Interessanterweise gibt’s eine Gattung die das Thema zwar pusht bis zum „geht-nicht-mehr“, gleichzeitig aber andererseits bei sich selbst wenig Fortschritte zeigt.

Die Rede ist von den Distributoren. Egal ob Hard- oder Software – praktisch kein Distributor in der Schweiz bietet eine akzeptable Schnittstelle für den Import bzw. Abgleich von Artikel-, Bestandes oder Rechnungsdaten an.

Ja, ja liebe Distributoren;

„Digitalisierung“ heisst nicht einfach dem Kunden ein Office 365 Abo mehr aufs Auge zu drücken oder ein neues, fancy Webinterface für den Verkäufer bereitstellen!
Digitalisierung heisst in erster Linie durchgängige, digitale Prozesse schaffen!

Das höchste der Gefühle ist jeweils ein Mega-CSV File mit tausenden Artikeldaten, welche man (am besten täglich) manuell aktualisieren sollte.

Rechnungsdaten bekommt man als PDF – wenn überhaupt. QR -Rechnung oder Rechnung via Email / PDF ? Das gibts – wenn überhaupt – nur nach massivem Druck, Anrufen bzw. über Umwege.

Das ist keine Digitalisierung sondern Auslagerung von Arbeit an den Reseller!

Zugegeben – es gibt Ausnahmen. Löblich zu erwähnen ist etwa die Schnittstelle von ALSO bzw. ALSO Cloud Marketplace (zu diesem Ding haben wir übrigens auch einen OpenSource Wrapper geschrieben).

Zum Shop mit Hardware von ALSO gibts dann aber wiederum aber keine Schnittstelle…

Anregungen ernst nehmen

Wir haben mit verschiedenen Distributoren jeweils bei Gelegenheit das Gespräch gesucht.

Prozess verstehen

Auf die Chance hin, dass sich vielleicht trotzdem einmal ein Distributor auf diesen Blog verirrt – hier der vereinfachte Ablauf:

1. Endkunde bestellt Waren
2. Reseller stellt Offerte / Lösung zusammen.
3. Reseller bestellt Material (ab dem Jahr 2100 vielleicht via Schnittstelle ?…)
4. Reseller kann das bestellte Material inkl. Rechnung und etwaiger Zusatzangaben (z.B. Seriennummern) digital abrufen.

Grundsätzlich benötigen Reseller nur zwei Dinge um Abläufe produktiv(er) bzw. „digitaler“ zu gestalten:

• Der Artikelstamm (und eben: bitte nicht als Mega-CSV File sondern via API…)
• Die Rechnung mit Detail in einem digital einlesbaren Format

Der Beitrag Digitalisierung: Wasser predigen… erschien zuerst auf pedrett.org.

Das Problem

Die Swisscom liefert die Geräte bei einer virtuellen Telefonanlage im „branded“ – Zustand aus. Das heisst: Die originale Firmware der Geräte wurde verändert (ähnliches passiert auch mit bei Swisscom gekauften Mobiltelefonen). Neben dem Vorladen der Konfiguration (eine gute Sache) hat die Swisscom dabei aber auch den Administrativen Benutzer des Geräts gesperrt – was entsprechend nur eine eingeschränkte Konfiguration ermöglicht.

Bei Yealink Phones ist es konkret die „Action – URL“ die so nicht bearbeitet werden kann – und damit auch kein TAPI ermöglicht.

TAPI wird aber von vielen Fremdprogrammen eingesetzt um das Telefon mit z.B. einem ERP oder CRM zu verknüpfen (Auslöser für diesen Fall war die PROFFIX Telefonintegration).

Wer nun denkt, man bekomme diese Zugangsdaten per Swisscom – Support  / Partner liegt falsch. „Das ist nicht möglich“, „Diese Daten hat nur der Hersteller“, „Die gibt es nicht“  u.ä. sind nur einige der zwar kreativen aber leider falschen Antworten die man erhält.

In Wahrheit möchten Sie diese Daten wohl einfach nicht herausgeben.

Die Lösung

Die Lösung ist mehrstufig und etwas komplexer. Im Groben sind es aber zwei Schritte:

• Swisscom Branded Firmware entfernen, Original Firmware von Yealink aufsetzen
• Korrekte SIP – Credentials besorgen

Sollte bereits ein debranded / unbranded Gerät vorhanden sein, kann direkt zum Schritt Korrekte SIP – Credentials besorgen gesprungen werden.

Swisscom HD Phone Yealink debranden

TFTP – Server vorbereiten

Idealerweise installiert man sich den TFTP – Server tftpd64 – hier gibts die portable Version (empfohlen)

Diesen entpackt / installiert man und führt ihn aus. Anschliessend erstellt man einen Ordner (z.B. Firmware) und verweist unter Current Directory  tftpd64 auf diesen Ordner (hier kommt später die Firmware hinein).

Unter Server Interfaces wählt man das korrekte Netzwerkinterface aus (das mit einer IP…)

„Current Directory“ auf Firmware-Ordner verweisen, Korrektes Netzwerk Interface auswählen

Original Firmware Yealink besorgen

Der nächste Stolperstein; Yealink stellt nur einen Teil der benötigten Firmware online zur Verfügung, welche für das Debranding nicht ausreichen.

Zum Glück findet man die passenden Files nach einigem Googlen:  Hier gibts die Yealink Recovery Firmware als Mirror

Je nach Modell (Yealink T46, T41, T42 oder T48) entpackt man das entsprechende Verzeichnis nun und kopiert den Inhalt in den im vorherigen Schritt erstellten Ordner Firmware.

Original Firmware flashen

Aufgrund fehlender Berechtigungen funktioniert das Flashen der Firmware nicht über den Webclient. Entsprechend muss das Yealink in den Recovery Mode versetzt werden. Das erreicht man wie folgt:

Für die gesamte SIP-Serie:

1. Yealink vom Strom trennen (Ausstecken!)
2. Lautsprechersymbol lange drücken und halten
3. Wieder mit Strom verbinden

Auf dem Yealink muss anschliessend die IP – Adresse des TFTP – Servers angegeben werden. Diese entspricht in der Regel dem Server Interface aus dem ersten Schritt („TFTP – Server vorbereiten“). Anschliessend bestätigen – ist alles in Ordnung sieht das wie folgt aus:

Nach erfolgtem Update empfiehlt sich das Yealink erneut mit der aktuellsten Firmware zu flashen (für T46 z.B. hier erhältlich):

Auf dem Yealink selbst sieht das Ergebnis dann wie folgt aus:

Sobald das abgeschlossen ist hat man ein aktuelles, unbranded Yealink mit sämtlichen Berechtigungen (Standarduser / Passwort: admin / admin)

Korrekte SIP – Credentials besorgen

Bei den Angeboten Business Telefonie kann man die SIP – Credentials direkt im Swisscom Kundencenter anfordern. Bei Smart Business Connect mit virtueller Telefonanlage (bzw. wie die Lösungen sonst noch heissen) klappt das nicht so einfach.

Die Lösungsidee dafür ist, dass egal wie viele Softclients, Apps etc. die Swisscom noch „vor die Lösung“ schaltet – schlussendlich doch immer eine gewöhnliche SIP – Verbindung dahinter steht.

Swisscom Client besorgen

Grundsätzlich sollte die Lösung mit jedem Client möglich sein – der Einfachheit halber verwenden wir aber den Windows Client alias Business Communication App.

Sobald dieser installiert ist besorgt man sich die Zugangsdaten aus dem Swisscom Kundencenter (Format: ***@***.join.swisscom.ch, Passwort scheint meist 8-stellig zu sein).

Hier unbedingt ausprobieren, ob der Login funktioniert. Falls nicht, dafür sorgen, dass er funktioniert. Das ist die Grundvoraussetzung für die nächsten Schritte.

Anschliessend in der Business Communication App unter Einstellungen –> Erweitert den Haken setzen bei System-Proxy verwenden. Dann die Software schliessen (wichtig!).

Einfach einmal zuhören…

Der letzte Schritt ist das Sniffen des Netzwerktraffics – oder auf deutsch; Einfach einmal zuhören, was denn die Business Communication App so zu sagen hat…

Da die Verbindung über SSL läuft funktioniert das mit Standardtools wie Wireshark etc. nicht auf Anhieb. Einfacher gehts mit Charles Proxy.

1. Charles Proxy hier herunterladen und installieren (30-Tage Demo reicht)
2. Charles öffnen

Nun muss das Root – Zertifikat von Charles installiert werden (Wichtig: Unter Vertrauenswürdige Stammzeritfizierungsstellen installieren, sonst klappts nicht) :

Charles Proxy Root Certificate installieren. Wichtig: Unter Vertrauenswürdige Stammzertifizierungsstellen installieren

Nun muss das System noch so konfiguriert werden, dass sämtlicher Traffic über Charles Proxy läuft. Dazu Internetoptionen öffnen und folgende Einstellungen vornehmen:

Nun ist alles bereit um „zuzuhören“. Die Business Communication App sowie Charles können nun beide wieder geöffnet werden. Bei Charles startet man die Aufzeichnung des Traffics über den Record – Button in der linken oberen Ecke.

Anschliessend kann man sich an der Business Communication App anmelden – in Charles sollten zeitgleich einige Anfragen auftauchen. Konkret interessiert uns dabei das config.xml unter folgendem Endpunkt:

Nach etwas Suchen im entsprechenden XML findet man das gewünschte SIP-Passwort als Klartext (über Wireshare würde man hier nichts sehen, da SSL).

Dieses Passwort in Kombination mit dem Benutzernamen (der übrigens auch im config.xml steht) ermöglicht nun alle möglichen Geräte an die virtuelle Telefonanlage von Swisscom anzuschliessen – unabhängig von „Branded Devices“, irgendwelchen Softclients und ähnlichem.

Put it all together

Wir haben nun ein Gerät mit Originalfirmware und vollen administrativen Befugnissen sowie funktionierende SIP – Credentials. Zeit alles zusammenzuführen:

Mit der Endziffer „-01“ des Benutzernamen kann etwas gespielt werden. Wenn’s nicht funktioniert einfach 00 oder 02 daraus machen…

Anschliessend alles testen – wenn sowohl ankommende als auch abgehende Anrufe funktionieren und auch evtl. Drittgeräte noch funktionieren ist alles in Ordnung.

Damit TAPI auch tatsächlich funktioniert und man Smart Business Connect auch mit Fremdlösungen wie z.B. der PROFFIX Telefonintegration einsetzen kann braucht es nun eigentlich nur noch die Software Phonesuite welche mit dem Yealink verknüpft wird.

Die Einrichtung derselben ist aber dank der vollen Administrativen Berechtigungen nun kein Problem mehr.

Der Beitrag Swisscom Smart Business Connect mit TAPI nutzen erschien zuerst auf pedrett.org.

Dies ist Beitrag 4 von 4 der Serie “Hacking Switzerland”

Seit über einem Jahr sammelt und analysiert SwissLeak.ch nun geleakte Schweizer Accounts. Nach über 8  Millionen geleakten Schweizer Accounts ist es Zeit für einen kurzen Rückblick.

Am Anfang stand Dropbox

Begonnen hat SwissLeak mit den Datensätzen aus dem Dropbox-Leak. Mittlerweile sind Datensätze von mehr über 3000 Leaks in SwissLeak enthalten; Als Anmerkung – es werden nur solche gelistet, die auch Schweizer Accounts enthalten bzw. auf Schweizer Benutzer zurückgeführt werden können.

Effektiv sind es also wesentlich mehr – oder in Zahlen ausgedrückt; mehrere Milliarden von durchsuchten Datensätzen. Und es werden nicht weniger.

Im Gegenteil: Waren es anfangs vor allem geleakte Services aus den USA oder Asien, geraten vermehrt auch Services aus der DACH – Region ins Fadenkreuz.

SwissLeak hat mittlerweile neben den grossen und bekannten Datenleaks auch viele kleine, lokale aber nicht minder gefährliche Datensätze im Repertoire.

Anzahl und Zeitlicher Verlauf der importierten Accounts / Quellen. (Live-Grafik: swissleak.ch/history)

Die Kernidee

Wir haben SwissLeak mit der Idee aufgeschaltet, um zu zeigen dass Datenleaks auch die Schweiz in starkem Masse betreffen. Mit Absicht haben wir nur Organisationen von breitem, öffentlichem Interesse publiziert – wenn gleich private und KMUs im gleichen Massen betroffen sind.

Durch die Konzentration auf „nur ein Land“ (und erst noch ein verhältnismässig kleines) hat SwissLeak maximale Tiefe und Genauigkeit. Wo andere Millionen von Datensätzen einfach importieren, kann sich SwissLeak erlauben fehlerhafte oder unvollständige Leaks zu korrigieren und mit Metadaten anzureichern.

Ein weiterer Grund für die Realisation von SwissLeak ist das, was der Bund generell als Versorgungssicherheit bezeichnet. Wir bunkern Material, Öl, Waffen und Lebensmittel – Daten verteilen wir aber grosszügig in der ganzen Welt. Was dabei zu denken gibt ist nicht etwa das Auslagern von Daten sondern vielmehr unser Umgang mit dem Bereich IT.

Wir sind versucht insbesondere im Sicherheitsbereich nur noch auf Inputs von anderen Ländern zu reagieren – was und wie viel uns dabei mitgeteilt wird bleibt im Ungewissen. Dass solche Ideen keine Utopie sind und diese Inputs tatsächlich manipuliert werden zeigen diverse Vorkommnisse der jüngsten Verhangenheit (z.B: „WannaCry„).

Wenn wir uns also schon selbst als „digitales Land“ feiern sollten wir uns auch mit der Kehrseite der Medaille befassen – denn die hat es in sich…

Ein tieferes Verständnis von Datenleaks

Ein Datenleak ist nicht einfach ein Passwort und eine Emailadresse, welches durch Zufall ins Netz gelangt.

In der Summe sind sie ein Abbild des digitalen Lebens eines jeden einzelnen. Man kann dadurch nicht nur bestehende Interessen, Vorlieben und Schwächen eines Benutzer erkennen sondern auch zukünftige Verhalten erahnen.

Viele Benutzer können oder wollen die kurz-, mittel- und langfristigen Konsequenzen eines Datenleaks aber nicht verstehen – mitunter ein Grund, dass viele Schweizer Benutzer / Passwortkombinationen auch nach einem bzw. mehreren Leaks immer noch Gültigkeit haben.

Auf Organisationsebene scheint der Wille, die Datensicherheit zu erhöhen bzw. das Benutzerverhalten zu korrigieren nur in der IT- oder PR – Abteilung vorhanden zu sein. Der bereits im Artikel Hacking Switzerland: Dataleaks erwähnte Grundsatz  „Dementieren, Entschärfen, Vergessen“ findet auch hier rege Anwendung.

SwissLeak verhindert das nicht bzw. drängt weder die Organisation noch den Benutzer dazu, entsprechende Massnahmen zu treffen und entfernt den öffentlich zugänglichen Eintrag unkompliziert und ohne grosse Formalitäten. Da dieses Entfernen aber einer Kenntnisnahme gleichkommt, behält sich SwissLeak natürlich vor, in einem Ernstfall die entsprechenden Stellen auch nachträglich zu informieren.

Medien und Berichterstattung

Gerade in letzter Zeit gibt es vermehrt Medienmitteilungen, Zeitungsberichte und Onlinereportagen die über Datenleaks und die Schweiz berichten.

Praktisch alle Artikel sind relativ flach, schüren Ängste und sind in erster Linie purer Populismus.

Die Aussagekraft entsprechender Artikel tendiert gegen Null – wenn überhaupt werden alte und oftmals auch halbwahre Behauptungen aufgestellt bzw. einfach „nachgeplappert“.

Dazu auch ein Beispiel: SwissLeak.ch hatte im Jahr 2017 eine Anfrage eines grösseren Schweizer Medienhauses, welche mit folgender Einleitung begann:  „Um einschätzen zu können, ob sich ein Bericht darüber lohnt…“

Eigentlich sollte die erste Frage eines Journalisten in so einem Fall sein „Stimmt der Unsinn den ihr da verbreitet überhaupt und könnt ihr das beweisen?“ und nicht „Wieviel Publicity bekommen wir denn damit?“

So viel dazu. Generell weiss man in der Schweiz manchmal nicht so recht, nach welchen Kriterien die Berichterstattung erfolgt.

Zwar wurde lang und breit über die vom Dropbox-Leak betroffenen Politiker berichtet oder aber ein Wirbel um die 21’000 Userdaten in der COMBO-Liste von MELANI gemacht – Details zu den fast 800’000 Schweizer Accounts aus der Anti – Public Combo List scheinen den Medien aber entgangen zu sein.

Oder ist das etwa, weil man 20 geleakte Politiker besser verkaufen kann, als ein paar Millionen geleakte Accounts von Steuerzahlern?

Bund, Kantone und Gemeinden

Zugegeben – in der Schweiz „lästern“ wir auf hohem Niveau. Es gibt aber in letzter Zeit immer wieder die Tendenz, dass Bund, Kantone und Gemeinden Aufgaben übernehmen die sie weder etwas angehen noch eigentlich in ihren Aufgabenbereich gehören.

Entsprechend üppig fällt der ganze Behördenapparat mittlerweile aus – und findet sich zu einem nicht unbeträchtlichen Teil auch wieder in der Datenbank von SwissLeak.

Tatsächlich haben wir in der Schweiz mit MELANI gerade in diesem Bereich sogar eine staatliche Organisation, deren Aufgabe unter anderem der Schutz von Informationsdienstleistungen ist.

Wenn wir ehrlich sind – MELANI scheint diesbezüglich in der Schweiz sogar die einzige, offizielle Anlaufstelle.

Abgesehen von der sicher nicht immer einfachen Anspruchsgruppe, dem für ihren Aufgabenbereich viel zu tiefen Budget und der häufig fehlenden Anerkennung ist MELANI für die Schweiz so etwas wie die „letzte Bastion“, der letzte Schutzwall gegen Aussen.

Trotzdem gehören sensible Benutzerdaten von Einwohnern genauso wenig in die Hand einer staatlich kontrollierten Organisation wie in die eines ausländischen Nachrichtendienstes. Das hat nichts mit Misstrauen gegenüber einzelnen Mitarbeitern zu tun, sondern mit einem gesunden Argwohn gegenüber dem System „Staat“ an sich.

Gerade in Bezug auf das neue Nachrichtendienstgesetz der Schweiz bzw. den „natürlichen Austausch verschiedener Stellen untereinander“ ist es nur eine Frage der Zeit bis solche Datensätze auch von anderen Stellen angefordert und genutzt werden.

Gleichgültigkeit

Mit SwissLeak Research haben wir eine Erweiterung ins Leben gerufen, welche die Betroffenheit jeder Schweizer Gemeinde von Datenleaks zeigt.

Mittlerweile sind über 3800 Organisationen mit geleakten Accounts, über 1400 Gemeinden und total über 8,3 Millionen geleakter Schweizer Accounts in der Masterdatenbank von SwissLeak.

Anmerkung: Sollten Organisationen oder Gemeinden auf SwissLeak.ch nicht aufgeführt sein liegt das nicht an fehlenden Rohdaten sondern daran, dass diese noch nicht zugewiesen sind (beinahe der grösste Aufwand…)

Entsprechend dürfte man doch annehmen, dass obige Publikationen eine Reaktion provozieren, oder?

Weit gefehlt. Zwar haben sich einige Organisationen gemeldet, verglichen mit der Anzahl Betroffener aber ein schlechter Witz.

In einen ähnlichen Bereich gehört „die fehlende Bereitschaft zuzuhören„.  Originalaussagen wie „ich bin jetzt seit 20 Jahren in der IT und wir hatten noch nie Probleme mit Datenleaks…“ mögen vor 20 Jahren Gültigkeit besessen haben – heute sind sie  in Anbetracht von IoT, Cloud und Socialnetworking einfach nur falsch!

Automatische Suche

In diversen Gesprächen wurden Aussagen gemacht, dass man „Leaks auch automatisch suchen kann“.

Es gibt genau zwei Gründe, wann dies tatsächlich automatisch funktioniert:

• Die Daten werden von einem Fremdanbieter in bereits aufbereiteter Form importiert („Resale…“)
• Es wird nur nach Emailadressen gesucht (ohne Zusammenhang oder Metadaten)

Beide Varianten sind ungenau (was importieren wir eigentlich?), nicht aktuell und lassen die interessanten Informationen (Passwörter, Metadaten) weg.

SwissLeak nutzt – bis auf wenige Ausnahmen – ausschliesslich Rohdaten die manuell geprüft, analysiert, bereinigt, angereichert und importiert werden.

Dazu vielleicht auch noch als weitere Klarstellung – es gibt keine zentrale Datenbank, wo jeder „seine Leaks“ in einer schön formatierten „Excel – Tabelle“ hochlädt (bei Datensätzen von 5GB+ sowieso ein Ding der Unmöglichkeit…)

Leaks werden gehandelt, getauscht und – wen überrascht es – geleakt.

Die Datensätze die man erhält bzw. findet sind von „formatiert“ bis hin zum „absoluten Chaos“ immer unterschiedlich aufgebaut. Damit zumindest eine grundlegende Übersicht entstehen kann, müssen diese manuell vereinheitlicht und analysiert werden – etwas das (noch) kein System automatisch hinbekommt.

Quo vadis?

Wohin wir bezüglich Schweiz und Datenleaks steuern ist ungewiss – weder kennen wir die ganzen Dimensionen („8 Mio sind erst der Anfang“) noch die langfristigen Auswirkungen.

Gewiss hingegen ist, dass wir weder genügend darauf vorbereitet sind noch dass wir auch nur im Ansatz genügend Sorgfalt mit unseren Onlineaccounts und Passwörtern walten lassen.

In bisherigen Beiträgen haben wir immer wieder einen Ausblick in die Zukunft gewagt. Teile davon sind bereits eingetroffen (z.B. Phishingmails im Namen von Behörden; Woher stammen wohl die Emailadressen?) – andere Zukunftsszenarien sind noch ausstehend.

Was wir heute machen ist nicht nachhaltig; Weist man einen Benutzer auf ein Datenleak hin, wird er dort sein Passwort ändern müssen – vielleicht ändert er sein Passwort auch noch bei einem zweiten oder dritten Account mit demselben, neuen Passwort – ganz sicher aber wird er nicht einen halben Tag aufwenden nur um sämtliche Passwörter zu ändern.

Ähnlich verhält es sich mit den Tools um Online zu prüfen ob man betroffen ist; in den meisten Fällen überwiegt die Erleichterung, dass man nicht betroffen ist der Tatsache, dass dieses Tool nur einen Ausschnitt von möglichen Leaks zeigt.

Das Problem ist die ihr zugrunde liegende Annahme: Wir gehen davon aus, dass nur einige Benutzer von Datenleaks betroffen sind.

Eigentlich ist es aber genau anders. Nur einige Benutzer sind nicht von Datenleaks betroffen!

Entsprechend liefern solche Tools auch nicht die Gewissheit, dass man nicht betroffen, sondern nur, dass man definitiv betroffen ist. Oder vereinfacht formuliert: Die Chance, dass zumindest ein persönlicher Account geleakt wurde ist höher, als dass man bis jetzt noch von keinem Leak betroffen ist.

Der Beitrag Leaking Switzerland – 8 Millionen sind erst der Anfang erschien zuerst auf pedrett.org.

Das Problem

Die PROFFIX REST-API schreibt Logfiles im Textformat in einen Ordner log. Das sieht dann so aus:

2017-10-06 13:37:39.7168: INF: [PxRestApi.Authentication.PxAuthenticationMiddleware]: PROFFIX was not authenticated. Failure message: Nicht authentifiziert. 
2017-10-06 13:37:39.7939: DBG: [Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware]: The request path /pxapi/v2/ADR/Kontakttyp does not match a supported file type 
2017-10-06 13:37:39.7939: DBG: [Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware]: The request path /pxapi/v2/ADR/Kontakttyp does not match a supported file type
2017-10-06 13:37:39.7939: DBG: [Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware]: DELETE requests are not supported

Für eine einfache Verwendung oder kleine Fehler mag das ausreichen. Jeder der aber einmal etwas komplexere Applikationen (wie etwa pApp – das App für PROFFIX) mit mehreren, verschachtelten Interaktionen debuggt hat, weiss wie mühsam das wird.

Deshalb hier eine bessere und vollständig individualisierbare Alternative – die übrigens auch für andere Logfiles funktioniert.

Die Lösung

Textfile mit nxlog parsen

NXLog ist ein Tool das sowohl für die Sammlung von Logfiles als auch das Parsing von Logfiles genutzt werden kann. Und das Beste daran – in der Community Version ist es absolut kostenlos.

Diese kann man hier herunterladen, anschliessend ganz gewohnt installieren.

NXLog selbst wird über die Datei nxlog.conf konfiguriert, die man gewöhnlich im Ordner C:\Program Files (x86)\nxlog\conf findet.

Um die Logfiles der PROFFIX REST-API zu parsen kann man folgende, vorkonfigurierte Config verwenden:

define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Input watchfile>
   Module im_file
## Pfad zum Ordner Log der REST-API Instanz anpassen
   File 'C:\\PXREST\\PXDEMO\\logs\\*.txt'
## Verwirft uninteressante Logs
   Exec if ($raw_event =~ /(The request path) (\S+) (does not match a supported file type)/) drop(); \
## Splittet Logs mit Regex auf
   Exec if $raw_event =~ /^(\S+ \S+): (\S+)\:\s\[+(\S+)\]\:\s(.*)/\
                { \
                  $EventTime = parsedate($1); \
                  $Message = $2+' '+$4; \
                  $SourceName = $3; \
## Syslog Severity / Für Papertrail unnötig
##       if $2 =~ /DBG/  $SyslogSeverity = 7; \
##       else $SyslogSeverity = 6; \
                } \
  SavePos TRUE  
  Recursive TRUE
</Input>

<Processor filewatcher_transformer>
  Module pm_transformer
  OutputFormat syslog_rfc5424
</Processor>

<Output syslogout>
       Module om_ssl
## Papertrail Host und Port anpassen
       Host xxxx.papertrailapp.com
       Port xxxxx
       CAFile %CERTDIR%/papertrail-bundle.pem
       AllowUntrusted FALSE
</Output>
<Route 1>
	Path watchfile => filewatcher_transformer => syslogout
</Route>

Diese Konfiguration erstellt aus dem PROFFIX REST-API Log automatisch ein Syslog, der per Netzwerk an beliebige Empfänger gesendet werden kann  – und zwar live. Oder anders ausgedrückt – sobald ein Log-Ereignis eintritt, versendet NXLog das geparste und aufbereitete Ereignis automatisch.

Papertrailapp für Live – Log nutzen

Grundsätzlich könnte man mit NXLog praktisch jeden Log – Empfänger nutzen (z.B. Synology NAS Protokollcenter, Windows Ereignisprotokoll…)

Der Vorteil von Papertrailapp sind aber die diversen Filter – und Syntaxtypen kombiniert mit der Möglichkeit, Log – Events auch an weitere Benutzer freizugeben.

1. Account erstellen unter https://papertrailapp.com
2. Unter Add System ein neues System hinzufügen
3. Den Log – Endpunkt (z.B:  logs5.papertrailapp) sowie den Port (z.B. 45353) von Papertrail in die NXLog – Konfiguration übertragen (ist auskommentiert).
4. Das Zertifikat von Papertrail unter https://papertrailapp.com/tools/papertrail-bundle.pem herunterladen und im Ordner C:\Program Files (x86)\nxlog\cert abspeichern
5. Den Dienst nxlog neu starten.

Eine detailliertere Anleitung in Englisch gibts auch hier: https://help.papertrailapp.com/kb/configuration/configuring-remote-syslog-from-windows/

Anschliessend kann man sich auf Papertrailapp.com einloggen und sollte bereits erste Logs sehen:

Anschliessend kann man unter Settings -> Event Viewer auch noch weitere Filter konfigurieren und auch weitere Benutzer (z.B. Entwickler) hinzufügen.

Dieser Filter macht die Logkategorien Debug, Trace und Info klick- und sortierbar.

Der Beitrag PROFFIX REST-API Live Debugging erschien zuerst auf pedrett.org.

Dies ist Beitrag 1 von 1 der Serie “The story of IT”

Eine ungewöhnliche, teilweise abstruse Fernwartung mit einem Mitglied der High Society. Und ja – das ist wirklich so passiert…

Der Anruf

Es ist ein Mittwochabend, kurz vor 15 Uhr. Das Telefon klingelt – eine Dame meldet sich:

„Der Concierge des Hotels Q. hat Sie empfohlen. Ich habe ein Problem mit meinem iPhone. Können Sie kommen?“

Hm. Ich war noch nie im Hotel Q. – geschweige denn dass ich den Concierge kenne. Nichts desto trotz – helfen kann ich der Dame bestimmt, also antworte ich:

„Wir sind in Münchwilen – das ist etwa eine Stunde Fahrt zum Hotel Q.“

„Können Sie kommen?“

„Was ist denn genau das Problem? Können Sie mir etwas genauer erklären, was nicht funktioniert?“

„Normalerweise bin ich in Miami oder New York.  Ich weiss es auch nicht so recht – das Internet meines iPhones funktioniert nicht mehr!“

Miami? New York? Definitiv das Hotel Q.

„Wie wissen Sie denn, dass das Internet nicht mehr funktioniert?“

„Es kommt immer eine Meldung, dass mein Passwort nicht stimmt!“

iPhone, Passwort – wahrscheinlich meint die Dame damit Ihre Apple – ID. Ein Versuch ist es wert, also:

„Wie genau lautet der Text auf Ihrem iPhone?“

„Please enter your password!“

„Und oberhalb dieses Textes?“

„Sign in to iCloud…“

„Ok. Das iPhone benötigt das Passwort für Ihre Apple – ID“

„Apple – was?“

„Apple-ID; Damit identifizieren Sie sich bei Apple. Haben Sie in letzer Zeit ein Passwort geändert?“

„Nein“

„Sind Sie ganz sicher?“

Etwas mehr nachhaken und diverse Fragen später kommt heraus – die Assistentin der Dame hat nach Ihrer Kündigung sämtliche Passwörter geändert. Irgendwie müssen wir das Passwort also wieder zurücksetzen.

„Haben Sie das Passwort bereits versucht zurückzusetzen?“

„Ja – jetzt hat mich Apple komplett blockiert!“

„Wie das?“

„Die Frau meines Sohnes hat sich als mich ausgegeben und bei Apple angerufen – Sie konnte aber nicht alle Fragen beantworten und jetzt…“

Dumme Idee – Apple belügt man nicht ungestraft. Aber die Hoffnung stirbt zuletzt, also versuchen wir es…

„Wissen Sie, welche Emailadresse Sie für die Apple – ID verwendet haben?“

„Was?“

„Mit welcher Emailadresse melden Sie sich bei Apple an?“

„Gar nicht!“

An diesem Punkt nützt alles Erklären nichts. Versuchen wir also einen anderen Weg.

„Wie lautet Ihre Emailadresse?“

„Wieso brauchen Sie die?“

„Nennen Sie mir bitte einfach kurz Ihre Emailadresse.“

„****@aol.com“

Damit lässt sich arbeiten. Also nichts wie auf zu Apple.com, „Passwort vergessen“ auswählen und die Emailadresse eingegeben. Und tatsächlich – es scheint zu funktionieren!

„Apple stellt nun ein paar Fragen, um Ihre Identität zu überprüfen. Können Sie mir sagen, wo Sie geboren sind?“

„In Berlin“

„Wann sind Sie geboren?“

„19. August 1948“

„Ok“

„Warten Sie – eine Kollegin hat mir geraten, niemals das richtige Geburtsdatum einzugeben. Ich habe mich 10 Jahre jünger gemacht!“

Aha. Die Idee an sich ist nicht schlecht aber erneut – Apple belügt man nicht ungestraft…

Also das Geburtsdatum erneut korrigiert, die letzte Frage beantwortet und – ERROR „Sie haben zu oft versucht Ihre Sicherheitsfragen zu beantworten“

Aber wir haben ja noch ein Ass im Ärmel – versuchen wir es also über das Zurücksetzen per Email mit der Emailadresse der Dame. Und tatsächlich – es scheint zu funktionieren.

„Können Sie einmal prüfen, ob Sie eine Email auf Ihrem iPhone erhalten haben?“

„Email funktioniert nicht mehr!“

„Seit wann?“

„Seit meine Assistentin das Passwort geändert hat!“

Aha – noch eine Rücksetzung. Also auf zu AOL.com. Glücklicherweise brauchen wir hier nur eine Telefonnummer und keine Sicherheitsfragen, also weiter im Text:

„Wie lautet Ihre Telefonnummer?“

„Welche? Ich habe mehrere!“

„Die Ihres Mobiltelefons.“

„Ich habe eine amerikanische Nummer und eine deutsche Nummer.“

AOL = America Online; Also wahrscheinlich die amerikanische. Und tatsächlich, gleich beim ersten zurücksetzen scheint alles zu klappen.

„Sie haben eine SMS mit einem Code bekommen. Können Sie mir diesen nennen?“

„Ich habe keine SMS bekommen!“

„Können Sie zu den Nachrichten gehen? Und mir die oberste Nachricht vorlesen?“

„Das ist so ein komischer Code….“

„Können Sie mir diesen nennen?“

„538232“

Perfekt! Wir haben zumindest wieder Zugriff auf die Emails der Dame. Und tatsächlich – sogar der Apple Bestätigungscode ist angekommen! Endlich machen wir Fortschritte – dementsprechend noch kurz das Passwort der Apple-ID ändern…

„Ich habe Ihnen für Ihre Apple-ID ein neues Passwort vergeben.“

„Was?“

„Ist das Fenster auf Ihrem iPhone bezüglich der Passwortabfrage noch offen?“

„Nein“

„Schalten Sie das iPhone einmal aus.“

Während wir warten stellt sich heraus, dass die Dame auch noch mehrere Notebooks hat. Ich frage nach:

„Was für ein Notebook ist das?“

„Zum zuklappen“

„Ist es ein Windows oder Apple Notebook?“

„Was? Weiss ich nicht“

So kommen wir nicht weiter – also tief in die Trickkiste greifen:

„Wenn Sie Ihre Notebook zuklappen – haben Sie einen Apfel auf dem Notebook?“

„Was?“

„Eine Apfel. Vorne auf dem Notebookcover.“

„Jaja – es ist ein MacBook“

Aha. Es geht doch.

„Und das andere Notebook?“

„Das ist so ein kleines.“

„Ein Tablet?“

„Nein, nein – ein kleines Notebook.“

„Hat es eine Tastatur?“

„Nein – ich habe Ihnen doch gesagt, dass es ein Kleines ist.“

„Ist es ein iPad?“

„Jaja.“

„Das ist ein Tablet.“

„Nein – ein iPad.“

Ok. An diesen Punkt werden wir noch einige Male gelangen. Es bringt nichts, hier eine Erklärung zu versuchen – wir lassen es also einfach einmal so stehen.

„Können Sie das iPad einstellen?“

„Weiss nicht. Ich glaube, es ist nicht geladen.“

„Können Sie es aufladen?“

„Ich weiss nicht, wie das geht!“

Der Tonfall wird etwas ruppiger. Ich frage aber trotzdem nach, wieso Sie denn ein iPad hat, wenn Sie nicht weiss, wie man es auflädt. Alle Ihre Kolleginnen hätten Ihr gesagt Sie solle auf Apple umstellen – das sei viel besser. Und sicherer, habe man Ihr gesagt.

Aha. Zum Thema Sicherheit werden wir aber noch kommen, also weiter:

„Können Sie das MacBook starten?“

„Das was?“

„Das Notebook – den Laptop.“

„Ja der funktioniert.“

„Funktioniert hier auch das Email?“

„Nein! Das habe ich doch bereits gesagt!“

Da wir sowohl das Passwort für die Apple – ID als auch für die Email geändert haben, müsste eigentlich beim aufstarten eine Meldung kommen.

„Es kommt eine Meldung! Password required!“

„Ich habe Ihnen dieses Passwort zurückgesetzt. Können Sie sich bitte folgendes notieren? ********“

„Was ist das?“

„Ihr neues Passwort.“

„Ich will das nicht. Das ist viel zu kompliziert. Können wir nicht einfach „Hotel Q“ nehmen? Oder den Ort wo das Hotel steht?“

„Nein. Das ist zu einfach.“

„Das Name des Hotels hat aber 12 Buchstaben!“

Ich versuche, zu erklären, dass ein langes Passwort nicht gleich ein sicheres Passwort ist – aber irgendwie hört Sie mir nicht zu. Da kommt gleich der nächste Hammer:

„Wissen Sie – ich muss mir das Passwort merken können, denn alle fragen mich ständig danach.“

„Nach dem Passwort? Wer fragt Sie nach dem Passwort?“

„Alle. Meine Freundinnen, meine Mitarbeiter, mein Sohn, Mitarbeiter des Apple Stores in New York…“

Ich bin zuerst einmal sprachlos. Dann versuche ich der Dame langsam zu erklären, dass ein Passwort etwas sehr persönliches ist, dass Sie es unter keinen Umständen an Drittpersonen weitergeben soll.

Nach einigen Wiederholungen und einer längeren Diskussion einigen wir uns darauf, dass Sie das Passwort nur noch Mitarbeiter des Apple Stores in New York mitteilt – obwohl ich auch damit nicht ganz einverstanden bin.

Glücklicherweise akzeptiert Sie das von mir vergebene Passwort nun – ich bitte Sie es auf dem MacBook einzugeben:

„Die Meldung ist weg!“

Tadaa. Problem gelöst, Fehler behoben – aber…

„Ich kann immer noch keine Emails abrufen!“

„Wie haben Sie vorher Emails abgerufen?“

„Weiss auch nicht.“

„Können Sie mir vorlesen, was unten am Bildschirm steht?“

„Safari“

„Ok.“

„App..“

„Ok.“

„So ein blaues Symbol mit zwei Pfeilen.“

Auf so viel Glück wagte ich nicht zu hoffen, ist es etwa tatsächlich eine installierte Version von Teamviewer?

„Können Sie drauf drücken?“

„Ja“

Im ähnlichen Stil wie oben geht es dann weiter – bis ich Sitzungscode und Passwort der Teamviewer – Session habe vergehen lange Minuten des Bangens, bis dann endlich eine Sitzung steht.

Ich korrigiere der Dame also den Apple Mailclient mit dem neuen Passwort.

„Das sieht anders aus als vorher.“

„Wie anders?“

„Ich kann es nicht lesen.“

„Ich habe Ihnen den Kontrast und die Schriftgrösse bereits auf das Maximum eingestellt.“

„Vorher hat es aber funktioniert!“

Also – der Apple Mailclient wars definitiv nicht. Nach etwas suchen finde ich auch noch „Outlook for Mac“. Wiederum einrichten, anpassen, dann:

„Das ist nicht dasselbe wie vorher. Wo ist der Trashbin?“

„Der was?“

„Der Papierkorb!“

Nach einigen Versuchen, der Dame „Outlook for Mac“ schmackhaft zu machen, gebe ich auf. Das wars definitiv auch nicht. Da Sie immer wieder vom „Trashbin“ – Symbol erzählt, öffne ich erneut den Apple Mailclient.

„Hier ist das Symbol! Können Sie die Schrift grösser machen?“

Da waren wir doch schon einmal, also:

„Nein das geht nicht.“

„Können Sie kurz dranbleiben? Ich habe nichts gegessen und möchte kurz beim Room Service etwas bestellen.“

Mittlerweile ist es 18 Uhr – dass ich auch Hunger habe scheint untergegangen zu sein. Aber der Kunde ist König(in). Nach einigen weiteren Versuchen das richtige Mailprogramm zu finden, legt mich die Dame erneut auf Eis und fragt recht erbost beim Zimmerservice nach:

„Ich warte schon 10 Minuten. Wo ist meine Bestellung?“

Also ich warte normalerweise länger als 10 Minuten auf Essen aber anscheinend ist das Hotel Q. besonders fix. Plötzlich überkommt mich eine Idee. Ich öffne per Teamviewer Safari, gehe auf AOL.com, melde mich mit dem zurückgesetzten Passwort an und präsentiere den Webclient.

„Hat Ihr Email so ausgesehen?“

„Ja Genau! Das sieht genauso aus!“

Mittlerweile bin ich über 4 Stunden am Telefon. Langsam möchte ich zu einem Ende kommen – doch plötzlich entwickelt die Dame ungeahnte Energie und möchte auch noch Dokumente bearbeiten. Also erkläre ich auch das im Groben – irgendwann sage ich dann aber:

„Jetzt funktioniert wieder alles, oder?

„Alle ist super! Herzlichen Dank. Es hat noch nie jemand so viel Geduld mit mir gehabt!“

Das geht herunter wie Öl – und ist die 4,5 Stunden wert, die es gebraucht hat.

„Können Sie mir eine Karte senden?“

„Ich lege eine Visitenkarte der Rechnung bei, die ich ans Hotel Q. auf Ihren Namen sende. Ist das in Ordnung?“

„Ja. Vielen Dank! Darf ich Sie wieder anrufen?“
„Selbstverständlich.“

Nächtliche Emails

Müde und erschöpft aber im Wissen jemandem geholfen zu haben verlasse ich das Büro und schlafe den Schlaf des Gerechten – bis etwa 2 Uhr in der Frühe.

Da erhalte ich ein Email:

„Sie hätten mir sagen müssen, dass Sie oder Ihr Unternehmen von mir verlangen einen Vertrag blind zu unterzeichnen, ohne diesen zuvor gesehen zu haben. Ich hätte meine Zeit nicht verschwendet. Ich werde so etwas niemals machen. Wieso haben Sie mir das nicht von Anfang an mitgeteilt?“

Ich bin schlagartig wach – und komplett verwirrt. Nicht nur, dass ich keine Ahnung habe von welchem Vertrag die Dame erzählt, mich stört auch die Formulierung „Zeit verschwendet“.

Würde ich jetzt um 2 Uhr in  der Frühe eine Antwort geben – Sie wäre nicht sehr freundlich. Also weiterschlafen – das kann man auch morgen (bzw. heute) erledigen.

Falsch gedacht.  Um 3 Uhr bimmelt das Mobile wieder – noch eine Email:

„Ich sehe, dass Sie mich geblockt haben. Ich hatte wirklich vor zu bezahlen, aber mache das nicht abhängig davon eine Vertrag auf dem Computer zu unterzeichnen. Bitte respektieren Sie meine Wünsche und halten Sie mich nicht als Geisel indem Sie mich blockieren. Entschuldigen Sie, dass ich Ihre und meine Zeit verschwendet habe.“

Und wieder verstehe ich kein Wort. Ich wüsste nicht, wie ich die Dame um 3 Uhr früh blockieren sollte – weder weiss ich, von welchem Vertrag Sie spricht. Obwohl ich zugeben muss – das mit dem Blockieren klingt mittlerweile recht verlockend…

Glücklicherweise lässt man mich dann schlafen, sodass ich am Morgen ausgeruht wenn auch immer noch etwas verwirrt das Hotel Q. anrufen kann um das was auch immer hier vorgefallen ist, zu klären.

„Ich suche **. Sie hat mich gestern von dieser Nummer angerufen.“

„Ich verbinde Sie gleich aufs Zimmer. Bitte warten Sie einen Moment.“

Leider scheint die Dame entweder noch zu schlafen (ist erst 9 Uhr…) oder mich mit Absicht nicht anzunehmen. Also auf zu Plan B – und eine kurze Nachfrage mit der Bitte mich zur Klärung anzurufen per Email gesendet.

Dass diese ankommen, weiss ich ja mittlerweile.

Im Verlauf des Nachmittages werde ich dann auch noch versuchen, die Dame über das Mobiltelefon zu erwischen – was aber ebenfalls fehlschlägt.

Nach zwei Tagen – ich habe die Geschichte schon fast abgehakt, erhalte ich wiederum eine Email.

Eigentlich  eine ganze Emailflut. Zuerst ein Email mit dem Betreff und Inhalt „TEST“, dann ein Email mit folgendem Inhalt:

„Ich werde diesen Computer nicht so verwenden, wie er jetzt aufgesetzt ist. Wir haben zuviel Zeit verschwendet. Ich mochte es auch nicht, dass Sie mich als Geisel gehalten haben und nicht mehr herausgelassen haben, bis ich den Vertrag unterzeichnet habe. Sogar wenn ich Ihn gesehen hätte, hätte ich niemals unterschrieben. Wieso haben Sie nicht von Anfang an gesagt, dass es das war, was sie wollten?“

Auch wenn ich dieses Email noch hundertmal erhalte – ich weiss immer noch nicht, welchen Vertrag die Dame meint. Und die Tatsache, dass ich während der Zeit als Sie „Geisel“ war tief und fest geschlafen habe, macht das Email auch nicht verständlicher.

Obwohl mir die unbegründeten Beschuldigungen der Dame langsam aber sicher das Blut in Wallung bringen, schreibe ich noch einmal ein sehr freundliches und verständnisvolles Email mit der Bitte, mich doch anzurufen. Sollte Sie mit den Schweizer Telefonnummern nicht klar kommen, schlage ich ihr vor, Sie solle doch die Rezeption (oder den Concierge, der alles ausgelöst hat) bitten, uns direkt zu verbinden.

Und tatsächlich – ich erhalte fast umgehend eine Antwort per Email.

„Ich bin zurzeit in der Therapie, anschliessend beim Frisör. Ich rufe Sie heute abend spät oder morgen an.“

Da Freitag ist und das bedeutet, dass Sie mich entweder Freitag Abend oder Samstag anruft, trägt nicht gerade zur Stimmungshebung bei – aber ich möchte die Sache aus der Welt schaffen.

Also warte ich. Und warte. Doch weder am Freitag noch am Samstag erhalte ich einen Anruf.

Am Montagmorgen hat sich mein Groll gegen die haltlosen Unterstellungen komplett gelegt. Mittlerweile empfinde ich Anteilnahme – die Dame wurde in der Vergangenheit mehrfach über den Tisch gezogen. „Gebrannte Kinder fürchten das Feuer“ – wie man so schön sagt.

Ein letzter Versuch solls dann auch richten – denn mittlerweile habe ich eine Ahnung von welchem „Vertrag“ sie gesprochen hat.

Da Sie mehrere Wochen ohne Apple-ID unterwegs war, hat Sie auch keine Updates auf Ihrem MacBook erhalten. Nach der Korrektur hat sich iOS dann automatisch ein Update gezogen – darauf habe ich während der Teamviewer – Sitzung sogar hingewiesen – doch ich bezweifle, dass Sie wusste was damit gemeint ist.

Nach dem Reboot bzw. Update des MacBooks wurde Ihr wahrscheinlich eine aktualisierte Endbenutzervereinbarung von Apple eingeblendet – die Sie bestätigen musste.

Dass diese Vereinbarung zwischen Ihr und Apple ist und nicht im geringsten etwas mit mir zu tun hat, hat Sie wahrscheinlich überlesen bzw. wollte es auch gar nicht mehr lesen. Zu diesem Zeitpunkt war es wesentlich einfacher, die Schuld dem einzigen Menschen zu geben, der versucht hat Ihr zu helfen.

Ich schreibe Ihr meine Überlegungen also noch einmal in sehr verständlichen Worten – und hoffe, dass Sie die Logik nachvollziehen kann.

Selbstverständlich schliesse ich mit der Bitte, mich doch trotzdem kurz anrufen.

Gedanken

Alles in diesem Dialog ist echt und so passiert – zwar habe ich einzelne Passagen etwas vereinfacht aber nichts davon ist beschönigt oder verändert.

Während der Fernwartung hat mir die Dame von Ihrer Familie erzählt, von Ihrem verstorbenen Gatten – von der Assistentin die Sie betrogen hat, vom Zimmermädchen das Sie bestohlen hat. Auch einige sehr persönliche Details die man hier nicht veröffentlichen kann.

Ich gehe deshalb davon aus, dass zumindest ein Grundvertrauen vorhanden war – wieso dann praktisch über Nacht eine 360°-Kehrtwende erfolgte – wer weiss?

Trotzdem trage ich vor diesem Hintergrund der Dame die absolut haltlosen, ungerechtfertigten Beschuldigungen die aus dem Nichts kamen nicht nach – im Gegenteil. Ich kann bis zu einem gewissen Grad sogar nachvollziehen, wieso Sie die Schuld beim letzten (und vielleicht auch einzigen) Menschen gesucht hat, der Ihr geholfen hat.

Gerade „wir aus der IT“ müssen uns immer bewusst sein, dass Dinge die für uns selbstverständlich, logisch und absolut klar erscheinen von anderen als „Hexenwerk“ wahrgenommen werden können. Uns was der Mensch nicht versteht, das fürchtet er…

Nicht nachvollziehbar ist für mich hingegen, dass Sie einerseits zwar behauptet, Sie würde anrufen, andererseits aber genau dies nicht macht und auch keine Anrufe annimmt.

So löst man  definitiv keine Probleme – weder in der IT noch in jedem sonstigen Bereich.

Apropos Probleme; Beim nächsten Anruf aus dem Hotel Q. werde ich definitiv zuerst darauf hinweisen, dass unsere Verträge nicht auf Englisch sind…

Der Beitrag Deep Trouble in High Society erschien zuerst auf pedrett.org.

Vielleicht gleich zu Beginn: Dieser Leak bzw. dessen Handhabung ist ein Paradebeispiel für ein Grundproblem im Netz. Der Leak selbst ist seit mindestens Anfang Mai 2017 bekannt (vgl. auch Die Schweiz in der Anti Public Combo List). Interessiert hat es in Europa (dazu zählen Deutschland aber auch die Schweiz …) keinen; in der Schweiz wurde bis heute nicht öffentlich über diesen Leak berichtet.

In Deutschland erfolgt die Veröffentlichung durch das BKA 2 Monate zu spät; die Medien nahmen es auf, bauschten es auf (aus 43 Millionen werden „gut 50 Millionen“…) und führten dem gewöhnlichen Benutzer vor „wie unsicher er doch ist“. Nach zwei Tagen war der Spuk vorbei – das Thema Datensicherheit auf den Titelblättern wird wieder durch die üblichen B-Promis ersetzt, die Passwörter bleiben grössenteils diesselben.

Dieser Ablauf war analog bei den Leaks von Dropbox, LinkedIn… – die kurzfristige mediale Aufmerksamkeit zählt mehr als ein nachhaltiges Umdenken.

In Kürze

• Die Anti Public Combo List enthält 43’819’502 Accounts mit der Endung .de
• Die Combo List enthält nur Emailadressen und dazu passende Passwörter im Klartext
• Es sind gemischte Kombinationen von verschiedenen Quellen (also nicht nur Emailpasswörter!)
• Es ist nicht möglich zuverlässig zu bestimmen wie viele deutsche Benutzer tatsächlich in der Combo List sind (z.B. solche mit Email wie @gmail.com, @hotmail.com)
• Es ist fraglich ob alle Emails mit Endungen .de auch tatsächlich Benutzern aus Deutschland gehören

Trotz dieser Einschränkungen ist Anti Public Combo List aber ein interessanter Indikator um die Betroffenheit von Leaks in Deutschland abzuschätzen.

Vorausgesetzt, das Verhalten von Deutschen und Schweizern ist zumindest im Internet ähnlich, kann man mittels der Datensätze von SwissLeak.ch die ungefähre Anzahl von betroffenen Deutschen im Ganzen hochrechnen:

	In Leak enthalten	Anteil	Total
Schweiz (Anti Public Combo List)	782'212	4.89	3'825'420
Deutschland (Anti Public Combo List)	43'819'502	4.89	214'299'959
Schweiz (Dropbox)	378'817	10.09	3'825'420
Deutschland (Dropbox)	2'987'472	10.09	32'563'444

Es zeigt sich aber schnell, dass diese Hochrechnung für Deutschland nicht funktioniert. Eine Hochrechnung aufgrund der Anti Public Combo List würde 214 Millonen betroffener deutsche Accounts ergeben, gemäss dem Leak von Dropbox.com etwas mehr als 32 Millionen…

Realistisch betrachtet werden in Deutschland etwa 40 – 50 Millonen Benutzer (nicht Accounts!) von Leaks betroffen sein.

Der Umkehrschluss der Hochrechnung aber bedeutet, dass in der Schweiz verglichen mit Deutschland überdurchschnittlich viele Benutzer betroffen sind.

Die häufigsten Passwörter der deutschen Benutzer

Passwort	Vorkommen Combo	Vorkommen SwissLeak.ch
123456	0.5547	0.6561
123456789	0.4339	0.1178
iloveyou	0.3943
12345678	0.3775	0.0932
passwort	0.3699	0.0330
1234567	0.3653	0.0409
111111	0.3595	0.0461
123123	0.3594
abc123	0.3584
1234567890	0.3571

Abbildung: Die häufigsten Passwörter der deutschen Benutzer in der Anti Public Combo List im Vergleich mit Daten aus SwissLeak.ch

Die Verteilung der häufigsten Passwörter ist ähnlich aber nicht identisch mit der Schweiz. Interessanterweise gibt es tatsächlich nationale Unterschiede in der Passwortverteilung (z.B. „iloveyou“) – die Top Passwörter 123456 bzw.123456789 bleiben aber gleich…

Betroffenheit deutscher Benutzer

Betroffen ist ähnlich wie in der Schweiz grundsätzlich jeder deutsche Benutzer. Von Staats – und Bundesbetrieben über Versicherungen bis hin zum privaten Rentner ist eigentlich alles vorhanden.

Domain	Vorkommen Combo
web.de	25.20
gmx.de	20.12
yahoo.de	15.74
lycos.de	11.89
epost.de	11.79
yaho.de	3.21
t-online.de	2.63
freenet.de	2.45
live.de	1.51
arcor.de	0.79

Abbildung: Die am häufigsten betroffenen deutschen Domains in der Anti Public Combo List.

Ein Viertel (25.20 %) aller betroffenen Accounts läuft über den Provider Web.de, ein Fünftel über gmx.de.

Es liegt nahe, dass viele, technisch weniger versierte Benutzer Web.de als Emailprovider nutzen (vgl. bluewin.ch in der Schweiz).

Staatliche deutsche Behörden

Direkt vom Leak betroffene Benutzer des deutschen Staates (@**.bund.de) sind gerade einmal 747 Stück vorhanden.

Verglichen mit der Schweiz (1315 Stück) und in Anbetracht des wesentlich „grösseren“ Deutschen Staatsapparates ist das erstaunlich.  Blocken die deutschen Behörden vielleicht Social Media Plattformen oder sind die deutschen Beamten einfach vorsichtiger im Umgang mit Ihren Daten?

Kommunale deutsche Behörden

Wenn man sich die Mühe macht und die gesamte Anti Public Combo List nach Domains von deutschen Städten und Orten absucht, findet man etwas über 18’000 Accounts. Die Top40 gestalten sich in etwa wie folgt:

Domain	Anteil	Accounts
berlin.de	14.65	2687
hamburg.de	13.09	2401
koeln.de	13.01	2386
muenster.de	6.90	1265
wolfsburg.de	5.40	991
bremen.de	1.88	344
list.de	0.78	143
bremerhaven.de	0.69	127
muenchen.de	0.69	126
schwerte.de	0.63	116
eschweiler.de	0.58	107
schwaebisch-hall.de	0.53	98
mannheim.de	0.43	79
bonn.de	0.29	54
stuttgart.de	0.27	50
freudenberg.de	0.27	50
oppenheim.de	0.24	44
solingen.de	0.22	41
schiltach.de	0.21	39
wiesbaden.de	0.21	38
pfaffenhofen.de	0.19	35
heidelberg.de	0.17	32
harsefeld.de	0.17	31
saarbruecken.de	0.16	30
bruchsal.de	0.16	30
potsdam.de	0.16	29
goettingen.de	0.15	28
bochum.de	0.15	28
eppendorf.de	0.15	27
langenfeld.de	0.14	25
vaterstetten.de	0.14	25
fulda.de	0.13	24
dresden.de	0.13	24
darmstadt.de	0.13	23
leipzig.de	0.13	23
kiel.de	0.12	22
vegesack.de	0.12	22
gelsenkirchen.de	0.11	21
halle.de	0.11	21
jena.de	0.11	21
augsburg.de	0.11	21

Abbildung: Top40 der enthaltenen Städte mit prozentualem Anteil an deutschen Städten sowie der Anzahl Accounts

Selbstverständlich ist die Liste unvollständig – im Gegensatz zu SwissLeak.ch wurde nur eine sehr grobe Suche durchgeführt (bei 43 Millionen Accounts verständlich…)
Auch nicht berücksichtigt wurde, dass diverse deutsche Städte anscheinend „ihre Domain“ als private Email anbieten (z.B. Berlin). Diesen Service haben wir in der Schweiz nicht…

Passwortlänge

	Deutschland	Deutschland (bereinigt)	Schweiz
Staat	8.93 Stellen	8.72	8.21 Stellen
Alle	9.37 Stellen	9.05	8.07 Stellen

Abbildung: Durschnittliche Passwortlänge der deutschen Accounts sowie Vergleich zur Schweiz

Die durchschnittliche Passwörtlänge der deutschen Benutzer in der Anti Public Combo List beträgt 9.37 Stellen – ein Wert der nur bedingt realistisch ist.

Filtert man die diversen Hash-Werte (= noch nicht entschlüsselte Passwörter), Emailadressen und sonstige, klar nicht passenden Passwörter erhält man ein durchschnittliche Passwortlänge von 9.05  Stellen für deutsche Accounts.

Verglichen mit den Benutzer aus der Schweiz (8.07 Stellen) ist das auf diese Menge immer noch erstaunlich.

PS: Arbeiten Sie bei der deutschen Telekom? Interessenshalber – was genau steht in DOC-383006 ?

Der Beitrag Deutschland in der Anti Public Combo List erschien zuerst auf pedrett.org.

Mit einem Exchange Server funktioniert das mehr oder weniger; Was aber wenn der Kunde oder das Unternehmen G Suite (vormals Google Apps for Work…) einsetzt?

Für einzelne Accounts kann diese Abwesenheitsnotiz zwar manuell gesetzt werden – sobald es aber mehr als 5 sind wird es mühsam.

Die Lösung für das Problem – der Google Apps Manager (kurz GAM).

Damit erhält der Administrator praktisch vollen Zugriff auf sämtliche administrativen Tätigkeiten von G Suite – zusammengefasst in einer handlichen Konsole.

Google Apps Manager / GAM installieren

Zuerst einmal muss die aktuellste Version von GAM heruntergeladen werden:

Download GAM: https://github.com/jay0lee/GAM/releases

Die Installation anschliessend braucht etwas Zeit, da diverse Zugriffsberechtigungen gesetzt und aktualisiert werden müssen. Sämtliche nötigen Schritte sind aber sehr detailliert im Installationsprozess erklärt.

Abwesenheitsnotiz für Alle oder einzelne Benutzer setzen

Eine Übersicht über die verschiedenen Befehle von GAM findet man auch hier.

Für eine Abwesenheitsmeldung für sämtliche Benutzer kann man folgenden Befehl nutzen:

gam all users vacation on subject "Abwesenheit"  message "Wir sind vom xxx bis xxx abwesend. In Notfällen erreichen Sie uns unter xxx"

Für einen einzelnen Benutzer kann die Abwesenheitsmeldung wie folgt gesetzt werden:

gam user max.muster@muster.ch vacation on subject "Abwesenheit"  message "Wir sind vom xxx bis xxx abwesend. In Notfällen erreichen Sie uns unter xxx"

Mit folgendem Befehl kann anschliessend überprüft werden, ob ein die Abwesenheitsmeldung für einen bestimmten Benutzer aktiv ist:

gam user max.muster@muster.ch show vacation

Abwesenheitsnotiz für Alle oder einzelne Benutzer deaktivieren

Möchte man die Abwesenheitsnotiz anschliessend wieder deaktivieren, kann dies mit folgendem Befehl erreicht werden:

gam all users vacation off

Oder nur für einen bestimmten Benutzer:

gam user max.muster@muster.ch vacation off

Der Beitrag G Suite Massenabwesenheitsmeldung setzten erschien zuerst auf pedrett.org.

Dies ist Beitrag 3 von 4 der Serie “Hacking Switzerland”

Datenleaks? Schon wieder? Nun – wenn fast eine halbe Milliarde (458’000’000…) Benutzeraccounts geleaked werden, ist das schon einen Artikel wert, nicht?

Für Besucher aus Deutschland: Anscheinend hat das Deutsche BKA die „Liste“ mittlerweile auch gefunden (2 Monate später…)
Der Folgeartikel Deutschland in der Anti Public Combo List findet man hier.

Anti Public Combo List

Im eigentlichen Sinne handelt es sich dabei nicht um einen Leak sondern viel mehr eine direkte Folge von Leaks. Eine sogenannte „Combo List“ ist nicht anderes als zusammengefasste und aufbereitete Datenleaks in Form von Benutzername oder Email und Passwort. Das sieht dann in etwa so aus:

m.@muster.ch:ultrasupergeheim
hans.m@dem.admin.ch:meinpasswort
….

Die Daten dafür stammen aus den unterschiedlichsten Leaks und werden so „ready-to-use“ bereitgestellt.

Speziell an der „Anti Public Combo List“ in dieser Hinsicht ist sicher die Grösse;  Mit fast einer halben Milliarde Accounts (6% der gesamten Weltbevölkerung, 14,3% der Weltbevölkerung mit Internetzugang…) handelt es sich doch um ein etwas umfassenderes „Werk“ in dem selbstverständlich auch Schweizer Benutzer wieder recht gut vertreten sind…

Die Schweiz in der Anti Public Combo List

Total Accounts aus der Schweiz oder Liechtenstein: 796’983 davon 663’558 einzigartige Emailadressen
Total Accounts aus der Schweiz:  782’212 davon 651’338 einzigartige Emailadressen
Total Passwörter im Klartext: 793’853
Total (noch) verschlüsselte Passwörter: 2’545 davon 183 bereits entschlüsselt
Durchschnittliche Passwortlänge: 8.08 Stellen

Die Anti Public Combo List enthält etwa 1315 Accounts des Bundes und mindestens 1768 Accounts von Kantonen.

Prozentual sind zwar „nur“ gerade 0,17 % der Liste Schweizer Benutzer – verglichen mit der Weltbevölkerung (Anteil Schweiz: 0,11 %) aber überdurchschnittlich viel. Nicht zu vergessen auch das generelle Interesse an der Schweiz (sehr hohes BIP = viel „Ertrag“ pro Account) das Schweizer Accounts überdurchschnittlich attraktiv macht.

Häufigste Passwörter

Passwort	Vorkommen Combo	Vorkommen SwissLeak.ch
123456	0.3411	0.6561
123456789	0.0774	0.1178
12345	0.0671	0.0811
12345678	0.0655	0.0932
1234	0.0583	0.0899
hallo	0.0274	0.0336
passwort	0.0262	0.0330
111111	0.0262	0.0461
1234567	0.0255	0.0409
qwertz	0.0239	0.0367

Abbildung: Prozentuale Verteilung der häufigsten Passwörter von Schweizer Accounts im Vergleich zur Datenbank von SwissLeak.ch

Die häufigsten Passwörter sind – nicht überraschend – ähnlich wie bereits im Artikel „Alles über Schweizer Passwörter“ beschrieben.

Hier muss man aber vielleicht auch einmal erwähnen, dass die interessanten Passwörter niemals unter den häufigsten zu finden sind…

Betroffenheit

Betroffen ist grundsätzlich jeder. In der Liste findet man vom grossen Finanzinstitut bis hin zur Pensionär eigentlich alles.
Unterschiedlich ist allerdings die Verteilung bzw. Betroffenheit pro Domain („das Ding nach dem @ in der Emailadresse…“).

Domain	Vorkommen Combo	Vorkommen SwissLeak.ch
bluewin.ch	31.81	27.85
gmx.ch	22.48	18.24
hispeed.ch	3.78	3.34
sunrise.ch	2.73	2.49
bluemail.ch	2.70	2.13
freesurf.ch	1.64	1.33

Abbildung: Prozentuale Verteilung der betroffenen Schweizer Accounts nach Domains im Vergleich zur Datenbank von SwissLeak.ch

Aus obiger Abbildung lassen sich eine Reihe von Schlussfolgerungen ziehen. Zum Einen liegt die Vermutung nahe, dass die „Anti Public Combo List“ echt ist. Die Verteilung der Domains ist zu ähnlich um von jemandem manuell zusammengebastelt worden zu sein.

Zum anderen zeigt sich aber auch, dass Benutzer mit Bluewin und GMX Emailadressen überdurchschnittlich oft in Datenleaks enthalten sind. Ein Grund ist sicher die hohe Verbreitung dieser Emailadressen in der Schweiz – vor allem unter Anwendern die sonst mit IT+EDV nicht viel am Hut haben.

Anti Public Combo List und SwissLeak.ch

Auf SwissLeak.ch haben wir Millarden von geleakten Daten durchsucht und die Schweizer Benutzer gefiltert und mit Metadaten angereichert. Dadurch sind viele der geleakten Benutzer aus der Anti Puplic Combo List bereits in SwissLeak vertreten (allerdings in etwas ausführlicher Form…).

Konkret findet man nur 44’563 oder 6.7%  neue Schweizer Benutzer in der Anti Public Combo List.

Vergleicht man aber die einzigartigen, neuen Passwörter so haben diese mit der Anti Public Combo List für Schweizer Benutzer um 72’415 Stück zugenommen. Oder anders ausgedrückt; Zu 27’852 bereits betroffenen Schweizer Benutzern sind neue Passwörter hinzugekommen.

Auswirkungen auf die Schweiz

Anders als bei einem herkömmlichen Leak müssen bei einer Combolist nicht mühsam die Daten extrahiert und Passwörter entschlüsselt werden – alles hat bereits jemand erledigt („Fastfood – Leak“…).

Automatisierte Angriffe

Eine solche „ready-to-use“ Liste zieht erheblich mehr Personen an, die diese Daten nutzen und ermöglicht eine wesentlich speditivere Verarbeitung.

Die Swisscom hat das – gemäss Ihrem Security Report 2017 (Seite 11) – am eigenen Leib erfahren als nur an einem Tag über 10’000 verdächtige (aber erfolgreiche…) Logins auf Emailkonten erfolgten (…10,000 suspicious yet successful logins on Bluewin e-mail servers). Bemerkt wurde das nur, da die Angreifer die Zugriffe lediglich mittels einer IP-Adresse ausführten(…from one single foreign IP address“).

Hand auf Herz – wer glaubt allen Ernstes, dass Personen mit etwas ernsteren Absichten in Zeiten des „Machine Learning“ nicht ein simples Skript schreiben können, welches solche Zugriffe zufällig aber kontinuierlich erhöht – mit unterschiedlichen IP-Adressen? Und wieso nur 10’000? Alleine in der Public Combo List sind über 250’000 Bluewin Adressen mit Passwort enthalten…

Solche automatisierten, massentaugliche Angriffe auf Schweizer Benutzer werden massiv zunehmen; Sofern sie mit etwas Kreativität durchgeführt werden, wird ein Grossteil der Benutzer diese Angriffe nicht einmal bemerken – bzw. erst wenn es zu spät ist.

Kombinierte Angriffe

Die Schweiz befindet sich mitten im digitalen Umbruch; Versicherungen, Steuern, Rechnungen – alles wird immer stärker digitalisiert und ein Austausch erfolgt vermehrt auf elektronischem Weg.

Zwar mögen entsprechende Schnittstellen „sicherer“ sein – die betreuenden Benutzer (z.B. Bank – und Versicherungsangestellte, Beamte…) sind es definitiv nicht und genauso von Leaks betroffen. Wer das nicht glaubt, kann einfach auf SwissLeak.ch einmal nach solchen Organisationen suchen.

Abgesehen von den sensiblen Daten die durch solche gelakten, „hochwertigen“ Benutzer zugänglich sind ergeben sich wesentlich mehr Gefahren, wenn man Sie auch noch als Köder nutzt. Bereits auf herkömmliche Phishing – Emails fallen immer wieder Benutzer herein – wie hoch wird die Erfolgsquote sein, wenn ein falsches Email vom richtigen Ansprechpartner kommt?

Sensible Quellen

Was man gerne vergisst – alleine in SwissLeak stammen fast 100’000 Schweizer Benutzer aus sensiblen Quellen – viele auch mit der Emailadresse des Arbeitgebers. Dementsprechend wird für diese Benutzer simple Erpressung das effizienteste Mittel sein – im Sinne von „Ich weiss, wo du dich letzten Sommer herumgetrieben hast…“.

Im Gegensatz zu Ransomware ist das Druckmittel nicht das Sperren von Daten sondern das Blossstellen des persönlichen Images – wahrscheinlich für viele wesentlich wichtiger als reine Daten.

Umdenken

Gerade in letzter Zeit liest man viel über „Sicherheitskonzepte“ oder wie sich gewisse Organisation vor Hackerangriffen schützen möchten.

Bei grösseren Organisationen und Staatsbetrieben werden Unsummen in Sicherheitsprodukte investiert, die man nicht aus Wissen und Erfahrung sondern aus Angst kauft. Angst vor Angriffen, Angst vor Unsicherheit – aber vor allem aus Angst vor Verantwortung.  Es könnte ja der Vorwurf laut werden – man habe nicht alles erdenkliche getan…

Auf der anderen Seite die typischen KMUs. Die bereits in anderen Artikeln angesprochene „Mich triffts schon nicht“ – Haltung führt dazu, dass – wenn Sicherheitsprodukte überhaupt vorhanden sind, diese als reine Alibiprodukte fungieren. Eine spezifische und individuelle Anpassung fehlt meistens.

Diese beiden typischen Einstellungen werden lediglich durch kurze, mediale Aufschreie unterbrochen (z.B. „WannaCry“, Dropbox Datenleak). Einzelne Punkte werden daraufhin vielleicht verbessert – meistens jedoch wieder durch das Prinzip „Hoffnung“ ersetzt.

Den effizientesten Sicherheitsfaktor vergisst man dabei oft. Ein aufgeklärter, selbständig denkender und kritisch hinterfragenden Benutzer ist mehr wert als jedes noch so ausgeklügelte Sicherheitskonzept oder Software. Selbstverständlich setzt das ein Minimum an Interesse des Benutzers voraus – doch gerade dass scheint immer mehr verloren zu gehen.

Man möchte „neue Technologien“ zwar nutzen, interessiert sich aber überhaupt nicht dafür wie diese funktionieren.

Es braucht ein Umdenken; Weniger künstliche und mehr „echte Intelligenz“ würde Datenleaks nicht verhindern – zumindest aber die Auswirkungen und Risiken drastisch reduzieren.

Der Beitrag Die Schweiz in der Anti Public Combo List erschien zuerst auf pedrett.org.

Generation Excel

Excel war über Jahre hinweg das Tool für Zahlen und Tabellen. Die relativ einfache Bedienung, die Möglichkeit Dokumente schnell und unkompliziert weiterzugeben sowie die hohe Verbreitung machten es zum ultimativen Tool für zahlenaffine Benutzer.

Insbesondere die einfache Handhabung und der leicht verständliche Formelsyntax (=SUMME(…)) machten Excel auch unter Anwendern sehr beliebt.

Excel hat auch heute noch seine Daseinsberechtigung – nur nicht für alles.

Excels Schwächen

Für folgende Anwendungszwecke sollte man die Finger von Excel lassen:

Um Daten zu transportieren

„Ich liefere Ihnen die Daten in Excel, in Ordnung?“ – ein Satz der vielen Administratoren Albträume beschert, denn Excel war niemals dafür gedacht „Daten zu transportieren“. Die einfache Bedienung von Excel ermöglicht nämlich gleichzeitig auch eine Reihe von Fehlern:

• Formatierungen im Spalten
• Leerschläge
• Falsche Zahlen (z.B. Punkt anstelle von Komma)
• Falsche Datenformate (Excel stellt z.B. 0005 auf einmal als 5 dar…)
• Unterschiedlich breite / hohe Spalten
• Versteckte Zellen / Formatierungen

Anders ausgedrückt; Excel hat – als reines Transportmittel viel zu viele Möglichkeiten. Weit bessere Optionen dazu sind etwa reine Textformate wie CSV, XML oder JSON.

Um Daten aufzubewahren

Ein gespeichertes Excel ist relativ sicher – bis zu dem Zeitpunkt an dem sich ein Nutzer entschliesst es zu öffnen. Wie leicht verschieben sich dabei Zeilen oder Spalten – und ganz neue Berechnungen entstehen „ganz plötzlich“?  Oder was, wenn eine Exceldatei einen Bezug zu einer anderen Exceldatei enthält? Eine Umbenennung, ein Verschieben – und nichts geht mehr!

Gerade in Hinblick auf Big Data ist Excel schlichtweg ungeeignet um Daten zu lagern; zu sperrig, zu fehleranfällig und zu wenig kongruent – und bei Beschädigungen auch immer nur sehr schwer wieder zu reparieren.

Um Daten auszuwerten

Excel erfordert in der Regel keine konsistente Dateneingabe, d.h. jeder Benutzer kann sich nach Herzenslust austoben; der eine benennt eine Spalte vielleicht als Jahresübersicht, dem anderen ist Jahresüberblick viel genehmer. Nach was sucht man nun?

Oder was passiert, wenn anstelle eines Excelblattes auf einmal 20 vorhanden sind? Oder 50? Oder 200? Wie durchsucht man so viele so unterschiedlich strukturierte Daten schnell und erfolgreich?

Mit Excel eine Herkulesaufgabe – die oftmals damit endet, dass man die Exceldateien in andere Formate oder Datenbanken migrieren muss.

Um Daten anzupassen

Es kann immer einmal vorkommen, dass man alte Daten anpassen muss. Vielleicht hat sich eine Kostenstelle geändert, vielleicht muss ein Name oder eine Adresse ergänzt werden. Wie erledigt man das mit Excel?

Suchen und ersetzen ist eine Möglichkeit – die aber meistens eher schadet als dass Sie nützt. Und gerade wenn viele (10+) Dateien angepasst werden müssen bleibt einem nur wenig Spielraum für eine schnelle Lösung.

Um Daten gemeinsam zu erfassen

Excel ist kein Teamplayer. Zwar können einzelne Exceldateien für andere Nutzer freigegeben werden – die praktische Nutzung ist aber alles andere als ideal. Zu leicht entstehen Duplikate, ungewollte Änderungen und falsche Berechnungen.

Auch das „Zusammenführen“ von unterschiedlich bearbeiteten Exceldateien ist selten erfolgreich.

Um Daten weiterzuverwenden

Wenn man Daten sammelt, wird man Sie irgendwann auch verwenden wollen. Daten in Excel kann man nur mit Excel weiterverwenden – sonst nicht.

Lagert man Daten aber zentral in einer Datenbank, können Sie mit anderen Daten kombiniert, summiert, gruppiert oder vereint werden.

Ein Abrufen ist mit so ziemlich allem möglich – mit einer App, einer Webseite oder Webservice, einer Software – und natürlich auch wieder mit Excel (als reines Datenbetrachtungstool).

Alternativen

Glücklicherweise hat sich seit den Anfangszeiten von Excel einiges getan. Es gibt genügend Alternativen um obige Fälle effizienter und langfristig besser zu lösen. Oftmals lohnt sich bei genauerem Hinsehen der Einsatz einer Datenbank – doch was bedeutet das eigentlich?

Datenbanken?

Viele Gleiche oder ähnlich aufgebaute Daten gehören in eine Datenbank – und nicht in eine Exceldatei.

Das Problem dabei; Man braucht zu Beginn einen Plan bzw. ein Schema wie diese Daten aufgebaut sind. „Frischfröhliches“ Eingeben von Daten und Erweitern der Datenbank wenn nötig (also Excel-Verhalten) führt meistens zum Chaos.

Excel vs. SQL vs. NoSQL

Wenn man von einer Datenbank spricht, meint man meistens eine SQL – Datenbank. Diese ist durchaus vergleichbar mit einer Exceltabelle – allerdings mit einigen Unterschieden.

Excel

Nehmen wir folgendes Beispiel einer Exceldatei:

Beispiel Preisliste Excel

Wie man sieht, hat sich der Ersteller der Exceldatei grafisch bereits selbstverwirklicht – und auch einige Kommentare zur Handhabung hinzugefügt.

Hübsch aber weder kongruent noch konsistent – solches Verhalten führt langfristig zum (un)kontrollierten Chaos.

SQL-Datenbank

In einer SQL-Datenbank haben wir im Gegensatz dazu nur „reine Informationen“ – ohne Zusatzinfos.

Beispiel Preisliste SQL

Ein weiterer Unterschied zu Excel der auffällt ist die Spalte ID. Diese ist in diesem Fall automatisch, fortlaufend und einzigartig. Wenn man also von der ID 5 spricht, ist sofort klar was gemeint ist.

Zudem enhält die Spalte Stückpreis nur Zahlen – die Anmerkung „Individuell“ aus Excel ist in diesem Fall nicht zulässig, denn dann wären die Daten nicht mehr kongruent (wie soll individuell mit 67 verglichen werden ?)

Dass der Preis für die Hose individuell festgelegt wird, zeigt der Wert 1 (bedeutet in diesem Fall „Ja“) in der Spalte Individuell.

Auch die Spalte Total aus Excel wird nicht benötigt, denn diese Information kann aus Anzahl * Stückpreis live berechnet werden.

NoSQL-Datenbank

Ähnlich aber nicht gleich verhält sich das Beispiel in einer NoSQL – Datenbank:

Beispiel Preisliste NoSQL

Auch hier wird ein Index bzw. eine Spalte _id benötigt. Diese ist einzigartig und ermöglicht die exakte Bestimmung einer Zeile.

Im Gegensatz zu SQL müssen hier aber nicht alle Zeilen gleich aufgebaut sein („individuell“ für Hose fehlt).

Welchen Datenbanktyp?

Was beide Datenbankvarianten verbindet ist die Datenverifikation. Ein Nutzer kann so etwa keinen Text in der Spalte Stückpreis oder Anzahl eingeben – in Excel ist das möglich.

Der Hauptunterschied zwischen NoSQL und SQL -Datenbanken ist die Struktur der gelagerten Daten selbst; Hat man viele, gleich aufgebaute Daten dürfte eine SQL-Datenbank besser passen. Sind die Daten immer etwas unterschiedlich, eignet sich eine NoSQL – Datenbank wahrscheinlich besser.

Ganz wichtig – Datenbanken sind wesentlich effizienter in der Lagerung und dem Abruf von Daten. Informationen die man mit Excel in Stunden oder Tagen zusammentragen muss, kann man aus sauber aufgebauten Datenbanken innerhalb von Sekunden extrahieren.

Praxis

Selbstverständlich ist es nicht realistisch für „alles“ eine Datenbank zu verwenden und Excel komplett zu ignorieren.

Sobald man aber mehr als eine handvoll gleich oder ähnlich aufgebaute Exceldateien erstellt und diese vielleicht auch einmal weiterverwenden möchte, lohnt sich die Überlegung Datenbank immer!

Im Gegensatz zu Excel ist man mit einer Datenbank nämlich „gezwungen“ Daten strukturiert und einheitlich abzulegen. Wie ein roter Faden zieht sich diese Struktur quer durch die unterschiedlichsten Datensätze – egal ob Kosten, Adressen oder Texte.

Der anfänglich etwas höhere Initialaufwand lohnt sich spätestens dann, wenn die Daten produktiv ausgewertet oder genutzt werden sollen – garantiert!

Der Beitrag Kein Excel – kein Problem erschien zuerst auf pedrett.org.

Dies ist Beitrag 2 von 4 der Serie “Hacking Switzerland”

Kennen Sie die am häufigsten genutzten Passwörter der Schweiz? Alles über Schweizer Passwörter in diesem Artikel.

Dieser Artikel unterscheidet sich von anderen Artikeln über Schweizer Passwörter, wo „so nebenher“ noch schnell auf die Schweiz geschlossen wird.
Die Basisdaten stammen ausschliesslich aus der Datenbank vom SwissLeak.ch und beziehen sich damit explizit auf Schweizer Benutzer.

Die prozentual häufigsten Passwörter der Schweiz

Top 20 Schweizer Passwörter (Grafik wird täglich aktualisiert)

Nicht überraschend – die Kombinationen 1234… sind auch in der Schweiz sehr beliebte Passwörter. Überdurchschnittlich oft werden diese Passwörter für Internetforen verwendet, den dort werden Passwörter nicht immer auf ihre Komplexität geprüft.

Das Pendant zum weltweiten Top-Passwort qwerty ist in der Schweiz das Passwort qwertz. Den Grund erkennt man, wenn man einen Blick auf die ersten sechs Buchstaben der Tastatur wirft (und z.B. mit einer Tastatur aus den USA vergleicht).

Ähnlich verhält es sich mit dem Wort passwort. Anscheinend sind wir Schweizer noch nicht vollständig amerikanisiert und verwenden zumindest in dieser Hinsicht den deutschen Begriff (das englische Gegenstück folgt aber kurz darauf.)

Überaus interessant ist das Passwort soleil. Dieses wird vor allem auch gerne mit Zahlen und zusätzlichen Worten kombiniert (auch das deutsche Passwort sonne scheint beliebt zu sein…)

Bemerkung: Quellenspezifische Passwörter wie etwa adobe123 werden bei obiger Grafik herausgefiltert.

Vornamen und Automarken

Lässt man die Top100 hinter sich und schaut sich die  Top 500 Passwörtern der Schweiz etwas genauer an, stechen zwei Kategorien hervor – Vornamen und Automarken.

Ausriss aus den Top 500 Passwörtern der Schweiz

Selbstverständlich verwendet ein Grossteil der Benutzer nicht einfach das Wort „porsche“ sondern hängt auch noch einige Ziffern an.

Für das Grundpasswort „porsche“ machen das etwa 722 Benutzer – die häufigsten Kombinationen dazu sind:

• porsche911
• porscheboxter
• porscheRS
• porsche924
• porsche993
• porsche1234

Ähnliches Verhalten lässt sich mit allen anderen Top500 Passwörtern feststellen.

Jahrgänge und Postleitzahlen

Besonders beliebte Passwortergänzungen der Schweizer sind Jahrgänge und Postleitzahlen. Da hier eine hohe Streuung (jeder wohnt woanders und hat an einem anderen Datum Geburtstag…) vorliegt, gibt es wenig gleiche aber viele gleich aufgebaute Passwörter. Dazu einige Beispiel:

Häufigste Zweistellige Zahlenkombinationen in Schweizer Passwörtern

Zahl	Häufigkeit (relativ)	Anzahl (absolut)
12	4.95 %	14132
01	3.99 %	11377
11	3.81 %	10860
14	2.78 %	7925
13	2.74 %	7825
10	2.57 %	7327
99	2.43 %	6945
77	2.21 %	6306
69	2.21 %	6306
22	1.99 %	5681

Interpretation (Beispiel): Unter allen Passwörtern die eine zweistellige Zahlenkombination enthalten, haben 14132 Benutzer die Zahl 12 gewählt.

Wenn man alle zweistelligen Kombinationen aus den Passwörtern extrahiert ist jede Zahl von 00 bis 99 enthalten – ohne Ausnahme. Überdurchschnittlich oft sind aber Jahresendzahlen der letzten Jahre (10-14) sowie Jahrgänge (z.B. 77, 99) vorhanden.

Obwohl die typischen Jahrgänge (70 – 88) in dieser Grafik fehlen, kommen Sie alle unter den Top100 vor (weniger häufig da breitere Streuung).

Häufigste Vierstellige Zahlenkombinationen in Schweizer Passwörtern

Zahl	Häufigkeit (relativ)	Anzahl (absolut)
1234	4.67 %	5217 Benutzer
2000	2.66 %	2975 Benutzer
2010	2.09 %	2341 Benutzer
2011	1.69 %	1893 Benutzer
1991	0.82 %	925 Benutzer
1980	0.81 %	908 Benutzer
2001	0.80 %	898 Benutzer
2012	0.80 %	897 Benutzer
1988	0.78 %	871 Benutzer

Interpretation (Beispiel): Unter allen Passwörtern die eine vierstellige Zahlenkombination enthalten, haben 5217 Benutzer die Zahl 1234 gewählt.

Ähnlich wie bei den zweistelligen Kombinationen verhält es sich mit den vierstelligen Kombinationen. Dominierend sind die letzten Jahre als Zahl sowie Jahrgänge. Wiederum folgen die restlichen Jahrgänge praktisch ausnahmslos unter den Top100.

Kantonale Beliebtheit der Postleitzahlen

Kanton mit PLZ	Häufigkeit (relativ)	Anzahl (absolut)
Bern	14.48 %	400 Benutzer
Waadt	12.30 %	340 Benutzer
Zürich	8.50 %	235 Benutzer
Aargau	7.27 %	201 Benutzer
Fribourg	6.22 %	172 Benutzer

Interpretation (Beispiel): Unter allen Passwörtern die eine Postleitzahl einer Schweizer Gemeinde enthalten, haben 400 Benutzer eine Berner Postleitzahl gewählt.

Eventuelle Überschneidungen mit allgemein häufigen Passwörtern sind in dieser Grafik möglich (1234 ist etwa die Postleitzahl von Vessy GE). Trotzdem hebt sich der Kanton Bern (als „Hauptkanton“) eindeutig von den restlichen ab.

Passworthäufigkeit nach Organisationsgruppen

Wie stehen denn die verschiedenen Organisationen der Schweiz im Vergleich da? Gibt es „sichere“ Organisationen?

Hinweis: Die Zuweisung der einzelnen Organisationen zu Organisationsgruppen ist analog zu SwissLeak.ch

Branche	Häufigstes Passwort	Häufigkeit (relativ zur Organisation)
Schweizer Bundesbehörden	123456	0.9 %
Schweizer Gemeinden	123456	0.5 %
Schweizer Spitäler und Kliniken	123456	0.18 %
Kantonale Behörden	123456	0.68 %
Schweizer Schulen und Universitäten	123456	1.1 %
Unternehmen von öffentlichem Interesse	123456	0.43 %
Restliche (KMUs, Private...)	123456	0.84 %

Interpretation (Beispiel): Unter sämtlichen entschlüsselten Accounts der Benutzer der Schweizer Bundesbehörden verwenden 0.9 % das Passwort 123456.

Interessanterweise gibt es bei keiner Organisationsgruppe einen Ausreisser um den Kandidaten des häufigsten Passwortes – 123456 ist der ungeschlagene Favorit.

Anders sieht es hingegen bei der Häufigkeit aus – so wird das Passwort 123456 bei den Bundesbehörden gut fünfmal so häufig genutzt wie bei Schweizer Spitälern und Kliniken (!).

Der Schweizer Durchschnitt von etwa 0.83 % (vgl. Grafik „Top20 Schweizer Passwörter“) wird vor allem durch Universitäten und Schulen angehoben – allerdings nicht im positiven Sinne.

Kantonale Verteilung des Passwortes 123456

Kantonale Unterschiede in den Passwörtern sind durchaus vorhanden (v.a. Sprachregional). Interessanterweise schwankt aber auch die Nutzung der Standardpasswörter stark von Kanton zu Kanton. Am Beispiel 123456 ergibt sich folgende Grafik für die Top15 Kantone:

Kanton	Passwort	Verteilung	Nutzer
ZH	123456	22.0	2938
BE	123456	12.7	1704
VD	123456	10.5	1403
AG	123456	9.6	1281
GE	123456	5.6	748
SG	123456	4.5	597
LU	123456	3.8	510
BS	123456	3.3	440
TI	123456	3.3	440
BL	123456	2.8	377
SO	123456	2.8	371
FR	123456	2.3	313
NE	123456	2.3	307
TG	123456	2.3	301

Interpretation (Beispiel): 22 % aller Nutzer die das Passwort 123456 verwenden, stammen aus oder arbeiten im Kanton Zürich.

Relationen

Die Chancen, „Ihr persönliches Passwort“ unter den Top20 zu finden ist zwar hoch, hingegen ist (hoffentlich) nicht davon auszugehen, dass diese Passwörter auch im produktiven Umfeld genutzt werden. Vielmehr sind Sie eine Zwischenlösung für die „schnelle Anmeldung“ zwischendurch.

Problematischer ist der oftmals ähnliche Aufbau der Passwörter (z.B. Name + PLZ), das Nutzen „ganzer“ Wörter als Passwortbestandteil (z.B. Porsche) und vor allem – das Nutzen immer desselben Standardpasswortes.

Anmerkungen

• Gemäss NET-Metrix Base gibt es in der Schweiz etwa 5.8 Millionen Internetnutzer
• SwissLeak.ch enthält am 25.02.2016 Daten von etwa 2.77 Millionen  Schweizer Accounts
• Selbst bei Annahme, dass 30 % davon mehrfach vorhanden sind und 10% falsch zugeordnet sind ergibt sich immer noch eine repräsentative Anzahl.

Der Beitrag Alles über Schweizer Passwörter erschien zuerst auf pedrett.org.