Software.<br />
LDAP und Mailing<br />
Wie bereits in der letzten <strong>Ausgabe</strong> des <strong>Comment</strong> berichtet,<br />
ist LDAP ein zentraler Bestandteil des neuen Mailsystems<br />
der <strong>Universität</strong> <strong>Wien</strong> (siehe <strong>Comment</strong> 06/2, Seite 11 bzw.<br />
www.univie.ac.at/comment/06-2/062_11.html).<br />
Welche Mailadressen an der Uni gültig sind und welche<br />
nicht, wohin eMail zugestellt oder weiterge leitet werden<br />
muss, erfahren die Mailserver durch LDAP-Anfragen. Dementsprechend<br />
groß ist die Zahl der Zugriffe, die auf die<br />
LDAP-Server der Uni <strong>Wien</strong> einprasseln, nämlich rund zwei<br />
Millionen pro Tag. Es ist eine der großen Stärken dieses<br />
Protokolls, dass die LDAP-Server einen solchen An sturm<br />
vollkommen problemlos be wältigen können (in diesem<br />
Sinne ist das Protokoll wirklich „leichtgewichtig“).<br />
Auch mit Mailprogrammen kann man auf LDAP-Verzeichnisse<br />
zugreifen und diese als Adressbuch verwenden. Im<br />
Gegensatz zu einem webbasierten Verzeichnis wie dem<br />
Personalverzeichnis der <strong>Universität</strong> (http://online.<br />
univie.ac.at/pers) lässt sich das öffentliche LDAP-<br />
Verzeichnis der Uni <strong>Wien</strong> (LDAP.UNIVIE.AC.AT) in die meisten<br />
Mailklienten direkt integrieren, wie hier am Beispiel des<br />
Mozilla Thunderbird illustriert wird:<br />
Um das Adressbuch einzurichten, wählen Sie im Mailprogramm<br />
Thunderbird den Menüpunkt Adressbuch – Datei<br />
– Neu – LDAP-Verzeichnis und füllen Sie die Felder so<br />
aus, wie in Abb. 1 dargestellt ist:<br />
• Name: Uni <strong>Wien</strong><br />
• Hostname: ldap.univie.ac.at<br />
• Basis-DN: dc=univie,dc=ac,dc=at<br />
• Port-Nummer: 389<br />
Anschließend müssen Sie noch unter Extras – Ein stel lungen<br />
– Verfassen auf der Registerkarte Adressieren im<br />
Bereich Adress-Autovervollständigung die Option LDAP-<br />
Verzeichnisserver aktivieren (der LDAP-Server Uni <strong>Wien</strong><br />
sollte bereits in der Liste rechts daneben aufscheinen).<br />
Damit können Sie nun – vorausgesetzt, Sie sind online –<br />
das gesamte Verzeichnis der Uni <strong>Wien</strong> genau so nutzen wie<br />
Ihr persönliches Adressbuch: Beim Verfassen einer Nachricht<br />
an eine beliebige <strong>Universität</strong>s-Adresse brauchen Sie als<br />
Empfänger nur dessen Namen oder einen Teil davon einzugeben,<br />
woraufhin die eMail-Adresse automatisch ergänzt<br />
bzw. ein Auswahlmenü mit Vorschlägen angezeigt wird.<br />
LDAP und Authentifizierung<br />
LDAP teilt das Schicksal vieler anderer Erfindungen: Es wird<br />
für ganz andere Zwecke eingesetzt als ursprünglich gedacht.<br />
Obwohl LDAP keineswegs als Authentifizierungs-<br />
Protokoll entwickelt wurde, ist Authentifizierung – also die<br />
Überprüfung der Zugangsberechtigung eines bestimmten<br />
Nutzers zu einem bestimmten Netzwerkservice – heute<br />
eines seiner wichtigsten Anwendungsgebiete. LDAP wird<br />
mittlerweile weitaus häufiger zur Authentifizierung verwendet<br />
als dedizierte Protokolle wie z.B. RADIUS (Remote<br />
Authen tication Dial-In User Service).<br />
Die vom ZID verwalteten Benutzungs berechtigungen (v.a.<br />
Unet- und Mailbox-UserIDs) erlauben den Zugriff auf viele<br />
verschiedene Netzwerkdienste – von eMail, Fileservices<br />
und ADSL bis zur Lernplatt form WebCT Vista. Intern werden<br />
zur Authentifizierung verschiedene Mechanismen und<br />
Protokolle eingesetzt: LDAP, RADIUS (z.B. für Wähllei tungsverbindungen,<br />
ADSL, WLAN, VPN) und andere. Ob wohl es<br />
bereits eine große Erleich terung darstellt, auf verschiedene<br />
Dienste mit derselben Username-/Passwort-Kombination<br />
zugreifen zu können anstatt sich viele ein zelne Passwörter<br />
mer ken zu müssen, sind wir von einer echten Single Sign-<br />
On-Lösung, bei der nach ein maligem Login der Zugriff auf<br />
Abb. 1: Einrichten des LDAP-Verzeichnisses der Uni <strong>Wien</strong><br />
als Mail-Adressbuch (Thunderbird)<br />
<strong>Comment</strong> 06/3
34 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
alle verfügbaren Services gewährt wird, noch weit entfernt.<br />
Es wird jedoch daran gearbeitet, diesem Ziel zumindest<br />
näher zu kommen und die Authentifizierung der verschiedenen<br />
Services zu vereinfachen und besser zu integrieren.<br />
In diesem Zusammenhang soll auch ein Authentifizie rungs-<br />
Service für Dritte angeboten werden: Von etlichen Instituten<br />
und Dienststellen der <strong>Universität</strong> <strong>Wien</strong> werden für Studierende<br />
bzw. Uni-Mit arbeiterIn nen verschiedene Anwendungen<br />
(meis tens Webappli kationen) mit Zugangskontrolle zur<br />
Verfügung gestellt, die üblicher weise über eine eigene Benutzerverwaltung<br />
mit spe ziellen Usernamen und Passwörtern<br />
verfügen. Die Admi ni stration solcher Anwendungen<br />
könnte durch eine zen trale Authentifizierung wesentlich vereinfacht<br />
werden.<br />
Bei einer solchen zentralen Authentifizierung für Dritte<br />
muss selbstverständlich besondere Sorgfalt an den Tag gelegt<br />
werden, was Sicherheit und Datenschutz betrifft. Aus<br />
diesem Grund wird das zu schaffende System zwar LDAP<br />
ver wenden (möglicherweise sogar auf LDAP basieren), aber<br />
kein reines „LDAP-Service“ sein, sondern auch andere Authentifizierungs-Methoden<br />
mit einbeziehen.<br />
Wenn Sie an einem solchen Authentifizierungs-Service interessiert<br />
sind, teilen Sie uns dies bitte per eMail an<br />
help desk.zid@univie.ac.at mit – wir werden dann<br />
ver suchen, Ihre speziellen Anforderungen in das künftige<br />
Authentifizierungs-System zu integrieren.<br />
Peter Marksteiner ■<br />
CONTENT MANAGEMENT SYSTEME:<br />
Software für operative Eingriffe in lebende Websites<br />
Auf die Frage „Kennen Sie ein CMS?“ hört man so gut wie<br />
immer: „Nein, nie gehört!“ oder „Noch nie gesehen!“ – und<br />
genau das ist die Stärke eines CMS: verborgen im Hintergrund<br />
zu agieren.<br />
Ein CMS (Content Management System) ist eine Software,<br />
welche die gemeinschaftliche und einfache Eingabe von<br />
Webseiten-Inhalten (Content) auch für BenutzerInnen ohne<br />
technisches Verständnis bzw. ohne Kenntnisse in HTML/<br />
XML 1) /CSS etc. ermöglicht. Eines haben alle CMS-Produkte<br />
gemeinsam: Beim Besuch einer Webseite bemerkt man<br />
nichts davon. Interessierte finden eventuell im Quelltext versteckt<br />
den Hinweis, ob ein (bzw. welches) CMS verwendet<br />
wurde; oft wird diese Information aber auch verborgen.<br />
Breite Auswahl – kostenlos<br />
Bei der Flut an verschiedenen Systemen ist es schwer, die<br />
Übersicht zu bewahren und seinen Favoriten zu küren.<br />
Neben kommerziellen CMS-Produkten, die von Firmen auf<br />
die jeweiligen Umgebungen und deren Bedürfnisse zurechtgestrickt<br />
werden und die üblicherweise späteren Support<br />
beinhalten, haben die Open Source-Systeme einen gewichtigen<br />
Platz am CMS-Markt eingenommen. Eine feine<br />
Übersicht der wichtigsten Produkte mit der Möglichkeit,<br />
diese auch gleich live auszuprobieren, findet man unter<br />
www.opensourcecms.com.<br />
In diesem Artikel wird bewusst auf kein spezielles CMS eingegangen,<br />
auch wird weder Werbung gemacht noch eine<br />
Empfehlung für ein bestimmtes Produkt ausgesprochen.<br />
Aufgrund der Vielzahl an Systemen, die es derzeit am Markt<br />
gibt, wäre dies auch nicht ratsam, da jeder Anwender seine<br />
eigenen Anforderungen und Bedürfnisse hat, welche von<br />
seinem bevorzugten CMS abgedeckt werden sollen. Daher<br />
beschränken wir uns im Folgenden auf die Nen nung von<br />
vier bekannteren und leistungsfähigeren Content Mana gement<br />
Systemen: Joomla, Typo3, Wordpress und Postnuke.<br />
• Joomla (www.joomla.de) hat im Laufe seiner eher<br />
kurzen Existenz schon einiges mitgemacht – hat es sich<br />
doch vor kurzem vom ursprünglichen Mutterprodukt<br />
Mambo (www.mambo-foundation.org) abgespalten<br />
und lebt nun weiter durch engagierte Programmierer<br />
und eine beispielhafte Community. Dieses CMS zeich -<br />
net sich durch seine schnelle Erlernbarkeit und relativ<br />
einfache Bedienung, gepaart mit Optionsvielfalt, aus.<br />
• Typo3 (www.typo3.org) wurde von einem dänischen<br />
Programmierer ins Leben gerufen und seither stetig weiter<br />
entwickelt. Die Stärken von Typo3 liegen in der fast<br />
unübertroffenen Leistungsfähig keit und Flexibilität –<br />
gute Gründe dafür, dass Typo3 auch an der Uni <strong>Wien</strong><br />
ein gesetzt wird (siehe hierzu Artikel Web auf tritte leicht<br />
gemacht: Typo3 an der <strong>Universität</strong> <strong>Wien</strong> auf Seite 37).<br />
• Wordpress (http://wordpress.de/) hat sich ganz<br />
dem Blog 2) verschrieben und bietet Add-Ons, also optionale<br />
Module bzw. Erweiterungen, sowie Features speziell<br />
für diesen Bereich an.<br />
• Postnuke (www.postnuke.com) hingegen besticht<br />
vorrangig durch seine Stabilität und Performance.<br />
Eine der schönsten Eigenschaften haben viele CMS-Systeme<br />
gemeinsam: Sie sind kostenlos. Geschützt nur durch die<br />
GNU GPL (General Public License) 3) dürfen sie also frei<br />
verwendet, verändert und weitergegeben werden – solange<br />
man sie nicht als sein eigenes Produkt ausgibt. Weiters existiert<br />
für diese Systeme eine riesige Anzahl an Erweiterungen<br />
(Add-Ons), um Webseiten mit neuen Features zu ver-
sehen – z.B. mit Gästebüchern, Newsletters, erweiterten<br />
Suchfel dern oder Ähnlichem.<br />
Wie läuft‘s?<br />
Als Basis für den überwiegenden Teil der Content Mana gement<br />
Systeme dient die Programmsammlung LAMP. Diese<br />
stellt alles Nötige zur Verfügung, um einen Webserver zu betreiben.<br />
Das Akronym LAMP steht für<br />
• Linux (das Betriebssystem, unter dem die Sammlung<br />
läuft),<br />
• Apache (der eigentliche Webserver),<br />
• MySQL (die Datenbank) und<br />
• PHP (die Skriptsprache).<br />
Als weitere Formen existieren noch WAMP für Windows<br />
und MAMP für Mac OS X.<br />
Einzelne CMS setzen auf Perl anstatt auf PHP; andere bieten<br />
wiederum den erforderlichen Support, um eine Oracle-<br />
Datenbank, PostgreSQL oder MS-SQL anstatt MySQL zu verwenden.<br />
Auch den jeweils verfügbaren Webspace sollte man bedenken:<br />
Bei einer Typo3-Instanz nimmt beispielsweise die<br />
reine Erst-Installation bereits etwa 8 MB in Anspruch. Hierzu<br />
kommen noch Erwei terungen von Typo3 (Exten sions) sowie<br />
die eigentliche Homepage samt Bil dern und sonstigen<br />
Dateien.<br />
Klassifizierung<br />
Content Management Systeme lassen sich durch zwei wichtige<br />
Merkmale charakterisieren:<br />
Dynamik der Content-Bereitstellung<br />
Man unterscheidet hierbei zwischen statischen, volldynamischen<br />
und gemischten Systemen.<br />
• Statische Systeme legen jedes HTML-Dokument als<br />
statische Webseite auf dem Server ab. Der Vorteil dieser<br />
Variante ist der geringe Ressourcenver brauch des Servers<br />
bzw. dessen Prozessors, da die Seite nicht bei jedem<br />
Aufruf mittels einer Programmiersprache (z.B. Perl,<br />
PHP) dynamisch generiert werden muss.<br />
• Volldynamische CMS zeigen bei jedem Seitenaufruf<br />
den jeweils aktuellsten Content an. Am meisten von<br />
dieser Methode profitieren z.B. Nachrichten-Seiten, auf<br />
denen es mitunter zu minütlichen Änderungen kommt.<br />
• Gemischte Systeme stellen den Content teilweise statisch<br />
zur Verfügung, wobei jedoch Bereiche, die häufigen<br />
Aktualisierungen unterliegen, dynamisch generiert<br />
und eingebunden werden. Diese Art trifft man am häufigsten<br />
an, da sie die Vorteile eines statischen mit den<br />
Vorzügen eines dynamischen CMS verbindet.<br />
Beherbergung der CMS-Software<br />
Netzwerk- & Infodienste 35<br />
Hier unterscheidet man clientseitige, serverbasierende und<br />
kombinierte Systeme.<br />
• Clientseitige CMS – das sind jene Produkte, die auf<br />
dem Rechner des Anwenders installiert sind und mit<br />
denen die Seiten auch direkt dort erstellt und bearbeitet<br />
werden –, sind eher in der Minderzahl. Sie finden zumeist<br />
bei Dateien Anwendung, deren Bearbeitung auf<br />
einem Server zu viele Ressourcen verbrauchen würde<br />
(z.B. Videos).<br />
• Am weitesten verbreitet ist die serverbasierende CMS-<br />
Variante, die eine Bearbeitung des Content direkt am<br />
Server erlaubt. Ihr großer Vorteil ist, dass das Arbeiten<br />
mit dem CMS von jedem Computer (mit Internetzugang)<br />
von jedem Standort der Welt aus und mit jedem Betriebs<br />
system nur mit einem Browser möglich ist. Die<br />
Anforderungen an das technische Verständnis der Redakteure<br />
sind extrem niedrig, wodurch praktisch allen<br />
An wenderInnen die Verwendung des Systems ermöglicht<br />
wird.<br />
• Die dritte, seltener anzutreffende Kategorie sind kombinierte<br />
Systeme, die sowohl client- als auch serverseitig<br />
arbeiten.<br />
Händisch oder CMS-basiert?<br />
Der Arbeitsaufwand im Vergleich<br />
Wenn man den Aufwand für Erstellung und Wartung einer<br />
herkömmlichen (= händisch erstellten und großteils statischen)<br />
Web seite mit dem bei einer CMS-verwalteten 4) Seite<br />
anfallenden Aufwand vergleicht, kristallisieren sich fol gende<br />
Vor- und Nachteile heraus:<br />
Erstellung<br />
Hier hat eindeutig die herkömmliche Variante die Nase<br />
vorn. Während es mit Hilfe eines HTML-Editors (üblicher-<br />
1) siehe hierzu Artikel Web-Publishing mit XML auf Seite 40<br />
2) siehe Artikel (B)logbuch des Captains, Sternzeit zweitausend undsechs<br />
... in <strong>Comment</strong> 06/1, Seite 41 bzw. unter www.univie.<br />
ac.at/comment/06-1/061_41.html<br />
3) Die GNU GPL ist eine von der Free Software Foundation (einer<br />
ge meinnützigen Organisation mit dem Zweck, freie Software zu fördern;<br />
siehe www.fsf.org) herausgegebene Lizenz mit Copyleft<br />
(einem Schutzverfahren, welches Weiterverbreitung und Modifi -<br />
kationen von Software erlaubt, sofern dies unter derselben Lizenz<br />
und damit denselben Bedingungen geschieht) für die Lizenzierung<br />
freier Software. Nähere Informationen dazu sind unter www.gnu.<br />
org/licenses/licenses.html#GPL zu fi nden.<br />
4) Dies bezieht sich auf die oben genannten, leistungsfähigeren Content<br />
Management Systeme.<br />
<strong>Comment</strong> 06/3
36 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
weise eines WYSIWYG-Editors) relativ leicht und schnell<br />
möglich ist, eine ansprechende Webseite zu gestalten, muss<br />
man für ein CMS schon mal einiges an Zeit und Geduld investieren,<br />
ehe man vernünftig damit arbeiten kann: Anleitungen<br />
wollen gelesen, Workshops durchgemacht, Foren<br />
durchforstet und Nerven bewahrt werden, vor allem bei<br />
hartnäckigen Problemen. Der Aufwand variiert selbstverständlich<br />
je nach Umfang des verwendeten CMS.<br />
Layout<br />
Auch im Hinblick auf die Gestaltung ist es mit der statischen<br />
Methode relativ einfach, ein Layout zu kreieren. Ein wenig<br />
aufwendiger gestaltet sich diese Aufgabe mittels CMS. Hier<br />
werden so genannte Templates (Designvorlagen) verwendet,<br />
die komplett unabhängig vom eigentlichen Content behandelt<br />
werden. Dadurch wird das Layout jedoch flexibler und<br />
lässt sich für einzelne Seiten oder den gesamten Web auftritt<br />
mit nur wenigen Mausklicks komplett verändern.<br />
Pflege<br />
Vor allem bei der späteren Pflege der Seiten spielt ein CMS<br />
seine Stärken voll aus. Während es bei einer händisch gepflegten<br />
Website aufwendig und mühsam ist, eine Änderung<br />
auf allen bestehenden Seiten durchzuziehen, wird dies mittels<br />
CMS zum Kinderspiel. Ist man erst einmal mit der<br />
Benutzeroberfläche vertraut, lassen sich sämtliche Arbeitsschritte<br />
im Handumdrehen und nur mit Hilfe des Browsers<br />
erledigen. Zudem behält man gerade bei umfangreichen<br />
Web auftritten dank CMS leichter den Überblick: Programmier<br />
sprachen wie JavaScript vereinfachen z.B. mittels Drag<br />
& Drop die Bearbeitung oder auch das Verschieben ganzer<br />
Seiten im Menü baum.<br />
Multi-User-Betrieb<br />
Die gleichzeitige Bearbeitung einer Webseite durch mehrere<br />
Redakteure kann bei einem herkömmlichen System<br />
mitunter gravierende Auswirkungen haben. Mühsam eingegebener<br />
Content kann leicht überschrieben werden, Sicherungen<br />
sind für den kurzen Zeitraum einer Änderung meist<br />
keine vorhanden – die Arbeit war umsonst. Da es keine<br />
Logfiles gibt, kann auch nicht schnell herausgefunden werden,<br />
wer gerade an einer Webseite arbeitet.<br />
Dieser Fall kann mit einem CMS nicht eintreten: Sobald ein<br />
Benutzer eine Seite bearbeitet, wird diese für alle anderen<br />
gesperrt. Änderungen können jederzeit wieder rückgängig<br />
gemacht werden, detaillierte Logfiles sind vorhanden. Umfangreichere<br />
Sys teme beinhalten ausgeklü gelte User- und<br />
Gruppen-Berechti gungssysteme, welche z.B. den Zu griff,<br />
Änderungen, Erstellungen oder Löschvor gänge auf bestimmte<br />
AnwenderInnen beschränken können.<br />
Dateiverwaltung<br />
Dateisammlungen, die in Webseiten eingebunden oder zum<br />
Download angeboten werden (Bilder, PowerPoint-Präsen-<br />
tationen, PDF-Dateien etc.), können im Laufe der Zeit einen<br />
beachtlichen Umfang annehmen. Einzeln hochgeladen,<br />
meist nur durch Ordner und Unterordner sortiert, verliert<br />
man schnell die Übersicht.<br />
Ganz anders gestaltet sich das mit einem CMS, welches eine<br />
Dateiverwaltung aufweist, mit der sich Dateien einfach mittels<br />
Browser hochladen, einordnen, beschriften und natürlich<br />
auch gleich ansehen lassen. Große Dateisamm lungen<br />
wie z.B. Fotogalerien lassen sich auf diese Art und Weise<br />
unkompliziert publizieren und verwalten.<br />
Neue Features<br />
Beim Einbau neuer Features – wie etwa eines Gästebuchs,<br />
einer Fotogalerie oder eines eigenen Forums – entstehen<br />
bei herkömmlich gewarteten Webseiten Arbeiten in Form<br />
von: gewünschte Software aussuchen, downloaden, installieren,<br />
an die eigene Seite in Funktion und Design anpassen,<br />
im Betrieb warten und gegebenenfalls updaten. CMS-<br />
An wen derInnen können sich hingegen über vorgefertigte<br />
Add-Ons freuen, die man einfach mittels Mausklick einspielen,<br />
konfigurieren und auch gleich im System warten und<br />
ak tuell halten kann.<br />
Technische Wartung und Sicherheit<br />
Im Hinblick auf die Sicherheit des Systems ist es auch beim<br />
Einsatz eines CMS unerlässlich, die einzelnen Software-<br />
Komponenten auf dem Stand der Technik zu halten. Händisch<br />
alle eingepflegten, dynamischen Programmcodes zu<br />
suchen, zu überprüfen, gegebenenfalls manuell Programmteile<br />
auszubessern oder gleich den <strong>komplette</strong>n Code zu ersetzen,<br />
gestaltet sich langwierig und zeitaufwendig. Mit<br />
einem CMS wird gerade dieser Vorgang erheblich vereinfacht.<br />
Der Administrator kann bequem im CMS seine Extensions<br />
anzeigen lassen und diese mit wenigen Maus klicks<br />
auf den aktuellen Stand bringen.<br />
CMS – ja oder nein?<br />
Ob sich der Einsatz eines Content Management Systems<br />
lohnt, lässt sich nicht pauschal beantworten. Es gibt die verschiedensten<br />
Beweg gründe, ein solches Produkt zu verwenden<br />
– sei es die Benutzerverwaltung, das übersichtliche<br />
und professionelle Administrations-Interface, die kinderleichte<br />
Einpflege von Content oder die einfache Wartung<br />
des Systems. Oft ist es auch einfach die Neugier, die einen<br />
dazu treibt, sich in die Ma terie zu vertiefen.<br />
Was man unbedingt berücksichtigen sollte, bevor man sich<br />
für die Verwendung eines CMS entscheidet: Je umfangreicher<br />
und komplexer das System ist, desto länger dauert<br />
es, sich einzuarbeiten, um danach effizient und zufrieden<br />
stellend da mit umgehen zu können. Wer jedoch die dafür<br />
nötige Zeit investiert und nicht zu früh aufgibt, wird sicherlich<br />
nicht enttäuscht werden.<br />
Alexander Berndl ■
WEBAUFTRITTE LEICHT GEMACHT:<br />
Typo3 an der <strong>Universität</strong> <strong>Wien</strong><br />
In der Dienstleistungseinrichtung (DLE) Öffentlichkeitsarbeit<br />
und Veranstaltungsmanagement der <strong>Universität</strong> <strong>Wien</strong><br />
wird seit mehr als zwei Jahren ein Content Management<br />
System (CMS; Näheres siehe Seite 34) für die Publikation<br />
von Online inhalten verwendet: das Open Source-Produkt 1)<br />
Typo3 (http://typo3.org/).<br />
Typo3 ist ein webbasiertes CMS, welches unter der GNU<br />
GPL (General Public License) 2) lizenziert ist. Es wird seit<br />
1997 von dem Dänen Kasper Skårhøj mit der Hilfe und<br />
nach Anregungen von Usern entwickelt. Typo3 ist in der<br />
Skriptsprache PHP geschrieben und arbeitet vorzüglich mit<br />
MySQL-Datenbanksystemen. Über einen integrierten Database<br />
Abstraction Layer ist es aber auch möglich, andere<br />
Datenbanksysteme (z.B. Oracle) zu verwenden.<br />
Aufgrund der Trennung von Content und Design eignen<br />
sich Content Management Systeme sehr gut für die Erstellung<br />
von Internetseiten mit einheitlichem Layout und individuellem<br />
Inhalt. Im Zusammenhang mit dem neu entwickelten<br />
Corporate Design der <strong>Universität</strong> <strong>Wien</strong> wurde daher begonnen,<br />
den Webauftritt der <strong>Universität</strong> basierend auf Typo3<br />
anzulegen sowie im weiteren Verlauf dieses CMS auch für<br />
andere Organisationseinheiten der Uni <strong>Wien</strong> – Fakultäten,<br />
Institute und DLEs – zur Verfügung zu stellen.<br />
Mit dem Angebot der DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement,<br />
die Designvorlage für universitäre<br />
Webseiten zu liefern, entschieden sich viele Organisationseinheiten<br />
dafür, ihre Webseiten in das Typo3-System zu integrieren.<br />
AutorInnen, SachbearbeiterInnen und Redakteur-<br />
In nen können sich damit ganz auf die Pflege und Aktualisie<br />
rung von Inhalten konzentrieren, ohne sich um das Layout,<br />
die Einbindung von Seiten oder andere technische<br />
Aspekte kümmern zu müssen.<br />
Open Source vs. proprietäre Software<br />
Warum gerade Typo3? Einer der wichtigsten Punkte ist,<br />
dass die Verwendung von Open Source-Software unabhängig<br />
macht. Beim diesjährigen Treffen der ARGE-Info (einer<br />
Arbeitsgemeinschaft von MitarbeiterInnen österreichischer<br />
<strong>Universität</strong>en, die im Webbereich tätig sind) war zu erfahren,<br />
wie der worst case beim Einsatz von proprietärer Software<br />
aussehen kann: Eine kleinere österreichische Uni versität<br />
verwendete ein kommerzielles, in Java geschriebenes<br />
Content Management System. Als sich die Hersteller firma<br />
umstrukturierte, wurde der Support für dieses CMS eingestellt.<br />
Aufgrund der Geschlossenheit des Systems war es<br />
den MitarbeiterInnen der <strong>Universität</strong> nicht möglich, auftretende<br />
Fehler selbst zu beheben; auch der Umstieg auf ein<br />
anderes CMS gestaltete sich schwierig. 3)<br />
Netzwerk- & Infodienste 37<br />
Ein erfolgreiches Open Source-Projekt wie Typo3 funktioniert<br />
hingegen etwas anders:<br />
Typo3-Community<br />
Die aktive Typo3-Community ist groß, international und<br />
immer noch im Wachstum begriffen. Wie bei vielen anderen<br />
Projekten fungieren verschiedene Mailinglisten mit zumeist<br />
öffentlich einsehbaren Archiven (siehe http://<br />
lists.netfielders.de/) als Kommunikationsplattform<br />
für die Typo3-Gemeinde. Zudem zählen jährlich veran staltete<br />
Events wie die Typo3-Konferenz, aber auch die Typo3-<br />
Snowboard-Tour zu wichtigen Treffpunkten des fachlichen<br />
Aus tausches.<br />
Typo3-Referenzen<br />
Die Auflistung der Websites, die auf Typo3 basieren, ist<br />
recht imposant: Neben namhaften Fir men (3M, DHL, EADS,<br />
Ford, Lufthansa, Philips, REWE, Volkswagen etc.) finden<br />
sich hier auch Non-Profit-Organisa tionen oder große Medien<br />
unternehmen (z.B. New York Times). Eine Referenzliste<br />
ist unter http://typo3.com/References.1249.0.<br />
html verfügbar. Als Referenzbei spiel mit lokalem Bezug ist<br />
die <strong>Universität</strong> für Bodenkultur <strong>Wien</strong> (www.boku.ac.at)<br />
zu nennen, die eine <strong>komplette</strong> Umstellung ihres Web auftritts<br />
auf Typo3 vollzogen hat. Auch die neue ACOnet-Website<br />
(www.aco.net) wurde mit Typo3 realisiert.<br />
Aufbau eines Typo3-CMS<br />
Content Management Systeme, so auch Typo3, trennen<br />
Inhalt, Struktur und Layout von Webdokumenten. Ein CMS<br />
wird zudem von einem Punkt aus betreut, was bedeutet,<br />
dass die Designvorlagen zentral eingebaut, gepflegt und ver-<br />
1) Open Source bedeutet, dass es jedem ermöglicht wird, Einblick in<br />
den Quellcode einer Software zu erhalten sowie diesen Quell code<br />
auch beliebig weiterzugeben oder zu verändern.<br />
2) Die GNU GPL ist eine von der Free Software Foundation (einer<br />
ge meinnützigen Organisation mit dem Zweck, freie Software zu fördern;<br />
siehe www.fsf.org) herausgegebene Lizenz mit Copyleft<br />
(einem Schutzverfahren, welches Weiterverbreitung und Modifikationen<br />
von Software erlaubt, sofern dies unter derselben Lizenz<br />
und damit denselben Bedingungen geschieht) für die Lizenzierung<br />
freier Software. Nähere Informationen dazu sind unter www.gnu.<br />
org/licenses/licenses.html#GPL zu finden.<br />
3) Es ging dabei um die fehlende Funktion, den Cache zu löschen,<br />
was dazu führte, dass die Performance des Systems von Tag zu Tag<br />
schlechter wurde. Die Migration der Daten in ein anderes CMS war<br />
aufgrund des nicht transparenten Datenbankaufbaus ebenfalls<br />
nicht leicht zu bewerkstelligen.<br />
<strong>Comment</strong> 06/3
38 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
waltet werden. Dies erspart den einzelnen AnwenderInnen<br />
Wartungsarbeiten sowie Layoutanpassungen. Für alle integrierten<br />
Seiten existiert ein so genanntes Template, also<br />
eine einheitliche Vorlage, nach der alle Seiten aufgebaut<br />
sind. Für die Seiten der Uni <strong>Wien</strong> wurde ein Design gewählt,<br />
das aus einer Kopfzeile, einer vertikalen Menüleiste<br />
(Naviga tion) auf der linken Seite sowie aus den zugehörigen<br />
CSS-Dateien 4) besteht (siehe Abb. 1). Den Rest der<br />
Seite bildet der frei editierbare Content-Bereich. Innerhalb<br />
dieses Bereiches können die Inhalte der Webseite (Texte,<br />
Bilder, Dateien zum Downloaden, Tabellen, Sta tisti ken etc.)<br />
von den zuständigen Personen der jeweiligen Ein richtung<br />
über einen Webbrowser selbständig erstellt und gepflegt<br />
werden – und zwar ohne besonderes technisches Knowhow:<br />
Typo3 ist einfach zu erlernen, zudem braucht man<br />
keine Kenntnisse in HTML, JavaScript, XML, PHP etc.<br />
Das Hauptargument für den Einsatz eines CMS ist die Ressourcenersparnis.<br />
Aufgrund des zentralen Zu griffs auf die<br />
Struktur und das Layout kann man ganze Web auftritte binnen<br />
weniger Stunden fertig stellen, ohne sich mit der<br />
Programmierung des Designs befassen zu müssen. Weitere<br />
Vorteile sind die Zuverlässigkeit, die universale Fehlerbehebung<br />
sowie die effektive Weiterentwicklung des Systems.<br />
Frontend und Backend<br />
Bei Typo3 unterscheidet man zwei Seiten:<br />
• Das Frontend von Typo3 („vordere Seite“, siehe Abb. 1)<br />
ist der Webserver, der den BesucherInnen die fertigen<br />
Seiten anzeigt. Der Zugriff kann mit jedem beliebigen<br />
Webbrowser erfolgen, auch mit älteren Versionen. Spezielle<br />
Funktionen wie Cookies oder JavaScript sind nur<br />
notwendig, wenn die jeweilige Webseite diese ver langt.<br />
• Das Backend von Typo3 („hintere Seite“, siehe Abb. 2)<br />
ist das webbasierte Bearbeitungstool des CMS, mit dem<br />
die Webseiten erstellt und editiert werden. Der Zugriff<br />
kann mit allen gängigen, neueren Webbrowsern erfolgen.<br />
Cookies und JavaScript müssen eingeschaltet und<br />
Popup-Fenster für diesen Vorgang erlaubt werden.<br />
Der Zugriff auf das Backend ist nur für berechtigte Personen,<br />
die so genannten Webautoren oder Redakteure, möglich.<br />
Diese brauchen dafür einen Benutzernamen und ein Passwort<br />
mit einer entsprechenden Typo3-Berechtigung. Die<br />
Be nutzungsberechtigungen beinhalten nicht nur die Definition,<br />
welche Seiten wie und von wem bearbeitet werden<br />
dürfen, sondern definieren auch die Auswahl an Werkzeugen,<br />
die man im Backend zur Verfügung hat. Außer dem lassen<br />
sich Rollen für einen Workflow festlegen (z.B. Erstellung<br />
des Content durch Benutzer A – Freigabe der Inhalte durch<br />
Benutzer B – Publikation auf der Web seite).<br />
Typo3-Extensions<br />
Typo3 ist genau betrachtet nur ein Framework, also eine<br />
Rahmenanwendung, die durch Extensions erweitert wird<br />
4) Mittels CSS (Cascading Style Sheets) können Stil-Definitionen für<br />
HTML- und XML-Elemente zentral festgelegt werden (Näheres<br />
siehe z.B. <strong>Comment</strong> 03/1, Seite 30 bzw. unter www.univie.<br />
ac.at/comment/03-1/031_30.html).<br />
Abb. 1: Ansicht einer Webseite der <strong>Universität</strong> <strong>Wien</strong> im Typo3-Frontend (Ausschnitt)
(im Grunde ist das gesamte Backend eine große Extension).<br />
Solche Extensions können unterschiedlicher Natur sein:<br />
• Backend-Tools – z.B. Dateimanager, Werkzeuge für erweiterte<br />
Gruppenverwaltung oder Template-Verwaltung<br />
– werden direkt ins Backend eingebunden.<br />
• Frontend-Plugins sind Webapplikationen, die als Content-Element<br />
in eine Webseite integriert werden können,<br />
wie z.B. Gästebücher, Foren oder Fotogalerien.<br />
Extensions bestehen aus mehreren Dateien innerhalb eines<br />
Verzeichnisses – meist PHP- und Bilddateien, SQL-Queries,<br />
aber auch HTML-Dateien. Es existiert ein zentrales Onlineverzeichnis<br />
mit der Möglichkeit zum Up- und Down load<br />
von Extensions. In diesem Extension Repository (http://<br />
typo3.org/extensions/) findet man zahlreiche Typo3-<br />
Erweiterungen aller Art, von Wikis über Foren bis hin zu<br />
einer phpMyAd min-Integration ins Backend. Wenn man<br />
eine neue Funktionalität benötigt, kann man sich also aus<br />
dem Pool der schon existierenden Extensions bedienen,<br />
eine vorhandene Extension weiterentwickeln bzw. modifizieren<br />
oder eine neue Extension selbst erstellen.<br />
TypoScript<br />
Typo3 verwendet für die Konfiguration eine eigene Sprache:<br />
TypoScript ist weder – wie der Name fälschlich vermuten<br />
lässt – eine Skriptsprache noch eine Programmiersprache,<br />
sondern eine Beschreibungssprache. Es besitzt eine eigene<br />
Syntax und dient als direkte Verbindung zu den Kernfunktionen<br />
sowie zur <strong>Ausgabe</strong>-Engine von Typo3.<br />
Infos & Ansprechpartner<br />
Abb. 2: Bearbeitung derselben Webseite im Typo3-Backend (Ausschnitt)<br />
Netzwerk- & Infodienste 39<br />
Der Betrieb, die Pflege sowie der technische und didaktische<br />
Support des Typo3-Systems an der <strong>Universität</strong> <strong>Wien</strong><br />
be ruht auf der Zusammenarbeit mehrerer Abteilungen:<br />
• Derzeit ist die DLE Öffentlichkeitsarbeit und Veranstaltungsmanagement<br />
für die Entwicklung, für den<br />
Aufbau sowie für die Administration des Systems verantwortlich,<br />
wodurch die Ausweitung des Systems begrenzt<br />
ist. Über die weitere Entwicklung wird Anfang 2007 informiert<br />
werden.<br />
• Die technische Infrastruktur besteht aus einem für Content<br />
Management Systeme optimierten Server, der vom<br />
Zen tralen Informatikdienst zur Verfügung gestellt wird.<br />
In Zusammenarbeit mit dem Helpdesk des ZID (siehe<br />
www.univie.ac.at/ZID/helpdesk/) entsteht derzeit<br />
ein organisierter technischer Support.<br />
• Weiters wird vom Referat für Personalentwicklung<br />
in Zusammenarbeit mit dem Projektzentrum Lehrentwick<br />
lung allen MitarbeiterInnen der <strong>Universität</strong> <strong>Wien</strong><br />
ein kostenloser Typo3-Einschulungskurs angeboten. Infor<br />
mationen hierzu finden Sie unter www.univie.ac.<br />
at/personalentwicklung/.<br />
Bei Fragen und Anregungen wenden Sie sich bitte per<br />
eMail an die zentrale Informationsstelle für Typo3-Fragen,<br />
die unter cms.public@univie.ac.at erreichbar ist.<br />
André Seirafi (DLE Öffentlichkeits arbeit und<br />
Veranstaltungsmanagement) ■<br />
<strong>Comment</strong> 06/3
40 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
WEB-PUBLISHING MIT XML<br />
Die eXtensible Markup Language verwirklicht<br />
den Cross-Media-Gedanken<br />
XML ist in aller Munde. Dank XML (Extensible Markup<br />
Language, übersetzt: erweiterbare Auszeichnungssprache),<br />
so versprechen die Hersteller und Dienstleister, werden<br />
Datenformate kompatibler, Daten maschinenlesbarer und<br />
Anwender entlastet. Besonders für das Publizieren im Web<br />
verspricht die Wandlungsfähigkeit von XML-Daten ein wahrer<br />
Segen zu sein: Mit XML als Standard zur Erstellung maschinen-<br />
und menschenlesbarer Dokumente könnte endlich<br />
der Cross-Media-Gedanke – das Verbreiten der gleichen<br />
Information über mehrere Kanäle – technisch so umgesetzt<br />
werden, dass beispielsweise Artikel wirklich nur<br />
einmal editiert werden müssen, bevor sie sowohl in elektronischen<br />
wie in sonstigen Medien im jeweils adäquaten –<br />
sprich mediengerechten Format – verfügbar sind.<br />
XML definiert die Regeln für den Aufbau von Dokumenten<br />
in Form einer Baumstruktur. Im Gegensatz zu bekannten<br />
Auszeichnungssprachen wie beispielsweise HTML (Hypertext<br />
Markup Language) oder TeX (bzw. LaTeX) 1) ist XML<br />
ein Standard zur Definition von beliebigen, in ihrer Grundstruktur<br />
jedoch stark verwandten Auszeich nungs sprachen<br />
und wird daher auch als Metasprache bezeichnet.<br />
Zwei Hauptargumente, die für das Publizieren mit XML zumeist<br />
genannt werden, sind, dass<br />
1. Inhalte nur einmal eingegeben werden müssen, um<br />
über mehrere Kanäle abrufbar zu sein und<br />
2. die Kompatibilität zu anderer Software erhöht wird, so<br />
dass Importvorgänge erleichtert werden.<br />
Wo macht der Einsatz von XML wirklich Sinn? Wo ist er im<br />
Vergleich zu herkömmlichen Technologien besser oder gar<br />
schlechter geeignet?<br />
Bevor diese Fragen beantwortet werden, soll ein kurzer<br />
Überblick gegeben werden, wie Web-Publishing mit nicht<br />
XML-basierten Technolo gien aussieht.<br />
Web-Publishing ohne XML<br />
Zum „herkömmlichen“ Web-Publishing zählen das Publizieren<br />
von rein statischen Webdokumenten sowie die serverseitig<br />
programmierten <strong>Ausgabe</strong>systeme (dynamische Systeme).<br />
Gerade der Einsatz von serverseitigen Skriptsprachen hat in<br />
den letzten Jahren erheblich an Bedeutung gewonnen und<br />
lässt sich durchaus als Standardlösung für Webprojekte aller<br />
Größenordnungen bezeichnen. Sehr populär ist zum Beispiel<br />
der kombinierte Einsatz der Skriptsprache PHP zusammen<br />
mit dem MySQL-Datenbank-Managementsystem.<br />
Beide sind wichtige Vertreter der Open Source-Gemeinde<br />
und stehen somit nicht nur jedem Entwickler frei zur Verfügung,<br />
sondern laden auch zu eigenen Verbesserungsansätzen<br />
ein.<br />
Statisches Publizieren<br />
Das statische Publizieren ist vom Prinzip her denkbar einfach<br />
und schnell erklärt: Die zu publizierenden Dokumente<br />
werden in einem Editor (oft ein WYSIWYG 2) - oder ein einfacher<br />
Texteditor) erstellt bzw. bearbeitet und mit allen gewünschten<br />
Funktionen versehen. Das Resultat sind ein -<br />
zelne HTML-Dokumente, von denen jedes einzelne alle<br />
notwendigen Daten enthält, das heißt, dass keinerlei Daten<br />
gemeinsam verwendet werden. Dann wird eine Kopie dieser<br />
Dateien auf dem System gespeichert (meist mit Hilfe<br />
von SSH, FTP 3) oder WebDAV 4) ), auf dem auch der Webserverdienst<br />
läuft.<br />
Der Webserver liefert dann bei jeder Anfrage eines Clients<br />
das gewünschte Dokument aus, und zwar ohne es weiter<br />
zu verarbeiten oder sonstige Aktionen zu verrichten. Auch<br />
die URLs, die vom Client abgerufen werden, geben exakt<br />
die Struktur des Dateisystems wieder: So befindet sich zum<br />
Beispiel eine Datei, deren URL auf .../kontakt/index.<br />
html endet, auf dem Webserver im Verzeichnis kontakt<br />
und hat den Dateinamen index.html.<br />
1) siehe hierzu Artikel LamportTauepsilonXi – Textverarbeitung und<br />
mehr in <strong>Comment</strong> 06/1, Seite 25 bzw. unter www.univie.ac.<br />
at/comment/06-1/061_25.html<br />
2) WYSIWYG ist die Abkürzung für das Prinzip What You See Is What<br />
You Get („was du siehst, ist, was du bekommst“). Bei echtem<br />
WYSIWYG wird ein Dokument während der Bearbeitung – z.B. in<br />
einem Editor – genauso angezeigt, wie es bei der <strong>Ausgabe</strong> des fertigen<br />
Dokuments aussieht.<br />
3) FTP (File Transfer Protocol ) ist ein spezifi ziertes Netzwerkprotokoll<br />
zur Dateiübertragung und wird benutzt, um Dateien vom Server<br />
zum Client (Download), vom Client zum Server (Upload) oder<br />
clientgesteuert zwischen zwei Servern zu übertragen. Außerdem<br />
können mit FTP Verzeichnisse angelegt und ausgelesen sowie Verzeichnisse<br />
und Dateien umbenannt oder gelöscht werden.<br />
4) WebDAV (Web-based Distributed Authoring and Versioning) ist ein<br />
offener Standard zur Bereitstellung von Dateien im Internet.<br />
5) Der Begriff Netzwerklaufzeit bezeichnet die Zeitspanne, die eine<br />
Information benötigt, um von A nach B zu kommen.
Vorteile<br />
Der größte Vorteil dieser Art des Publizierens ist die offensichtliche<br />
Einfachheit. Dass von Seiten des Webserverdienstes<br />
keine weiteren Aktionen notwendig sind, bringt<br />
einen zusätzlichen Geschwindigkeitsvorteil, der in der Praxis<br />
jedoch nicht spürbar ist. Die Performance von Skriptsprache-Interpretern<br />
und vor allem der Server-Hardware ist<br />
in den letzten Jahren so gut geworden, dass auf einem gewöhnlichen<br />
Mietserversystem bei vernünftiger Programmierung<br />
keine Verzögerung wahrnehmbar ist, zumal die Netzwerklaufzeiten<br />
5) meist erheblich höher sind.<br />
Ein weiterer Vorteil ist die Möglichkeit, den gesamten Inhalt<br />
des Webprojektes auch ohne Webserverdienst erschließen<br />
zu können. Wenn ein lokaler Zugang zu den HTML-Dateien<br />
besteht, sind diese von jedem beliebigen Browser les- und<br />
darstellbar.<br />
Dynamische Systeme<br />
Schon von den ersten Jahren des WWW an gab es immer<br />
Systeme, die HTML-Code dynamisch generierten. Der Entwickler<br />
programmiert dabei ein System, dessen Aufgabe es<br />
ist, bei der Anfrage eines bestimmten URL ein HTML-Dokument<br />
ganz oder teilweise neu zu erstellen.<br />
Für die hierzu notwendigen Informationen kommt jede<br />
denkbare Datenquelle in Frage: Daten aus dem Dateisystem,<br />
aus Datenbanken, von entfernten Rechnern oder auch<br />
Daten, die der Besucher innerhalb einer Sitzung dem Server<br />
übermittelt, wie etwa durch das Ausfüllen eines Kontaktformulars.<br />
Der Server erstellt dann anhand der angefragten Daten<br />
ein fertiges HTML-Dokument, das an den Client zurückgesandt<br />
wird.<br />
Vorteil<br />
Der Vorteil eines dynamischen Systems liegt auf der Hand:<br />
Es können nicht nur, wie beim statischen Publizieren, vorgefertigte<br />
Dokumente ausgeliefert werden, sondern auch<br />
Antworten, die zur Laufzeit erstellt werden. Zudem können<br />
alle redundanten Bestandteile eines Dokuments wie etwa<br />
Navigation oder Fußzeile zentral abgelegt und vor allem separat<br />
gepflegt werden. Auch wird so eine Integration des<br />
Webauftrittes in weitere Geschäftsprozesse überhaupt erst<br />
möglich, wenn z.B. das online Abrufen von Lager beständen<br />
einen Zugriff auf die Lagerdatenbank erfordert.<br />
Statisch oder dynamisch: XML bleibt draußen<br />
Sowohl beim Publizieren von statischen Inhalten als auch<br />
bei den dynamischen Systemen kommen bisher in aller<br />
Regel keine XML-Technologien zum Einsatz, weder als<br />
Datenquelle noch zur Verarbeitung. Gleichwohl ist diese<br />
Möglichkeit denkbar, und streng genommen kann auch<br />
eine einzelne valide XHTML-Seite als Verwendung von XML<br />
verstanden werden. Dieser Fall soll jedoch ausgeschlossen<br />
werden, da die Vorteile von XML hier bei weitem nicht ausgenutzt<br />
werden, insbesondere weil keine Transformationen<br />
von Inhalten erfolgen.<br />
Netzwerk- & Infodienste 41<br />
Bei dynamischen Ansätzen sind durchaus Lösungen denkbar,<br />
die XML-Datenquellen zur Publikation nutzen. Dennoch<br />
ist diese Kombination nicht sonderlich oft anzutreffen, weil<br />
in der Regel relationale Datenbankmanagement systeme als<br />
Datenquellen genutzt werden. Ein möglicher Grund hierfür<br />
ist bei den Programmiergewohnheiten der jeweiligen Programmierer<br />
zu suchen. Da Entwickler von skriptbasierten<br />
Systemen sich häufig der schlichteren prozeduralen Programmierung<br />
bedienen, ist der Schritt zu den eher objektorientierten<br />
Denkmodellen der XML-Verarbeitung oft nicht<br />
der nahe liegendste. Zudem erschließt sich das volle Spektrum<br />
der Vorteile von XML erst durch einen übergreifenden<br />
und konsistenten Workflow (Näheres im Abschnitt Noch<br />
mehr Vorteile).<br />
So wird XML beispielsweise in großen kommerziellen<br />
Applikationen eingesetzt, die üblicherweise in Java geschrieben<br />
sind und einen Application Server verwenden<br />
(z.B. den Oracle Application Server). Bei solchen Anwendungen<br />
ist die Webschnittstelle oft nur ein kleiner Teil des<br />
Gesamtsystems, das noch über zahlreiche weitere Schnittstellen<br />
verfügt. Für einen komfortablen Datenaus tausch<br />
über verschiedene Schnittstellen ist XML hervorragend geeignet.<br />
Die eXtensible Markup Language<br />
XML ist im Laufe der letzten Jahre zu einem echten Schlagwort<br />
geworden. Bei einer etwas nüchterneren Betrach tung<br />
ist XML selbst zunächst allerdings nicht mehr und nicht weniger<br />
als eine standardisierte Weise, Daten abzuspeichern<br />
oder zu übertragen. Dabei spielt die Gliederung innerhalb<br />
der Dateien eine entscheidende Rolle. Viel konkreter ist<br />
XML zunächst nicht erklärbar, denn zu dessen größter<br />
Stärke gehört die Flexibilität, was es allerdings auch am<br />
Anfang etwas schwer fassbar macht. XML ist aus der bereits<br />
1986 definierten Auszeichnungssprache Standard Generalized<br />
Markup Language (SGML) entstanden. XML sollte so<br />
einfach zu handhaben sein wie HTML, dabei aber so flexibel<br />
wie SGML bleiben.<br />
Ein mit XML beschriebener Datenbestand ist mit so genannten<br />
Tags (übersetzbar mit „Markierung“) versehen, die das<br />
Dokument logisch bzw. semantisch gliedern. Würde man<br />
die Gliederung verwerfen, wäre der gesamte Text einfach<br />
ein einziges, zusammenhängendes Gebilde, etwa so, als<br />
würde man aus einem Theaterstück alle Rollenzuweisungen,<br />
Regieanweisungen und Szenenbeschreibungen entfernen<br />
oder die Tageszeitung in einem Stück diktieren, ohne<br />
eine Unterscheidung zwischen Titel und Text zu machen.<br />
Welche Tags verwendet werden und wie sie angeordnet<br />
werden, hängt vom Zweck des Dokumentes ab. Für alle<br />
Dokumente, die den gleichen Zweck erfüllen, wird eine so<br />
genannte XML-Applikation definiert, also ein konkreter<br />
Umfang von Tags mit Regeln, die festlegen, wo, wie oft und<br />
unter welchen Bedingungen ein Tag gesetzt werden muss.<br />
Ein sehr einfaches Beispiel für XML ist etwa eine Einkaufsliste,<br />
wie sie in Abb. 1 auf der Folgeseite notiert ist.<br />
<strong>Comment</strong> 06/3
42 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
7<br />
8<br />
9<br />
10<br />
11<br />
12<br />
13<br />
14<br />
15<br />
16<br />
17<br />
<br />
<br />
Milch<br />
1<br />
Liter<br />
<br />
<br />
Semmeln<br />
2<br />
Stück<br />
<br />
<br />
Orangen<br />
1<br />
Kilo<br />
<br />
<br />
Abb. 1: Beispiel eines XML-Dokuments, hier eine Einkaufsliste<br />
Wie im Beispiel der Einkaufsliste zu sehen ist, wird für<br />
jeden einzelnen Posten ein Bereich eröffnet, in<br />
dem wiederum andere Tags geschachtelt enthalten sind.<br />
Jedes Tag mit seinem Inhalt stellt ein Element dar. Trotz seiner<br />
etwas wiederholenden Natur bleibt das Dokument<br />
selbst für ein ungeübtes Auge leicht les- und erfassbar.<br />
XML-Dokumente sind immer Textdateien – selbst wenn innerhalb<br />
der Tags später auch Binärinformationen erlaubt<br />
sind –, was die Handhabung sehr erleichtert. Die strenge<br />
Struktur dieses Dokumentes ermöglicht die einfache und<br />
flexible Verarbeitung, für die XML steht.<br />
Typische Eigenschaften eines XML-Dokumentes<br />
Ein XML-Dokument hat verschiedene Merkmale. Einige<br />
davon sind zwingend notwendig, andere Eigenschaften<br />
sind optional, und wieder andere sind logische oder stilistische<br />
Richtlinien. Im Folgenden sind die wichtigsten<br />
Eigenschaften von XML zusammengefasst:<br />
• Syntax: Jedes Element wird mit Hilfe eines Tags begonnen<br />
und beendet, bei dem der Tagname in spitzen<br />
Klam mern steht. Dazwischen kann ein Text stehen:<br />
foobar, oder es handelt sich<br />
um ein leeres Element: . Innerhalb des<br />
Tags können noch weitere Daten gespeichert werden,<br />
in Form so genannter Attribute: .<br />
Das öffnende Tag enthält dabei den<br />
Tag namen und optionale Attribut-Wert-Zuweisungen.<br />
Das schließende Tag beginnt mit einem Schrägstrich<br />
nach der öffnenden Klammer und darf keine Attribute<br />
enthalten. Leere Tags enden mit einem Schrägstrich vor<br />
der schließenden Klammer. Bei Tagnamen wird Groß-<br />
und Kleinschreibung berücksichtigt.<br />
• Wohlgeformtheit: Ein Dokument ist wohlgeformt,<br />
wenn alle Elemente, die geöffnet werden, auch wieder<br />
geschlossen werden (...) oder die Elemente<br />
leer sind (). Außerdem dürfen Elemente<br />
zwar geschachtelt werden (), aber<br />
nicht über Kreuz geöffnet und geschlossen werden<br />
(). Die Einhaltung dieser Regeln ist<br />
absolut notwendig, da die meisten Programme die Verarbeitung<br />
eines nicht wohlgeformten Dokumentes abbrechen<br />
werden.<br />
• Validierung mittels DTD und anderer Technologien:<br />
Wie bereits erwähnt, definiert man für mehrere<br />
Do kumente, die dem gleichen Zweck dienen, eine so<br />
genannte XML-Applikation. Beispiele hierfür sind etwa<br />
MathML zur Notation von mathematischen Formeln<br />
oder XHTML für Hypertext-Dokumente im Web. Das<br />
Mittel hierzu ist die Beschreibung einer so genannten<br />
Document Type Definition (DTD). Hierin wird standardisiert,<br />
welche Tags benutzt werden dürfen, welche ineinander<br />
geschachtelt werden können, und welche<br />
Attri bute zugelassen oder zwingend notwendig sind.<br />
Die Standardisierung solcher Applikationen ist unerlässlich,<br />
damit ein Programm, das Daten aus einem XML-<br />
Dokument erhält, sichergeht, dass alle Daten aus dem<br />
Dokument im Programm zuordnungsfähig sind und umgekehrt<br />
alle für das Programm notwendigen Daten im<br />
Dokument vorhanden sind. Braucht z.B. ein Programm<br />
zwingend die Information, ob eine Person männlich<br />
oder weiblich ist, so wird dies in der DTD fes tgelegt. Ein<br />
entsprechend valides Element könnte etwa so aussehen:<br />
.... Würde<br />
hier das gender-Attribut weggelassen werden, wäre das<br />
Dokument nicht mehr gegen diese DTD valide.<br />
Das DTD-Format ist nicht die einzige Sprache, in der die<br />
Syntax von XML-Dokumenten festgelegt werden kann.<br />
Profiliert haben sich vor allem auch die Sprachen XML<br />
Schema 6) , welche den Vorteil hat, selbst eine XML-<br />
Applikation zu sein, und Relax NG 7) , die für sich beansprucht,<br />
besonders leicht erlernbar zu sein.<br />
• Trennung von Inhalt und Darstellung: XML ist eine<br />
Auszeichnungssprache, mit deren Hilfe logische bzw.<br />
semantische Strukturen der Daten auf das Dokument<br />
übertragen werden sollen. Der Zweck eines Dokuments<br />
kann dabei je nach XML-Applikation völlig verschieden<br />
sein. Jede Applikation erfüllt genau ihren Zweck und<br />
keinen anderen. So sollen zum Beispiel auch XHTML-<br />
Elemente nicht zur visuellen Gestaltung verwendet werden,<br />
sondern die dafür vorgesehene Sprache CSS (Casca<br />
ding Style Sheets) 8) . Andere Applikationen hingegen,<br />
wie SVG 9) und XSL-FO 10) , sind genau hierfür gedacht.<br />
• Portierbarkeit ist einer der meist gepriesenen Vorteile<br />
von XML und beschreibt die Fähigkeit, Daten auf anderen<br />
Rechnern, auf anderen Betriebssystemen oder mit<br />
anderer Anwendungs- oder Server-Software weiter benutzen<br />
zu können. Dies verdankt XML einerseits der
leichten Verarbeitbarkeit des Datenformats, andererseits<br />
sicherlich aber auch einer gewissen Mode, durch die<br />
(dan kens werterweise) viele Anwendungen eine Schnittstelle<br />
zum XML-Import oder -Export implementiert haben<br />
oder sogar gleich konsequenterweise ihre Daten<br />
in XML-Formaten speichern.<br />
Für fast alle Program mier sprachen gibt es Pakete, mit<br />
denen Softwareentwickler relativ leicht XML-Funktio -<br />
nen nachrüsten können, allen voran Java und Perl.<br />
Unter stützt wird die Portierbarkeit über verschiedene<br />
Sprachen und Alphabete hinweg vor allem durch die<br />
Verwendung von adäquaten Encodings, nach aller Möglichkeit<br />
Unicode (UTF-8).<br />
• Transformierbarkeit ist ebenfalls eine der Schlüsseltechnologien<br />
von XML. Bei Transformationen handelt es<br />
sich um Prozesse, die nach einer bestimmten Vorschrift<br />
Daten aus einem XML-Dokument extrahieren und sie in<br />
ein zweites niederschreiben, wobei sich allerdings das<br />
Schema, also die Struktur der Daten, verändert. Auf<br />
diese Weise könnte zum Beispiel die Einkaufsliste aus<br />
Abbildung 1, die einem generischen 11) XML-Schema<br />
folgt, in ein XHTML-konformes Dokument transformiert<br />
werden:<br />
...<br />
<br />
1 Liter Milch<br />
2 Stück Semmeln<br />
1 Kilo Orangen<br />
<br />
Die so transformierte Einkaufsliste kann nun problemlos<br />
in jede Website eingebunden werden. Die wichtig ste<br />
Technologie für Transformationen ist die Extensible<br />
Stylesheet Language Transformation (XSLT) 12) .<br />
• Document Object Model (DOM): Die geschachtelte<br />
Struktur eines XML-Dokumentes lässt sich als Baumstruktur<br />
darstellen, in der das oberste Element das Root<br />
Element darstellt. Alle weiteren Elemente sind hierarchisch<br />
unter diesem Element sortiert, als so genannte<br />
Child Elements. Sie sind in dem Root Element enthalten.<br />
Bei der Verarbeitung spielt dieser Umstand eine entscheidende<br />
Rolle, da viele Schnittstellen zur Programmie<br />
rung nach diesem Modell arbeiten.<br />
Diese Punkte machen deutlich, warum XML so viele Vorteile<br />
in sich vereint, die für sich genommen nicht unbedingt revolutionäre<br />
Neuerungen sind, aber hier konsequent und<br />
zusammen umgesetzt wurden. Was die Verwendung dieser<br />
Technologie allerdings erst so richtig interessant und mächtig<br />
macht, ist die umfangreiche Sammlung von Werkzeugen<br />
und Schnittstellen zu allen erdenklichen Systemen, Pro-<br />
Netzwerk- & Infodienste 43<br />
grammen und Plattformen. XML unterliegt als offener Standard<br />
nicht der Kontrolle einer einzelnen Firma, und seine<br />
Verwendung ist nicht geschützt oder begrenzt.<br />
Auch für Entwickler sind die Gründe nahe liegend: Statt mit<br />
viel Aufwand einen Parser 13) für ein eigenes Textformat zu<br />
programmieren, greift man auf XML zurück – und erntet<br />
damit noch alle weiteren Vorteile.<br />
Noch mehr Vorteile …<br />
Von diesen ausführlich beschriebenen Merkmalen von XML<br />
abgesehen ist für den Zweck des Web-Publishing vor allem<br />
der folgende Aspekt interessant: Die Datenspeicherung soll<br />
möglichst zentral und mit möglichst wenig Redundanz auskommen,<br />
besonders sollen aber redundante Arbeitsschritte<br />
bei der Verarbeitung der Inhalte vermieden werden. Dieser<br />
Aspekt betrifft mehrheitlich Redakteure von Webseiten.<br />
Wenn erreicht werden kann, dass Artikel, Bild- und Grafikmaterial,<br />
Adressdaten, Daten zu Geschäftsprozessen (wie<br />
z.B. Nutzerstatistiken oder Lagerhaltungsdaten) wirklich<br />
nicht mehr isoliert auf den Arbeitsplatzrechnern der einzelnen<br />
Mitarbeiter, sondern zentral und direkt auf gemeinsamen<br />
Servern gespeichert werden, ist ein sehr großer Schritt<br />
nach vorne gelungen.<br />
Wenn hierzu noch die Software der Endanwender, also die<br />
Redaktionssysteme, Adresspro gramme, Textverarbeitungen<br />
und andere Programme, auch über eine einheitliche Schnittstelle<br />
auf diese Datenbestände zugreifen kann und die<br />
Server-Software keine proprie tären Datenformate mehr verarbeiten<br />
muss, so werden die positiven Auswirkungen für<br />
jeden Mitarbeiter spürbar und offensichtlich sein:<br />
Datenbestände sind dann immer auf dem neuesten Stand,<br />
lästiges und fehleranfälliges Abgleichen von Listen entfällt<br />
6) Eine Einführung in XML Schema ist unter www.edition-w3c.<br />
de/TR/2001/REC-xmlschema-0-20010502/ verfügbar.<br />
7) siehe hierzu http://relaxng.org/ (nur englisch)<br />
8) siehe Artikel Cascading Style Sheets in <strong>Comment</strong> 03/1, Seite 30<br />
bzw. unter www.univie.ac.at/comment/03-1/031_30.html<br />
9) Scalable Vector Graphics (übersetzt: „skalierbare Vektorgrafi ken“)<br />
ist ein Standard zur Beschreibung zweidimensionaler Vektorgra fi -<br />
ken in der XML-Syntax.<br />
10) Extensible Stylesheet Language – Formatting Objects ist eine XML-<br />
Anwendung, die beschreibt, wie Text, Bilder, Linien und andere<br />
grafi sche Elemente auf einer Seite angeordnet werden.<br />
11) „Generisch“ meint in diesem Fall: nur für dieses eine Dokument<br />
zutreffend; es handelt sich hierbei nicht um ein Standardformat.<br />
12) Ein Tutorial zu XSLT ist unter www.data2type.de/xml/XML.<br />
html verfügbar.<br />
13) Parser bezeichnet ein Computerprogramm zur Verarbeitung von<br />
Textdokumenten.<br />
<strong>Comment</strong> 06/3
44 Netzwerk- & Infodienste<br />
<strong>Comment</strong> 06/3<br />
völlig, und Funktionen für komplexere Zugriffe können<br />
vom Systemadministrator jederzeit nachgerüstet werden.<br />
Vor allem aber kann eine Datei (etwa ein Artikel) nicht nur<br />
mit dem Programm verarbeitet werden, in dem die Datei erstellt<br />
wurde, sondern jedem anderen Zweck übergeben<br />
werden, für den eine Transformationsregel geschrieben<br />
wurde. Ein einmal gespeichertes OpenOffice.org-Dokument<br />
14) könnte so beispielsweise direkt ohne weitere<br />
Arbeitsschritte im Web veröffentlicht werden.<br />
Bei der Veröffentlichung der Daten ist aber nicht nur ein<br />
Weg möglich, sondern im Sinne des anfangs bereits erwähnten<br />
Cross-Publishing eine Publikation über mehrere<br />
Ausgangsformate hinweg denkbar. Üblich wäre es zum Beispiel,<br />
einen Artikel im Web über einen Link als Druckversion<br />
in Form einer PDF-Datei anzubieten. Ein RSS-Stream 15) , wie<br />
ihn in letzter Zeit immer mehr Websites anbieten, wäre<br />
ebenfalls über eine recht einfache Transformation direkt<br />
aus den Datenbeständen zu gewinnen. WML-Versionen 16)<br />
für mobile Endgeräte, Web-Services und proprietäre XML-<br />
Formate sind nur Beispiele für eine beinahe beliebig erweiterbare<br />
Liste weiterer <strong>Ausgabe</strong>formate.<br />
Auf Seiten der Programmierer der Website ergibt sich einer<br />
der Hauptvorteile allein durch die konsequente Nutzung<br />
von XML: Für die verschiedenen Arten von Daten muss<br />
nicht für jede Anwendung eine andere Technologie beherrscht<br />
werden. Unterschiede der Verarbeitung und der<br />
Datenmodelle, wie sie zwischen relationalen Datenbanken,<br />
objektorientierten Datenbanken, Spezial-Datenschnitt stellen<br />
wie LDAP (Lightweight Directory Access Protocol, siehe<br />
Artikel auf Seite 29 und 33) für die Ablage von Adressdaten<br />
etc. existieren, können so auf einen einheitlichen Nenner<br />
gebracht werden. Zwar erfordern die XML-Technologien<br />
auch aufgrund ihrer Anzahl eine gewisse Einarbeitungszeit,<br />
aber schnell wird deutlich, dass sie sich meist eines gemeinsamen<br />
Denk modells bedienen.<br />
… und die Kehrseite<br />
Damit diese Ziele realisiert werden können, ist insbesondere<br />
die richtige Planung von entscheidender Wichtigkeit.<br />
Nur wenn alle Arbeitsschritte von der Erstellung bis zur<br />
Veröffentlichung der Inhalte wirklich konsequent auf den<br />
Austausch von XML-Daten ausgelegt werden, ergibt sich<br />
XML-Literaturtipps<br />
• Erik T. Ray: Einführung in XML, O‘Reilly 2004<br />
• Helmut Vonhoegen: Einstieg in XML, Galileo Computing<br />
2005<br />
XML-Webtipp<br />
• XML in der Praxis: Extensible Markup Language<br />
für Profis:<br />
www.linkwerk.com/pub/xmlidp/2000/<br />
aus der Umstellung der Datenspeicherung auch tatsäch lich<br />
ein arbeitstechnischer und mithin wirtschaftlicher Vorsprung.<br />
Der Grund dafür ist, dass XML als isolierte Lösung in einem<br />
Bereich nicht erheblich besser ist als konventionelle<br />
Formate, und sich somit der Arbeitsaufwand zur Vereinheitlichung<br />
beziehungsweise Umstellung kaum rentieren<br />
würde. Die Anforderungen sind nämlich nicht gering:<br />
Es müssen die Datenbanken sowie die Programme für Endan<br />
wender (insbesondere Redakteure) überarbeitet oder<br />
neu angeschafft werden, und die Server-Software muss in<br />
aller Regel erneuert werden. Der wichtigste Teil der Arbeit<br />
entfällt aber mit Sicherheit auf die Planung einer solchen<br />
Konsolidierung auf XML, damit sie über Jahre (und Programmversionen)<br />
hin nutzbar und skalierbar bleibt.<br />
Der Selbstversuch<br />
Wer selbst Hand an ein XML-basiertes Publishing-System<br />
legen will, ist gut beraten, sich zu Beginn mit den einschlägigen<br />
Frameworks zu beschäftigen. Frameworks sind<br />
Rahmen anwendungen, deren Module ähnlich einem Baukasten<br />
system zu einem neuen System zusammengesetzt<br />
werden können. In X4U 17) beispielsweise kann mit wenig<br />
Aufwand eine <strong>komplette</strong> typische Website mit Navigation,<br />
Inhalten, Statistiken und Ähnlichem generiert werden. Cocoon<br />
18) hingegen ist Teil des bekannten Apache-Projekts<br />
und wahrscheinlich das umfangreichste und mächtigste<br />
XML-Publishing-Framework.<br />
Außer den beiden genannten existieren noch unzählige<br />
weitere Frameworks und Module, oft auch welche, die für<br />
Nischenanwendungen programmiert und dann als Open-<br />
Source-Software veröffentlicht wurden. Wie erwähnt, sollte<br />
die Einrichtung eines <strong>komplette</strong>n Systems von langer Hand<br />
konzipiert und vor allem auf den Workflow des jeweiligen<br />
Einsatzes abgestimmt werden.<br />
Mit ein wenig Pro bierfreu digkeit und den richtigen Beispielen<br />
kann man jedoch bereits in wenigen Tagen ein<br />
gutes Gefühl für die Stärken und Tücken der Datenverarbeitung<br />
mit XML gewinnen.<br />
Katharina Lüthke (ZID)<br />
& Michael Probst Stuckmann (netconstructions) ■<br />
14) OpenOffi ce.org speichert seine Daten im so genannten Open-<br />
Document-Format, einem XML-Format für Offi ce-Dokumente.<br />
15) siehe hierzu Artikel RSS Enterprise in <strong>Comment</strong> 06/1, Seite 46 bzw.<br />
unter www.univie.ac.at/comment/06-1/061_46.html<br />
16) WML (Wireless Markup Language) als Teil des Wireless Application<br />
Protocol (WAP) dient zur Darstellung von Inhalten im Internet auf<br />
Mobiltelefonen.<br />
17) auf Anfrage (per eMail an probst@netconstructions.de)<br />
beim Autor erhältlich<br />
18) http://cocoon.apache.org/