PrivatesPortal

Viele Firmen erlauben ihren Mitarbeitern nicht mehr, private eMail mit dem Firmensystem und mit ihrer Firmen eMail Adresse zu verschicken. Damit können sich sowohl der Arbeitgeber als auch der Beschäftigte viel Ärger und Rechtstreitigkeiten ersparen. Allerdings gibt es auch Grauzonen wie z.B. Mitgliedschaft in Berufsverbänden, Teilnahme an Foren oder Blogs im beruflichen Umfeld. Speziell in der IT können viele Professionals zum Vorteil des Arbeitgebers auf den Zugriff zu diesen technischen Informationen auch während der Arbeitszeit nicht verzichten. Allerdings wird es in vielen Foren und Blogs nicht gern gesehen, wenn ”getarnte” Mitarbeiter von Firmen Informationen eventuell sogar von der Konkurrenz (siehe Oracle - SAP) abgreifen.

 Die gängige Lösung für das Dilemma ist ein privater eMail Account, der über den Browser bedient wird, wie z.B. eMail beim Internet Provider Arcor, gmx, 1und1 und Co. oder Google Mail. Dabei werden aber durchaus private Daten wie Linklisten,  oder Cookies für den Zugriff auf dem Firmen PC abgelegt. Interessant ist auch, ob z.B. technische Informationen, die aus Foren als privater Benutzer heruntergeladen wurden, überhaupt im Unternehmen verwendet werden dürfen. In USA läuft zum Thema eMail gerade ein interessanter Rechtstreit, bei dem ein Unternehmen auf die privaten eMail eines ausgeschiedenen Angestellten zugegriffen hat, solange die Zugriffscookies noch auf dem Firmen PC gespeichert waren.  

Eine mögliche saubere Lösung ist z.B. für private Zugriffe, einen anderen Browser z.B. Internet Explorer anstatt Firefox zu verwenden und die Optionen so zu wählen, dass keine permanenten Daten gespeichert werden. Viele Benutzer haben sich aber bereits angewöhnt, Recherchen auch im beruflichen Umfeld vom privaten PC aus zu machen. Bei diesem Blog werden z.B. über 30% der Zugriffe nach 21 Uhr gemacht - wahrscheinlich wenn die Kinder im Bett sind.      

Bei Air Berlin kann man jetzt mit dem Handy schnell einchecken. Beim Kauf des Tickets gibt man seine Handy Nummer für das Einchecken mit Handy an. Etwa zwei Tage vor Abflug erhält man eine SMS mit einer vierstelligen Referenz-PIN. Zum Einchecken antwortet man mit einer SMS an Air Berlin mit dem vierstelligen Referenz-PIN als Referenz. Damit wird man eingechecked und erhält einen guten Platz (bisher immer) und eine MMS mit einem 2D Barcode - das elektronische Ticket.  

Beim Einchecken am Gate legt man das Handy mit dem 2D Barcode im Display auf einen Scanner  und geht an Bord. Die Methode ist besonders interessant, wenn man nur mit Handgepäck reist. 

Soweit die Theorie. In der Praxis rumpelt es bei Air Berlin noch etwas. Am Flughafen In Stuttgart ist das Verfahren weder bekannt noch ist die neue Hardware am Gate installiert. Zum Einchecken muss man die Security Nummer (steht in der MMS) angeben. Am Flughafen in Berlin löst das elektronische Ticket auf dem Handy bei der Personenkontrolle eine größere Diskussion beim Personal aus. Mein Handy geht von Hand zu Hand. Letztendlich werde ich dann aber doch eingechecked, nachdem ich auf dem Handy meine Flugnummer zeigen kann. Am Gate zum Einchecken wird das Handy mit dem 2D Barcode auf einen Scanner gelegt - leider kann der Barcode nicht gelesen werden. Offensichtlich ist die Auflösung auf meinem Nokia N70 zu schlecht. Mit Eintippen der Security Nummer geht das Einchecken aber dann problemlos.

Insgesamt ist das elektronische Ticket eine recht effiziente Methode, die vom Benutzer ohne große Probleme bedient werden kann. Eigentlich könnte diese Methode für viele Arten von Eintrittskarten, Fahrscheine usw verwendet werden. Die Kinderkrankheiten lassen sich wahrscheinlich schnell beheben. Man braucht auch keine speziellen Scanner um ein 2D Ticker zu lesen. Mit der Handykamera geht das sehr gut. Einfach mal diesen Beitrag ausdrucken und mit dem eigenen Handy ausprobieren (Anleitung)  

Obwohl der Großteil der Uni Absolventen zugibt, dass sie den Großteil des an der Uni vermittelten Wissens im Leben nie gebraucht haben, wird an den Hochschulen weiter viel Sinnloses gelehrt und schlimmer noch auch gelernt. Wichtig scheint im Leben zu sein, sich rechtzeitig eine Strategie für die Umgehung sinnloser Arbeiten zuzulegen. Die Rezepte der Harvard Studienabbrecher und Miliardären Bill Gates (Microsoft) und Mark Zuckerberg (Facebook) sind durchaus interessant. Bill Gates empfiehlt, die unwichtigen Vorlesungen zu schwänzen und sich die Kenntnisse für die Prüfung  in einem kurzen Crash Kurs anzueignen. Mark Zuckerberg setzt da noch eins drauf. Da er beim Aufbau von Facebook  auch keine Zeit zum Lesen aufwenden wollte, hat er den Kollegen eine Comunity Plattform für die unnötigen Kurse angeboten und hat dann das dort zusammengetragene Wissen in der Prüfung genutzt. Er hat die Prüfung geschafft aber dann trotzdem das Studium abgebrochen.  Von Mark lernen heißt siegen lernen. Mir ist aber keine Initiative von deutschen Studenten zur geordneten Zusammenarbeit mit Web 2.0 Tools bekannt. So wird man wahrscheinlich nie Milliardär!      

OpenID ist ein einfaches Verfahren mit dem Benutzer mit einem Benutzernamen und einem Passwort auf viele Websites zugreifen können. Der Benutzer meldet sich zuerst bei einem beliebigen OpenID Anbieter mit benutzername und Passwort an.  Er erhält dann eine OpenID in URL Form wie zum Beispiel:  http://benutzername.meinopenid.com .

Meldet man sich nun bei einer Site an, die OpenID unterstützt, wird ein Login Formular ähnlich  http://spielerkabine.net/login angezeigt.

Dort gibt man nun seine persönliche OpenID anstatt wie üblich Benutzername und Passwort an. Danach wird man auf die Login Seite des gewählten OpenID Providers (hier im Beispiel Verisign) umgeleitet. 

Das sieht zunächst nicht nach einer großen Erleichterung aus, da man anstatt wie üblich Benutzername und Passwort auch noch den OpenID eingeben muss. Ist man jedoch bei seinem OpenID Provider bereits eingeloggt, tauschen das Zielsystem und das OpenID System die Login Anfrage/Bestätigung automatisch aus. Der Benutzer muss damit nur noch seine OpenID angeben, die man sich natürlich leicht merken kann und die man ähnlich wie die eMail Adresse auch nicht geheimhalten muss. Der OpenID ist dann nur noch durch das Passwort gesichert, was bei vielen Sicherheitsfans starke Bedenken auslöst. Manche OpenID Provider bieten deshalb eine zusätzliche Sicherheitsstufe an, bei der ein Zertifikat anstatt einem Passwort verwendet wird. Dieses Zertifikat kann auch ein sicheres Zertifikat auf einer Smartcard sein. Damit kommt man mit OpenID schon ziemlich meinem 2003 beschriebenen Wunschverfahren zur persönlichen Identifikation nahe.  

Natürlich muss man sich auch bei Verwendung des OpenIDs registrieren, wenn man zum ersten Mal auf eine personalisierte, geschützte Site zugreift. Die Registrierung wird aber dadurch erleichtert, dass die im OpenID gespeicherten Profildaten mit einem Klick in die neue Site übernommen werden können.   

Für Service Anbieter ist es äusserst interessant die OpenID Funktionalität anzubieten, da ja die Benutzer sich zunächst immer auf ihrer OpenID Site einloggen müssen. Deshalb bieten Firmen wie Google, IBM, Microsoft, Yahoo, Technorati oder auch WordPress OpenIDs an. Man kann zum Beispiel  den Benutzernamen und das Passwort von WordPress (das man z.B. für seinen Blog verwendet) auch als OpenID z.B. ähnlich http://myname.wordpress.com  verwenden. Der Teufel steckt aber wie immer im Detail. OpenID ist zwar “standardardisiert” aber trotzdem können die Implementierungen von Zielsite und OpenID Site inkompatibel sein. Nach meiner Erfahrung funktionieren Verisign OpenIds im Format http://myname.pip.verisignlabs.com recht gut, da die meisten Programmierer auch mit diesen OpenIDs testen.

Eine wesentliche Erleichterung verspricht OpenID bei mobilen Anwendungen. Man muss dann am Handy nur einmal Benutzername und Passwort eingeben!

Hat man nun einen OpenID so ist es nicht ganz einfach, Sites zu finden, die OpenID auch unterstützen. Alle möchten halt OpenID Chef und nicht OpenID Diener sein. Die Basissicherheit bei OpenIDs beruht bei den üblichen Registrierungsmethoden auf der eMail Adresse und sind damit nicht sicherer als bei üblichen Verfahren mit Benutzername und Passwort. Insgesamt ist die Frage Sicherheit komplexer, da man eine mehrgliedrige Sicherheitskette benutzt, die ja immer so stark wie das schwächste Glied ist. Deshalb sollte man zur Zeit OpenID bei Sites, wo es um Geld oder  Bestellungen geht, nicht verwenden. Bei den vielen “social” Diensten kann OpenID das Leben im Web aber wesentlich erleichtern.   

Im Web findet man eine Vielzahl von Verfahren, um den Zugriff auf persönliche Daten in Portalen und speziell im Web 2.0 Umfeld zu sichern. Je mehr Sites Benutzername und Passwort verwenden, desto größer wird die Wahrscheinlichkeit, dass die Benutzer Name und Passwort vergessen. Deshalb ist es gängige Praxis, neue Passwörter an die vom Benutzer angemeldete eMail Adresse zu schicken. Die eMail Adresse ist damit die Verbindung zur Identität des Benutzers. Wer auf die persönliche eMail zugreifen kann, kann auch Passwörter neu beantragen oder ändern.  

Für die eMail Adressen- und Berechtigungsverwaltung gibt es zwei wesentlich unterschiedliche Verfahren

1. Man melder sich bei einem eMail Provider wie z.B. Telekom, Arcor, GMX, Google usw an. Dabei schließt man einen Vertrag zu den jeweilgen Geschäftsbedingungen des Anbieters ab. Bei Google beinhaltet das z.B. dass in der eMail Anwendung des Benutzers Werbung angezeigt wird. 
2. Man besorgt sich eine eigene Domain von einem Anbieter, die auch eMail Service beinhaltet. Das hat den Vorteil, dass man eigene eMail Adressen z.B. in der Firma oder im Verein vergeben kann, ohne dass jeder einzelne Benutzer einen Vertrag mit dem Anbieter abschließen muss. Allerdings ist der Domain Owner für die vergebenen eMail Adressen verantwortlich und kann diese auch ändern. In der eigenen Domain kann man auch sinnvolle Benutzernamen wählen ( z.B. meinname@mydomain.com) und auch mehrere Identitäten/eMail Adressen mit Weiterleitung an die Hauptadresse einrichten. Der eMail Administrator kann eMail umleiten, eine Kopie der eMail automatisch an andere Benutzer schicken oder die eMail Adresse löschen.  

Die Sicherheit im Web wird also im wesentlichen dadurch bestimmt, wie eMail gehandhabt wird. Ich bevorzuge für mich die 2. Methode und empfehle diese auch für Portale und soziale Netzwerke. 

Bei offenen, privaten Portalen haben die Benutzer in der Regel selbstgewählte eMail Adressen und sind nicht gewillt, andere eMail Adressen zu verwenden, während in geschlossenen Firmennetzen die eMail Adressen zentral vergeben werden. Offene Systeme müssen also in der Lage sein, mit beliebig gewählten eMail Adressen zu arbeiten. 

In Sharepoint kann man inder Regel (nicht bei allen Hosting Anbietern!) die beliebige eMail Adresse des Benutzers als Benutzername verwenden und Benachrichtigungen über Änderungen oder Aufgaben im Workflow an beliebige eMail Adressen automatisch versenden. Allerdings gibt es keine Möglichkeit eMail Adresslisten zentral einzurichten oder zu verwalten. Hierfür sollte man nach Meinung von Microsoft die Microsoft Kommunikationssoftware verwenden. Das ist aber bei offenen Systemen nicht realisierbar.

Bei Google Diensten ist es zum Teil zwingend vorgeschrieben, dass die Benutzer eine Google eMail Adresse haben (und damit auch einen Vertrag mit Google eingehen!). Das ist für öffentliche Portale mehr als hinderlich.  

Eine recht interessante Methode ist es, Mailing Verteiler Listen für Gruppen bis zu 100 Teilnehmern zentral in Google Mail zu verwalten und diese den Sharepoint Nutzern und den Sharepoint Funktionen zur Verfügung zu stellen.  In den Google Mail Verteiler Listen kann man beliebige Adressen (nicht nur Google Adressen) angeben. Damit kann man eine zuverlässige, flexible, kostenfreie Kommunikationsinfrastruktur für kleinere Gruppen aufbauen.

Schöner wäre es natürlich, wenn die eMail (und Messaging) Funktionen z.B. in  Sharepoint wirklich integriert wären. Da steht sich aber Microsoft wohl selbst mit seinen unterschiedlichen Firmenphilosophien im Weg.

Martin Sauter hat in seinem Blog ein sehr gutes Argument für die Verwendung von IPv6 bei mobilen Geräten erkannt. Alle Peer to Peer Dienste (Messaging, VoIP, push eMail  … ) (nicht nur mobile Geräte) müssen  regelmäßig “Lebenszeichen Signale” für die Network Address Translation  (NAT) aussenden. Das kostet natürlich Bandbreite aber auch Energie (Batterie). Zusätzlich führen Störungen der NAT zu recht komplexen Fehlern, die für den Normalnutzer nur schwer verständlich und korrigierbar sind. Ein rascher Übergang auf IPv6 speziell bei mobilen Anwendungen wäre also sicher im Sinne der verbraucher. 

Mit einer guten DSL Verbindung sollte man bei direktem Anschluss über Kabel auf mindestens 80% der Nominalgeschwindigkeit kommen. Mein DSL 16000 Anschluss erreicht z.B. 14900 kbit/sec im Download. Geht man allerdings über WLAN so sind die Datenraten sehr stark abhängig von der Geschwindigkeit des PCs, des WLAN Adapters und des WLAN Routers. Mit älterer Hardware erreicht man selten mehr als 1500 kbit/sec. Mit moderner, schnellerer Hardware kann man etwa 6000 kbit/sec an einem DSL 1600 Anschluss erzielen. Es lohnt sich also nicht, den Preis für eine sehr schnelle DSL Verbindung zu bezahlen, wenn man nur alte Hardware hat . Ausserdem sollte man die DSL Datenrate regelmäßig überprüfen und dokumentieren, damit man bei einem Einbruch der Datenrate durch Überlastung der Netze des Providers gut argumentieren kann.

Auf alle Fälle sollten die neuesten Treiber für die WLAN Adapter installiert werden. Häufig ist selbst bei neu gekauften Produkten veraltete Treiber Software installiert.

DSL Anschlüsse werden zur Zeit von allen möglichen Firmen wie sauer Bier angeboten. Das Problem ist bei fast allen, dass Verträge schnell unterschrieben aber die Lieferung der vereinbarten Leistungen häufig mehr als fehlerhaft ist. Die Diskussion im ARCOR User Forum zur neuen ARCOR DSL BOX  Arcor-Easy Box A 800 WLAN ist ein typisches Szenario, das man sich vor dem Abschluss eines Vertrags durchlesen sollte. Bei anderen Anbietern ist die Situation nicht grundsätzlich verschieden. 

Typisch sind auch die Reaktionen des Service Personals, das von grundlegender Unkenntnis der Funktionsweise des verkauften Systems und des Vorgehens bei der Fehleranalyse zeugt. Die Servicemitarbeiter können einem Leid tun, die ohne ausreichende Grundkenntnisse, mangelnder Schulung und interne Organisation den Kunden Paroli bieten müssen. Typisch ist auch, dass Fehler nicht behoben werden können. 

Abhilfe würde hier wahrscheinlich nur ein Verbraucherschutzgesetz schaffen, das den Kunden von der monatlichen Gebührenzahlung entbindet, solange wesentliche bekannte Probleme beim Kunden auftreten. Unser Minister für Verbraucherschutz, Herr Seehofer, beschäftigt sich aber lieber mit angenehmeren Dingen.

Ein schneller DSL Anschluss ist heute für ein Arbeiten mit dem PC unbedingt erforderlich und  muss dank WLAN auch nicht durch durch einen Kabelsalat in Wohnung oder Büro erkauft werden. Wenn sich bei Konferenzen viele Benutzer ein WLAN Netz teilen, macht sich WLAN Interferenz häufig dadurch bemerkbar, dass plötzlich eMAIL nicht funktioniert obwohl der Browser noch arbeitet. Üblicherweise wird im Windows Betriebssystem der eMAIL Port mit niedrigerer Priorität betrieben und kommt bei hoher Netzbelastung nicht mehr zum Zug.

Im Heimbetrieb kann ein benachbartes WLAN Netz, das auf dem gleichen Channel betrieben wird, die Performance um bis zu 40% reduzieren! Es empfiehlt sich deshalb z.B. den voreingestellten Kanal (bei ARCOR z.B. 9) bei der Installation zu ändern.  Es empfiehlt sich die Datenübertragungsrate zum Internet von Zeit zu Zeit mit WLAN zu messen und zu dokumentieren, damit man bei Verschlechterung geeignete Massnahmen treffen kann.

Als Besitzer einer Website kann man leicht analysieren, wieviele Kunden die Site täglich benutzen, welche Pfade verfolgt werden usw. Außerdem kann man feststellen von welcher Webseite man auf die Site gesprungen ist. Wenn der Benutzer z.B. eine Suche in der Google Toolbar direkt eingibt, kann Google feststellen auf welcher Webseite der Benutzer vorher war und kann diese Information zur Erstellung eines detaillierten persönlichen Profils nutzen. Dagegen kann man sich eigentlich nur schützen, wenn man für die Suche eine Browserinstanz neu startet oder immer über die gleiche Webseite geht z.B. die Homepage. Den meisten Benutzern wird das aber zu mühselig sein. Mit dem Wissen über die Vorlieben der Benutzer können Google, Yahoo u.a. dann gezielt Werbung anbieten, für die wegen hoher Erfolgsquoten auch mehr bezahlt werden muss.