Skip to content

Snake Oil

In den frühen Zeiten der USA, die man Heute nun als "den Wilden Westen" bezeichnet zogen, meiste selbst ernannte, Doktoren durch die weiten der Prärie von Ort zu Ort mit ihren Planwagen und präsentierten ihre "Medicine Shows", deren Inszenierungen wohl Heute noch jedem Teleshop-Redakteur Respekt abfordern würden. Dort wurden wundersame Heilmitte für jeden Zweck angeboten. Dabei handelte es sich, meist, um sogenanntes "Schlangen-Öl". Dieses Zeug sollte gegen jedes Zipperlein helfen auf das man in diesem weiten Land treffen konnte. Dazu gab es noch fadenscheinige Beratung in sämtlichen medizinischen Fragen und ehe irgendjemand bemerken konnte, dass hier nur Scharlatanerie betrieben wurde machten sie sich aus dem Staub.

Warum erzähl ich das? Weil dieser Begriff auch heute noch verwendet wird. Als "Snake Oil" bezeichnet man Heute Softwareprodukte, die Dinge versprechen aber dem User meistens nur vorgaukeln, dass es auch funktioniert. Meistens kommen diese Produkte aus dem Bereich Sicherheit, Kryptographie oder System-Optimierung. Diese versprechen meist mehr als sie dann nachher halten können.

Im Falle von Programm, die das System schneller und stabiler machen sollen ist davon oft nichts zu merken oder aber, im schlimmsten Fall, stürzt die Kiste dann öfters ab oder ist dermaßen versaut, dass nur noch eine Neuinstallation hilft. Dabei kann man davon ausgehen, dass die Windows Bordmittel ausreichende sind um ein System sauber und stabil zu betreiben.

Ebenso ist es im Bereich Verschlüsselung man sollte nur Programmen vertrauen, die einen bekannten Verschlüsselungsalgorithmus wie AES oder Twofish verwenden. Proprietäre, undokumentierte, Algorithmen über die der Hersteller keine Auskunft gibt sind immer ungeeignet da man nie weiß, wie vertrauenswürdig und robust sie sind. Bei den bekannten und öffentlich dokumentierten Methoden ist dies gegeben. Das selbe gilt hier aber nicht nur für Software sondern auch Hardware. Schon etwas länger sind, z.B. USB-Sticks auf dem Markt, die Daten auf ihrem Flashspeicher selbständig verschlüsseln sollen. Auch hier wurden eklatante Sicherheitsmängel aufgedeckt, die man mit, teils, einfachen Mitteln, umgehen konnte, um trotzdem die Daten lesen zu können.

Ähnlich ist es mit Software die das System sicherere machen soll, z.B. sogenannte personal Firewalls. Diese wiegt den Benutzer meist eher in trügerischer Sicherheit anstatt etwas zu nützen. Die, bei Windows Vista und 7, von Microsoft bereitgestellte Software-Firewall funktioniert nämlich gut und zuverlässig. Durch die Möglichkeit jedes neu erkannten Netz in drei Stufen verschiedene Zugriffsmöglichkeiten einzuräumen kann der User immer selbst entscheiden ob Dienste für andere sichtbar sind oder nicht. So kann man im Heimischen Netzwerk Dateifreigaben und UPNP-Shares zum bequemen Streaming benutzen, diese sind aber, beispielsweise im Internetcafé für andere nicht sichtbar. Schon hier versagen Lösungen von anderen Anbietern, die meistens noch behaupten besser und zuverlässiger zu schützen als die mitgelieferte Lösung. ebenso bedenklich ist es wenn sie zwar den IPv4-Verkehr filtern aber per IPv6 alles ungefiltert durchläuft. Dazu kommt noch ein anderer Effekt: Damit der User auch weiß, dass die Software was arbeitet produzieren diese Lösungen, meist, eher nichtssagende Meldungen, die bestätigt werden wollen, das fährt bald dazu, dass der Anwender immer nur auf "OK" oder "Zulassen" klickt ohne die Meldung richtig zu lesen oder zu verstehen, dies kann wiederum weiter Lücken in den Schutz reißen.

Wesentlich besser als sofort Geld in solche fadenscheinigen Programme zu stecken ist es etwas Zeit zu investiere und sich mit den Bordmitteln von Windows vertraut zu machen. Erfahrungsgemäß reicht es bei Windows die mitgelieferte Firewall zu verwenden und einen Virenscanner zu installieren, dies und gesunder Menschenverstand führen schon zu einem, relativ, sicherem System.

Rückblick 2009

Privates
Zurückblickend würde ich sagen war das Jahr relativ beschissen, gerade die letzte Hälfte ging mir gehörig auf den Sack. Zu lange an Dingen festgehalten, die keinen Sinn mehr machten, zu lange nicht auf meinen Bauch gehört und dadurch zu viel Energie, Zeit und Geld verschwendet, was blieb war nicht viel. Immerhin ist es vorbei auch wenn manches noch an mir nagt, aber es gibt, zum Glück, in meinem Leben Menschen, die einem auch wieder aufbauen.

Beruflich
Im Job lief, wie erwartet, wieder alles super, Kunden und mein Chef sind sehr zufrieden. Ebenso konnte ich mich weiterentwickeln und meine IHK Ausbilderschein machen. Der Ausblick aufs nächste Jahr sieht auch gut und spannend aus.

Das Jahr der Nerds
In meinen Augen war 2009 das Jahr der Nerds. Endlich wurden wir nicht mehr als Killerspiel spielende, zurückgezogene Eigenbrötler, denen die Welt außerhalb des virtuellen Raumes nicht interessiert wahrgenommen. Nein, wir sind politisch geworden, wir sind aufgestanden und raus auf die Straße, haben angefangen in den Dialog mit denen zu treten, bei denen wir das Gefühl haben, dass sie an Dingen herumdoktern ohne wirklich zu wissen was sie da tun. Wir haben sogar eine Partei, die anfangs belächelt und als Ein-Themen-Partei bezeichnet wurde und nun schon eine gewisse Achtung erfährt. Dank Serien wie "Big Band Theory" oder "The IT-Crowd" sind wir Nerds zwar immer noch für viele wunderlich und zum belächeln aber irgendwie sind wir auch cool, witzig und geistreich. Die Begriffe "Nerd" und "Geek" verlieren bei vielen langsam diesen abschätzigen Unterton und werden, sozusagen Salonfähig und zu etwas positivem.

Mal sehen was 2010 so kommt.

Packstation Phishing

Habe, gerade eine nette Mail von der DHL Packstation bekomme.
Ich stell die mal hier im Original rein und kommentiere sie ein wenig.

Sehr geehrter Kunde,

im Zuge einer Systemumstellung ist es leider unumg?nglich das Sie ihre Kundendaten bei uns verifizieren. Dies dient zur Einrichtung von unserem neuen Sicherheitssystem im Kampf gegen Phishing.


Das ist ja wirklich nett von DHL, dass sie sich da Gedanken machen und bestimmt auch ganz kundenfreundlich.


Nach erfolgreicher Best?tigung Ihrer "Kundennummer", Ihres "Pins" und Ihres "Internet-Passwortes", sind Ihnen unter anderem folgende neue Optionen erm?glicht:


Ja, klar, hmmmmm....
"Kundenummer" Ok, die müssen ja wissen, wer ich bin.
"Internt-Passwort" Na, gut wenn ich mich zum freischalten einloggen muss, klar.
"Pin" die brauch ich doch nur zum abholen einer Sendung aus der Packstation.

Spätestens hier sollten die Alarmglocken dann doch angehen.


# Individuelle Reporte erstellen
# Sendungslagerfristen ?ndern
# Mitarbeiterdaten verwalten
# Sendungsdaten abrufen
# Vertreter f(9r Sendungsabholungen bestimmen


Ja, ja, ganz tolle Features, aber kein einziges davon hilft gegen Phishing.


Verifizierung: http://www.dhl-packstation.de.tt


Die URL fällt nicht einmal mehr unter "netter Versuch" sonderen eher unter "für wie blöd halten die einen eigentlich?".
Die Typen geben sich nicht mal die Mühe mit den üblichen Tricks die Adresse zu verschleiern, was für Amateure.
Immerhin sieht die dort abgelegte Page, wie die Original Login-Seite bei DHL aus, bis auf das zusätzliche Post-Pin-Feld-


Bei weiterf(9hrenden Fragen schicken Sie uns bitte eine E-Mail an DHL@sicherheit.de


Interessant, die Domain sicherheit.de gehört zur AXA Versicherung und leitet weiter auf www.s-wie-sicherheit.de weiter, die auf die Luna Park GmbH registriert ist. In den Referenzen taucht dort die AXA auch auf.
Was wohl passiert, wenn man eine Mail an die Angegeben Adresse verschickt?
Kann man ja mal probieren:

Guten Tag,
seit wann ist denn die AXA für DHL Angelegenheiten zuständig?

Gut, Spaß beiseite, ist ihnen bekannt, dass ihre Domains für Phishing benutzt werden?

Grüsse


War Antwort war aber klar:


Hi. This is the qmail-send program at mail.gmx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<dhl@sicherheit.de>:
Sorry,_I_couldn't_find_a_mail_exchanger_or_IP_address._(#5.4.4)/
</dhl@sicherheit.de>


Aber weiter im Text:


Vielen Dank f(9r Ihr Verst?ndnis


Viel Spa? mit PACKSTATION w(9nscht Ihnen Ihr PACKSTATION Team


Mal von der billigen URL abgesehen sind die "Schreibfehler" ja schon an sich ein ganz guter Hinweis darauf, dass dieses Mail sowas von faul ist.

Der Vollständigkeit halber noch der Header:


Return-Path: <sicherheit@mein-paket.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxxxx@gmx.net
Received: (qmail invoked by alias); 22 Nov 2009 18:19:38 -0000
Received: from mout3.freenet.de (EHLO mout3.freenet.de) [195.4.92.93]
by mx0.gmx.net (mx114) with SMTP; 22 Nov 2009 19:19:38 +0100
Received: from [195.4.92.27] (helo=17.mx.freenet.de)
by mout3.freenet.de with esmtpa (ID Joerg6112@freenet.de) (port 25) (Exim 4.70 #1)
id 1NCH29-0007gO-WD
for xxxxx@gmx.net; Sun, 22 Nov 2009 19:19:37 +0100
Received: from 175.39-65-87.adsl-static.isp.belgacom.be ([87.65.39.175]:63415 helo=ogzkz)
by 17.mx.freenet.de with esmtpa (ID Joerg6112@freenet.de) (port 25) (Exim 4.69 #94)
id 1NCH29-00046K-Mv
for xxxxx@gmx.net; Sun, 22 Nov 2009 19:19:37 +0100
From: "Mitteilung" <sicherheit@mein-paket.de>
Subject: Wichtige Benachrichtigung bezueglich Ihrer Packstation
To: xxxxx@gmx.net
Content-Type: text/plain;
charset="US-ASCII"
Reply-To: fgsd112af@web.de
Date: Sun, 22 Nov 2009 19:19:37 +0100
X-Priority: 3
Message-ID: <20091122181938.30914gmx1@mx114.gmx.net>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);
Detail=5D7Q89H36p77e5KAPs1l6syHa+enbzd/3KqFMgf+yqTk3vvB44Pm4uTPg0639V/PB8WRM
o49XAjtG0t2ZAAbDlGGSxifWt7AG1pI+LV6HvjnVkXV0E6j2yLBwwQQOv7Qvq5EUQiX0nPkTacop
zppxQ==V1;
X-GMX-UID: 3/FgJP1cMydzZ9ZyKGplorFraGRhZhpd
</sicherheit@mein-paket.de></sicherheit@mein-paket.de>


Der Header ist weniger spannend, sozusagen das Übliche halt.
Ein Absender-Accout, der vermutlich irgendwo abgephisht wurde oder gefaked ist.
Immerhin wurde der, normalerweise für den Empfänger sichtbare Absender unter "From:" auf *@mein-paket.de geändert, diese Domain gehört auch zu DHL.
Die "Reply to:" sieht nach einem per zufall generierten Account aus, vermutlich wurde der mal per Bot bei web.de erstellt.

Im großen und ganzen wieder einer der dreißten und weniger eleganten Versuche Zugangsdaten abzuphishen.

Die Idee, an Logins für die Packstation zu kommen ist ja durchaus interessant, denn im Kundenbereich sind Adressdaten hinterlegt, die man dann wiederrum für einen Identitätsdiebstahl nutzen kann.
Oder man ändert die Adressdaten, denn Sendungen die entweder zu klein oder zu groß für die Packstation sind werden an die dort hinterlegte Adresse weitergeleitet.

Der Pin ist, vermutlich, eher nutzlos so lange man keine Kopie der Magnetkarte des betreffenden Kunden hat, allerdings könnte man natürlich, wie schon oben bemerkt, die Adressdaten ändern und sich eine neue Karte zuschicken lassen.

Bestimmt gibt es noch andere Möglichkeiten, die sich durch den Besitzt dieser Daten ergeben. Da dort auch EMail-Adressen hinterlegt sind, könnte man ja auch mal versuchen, ob man nicht auch noch Zugang zum Postfach bekommt, die meisten User verwenden ja für jeden Account das selbe Passwort und wenn man erst mal im Postfach ist kann man meistens auch sehr gut nachvollziehen, wo diese Person sonst noch aktiv ist.

Von daher gilt:
Augen auf bei solchen und ähnlichen Mails!

Umgang mit Passwörtern

Beim durchlesen meines Feed-Readers bin ich auf einen Artikel von Bruce Schneier gestoßen. Dieser fasst sehr gut und übersichtlich die Regeln für einen sicheren Umgang mit Passwörter zusammen. Passwörter sind für so gut wie jeden von uns zu elementare Bestandteile unsere täglichen Lebens geworden, sei es dass wir sie für den Zugang zum Onlinebanking, zu Foren, Mail oder sozialen Netzwerken oder einfach nur um uns am eigenen oder dem PC im Büro anmelden zu können. Sie schützen unsere wichtigsten Informationen vor fremden Zugriffen aber trotzdem werden sie von vielen, meist aus Bequemlichkeit, vernachlässigt oder gedankenlos überall hinterlassen. Egal ob am Monitor oder unter der Tastatur oder einfach an einem fremden PC schnell mal eingegeben um nach neuen Mails zu sehen. Die kleine Liste in dem Artikel soll dazu anregen mal über den Umgang mit Passwörter nachzudenken und sich selbst zu überprüfen, sie kann aber genausogut eine Anregung für ein Beratungsgespräch bei einem Kunden sein.
Zum Artikel.

The Anatomy Of The Twitter Attack

Unter diesem Titel hat das Magazin TechCrunch einen sehr lesenswerten Artikel über einen sehr erfolgreichen Hack gegen die Betreiber von Twitter veröffentlicht.
Durchaus interessant zu lesen welche zusammenhänge und Techniken verwendet wurden, wobei es zum großen Teil nicht einmal darauf an kam sich gut mit Server schwachstellen auszukennen sondern eher mit der schwachstelle Mensch.
Link zum Artikel.

(Via)

Fehlersuche

Ich mache den Job als Fachinformatiker nun schon 9 Jahre in dieser Zeit hab ich schon viel erlebt und gelernt, man lernt ja schließlich nie aus. Eines der wichtigsten Werkzeug bei der Fehlersuche und Analyse sind keine bootenden USB-Sticks, keine Schraubenzieher, Leathermans oder sonstigen Werkzeuge, nein, das Wichtigste Tool ist immer dabei und kann auch nie vergessen werden: Das eigen Hirn.

Es gibt Probleme die sind Standard:
  • Gerät ist ausgeschaltet
  • Stromausfall
  • Bedienungfehler
  • Known Bugs
  • Kabel Steckt nicht
  • Server läuft nicht
Solche und ähnliche Dinge kann man im Schlaf am Telefon lösen.

Aber dann gibt es die fiesen, seltsamen, komischen oder einfach nur saudoofen Probleme, die sich nicht so leicht auf die Schliche kommen lassen. Manche sehen am Anfang unlösbar aus, man weiß nicht wo man ansetzten muss, aber man hat ja seine Toolbox auf dem Hals sitzen.
System ist alles bei der Fehlersuche. Mit wachsender Erfahrung entwickeln die meisten ein eigenes System, wie sie solchen Probleme begegnen. Das gute an einem PC ist nämlich, dass er sich immer nach gewissen Spielregeln verhält, auch wenn es so aussieht als würde er "spinnen" aber an sich hat alles immer einen logischen Zusammenhang, der aus dem Initialfehler und meistens mehreren Folgefehlern besteht.

Meine Herangehensweise an ein Problem ist angelehnt an das OSI-Modell.
  • Benutzerfehler ausschließen.
  • Herausfinden ob nur diese eine Workstation betroffen ist oder mehrere.
  • Wenn es nur die eine ist liegt die Ursache meist auch auf diesem System.
  • Wenn mehrere betroffen sind dann wäre der Server zu überprüfen.
  • Logs der Anwendung und des Systems überprüfen.
  • Ermitteln ob es ein Problem der Anwendung oder des Betriebssystems ist.
  • Versuchen das Problem zu reproduzieren.
  • Ist es ein Problem mit einer bestimmten Anwendung, die man selbst nicht gut kennt Techsupport anrufen.
  • Ist es ein Problem mit dem Betriebssystem grundlegendes Dienste und Funktionen überprüfen.
  • Bei Problemen zwischen Client und Server beobachten wie es sich verhält um zB defekte Switchesauszuschliessen.
  • Analysieren welche Komponenten zusammen agieren müssen.
  • Komponentenüberprüfen.
Dies sind nur grobe Schritte, wie ich es angehe, dabei breche ich immer weiter das System nach unten hin auf, bis ich auf Hardwareebene angelangt bin.
Das wichtigste dabei ist sich immer zu überlegen was kann alles betroffen sein. Was braucht die eine Anwendung zum arbeiten? Was wird wohin übergeben? IT-Systeme leben ja sozusagen vom geben und nehmen. Also immer den Datenfluss im Auge behalten, oder um mal ein häufiges Zitat aus Film und Fernsehen zu nutzen "Folge den Daten".

Anrufe beim Techsupport sind kein Eingeständnis dafür dass man zu doof ist, sie neigen eher dazu Zeit und Nerven zu sparen. Warum ewig lang in einer Branchensoftware herumklicken und irgendwas ausprobieren anstatt jemanden anzurufen der sich damit auskennt? Meist führt das wesentlich schneller zum Erfolg, so was sollte man auch dem Kunden positiv kommunizieren.

Sollten es mehrere Fehler sein immer schön einen nach dem anderen lösen und danach immer testen, wie sich das System verhält, sonst baut man sich am Schluss noch selbst die schönsten Folgefehler, außerdem trägt das dazu bei den Fehler besser einzugrenzen und reproduzieren zu können. Fehler zu reproduzieren ist das A und O wenn ich weiß wie der Fehler zustande kommt dann weiß ich meist auch schon wo ich ansetzen muss.

Keine Idee ist zu doof oder abwegig um sie nicht mal auszuprobieren, manche Ursachen kommen aus Ecken wo man sie nicht erwarten würde, also auch mal Dinge prüfen oder ausprobieren bei denen man sich zu erst denkt "das kanns nicht sein".

Ansonsten gilt: Immer die Ruhe bewahren, Informationen sammeln, Verhalten analysieren und natürlich die gute alte Internetrecherche in der Regel ist man nicht der erste mit dem Problem.

Eine Neuinstallation von Programmen oder Betriebssystemen sollte immer das letzte Mittel sein ein Problem zu lösen, besser ist es die Ursache zu erkenne und direkt zu lösen, da man nie sicher sein kann, ob der Fehler nach der Installation auch wirklich verschwunden ist.

Dieser Text spiegelt wieder, wie ich Probleme auf Kundensystemen begegne es ist sicher nicht das Non Plus Ultra, aber ich bin damit bisher immer gut gefahren, natürlich ändert sich sowas immer wieder es ist ja ein Dynamischer Prozess.
Vielleicht konnte ich damit ja dem einen oder anderen ein paar Tips für die eigene Fehlersuche mit auf den Weg geben.

Schwachsinn des Tages: Windows 7 in Europa ohne IE

Nun ist es mal wider soweit, es ist ja nicht das erste mal, dass die EU Microsoft untersagt bestimmte Windowskomponenten nicht mit anzubieten. Man muss ja den Wettbewerb waren und es würde ja den Markt verzerren wenn Windows mit eigenem Browser und Mediaplayer ausgeliefert wird.
Als ob Windows den User daran hindern würde sich alternative Software wie zBFirefox oder Chrome zu installieren, keine Sau wird dazu gezwungen den IE zu benutzen. Er ist halt eine Komponente im System, mehr nicht.
Aber nein, das sieht die EU ganz anders.
Dann hoffe ich mal, dass als nächstes Apple untersagt wird Safari mit seinem OS auszuliefern und darüber hinaus gezwungen wird die Hardwarebeschränkungen aufzuheben, wäre ja nur konsequent.

Klar kann man sich den IE mit ein paar Klicks nachinstallieren, aber ich sehe einfach nicht den Sinn in solchen Auflagen, das sorgt bei mir vorraussichtlich wieder für mehr Supportaufwand und Frustration beim Kunden, sollte dieser Windows 7 E erwischt haben (auch wenn ich ihm das sicher nicht verkauft habe).

Schweizer....

Vorweg, nix gegen Schweizer, ich hab da selbst Verwandtschaft, die mich in regelmässigen Abständen mit schokoladigen Care-Paketen versorgt.

Aber, wer die Aussage sie wären langsamer als eine Schnecke immer noch für ein Gerücht hält, dem biete ich gerne mal meinen Job an und lasse ihn mal eine Woche lang nur mit Kunden aus der schönen Schweiz telefonieren, danach ist er überzeugt.

Ich werd echt langsam bissel mürbe, die Gespräche ziehen sich immer wie Käsefondue.

Vollkommen harmlose Daten im Netz

Hier gibt es ein sehr schönes Blogposting zum Thema warum Daten im Netz nie wirklich harmlos sind. Der Text ist zwar auf StudiVZ gemünzt gilt aber auch für alle anderen ähnlichen Seiten und Dienste im Internet. Wirklich harmlos ist keine Information im Netz, auch wenn sie auf den ersten Blick so aussieht.

Wahnsinns Update

Mal was von der Hotline:
Den ganzen Tag über nur scheiss Fälle zu bearbeiten, ich glaube die riechen das, wenn ich dort bin.

Telefon klingelt also.
Ich: "Tech Support $MyName guten Tag."
Kundin: "Ja halloooo hier Bröselmüller"

Ich ahne schon schlimme, das ist die fiese Tonlage einer Rechthaber-Schreckschraube, nach ein paar Jahren in dem Job merkt man sowas nach dem ersten Satz.

Kundin: "Ich hab gestern die neue Version ihrer Software installiert, aber das ist ja so kompliziert, da hatte ich ja nur Probleme mit."
Ich: "Was war denn?"
Kundin: "Ja also in ihrem Handbuch steht da kommt ne Auswahl was ich installieren will, ob das nun Server, Arbeitsplatz oder Einzelplatz ist, aber die kommt nicht, der macht einfach nur so durch, das ist doch mist."
Ich: "Nein, das ist normal, das soll der so machen, die Installation guckt, wie die Vorversion installiert ist und installiert die neue Version genau so drüber."
Kundin: "Ja aber in ihrem Handbuch steht das anders drin, und überhaupt ich hab hier 12 Arbeitsplätze an dem einen Server und wir machen da so rum, das kanns doch nicht sein."
Ich: "Naja sie müssen schon überall die neue Version installieren, das ist zwar viel Arbeit aber muss gemacht werden, sonst läuft es ja nicht mehr."
Kundin: "Ja, aber auch an den Arbeitsplätzen kommt die Abfrage nicht, das stimmt doch so nicht!"
Ich: "Das ist egal an welchem Platz sie das Update einspielen, die Installation weiss doch schon was sie installieren muss, das sieht sie doch an der schon installierten Version."
Kundin: "Ja, aber im Handbuch ist das anders! Das ist doch schwachsinn, die Abfrage muss doch kommen, ich weiss doch sonst nicht was die Installation da macht!!!"
Ich: "Warum sollte die Installation denn noch mal fragen? Das soll doch alles so bleiben wie es ist. Da blendet man so eine Abfrage doch nicht ein, am Schluss klickt dann einer auf "Einzelplatz installieren" und macht den Server platt."
Kundin: "Ja wenn sich die Leute net auskennen sollen sie die Finger davon lassen..."
Ich: "So kann man das auch sehen, aber wir finden den anderen Weg wesentlich besser."
Kundin: "Ja aber früher war das nich so."
Ich: "Nee, eigentlich war das schon immer so."
Kundin: "Na auf jeden Fall ist das so murks, da können sie sagen was sie wollen und wenn sie das so beibehalten dann ändern sie wenigstens das Handbuch."
Ich: "Ja. ich werds mal weitergeben."

*klick* Weg war sie.
Sowas ist wirklich Kopf -> Tisch aber eben Alltag, da muss man Geduld haben.

Ich bin Pauschal-Kriminell

Ja, ich geb’s zu das bin ich, spätestens seit dem am 11.08.2007 der sogenannten Hackerparagraph in Kraft getreten ist. Im Rahmen meines Jobs haben ich mit solchen Tools zu tun, klar sie dienen ja nicht nur dazu Straftaten im Bereich der Informationsverarbeitung vorzubereiten und durchzuführen sondern auch dazu sicherheitstechnische Schwachstellen oder Fehler in den Netzen meiner Kunden aufzuspüren. Aber in der Diskussion um den Paragraphen und seine schwammig Formulierung stehe ich doch mit meinen Tools auf meinem Laptop und USB-Stick doch quasi mit einem Bein im Knast.

Aber nein es wird noch besser schließlich kriecht auch die Vorratsdatenspeicherung und der Bundestrojaner heran, wenn es nach einigen Politikern geht auch ohne konkrete Verdachtsmomente, damit stehe ich ja als Internetnutzer unter generalverdacht kriminell oder Terrorist zu sein, sicher bin ich beides, ja klar.

Du bist Terrorist von alexanderlehmann auf Vimeo.

Aber das war's ja noch nicht, nein, schließlich sind wir ja im Super-Mega-Wahljahr, da müssen sich ja wieder sämtliche Politiker total-entblöden und mal wieder “Deutschland such die Super Inkompetenz” spielen.
Und welches Thema nimmt man da am besten?

  • Zutat eins: Das Internet, hat jeder schon mal was davon gehört, ist für viele immer noch Abstrakt aber man kann ja klasse drüber reden, denn da gibt's ja alles und vor allem schwarze Schafe.
  • Zutat zwei: Kinder, die ziehen immer egal ob bei Casting Shows im Fernsehen oder auf Omas Geburtstag, die sind ja lieb und knuffig und wer Kindern was tut ist der schlimmste Finger der Nation.

Heraus kommt dann natürlich das Thema Kinderpornographie im Internet, versteht mich nicht falsch, das geht gar nicht, diese Taten müssen unter allen Umständen unterbunden werden aber nicht SO!

Da kommen nun also sämtliche Politiker, die irgendwie mal was sagen wollen aus ihren Löcher gekrochen und fordern nun den Kampf dagegen, allen voran die gute Ursula “Zensurursula” von der Leyen und fordern Internetsperren und Zensur des Netztes. Das ganze soll dann auch noch auf einer unkontrollierbaren Basis realisiert werden und wird das Problem auch nicht eindämmen bzw. aus dem Netz schaffen dabei ist bekannt, dass ein großer Teil der Inhalte auf Servern in Deutschland liegen. Angeblich wäre ein verfolgen und löschen dieser Seiten nicht oder nur schwer möglich, das Gegenteil beweist der AK-Zensur.

Die ePetition gegen die Internetzensur hat inzwischen die Marke von 102.000 Unterzeichnern überschritten. Da macht es mich doch sehr betroffen wenn da nun ein Politiker wie zu Guttenberg ankommt und folgendes von sich gibt:

Es macht mich schon sehr betroffen, wenn pauschal der Eindruck entstehen sollte, dass es Menschen gibt, die sich gegen die Sperrung von kinderpornographischen Inhalten sträuben. Das ist nun wirklich eines der wichtigsten Vorhaben in vielerlei Hinsicht.

Spreeblick hat da einen sehr guten Kommentar dazu geschrieben. Für mich heißt das ja schon fast ich bin selber KiPo-Konsument weil ich bei der Petition mit gezeichnet haben. Aber es geht ja noch besser, wie folgendes Zitat von Zensurursula zeigt.

Wir wissen, dass bei den vielen Kunden, die es gibt, rund 80 Prozent die ganz normalen User des Internets sind. Und jeder, der jetzt zuhört, kann eigentlich sich selber fragen, wen kenne ich, der Sperren im Internet aktiv umgehen kann. Die müssen schon deutlich versierter sein. Das sind die 20 Prozent. Die sind zum Teil schwer Pädokriminelle. Die bewegen sich in ganz anderen Foren. Die sind versierte Internetnutzer, natürlich auch geschult im Laufe der Jahre in diesem widerwärtigen Geschäft.

Und Zack bin ich schon alleine wegen meines Berufes in der Ecke, schließlich weiß ich im Schlaf, wie ich meine DNS-Konfigurationändern kann. Für alle anderen, die es nicht wissen:

Von der NDR Sendung Zapp gibt es noch einen guten Beitrag über die Proteste gegen die Internetzensur. Auf Abgeordnetenwatch gibt es noch eine sehr gute Antwort von Jörg Taussüber das verhalten von Zensurursula.

Aber selbst da ist noch nicht Schluss, nein wenn diese Gründe noch nicht ausreichen sollten mich als Kriminellen hinzustellen, dann hab ich noch etwas und zwar das wunderbare Zitat von Joachim Herrmann:

Gewalt verherrlichende Killerspiele gehören verboten. Was bei Kinderpornographie möglich ist, muss auch für brutale Killerspiele gelten.

Ok, ich zocke eher selten Ego-Shooter bin einem guten aber nicht abgeneigt und das kann es ja echt nicht sein solche Vergleiche zu ziehen.

Es kann auch sein, dass sich meine politisch Wahrnehmung verändert hat aber ich habe das Gefühl dass dieses Jahr so viel Scheiße wie noch nie gelabert wird und man sich langsam Fragt, ob es noch Politiker gibt, die die Bürger ernstnehmen und respektieren Dieter Wiefelspütz gehört da anscheinend eher nicht dazu. Gut zusammengefasst wird das in diesem Blogbeitrag. Wie kann sowas sein?

Im Moment weiß ich echt nicht, wie ich auf dieser Basis wählen soll und schließe mich dem Schrei auf Popkulturjunkie an.

Spaß mit Action Pack Lizenz

Ich soll momentan zu Testzwecken einen WindowsHome Server installieren, da wir Action PackAbonnenten sind ist auch dieses Produkt mit dabei.
Dummerweise funktioniert der dazugehörige Lizenzschlüssel nicht, also mal eben bei der Hotline angerufen und nachgefragt.
Liegt an MS, die hatten bei der ersten Versendung die Keys falsch generiert und ungültige verschickt. Anfang des Jahres wurde zwar eine Aktualisierung rausgeschickt, diese konnte ich aber nicht finden.
Also hat mein Chef eine kleine Mail an den Action Pack Support geschrieben und um nochmalige Zusendung des Schlüssels gebeten. Laut Aussage am Telefon reicht da was formloses und der Key wird nochmal verschickt:

Sehr geehrte Damen und Herren,

leider funktioniert unsere Lizenz "Home Server" aus dem Action Pack (ID:XXXXXXXXXXXXXX) nicht. Koennten Sie uns bitte funktionierende Lizenznummern zusenden?

Vielen Dank im voraus.
Schoene Gruesse



Sollte ja so kein Problem sein, dann könnte ich die Kiste ja endlich mal installieren.
Dann kam die Antwort vom Support:

Sehr geehrter Herr $MyBoss,

vielen Dank für Ihre Email.
Um Ihren Sachverhalt bezüglich des Home Servers vollständig zu
untersuchen, senden Sie uns bitte Screenshots von jeder Aktivität,
die sie diesbezüglich durchgeführt haben inklusive der Fehlermeldung.

Vielen Dank im Voraus.
Mit freundlichen Grüßen


So, da kommt man doch etwas ins Grübeln, seit wann kann man während einer Installation Screenshots machen und speichern?
Hab ich da was nicht mitbekommen?
Haben dann also mal nachgefragt, wie man das anstellen soll.
Diesmal hat wohl jemand mit mehr ahnung die Mail bekommen und schickt die Lizenz nochmal raus, aber Sachen gibts...

Tips zum Telefonieren mit dem IT-Support 2

Heute: Die Voice Box
Es kommt ja ab und an vor, dass man mal nicht erreichbar ist. Sei es, dass man gerade ein anderes Gespräch führt oder man gerade nicht ans Handy kann.
Dafür gibt es ja dann die Weiterleitung auf die Voice Box, es ist ja dann auch nicht so schwer Name, Rückrufnummer und vielleicht noch eine Information um was es geht zu hinterlassen bevor man auflegt. Sollte man zumindest meinen, ist aber anscheinend nicht gerade einfach diesem stummen Diener sein Anliegen vorzutragen, so dass ich mich dann, wenn ich Zeit habe darum kümmern kann.

Ich habe da eine ganz einfach Regel bei verpassten Anrufen: "Wenn nichts auf der Voice Box ist, wars nicht wichtig". Damit fahr ich ganz gut, früher habe ich auch ohne Nachricht zurück gerufen, meist umsonst "hat sich schon erledigt" oder "habs schon wieder vergessen".
Natürlich gibt es Ausnahmen, zum Beispiel wenn ich auf den Anruf gewartet habe oder weiss, dass es wichtig ist.

Diese Regel wird auch an der Tech-Support-Hotline angewendet an der ich ab und an arbeite.
Dort gibt es aber noch so richtige Fälle von Gedankenlosigkeit, Telefonielegastenie oder ausufernde Mitteilsamkeit.

Gut, der grösste Teil hinterlässt eine ordentliche Nachricht mit Ansprechpartner und Anliegen, dicht gefolgt davon die Aufleger, danach kommt die Fraktion der Aufleger mit Kommentar wie "Immer das gleiche", "murmelmurmel" oder "scheiss Laden".

Als nächstes dann die Labertaschen, die offenbar austesten wollen, wieviele Minuten sie die Box volllabern können, bis sie dicht macht und auflegt. Diese Gruppe ergiesst einen wahren schwall aus Schilderungen ihres Problems inkulsive wilder Vermutungen, was es denn sein könnte über unsere Ohren nach zwei Minuten ist es dann vorbei, Verbindung getrennt, Telefonanlage legt auf, Supporter sitzt da, hat nen Berg an Infos, die meist keinen Sinn machen und auch keine Rückrufnummer, denn diese wird grundsätzlich immer erst am Schluss genannt. Naja, wofür gibts denn die Logfiles der Telefonanlage? Wir sind ja schliessliche Serviceorientiert.

Dann gibt es noch die Leute, die anrufen, in der Warteschleife landen und einfach mal den Hörer zur Seite legen, Kaffee kochen gehen, ein Schwätzchen halten oder Kunden beraten. Ist zwar auch mal nett in deren Alltag zu schnuppern aber helfen tut das keiner der beiden Seiten.
Ganz clever rufen an, kommen in die Warteschleife und legen dann den Anruf selbst in die hauseigene Warteschleife, dann dudeln sich beide Telefonanlage erstmal fröhlich voll, bis dann die Anlage des Kunden noch eine zwei Minütige musikalische Kostprobe ihres könnens, was meisten aus einer dudeligen Midiwiedergabe von "Für Elise" besteht. Auch total schön und spannend mit anzuhören, ok, zugegeben, eher nicht.
Damit sind schon wieder mindestens zwei Minuten Arbeitszeit verschwende und die Warteschlange der anrufenden Kunden wird dadurch auch nicht kürzer.

Das tolle ist dann noch, genau diese Typen beschweren sich dann später, wenn sie nochmal anrufen "da hab ich schon auf ihren Anrufbeantworter gespochen und mich ruft niemand zurück". Ja, wie denn auch?

Daher, wer etwas zu sagen hat möge doch bitte selbst, kurz und knapp eine Nachricht mit den wichtigsten Daten hinterlassen. Somit ist doch jedem geholfen.

Von der Kunst auch mal etwas nicht zu können

Ein großer Teil meines Jobs dreht sich darum Lösungen für meine Kunden zu finden. Entweder akute Dinge mit ihrer IT, wie abstürzende Rechner oder kaputte Drucker, oder aber neue Anschaffungen, ausbau von bestehende Systemen oder sogar komplette Neuausstattung.

In den letzten beiden Fällen tritt der Kunde mit konkreten Wünschen an mich heran, im Gespräch mit dem Kunden gehe ich dann auf seine Wünsche ein und versuche heraus zu finden, welcher Lösungsansatz für ihn das beste ist. Dabei geht es mir nicht darum das möglichst teuerste Produkt an den Mann zu bringen sondern einen Weg zu beschreiten, der am besten zum Kunden und seinen Vorstellungen passt und für möglichst wenig Ärger für mich und den Kunden sorgt.
Schnell kann so etwas sehr komplex werden und man muss versuchen den überblick zu behalten damit man die Lösung als ganze bewerten kann.
Dazu gehört für mich auch, nicht einfach alles abzunicken und immer nur zu sagen "Ja, ja, klar kann ich dass, natürlich, kein Problem" sondern auch offen zu sagen, dass man sich in der einen oder anderen Sache nicht sicher ist, hier und dort mal recherchieren und testen muss und vielleicht auch noch einen Kollegen fragen wird, der sich mit diesem Speziellen Thema schon auseinander gesetzt hat.

In meinen Augen hat dieses offene Verhalten, bei dem ich auch mal sage, dass ich etwas nicht weiß noch nie dazu geführt, dass mich der Kunde als inkompetent angesehen hat, eher stieg der Respekt vor mir und meiner Arbeit damit, weil ich eben versuche so transparent wie möglich für den Kunden zu arbeiten.

Gerade IT-Systeme sind unglaublich komplex und empfindlich, so dass ich es mir nicht leisten kann auf Vermutungen oder Halbwahrheiten hin etwas zu verkaufen, ich selbst muss mir sicher sein, dass es so funktioniert, alles andere führt nur zur Unzufriedenheit beim Kunden und Nacharbeit, die man oft nicht abrechnen kann.
tweetbackcheck