Netzwerk - TecChannel
Netzwerk - TecChannel
Netzwerk - TecChannel
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
April/Mai/Juni 2009<br />
www.<strong>TecChannel</strong>.de<br />
<strong>Netzwerk</strong><br />
• Sichere Gastzugänge einrichten<br />
• <strong>Netzwerk</strong>-Aufgaben automatisieren<br />
• VNC-Verbindungen schützen<br />
• Die besten <strong>Netzwerk</strong>-Tools<br />
• Ratgeber <strong>Netzwerk</strong>drucker<br />
E-Mail<br />
• Ratgeber<br />
E-Mail-Sicherheit<br />
• Checklisten<br />
für E-Mail-Policies<br />
• Blackberry &<br />
Windows Mobile<br />
integrieren<br />
€ 14,90 Österreich € 16,40<br />
Benelux € 17,15 · Schweiz SFR 29,80
Editorial<br />
Liebe Leser,<br />
Editorial<br />
<strong>Netzwerk</strong>e sind längst integrale Bestandteile unserer<br />
Arbeitswelt und machen auch vor dem häuslichen<br />
Umfeld nicht halt. Was noch vor einigen Jahren die<br />
Kommunikation zwischen Desktop-PCs, Server und<br />
Druckern in Firmen ermöglichte, fi ndet sich jetzt in<br />
fast jedem Haushalt. Die Brücke zwischen Arbeitswelt<br />
und Heimnetzwerk schlägt dann oft noch ein VPN.<br />
Gegenüber den Anfängen mit BNC-Terminatoren und<br />
Koaxial-Kabeln hat sich zwar die Verkabelung deutlich<br />
vereinfacht. Dafür sind die Anforderungen an Datendurchsatz, Verfügbarkeit und<br />
vor allem an die Sicherheit gestiegen.<br />
Dieses <strong>TecChannel</strong>-Compact soll Ihnen im <strong>Netzwerk</strong>alltag nützlich zur Seite<br />
stehen. In praktischen Workshops zeigen wir Ihnen beispielsweise, wie Sie VNC-<br />
Verbindungen absichern oder sichere Gastzugänge ins LAN mit M0n0wall realisieren.<br />
Auch das Management kommt nicht zu kurz, dafür sorgen Artikel zum IT-<br />
Director und zum Lizenzmanagement.<br />
Wer die Grundlage einer Technologie nicht kennt, dem fehlt die Basis zum wirklichen<br />
Verständnis. Daher erklären wir in einigen Artikeln die verschiedenen<br />
Kabeltypen in <strong>Netzwerk</strong>en. Die Zukunft sieht allerdings kabellos aus – Grund<br />
genug, auf die Technologien Bluetooth, HSDPA und Femotzellen einzugehen.<br />
Da eine Hauptanwendung in vernetzten Systemen die E-Mail ist, widmen wir<br />
diesem Themenkomplex ein gesondertes Kapitel. Immer wichtiger werden dabei<br />
die Themen Sicherheit, Sicherung und Compliance<br />
Ich wünsche Ihnen viele neue Erkenntnisse beim Lesen dieses Compacts.<br />
Moritz Jäger<br />
Redakteur <strong>TecChannel</strong><br />
www.<strong>TecChannel</strong>.de 3
Impressum<br />
Impressum<br />
Chefredakteur: Michael Eckert (verantwortlich,<br />
Anschrift der Redaktion)<br />
Stellv. Chefredakteur / CvD: Albert Lauchner<br />
Redaktion <strong>TecChannel</strong>:<br />
Lyonel-Feininger-Straße 26, 80807 München,<br />
Tel.: 0 89/3 60 86-897, Fax: -878<br />
Homepage: www.<strong>TecChannel</strong>.de,<br />
E-Mail: feedback@<strong>TecChannel</strong>.de<br />
Autoren dieser Ausgabe:<br />
Johann Baumeister, Jobst Eckardt, Peter Gruber,<br />
Bernhard Haluschak, Mike Hartmann, Jürgen<br />
Hill, Moritz Jäger, Malte Jeschke, Matthias<br />
Juchoff, Helfried Pirker, Hannes Rügheimer,<br />
Ramon Schwenk, Axel Sikora, Elmar Török<br />
Verlagsleitung: Michael Beilfuß<br />
Copyright: Das Urheberrecht für angenommene<br />
und veröffentlichte Manuskripte liegt bei der<br />
IDG Business Media GmbH. Eine Verwertung<br />
der urheberrechtlich geschützten Beiträge und<br />
Abbildungen, vor allem durch Vervielfältigung<br />
und/oder Verbreitung, ist ohne vorherige schriftliche<br />
Zustimmung des Verlags unzulässig und<br />
strafbar, soweit sich aus dem Urheberrechtsgesetz<br />
nichts anderes ergibt. Eine Einspeicherung<br />
und/oder Verarbeitung der auch in elektronischer<br />
Form vertriebenen Beiträge in Datensysteme ist<br />
ohne Zustimmung des Verlags nicht zulässig.<br />
Grafi k und Layout:<br />
stroemung: Michael Oliver Rupp,<br />
Multimedia Schmiede,<br />
Twentyfi rst Communications: B. Maier-Leppla<br />
Titelbild: de.fotolia.com<br />
Anzeigen:<br />
Anzeigenleitung: Sebastian Woerle<br />
Tel.: 0 89/3 60 86-628<br />
Ad-Management: Edmund Heider (Ltg.) (-127),<br />
Rudolf Schuster (-135)<br />
Anzeigenannahme: Manfred Aumaier (-602),<br />
Andreas Mallin (-603)<br />
Dieses <strong>TecChannel</strong>-Compact wurde mit der Adobe Creative Suite CS produziert. <strong>TecChannel</strong>-Compact<br />
erscheint im Verlag der PC-WELT. Zu unserer Verlagsgruppe gehören folgende Zeitschriften:<br />
Abonnement, Einzel- und Nachbestellung, Umtausch defekter Datenträger:<br />
<strong>TecChannel</strong> Kundenservice, Postfach 81 05 80, 70522 Stuttgart, Tel: (+49) 07 11/72 52-276, für Österreich<br />
1/21 95 560, für Schweiz, 0 71/3 14 06-15, Fax: (+49) 07 11/72 52-377, E-Mail: shop@<strong>TecChannel</strong>.de<br />
4 www.<strong>TecChannel</strong>.de<br />
Druck: Sachsendruck GmbH, Paul-Schneider-<br />
Strasse 12, 08525 Plauen<br />
Vertrieb / Produktion:<br />
Gesamtvertriebsleitung: Josef Kreitmair (-243)<br />
Vertriebsassistenz: Melanie Stahl (-738)<br />
Vetriebsmarketing: Stefan Rörig (-722) (Ltg.)<br />
Produktionsleitung: Heinz Zimmermann<br />
Jahresbezugspreise:<br />
Inland: 49,20 EUR, Studenten: 43,80 EUR<br />
Ausland: 52,20 EUR, Studenten: 46,80 EUR<br />
Haftung: Eine Haftung für die Richtigkeit der<br />
Beiträge können Redaktion und Verlag trotz<br />
sorgfältiger Prüfung nicht übernehmen. Veröffentlichungen<br />
in <strong>TecChannel</strong>-Compact erfolgen<br />
ohne Berücksichtigung eines eventuellen Patentschutzes.<br />
Warennamen werden ohne Gewährleistung<br />
einer freien Verwendung benutzt.<br />
Veröffentlichung gemäß § 8, Absatz 3 des<br />
Gesetzes über die Presse vom 8.10.1949: Alleiniger<br />
Gesellschafter der IDG Business Media<br />
GmbH ist die IDG Communications Media AG,<br />
München, eine 100-prozentige Tochter der IDG<br />
Inc., Boston, Mass., USA.<br />
Verlag: IDG Business Media GmbH, Lyonel-<br />
Feininger-Straße 26, 80807 München,<br />
Tel.: 0 89/3 60 86-0, Fax: -118,<br />
Website: www.idgmedia.de<br />
Handelsregisternummer: HR 99187<br />
Umsatzidentifi kationsnummer: DE 811257800<br />
Geschäftsführer: York von Heimburg<br />
Mitglied der Geschäftsführung:<br />
Michael Beilfuß<br />
Vorstand: York von Heimburg,<br />
Keith Arnot, Bob Carrigan<br />
Aufsichtsratsvorsitzender:<br />
Patrick J. McGovern
Inhalt<br />
Inhalt<br />
Editorial 3<br />
Impressum 4<br />
1 <strong>Netzwerk</strong>-Praxis 10<br />
1.1 Sicheren Gastzugang für LAN und WLAN realisieren 10<br />
1.1.1 Installation der M0n0wall 10<br />
1.1.2 Erster Start der M0n0wall 11<br />
1.1.3 Konfi guration 13<br />
1.1.4 Aktivieren des Hotspots 14<br />
1.1.5 Sicherheitsregeln und Add-ons 15<br />
1.2 Aus der Ferne an den Server – VNC-Verbindungen schützen 17<br />
1.2.1 Variationen eines Themas 18<br />
1.2.2 TightVNC und UltraVNC 18<br />
1.2.3 Grundinstallation 19<br />
1.2.4 Verschlüsselung 21<br />
1.2.5 Eigenen Schlüssel erzeugen 22<br />
1.2.6 Einfach mit SSH 23<br />
1.2.7 SSH-Komponenten für VNC 24<br />
1.2.8 Alles mit SSH 25<br />
1.2.9 ZeBeDee – einfacher als SSH 26<br />
1.2.10 Fazit 27<br />
1.3 Shell Scripting im <strong>Netzwerk</strong> 28<br />
1.3.1 Domain Controller fi nden 28<br />
Parameter 28<br />
Code 28<br />
Funktion 29<br />
Verarbeitung der Ergebnisdatei 30<br />
1.3.2 <strong>Netzwerk</strong>adresse berechnen 31<br />
Parameter 31<br />
Code (Berechnung der Netzadresse aus IP und Subnetmask) 31<br />
Funktion 32<br />
1.3.3 GetMAC für NT4 und W2K 32<br />
Code (Ausgabe der Mac-Adressen ab Windows 2000) 32<br />
Funktion 33<br />
1.3.4 Ping-Liste 34<br />
1.3.5 Port-Liste aus netstat 35<br />
Code 35<br />
Funktion 36<br />
www.<strong>TecChannel</strong>.de 5
Inhalt<br />
1.4 Die besten <strong>Netzwerk</strong>-Tools für kleine und mittlere Windows-LANs 38<br />
1.4.1 Wireshark: Traffi c-Monitoring im <strong>Netzwerk</strong> 38<br />
1.4.2 A-Toolbar: Schnelle Verbindungskontrolle 38<br />
1.4.3 3D Traceroute: Den Weg eines Datenpakets aufl isten 39<br />
1.4.4 AdvancedRemoteInfo: Statusinformationen im Netz 40<br />
1.4.5 CurrPorts: Überblick über offene Ports verschaffen 40<br />
1.4.6 PuTTY: Remote Login vom Windows-Desktop aus 40<br />
1.4.7 Unlocker: Gesperrte Dateien freigeben 40<br />
1.4.8 FS Guard: Dienste und Verzeichnisse überwachen 41<br />
1.4.9 X-NetStat: Infos mit aufgebohrtem Netstat abfragen 41<br />
1.4.10 Strong Search: <strong>Netzwerk</strong>weiter Dateisucher 42<br />
2 <strong>Netzwerk</strong>-Management 43<br />
2.1 IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e 43<br />
2.1.1 Installation und Benutzeroberfl äche 43<br />
2.1.2 Einstellungen und Konfi guration 45<br />
2.1.3 Daten-und Systemschutz: USB-Sperrung 46<br />
2.1.4 Daten- und Systemschutz: Festplattensicherung und -wiederherstellung 46<br />
2.1.5 Internet- und <strong>Netzwerk</strong>sicherheit 47<br />
2.1.6 Leistung und Diagnose 48<br />
2.1.7 Fazit 50<br />
2.2 Grundlagen: Lizenzmanagement im Unternehmen 51<br />
2.2.1 Ab wann lohnt sich professionelles Lizenzmanagement 51<br />
2.2.2 Viele Lizenzen verderben den Brei 52<br />
2.2.3 Inventarisierung ist Voraussetzung 53<br />
2.2.4 Organisation ist alles 54<br />
4.2.5 Fazit 54<br />
3 <strong>Netzwerk</strong>-Grundlagen 56<br />
3.1 Green IT: Energiesparpotenzial bei <strong>Netzwerk</strong>en 56<br />
3.1.1 Performance benötigt Energie 57<br />
3.1.2 Zukunft: Energy Effi cient Ethernet 58<br />
3.1.3 Reduktion der Interface-Karten 59<br />
3.1.4 Feintuning 60<br />
3.2 Kabeltypen für LANs 61<br />
3.2.1 Koaxialkabel 61<br />
Verstärkungen 61<br />
Cheapernet 62<br />
Überprüfung des <strong>Netzwerk</strong>s 63<br />
3.2.2 Twisted Pair-Kabel 64<br />
Link-Klassen 64<br />
Steckverbindungen 65<br />
6 www.<strong>TecChannel</strong>.de
Inhalt<br />
3.2.3 Kabelaufbau und Spezifi kationen 67<br />
3.2.4 NEXT, NEXT-a, FEXT, ELFEXT und AXTLK 69<br />
3.2.5 Kabelverlegung 72<br />
Qualität der Kabel 72<br />
Verlegung des LAN-Kabels 73<br />
Verlegung von Profi s 74<br />
Patchpanels und Fehlerquellen 74<br />
3.2.6 Überprüfen von TP-Verbindungen 75<br />
3.2.7 Link-Tester selbst gebaut 76<br />
3.2.8 Optische <strong>Netzwerk</strong>e mit LWL 79<br />
3.2.9 SC- und ST-Verbindungen 79<br />
3.2.10 Funktionsprinzip und LWL-Typen 80<br />
3.2.11 Verlegung von LWL 84<br />
3.2.12 Überprüfung und Fehlersuche 85<br />
3.3 Bluetooth-Grundlagen: Herkunft und Funktionsweise 88<br />
3.3.1 Hintergründe und Standardisierung 88<br />
3.3.2 Versionen und zeitliche Entwicklung 88<br />
3.3.3 Aufbau des Protokollstapels 90<br />
3.3.4 Physikalische Schicht – Frequenzsprungverfahren 92<br />
3.3.5 Data Link Layer 95<br />
Adressierung und Anmeldung 96<br />
Die synchrone Kommunikation 97<br />
Die asynchrone Kommunikation 98<br />
3.3.6 HCI-Interface und Aufbau der Anwendungsprotokolle 99<br />
3.3.7 Das Service Discovery Protocol 100<br />
3.3.8 RFCOMM – Grundlage für Verbindungen 101<br />
3.3.9 Häufi gstes Anwendungsszenario: Gekoppelte Dienste 101<br />
3.3.10 Weitere Anwendungsprotokolle 101<br />
3.3.11 Sicherheit in Bluetooth 102<br />
3.3.12 Sicherheitslücken 102<br />
3.3.13 Fazit und Ausblick 103<br />
3.4 So funktionieren UMTS und HSPA 104<br />
3.4.1 Unterschiede der Funktechnik zwischen UMTS und GPRS/GSM/EDGE 104<br />
3.4.2 Architektur von GSM- und UMTS-Netzen 106<br />
3.4.3 UMTS: Die IP-gerechte Netzstruktur 106<br />
3.4.4 UMTS aufgerüstet: Tuning per HSDPA und HSUPA 107<br />
3.4.5 Technik: So funktioniert HSDPA 109<br />
3.4.6 Effi zienter dank besserer Modulation 109<br />
3.4.7 HSDPA-Zukunft: Schneller, optimierter, effi zienter 111<br />
3.4.8 Die Klassen der HSDPA-Endgeräte 112<br />
3.4.9 Was kommt danach? 113<br />
www.<strong>TecChannel</strong>.de 7
Inhalt<br />
3.5 So funktionieren Femtozellen 115<br />
3.5.1 Ähnliche Größen trotz unterschiedlicher Vorsilben 115<br />
3.5.2 Funktionsprinzip und Netzanbindung 116<br />
3.5.3 Stand der Entwicklung 117<br />
3.5.4 Die ersten Femtocell Gateways 117<br />
3.5.5 Praxiseinsatz aus Sicht der Mobilfunkprovider 119<br />
3.5.6 Praxisszenario für Internetprovider 120<br />
3.5.7 Status: So sehen es Provider und Entwickler 120<br />
3.5.8 Fazit und Ausblick 122<br />
4 E-Mail 123<br />
4.1 E-Mail-Sicherheit 123<br />
4.1.1 E-Mail-Sicherheitsaspekte im geschäftlichen Kontext 124<br />
4.1.2 Sicherheit bei der E-Mail-Erstellung 124<br />
4.1.3 Vorgaben für das Erstellen von E-Mails 125<br />
4.1.4 Data Leakage Protection sorgt für Compliance 126<br />
1.4.5 E-Mail-Sicherheit für den Posteingang 128<br />
1.4.6 E-Mail-Schutz durch Appliances 129<br />
1.4.7 Die dunkle Seite der E-Mail-Nutzung 130<br />
1.4.8 Effektive Spam-Filterung 131<br />
1.4.9 Archivieren und wiederfi nden 133<br />
1.4.10 Sichere Infrastruktur für E-Mail-Systeme 136<br />
1.4.11 Absicherung der Daten und Programme 136<br />
1.4.12 Sicherung des Exchange-Mail-Systems 139<br />
1.4.13 Fazit 143<br />
4.2 E-Mail-Archivierung: Anforderungen und Lösungen 144<br />
4.2.1 Motivation zur E-Mail-Archivierung 144<br />
4.2.2 Compliance-Anforderungen 145<br />
4.2.3 Unterschiedliche Lösungsansätze 145<br />
4.2.4 Die richtigen Speicherformate 146<br />
4.2.5 Unterschiedliche Systemkonzepte und -funktionen 147<br />
4.2.6 Wichtige Anwendungsfunktionen im Mail-Client 149<br />
4.2.7 Regeln zum Umgang mit E-Mails 149<br />
4.2.8 Fazit 151<br />
4.3 Compliance: Was es bei Regelwerken zu beachten gilt 152<br />
4.3.1 Anforderungen 152<br />
4.3.2 Verantwortlichkeiten 153<br />
4.3.3 Lückenlose Dokumentation 154<br />
4.4 BlackBerry Unite: Kostenloser BlackBerry-Server im Test 156<br />
4.4.1 Was kann BlackBerry Unite? 156<br />
4.4.2 Push-Mail einrichten und nutzen 157<br />
8 www.<strong>TecChannel</strong>.de
Inhalt<br />
4.4.3 Termine, Kontakte und Daten synchronisieren 158<br />
4.4.4 Geräteverwaltung 158<br />
4.4.5 Fazit: Ausreichend für Kleinstumgebungen 159<br />
4.5 SCMDM: Microsofts Alternative zu BlackBerry 160<br />
4.5.1 Was kann der SCMDM? 160<br />
4.5.2 Der Ablauf 160<br />
4.5.3 Account vorbereiten und Gerät einbinden 161<br />
4.5.4 Policies ausrollen 162<br />
4.5.5 Verteilen von Software 163<br />
4.5.6 Voraussetzungen: Was geht – und was nicht? 164<br />
4.5.7 Fazit: Interessanter Ansatz für aktuelle Microsoft-only-Umgebungen 165<br />
5 Kaufberatung 166<br />
5.1 Drucker und Multifunktionsgeräte richtig auswählen und einsetzen 166<br />
5.1.1 Analyse ist Pfl ichtaufgabe 167<br />
5.1.2 Ausstattungsfragen 168<br />
5.1.3 Farbdrucker statt SW-Gerät? 170<br />
5.1.4 Leistung und Qualität 171<br />
5.1.5 Druckkosten 172<br />
5.1.6 Sicherheit beim Drucken 174<br />
5.1.7 Multifunktionalität 175<br />
5.1.8 Fazit 176<br />
5.2 Der Essential Business Server von Microsoft 178<br />
5.2.1 Fakt ist: Admins in KMUs brauchen Hilfe 178<br />
5.2.2 Volles Leistungspotenzial des EBS erfordert drei Server 180<br />
5.2.3 Probleme schon vor der Entstehung ausschalten 181<br />
5.2.4 Umstieg bei Ablösung alter Windows-Installationen 183<br />
5.2.5 SCE-Konsole gibt Diagnose-Tipps 183<br />
5.2.6 Fazit 185<br />
5.3 Test: Günstiger WAN-Emulator von Apposite 186<br />
5.3.1 WAN-Emulation leicht gemacht 186<br />
5.3.2 Einstecken und fertig 187<br />
5.3.3 Emulation 188<br />
5.3.4 Messen... 189<br />
5.3.5 ...und Drosseln 190<br />
5.3.6 Lastsimulation 191<br />
5.3.7 Fazit 192<br />
Index 193<br />
www.<strong>TecChannel</strong>.de 9
1. <strong>Netzwerk</strong>-Praxis<br />
1 <strong>Netzwerk</strong>-Praxis<br />
Das Verwalten von Rechnersystemen auf der Basis umfassender Zugriffsrechte bildet<br />
den Schwerpunkt der Arbeit von Systemadministratoren. Neue Verfahren bieten<br />
den Verantwortlichen Hilfestellung bei Planung, Installation, Konfi guration<br />
sowie Pfl ege der Systeme. In diesem Kapitel stellen wir aktuelle Anleitungen und<br />
Werkzeuge für <strong>Netzwerk</strong>administratoren vor.<br />
1.1 Sicheren Gastzugang für LAN und<br />
WLAN realisieren<br />
Wer einen Internetzugang für Gäste einrichten will, muss sein LAN vor unbefugten<br />
Zugriffen abschotten. Die kostenlose FreeBSD- Firewall M0n0wall bietet<br />
mit dem sogenannten Captive Portal eine komfortable und einfach einzurichtende<br />
Hotspot-Lösung. Das Captive Portal leitet Benutzer zunächst auf eine Webseite,<br />
auf der sie Zugangsdaten eingeben müssen, bevor sie ins Internet gelangen. Damit<br />
lassen sich auch – spannend für Hotels oder Gaststätten – Lösungen realisieren, in<br />
denen ein Voucher verkauft wird, das dann einmal gültige Zugangsdaten enthält.<br />
Ähnliche Lösungen sind auch für viele WLAN-Router via Firmware verfügbar; diese<br />
kosten allerdings oft eine Menge Geld.<br />
Als Basis für diese Konfi guration verwenden wir die kostenlose Firewall M0n0wall<br />
(http://m0n0.ch/wall/). Diese mit weniger als 6 MByte extrem kleine FreeBSD-<br />
Distribution lässt sich problemlos auf älteren Systemen verwenden und von Compact<br />
Flash oder USB starten. Zudem bietet sie neben dem Captive Portal viele interessante<br />
Features wie VLAN-Support, IPsec- und PPTP-VPN, DynDNS, Traffi c<br />
Shaping und Wake on LAN.<br />
Die Mindestanforderungen an das zu verwendende System sind sehr moderat, da<br />
die M0n0wall zur Verwendung auf Embedded Systemen ausgerichtet ist. Ein Pentium<br />
III und 64 MByte RAM reichen für eine 100-MBps-<strong>Netzwerk</strong>verbindung.<br />
Soll ein Gigabit-Link bedient werden, empfi ehlt der Programmierer einen P4 mit<br />
2,4 GHz. Als Boot-Medium haben Sie die Wahl zwischen CD-ROM, USB oder<br />
Festplatte. Letztere können Sie mittels eines Adapters auch durch eine CF-Karte<br />
ersetzen. Dazu sind mindestens zwei LAN-Ports erforderlich.<br />
1.1.1 Installation der M0n0wall<br />
Die grundlegende Installation der M0n0wall geht recht schnell vonstatten. Nach<br />
dem Download des Images (raw CF/HD image for generic PCs) wird dieses mit<br />
dem ebenfalls auf der Website zu fi ndenden Tool physdiskwrite auf USB oder<br />
Harddisk geschrieben.<br />
10 www.<strong>TecChannel</strong>.de
physdiskwrite <br />
Sicheren Gastzugang für LAN und WLAN realisieren<br />
Das Tool zeigt Ihnen eine Auswahl der gefundenen Datenträger. Achten Sie darauf,<br />
den richtigen auszuwählen. Unter Linux verwenden Sie statt physdiskimage einfach<br />
die Befehlszeile<br />
gunzip -c | dd of=/dev/XXX bs=16k<br />
Ersetzen Sie dabei das XXX durch den Gerätenamen des Speichermediums, beispielsweise<br />
hda.<br />
Konzentration: Bei einer Falscheingabe ruinieren Sie die Daten auf der Festplatte.<br />
Wenn Sie ein CD-ROM im Router-System haben, können Sie auch das CD-Image<br />
der M0n0wall herunterladen und brennen.<br />
1.1.2 Erster Start der M0n0wall<br />
Danach sind Sie schon bereit für die Einrichtung des Systems. Im Falle eines Starts<br />
von CD-ROM benötigen Sie zusätzlich noch einen USB-Stick für die Speicherung<br />
der Konfi gurationsdaten. Das Medium muss mit FAT formatiert sein. Nun können<br />
Sie die M0n0wall booten, und ein kurzer Wizard führt Sie durch die grundlegende<br />
Einrichtung. Die Schritte sind ganz einfach:<br />
Als Erstes sind die Schnittstellen einzurichten, denen Sie auch gleich ihre Funktion<br />
zuweisen. Dabei steht LAN für das lokale <strong>Netzwerk</strong>, WAN für den Weitverkehrszugang<br />
und OPT für sonstige <strong>Netzwerk</strong>e. In diesem Fall wird das Gastnetz als<br />
LAN konfi guriert und die Verbindung ins Internet als WAN. Mittels der Funktion<br />
„autodetect“ erleichtert M0n0wall das Identifi zieren der Schnittstellen. Dazu sollte<br />
zunächst kein Kabel angeschlossen sein. Erst wenn das System Sie dazu auffordert,<br />
schließen Sie das jeweilige <strong>Netzwerk</strong>kabel an. M0n0wall entdeckt den Statuswech-<br />
webcode: 1768961 11
1. <strong>Netzwerk</strong>-Praxis<br />
sel (link-up) an der <strong>Netzwerk</strong>karte und identifi ziert diese richtig. Klappt das nicht,<br />
müssen Sie über den Namen der Karte gehen. Hinweise zur Benennung der Karten<br />
gibt das M0n0wall-Handbuch (http://doc.m0n0.ch/handbook/).<br />
Suche: Die Zuordnung der <strong>Netzwerk</strong>schnittstellen gestaltet sich nicht ganz einfach.<br />
Danach ist ein Reboot fällig. Im Anschluss können Sie im zweiten Schritt die<br />
LAN-Adresse ändern und den DHCP für die LAN-Clients konfi gurieren.<br />
Feinschliff: Über das Web-Frontend der M0n0wall nehmen Sie die weitere Konfi guration vor.<br />
12 www.<strong>TecChannel</strong>.de
Sicheren Gastzugang für LAN und WLAN realisieren<br />
Die weitere Konfi guration erfolgt über die Web-Schnittstelle der M0n0wall. Dazu<br />
rufen Sie einfach von einem Rechner im Gastnetz die URL http://192.168.1.1 auf,<br />
sofern Sie die IP-Konfi guration des LAN-Adapters nicht geändert haben. Der Benutzername<br />
ist admin und das dazu passende Kennwort mono. Letzteres sollten Sie<br />
umgehend unter „General Setup“ ändern.<br />
1.1.3 Konfi guration<br />
Ziel unserer Lösung ist es, ein separates <strong>Netzwerk</strong>segment zu erzeugen, in dem die<br />
für Gäste zugänglichen Access Points durch die M0n0wall vom Firmen-LAN abgeschottet<br />
sind. Daher gestaltet sich die Einrichtung des WAN-Interfaces wie folgt:<br />
Die M0n0wall soll von einem DHCP-Server im Firmennetz eine IP-Adresse sowie<br />
die sonstigen Parameter wie Default Gateway und DNS-Server beziehen. Dazu<br />
stellen Sie unter „Interfaces / WAN“ den Eintrag „Type“ auf DHCP.<br />
Abgeschottet: Die Gäste sollen sich in einem eigenen Segment tummeln.<br />
Im nächsten Schritt wird die Hotspot-Funktion scharf geschaltet. Dazu rufen Sie<br />
das Menü „Services / Captive portal“ auf und schalten das „Captive portal“ ein.<br />
Die Schnittstelle sollte LAN sein, denn an diesem Segment hängen die Gäste.<br />
Unter „Authentication“ stellen Sie „Local user manager“ ein. Damit überlassen Sie<br />
die Benutzerverwaltung der M0n0wall. Wichtig ist, dass Sie bei „Portal page contents“<br />
eine HTML-Seite hochladen, damit das Login funktioniert. Eine solche Seite<br />
könnte beispielsweise so aussehen:<br />
<br />
Meinefi rma.de - WLAN-Zugang für Gäste<br />
<br />
WLAN-Zugang zum Internet für unsere Gäste<br />
webcode: 1768961 13
1. <strong>Netzwerk</strong>-Praxis<br />
Bitte geben Sie Benutzernamen und Passwort an oder Ihren<br />
➥ Voucher-Code<br />
<br />
Benutzername:<br />
Passwort:<br />
<br />
Voucher:<br />
➥ <br />
<br />
<br />
<br />
1.1.4 Aktivieren des Hotspots<br />
Nach dem Speichern der Änderungen können Sie über den integrierten Benutzermanager<br />
verschiedene User anlegen – achten Sie aber darauf, dass Sie den Tab<br />
„Users“ bei „Services / Captive portal“ verwenden und nicht den generellen Benutzer-Manager<br />
der M0n0wall („System / User manager“). Wenn Sie die aktuelle<br />
Beta-Version installiert haben, können Sie auch das Voucher-System nutzen – etwa<br />
für eine Gaststätte. Die Einrichtung und Nutzung des Voucher-Systems ist im<br />
M0n0wall-Handbuch detailliert beschrieben.<br />
Wer darf: Im integrierten Benutzer-Manager legen Sie die User-Kennungen an, die über den Hotspot<br />
das Internet nutzen dürfen.<br />
Damit sind die grundlegenden Arbeiten erledigt. Wenn Sie jetzt von einem Rechner<br />
im Gastnetz aus das Internet nutzen wollen, gelangen Sie zunächst zur Anmeldemaske.<br />
Erst nach Eingabe der richtigen Daten können Sie weitersurfen.<br />
14 www.<strong>TecChannel</strong>.de
Sicheren Gastzugang für LAN und WLAN realisieren<br />
Nicht schön, aber funktional: Das Login für den Hotspot. Sie sollten etwas mehr Mühe in das Design<br />
investieren als wir.<br />
Über das Menü „Status / Captive portal“ können Sie nun jederzeit einsehen, was<br />
gerade in Ihrem Gastnetz passiert. Über „Status / Traffi c“ erhalten Sie ständig aktuelle<br />
Informationen über den Datenverkehr. Wenn Sie verhindern wollen, dass<br />
Ihre Gäste zu viel Bandbreite verbrauchen, können Sie später noch das Traffi c Shaping<br />
aktivieren („Firewall / Traffi c shaper“).<br />
Status: M0n0wall gibt einen aktuellen Überblick über die Hotspot-Funktionen.<br />
1.1.5 Sicherheitsregeln und Add-ons<br />
Zu guter Letzt sollten Sie noch ein paar Firewall-Regeln erstellen, die die Möglichkeiten<br />
der Gäste einschränken. Zunächst sollten Sie den Zugriff auf Ihr LAN ausschließen<br />
– die Gäste dürfen lediglich mit dem Internet kommunizieren. Welche<br />
Protokolle Sie zulassen wollen, bleibt Ihnen überlassen. Machen Sie sich aber die<br />
jeweils möglichen Konsequenzen klar. Wenn Sie außer HTTP, HTTPS und POP3<br />
beispielsweise noch SMTP freigeben, besteht die Gefahr, dass über Ihr <strong>Netzwerk</strong><br />
massenhaft Spam versendet wird.<br />
webcode: 1768961 15
1. <strong>Netzwerk</strong>-Praxis<br />
Da die Web-GUI der M0n0wall über das LAN erreichbar ist, sollten Sie abgesehen<br />
vom geänderten Passwort auch den Port verändern, auf dem der Web-Server<br />
lauscht. Oder Sie richten über „Firewall / NAT“ eine Regel ein, die WAN-Traffi c<br />
(also aus dem Firmennetz) auf die LAN-IP der M0n0wall (also das Gastnetz) weiterleitet.<br />
Dann können Sie aus Ihrem Firmennetz heraus die M0n0wall verwalten.<br />
Der Speicherplatz ist bei einer M0n0wall-Installation auf Compact Flash stark beschränkt.<br />
M0n0wall bietet jedoch zum Glück die Möglichkeit, Log-Einträge an einen<br />
externen Syslog-Server zu schicken. Ein solcher ist bei Linux schon integriert,<br />
für Windows gibt es mit dem Kiwi-Syslog-Daemon (www.kiwisyslog.com/kiwisyslog-daemon-overview/)<br />
einen kostenlosen Syslog-Server für Windows.<br />
Mike Hartmann<br />
16 www.<strong>TecChannel</strong>.de<br />
Mike Hartmann leitet das Ressort Software und <strong>Netzwerk</strong>e bei <strong>TecChannel</strong>. Seit<br />
seinem Studium der Informatik beschäftigt er sich intensiv mit kleinen und großen<br />
<strong>Netzwerk</strong>en. Daneben gehört seit Anbeginn sein Interesse Sicherheitsfragen. Seine<br />
journalistische Laufbahn startete er Mitte der 90er Jahre bei der PC Professionell.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Sicheren Gastzugang für LAN und WLAN realisieren 1768961 S.10<br />
Firewall-Grundlagen 401639 –<br />
IPCop – Die Profi -Linux-Firewall-Distribution 433444 –<br />
So funktionieren TCP/IP und IPv6 401211 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
1.2 Aus der Ferne an den Server –<br />
VNC-Verbindungen schützen<br />
Wie ist man eigentlich vor VNC mit der Administration von mehr als einem Server<br />
klargekommen? Das praktische Tool ist ideal, wenn man wenig Platz und viele<br />
Computer hat oder aus der Ferne Support leisten muss. In puncto Sicherheit ist<br />
VNC allerdings eher schwach bestückt. Doch Ableger des Original-VNC und Zusatztools<br />
schließen auch diese Lücke.<br />
Als die ersten Programme zur Fernsteuerung von Computern aufkamen, ging es<br />
meist um den halbwegs schnellen Zugriff auf den eigenen Rechner über quälend<br />
langsame Telefonleitungen und analoge Modems mit 9600 Bit pro Sekunde. Das<br />
war die Geburtsstunde von Programmen wie PC Anywhere, Carbon Copy oder<br />
Remotely-Anywhere. Mittlerweile bringt jede Windows-Version mit dem Remote-Desktop<br />
eine eigene Möglichkeit für diese Form des Zugangs mit. Allerdings ist<br />
die Basis des Remote Desktop – das RDP-Protokoll – nur sehr rudimentär implementiert<br />
und muss bei Cross-Plattform-Einsätzen ohnehin passen.<br />
Unentbehrlich:<br />
Der Zugriff per<br />
Remote Desktop<br />
ist eines der<br />
wichtigsten Tools,<br />
nicht nur für Support-Mitarbeiter.<br />
Doch zum Glück gibt es VNC. VNC steht für Virtual Network Computing und<br />
wurde von Mitarbeitern eines AT&T Labors (heute Olivetti & Oracle Research Laboratory)<br />
entwickelt. VNC arbeitet mit einem RFB genannten Protokoll ( Remote<br />
Framebuffer), das vollkommen unabhängig von Betriebssystem, Window-Manager<br />
und Anwendung eingesetzt werden kann. So gibt es mittlerweile Client-Implementationen<br />
für alle Windows-Varianten einschließlich Windows Mobile, verschiedene<br />
Unix- und Linux-Derivate, Palm OS, Netware, Mac OS, Java, DOS,<br />
OS/2, RiscOS und BeOS. Server sind für Unix, Windows, Netware, Symbian und<br />
Mac OS verfügbar. Auch wenn die Implementationen von verschiedenen Quellen<br />
stammen, so ist, zumindest wenn es um die Basisfunktion geht, durch die Verwendung<br />
von RFB das problemlose Zusammenspiel zwischen Client- und Server-<br />
Software sichergestellt, egal unter welchem Betriebssystem.<br />
webcode: 1770145 17
1. <strong>Netzwerk</strong>-Praxis<br />
Der VNC-Server leitet die Ausgabe des Displays auf einen TCP-Port weiter, per<br />
Default ist das 5900. Dort werden die Display-Daten vom Client abgeholt und die<br />
Maus- und Tastatureingaben weitergeleitet. Ebenfalls möglich ist die Verwendung<br />
eines Browsers als Client. Standardmäßig halten VNC-Server den Port 5800 für<br />
solche Anfragen offen, er kann jedoch ebenfalls frei gewählt werden.<br />
1.2.1 Variationen eines Themas<br />
Das ursprüngliche VNC wird auch heute noch als RealVNC bezeichnet und ist unter<br />
www.realvnc.com zu fi nden. Lange Zeit war es still um die „Mutter des VNC“<br />
– seit 2002 gibt es auch einen kommerziellen Ableger, der das Projekt weiterführt<br />
und neben den kostenpfl ichtigen auch eine, stark funktionsbeschränkte, kostenlose<br />
Version anbietet. Aktuell ist die Version 4.4. Doch in der Ruhepause waren andere<br />
Entwickler nicht untätig und haben zahlreiche eigene Versionen von VNC<br />
entwickelt. Ein paar Dutzend eigenständige oder auf dem ursprünglichen VNC<br />
basierende Variationen sind im Internet zu fi nden. Viele Administratoren schwören<br />
auf die eine oder die andere Implementation, zum Teil ist das Geschmacksache,<br />
es gibt allerdings auch deutliche Unterschiede im Funktionsumfang der Produkte.<br />
In jedem Fall sind Varianten mit einer aktiven Entwicklergemeinde sowie<br />
regelmäßigen Releases und Patches für den professionellen Einsatz sinnvoll. Nur<br />
so ist sichergestellt, dass Sicherheitslücken schnell und kompetent behoben werden.<br />
Zwei der wichtigsten VNC-Ableger sind TightVNC und UltraVNC.<br />
1.2.2 TightVNC und UltraVNC<br />
TightVNC (www.tightvnc.com) wird aktiv weiterentwickelt, es ist voll kompatibel<br />
mit dem originalen VNC und beinhaltet auch eine einfache Funktion für den Dateitransfer<br />
zwischen Server und Client. Besonderer Clou ist eine Encoding-Variante<br />
der übertragenen Grafi kdaten. Das „Tight“ Encoding ist speziell für langsame<br />
Verbindungen ausgelegt und macht das Arbeiten mit der Software selbst über<br />
ISDN-Leitungen sehr komfortabel. TightVNC gibt es für alle Desktop- und Server-Plattformen<br />
von Windows sowie für Linux und Unix. Eine reine Java-Implementation<br />
des Viewers ist ebenfalls erhältlich. TightVNC enthält auch einen sogenannten<br />
Mirror-Driver für die 32-Bit-Windows-Betriebssysteme, der die<br />
Bildschirmwiedergabe beschleunigt.<br />
Auch UltraVNC (www.uvnc.com) ist vollständig mit dem Original kompatibel.<br />
Diese Variante gibt es jedoch nur für Windows. Sie bietet Authentifi zierung sowohl<br />
über ein Passwort als auch über die NT-Domäne oder den Active-Directory-<br />
Verzeichnisdienst. Wie bei TightVNC sind unterschiedliche Zugriffsstufen, Viewer-Only<br />
und Vollzugriff möglich. Auch hier sorgt ein spezieller Grafi ktreiber für<br />
schnelle Bildschirm-Updates. Dazu kann man noch Chat-Fenster zwischen Host<br />
und Client aufbauen und Dateien zwischen den beiden PCs transferieren.<br />
18 www.<strong>TecChannel</strong>.de
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
Mittlerweile ist UltraVNC auch mit den entsprechenden Anpassungen für Vista<br />
versehen worden, sodass der Bildschirmaufbau auch für Microsofts neuestes<br />
Desktop-Betriebssystem beschleunigt und UAC unterstützt wird.<br />
Eigener Treiber: Zur<br />
Beschleunigung der<br />
Applikation verwenden<br />
TightVNC und UltraV-<br />
NC eigene Treiber,<br />
nicht unbedingt zur<br />
Freude von Windows.<br />
Allerdings ist es um die Sicherheit nach der Passworteingabe schlecht bestellt. Diese<br />
übermittelt einen, mit einer Challenge/Response-Abfrage geschützten und per<br />
DES verschlüsselten, String. Während das Passwort noch verschlüsselt wird, wandern<br />
die folgenden Daten im Klartext über das <strong>Netzwerk</strong>, wo sie problemlos mitgeschnitten<br />
werden können. Um diesem Problem abzuhelfen, gibt es generell zwei<br />
Möglichkeiten. Die erste ist, ein VNC-Produkt zu verwenden, das eine Form der<br />
Verschlüsselung als Zusatzoption anbietet. Dazu gehören VeNCrypt, PowerVNC<br />
und UltraVNC. Die zweite Möglichkeit ist, einen sicheren Tunnel zwischen Host<br />
und Client aufzubauen und die VNC-Daten darüber zu schicken. Die bekanntesten<br />
Tools dafür sind SSH und ZeBeDee.<br />
1.2.3 Grundinstallation<br />
Unter Windows ähnelt sich die Installation aller VNC-Varianten und ist so simpel,<br />
dass eigentlich jede Anleitung überfl üssig ist. In puncto Sicherheit sollte man<br />
jedoch ein paar Details beachten: Diese drehen sich vor allem um den Schutz vor<br />
unbefugter Nutzung durch Dritte. Server und Client sind getrennt verfügbar, und<br />
sollten auch nur jeweils dort installiert werden, wo sie unbedingt benötigt werden.<br />
Beim Einsatz für Remote-Support hat der Viewer beispielsweise auf Arbeitsplätzen<br />
nichts verloren, der Server gehört nicht auf die hoch privilegierten Workstations<br />
der Administratoren. Meist kann auch festgelegt werden, ob der Server als Dienst<br />
oder als Anwendung laufen soll.<br />
webcode: 1770145 19
1. <strong>Netzwerk</strong>-Praxis<br />
Selektiv: Nicht jede Komponente gehört auf jedes System.<br />
Geht es darum, Computer im lokalen Netz dauerhaft für die Administration bereit<br />
zu machen, ist der Einsatz als Service empfehlenswert. Damit startet der Server bei<br />
jedem Booten automatisch und wartet auf Verbindungen. Wenn es nur um gelegentlichen<br />
Support bei Benutzern geht, möglicherweise in einer externen Firma,<br />
dann ist der Applikationsmodus die bessere Wahl. So ist das Einfallstor VNC per<br />
Default geschlossen – eine Session erfordert das aktive Mitwirken des Benutzers<br />
vor dem Arbeitsplatz.<br />
Windows-Dienst: Mitunter kann es sinnvoll sein, den VNC-Host als Windows-Dienst einzurichten.<br />
Zusätzlich sind über das Optionsmenü verschiedene Einstellungen, ebenfalls je<br />
nach VNC-Variante, möglich, die den Zugriff weiter einschränken. Beispielsweise<br />
kann man ein Fenster einblenden lassen, das den Benutzer um Erlaubnis für den<br />
Zugriff bittet und bei fehlender Bestätigung abbricht. Wie mit den meisten manuellen<br />
Sicherheitsvorkehrungen kann so etwas bei einem Fehler aber auch schnell<br />
dazu führen, dass das Remote-Troubleshooting scheitert.<br />
20 www.<strong>TecChannel</strong>.de
1.2.4 Verschlüsselung<br />
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
Da ist es doch besser, auf Verschlüsselung und Key-Dateien zu setzen, wie es UltraVNC<br />
anbietet: Diese VNC-Variante kann Verbindungen über sogenannte DSM-<br />
Plug-ins ( Data Stream Modifi cation) verschlüsseln. Es gibt zurzeit drei Varianten,<br />
die sicherste ist eine Implementation von AES mit 128 Bit Schlüssellänge. Der Host<br />
kann ein Key-File lesen und mit dem Key-File des Viewers vergleichen, es ist aber<br />
nicht unbedingt notwendig. Sobald das AES-Plug-in auf beiden Seiten eingesetzt<br />
wird, verschlüsselt es die Verbindung. Die Authentifi zierung läuft dann nur über<br />
das VNC-Passwort.<br />
Plug-in aktivieren: Sobald<br />
das Plug-in im Programmverzeichnis<br />
von UltraVNC liegt,<br />
kann es aktiviert werden.<br />
Für die Nutzung der Plug-ins lädt man die gepackte Datei des gewünschten Plugins<br />
herunter und extrahiert die Dateien in das UltraVNC-Programmverzeichnis,<br />
in der Regel in C:\Programme\UltraVNC. Im Prinzip reicht die Datei mit der Endung<br />
„.dsm“, die anderen Files dienen nur der Information. Die „.dsm“-Datei<br />
muss sowohl auf dem Host als auch auf dem Client in das Verzeichnis kopiert<br />
werden. Wer jetzt in den Admin-Optionen auf das Auswahlfeld für das DSM-<br />
Plug-in unten links geht, fi ndet in der Liste das neu installierte Modul und kann es<br />
per Mausklick freischalten. Auf dem Server ist ein Restart von UltraVNC nötig,<br />
bevor die Änderung akzeptiert wird. Wählt man auch beim Client in den Optionen<br />
das Modul aus, ist schon die nächste Verbindung verschlüsselt. Allerdings ist<br />
mit diesem Verfahren die Passwortabfrage die einzige Barriere gegen unberechtigten<br />
Zugriff, schließlich kann auch ein Angreifer das DSM-Modul herunterladen<br />
und installieren. Darum sollten Sie auch passende Key-Dateien auf beiden Seiten<br />
nutzen, um die Authentifi zierung zu stärken.<br />
webcode: 1770145 21
1. <strong>Netzwerk</strong>-Praxis<br />
1.2.5 Eigenen Schlüssel erzeugen<br />
Um einen Schlüssel zu erzeugen, öffnen Sie den UltraVNC-Client und klicken auf<br />
den Button „Confi g“ neben dem ausgewählten DSM-Modul. Der Suchdialog nach<br />
einer passenden Key-Datei wird angezeigt – tragen Sie einen Dateipfad und den<br />
Namen der Key-Datei (wie vorgeschlagen, allerdings ohne das vorangestellte<br />
„new_“) in das Feld ganz unten ein. Der Pfad ist nicht unwichtig, so liegt das File<br />
dort, wo es hingehört, und Sie müssen es nicht suchen. Ein weiterer Klick auf den<br />
Button „Gen Key“ reicht – die Key-Datei ist fertig. Diese muss ebenfalls in das<br />
Programmverzeichnis von UltraVNC kopiert werden und zwar auf der Client-<br />
und auf der Host-Seite!<br />
22 www.<strong>TecChannel</strong>.de<br />
Schlüssel erzeugen: Bei der<br />
Schlüsselerzeugung unbedingt<br />
auf den richtigen Dateinamen<br />
achten.<br />
Es sind zwar noch weitere Stellen im Dateisystem von Windows möglich, an denen<br />
UltraVNC die Datei fi ndet, aber im Programmverzeichnis ist es am besten<br />
aufgehoben. Wenn Sie nun im Client oder auf dem Host den „Confi g“-Button für<br />
das DSM-Modul in den Admin-Optionen wählen, müsste im Ausgabefenster die<br />
Meldung „KEY FILE FOUND“ und „Using Key File“ erscheinen.<br />
Geschafft: Jetzt nur noch den<br />
Schlüssel auf Server und Client<br />
kopieren.<br />
Eine Verbindung kommt ab jetzt nur noch zustande, wenn beide Computer über<br />
ein identisches Key-File verfügen. UltraVNC zeigt die korrekte Verschlüsselung<br />
während einer Session in der oberen Fensterleiste und bei den Verbindungsoptionen<br />
an. Im Test funktionierten auch Verbindungen zwischen unterschiedlichen<br />
UltraVNC-Versionen, solange sie zumindest neuer als 1.0 waren.
Verschlüsselt: Ab jetzt kann niemand mehr mitlauschen.<br />
1.2.6 Einfach mit SSH<br />
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
Wer mit anderen VNC-Varianten arbeiten oder weitere Anwendungen schützen<br />
möchte, ist auf die Trennung von Sicherheit und Applikation angewiesen. Der<br />
grundsätzliche Vorgang der sicheren Tunnelung ist immer gleich:<br />
Ein Teil der Tunnel-Software nimmt auf dem Client die Daten vom VNC-Client<br />
entgegen und schickt sie an den anderen PC. Dort werden sie von der Gegenstelle<br />
der Tunnel-Software angenommen und an den VNC-Host weitergereicht. Der<br />
Tunnel selbst ist verschlüsselt, und die Daten liegen nur im Arbeitsspeicher der<br />
beiden PCs im Klartext vor.<br />
Wichtiger Hinweis: Per Default sind in den Admin-Optionen von VNC die sogenannten Loopback<br />
Connections abgeschaltet, Verbindungen mit localhost also verboten. Weil VNC bei Verwendung<br />
eines Tunnels die Daten nur an den localhost übergibt, müssen Sie auf dem Host die Option Loopback<br />
Connections erlauben.<br />
Der Königsweg für den Tunnel zwischen Server und Client ist der Einsatz von SSH<br />
(Secure Shell). SSH ist für die Anwendung völlig transparent – die Anwendung,<br />
egal ob VNC, Telnet, FTP oder etwas anderes, kommuniziert mit ihren Gegenstellen<br />
abgeschottet in einem verschlüsselten Tunnel. Ein Authentisierungsmechanismus<br />
kann dafür sorgen, dass sich, ähnlich wie bei den DSM-Modulen von Ultra-<br />
VNC, kein Rechner im Internet erfolgreich als ein anderer ausgeben kann.<br />
webcode: 1770145 23
1. <strong>Netzwerk</strong>-Praxis<br />
Weder beim Aufbau noch bei der Nutzung einer Verbindung überträgt Secure<br />
Shell Daten unverschlüsselt. Hierbei sorgt ein asymmetrisches Verschlüsselungsverfahren<br />
für die Geheimhaltung der verwendeten Schlüssel. Das kann allerdings<br />
kräftigen Konfi gurations- und Lernaufwand erfordern, je nachdem wie sicher die<br />
Verbindung ausgestaltet werden soll. Einfacher machen es vorgefertigte SSH-<br />
Komponenten, die ohne viel Konfi guration auskommen.<br />
1.2.7 SSH-Komponenten für VNC<br />
Ein Programm für diesen Zweck ist SSHVNC (freshmeat.net/projects/sshvnc/).<br />
Die Software übernimmt den Client-Part der SSH-Verschlüsselung und enthält einer<br />
VNC-Viewer, sodass man darüber direkt mit einem Server kommunizieren<br />
kann. Zusätzlich sind verschlüsselte Telnet-, FTP- und Remote-Shell-Sessions<br />
möglich. Im Prinzip handelt es sich dabei um eine Kombination des TightVNC-<br />
Viewers mit dem VNC-Modul der SSHTools (sourceforge.net/projects/sshtools).<br />
SSH eingebaut: SSHVNC hat die notwendigen Komponenten für den SSH-Zugang gleich eingebaut.<br />
Der Nachteil: SSHVNC liegt seit vier Jahren in Version 0.1.3 vor. Die Software<br />
funktioniert zwar, wird aber augenscheinlich nicht mehr gepfl egt und weiterentwickelt.<br />
Auf dem Client verlangt SSHVNC lediglich die IP-Adresse oder den Host-<br />
Namen des Servers sowie einen Benutzernamen für SSH. Das Tool baut eine Verbindung<br />
auf, fragt nacheinander das Passwort für SSH und VNC ab und startet<br />
eine VNC-Session.<br />
Fehlt nur noch der SSH-Server auf dem Host. Bei Linux und Unix ist der Anwender<br />
fein raus, hier gehört ein SSH-Server zur Grundausstattung, er ist in allen aktuellen<br />
Linux-Distributionen enthalten. Bei Windows konnte man lange Zeit nur<br />
auf kommerzielle und damit kostenpfl ichtige Angebote oder OpenSSH/CopSSH<br />
(Webcode 401973) zurückgreifen. OpenSSH ist zwar eine sehr leistungsfähige Lösung,<br />
doch die Konfi guration stellt den Administrator vor einige Hürden.<br />
24 www.<strong>TecChannel</strong>.de
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
Mittlerweile gibt es jedoch eine einfachere Alternative: FreeSSHd. Die Software ist<br />
schnell installiert, einfach einzurichten und kostenlos, ideal für den schnellen und<br />
sicheren VNC-Zugang. Sie kann entweder automatisch beim Start von Windows<br />
mitgeladen oder nur auf Wunsch aus dem Programme-Menü aufgerufen werden.<br />
Neben SSH sind auch ein sFTP- und ein Telnet-Server integriert.<br />
SSH für Windows:<br />
FreeSSHd bietet einen<br />
SSH-Server ohne den<br />
Cygwin-Umweg.<br />
Wer es ganz schnell und simpel haben will, kann die eingebaute Benutzerverwaltung<br />
von FreeSSHd nutzen oder sich über die Windows-User-Datenbank authentifi<br />
zieren. Für SSH wird auch ein Public-Key unterstützt.<br />
1.2.8 Alles mit SSH<br />
Wenn der SSH-Server ohnehin schon steht, ist der Schritt zum kompletten Tunnel<br />
nicht weit. Ganz ohne vorgefertigte Hilfsmittel kommt man mit einem SSH-<br />
Client aus, über den die VNC-Daten getunnelt werden. Am bekanntesten in der<br />
Windows-Welt ist PuTTy. Auch hier ist die Installation ein Kinderspiel, und wer<br />
auf Public-Keys zur Authentifi zierung verzichtet, muss auch bei der Konfi guration<br />
nur zwei Einträge beachten. Zunächst den Namen oder die IP-Adresse des<br />
VNC-Hosts und dann die eigentliche Port-Weiterleitung. Die fi ndet sich im Abschnitt<br />
SSH unter Tunnel. Im Feld Source-Port wählen Sie einen beliebigen freien<br />
Port des lokalen Rechners. Dort nimmt PuTTy die VNC-Daten des Viewers entgegen<br />
und schickt sie dann – Eintrag Destination – an den Host-Namen oder die IP-<br />
Adresse und den VNC-Port des Hosts. Per Default liegt VNC immer auf Port<br />
webcode: 1770145 25
1. <strong>Netzwerk</strong>-Praxis<br />
5900, darum ist Host-seitig keine weitere Konfi guration nötig. Der Ablauf sieht<br />
nun so aus: Zuerst etablieren Sie den SSH-Tunnel, indem Sie die Verbindung über<br />
PuTTy per Open aufbauen. Bei der Passwort-Authentifi zierung öffnet sich nun<br />
ein Fenster, das Benutzername und Passwort abfragt.<br />
Danach meldet sich der SSH-Server mit seiner Begrüßungsmeldung. Nun starten<br />
Sie den VNC-Viewer. Er soll in unserem Beispiel über Port 5500 kommunizieren,<br />
darum wird im Adressfeld des Viewers der eigene PC mit dem Eintrag localhost::5500<br />
kontaktiert. Wichtig sind die beiden Doppelpunkte in der Mitte. Die<br />
Daten laufen jetzt zum lokalen Port 5500, werden von PuTTy entgegengenommen,<br />
verschlüsselt und auf Port 22 zum Host übertragen. Dort nimmt sie der<br />
SSH-Server in Empfang, entschlüsselt sie und gibt sie, wie in PuTTy konfi guriert,<br />
an den wartenden VNC-Host auf Port 5900 weiter.<br />
26 www.<strong>TecChannel</strong>.de<br />
PuTTy: Der Windows-Client<br />
PuTTy lässt sich schnell<br />
einsetzen.<br />
Klappt alles, will VNC nun das Passwort zur Anmeldung haben. Das Tunneling<br />
mit SSH funktioniert auch, wenn man die DSM-Module von UltraVNC einsetzt,<br />
doppelt gemoppelt also.<br />
1.2.9 ZeBeDee – einfacher als SSH<br />
Noch einfacher und unkomplizierter lässt sich dieselbe Aufgabe mit ZeBeDee<br />
(www.winton.org.uk/zebedee/) absolvieren. Der Name kommt von Zlib Compression,<br />
Blowfi sh Encryption und Diffi e-Hellman Schlüsselverwaltung. Das Tool
Aus der Ferne an den Server – VNC-Verbindungen schützen<br />
ähnelt SSH in vielen Belangen. Es baut einen Tunnel zwischen Client und Server<br />
auf und sichert diesen durch starke Verschlüsselung. ZeeBeDee unterstützt zudem<br />
das Tunneling von UDP-Paketen.<br />
Weil der Autor Wert auf besonders einfache Handhabung gelegt hat, ist ein ZeBe-<br />
Dee-Tunnel fast ohne Konfi guration aufsetzbar. Gerade diese Eigenschaft macht<br />
ZeBeDee interessant für Administratoren, die ihre VNC-Verbindung ohne großen<br />
Aufwand sichern wollen. Dazu laden Sie einfach die Datei herunter und entpacken<br />
sie in ein Verzeichnis auf Client und Host. ZeBeDee ist ein reines Kommandozeilen-Tool,<br />
das eine ganze Menge kann. Wer sich dafür interessiert, fi ndet auf<br />
www.winton.org.uk/zebedee/manual.html die ausführliche, englische Beschreibung.<br />
Auf die Schnelle etabliert man einen VNC-Tunnel jedoch so:<br />
Auf dem Host starten Sie die ausführbare Datei zebedee.exe in einem DOS-Fenster<br />
mit dem Parameter -s: zebedee.exe -s. Das Fenster lassen Sie offen, ZeBe-<br />
Dee wartet im Hintergrund auf eine Verbindung. Am Client öffnen Sie ebenfalls<br />
ein DOS-Fenster und starten zebedee.exe mit den Parametern localport:ip-adresseoder-hostname:remoteport.<br />
Um beim Beispiel von SSH zu bleiben: zebedee.exe<br />
5500:193.175.100.201:5900. Nun können Sie den VNC-Viewer starten und<br />
analog zum SSH-Beispiel die Adresse localhost::5500 eingeben.<br />
1.2.10 Fazit<br />
Für kleine Firmen, die VNC ausschließlich im LAN benutzen, reichen die Authentifi<br />
zierung per Passwort und dessen DES-Verschlüsselung in der Regel aus. Doch<br />
erst zusätzliche Sicherheitsmaßnahmen wie das Tunneling über SSH oder Zebe-<br />
Dee machen aus dem Tool eine rundum praxistaugliche Anwendung, die auch<br />
über das Internet sicher einsetzbar ist – etwa um Außenstellenmitarbeitern Support<br />
per Remote Desktop zu geben.<br />
Elmar Török<br />
Elmar Török arbeitet seit 1993 als Autor und Fachjournalist im Bereich <strong>Netzwerk</strong>e und Telekommunikation.<br />
Mittlerweile hat er neben zwei Büchern einige Hundert Artikel für zahlreiche Medien – online wie<br />
offl ine – geschrieben, darunter PC Professionell, LANline, c‘t, IT-Administrator, sueddeutsche.de und<br />
<strong>TecChannel</strong>.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Aus der Ferne an den Server – VNC-Verbindungen schützen 1770145 S.17<br />
Die besten <strong>Netzwerk</strong>-Tools für kleine und mittlere Windows-LANs 461560 –<br />
SSH statt VPN - sicher und kostenlos Daten austauschen 1770145 –<br />
Tipps zur Wahl der richtigen VPN-Technik 1737650 –<br />
webcode: 1770145 27
1. <strong>Netzwerk</strong>-Praxis<br />
1.3 Shell Scripting im <strong>Netzwerk</strong><br />
Mit Scripts lassen sich Arbeiten im <strong>Netzwerk</strong> vereinfachen und automatisieren. Im<br />
vierten Teil unserer Serie „ Shell Scripting unter Windows 2003“ stellen wir Ihnen<br />
Scripte rund um den Einsatz im <strong>Netzwerk</strong> vor.<br />
Unter Linux sind Scripte der Alltag, mittlerweile holt auch die Windows-Fraktion<br />
auf. Spätestens, seit Microsoft die Power Shell eingeführt hat, sind auch unter Windows<br />
komplexe und hilfreiche Scripte möglich. In diesem Artikel stellen wir Ihnen<br />
Scripte für den Einsatz im <strong>Netzwerk</strong> vor.<br />
Die anderen Teile dieser Serie fi nden Sie online auf <strong>TecChannel</strong>.de. Jeder einzelne<br />
Artikel behandelt ein anderes Themengebiet, vertreten sind die Bereiche Allgemeinen<br />
Problemstellung (Webcode 1761680), Datei- und Systemverwaltung (Webcode<br />
1761681) sowie ActiveDirectory (Webcode 1761685).<br />
1.3.1 Domain Controller fi nden<br />
Das folgende Script kann als Test verwendet werden, ob die DNS-Einträge für den<br />
Beitritt zu einer Domäne richtig konfi guriert sind. Alternativ lässt sich damit auch<br />
einfach ein Domain Controller für die angegebene Domain fi nden.<br />
Parameter<br />
Code<br />
%1 = DNS-Name der Domain<br />
@echo off<br />
:: haben wir einen parameter?<br />
if x%1 == x (echo Bitte DNS-Namen der Domain angeben.) &<br />
➥ goto :eof<br />
:: DNS-Abfrage nach dem service record und suche der hosts<br />
:: ACHTUNG! Das folgende Kommmando ist eine logische Zeile!<br />
nslookup -type=SRV _ldap._tcp.dc._msdcs.%1 2> nul | fi nd<br />
➥ "hostname" > %temp%\dclist.txt<br />
:: nichts gefunden? dann fehlermeldung ausgeben<br />
if errorlevel 1 (echo Kein DC fuer %1 gefunden.) & goto :eof<br />
:: verarbeiten der liste der domain controller<br />
call :process %temp%\dclist.txt<br />
if defi ned DCNAME echo Domain Controller fuer %1: %DCNAME%<br />
:: shell script beenden<br />
goto :eof<br />
28 www.<strong>TecChannel</strong>.de
Shell Scripting im <strong>Netzwerk</strong><br />
:: verarbeiten der liste der domain controller<br />
:process<br />
set DCNAME=<br />
if not exist %1 (echo Datei %1 existiert nicht) & goto :eof<br />
if %~z1 == 0 (echo Datei %1 ist leer) & goto :eof<br />
for /F „delims== tokens=2“ %%f in (%1) do @set DCNAME=%%f<br />
set DCNAME=%DCNAME: =%<br />
del %temp%\dclist.txt<br />
goto :eof<br />
Funktion<br />
Zu Beginn wird geprüft, ob überhaupt ein Domänenname angegeben wurde. Falls<br />
nicht, wird eine entsprechende Meldung ausgegeben und der Batch beendet.<br />
Danach folgt der Kern des Shell Scripts. Über einen Aufruf von nslookup wird<br />
nach den DNS Service-Records für den Eintrag der Domain Controller gesucht.<br />
Dazu wird über die Option -type der Abfragetyp auf SRV-Einträge umgestellt<br />
und dann nach dem LDAP-Eintrag auf TCP-Basis für den Namen der Domäne<br />
gesucht. Falls der DNS-Server einen Eintrag fi ndet, liefert nslookup die unten<br />
stehende Ausgabe (hier am Beispiel der Demo-Domain shellbook.local).<br />
C:\tmp>nslookup -type=SRV _ldap._tcp.dc._<br />
➥ msdcs.shellbook.local<br />
Server: localhost<br />
Address: 127.0.0.1<br />
_ldap._tcp.dc._msdcs.shellbook.local SRV service location:<br />
priority = 0<br />
weight = 100<br />
port = 389<br />
svr hostname = silicony.shellbook.local<br />
silicony.shellbook.local internet address = 192.168.229.11<br />
C:\tmp><br />
Wir sind nur an der Zeile interessiert, die mit „scr hostname“ beginnt. Hier fi ndet<br />
sich der DNS-Name des jeweiligen Domain Controllers. Um diese Information<br />
für die spätere Verarbeitung zu speichern, wird die Ausgabe in eine Datei umgeleitet.<br />
Dazu dient der Teil hinter nslookup.<br />
2> nul | fi nd "hostname" > %temp%\dclist.txt<br />
Die Fehlerausgabe (falls kein DNS-Eintrag gefunden wird, geht das berüchtigte<br />
„non-existant domain“ statt nach StdErr ins Null-Device) wird ignoriert.<br />
Die Ausgabe für StdOut wird per Piping an fi nd übergeben, das nach dem String<br />
hostname sucht. Sollten bei der Abfrage mehrere Domain Controller gefunden<br />
werden, enthält die Datei dclist.txt nach der Ausführung mehr als eine Zeile.<br />
Wir verwenden dann den letzten gefundenen Eintrag (mehr dazu weiter unten).<br />
webcode: 1761686 29
1. <strong>Netzwerk</strong>-Praxis<br />
Jetzt wird der durch fi nd erzeugte Errorlevel geprüft und bei einem Inhalt ungleich<br />
0 eine Meldung ausgegeben, dass kein Domain Controller gefunden wurde.<br />
Verarbeitung der Ergebnisdatei<br />
Im Anschluss folgt die Verarbeitung der Ergebnisdatei. Um hier auch eine Prüfung<br />
auf leere Dateien und andere mögliche Probleme zu ermöglichen, wird nicht direkt<br />
mit dem Lesen der Datei begonnen, sondern über das Kommando call eine<br />
interne Sprungmarke aufgerufen, die als ersten Parameter den Namen der Ergebnisdatei<br />
erhält. Damit Sie nicht zurückblättern müssen, hier nochmals der Teil des<br />
Scripts, der die Verarbeitung der Ergebnisdatei übernimmt.<br />
:: verarbeiten der liste der domain controller<br />
:process<br />
set DCNAME=<br />
if not exist %1 (echo Datei %1 existiert nicht) & goto<br />
:eof<br />
if %~z1 == 0 (echo Datei %1 ist leer) & goto :eof<br />
for /F "delims== tokens=2" %%f in (%1) do @set<br />
DCNAME=%%f<br />
set DCNAME=%DCNAME: =%<br />
del %temp%\dclist.txt<br />
goto :eof<br />
Zuerst wird die Umgebungsvariable DCNAME geleert (falls Sie einen anderen Namen<br />
bevorzugen, verwenden Sie ihn einfach, dann aber überall im Batch). Jetzt<br />
wird sicherheitshalber geprüft, ob die angegebene Datei überhaupt existiert. Danach<br />
folgt ein Test, ob die Datei leer ist oder nicht, indem die Dateigröße auf 0<br />
Byte getestet wird.<br />
Nun wird in einer for-Schleife jede Zeile der Datei gelesen. Als Trennzeichen wird<br />
das Gleichheitszeichen defi niert, und wir lesen das zweite Token (dies ist der Teil<br />
nach dem „=“ mit dem Hostnamen). Dieses Token wird per set in der Variablen<br />
DCNAME gespeichert. Diese Schleife ist auch der Grund, warum bei mehr als einem<br />
Domain Controller immer der letzte verwendet wird. Jeder Durchlauf überschreibt<br />
den vorherigen Inhalt der Umgebungsvariablen. Als kleine Übung können<br />
Sie das Shell Script so umbauen, dass nach der ersten erfolgreichen Zuweisung<br />
die Schleife die Variable nicht mehr belegt. Als Übung für Fortgeschrittene<br />
sollten Sie versuchen, die Schleife so zu ändern, dass bei mehr als einem Domain<br />
Controller alle Hostnamen durch Leerzeichen getrennt in der Variablen DCNAME<br />
enthalten sind.<br />
Nach der for-Schleife werden noch alle eventuell vorhandenen Leerzeichen in<br />
der Variablen entfernt, sodass nur der Hostname übrig bleibt. Die nun nicht mehr<br />
benötigte Datei wird gelöscht, damit folgen das Beenden des Aufrufs und die<br />
Rückkehr zum Hauptbatch.<br />
Wie Sie sehen, ist der Aufwand auch für Aufgabenstellungen, die normalerweise<br />
gleich an VBScript und LDAP denken lassen, mit der Shell nicht sehr groß und<br />
30 www.<strong>TecChannel</strong>.de
Shell Scripting im <strong>Netzwerk</strong><br />
auch für Nichtprogrammierer lösbar. Gerade im Bereich <strong>Netzwerk</strong> bietet die Shell<br />
mittlerweile von dnscmd über nslookup und bis zu netsh alle Möglichkeiten,<br />
die ein Administrator benötigt.<br />
1.3.2 <strong>Netzwerk</strong>adresse berechnen<br />
Dieses Script ist aus reiner Faulheit entstanden. In diesem Fall benötigten wir für<br />
eine IP-Adresse im Dialogfeld der TCP/IP-Eigenschaften schnell den <strong>Netzwerk</strong>anteil.<br />
Leider fi nden sich im Dialogfeld nur die IP-Adresse und die Subnet-Maske.<br />
Dieses Script nimmt Ihnen in Zukunft die Rechnerei ab und ist gleichzeitig ein<br />
gutes Beispiel für den sinnvollen Einsatz von set /a.<br />
Parameter<br />
%1 = IP-Adresse in dezimaler Punktnotation<br />
%2 = Subnetzmaske in dezimaler Punktnotation<br />
Code (Berechnung der Netzadresse aus IP und Subnetmask)<br />
@echo off<br />
if !%1 == ! goto noparm<br />
if !%2 == ! goto noparm<br />
setlocal<br />
:: das for-Kommando ist eine Zeile!<br />
for /F "delims=. tokens=1,2,3,4" %%f in („%1“) do for /F<br />
"delims=. tokens=1,2,3,4" %%m in ("%2") do call :doByte<br />
%%f %%g %%h %%i %%m %%n %%o %%p<br />
::<br />
goto :eof<br />
:noparm<br />
echo Calculate network address from ip and subnet mask<br />
echo.<br />
echo Usage: %0 [ipaddr] [netmask]<br />
echo.<br />
echo Either [ipaddr] or [netmask] is missing ....<br />
goto :eof<br />
:doByte<br />
set /A byte="%1 & %5"<br />
set net=%byte%<br />
set /A byte="%2 & %6"<br />
set net=%net%.%byte%<br />
set /A byte="%3 & %7"<br />
set net=%net%.%byte%<br />
set /A byte="%4 & %8"<br />
set net=%net%.%byte%<br />
webcode: 1761686 31
1. <strong>Netzwerk</strong>-Praxis<br />
echo Network address = %net%<br />
endlocal<br />
Funktion<br />
Aufruf beispielsweise mit getnetwork.bat72.31.168.10 255.255.240.0<br />
Die Ausgabe Network address = 172.31.160.0 liefert dann die <strong>Netzwerk</strong>adresse<br />
für eine bestimmte IP anhand der Subnetmaske.<br />
Die Funktion des Scripts selbst ist eigentlich nur eine einzige Demonstration der<br />
Nutzung von set für die Arbeit mit Bitoperatoren. Dazu werden die beiden Parameter<br />
anhand des Trennzeichens „.“ mit zwei for-Schleifen in die einzelnen Bytes<br />
aufgeteilt. Diese werden dann ab der Sprungmarke :doByte logisch UND-verknüpft,<br />
um die <strong>Netzwerk</strong>adresse zu erhalten.<br />
1.3.3 GetMAC für NT4 und W2K<br />
Ab Windows Server 2003 steht das Kommando getmac zur Verfügung, mit dessen<br />
Hilfe die Mac-Adresse des lokalen Computers ausgegeben werden kann. Diese<br />
Funktionalität soll auch unter Windows 2000 und XP bereitstehen. Die Mac-<br />
Adresse ist durch ipconfi g /all bereits seit Windows 2000 verfügbar. Aus der<br />
entsprechenden Zeile in der Ausgabe muss nun der Wert extrahiert werden. Danach<br />
ist die Ausgabe so zu fi ltern, dass auch nur Zeilen mit einer Ethernetadresse<br />
ausgegeben werden. Sind mehrere Adapter im System verfügbar, soll die Mac-<br />
Adresse für alle Adapter ausgegeben werden. Geben Sie das unten stehende Kommando<br />
ein. Sie erhalten dann eine Ausgabe mit allen defi nierten Mac-Adressen.<br />
ipconfi g /all | fi nd /i „phys“<br />
Das Problem an dieser Ausgabe liegt aber darin, dass Sie nicht feststellen können,<br />
welche Mac-Adresse zu welchem <strong>Netzwerk</strong>adapter gehört. Ist nur ein Adapter<br />
vorhanden, ist dies kein Problem, und Sie können dieses Kommando verwenden.<br />
Wir möchten Ihnen aber nachfolgend gerne eine etwas komfortablere Version<br />
vorstellen, die den Namen getmac.bat trägt.<br />
Code (Ausgabe der Mac-Adressen ab Windows 2000)<br />
@echo off<br />
echo Liste der Mac-Adressen fuer %computername%<br />
echo.<br />
set action=<br />
for /F "usebackq tokens=*" %%f in (`ipconfi g /all`) do<br />
call :procline "%%f"<br />
goto :eof<br />
:procline<br />
32 www.<strong>TecChannel</strong>.de
if "%action%" == "getDesc" goto getDesc<br />
if "%action%" == "getMac" goto getMac<br />
echo %1 | fi nd /i "Verbindungsspez" > nul<br />
if errorlevel 1 goto :eof<br />
set action=getDesc<br />
goto :eof<br />
Shell Scripting im <strong>Netzwerk</strong><br />
:getDesc<br />
for /F "delims=: tokens=2" %%f in („%~1“) do set output=%%f<br />
set output=%output:~1%<br />
set action=getMac<br />
goto :eof<br />
:getMac<br />
for /F "delims=: tokens=2" %%f in („%~1“) do set<br />
➥ output=%%f = %output%<br />
echo %output%<br />
set action=<br />
goto :eof<br />
Funktion<br />
Mithilfe einer for-Schleife wird die Ausgabe von ipconfi g /all Zeile für Zeile<br />
bearbeitet. Jetzt müssen wir feststellen, wo die Ausgabe eines Adapters beginnt.<br />
Dies ist mit der Ausgabe eines eventuell defi nierten verbindungsspezifi schen DNS-<br />
Suffi x der Fall. Für ein deutsches Windows fi nden Sie den Suchbegriff im fett gedruckten<br />
Wort im Listing. Für den Einsatz mit einem englischen Windows müssen<br />
Sie dieses Wort durch die entsprechende englische Ausgabe (connection-specifi c<br />
DNS suffi x) ersetzen. Der ganze Trick besteht nun darin, sich irgendwie zu merken,<br />
dass nach der Zeile mit dem Suffi x zuerst eine Zeile mit der Beschreibung des<br />
Adapters folgt. Die Zeile nach der Beschreibung ist dann die Zeile mit der Mac-<br />
Adresse. Diese ganze Unterscheidung erfolgt im ersten Block nach der for-Schleife,<br />
den wir hier nochmals zum leichteren Nachvollziehen aufführen:<br />
:procline<br />
if "%action%" == "getDesc" goto getDesc<br />
if "%action%" == "getMac" goto getMac<br />
echo %1 | fi nd /i "Verbindungsspez" > nul<br />
if errorlevel 1 goto :eof<br />
set action=getDesc<br />
goto :eof<br />
Zuerst wird mithilfe der Variablen action getestet, ob wir bereits auf eine Beschreibung<br />
oder auf eine Mac-Adresse warten. Dann erfolgt ein Sprung an die entsprechenden<br />
Sprungmarken. Ist dies noch nicht der Fall, wird mittels von fi nd getestet,<br />
ob in der übergebenen Zeile der Text für das verbindungsspezifi sche Suffi x<br />
vorkommt. Falls nicht, können wir uns weitere Aktionen schenken und beenden<br />
den Aufruf. Liefert fi nd dagegen einen Exit-Code von 0, wird die Zeile ausgeführt,<br />
webcode: 1761686 33
1. <strong>Netzwerk</strong>-Praxis<br />
die den Inhalt von action auf den Wert „getDesc“ setzt. Beim nächsten Durchlauf<br />
wissen wir also, dass es sich um eine Beschreibungszeile handeln muss.<br />
Die beiden Codeblöcke nach :getDesc und :getMac sind sehr ähnlich. Die<br />
übergebene Zeile wird mit einer for-Schleife am Doppelpunkt aufgetrennt und<br />
das zweite Wort verwendet. In der Variablen output wird der String aus Mac-<br />
Adresse und Beschreibung des Adapters zusammengestellt. Nach der Ausgabe<br />
beim Block von :getMac wird die Variable action wieder gelöscht, sodass der<br />
Zyklus von Neuem beginnen kann.<br />
1.3.4 Ping-Liste<br />
Mit dem folgenden Script können Sie feststellen, welche Rechner innerhalb des<br />
Subnets gerade online sind. Als Ergebnis erhalten Sie eine Liste mit IP-Adressen.<br />
Diese könnten dann von einem anderen Script weiterverarbeitet werden.<br />
Mithilfe einer Zählschleife (for /L) wird der Bereich von 1 bis 254 in Einerschritten<br />
durchlaufen. Für jeden Wert wird ein einzelnes Ping (-n 1) ausgeführt. Die Ausgabe<br />
der gesamten Schleife (deshalb die runden Klammern) wird per Piping an den<br />
fi nd-Filter übergeben, der alle Rechner heraussucht, die geantwortet haben. Bei<br />
einem englischen Windows müssen Sie den Text „Antwort“ bei fi nd durch „reply“<br />
ersetzen. Durch die Option /i ist die Schreibweise (groß oder klein) gleichgültig.<br />
Das Ergebnis dieser Filterung wird in eine temporäre Datei geschrieben. Diese Datei<br />
(%temp%\tmp.dat) wird dann von einer weiteren Schleife Zeile für Zeile gelesen,<br />
wobei die Angabe „tokens=3“ dafür sorgt, dass nur jeweils das dritte Wort<br />
(die IP-Adresse) gelesen wird. Mit jedem gelesenen Wort wird nun das Label :output<br />
als Unterroutine angesprungen. Der übergebene Parameter stellt die IP-Adresse<br />
dar, die allerdings am Ende noch den Doppelpunkt der ping-Ausgabe trägt.<br />
Antwort von 192.168.1.11: Bytes=32 Zeit %temp%\tmp.dat<br />
echo == Online sind folgende Rechner ==<br />
for /F "tokens=3" %%f in (%temp%\tmp.dat) do @call<br />
:output %%f<br />
endlocal<br />
goto :eof<br />
:output<br />
34 www.<strong>TecChannel</strong>.de
set wert=%1<br />
set wert=%wert:~0,-1%<br />
echo %wert%<br />
1.3.5 Port-Liste aus netstat<br />
Shell Scripting im <strong>Netzwerk</strong><br />
Dieses Script stammt aus einem Projekt zur Überwachung eines Servers. Es sollte<br />
festgestellt werden, zu welchen Prozessen von außen Verbindungen bestanden.<br />
Die Ausgabe liefert eine Liste aller Prozesse mit aktiven TCP-Verbindungen, der<br />
entfernten Adresse (IP und Port) und der im Prozess laufenden Services. So bekommen<br />
Sie schnell einen Überblick, wer von außen mit welchen Prozessen und<br />
Diensten in Verbindung steht.<br />
Nachfolgend fi nden Sie einen (aus Platzgründen gekürzten) Auszug aus der Ausgabe<br />
des Shell Scripts.<br />
==== Process ====<br />
dfssvc.exe 1324 Dfs<br />
Connections:<br />
bytebag.shellbook.com:1025<br />
bytebag.shellbook.com:1025<br />
bytebag.shellbook.com:epmap<br />
==== Process ====<br />
dns.exe 1360 DNS<br />
Connections:<br />
bytebag.shellbook.com:ldap<br />
==== Process ====<br />
ntfrs.exe 1464 NtFrs<br />
Connections:<br />
bytebag.shellbook.com:1025<br />
bytebag.shellbook.com:1025<br />
bytebag.shellbook.com:ldap<br />
Code<br />
@echo off<br />
setlocal<br />
netstat -p TCP -a -o | fi nd /i „established“ > %temp%\<br />
x.x<br />
if exist %temp%\y.y del %temp%\y.y<br />
for /F "tokens=3,5" %%f in (%temp%\x.x) do echo %%g %%f<br />
webcode: 1761686 35
1. <strong>Netzwerk</strong>-Praxis<br />
>> %temp%\y.y<br />
sort < %temp%\y.y > %temp%\x.x<br />
set pid=-1<br />
for /F "tokens=1,2" %%f in (%temp%\x.x) do call<br />
:procline %%g %%f<br />
endlocal<br />
if exist %temp%\x.x del %temp%\x.x<br />
if exist %temp%\y.y del %temp%\y.y<br />
goto :eof<br />
:procline<br />
if %pid% == %2 goto havePID<br />
echo.<br />
echo.<br />
echo ==== Process ====<br />
tasklist /FI "pid eq %2" /NH /SVC<br />
echo.<br />
echo Connections:<br />
:havePID<br />
set pid=%2<br />
echo %1<br />
goto :eof<br />
Funktion<br />
Zuerst benötigen wir eine Liste aller aktiven TCP-Verbindungen. Das erledigt der<br />
Aufruf von netstat -p TCP -a -o. Diese Ausgabe wird gefi ltert, sodass nur die<br />
Zeilen mit der Kennung ESTABLISHED übrig bleiben. Das Ergebnis wird in eine<br />
temporäre Datei x.x geschrieben.<br />
Diese Liste muss nun umgeschichtet werden, sodass Sie die PID des Prozesses als<br />
erste Spalte enthält und danach die Adresse des entfernten Rechners. Dazu wird<br />
zuerst eine eventuell noch bestehende Datei y.y gelöscht. Danach wird mithilfe<br />
einer for-Schleife die Datei umgeformt und in eine zweite Datei y.y geschrieben.<br />
Eine Alternative wäre die Ausführung der for-Schleife in einer Subshell und die<br />
Umleitung der gesamten Ausgabe per einfachem „>“ in die Datei. Dies erspart die<br />
Zeile mit dem Löschen der Datei y.y. Dazu müsste die for-Schleife wie folgt modifi<br />
ziert werden:<br />
(for /F "tokens=3,5" %%f in (%temp%\x.x) do echo %%g%%f) ><br />
➥ %temp%\y.y<br />
Diese Datei muss noch sortiert werden, damit alle gleichen PIDs untereinander<br />
stehen. So kann die Ausgabe für alle Verbindungen zu einem Prozess erfolgen, bis<br />
die PID wechselt. Dazu verwenden wir sort.<br />
Nach dem Sortieren kann die Ausgabe erzeugt werden. Damit wir wissen, welche<br />
PID gerade abgearbeitet wird, wird eine Umgebungsvariable (pid) mit der jeweiligen<br />
Prozess-ID belegt. Zu Beginn schreiben wir den Startwert -1 in die Variable.<br />
In der nun folgenden for-Schleife wird die sortierte Datei x.x Zeile für Zeile ein-<br />
36 www.<strong>TecChannel</strong>.de
Shell Scripting im <strong>Netzwerk</strong><br />
gelesen. Zuerst wird getestet, ob die in der Zeile verzeichnete PID bereits abgearbeitet<br />
wird. Schlägt dieser IF-Vergleich fehl, dann haben wir einen neuen Prozess,<br />
und es erfolgt die Ausgabe der Prozessdaten. Dazu werden per tasklist und<br />
einem Filter nach Prozess-ID der Name des Prozesses, die PID und die darin laufenden<br />
Dienste ausgegeben.<br />
Ab der Marke :havePID laufen beide Zweige der vorigen IF-Abfrage wieder zusammen.<br />
Hier wird die Adresse der verbundenen Maschine (als Kombination aus<br />
Namen und Portnummer) ausgegeben. Sollten Sie eine numerische Ausgabe der<br />
Daten bevorzugen, ergänzen Sie beim Aufruf von netstat die Option -n für numeric<br />
output. Nach der Ausgabe erfolgt noch das obligatorische Aufräumen, bei<br />
dem die beiden temporären Dateien gelöscht und mit endlocal die Änderungen<br />
an der Umgebung wieder rückgängig gemacht werden.<br />
Armin Hanisch<br />
Arnin Hamisch ist IT-Experte und Autor mehrere Bücher zu den Themen Shell Scripting, C# und XML<br />
mit .NET. Derzeit arbeitet er als Leiter Projektierung und Technik bei einem deutschen CRM Anbieter.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Shell Scripting im <strong>Netzwerk</strong> 1761686 S.28<br />
Shell Scripting unter Windows 1761680 –<br />
Scripts zur System- und Dateiverwaltung 1761681 –<br />
Scripting-Hilfe für ActiveDirectory 1761685 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
Windows 2003 Shell Scripting: Dieser Beitrag zum Shell Scripting<br />
unter Windows 2003 basiert auf Kapitel 16 des Standardwerks<br />
„Windows 2003 Shell Scripting - Abläufe automatisieren ohne<br />
Programmierkenntnisse“ von Armin Hanisch aus dem Haus Pearson<br />
Education. Sie können dieses 320 Seiten starke Buch in<br />
unserem Partner-Bookshop www.informit.de online erwerben.<br />
webcode: 1761686 37
1. <strong>Netzwerk</strong>-Praxis<br />
1.4 Die besten <strong>Netzwerk</strong>-Tools für kleine und<br />
mittlere Windows-LANs<br />
Ob Offi ce-LAN oder ein Firmennetzwerk: Der Administrator muss in einem lokalen<br />
<strong>Netzwerk</strong> ständig optimieren. Die richtigen Tools nehmen dem Administrator<br />
viel Arbeit ab. Zum Testen von Servern und zum Administrieren von Computern<br />
im <strong>Netzwerk</strong>verbund benötigen Systemverwalter immer wieder Spezialprogramme.<br />
Ein kleines privates Netz will ebenso regelmäßig administriert werden<br />
wie ein Büroverbund oder ein Firmennetzwerk. Kleine kostenlose Tools stellen gegenüber<br />
den Windows-Bordmitteln erweiterte Funktionen zur Verfügung.<br />
1.4.1 Wireshark: Traffi c-Monitoring im <strong>Netzwerk</strong><br />
Systemverantwortliche setzen zur Fehlerdiagnose häufi g einen <strong>Netzwerk</strong>-Sniffer<br />
ein. Diese Tools lauschen den Datenverkehr mit, speichert Transferprotokolle und<br />
erlauben eine Bit-genaue Analyse der Daten. Mit Sniffern kann man Fehler im<br />
LAN aufspüren, aber auch Programme, die Daten heimlich versenden. Profi s investieren<br />
in einen guten Packet Sniffer durchaus mehrere Hundert oder Tausend<br />
Euro. Administratoren kleinerer und mittlerer Netze kommen oft auch mit Freeware-Sniffern<br />
weiter.<br />
Eines der wenigen gut gemachten kostenlosen Tools zum Auswerten des <strong>Netzwerk</strong>verkehrs<br />
ist Wireshark (Webcode 55812). Die Software erlaubt es, sowohl Daten<br />
im laufenden <strong>Netzwerk</strong>betrieb zu analysieren, als auch archivierte Daten aus<br />
einer Protokolldatei zu lesen. Es lassen sich Details über jedes einzelne TCP/IP-Paket<br />
auf den Bildschirm bringen. Zusätzlich verfügt der Sniffer über Analyse- und<br />
Reportfunktionen sowie eine eigene Scriptsprache zum Filtern von <strong>Netzwerk</strong>paketen.<br />
Das einzige Manko an Ethereal ist die umständliche Defi nition der Filter.<br />
1.4.2 A-Toolbar: Schnelle Verbindungskontrolle<br />
Komfortabler als mit Ping.EXE nutzen Sie Ping mit der A-Toolbar (Webcode<br />
33022). Nach dem Programmstart klicken Sie auf den runden blauen Button, tippen<br />
die Adresse der zu überprüfenden Gegenstelle bei „Host“ ein und starten den<br />
Check mit der Return-Taste. Neben Ping hält die Auswahlleiste von AToolbar noch<br />
jede Menge weiterer Internet- und Desktop-Werkzeuge bereit. So bietet das Programm<br />
beispielsweise Portscanner, Adressabfragefunktion, Suchmaschinenmaske,<br />
DNS Lookup, Whois, Google Page Rank und einen Link Manager. Mit der Desktop-Suche<br />
können Sie auf dem Rechner nach Mails und Dokumenten recherchieren.<br />
Die Treffer zeigt das Tool unter „Result Tabs“ an. Die Startleiste der A-Toolbar<br />
siedelt sich über der Taskleiste auf dem Desktop an. Sie lässt sich bei Bedarf minimieren,<br />
so dass für Anwendungen die gewohnte Fläche zur Verfügung steht.<br />
38 www.<strong>TecChannel</strong>.de
Alles dabei: In der A-<br />
Toolbar stecken rund 50<br />
<strong>Netzwerk</strong>-Tools, angefangen<br />
von Ping über Whois-<br />
Abfragen bis hin zu Wake<br />
on LAN.<br />
Die besten <strong>Netzwerk</strong>-Tools für kleine und mittlere Windows-LANs<br />
1.4.3 3D Traceroute: Den Weg eines Datenpakets aufl isten<br />
Der Diagnosebefehl Tracert.EXE ermittelt die Route von Datenpaketen zu einem<br />
Ziel, indem er ICMP-Echopakete (Internet Control Message Protocol) sendet. Bequemer<br />
als in der Kommandozeile nutzen Sie Tracert mit 3D Traceroute (Webcode<br />
27749). Größter Unterschied zum altbackenen Windows-Pendant: Die Freeware<br />
zeigt Ihnen die Wege durch das Internet anschaulich als Grafi k an. Das vom<br />
Tool erzeugte Diagramm informiert Sie nicht nur über die Anzahl der Zwischenstationen,<br />
sondern auch über ihre Reaktionsgeschwindigkeit. Anhand der Grafi k<br />
erkennen Sie auf einen Blick, ob Störungen auftreten und wenn ja, wo. Über zahlreiche<br />
Einstellmöglichkeiten richten Sie die Ausgabe nach Ihren Wünschen ein.<br />
Routenverfolgung: 3D Traceroute verrät, welchen Weg Datenpakete nehmen.<br />
Visual Route (Webcode 6926) setzt zwar auf nicht ganz so aufwendige 3D-Grafi<br />
ken, dafür ist die Lesbarkeit der Diagramme ein Trick besser als bei 3D Traceroute.<br />
Auch bei diesem Tool gibt der Nutzer einfach eine URL oder IP-Adressse ein,<br />
und kurz Zeit später zeigt Visual Route, über welche Stationen die Pakete laufen.<br />
Zu den einzelnen Stationen liefert das Tool ausführliche Infos.<br />
webcode: 461560 39
1. <strong>Netzwerk</strong>-Praxis<br />
1.4.4 AdvancedRemoteInfo: Statusinformationen im Netz<br />
Mit AdvancedRemoteInfo (Webcode 109230) sammeln Administratoren ausführliche<br />
Informationen über Windows-Arbeitsstationen. Anschließend kann zu<br />
jedem PC ein Bericht angezeigt werden. Der Report enthält unter anderem eine<br />
Aufl istung der vorhandenen Hard- und Software, der derzeit angemeldeten Benutzer<br />
und die <strong>Netzwerk</strong>- Konfi guration auf PCs mit Win NT, 2000 oder XP.<br />
Die von der Freeware erfassten Daten lassen sich zur weiteren Bearbeitung im Excel<br />
oder HTML-Format exportieren. Darüber hinaus sind weitere Funktionen<br />
vorhanden. Beispielsweise lassen sich auf entfernten Rechnern Dateifreigaben löschen<br />
oder neue Shares anlegen. Der Systemverwalter kann zudem die Deinstallation<br />
von Programmen auf einem Remote-PC, das Herunterfahren oder Neustarts<br />
lassen sich über das <strong>Netzwerk</strong> veranlassen.<br />
1.4.5 CurrPorts: Überblick über offene Ports verschaffen<br />
Nicht schaden kann es, regelmäßig zu überprüfen, welche Ports auf den Clients geöffnet<br />
und in Benutzung sind. Gut dafür geeignet ist die Freeware CurrPorts (www.<br />
nirsoft.net/utils/cports.html). Sie starten das Tool und weisen die Software an, die<br />
insgesamt Ports des Rechners zu checken und Ihnen mitzuteilen, welche Programme<br />
welche Ports mit welchen Protokollen nutzen. Weil die Aufl istung auch<br />
versteckte Prozesse anzeigt, sind Rückschlüsse auf Malware möglich.<br />
1.4.6 PuTTY: Remote Login vom Windows-Desktop aus<br />
PuTTY (www.putty.org) ist ein empfehlenswertes Terminal-Programm für SSHund<br />
Telnet-Sessions mit konfi gurierbaren Funktionstasten. Die Freeware Tool ersetzt<br />
das unsichere Telnet und bietet Verschlüsselungs- und Authentisierungsverfahren<br />
für den Remote-Zugriff auf einen Rechner im LAN oder über das Internet.<br />
Ebenfalls in den Werkzeugkoffer von Administratoren gehört WinSCP (www.<br />
winscp.net/eng/docs/lang:de). Der Open-Source-SFTP-Client mit grafi scher<br />
Oberfl äche nutzt das SSH-Protokoll und lässt sich komfortabel wie ein FTP-Client<br />
verwenden. Zu den Extras gehören neben dem geschützten Dateitransfer die<br />
Funktionen Stapelverarbeitung, Kommandozeileneingabe, integrierter Text-Editor<br />
und Verzeichnissynchronisation.<br />
1.4.7 Unlocker: Gesperrte Dateien freigeben<br />
Manchmal wird der Löschversuch für eine Datei mit einer Fehlermeldung quittiert,<br />
weil das betreffende Element gesperrt ist. Erst nach einem Neustart ist die<br />
Blockade aufgehoben – zumindest in einigen Fällen.<br />
40 www.<strong>TecChannel</strong>.de
Statusinformationen<br />
abrufen: Das kostenlose<br />
Tool AdapterWatch liefert<br />
Detailangaben zur <strong>Netzwerk</strong>karte.<br />
Die besten <strong>Netzwerk</strong>-Tools für kleine und mittlere Windows-LANs<br />
Abhilfe schafft die Freeware Unlocker (http://ccollomb.free.fr/unlocker/), die sich<br />
nach der Installation in das Kontextmenü des Windows-Explorers einklinkt. Nach<br />
der Auswahl einer gesperrten Datei oder eines Verzeichnisses rufen Sie über die<br />
rechte Maustaste den Eintrag Unlocker auf und klicken auf die Schaltfl äche Unlock.<br />
Danach ist das Element entsperrt kann gelöscht werden. Die Freeware AdapterWatch<br />
(www.nirsoft.net/utils/awatch.html) liefert Statusinformationen zu<br />
<strong>Netzwerk</strong>interface. Zu den vom Tool angezeigten Daten gehören unter anderem<br />
IP-Adresse, MAC-Adresse, DNS, die Anzahl der übertragenen Pakete, Übertragungstempo<br />
und Paketstatistiken.<br />
1.4.8 FS Guard: Dienste und Verzeichnisse überwachen<br />
Mit FS Guard (Folder & Service Guard, www.pcinspector.de) können Administratoren<br />
Dienste und Ordner auf NT/2000- und 2003-Servern automatisch überwachen.<br />
Dazu sind die zu überwachenden Elemente auszuwählen. Die Konfi guration<br />
der Überwachung erfolgt über eine komfortable Benutzeroberfl äche.<br />
So ist es möglich, permanent kritische Dienste auf dem Server zu observieren und<br />
gestoppte oder nicht mehr funktionierende Services neu zu starten. Auch Protokolldateien<br />
lassen sich mit der Software observieren. Der Administrator kann sich<br />
beispielsweise bei erreichen oder überschreiten einer zuvor festgesetzten Speicherplatzgrenze<br />
warnen lassen. So werden Sie umgehend informiert, wenn ein Protokoll<br />
durch Fehlermeldungen unverhältnismäßig anwächst. Das Programm kann<br />
Benachrichtigungen per Mail verschicken und Sie so auch während Ihrer Abwesenheit<br />
auf dem Laufenden halten.<br />
1.4.9 X-NetStat: Infos mit aufgebohrtem Netstat abfragen<br />
Mit Hilfe der englischsprachigen Shareware X-NetStat (www.freshsoftware.com)<br />
ermitteln Sie Details zu allen ein- und ausgehenden Internet- und <strong>Netzwerk</strong>verbindungen.<br />
Dazu gehören Infos zu den offenen Ports sowie Angaben zu den IP-<br />
webcode: 461560 41
1. <strong>Netzwerk</strong>-Praxis<br />
Adressen der Rechner, mit denen Daten ausgetauscht werden. Gut: Das Aktualisierungsintervall<br />
lässt sich frei wählen. Das Grundprinzip des Ressourcen schonenden<br />
Tools erinnert an die Windows-Funktion netstat.exe, allerdings läuft X-NetStat<br />
nicht im Kommandozeilenfenster. Dadurch ist die Bedienerführung einfacher. Zudem<br />
können Sie mit diesem Tool auch Verbindungen per Mausklick zu beenden<br />
oder die gesammelten Informationen in die Zwischenablage zu kopieren.<br />
Solarwinds Standard Toolset (www.solarwinds.com) hilft dem Profi bei der tief<br />
gehenden Analyse ausgedehnter Arbeitsumgebungen. Dazu stehen 13 Werkzeuge<br />
zur Verfügung, die in Rubriken wie „Cisco Tools“, „Ping Tools“ und „Adress Management“<br />
eingeteilt sind. Mit dem „IP Network Browser“ checken Sie, ob alle<br />
Rechner operabel sind, „Ping“ und „Trace Route“ informiert über Antwortzeiten<br />
sowie Datenpakete, und mit Hilfe von „Wake-on-LAN“ aktivieren Sie Clients.<br />
1.4.10 Strong Search: <strong>Netzwerk</strong>weiter Dateisucher<br />
Anwender, die bei der netzwerkweiten Dateisuche mit der Windows-Suchfunktion<br />
arbeiten, wissen über die Schwächen dieser Betriebssystemroutine Bescheid. Weitaus<br />
komfortabler und – dank Multithreading – auch merklich schneller geht’s mit<br />
der englischsprachigen Shareware Strong Search (www.kraslabs.com).<br />
42 www.<strong>TecChannel</strong>.de<br />
Suchassistent: Strong<br />
Search spielt seine<br />
Stärken beim Recherchieren<br />
im LAN aus.<br />
Das Tool sucht auf allen <strong>Netzwerk</strong>ressourcen nach benutzerdefi nierten Daten,<br />
Platzhalter können Sie ebenso nutzen wie Datei-, Datums- und Größenfi lter. Zudem<br />
ist es möglich, innerhalb der Ergebnisliste zu suchen. Profi s können mehrere<br />
Suchanfragen gleichzeitig starten und die Suche auf versteckte Shares ausweiten.<br />
Der englischsprachige Multi Network Manager (www.globesoft.com) ist ideal für<br />
Anwender, die von wechselnden Lokalitäten über eine sichere VPN-Verbindung<br />
auf ein <strong>Netzwerk</strong> zugreifen. Dies ist etwa dann der Fall, wenn Sie mit Ihrem Laptop<br />
unterwegs sind und Kontakt zum Firmen-LAN aufnehmen müssen. Mehrere<br />
Arbeitsumgebungen lassen sich speichern und im Profi lmanager verwalten.<br />
Ramon Schwenk
2 <strong>Netzwerk</strong>-Management<br />
IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e<br />
Von den Intel-Entwicklern stammt eine Software zur erweiterten Administra tion<br />
von vPro-basierten Systemen. Was das Tool interessant macht ist, dass auch nicht<br />
vPro zertifi zierte Rechner mit eingeschränkter Funktionalität unterstützt werden.<br />
Zudem geht es um Software-Lizenzen: Durch falsches Lizenzmanagement können<br />
schnell Missverständnisse bei Software-Herstellern aufkommen.<br />
2.1 IT Director: Kostenloses IT-Management-<br />
Tool für kleine <strong>Netzwerk</strong>e<br />
Mit dem IT Director adressiert der Hersteller Unternehmen, die weniger als 25<br />
Rechner einsetzen und keine, beziehungsweise nur wenige Mitarbeiter haben, die<br />
sich um die Wartung und Pfl ege der IT-Infrastruktur kümmern können. Das Tool<br />
ermöglicht es, den Firmen den Überblick über ihren Rechnerbestand zu behalten.<br />
Es bietet neben Monitoring-Funktionen auch Sicherheits-Features wie das Sperren<br />
von USB-Schnittstellen oder das Erstellen eines Festplatten-Backups über einen<br />
vPro-basierten Rechner (Webcode 442760).<br />
Unter dem vPro-Logo vereint Intel (www.intel.com) die wichtigsten Aspekte von<br />
Business-PCs, dazu zählen hohe Rechenleistung bei geringem Energieverbrauch,<br />
erweiterte Managementfunktionen, proaktive Sicherheitsfunktionen sowie langfristige<br />
Plattformstabilität. Unser Artikel erklärt detailliert in einem Workshop,<br />
welche Funktionen der IT Director für Desktop-PCs und Notebooks bietet und<br />
wie sie angewendet werden. Das <strong>Netzwerk</strong>-Management-Tool können Sie kostenlos<br />
auf der Homepage des Intel IT Director downloaden (www.intel.com/support/<br />
vpro/itdirector/). Dort fi nden Sie auch weiterführende Informationen zu dem<br />
Programm. Eine Alternative zum IT Director ist das ebenfalls kostenlose <strong>Netzwerk</strong>-Management-Programm<br />
Spiceworks (Webcode 1743311), das <strong>TecChannel</strong><br />
bereits detailliert vorgestellt hat.<br />
2.1.1 Installation und Benutzeroberfl äche<br />
Der IT Director in der Version 1.1 lässt sich direkt auf vPro-fähige Computer installieren.<br />
Das sind in erster Linie Rechner, die mit einem Q35- oder Q45-Chipsatz<br />
ausgestattet sind und die Active-Management-Technologie (AMT) von Intel<br />
(Webcode 432854) unterstützen. Bei Nicht-vPro-Rechnern muss der Anwender<br />
ein spezielles Konfi gurations-Tool (itdirectorconfi g.exe) des IT Director installieren,<br />
welches dann ermöglicht, auch nicht vPro-konforme Rechner zu überwachen.<br />
Der IT Director läuft auf allen Windows-XP- und Windows-Vista-Betriebssystemen<br />
außer auf den Home-Versionen. Hinweis: Intel erweitert ständig den Funkti-<br />
webcode: 1777328 43
2. <strong>Netzwerk</strong>-Management<br />
onsumfang und die unterstützten vPro-Chipsätze im IT Director, so dass laut Intel<br />
auch vPro-fähige-Notebooks (Webcode 1762610) demnächst vom Programm erkannt<br />
werden sollten.<br />
Ein beliebiges System mit IT Director dient als zentraler Steuerrechner für die<br />
Kontrolle, der im <strong>Netzwerk</strong> befi ndlichen Rechner, die entsprechend auch den IT<br />
Director beziehungsweise das Tool itdirectorconfi g.exe installiert haben. Allerdings<br />
unterstützt der IT Director bei nicht vPro-fähigen Systemen alle zur Verfügung<br />
stehenden Funktionen wie die USB-Sperrung oder den Einschaltmonitor.<br />
IAMT-aktiviert: Um den Intel IT Director mit sämtlichen Funktionen zu nutzen, muss der Computer die<br />
Funktion Intel AMT unterstützen.<br />
Bevor der Anwender das Programm nutzen kann, müssen auf jedem Computer<br />
entsprechende Benutzerberechtigungen für den IT Director eingerichtet werden.<br />
Dazu ist es notwendig, dass auf allen Rechnern im <strong>Netzwerk</strong> jeweils ein IT-Director-Konto<br />
mit dem gleichen Benutzernamen und dem identischen Kennwort erstellt<br />
wird. Ansonsten ist der IT Director nicht in der Lage, die entsprechenden<br />
Computer im <strong>Netzwerk</strong> zu identifi zieren.<br />
44 www.<strong>TecChannel</strong>.de<br />
Steuerzentrale: Der IT<br />
Director lässt sich über<br />
drei zentrale Reiterfunktionen<br />
bedienen.<br />
Nach der Installation des IT Director auf einem vPro-System steht dem Anwender<br />
eine Benutzeroberfl äche mit drei Registern zur Verfügung:<br />
Mein Computer – Dient zur Konfi guration des Schutzes und der Überwachung<br />
auf Client-Rechnern.<br />
Mein <strong>Netzwerk</strong> – Dient zur Überwachung von Rechnern im <strong>Netzwerk</strong>.<br />
Einstellungen – Dient zur Festlegung von Berechtigungen, der Deaktivierung der<br />
Einstellungen für Mein Computer und der Konfi guration des <strong>Netzwerk</strong>s.
2.1.2 Einstellungen und Konfi guration<br />
IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e<br />
Nach dem Start des IT Director werden in diesem Bereich alle im <strong>Netzwerk</strong> gefundenen<br />
Geräte unter Mein <strong>Netzwerk</strong> / Liste aller angeschlossenen Computer und Geräte<br />
aufgelistet. Nach und nach scannt das Programm die einzelnen Geräte und<br />
versucht sie zu identifi zieren. Bei Erfolg erscheint ein PC-Symbol mit dem entsprechenden<br />
Computernamen. Rechner oder Geräte, die zwar im Netz vorhanden<br />
sind, aber nicht identifi ziert werden können, listet das Programm ebenfalls auf,<br />
kennzeichnet diese aber mit einem roten Ausrufesymbol.<br />
Auf der Suche: Nach<br />
dem Start des IT<br />
Director sucht das<br />
Programm nach<br />
angeschlossenen<br />
Computern, um diese<br />
zu managen.<br />
Unter dem Hauptreiter Einstellungen verbergen sich einige zentrale Einstellmöglichkeiten<br />
des IT Director. Wenn der Administrator das Programm zum ersten<br />
Mal auf dem Computer verwendet, muss er festlegen, auf welche Funktionen ein<br />
Benutzer dieses Systems Zugriff hat.<br />
Zentrales Stellwerk:<br />
Unter dem Reiter „Einstellungen“<br />
lassen sich<br />
vielfältige Funktionen<br />
individuell konfi gurieren.<br />
Wenn die Option Der aktuelle Benutzer (XY) hat Zugriff auf alle Funktionen gewählt<br />
wurde, besteht zusätzlich die Möglichkeit festzulegen, ob andere Benutzer<br />
Zugriff auf bestimmte Seiten wie Mein <strong>Netzwerk</strong> und Mein Computer des Tools<br />
haben dürfen. Für die schnelle Konfi guration weiterer Systeme bietet der IT Director<br />
die Möglichkeit, die entsprechenden Konfi gurationsparameter zu impor-<br />
webcode: 1777328 45
2. <strong>Netzwerk</strong>-Management<br />
tieren oder zu exportieren. Beim Exportieren der Systemeinstellungen eines Computers<br />
kann der Administrator individuell festlegen, welche Daten für ein neues<br />
System relevant sind.<br />
2.1.3 Daten-und Systemschutz: USB-Sperrung<br />
Eine wichtige Funktion des IT Director ist die Überwachung und Kontrolle der<br />
USB-Ports. Diese gehören zu den wichtigsten Schnittstellen am Rechner, um Daten<br />
schnell aufzuspielen oder extern für den mobilen Einsatz abzuspeichern.<br />
Gleichzeitig gehört die USB-Schnittstelle zu den größten Sicherheitsrisiken eines<br />
PCs. Über dieses Interface können User unbemerkt Schadprogramme auf den<br />
Rechner übertragen, die sich dann weiter durch das Intranet verbreiten können.<br />
Um dies wirksam zu verhindern, bietet der IT Director in Menü Mein Computer<br />
unter dem Reiter Daten- und Systemschutz den Menüpunkt Richtlinie für USB-<br />
Sperrung. Hier kann der Anwender diese Option aktivieren und deaktivieren. Ist<br />
die USB-Sperrung eingeschaltet, so können vier vordefi nierte Typen von USB-Geräten<br />
gesperrt werden. Dazu zählen Unterhaltungs-USB-Geräte wie MP3-Player,<br />
Speichergeräte wie externe USB-Festplatten, Bürogeräte wie USB-Drucker oder -<br />
Scanner oder sonstige Geräte.<br />
Unter Mein <strong>Netzwerk</strong> kann der IT-Verantwortliche Systemdetails über die USB-<br />
Sperrung von jedem überwachten Computer abrufen und kontrollieren. Wenn<br />
ein gesperrtes USB-Gerät versucht, eine Verbindung zum Computer aufzubauen,<br />
erfolgt eine Meldung im Fenster Warn- und Informationsmeldungen. Die Funktion<br />
der USB-Sperrung wird ausschließlich nur von vPro-fähigen Rechnern mit Q35beziehungsweise<br />
Q45-Express-Chipsatz unterstützt.<br />
2.1.4 Daten- und Systemschutz: Festplattensicherung<br />
und -wiederherstellung<br />
Eine weitere hilfreiche Sicherheitsoption des IT-Management-Tools ist die Datensicherung<br />
und Wiederherstellung der lokalen Festplattenlaufwerke. Im selben Menüpunkt<br />
informiert das Tool, ob der Nutzer auf dem System den Intel Matrix Sto-<br />
46 www.<strong>TecChannel</strong>.de<br />
Storage im Griff: Für<br />
eine Datensicherung<br />
der Festplatten stellt<br />
der IT Director entsprechende<br />
Funktionen zur<br />
Verfügung.
IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e<br />
rage Manager installiert hat. Hierbei handelt es sich um eine Verwaltungs- und<br />
Konfi gurationssoftware auf Basis der Intel-Matrix-Storage-Technologie. Zu beachten<br />
ist, dass der IT Director die von Windows zur Verfügung gestellten Routinen<br />
nutzt, wenn der Intel-Matrix-Storage-Treiber nicht installiert ist.<br />
Der Matrix-Storage-Manager bietet für die verschiedenen hauseigenen Chipsätze<br />
unter einigen Betriebssystemen Softwareunterstützung für eine RAID-Funktionalität<br />
der Systeme. Diese beinhaltet RAID-Level 0, 1, 5 und 10 für SATA-Festplatten.<br />
Zudem unterstützt der Matrix-Storage-Manager die Intel Rapid-Recover-Technologie<br />
und AHCI Native Command Queuing für eine bessere Storage-Performance<br />
sowie Matrix-RAID für zwei RAID-Volumes auf demselben Array.<br />
Auf Nummer sicher:<br />
Der IT Director kann<br />
Datensicherungen von<br />
jedem überwachten<br />
Computer im <strong>Netzwerk</strong><br />
anlegen.<br />
Nach dem Drücken des entsprechenden Start-Buttons unter dem Reiter Mein<br />
<strong>Netzwerk</strong> oder Mein Computer / Festplattensicherung und -wiederherstellung öffnet<br />
sich ein Übersichtsfenster, in dem der Anwender zwischen drei Optionen wählen<br />
kann. Das sind im Einzelnen: Dateien sichern, Dateien wiederherstellen und Komplette<br />
PC-Sicherung.<br />
2.1.5 Internet- und <strong>Netzwerk</strong>sicherheit<br />
In dem Bereich Mein Computer / Internet- und <strong>Netzwerk</strong>sicherheit kann der Administrator<br />
sich über die Internet- und <strong>Netzwerk</strong>sicherheit des Clients informieren.<br />
Der IT Director ermöglicht die Überwachung der Einstellungen für die Internetsicherheit<br />
auf den Computern im <strong>Netzwerk</strong>, um dem IT-Verantwortlichen mehr<br />
Kontrolle über die Computersicherheit zu geben.<br />
Der Anwender kann wählen, welche dieser Einstellungen erforderlich sind. Falls<br />
dann eine verpfl ichtende Einstellung auf einem System fehlt, erfolgt eine Meldung<br />
des IT Director unter Systemdetails. Wie das Festplatten-Backup lehnt sich auch<br />
diese Option an den Einstellungen des Windows-Sicherheitscenters an.<br />
Nach der Konfi guration des Programms unter Einstellungen / Wählen Sie die zu<br />
überwachenden Sicherheitsfunktionen ist der Überwachungsmodus aktiv. Der Ad-<br />
webcode: 1777328 47
2. <strong>Netzwerk</strong>-Management<br />
ministrator wird dann explizit über den Status der Firewall, der automatischen<br />
Updates von Windows, der Anti-Virus-Software und der Anti-Spyware-Software<br />
des jeweiligen Computers im <strong>Netzwerk</strong> informiert.<br />
Sicherheit ist Trumpf: Das Sicherheitscenter des IT Directors informiert den Administrator über den<br />
Zustand der festgelegten Sicherheitsoptionen.<br />
2.1.6 Leistung und Diagnose<br />
Ein sehr nützliches Feature des IT Director ist der Einschaltmonitor unter Mein<br />
Computer beziehungsweise Mein <strong>Netzwerk</strong> / Leistung und Diagnose. Gerade im<br />
Zuge von Green IT (Webcode 1751091) und immer höheren Stromkosten unterstützt<br />
diese Option den sparsamen Umgang mit der Energie. Mit dem Einschaltmonitor<br />
kann der Anwender seine Bürozeiten defi nieren, in denen er seinen Computer<br />
aktiv nutzt.<br />
48 www.<strong>TecChannel</strong>.de<br />
Computer-Öffnungszeiten:<br />
Mit dem Einschaltmonitor<br />
kann der<br />
Administrator die<br />
Bürozeiten des Users<br />
defi nieren, um zu<br />
erfahren im welchen<br />
Zeitraum der Computer<br />
genutzt wird. Mit diesen<br />
Informationen können<br />
dann entsprechende<br />
Stromsparmaßnahmen<br />
durchgeführt werden.
IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e<br />
Ist der Rechner außerhalb dieser festgelegten Zeiten länger als eine Stunde während<br />
eines Tages aktiv, wird der Nutzer unter Mein <strong>Netzwerk</strong> / Systemdetails per<br />
Warn- und Informationsmeldung unter Systemdetails im rechten Funktionsfenster<br />
des IT Director in Kenntnis gesetzt. Allerdings wird diese Funktion nur von<br />
vPro-fähigen Rechnern mit Q35- oder Q45-Express-Chipsatz unterstützt.<br />
Für die Wahl der allgemeinen Bürozeiten stehen unter Mein Computer / Leistung<br />
und Diagnose / Einschaltmonitor fünf vordefi nierte Zeitparameter zur Verfügung.<br />
Ferner kann der Anwender auch individuell seine Bürozeiten nach Arbeitstagen<br />
und Arbeitszeiten eingeben. Damit ist der Einschaltmonitor im Prinzip ein Überwachungs-Tool<br />
zur Kontrolle des Betriebszustands der überwachten Rechner.<br />
Storage-Speicherplatz:<br />
Der Anwender<br />
hat jederzeit die Möglichkeit<br />
den freien<br />
Festplattenspeicher<br />
abzurufen.<br />
Zusätzlich bietet das IT-Tool in der gleichen Rubrik Mein <strong>Netzwerk</strong> / Leistung und<br />
Diagnose die Möglichkeit, den freien Festplattenspeicher lokal und auf den Netzlaufwerken<br />
zu überwachen. Der Anwender kann den Grenzwert für das Senden<br />
einer Warnmeldung individuell festlegen. Somit ist der Nutzer beziehungsweise<br />
der Administrator stets über den Zustand des freien Festplattenspeichers auf den<br />
einzelnen Rechnern informiert und kann in Notsituationen (knappe Speicherkapazität)<br />
sofort entsprechende Gegenmaßnahmen einleiten. Allerdings berechnet<br />
der IT Director nur die freie Speicherkapazität einer physikalischen Festplatte und<br />
nicht der einzelnen Partitionen.<br />
Storage-Status: Der<br />
IT Director ist in der<br />
Lage, einen vorgegebenenSpeichergrenzwert<br />
einer oder mehrerer<br />
Client-Festplatten<br />
zu überwachen.<br />
‚<br />
Die Einstellung des Grenzwertes auf dem Computer erfolgt über den Reiter Einstellungen<br />
unter dem Menüpunkt Einstellungen für „Mein <strong>Netzwerk</strong>“ und Grenzwert<br />
für freien Festplattenspeicher. Ein Drop-down-Menü bietet dem Nutzer die<br />
Auswahlmöglichkeit, zwischen 5 und 30 Prozent in Fünferschritten einzustellen.<br />
webcode: 1777328 49
2. <strong>Netzwerk</strong>-Management<br />
2.1.7 Fazit<br />
Der IT Director ist ein kostenloses Management-Tool von Intel. Mit den Funktionen<br />
des Programms adressiert der Hersteller Unternehmen, die weniger als 25<br />
Rechner einsetzen und keine, beziehungsweise nur wenige Mitarbeiter für die<br />
Wartung und Pfl ege der IT-Infrastruktur haben. Der IT Director bietet für kleine<br />
<strong>Netzwerk</strong>e viele nützliche Features. Will der Anwender aber den vollen Funktionsumfang<br />
des Management-Tools nutzen, sind vPro-fähige Rechner (Webcode<br />
442760) zwingend notwendig.<br />
Das Management-Programm bietet bei Weitem nicht den Funktionsumfang von<br />
professionellen und kostenpfl ichtigen Lösungen. Allerdings reicht es aus, um einen<br />
kleinen Rechnerpark zumindest rudimentär zu verwalten. Ein weiterer Vorteil<br />
dieses Programms ist die einfache und unkomplizierte Bedienung, sodass auch<br />
Nicht-IT-Spezialisten den IT Director nutzen können.<br />
Zu der wichtigsten Funktion des Programms zählt das Überwachen des Hard- und<br />
Software-Status. Dabei spielt die Kontrolle der Sicherheit der einzelnen Rechner<br />
eine besondere Rolle. So informiert der IT Director über den Status der Firewall<br />
und des Virenprogramms der einzelnen Rechner und ermöglicht das gezielte<br />
Sperren von USB-Schnittstellen. Darüber hinaus unterstützt das Tool den Anwender<br />
beim Erstellen von System-Backups. Auch dem Energiesparen widmet<br />
sich der IT Director mit einigen ausgewählten und im Ansatz nützlichen Features.<br />
Allen in allem unterstützt der kostenlose IT Director den IT-Verantwortlichen in<br />
kleinen Unternehmen vor allen Dingen beim Umgang mit vPro-fähigen Rechnern.<br />
Allerdings ist der Funktionsumfang des Tools sehr beschränkt und auch<br />
nicht als Ersatz einer professionellen IT-Management-Lösung zu sehen. So ist<br />
zum Beispiel keine Dateiübertragung, kein direkter Video- und Tastaturzugriff<br />
oder detaillierte Hard- und Software-Überwachung (Patches, Hardwaredetails)<br />
möglich. Das <strong>Netzwerk</strong>-Management-Tool können Sie kostenlos auf der Homepage<br />
des Intel IT Director downloaden (www.intel.com/support/vpro/itdirector/).<br />
Dort fi nden Sie auch weiterführende Informationen zu dem Programm.<br />
Bernhard Haluschak<br />
50 www.<strong>TecChannel</strong>.de<br />
Bernhard Haluschak ist als Hardware-Redakteur bei <strong>TecChannel</strong> tätig. Der Dipl. Ing.<br />
(FH) der Elektrotechnik / Informationsverarbeitung blickt auf langjährige Erfahrungen im<br />
Server-Umfeld und im Bereich neuer Technologien zurück. Vor seiner Fachredakteurslaufbahn<br />
arbeitete er in Entwicklungslabors, in der Qualitätssicherung sowie als Laboringenieur<br />
in namhaften Unternehmen.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
IT Director: Kostenloses IT-Management-Tool für kleine <strong>Netzwerk</strong>e 1777328 S.43<br />
Intels neue vPro-Plattform: IAMT 5.0 und Q45-Express-Chipsatz 1772327 –<br />
vPro 2008: Komfortable Verwaltung von Business-PCs 442760 –
Grundlagen: Lizenzmanagement im Unternehmen<br />
2.2 Grundlagen: Lizenzmanagement<br />
im Unternehmen<br />
Wenn Lizenz-Inhaber gegen Software-Piraten zu Felde ziehen, sollten sich nicht<br />
nur Filesharer, sondern auch Unternehmen angesprochen fühlen. Denn durch<br />
falsches Lizenzmanagement kann die weiße Weste schnell ein paar hässliche Flecken<br />
bekommen. Doch so weit muss es nicht kommen. Denn wer proaktiv seine<br />
Software-Lizenzen im Griff hat, kann nicht nur besser schlafen, sondern sogar bis<br />
zu 30 Prozent seiner IT-Kosten in diesem Bereich einsparen.<br />
Mitte Mai dieses Jahres verkündete die Business Software Alliance (BSA) (http://<br />
w3.bsa.org/germany/), dass der Anteil unlizenzierter Software in Deutschland auf<br />
27 Prozent gesunken sei. Weltweit wäre die Software-Piraterie hingegen deutlich<br />
auf dem Vormarsch, was eine Piraterierate von 38 Prozent belege (http://w3.bsa.<br />
org/germany/presse/newsreleases/BS058-08.cfm). Einen Monat zuvor meldete<br />
der Verband, dass deutsche Unternehmen in 2007 rund 2,8 Millionen Euro an<br />
Schadensersatz und Lizenzierungskosten bezahlen mussten. Dies entspricht einer<br />
Steigerung um mehr als 250 Prozent gegenüber dem Vorjahr.<br />
Da die Nutzung von Software ohne Lizenz einen Verstoß gegen das Urheberrecht<br />
darstellt und als Straftat verfolgt werden kann, sollte allein diese Tatsache einem<br />
IT-Verantwortlichen schon ausreichen, um sich mit Lizenzmanagement aktiv<br />
auseinanderzusetzen. Doch in der Praxis vernachlässigen immer noch viele Unternehmen<br />
dieses Thema – obwohl Organisationen, deren Software nicht ausreichend<br />
lizenziert ist, neben rechtlichen und fi nanziellen Risiken auch Imageschäden<br />
und eine empfi ndliche Beeinträchtigung ihres Geschäftsbetriebs drohen.<br />
Wer – wahrscheinlich in den meisten Fällen mehr aus Nachlässigkeit denn aus<br />
Vorsatz – die Verwaltung seiner Nutzungsrechte für Software in der Vergangenheit<br />
links liegen gelassen hat, lässt sich sicher gern durch die positiven Aspekte<br />
eines umfassenden Lizenzmanagements dazu motivieren, hier etwas zu ändern.<br />
Denn die Praxis zeigt beispielsweise, dass heute in Unternehmen mehr als 30 Prozent<br />
aller einmal erworbenen Lizenzen nicht mehr genutzt und auch nicht wiederverwendet<br />
werden. Durch ein effektives Management dieser Lizenzen können sich<br />
so bereits Einsparungen in derselben Größenordnung realisieren lassen. Hinzu<br />
kommen die Vermeidung unnötiger Kosten durch Überlizenzierung, die gezielte<br />
Wiederverwertung oder der Verkauf vorhandener Lizenzen und die Wahl des kostengünstigsten<br />
Lizenzmodells der jeweiligen Hersteller.<br />
2.2.1 Ab wann lohnt sich professionelles Lizenzmanagement<br />
Grundsätzlich gilt, dass sich Lizenzmanagement allein aufgrund der rechtlichen<br />
Aspekte immer „lohnt“. Nach Auffassung von Gartner trägt proaktives Lizenzmanagement<br />
zudem dazu bei, bis zu 30 Prozent der Kosten im operativen Betrieb<br />
(TCO) einzusparen. Dies berücksichtigt dabei auch Nebeneffekte wie beispiels-<br />
webcode: 1772789 51
2. <strong>Netzwerk</strong>-Management<br />
weise die Umstellung von Retail- auf kostengünstigere Volumenlizenzen. Wer<br />
sein persönliches Einsparpotenzial ermitteln will, kann sich dies exemplarisch von<br />
Microsofts SAM-ROI-Assessment (microsoft.com/resources/sam/tool.mspx) innerhalb<br />
von fünf Minuten berechnen lassen. Hierbei geht es nicht um die Lizenzierung<br />
von Microsoft-Produkten, sondern allgemein darum, welche Erfolge<br />
durch bestimmte Verfahren erzielbar sind.<br />
Ob und wenn ja wie viel ein Unternehmen dann in eine professionelle Lösung investieren<br />
muss, hängt hingegen von verschiedenen Faktoren ab: Im günstigsten<br />
Fall reicht bereits eine einfache Excel- oder OpenOffi ce-Tabelle, um die im Unternehmen<br />
vorhandenen Lizenzen in Form einer Lizenzbilanz den eingesetzten Software-Paketen<br />
gegenüberzustellen. Voraussetzung hierfür ist natürlich, dass man<br />
einerseits weiß, welche Software auf allen Rechnern im Betrieb installiert ist und<br />
auch tatsächlich genutzt wird. Andererseits muss der Administrator natürlich<br />
über alle im Unternehmen vorhandenen Lizenzen informiert sein und sich im<br />
Klaren darüber sein, wie diese genutzt werden dürfen.<br />
Ein Beispiel: Eine Werbeagentur hat eine überschaubare Anzahl von Programmen<br />
wie das vorinstallierte Betriebssystem, eine Offi ce-Suite und ein paar Grafi kwerkzeuge<br />
im Einsatz. Bei den Anwendungen handelt es sich zudem um sogenannte<br />
Retail-Versionen mit einem klaren Lizenzmodell. Hier kann eine Tabellenkalkulation<br />
oder selbst gestrickte Datenbank absolut ausreichen, um über Soll und Ist<br />
der Software-Nutzungsrechte Buch zu führen. Schwieriger wird es dann, wenn<br />
viele Rechner regelmäßig inventarisiert werden müssen oder Software mit komplexeren<br />
Lizenzmodellen zum Einsatz kommt.<br />
2.2.2 Viele Lizenzen verderben den Brei<br />
In der Praxis oft verwendete Lizenzformen sind Nutzungsrechte pro Benutzer, pro<br />
Maschine oder pro gleichzeitiger Nutzung, neudeutsch auch concurrent use genannt.<br />
Alle vorhandenen Lizenzformen muss ein Unternehmen in seinem Lizenzmanagement<br />
abbilden können.<br />
Flexibel: Professionelle Werkzeuge ermöglichen auch komplexe Lizenzbestimmungen. (Quelle: Aagon)<br />
52 www.<strong>TecChannel</strong>.de
Grundlagen: Lizenzmanagement im Unternehmen<br />
Anspruchsvoll wird es bereits bei bestimmten Lizenzformen von Microsoft, die<br />
beispielsweise die Installation von Offi ce auf einem zweiten mobilen Rechner erlauben,<br />
sofern dieser nicht gleichzeitig mit dem Desktop genutzt wird. Eine andere<br />
Lizenzform räumt hingegen Unternehmen ein Downgrade-Recht ein, sodass<br />
ein installiertes Offi ce 2003 durchaus von einer Offi ce-2007-Lizenz abgedeckt sein<br />
kann. Problematisch ist auch immer eine gemischte Umgebung aus Fat Clients<br />
und einer Terminal-Server-Farm mit Thin Clients. Hier muss das Lizenzmanagement<br />
sehr fl exibel regelbasierte Defi nitionen von Lizenzpaketen ermöglichen, um<br />
eine automatisierte Lizenzbilanz erstellen zu können. Manche Volumenlizenzen<br />
erlauben zudem die Installation der Software auf einem privaten PC. An dieser<br />
Stelle wird schnell klar, dass hier eine Tabellenkalkulation an ihre Grenzen stößt.<br />
2.2.3 Inventarisierung ist Voraussetzung<br />
In kleinen Installationen ist die eingesetzte Software noch überschaubar, von<br />
Hand zählbar, und Information über die tatsächliche Nutzung können durch Benutzerbefragungen<br />
erlangt werden. Größere Umgebungen erfordern hingegen einen<br />
gewissen Automatisierungsgrad, um den Istzustand noch mit vertretbarem<br />
Aufwand feststellen zu können. Dies übernehmen Werkzeuge zur Software-Inventarisierung.<br />
Und auch bei deren Einsatz sind einige Dinge zu beachten.<br />
So reicht es beispielsweise nicht aus, lediglich zu einem bestimmten Zeitpunkt alle<br />
Rechner im lokalen Netz von einer zentralen Konsole aus zu inventarisieren. Denn<br />
hier gehen dem Unternehmen all diejenigen Rechner durch die Lappen, die gerade<br />
ausgeschaltet, offl ine oder im mobilen Einsatz sind. Gibt es solche Rechner im Unternehmen<br />
und bleiben diese bei der Inventarisierung außen vor, so kann man sie<br />
und auch das nachfolgende Lizenzmanagement eigentlich gleich ganz sein lassen.<br />
Um also ein vollständiges Bild aller installierten und genutzten Software zu erhalten,<br />
eignen sich für diese Aufgabe eher Produkte, die einen kleinen Software-<br />
Agenten auf allen Rechnern installieren. Dieser führt dann automatisch in vordefi -<br />
nierten Abständen lokale Inventarisierungsläufe durch und kann idealerweise<br />
seine Ergebnisse beispielsweise auch per E-Mail an eine zentrale Software- Asset-<br />
Management-Konsole im Unternehmen melden. Wichtig ist also immer, alle potenziell<br />
lizenzpfl ichtigen Systeme regelmäßig zu betrachten.<br />
Ein weiterer Punkt ist die Unterstützung der zu inventarisierenden Betriebssysteme.<br />
Gibt es aber etwa nur wenige Server unter einem vom Asset-Management<br />
nicht unterstützten Betriebssystem, so kann es aus Kostengründen durchaus sinnvoll<br />
sein, diese Rechner manuell zu inventarisieren. Denn auf Servern verändert<br />
sich der Software-Bestand im Vergleich zu Arbeitsplatzrechnern eher selten. In<br />
diesem Zusammenhang gilt es, ein immer wieder auftretendes Missverständnis zu<br />
beseitigen: Selbst wenn ein Server unter dem freien Betriebssystem Linux läuft, bedeutet<br />
dies nicht, dass für Software auf diesem Server keine kommerziellen Lizenzen<br />
notwendig sind. So kann etwa der Einsatz einer Open-Source-Datenbank<br />
im kommerziellen Umfeld durchaus eine Lizenzpfl icht auslösen.<br />
webcode: 1772789 53
2. <strong>Netzwerk</strong>-Management<br />
2.2.4 Organisation ist alles<br />
Neben der technischen Umsetzung sollte ein Unternehmen das Lizenzmanagement<br />
auch organisatorisch in seinen Abläufen verankern. Im ersten Schritt empfi<br />
ehlt es sich dabei, zunächst die Prozesse für die Beschaffung von Software, die<br />
Ablage von Software-Lizenzen und Lizenznachweisen, Prozesse für die Verteilung<br />
von Software sowie die Supportwege in einem Unternehmen zu dokumentieren.<br />
54 www.<strong>TecChannel</strong>.de<br />
Prozess: Zu<br />
einem erfolgreichenLizenzmanagement<br />
gehört auch ein<br />
fester Prozess<br />
für die Beschaffung<br />
und Installation<br />
von Software.<br />
(Quelle:<br />
Aagon)<br />
Bereits hier zeigen sich in der Praxis oft die ersten Unzulänglichkeiten, beispielsweise<br />
wenn die IT-Abteilung, der Einkauf oder einzelne Mitarbeiter die Prozesse<br />
der Beschaffung und Installation von Software höchst unterschiedlich interpretieren.<br />
Zudem vernachlässigen Unternehmen gern die Ablage aller vorhandenen Lizenzen<br />
und Original-Datenträger. Im schlimmsten Fall befi nden sich diese im<br />
Büro oder gar im Homeoffi ce der Anwender. Idealerweise wären sie an einem zentralen<br />
Ort in einem abschließbaren, feuerfesten Schrank aufgehoben, zu dem nur<br />
berechtigte Personen Zugang haben.<br />
4.2.5 Fazit<br />
An einem umfassenden und verantwortungsvollen Lizenzmanagement kommt<br />
heute unter rechtlichen Aspekten kein Unternehmen vorbei. In der Praxis bewegen<br />
sich allerdings viele immer noch zwischen strafrechtlich relevanter Unterlizenzierung<br />
und verschwenderischer Überlizenzierung. Dabei muss Lizenzmanagement<br />
nicht teuer sein, und die richtigen Werkzeuge können sich durch erzielte<br />
Einsparungen in kurzer Zeit amortisieren.
Grundlagen: Lizenzmanagement im Unternehmen<br />
Wo stehe ich gerade: In der Lizenzbilanz sieht der Administrator per Knopfdruck, wo sein Unternehmen<br />
über- oder unterlizenziert ist. (Quelle: Aagon)<br />
Auf der Suche nach dem richtigen Tool sollten Unternehmen darauf achten, dass<br />
es keinen Rechner und keine Lizenzform außen vor lässt, alle notwendigen Daten<br />
inventarisiert, einfach zu bedienen ist und ihnen so viel Arbeit wie möglich abnimmt.<br />
Letzteres gilt sowohl für die Inventarisierung wie auch für die Pfl ege der<br />
Lizenzen und die automatische Erstellung einer Lizenzbilanz.<br />
Matthias Juchhoff<br />
Matthias Juchhoff ist Microsoft Certifi ed Professional für Softwareassetmanagement<br />
und Produktmanager für ACMP bei Aagon Consulting in Soest.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Grundlagen: Lizenzmanagement im Unternehmen 1772789 S.51<br />
Spiceworks 3.1: Kostenlose Management-Software 1743311 –<br />
ZENworks Confi guration Management: Installation 1752575 –<br />
Grundlagen: Intel Active Management Technology 432854 –<br />
Grundlagen: System- und <strong>Netzwerk</strong>-Management 402047 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1772789 55
3. <strong>Netzwerk</strong>-Grundlagen<br />
3 <strong>Netzwerk</strong>-Grundlagen<br />
<strong>Netzwerk</strong>-Grundlagen bilden den Schwerpunkt dieses Kapitels. Zu Beginn widmen<br />
wir uns den Energieeinsparmöglichkeiten im Rahmen der <strong>Netzwerk</strong>infrastruktur.<br />
Weiter geht es um die Basis jeder fest vernetzten Einheit: der Verkabelung,<br />
genauer um die drei wichtigste Kabeltypen, nämlich Koaxial-Kabel, Twisted<br />
Pair-Kabel und Lichtwellenleiter. Im Bereich drahtloser Netze beschäftigen wir<br />
uns mit der Funktionsweise von Bluetooth, UMTS, HSPA und Femtozellen.<br />
3.1 Green IT: Energiesparpotenzial<br />
bei <strong>Netzwerk</strong>en<br />
In Diskussionen um den Energiebedarf professioneller IT ist meist von plakativen<br />
Systemen wie Servern oder Storage die Rede. Bei Einführung einer neuen Prozessorgeneration<br />
geht es längst nicht mehr nur um die absolute Performance, sondern<br />
um die Energieeffi zienz derselben. Die Leistungsaufnahme der <strong>Netzwerk</strong>infrastruktur<br />
führt da eher ein Schattendasein, dabei gibt es auch dort Sparpotenzial.<br />
Energiebedarf: Das Sparpotenzial eines Firmen-LAN reicht für 125 Einfamilienhäuser.<br />
Das Thema Green IT fi ndet häufi g auf Komponentenebene statt, oder bezüglich<br />
der entsprechenden Systeme wie Servern und deren Aufenthaltsräumen. In Diskussionen<br />
um die <strong>Netzwerk</strong>infrastruktur steht in vielen Fällen noch die Perfor-<br />
56 www.<strong>TecChannel</strong>.de
Green IT: Energiesparpotenzial bei <strong>Netzwerk</strong>en<br />
mance im Vordergrund, dabei geht auch der Datentransport nicht ohne entsprechende<br />
Leistungsaufnahme vonstatten. <strong>Netzwerk</strong>anwendungen wie Collaboration<br />
beziehungsweise Videoconferencing sollen ganzheitlich betrachtet die Energiebilanz<br />
eines Unternehmens verbessern – zumindest, wenn es nach den Aussagen der<br />
Hersteller geht.<br />
Ein großer LAN-Switch mit Power over Ethernet (PoE) kann bis 1000 Watt Leistungsaufnahme<br />
haben, so rechnet Jörg Kracke, Geschäftsführer bei 3Com Deutschland<br />
(www. 3com.de), vor. Ebenso schlägt sich der ständige Wettlauf um höhere<br />
Übertragungsraten im Netz negativ auf die Energiebilanz nieder. „10 Gigabit<br />
Ethernet ist zwar hundertmal schneller als Fast Ethernet“, so Kracke weiter, „verbraucht<br />
aber auch die sechsfache Strommenge.“<br />
Eine höhere Leistungsaufnahme hat den Effekt, dass die Abwärme in den Etagenverteilern<br />
steigt. Diese sind meist weit davon entfernt, in Sachen Klimatisierung<br />
etwa wie ein Serverraum betrachtet zu werden. Kurzum, in den Etagenverteilern<br />
ist nachfolgend eine zusätzliche Kühlung nötig, die ihrerseits wiederum den Energiebedarf<br />
erhöht. Addieren sich alle diese negativen Faktoren, wartet auf den Anwender<br />
noch eine weitere Kostenfalle: Die Stromverkabelung muss eventuell erneuert<br />
werden, weil sie dem gestiegenen Verbrauch nicht gewachsen ist.<br />
Was es bei der entsprechenden Kühlung von Serverräumen zu beachten gilt, verrät<br />
Ihnen der Beitrag Green IT: Energiesparende Klimatisierung in Serverräumen<br />
(Webcode 1769088). Dem komplexen Thema Energiemanagement widmet sich<br />
der Artikel Green IT: Strom sparen in Serverräumen durch optimales Energiemanagement<br />
(Webcode 1760738).<br />
3.1.1 Performance benötigt Energie<br />
Eine Erklärung für den steigenden Energiebedarf bei höheren Transferraten im<br />
Netz liefert Jan Roschek, Direktor bei Cisco (www.cisco.com) in Deutschland:<br />
„Mit den steigenden Geschwindigkeiten erhöhen sich im Kupferkabel die Fehler<br />
durch Störungen, sodass schnellere und effi zientere Korrekturverfahren verwendet<br />
werden müssen.“ Und diese erforderten mehr Rechenleistung, was sich direkt<br />
in einem höheren Stromverbrauch widerspiegle. Auf der anderen Seite lassen sich<br />
die im Kabel entstehenden Störungen erst mittels moderner digitaler Signalverarbeitung<br />
unterdrücken und so eine Übertragung per Kupferkabel realisieren.<br />
Sparsame Glasfaser<br />
Vor diesem Hintergrund kann die Glasfaser gleich doppelt punkten. Zum einen<br />
treten bei ihr, so 3Com-Geschäftsführer Kracke, in engen Kabelschächten keine<br />
Übertragungsfehler durch Übersprechen auf, zum anderen verbraucht sie weniger<br />
Strom, da DSP zur Fehlerkompensation entfallen kann. Pro <strong>Netzwerk</strong>-Port<br />
braucht die Glasfaser mit einem Watt, wie Cisco-Manager Roschek vorrechnet,<br />
rund sieben Watt weniger als ein klassischer Kupferkabelanschluss. Allerdings ist<br />
webcode: 1779595 57
3. <strong>Netzwerk</strong>-Grundlagen<br />
auch beim Kupferkabel in Sachen Ethernet noch nicht das letzte Wort gesprochen:<br />
Das US-amerikanische Normierungsgremium IEEE arbeitet unter der Bezeichnung<br />
„IEEE 802.3az“ (www.ieee802.org/3/az/index.html) an einer Erweiterung<br />
der Ethernet-Standards um das „Energy Effi cient Ethernet“. Davon verspricht sich<br />
etwa David Law, Chairman der IEEE-802.3, enorme Einsparmöglichkeiten.<br />
Übertragung: Glasfaseranschlüsse benötigen pro Port rund sieben Watt weniger Energie als ein<br />
klassischer Kupferkabelanschluss.<br />
3.1.2 Zukunft: Energy Effi cient Ethernet<br />
Die Idee hinter Energy Effi cient Ethernet ist, dass ein LAN-Port nur noch dann<br />
Strom verbraucht, wenn auch wirklich gerade Daten übertragen werden. Im Leerlauf<br />
sollte er dann einen Energiebedarf von annähernd null Watt aufweisen. Damit<br />
hält im LAN ein Gedanke Einzug, der im Carrier-Umfeld bei den DSL-Zugängen<br />
bereits verwirklicht ist: So verfügt ADSL2/2+ genau über eine solche<br />
Stromsparfunktion, die im DSL-Modem und im DSLAM den Energieverbrauch<br />
senkt, wenn keine Daten übertragen werden, die Geräte also in eine Art Schlafmodus<br />
schickt.<br />
Beim Energy Effi cient Ethernet sollen Daten in möglichst kurzer Zeit mit höchster<br />
Geschwindigkeit übertragen werden. Danach soll der Port in einen Schlafzustand<br />
verfallen, wo er fast keinen Strom verbraucht. Steht dann eine neue Übertragung<br />
an, werden die beteiligten Kommunikations-Ports mit einem Wecksignal wieder<br />
in den aktiven Übertragungsmodus versetzt. „Und der typische Ethernet-Port<br />
eines Endgeräts befi ndet sich zu 99 Prozent der Zeit im Leerlauf und benötigt heute<br />
dennoch unvermindert Energie“ erklärt Law das Potenzial der neuen Technik.<br />
So vielversprechend der Energy-Effi cient-Ethernet-Ansatz auch klingt, bei den<br />
momentanen Bemühungen, den Energiebedarf zu senken, bringt er wenig: Branchenkenner<br />
rechnen nämlich erst 2010 mit einer Verabschiedung der IEEE-Norm<br />
802.3az. Zudem müssen die Anwender erst einmal kräftig investieren. „Energy Effi<br />
cient Ethernet funktioniert nur“, so IEEE-Mitglied Law, „wenn beide Endpunkte<br />
einer Verbindung einem Upgrade unterzogen werden – also etwa ein Switch-Port<br />
58 www.<strong>TecChannel</strong>.de
Green IT: Energiesparpotenzial bei <strong>Netzwerk</strong>en<br />
und der <strong>Netzwerk</strong>-Port eines Rechners.“ Für die Anwender bleibt zumindest ein<br />
Trostpfl aster: Die Technik ist abwärtskompatibel zum klassischen Ethernet, sodass<br />
etwa gemischter Betrieb möglich ist und eine Einführung mit der Substitution<br />
vorhandener Notebooks und PCs durch neue Geräte erfolgen kann, denn bei kommenden<br />
Produktgenerationen dürfte IEEE 802.3az ein Standard-Feature sein.<br />
3.1.3 Reduktion der Interface-Karten<br />
802.3az ist allerdings nicht die einzige Anstrengung der IEEE, um den Energieverbrauch<br />
der Netzinfrastruktur zu senken. Laut Law arbeitet „die IEEE 802.1 Data<br />
Centre Bridging Task Group (www.ieee802.org/1/pages/dcbridges.html) an einem<br />
Standard für ein konvergentes Ethernet im Rechenzentrum“. Dabei geht es darum,<br />
die Zahl der diversen Subnetze in einem Rechenzentrum wie etwa LAN und<br />
Speichernetz zu reduzieren und so Strom zu sparen, konkretisiert Cisco-Manager<br />
Roschek. Unter dem Schlagwort Unifi ed I/O sollen so die oft zahlreichen Network<br />
Interface Cards (NICs), Host Bus Adapters (HBAs) und Host Channel Adapters<br />
(HCAs) eines Servers auf wenige Converged Network Adapters (CNAs) reduziert<br />
werden, die ihre Daten über ein einziges 10-Gigabit-Ethernet austauschen. Allerdings<br />
steht auch diese Entwicklung erst am Anfang, und bereits erhältliche Lösungen<br />
unterliegen vorerst dem Generalverdacht, „proprietär“ zu sein, da noch<br />
kein Standard existiert. Geht es nach Cisco, soll dieser als Data Center Ethernet<br />
(DCE) verabschiedet werden.<br />
Stromsparen durch grundlegend neue Standards ist aber nur eine Option. Ebenso<br />
lässt sich der Energieverbrauch mit einem modernen Produktdesign senken. Roschek<br />
zufolge verbraucht ein einzelner 10GBase-T-Adapter heute, wenn das Hardware-Design<br />
mit einem Field Programmable Gate Array (FPGA) realisiert wurde,<br />
unter dem Strich 20 Watt. Konstruiert man dagegen den gleichen Netzadapter mit<br />
einem Application Specifi c Integrated Circuit (Asic) als Baustein, dann reduziert<br />
sich der Energieverbrauch auf die Hälfte. In das gleiche Horn bläst IEEE-Mitglied<br />
Law: „Die Anwender können bereits heute Geld und Energie sparen, wenn sie auch<br />
im <strong>Netzwerk</strong> bei Neuanschaffungen auf die Energieeffi zienz achten.“<br />
Neue Geräte brauchen weniger Strom<br />
Wie hoch diese Unterschiede ausfallen können, zeigt 3Com-Geschäftsführer Kracke<br />
an einem Beispiel aus dem eigenen Haus: „Tauscht man einen Gigabit Switch<br />
der älteren Generation – etwa einen 3Com 4924 gegen einen 3Com 4200G – aus,<br />
ergibt sich eine Ersparnis von 178 Watt pro Switch.“ Auf den ersten Blick scheint<br />
dies keine berauschende Einsparung zu sein – beim Netz wird jedoch gern vergessen,<br />
dass die Verbesserungen 100- beziehungsweise 1000-fach erzielt werden. Legt<br />
man beispielsweise ein typisches Unternehmens-LAN mit 100 Ethernet-Switches<br />
und 2000 Netzknoten zugrunde, ergeben sich ganz andere Größenordnungen: Es<br />
werden rund 156.000 Kilowattstunden eingespart. „Eine Menge, die der jährlichen<br />
Beleuchtung von 125 Einfamilienhäusern entspricht“, veranschaulicht Kracke.<br />
webcode: 1779595 59
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.1.4 Feintuning<br />
Ferner existieren einige Stellhebel, um mit relativ wenig Aufwand den Energieverbrauch<br />
zu reduzieren. Gerade bei größeren Netzkomponenten, die zur Verbesserung<br />
der Ausfallsicherheit redundant aufgebaut sind, gehen 30 bis 40 Prozent des<br />
Stromverbrauchs darauf zurück, dass die Stromversorgung ineffi zient ist. Deshalb<br />
ist darauf zu achten, dass die Effi zienz der Stromversorgung bei Volllast über 80<br />
Prozent liegt – analog den PC-Netzteilen der Spezifi kation 80-Plus. Diese Effi zienzsteigerung<br />
führt direkt zu einer anderen Sparmaßnahme: Warum müssen die<br />
Gehäuselüfter ständig laufen, wenn dank effi zienterer Stromversorgung weniger<br />
Energie in Wärme umgewandelt wird?<br />
Hier bieten sich temperaturgesteuerte Lüfter an, damit kein Strom für unnötige<br />
Kühlleistung gebraucht wird. An dieser Stelle sind auch die Hersteller gefordert,<br />
denn durch ein intelligentes Gehäuse- und Gerätedesign lassen sich viele Netzkomponenten<br />
auch komplett ohne Lüfter konzipieren. Das schont nicht nur das<br />
Energiebudget, sondern auch die Nerven der Anwender aufgrund der geringeren<br />
Geräuschbelastung. Eine weitere Kostenfalle unter Stromaspekten ist das im Zusammenhang<br />
mit WLANs und VoIP propagierte Power over Ethernet.<br />
Mit neuen Standards wie Enhanced Power over Ethernet beziehungsweise Power<br />
over Ethernet Plus, die Endgeräte mit 30 oder 60 Watt über das LAN versorgen<br />
sollen, stellt sich die Frage, ob jedes Device diese elektrische Leistung wirklich<br />
braucht. Hier ist darauf zu achten, dass die Produkte entsprechende Managementprofi<br />
le ermöglichen, um die maximale Leistung je nach den angeschlossenen Geräten<br />
festzulegen. Und diese Features sollten im Alltag dann auch genutzt werden.<br />
Jürgen Hill<br />
Jürgen Hill ist Redakteur bei unserer Schwesterzeitschrift Computerwoche und dort für Produkte &<br />
Technologien zuständig.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Green IT: Energiesparpotenzial bei <strong>Netzwerk</strong>en 1779595 S.56<br />
Green IT: Energiesparende Klimatisierung in Serverräumen 1769088 –<br />
Green IT: Strom sparen in Serverräumen ... 1760738 –<br />
Green IT: Hype oder Wirklichkeit? 1751091 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
60 www.<strong>TecChannel</strong>.de
3.2 Kabeltypen für LANs<br />
Kabeltypen für LANs<br />
In diesem Beitrag geht es in erster Linie um die Basis jedes Firmennetzwerks, die<br />
Verkabelung. Dafür existieren drei wichtige Kabeltypen, das Koaxial-Kabel, das<br />
Twisted-Pair-Kabel und Lichtwellenleiter. Auch wenn das althergebrachte Koaxialkabel<br />
in der neutigen IT-Praxis keine Rolle mehr spielt, gehen wir dennoch zunächst<br />
kurz auf den Urvater der <strong>Netzwerk</strong>verkabelung ein.<br />
3.2.1 Koaxialkabel<br />
Das Koaxialkabel ist nicht nur in der LAN-, sondern auch in der Hochfrequenz-<br />
(HF) und Antennentechnik ein häufi g verwendetes Medium. Dabei werden im<br />
Wesentlichen drei Typen unterschieden: 50-Ohm-Koaxialkabel nach dem IEEE<br />
802.3-Standard (CSMA/CD) für 10Base2- (RG58) und 10 Base5-Verbindungen;<br />
75-Ohm-Koaxialkabel nach dem IEEE 802.7-Standard für Breitbandnetze; 93-<br />
Ohm Koaxialkabel (RG 62) für IBM-Terminal-Verbindungen.<br />
Für LANs ist im Grunde genommen lediglich das Koaxialkabel mit einer Impedanz<br />
von 50 Ohm (+/- 2 Ohm) von Bedeutung, welches es in einer unterschiedlichen<br />
Ausführung für 10Base5 und für 10Base2 gibt. Das ursprüngliche LAN-Koaxialkabel<br />
laut 10Base5 hat eine ungefähre Dicke von 10 mm und wird in gelber<br />
Farbe geliefert, woher auch seine übliche Bezeichnung ( Yellow Cable) stammt.<br />
Mit einer Signalfrequenz von 10 MHz über eine Länge von 500 m betrieben, darf<br />
es eine Dämpfung von maximal 8,5 dB aufweisen. Das Gleiche gilt für das dünnere<br />
Koaxialkabel (RG58, etwa 5mm Dicke), allerdings sind dann als maximale Länge<br />
nur noch 185 m zulässig. Hieraus resultiert also letztendlich die maximale Länge<br />
eines Ethernet-Segments.<br />
Verstärkungen<br />
Die folgende Tabelle zeigt einige gebräuchliche dB-Angaben für Verstärkungen;<br />
für die Dämpfung ist jeweils der Kehrwert des Faktors zu nehmen (zum Beispiel<br />
-3dB bei Spannungen entspricht einem Verhältnis von 0,707).<br />
Tabelle 1: Beispiele für positive dB-Angaben<br />
Dezibel Spannungs- und Stromverhältnis (Faktor) Leistungsverhältnis (Faktor)<br />
0 dB x1 x1<br />
3 dB x1,413 x2<br />
6 dB x2 x4<br />
10 dB x3,16 x10<br />
20 dB x10 x100<br />
webcode: 1757142 61
3. <strong>Netzwerk</strong>-Grundlagen<br />
40 dB x100 x10000<br />
60 dB x1000 x1000000<br />
80 dB x10000 x1000000000<br />
100 dB x100000 x10000000000<br />
120 dB x1000000 x1000000000000<br />
Koaxialkabel für <strong>Netzwerk</strong>verbindungen gibt es im Computer- und Elektronikfachhandel<br />
– je nach Länge – ab ca. 2,50 Euro. Wo die Längen der fertig konfektionierten<br />
Koaxialkabel bei einer Installation ausreichen, sollte nicht versucht werden,<br />
die Verbindungsleitungen selbst herzustellen, also Kabel und Stecker einzelnen<br />
zu erwerben und die Stecker selbst anzulöten oder auch aufzuquetschen (crimpen).<br />
Das erscheint zunächst zwar preiswerter, ist jedoch oftmals für <strong>Netzwerk</strong>fehler<br />
verantwortlich.<br />
Die Einheit Dezibel – dB – ist nach Alexander Graham Bell, dem Erfi nder des Telefons benannt und<br />
eine Maßeinheit für das Verhältnis zweier absoluter elektrischer Größen wie Strom, Spannung und<br />
Leistung. Das Verhältnis wird logarithmisch (lg = log10, zur Basis 10) und nicht linear ausgedrückt,<br />
damit auch große Unterschiede im absoluten Wert der Größen mit kleinen Zahlen angegeben<br />
werden können, wie es etwa in der Nachrichtentechnik üblich ist. Des Weiteren gibt es noch weitere<br />
vom Dezibel abgeleitete Messgrößen, die jedoch als Absolut- und nicht als Relativwerte zu verstehen<br />
sind, wie der absolute Spannungs- (dBu) und der absolute Leistungspegel (dBm), auf die man<br />
sich per Defi nition (0,775 V, 1 mW) bezieht. Spannungsverhältnis: a = 20 lg U1/U2 dB a: Dämpfungsmaß,<br />
U1: Eingangsspannung, U2: Ausgangsspannung v = 20 lg U2/U1 dB v: Verstärkungsmaß,<br />
U1: Eingangsspannung, U2: Ausgangsspannung Leistungsverhältnis: a = 10 lg P1/P2 dB a:<br />
Dämpfungsmaß, P1: Eingangsleistung, P2: Ausgangsleistung v = 10 lg P2/P1 dB v: Verstärkungsmaß,<br />
Eingangsleistung, P2: Ausgangsleistung Absoluter Spannungspegel: Lu = 20 lg Ux/0,775 V<br />
dBu Lu: absoluter Spannungspegel, Ux: Eingangsspannung Absoluter Leistungspegel: Lp = 10 lg<br />
Px/1 mW dBm Lp: absoluter Leistungspegel, Px: Eingangsleistung.<br />
Cheapernet<br />
Das bei 10Base2, der üblichen Installationsart ( Cheapernet), zu verwendende Koaxialkabel<br />
wird einfach von PC zu PC geführt, mittels T-Stücken zu einem Bus verbunden<br />
und an den beiden Enden jeweils mit einem Terminierungswiderstand<br />
(50 Ohm) abgeschlossen. Das Koaxialkabel ist dabei vom Typ RG58 und besteht<br />
aus einem Innenleiter, der das Datensignal führt, und dem Außenleiter, einer Abschirmung,<br />
die sich auf Massepotential befi ndet. Auf Grund der Tatsache, dass die<br />
Abschirmung als Gefl echt das Datensignal nach außen hin schützt (abschirmt), ist<br />
die Störanfälligkeit dieser Verbindung relativ gering.<br />
Der Nachteil von 10Base2 und auch 10Base5 per AUI-Anschluss mit externem<br />
Transceiver ist zweifellos der, dass es bei einer Verkabelung mit Koaxialkabel keine<br />
Möglichkeit gibt, hiermit im Bedarfsfall eine Steigerung der Datenübertragungsrate<br />
auf 100 MBit/s (Fast Ethernet) oder höher vornehmen zu können, denn dies<br />
ist nur mit Hilfe von Twisted Pair-Kabeln möglich.<br />
62 www.<strong>TecChannel</strong>.de
Kabeltypen für LANs<br />
Mit dem dünnen Koaxialkabel (Cheapernet) darf die maximale <strong>Netzwerk</strong>segmentlänge 185 m nicht<br />
überschreiten. Es sind maximal 30 Stationen möglich, zwischen denen ein Mindestabstand von 0,5<br />
m Kabel notwendig ist, und es sind nicht mehr als vier Repeater zulässig.<br />
Überprüfung des <strong>Netzwerk</strong>s<br />
Wenn sich ein PC in einem <strong>Netzwerk</strong> nicht ansprechen lassen will, sollte nach der<br />
Kontrolle der Einstellungen die Aufmerksamkeit auf die korrekte Verkabelung gerichtet<br />
werden. Die Überprüfung eines <strong>Netzwerk</strong>(-segments) mit Koaxialkabel<br />
(Cheapernet) lässt sich relativ einfach mit einem üblichen Multimeter im Widerstandsmessbereich<br />
durchführen.<br />
Zuerst zieht man die T-Stücke (mit den Kabeln) bei allen an diesem Segment angeschlossenen<br />
PCs ab und an einem Ende auch den einen Widerstand, woraufhin<br />
sich von der anderen Seite des Segmentes her mit dem Messgerät ungefähr 50<br />
Ohm messen lassen sollten, eben der Wert des Abschlusswiderstandes. Ein besonders<br />
Augenmerk ist dabei stets dem Signalkontakt in der Mitte des BNC-Stecker<br />
(BNC: Bayonet Neill Concelmann) zu widmen, da dieser durch mechanische Beschädigung<br />
oder auch nachlässige Konfektionierung häufi g zu weit hinten liegt,<br />
wodurch kein Kontakt gegeben ist.<br />
Abbildung 1: Der Kontaktstift<br />
in der Mitte des BNC-Steckers<br />
liegt zu weit hinten, was für<br />
Kontaktprobleme verantwortlich<br />
ist.<br />
Anschließend wird der Abschlusswiderstands abgezogen, woraufhin der Wert unendlich<br />
angezeigt werden sollte, da es jetzt keinerlei Verbindung zwischen der Signal-<br />
und der Masseleitung geben kann und darf. Wenn dieser einfache Test nicht<br />
diese beiden Ergebnisse liefert, stimmt mit der Verkabelung etwas nicht, das bedeutet,<br />
es sind nunmehr alle Anschlüsse sowie auch die Kabel auf ihre Unversehrtheit<br />
hin zu überprüfen.<br />
Für die weitere Fehlereingrenzung geht man am besten Schritt für Schritt vor, das<br />
heißt man wiederholt diese Messung, indem das Segment verkürzt wird. Dazu<br />
wird der Abschlusswiderstand auf das T-Stück des benachbarten PCs gesteckt, gemessen,<br />
abgezogen, wieder gemessen, dann das nächste Teilstück hinzugenommen<br />
webcode: 1757142 63
3. <strong>Netzwerk</strong>-Grundlagen<br />
und so weiter, bis man die schadhafte Stelle ermittelt hat. Bei diesem „Durchgangstest“<br />
ist es wichtig, dass die T-Stücke nicht an den PCs angeschlossen sind, weil<br />
man sonst in die <strong>Netzwerk</strong>karten hinein misst, was keinerlei Aufschluss bietet.<br />
3.2.2 Twisted Pair-Kabel<br />
Ursprünglich wurde Twisted Pair-Kabel im Fernmeldebereich verwendet. In den<br />
80er Jahren wurde es dann zunehmend für die LAN-Verkabelung eingesetzt und<br />
den steigenden Anforderungen entsprechend laufend technisch verbessert, was zu<br />
immer höheren Übertragungsraten geführt hat. Für die Klassifi zierung von verdrillten<br />
Leitungen (Twisted Pair) sind erstmalig im Jahr 1994 von den amerikanischen<br />
Normungsinstituten EIA/TIA insgesamt sieben maßgebliche Kategorien<br />
defi niert worden, für die teilweise noch einige Unterkategorien existieren.<br />
Tabelle 2: Die verschiedenen Kategorien für Twisted-Pair-Kabel<br />
Kategorie Bedeutung/Daten<br />
1 Leistung eines konventionellen Telefonkabels mit einer maximalen Datenratevon<br />
1 MBit/s. Wird nicht für Datenübertragungen verwendet.<br />
2 Kabel als Ersatz/Nachfolger des Kategorie-1-Kabels. Datenraten von bis zu 4<br />
MBit/s sind über mittlere Entfernungen möglich. Wird für ISDN eingesetzt.<br />
3 Nicht abgeschirmte Kabel für Datenraten von bis zu 10 MBit/s bei einer Kabellänge<br />
von bis zu 100 m. Insbesondere für Telefonanlagen in den USA sowie für<br />
100BaseT4 und Token Ring. Ist für maximal 16 MHz spezifi ziert.<br />
4 UTP/STP-Kabel (20 MHz) für größere Entfernungen als mit Kategorie-3-Kabel<br />
bei einer Datenrate von maximal 20 MBit/s. Dieser Kabel-Typ ist nur in den<br />
USA gebräuchlich.<br />
5 Kabel für einen erweiterten Frequenzbereich (100 MHz). Gilt als Standardkabel<br />
und wird etwa für CDDI und Fast-Ethernet verwendet. Cat5e liegt eine genauere<br />
Spezifi kation (EIA/TIA-568B) zugrunde, und es kommt insbesondere für<br />
längere 100BaseT-Strecken in Deutschland sowie für 1000BaseT zum Einsatz.<br />
6 Frequenzbereich bis 250 MHz, wird durch EN 50288 defi niert und für ATM-<br />
Netze empfohlen. Leitungsfähigere Varianten sind Cat6a bis 625 MHz und<br />
Cat6e bis 500 MHz, die 10GBaseT ermöglichen.<br />
7 Frequenzbereich bis 600 MHz. Geringeres Nebensprechen und geringere<br />
Dämpfung als Kategorie-6-Kabel mit vier einzelnen abgeschirmten Adernpaarenplus<br />
Gesamtschirm.<br />
Link-Klassen<br />
In der Tabelle 2 sind die wichtigsten Daten für die TP-Kabel-Standards angegeben,<br />
die für Deutschland und Europa nur bedingt als verbindlich – im Sinne von<br />
zugesicherten Eigenschaften, die etwa eine Installationsfi rma garantieren kann –<br />
anerkannt sind. Stattdessen sind erstmalig 1995 verschiedene Link-Klassen (Ta-<br />
64 www.<strong>TecChannel</strong>.de
Kabeltypen für LANs<br />
belle 3), etwa in DIN EN 50173 und in ISO/IEC 11801, spezifi ziert worden, die<br />
nicht nur das Kabel selbst, sondern auch die Verbindung einschließlich der Anschlussdose<br />
verbindlich spezifi zieren und somit das Gesamtsystem mit genauen<br />
Übertragungseigenschaften (Klasse A-G) beschreiben.<br />
Tabelle 3: Die in Europa gültigen Link-Klassen für TP-Kabel<br />
Link-Klasse Max. Frequenz Anwendungen<br />
A 100 kHz Telefon, ISDN<br />
B 1 MHz ISDN<br />
C 16 MHz 10BaseT, Token Ring<br />
D 100 MHz 100BaseTX<br />
E 250 MHz 1000BaseT<br />
F 600 MHz 10GBaseT<br />
G 1 GHz 10GBaseT<br />
Die Twisted Pair-Kabel sind für Ethernet standardisiert und werden teils auch für<br />
andere Implementierungen (Token Ring, 100VGAnyLAN) verwendet, wobei insbesondere<br />
das Twisted Pair-Kabel der Kategorie 5 (Cat 5) universell einsetzbar und<br />
demnach sehr verbreitet ist. Hierfür ist ein Western-Stecker gemäß RJ45 als Standard<br />
anzusehen. Je nach LAN-Typ werden vier (etwa Fast-Ethernet) oder auch alle<br />
acht Adern eines Cat5-Kabels (etwa 100VGAnyLAN Gigabit-Ethernet) verwendet.<br />
Steckverbindungen<br />
Als Anschlussstecker ist für Twisted Pair-Kabel meist ein Western-Stecker vorgesehen,<br />
wobei es unterschiedliche Typen gibt, die sich sowohl in mechanischer als<br />
auch elektrischer Hinsicht – in der Verwendung der einzelnen Adern – voreinander<br />
unterscheiden.<br />
Das Format der Western-Steckverbindung ist zwar international genormt, nicht<br />
jedoch die Kontaktbelegung. Falls aus dem Kabelaufdruck oder der Beschreibung<br />
nicht hervorgeht, um welchen TP-Kabeltyp und für welchen Einsatzzweck es sich<br />
handelt, sollte vorsichtig sein, denn auch falls der Stecker passen sollte, können Signale<br />
im Kabel „gebrückt“ oder „verdreht“ sein, so dass die Steckerbelegung eben<br />
nicht 1:1 ist und es zu elektrischen Beschädigungen der damit verbundenen Geräte<br />
kommen kann. Insbesondere sehr kostengünstige Restbestände unbekannter<br />
Herkunft aus dem Elektronik-Versandhandel können hier für unangenehme<br />
Überraschungen sorgen, auch wenn sie als TP-<strong>Netzwerk</strong>kabel bezeichnet werden.<br />
Insbesondere Kabel mit RJ11-Stecker gibt es in zahlreichen unterschiedlichen Belegungen<br />
für viele verschiedene Geräte, was letztendlich Geräte- und /oder Hersteller-abhängig<br />
ist. Außerdem ist es wichtig, dass das Differenzsignal stets auf<br />
einem Adernpaar liegt, damit sichergestellt werden kann, dass sich äußere Stö-<br />
webcode: 1757142 65
3. <strong>Netzwerk</strong>-Grundlagen<br />
rungen auf das Kabel kompensieren können. Wie die Adernpaarzuordnung tatsächlich<br />
realisiert ist, kann aber nicht ohne weiteres, etwa mit einem Multimeter<br />
im Widerstandsmessbereich oder einem einfachen Kabeltester, festgestellt werden.<br />
Hiermit ist nur ein Signaldurchgang detektierbar, der aber auch bei einer<br />
falschen Adernpaarzuordnung vorliegt.<br />
66 www.<strong>TecChannel</strong>.de<br />
Abbildung 2: Die Zuordnung der Leitungspaare<br />
am RJ45-Anschluss<br />
Letztendlich wird die Adernpaarzuordnung durch die jeweilige Adapterschaltung<br />
wie etwa eine <strong>Netzwerk</strong>karte bestimmt, die entsprechend ausgeführte Übertrager<br />
einsetzt. Diese Zuordnung darf dann natürlich nicht durch ein falsch verdrahtetes<br />
<strong>Netzwerk</strong>kabel aufgehoben werden, was immer wieder bei selbst angefertigten<br />
Twisted Pair-Kabeln passiert.<br />
Die Verbindungen am Western-Stecker werden häufi g falsch hergestellt, indem die korrekte Zuordnung<br />
der Leitungspaare nicht beachtet wird, was sich insbesondere bei verhältnismäßig hohen<br />
Übertragungsraten und Distanzen als <strong>Netzwerk</strong>fehler äußert.<br />
Ethernet<br />
Bei einem Ethernet-Anschluss müssen zwei Adernpaare verbunden werden, die<br />
nicht nebeneinander liegen. Eine Verdrehung der Paarzuordnung hat bei Ethernet<br />
unter Umständen fatale Folgen. Es kommt dann zu langsamen <strong>Netzwerk</strong>verbindungen<br />
oder der Datenstrom reißt ab, was mit Fehlermeldungen einhergeht, die<br />
keineswegs auf ein fehlerhaftes Kabel hinweisen. Beim Einstecken eines RJ45-Steckers<br />
ist zu beachten, dass der Plastikhebel (Retention Clip) des Steckers an der<br />
Buchse einrastet, denn nur so ist eine stabile Verbindung möglich. Für das Herausziehen<br />
eines Western-Steckers aus einer Buchse ist demnach der Plastikhebel (mit<br />
dem Daumen) herunterzudrücken, damit der Stecker wieder freigegeben wird.<br />
Aus Unkenntnis über die Existenz dieser Stecksicherung am Western-Stecker wird<br />
immer wieder versucht, den Stecker mit einem hohen Kraftaufwand aus der Buchse<br />
zu ziehen, wobei mechanische Beschädigungen wie das Abbrechen des Plastikhebels<br />
die Folge sein können. Anschlusskabel mit abgebrochenem Plastikhebel
Kabeltypen für LANs<br />
sollten keinesfalls mehr verwendet werden, weil der Stecker durch geringe mechanische<br />
Beanspruchung aus der Buchse herausrutscht, wodurch dann gar keine<br />
oder nur eine sporadische elektrische Verbindung gegeben ist. Der RJ45-Stecker<br />
(IEC 60603-7) hat für alle üblichen Ethernet-Realisierungen die gleichen mechanischen<br />
Abmessungen, was demnach auch für Gigabit-Ethernet gilt. Für Kabel ab<br />
der Kategorie 6 und somit bereits für 10GBaseT wird als RJ45-Verbinder eine geschirmte<br />
Ausführung (IEC 60603-7-5) empfohlen, bei der die Verdrillung der<br />
Adernpaare soweit wie möglich erhalten bleibt. Äußerlich ist dabei jedoch keine<br />
Veränderung gegenüber dem bisherigen RJ45-Stecker erkennbar.<br />
Abbildung 3: Die GG45-<br />
Buchse ist für Cat7-Kabel<br />
spezifi ziert.<br />
Für Kabel der Kategorie 7 ist ein neuer Steckverbinder defi niert worden: GG45 der<br />
Firma Nexan. Er ist rückwärtskompatibel zu Cat6- und Cat5-Verbindungen, und<br />
der RJ45-Steckverbinder ist um vier neue Kontakte erweitert worden, die durch<br />
einen mechanischen Schaltmechanismus in der Buchse aktiviert werden.<br />
3.2.3 Kabelaufbau und Spezifi kationen<br />
Die Einzeladern, wovon maximal acht in einem LAN-TP-Kabel möglich sind, werden<br />
jeweils zu einem Paar verdrillt (Abbildung 4) und sind als isolierte Kupferleiter<br />
ausgeführt. Die Impedanz ( Wellenwiderstand) beträgt typischerweise 100<br />
Ohm +/-15%, wobei bei einigen zumeist älteren Kabeltypen (etwa Cat3) der Wellenwiderstand<br />
120 oder 150 Ohm beträgt.<br />
Bei Patchkabeln sind die Leitungen als Litze mit einem typischen Durchmesser<br />
von 0,4-0,5 mm ausgeführt und bei Kabeln für die feste Verlegung als Draht mit<br />
einem Durchmesser von jeweils 0,5-0,65 mm. Die Stärke des Kupferleiters wird<br />
oftmals als American Wire Gauge (AWG) angegeben; dabei ist die Drahtdicke bei<br />
einem höheren AWG geringer. Die typischen TP-Verlegekabel der Kategorien<br />
Cat5-Cat7 werden als AWG24 spezifi ziert, während AWG22-AWG27 im LAN-Bereich<br />
gebräuchlich sind.<br />
webcode: 1757142 67
3. <strong>Netzwerk</strong>-Grundlagen<br />
68 www.<strong>TecChannel</strong>.de<br />
Abbildung 4: In einem Twisted Pair-Kabel sind<br />
maximal vier miteinander verdrillte Kabelpaare<br />
vorhanden.<br />
Wie bereits beim Koaxialkabel erläutert, bewirkt die Dämpfung (in dB) eine Reduzierung<br />
der Signalamplitude in Abhängigkeit von der jeweiligen Leitungslänge.<br />
Die korrekte Erkennung einer Signalamplitude, die im schlimmsten Fall im Rauschen<br />
untergehen kann, wird durch ein vorgegebenes Signal-Rausch-Verhältnis<br />
(Signal to Noise Ratio, SNR) spezifi ziert. Wie die anderen wichtigen Parameter<br />
auch, wird diese Größe in dB (Dezibel) angegeben.<br />
Tabelle 4: Eckdaten von Kupferkabeln für <strong>Netzwerk</strong>e<br />
Standart Kabel Dämpfung Max. Länge<br />
10Base2 Koax, RG58 8,5 dB 185 m<br />
10Base5 Koax, Yellow Cable 8,5 dB 500 m<br />
10BaseT TP, Cat3 13,1 dB 100 m<br />
100BaseTX TP, Cat5 10,7 dB 100 m<br />
1000BaseTX TP, Cat5 22 dB 100 m<br />
Homogenitäten<br />
Auf Twisted Pair-Kabeln fi ndet eine differentielle Datenübertragung (symmetrisch)<br />
statt, es gibt daher mindestens zwei Sendeleitungen (TXD+, TXD-) und<br />
auch zwei Empfangsleitungen (RXD+, RXD-). Die Datensignale werden hier nicht<br />
wie bei einer Koaxialleitung auf die Masse bezogen, sondern das Nutzsignal liegt<br />
zwischen TXD- und TXD+, was dementsprechend auch für das Empfangssignal<br />
auf den RXD-Leitungen gilt.<br />
Dadurch werden Störsignale weitgehend unterdrückt, da sich ein äußeres Störsignal<br />
auf die beiden komplementären Signaladern auswirkt und das hieraus resultierende<br />
Differenzsignal idealerweise wieder zu Null wird. Voraussetzung ist hierfür,<br />
dass die Leitungen eines Adernpaares exakt gleich lang und zudem absolut<br />
homogen miteinander verdrillt sind.<br />
Fatal ist es, wenn die Paarzuordnung nicht korrekt ist. Selbst wenn ein TP-Kabel<br />
die genannten Bedingungen prinzipiell erfüllt, kann es bei der Verlegung des Kabels<br />
und den Anschlüssen (wieder) zu Inhomogenitäten kommen, weil das Kabel<br />
zu stark gequetscht wird oder die Anschlussdosen nicht optimal konfektioniert<br />
worden sind. Dies kann zur Verschlechterung der elektrischen Eigenschaften führen,<br />
was dann insbesondere bei Gigabit-Ethernet gravierende Auswirkungen hat:<br />
keine LAN-Verbindung.
Die Bandbreite<br />
Kabeltypen für LANs<br />
Ein häufi ges – eher grobes – Unterscheidungsmerkmal bei den Kategorien für TP-<br />
Kabel ist die Bandbreite. Laut den grundlegender Kabel-Standards wird nicht direkt<br />
auf eine bestimmte <strong>Netzwerk</strong>-Implementierung Bezug genommen, sondern<br />
es stellt sich gewissermaßen erst durch die Art der zu übertragenden Daten heraus,<br />
welches Medium geeignet ist. Dabei geht man von einem typischen Datenaufbau,<br />
-volumen und Transferverhalten aus und schlägt noch eine Sicherheitsreserve<br />
dazu, was dann zu den für diese oder jene <strong>Netzwerk</strong>-Implementierung empfohlenen<br />
Kabeltypen mit entsprechender Bandbreite (Tabelle 5) führt.<br />
Zu den genaueren Spezifi zierungsdaten gehört das Übersprechen (Cross Talk),<br />
was beim TP-Kabel bedeutet, dass sich die Signale der Adernpaare durch induktive<br />
und kapazitive Kopplungen der Leitungen im Kabel gegenseitig stören können.<br />
Das Near End Crosstalk (NEXT, Nahnebensprechen) ist ein derartiger unerwünschter<br />
Effekt, der die elektrische Beeinfl ussung von einem Leitungspaar zum<br />
anderen beschreibt und von der Frequenz abhängig ist. Je höher der NEXT-Wert<br />
ist, desto besser sind die Leitungspaare gegeneinander abgeschirmt, so dass sich<br />
die Signale möglichst nicht gegenseitig stören können. Insbesondere bei Gigabit-<br />
Ethernet mit TP-Kabel, wo die gleichzeitige Verwendung aller vier Leitungspaare<br />
im Gleichtakt praktiziert wird, kann dieser Effekt, der sich nur durch ausgeklügelte<br />
Kodierungen (Trellis) vermeiden lässt, stark zum Tragen kommen.<br />
Tabelle 5: Charakteristische Werte bei verschiedenen Kabelkategorien<br />
Kategorie Bandbreite Dämpfung NEXT<br />
3 16 MHz 17 dB bei 4 MHz 30 dB bei<br />
10 MHz 40 dB bei 16 MHz<br />
4 20 MHz 13 dB bei 4 MHz 22 dB bei<br />
10 MHz 25 dB bei 16 MHz<br />
5 100 MHz 13 dB bei 4 MHz 47 dB bei<br />
10 MHz 44 dB bei 16 MHz<br />
32 dB bei 100 MHz<br />
3.2.4 NEXT, NEXT-a, FEXT, ELFEXT und AXTLK<br />
32 dB bei 4 MHz 26 dB bei 10<br />
MHz 21 dB bei 16 MHz<br />
47 dB bei 4 MHz 41 dB bei 10<br />
MHz 38 dB bei 16 MHz<br />
53 dB bei 4 MHz 20 dB bei 10<br />
MHz 25 dB bei 16 MHz 67 dB<br />
bei 100 MHz<br />
Für Cat5-Kabel ist laut der EN 50173-Norm bei 100 MHz ein Wert von 67 dB für<br />
das NEXT gefordert, wie es auch in der Tabelle 5 angegeben ist. Diese Werte sind<br />
mittlerweile (ab Cat5e) strenger gefasst, so dass bei Cat7 der Klasse F bei einer Frequenz<br />
von 100 MHz die maximale Dämpfung nur noch 19,2 dB betragen darf. Bei<br />
der Maximalfrequenz von 600 MHz sind 50 dB erlaubt.<br />
Mit dem Cat5-Kabel sind für alle Ethernet-Standards bis hin zu 1000BaseT maximale Segmentlängen<br />
von 100 m möglich, wobei man von 90 m fest verlegtem Kabel und 10 m Patch-Kabel (von der<br />
Anschlussdose zum Gerät) ausgeht.<br />
webcode: 1757142 69
3. <strong>Netzwerk</strong>-Grundlagen<br />
Der Parameter für das Nahnebensprechen wird mitunter auch mit NEXT-a umschrieben,<br />
wobei das „a“ für die Dämpfung steht (Attenuation). Näherungsweise<br />
kann man S/N (dB) = NEXT (dB) - a (dB) setzen. Das Signal-Rauschverhältnis (S/<br />
R) entspricht demnach ungefähr dem Wert für das Nahnebensprechen minus der<br />
Dämpfung, womit man die wichtigsten Parameter im Zusammenhang hat. NEXTa<br />
wird auch als Attenuation to Crosstalk Ratio (ACR) bezeichnet und beschreibt<br />
genau genommen eben nicht nur das Kabel allein, sondern die Beschaffenheit einer<br />
gesamten Übertragungsstrecke.<br />
Das Fernnebensprechen ist die ungewollte Übertragung von Energie auf benachbarte<br />
Adern am Ende des Leitungswegs, was als Far End Crosstalk (FEXT) spezifi -<br />
ziert wird. Die Leitungslänge hat hierauf einen maßgeblichen Einfl uss, und deshalb<br />
wird am Leitungsende gemessen, wie stark ein Sendesignal auf dem Adernpaar<br />
1 die anderen drei beeinfl usst. Die relative Größe, die das Verhältnis von NEXT<br />
zum (gedämpften) Nutzsignal beschreibt, wird als ELFEXT ausgewiesen.<br />
Für die Beeinfl ussung zwischen den Aderpaaren einer Strecke ist oftmals ein Wert<br />
defi niert worden, der als Powersum der Summe aus NEXT, FEXT und ELFEXT<br />
entspricht. Bei der Datenübertragung über das <strong>Netzwerk</strong>kabel wird ein kleiner<br />
Teil des Nutzsignals als Echo refl ektiert, was als Return Loss bezeichnet wird. Der<br />
Wert in dB gibt somit einen Wert für den Anteil der refl ektierten und somit verlorenen<br />
Signalenergie an. Refl exionen treten insbesondere an Störstellen (Knick)<br />
und an Steckverbindern auf.<br />
Mit 10GBaseT ist noch ein weiteres Kriterium hinzugekommen, und zwar Alien<br />
Crosstalk (AXTLK), was als Fremdnebensprechen verstanden wird. Hiermit wird<br />
der Kopplungseffekt ausgewiesen, der sich zwischen Twisted Pair-Kabeln auswirkt,<br />
wenn die Kabel gebündelt werden.<br />
Schirmung<br />
Ein Twisted Pair-Kabel besteht – wie erläutert – aus mehreren, miteinander verdrillten<br />
Leitungen. Diese Kabel sind in unabgeschirmter (UTP, Unshielded Twisted<br />
Pair) und abgeschirmter (STP, Shielded Twisted Pair) Ausführung erhältlich.<br />
UTP-Kabel werden in Deutschland selten verwendet, obwohl weltweit über 90%<br />
aller LANs damit arbeiten. Stattdessen wird hier vorwiegend ein STP-Kabel verwendet,<br />
welches unempfi ndlicher gegen Störungen ist, weil hier ein Metallmantel<br />
in das Kabel eingearbeitet ist. Dieser wirkt einerseits gegen äußere Störungen als<br />
Abschirmung, andererseits begrenzt er aber auch das vom Kabel ausgehende elektrische<br />
Feld und somit die Abstrahlung des Kabels.<br />
Ein weiteres Unterscheidungsmerkmal ist die Art der Abschirmung. STP-Kabel<br />
gibt es mit einer gemeinsamen Abschirmung (S-UTP), die als Mantel (Gefl echt,<br />
Metallfolie) um alle Leitungen geführt ist, und in einer Auslegung, bei der jedes<br />
Aderpaar einzeln (STP) abgeschirmt ist. Zudem ist noch eine Variante namens<br />
S-STP erhältlich, bei der die Adern einzeln abgeschirmt sind und zusätzlich eine<br />
Gesamtabschirmung um alle Leitungen herum realisiert wird. Dieses gilt als das<br />
störungssicherste <strong>Netzwerk</strong>kabel und wird etwa für 10GBaseT verwendet.<br />
70 www.<strong>TecChannel</strong>.de
Abbildung 5: Der Aufbau der verschiedenen Twisted Pair-Kabel<br />
Normen<br />
Kabeltypen für LANs<br />
Die Begriffe UTP, STP, S-UTP sowie S-STP sind allerdings nicht genormt, so dass<br />
nicht selten auch andere Bezeichnungen für diese vier grundlegenden Kabeltypen<br />
verwendet werden. Bei einem FTP-Kabel (Foiled Twisted Pair) handelt es sich beispielsweise<br />
um ein STP-Kabel, bei dem die Adernpaare von einer Metallfolie umgeben<br />
sind. Zur deutlichen Unterscheidung wird die Gesamtschirmung üblicherweise<br />
mit Screened und die Adernschirmung mit Shielded ausgewiesen, wie es<br />
auch der Tabelle 6 zu entnehmen ist.<br />
Tabelle 6: Varianten des Twisted Pair-Kabels<br />
Typ Gesamtschirmung Adernschirmung<br />
U-UTP Unscreened Unshielded<br />
S-UTP Screened Unshielded<br />
U-STP Unscreened Shielded<br />
S-STP Screened Shielded<br />
FTP Unscreened Shielded<br />
Ältere Spezifi kationen der verschiedenen TP-Kabeltypen sind nicht selten unklar<br />
oder sogar widersprüchlich, und dem wird in der Norm ISO/IEC 11801 E<br />
aus dem Jahre 2002 mit einem einheitlichen Bezeichnungsschema in der Form<br />
xx/yzz begegnet:<br />
webcode: 1757142 71
3. <strong>Netzwerk</strong>-Grundlagen<br />
xx steht für die Gesamtschirmung: U = ungeschirmt; F = Folien-geschirmt; S<br />
= Gefl echtschirm; SF = Gefl echt + Folienschirmung<br />
y steht für die Adernpaarschirmung: U = ungeschirmt; F = Folien-geschirmt;<br />
S = Gefl echtschirm<br />
zz steht für Twisted Pair<br />
3.2.5 Kabelverlegung<br />
Generell sind auch die Masseverhältnisse bei einer LAN-Verbindung von Bedeutung.<br />
Beim Koaxialkabel wird daher an einem Ende des Segments mit einer Kette<br />
eine Erdung vorgenommen. Eine extra Erdungsmöglichkeit gibt es beim TP-Kabel<br />
nicht, doch in den Hubs und Switches, die an das Stromnetz angeschlossen<br />
sind, fi ndet möglicherweise eine Erdung statt, was letztendlich vom Geräteaufbau<br />
abhängig ist. Bei einem Metallgehäuse mit internem Netzteil kann man in der Regel<br />
davon ausgehen, dass dem so ist; bei Geräten im Plastikgehäuse oder mit externem<br />
Steckernetzteil ist dies hingegen nicht der Fall.<br />
Obwohl in den Einheiten Übertrager zum Einsatz kommen, die eine galvanische<br />
Trennung zwischen der LAN-Elektronik auf der <strong>Netzwerk</strong>karte oder auch im<br />
Switch zum LAN-Segment hin vornehmen, können sich ungeordnete Masseverhältnisse<br />
ergeben, und zwar durch die Verwendung unterschiedlich aufgebauter<br />
TP-Kabel, also etwa die Kombination von STP, S-UTP oder auch S-STP.<br />
Problemen, die aus einer derartigen Installation resultieren, auf den Grund zu<br />
kommen, ist nicht trivial und bleibt letztendlich dem professionellen LAN-Techniker<br />
mit speziellen Messgeräten vorbehalten. Daher kann man nur empfehlen,<br />
möglichst einheitliche TP-Kabel zu verwenden. Eine Mischung etwa von S-STPmit<br />
S-UTP führt zudem zu einer erhöhten Störanfälligkeit. Dann wäre es besser,<br />
wenn ausschließlich S-UTP zum Einsatz käme. Weil nachträgliche Änderungen an<br />
einer LAN-Verkabelung oftmals nicht mehr ohne weiteres möglich sind, sollte auf<br />
jeden Fall versucht werden, einzelne Segmente mit einheitlichen TP-Kabeln aufzubauen,<br />
was mindestens die Strecke vom PC bis hin zum Switch-Port bedeutet, besser<br />
natürlich noch den ersten Switch mit den weiteren Ports einbezieht.<br />
Die Selbstanfertigung von Twisted Pair-Verbindungen mit Crimp-Zange und einzelnen RJ45-Steckern<br />
ist keine empfehlenswerte Methode für den Aufbau eines aktuellen LANs. Stattdessen sollten<br />
Patch-Kabel von Markenherstellern eingesetzt werden. Feste Gebäude-Installationen überlässt man<br />
dem Fachmann, der auch Messprotokolle über die verlegten Strecken anfertigen kann.<br />
Qualität der Kabel<br />
Nach Möglichkeit ist von einer Selbstanfertigung von TP-Verbindungen abzusehen,<br />
denn aus den obigen Erläuterungen sollte ersichtlich sein, dass eine Reihe<br />
von Faktoren eine LAN-Verbindung negativ beeinfl usst, auch wenn man dem<br />
RJ45-Stecker und dem Kabel die jeweilige Bedeutung nicht ansieht.<br />
72 www.<strong>TecChannel</strong>.de
Kabeltypen für LANs<br />
Patch-Kabel, die typischerweise die Verbindung zwischen einem PC und einem<br />
Switch herstellen, gibt es in handelsüblichen Längen (0,5-30m) mit entsprechender<br />
Kennzeichnung (Cat5e, Cat6a) und auch in unterschiedlichen Farben, die die Orientierung<br />
in dem mitunter existierenden Kabelwust erleichtern.<br />
Den als besonders preisgünstig erscheinenden Sonderangeboten für fertig konfektionierte<br />
TP-Kabel kann man von außen kaum ansehen, wie es mit der Qualität<br />
bestellt ist und ob es hiermit nicht spätestens mit Gigabit-Ethernet Probleme gibt.<br />
Stattdessen sollte ein Produkt von einem Markenhersteller bevorzugt werden, der<br />
auch die relevanten Kabelparameter veröffentlicht bzw. explizit die Eignung für<br />
die jeweils zu realisierende LAN-Verbindung garantiert.<br />
In der Vergangenheit war man mit Cat5-Kabel (S-UTP) auf der sicheren, das heißt<br />
der zukunftssicheren Seite, was für 10GBaseT jedoch nicht mehr gilt, so dass bei<br />
Neuverlegungen möglicherweise das gegenüber Cat5e etwa dreimal so teure Cat7-<br />
Kabel für die Gebäudeinstallation notwendig wird. Für Rauminstallationen hingegen<br />
reicht weiterhin das Cat5-Kabel bis maximal Gigabit-Ethernet aus, denn zum<br />
jetzigen Zeitpunkt ist es eher unwahrscheinlich, dass 10GBaseT direkt bis an einzelne<br />
PCs geführt werden wird.<br />
Verlegung des LAN-Kabels<br />
Bei kleineren LAN-Installationen ist eine Verlegung von „losen“ Patch-Kabeln, die<br />
es bis hin zu 30 m Länge gibt, die beste Methode, was man auch leicht selbst ausführen<br />
kann. Wo es möglich ist, können bereits vorhanden Kabelschächte und<br />
Mauerdurchbrüche für die <strong>Netzwerk</strong>kabel genutzt werden.<br />
Abbildung 6: Slimwire-Kabel<br />
sind sehr fl ach und lassen sich<br />
auch an kritischen Stellen recht<br />
unauffällig verlegen.<br />
Ein Signalübersprechen ist dabei unwahrscheinlich, weil mit einem Kabel jeweils<br />
nur eine einzige LAN-Verbindung realisiert wird und nicht mehrere Verbindungen<br />
in einem Kabel geführt werden, wie es bei Kabeln für die feste Verlegung<br />
meist der Fall ist. Dennoch sollten LAN-Kabel sicherheitshalber nicht mit anderen<br />
Elektrokabeln (per Kabelbinder) gebündelt werden.<br />
Bei Mauerdurchbohrungen für LAN-Kabel ist der RJ45-Stecker (mit dem Plastikhebel)<br />
mitunter ein Hindernis, weil das Loch 1,5-2 cm groß sein muss, damit der<br />
webcode: 1757142 73
3. <strong>Netzwerk</strong>-Grundlagen<br />
Stecker hindurchpasst. Ihn abzuschneiden, um dann nach dem Durchstecken des<br />
LAN-Kabels den Stecker per Crimp-Zange wieder aufzuquetschen, ist jedoch keine<br />
sinnvolle Alternative.<br />
Für Power Over Ethernet sind zunächst die Vorgaben der Gerätehersteller von Bedeutung. Bei der<br />
Verkabelung muss außerdem der maximal zulässige Strom beachtet werden, so dass möglicherweise<br />
dickere LAN-Kabel eingesetzt werden müssen.<br />
Verlegung von Profi s<br />
Gegebenenfalls ist ein Übergang auf dünne LWL-Verbindungen eine Möglichkeit<br />
für die Verlegung, zumindest für bestimmte Strecken (im Backbone), was man<br />
ebenfalls selbst durchführen kann, wenn man sich an die Standardlängen halten<br />
kann oder Polymer Optical Fiber verwendet, welches sich beliebig zuschneiden<br />
lässt. Die feste Verlegung von Twisted Pair-Kabeln für die Gebäudeinstallation ist<br />
demgegenüber eine Arbeit für den Fachbetrieb, wobei auch Elektriker und Firmen<br />
für die Antenneninstallation entsprechende LAN-Installationsarbeiten anbieten.<br />
Dabei sollte als Kunde unbedingt darauf geachtet werden, dass die Firma ein Messprotokoll<br />
entsprechend der gültigen Normen (ISO/IEC 11801 oder TIA/EIA 568<br />
B.2) anfertigen kann. Damit ist die <strong>Netzwerk</strong>verkabelung eindeutig spezifi ziert<br />
worden, und etwaige spätere Kommunikationsprobleme können nicht im LAN<br />
selbst begründet sein, solange die Spezifi kationen auch von der Geräteseite her<br />
eingehalten werden.<br />
Auch wenn immer wieder der Eindruck erweckt wird, dass die Verlegung von<br />
<strong>Netzwerk</strong>kabeln eine einfache Sache ist, die auch von einem Laien durchgeführt<br />
werden kann, ist dies bei festen Gebäudeinstallationen, wo möglicherweise sogar<br />
mehrere Gebäudekomplexe vernetzt werden müssen, keineswegs mehr der Fall. Es<br />
reicht nicht aus, wenn bei der Elektroinstallation einfach ein paar mehradrige<br />
LAN-Kabel mit verlegt oder einige zusätzlich mit in Beton gegossen werden. Entsprechende<br />
Planungserfahrung, Kenntnisse über Installations- und auch Brandschutztechnik<br />
sowie natürlich über die neusten LAN-Verlegeverfahren sind hierfür<br />
absolut notwendig. Das Aufl egen der Twisted Pair-Kabel, womit letztendlich<br />
der Arbeitsgang der Kabelverbindung in den Patchpanels und den LAN-Anschlussdosen<br />
gemeint ist, erfordert für Cat6- und insbesondere für Cat7-Installationen<br />
ein hohes Maß an Genauigkeit und Präzision bei der Arbeit.<br />
Patchpanels und Fehlerquellen<br />
Mit Patchpanels oder auch Patch-Feldern werden so genannte Umsteckfelder in<br />
einem Metallgehäuse bezeichnet, die in der Regel keine Elektronik beinhalten,<br />
sondern nur dafür vorgesehen sind, einerseits (von hinten) die Stränge der meist<br />
vieladrigen, gebündelten TP-Kabel aufzunehmen und andererseits (von vorne)<br />
mehrere RJ45-Buchsen (typisch 8-48) für den Anschluss der LAN-Kabel zur Verfügung<br />
zu stellen.<br />
74 www.<strong>TecChannel</strong>.de
Abbildung 7: Eine <strong>Netzwerk</strong>anschlussdose<br />
für Cat7-Kabel ver-<br />
fügt über ein Metallgehäuse.<br />
Kabeltypen für LANs<br />
Intern fi ndet also die Aufsplitterung der einzelnen Kabelstränge in die Einzeladern<br />
statt. Jeder Anschlussdose – etwa in einzelnen Büros – ist auf dem Patchfeld eine<br />
eigene Steckverbindung zugeordnet. Die eingesetzten Patchpanels müssen dabei<br />
den Spezifi kationen des jeweiligen Verkabelungsstandards entsprechen, weil sie<br />
unmittelbar die Übertragungseigenschaften des LANs beeinfl ussen.<br />
Patchpanels sind Bestandteil einer festen (Gebäude-)Installation und müssen dem jeweiligen Verkabelungsstandard<br />
entsprechen, was gleichermaßen für die Ausführung der intern Verdrahtung gilt.<br />
Das Verlegen, Abschneiden, Abisolieren und das Befestigen der Kabel bzw. der einzelnen<br />
Adern beinhaltet eine ganze Reihe von potentiellen Fehlerquellen, wie die<br />
mögliche Verletzung von maximal erlaubten Biegeradien (üblicherweise das Achtfache<br />
des Kabelaußendurchmessers), die Nichteinhaltung der maximalen ungeschirmten<br />
Aderlänge, eine zu geringe Aufl agefl äche der Abschirmung, ein zu hoher<br />
Druck auf das Kabel und einiges mehr.<br />
Im Gegensatz zu früheren LAN-Installationen bleibt bei den aktuellen nur ein<br />
recht geringer Spielraum zwischen dem, was die Norm verschreibt und Verkabelungen<br />
zu leisten vermögen, und dem, was notwendig ist, damit die <strong>Netzwerk</strong>einheiten<br />
auch wie vorgesehen funktionieren. Selbst kleine Nachlässigkeiten bei der<br />
Verlegung können später zu hohen Reparaturkosten bzw. Nacharbeiten führen.<br />
3.2.6 Überprüfen von TP-Verbindungen<br />
Bei der Verwendung von Twisted Pair-Kabeln ist ein einfacher Test mit einem Multimeter<br />
im Ohm-Messbereich wie beim Koaxialkabel nicht ohne Weiteres möglich.<br />
Es ist jedoch relativ leicht, per Software zu ermitteln, wo das Problem liegt,<br />
indem die PCs einzeln „angepingt“ werden, damit die schadhafte Verbindung oder<br />
Kopplungsstelle identifi ziert werden kann.<br />
webcode: 1757142 75
3. <strong>Netzwerk</strong>-Grundlagen<br />
Dabei hängt die Fehlersuche natürlich auch von der jeweiligen Topologie des<br />
<strong>Netzwerk</strong>s ab, also davon, an welcher Stelle sich ein Verteiler (Router, Switch) befi<br />
ndet. Daher empfi ehlt es sich bei einer größeren Installation, einen Verdrahtungsplan<br />
parat zu haben oder zumindest die einzelnen Kabelenden zu beschriften,<br />
damit man für den Fehlerfall gewappnet ist und nicht erst lange herumrätseln<br />
muss, welches TP-Kabel wohin verläuft.<br />
Die Überprüfung eines TP-Kabels mit einem Ohmmeter wie für Koaxialkabel erläutert<br />
ist zwar möglich, allerdings wird hierfür eine recht dünne Messspitze am<br />
Messgerät benötigt, damit man an die Kontakte herankommt. Mit dem Messgerät<br />
müsste gleichzeitig an beiden Enden des Kabels auf dem jeweiligen Kontakt angesetzt<br />
werden, was dann einen Widerstand von nahezu Null Ohm (Kurzschluss) zu<br />
ergeben hat. Dies kann bei größeren (verlegten) Längen nicht durchgeführt werden,<br />
da man mit dem Messgerät eben nicht an die beiden Enden herankommt.<br />
Überprüfen mit Messgeräten<br />
Diese einfache Methode kann daher eher selten näheren Aufschluss bieten. Einem<br />
(zuvor funktionsfähigen) TP-Kabel kann man eigentlich von außen ansehen, ob<br />
es in Ordnung ist oder nicht. Wenn die Stecker nicht beschädigt wirken und auch<br />
keine Knicke im Kabel zu entdecken sind, ist das Kabel meist in Ordnung. Eine<br />
Ausnahme ist natürlich dann gegeben, wenn die Kabel nicht in Augenschein genommen<br />
werden können, weil sie etwa in einem Kabelschacht verlegt worden<br />
sind. Statt eines Kabelfehlers ist man zuweilen auch einem Irrtum aufgesessen,<br />
weil es auch TP-Kabel (Cross-Kabel) mit einer internen Leitungsdrehung gibt.<br />
Zur Erinnerung: Für die Verbindung zwischen einem Switch und einem PC wird<br />
ein TP-Kabel mit einer 1:1-Verdrahtung (Patch-Kabel) verwendet. Bei tiefergreifenden<br />
Problemen mit einer TP- und erst recht mit einer LWL-Verkabelung<br />
kommt man nicht ohne spezielle Messgeräte aus, die sich für die einmalige Anwendung<br />
allerdings nicht lohnen. Insbesondere die Firmen Fluke und Hewlett-<br />
Packard (Agilent) bieten ein recht breites Spektrum an Messgeräten für LANs und<br />
WANs an, was vom einfachen Kabeltester bis hin zum Protokollanalyser reicht.<br />
3.2.7 Link-Tester selbst gebaut<br />
Zur schnellen Überprüfung, ob mit einem bestimmten Kabel eine LAN-Verbindung<br />
besteht, eignet sich ein kleiner Switch, den man einfach an das jeweilige<br />
LAN-Kabel anschließt, woraufhin anhand der vorhandenen Leuchtdioden abzulesen<br />
ist, ob ein Link zu dem dahinter befi ndlichen Switch zustande kommt.<br />
Für den Switch ist eine Spannungsversorgung notwendig, die entweder eingebaut<br />
ist, was das Gerät dann unhandlicher macht, oder über ein externes Steckernetzteil<br />
hergestellt wird, was sich oft als unpraktisch erweist, weil nicht immer dort, wo<br />
sich gerade das zu prüfende LAN-Kabel befi ndet, auch eine 230 V-Steckdose zur<br />
Verfügung steht.<br />
76 www.<strong>TecChannel</strong>.de
Abbildung 8: Eine umgebaute <strong>Netzwerk</strong>karte<br />
als handlicher Link-Tester.<br />
Kabeltypen für LANs<br />
Die Lösung bietet ein handlicher Link-Tester, den man sich – mit etwas Lötgeschick<br />
– auch ganz einfach selbst bauen kann. Dafür wird eine <strong>Netzwerk</strong>karte mit<br />
dem dreipoligen WOL-Anschluss benötigt. Fast-Ethernet-Karten sind mitunter<br />
bereits für ein paar Euro erhältlich, wobei der jeweilige Bus-Anschluss (ISA, PCI,<br />
PCI-Express) hier keine Rolle spielt, denn die Karte wird nicht etwa in einem PC<br />
eingebaut, sondern über den WOL-Anschluss mit Spannung versorgt. Das reicht<br />
aus, um nach dem Einstecken eines LAN-Kabels auf den vorhandenen Leuchtdioden<br />
(LEDs) erkennen zu können, ob ein Link vorhanden ist und ob hier 10 MBit/s<br />
oder 100 MBit/s möglich sind. Die Karte muss logischerweise über die entsprechenden<br />
LEDs verfügen.<br />
Abbildung 9: Die<br />
umgebaute <strong>Netzwerk</strong>karte<br />
von der Vorder-<br />
und von der Rückseite.<br />
Zu <strong>Netzwerk</strong>karten mit WOL-Anschluss wird meist auch das passende, recht dünne<br />
dreipolige Kabel (oftmals in gelber Farbe) mitgeliefert, welches normalerweise<br />
auf den passenden Anschluss des Mainboards gehört, hier jedoch über den Pin 1<br />
webcode: 1757142 77
3. <strong>Netzwerk</strong>-Grundlagen<br />
mit 5 V versorgt wird. Pin 2 wird mit der Masse der Spannungsversorgung verbunden,<br />
während Pin 3 nicht benötigt wird und daher auch am Stecker abgekniffen<br />
werden kann.<br />
Stromversorgung des Link-Testers<br />
Für die Spannungsversorgung sind mindestens drei 1,5 V-Batterien notwendig,<br />
die in ein entsprechendes Batteriefach einzusetzen sind, welches man im Elektronikhandel,<br />
etwa bei Conrad Elektronik, fi ndet. Üblicher ist allerdings ein Batteriefach<br />
für vier 1,5 V-Batterien, womit dann 6 V vorhanden sind. Um damit<br />
nicht die Zerstörung der Karte zu riskieren, verwendet man in diesem Fall am besten<br />
einen 5 V-Spannungsregler (vom Typ 7805 Low Drop), der aus den 6 V konstante<br />
5 V erzeugt. Ein 9 V-Block ist natürlich ebenfalls möglich, wobei dann kein<br />
Low Drop-Typ notwendig ist, weil die Spannungsdifferenz größer ist und auch<br />
ein 7805-Standard-Typ verwendet kann. Beachtet werden sollte bei der Spannungsversorgung,<br />
dass das „Gerät“ gut zu handhaben ist.<br />
Ein fl aches Batteriefach mit vier AAA-Batterien könnte im Übrigen (mit doppelseitigen<br />
Teppichklebeband) auf die Platinenrückseite geklebt werden, wie es in der<br />
Abbildung 9 zu erkennen ist. Außerdem wurde bei der verwendeten <strong>Netzwerk</strong>karte<br />
noch ein einfacher Taster in den Weg der Spannungsversorgung (vor den Spannungsregler)<br />
gelötet, damit die Schaltung nur beim Drücken auf den Taster mit<br />
Spannung versorgt wird und nur dann Strom verbraucht wird, was eine sehr lange<br />
Haltbarkeit der Batterien verspricht.<br />
78 www.<strong>TecChannel</strong>.de<br />
Abbildung 10: Die Zusatzschaltung für die<br />
<strong>Netzwerk</strong>karte im Detail<br />
Wer den Tester besonders stabil aufbauen will, kann die Karte mit den zusätzlichen<br />
Teilen natürlich in ein Gehäuse einbauen. Hier wurden die Teile direkt an<br />
den Batteriekasten gelötet, wobei man aufpassen muss, dass der heiße Lötkolben<br />
nicht das Plastik aufweicht und dabei die beiden Ösen des Batteriefachs ihren Halt<br />
verlieren. Zuletzt könnte noch das möglicherweise störende Slotblech der Karte<br />
abgeschraubt werden. Weil hier aber meist die Beschriftungen, die den Status der<br />
LEDs angeben, aufgebracht sind, ist es sinnvoller, das Blech abzuschneiden und/<br />
oder um die Platine herum zu biegen, wodurch sie auch besser zu handhaben ist.
3.2.8 Optische <strong>Netzwerk</strong>e mit LWL<br />
Kabeltypen für LANs<br />
<strong>Netzwerk</strong>e auf der Basis von Lichtwellenleitern ( LWL) sind verglichen mit solchen<br />
mit Kupferverbindungen störunempfi ndlicher, abhörsicherer und weisen eine<br />
niedrigere Fehlerrate auf. Die LWL-Verbindungen können beispielsweise auch im<br />
gleichen Kabelschacht wie etwa die Starkstromleitungen verlegt werden, ohne dass<br />
die hiervon ausgehenden Störungen einen Einfl uss auf die <strong>Netzwerk</strong>verbindung<br />
hätten. Beschädigungen durch Überspannungen, statische Entladung oder auch<br />
durch Blitzschlag sind bei LWL nicht möglich. Außerdem gibt es hier automatisch<br />
eine „galvanische“ Entkopplung zwischen der <strong>Netzwerk</strong>hardware (etwa <strong>Netzwerk</strong>karte)<br />
und dem Medium, wofür bei den TP- und Koax-<strong>Netzwerk</strong>karten spezielle<br />
Übertrager (Transformatoren) notwendig sind. Daher können bei einer optischen<br />
Übertragung keine Masseprobleme auftreten.<br />
Die Lichtwellenleiterverbindungen – gewissermaßen die LWL-Kabel, auch wenn<br />
es keine Kabel im elektrischen Sinne sind – sind entgegen der oft zitierten Befürchtung<br />
äußerst robust, dabei relativ dünn und daher sehr fl exibel, was sie in der<br />
Handhabung unkritischer erscheinen lässt als TP- oder auch Koaxialkabel.<br />
3.2.9 SC- und ST-Verbindungen<br />
Prinzipiell gibt es zwar eine Vielzahl von möglichen LWL-Anschlüssen, aber ab<br />
Fast-Ethernet auf Glasfaser (100BaseF) hat sich die SC-Verbindung als Standard<br />
hierfür erwiesen. Über entsprechende Adapter lassen sich aber auch Verbindungen<br />
zwischen den älteren ST- und den SC-Steckverbindern problemlos herstellen.<br />
Abbildung 11: Die beiden<br />
optischen Kopplungselemente<br />
für TX und RX mit ST-Stecker<br />
auf einer LWL-<strong>Netzwerk</strong>karte.<br />
Crossover-Verbinder, wie sie für TP-Verbindungen erhältlich sind, gibt es für<br />
LWL nicht, was bei ST-Verbindungen auch unnötig wäre, denn die TX- sowie die<br />
RX-Leitungen können sowohl überkreuz als auch 1:1 miteinander verbunden<br />
werden, weil man es hier mit einzelnen Steckern zu tun hat.<br />
webcode: 1757142 79
3. <strong>Netzwerk</strong>-Grundlagen<br />
80 www.<strong>TecChannel</strong>.de<br />
Abbildung 12: SC-Stecker<br />
lassen sich über Adapter auch<br />
mit ST-Steckern verbinden.<br />
Bei SC sind die beiden Connectoren vielfach fest miteinander verbunden (SC-Duplex),<br />
so dass hier keine Verwechslungsgefahr zwischen RX und TX gegeben ist.<br />
Allerdings werden jedoch auch gekreuzte LWL-LAN-Verbindungen, etwa zwischen<br />
Switches, benötigt. Aus diesem Grunde gibt es auch SC-Verbinder, bei denen<br />
die beiden Stecker wahlweise zusammengesteckt werden können.<br />
3.2.10 Funktionsprinzip und LWL-Typen<br />
Bei Lichtwellenleitern wird generell zwischen Monomode-, auch als Singlemode<br />
bezeichnet, und Multimodeleitern unterschieden. Bei Multimodefasern fi ndet die<br />
Signalübertragung anhand mehrerer Moden (mögliche Signalwege im Kabel)<br />
statt, während die viel dünnere Monomodefaser das Licht nur in einer Mode (parallel<br />
zur Achse des Mediums, Mode 0) übertragen kann. Dies führt gegenüber<br />
Multimodefaser zu geringeren Dämpfungswerten und höheren Bandbreiten.<br />
Bei 10BaseFX sowie 100BaseFX spielt fast ausschließlich die Dämpfung, die durch<br />
Refl exion und Absorption des „Transportlichts“ verursacht wird, eine Rolle. Demnach<br />
hat man es bei Dämpfungsbetrachtungen auf Glasfaser mit einem völlig anderen<br />
Effekt zu tun, als dies bei Kupferverbindungen und den dort zugrunde liegenden<br />
elektrischen Eigenschaften der Fall ist.<br />
Dämpfungen bei Lichtwellenleiter entstehen in erster Linie durch die auf einer<br />
Glasfaserstrecke befi ndlichen Übergänge (Dosen, Anschlüsse, Adapter und so weiter)<br />
sowie in zweiter Linie durch Verunreinigungen der Faser selbst, was jedoch bei<br />
den aktuellen handelsüblichen Glasfasern zu vernachlässigen ist, da sie sich qualitativ<br />
als hochwertig genug darstellen.<br />
LED und Laser-Dioden als Sender<br />
Leuchtdioden ( Light Emitting Diode, LED) strahlen das Licht gleichförmig in<br />
mehrere Richtungen ab. Das grundsätzliche Prinzip des Lichttransports über<br />
Lichtwellenleiter beruht dabei auf der Totalrefl exion an den Grenzschichten der
Kabeltypen für LANs<br />
Materialien unterschiedlicher Dichte. Bei der Verwendung einer LED wird das<br />
Licht unterschiedlich oft an der Oberfl äche refl ektiert, es legt unterschiedliche<br />
Wege zurück, was zu den verschiedenen Moden führt. Für das Datensignal bedeutet<br />
dies, dass es zu unterschiedlichen Laufzeiten und damit zu Signalverzerrungen<br />
kommt, die von der Länge der Lichtwellenleiterstrecke abhängig ist.<br />
Abbildung 13: Ein Transmitter und ein dazugehöriger Receiver. Diese Elemente sind für die Umsetzung<br />
der elektrischen Impulse in Lichtimpulse (Transmitter) und umgekehrt (Receiver) zuständig.<br />
Diesen Effekt, der zum einen durch den Leiter selbst und zum anderen auch durch<br />
die Lichtquelle hervorgerufen wird, bezeichnet man als Dispersion, und er ist insbesondere<br />
ab Gbit-Ethernet ein ausschlaggebendes Kriterium. Ab 100BaseFX werden<br />
statt LEDs vielfach Laserdioden (LD) verwendet, die ein stärker gebündeltes<br />
Signal generieren und bei denen der überwiegende Anteil der Lichtintensität über<br />
den direkten, gradlinigen Weg abgestrahlt wird, so dass auch Entfernungen über<br />
mehrere Kilometer überbrückbar sind, wobei die Faser selbst eine wichtige Rolle<br />
spielt. Generell werden drei grundsätzliche Typen unterschieden:<br />
Lambda-Multimode-Faser mit Stufenindex-Profi l (100 MHz x km)<br />
Lambda-Multimode-Faser mit Gradienten-Profi l (1 GHz x km)<br />
Lambda-Monomode-Faser (10 GHz x km)<br />
Für die Klassifi zierung von Lichtwellenleitern wird ein Produkt von Bandbreite<br />
und Länge angegeben, da die Dispersion von der Länge der Glasfaser abhängig ist.<br />
webcode: 1757142 81
3. <strong>Netzwerk</strong>-Grundlagen<br />
Bei einer Angabe wie 100 MHz x km kann daher eine LAN-Verbindung mit 100<br />
MHz über 1 km oder 50 MHz über 2 km oder beispielsweise auch 200 MHz über<br />
500 m realisiert werden. Die typischen Richtwerte sind in Klammern bei den drei<br />
Fasertypen angegeben.<br />
Klassifi zierung und Faseraufbau<br />
Allen drei Fasertypen ist gemein, dass sie von einem Kunststoffmantel (Buffer<br />
Coating) umgeben sind, der dem Glasmantel ( Cladding) nach außen hin als<br />
Schutz dient. Ganz im Innern ist der eigentliche Kern der Faser ( Core) untergebracht.<br />
Core und Cladding bestehen zwar meist beide aus Quarzglas (SiO2), allerdings<br />
unterscheiden sich dabei die jeweiligen Brechungsindizes. Der Brechungsindex<br />
beschreibt generell das Verhältnis der Lichtgeschwindigkeit im Vakuum (ca.<br />
300.000 km/s) zur Lichtgeschwindigkeit im Medium.<br />
Abbildung 14: Die Lichtübertragung differiert bei den verschiedenen Fasern, was in Abhängigkeit von<br />
der Übertragungsstrecke zu unterschiedlich „guten“ Ausgangsimpulsen führt.<br />
Der mehr oder weniger gebündelte Strahl wird an der Grenzfl äche der beiden<br />
Glasmaterialien refl ektiert und somit in der Faser gehalten. Neben Glas werden<br />
auch unterschiedliche Kunststofffasern (meist bei 650 nm Wellenlänge) verwendet,<br />
die preiswerter und einfacher zu fertigen sind, allerdings noch nicht die Qualität<br />
der Glasfasern erreichen, höhere Dämpfungen aufweisen und demnach auch<br />
nur kürzere Strecken überbrücken können. Außerdem werden auch Glas- und<br />
Kunststofffasern miteinander kombiniert, was zu einem besonders günstigen<br />
Preis/Leistungsverhältnis führen soll. Wenn man also von Glasfaser redet, kann es<br />
sich auch um eine Kunststofffaser handeln, so dass Lichtwellenleiter (LWL) viel-<br />
82 www.<strong>TecChannel</strong>.de
Kabeltypen für LANs<br />
leicht die treffendere Bezeichnung ist. Beim Stufenindex-Profi l besteht zwischen<br />
Kern und Mantel ein abrupter Übergang von einem zum anderen Brechungsindex.<br />
Der Brechungsindex (n) ist dabei im Cladding geringer als im Core (ncore ><br />
ncladding = totale Refl ektion). Da die Lichtstrahlen der Quelle (LED) in unterschiedlichen<br />
Winkeln auftreffen, ergibt sich ein Zickzackverlauf des Lichtes, was<br />
eine Verbreiterung des Ausgangsimpulses gegenüber dem Eingangsimpuls zur Folge<br />
hat und für typische Längen bis hin zu 200 m durch eine Photodiode noch als<br />
eindeutiger Impuls (High) zu detektieren ist.<br />
Bei einer Faser mit Gradientenindex-Profi l wird eine abgestufte Veränderung der<br />
Brechungsindizes realisiert, so dass sich für die Lichtstrahlen gekrümmte Bahnen<br />
ergeben und sich das Licht im Mittel eher auf dem optimalen, gradlinigen Weg bewegt.<br />
Der Ausgangsimpuls ist dadurch ausgeprägter, wodurch größere Entfernungen<br />
als mit Stufenindex-Profi l-Faser (bis zu 10 km) überbrückbar sind<br />
Monomode-Lichtwellenleiter und LWL-Durchmesser<br />
Monomode-Lichtwellenleiter entsprechen dem Aufbau einer Faser mit Stufenindexprofi<br />
l, nur ist der Core hier wesentlich dünner als bei den Multimodefasern ausgeführt<br />
und der Brechungsindex des Mantels ist genau auf eine bestimmte Wellenlänge<br />
angepasst. Das Licht wird dabei ohne Brechung und Refl exion achsenparallel<br />
transportiert, was zu exakten Ausgangsimpulsen über sehr große Längen (50 km)<br />
führt. Bei Monomode-Fasern werden generell Laser-Dioden verwendet.<br />
Abbildung 15: Aufbau und<br />
jeweiliger Durchmesser der<br />
verschiedenen Fasertypen.<br />
webcode: 1757142 83
3. <strong>Netzwerk</strong>-Grundlagen<br />
Wie es der Abbildung 15 zu entnehmen ist, bestehen bei den jeweiligen Durchmessern<br />
des Kerns und des Mantels erhebliche Unterschiede. In Deutschland werden<br />
bei den meisten LANs Multimode-Gradienten-Index-Fasern mit 62,5/125 nm verwendet,<br />
die sich sowohl für Standard- (850 nm), Fast-Ethernet (1300 nm) als auch<br />
für Gbit-Ethernet eignen. Demnach kann bei einer entsprechenden Umrüstung<br />
das LWL-Medium beibehalten werden, sofern man in der Vergangenheit die richtige<br />
Entscheidung für die Verlegung des entsprechenden Lichtwellenleitertyps getroffen<br />
hat. Monomode-Fasern (9/100 nm) werden vorwiegend für WAN-Verbindungen<br />
sowie für Gbit- und 10 Gbit-Ethernet eingesetzt.<br />
3.2.11 Verlegung von LWL<br />
Die Verlegung von Lichtwellenleitern ist wegen ihrer Flexibilität und Unempfi ndlichkeit<br />
gegenüber Störungen verhältnismäßig einfach und unterscheidet sich in<br />
der grundsätzlichen Vorgehensweise nicht von der Verlegung der anderen Medien.<br />
Besondere Beachtung verdient aber auch hier die Konfektionierung der Übergänge<br />
von der festen Verlegung (etwa im Kabelschacht) zu den Anschlussdosen<br />
und auch in den Verteilern (Patchpanels). Hier können natürlich nicht Stecker<br />
aufgelötet oder aufgequetscht werden, sondern die Fasern des Leiters bedürfen einer<br />
besonderen Behandlung wie dem Schneiden, Spleißen, Kleben und Polieren.<br />
Abbildung 16: LWL-Strecker lassen sich mit Hilfe von Kupplungsstücken problemlos verlängern.<br />
Für diese Arbeiten gibt es spezielle Werkzeuge, mit deren Hilfe sich die Fasern<br />
möglichst optimal verschweißen oder auch in einem LWL-Anschlussstecker verkleben<br />
lassen. Ein guter Übergang weist dabei eine Dämpfung von 0,1-0,2 dB auf,<br />
ein schlechter hingegen über 1 dB. An diesen Stellen muss also besonders sorgfältig<br />
gearbeitet werden, um auch die spezifi zierten Längen mit der Faserstrecke überbrücken<br />
zu können. Die Ausführungen der LWL-Anschlüsse und die Qualität der<br />
Faser selbst spielen eine wichtige Rolle für die Bandbreiten- und Dämpfungsbetrachtungen.<br />
Vielfach kommt man jedoch auch mit den Standardlängen von Lichtwellenleitern<br />
aus, die typischerweise bis hin zu 50 m reichen, mit fertigen Anschlüssen<br />
(TS, SC) versehen sind und sich mit Kupplungsstücken (siehe Abbildung<br />
16) entsprechend verlängern lassen.<br />
84 www.<strong>TecChannel</strong>.de
Selbstherstellung von LWL-Verbindungen<br />
Kabeltypen für LANs<br />
Seit einiger Zeit sind außerdem LWL-Anschlüsse für die – relativ einfache – Selbstmontage<br />
verfügbar, wie die LightCrimp-Verbinder der Firma AMP. Im ersten<br />
Schritt werden Faser und Ader mit der speziellen Crimp-Zange gefasst, die Faser<br />
wird defi niert gebrochen, und dann wird die Zugentlastung des Kabels mit dem<br />
Stecker gecrimpt (gequetscht). Klebstoff kommt dabei nicht zum Einsatz, und es<br />
sollen sich durch diese Verbindungsart im Mittel Dämpfungen von unter 1 dB ergeben.<br />
Für größere Installationen ist dieses Verfahren jedoch aus Kostengründen<br />
nicht geeignet, zumal sich nur ganz bestimmte LWL-Fasern und Stecker damit<br />
verbinden lassen. Des Weiteren lassen sich hiermit auch keine Verbindungen von<br />
mehradrig ausgeführten LWL-Kabeln realisieren, so dass sich dieses Verfahren<br />
eher für Reparaturen und kleinere Installationen eignet, zu denen kein LWL-Techniker<br />
herangezogen werden soll.<br />
Abbildung 17: Mit Hilfe von<br />
speziellen Patchpanels werden<br />
Verteilungen für Lichtwellenleiter<br />
realisiert.<br />
Im Backbone werden vorzugsweise mehradrige LWL-Verbindungen verlegt, weil<br />
diese preiswerter sind als etwa 10 einzelne Leitungen, die jeweils über einen eigenen<br />
Kunststoffmantel verfügen müssen. Wie es auch mit Twisted Pair-Kabel üblich<br />
ist, werden die Adern dann in einem Patchpanel in die einzelnen Verbindungswege<br />
aufgeteilt, die beispielsweise in die Büros führen. Dort wird jeweils eine LWL-Anschlussdose<br />
montiert, von der aus dann mit einem LWL-Patchkabel die Verbindung<br />
mit einem Medien-Converter (LWL auf TP) oder einem LWL-Switch, der<br />
über TP-Ports verfügt, hergestellt wird.<br />
3.2.12 Überprüfung und Fehlersuche<br />
Für die Überprüfung von LWL-Verbindungen werden so genannte OTDR-Messgeräte<br />
verwendet. Anhand der Optic Time Domain Refl ectometry ist es nicht nur<br />
möglich, die Dämpfung, sondern auch die Position der einzelnen Komponenten<br />
in einer Lichtwellenleiterstrecke zu ermitteln. Ein derartiges Gerät ist zwar ver-<br />
webcode: 1757142 85
3. <strong>Netzwerk</strong>-Grundlagen<br />
hältnismäßig teuer; es gehört jedoch zur Standardausrüstung eines LWL-Technikers,<br />
damit die Strecken nach der Installation durchgemessen werden können und<br />
ein Prüfprotokoll angefertigt werden kann, welches dem Kunden als Beleg für die<br />
Erfüllung der zugrunde gelegten LWL-Spezifi kation dann auszuhändigen ist.<br />
Die Fehlersuche in einem LWL-<strong>Netzwerk</strong> kann für den Anwender prinzipiell nur<br />
nach den Kriterien, wie sie auch bei TP-Kabel gültig sind, vorgenommen werden,<br />
was zunächst die Kontrolle der Kabel auf ihre Unversehrtheit hin und die der Anschlüsse<br />
(RX, TX) bedeutet. Anschließend kann dann per Software (etwa mit Ping)<br />
versucht werden, die schadhafte Stelle im Netz zu lokalisieren.<br />
Einfacher optischer LWL-Test<br />
Das Licht der verwendeten Wellenlängen lässt sich nicht mit bloßem Auge erkennen,<br />
sondern nur mit Hilfe von speziellen Detektoren. Allerdings sind in einigen<br />
Einheiten zusätzliche LEDs eingebaut, die rotes, sichtbares Licht transportieren<br />
und genau diesem Zweck – der Identifi zierung von korrekten Übertragungsstrecken<br />
– dienen. Leider lässt sich jedoch anhand der Beschreibungen zu den Einheiten<br />
nicht immer feststellen, ob diese nützliche Option gegeben ist oder nicht.<br />
Hersteller wie beispielsweise Hewlett-Packard (HP) realisieren diese zusätzliche<br />
Funktion allerdings bei vielen Einheiten, wie in ihren Switches. Außerdem werden<br />
vielfach die elektro/optischen Kopplungselemente (Transmitter, Receiver) von HP,<br />
deren Bauelemente seit einiger Zeit unter Agilent fi rmieren, auf <strong>Netzwerk</strong>karten<br />
und anderen LWL-LAN-Elementen eingesetzt, und dann ist die Wahrscheinlichkeit<br />
recht groß, dass hier ebenfalls eine zusätzliche LED eingebaut ist. Verlassen<br />
kann man sich aber nicht darauf.<br />
86 www.<strong>TecChannel</strong>.de<br />
Abbildung 18: Der Transmitter von HP<br />
verfügt neben der LED für die Datenübertragung<br />
über eine zweite für die LAN-<br />
Verbindungskontrolle, was anhand der vier<br />
(statt zwei) Anschlüsse im Gehäuse zu<br />
erkennen ist.<br />
Für den Test einer optischen Übertragungsstrecke eignet sich im Übrigen auch ein<br />
handelsüblicher Laserpointer, mit dem man in die Faser hineinleuchten könnte.<br />
Bei der Inaugenscheinnahme sollte man aber stets vorsichtig sein, wenn man nicht
Kabeltypen für LANs<br />
genau weiß, was einen erwartet, denn das (Laser-)licht kann bekanntlich Sehstörungen<br />
und sogar Beschädigungen der Augen zur Folge haben. Allerdings entsprechen<br />
zumindest die optischen LAN-Komponenten der Laser Klasse 1, die laut Defi<br />
nition unter den vorhersehbaren Bedingungen sicher ist.<br />
Klaus Dembowski<br />
Klaus Dembowski ist als Diplomingenieur an der Technischen Universität Hamburg-Harburg tätig und<br />
hat mehrer Grundlagenfachbücher zu den Themen PC-Hardware, hardwarenahe Programmierung und<br />
<strong>Netzwerk</strong>technik geschrieben.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
<strong>Netzwerk</strong>grundlagen: Kabeltypen für LANs 1757142 S.61<br />
Fehler in der <strong>Netzwerk</strong>verkabelung fi nden und vermeiden 1757612 –<br />
Optische <strong>Netzwerk</strong>e mit LWL 1758902 –<br />
POF: Lichtleiter statt <strong>Netzwerk</strong>kabel 461017 –<br />
Zukunftssichere <strong>Netzwerk</strong>verkabelung für 10-Gbit-Ethernet 495753 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
Lokale Netze: Dieser Beitrag zur <strong>Netzwerk</strong>verkabelung basiert<br />
auf dem Buch „Lokale Netze – Handbuch der kompletten <strong>Netzwerk</strong>technik“<br />
von Klaus Dembowski. Dieses Grundlagenwerk der<br />
<strong>Netzwerk</strong>technik können Sie in unserem Partner-Bookshop www.<br />
informit.de online erwerben.<br />
webcode: 1757142 87
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.3 Bluetooth-Grundlagen: Herkunft und<br />
Funktionsweise<br />
Auch wenn neue Lösungen wie WUSB am Horizont auftauchen, ist Bluetooth die<br />
am weitesten verbreitete Kurzstreckendatenfunktechnologie. Seit der Einführung<br />
im Jahr1999 hat sich diese Funktechnologie mittlerweile nicht nur bei Consumern,<br />
sondern auch bei vielen industriellen Anwendungen etabliert. Schätzungsweise<br />
mehr als 1,5 Milliarden Bluetooth-Chips wurden in den ersten zehn Jahren<br />
verbaut. Mit zahlreichen Aktualisierungen und Erweiterungen des Standards versucht<br />
die Bluetooth Special Interest Group (Bluetooth SIG oder BSIG), dem Standard<br />
eine erfolgreiche Zukunft im Wettstreit der Funktechnologien zu sichern.<br />
3.3.1 Hintergründe und Standardisierung<br />
Die Anfänge der Aktivitäten zu Bluetooth gehen bereits auf das Jahr 1994 zurück,<br />
als die Mobile Communications Division von Ericsson eine Machbarkeitsstudie<br />
zum Ersatz der vielfältigen Kabelverbindungen zwischen Mobiltelefonen und den<br />
verschiedenen Peripheriegeräten in Auftrag gab. In der Folge wurde Anfang 1998<br />
die Bluetooth Special Interest Group (BSIG, www.bluetooth.com) von den fünf<br />
Firmen IBM, Toshiba, Intel, Ericsson und Nokia gegründet. Ziel war es, einen fi rmenübergreifenden<br />
Standard für sogenannte Wireless Personal Area Networks<br />
(WPAN) zu erstellen. Als erste fi nale Spezifi kation veröffentlichte die BSIG Version<br />
1.0a im Juli 1999. Der engere Kreis der BSIG-Gründer wurde bald darauf im<br />
Rahmen einer Promoter-Group um die Firmen 3Com, Lucent, Microsoft und<br />
Motorola erweitert. Heute umfasst die BSIG mehr als 10.000 Mitglieder. Der<br />
Name der Technologie ist abgeleitet von Harald I Blaatand (Blauzahn), der von<br />
940 bis 981 als König von Dänemark das Land christianisierte und Norwegen und<br />
Dänemark vereinigte. Der Name geht auf die beiden Wörter „blå“ für dunkelhäutig<br />
und „tan“ für großer Mann zurück, was in diesem Fall gleichbedeutend mit<br />
König oder Anführer ist.<br />
3.3.2 Versionen und zeitliche Entwicklung<br />
Vor dem Hintergrund der fast zehnjährigen Geschichte liegen mittlerweile verschiedene<br />
Varianten und Erweiterungen des Bluetooth-Standards vor. Die wichtigsten<br />
Elemente im Kernstandard (Core-Standard) werden hier im Vorgriff auf<br />
die nachfolgende technische Beschreibung genannt:<br />
Die erste Version 1.0a wurde im Juli 1999 verabschiedet, Version 1.0b folgte<br />
im Dezember desselben Jahres.<br />
Seit Februar 2001 liegt der Standard in der Version 1.1 vor. Dieser galt als die<br />
erste solide Basis für marktgerechte Produkte, da die Vorversionen eine Reihe<br />
88 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
von Ungenauigkeiten und Fehlern aufwiesen. Probleme gab es etwa bei der<br />
Kompatibilität, der sauberen Implementierung von Piconetzen sowie einer<br />
eindeutigen Master-Slave-Zuweisung.<br />
Im November 2003 wurde dann mit der Version 1.2 eine grundlegend überarbeitete<br />
Spezifi kation vorgelegt, die die Bluetooth-Architektur transparenter<br />
defi nierte und um einen schnellen Verbindungsaufbau (Fast Connection Setup)<br />
erweiterte. Zusätzlich statteten die Entwickler Bluetooth mit der Adaptive-Frequency-Hopping-(AFHSS)-Technologie<br />
aus und erlaubten eine verbesserte<br />
Sprachqualität im Rahmen der Extended SCO-Verbindungsart.<br />
Der gegenwärtige Standard stammt aus dem Jahr 2004 und bildet die<br />
Bluetooth-Spezifi kation Version 2.0. Neu ist die Enhanced-Data-Rate-(EDR)-<br />
Erweiterung, die eine Erhöhung der Bruttodatenrate auf 2,2 MBit/s vorsieht.<br />
Bluetooth 2.0 + EDR ist aktuell in den meisten Endgeräten verbaut.<br />
Im Juli 2007 wurde zwar bereits Version 2.1 + EDR veröffentlicht, die unter<br />
anderem Unterstützung für Near Field Communications bringt und ein<br />
schnelleres Pairing ermöglicht. Allerdings ist die Spezifi kation auch im August<br />
2008 nur in wenigen Geräten im Einsatz.<br />
Bluetooth Version 3.0 trägt derzeit noch den Codenamen Seattle und soll die<br />
Ultra-Wide-Band-Technologie verwenden. Dadurch sind beispielsweise Datenraten<br />
von theoretisch bis zu 480 Mbit/s möglich. Einen zeitlichen Rahmen<br />
gibt es für diese Spezifi kation noch nicht.<br />
Zukünftige Erweiterungen gehen sowohl in Richtung verlustleistungsarmer Verbindungen<br />
als auch in Richtung höherer Datenraten.<br />
Im Rahmen von WiBree, beziehungsweise Ultra Low Power (ULP) Bluetooth<br />
soll eine energiesparende Variante für Sensoranwendungen im Consumerund<br />
Home-Automation-Bereich bereitgestellt werden. Der wesentliche Vorteil<br />
bei diesem Ansatz soll sich laut den Bluetooth-Strategen daraus ergeben,<br />
dass Geräte wie Handys oder PDAs, die ohnehin über eine Bluetooth-Implementierung<br />
verfügen, weite Teile für die Anbindung der einfacheren Sensoren<br />
verwenden können.<br />
Die BSIG hat 03/2006 die Entscheidung getroffen, die OFDM-UWB-Variante<br />
der WiMedia Alliance als hochbitratiges „Wireless USB“ zu verwenden.<br />
Am Rande des Mobile World Congress im Februar 2008 in Barcelona kündigte<br />
die BSIG allerdings an, dass in Zukunft auch die WiFi-Protokolle nach<br />
IEEE802.11 als alternative MAC/PHY-Implementierungen für den Transport<br />
von hochbitratigem Bluetooth-Verkehr genutzt werden sollen. Diese Ankündigung<br />
hat vielfach Verwunderung ausgelöst, und es wird derzeit lebhaft darüber<br />
diskutiert, welche Auswirkungen das tatsächlich haben wird.<br />
Nicht erwähnt bei dieser Aufstellung sind die Entwicklungen im Bereich der Anwendungsprotokolle,<br />
wo mittlerweile eine Vielzahl von anwendungsspezifi schen<br />
Protokollen zur Verfügung steht.<br />
webcode: 401459 89
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.3.3 Aufbau des Protokollstapels<br />
Die Beschreibung der Bluetooth-Kommunikationsprotokolle umfasst alle Ebenen<br />
der Protokollschichten. Insbesondere die Steuerprotokolle zum Aufbau der Adhoc-<strong>Netzwerk</strong>e,<br />
aber auch die Bestandteile zur Übertragung isochroner Verkehrsströme<br />
(http://de.wikipedia.org/wiki/Isochron) reichen deutlich über die Transportdienste<br />
eines reinen Funknetzes hinaus. Bluetooth stellt ein komplettes<br />
Funksystem bereit, das bewusst auch Anwendungsprotokolle vorsieht. Denn der<br />
Protokollstapel weist nicht nur Bluetooth-spezifi sche Protokolle auf, sondern<br />
greift auch in den höheren anwendungsorientierten Schichten auf bestehende und<br />
verbreitete Protokolle zurück. Als Beispiel seien die Transport- und Anwendungsprotokolle<br />
aus der TCP/IP-Familie genannt.<br />
Abbildung 1: Der Aufbau des Bluetooth-Standards.<br />
Betrachtet man den Umfang der Protokollbestandteile, zeigt sich, dass eine<br />
Bluetooth-Station mit komplettem Umfang eine Komplexität erreicht, die der angestrebten<br />
einfachen und kostengünstigen Realisierung entgegensteht. Statt einer<br />
kompletten und teuren Implementierung können Hersteller nur die notwendigen<br />
Bestandteile in den Geräten verbauen. Lediglich die Kernprotokolle müssen in jeder<br />
Station enthalten sein. Problematisch ist allerdings, dass damit die Interoperabilität<br />
der Geräte nicht immer gegeben ist. Um dieses Problem zu lösen, ist das<br />
90 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
Service Discovery Protocol (SDP) ein weiteres und verpfl ichtendes Protokoll. In<br />
der Realität führt dieser Sachverhalt dazu, dass sehr viele Anwendungen jenseits<br />
des eigentlichen Bluetooth-Protokollstapels über die serielle Schnittstelle RF-<br />
Comm realisiert werden.<br />
Die Bluetooth-Spezifi kation umfasst mit dem Host Controller Interface (HCI)<br />
auch eine Befehlsschnittstelle zum Baseband Controller und Link Manager sowie<br />
zum Hardware-Status und den Befehlsregistern. Die Positionierung des HCI kann<br />
angepasst werden. Die Abbildung zeigt das typische Beispiel, das in etwa mit der<br />
TCP-Socket-Schnittstelle gleichgesetzt werden kann. Die unteren drei Schichten<br />
werden hierbei oft als Bluetooth-Controller bezeichnet. Abbildung 2 zeigt sie mit<br />
ihren Signalströmen.<br />
Abbildung 2:<br />
Architektur der<br />
unteren Schichten<br />
des Bluetooth-<br />
Protokollstapels.<br />
Für die Bluetooth-Standardisierung wurde ein neues Gremium eingerichtet. Das<br />
zeigt sich vor allem dadurch, dass nicht auf eine Konformität mit den Schichten<br />
der verbreiteten Referenzmodelle (OSI- oder TCP/IP-Referenzmodell) geachtet<br />
wurde. Eine Einpassung in andere Standardfamilien, etwa den Standards nach<br />
IEEE802.x, wird zwar vor allem vonseiten des IEEE angestrebt, ist aber auf der<br />
Grundlage der vorangehend genannten Punkte nur nach umfassenden Anpassungen<br />
möglich. Insbesondere wurde mit dem WPAN-Standard IEEE802.15.1<br />
eine sprachlich angepasste Beschreibung der physischen und der Basisband-<br />
Schicht vorgelegt.<br />
webcode: 401459 91
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.3.4 Physikalische Schicht – Frequenzsprungverfahren<br />
Wie viele Funksysteme arbeitet auch der Bluetooth-Standard im praktisch weltweit<br />
lizenzfrei verfügbaren 2,4-GHz-ISM-Band. Auf Grund der potenziell sehr<br />
hohen Kanalauslastung (Duty Cycle) muss entsprechend den Vorschriften der<br />
Regulierungsbehörden ein Frequenzspreizverfahren eingesetzt werden. Hierbei<br />
nutzt Bluetooth ein Frequenzsprung-Spread-Spectrum-Verfahren ( Frequency<br />
Hopping Spread Spectrum, FHSS). In einem aufgebauten Piconetz wird die Frequenzfolge<br />
vom Master vorgegeben und folgt einer Pseudozufallsfolge, die in Abhängigkeit<br />
von der Geräteadresse des Masters und dessen Clock-Zustand nach<br />
vergleichsweise aufwendigen Regeln berechnet wird und somit in jedem Piconetz<br />
unterschiedlich ist. Auf diese Weise soll der Betrieb von möglichst vielen unabhängigen<br />
Piconetzen mit hoher räumlicher Dichte unterstützt werden.<br />
Abbildung 3: Blockschaltbild der grundlegenden Selection Kernels für die Frequenzsprungberechnung<br />
des Bluetooth-FHSS.<br />
Der Aufbau der Frequenzberechnung ist in den Abbildungen 3 und 4 dargestellt.<br />
Die Frequenzen sind im Wesentlichen abhängig von der 28 Bit breiten Master-<br />
Clock CLK sowie den unteren 28 Bit der 48 Bit langen Bluetooth-MAC-Adresse.<br />
In der Frequenzberechnung fi nden weitere – hier nicht gezeigte – Verfahren Anwendung,<br />
wie etwa in dem PERM5-Block, die zu einer möglichst guten Gleichverteilung<br />
der gewählten Frequenzen führen.<br />
Bei der Auswahl der Frequenzen muss natürlich Rücksicht auf die regionalen Restriktionen<br />
genommen werden. Der Aufwand wird gering gehalten, indem nur<br />
zwei Betriebsmodi unterschieden werden: Ein Modus mit 79 Sprungfrequenzen<br />
steht für Nordamerika und Europa zur Verfügung, ein zweiter Modus mit 23<br />
Sprungfrequenzen wurde für Japan und ehemals Frankreich und Spanien defi -<br />
niert. In dem Frequenzsprungverfahren beträgt die nominale Sprungrate 1600<br />
Hops/s. Hierzu gibt der Master allen Slaves im Piconetz Zeitschlitze mit einer Länge<br />
von 625 ns vor, wobei eine Übertragung von allen Teilnehmern nur zu Beginn<br />
92 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
eines Zeitschlitzes gestartet werden darf. Die Zeitschlitze werden in Abhängigkeit<br />
von der Clock des Masters von 0 bis 227-1 durchgezählt, sodass sich eine Zykluszeit<br />
der Zählung von etwa 23 h ergibt.<br />
Abbildung 4: Eingänge für den Selection Kernel in den unterschiedlichen Betriebsmodi.<br />
Zur Unterstützung von bidirektionalem Verkehr wird ein Time Division Duplex-<br />
(TDD-)-Verfahren eingesetzt, bei dem der Master seine Übertragung nur zu Beginn<br />
eines geradzahligen Zeitschlitzes, die Slaves nur zu Beginn von ungeradzahligen<br />
Zeitschlitzen beginnen dürfen, wie dies in Abbildung 5 dargestellt ist.<br />
Abbildung 5: Auswahl der Sprungfrequenzen während der Datenübertragung.<br />
Auf diese Basisfrequenz werden die Nutzinformationen mithilfe eines GFSK<br />
( Gaussian Frequency Shift Keying) aufmoduliert. Binäre Einsen werden hierbei<br />
durch eine positive, binäre Nullen durch eine negative Abweichung von der Trä-<br />
webcode: 401459 93
3. <strong>Netzwerk</strong>-Grundlagen<br />
gerfrequenz repräsentiert. Der Unterschied dieser beiden Frequenzen soll größer<br />
als 115 kHz sein. Das Bandbreiten-Zeit-(BT)-Produkt soll 0,5 betragen, der Modulationsindex<br />
zwischen 0,28 und 0,35 betragen.<br />
Adaptivität im Frequenzsprungverfahren<br />
Beim 2,4-GHz-Band handelt es sich um ein so-genanntes ISM-Band, das für lizenzfreie<br />
industrielle (industrial), wissenschaftliche (scientifi c) und medizinische<br />
(medical) Anwendungen reserviert ist. Die in solchen ISM-Bändern aktiven Funksysteme<br />
müssen sich an die regulatorischen Vorgaben halten, sind aber ansonsten<br />
sowohl in Bezug auf die Implementierung ihrer Modulationsarten und Rahmenformate<br />
als auch in ihrem Einsatz frei. Eines der Probleme dabei ist die Koexistenz<br />
zwischen mehreren Systemen einer Protokollfamilie, aber natürlich – und insbesondere<br />
– auch zwischen Systemen unterschiedlicher Protokollfamilien. Diese<br />
Koexistenzproblematik ist Gegenstand zahlreicher Untersuchungen. Beim IEEE<br />
wurde sogar eine eigene Arbeitsgruppe 802.2 eingerichtet, die Lösungsmöglichkeiten<br />
(Recommended Practices) insbesondere für die Koexistenz von IEEE802.11<br />
(WLAN) und Bluetooth erarbeitet und in 2003 veröffentlicht hat. Die Analysen<br />
dieser Arbeitsgruppe sind sehr lesenswert. Leider sind die dort beschriebenen Vorgaben<br />
aber sehr allgemein. Die Gruppe konnte unter dem Druck der Industrieunternehmen<br />
keine tragfähige kooperative Lösung erarbeiten, so-dass sich die Ergebnisse<br />
der Arbeitsgruppe auf Analysen beschränken mussten.<br />
Im Laufe der Jahre haben jedoch zwei Aspekte zu einer Veränderung der Situation<br />
geführt. Zum einen verschärft sich die Koexistenzproblematik in der Praxis zusehends<br />
durch eine zunehmende Nutzung des 2,4-GHz-ISM-Bandes. Zum anderen<br />
wurden die Vorschriften der Regulierungsvorgaben in Bezug auf die minimale<br />
Anzahl von zu nutzenden Frequenzen bei Frequenzsprungverfahren gelockert, indem<br />
die minimale Anzahl der Frequenzen im 2,4-GHz-Band auf 15 reduziert wurde.<br />
Auf dieser Grundlage wurde 2003 das Frequenzsprungverfahren in der Version<br />
2.0 des Bluetooth-Standards um eine adaptive Komponente (adaptive<br />
frequency hopping, AFH) erweitert. Hierbei wurde allerdings nur festgelegt, dass<br />
der Master in einer Picozelle die zu nutzenden oder die auszublendenen Frequenzen<br />
den Slaves vorgeben darf. Es ist jedoch weiterhin der Implementierung<br />
überlassen, auf welcher Grundlage diese Entscheidung getroffen wird. Außerdem<br />
bleibt die eigentliche Frequenzsprungvorschrift unverändert. Lediglich die Abbildungsfunktion<br />
auf konkrete Frequenzen wird angepasst. Der AFH-Ansatz bei<br />
Bluetooth setzt sich aus vier Bestandteilen zusammen [104] [103]:<br />
Die Komponente „ Channel Classifi cation” bewertet die einzelnen Frequenzen<br />
in Abhängigkeit von ihrer Belastung.<br />
Es ist die Aufgabe des „ Link Management“ (LM), die relevanten AFH-Informationen<br />
an alle angemeldeten Bluetooth-Knoten im <strong>Netzwerk</strong> zu verteilen.<br />
Mithilfe der „ Hop Sequence Modifi cation“ werden Kanäle selektiv reduziert.<br />
Die „ Channel Maintenance“ ist für die periodische Neubewertung der Kanalqualität<br />
zuständig.<br />
94 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
Testergebnisse zeigen, dass der AFH-Algorithmus in Koexistenzsituationen eine<br />
etwa 30-prozentige Leistungssteigerung für Bluetooth und eine etwa 80-prozentige<br />
Leistungssteigerung für WLAN ergibt. Dies entspricht in etwa auch Simulationsergebnissen<br />
für ähnliche Frequenzsprungverfahren.<br />
3.3.5 Data Link Layer<br />
Auf der Ebene des Data Link Layer (Sicherungsschicht) sind vor allem die Basistopologie,<br />
die Zugriffsmechanismen und die Adressierung beschrieben. Im<br />
Bluetooth-Protokoll sind diese Aufgaben besonders in den beiden folgenden Teilschichten<br />
umgesetzt:<br />
Link Manager Protocol (LMP): Das LMP erfüllt Aufgaben der Netzverwaltung.<br />
Diese umfassen insbesondere den Verbindungsaufbau zwischen Stationen,<br />
die Authentifi zierung und Verschlüsselung sowie die Steuerung der<br />
Energiesparmodi und der Gerätezustände in einem Piconetz.<br />
Logical Link Control and Adaptation Protocol (L2CAP): Das L2CAP verbindet<br />
die Protokolle der höheren Schichten mit den Aufgaben des Basisbands. Es<br />
ist in der Weise parallel zu LMP angeordnet, dass L2CAP die Übertragung der<br />
Nutzdaten übernimmt. L2CAP stellt sowohl verbindungsorientierte als auch<br />
verbindungslose Dienste zur Verfügung, greift selbst aber nur auf die verbindungslosen<br />
asymmetrischen ACL-Verbindungen des Basisbandprotokolls zu.<br />
Ein Bluetooth-<strong>Netzwerk</strong> ist grundsätzlich nach dem Master-Slave-Prinzip aufgebaut,<br />
wobei der Master die Steuerung des Verkehrsfl usses übernimmt. Auf diese<br />
Art sind vergleichsweise einfach isochrone Verkehrsströme abzuwickeln, wie sie<br />
etwa im Rahmen des Audiomoduls benötigt werden.<br />
Grundsätzlich sind folgende Arten von Bluetooth-<strong>Netzwerk</strong>en zu unterscheiden<br />
(vergleiche Abbildung 6):<br />
Wenn nur ein Master in einem <strong>Netzwerk</strong> vorhanden ist, handelt es sich um<br />
ein Piconetz.<br />
Wenn der eine Master ausschließlich mit einem Slave im Rahmen einer Punktzu-Punkt-Verbindung<br />
(Point-to-Point) kommuniziert, wird das <strong>Netzwerk</strong><br />
im Mono-Slave-Modus betrieben.<br />
Der eine Master kann auch im Multi-Slave-Modus Punkt-zu-Multipunkt-<br />
Verbindungen (Point-to-Multipoint) mit bis zu sieben aktiven Slaves etablieren,<br />
wobei weitere Slaves im geparkten Zustand passiv teilnehmen können.<br />
Ein Scatternetz setzt sich aus mehreren Piconetzen zusammen. Da jedes Piconetz<br />
von einem Master verwaltet wird, gibt es im Scatternetz-Modus folgerichtig<br />
mehrere Master. Dabei kann eine Station als Slave in mehreren Piconetzen<br />
angemeldet sein und nacheinander in diesen Netzen auch aktiv sein.<br />
Darüber hinaus kann ein Master eines Piconetzes gleichzeitig auch Slave in<br />
einem anderen Piconetz sein.<br />
webcode: 401459 95
3. <strong>Netzwerk</strong>-Grundlagen<br />
Abbildung 6: Architekturen von Bluetooth-<strong>Netzwerk</strong>en.<br />
Scatternetze haben sich in den heutigen Realisierungen der Bluetooth-Protokollstapel<br />
nicht durchgesetzt. Gleiches gilt für viele Routing-Algorithmen, die für umfassendere<br />
<strong>Netzwerk</strong>verwaltung entwickelt wurden. In einem solchen Piconetz<br />
wird der Kommunikationsablauf durch den Master vorgegeben. Dieser gibt, wie<br />
bereits beschrieben, allen Slaves im Piconetz Zeitschlitze mit einer Länge von 625<br />
ns vor, wobei eine Übertragung von allen Teilnehmern nur zu Beginn eines Zeitschlitzes<br />
gestartet werden darf.<br />
Aufeinanderfolgende Pakete werden auf verschiedenen Frequenzen übertragen.<br />
Im normalen Modus wird mit dem Beginn eines jeden neuen Zeitschlitzes ein Frequenzsprung<br />
durchgeführt. Bei der Übertragung von Paketen, die drei oder fünf<br />
Zeitschlitze einnehmen, wird die Frequenz bis zur vollständigen Übertragung des<br />
Pakets festgehalten. Das folgende Paket wird danach mit der Frequenz übertragen,<br />
die dem Zustand der Clock entspricht.<br />
Adressierung und Anmeldung<br />
Die Bluetooth-Geräte folgen einer Adressierung nach den 48 Bit langen IEEE-<br />
Adressen. Die Adressen werden sowohl zur eindeutigen Identifi zierung der Geräte<br />
während der Anmeldung in ein <strong>Netzwerk</strong> verwendet, als auch im Fall eines Masters,<br />
zur Berechnung der Sprungfolgen.<br />
Nach der Anmeldung wird den aktiven Slaves eine drei Bit lange Kurzadresse (active<br />
member address, AM_ADDR) zugewiesen, die diese für die Kommunikation<br />
in ihrem Piconetz verwenden. Die geringe Länge dieser Kurzadresse limitiert die<br />
Anzahl der aktiven Slaves in einem Piconetz auf sieben.<br />
96 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
Allerdings müssen bei der Anmeldung in einem solchen Piconetz eine Reihe von<br />
Arbeitsschritten durchgeführt werden. Insbesondere aufgrund der notwendigen<br />
Aufsynchronisation von Slaves auf die Frequenzsprungfolge des Masters benötigt<br />
die Anmeldung eine gewisse Zeit. Diese unterteilt sich dann im Wesentlichen in<br />
zwei Phasen:<br />
Mithilfe des Inquiry können die Stationen herausfi nden, welche anderen Stationen<br />
mit welchen Adressen und Clock-Zuständen sich im Umkreis ihrer<br />
Funkreichweite befi nden.<br />
Das Paging dient dazu, eine Verbindung zwischen den Geräten zu etablieren.<br />
Um eine spontane (ad-hoc) Anmeldung zu ermöglichen, versendet jede eingeschaltete<br />
Station in regelmäßigen Zeitabständen Anfragen (inquiry) an die Umgebung<br />
und hört den Kanal in den Zeiten zwischen zwei eigenen Anfragen auf Anfragen<br />
anderer Stationen ab.<br />
Die synchrone Kommunikation<br />
Der Bluetooth-Standard sieht in den bisherigen Versionen zwei grundsätzliche<br />
Kommunikationsarten vor, die für die unterschiedlichen in Abbildung 7 gezeigten<br />
Verbindungsarten genutzt werden können:<br />
Die synchrone verbindungsorientierte Kommunikation ( Synchronous Connection-Oriented<br />
Link – SCO) realisiert eine symmetrische Punkt-zu-Punkt-Kommunikation<br />
zwischen dem Master und genau einem Slave. SCO entspricht funktional<br />
einer leitungsvermittelten Übertragung, da der Master in regelmäßigen<br />
Abständen Zeitschlitze reserviert. Dies bedeutet, dass der Master in festgelegten<br />
Zeitschlitzen Daten an den Slave sendet, wobei der Slave berechtigt ist, in dem jeweils<br />
folgenden Zeitschlitz seine Daten abzusetzen.<br />
Abbildung 7: Zuordnung der unterschiedlichen Typen von Verbindungen, Paketen und Kanälen.<br />
webcode: 401459 97
3. <strong>Netzwerk</strong>-Grundlagen<br />
Ein Master kann bis zu drei SCO-Verbindungen zu einem oder mehreren Slaves<br />
unterhalten. Ein Slave kann seinerseits bis zu drei SCO-Verbindungen mit einem<br />
Master oder maximal zwei SCO-Verbindungen von verschiedenen Mastern unterstützen.<br />
Die SCO-Verbindungen sind darauf ausgelegt, eine effi ziente Sprachübertragung<br />
zu gewährleisten. Hierbei ist von Bedeutung, dass bei der Übertragung<br />
von Sprachinformation ein Datenverlust in einem gewissen Umfang sehr viel unkritischer<br />
ist, als eine Verzögerung der Informationen. Deswegen fi ndet bei SCO-<br />
Verbindungen keine Überprüfung der Datenintegrität statt. Für den Fall, dass Daten<br />
bei der Übertragung verloren gehen, fi ndet folglich keine erneute Übermittlung<br />
statt, weil dies auch eine Verzögerung der folgenden Sprachinformationen bedeuten<br />
würde. Um auch in schwierigen Umgebungsbedingungen die Bitfehlerrate in<br />
einem erträglichen Maß zu halten, werden Fehlerkorrektur-(Forward Error Correction,<br />
FEC)-Verfahren eingesetzt. Hierbei fi nden Faltungscodierung und Viterbi-Decodierung<br />
Einsatz. Da FEC-Verfahren zusätzliche Redundanz in den Datenstrom<br />
einfügen, lässt sich auf diese Weise die Übertragungsqualität gegen die<br />
Nettodatenrate abgleichen.<br />
Die asynchrone Kommunikation<br />
Die asynchrone verbindungslose Kommunikation ( Asynchronous Connectionless<br />
Link – ACL) hingegen stellt eine Verbindung zwischen dem Master und einem<br />
oder mehreren Slaves dar, die nur dann erfolgen darf, wenn der Kanal nicht für einen<br />
SCO reserviert ist. Eine ACL-Verbindung entspricht einer paketvermittelten<br />
Übertragung. Zwischen einem Master und einem Slave darf zu einem Zeitpunkt<br />
nur eine ACL-Verbindung aufgebaut sein.<br />
Abbildung 8: Pakettypen im Bluetooth-Standard in unterschiedlichen Varianten kombiniert.<br />
98 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
Im Rahmen der ACL-Verbindungen kann der Master auch Pakete an alle Slaves in<br />
seinem Piconetz versenden, indem er keine Zieladresse angibt. Dies wird als Broadcast<br />
interpretiert. Eine Broadcast-Übertragung von einem Slave ist nicht erlaubt.<br />
Die ACL-Verbindungen sind im Gegensatz zu den SCO-Verbindungen für eine<br />
effi ziente Datenübertragung ausgelegt. Bei Übermittlung von Daten spielt die Verzögerung<br />
eine meist untergeordnete Rolle, während die Datenintegrität von zentraler<br />
Bedeutung ist. Deswegen werden im Rahmen von ACL-Verbindungen fehlerhafte<br />
oder fehlende Informationsbestandteile erneut angefordert.<br />
In jeder dieser Verbindungsarten stehen verschiedene Pakettypen zur Verfügung,<br />
die versendet werden dürfen. Diese sind in Abbildung 8 mit den wichtigsten Eigenschaften<br />
aufgeführt.<br />
Gemeinsame Pakettypen: Sowohl für asymmetrische als auch für symmetrische<br />
Verbindungen stehen mit ID-, NULL-, POLL- und FHS-Paket gemeinsame<br />
Pakettypen zur Verfügung, die im Wesentlichen zur Verwaltung<br />
der Teilnehmerstationen dienen.<br />
DM-Pakete tragen Daten mittlerer Geschwindigkeitsanforderung (Data – Medium<br />
Rate). Wie bei den folgenden Pakettypen auch, repräsentieren die Zahlen<br />
1, 3 oder 5 die Anzahl der Zeitschlitze, die das Paket einnimmt (vgl. Abschnitt<br />
5). Das DM1-Paket kann in beiden Verbindungstypen (SCO & ACL)<br />
versendet werden und stellt eine Art Basisverbindung dar.<br />
Insbesondere besteht hierdurch auch die Möglichkeit, während der synchronen<br />
Verbindung Steuerinformationen zu übertragen.<br />
DH-Pakete tragen Daten hoher Geschwindigkeitsanforderung (Data – High<br />
Rate). Sie unterscheiden sich von den DM-Paketen lediglich durch den Wegfall<br />
der FEC-Redundanz.<br />
HV-Pakete sind vorgesehen für die Übertragung von Sprache (High Quality<br />
Voice) und anderen synchronen und transparenten Diensten.<br />
DV-Pakete setzen sich aus einem Daten- und einem Sprachblock zusammen<br />
(Data Voice Combined). Die beiden Bestandteile werden vollständig unabhängig<br />
voneinander bearbeitet. Dies bezieht sich auch auf die Fehlerbehandlung<br />
durch Codierung und Redundanzübertragung.<br />
3.3.6 HCI-Interface und Aufbau der Anwendungsprotokolle<br />
Das Host-Controller-Interface (HCI) ist eine Befehlsschnittstelle für den Basisband-Controller<br />
und den Link-Manager. Es stellt auch den Zugriff auf die Verbindungsparameter<br />
zur Verfügung. Im typischen Fall kann das HCI in etwa mit der<br />
TCP-Socket-Schnittstelle gleichgesetzt werden.<br />
Mit dem HCI kommen auch Host-Entwickler in Berührung, da die im HCI bereitgestellten<br />
Befehle durch einen HCI-Driver auf dem Bluetooth-Host angesprochen<br />
werden, wie dies in Abbildung 9 gezeigt ist.<br />
webcode: 401459 99
3. <strong>Netzwerk</strong>-Grundlagen<br />
Abbildung 9: Übersicht einer Bluetooth-Kommunikation zwischen zwei Endgeräten mit Darstellung der<br />
unteren Softwareschichten.<br />
Der Host Control Transport Layer, der durch die physische Anbindung bereitgestellt<br />
wird, verbindet die beiden HCI-Instanzen der beiden miteinander kommunizierenden<br />
Bluetooth-Controller. Die Hosts werden durch asynchrone Nachrichten<br />
über die HCI-Ereignisse informiert und sind dann dafür verantwortlich, die<br />
möglichen Events zu parsen und die erforderlichen Aktionen durchzuführen.<br />
Die Befehlsstruktur des HCI<br />
Die umfangreichen Befehle des HCI sind in die folgenden Gruppen untergliedert:<br />
Generic Events, Device Setup, Controller Flow Control, Controller Information,<br />
Controller Confi guration, Device Discovery, Connection Setup, Remote Information,<br />
Synchronous Connections, Connection State, Piconet Structure, Quality of<br />
Service, Physical Links, Host Flow Control, Link Information, Authentication and<br />
Encryption und Testing.<br />
Die für das Finden von Geräten zuständigen Befehle ( Device Discovery) mögen<br />
den Umfang und die Aufgaben des HCI illustrieren: Inquiry Command , Inquiry<br />
Result Event , Inquiry Result with RSSI Event , Inquiry Cancel Command , Periodic<br />
Inquiry Mode Command, Exit Periodic Inquiry Mode Command, Read Inquiry<br />
Scan Activity Command, Write Inquiry Scan Activity Command, Read Inquiry<br />
Scan Type Command, Write Inquiry Scan Type Command, Read Inquiry<br />
Mode Command und Write Inquiry Mode Command.<br />
3.3.7 Das Service Discovery Protocol<br />
Eine wichtige Rolle im Ablauf einer Bluetooth-Kommunikation spielt das Service<br />
Discovery Protocol (SDP). Damit können unterschiedliche Bluetooth-Geräte erkennen,<br />
welche Dienste und Charakteristika die jeweilige Gegenstelle ermöglicht.<br />
Hinter diesem System stecken Spargedanken: Dank SDP müssen die Hersteller<br />
100 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
nicht den kompletten Bluetooth-Stack in ihren Geräten verbauen, sondern können<br />
ihre Systeme modular aufbauen. Wollen zwei Geräte eine Verbindung zueinander<br />
aufbauen, können sie die zur Verfügung stehenden Dienste abfragen und<br />
darauf basierend eine Verbindung aufbauen. SDP stellt eine wesentliche Grundlage<br />
dar, um spontane (Ad-hoc-)<strong>Netzwerk</strong>e aufzubauen.<br />
3.3.8 RFCOMM – Grundlage für Verbindungen<br />
Der RFCOMM-Standard ist mit eines der wichtigsten Anwendungsprotokolle. Er<br />
emuliert eine serielle RS-232-Schnittstelle und passt dazu einen Teil der ETSI-<br />
Spezifi kation TS 07.10 für den Bluetooth-Standard an. Dieser beschreibt die<br />
Punkt-zu-Punkt-Verbindung zwischen zwei Geräten über die »serielle Schnittstelle<br />
Luft«. Aus diesem Grund werden zum Beispiel auch LAN-Verbindungen<br />
über TCP/IP über das serielle Point-to-Point-Protocol (PPP) über RFCOMM implementiert.<br />
RFCOMM besitzt eine ähnlich zentrale Bedeutung wie die drahtgebundene<br />
RS232-Schnittstelle. In diesem Fall bedeutet dies, dass das RFCOMM-<br />
Protokoll in praktisch allen Bluetooth-Stack-Implementierungen vorliegt und<br />
viele proprietäre Anwendungen hierüber abgewickelt werden.<br />
3.3.9 Häufi gstes Anwendungsszenario: Gekoppelte Dienste<br />
Zu den meistvorkommenden Bluetooth-Anwendungsfällen gehört das Koppeln<br />
verschiedener Geräte. Im Alltag tritt wahrscheinlich die Kopplung einer Freisprecheinrichtung<br />
und eines Telefons am häufi gsten auf, etwa als Headset oder<br />
Freisprecheinrichtung in Fahrzeugen. Hier signalisiert Telephony Control Service<br />
– Binary (TCS Binary) den Gesprächsaufbau und -abbau auf der Grundlage der<br />
ITU-T-Empfehlung Q.931. Zusätzlich hat die Bluetooth SIG einen Satz der sogenannten<br />
AT-Kommandos aus den einschlägigen ITU- und ETSI-Spezifi kationen<br />
übernommen, um die Ansteuerung von Modems und Mobiltelefonen zu gewährleisten.<br />
Darüber hinaus stehen auch Fax-Dienstleistungen zur Verfügung. Es ist<br />
darauf hinzuweisen, dass nur der Gesprächsaufbau über das TCSBIN-Protokoll<br />
und die L2CAP-Ebene erfolgt. Die Übertragung der Nutzdaten erfolgt über das<br />
Audioprotokoll, das unmittelbar auf einen SCO-Link im Baseband zugreift.<br />
3.3.10 Weitere Anwendungsprotokolle<br />
Darüber hinaus haben verschiedene weitere anwendungsnahe Protokolle Eingang<br />
in den Bluetooth-Standard gefunden. Hierzu zählt das Object-Exchange-(OBEX-<br />
)Protokoll, das aus dem IrDAStandard für Infrarot-Verbindungen übernommen<br />
wurde und das die Repräsentation von Objekten und die Strukturierung von Dialogen<br />
zwischen den Objekten modelliert. Mithilfe von OBEX wird das vCard-Protokoll<br />
abgewickelt, das den Austausch von virtuellen Visitenkarten ermöglicht.<br />
webcode: 401459 101
3. <strong>Netzwerk</strong>-Grundlagen<br />
Das Wireless Application Protocol (WAP), das für die Übermittlung von WML-<br />
Ressourcen auf Mobiltelefone entwickelt wurde, steht ebenfalls im Bluetooth-<br />
Standard zur Verfügung und wird über die TCP/IP-Schichten realisiert.<br />
3.3.11 Sicherheit in Bluetooth<br />
Sicherheit ist bei drahtlosen Systemen von überragender Bedeutung. Dazu ist eine<br />
starke Autorisierung notwendig; zudem muss die Vertraulichkeit zwischen den<br />
beiden Geräten stets garantiert sein. Daher unterstützen Bluetooth Sicherheitsmaßnahmen<br />
sowohl auf Link als auch auf Application Layer. Diese sind symmetrisch<br />
ausgeführt, sodass jedes Gerät in identischer Art und Weise Authentifi zierung<br />
und Verschlüsselung in der gleichen Art und Weise durchführen kann.<br />
Das Schlüsselmaterial für den Link Layer wird aus vier Bestandteilen generiert: der<br />
Bluetooth Geräteadresse, zwei geheimen Schlüsseln und einer pseudozufälligen<br />
Zahl, die für jede Übertragung neu erzeugt wird (laut Specifi cation of the Bluetooth<br />
System). Für Bluetooth wurde ein spezieller Satz von kryptografi schen Algorithmen<br />
der sogenannten E-Familie von Massey und Rueppel entwickelt:<br />
Die Authentifi zierung der Geräte nutzt ein symmetrisches zweiseitiges Challenge/<br />
Response-System, der sogenannten E1 Algorithmus. Für die Verschlüsselung der<br />
Daten wird der E0-Algorithmus verwendet, ein symmetrisches Stromverschlüsselungsverfahren.<br />
Die Schlüsselverwaltung und -verwendung besteht aus verschiedenen<br />
Elementen. Für die Schlüsselgenerierung werden die kryptografi schen Elemente<br />
der sogenannten E2- und E3-Algorithmen verwendet.<br />
3.3.12 Sicherheitslücken<br />
Wie immer lassen sich bei kryptografi schen Sicherheitssystemen zwei Arten von<br />
möglichen Angriffen unterscheiden: Es kann sowohl Schwächen im Algorithmus<br />
an sich als auch in der Implementierung im Protokoll geben.<br />
Der E0-Algorithmus wurde umfangreich von der Community analysiert, und es<br />
existieren gute Abschätzungen der kryptografi schen Stärke. Insbesondere weist<br />
mit dem Summationsgenerator ein Element eine Schwäche auf, die in Korrelationsangriffen<br />
ausgenutzt werden könnte. Dies erscheint aber angesichts der hohen<br />
Resynchronisationsfrequenz unrealistisch.<br />
Direkte Angriffe auf das E0-Verfahren sind bekannt, weisen aber eine erhebliche<br />
Komplexität auf: Der Bericht „Security Weaknesses in Bluetooth“ (http://ieeexplore.ieee.org/Xplore/login.jsp?url=/iel5/8900/28134/01258472.<br />
pdf?arnumber=1258472) stellt zwei solche Angriffe vor. Auch die Untersuchung<br />
“Analysis of the E0 Encryption System” (http://portal.acm.org/citation.cfm?id=64<br />
6557.694748&coll=GUIDE&dl=GUIDE&CFID=24725003&CFTOKEN=474548<br />
29) von Scott R. Fluhrer und Stefan Lucks zeigt einen Angriff, der nachweist, dass<br />
sich die maximale effi ziente Schlüssellänge 84 Bits reduziert, wenn 132 Bits dem<br />
102 www.<strong>TecChannel</strong>.de
Bluetooth-Grundlagen: Herkunft und Funktionsweise<br />
Angreifer des verschlüsselten Datenstroms bekannt sind. Die maximale effektive<br />
Schlüssellänge kann sich bis auf 73 Bits verringern, wenn 243 Bits des verschlüsselten<br />
Datenstroms bekannt sind. Abgesehen von diesen komplexen theoretischen<br />
Lücken sind auch einige allgemeine Schwächen vorhanden. So gab es in der Vergangenheit<br />
beispielsweise fehlerhaft implementierte Bluetooth-Stacks, etwa 2006<br />
bei Toshiba (Webcode 451185). Eine weitere Schwachstelle sind Standard-PINs.<br />
Hier machte vor einiger Zeit die Trifi nity-Gruppe mit ihrem Car Whisperer von<br />
sich reden (http://trifi nite.org/trifi nite_stuff_carwhisperer.html).<br />
Bekannte Sicherheitsrisiken<br />
Im Bereich der Protokollimplementierungen sind folgende Schwächen bekannt –<br />
es sind im Wesentlich auch jene, die zu bekannten Angriffen führen:<br />
Die Schlüssellänge kann zwischen zwei Stationen ausgehandelt werden, wobei die<br />
größte gemeinsame Schlüssellänge ausgewählt wird. Bietet eine Station also nur<br />
eine geringe Schlüssellänge an, so wird die gesamte Kommunikation mit dieser geringen<br />
Länge verschlüsselt. Die Wahl der PIN-Codes für die Authentifi zierung ist<br />
ebenfalls eine häufi ge Schwachstelle. In manchen Systemen ist der PIN-Code sogar<br />
fest vorgegeben. Die wechselseitige Authentifi zierung basiert nicht auf Zertifi -<br />
katen und erlaubt damit grundsätzlich auch einen Man-in-the-middle-Angriff.<br />
Die meisten Anwendungsprotokolle bieten selbst keine Sicherheit. Da einige der<br />
Protokolle aber auch Zugriff auf das Dateisystem erlauben, eröffnen sich einem<br />
Angreifer weitere Sicherheitslücken. Das Service Discovery Protocol (SDP) erlaubt<br />
das aktive Sammeln von Informationen über die Stationen, ihre Adressen<br />
und die bereitgestellten Dienste.<br />
3.3.13 Fazit und Ausblick<br />
Trotz all dieser Angriffsmöglichkeiten sollte nicht unerwähnt bleiben, dass die<br />
Spezifi kation der Bluetooth-Security-Mechanismen potenziellen Angreifern bei<br />
korrekter Implementierung durch Systementwickler und korrekten Einsatz durch<br />
die Benutzer ein hohes Know-how abfordert.<br />
Zum zehnjährigen Geburtstag erscheint die Bluetooth-Entwicklung kein bisschen<br />
müde – im Gegenteil: Es scheint eher die Gefahr zu bestehen, dass sich die SIG zu<br />
viele neue Ziele setzt. Denn auch andere Techniken versuchen, am Erfolg von<br />
Bluetooth anzuknüpfen. Eines der prominentesten Beispiele ist dabei sicherlich<br />
Wireless USB. Die Technologie hat durchaus das Zeug, Bluetooth Konkurrenz zu<br />
machen, denn die meisten Anwender kennen USB schon, die Hemmschwelle zur<br />
Nutzung ist also dementsprechend niedrig. Dennoch wird Bluetooth auch in den<br />
nächsten Jahren nicht aus dem mobilen Alltag wegzudenken zu sein. Denn vor<br />
allem in seinem angestammten Bereich, der Koppelung eines Handys mit einem<br />
anderen Gerät, kann sich diese Technologie immer wieder beweisen.<br />
Prof. Dr. Axel Sikora<br />
webcode: 401459 103
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.4 So funktionieren UMTS und HSPA<br />
Netzbetreiber und Gerätehersteller überschlagen sich regelrecht mit der Ankündigung<br />
immer höherer Downlink- und Uplink-Geschwindigkeiten im UMTS-Netz.<br />
Was aber steckt eigentlich genau hinter den dazu eingesetzten Übertragungsstandards<br />
HSDPA und HSUPA?<br />
„Per Mobilfunk höhere Datenraten als DSL“ – so oder ähnlich bewerben die Netzbetreiber<br />
ihre mobilen Breitbandzugänge mit den Übertragungsverfahren HSD-<br />
PA und HSUPA. Tatsächlich bietet die Technologie „High Speed Downlink Packet<br />
Access“ oder kurz HSDPA in der Übertragungsrichtung vom Mobilfunknetz<br />
zum Teilnehmer heute Geschwindigkeiten von bis zu 7,2 Mbit/s. In weiteren Ausbauschritten<br />
sollen bis zu 14,4 Mbit/s möglich werden. Und das komplementäre<br />
Upload-Verfahren „High Speed Uplink Packet Access“ (HSUPA) erreicht heute<br />
schon bis zu 1,44 Mbit/s, ein Ausbau auf 2,88 Mbit/s und mehr ist ebenfalls bereits<br />
geplant. Beide Varianten im Verbund werden auch als „HSPA“ bezeichnet – „High<br />
Speed Packet Access“. Die Bezeichnung beschreibt einen Protokollzusatz für das<br />
Mobilfunknetz UMTS (Universal Mobile Telecommunications System), mit dem<br />
sich die Datenraten, aber auch Latenzzeiten und Fehlerkorrekturverfahren mobiler<br />
Datenübertragungen spürbar tunen lassen. Im Folgenden lesen Sie, wie diese<br />
Standards im Detail funktionieren und was die Zukunft bringt.<br />
3.4.1 Unterschiede der Funktechnik zwischen<br />
UMTS und GPRS/GSM/EDGE<br />
Der 1992 eingeführte Mobilfunkstandard GSM (ursprünglich „Groupe Spéciale<br />
Mobile“, später international als „Global System for Mobile Communications“<br />
umgenannt) war in seiner Architektur ganz auf die Übermittlung von Sprache<br />
ausgelegt. Jedem Teilnehmer steht ein eigener, dezidierter Kanal zur Verfügung.<br />
Um die raren Mobilfunkfrequenzen effi zienter nutzen zu können, wurde ein Zeitschlitzverfahren<br />
eingeführt (TDMA – „Time Division Multiple Access“, übersetzt<br />
etwa: zeitbasierter Mehrfachzugriff). Bis zu acht Verbindungen lassen sich gleichzeitig<br />
auf derselben Funkfrequenz übertragen. Mit sogenannten Half-Rate-Codecs<br />
waren später sogar bis zu 16 Gespräche pro GSM-Trägerfrequenz möglich.<br />
Die Datenmodi des GSM-Netzes waren zunächst auch auf leitungsvermittelte<br />
Verbindungen ausgelegt. Per „GSM-Modem“ ließen sich 9,6 Kbit/s, später durch<br />
effi zientere Codierung 14,4 Kbit/s übertragen. Mit wachsendem Bedarf an Übertragungsbandbreite<br />
wurde das Kanalbündelungsverfahren HSCSD („High Speed<br />
Circuit-Switched Data“) eingeführt. Es erlaubte die Kombination von bis zu vier<br />
14,4-Kbit/s-„Kanälen“ und somit Datenraten von bis zu 57,6 Kbit/s. Doch ein<br />
HSCSD-Nutzer belegte vier oder gar fünf (mit einem zusätzlichem Uplink-Kanal)<br />
der knappen und teuren GSM-Zeitschlitze. Die Entwicklung unterstrich jedoch<br />
die zunehmende Bedeutung von Datenverbindungen (insbesondere per IP für<br />
104 www.<strong>TecChannel</strong>.de
So funktionieren UMTS und HSPA<br />
den mobilen Zugriff aufs Internet). Die Lösung war die Einführung von GPRS,<br />
dem „General Packet Radio Service“. Der wichtige Entwicklungsschritt war die<br />
Abkehr von leitungsorientierten Einwahlverbindungen hin zu paketvermittelten<br />
„Always On“-Verbindungen. Zwar nutzt auch GPRS die GSM-Zeitschlitze, stellt<br />
diese jedoch mehreren (Daten-)Teilnehmern einer Mobilfunkzelle gleichzeitig<br />
zur Verfügung. Je nach eingesetzter Kanalcodierung erlaubt GPRS theoretisch Datenraten<br />
bis zu 171,2 Kbit/s.<br />
Solide Basis: Im März 2008 gab<br />
es mehr als 18 Millionen EDGEfähige<br />
Geräte in Deutschland.<br />
(Quelle: M:Metrics)<br />
In der Praxis sind Netze und Endgeräte heute auf 53,6 Kbit/s beschränkt. Der geplante<br />
Ausbau auf mehr Zeitschlitze oder verbesserte Codierungsschemata wurde<br />
von anderen Technologien überholt – etwa EDGE („Enhanced Data Rates for<br />
GSM Evolution“), der durch eine modernisierte Netzarchitektur und Kanalcodierung<br />
Datenraten theoretisch bis zu 470 Kbit/s, in der Praxis bis 236,8 Kbit/s übertragen<br />
kann. Im Uplink liegt die maximale Datenrate bei 118,4 Kbit/s.<br />
Neuer Fokus: Von Sprach- zur Datenkommunikation<br />
GSM und GPRS werden auch als zweite Generation des Mobilfunks bezeichnet<br />
(nach der ersten Generation, die analoge Verfahren nutzte wie in Deutschland die<br />
A-, B- und C-Netze). EDGE wird häufi g als Übergangstechnologie und somit als<br />
„2,5 G“ betrachtet. Bei der Konzeption der dritten Generation (auch „3G“ – die<br />
landläufi ge Bezeichnung für UMTS) lag der Schwerpunkt nicht mehr länger auf<br />
Sprach-, sondern vielmehr auf Datenkommunikation. Die gesamte Netzarchitektur<br />
ist auf IP-Datenverkehr ausgerichtet. Und das gilt auch für das Funkübertragungsverfahren.<br />
Statt der für leitungsvermittelte Verbindungen optimierten Zeitschlitze<br />
nutzt UMTS das für Paketdatenübertragung ausgelegte Code-Multiplex-<br />
Verfahren. Seine englischen Bezeichnungen CDMA („Code Division Multiple<br />
Access“) beziehungsweise W-CDMA („Wideband-CDMA“) charakterisieren diese<br />
Übertragungstechnik. W-CDMA nutzt für die Signalübertragung das gesamte<br />
verfügbare Frequenzspektrum – im Fall von UMTS sind das 5 MHz. Man spricht<br />
auch von einem „Spread Spectrum“-Verfahren. Damit der Empfänger das für ihn<br />
bestimmte Signal aus dem übertragenen Gesamtgemisch „heraushören“ kann,<br />
webcode: 1758443 105
3. <strong>Netzwerk</strong>-Grundlagen<br />
identifi ziert er „seine“ Datenpakete anhand eines Verschlüsselungscodes, des sogenannten<br />
Spreiz-Codes. Die Code-basierte Spread-Spectrum-Übertragung ist<br />
nicht nur für paketvermittelte Verbindungen optimiert – sie profi tiert auch von<br />
günstigeren Übertragungseigenschaften und erlaubt somit eine effi zientere Nutzung<br />
der verfügbaren Funkfrequenzen. Die Zahl möglicher Nutzer wird nicht<br />
mehr durch die Zahl der verfügbaren Frequenzen und Zeitschlitze, sondern durch<br />
die von ihnen benötigte Bandbreite defi niert.<br />
3.4.2 Architektur von GSM- und UMTS-Netzen<br />
Nicht nur das Übertragungsverfahren auf der sogenannten Luftschnittstelle (also<br />
der verwendete Funkstandard), sondern auch die Netzarchitektur wurde bei<br />
UMTS auf den Schwerpunkt Datenübertragung optimiert. Die Struktur eines<br />
GSM/GPRS-Netzes bildet noch die Vermittlungsfunktion ab: ein „ Mobile Switching<br />
Center“ (MSC) übernimmt das „Durchschalten“ der Verbindungen, der sogenannte<br />
„ Base Station Controller“ (BSC) steuert die „ Base Transceiver Stations“<br />
(BTS) und somit die einzelnen Funkzellen. Für die Datenübertragung sind Gateways<br />
(GGSN – „Gateway GPRS Support Node“) ins IP-Netz vorgesehen.<br />
GSM-Struktur: GSM wurde auf Sprachverbindungen ausgelegt und vermittelt in erster Linie Anrufer.<br />
3.4.3 UMTS: Die IP-gerechte Netzstruktur<br />
Im Vergleich dazu repräsentiert die Architektur eines UMTS-Netzes dessen Fokus<br />
auf IP-basierte Datenübertragung: Man unterscheidet das „ Core Network“, das<br />
mit Elementen wie einem „Mobile Switching Center Server“ (MSCS) und „ Media<br />
Gateway“ (MGW) die Signalisierung und Vermittlung übernimmt, und das ei-<br />
106 www.<strong>TecChannel</strong>.de
So funktionieren UMTS und HSPA<br />
gentliche Funknetz („UMTS Terrestrial Radio Access Network“, kurz UTRAN).<br />
Letzteres ist aus mehreren Radio Network Controllern (RNC) aufgebaut. Sie steuern<br />
wiederum die einzelnen Funkzellen, die bei UMTS als „Node B“ bezeichnet<br />
werden. Ihre Funktion entspricht den BTS des GSM-Netzes.<br />
Daten im Fokus: UMTS wurde von Anfang für IP-Datenübertragungen ausgelegt.<br />
Wichtiger als die etwas unterschiedlichen Fachbegriffe für die Netzkomponenten<br />
ist die unterschiedliche Aufgabenverteilung: UMTS-Netze sind in mehreren logischen<br />
Schichten organisiert. Sie trennen den Datenverkehr von der Signalisierung<br />
und Vermittlung. Eine dritte Schicht ist dann die Serviceschicht (englisch<br />
„Service Layer“), die für die einzelnen Netzdienste, aber auch für die Netzüberwachung<br />
zuständig ist.<br />
3.4.4 UMTS aufgerüstet: Tuning per HSDPA und HSUPA<br />
Mit der kommerziellen Einführung von UMTS in Deutschland im Jahr 2004 bot<br />
das 3G-Netz eine Datenübertragungsgeschwindigkeit von bis zu 384 Kbit/s im<br />
Downlink und 64 Kbit/s im Uplink. Die dafür verwendeten Codierungsverfahren<br />
sind in der sogenannten „Release 99“ des UMTS-Standards defi niert – der Fassung<br />
des Standards, die im Jahr 1999 verabschiedet wurde. Allerdings versprach<br />
UMTS von Anfang an Datenraten von bis zu 2 Mbit/s. Ursprünglich sollte diese<br />
Höchstgeschwindigkeit nur an räumlich sehr begrenzten Hotspots zur Verfügung<br />
stehen. Doch dieses Konzept wurde schnell verworfen und nicht praktisch realisiert.<br />
An seine Stelle trat HSDPA, der „High Speed Downlink Packet Access“. Die<br />
erste Ausbaustufe wurde in der 2005 veröffentlichten „Release 5“ des Funkstandards<br />
spezifi ziert. Sie erhöhte die Datenraten im Downlink auf bis zu 1,8 Mbit/s<br />
webcode: 1758443 107
3. <strong>Netzwerk</strong>-Grundlagen<br />
und hob die Uplink-Datenrate gleichzeitig auf 384 Kbit/s an. Das maßgeblich an<br />
der Standardisierung beteiligte Herstellergremium 3GPP („3rd Generation Partnership<br />
Project“) und die für die Ratifi zierung der Standards zuständige ITU (International<br />
Telecommunications Union) erkannten schnell, dass der Bedarf an<br />
mobilen Datenraten kontinuierlich steigen würde.Deshalb folgte im Jahr 2006 die<br />
nächste Ausbaustufe, auch als „Release 6“ bekannt. Sie beschleunigte den Downlink<br />
per HSDPA auf 3,6 Mbit/s. Parallel dazu wurde auch eine deutlich schnellere<br />
Uplink-Technologie vorgestellt: HSUPA („High Speed Uplink Packet Access“)<br />
stellte Uplink-Datenraten von bis zu 1,44 Mbit/s zur Verfügung.<br />
108 www.<strong>TecChannel</strong>.de<br />
Wachstum: Von Januar 2007 bis<br />
März 2008 ist die Anzahl der<br />
UMTS-Geräte in Deutschland auf<br />
nahezu 10,5 Millionen angestiegen.<br />
(Quelle: M:Metrics)<br />
Die derzeit jüngste Spezifi kation „Release 7“ erhöhte abermals die Datenraten auf<br />
nun 7,2 Mbit/s im Downlink und 3,84 Mbit/s im Uplink. Und schon ist eine abermalige<br />
Verbesserung auf 14,4 Mbit/s im Downlink und 5,76 Mbit/s im Uplink geplant<br />
– sie soll im Lauf des Jahres 2008 als „Release 8“ spezifi ziert werden.<br />
Die verschiedenen Ausbaustufen im Überblick:<br />
UMTS-Ausbaustufen<br />
Beschreibung Standard Einführung max. Downlink max. Uplink<br />
UMTS Release 99<br />
(1999)<br />
2004 384 Kbit/s 64 Kbit/s<br />
HSDPA<br />
(1. Ausbaustufe)<br />
HSDPA<br />
(2. Ausbaustufe) plus HSUPA<br />
HSDPA/HSUPA<br />
(3. Ausbaustufe)<br />
HSDPA/HSUPA<br />
(4. Ausbaustufe)<br />
Release 5<br />
(2005)<br />
Release 6<br />
(2006)<br />
Release 7<br />
(2007)<br />
Release 8<br />
(2008)<br />
2006 1,8 Mbit/s 384 Kbit/s<br />
2007 3,6 Mbit/s 3,6 Mbit/s<br />
2008 7,2 Mbit/s 3,84 Mbit/s<br />
vorauss.<br />
2009<br />
14,4 Mbit/s 5,76 Mbit/s
Praxis macht schrittweise Steigerung notwendig<br />
So funktionieren UMTS und HSPA<br />
Man mag sich nun fragen, warum die Spezifi kationen immer nur schrittweise festgelegt<br />
werden. Der einfache Grund: Sowohl die Bauteile in den Endgeräten als<br />
auch die Komponenten im UMTS-Kern- und Funknetz sind von der jeweils verfügbaren<br />
Prozessortechnologie abhängig. Höhere Datenraten erfordern leistungsfähigere<br />
Bauteile. Nur wenn diese sowohl im Mobilfunknetz als auch in den Handys<br />
und Datenmodems zur Verfügung stehen, lässt sich die jeweils spezifi zierte<br />
Übertragungstechnologie auch tatsächlich in der Praxis realisieren.<br />
In der Praxis bedeutet dies allerdings, dass die Kunden für jeden neuen Geschwindigkeitsschritt<br />
oder die Einführung zusätzlicher Übertragungsverfahren wie HSU-<br />
PA auch neue Hardware kaufen müssen. Nur wenn der eingesetzte Chipsatz bereits<br />
auf eine höhere Ausbaustufe ausgelegt ist, lassen sich die vom Netz<br />
angebotenen höheren Datenraten eventuell durch ein Firmware-Update nutzen.<br />
Beachten sollte man zudem, dass die angegebenen Datenraten jeweils Maximalwerte<br />
sind. Wegen der Besonderheiten der W-CDMA-Funktechnik sinken die<br />
praktisch erzielbaren Werte mit der Anzahl der eingebuchten Teilnehmer und der<br />
Entfernung zur Funkantenne beziehungsweise zum „Node B“. In der Praxis liegen<br />
die erzielbaren Werte bei etwa zwei Dritteln bis der Hälfte der jeweiligen Maximalangaben.<br />
Letztlich hängen die Datenraten jedoch von der Anzahl der Teilnehmer<br />
und dem Netzausbau des jeweiligen Anbieters ab.<br />
3.4.5 Technik: So funktioniert HSDPA<br />
Wie aber konnten HSDPA und HSUPA die Datenraten von UMTS so deutlich<br />
steigern? Die beiden Verfahren setzten an verschiedenen Stellen an, um die UMTS-<br />
Übertragung zu tunen. Wichtigstes Ziel dabei war jedoch, dass die gerade erst teuer<br />
installierten 3G-Netze für diese Protokollerweiterungen nicht aufwendig umgebaut<br />
werden sollten. Sofern die in den Basisstationen eingesetzten Komponenten<br />
ausreichend leistungsfähig waren, sollte ein Software-Upgrade genügen.Gleichzeitig<br />
sind allerdings auch Ausbaumaßnahmen im Kernnetz notwendig – schließlich<br />
müssen die „Node B“ bei höheren Datenraten auch über schnellere Backbones<br />
an den IP-Verkehr angebunden werden, damit die übermittelten Daten schnell<br />
genug zu- und abfl ießen können.<br />
3.4.6 Effi zienter dank besserer Modulation<br />
Ein wichtiger Baustein zur Effi zienzsteigerung bei HSPA sind neue, verbesserte<br />
Modulationsverfahren. HSDPA und HSUPA basieren auf den Varianten QPSK<br />
(englisch „Quadrature Phase Shift Keying“, übersetzt: Vierphasen-Modulation)<br />
und dem noch leistungsfähigeren 16-QAM („16 Level Quadrature Amplitude<br />
Modulation“, also 16-stufi ge Quadratur-Amplitudenmodulation). QPSK kann<br />
per Phasenmodulation pro „Codesignal“ 2 Bits gleichzeitig übermitteln. 16-QAM<br />
webcode: 1758443 109
3. <strong>Netzwerk</strong>-Grundlagen<br />
verwendet zusätzlich eine Amplitudenmodulation und überträgt so mit einem<br />
Codewort 4 Bits gleichzeitig. Allerdings steigt mit zunehmender Bandbreite auch<br />
die Empfi ndlichkeit gegenüber Störungen. Im Vergleich zu QPSK verdoppelt 16-<br />
QAM die Bandbreite – gleichzeitig sinkt aber die Störsicherheit, und die Menge<br />
von Interferenzstörungen nimmt zu.<br />
Die Uplink-Technologie HSUPA setzt statt QPSK und 16-QAM eine robustere 1-<br />
Bit-Modulation namens Binary Phase Shift Keying (BPSK) ein. Sie erlaubt das<br />
Senden von Daten auch bei vergleichsweise stark gestörter Funkverbindung.<br />
Vorwärts-Fehlerkorrektur und intelligente Rekonstruktion<br />
Ein wichtiges Grundprinzip ist deshalb, dass die höherwertigen Codier-Schemata<br />
vom Netz nur solchen Endgeräten zugewiesen werden, die sich in geringer Entfernung<br />
vom Node B befi nden und somit eine gute Signalqualität empfangen. Jeder<br />
Teilnehmer empfängt genau die Datenrate, die nach seinen aktuellen Empfangsbedingungen<br />
realisierbar ist. Das Endgerät informiert die Basisstation über die aktuelle<br />
Empfangsqualität. Je besser die Funkqualität, desto mehr Daten werden<br />
übertragen. Dies stellt sicher, dass sich mehr Daten fehlerfrei übertragen lassen.<br />
Aufwendige Fehlerkorrekturmaßnahmen können so in vielen Fällen ganz vermieden<br />
werden. Erkennt das Funknetz jedoch, dass die Empfangsqualität sinkt, fügt<br />
es den Nutzdaten redundante Daten hinzu. Mit ihrer Hilfe kann das Endgerät<br />
auch fehlerhaft empfangene Datenblocks selbstständig rekonstruieren. Die bei<br />
schlechten Funkverbindungen verwendete Codier-Rate von 1/4 bedeutet, dass ein<br />
Viertel der übertragenen Daten Nutzdaten sind – drei Viertel also für die Fehlerkorrektur<br />
benötigt werden. Im Gegensatz dazu kann bei optimalem Funkkontakt<br />
auf die Fehlerkorrektur verzichtet werden. Dann kommt eine Codier-Rate von 4/4<br />
zum Einsatz – und somit die maximal mögliche Datenrate.<br />
Die folgende Tabelle zeigt die möglichen Kombinationen von Modulation, Codier-Rate<br />
und Anzahl parallel genutzter Übertragungs-„Kanäle“:<br />
Kombinationen von Modulation, Codier-Rate und Kanäle<br />
Modulation Codier-Rate 5 Kanäle 10 Kanäle 15 Kanäle<br />
QPSK 1/4 0,6 Mbit/s 1,2 Mbit/s 1,8 Mbit/s<br />
2/4 1,2 Mbit/s 2,4 Mbit/s 3,6 Mbit/s<br />
3/4 1,8 Mbit/s 3,6 Mbit/s 5,4 Mbit/s<br />
16-QAM 2/4 2,4 Mbit/s 4,8 Mbit/s 7,2 Mbit/s<br />
3/4 3,6 Mbit/s 7,2 Mbit/s 10,7 Mbit/s<br />
4/4 4,8 Mbit/s 9,6 Mbit/s 14,4 Mbit/s<br />
Das im HSPA-Standard vorgesehene AMC („Adaptive Modulation and Coding“)<br />
sorgt dafür, dass sich Basisstation und Endgerät je nach Signalqualität und Netz-<br />
110 www.<strong>TecChannel</strong>.de
So funktionieren UMTS und HSPA<br />
belastung bei laufender Verbindung auf das jeweils am besten geeignete Codierungsschema<br />
einigen. Die bei HSUPA eingesetzte BPSK-Codierung (Binary Phase<br />
Shift Keying) kann bei der W-CDMA-Codierung einen, zwei, vier oder sechs<br />
Codes pro Teilnehmer nutzen.<br />
Daraus ergeben sich folgende maximal mögliche Datenraten:<br />
Maximale Datenraten der BPSK-Codierung<br />
Modulation Codier-Rate 1 Code 2 Codes 4 Codes 6 Codes<br />
BPSK 2/4 0,64 Mbit/s 1,28 Mbit/s 2,56 Mbit/s 3,84 Mbit/s<br />
3/4 0,72 Mbit/s 1,44 Mbit/s 2,88 Mbit/s 4,32 Mbit/s<br />
4/4 0,96 Mbit/s 1,92 Mbit/s 3,84 Mbit/s 5,76 Mbit/s<br />
Die angegebene Rate von 4/4 kommt wieder nur bei glasklaren Funkverbindungen<br />
zum Einsatz, die auf jede Fehlerkorrektur verzichten können. In der Praxis lassen<br />
sich daher eher die bei der Codier-Rate „3/4“ angegeben Datenraten erreichen.<br />
3.4.7 HSDPA-Zukunft: Schneller, optimierter, effi zienter<br />
Neben Signalcodierung und Fehlerkorrektur realisiert HSPA weitere Verbesserungen<br />
in der Struktur des UMTS-Netzes. Das wichtigste Ziel ist hier eine Verringerung<br />
der Latenzzeiten. Typisch für Mobilfunkübertragungen ist nämlich, dass<br />
die Wartezeit auf Antworten deutlich höher ausfällt als vom Festnetz gewohnt.<br />
Jede interaktive Kommunikation wird dadurch quälend langsam.<br />
Massiver Anstieg: Seit Mai 2007<br />
konnte HSDPA stark zulegen. Der<br />
Standard bleibt aber dennoch<br />
hinter UMTS und EDGE zurück.<br />
(Quelle: M:Metrics)<br />
Das zeigt sich bereits beim Aufbau komplexer Webseiten, wirkt sich noch viel<br />
schlimmer jedoch bei Text- und Audio-Chats, Videokonferenzen und ähnlichen<br />
Anwendungen aus.<br />
webcode: 1758443 111
3. <strong>Netzwerk</strong>-Grundlagen<br />
Bei GPRS sind Ping-Zeiten von 600 Millisekunden und mehr typisch. EDGE<br />
konnte den Wert bereits auf 400 bis 500 ms senken, UMTS in der Standardausführung<br />
erreicht etwa 200 bis 300 ms. Mit HSPA sinken die Ping-Zeiten auf typischerweise<br />
50 bis 200 ms. Um die Latenzzeiten zu verringern, war es notwendig,<br />
die Steuerung der Paketübertragung (das sogenannte Scheduling) näher an die<br />
Basisstationen (Node B) heranzubringen. Diese Funktion, die bei UMTS ursprünglich<br />
im Radio Network Controller (RNC) angesiedelt war, wandert bei<br />
HSPA deshalb direkt in die Steuerungsmodule der Node B. Dies entlastet die RNC<br />
und spart Übertragungszeiten. Zudem sendet HSPA verlorene Datenpakete<br />
schneller neu, als es bei UMTS (Release 99) möglich war.<br />
Shared Channel Transmission und Fast Hybrid Automatic Repeat Request<br />
Doch HSPA nutzt noch weitere Tricks zur Effi zienzsteigerung. Während das<br />
CDMA-Verfahren an sich jeder „Verbindung“ von Netz zu Endgerät einen individuellen<br />
Code und somit einen eigenen virtuellen Kanal zuweist, kann HSPA bei<br />
Bedarf einen Übertragungscode mehreren Verbindungen zuweisen. Dieses Verfahren,<br />
das als „Shared Channel Transmission“ bezeichnet wird, erlaubt es, die in<br />
einer UMTS-Funkzelle verfügbare Bandbreite noch besser auszunutzen.<br />
Eine weitere Besonderheit von HSPA ist ein optimiertes Protokoll, mit dem das<br />
Endgerät fehlerhaft empfangene Datenpakete sehr schnell neu anfordern kann.<br />
Dieses als FH-ARQ (Fast Hybrid Automatic Repeat Request) bezeichnete Verfahren<br />
senkt die Latenzzeiten weiter ab. Wie auch das grundsätzliche Scheduling, verlagert<br />
HSPA auch die ARQ-Funktion von den Radio Network Controllern (RNC)<br />
in die Basisstationen (Node B).<br />
3.4.8 Die Klassen der HSDPA-Endgeräte<br />
Wie bereits erwähnt, müssen HSPA-Endgeräte die notwendige Rechenleistung<br />
bieten, um die jeweils gewünschte Codierrate, Fehlerkorrektur und Latenzzeiten<br />
unterstützen zu können. HSPA-Protokollelemente wie FH-ARQ erfordern zusätzliche<br />
Rechenleistung. Und auch wenn mehrere „Shared Channels“ (sogenannte<br />
HS-DSCH-Codes – High Speed Downlink Shared Channels) gleichzeitig genutzt<br />
werden sollen, erhöht dies die Anforderungen an die Rechenleistung.<br />
Je nach Hardware werden zudem eines oder beide der Codierungsverfahren QPSK<br />
und 16-QAM unterstützt, und auch die Zuordnung der Spreizcodes muss innerhalb<br />
bestimmter Zeitvorgaben (TTI – Transmission Time Interval) unterstützt<br />
werden. Die ersten HSDPA-Geräte auf dem Markt unterstützten die nachträglich<br />
defi nierte Kategorie 12. Heute übliche HSDPA/HSUPA-Geräte zählen zu den Kategorien<br />
6, 7 und 8. Geräte der Kategorie 9 und 10 dürfen im Lauf des Jahres 2009<br />
auf den Markt kommen. Alle diese Anforderungen führen dazu, dass für HSPA<br />
zwölf verschiedene Endgeräteklassen defi niert wurden, die jeweils spezifi sche<br />
Werte und Leistungsdaten unterstützen müssen:<br />
112 www.<strong>TecChannel</strong>.de
HSPA-Endgeräteklassen<br />
Endgerätekategorie<br />
Max. Anzahl an<br />
HS-DSCH-Codes<br />
Maximale<br />
Datenrate<br />
Min. Transmission<br />
Time Interval<br />
So funktionieren UMTS und HSPA<br />
Codierung<br />
Kategorie 1 5 1,2 Mbit/s 3 QPSK/16-QAM<br />
Kategorie 2 5 1,2 Mbit/s 3 QPSK/16-QAM<br />
Kategorie 3 5 1,8 Mbit/s 2 QPSK/16-QAM<br />
Kategorie 4 5 1,8 Mbit/s 2 QPSK/16-QAM<br />
Kategorie 5 5 3,6 Mbit/s 2 QPSK/16-QAM<br />
Kategorie 6 5 3,6 Mbit/s 1 QPSK/16-QAM<br />
Kategorie 7 10 7,2 Mbit/s 2 QPSK/16-QAM<br />
Kategorie 8 10 7,2 Mbit/s 1 QPSK/16-QAM<br />
Kategorie 9 15 10,2 Mbit/s 1 QPSK/16-QAM<br />
Kategorie 10 15 14,4 Mbit/s 1 QPSK/16-QAM<br />
Kategorie 11 5 0,9 Mbit/s 2 QPSK<br />
Kategorie 12 5 1,8 Mbit/s 1 QPSK<br />
3.4.9 Was kommt danach?<br />
Die derzeitigen HSPA-Spezifi kationen sehen einen Ausbau der Downlink-Datenraten<br />
via HSDPA bis 14,4 Mbit/s und des Uplinks per HSUPA bis 5,76 Mbit/s vor.<br />
Doch der Bedarf an Bandbreite wächst weiter. Daher wird bereits konkret über die<br />
nächsten Ausbaustufen und technischen Weiterentwicklungen nachgedacht.<br />
HSPA+<br />
Im Standardisierungsgremium 3GPP wird eine Erweiterung von HSPA diskutiert,<br />
die mit dem Arbeitstitel „HSPA+“ bezeichnet wird. Angestrebt werden Datenraten<br />
von bis zu 28 Mbit/s im Downlink und 11 Mbit/s im Uplink – grob betrachtet also<br />
eine weitere Verdopplung der mit „Release 8“ erzielbaren Geschwindigkeiten. Um<br />
diese Datenraten zu erreichen, sollen weiterentwickelte Modulationsverfahren wie<br />
64-QAM im Downlink oder 16-QAM im Uplink Verwendung fi nden. Zudem ist<br />
der Einsatz der Mehrfach-Antennentechnik MIMO geplant. Sowohl auf Seite der<br />
Basisstation als auch in den Endgeräten wären dann jeweils mindestens zwei Antennen<br />
aktiv. Weil dies nicht zuletzt auch neue Investitionen auf Netzseite erfordern<br />
würde, ist nicht sicher, ob diese Spezifi kation zum Einsatz kommen wird.<br />
HSOPA<br />
Wenn im Mobilfunknetz ohnehin neue Komponenten hinzugefügt werden müssen,<br />
kann der Geschwindigkeitsgewinn aber auch gleich etwas höher ausfallen.<br />
Das ist zumindest der Ansatz hinter der deutlich radikaleren Weiterentwicklung<br />
HSOPA – „High Speed OFDM Packet Access“. Das Verfahren setzt auf das noch<br />
webcode: 1758443 113
3. <strong>Netzwerk</strong>-Grundlagen<br />
modernere und leistungsfähigere Verfahren „Orthogonal Frequency Division<br />
Multiplexing“, bei dem die Modulation in mehreren Dimensionen erfolgt. Die Effi<br />
zienz bei der Nutzung des verfügbaren Spektrums liegt dabei noch einmal um<br />
den Faktor 2 bis 4 höher als beim W-CDMA-Verfahren. Zudem ist der Standard<br />
fl exibler hinsichtlich der Kanalbandbreite. Ist sie bei UMTS auf 5 MHz fi xiert,<br />
kann sie bei OFDM einen beliebigen Wert zwischen 1,25 und 20 MHz annehmen.<br />
Kombiniert mit der MIMO-Technik sollen so Datenraten von bis zu 100 Mbit/s<br />
im Downlink und 50 Mbit/s im Uplink erreicht werden, und auch die Latenzzeiten<br />
liegen mit 20 ms auf dem Niveau der heute besten Annahmen im HSPA-<br />
Standard. In Laborumgebungen wurden mit dieser Technik schon heute Datenraten<br />
von 40 Mbit/s in einem 5-MHz-Kanal übertragen.<br />
All diese Vorteile haben natürlich ihren Preis: OFDM ist voll und ganz inkompatibel<br />
zu W-CDMA und erfordert somit sowohl ein neues beziehungsweise erweitertes<br />
UMTS-Funknetz als auch neue Endgeräte. HSOPA wird deshalb bisweilen<br />
auch als „Super 3G“ oder auch „3,5 G“ bezeichnet.<br />
LTE – Long Term Evolution<br />
OFDM und MIMO sind auch Bausteine der heute gehandelten Überlegungen für<br />
die vierte Mobilfunkgeneration „4G“. Noch ist unsicher, welche Technologien dafür<br />
letzten Endes zum Einsatz kommen werden. Weil auch der Zeithorizont für<br />
diese Netze deutlich über die nächsten Jahre hinausgeht (Marktbeobachter rechnen<br />
etwa mit 2012 bis 2015), spricht man auch von „Long-Term Evolution“ oder<br />
kurz LTE (übersetzt: auf längere Zeit angelegte Weiterentwicklung). LTE wird<br />
eine völlig neue Funkschnittstelle defi nieren. Erste Spezifi kationen nennen Datenraten<br />
von 144 Mbit/s und mehr. HSOPA ist ein Ansatz, der in der weiteren Entwicklung<br />
zu LTE führen könnte – es sind aber auch diverse andere Basistechnologien<br />
wie etwa WiMAX im Gespräch für die längerfristige Mobilfunkzukunft. Nur<br />
eines steht schon heute fest: Auch mit LTE werden die Datenraten beständig weiterwachsen,<br />
bis sie irgendwann wieder zu knapp erscheinen und letztlich den Ruf<br />
nach einer fünften Mobilfunkgeneration provozieren werden.<br />
Hannes Rügheimer<br />
114 www.<strong>TecChannel</strong>.de<br />
Hannes Rügheimer ist Fachjournalist seit 1991 und schreibt für viele renommierte<br />
Medien über Themen wie Mobilfunk, mobiles Internet, Notebooks, Navigation und<br />
Unterhaltungselektronik. Er berichtet seit Jahren über die technologischen Entwicklungen<br />
in diesen Gebieten.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
So funktionieren UMTS und HSPA 1758443 S.104<br />
So funktionieren Femtozellen 1764850 S.115<br />
NGN: IP-Netze der Next Generation 1852814 –
3.5 So funktionieren Femtozellen<br />
So funktionieren Femtozellen<br />
Seit dem Mobile World Congress 2008, der im Februar in Barcelona stattfand,<br />
treibt ein neues Schlagwort die Mobilfunk- und Internetbranche um: Femtozellen.<br />
<strong>TecChannel</strong> erklärt Ihnen, was sich dahinter verbirgt.<br />
Femtozellen sind kleine Mobilfunkzellen, die beim Kunden zu Hause betrieben<br />
werden sollen. Sie dienen grundsätzlich dazu, UMTS-Versorgung in Wohnungen<br />
und Geschäftsräumen zur Verfügung zu stellen, in welche die „öffentlichen“<br />
Funkzellen nicht mehr hineinreichen. Dabei bezieht die Branche den Begriff Femtozellen<br />
vor allem auf den Einsatz solcher Mini-Mobilfunkzellen bei privaten<br />
Kunden. Denn im Businessmarkt ist das Verfahren schon lang nichts Neues mehr:<br />
Um Bürohäuser und Firmengelände ausreichend mit Mobilfunkabdeckung zu<br />
versorgen, installieren die Mobilfunkbetreiber im Auftrag ihrer Geschäftskunden<br />
kleine Füllsender. Diese bezeichnet man als Picozellen. Auch wenn sie zur Netzstruktur<br />
und Funknetzplanung des öffentlichen Mobilfunknetzes gehören, werden<br />
sie nur eingerichtet, um den Bandbreiten- und Netzversorgungswünschen<br />
von Businesskunden nachkommen zu können.<br />
3.5.1 Ähnliche Größen trotz unterschiedlicher Vorsilben<br />
Die Vorsilben „Femto“ und „Pico“ sind sogenannte SI-Prefi xe – also Vorsilben für<br />
physikalische Maßeinheiten nach dem internationalen Einheitensystem (französisch<br />
Système internationale d’unités, kurz SI). Femto steht für ein Billiardstel,<br />
Pico für ein Billionstel. Das bedeutet nun aber nicht, dass eine privat genutzte<br />
Mini-Funkzelle tausend Mal kleiner wäre als eine geschäftliche genutzte. Beide<br />
Zellentypen haben meist einen Durchmesser von 10 bis 30 Metern. Die unterschiedlichen<br />
Begriffe und Einheiten sollen lediglich die verschiedenen Einsatzschwerpunkte<br />
verdeutlichen. Allerdings orientiert sich die Nomenklatur an den<br />
bei GSM und UMTS bislang üblichen Bezeichnungen für Funkzellen-Größen:<br />
Makrozellen sind Funkzellen von etwa 20 bis 30 km Durchmesser. Sie werden<br />
typischerweise in schwach besiedelten, ländlichen Gebieten eingesetzt.<br />
Minizellen haben üblicherweise einige Kilometer Durchmesser und versorgen<br />
typischerweise städtische Gebiete.<br />
Microzellen haben nur noch einige hundert Meter Durchmesser und sorgen<br />
in Stadtteilen mit starker Mobilfunknachfrage für ausreichend Kapazität.<br />
Nanozellen sind Füllzellen mit unter 100 Meter Durchmesser, die gezielte Kapazitätsspitzen<br />
etwa auf Veranstaltungen abfangen sollen.<br />
Im Netzkonzept von UMTS gibt es zudem noch sogenannte Hyper- oder Umbrella-Zellen,<br />
die eine Grundkapazität „über“ der Abdeckung kleinerer Funkzellen<br />
bieten und eine Ausdehnung von mehreren hundert Kilometern erreichen können.<br />
Bisweilen spricht man auch – mit leichter Übertreibung – von „Welt-Zellen“.<br />
webcode: 1764850 115
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.5.2 Funktionsprinzip und Netzanbindung<br />
Die Grundidee von Femtozellen sieht so aus: Eine räumlich eng begrenzte Funkzelle<br />
verbindet ein Handy per UMTS mit einem Gateway und somit letztlich mit<br />
dem Kernnetz des Mobilfunknetzes. So können ganz normale Mobilfunkendgeräte<br />
eine vorhandene Internetverbindung, zum Beispiel über eine DSL-Leitung,<br />
nutzen. Das Prinzip ist ähnlich wie bei WLAN-Handys, die sich zu Hause an einem<br />
normalen WLAN-Hotspot anmelden. Doch während Handys und Smartphones<br />
mit WLAN-Chip selten sind, erlaubt eine UMTS-Funkzelle jedem mobilen 3G-<br />
Endgerät den Zugang.<br />
Da die lokale Funkzelle nur ein begrenztes Versorgungsgebiet abdecken muss und<br />
sich darin eine nur kleine Zahl von Endgeräten anmeldet, kann die Technik einer<br />
Femtozelle deutlich einfacher ausgelegt sein als die einer Funkzelle im großen, öffentlichen<br />
Mobilfunknetz. Tatsächlich sind die notwendigen Funktionen heute<br />
bereits auf wenigen, hoch integrierten Chips verfügbar. Gateways oder Router<br />
HSDPA für zu Hause<br />
Trotzdem können diese privaten Funkzellen schnelle Datenübertragungen unterstützen.<br />
Viele der ersten Produkte mit Femtozellen-Technik stellen sogar schon<br />
HSDPA- und teilweise HSUPA-kompatible Luftschnittstellen zur Verfügung. Die<br />
in allen UMTS-Zellen übliche Leistungssteuerung soll Störungen öffentlicher, größerer<br />
Funkzellen durch die Femtozellen verhindern. Wenn ein Mobilfunkanbieter<br />
die Femtozelle bei seinem Kunden betreibt, wird er sie an sein UMTS-Kernnetz<br />
anbinden. Diese Verbindung erfolgt verschlüsselt über das öffentliche Internet,<br />
etwa per DSL oder per Breitbandkabel. Die lokale Femtozelle wird in diesem Zusammenhang<br />
auch als Home Node B oder kurz HNB bezeichnet. Der Begriff ist<br />
angelegt an die in UMTS-Netzen übliche Bezeichnung Node B für eine Funkzelle.<br />
Außenstelle: Die per Internet ans UMTS-Kernnetz angebundene Femtozelle gehört logisch zum Mobilfunknetz<br />
des Anbieters<br />
116 www.<strong>TecChannel</strong>.de
So funktionieren Femtozellen<br />
Die maximal über die Femtozelle nutzbare Bandbreite für Sprach- und Datenübertragungen<br />
ist somit natürlich von der Bandbreite der Internetanbindung des<br />
Kunden abhängig. Bei den heute üblichen DSL-Geschwindigkeiten zwischen 3<br />
und 16 Mbit/s stellt dies aber in der Praxis keine nennenswerte Beschränkung dar.<br />
Die Installation und Verbindungsaufnahme des Gateways sollen bei entsprechenden<br />
Endkundenprodukten vollautomatisch per Plug-and-Play erfolgen. Der<br />
Mobilfunk- beziehungsweise Internetprovider schickt seinem Kunden eine entsprechende<br />
Box, dieser schließt sie an seiner Breitband-Internetleitung an – fertig.<br />
So zumindest der Plan von Herstellern und Anbietern.<br />
3.5.3 Stand der Entwicklung<br />
Auf der Mobilfunk-Fachmesse „Mobile World Congress“ wurde im Februar 2008<br />
in Barcelona bereits eine ganze Reihe an d5142311 Vorserienprodukten vorgestellt.<br />
Die Hardware dieser Gateway-Boxen ist im Wesentlichen fertig entwickelt.<br />
In der Software müssen nur noch kleinere Anpassungen an die jeweiligen Einstellungen<br />
und Netzkomponenten der späteren Anbieter vorgenommen werden.<br />
Kommender 3GPP-Standard für Femtozellen<br />
Die derzeit vorgestellten Geräte nutzen allerdings noch proprietäre Verfahren für<br />
die Verbindung zwischen Gateway und Mobilfunk-Kernnetz. Um das zu ändern,<br />
arbeitet das Mobilfunk-Standardisierungsgremium 3GPP derzeit an einem branchenweiten<br />
Standard für Femtozellen. Bis zum Jahresende 2008 soll ein entsprechender<br />
Vorschlag fertiggestellt sein. Wesentliches Element dieses kommenden<br />
Standards ist die Schnittstelle zwischen Home Node B (also der lokalen Femtozelle<br />
beim Endkunden) und dem Home Node B Gateway (HNB-GW) auf Anbieterseite.<br />
Die Firmen Alcatel-Lucent, Kineto, Motorola und NEC haben bereits wesentliche<br />
Komponenten für den kommenden Standard vorgeschlagen, die auf bereits<br />
existierenden Schnittstellen-Spezifi kationen in UMTS-Netzen basieren.<br />
Wenn ein gemeinsam abgestimmter Standard für diese Spezifi kationen verabschiedet<br />
ist, werden die Hersteller der Gateways ihre Produkte entsprechend anpassen<br />
müssen. Dies ist jedoch vergleichsweise unproblematisch, zumal ohnehin<br />
noch keine Geräte an Privatkunden ausgeliefert wurden. Zudem basieren die meisten<br />
der heute vorgestellten Boxen bereits auf den Standardisierungsvorschlägen,<br />
welche die beteiligten Herstellern gemeinsam erarbeitet und als Vorschlag eingereicht<br />
haben.<br />
3.5.4 Die ersten Femtocell Gateways<br />
Gegenwärtig handelt es sich bei den bereits vorgestellten Femtozellen-Access-<br />
Points um Vorserienmodelle. Diese waren auf dem GSM World Congress aber bereits<br />
in reichlicher Anzahl zu begutachten:<br />
webcode: 1764850 117
3. <strong>Netzwerk</strong>-Grundlagen<br />
Netgear (www.netgear.de) stellte gemeinsam mit Nokia Siemens Networks das<br />
„Femtocell Voice Gateway DVG 834 GH“ vor. Es kombiniert eine HSDPA-taugliche<br />
Femtozellen-Basisstation, einen Breitband-Router mit ADSL2plus-Modem,<br />
einen WLAN-Access-Point nach 802.11g-Standard und einen 4-Port-Ethernet-<br />
Switch (10/100BaseT). Auch ein VoIP-Client nach SIP-Protokoll und eine zweistufi<br />
ge Firewall sind integriert.<br />
Motorolas Femtocell Access Point 8000 fällt auf den ersten Blick durch sein Design<br />
auf. Auch die von ihm generierte Mini-Funkzelle unterstützt HSDPA, das<br />
Gerät ist jedoch als Zusatz zu einem bestehenden Breitband-Router gedacht. Wer<br />
zusätzlich einen WLAN-Access-Point nach 802.11b/g-Standard und integriertem<br />
VoIP-Client haben möchte, dem bietet Motorola das Schwestermodell „Femtocell<br />
Gateway 8100“ an. Diese Variante enthält dann auch einen 4-Port-Switch. Beson<br />
deren Wert legt Motorola auf seine Quality-of-Service-(QoS)Implementation, die<br />
vor allem für Sprachtelefonate über das System vorteilhaft sein dürfte.<br />
118 www.<strong>TecChannel</strong>.de<br />
Femtocell: Das Voice Gateway<br />
DVG 834 GH stammt von<br />
Netgear und Nokia Siemens<br />
Networks.<br />
Streaming: Der Femtocell-Access-Point<br />
Oyster 3G von IP.access unterstützt Sprach-<br />
Codecs und Video-Streaming-Modi.<br />
Schick: Die Femtocell-Produkte<br />
aus Motorolas 8000er-Serie<br />
fallen durch ihr Design auf.<br />
Modular: Ubiquisys versteht sein „ZoneGate“<br />
als Baukastensystem für Mobilfunkbetreiber.
So funktionieren Femtozellen<br />
Die britische Firma IP.access (www.ipaccess.com) präsentiert ihren FemtoCell-<br />
Access-Point Oyster 3G. Das System unterstützt HSDPA bis zu 7,2 MBit/s und soll<br />
sich k252ünftig per Software auf HSUPA aufrüsten lassen. Die generierte Mobilfunkzelle<br />
unterstützt den Mobilfunk-Sprachverbesserungs-Codec AMR (Adaptive<br />
Multirate Coding) und spezielle Video-Streaming-Modi. Auch der Oyster 3G<br />
besitzt keine eigenen Router/DSL-Funktionen, sondern ist für den Anschluss an<br />
eine bestehende Breitbandverbindung konzipiert.<br />
Ebenfalls in Großbritannien ansässig ist die Firma Ubiquisys (ubiquisys.com). Ihr<br />
Femtocell Gateway heißt ZoneGate und versteht sich mehr als Systemplattform. Je<br />
nach Wünschen der Operator könne man WiFi, DSL, VoIP, Ethernet- und/oder<br />
USB-Ports einbauen, so der Hersteller. Die eingesetzte 3G-Funktechnologie unterstützt<br />
HSDPA und soll künftig auf HSUPA aufgerüstet werden können.<br />
Preise oder Einführungstermine waren noch von keinem Hersteller zu erfahren.<br />
Die Gateways oder Access Points würden ohnehin von Mobilfunk- oder Internetprovidern<br />
im Rahmen entsprechender Vertragsoptionen beim Kunden installiert<br />
und daher wie in diesen Märkten üblich vom Anbieter stark subventioniert.<br />
3.5.5 Praxiseinsatz aus Sicht der Mobilfunkprovider<br />
Die Femtozellen-Technologie hat ihre Ursprünge in der Mobilfunkbranche. Naheliegenderweise<br />
zielen die einschlägigen Hardware-Hersteller damit auf ihre traditionelle<br />
Kundschaft: Mobilfunkprovider. Das ist allerdings nicht unumstößlich<br />
– grundsätzlich können auch Internetprovider entsprechende Produkte und Tarife<br />
anbieten. Für Mobilfunkanbieter bieten Femtozellen die Möglichkeit, ihren<br />
Kunden auch zu Hause oder an anderen stationären Einsatzorten (Büros, Ferienwohnungen<br />
und Ähnliches) einen schnellen Zugang zu ihrem Netz zur Verfügung<br />
zu stellen. Ist die heimische Femtozelle Bestandteil des Mobilfunknetzes, können<br />
UMTS-Geräte mit „Soft Handover“ auch bei laufender Verbindung zwischen den<br />
öffentlichen Zellen und der privaten Heimzelle wechseln.<br />
Die Femtozelle wird zur „ Homezone“<br />
Das Geschäftsmodell beziehungsweise die Motivation für einen Mobilfunkprovider<br />
zum Einsatz dieser Technologie besteht darin, dass die Kunden auch beim Telefonieren<br />
und Surfen zu Hause das Mobilfunknetz des Anbieters nutzen – zumindest<br />
wenn die jeweiligen mobilen Endgeräte zum Einsatz kommen. Wie heute<br />
schon bei Homezones üblich, dürften die Kunden dazu nur bereit sein, wenn sie<br />
im Vergleich zur Nutzung des öffentlichen, allgemein verfügbaren Mobilfunknetzes<br />
zu Hause deutliche Preisvorteile erhalten. Das Telefonieren und Surfen<br />
per Femtozelle darf nicht teurer sein als vergleichbare Verbi ndungen über die<br />
Festnetze konventioneller Telefonnetz- oder Internetanbieter. Mobilfunkanbieter<br />
werden für ihre Femtozellen daher ähnliche Tarifkonditionen anbieten müssen<br />
wie heute für Homezones oder Festnetzkommunikation üblich.<br />
webcode: 1764850 119
3. <strong>Netzwerk</strong>-Grundlagen<br />
Noch ist insbesondere bei den deutschen Netzbetreibern aber noch nicht abzusehen,<br />
ob diese entsprechende Angebote unterbreiten wollen. Die Einschätzungen<br />
dazu sind jedenfalls noch sehr zurückhaltend.<br />
3.5.6 Praxisszenario für Internetprovider<br />
Nicht nur für Mobilfunkprovider ist die Femtozellen-Technik grundsätzlich interessant.<br />
Auch Internetprovider könnten sie dazu nutzen, den Mobilfunkanbietern<br />
Kunden beziehungsweise Gesprächs- und Surf-Minuten abspenstig zu machen.<br />
Das technische Szenario sieht dann so aus: Zu Hause bucht sich das Handy des<br />
Teilnehmers in die Femtozelle ein, die der Internetprovider mit einer von ihm gelieferten<br />
Gateway-Box bereitstellt. Datenkommunikation läuft dann per Router<br />
über den vorhandenen Breitbandanschluss, Sprachkommunikation je nach Anschlusstyp<br />
und Tarifmodell übers konventionelle Telefonnetz (analog oder ISDN)<br />
oder per Voice over IP. Wie heute schon i m Festnetz üblich, wären VoIP-Verbindungen<br />
dabei noch günstiger als Gespräche übers klassische Telefonnetz – Letzteres<br />
hätte aber in puncto Sprachqualität und Ausfallsicherheit die Nase vorn.<br />
Probleme durch Handover und Funklizenz<br />
Ist in diesem Geschäftsmodell kein Mobilfunkanbieter beteiligt, hat dies aus technischer<br />
Sicht nur eine Einschränkung zur Folge: Ein Seamless Handover, also der<br />
automatische Wechsel zwischen öffentlichem Mobilfunknetz und privater Femtozelle,<br />
wäre nicht möglich. Das Handy müsste bei der Ankunft in der Homezone<br />
einen Netzwechsel durchführen. Aus regulatorischer Sicht gilt für diese Variante<br />
zudem zu bedenken, dass klassische Internetprovider keine Lizenz für den Betrieb<br />
selbst miniaturisierter Funkzellen in den UMTS-Frequenzbereichen besitzen. Zumindest<br />
die Kooperation mit einem 3G-Lizenzinhaber (etwa als MVNO – Mobile<br />
Virtual Network Operator) wäre deshalb nicht zu vermeiden. Dann aber liegt auch<br />
das Angebot gemeinsamer Tarife und Geschäftsmodelle mit Handover- beziehungsweise<br />
Roaming-Mechanismen nicht mehr fern.<br />
3.5.7 Status: So sehen es Provider und Entwickler<br />
Gegenwärtig gelten Femtozellen als viel versprechende Technologie, die jedoch<br />
noch ein wenig auf der Suche nach ihren Anwendungen und Geschäftsmodellen<br />
ist. Entsprechend unterschiedlich sind die Einschätzungen von Netzbetreibern<br />
und Herstellern:<br />
T-Mobile investierte im März 2008 eine größere, nicht näher genannte Summe in<br />
den Femtozellen-Hersteller Ubiquisys. Seit Juni fi ndet mit dessen Produkten ein<br />
Pilotprojekt im Großraum Köln/Bonn statt. „Femtocells sind ein weiterer möglicher<br />
Innovationsschritt, um unseren Kunden überall und jederzeit das beste Mobilfunkerlebnis<br />
zu bieten“, sagt Günther Ottendorfer, Geschäftsführer Technik T-<br />
120 www.<strong>TecChannel</strong>.de
So funktionieren Femtozellen<br />
Mobile Deutschland. „Wir haben bereits auf der diesjährigen CeBIT Femtocells<br />
vorgestellt und erste positive Ergebnisse bei der Erprobung erzielt. Wir werden das<br />
Thema der Deep-Inhouse-Versorgung konsequent weiter verfolgen.“. Eine Entscheidung<br />
über den kommerziellen Einsatz ist aber noch nicht gefallen.<br />
Vodafone testet die Technologie im Rahmen eines Pilotprojekts in Spanien. Pressesprecherin<br />
Marion Stolzenwald von Vodafone Deutschland erklärt dazu: „Wir<br />
beobachten diese Tests und warten die Ergebnisse ab. Derzeit gibt es noch keine<br />
Entscheidungen.“<br />
Insider lassen jedoch durchblicken, dass Vodafone der Femtozellen-Technologie<br />
in Deutschland keinen allzu großen Erfolg zutraut.<br />
Die Hersteller erhoffen sich viel<br />
Ganz anders sehen das naturgemäß die Hersteller entsprechender Lösungen:<br />
„Mithilfe von Femtocells können viele Anwendungen direkt über UMTS laufen.<br />
User benötigen mit unserer Lösung kein spezielles Handy, das über WLAN verfügt.<br />
Der Zugriff auf den Rechner funktioniert mit jedem 3G-Mobiltelefon“,<br />
schwärmt Andy Tiller, Chef der Firma ip.access.<br />
Joe Cozzolino, Corporate Vice President und General Manager Motorola Home<br />
and Networks Mobility, sieht in den innovativen Funktionen und Kostenvorteilen,<br />
welche die Femtozellen versprechen, schlagkräftige Argumente für diese Technologie.<br />
Die Anwender würden Femtocells bereitwillig nutzen, wenn sie sich nicht<br />
um die Konfi guration kümmern müssten.<br />
Voice Gateways mit offener <strong>Netzwerk</strong>architektur würden zweifellos die schnelle<br />
und weit gefächerte Akzeptanz der Femtocell-Technologie fördern, argumentiert<br />
Timo Hyppölä, bei Nokia-Siemens Networks Leiter des Produktbereichs Indoor<br />
Radio Solutions<br />
Optimistische Marktstudie<br />
Gern zitieren die Hardware-Hersteller eine Studie des Marktforschungsunternehmens<br />
ABI-Research, die im Auftrag von Motorola durchgeführt wurde. Denn diese<br />
Studie kommt zu überaus optimistischen Ergebnissen: von 1800 befragten Internet-<br />
und Mobilfunkanwendern in sechs Ländern könnten sich angeblich 40<br />
Prozent den Einsatz von Femtozellen-Lösungen bis Mitte 2009 („innerhalb der<br />
nächsten zwölf Monate“) vorstellen.<br />
Das größte Interesse besteht der Umfrage zufolge in Polen, wo 67 Prozent der Befragten<br />
entsprechende Services nutzen würden. In Spanien haben 62 Prozent, in<br />
Italien 61 Prozent Interesse an der Technologie. In Frankreich und Großbritannien<br />
würden immerhin noch 34 Prozent, in Deutschland 33 Prozent der Befragten<br />
Femtozellen nutzen.<br />
ABI-Research leitet aus diesen Angaben hohe Marktchancen f252ür die Technologie<br />
ab: 36 Millionen Femtozellen-Access-Points sollen nach Schätzung des Unternehmens<br />
bis 2012 verkauft werden.<br />
webcode: 1764850 121
3. <strong>Netzwerk</strong>-Grundlagen<br />
3.5.8 Fazit und Ausblick<br />
Die Femtozellen-Technologie soll in erster Linie Mobilfunkprovidern dabei helfen,<br />
ihre Kunden zu überreden, mobile Endgeräte zunehmend auch zu Hause zu<br />
verwenden. Der Erfolg von Homezone-Modellen zumindest bei privaten Wenigtelefonierern<br />
zeigt, dass auf Kundenseite dazu durchaus Bereitschaft vorhanden ist.<br />
Der Kunde zahlt Strom und Internetverbindung<br />
Allerdings wenden Kritiker ein, dass die Mobilfunkanbieter bei diesem Szenario<br />
Kosten, die im normalen Netzbetrieb bei ihnen anfallen, subtil auf den Kunden<br />
abwälzen: Der Stromverbrauch des Access Points, Gateways oder Routers geht zu<br />
Lasten des Kunden, ebenso die zur Anbindung ans Kernnetz genutzte Breitband-<br />
Internetverbindung des heimischen Teilnehmers. Immerhin spart sich der Mobilfunkbetreiber<br />
die sonst nicht unerheblichen Kosten für Stand- oder Mietleitungen.<br />
Für die Kunden ist der Betrieb einer Femtozelle daher nur wirtschaftlich,<br />
wenn die Provider diese Aspekte in ihrer Tarifgestaltung berücksichtigen. Dann<br />
allerdings stellt sich wiederum die Frage, ob die so zu erwirtschaftenden Umsätze<br />
entsprechende Investitionen rechtfertigen. Die Mobilfunkprovider scheinen diese<br />
Frage unterschiedlich einzuschätzen – offensichtlich auch abhängig von den im<br />
jeweiligen Land vorherrschenden Angebots- und Tarifstrukturen sowohl im Mobilfunk<br />
als auch bei Festnetz-Internetanschlüssen.<br />
Glaubt man entsprechenden Umfragen, könnten Femtozellen vor allem in Osteuropa,<br />
aber auch in Spanien, Italien und anderen Ländern auf hohes Kundeninteresse<br />
stoßen. In Deutschland und Frankreich ist die Nachfrage etwas verhaltener.<br />
Von den großen deutschen Mobilfunkanbietern scheint T-Mobile der Technologie<br />
etwas mehr zuzutrauen, Vodafone etwas weniger.<br />
Andererseits dürfte Netgear-Pressesprecher Karsten Kunert Recht behalten, wenn<br />
er zur Rolle der Provider prophezeit: „Sobald einer damit anfängt, wird der Rest<br />
mit entsprechenden Angeboten nachziehen.“<br />
Hannes Rügheimer<br />
122 www.<strong>TecChannel</strong>.de<br />
Hannes Rügheimer ist Fachjournalist seit 1991 und schreibt für viele renommierte<br />
Medien über Themen wie Mobilfunk, mobiles Internet, Notebooks, Navigation und<br />
Unterhaltungselektronik. Er berichtet seit Jahren über die technologischen Entwicklungen<br />
in diesen Gebieten.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
So funktionieren UMTS und HSPA 1758443 S.122<br />
NGN: IP-Netze der Next Generation 1852814 –<br />
IPv6 schleicht sich durch die Hintertür 1742321 –
4 E-Mail<br />
E-Mail-Sicherheit<br />
E-Mails bilden die Basis aller unternehmerischen Aktivitäten. Dennoch wird das<br />
Thema E-Mail-Sicherheit bei vielen Verantwortlichen noch unterschätzt. Dabei<br />
geht es um Authentizität und Schutz der Inhalte, Content-Kontrolle, Archivierung<br />
und Spam. Nicht zuletzt spielt das Verhalten der Anwender eine Rolle, wenn es um<br />
die Einführung und Beachtung von Regelwerken geht. Wir zeigen in diesem Kapitel<br />
in kompakter Form, was für Administratoren und Entscheider relevant ist.<br />
4.1 E-Mail-Sicherheit<br />
Die E-Mail ist längst zur tragenden Säule beim IT-Einsatz geworden. Einem Ausfall<br />
des E-Mail-Systems wird oftmals ein größerer Einfl uss auf die geschäftlichen<br />
Tätigkeiten zugeschrieben, als dies für die traditionellen Geschäftsapplikationen<br />
und deren dahinterliegende Datenbanken gilt. Allerdings ist die Absicherung des<br />
E-Mail-Systems keine einfache Aufgabe. Die Techniken, Vorgaben und Regularien<br />
beim Umgang mit E-Mail passen nicht in das gewohnte Schema der programmierten<br />
Applikationen und Datenbanken. Um beispielsweise eine Bestellung mit<br />
einer Geschäftsapplikation zu erfassen, existieren klare Vorgaben, Erfassungsmasken,<br />
Geschäftsabläufe, Vorschriften und Techniken zur Aufbewahrung und Sicherung<br />
der Daten. Die Bearbeitung der Bestelldaten erfolgt ausschließlich durch<br />
vorher fest programmierte Bearbeitungsmasken. Was wo zu stehen hat und in<br />
welchen Format eine Bestellung gespeichert, gedruckt, weitergeleitet oder gelöscht<br />
wird, ist lange vorher durch die Designer und Entwickler der Applikation in Code<br />
gegossen. Der Ablauf kann durch den stets authentifi zierten Benutzer auch nicht<br />
verändert werden. Die Situation bei der E-Mail-Nutzung könnte gegensätzlicher<br />
kaum sein. Eine E-Mail ist meist im Freitextformat formuliert, jeder Nutzer kann<br />
sie nach Gutdünken aufbauen. Dies macht eine nachfolgende rechnergestützte<br />
Bearbeitung schwierig. Auch die weitere Bearbeitung ist, im Gegensatz zu den Geschäftsapplikationen,<br />
oft nicht defi niert. Wer darf die E-Mail sehen, weiterleiten<br />
oder löschen? Wo und wie lange wird sie gespeichert? Welche Inhalte muss eine E-<br />
Mail aufweisen, dass sie für geschäftsrelevante Entscheidung herangezogen werden<br />
kann? All diese Fragen sind bei der E-Mail-Nutzung nicht defi niert. Da E-<br />
Mails immer mehr zu den Trägern von Geschäftsprozessen werden, treten hier<br />
Konfl ikte auf. In den Bemühungen um Compliance muss man die E-Mail-Nutzung<br />
regelkonform (compliant) machen. Dies umfasst den gesamten Prozess, von<br />
der Erstellung einer E-Mail über ihren Transport und die Auslieferung beim Empfänger<br />
bis zur nachfolgenden Archivierung.<br />
Dieser Artikel zur E-Mail-Sicherheit richtet sich nach den chronologischen Abläufen.<br />
Sie beginnt bei der sicheren E-Mail-Erzeugung und beschäftigt sich dann<br />
mit den Sicherungsmaßnahmen auf Empfängerseite. Der letzte Abschnitt widmet<br />
sich der Absicherung des E-Mail-Systems selbst.<br />
webcode: 1778559 123
4. E-Mail<br />
4.1.1 E-Mail-Sicherheitsaspekte im geschäftlichen Kontext<br />
Im Mittelpunkt der folgenden Ausführungen stehen der Nutzen und der Einsatzzweck<br />
von E-Mails für geschäftliche Anwendungen. Dabei geht es sowohl um die<br />
die frei erstellte Mail, die zwischen zwei Partnern ausgetauscht wird, als auch um<br />
den automatisierten Einsatz von E-Mails als Träger des Geschäftsprozesse. Im<br />
Vordergrund stehen dabei die möglichst automatische Klassifi zierung, Weiterleitung<br />
und Bearbeitung von geschäftlich ausgetauschten Nachrichten.<br />
Eine Grundvoraussetzung für alle auf E-Mails basierenden Geschäftsprozesse stellt<br />
die Sicherheit dar. Dabei gilt es mehrere Facetten zu berücksichtigen:<br />
Sicherheit beim Erzeugen und Versenden einer E-Mail: Werden alle fi rmeninternen<br />
Regeln eingehalten? Welche Informationen sind in der E-Mail enthalten?<br />
Ist der Sender berechtigt, diese Daten zu verbreiten? An wen wird die<br />
Mail gesandt?<br />
Sicherheit gegen Angriffe beim Transport: Verschlüsselung und Signatur<br />
schützen vor Spionage und Verfälschung.<br />
Absicherung gegen Angriffe, die auf eingehenden E-Mails basieren: SPAM,<br />
Viren und Trojaner.<br />
Abgesicherter Zugriff der Benutzer auf das E-Mail-System und Postfächer<br />
Gesicherte Aufbewahrung der E-Mails und Klassifi zierung, um sie wiederzufi<br />
nden. Dabei ist auch der Schutz vor versehentlichem Löschen wichtig.<br />
Absicherung des Mail-Systems gegen einen Ausfall, wie etwa durch Clusteroder<br />
Failover-Techniken.<br />
4.1.2 Sicherheit bei der E-Mail-Erstellung<br />
Bei der Erstellung einer E-Mail unterscheidet man drei grundsätzliche Varianten.<br />
Die erste ist die manuell erstellte Freitext-Mail. Sie wird durch einen Benutzer<br />
in einem Mail-Programms mit POP3-, SMTP- oder IMAP-Anbindung erstellt<br />
und versendet. Inhalt und Empfänger der E-Mail werden komplett durch den<br />
Ersteller der Mail vorgegeben.<br />
Der zweite Weg ist die automatisiert erzeugte Mail. Der Inhalt wird durch die<br />
Applikationssysteme erzeugt und als Mail versandt. Dazu stehen in den gängigen<br />
Entwicklungs-Kits oder -Sprachen meist direkte Funktionen zum Versenden<br />
von E-Mails bereit. Beispiele dazu fi nden sich allerorten. eBay, Amazon<br />
oder etwa Buchungssysteme versenden nach der Änderung des Auftragsstatus<br />
solche Bestätigungen. Der Inhalt der Mail besteht aus vorgegebenen<br />
Texten, in denen die relevanten Kundenangaben oder der Bestellstatus in die<br />
reservierten Positionen eingefügt werden.<br />
Eine Mischform aus den beiden obigen Varianten ist die Massen-E-Mail zu<br />
Werbezwecken; zu dieser Variante gehört auch die Spam-Mail.<br />
124 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
Diese drei Varianten werden hier deshalb getrennt erwähnt, weil die Reaktion seitens<br />
des Empfängers unterschiedlich sein wird. Dies wird im zweiten Teil unserer<br />
Artikelserie besprochen. Der Sicherheitsaspekt aus Sicht des Absenders ist bei der<br />
automatisch generierten E-Mail unkritisch. Inhalte und Empfängerkreis werden<br />
durch Programmierung und Datenbankinhalte klar festgelegt. Alle Daten, die für<br />
den Versand der Mail herangezogen wurden, lassen sich jederzeit rekonstruieren.<br />
Die verschickte E-Mail aufzubewahren wäre damit nicht mehr notwendig. Aus<br />
Gründen der Beweissicherung und Compliance kann es allerdings notwendig sein,<br />
die E-Mail selbst abzulegen. Ganz anders ist die Situation für frei erstellte Mails<br />
durch die Benutzer. Inhalte und Empfängerkreis sind per se frei defi nierbar. Der<br />
lockere Umgangston, den die Benutzer bei E-Mails an den Tag legen, mag im einfachsten<br />
Fall lediglich zu Kopfschütteln führen. Er kann aber auch schwerwiegende<br />
Konsequenzen für den Mitarbeiter oder das Unternehmen haben. Dies gilt<br />
beispielsweise dann, wenn vertrauliche Informationen an Empfänger weitergereicht<br />
werden, die diese Inhalte nicht zu Gesicht bekommen sollten.<br />
4.1.3 Vorgaben für das Erstellen von E-Mails<br />
Um die Sicherheit bei der manuellen Erzeugung von E-Mail zu gewährleisten, existieren<br />
derzeit zwei Ansätze: automatisierte Kontrollverfahren und verbindliche<br />
Regeln für die Mitarbeiter. Trotz aller technischen Hilfsmittel müssen zunächst<br />
allgemeine Vorgaben für den Umgang mit dem Mail-System geschaffen werden.<br />
Diese Regeln beschreiben beispielsweise<br />
die Nutzung von Mail-Verteilern,<br />
den Gebrauch sinnfälliger Betreffzeilen,<br />
die Vermeidung von überfl üssigen Anhängen,<br />
die Kennzeichnung rein informativer E-Mails<br />
eventuell das Verbot, die E-Mail-Adresse öffentlich zugängig zu machen.<br />
Sofern keine automatisierten Verfahren zur Bearbeitung und Speicherung der E-<br />
Mails bestehen, gehören zu diesem Regelsatz auch Vorgaben über Speicherort der<br />
E-Mails, Postfachgröße, Aufbewahrungszeiten oder Löschintervalle.<br />
Wichtig ist zu klären, ob und wie geschäftlich nicht relevante E-Mails erkannt und<br />
behandelt werden. Die Benutzer sind zudem im Umgang mit unerwarteten Mails<br />
zu schulen. Der generelle Rat, E-Mails von unbekannten Absendern erst gar nicht<br />
zu öffnen, ist im geschäftlichen Umfeld fehl am Platz.<br />
Klare Regeln zur E-Mail-Erstellung, egal ob manuell oder maschinell, haben einen<br />
entscheidenden Einfl uss auf die nachfolgenden Weiterverarbeitung. So vereinfacht<br />
die Verwendung von Schlüsselwörtern die anschließende Klassifi zierung extrem,<br />
beispielweise wenn der Benutzer schon im Betreff festlegt, dass es sich um<br />
eine „Produktanfrage“ handelt. Andernfalls muss das Anliegen des Benutzers<br />
durch Textanalyse-Algorithmen oder gar manuell mühsam ermittelt werden.<br />
webcode: 1778559 125
4. E-Mail<br />
Ein wichtiger Punkt wird nach der Einführung von Regeln oft vernachlässigt: Nur<br />
wenn deren Einhaltung auch mit Nachdruck kontrolliert wird, erhalten die Anweisungen<br />
einen rechtsverbindlichen Status. Ansonsten kann sich der Arbeitnehmer<br />
auf eine Duldung des Regelverstoßes berufen.<br />
4.1.4 Data Leakage Protection sorgt für Compliance<br />
126 www.<strong>TecChannel</strong>.de<br />
Klare Regeln:<br />
Websense<br />
blockiert den<br />
Mail-Versand in<br />
Outlook, falls<br />
die Mail gegen<br />
feste Regeln<br />
verstößt.<br />
Im Mittelpunkt jeglicher IT-Nutzung stehen immer die Daten. Ihr Schutz kann<br />
kaum als zu hoch eingestuft werden. In vielen Bereichen wird dieser Schutz auch<br />
durch passende Konzepte unterstützt. Firewalls, Berechtigungssystem, Benutzergruppen<br />
oder Passwörter sind dafür nur die gängigsten Lösungen. Der unachtsame<br />
Versand von E-Mails kann jedoch diese Schutzmaßnahmen vollständig untergraben.<br />
Ohne weitere Hilfsmittel kann jeder Benutzer Daten durch das<br />
E-Mail-System nach außen schleusen. Derzeit etablieren sich Werkzeuge, die dies<br />
verhindern sollen: Data-Leakage-Protection-Tools überwachen und protokollieren<br />
dazu den Transfer der Daten und ihre Nutzung.<br />
Nach einer Untersuchung von Infowatch (www.infowatch.com/de/) ist die Bedrohung<br />
durch den Datenverlust mittlerweile größer als viele andere Gefahren des<br />
Internets. 78 Prozent der befragten Unternehmen räumen dem Datendiebstahl<br />
die höchste Priorität gegenüber allen anderen Sicherheitsbedrohungen ein. Die<br />
Veröffentlichung von Daten durch nachlässiges Verhalten der Mitarbeiter steht<br />
mit 65 Prozent an zweiter Stelle. Ob es sich um einen gezielten Einbruch, verlorene<br />
Notebooks oder den übersehenen Anhang einer E-Mail handelt, spielt aber<br />
für das Ergebnis keine Rolle: Firmeninterne Daten sind in die falschen Hände gelangt.<br />
Die Data Leakage Protection versucht, alle Kommunikationskanäle gegen
E-Mail-Sicherheit<br />
diesen Datenverlust abzusichern. Der Schutz umfasst dabei die Armada der USB-<br />
Geräte, den direkten Zugriff auf Dateiverzeichnisse und die Kommunikationskanäle<br />
wie E-Mail, Instant Messaging oder Peer-to-Peer-Netze.<br />
Ernstfall: In McAfee DLP werden Regeln darüber eingestellt, was mit auffälligen Mails passieren soll.<br />
Da E-Mail eines der wichtigsten Kommunikations-Interfaces darstellt, wird es<br />
durch die DLP-Tools besonders abgesichert. Um mehr Sicherheit zu erreichen,<br />
werden E-Mails nach sensiblen Inhalten durchsucht. Ferner lassen sich die Anhänge<br />
analysieren oder generell einschränken.<br />
Content Filtering untersucht den Mailinhalt<br />
Das Content Filtering der DLP-Tools analysiert den E-Mail-Text und die Anhänge.<br />
Bewertet werden dabei nicht nur Schlüsselwörter ( Keyword-Matching) und Dateitypen<br />
des Anhangs, sondern etwa auch die E-Mail-Adreese des Empfängers und<br />
die Sendezeit. Alle Parameter tragen zu einem Gesamtwert bei, der die Wahrscheinlichkeit<br />
eines Verstoßes angibt.<br />
Keyword Matching: Utimacos Mail-Analyse untersucht die E-Mail auch nach Schlüsselworten. Hierzu<br />
ist eine Vielzahl an Schlüsselworten bereits hinterlegt.<br />
webcode: 1778559 127
4. E-Mail<br />
Beim Keyword-Matching werden die übermittelten Daten nach bestimmten<br />
Schüsselworten wie etwa „Quartalszahlen“ oder „Monatsabschluss“ durchsucht.<br />
Dafür sind aber umfassende Konfi gurationen nötig. Eine einfache Liste an Schlüsselworten<br />
führt selten zum erwünschten Ergebnis. Erst die Kombination mehrere<br />
Wörter ergibt den kritischen Kontext.<br />
Eine weitere Technik, den Datenabfl uss zu unterbinden, ist das Fingerprinting.<br />
Hierbei werden eindeutige Merkmale der Daten, ähnlich einem Fingerabdruck,<br />
ermittelt. Selbst wenn die Daten dann kopiert oder in einen anderen Zusammenhang<br />
gestellt werden, bleibt der Fingerabdruck erhalten, und die Daten sind nach<br />
wie vor eindeutig zuordenbar. Um auch jene Fälle zu erkennen, in denen der Text<br />
in einen anderen Zusammenhang kopiert oder in einen anderen Text eingefl ochten<br />
wird, gilt der Fingerprint nicht für den kompletten Text. Das Fingerprinting<br />
operiert vielmehr auf Textblöcken und Passagen, sodass auch deren Versand in E-<br />
Mails erkannt wird.<br />
Übersicht wichtiger DLP-Anbieter<br />
Hersteller Webseite Produkt<br />
Centennial Software www.centennial-software.de DeviceWall<br />
EMC germany.emc.com Data Loss Prevention Suite<br />
Ironport www.ironport.com/de/ Data Leakage<br />
McAfee www.mcafee.com/de/ Total Protection<br />
INFOWATCH www.infowatch.com/de/ Traffi c Monitor, Device Monitor<br />
Proofpoint www.proofpoint.com Proofpoint DLP<br />
Symantec www.symantec.com/de/ Vontu Data Loss Prevention<br />
Trend Micro www.trendmicro.com Leakproof<br />
Websense www.websense.com/global/de/ Essential Information Protection<br />
Tizor Systems www.tizor.com DLP<br />
Zu den ambitioniertesten Techniken der Textanalyse zählen linguistische Analysen.<br />
In der einfachsten Version erkennt das DLP-System dabei die Grundform der<br />
Wörter und führt etwa Verben auf den Infi nitiv zurück.<br />
1.4.5 E-Mail-Sicherheit für den Posteingang<br />
35 Milliarden E-Mails sollen nach einer Prognose des Marktforschungsinstituts<br />
IDC weltweit im Jahr 2005 täglich versendet worden sein. Für das Jahr 2008 geht<br />
HP von 5500 PByte an E-Mail-Datenvolumen allein in Deutschland aus. Davon<br />
werden 90 Prozent als Spam betrachtet. Unabhängig davon, wie man diese Werte<br />
einstuft, eines ist sicher: Das Wachstum bei verseuchten oder unerwünschten<br />
128 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
Mails ist ungebrochen. Trotz ihrer Anzahl müssen alle E-Mails, und somit auch<br />
der Spam, bearbeitet werden. Meist trennt man in der ersten Stufe die unerwünschten<br />
E-Mails ab und löscht sie zeitnah. Der dann noch verbleibende kleine<br />
Rest ist jedoch umso entscheidender für viele Unternehmen. Aufgrund der vermehrten<br />
Nutzung von E-Mail als allgemeiner Kommunikationsplattform fl ießen<br />
mehr und mehr Angebote, Verträge oder Bestellungen über die Mail-Systeme. Für<br />
den Kontakt mit dem Endverbraucher stellt Mail neben Telefon ohnehin meist die<br />
einzige Drehscheibe dar, über die er sich informiert, bestellt oder auch beschwert.<br />
In vielen Geschäftszweigen gehört die E-Mail bereits heute zur zentralen Kommunikationsplattform<br />
mit dem Kunden. Auch von staatlicher Seite wächst der Druck<br />
zur digitalen Kommunikation. Seit einigen Jahren sind Unternehmen in Deutschland<br />
etwa verpfl ichtet, Lohnsteuer-Anmeldungen und Umsatzsteuer-Voranmeldungen<br />
elektronisch abzuwickeln.<br />
Zur Untersuchung und Vorselektion der eingehenden E-Mails bietet der Markt<br />
ein breites Portfolio an Tools an, darunter Virenscanner, Malware-Scanner und<br />
Content-Filter. Deren Trefferrate hängt entscheidend davon ab, wie gut sie mit<br />
Attachments umgehen können. Sendmail (http://sendmail.com/sm/solutions/inbound/)<br />
beispielsweise gibt an, neben der Mail und HTML-Texten auch alle gängigen<br />
Anhänge mit den Formaten MPG, JPG, Active X, PDF, Word, Excel, Powerpoint,<br />
RTF und weitere in den Scanablauf einzubeziehen.<br />
1.4.6 E-Mail-Schutz durch Appliances<br />
Die Untersuchung auf bösartigen Code in E-Mails und das Erkennen von Spam<br />
basiert häufi g auf ähnlichen Algorithmen. So kann die Prüfung des Absenders<br />
oder die Analyse der Anhänge für beide Zwecke genutzt werden.<br />
Verschlüsselung:<br />
IronMail von Secure<br />
Computing ermöglicht<br />
die Mail-Verschlüsselung<br />
durch eine zweite<br />
separate Appliance.<br />
Daher fi nden sich häufi g Überschneidungen oder zumindest enge Kooperationen<br />
zwischen beiden Bereichen. Die Module zur Viren- und Spam-Erkennung sind in<br />
den meisten Fällen auf vorgeschalteten <strong>Netzwerk</strong>einheiten, einem Gateway, MTA<br />
( Message Transfer Agent) oder eigenen Appliances hinterlegt. Zwar sollte die Untersuchung<br />
auf Spam und Viren so früh wie möglich erfolgen. Dennoch kann auch<br />
webcode: 1778559 129
4. E-Mail<br />
eine nachgeschaltete Analyse sinnvoll sein, denn die Untersuchung des Mail-<br />
Stroms auf dem vorgeschalteten Gateway ermöglicht keine Prüfung von Postfächern,<br />
da diese ja erst auf den Mail-Servern existieren. Die Überprüfung der<br />
E-Mail im Kontext des Clients und dementsprechend individuelle Filterregeln<br />
sind natürlich auch erst dort möglich.<br />
Für diese unterschiedlichen Einsatzzwecke liefern die Hersteller ebenso unterschiedliche<br />
Produkte. Das Angebot in diesem Segment ist unübersichtlich. Eigene<br />
Appliances zur E-Mail-Bearbeitung bieten beispielsweise Websense mit E-Mail<br />
Security, Secure Computing mit Secure Mail, Ironport, Mirapoint oder Borderware<br />
mit Steelgate. Auch Symantec hat hier mehrere Produkte im Angebot.<br />
Der Vorteil von Appliances zur Sicherung des E-Mail-Eingangs liegt in deren zentralen<br />
Verwaltungsmöglichkeiten. Die Appliance kann auch gleich um ein Regelwerk<br />
für den Umgang mit dem ein- und ausgehenden Mail-Verkehr ergänzt werden.<br />
Diese Policies defi nieren die maximale Mail-Größe, erlauben nur bestimmte<br />
Anhänge und ergänzen die E-Mails um Angaben zur Corporate Identity. Die Appliance<br />
kann aber auch besondere Aufgaben wie eine zentrale Signatur oder ein<br />
spezielles Routing managen.<br />
1.4.7 Die dunkle Seite der E-Mail-Nutzung<br />
Zu den größten Ärgernissen beim Umgang mit E-Mails gehört heute Spam. Dieser<br />
hat genau genommen zwei schädliche Effekte. Der eine besteht in der Vergeudung<br />
von Ressourcen durch das Bearbeiten und Aussortieren von Spam. Der zweite Effekt<br />
ist die Gefährdung, die von Spam direkt ausgeht. Meist sollen Spam-Mails<br />
den Empfänger ja dazu animieren, zweifelhafte Produkte zu bestellen und Websites<br />
zu besuchen, die der Empfänger der Mail ansonsten nicht aufgerufen hätte.<br />
Welche Ausmaße diese Plage mittlerweile erreicht hat, zeigt die jüngste Studie<br />
eines Forscherteams der University of California in Berkeley und San Diego. Nach<br />
deren Untersuchung führt nur eine von 12,5 Millionen versandten Spam-Mails<br />
beim Absender zum Erfolg. Daher müssen unzählige Spam-E-Mails verschickt<br />
werden, bis sich dieses zweifelhafte Geschäftsmodell rechnet.<br />
Retarus (www.retarus.de), ein Unternehmen, das E-Mail-Dienste anbietet, stellte<br />
im Herbst 2008 „einen Besorgnis erregenden Anstieg der Zahl virenverseuchter E-<br />
Mails“ fest. Es soll sich demnach um die Vorhut einer neuen Spam-Welle zu handeln.<br />
Nachdem es in den ersten acht Monaten des Jahres 2008 in puncto Versendung<br />
von Viren und Malware relativ ruhig war, verzeichnet der E-Mail-Profi nun<br />
wieder einen dramatischen Zuwachs an infi zierten Nachrichten.<br />
MessageLabs (www.messagelabs.com), ein Anbieter von E-Mail-Managed-Services,<br />
der jüngst von Symantec (www.symantec.com/de/) übernommen wurde,<br />
ermittelte im November ein Spam-Rate von 70 Prozent. Die Angriffe durch Viren<br />
sind nach den MessageLabs-Messungen derzeit rückläufi g. Phishing allerdings<br />
bleibt auf dem Niveau der zurückliegenden Monate.<br />
130 www.<strong>TecChannel</strong>.de
1.4.8 Effektive Spam-Filterung<br />
E-Mail-Sicherheit<br />
Der effi zienteste Weg, Spam fernzuhalten, wäre, diese gar nicht erst über die<br />
WAN-Strecke zum Empfänger zu transportieren, sondern bereits vorab auszusortieren.<br />
Hierzu gibt es diverse Ansätze, wie etwa die Senderkennung, die sich allerdings<br />
bis dato nicht durchsetzen konnte. In den allermeisten Fällen bleibt nur der<br />
Weg, Spam beim Empfänger auszusortieren. Diverse Spam-Filter versuchen das –<br />
mit mehr oder minder gutem Erfolg. Sie beruhen meist auf der Analyse der E-Mail<br />
nach Schlüsselworten oder Textformatierungen. Andere Verfahren kombinieren<br />
RBL („Real Time Blackhole Lists“) mit diversen Filtern und überprüfen den Absender<br />
durch DNS-Lookup. Oftmals werden auch heuristische Methoden zur<br />
Spam-Erkennung eingesetzt.<br />
Um eine hohe Trefferrate zu erreichen, kann man all diese Verfahren kombinieren.<br />
In der Praxis wird die Analysetiefe durch die zur Verfügung stehenden Rechenkapazität<br />
des Spam-Filters begrenzt. Um hier Engpässe zu verhindern, kann<br />
man beispielsweise E-Mails mit besonders großen Anhängen zeitversetzt scannen.<br />
Dashboard: Umfangreiche Auswertungen<br />
zur Bedrohungslage präsentiert<br />
IronPort mit seiner Appliance.<br />
Manche Hersteller, wie etwa IronPort, setzen auf eigene Reputationstechniken.<br />
IronPort stellt im Web Server-Systeme bereit, die eine Klassifi zierung der Absender<br />
vornehmen. Aus der Historie des E-Mails-Verkehrs von oder zu diesem Absender<br />
werden dann Werte ermittelt, die Auskunft darüber geben, ob es sich bei<br />
E-Mails von diesem Absender um Spam oder sonstige Malware handelt.<br />
webcode: 1778559 131
4. E-Mail<br />
Microsoft Forefront<br />
Seit einiger Zeit besitzt Microsoft für seinen Mail-Server Exchange auch ein eigenes<br />
Sicherheitswerkzeug aus der Forefront-Familie (www.microsoft.com/germany/forefront/).<br />
Zu dieser Familie gehören eine Firewall, ein Access-Gateway,<br />
Schutzsoftware für Windows-Clients sowie Tools für verschiedene Microsoft-Server,<br />
darunter auch Exchange. In Prinzip handelt es sich bei Forefront für Exchange<br />
um ein Framework, in das die Sicherheitsprodukte von Drittanbieter eingeklinkt<br />
werden. Forefront fungiert dabei gewissermaßen als Verwaltungs- und Kommunikationsplattform<br />
für den Exchange Server. Die eigentlichen Sicherheitssysteme<br />
kommen von den Partnern. Diese sind derzeit die Firmen AhnLab, Authentium,<br />
CA, Norman, Kaspersky, Sophos und Virus Buster sowie Microsofts eigene Anti-<br />
Virus Engine, die auf der Technologie von Gecad basiert.<br />
132 www.<strong>TecChannel</strong>.de<br />
Exchange-Sicherheit:<br />
Microsoft liefert mit<br />
Forefront for Exchange<br />
ein eigenes Tool-Set zur<br />
Überwachung des E-<br />
Mail-Verkehrs.<br />
Seit der Version 2007 ist Exchange in mehrere Rollen aufgeteilt. Diese nennen sich<br />
Hub Transport, Edge Transport, Unifi ed Communication, Mailbox und Client<br />
Access. Die Rollen stehen für die verschiedenen Funktionen, die für den jeweiligen<br />
Betrieb von Exchange benötigt werden. Hinter der Rolle Mailbox liegen die Postfächer<br />
der Benutzer und ihre Verwaltung, der Hub Transport übernimmt den<br />
Austausch der Mails und wird sowohl für die interne als auch für die externe Kommunikation<br />
über das Internet benötigt. Der Edge Transport ist nur bei der Kommunikation<br />
mit dem Internet notwendig. Der Rolle Unifi ed Communication wiederum<br />
ist gänzlich neu und bildet Funktionen wie die Sprachein- und -ausgabe<br />
ab, während die Rolle Client Access die Schnittstelle für spezielle Client-Zugänge<br />
wie etwa Outlook Web Access implementiert.
E-Mail-Sicherheit<br />
Die Rollen können auf unterschiedlichen Servern installiert werden. Über diesen<br />
Weg wird die weitgehend wahlfreie Skalierbarkeit des Mail-Systems erzielt. In<br />
kleineren Unternehmen mit einer überschaubaren Anzahl an Mail-Boxen können<br />
alle Rollen einem physischen Server zugewiesen werden.<br />
Dynamische<br />
Sicherheitsregeln:<br />
In der kommenden<br />
Version von Forefront<br />
verknüpft<br />
Microsoft die<br />
unterschiedlichen<br />
Systeme zu einem<br />
Dynamic Response<br />
System.<br />
Forefront lässt sich dabei auf die drei Rollen Edge, Hub und Mailbox anwenden.<br />
In der kommenden Version von Forefront sollen die bis dato separat agierenden<br />
Sicherheitsmodule integriert werden. Microsoft will Forefront so zu einem Dynamic<br />
Response System ausbauen, also einem Sicherheitssystem, das dynamisch auf<br />
die Bedrohungen reagiert oder auch präventiv agiert. Wird beispielsweise festgestellt,<br />
dass ein Benutzer ein übermäßig großes E-Mail-Aufkommen hat, so stehen<br />
er und seine Aktionen für einen bestimmten Zeitraum unter verstärkter Überwachung.<br />
Diese bezieht auch seine sonstige Interaktionen mit anderen Benutzern,<br />
wie etwa über Instant Messaging, ein.<br />
1.4.9 Archivieren und wiederfi nden<br />
Prinzipiell lassen sich bei der Mail-Nutzung drei Phasen unterscheiden. In der aktiven<br />
Phase, die relativ kurz ist, wird die E-Mail empfangen, bearbeitet oder beantwortet.<br />
In der nachfolgenden Referenzphase liegt diese E-Mail ungenutzt vor.<br />
Mitunter erinnert sich der Benutzer an sie und sucht sie wieder hervor, um den<br />
Inhalt der Mail wieder aufzugreifen, eine Reklamation zu bearbeiten oder einfach<br />
einen Kontakt ausfi ndig zu machen. Die dritte und längste Phase ist die Beweisphase.<br />
In dieser Zeit sind die Mails wegen gesetzlicher Bestimmungen aufzubewahren<br />
und für einen Zugriff durch die Behörden bereitzuhalten. Hierbei dient<br />
die E-Mail als Nachweis für einen Geschäftsvorfall. Die Verpfl ichtung, E-Mails als<br />
webcode: 1778559 133
4. E-Mail<br />
Geschäftspost aufzubewahren, wird durch mehrere gesetzliche Vorgaben geregelt.<br />
Dieser Aspekt der Archivierung und Aufbewahrung gewinnt in letzter Zeit zunehmend<br />
an Brisanz.<br />
Die Verpfl ichtung zur E-Mail-Speicherung stellen gewaltige Anforderungen an<br />
die Speichersysteme. Um sich hiervon ein Bild zu machen, kann auf eine Untersuchung<br />
der Enterprise Strategy Group zurückgegriffen werden. Zwar bezieht sich<br />
diese nicht nur auf E-Mails, aber E-Mails haben einen gewaltigen Anteil daran:<br />
Nach Meinung der Analysten wächst das Volumen für die Datenarchivierung der<br />
Unternehmen in den nächsten drei Jahren auf über 100.000 PByte. Wenn man dabei<br />
den Anteil Deutschlands auf fünf Prozent taxiert, wären bei reinem Disk-Backup<br />
hierzulande fünf Millionen Festplatten mit je einem TByte nötig.<br />
Die Archivierung kann im einfachsten Fall durch Backups der Mail-Postfächer erfolgen.<br />
Dies ist jedoch nur in einfachen Szenarien angeraten. Die Werkzeuge dafür<br />
sind dateibasiert und damit zwar unabhängig von den Mail-Systemen. Eine Wiederherstellung<br />
einzelner E-Mails ist aber meist nicht möglich.<br />
Information Lifecycle Management und hierarchische Speicher<br />
Weiter als das singuläre Backup der Mail-Speicher geht die sachbezogene Speicherung<br />
der Mail mit dem zugehörigen Vorgang, Produkt oder Geschäftvorfall.<br />
Durch Journalfunktionen, Erstellung von Metadaten und Volltextsuche erfolgt<br />
dann ein verknüpfter Zugriff auf die jeweilige “Sache“ oder den Vorgang. Dieser<br />
wird jedoch kaum durch die Mail alleine beschrieben sein. Ein Angebot kann typischerweise<br />
aus einer Mail und einer PDF-Datei, die das Produkt spezifi ziert, bestehen.<br />
Die Bestellung mag als Kunden-E-Mail, die Rechung wiederum als Ausdruck<br />
vorliegen. Um nun aber eine vorfallsbezogene Ablage der Daten zu ermöglichen,<br />
müssen die Mail-Systeme mit allen an dem Vorgang beteiligten Systemen verknüpft<br />
werden. Hierfür sind Werkzeuge nötig, die mit dem Dokumentenmanagement,<br />
dem Content-Management, dem Archivsystem und dem ERP-System kooperieren.<br />
Die Werkzeuge zur Archivierung von Geschäftsvorfällen unterscheiden<br />
sich grundlegend von denen, die stupide Kopien von Dateien auf Tapes oder Disks<br />
ablegen. Sie segeln unter der Flagge namens HSM ( hierarchisches Speicher Management)<br />
oder ILM ( Information Lifecycle Management) und weisen eine enge<br />
Integration mit jenen Systemen auf, für die sie ihre Dienste anbieten. Tools dieser<br />
Art interagieren meist direkt mit dem E-Mail-System, dem Dateisystem und mitunter<br />
auch Content-Management-Systemen wie dem Sharepoint Portal Server.<br />
Durch zentrale oder benutzerdefi nierte Regeln erfolgt die Verknüpfung der E-<br />
Mails mit den Anhängen, den Dateien im Dateisystem und den Inhalten im Sharepoint<br />
Server. Diese Verknüpfung der einzelne Informationsschnipsel bildet den<br />
Geschäftsvorgang ab, der dann als eine Einheit (der Vorgang) auf den Archivmedien<br />
hinterlegt wird.<br />
In den Quellsystemen (Mail-System, Dateisystem etc.) sind bei der vorgangsbezogenen<br />
Archivierung nur noch Verknüpfungen zum Archivspeicher vorhanden.<br />
Ferner erfolgen eine Trennung des Mail-Headers vom eigentlichen Mail-Inhalt<br />
134 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
und von den Anhängen sowie die singuläre Speicherung ( Single-Instance-Speicherung)<br />
bei identischen Anhängen in mehreren Mails. Die Verlagerung der Informationen<br />
vom Primärsystem ins Archivsystem kann sowohl manuell durch<br />
den Benutzer als auch automatisiert durch vielfältigste Kriterien parametrisiert<br />
werden. Darunter fallen beispielsweise das Alter der Informationen, ihre Größe<br />
und die Zugriffshäufi gkeit. Dazu gehören auch Angaben zur Aufbewahrungsdauer<br />
(Retention Period) mit einer automatischen Löschung beim Ablauf der Aufbewahrungsdauer.<br />
Zur Gewährleistung der angemessenen oder gesetzeskonformen<br />
Speicherung aller vorgangsbezogenen Informationen sind die Archivierungsregeln,<br />
-abläufe und -medien entsprechend festzulegen.<br />
Archivierungslösungen und MailRecorder für den SMTP-Datenstrom<br />
Mimosa beispielsweise liefert mit Nearpoint (www.mimosasystems.com) eine Archivierungslösung<br />
für E-Mail-Bestände und wirbt mit einem schnellen Restore im<br />
Fehlerfall. Mimosa und NetApp (www.netapp.com/de/) haben im November<br />
2008 eine Kooperation angekündigt. NetApp kooperiert daneben aber auch noch<br />
mit den Archivierungslösungen von CommVault (www.commvault.de) und Quest<br />
(www.quest.com). Die Archivierungsanwendungen sind für mehrere Informationssysteme<br />
ausgelegt, darunter auch Microsoft Exchange, Microsoft Offi ce<br />
SharePoint, Dateidienste und Lotus Notes.<br />
Streamwriter: HP platziert seinen<br />
MailRecorder vor die Spam-Filter und<br />
stellt damit sicher, dass alle Mails<br />
aufbewahrt werden.<br />
Die Nutzer erhalten dabei Zugriff auf mehrere Speicherklassen und Protokolle.<br />
Eingeschlossen sind ferner Funktionen wie Deduplizierung, kaskadierende Snapshots<br />
und Thin Provisioning. NetApps SnapLock versiegelt außerdem die Daten<br />
webcode: 1778559 135
4. E-Mail<br />
gegen Löschen und Änderungen, sodass die gespeicherten Inhalte auch revisionssicher<br />
sind. Einen ganz anderen Ansatz der Archivierung empfi ehlt HP. Deren<br />
MailRecorder wird von HP als Flugschreiber für E-Mails bezeichnet. Er zeichnet<br />
den gesamten SMTP-Datenstrom direkt bei der Ankunft auf. Im Gegensatz dazu<br />
operieren die meisten Archivlösungen nach dem Spam-Filter.<br />
Nach Meinung von HP birgt die nachgeschaltete Archivierung das Risiko, dass geschäftskritische<br />
E-Mails vorher durch den Spam-Filter aussortiert werden und somit<br />
nicht archiviert sind. Das Argument ist prinzipiell nicht von der Hand zu weisen.<br />
Wenn man allerdings ins Kalkül zieht, dass circa 90 Prozent der E-Mail<br />
ohnehin Spam sind, heißt das, dass 90 Prozent Müll aufgezeichnet werden. Unklar<br />
dabei ist auch die rechtliche Behandlung von privaten E-Mails.<br />
1.4.10 Sichere Infrastruktur für E-Mail-Systeme<br />
Ein Ausfall des E-Mail-Systems führt in den meisten Fällen zu gravierenden Leerzeiten<br />
und Verzögerungen bei den betrieblichen Abläufen. Daher wird eine permanente<br />
Verfügbarkeit des E-Mail-Systems erwartet – ja sogar gefordert. Dennoch<br />
lassen sich Hardware-Ausfälle oder Systemfehler nicht gänzlich ausschließen.<br />
Umso wichtiger ist es deshalb, im Fehlerfall die Betriebsbereitschaft mitsamt der<br />
schnellen Wiederherstellung der alten E-Mails sicherzustellen.<br />
Für die Betriebssicherheit muss man zwischen dem Zugang zu den eigenen E-<br />
Mail-Daten und der Verfügbarkeit des E-Mail-Systems an sich unterscheiden. Ist<br />
der Zugang gestört, so sind natürlich auch alle Daten in diesem Moment nicht<br />
verfügbar. Bei den E-Mail-Daten sind aber nicht nur die E-Mail-Nachrichten gemeint,<br />
sondern alle im E-Mail-System hinterlegten Inhalte. Oft arbeiten die E-<br />
Mail-Server gleichzeitig als Groupware-Server. Im Fall von Microsoft Exchange<br />
sind neben den eigentlichen E-Mails und deren Anhängen auch die Kontakte, die<br />
Aufgabenlisten und der Terminkalender bei einem Ausfall nicht mehr erreichbar.<br />
Ist kein Zugang zum E-Mail-System mehr möglich, so führt das zu einer weitreichenden<br />
Einschränkung des Arbeitsumfelds. Ohne Kontaktdaten nützt dann häufi<br />
g auch das Telefon nicht mehr viel. Werden gar Unifi ed-Communication-Systeme<br />
eingesetzt, so versagt mit einem Ausfall der E-Mail-Server auch das Telefon.<br />
Die Abhängigkeit vom E-Mail-System sollte insbesondere bei Disaster-Recovery-<br />
Szenarien beachtet werden. Es nützt wenig, wenn die wichtigen Telefonnummern<br />
und Anweisungen für den Fehlerfall just auf den Servern hinterlegt sind, die gerade<br />
ausgefallen sind.<br />
1.4.11 Absicherung der Daten und Programme<br />
Die Absicherung des E-Mail-Systems muss sich auf alle notwendigen Daten und<br />
auch Prozesse beziehen. Aus Sicht der betroffenen Benutzer macht es keinen Unterschied,<br />
ob fehlende Daten, ein überlastetes <strong>Netzwerk</strong> oder ein ausgefallener<br />
Server-Dienst die Ursache für die Störung sind. Daher verschmelzen alle beteili-<br />
136 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
gten Bausteine bei den Schutzkonzepten zu einer Einheit. Die traditionellen Backup-Verfahren<br />
sind inzwischen von komplexeren IT-Absicherungen abgelöst.<br />
Vom RAID zum Geocluster<br />
Beim Schutz der E-Mail-Daten gilt es auch das geografi sche Ausmaß des Datenschutzes<br />
zu betrachten. Die Spiegelung der Mail-Speicher, beispielsweise durch<br />
den Einsatz eines RAID-Verbunds, sichert die Daten vor dem Ausfall der Festplatte.<br />
Für den Ausfall des kompletten Rechners jedoch bieten RAID-Arrays keinen<br />
Schutz. Hiergegen hilft die Spiegelung auf ein separates Festplattensystem. Befi ndet<br />
sich dieser Plattenspiegel jedoch im gleichen Raum, so sind die Daten zwar vor<br />
dem Ausfall des Rechners, aber nicht vor dem Ausfall der Stromversorgung für<br />
diesen Raum abgesichert. Dies gilt auch bei sonstigen „lokalen Katastrophen“ wie<br />
etwa Feuer oder Hochwasser.<br />
Um auch dagegen gewappnet zu sein, müssen die Sicherungssysteme weit genug<br />
von den primären Systemen, die es abzusichern gilt, entfernt sein. Dieser Gedanke<br />
lässt sich mehrfach fortführen und fi ndet seine Ende in der Platzierung von Datenspiegeln<br />
oder Ausweichrechenzentren auf unterschiedlichen Kontinenten. Ob<br />
dabei nur die Daten gegen Verlust gesichert sind oder auch die E-Mail-Server<br />
selbst, ist im Prinzip beim Geoclustering unerheblich.<br />
Datensicherung durch Backups<br />
Der traditionelle Weg der Datensicherung erfolgt durch periodische Kopiervorgänge<br />
der Daten auf externe Bandmedien oder auch Bandbibliotheken. Die gängigsten<br />
Verfahren hierbei sind die Vollsicherung, die inkrementelle Sicherung<br />
oder differenzielle Sicherung. Die Sicherungen laufen meist in Zeiten mit wenig<br />
Last wie nachts oder am Wochenende.<br />
Bei täglichen Backups kann der Datenverlust im Störungsfall einen ganzen Arbeitstag<br />
betragen. Auch der Wiederherstellvorgang selbst kann mehrere Stunden<br />
bis Tage dauern. Das Angebot an Sicherungstools in diesem Segment ist recht umfangreich.<br />
Dazu gehören beispielsweise die Werkzeuge von CA (ARCserve, www.<br />
ca.com/de/), EMC (Legato Networker, www.legato.com), HP (Data Protector,<br />
www. hp.com), IBM (Tivoli Storage Manager, www.ibm.com) und Symantec<br />
(Backup Exec, www.symantec.com/de/). Daneben stehen aber auch noch viele<br />
kleinere Anbieter, die ähnliche Produkte offerieren.<br />
Kontinuierliche Sicherung der Daten<br />
Die traditionelle Sicherung hat den Nachteil eines relativ großen Datenverlusts<br />
und einer langen Wiederherstellungszeit. Durch die kontinuierliche Datensicherung<br />
( Continuous Data Protection / CDP) werden beide Werte reduziert. Die<br />
CDP-Sicherungsverfahren arbeiten meist mit sehr kleinen Sicherungsintervallen<br />
bis hinab zu wenigen Minuten. Gesichert wird meist auf Plattensysteme. Diese<br />
können im gleichen Raum oder weit entfernt stehen. Entfernte Sicherungssysteme<br />
werden über IP-Strecken angebunden und erfüllen implizit die Forderung nach<br />
webcode: 1778559 137
4. E-Mail<br />
einer Standortsicherung. CDP-Verfahren bringen aber auch Änderungen hinsichtlich<br />
der Wiederherstellung der Mail-Daten. Die Rücksicherung kann meist<br />
durch die Benutzer selbst vorgenommen werden. Zur Umsetzung von CDP existieren<br />
sowohl eigene Server-Lösungen als auch eine Kombination mit globalen<br />
Speichersystemen und eigenen Routinen zur Datenspiegelung.<br />
DPM: Der Data Protection Manager von Microsoft sichert nach dem CDP-Verfahren. In der Protection<br />
Group werden die zu sichernden Daten beschrieben.<br />
Die Anbieter der traditionellen Sicherungswerkzeuge bieten meist auch Varianten<br />
ihrer Tools mit der Möglichkeit zur kontinuierlichen Datensicherung an. Hinzu<br />
kommen aber auch spezialisierte Anbieter. Microsoft hat mit dem Data Protection<br />
Manager (DPM) eines dieser Werkzeuge im Angebot. Der Data Protection<br />
Manager weist auch die notwendigen Interfaces zur Sicherung der Exchange-Inhalte<br />
auf. Zur Sicherung der Daten auf das Zweitsystem greift Microsoft auf einen<br />
im Betriebssystem verankerten Dienst, den Volume Shadow Service, zurück. Der<br />
potenzielle Datenverlust im Fehlerfall sinkt auf den Zeitpunkt seit der letzten Sicherung<br />
der Daten, dies sind im Minimum 15 Minuten. Die von den überwachten<br />
Exchange-Servern eingesammelten Daten speichert der DPM in einem Datenpool.<br />
Bei größeren Umgebungen legt man diesen auf ein separates Speichersystem.<br />
Partielle Rücksicherung von E-Mail-Inhalten<br />
Bei der traditionellen Bandsicherung sind immer vollständige Datenbestände als<br />
Einheit zurückzusichern. Continuous Data Protection ermöglicht hingegen eine<br />
feinere Abstufung der Rücksicherung sowie auch eine Wiederherstellung der Inhalte<br />
direkt durch die Benutzer.<br />
Doch in der Praxis werden oftmals nur einzelne E-Mails oder Ordner gelöscht.<br />
Ein vollständiger Restore des gesamten Servers mit allen Daten wäre in diesem Fall<br />
138 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
kaum angemessen. Außerdem müssten dann auch alle Änderungen, die seit dem<br />
letzten Sicherungslauf von Nutzern vorgenommen wurden, aufwendig und manuell<br />
mit dem wiederhergestellten E-Mail-Bestand zusammengefügt werden.<br />
Kroll Ontrack: Die PowerControlls erlauben das Management von Postfächern und einzelnen E-Mails.<br />
Zur selektiven Wiederherstellung von einzelnen E-Mails, Postfächern oder sonstigen<br />
Inhalten dienen daher Erweiterungen zur Exchange-Datensicherung. Dazu<br />
zählen unter anderem die PowerControls von Kroll Ontrack (www.ontrack.de/<br />
powercontrols/) oder der Recovery Manager für Exchange von Quest (www.quest.com/recovery-manager-for-exchange/).<br />
Diese Tools erlauben eine sehr feingranulare<br />
Wiederherstellung von Informationen.<br />
1.4.12 Sicherung des Exchange-Mail-Systems<br />
Die bis dato betrachteten Varianten fokussierten sich auf die Sicherung der Daten.<br />
Um auch die Prozesse, also den Exchange-Server-Dienst, gegen den Ausfall abzusichern<br />
bieten sich unterschiedliche Verfahren an:<br />
Imaging und Snapshooting<br />
CDP mit Failover kombiniert<br />
Clustering der Exchange-Server<br />
Duplizierung aller Komponenten<br />
Virtualisierung<br />
webcode: 1778559 139
4. E-Mail<br />
Imaging und Snapshooting<br />
Beim Imaging oder Snapshooting werden Festplatten oder Partitionen eines Rechners<br />
als eine Einheit kopiert. Da hierbei direkt und unter Umgehung des Dateisystems<br />
auf die Festplatten zugegriffen wird, ist es konkurrenzlos schnell. Es eignet<br />
sich vor allem dann, wenn von einem Rechnersystem eine Kopie erzeugt werden<br />
soll beziehungsweise diese im Fehlerfall schnell wiederhergestellt werden muss.<br />
Dieses Vorgehen wird als Bare-Metal-Restore bezeichnet. Der Nachteil ist, dass das<br />
gesicherte Image nur auf einer nahezu identischen Hardware lauffähig ist. Durch<br />
das Imaging lassen sich nur fertig konfi gurierte Server mitsamt Betriebssystem<br />
und Applikationen sinnvoll absichern. Zur Sicherung von Daten ist das Verfahren<br />
nicht geeignet. Die Daten müssen getrennt gesichert und im Fehlerfall eingebunden<br />
werden.<br />
CDP mit Failover kombiniert<br />
Die Werkzeuge dieser Kategorie ermöglichen eine Absicherung von Server-Systemen<br />
über IP-Strecken hinweg. Über spezielle Integratoren erfolgt die Anbindung<br />
an die E-Mail-Systeme wie Exchange. Gesichert werden sowohl die Daten als auch<br />
die Applikationsdienste und alle Konfi gurationseinstellungen der Registry. Durch<br />
den Rückgriff auf eine IP-Verbindung ist der Einsatz auf keine Region begrenzt.<br />
Das Prinzip dieser Verfahren basiert auf zwei identischen Rechnersystemen im<br />
Aktiv/Passiv-Betrieb. Der aktive Rechner spiegelt dabei seine Daten fortwährend<br />
an den passiven Partner. Dessen Rolle ist die Entgegennahme der Daten vom aktiven<br />
Partner und die Überwachung dessen auf Funktionsfähigkeit. Dies passiert<br />
durch einen Heartbeat, der zwischen den Geräten ausgetauscht wird. Durch den<br />
Einsatz von IP als Kommunikationsverbindung können diese Verfahren sowohl<br />
zur Absicherung von Server-Systemen in Rechenzentren als auch für das Desaster<br />
Recovery über Weitverkehrsnetzen (WAN) eingesetzt werden. Im Fehlerfall übernimmt<br />
der bis dato passive Rechner die Arbeit des ausgefallen aktiven Geräts.<br />
Zu den Anbietern in diesem Segment zählen Neverfail Heartbeat von Neverfail,<br />
Doubletake oder etwa WANsync von CA. Wenngleich die prinzipiellen Ausführungen<br />
der Tools vergleichbar sind, gibt es Unterschiede in der Implementierung.<br />
Diese liegen beispielsweise darin, ob die verwendeten Server-Systeme hinsichtlich<br />
der Hardware identisch sein müssen oder nicht. Neverfail beispielsweise verlangt<br />
keine gleiche Hardware. Die Rechner dürfen sich durchaus bezüglich der CPU,<br />
des BIOS, des Mainboards, des Speicherausbaus oder der <strong>Netzwerk</strong>anbindung<br />
unterscheiden. Damit erlaubt Neverfail auch den Einsatz eines älteren Rechners,<br />
der nicht die gleichen Leistungswerte aufweisen muss wie das primäre System.<br />
Absicherung durch Clustering<br />
Die geringste Ausfallzeit und damit die höchste Verfügbarkeit erreicht man mit<br />
einem Failover-Cluster. Hierbei handelt es sich um vollständig redundante Server-Systeme,<br />
die mit einem gemeinsamen Datenträger ausgestattet sind. Alle Kno-<br />
140 www.<strong>TecChannel</strong>.de
E-Mail-Sicherheit<br />
tenrechner zusammen bilden eine Ressourcengruppe. Diese tritt nach außen als<br />
ein geclusterter Dienst in Erscheinung. Folglich wird der gesamte Failover-Cluster<br />
als ein einzelner Exchange-Server im <strong>Netzwerk</strong> dargestellt. Dahinter verbergen<br />
sich aber mehrere Knoten des Clusters.<br />
MS-FO-Cluster: Im Windows Server 2008 hat Microsoft die Verwaltung der Cluster vereinfacht und<br />
stellt dazu einen Cluster Manager bereit.<br />
Im Fehlerfall, also bei Ausfall eines dieser Knoten, übernehmen die anderen den<br />
Dienst. Dies kann, sofern die Applikation mitspielt, völlig unbemerkt vom Benutzer<br />
erfolgen. Damit federn Failover-Cluster Ausfälle einer Server-Hardware, aber<br />
auch des Mail-Servers ab, denn der Benutzer wird bei korrekter Funktionsweise<br />
davon nichts bemerken. Im Windows Server 2008 hat Microsoft diese Cluster-<br />
Funktionen vereinfacht. Das Aufsetzen und Betreiben eines Clusters wird damit<br />
gegenüber der Vorgängerversion bedeutend einfacher. Neu ist auch die Unterstützung<br />
von geografi sch verteilten Clustern.<br />
Duplizierung aller Komponenten<br />
Eine andere Variante des Ausfallschutzes verwendet eine Duplizierung aller Komponenten,<br />
von der Hardware über alle Software-Systeme hinweg. Als Anbieter in<br />
diesem Segment fungiert Stratus (www.stratus.de) mit seinem ftServer. Dabei<br />
handelt es sich genau genommen um zwei identische Server-Systeme im 19-Zoll-<br />
webcode: 1778559 141
4. E-Mail<br />
Formfaktor, die sich gegenseitig überwachen. Durch eine Verlängerung des Rechnerbusses<br />
über ein Zusatzmodul an der Rückseite des Geräts erfolgt die Durchschleusung<br />
der Signale an dem Partnerrechner.<br />
Beim Ausfall einer Komponente übernimmt der noch fehlerfrei operierende Partner<br />
dessen Aufgaben. Das Verfahren arbeitet unabhängig von der Applikation und<br />
kann somit auch E-Mail-Server absichern. Der Vorteil dieses Verfahrens liegt in<br />
der Unabhängigkeit der Überwachung von jeglichen Software-Systemen. Auf dem<br />
Server-System dürfen sich daher auch weitere Dienste befi nden, die parallel mit<br />
abgesichert werden. Nachteilig erweist sich, dass die sich überwachenden Baugruppen<br />
aufgrund technischer Gegebenheiten, wie der Signallaufzeiten, in unmittelbarer<br />
Nachbarschaft stehen müssen. Eine Hochverfügbarkeit über Räume hinweg<br />
oder gar größere Distanzen ist damit nicht machbar.<br />
Neue Sicherungsverfahren durch Virtualisierung<br />
Zu den neuesten Verfahren der Server-Absicherungen zählen Virtualisierungslösungen.<br />
Hierbei läuft ein Server in einer virtuellen Umgebung auf einem physischen<br />
Host-Server. Fällt der Host-Server aus, so wird die virtuelle Instanz kurzerhand<br />
auf einem anderen Host neu gestartet. Die Logik zur Überwachung des<br />
Gesamtsystems mitsamt dem Transfer der virtuellen Maschinen hat beispielsweise<br />
VMware in vMotion (www.vmware.com/de/products/vi/vc/vmotion.html) und<br />
den Distributed Resource Scheduling bereits integriert.<br />
142 www.<strong>TecChannel</strong>.de<br />
Virtuelle Sicherheit: VMware<br />
Neverfail ist in der Lage, virtuelle<br />
Server, die unter der Verwaltung<br />
des VMware ESX stehen, abzusichern.<br />
Das Verfahren ähnelt dem, das unter „CDP mit Failover kombiniert“ erwähnt<br />
wurde. Die Absicherung der Daten ist aber ausgegliedert und erfolgt autark durch<br />
ein angeschlossenes Speichersubsystem. Nur die Server-Prozesse, also Betriebssystem<br />
mit Applikationen, laufen in virtuellen Maschinen.
E-Mail-Sicherheit<br />
Das Verfahren ähnelt dem, das unter „CDP mit Failover kombiniert“ erwähnt<br />
wurde. Die Absicherung der Daten ist aber ausgegliedert und erfolgt autark durch<br />
ein angeschlossenes Speichersubsystem. Nur die Server-Prozesse, also Betriebssystem<br />
mit Applikationen, laufen in virtuellen Maschinen.<br />
VMware VCB: Durch<br />
Consolidated Backup<br />
sichert VMware die<br />
Inhalte der virtuellen<br />
Maschinen mitsamt<br />
ihren Applikationen.<br />
1.4.13 Fazit<br />
Eine rundum Absicherung des E-Mail-Systems umfasst den Postausgang, den<br />
Posteingang und die Infrastruktur selbst. Neben technischen Maßnahmen, die<br />
auch von externen Anbietern umgesetzt werden können, darf aber der menschliche<br />
Faktor nicht vernachlässigt werden. Nur wer gut ausgebildete Administratoren<br />
und vor allem sensibilisierte E-Mail-Nutzer hat, kann auf Dauer Ausfälle<br />
abfangen und Angriffe abwehren.<br />
Johann Baumeister<br />
Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich<br />
Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und<br />
ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
E-Mail: Mehr Sicherheit durch klare Regeln und DLP 1778559 –<br />
E-Mail-Sicherheit für den Posteingang 1779570 –<br />
Sichere Infrastruktur für E-Mail-Systeme 1779571 –<br />
Automatische Verschlüsselung mit E-Mail Gateways 1762105 –<br />
25 Jahre Computervirus – ein Rückblick 1776614 –<br />
webcode: 1778559 143
4. E-Mail<br />
4.2 E-Mail-Archivierung: Anforderungen<br />
und Lösungen<br />
Beim Thema E-Mail-Archivierung herrscht nach wie vor Verunsicherung, nicht<br />
nur in IT-Abteilungen. Der folgende Ratgeber nennt typische Probleme im Bereich<br />
der digitalen Archivierung und liefert Empfehlungen für die richtige Vorgehensweise<br />
bei der Archivierung von E-Mails.<br />
„Rechtliche Anforderungen wie die AO und GdPDU oder Sarbanes-Oxley (SOX)<br />
verlangen von allen Unternehmen die Archivierung aller E-Mails.“ So oder so<br />
ähnlich klingen Äußerungen von vielen Anbietern elektronischer Mail-Archivierungs-Lösungen.<br />
Sobald eine neue gesetzliche Aufl age erscheint, die relevant ist<br />
für IT-Anwender, werden Sachverhalte refl exartig in die jeweils gewünschte Richtung<br />
interpretiert. Dies mag den Herstellern dienlich sein, doch die Anwender<br />
werden dadurch verunsichert.<br />
Gleichzeitig wird das Lösungsangebot von Mail-Archiv-/Mail-Management-Lösungen<br />
immer vielfältiger und noch undurchsichtiger als im klassischen DMS-<br />
Markt. Tatsache aber ist, dass eine wachsende Anzahl von E-Mails geschäftskritische<br />
Informationen beinhaltet, deren Relevanz von vielen Unternehmen noch<br />
nicht erkannt wurde beziehungsweise der eigentlich notwendige sorgfältige Umgang<br />
mit diesen E-Mails und deren möglicherweise langfristige Aufbewahrung<br />
nicht oder nur teilweise defi niert ist. Die bestehenden E-Mail-Systeme sind nicht<br />
dazu geeignet, Mails revisionssicher und dauerhaft aufzubewahren.<br />
4.2.1 Motivation zur E-Mail-Archivierung<br />
Die älteste Triebfeder zur Mail-Archivierung kommt aus der IT. Im Fokus stehen<br />
dort typischerweise der Systembetrieb und die wachsenden Datenbanken von<br />
Mailsystemen, die im Extremfall – bei großen Benutzerzahlen – nicht mehr im zugesagten<br />
Zeitfenster konsistent gesichert oder umgekehrt nicht zeitnah wiederhergestellt<br />
werden können.<br />
Häufi g kommen dazu lokale Mail-Archiv-Dateien der Anwender. Diese entlasten<br />
zwar die teuren zentralen Mail-Speicher (PC-Speicher ist um Faktoren günstiger<br />
als Server-Speicher), sind dafür aber schwieriger zu sichern, weil im Besitz und auf<br />
der PC-Platte von Individuen mit jeweils eigenen Vorstellung von Ordnung und<br />
Sicherheit. Eine Archivierung zur Entlastung von E-Mail-Datenbanken erleichtert<br />
zwar deren Administration und verschafft Benutzern eine quasi „unlimitierte<br />
Mail-Box“, löst aber nicht das Problem der Strukturierung und echten Bereinigung<br />
der E-Mail-Daten. Das immer größer werdende – kostenbehaftete – Mail-<br />
Archiv muss irgendwann ebenfalls durch Auslagerung oder Löschen wieder bereinigt<br />
werden. Spätestens dann stellt sich wieder die Frage, nach welchen Kriterien<br />
diese Vernichtung erfolgen soll.<br />
144 www.<strong>TecChannel</strong>.de
4.2.2 Compliance-Anforderungen<br />
E-Mail-Archivierung: Anforderungen und Lösungen<br />
Oft wird unter dem Themenkomplex „ Compliance-Anforderungen“ von Marktteilnehmern<br />
eine vermeintliche Pfl icht propagiert, alle E-Mails zu 100 Prozent<br />
und ungeachtet des Inhalts automatisch archivieren zu müssen. Weder die deutsche<br />
Gesetzgebung wie das Handelsrecht (HGB) oder das Steuerrecht (AO,<br />
GdPDU), noch die amerikanischen Regularien wie beispielsweise Sarbanes Oxley<br />
Act (SOX) schreiben eine solche Maßnahme vor. Im Vordergrund stehen immer<br />
Selbstqualifi zierungsrecht und -pfl icht des Anwenders beziehungsweise des Unternehmens<br />
zu entscheiden, welche Unterlagen für welchen Zeitraum aufbewahrt<br />
werden müssen. Dies betrifft zudem nicht nur E-Mails, sondern alle Dokumente<br />
inklusive Papier und andere Formen relevanter Informationen.<br />
Ein per Mail ausgetauschtes Angebot, welches nicht zu einem Auftrag führt, ist<br />
nicht aufbewahrungspfl ichtig und kann gelöscht werden. Führt diese Mail zu<br />
einem Auftrag, gilt sie als eingehender oder ausgehender Handelsbrief und unterliegt<br />
der Aufbewahrungspfl icht nach Handels- oder Steuerrecht. Nur ein Anwender<br />
kann dies entscheiden, nicht aber eine systemgetriebene Software. Insbesondere<br />
Töchter von US-Firmen oder US-börsennotierte Unternehmen fühlen sich<br />
aufgrund dort vorhandener Prozessrisiken oft gezwungen, alle extern und intern<br />
kommunizierten E-Mails zu archivieren. Der bei fast allen Unternehmen vorhandene<br />
Grund zur Mail-Archivierung basiert auf der Problematik, dass geschäftliche<br />
Vorgänge aufgrund fehlender Unterlagen – gerade in Form von Mail-Kommunikation<br />
– nicht immer nachvollziehbar sind oder erheblichen Mehraufwand verursachen.<br />
So weiß etwa der Mitarbeiter einer Versicherung nicht, dass ein Interessent<br />
bereits mehrfach bei verschiedenen Stellen im Unternehmen per Mail Anfragen zu<br />
der gleichen Versicherungsleistung gestellt hat, weil diese Mails nicht zentral und<br />
strukturiert gespeichert wurden. Eine wichtige per Mail versandte Absprache eines<br />
in Urlaub befi ndlichen Vertriebskollegen ist in der Kundenakte nicht vorhanden.<br />
Manche Kollegen/Innen drucken mit Geschäftspartnern, Kunden und anderen<br />
Partnern ausgetauschte E-Mails als Papier aus und legen diese in den klassischen<br />
Aktenordner. Andere nutzen für die Aufbewahrung eine persönliche Ablagestruktur<br />
auf dem Dateisystem. Wiederum andere schieben die Mails in einen persönlichen<br />
Ordner im Mail- oder Groupware-System. Eine funktional rein auf E-Mail-<br />
Archivierung ausgerichtete Lösung kann solche Anforderungen an eine<br />
strukturierte Verwaltung von Mails nicht erfüllen. Falls nicht bereits vorhanden,<br />
sollte das Unternehmen hier über eine umfassendere Lösung zur Verwaltung von<br />
elektronischen Dokumenten inklusive E-Mails nachdenken.<br />
4.2.3 Unterschiedliche Lösungsansätze<br />
Die Entscheidung zur Archivierung von E-Mails kann auf unterschiedliche Art<br />
und Weise getroffen werden. Der systemgetriebene Ansatz dient einer zentral und<br />
regelbasierten Archivierung von ein- und ausgehenden oder auch intern ausge-<br />
webcode: 1769847 145
4. E-Mail<br />
tauschten E-Mails. Aus Unternehmenssicht besteht einerseits die höchstmögliche<br />
Sicherheit, dass alle über das Regelwerk klassifi zierten E-Mails auch wirklich abgelegt<br />
werden, andererseits ergeben sich keine oder nur stark eingeschränkte Möglichkeiten,<br />
diese Mails in individuelle Ablagestrukturen einzubinden. Das System<br />
entscheidet, welche Mails wie archiviert werden – eine Interaktion des Anwenders<br />
ist nicht notwendig oder gewünscht.<br />
Diese Funktionalität wird von vielen E-Mail-Archivprodukten unterstützt – allerdings<br />
in unterschiedlicher Ausprägung bezüglich Umfang und Möglichkeiten des<br />
Regelwerks, Schnittstellen zum Abgriff von E-Mails, mögliche Speichertechnologien<br />
usw. Sollte dieses Verfahren zum Einsatz kommen, ist der Abschluss einer<br />
Betriebsvereinbarung mit Regelung der privaten E-Mail-Nutzung ein Muss. Empfohlen<br />
wird hier das explizite Verbot privater Mails. Der anwendergesteuerte Ansatz<br />
basiert auf einer fachlich gesteuerten und durch den Mitarbeiter initiierten E-<br />
Mail-Archivierung. Der menschliche Verstand erlaubt die direkte Klassifi zierung<br />
in relevante und irrelevante E-Mails oder einzelner Anhänge. Wichtig aus Anwendersicht<br />
ist die Komfortstufe der dafür vorgesehenen Lösung – eine komfortable<br />
„Speichern unter“-Möglichkeit zur direkten Anlage von Mails oder deren Anhänge<br />
in den Kontext einer elektronischen Projekt-, Kunden-, Vertragsakte oder eine<br />
direkte Integration in eine Fachanwendung zur weiteren Sachbearbeitung sollte<br />
möglich sein. So kann etwa ein eingehender Vertragsentwurf im Fachbereich bereits<br />
im Kundenkontext dokumentiert und gleichzeitig an die Kollegen in der<br />
Rechtsabteilung zur Prüfung weitergeleitet werden.<br />
Diese Form der Mail-Speicherung ist typischerweise nur im Zusammenhang einer<br />
DMS-Lösung sinnvoll möglich – rein auf Mail-Archivierung fokussierte Produkte<br />
unterstützen solche Anwendungsszenarien nicht.<br />
4.2.4 Die richtigen Speicherformate<br />
Jeder Mail-Client stellt den Inhalt einer E-Mail unterschiedlich formatiert dar.<br />
Eine in Lotus Notes erzeugte und in MS Outlook angezeigte Mail (oder umgekehrt)<br />
verliert teilweise Zeilenumbrüche und andere Formatierungen. Es gibt keinen<br />
generellen Formatstandard zur Speicherung oder einen rechtlich begründeten<br />
Zwang zur Konvertierung von E-Mails vor der Archivierung. Die Optionen<br />
von Mail-Archiv-Lösungen reichen von der Speicherung systemspezifi scher Formate<br />
(beispielsweise msg bei MS Exchange) über den Internet-Standard RFC 2822<br />
bis hin zur Konvertierung in TIFF oder PDF/A.<br />
Zu beachten ist gegebenenfalls die in der GdPDU (Grundsätze der Prüfbarkeit digitaler<br />
Unterlagen) dokumentierte Anforderung des BMF (Bundesministerium<br />
für Finanzen) zur Speicherung aller steuerrelevanten Mails (Text und Anhänge)<br />
im Originalformat. Hintergrund ist dort die Möglichkeit einer maschinellen Auswertbarkeit<br />
im Prüfungsfall. Stolpersteine sind auch E-Mails oder Anhänge mit<br />
einer qualifi zierten elektronischen Signatur wie beispielsweise bei einem elektronischen<br />
Rechnungsaustausch. Hier muss zwingend das Originalformat bei der<br />
146 www.<strong>TecChannel</strong>.de
E-Mail-Archivierung: Anforderungen und Lösungen<br />
Archivierung gewahrt bleiben, da die Gültigkeit der Signatur sonst später nicht<br />
mehr nachvollziehbar ist. Das Mail-Archiv muss sowohl zusätzlich die Speicherung<br />
von Signaturen als auch deren Prüfung unterstützen. Konvertierungsprozesse<br />
sind manchmal sinnvoll (Ziel: einheitliches Format aller Dokumente) aber<br />
auch technisch komplex (vor allem aufgrund unterschiedlichster Quellformate).<br />
Was häufi g falsch verstanden wird: Dokumente, die sich bisher nicht für die TIFFoder<br />
PDF-Konvertierung geeignet haben – Excel-Tabellen beliebiger Breite mit<br />
Worksheets, Links, Makros und Formeln, MS-Project-Dateien mit unterschiedlichen<br />
Sichten auf die Ressourcen eines Projektes, Audio- und Videodateien lassen<br />
sich nicht ohne erheblichen Funktions- und vor allem Informationsverlust in<br />
TIFF oder PDF konvertieren. Daran ändert auch der ISO-Standard nichts.<br />
Grundregel: TIFF, PDF und PDF/A sind geeignet für Dokumente, die alle relevanten<br />
Informationen in dieser Druckansicht offenbaren. Für andere Dokumente<br />
und Unterlagen muss und darf man abwägen, ob nicht andere Formate besser geeignet<br />
sind. Die Empfehlung lautet für die Speicherung von E-Mails, eine Konvertierung<br />
möglichst zu vermeiden.<br />
4.2.5 Unterschiedliche Systemkonzepte und -funktionen<br />
Der Markt bietet aktuell drei unterschiedliche Systemkonzepte zur Mail-Archivierung<br />
an. Mail-Appliance-Produkte bestehen aus einer vorkonfi gurierten Kombination<br />
von Hard- und Software-Komponenten (inklusive Betriebssystem und Datenbank),<br />
um eine schnelle Inbetriebnahme (Plug & Play) zu ermöglichen. Alle<br />
Anwendungskomponenten laufen auf einem Server-System, weitere Komponenten<br />
sind nicht erforderlich. Die Ablage der archivierten E-Mails erfolgt typischerweise<br />
im File-System.<br />
Das Anwendungsprinzip lautet hier: Archivierung aller ein- und ausgehenden E-<br />
Mails außerhalb des eigentlichen Mail-Systems – typischerweise über die SMTP-<br />
Schnittstelle (Simple Message Transfer Protocol) – als (Sicherheits-)Kopie. Innerhalb<br />
des Mail-Systems ausgetauschte Nachrichten bleiben davon erst einmal<br />
unberührt, es sei denn, die Lösung kann auch zum Beispiel über die POP3-Schnittstelle<br />
das Journal eines Mail-Systems auslesen. Die Original-E-Mail wandert erst<br />
einmal weiter in das Mail-System und verbleibt dort bis zur Löschung durch den<br />
Anwender oder Administratoren. Ein späterer Zugriff auf archivierte Mails erfolgt<br />
ausschließlich über eine eigenständige Mail-Archiv-Client-Anwendung.<br />
Alternativ dazu gibt es funktional rein auf Mail-Archivierung ausgerichtete Software-basierte<br />
Lösungen. Die Anwendungsarchitektur ist in der Regel „einfach“<br />
aufgebaut, das heißt, alle Komponenten können auf einem Server (typischer Standard<br />
ist die MS-Windows-Plattform) installiert werden. Oft bestehen Optionen<br />
für den Einsatz unterschiedlicher Speichertechnologien inklusive WORM-Speicher.<br />
Neben der systemgetriebenen Journalarchivierung von Mails als Kopie können<br />
diese alternativ auch vollständig (beziehungsweise nur Anhänge) ausgelagert<br />
und durch einen Link im Mail-System ersetzt werden. Der Zugriff auf die Mail ist<br />
webcode: 1769847 147
4. E-Mail<br />
dann im Mail-Client per Doppelklick möglich. Alternativ gibt es Such- und Anzeigefunktionen<br />
über einen eigenständigen Mail-Archiv-Client, falls die Mail im<br />
Mail-System gelöscht wurde. Nur wenige Lösungen unterstützen mobile Clients,<br />
das heißt, ein Außendienstmitarbeiter kann seine persönlichen archivierten E-<br />
Mails auf dem Notebook mitnehmen und offl ine sichten.<br />
Übersicht der Lösungsansätze<br />
Die dritte Lösungsvariante besteht aus einem Anwendungsmodul zur E-Mail-Archivierung,<br />
welches eine DMS-Plattform zur Verwaltung und Speicherung der<br />
Mail-Objekte benutzt. Je nach Komplexität der zugrunde liegenden Systemarchitektur<br />
können auch mehrere Server (beispielsweise Application-Server, Datenbank-Server,<br />
Volltext-Server, Rendition-Server) erforderlich sein. Es bestehen<br />
große Unterschiede in Bezug auf unterstützte Mail-Systeme (MS Exchange ist<br />
Standard), verfügbare Schnittstellen (MAPI-Integration ist nicht immer Standard),<br />
Umfang des Regelwerks und weitere Faktoren.<br />
Im Gegensatz zu den beiden anderen Varianten wird alternativ oder in Kombination<br />
auch die anwendergesteuerte Ablage von E-Mails in individuelle Dokumentstrukturen<br />
über eine direkte Integration in die Mail-Clients unterstützt. Die<br />
folgende Übersichtstabelle zeigt die typischen Merkmale der dargestellten Lösungsansätze<br />
zur E-Mail-Archivierung im Vergleich:<br />
Ansätze zur E-Mail-Archivierung<br />
Mail-Appliance Mail-Archiv Mail-Archiv mit<br />
DMS-Option<br />
Hardware inkl. aller benötigtenInfrastruktur-Komponenten<br />
ja nein nein<br />
Speicherprinzip für Mails typisch: Kopie oft: Kopie oder Link oft: Kopie oder Link<br />
Formatkonvertierung Mails nein nein manchmal<br />
Verwaltung von „Nicht-Mail- nein typisch: nein, ja<br />
Dokumenten“<br />
manchmal als<br />
Dateispeicher<br />
nutzbar<br />
Offl ine-Nutzung (mobiler<br />
Client)<br />
Anpassbarkeit der Benutzeroberfl<br />
äche<br />
Zusätzlich benötigte Komponenten<br />
Optionen Speichertechnologie<br />
148 www.<strong>TecChannel</strong>.de<br />
nein manchmal manchmal<br />
typisch: nein typisch: nein hoch<br />
keine Server, Storage,<br />
ggf. Datenbank<br />
nein manchmal ja<br />
Server, Storage,<br />
DMS, Datenbank
E-Mail-Archivierung: Anforderungen und Lösungen<br />
4.2.6 Wichtige Anwendungsfunktionen im Mail-Client<br />
Jeder Anbieter hat eigene Vorstellungen und Philosophien über den Komfort und<br />
die Möglichkeiten, wie ein Anwender eine E-Mail in ein Mail-Archiv ablegen oder<br />
in eine elektronische Akte speichern kann – einen Standard gibt es nicht. Die Lösungen<br />
unterscheiden sich wesentlich in Anwendungsfunktionen. Dazu gehören<br />
beispielsweise. Möglichkeiten wie das Löschen archivierter Mails im Mail-System<br />
oder die Kennzeichnung von bereits archivierten E-Mails im Mail-Client, um gegebenenfalls<br />
eine Doppelarchivierung zu vermeiden.<br />
Bei der Wiederherstellung archivierter E-Mails im Mail-System gibt es ebenfalls<br />
große Unterschiede: Bei manchen Lösungen ist eine Wiederherstellung ausgeschlossen,<br />
andere unterstützen nur einen erneuten Versand der Mail in das Eingangspostfach<br />
des ursprünglichen Empfängers oder Absenders ungeachtet des<br />
Ordners, aus dem die Mail ursprünglich archiviert wurde. Wieder andere stellen<br />
die E-Mail wieder am ursprünglichen Speicherort im Mail-System zur Verfügung.<br />
Aus Anwendersicht wichtiger als das Speicherformat ist die Möglichkeit, dass bei<br />
der Ablage von Mails der logische Zusammenhang zwischen Mail-Body und Anhängen<br />
gewahrt bleiben kann (Beispiel: Rechnung und Aufwandübersicht als getrennte<br />
Anhänge in einer Mail). Nicht alle Mail-Archiv-Lösungen beherrschen<br />
„von Geburt an“ eine solche Funktionalität.<br />
Neben der Speicherung der nativen Mail- oder Dokument-Formate ist manchmal<br />
auch die Option einer Konvertierung (Drucken) in die Dateiformate TIFF oder<br />
PDF(/A) als Langzeitformat oder als parallele Formatversion wichtig. Dies kann<br />
bei einem fehlenden Multiformat-Viewer eine schnelle Anzeige von Mails beim<br />
Blättern in einer elektronischen Akte oder für bestimmte Anwendergruppen ohne<br />
Zugriffsberechtigung auf das Original unterstützen.<br />
4.2.7 Regeln zum Umgang mit E-Mails<br />
E-Mail-Kommunikation ist potenziell schnell und einfach zu handhaben, birgt<br />
aber gerade deswegen auch Gefahren von Manipulation und Sicherheitsrisiken.<br />
Sensible Unternehmensdaten können - absichtlich oder versehentlich - verschickt<br />
werden, geschäftskritische Mails können – absichtlich oder versehentlich – gelöscht<br />
oder nicht wieder auffi ndbar abgelegt werden. Die Dokumente liegen ja nur<br />
einen Klick weit weg. Eine wesentliche Ursache dafür ist, dass bei vielen Firmen<br />
der Umgang und die Nutzung von E-Mails nicht oder nur unzureichend geregelt<br />
ist. Solange keine klaren schriftlichen Vereinbarungen darüber existieren, was in<br />
der E-Mail-Kommunikation erwünscht, erlaubt und verboten ist, wird jeder Anwender<br />
subjektive Auslegungen und Vermutungen dazu anstellen.<br />
Mitarbeitern sollte auch die Wichtigkeit der Archivierung von E-Mails als Dokumente<br />
in einer strukturierten Ablage deutlich gemacht werden. Vor dem Hintergrund,<br />
dass Kommunikation mehr und mehr per E-Mail geführt wird, kann dies<br />
beispielsweise zur einzigen Dokumentation für Vertragsabschlüsse oder anderer<br />
webcode: 1769847 149
4. E-Mail<br />
Absprachen wie im Projektgeschäft werden. Für das Löschen von Mails muss es<br />
genauso Vorschriften geben wie für die Speicherung.<br />
Typische Themen einer Mail-Policy<br />
Kapitel Inhalte<br />
Zweckbestimmung • Ziel ist Unterstützung der Mitarbeiter durch Nutzung von Informationsund<br />
Kommunikationsdiensten sowie Gewährleistung des Datenschutzes<br />
Grundsätze der<br />
Nutzung<br />
Leistungs- und<br />
Verhaltenskontrolle<br />
Protokollierung von<br />
Daten<br />
Einsatz SicherheitssoftwareZugriffsberechtigungen<br />
Qualifi zierung von<br />
Mitarbeitern<br />
150 www.<strong>TecChannel</strong>.de<br />
• Primäre Nutzung für geschäftliche Zwecke<br />
• Grundsätzen der Nutzung (individuelle Ausprägung)<br />
• Corporate Identity<br />
• Verbot verleumderische, beleidigende, rassistische Inhalte<br />
• Verbot Versendung sensibler, vertraulicher oder gesetzlich geschützter<br />
Inhalte, Weiterleitung an unberechtigte Leser<br />
• Regeln zu Versand von Informationen (erlaubt/verboten)<br />
• Erlaubte und verbotene Formate<br />
• Regelung Abwesendheit und Vertretung<br />
• Einsatz Signatur und Verschlüsselung bei kritischen Mails<br />
• Ablageregeln für E-Mails mit fachlichem/internen Bezug<br />
• Behandlung eingehende verschlüsselte E-Mails<br />
• Limitierung Speicherraum für Mails<br />
• Keine Nutzung von Daten zur Kontrolle von Mitarbeitern, Verwendung<br />
nur durch zugriffsberechtigte Personen<br />
• Defi nition von Protokolldaten und Löschfristen (beispielsweise drei<br />
Monate)<br />
• Auswertung anonymisierter Daten für Statistiken, Kostenverrechnung<br />
• Sichtung von Protokolldaten durch Arbeitgeber unter Hinzuziehung von<br />
Betriebsrat bei Missbrauchsverdacht<br />
• Darstellung der Verwendung von Virenscanner, Spam-Filter<br />
• Zugriff im Vertretungs-/Krankheitsfalle<br />
• Aufstellung zugriffsberechtigter Personen<br />
• Schulung Systemadministratoren und Mitarbeiter in der Nutzung<br />
Rechte Betriebsrat • Kontrollmöglichkeit der Betriebsvereinbarung wie beispielsweise Sichtung<br />
der Räumlichkeiten, Konfi gurationen, Systemprotokolle usw.<br />
Sanktionen/Verstöße • Abgestuftes Verfahren bei Missbrauchsverdacht<br />
Fordert das Unternehmen eine solche Sorgfalt von den Mitarbeitern ein, muss es<br />
im Gegenzug auch die entsprechende technische Infrastruktur zum Beispiel in<br />
Form eines DMS bereitstellen, das neben E-Mails auch andere Dokumente wie<br />
Briefe, Faxe, Memos, etc. verwalten kann. Es empfi ehlt sich, in einer E-Mail-Policy
E-Mail-Archivierung: Anforderungen und Lösungen<br />
den gesamten Kommunikationsprozess zu defi nieren und den Angestellten klar zu<br />
machen, dass ein Verstoß gegen die Regeln geahndet wird. Die Tabelle auf der vorherigen<br />
Seite zeigt einige typischen Themenbereiche einer Mail-Policy.<br />
4.2.8 Fazit<br />
Eine reine Mail-Archivierung löst nicht die Compliance-Probleme oder Anforderungen<br />
zu Strukturierung elektronischer Dokumente eines Unternehmens. Die<br />
am Markt zahlreich angebotenen E-Mail-Archivierungslösungen weisen gravierende<br />
Unterschiede bezüglich Funktionalität, Architektur, Zukunftsfähigkeit und<br />
Integrationsfähigkeit in führende Anwendungssysteme auf. Dies gilt insbesondere<br />
für die Anwender-getriebenen Funktionen und Komfort für die Benutzer. Bei der<br />
Auswahl des geeigneten Produktes sollten zunächst alle Anforderungen des Unternehmens<br />
aus unterschiedlichen Bereichen bzgl. Ablage und Verwaltung von E-<br />
Mails analysiert und berücksichtigt werden. Der System-getriebene Ansatz verlangt<br />
immer nach einer klaren Regelung über den Umgang mit privaten E-Mails.<br />
Jobst Eckardt<br />
Jobst Eckardt hat einen Abschluss als Dipl. Ing. Technische Informatik und durch seine<br />
Tätigkeit bei international führenden Anbietern mehr als 17 Jahre Erfahrung bei der<br />
Konzeption und Einführung von ECM-Lösungen. Zuvor war er bei einem großen deutschen<br />
Anbieter in der Entwicklung und Beratung für Lösungen im Bankenumfeld tätig.<br />
Seit 2001 ist er Senior-Berater bei der Zöller & Partner GmbH<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
E-Mail-Archivierung: Anforderungen und Lösungen 1769847 S.144<br />
IT Security Management mit ITIL 1751293 –<br />
Datenschutzrecht: Neue Mindestanforderungen an Unternehmen 235113 –<br />
Das ungeliebte Kind E-Mail-Archivierung 576672 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1769847 151
4. E-Mail<br />
4.3 Compliance: Was es bei der Einführung<br />
von Regelwerken zu beachten gilt<br />
Die Frage der richtigen Umsetzung von Compliance-Richtlinien stellt sich großen<br />
wie mittelständischen Unternehmen gleichermaßen. Bei einer entsprechenden<br />
Richtlinieneinführung gilt es einige Aspekte zu beachten.<br />
Die vergangenen Skandale deutscher Großunternehmen haben die Debatte um<br />
die zuverlässige Einhaltung vorgeschriebener Compliance-Richtlinien wieder voll<br />
in Gang gebracht. Nachdem bereits in den USA Betrugsskandale zu scharfen Reglementierungen<br />
– Sarbanes-Oxley Act und Basel II – geführt haben, wird nun<br />
auch in Europa wieder verstärkt über die Einhaltung rechtlicher Vorschriften und<br />
die Selbstverpfl ichtung der Unternehmen diskutiert. Im Unternehmensbereich<br />
bedeutet Compliance die Sicherstellung und Überwachung der Einhaltung von<br />
gesetzlichen Vorgaben ebenso wie die Selbstverpfl ichtung der Unternehmen, eigene<br />
Regeln einzuhalten. Diese sind in vielen Fällen an die ethischen Leitfäden des<br />
Unternehmens gebunden und können auch von Anteilseignern oder dem Aufsichtsrat<br />
der Firma aufgestellt werden. Diese Regeln sollen den Missbrauch von<br />
vertraulichen Daten und daraus folgenden möglichen Schadensersatzklagen ebenso<br />
wie ein Imageschaden des Unternehmens abwehren.<br />
Die meisten Großunternehmen haben heute eigene Abteilungen und Compliance-Manager,<br />
die die Einhaltung aller Vorgaben überwachen. So viel zu den theoretischen<br />
Grundlagen der Compliance. Dass Konzerne solche Selbstverpfl ichtungen<br />
zwar eingegangen sind, sie aber zum Teil nicht eingehalten haben, zeigten<br />
vor allem die Bilanzskandale der amerikanischen Großunternehmen Enron und<br />
Worldcom vor einigen Jahren.<br />
Hier reagierte die US-Justiz 2002 mit dem Sarbanes-Oxley Act, der die verlässliche<br />
und wahrheitsgetreue Berichterstattung der Unternehmen garantieren sollte und<br />
die Strafvorschriften für Vergehen wesentlich verschärfte. CEOs und CFOs haften<br />
seit Inkrafttreten persönlich für fehlerhafte oder geschönte Bilanzen. Ziel dieser<br />
Verordnungen ist es, das Vertrauen der Anleger und der Öffentlichkeit in die<br />
Richtigkeit der veröffentlichten Finanzdaten zu stärken.<br />
4.3.1 Anforderungen<br />
Auch in Europa wurden Finanzunternehmen in den letzten Jahren mit juristischen<br />
Mitteln verstärkt unter Druck gesetzt. Das Mammut-Regelwerk Basel II gilt seit<br />
2007 für alle Kreditinstitute und Finanzdienstleister. Basel II setzt neben einer<br />
Mindestanforderung an Eigenkapital auf den bankenaufsichtlichen Überwachungsprozess<br />
und eine Erweiterung der Offenlegung. Bei der Erfassung von Risiken<br />
muss dabei auch das operative Risiko der Banken durch interne Verfahren,<br />
Mitarbeiter, Systeme oder bankinterne Ereignisse einbezogen werden.<br />
152 www.<strong>TecChannel</strong>.de
Compliance: Was es bei der Einführung von Regelwerken zu beachten gilt<br />
Weltweit gibt es immerhin mehr als 10.000 Compliance-Vorschriften, von denen<br />
viele von weltweit operierenden Unternehmen beachtet werden müssen. Trotz<br />
der verschärften Bestimmungen haben erneute Datenskandale und Schmiergeldaffären<br />
bei renommierten deutschen Unternehmen das Image und die Glaubwürdigkeit<br />
dieser stark geschädigt. Aus diesem Grund ist es nicht verwunderlich,<br />
dass damit einhergehend auch die Diskussion um zuverlässige Compliance-Lösungen<br />
neu entfl ammt ist.<br />
Die Frage der richtigen Umsetzung stellt sich großen wie mittelständischen Unternehmen<br />
gleichermaßen. Während Großunternehmen über ganze Compliance-<br />
Abteilungen verfügen, ist bei Mittelständlern oft der Geschäftsführer selbst für die<br />
Einhaltung bestimmter Verhaltenskodizes verantwortlich. Doch gleich, wie viele<br />
Mitarbeiter und Abteilungen das Unternehmen umfasst – Prozesse und Informationen<br />
müssen für alle Beteiligten transparent sein.<br />
Ebenso muss eine zuverlässige Archivierung der Daten garantiert werden und dies<br />
alles unter Berücksichtigung der aktuellsten, höchstmöglichen Sicherheitsstandards.<br />
Um diese Vorgaben zu erfüllen, gilt es einige grundsätzliche Aspekte zu beachten:<br />
Zunächst muss in allen Bereichen des Unternehmens eine gezielte Analyse<br />
der möglichen Risiken durchgeführt werden. Durch ein solches systematisches Risikomanagement<br />
können eventuelle Gefahrenpotenziale von vorneherein entdeckt<br />
und gegebenenfalls eliminiert werden.<br />
4.3.2 Verantwortlichkeiten<br />
Es ist darauf zu achten, dass interne Richtlinien in einer Weise formuliert und vorgegeben<br />
werden, die es realistisch möglich machen, diese auch zu befolgen. Ein<br />
weiterer wichtiger Aspekt bei der Initiierung eines Compliance-Programms ist die<br />
Frage der Verantwortlichkeiten. Um spätere Missverständnisse und unnötige Diskussionen<br />
zu vermeiden, sollte daher zu Beginn entschieden werden, welche Bereiche<br />
genau welchem Mitarbeiter unterstehen.<br />
Dazu gehört es natürlich auch, den Mitarbeitern einen geeigneten Ansprechpartner<br />
im Falle einer Beschwerde zur Verfügung zu stellen. Beim sogenannten „whistleblowing“<br />
nutzen viele große Unternehmen mittlerweile externe Dienstleister,<br />
die über spezielle Internetseiten oder Hotlines, Informationen und Hinweise der<br />
Mitarbeiter über Verstöße sammeln und beurteilen. Die Seiten informieren die<br />
Mitarbeiter ebenfalls darüber, in welchen Fällen eine offi zielle Beschwerde angemessen<br />
ist, wie sie sich verhalten sollen und welche Risiken damit einhergehen<br />
können. Wobei man den englischen Rechtsbegriff des „whistleblowing“ nicht mit<br />
dem umgangssprachlich abwertenden „jemanden verpfeifen“ übersetzen darf.<br />
Hier geht es vielmehr um eine Person, die aus Gewissensgründen und meist selbstlos<br />
Informationen weitergibt. Oft setzt sie damit die eigene soziale und berufl iche<br />
Stellung aufs Spiel. In Großbritannien und den USA gibt es bereits Gesetzgebungen<br />
die „Whistleblower“ schützen.<br />
webcode: 1768489 153
4. E-Mail<br />
Eine weitere organisatorische Maßnahme ist die Errichtung von „Chinese Walls“.<br />
Sie zielt auf die räumliche Trennung von kritischen Geschäftsbereichen und deren<br />
Mitarbeitern von anderen Abteilungen ab, sodass sensible Daten nicht Bestandteil<br />
des allgemeinen Büroklatsches werden.<br />
4.3.3 Lückenlose Dokumentation<br />
Neben dem Erkennen organisatorischer Risiken ist die oberste und wichtigste<br />
Vorgabe, um Compliance-Verstöße zu verhindern, eine lückenlose Dokumentation<br />
aller Prozesse und Vorgänge. Sie ist nicht nur bei der Aufdeckung von Unregelmäßigkeiten<br />
extrem wichtig – die aktuellen Bestimmungen fordern Transparenz<br />
in allen Bereichen. Vor allem die IT-Abteilungen von Banken und Finanzdienstleistern<br />
stehen hier vor einer besonderen Herausforderung. Für sie bedeutet die<br />
Flut von Vorschriften eine zunehmende restriktive Belastung.<br />
IT-Verantwortliche in deutschen Unternehmen unterliegen einem wachsenden<br />
Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen<br />
Kodizes. Die im Juni 2008 in Kraft getretene EuroSOX-Regelung, die sich an die<br />
US-amerikanischen Gesetze anlehnt, wird diese Entwicklung noch weiter verschärfen.<br />
Geregelt wird durch das Gesetz der Europäischen Kommission vor allem<br />
die Verwaltung von Dokumenten, insbesondere interne und externe Verträge<br />
ebenso wie eine revisionssichere Archivierung. IT-gestützte Compliance-Systeme<br />
sollten im Idealfall im Hintergrund agieren, also automatisierte Prozesse darstellen,<br />
die von den Mitarbeitern nicht zusätzlich beachtet oder bearbeitet werden<br />
müssen. Im Falle der Archivierung hieße dies beispielsweise, dass Protokolle oder<br />
Dokumente automatisch vom System archiviert und entsprechend abgelegt werden,<br />
ohne eines weiteren Handlungsschritts der Bearbeiter zu bedürfen.<br />
Bei der Implementierung heißt es jedoch, Vorsicht walten lassen. Es sollte seitens<br />
der IT-Abteilung darauf geachtet werden, dass nicht wahllos archiviert wird. Speicherplatz<br />
ist zwar ein billiges Gut, doch das Prinzip „store everything, manage<br />
nothing“ kann im Bedarfsfall die Suche nach den richtigen Dokumenten fast unmöglich<br />
machen. Müssen Dokumente gar im Zuge eines Gerichtsverfahrens vorgelegt<br />
werden, können die Konsequenzen gravierend sein. Eine klare Strukturierung<br />
und Priorisierung der Daten sollte daher die Basis jedes IT-gestützten<br />
Compliance-Programms sein.<br />
4.3.4 Fazit<br />
Für viele Finanzdienstleister stehen die Compliance-Vorgaben in direktem Widerspruch<br />
zum wirtschaftlichen Erfolg und der Notwendigkeit, offensiv neue Geschäftsbereiche<br />
zu erschließen. Hinzu kommt, dass viele der Kernbankensysteme<br />
im Vergleich zur heutigen Entwicklung der IT veraltet und schwerfällig sind. Eine<br />
komplett neue IT-gestützte Struktur wäre für einen Großteil der Finanzdienstlei-<br />
154 www.<strong>TecChannel</strong>.de
Compliance: Was es bei der Einführung von Regelwerken zu beachten gilt<br />
ster enorm kostenaufwendig und ein zu hohes Risiko. So wird in den meisten Fällen<br />
die notwendige Compliance-Struktur um das bestehende System herumgebaut.<br />
Oft bringt dies zusätzliche technische Probleme mit sich, da eine reibungslose<br />
Zusammenführung unterschiedlicher IT-Strukturen eine enorme technische Herausforderung<br />
darstellt.<br />
Eine wirkliche Lösung für dieses heikle Dilemma scheint es nur bedingt zu geben.<br />
Sie ist eine Frage der Einstellung. Immer mehr Unternehmen beginnen die Compliance-Frage<br />
und den IT-Rattenschwanz, den das Ganze nach sich zieht, als Chance<br />
zur Umstrukturierung zu betrachten und in diesem Zusammenhang veraltete<br />
Systeme abzubauen und das Potenzial neuer Synergien und Geschäftsbereiche zu<br />
erforschen. IT-gestützte Prozesse haben in den letzten Jahren bereits zu einer massiven<br />
Steigerung der Effi zienz geführt. Warum also diese Möglichkeiten nicht im<br />
Zuge eines neu implementierten Compliance-Programms nutzen?<br />
Eine Herausforderung ist dies ohne Zweifel, und sie erfordert Entscheider mit Visionen<br />
und Mut zum Risiko. Doch ob Vorstand oder Geschäftsführung diesen<br />
Schritt wagt oder nicht, die Compliance-Thematik wird in jedem Falle nicht ignoriert<br />
werden können. Sinnvoll ist es hier, den Medien-Hype um Regelberge und<br />
bestehende Unternehmensskandale zu relativieren und eine individuelle Lösung<br />
zu fi nden, die sich an die Struktur und Mitarbeiter des eigenen Unternehmens anpassen<br />
kann.<br />
Dr. Helfried Pirker<br />
Dr. Helfried Pirker ist Business Unit Manager beim Beratungshaus Benmark. Der<br />
promovierte Informatiker betreut seit mehr als acht Jahren Projekte zur Implementierung<br />
von Enterprise Content Management Systemen, vor allem im Umfeld von Banken,<br />
Medien- und Telekommunikationsunternehmen.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Compliance: Die Einführung von Regelwerken 1768489 S.152<br />
Kostenlose Ratgeber: Digitale Langzeitarchivierung 1760031 –<br />
Datenschutzrecht: Neue Mindestanforderungen an Unternehmen 235113 –<br />
IT Security Management mit ITIL 1751293 –<br />
Das ungeliebte Kind E-Mail-Archivierung 576672 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1768489 155
4. E-Mail<br />
4.4 BlackBerry Unite: Kostenloser<br />
BlackBerry-Server im Test<br />
Seit einiger Zeit versucht RIM, mit seinen BlackBerry-Diensten und -Endgeräten<br />
auch kleinere Firmen und Privatkunden zu erreichen. Dabei soll auch BlackBerry<br />
Unite helfen. Diese abgespeckte Version des BlackBerry Enterprise Servers ( BES)<br />
stellt RIM kostenlos bereit. Damit können bis zu fünf BlackBerrys verwaltet, mit<br />
Push-Mail versorgt und Termine synchronisiert werden. Wir haben die neue Version<br />
des BlackBerry Enterprise Servers (BES) von RIM einem Test unterzogen.<br />
BlackBerry Unite: Abgespeckter BlackBerry Enterprise Server für kleine Unternehmen.<br />
Unite passt gut in dieses neue Konzept von RIM. Die Software ist sowohl in der<br />
Benutzerzahl als auch in den Features begrenzt, BES-User werden also wahrscheinlich<br />
nicht zurückwechseln. Interessant ist es dagegen für kleinere Firmen,<br />
die zwar einen BlackBerry einsetzen möchten, bei denen die Zusatzkosten für den<br />
BES aber nicht die erhofften Vorteile aufwiegen.<br />
Für unseren Test verwendeten wir Unite (http://na.blackberry.com/eng/services/<br />
blackberryunite/) in einer virtuellen Maschine, als Betriebssystem kam ein frisch<br />
installiertes Windows XP zum Einsatz. Mit dem Server verbunden war der neue<br />
BlackBerry Bold (Webcode 1770365). Verifi ziert haben wir die Funktionen mit<br />
einem BlackBerry Pearl 8110 (Webcode 1748088).<br />
4.4.1 Was kann BlackBerry Unite?<br />
Wichtigstes Feature von Unite ist natürlich die Push-Mail-Fähigkeit. Unite-Admins<br />
können pro Benutzerkonto bis zu fünf IMAP- oder POP3-Konten einrichten.<br />
Direkte Verbindungen zu Exchange oder Notes-Umgebungen sind dabei allerdings<br />
tabu, das bleibt dem „großen“ BlackBerry Enterprise Server vorbehalten.<br />
Zusätzlich gibt es noch freigegebene Kontakte und Termine. Wird ein Benutzer<br />
oder ein Termin geändert oder aktualisiert, erhalten alle angeschlossenen Black-<br />
Berrys das Update zu diesem Eintrag. Weiterhin lässt sich ein zentrales Verzeichnis<br />
festlegen. Dateien, die in diesem Verzeichnis liegen, werden anschließend auf<br />
156 www.<strong>TecChannel</strong>.de
BlackBerry Unite: Kostenloser BlackBerry-Server im Test<br />
die BlackBerrys übertragen. Allerdings gilt das nur, wenn das Endgerät über<br />
WLAN verfügt und sich im selben <strong>Netzwerk</strong> wie der Unite-Server befi ndet oder<br />
per USB an den Server angeschlossen wird. Eine weitere wichtige Funktion von<br />
Unite ist die Verwaltung von Endgeräten. Hier lassen sich Funktionen einschränken<br />
oder deaktivieren, außerdem kann der Administrator Geräte remote über die<br />
Luftschnittstelle löschen und Passwörter zurücksetzen oder neu vergeben.<br />
Systemvoraussetzungen<br />
Bei den Systemvoraussetzungen zeigt sich Unite deutlich unfl exibler als der BES.<br />
Das System benötigt Vista oder Windows XP, arbeitet aber nur unter 32-Bit-Betriebssystemen.<br />
Zusätzlich empfi ehlt RIM einen 800-MHz-Prozessor, 512 MByte<br />
RAM sowie mindestens zwei GByte Speicherplatz auf der Festplatte. Hier zeigt<br />
sich, dass Unite derzeit eigentlich nicht für den 24/7-Businessbetrieb ausgelegt ist.<br />
Warum RIM keinen Linux-Client zur Verfügung stellt ist nicht bekannt.<br />
Die notwendige Software sowie Readme-Dateien fi nden Sie hier bei RIM (http://<br />
na.blackberry.com/eng/services/blackberryunite/). Die Installation läuft erfreulich<br />
problemlos, ein Doppelklick auf die Exe startet den unter Windows bekannten<br />
Installationsassistenten, der durch den kompletten Vorgang führt. Anschließend<br />
ist Unite einsatzbereit. Sollten nach der Installation neue Updates verfügbar sein,<br />
lädt sich Unite diese automatisch herunter und pfl egt sie ein. Als Endgerät benötigen<br />
Sie einen BlackBerry, auf dem mindestens die Firmware 4.0 oder höher installiert<br />
ist. Zudem muss ihre Mobilfunkkarte über eine BlackBerry-Option verfügen.<br />
4.4.2 Push-Mail einrichten und nutzen<br />
RIM hat sich beim Webinterface alle Mühe gegeben, um die Konfi guration so einfach<br />
wie möglich zu halten. Das ist gut geglückt, die einzelnen Punkte sind gut erklärt.<br />
Bevor E-Mails auf Endgeräte gepusht werden, muss der BlackBerry mit<br />
einem Nutzer verbunden werden.<br />
Initialisierung: Der BlackBerry Bold wird an Unite<br />
angemeldet.<br />
Dazu wird das Smartphone per USB am Unite-Server angeschlossen. Ist das Endgerät<br />
verbunden, können Sie einen neuen User anlegen oder den BlackBerry einem<br />
bestehenden Benutzer zuweisen.<br />
webcode: 1772351 157
4. E-Mail<br />
Sobald das geschehen ist, kann man das Konto des Users anpassen. In diesem<br />
Kontrollzentrum können Sie bis zu fünf E-Mail-Konten eintragen, von denen<br />
Unite die Post abholt und auf den BlackBerry weiterleitet. Wie bereits beschrieben<br />
werden hier nur IMAP und POP3 unterstützt. Über diesen Umweg lassen sich<br />
zwar auch die E-Mails von Exchange- oder Domino-Systemen abfragen, allerdings<br />
gehen so natürlich diverse Funktionen verloren, beispielsweise eine Gelesen-Markierung.<br />
Auch Kontakte oder Termine werden nicht übertragen.<br />
4.4.3 Termine, Kontakte und Daten synchronisieren<br />
Neben den Push-Mail-Diensten kann Unite auch gemeinsame Termine und Kontakte<br />
abgleichen. Allerdings merkt man ganz klar, dass hier die Anbindung an eine<br />
Groupware fehlt. Für den Abgleich sind nur Termine und Kontakte vorgesehen,<br />
die über das Webinterface von Unite eingegeben werden. Diese synchronisiert<br />
Unite dann automatisch mit allen angeschlossenen BlackBerrys. Zusätzlich lassen<br />
sich auch Dateien automatisch auf die Endgeräte übertragen. Dazu wird für jedes<br />
Gerät ein Ordner auf dem Unite-Server eingetragen. Sobald Sie nun Dokumente,<br />
Bilder oder andere Dateien in diesem Ordner ablegen, kopiert sie Unite automatisch<br />
auf die Geräte. Das erfolgt dann allerdings nicht über das UMTS-, GPRS oder<br />
EDGE-<strong>Netzwerk</strong>, sondern nur, wenn der BlackBerry per USB am Unite-Server<br />
angeschlossen ist oder sich via WLAN im gleichen <strong>Netzwerk</strong> befi ndet.<br />
4.4.4 Geräteverwaltung<br />
Einer der wichtigsten Punkte beim Einsatz von Smartphones ist die Verwaltbarkeit.<br />
Das bedeutet, dass sich Firmen-Policies durchsetzen lassen müssen, zum anderen<br />
muss es die Möglichkeit einer Remote-Löschung geben, falls das Handy gestohlen<br />
wird oder verloren geht. Beide Fälle kann Unite rudimentär abdecken.<br />
Geregelt werden diese Details über den Punkt „Geräteverwaltung“.<br />
Ersthelfer: Verlorene Geräte lassen sich aus der Ferne deaktiveren und damit löschen.<br />
158 www.<strong>TecChannel</strong>.de
BlackBerry Unite: Kostenloser BlackBerry-Server im Test<br />
Der Punkt „Verwalten von Diensten“ dient zur Konfi guration einfacher Policies.<br />
Diese müssen für jedes Benutzerkonto separat angelegt werden. Hier richten Sie<br />
beispielsweise ein, ob der Browser die Seiten über den Unite-Server abruft oder<br />
dafür den BlackBerry Internet Service der jeweiligen Provider. Zusätzlich können<br />
Sie weitere Einschränkungen in den Funktionen vornehmen. Beispielsweise lässt<br />
sich der mobile Internetzugang komplett verbieten oder per Black- und Whitelist<br />
einschränken. Auch die Übertragung von Dateien oder Anhängen ist blockierbar.<br />
Ebenfalls wichtig ist der Punkt „Mobile erste Hilfe“. Hier legen Sie beispielsweise<br />
die Kennwörter der BlackBerrys fest oder tauschen sie aus. Zudem kann man hier<br />
die Informationen des Besitzers eintragen. Wird das Smartphone gestohlen oder<br />
geht es verloren, ist der Punkt „Deaktivieren Sie Ihr BlackBerry-Gerät“ wichtig.<br />
Dieser Befehl löscht Geräte über das Providernetz.<br />
4.4.5 Fazit: Ausreichend für Kleinstumgebungen<br />
Unite ist defi nitiv kein Ersatz für einen „großen“ BlackBerry Enterprise Sever.<br />
Aber der Dienst ist eine gute Ergänzung für kleinere Firmen, die den BlackBerry<br />
Internet Service der Mobilfunkprovider nutzen. Unite schafft hier einen deutlichen<br />
Mehrwert, da sich Geräteeinstellungen und E-Mail-Informationen zentral<br />
innerhalb der Firma verwalten lassen. Dazu kommen Sicherheitsfunktionen wie<br />
Remote Wipe sowie die Möglichkeit, einzelne Gerätefunktionen anzupassen beziehungsweise<br />
zu deaktivieren.<br />
Unite hat aber auch einen großen Nachteil: Ohne ein ständig laufendes Windows<br />
XP oder Vista lässt sich der Dienst nicht nutzen. Linux wird nicht unterstützt, ob<br />
und wann sich das ändern wird, steht nicht fest. In der ersten Ausbaustufe versteht<br />
sich Unite nur mit echten BlackBerrys. Geräte mit BlackBerry-Connect-Client lassen<br />
sich derzeit noch nicht anschließen. Auf Nachfrage erklärt RIM, dass dieses<br />
Feature eventuell für künftige Updates der Software geplant ist, genaue Termine<br />
gibt es aber nicht. Alles in allem lässt sich sagen: Für eine kostenlose Software ist<br />
Unite bereits sehr ausgereift und auch für BlackBerry-Neulinge leicht zu administrieren.<br />
Durch die Begrenzung der User und der Features gräbt sich RIM auch<br />
nicht das Wasser ab, sondern schafft eher mehr Aufmerksamkeit für den BES. Wer<br />
mit dem Gedanken spielt, einzelne Nutzer in der Firma mit BlackBerrys auszustatten,<br />
sollte sich Unite in jedem Fall ansehen.<br />
Moritz Jäger<br />
Moritz Jäger arbeitet als Redakteur im Software-Ressort bei <strong>TecChannel</strong>. Neben<br />
Themen rund um Open-Source, Virtualisierung und Sicherheit liegt sein Fokus auf<br />
Anwendungen, Lösungen und Tools für die mobile Arbeitswelt. Egal ob Push-Mail,<br />
Übertragungstechnologien, USB-Anwendungen oder Endgeräte und deren Absicherung<br />
- Jäger verlässt sich nicht auf die Herstellerangaben, sondern stellt die Testobjekte im<br />
praktischen Einsatz auf die Probe.<br />
webcode: 1772351 159
4. E-Mail<br />
4.5 SCMDM: Microsofts Alternative<br />
zu BlackBerry<br />
Microsoft schließt mit dem SCMDM (S ystems Center Mobile Device Manager)<br />
die Lücke zwischen seiner Server-Software und mobilen Endgeräten. Mit dem<br />
Verwaltungs-Tool SCMDM will der Konzern der Konkurrenz von RIM und Nokia<br />
das Wasser abgraben. <strong>TecChannel</strong> wirft einen ersten Blick auf den SCMDM..<br />
Mobile Geräte werden immer wichtiger und enthalten immer mehr sensible Daten.<br />
Dementsprechend sollten sie fest in die Sicherheitsinfrastruktur einer Firma<br />
eingebunden werden. Lösungen gibt es dafür bereits zahlreiche auf dem Markt,<br />
Firmen wie RIM haben unter anderem darauf einen ganzen Weltmarkt errichtet.<br />
Mit dem Wortungetüm Systems Center Mobile Device Manager 2008 will nun<br />
auch Microsoft selbst in die Verwaltung von mobilen Geräten einsteigen.<br />
Das Besondere daran: Der SCMDM integriert mobile Geräte wie PDAs und Smartphones<br />
direkt in das Active Directory. Administratoren müssen also nicht umlernen,<br />
sondern können wie gewohnt ihre Nutzer verwalten.<br />
4.5.1 Was kann der SCMDM?<br />
Die Features des Systems Center Mobile Device Manager können sich durchaus<br />
sehen lassen: Für Handys und PDAs gibt es kein eigenes Schema, sie sehen aus und<br />
verhalten sich wie normale Workstations oder Server. Der Administrator kann<br />
Gruppenrichtlinien erlassen, Features wie die Kamera deaktiveren oder Einstellungen<br />
und Updates verteilen.<br />
4.5.2 Der Ablauf<br />
Bilder sind deutlich aussagekräftiger als der reine Text, daher begleiten wir die<br />
Funktionen des SCMDM mit einer Reihe an Screenshots und Fotos. Wie bereits<br />
erwähnt klinkt sich der SCMDM nach der Installation direkt in das Active Directory<br />
der Firma ein.<br />
Auswahl: Nutzer können Sie neu anlegen oder direkt aus dem Active Directory importieren.<br />
160 www.<strong>TecChannel</strong>.de
SCMDM: Microsofts Alternative zu BlackBerry<br />
Für den korrekten Ablauf muss das Endgerät „richtig“ im Internet sein. Da der<br />
SCMDM eine VPN-Verbindung zwischen Endgerät und Server aufbaut, müssen<br />
außerdem diverse Ports freigegeben sein; laut Microsoft benötigt die Software die<br />
Ports 500, 4500 und 4901.<br />
4.5.3 Account vorbereiten und Gerät einbinden<br />
Bevor sich ein neues Gerät in die Umgebungsstruktur eingliedern lässt, muss einiges<br />
an Vorbereitung erledigt werden. Notwendige Informationen sind beispielsweise<br />
die E-Mail-Adresse, das Passwort für den Enrollment-Prozess oder die Nutzerdaten<br />
ganz allgemein. Dabei hilft der sogenannte „ Pre-Enrollment Wizard“. Der<br />
Assistent führt in fünf Schritten durch die Vorbereitung.<br />
Gut vorbereitet: Der Pre-Enrollment-Wizard führt durch die Vorbereitungen und legt Grunddaten fest.<br />
Hat der Assistent seine Arbeit erledigt, wechselt die Arbeit vom Server auf das Gerät<br />
über. In Windows Mobile 6.1 gibt es dafür in den Einstellungen einen neuen<br />
Punkt namens „Domain Enroll“. Klickt der Nutzer auf den Button, startet der<br />
Prozess auf dem Endgerät. Dazu ist zunächst die Eingabe der E-Mail-Adresse notwendig.<br />
Das Smartphone verbindet sich im Anschluss mit dem jeweiligen Server<br />
und sucht die Enrollment-Einstellungen auf dem Server. Werden diese gefunden,<br />
fragt das Smartphone das zuvor vergebene Enrollment-Passwort ab. Ist dies richtig<br />
eingegeben, wird das Gerät in die Domäne aufgenommen und eingebunden.<br />
webcode: 1758436 161
4. E-Mail<br />
War das Einbinden erfolgreich, verlangt Windows Mobile einen Neustart. Anschließend<br />
greifen bereits die ersten Maßnahmen. So baut das Device etwa einen<br />
VPN-Tunnel zum Server auf und signalisiert im Home-Bildschirm mit einem<br />
Logo, dass die Verbindung aktiv ist.<br />
4.5.4 Policies ausrollen<br />
162 www.<strong>TecChannel</strong>.de<br />
Erfolg: Nach dem Neustart ist die<br />
VPN-Verbindung aktiv, wie das neue<br />
Logo in der obersten Leiste neben der<br />
Signalstärke zeigt.<br />
Eine der ersten Sicherheitsmaßnahmen ist, das Gerät mit einem Passwort zu<br />
schützen. Ist diese Richtlinie aktiv, wird der Benutzer nach dem ersten Neustart<br />
gezwungen, ein neues Passwort zu vergeben.<br />
Zugangskontrolle: Passwörter sorgen<br />
für mehr Sicherheit.<br />
Ansonsten liefert Microsoft bereits eine Reihe von Policies mit. Mit dabei ist beispielsweise<br />
die Möglichkeit, die integrierte Kamera zu deaktivieren – auch zeitgesteuert.<br />
Nahezu jede Funktion kann der Administrator erlauben oder deaktivieren,<br />
die Smartphones lassen sich also in gewisser Weise „abhärten“.
SCMDM: Microsofts Alternative zu BlackBerry<br />
Daneben kann der Administrator aber auch wie bei Desktop-Systemen Konfi gurationen<br />
auf die Geräte bringen. Das beginnt beim Einrichten von E-Mail-Konten<br />
und geht bis hin zu speziellen Bluetooth-Einstellungen. So ist es beispielsweise<br />
möglich, die Pairing-Codes von Freisprecheinrichtungen bereits von Beginn an in<br />
dem Gerät zu verankern. Dazu kommt hier eine weitere Besonderheit von Windows<br />
Mobile 6.1. Denn laut Microsoft testet das Betriebssystem bei einem<br />
Bluetooth-Pairing-Vorgang die bekanntesten Standard-Pairing-Codes, um automatisch<br />
eine Verbindung mit der Gegenstelle herzustellen.<br />
Bluetooth: Sie können festlegen, wie und womit das Gerät Verbindung aufnehmen darf.<br />
Sind die mitgelieferten Richtlinien nicht ausreichend, können Admins auch eigene<br />
Policies schreiben. Praktisches Beispiel: Zwar wird eine Richtlinie mitgeliefert,<br />
die Speicherkarten zwingend verschlüsselt, will man externen Speicher aber komplett<br />
verbieten, ist das nur per Handarbeit zu erreichen.<br />
4.5.5 Verteilen von Software<br />
Weitere Anwendungsbereiche für den Systems Center Mobile Device Manager<br />
sind das Deployment und die Wartung von Software. Die mobilen Geräte lassen<br />
sich über das System remote und „over the air“ mit neuen Programmen bestücken.<br />
Ebenso ist es möglich, Updates oder Upgrades fl ächendeckend auszurollen.<br />
Wie meistens bei Microsoft läuft auch die Software-Verteilung über einen Assistenten.<br />
Der Software-Wizard legt dabei die Voraussetzungen für einzelne Pakete<br />
fest. So macht es beispielsweise keinen Sinn, eine Touchscreen-gesteuerte Anwendung<br />
auf einem normalen Windows-Mobile-Telefon zu installieren.<br />
webcode: 1758436 163
4. E-Mail<br />
Anpassung: Bestimmte Software setzt bestimmte Endgeräte voraus.<br />
Einige Anwendungen erfordern zudem bestimmte bereits installierte Tools oder<br />
spezielle Registry-Keys. Über den Assistenten kann man diese Abhängigkeiten auflösen<br />
und die Anwendungen in einem Rutsch installieren. Zuletzt kann man festlegen,<br />
in welchen Sprachvarianten die Software auf dem Endgerät landet und ob es<br />
dem User erlaubt ist, die Software zu deinstallieren. Ist so ein Paket erstellt, kann<br />
man es anschließend an komplette Gruppen oder einzelne Geräte verschicken. Die<br />
Endgeräte laden sich anschließend die benötigten Programme und Informationen<br />
nach und richten das Paket ein – ohne Zutun des Nutzers.<br />
4.5.6 Voraussetzungen: Was geht – und was nicht?<br />
Bevor nun jemand den Untergang von BlackBerry und Konsorten beschwört,<br />
muss man über die Vorraussetzungen des Systems Center Mobile Device Manager<br />
Bescheid wissen. Da zeigt sich nämlich, dass Microsoft in erster Linie für die Zukunft<br />
plant; die Gegenwart oder nahe Vergangenheit interessieren nicht.<br />
Zunächst zu den Endgeräten. Auf diesen muss zwingend Windows Mobile in der<br />
Version 6.1 laufen. Denn das Gerät muss den Microsoft-proprietären VPN-Client<br />
einsetzen können, außerdem müssen einige Voraussetzungen für das erste Ausrollen<br />
der Policies gegeben sein. Die ersten Geräte mit Windows Mobile 6.1 sollen<br />
im Laufe dieses Jahres ausgeliefert werden. Ältere Smartphones erhalten unter<br />
Umständen ein Update, wann und ob diese erfolgen, liegt aber in der Hand der<br />
Hersteller. Geräte ohne Windows Mobile 6.1 könnten zwar theoretisch unterstützt<br />
werden, darum müssen sich dann laut Microsoft aber Dritthersteller kümmern.<br />
Auf der Server-Seite ist der SCMDM ebenfall anspruchsvoll. Mindestens<br />
ein Server 2003 64-Bit muss vorhanden sein. Zusätzlich sind SQL Server 2005, Active<br />
Directory und Microsoft CA erforderlich.<br />
164 www.<strong>TecChannel</strong>.de
4.5.7 Fazit: Interessanter Ansatz für aktuelle<br />
Microsoft-only-Umgebungen<br />
SCMDM: Microsofts Alternative zu BlackBerry<br />
Wer in seiner Infrastruktur nur Microsoft-Produkte einsetzt, für den ist der Systems<br />
Center Mobile Device Manager eine praktische und einfache Möglichkeit,<br />
mobile Endgeräte einzubinden. Die direkte Integration in Active-Directory verringert<br />
die Lernkurve, wer täglich mit Nutzern arbeitet, der sollte sich schnell zurechtfi<br />
nden. Kombiniert man den SCMDM mit den Push-Mail-Fähigkeiten<br />
aktueller Exchange-Installationen, erhält man einen kompletten Klon der Black-<br />
Berry- oder IntelliSync-Funktionen.<br />
Anders sieht es dagegen in heterogenen Umgebungen aus. Zumindest derzeit interessiert<br />
es Microsoft anscheinend nicht, dass nicht jede Firma auf Windows Mobile<br />
setzt. Anstatt hier die Chance zu nutzen und ein offenes Protokoll mit passenden<br />
Schnittstellen zu schaffen, mauert man sich ein. Zwar sollen Drittentwickler<br />
durchaus auch andere mobile Betriebssysteme integrieren können, wann das geschieht,<br />
wer sich damit beschäftigt und ob das überhaupt funktioniert, diese Fragen<br />
bleibt der Windows-Konzern schuldig. Auch die Nutzer älterer Windows-<br />
Mobile-Geräte bleiben außen vor, wenn ihnen der Hersteller kein Update<br />
zukommen lässt. Wer sich in Zukunft um Geräteverwaltung sorgen macht, sollte<br />
Microsofts SCMDM zwar durchaus mit ins Auge fassen, aber nicht vergessen, dass<br />
es auch bereits etablierte Produkte in diesem Bereich gibt, die nahezu alle Umgebungen<br />
und Endgeräte unterstützen, etwa IntelliSync von Nokia (Webcode<br />
472882), die ubi-Suite von Ubitexx (www.ubitexx.de) oder die BlueFire-Suite<br />
(www.bluefi resecurity.com).<br />
Moritz Jäger<br />
Moritz Jäger arbeitet als Redakteur im Software-Ressort bei <strong>TecChannel</strong>. Neben<br />
Themen rund um Open-Source, Virtualisierung und Sicherheit liegt sein Fokus auf<br />
Anwendungen, Lösungen und Tools für die mobile Arbeitswelt. Egal ob Push-Mail,<br />
Übertragungstechnologien, USB-Anwendungen oder Endgeräte und deren Absicherung<br />
- Jäger verlässt sich nicht auf die Herstellerangaben, sondern stellt die Testobjekte im<br />
praktischen Einsatz auf die Probe.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
SCMDM: Microsofts Alternative zu BlackBerry 1758436 S.160<br />
BlackBerry Unite - Kostenloser BlackBerry-Server 1772351 S.156<br />
Test: HTC Touch Pro 1773166 –<br />
Palm Treo Pro im Test 1771982 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1758436 165
5. Kaufberatung<br />
5 Kaufberatung<br />
Drucker und Multifunktionsgeräte sind elementare Bestandteile einer IT-Infrastruktur<br />
hinsichtlich Funktionalität und Kosten. Grund genug, sich mit Auswahl-<br />
und Betriebskriterien zu beschäftigen. Microsoft will mit dem Komplettpaket Essential<br />
Business Server vor allem im KMU-Bereich punkten. Wir stellen Ihnen den<br />
EBS vor und zeigen, was er kann. Außerdem erfahren Sie, wie Linktropy WAN-<br />
Emulator von Apposite Anwendungs-Performance über WAN simulieren lässt.<br />
5.1 Drucker und Multifunktionsgeräte richtig<br />
auswählen und einsetzen<br />
Obwohl von Druckern wie Multifunktionsgeräten in der Regel wenig technologischer<br />
Sex-Appeal ausgeht, gehören sie zu den unabdingbaren Bestandteilen jeder<br />
IT-Infrastruktur. In der Regel versehen die Geräte relativ unscheinbar und<br />
pfl egeleicht ihren Dienst, erst beim Ausfall wird deutlich, wie alltägliche Prozesse<br />
von dieser Gerätschaft abhängen. Doch nicht nur bei alltäglichen Geschäftsausgaben,<br />
sondern auch bei den Kosten der IT spielen Outputgeräte eine nicht unerhebliche<br />
Rolle. Studien sprechen davon, dass jedes Unternehmen, gleich welcher Branche,<br />
drei bis fünf Prozent seines Umsatzes fürs Drucken ausgibt. Bei den reinen<br />
IT-Kosten liegen die Ausgaben fürs Drucken in der Regel höher als Server- oder<br />
Storage-Investitionen.<br />
Dabei sind neben den Anschaffungskosten die laufenden Kosten für den Betrieb<br />
zu berücksichtigen. Dies beinhaltet Verbrauchsmaterialien ebenso wie Service und<br />
Support. Daher sollte man bei der Entscheidung für einen Drucker oder ein Multifunktionsgerät<br />
zahlreiche Kriterien einbeziehen. Oft entstehen Kosten nicht nur<br />
aufgrund der eingesetzten Technologie oder Geräte, sondern wegen der ineffi zienten<br />
Nutzung oder Bereitstellung derselben. Dabei lassen sich Kostenquellen wie<br />
Sparmaßnahmen vom Administrator einschränken beziehungsweise vorgeben.<br />
Zumindest, wenn man bei der Anschaffung auf derlei Funktionalitäten achtet.<br />
Die folgenden Punkte beziehen sich primär auf Geräte für kleine bis mittlere Arbeitsgruppen.<br />
Was für Drucker gilt, trifft natürlich ebenso gut auf die darauf basierenden<br />
Multifunktionsgeräte zu. Spezielle Multifunktionsfragen werden gesondert<br />
abgehandelt. Im Folgenden ist in der Regel von laserbasierten Druckern und Multifunktionsgeräten<br />
die Rede. Das heißt nicht, dass für kleine Arbeitsgruppen tintenbasierte<br />
Lösungen per se nicht infrage kommen, das Gros der Geräte arbeitet in<br />
diesem Umfeld jedoch auf Laserbasis.<br />
Wer sich bereits für konkrete Produkte interessiert, wird in dem Beitrag Test: Multifunktionsgeräte<br />
auf Farblaser-Basis fündig (Webcode 451294). Reine Farbdrucker<br />
für kleine Arbeitsgruppen vergleicht der Test: Farblaser für kleine Gruppen<br />
(Webcode 498445).<br />
166 www.<strong>TecChannel</strong>.de
5.1.1 Analyse ist Pfl ichtaufgabe<br />
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
Ob nun ein bereits vorhandener Drucker oder ein Multifunktionsgerät ersetzt<br />
werden soll oder diesbezüglich eine Erstanschaffung ansteht – das Wissen um die<br />
eigenen Druckeranforderungen muss vor jeder Entscheidung vorhanden sein. So<br />
sollte mit den gängigen Druckermanagement-Tools, wie HPs Web Jet Admin<br />
(www.teccommunity.de/articles/article/175/HP/detail), eingehend das Druckaufkommen<br />
und -verhalten analysiert werden. Wie hoch ist das Druckvolumen tatsächlich,<br />
und werden die installierten Optionen wie Duplex-Einheit oder Papierzuführungen<br />
überhaupt genutzt? Eine softwarebasierte Analyse allein genügt in<br />
der Regel aber meist nicht. Um beim Beispiel Duplex zu bleiben: Dass diese Option<br />
laut Analyse nicht verwendet wurde, muss nicht unbedingt bedeuten, dass diese<br />
überfl üssig sei. Für Anwender ist Drucken meist gleichbedeutend mit dem Klick<br />
auf das entsprechende Icon. Ist da im Treiber Duplex nicht als Standard vorkonfi -<br />
guriert, wird diese Option nie oder nur selten zum Einsatz kommen. Daher ist es<br />
entscheidend, dass sich die Druckertreiber vom Administrator diesbezüglich vorkonfi<br />
gurieren und ausrollen lassen.<br />
Bestandsaufnahme: Mit Tools wie Web Jet Admin lässt sich das eigene Druckaufkommen über eine<br />
Druckerfl otte analysieren und als Bericht ausgeben.<br />
Nicht alles lässt sich per Software erfassen, wie etwa eine verfehlte Einkaufspolitik<br />
hinsichtlich der Ausstattung. Auffällig viele Reparaturen oder Austausch von Papierzuführungen<br />
lassen in der Regel darauf schließen, dass an eben jenen gespart<br />
wurde. In vielen kaufmännischen Einsatzgebieten sind zwei Papierzuführungen<br />
webcode: 1777471 167
5. Kaufberatung<br />
meist noch zu wenig, um die notwendigen unterschiedlichen Papiersorten sauber<br />
zu handhaben. Demzufolge werden Papierzuführungen meist viel öfter – und heftiger<br />
– als eigentlich vorgesehen geöffnet und geschlossen, um Papier zu wechseln.<br />
Eine weitere Papierzufuhr wäre aus Kostensicht in jedem Fall effi zienter gewesen.<br />
Hier gilt wie bei nahezu jeder Anschaffung, dass die reine Betrachtung des Einstiegspreises<br />
eines Geräts häufi g teuer werden kann. Apropos Papierzuführungen,<br />
die leiden häufi g unter dem Druckerstandort Fußboden, der in der Praxis immer<br />
wieder anzutreffen ist.<br />
Wenn Optionen gemäß der Analyse tatsächlich erforderlich sind, sollte ein entsprechend<br />
vorkonfi guriertes Modell gewählt werden. Dies verspricht dann in der<br />
Regel einen Preisvorteil gegenüber einem Basisgerät, das nachträglich um die Optionen<br />
erweitert wird. Apropos Duplex: Dies ist anders als in der Vergangenheit<br />
auch für schwach motorisierte Geräte verfügbar. Das kommt nicht von ungefähr,<br />
vielerorts gehört das beidseitige, ressourcenschonende Drucken bereits zum<br />
Pfl ichtprogramm. Und da mittlerweile Duplex zur Pfl ichtausstattung für die Erlangung<br />
des „Blauen Engel“ erforderlich ist, setzt sich dieses Ausstattungsmerkmal<br />
zunehmend durch. Nachträgliches Aufrüsten mit Hardware ist meist unverhältnismäßig<br />
teuer – und bei manchen Modellen – gerade im preiswerten Segment –<br />
auch gar nicht möglich.<br />
Sowohl die laufenden Kosten für den Druckbetrieb und Support als auch etwaige<br />
Garantieverlängerungen sind in die Kalkulation einzubeziehen. Verbreitet ist immer<br />
noch die spärliche einjährige Herstellergarantie. Entsprechend zu empfehlende<br />
Upgrades hinsichtlich des Service und der Garantie kosten schnell einige<br />
Hundert Euro. Daher sollte vor dem Kauf eine ausstattungsbereinigte Betrachtung<br />
erfolgen. Bislang gab es nutzungsabhängige Abrechnungsverfahren meist nur für<br />
deutlich größere Systeme, inzwischen sind solche Lösungen auch vereinzelt für<br />
Systeme dieser Klasse erhältlich. Dies macht die oben angeführte Analyse allerdings<br />
noch unabdingbarer.<br />
5.1.2 Ausstattungsfragen<br />
Im Bereich sehr preiswerter Farblaser und Farbmultifunktionsgeräte sind hier und<br />
da noch Geräte mit Multi-Pass-Druckwerk anzutreffen. Bei Geräten mit Karusselloder<br />
Revolvertechnik rotieren die vier Farbeinheiten an der Bildtrommel, um seriell<br />
nacheinander die vier Farben aufzutragen. Das hat zur Folge, dass im Gegensatz<br />
zu Single-Pass-Systemen der Druck einer Farbseite ein Vielfaches der Zeit eines<br />
monochromen Drucks benötigt. Die dafür erforderliche Mechanik führt darüber<br />
hinaus nicht nur zu deutlicher Geräuschentwicklung, sondern macht auch mit Vibrationen<br />
auf sich aufmerksam – je nach Modell unterschiedlich intensiv.<br />
Weiterer Ansatzpunkt für den Konstrukteurs-Rotstift ist der Controller. Einige<br />
Drucker dieser Klasse arbeiten Host-basiert, das heißt, sie überlassen dem angeschlossenen<br />
Rechner die Arbeit der Datenaufbereitung. Das macht den Drucker<br />
günstiger; Prozessoren und Speicher im Drucker können deutlich kleiner dimen-<br />
168 www.<strong>TecChannel</strong>.de
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
sioniert sein. Da Host-basiert in der Regel auch mit einer Einschränkung des<br />
Sprachverständnisses der Geräte einhergeht, wissen die Geräte mit Standard- PCL-<br />
oder gar Postscript-Daten wenig anzufangen. Diese ausstattungsbedingten Kürzungen<br />
kommen zwar dem Preis zugute, schränken aber gleichzeitig die Flexibilität<br />
der Geräte ein – nicht nur in der Betriebssystemunterstützung. In Sachen<br />
Performance muss Host-basiert hingegen kein Nachteil sein, je nach System lässt<br />
es sich damit sogar fl inker drucken. Bei HPs neuem Hybrid-Treiber wird sogar dynamisch<br />
je nach Anwendung entschieden, ob traditionell oder Host-basiert gedruckt<br />
wird. Wenn ein Gerät Postscript beherrscht, heißt dies noch lange nicht,<br />
dass unter dieser Druckersprache der volle Komfort und die volle Geschwindigkeit<br />
zur Verfügung stehen. Hier muss man gegebenenfalls Abstriche machen.<br />
Skalierbarkeit: Es kann durchaus sinnvoll sein, auch<br />
kompakte Systeme mit entsprechenden Papierzuführungen<br />
auszurüsten. (Quelle: Kyocera)<br />
Bei der Erstausstattung in Sachen Toner trifft man inzwischen auch bei professionellen<br />
Geräten häufi g auf sogenannte Toner-Starter-Kits. Dabei handelt es sich um<br />
Kartuschen, die mit weniger Toner befüllt sind. Die Reichweite beträgt oft nur einen<br />
Bruchteil dessen, was die nachzukaufenden Einheiten erreichen. Manchmal<br />
reicht dieser Toner nur für wenige Hundert Seiten, die Angaben dazu stehen oft<br />
nur in den Fußnoten der Datenblätter. Damit stehen relativ kurz nach getätigter<br />
Investition die ersten spürbaren Folgekosten an. Das sollte man bei dem dann häufi<br />
g auf den ersten Blick günstigen Einstiegspreis berücksichtigen. Für viele Drucker<br />
bieten die Hersteller Tonereinheiten in unterschiedlichen Kapazitäten an,<br />
darüber lässt sich der Seitenpreis meist direkt beeinfl ussen.<br />
Zu den wichtigsten Faktoren für einen reibungslosen Betrieb gehört die richtige<br />
Ausstattung in Sachen Papierzuführungen und -ablagen. Wer hier zu knapp kalkuliert,<br />
kann kaum mit zufriedenen Anwendern rechnen. Den sogenannten Multifunktionszufuhren<br />
sollte man nicht mehr Beachtung schenken, als diese verdienen.<br />
Meist fassen diese 50 bis 100 Medien, von den Herstellern werden diese schon<br />
webcode: 1777471 169
5. Kaufberatung<br />
mal zur Kassettenkapazität dazu addiert. Formal richtig, in der Praxis jedoch nicht<br />
ganz zutreffend. Das Gros dieser meist klappbaren Zuführungen funktioniert ganz<br />
ordentlich, wenn man ab und zu spezielle Papiere oder Briefumschläge zuführen<br />
will. Wer dauerhaft seine Firmenbriefbögen im Drucker vorhalten will, sollte besser<br />
gleich eine zweite Papierkassette ordern. Sinnvoll kann die Anschaffung eines<br />
Sorters oder abschließbarer Mailboxen sein, statt eines weiteren Druckers, nur um<br />
den Anwendern die Ausdrucke zielgerichtet oder sicher zu servieren.<br />
5.1.3 Farbdrucker statt SW-Gerät?<br />
Auch wenn es mancher Hersteller gern anderes sehen würde, als Bürodienstleister<br />
versehen monochrome Laserdrucke nach wie vor ihren Job ganz hervorragend. In<br />
vielen Einsatzszenarien gibt es daher keinen Grund, sich auch beim nächsten Austausch<br />
nicht wieder für einen SW-Laser zu entscheiden. In kleineren Umgebungen<br />
kann der ausschließliche Einsatz eines Farbdruckers durchaus Sinn ergeben, gegebenenfalls<br />
muss dann die Farbnutzung reglementiert sein.<br />
Eingeschränkte Farbfähigkeit: Bei einigen Druckern lässt sich festlegen, welche Anwendungen oder<br />
welche Anwender Farbe benutzen dürfen.<br />
Inzwischen liegen einige Farbdrucker bei den monochromen Druckkosten auf<br />
einem mit reinen SW-Druckern vergleichbaren Niveau. Die Regel ist dies allerdings<br />
nicht. In Verbindung mit den sinkenden Einstiegspreisen nehmen die Hersteller<br />
dies zum Anlass, Farblaser als Substitut ihrer farblosen Kollegen anzupreisen.<br />
Je nach Umgebung mag dies zutreffen, dann gilt es allerdings, Farb- und<br />
170 www.<strong>TecChannel</strong>.de
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
SW-Druckjobs sorgfältiger zu trennen, als dies in der Praxis üblicherweise erfolgt<br />
sein dürfte. Um die Kosten für farbige Ausdrucke in Grenzen zu halten, bieten die<br />
Hersteller zunehmend ausgefeilte Funktionen an. Je nach Modell kann so etwa der<br />
Farbdruck auf einzelne Anwender oder Applikationen oder eine Kombination aus<br />
beidem beschränkt werden. Standard ist derlei Funktionalität aber noch nicht.<br />
So lässt sich beispielsweise festlegen, ob aus Anwendungen wie Outlook oder Notes<br />
in jedem Fall nur monochrom gedruckt werden darf. Entsprechende Funktionen<br />
sind insbesondere dann wichtig, wenn man die Drucker über ein Abrechnungsverfahren<br />
betreibt. Je nach Vertragsmodell gilt da jede Farbseite kostenseitig<br />
als komplette Farbseite unabhängig davon, ob nur das E-Mail-Logo in Farbe gedruckt<br />
wurde oder nicht. Damit produziert man gegebenenfalls deutlich höhere<br />
Druckkosten mit nicht gerade sinnvollen Farbdrucken.<br />
Häufi g sind die Druckkosten bei besonders preiswerten Geräten höher als bei höherwertigen<br />
Modellen. Dies liegt meist allein schon an der Reichweite der Verbrauchsmaterialien.<br />
Und da sind die monochromen Laser den preiswerten Farblaser<br />
häufi g überlegen.<br />
5.1.4 Leistung und Qualität<br />
Wer sein Druckvolumen kennt, kann sich hinsichtlich der notwendigen Leistungsfähigkeit<br />
der Geräte leichter entscheiden. Bei monochromen Laserdruckern genügen<br />
mittlerweile auch preiswerte Geräte den Ansprüchen von Arbeitsgruppen. Die<br />
Unterschiede bei Farblasern sind nach wie vor gravierender. Die Druckgeschwindigkeit<br />
wird üblicherweise in der nominellen Seitenleistung des Druckwerks angegeben.<br />
Bei Druck- beziehungsweise Kopiergeschwindigkeiten Benchmark-Ergebnisse<br />
im Nachkommastellenbereich zu vergleichen, ist müßig. Aber absolute<br />
Ergebnisse verdeutlichen doch den Leistungsunterschied in einem Klassement. So<br />
benötigten Farblaser-basierte Multifunktionsgeräte in unseren Tests für ein 200seitiges<br />
PDF-Dokument (Webcode 451294) zwischen 13,5 und 53 Minuten. Ein<br />
durchaus spürbarer Unterschied – mehr oder minder innerhalb eines Klassements.<br />
Wer häufi g PowerPoint-Dateien zu Papier bringen muss, wird gleichfalls schnell<br />
erkennen, ob sein Gerät ein Fehlkauf war. Wird dieses Dateiformat in Farbe ausgegeben,<br />
haben viele Drucker-Controller und -Treiber damit ihre liebe Müh.<br />
Für viele Anwender bestimmt die Antrittsgeschwindigkeit aus dem Stromsparmodus<br />
häufi g die gefühlte Leistungsfähigkeit. Hier registrieren wir bei Tests ebenfalls<br />
gravierende Unterschiede zwischen wenigen Sekunden bis zu einer Minute für das<br />
Produzieren der ersten Seite aus dem Schlummermodus. Dieser Wert ist gerade<br />
bei den kleinen Geräten von Bedeutung, denn diese werden gern in kleinen Arbeitsgruppen<br />
mit einer begrenzten Anzahl an Druckaufträgen eingesetzt. Und das<br />
heißt in der Praxis relativ häufi ge Starts aus dem Stromsparmodus. Die Leistungsaufnahme<br />
im Stand-by-Modus unterscheidet sich häufi g erheblich, wenngleich<br />
wir bei neueren Geräten eine deutlich geringere Leistungsaufnahme feststellen.<br />
webcode: 1777471 171
5. Kaufberatung<br />
Fotoqualität, wie man sie heute selbst von preiswerten Tintendruckern kennt, liefern<br />
Farblaserdruckwerke noch nicht. Technologiebedingt bleibt in der Regel das<br />
Raster beim Farblaserdruck mehr oder minder erkennbar. Aber wer hingegen Fotos<br />
als vielfältige Ansichtssache benötigt, Zielgruppe sind etwa Makler oder Gutachter,<br />
kann mit einigen aktuellen Geräten durchaus ansehnliche Ergebnisse erzielen.<br />
Andererseits spricht wie erwähnt je nach Anwendung nichts gegen ein<br />
professionelles Tintengerät für entsprechende Ergebnisse.<br />
In Zusammenhang mit Ausstattungsmerkmalen gilt es hinsichtlich der Leistung,<br />
einige wenige Punkte zu beachten. Das reine Vorhandensein einer Funktion, sagt<br />
noch nichts darüber aus, wie diese realisiert ist. Bei einigen Duplex-Einheiten traditioneller<br />
Machart bricht die Ausgabegeschwindigkeit beim beidseitigen Bedrucken<br />
auf rund die Hälfte ein. Lösungen mit einem neueren Ansatz erreichen auch<br />
in diesem Modus nahezu die volle Geschwindigkeit. Bei vielen Druckern – insbesondere<br />
im unteren Preissegment – muss man im Postscript-Betrieb Geschwindigkeitseinbußen<br />
hinnehmen. Zudem bieten die entsprechenden Treiber nicht<br />
immer den vollen Funktionsumfang. Ausnahmen bestätigen wie immer die Regel.<br />
Wer diese Sprachsteuerung tatsächlich extensiv nutzen will, sollte sich für ein entsprechend<br />
leistungsfähiges Gerät entscheiden.<br />
5.1.5 Druckkosten<br />
Gemäß einer im Jahr 2007 von Kyocera (www.kyoceramita.de) und SEH (www.<br />
seh.de) durchgeführten Outputmanagement-Studie bei Unternehmen und Behörden<br />
kennen 44 Prozent der Befragten ihr eigenes Druckvolumen nicht.<br />
Druckvolumen: In größeren Unternehmen oft eine unbekannte Größe. (Quelle: Kyocera)<br />
172 www.<strong>TecChannel</strong>.de
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
Bei Unternehmen und Behörden, die über mehr als 5000 PCs verfügen, sei mit<br />
mehr als 60 Prozent sogar die Mehrheit über das Druckvolumen nicht genau informiert.<br />
Das ist insofern beachtlich, als dass laut mehreren Quellen jedes Unternehmen<br />
gleich welcher Branche drei bis fünf Prozent seines Umsatzes allein fürs<br />
Drucken ausgibt. Grund genug, sich mit dem Thema Druckkosten zu befassen.<br />
Die eingangs geforderte Analyse ist gerade aus diesem Gesichtspunkt unerlässlich.<br />
Die Druckkosten der Geräte bestimmen nicht nur die Preise und Reichweiten der<br />
Verbrauchsmaterialien, sondern auch die Art der Druckjobs. Wer stets viele kleine<br />
Druckaufträge sendet, wird weit weniger lang mit den Materialien auskommen als<br />
der Produzent von größeren Druckjobs. Bei Multi-Pass-Geräten gilt es, die Angaben<br />
zu den Verbrauchsmaterialien hinsichtlich der Lebensdauer entsprechend des<br />
Einsatzes zu bewerten: Steht für die Bildtrommel beispielsweise ein Wert von<br />
45.000 Seiten im Datenblatt, so bezieht sich dies auf den rein monochromen<br />
Druck. Wird in Farbe gedruckt, reduziert sich dieser Wert auf ein Viertel, da die<br />
Trommel für jede auf das Druckmedium aufgetragene Farbe ein Image verarbeiten<br />
muss. Dies gilt entsprechend für Einheiten wie Tonerauffangbehälter und andere<br />
Verbrauchsmaterialien. Einige Hersteller geben daher korrekterweise die Lebensdauer<br />
entsprechender Module in Images an.<br />
Kostenkalkulation: Nahezu alle<br />
Hersteller bieten verschiedene<br />
Abrechnungsmodelle an.<br />
Für die Reichweite von Tonerkassetten existiert zwar inzwischen eine ISO-Norm,<br />
dennoch geben nicht alle Hersteller dies gemäß der Norm an. Verbreitet ist zudem<br />
noch die Angabe bei einer Deckung von fünf Prozent. Die bereits erwähnten Starter-Toner-Kits<br />
und ihre geringe Reichweite sollten insbesondere beim Einsatz in<br />
Anwendungen mit geringen Druckvolumen berücksichtigt werden.<br />
Apropos Kosten, der Anschaffungspreis des Geräts spielt in einer Gesamtrechnung<br />
eine eher untergeordnete Rolle. Die entstehenden Folgekosten durch Toner, Papier<br />
und Verschleißteile machen den größten fi nanziellen Anteil der Druckkosten aus.<br />
Mitunter kommen noch teure Serviceverträge hinzu. Dabei gilt es, auch die eventuellen<br />
Aufpreise für eine Garantieverlängerung einzubeziehen. Einige Hersteller<br />
offerieren ihre Geräte nach wie vor mit einer einjährigen Garantie. Um die Druck-<br />
webcode: 1777471 173
5. Kaufberatung<br />
kosten kalkulierbar zu halten, bieten Druckerhersteller verschiedene Abrechnungsmodelle<br />
an. Die Angebote reichen hier von All-inclusive-Verträgen, Flatrates<br />
(Pauschalangeboten) und Pay-per-Click bis zu Smart-Printing-Services. Bei diesen<br />
Abrechnungssystemen gibt es feine, aber deutliche Unterschiede. Kunden, die<br />
sich an das falsche Modell binden, zahlen mitunter mehr für das Drucken als ohne<br />
vertragliche Bindung. Unerlässlich ist in jedem Fall eine eingehende Vorabanalyse<br />
des eigenen Druckaufkommens und -verhaltens.<br />
5.1.6 Sicherheit beim Drucken<br />
Während in der Vergangenheit das Thema „Sicheres Drucken“ – wenn überhaupt<br />
– primär von größeren Unternehmen berücksichtigt wurde, ist dies inzwischen in<br />
allen Firmengrößen von Belang. Ein <strong>Netzwerk</strong>drucker ist aus mehreren Aspekten<br />
ein potenzielles Risiko. Der Drucker wird hingegen häufi g mit einer Standard-Setup-Routine<br />
ins LAN integriert und danach sicherheitstechnisch sich selbst – oder<br />
weit schlimmer – allen gleichermaßen überlassen. Häufi g wird selbst der einfache<br />
Zugriff auf den integrierten Print-Server nicht durch ein Passwort geschützt.<br />
Ausgabe auf Abruf: Der mit einem individuellen Kennwort versehene Druckauftrag wird erst mit<br />
Eingabe des Codes am Gerät ausgegeben.<br />
174 www.<strong>TecChannel</strong>.de
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
<strong>Netzwerk</strong>fähige Ausgabegeräte bieten im Betrieb meist gleich mehrere Schwachpunkte:<br />
Die <strong>Netzwerk</strong>verwaltung beziehungsweise -karte arbeitet oft ungesichert,<br />
alle Konfi gurationsparameter des <strong>Netzwerk</strong>s lassen sich so leicht auslesen. Auf den<br />
in die Systeme integrierten Festplatten bleiben die Dokumente längere Zeit liegen.<br />
Nicht selten passieren auch einfache Anwenderfehler am Gerät selbst, Dokumente<br />
werden im Ausgabefach vergessen. Zudem lassen sich mit den Geräten Unterlagen<br />
leicht per Fax oder E-Mail außerhalb des Unternehmens versenden.<br />
Wie eingangs erwähnt, gehört zu den Grundproblemen, dass die <strong>Netzwerk</strong>drucker<br />
in Sachen Sicherheit meist nicht entsprechend konfi guriert werden. Bereits die Beachtung<br />
einiger grundlegender Vorgehensweisen beim Konfi gurieren von <strong>Netzwerk</strong>druckern<br />
kann die Sicherheit deutlich erhöhen. Zahlreiche <strong>Netzwerk</strong>drucker<br />
bieten bereits ab Werk eine Basisfunktionalität in Sachen Druck von vertraulichen<br />
Dokumenten. Üblicherweise muss der Anwender dazu im Treiber einen PIN-Code<br />
für den Druckauftrag vergeben. Erst wenn dieser am Gerät aktiviert wird, lässt sich<br />
der Druckauftrag abrufen.<br />
Von nahezu allen namhaften Druckerherstellern befi nden sich zudem Lösungen<br />
im Angebot, bei denen sich der Anwender eindeutig am Gerät identifi zieren muss,<br />
bevor der Druckauftrag im Ausgabefach landet. Die Authentifi zierung kann beispielsweise<br />
über SmartCards, die herkömmlichen Zugangskarten oder Fingerprint-Sensoren<br />
erfolgen. Je nach System lässt sich damit nicht nur garantieren,<br />
dass nur berechtigte Anwender an die jeweiligen Druckaufträge kommen. Ausführliche<br />
Informationen zum Thema Sicherheit und Drucken liefert Ihnen der<br />
Beitrag Sicherheitslücke Drucker (Webcode 452907).<br />
5.1.7 Multifunktionalität<br />
Multifunktionsgeräte erfreuen sich hoher Beliebtheit und das zu Recht. Zumindest,<br />
wenn sie wirklich multifunktional sind und entsprechend eingerichtet wurden.<br />
Ein komfortabler Druckertreiber ist eine Sache, ein homogenes Softwarekonzept<br />
für ein Multifunktionsgerät aber eine weit größere Herausforderung.<br />
Schließlich möchte man alle Funktionen aus einer Oberfl äche oder den entsprechenden<br />
Anwendungen ansteuern können, ein einfaches Zusammenpacken von<br />
entsprechenden Tools genügt da nicht. Und selbst das fi ndet unserer Erfahrung<br />
nach nicht immer statt.<br />
Gerade bei den beliebten Farblaser-Multifunktionsgeräten des unteren Preissegments<br />
handelt es sich hinsichtlich des Druckens um die bekannten artverwandten<br />
Farblaser – mit all ihren Vor- und Nachteilen. Manchmal noch mit ein paar zusätzlichen<br />
Nachteilen, der Ausbau zum Multifunktionsgerät verhindert oft den Einsatz<br />
einer Duplex-Einheit, auf dieses Ausstattungsmerkmal muss man dann verzichten.<br />
Gleichfalls registrieren wir bei Tests, dass die meist oben auf dem Drucker sitzende<br />
Scan-/Kopiereinheit nicht wirklich dazu dient, die Papierablage zu optimieren.<br />
Manchmal fällt diese etwas klein aus, und größere Druckjobs sind nur mit<br />
regelmäßigem Entleeren derselben durchzuführen.<br />
webcode: 1777471 175
5. Kaufberatung<br />
Multifunktion: Einheitliche Oberfl ächen für alle Funktionen sind eher die Ausnahme als die Regel.<br />
Ein vorhandener <strong>Netzwerk</strong>anschluss garantiert noch nicht, dass wirklich alle<br />
Funktionen via <strong>Netzwerk</strong> verfügbar sind. So handelt es sich bei einigen Multifunktionsgeräten<br />
nur um <strong>Netzwerk</strong>drucker, die ihre Multifunktion nur lokal oder am<br />
Gerät ausspielen. Scannen übers <strong>Netzwerk</strong> ist nicht zwangsweise bei einem <strong>Netzwerk</strong>-Multifunktionsgerät<br />
möglich. Apropos scannen: Auch diese Funktionalitäten<br />
unterscheiden sich bei den Kombis erheblich. Scan-to-Mail bedeutet bei einigen<br />
Geräten beispielsweise, dass auf dem Client das Mailprogramm gestartet<br />
und dort die Vorlage als Anhang automatisch hinzugefügt wird.<br />
Andere Kombis können auch direkt vom Gerät aus auf ein Adressbuch zugreifen<br />
und quasi „selbst“ die Mail versenden. Ähnliches gilt für die Funktionalität Scanto-Folder,<br />
die im einfachsten Fall meint, alle Vorlagen landen in einem gemeinsamen<br />
Verzeichnis. Bei professionelleren Geräten können sich Anwender authentifi<br />
zieren und in ihr jeweils eigenes Verzeichnis scannen. In diesem Zusammenhang<br />
bei Geräten für kleine Arbeitsgruppen ein recht beliebtes Feature: ein USB-Port an<br />
der Gehäusefront auf den sich scannen und von dem sich drucken lässt.<br />
Allerdings ist es nicht immer die mangelnde Fähigkeit der Geräte, die für eine eingeschränkte<br />
Funktionalität sorgt. Häufi g hapert es auch an der vollständigen Einrichtung<br />
der multifunktionalen Peripherie, die zugegebenermaßen nicht immer<br />
ganz selbsterklärend ist.<br />
5.1.8 Fazit<br />
Der Kauf eines Druckers oder Multifunktionsgeräts ohne Kenntnisse des bisherigen<br />
Nutzungsverhaltens und auch daraus abzuleitender Erkenntnisse dürfte mit<br />
Sicherheit wieder in einem unbefriedigenden Ergebnis münden. Die Software-<br />
Tools stehen meist kostenlos zur Verfügung, zumindest eine quantitative Analyse<br />
scheint da realisierbar. Dass, wenn bei der Entscheidung der Preis im Vordergrund<br />
steht, nicht unbedingt die scheinbar billige Lösung auch wirklich die günstigste<br />
176 www.<strong>TecChannel</strong>.de
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen<br />
darstellt, ist eine Binsenweisheit. Daher nochmals die Punkte, die dem Kauf oder<br />
Leasing vorangehen sollten, kurz zusammengefasst:<br />
Eingehende Analyse<br />
Festlegung erforderlicher Ausstattungsmerkmale<br />
Abgeleitete Leistungsanforderungen, auch hinsichtlich Farbe<br />
Kostenmodelle auf eigenes Druckvolumen untersuchen<br />
Sicherheitsanforderungen einbeziehen<br />
Häufi g versehen aber auch üppige Konfi gurationen völlig unterfordert ihren<br />
Dienst, weil sie mit Standardeinstellungen ins <strong>Netzwerk</strong> integriert wurden. Vorkonfi<br />
gurierte Treiber und Profi le sorgen erst dafür, dass Funktionen auch in entsprechendem<br />
Maße genutzt werden. Aus Kostensicht sollten Regulierungen beim<br />
Farbdruck eine Selbstverständlichkeit sein. Manchmal lässt sich ja auch der vorhandene<br />
Druckerfuhrpark ganz ohne jede Neuanschaffung noch optimieren.<br />
Malte Jeschke<br />
Malte Jeschke ist Leitender Redakteur bei <strong>TecChannel</strong>. Seit mehr als 15 Jahren beschäftigt<br />
er sich intensiv mit professionellen Drucklösungen und deren Einbindung in<br />
<strong>Netzwerk</strong>e. Daneben gehört sein Interesse mobilen Rechnern. Vor dem Start seiner<br />
journalistischen Laufbahn 1991 realisierte er unter anderem für Großunternehmen<br />
Projekte zur Anbindung von Außendienstmitarbeitern an vorhandene IT-Strukturen.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen 1777471 S.166<br />
Test: Multifunktionsgeräte auf Farblaser-Basis 451294 –<br />
Test: Laserdrucker für Arbeitsgruppen 432508 –<br />
Test: Farblaser für kleine Gruppen 498445 –<br />
Sicherheitslücke Drucker 452907 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1777471 177
5. Kaufberatung<br />
5.2 Der Essential Business Server<br />
von Microsoft<br />
Konkurrenz für Linux im Mittelstand. Microsoft hat vor Kurzem die neueste Version<br />
seines Essential Business Servers (EBS, www.microsoft.com/germany/server/<br />
essential/ebs/) vorgestellt. Dabei handelt es sich im Grunde um ein Rundum-Paket<br />
für Unternehmen von 25 bis 300 Arbeitsplätzen. In der Standard-Version sind in<br />
einem Paket Windows Server 2008 Standard Edition, Exchange 2007 sowie die<br />
Forefront Security für Exchange Server gebündelt. Entscheidet man sich für die<br />
Premium-Version, erhält man zusätzlich noch MSSQL Server 2008.<br />
Was für wen? Die Grafi k zeigt, welcher Server für welche Umgebung gedacht ist. (Quelle: Microsoft)<br />
Wie der Small Business Server (SBS, von fünf bis 75 Arbeitsplätzen, www.microsoft.com/germany/server/essential/sbs/),ist<br />
auch der EBS als All-in-One-Software<br />
gedacht. Microsoft setzt damit vor allem auf den Mittelstand und gegen Linux-<br />
Distributionen wie beispielsweise Red Hat oder Novell, die ebenfalls eine komplette<br />
Server-Umgebung in einem Paket anbieten.<br />
5.2.1 Fakt ist: Admins in KMUs brauchen Hilfe<br />
Microsoft fand in einer Marktanalyse heraus, dass kleine und mittelständische Firmen<br />
dieser Größenordnung in der Regel höchstens zwei Angestellte beschäftigen,<br />
die für die tägliche IT-Routine zuständig sind. In den meisten Fällen handelt es<br />
sich dabei um Generalisten mit breitem, aber in vielen Fällen relativ oberfl ächlichem<br />
IT-Wissen. Die meiste Zeit verbringen diese Personen damit, auf Probleme<br />
im <strong>Netzwerk</strong> zu reagieren.<br />
Deshalb, so das Ergebnis der Marktforschung, sind diese Administratoren an einer<br />
Lösung interessiert, die nicht nur den Support erleichtert, sondern zudem auch einen<br />
Überblick über die Bereiche Sicherheit sowie Anwendung und Management<br />
178 www.<strong>TecChannel</strong>.de
Der Essential Business Server von Microsoft<br />
von Hard- und Software gibt. Hinzu kommt die Kontrolle und Verwaltung der Bestände<br />
– sprich IT-Assets. Mit anderen Worten: IT-Manager in mittelständischen<br />
Firmen kämpfen mit vielen Problemen, die auch ihre Kollegen in großen Unternehmen<br />
haben, allerdings verfügen sie im Normalfall wegen viel geringerer Budgets<br />
nicht über informationstechnische Hilfsmittel, die ihnen formalisierte Strukturen<br />
sowie vorbeugende Handlungsmöglichkeiten an die Hand geben.<br />
Das sind die Unterschiede: Die Premium-Version des Essential Business Server bringt zusätzlich<br />
noch die MSSQL Datenbank mit. (Quelle: Microsoft)<br />
Eine Konsole für zentralen Überblick<br />
Mit dem EBS verfolgt Microsoft nun die Idee, diesen IT-Verantwortlichen ihre Arbeit<br />
zu erleichtern. Mit der Suite sollen sie sich laufend ein Bild vom Status ihrer<br />
IT-Landschaft machen können.<br />
Das heißt, sie sehen, ob der <strong>Netzwerk</strong>- und der E-Mail-Betrieb funktionieren, ob<br />
die Sicherheitssysteme ihren Dienst tun, ob der Internet-Zugang und Log-on für<br />
die Anwender gewährleistet ist, und ob alle Lizenzkriterien erfüllt sind. Außerdem<br />
können sie laut Microsoft durch Plug-ins mit der Konsole sämtliche Hardware<br />
verwalten und kontrollieren.<br />
Die Entwicklung des EBS ist unter anderem das Resultat der jährlich 6,5 Milliarden<br />
Dollar hohen Investitionen von Microsoft in Produkte und Supportprogramme<br />
für kleine und mittelständische Unternehmen. Der Konzern trägt damit<br />
ebenso wie andere Hersteller der Zielgruppe mittelständischer Firmen Rechnung,<br />
die auf der Suche nach neuen Umsatzfeldern immer interessanter und lukrativer<br />
wird. Mit der Suite verfolgt Microsoft das Ziel, die genannten Probleme der IT-<br />
Manager zu lösen und einen Best-Practise-Ansatz zu liefern.<br />
webcode: 1779960 179
5. Kaufberatung<br />
Übersicht: Die Admin-Konsole zeigt auf einen Blick, wo Fehler auftreten. (Quelle: Microsoft)<br />
Konkurrenz durch Linux- und Unix-Produkte<br />
Alexander Kubsch, Analyst bei Techconsult (www.techconsult.de), teilt das Ergebnis<br />
der Marktanalyse. Seiner Meinung nach ist im Mittelstand der Bedarf an einer<br />
Suite wie dem EBS vorhanden. Dem Experten zufolge gibt es zwar sowohl in der<br />
Linux- als auch Unix-Welt eine Sammlung von Produkten, die dieselben Aufgaben<br />
erfüllen können wie der Essential Business Server, allerdings sei der damit verbundene<br />
Administrationsaufwand deutlich höher. „<br />
Es wäre sogar denkbar, dass Anwender, die unterdessen ihre Erfahrungen mit Linux<br />
gesammelt haben, wegen der aufwändigen Administration und des fehlenden<br />
Supports zu Microsoft zurückwechseln und den ESB einsetzen“, sieht Kubsch gute<br />
Chancen für die neue Suite. Dafür spreche auch, dass der Mittelstand ohnehin sehr<br />
Windows-affi n ist. Voraussetzung für einen Erfolg des EBS im Markt sei jedoch,<br />
dass Microsoft seinen Vertriebspartnern klarmacht, wo die Vorteil der Suite liegen.<br />
Dies sei dringend erforderlich, weil das Produkt noch sehr unbekannt ist.<br />
5.2.2 Volles Leistungspotenzial des EBS erfordert drei Server<br />
Um den Funktionsumfang des EBS komplett ausschöpfen zu können, benötigen<br />
die Lizenznehmer drei Server. Für Firmen mit geringerem IT-Budget und weniger<br />
Anwender bedeutet dies unter Umständen eine sehr anspruchsvolle und wohl ab-<br />
180 www.<strong>TecChannel</strong>.de
Der Essential Business Server von Microsoft<br />
zuwägende Investition. Da der EBS aber für bis zu 300 Nutzer oder Geräte konzipiert<br />
wurde und ein breites Spektrum an Diensten beinhaltet, sind folgende drei<br />
Server erforderlich:<br />
Erstens: Management Server<br />
Zunächst ist ein Management Server Voraussetzung, der als eine Art „Hub“ für alle<br />
Operationen im <strong>Netzwerk</strong> fungiert. Der Management Server umfasst<br />
Windows Server 2008,<br />
Networking,<br />
Active Directory,<br />
File & Print, und<br />
System Center Essentials.<br />
Zweitens: Messaging Server<br />
Vonnöten ist auch ein Messaging Server, der für den Ablauf aller Exchange- und<br />
anderer Mail-relevanten Services sorgt und als zweiter Domain Controller arbeitet.<br />
Auf dem Messaging Server laufen<br />
Windows Server 2008,<br />
Active Directory,<br />
Exchange Server 2007 und<br />
Forefront Security for Exchange Server.<br />
Drittens: Security Server<br />
Vor den beiden bereits genannten Servern sitzt der Edge- oder Security Server, der<br />
die Server und alle anderen Komponenten im <strong>Netzwerk</strong> vor Bedrohungen schützen<br />
soll. Er beinhaltet:<br />
Windows Server 2008,<br />
Exchange Server 2007 und<br />
Forefront Threat Management Gateway for Medium Business<br />
Die geschilderten Elemente sind Bestandteile der Standard Edition. Die Premium<br />
Edition umfasst zusätzlich eine Lizenz für den Windows Server 2008 sowie den<br />
SQL Server 2008 Standard Edition.<br />
5.2.3 Probleme schon vor der Entstehung ausschalten<br />
Der Essential Business Server stellt ein Tool dar, mit dem IT-Umgebungen in Midsize-Netzen<br />
gezielt untersucht und kontrolliert werden können. Die Suite „überwacht“<br />
dabei 91 Problemfelder in den Bereichen Wartung sowie Konfi guration,<br />
die sich in der Vergangenheit als für die Anwender besonders virulent herausge-<br />
webcode: 1779960 181
5. Kaufberatung<br />
stellt haben. Dazu zählen zum Beispiel Probleme mit dem Active Directory, im<br />
Networking, mit Exchange sowie die Konfi guration des Windows Server.<br />
Sicherheit: Ein Blick auf die Security-Konsole. (Quelle: Microsoft)<br />
Die Entwickler von Microsoft haben sich dieser kritischen Punkte angenommen<br />
und versuchen, sie mit dem EBS automatisch für die Anwender auszuschalten. Allerdings<br />
gibt es auch für alle, die nicht in den EBS investieren wollen, eine gute<br />
Nachricht: Sie können diese Tools kostenlos im Web unter http://www.microsoft.<br />
com/downloads/details.aspx?FamilyId=E3906025-00E3-407D-BF5B-99D546021<br />
923&displaylang=en abrufen. Auf dieser Seite fi nden sich aber auch für Firmen,<br />
die den EBS implementieren wollen, Preparation und Planning Tools (http://www.<br />
microsoft.com/downloads/details.aspx?FamilyId=E3906025-00E3-407D-BF5B-9<br />
9D546021923&displaylang=en), die Aufschluss darüber geben, wie das Netwerk<br />
nach der Installation aussehen wird.<br />
Konsole zeigt Komponentenstatus an<br />
Mit der Installation der Suite steht dem Administrator die Windows Essential<br />
Business Server Administration Console zur Wahrnehmung seiner Aufgaben zur<br />
Verfügung. Mit Hilfe der Administrationskonsole wird auch der Status von Geräten<br />
oder Software anderer Hersteller im Netz durch integriertes Monitoring abgebildet.<br />
Zu diesem Zweck haben Partner und Drittanbieter ergänzende Anwendungen<br />
durch Plug-ins realisiert.<br />
182 www.<strong>TecChannel</strong>.de
Der Essential Business Server von Microsoft<br />
Dazu gehören laut Microsoft Angebote von den Hardwareherstellern AMD, Dell,<br />
HP, IBM, Intel, Lenovo und Sun Microsystems sowie von den Softwareherstellern<br />
Computer Associates, Citrix Systems, Symantec und Trend Micro. Allerdings will<br />
auch Microsoft selbst noch in Sachen Integration aktiv werden. Der Hersteller<br />
kündigte kürzlich an, auch seine Business-Lösungen Dynamics CRM 4.0, NAV<br />
2009 und AX 2009 auf den EBS anpassen zu wollen.<br />
5.2.4 Umstieg bei Ablösung alter Windows-Installationen<br />
Techconsult-Analyst Kubsch hält das Angebot des Server-Pakets in Gestalt des EBS<br />
für einen klugen Schachzug des Herstellers. „Microsoft war mit Bundles, zum Beispiel<br />
dem Small Business Server, stets erfolgreich“, meint er und nennt die Zielsetzung,<br />
die sich dahinter verbirgt: „Die Strategie von Microsoft ist es, mit dem günstigeren<br />
Paketpreis möglichst viele Produkte beim Kunden zu platzieren.<br />
Dadurch kann das Unternehmen die eigene Basis auch dort erhöhen, wo zuvor<br />
Wettbewerbsprodukte installiert waren.“ Allerdings werden die CIOs in mittelständischen<br />
Betrieben nach Einschätzung von Kubsch nicht automatisch auf die<br />
EBS-Plattform umsteigen: „Warum sollten sie eine laufende Umgebung ohne Not<br />
ändern?“. Ein Wechsel werde in den meisten Fällen nur dann erfolgen, wenn die<br />
Ablösung älterer Windows-Installationen anstehe oder Unternehmen etwa mobile<br />
Mitarbeiter einbinden sowie die Administration vereinfachen wollen.<br />
Ein Vorteil für mittelständische Unternehmen, die mit dem EBS liebäugeln, könnte<br />
im Preis- bzw. Lizenzmodell liegen. Mit dem Kauf der Suite fallen für die EBS Standard<br />
Edition laut Microsoft-Listenpreis 7.799 Dollar plus 112 Dollar für die Client<br />
Access License (ACL) je Nutzer an. Die Premium Edition kostet 10.213 Dollar plus<br />
274 Dollar pro Anwender. Jede EBS-Server-Suite beinhaltet standardmäßig fünf<br />
CALs. Damit ist die Anschaffung des EBS-Pakets mit den entweder drei Servern<br />
der Standard-Edition oder den vier in der Premium-Edition enthaltenen Servern<br />
kostengünstiger als der Kauf der einzelnen Server-Produkte. Würde ein Unternehmen<br />
die jeweiligen Produkte separat kaufen, fi elen je Server sowohl der Grundpreis<br />
als auch die jeweiligen Lizenzgebühren pro User an.<br />
5.2.5 SCE-Konsole gibt Diagnose-Tipps<br />
Auf einem HP Bladecenter c3000 mit drei Proliant BL260c G5 Server-Blades, die<br />
jeweils über 10 GB RAM verfügten, war der Setup-Prozess der Testinstallation sehr<br />
anspruchsvoll. Es dauerte nahezu eineinhalb Tage, bis die Server-Umgebung stand<br />
und die Konfi guration auf den drei Maschinen für den realen Betrieb abgeschlossen<br />
war. Die EBS Administration Console erwies sich dann in ihrer Handhabung<br />
aber als intuitiv und schaffte in der Tat die meisten lästigen, jedoch alltäglichen<br />
Aufgaben eines Administrators aus dem Weg.<br />
webcode: 1779960 183
5. Kaufberatung<br />
Das heißt: Es war leicht, Anwender-Accounts anzulegen, Rechner im Netz zu identifi<br />
zieren sowie ihren Status und die Performance zu überwachen, Update-Funktionen<br />
auszulesen und auftretende Fehler zu erkennen. Für die meisten Probleme,<br />
die von den System Center Essentials Agents (SCE, http://sce.editme.com/Disco<br />
very) auf den <strong>Netzwerk</strong>-Computern entdeckt wurden, bot die SCE-Konsole weitere<br />
Informationen sowie mögliche Vorschläge zur Diagnose an. Allerdings war<br />
die SCE-Konsole zunächst schwer zu verstehen und zu navigieren. Ihre Handhabung<br />
sollte für Administratoren, die sie täglich nutzen, jedoch binnen kurzer Zeit<br />
kein Problem mehr sein.<br />
Remote: Der Web-Workplace erlaubt den sicheren Zugriff auf entfernte Rechner. (Quelle: Microsoft)<br />
Im Test stellte sich auch die E-Mail-Übertragung sowie der Empfang als unproblematisch<br />
heraus. Bewusst erzeugte Fehler auf dem Messaging Server wurden von<br />
der EBS Administration Console rasch bemerkt und mit Hilfe der SCE das auftretende<br />
Problem bestimmt. Zuverlässig arbeitet im Probebetrieb auch das Forefront<br />
Threat Management Gateway (www.microsoft.com/presspass/press/2008/apr08/<br />
04-08ForefrontBetaPR.mspx), das von Microsoft vorkonfi guriert auf die Anforderungen<br />
des EBS ausgeliefert wird.<br />
184 www.<strong>TecChannel</strong>.de
5.2.6 Fazit<br />
Der Essential Business Server von Microsoft<br />
Alles in allem hat sich der EBS im Test bewährt und bedient die Suite zweifellos<br />
vorhandene Marktbedürfnisse. Sie hilft überlasteten Administratoren dabei, nicht<br />
mehr nur auf Probleme zu reagieren, sondern eine Umgebung zu schaffen, in der<br />
sie vorbeugende Kontrolle über das Netz ausüben können und mehr Freiraum für<br />
ihre Tätigkeit bekommen. Mit den Bereichen Mail, Sicherheit, Management sowie<br />
in der Premium-Edition auch noch Datenbank fährt Microsoft mit dem EBS einen<br />
wirklich umfassenden Ansatz im Marktsegment für mittelständische Kunden.<br />
Für kleinere Umgebungen, bis zu 75 Arbeitsplätzen, positioniert Microsoft mit<br />
dem Small Business Server eine ähnliche Lösung. Diese Lösung verlangt dem System<br />
auch deutlich weniger ab, hier reicht bereits ein Server aus. Einen Überblick,<br />
wo Microsoft welche Lösung sieht, fi nden Sie hier.<br />
Interessant ist, dass Microsoft mit dem SBS und dem EBS nach langer Zeit auf die<br />
Konkurrenz durch Linux reagiert. Denn die meisten Distributionen bieten komplette<br />
Umgebungen an, mit denen sich nahezu jeder Business-Einsatz abbilden<br />
lässt. Zusätzlich helfen Programme wie Webmin dem Admin bei der Verwaltung.<br />
Dennoch erfordert Linux noch immer eine Einarbeitung sowie das Überwinden<br />
der ersten Hemmschwelle.<br />
Peter Gruber<br />
Peter Gruber ist Redakteur bei unserer Schwesterzweitschrift Computerwoche. Dort betreut er unter<br />
anderem den Bereich der Mittelstands-IT.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Der Essential Business Server von Microsoft 1779960 S.178<br />
Windows Server 2008: Mehr Sicherheit mit RDOC und NAP 1758677 –<br />
Windows Server 2008: Zertifi katsdienste 1735102 –<br />
Scripting-Hilfe für ActiveDirectory 1761685 –<br />
Mit den Webcodes gelangen Sie auf www.<strong>TecChannel</strong>.de direkt zum gewünschten Artikel. Geben Sie<br />
dazu den Code direkt hinter die URL www.<strong>TecChannel</strong>.de ein, etwa www.<strong>TecChannel</strong>.de/465195.<br />
webcode: 1779960 185
5. Kaufberatung<br />
5.3 Test: Günstiger WAN-Emulator<br />
von Apposite<br />
Jahrelang lief alles wunderbar in der Außenstelle, plötzlich meckern die fünf Mitarbeiter<br />
vor Ort über schlechte Antwortzeiten der Programme, die sie über die<br />
DSL-Verbindung nutzen. Liegt es an der Leitung? Am Server? Oder ist etwas ganz<br />
anderes schuld? Testequipment, um WAN-Strecken zu simulieren, ist meist teurer<br />
und komplex. Mit einer Ausnahme: dem Linktropy WAN-Emulator von Apposite.<br />
Viele Firmen nutzen WAN-Verbindungen für den Kontakt mit Außenstellen oder<br />
mobilen Mitarbeitern. Das kann eine xDSL-Leitung sein oder eine UMTS-Verbindung,<br />
aber auch ISDN kommt noch öfter zum Einsatz als man denkt. Wenn in so<br />
einer Situation die entfernten Kollegen ein neues Programm erhalten sollen, oder<br />
wenn die Filiale beispielsweise Mitarbeiterzuwachs bekommt, kann der Administrator<br />
oft nur hoffen, dass alles gut geht. Denn einen schnellen und einfachen Weg,<br />
um herauszufi nden, mit wie viel Bandbreite das Programm gerade noch auskommt,<br />
gibt es in der Praxis nicht.<br />
Anwendungen, die im lokalen Netz wunderbar funktionieren, können bei einer<br />
weniger stabilen Anbindung unter sporadischen und schwer zu diagnostizierenden<br />
Fehlern bis hin zum Totalausfall leiden. Es ist zwar einfach, die zusätzliche Netzlast<br />
durch einen weiteren Mitarbeiter zu simulieren. Aus Mangel an einer Prüfstrecke<br />
mit den gleichen physikalischen und logischen Eigenschaften ist diese Simulation<br />
jedoch letztendlich wenig aussagekräftig.<br />
Natürlich gibt es Hard- und Software für eine solche Aufgabe, ein WAN-Emulator<br />
ist hier die beste Wahl. Mit ihnen lassen sich verschiedene Parameter einer <strong>Netzwerk</strong>verbindung,<br />
vor allem die Bandbreite, gezielt regulieren. Aber auch diverse<br />
Fehlerquellen können mit so einem Emulator praxisähnlich nachgebildet werden.<br />
Die WAN-Emulatoren Shunra VE (www.shunra.com) vom gleichnamigen Hersteller<br />
zum Beispiel bieten jede nur erdenkliche Simulationsgröße und eignen sich<br />
zum Nachstellen beliebiger WAN-Strecken. Doch abgesehen vom Preis verhindert<br />
gerade diese Komplexität den Einsatz als relativ einfaches ad-hoc-Tool für den Admin.<br />
Hier geht es schließlich nicht um den physikalisch korrekten Nachweis von<br />
Bandbreite bis hin zum letzten Bit sondern um eine „geht/geht nicht“-Analyse.<br />
Und hier kommt die Linktropy-Familie von Apposite Technologies ins Spiel.<br />
5.3.1 WAN-Emulation leicht gemacht<br />
Der amerikanische Hersteller Apposite (www.apposite-tech.com), in Deutschland<br />
durch den Distributor Digital Hands (http://www.digital-hands.eu/home/) repräsentiert,<br />
bietet WAN-Emulatoren zu relativ niedrigen Preisen an, die sehr einfach<br />
zu bedienen sind. So sollen auch Administratoren mit geringen WAN-Kenntnissen<br />
die Geräte sofort benutzen können.<br />
186 www.<strong>TecChannel</strong>.de
Test: Günstiger WAN-Emulator von Apposite<br />
WAN in a box: Der Linktropy 4500 emuliert eine WAN-Verbindung inklusive aller Unwägbarkeiten wie<br />
Datenverlusten oder Verzögerungen.<br />
Das kleinste System, das Linktropy Mini, fängt bei knapp 1600 Euro an. Für den<br />
Test stand ein Linktropy 4500 zur Verfügung, der einen WAN-Link mit bis zu 155<br />
MBit/s Durchsatz emulieren kann. Das ist genug für eine ATM-Verbindung mit<br />
voller Geschwindigkeit und reicht auf jeden Fall für jede Art der aktuell erhältlichen<br />
xDSL-Varianten.<br />
Die größeren Geräte Linktropy 7500 und 7500pro können bis zu einem Gigabit<br />
Bandbreite simulieren und verfügen über mehrere Interfaces, darunter auch optische<br />
Anschlüsse mit SFP-Modulen. Möglich werden die vergleichsweise niedrigen<br />
Preise laut Hersteller durch den Verzicht auf eigens entwickelte ASICs. Diese<br />
würden die Emulation zwar mit höherer Genauigkeit ermöglichen, die Kosten allerdings<br />
erheblich nach oben treiben. Da Apposite vor allem auf Softwareentwickler<br />
und Administratoren als Kunden abzielt, sind die erreichbare Genauigkeit und<br />
die eingebauten Features jedoch mehr als ausreichend.<br />
5.3.2 Einstecken und fertig<br />
Ein WAN-Emulator ist prinzipiell äußerst simpel: Er sitzt zwischen zwei <strong>Netzwerk</strong>segmenten,<br />
bei Apposite als A und B gekennzeichnet, und kontrolliert die<br />
Verbindung in beide Richtungen. Dafür sind beim Modell 4500 zwei RJ-45 Ports<br />
vorgesehen, die Bandbreite lässt sich in beide Richtungen getrennt einstellen und<br />
so eine asynchrone Verbindung simulieren.<br />
Ein weiterer <strong>Netzwerk</strong>anschluss dient zum Management des Geräts. Sinnvollerweise<br />
nutzt man dafür ein getrenntes <strong>Netzwerk</strong>segment oder schließt den Management-PC<br />
direkt mit einem <strong>Netzwerk</strong>kabel an. So wird verhindert, dass das<br />
Messergebnis durch den Management-Traffi c verfälscht wird.<br />
Die Web-basierte Software ist simpel aufgebaut, im Test ließen sich sowohl der Internet<br />
Explorer 7 als auch der Firefox 2.0.0.14 zur Verwaltung nutzen. Weil sich die<br />
Web-basierte Benutzeroberfl äche zwischen den Familienmitgliedern nicht unterscheidet,<br />
einzig das Modell Mini muss auf den Datenexport als CSV-Datei verzichten,<br />
gelten die Aussagen und Testergebnisse in dieser Hinsicht für alle Geräte.<br />
webcode: 1763593 187
5. Kaufberatung<br />
Drei <strong>Netzwerk</strong>kabel, ein Stromanschluss, mehr braucht der Linktropy-Emulator<br />
nicht. Ohne zu übertreiben, ist der WAN-Emulator nach höchstens einer Viertelstunde<br />
einsatzbereit, einschließlich auspacken und Kabel anstecken.<br />
5.3.3 Emulation<br />
Nachdem man über die Default IP-Adresse 10.0.0.10. mit dem Gerät Verbindung<br />
aufgenommen hat, kann die WAN-Emulation starten. Alternativ bieten die Linktropy-Geräte<br />
auch eine serielle Schnittstelle an, um die Grundkonfi guration zu erledigen.<br />
Wie das geht, führt Apposite im beigelegten Quick-Start Guide aus.<br />
So viel wie nötig: Mehr als die gewünschte Bandbreite muss man nicht einstellen, die Parameter im<br />
unteren Teil sind im Normalfall nicht nötig.<br />
Die Menüs des Emulators sind klar aufgeteilt: ein Fenster kümmert sich um die<br />
Emulationseinstellungen, eines um die Bridge- oder Routingparameter, eines um<br />
die Systemdaten wie die IP-Adresse und die Link-Geschwindigkeiten der beiden<br />
Test-Ports und eines bietet Speicherplätze, um Testparameter zu organisieren, abzulegen<br />
und wieder aufzurufen.<br />
188 www.<strong>TecChannel</strong>.de
Test: Günstiger WAN-Emulator von Apposite<br />
Das letzte Fenster ist dem Update des Systems vorbehalten. Ändert man Einstellungen<br />
auf einer Seite markiert das System die Werte in Fettschrift, bei Syntaxfehlern<br />
wird das Fenster rot umrandet. Fehleingaben sind damit praktisch ausgeschlossen.<br />
Aktuell ist die Firmware 3.1.4., Updates gibt es für Kunden (nach<br />
Registrierung) auf der Apposite-Website kostenlos zum Download.<br />
5.3.4 Messen...<br />
Grundsätzlich bietet das Gerät zwei Betriebsarten an, Bridge oder Router. Der<br />
Bridging-Mode ist transparent, alle Datenpakete werden von A nach B und umgekehrt<br />
geleitet. Wer Routen will, muss die gewünschten statischen Routen im entsprechenden<br />
Menü eintragen - über Routingprotokolle wie RIP oder OSPF zum<br />
automatischen Finden und Setzen von Routen verfügt das Gerät nicht.<br />
Zu Beginn der Testreihe ist es empfehlenswert, die Emulation ohne jede Limitierung<br />
oder Fehlersimulation über den großen Button am oberen Ende des Management-Tools<br />
einzuschalten. Im Statistikbildschirm sieht man jetzt, was über den<br />
Testlink an Daten geschleust wird. Die Erfassung läuft zwar in Echtzeit, das Update<br />
im Diagramm erfolgt allerdings minimal in Intervallen von einer Sekunde. Wird<br />
ein großer Datentransfer auf einer Seite gestartet, lässt sich sofort der Gesamtdurchsatz<br />
ablesen.<br />
Vollgas: Hoher Durchsatz bei einem Filetransfer über eine Firewall.<br />
webcode: 1763593 189
5. Kaufberatung<br />
Während des Tests erwies sich das Linktropy 4500 als zuverlässiges Tool, um <strong>Netzwerk</strong>durchsätze<br />
für eine ganze Reihe von Produkten zu messen. So konnten mehrere<br />
Firewalls und Router damit auf ihren Durchsatz unter hoher Belastung getestet<br />
werden. Die Genauigkeit des Systems ist schwer in absoluten Zahlen festzuhalten,<br />
laut Hersteller soll die Abweichung von der eingestellten Limitierung bei unter<br />
einem Prozent liegen. Was die Statistikdaten angeht, konnten wir im Test praktisch<br />
Übereinstimmung mit Messergebnissen des Benchmark-Tools Iometer erzielen.<br />
5.3.5 ...und Drosseln<br />
Administratoren werden das Gerät aber weniger zum Messen von Durchsätzen als<br />
für die Simulation von WAN-Strecken einsetzen. Die Bandbreite selbst ist in<br />
Schritten von einem Bit pro Sekunde wählbar, dazu lassen sich noch diverse Störeinfl<br />
üsse auswählen.<br />
Nadelöhr: Die Limitierung deckelt den Durchsatz sauber.<br />
Absolute Paketverluste sind genauso dabei wie die Bitfehlerhäufi gkeit (BER) und<br />
Verzögerungen. Die Bitfehlerhäufi gkeit ist ein sehr wichtiger Parameter bei WAN-<br />
Strecken, der auch bei einer ganzen Reihe von standardisierten Tests bezüglich der<br />
Güte einer Verbindung zum Einsatz kommt (BER-Test oder BERT). Eine Bitfehlerhäufi<br />
gkeit von 3*10-6 bedeutet beispielsweise, dass von einer Million übertragener<br />
oder gespeicherter Bits durchschnittlich drei Bits falsch sein können.<br />
Man darf sie nicht mit der Bitfehlerwahrscheinlichkeit (BEP) verwechseln, sie bezieht<br />
sich auf eine, durch theoretische Überlegungen berechnete Wahrscheinlichkeit,<br />
für das Auftreten eines Bitfehlers. Dazu gibt es noch eine Reihe von erwei-<br />
190 www.<strong>TecChannel</strong>.de
Test: Günstiger WAN-Emulator von Apposite<br />
terten Parametern, die alle mit einer ausführlichen Online-Hilfe versehen und<br />
noch mal länger in der englischen PDF-Userguide beschrieben sind.<br />
5.3.6 Lastsimulation<br />
Um die bereits vorhandene <strong>Netzwerk</strong>last auf einer Verbindung zu simulieren, erzeugt<br />
das Linktropy 4500 auch eine Art „Hintergrundrauschen“. Es lässt sich bis zu<br />
100 Prozent skalieren, auch wenn das in der Praxis keinen Sinn ergibt. Wichtiger<br />
sind hingegen die Auswirkungen von Paketverlusten auf den Durchsatz. Schon bei<br />
relativ niedrigen Werten, geht die Leistung dermaßen in die Knie, dass Dateitransfers<br />
praktisch undurchführbar werden.<br />
Im Test ließ sich auch die Auswirkung von Latenzzeiten auf VoIP-Übertragungen<br />
sehr gut darstellen. Für eine Firma, die beispielsweise ihre Außenstelle per WAN-<br />
Leitung und VoIP mit Sprachtelefonie versorgen will, sind das sehr wertvolle Daten.<br />
Sind die gewünschten Einstellungen vorgenommen, genügt der Mausklick auf<br />
den „Ein“-Knopf um die Emulation zu starten.<br />
Große Wirkung: Schon eine Fehlerrate von 0,05% hat deutliche Auswirkungen auf den Durchsatz.<br />
Änderungen bei den Test- und Fehlerparametern werden durch ein „Apply“ sofort<br />
auf die Verbindung angewendet, so kann man einfach an einem Wert „drehen“, bis<br />
die Anwendung reagiert. Um solche Abläufe zu automatisieren hat Apposite einen<br />
Scheduler eingebaut. Mit ihm können Parameter in Blöcken für einen bestimmten<br />
Zeitraum vorgegeben werden. Der Scheduler arbeitet alle Blöcke der Reihe nach<br />
ab, und fängt danach auf Wunsch wieder von vorne an. Damit sind ausführliche<br />
Belastungstests mit schrittweise schlechter werdenden Bedingungen möglich.<br />
webcode: 1763593 191
5. Kaufberatung<br />
Mit Hilfe der Exportfunktion lassen sich die Ergebnisse als CSV-Datei exportieren.<br />
Ausreichende Excel-Kenntnisse voraus gesetzt, kann der Benutzer damit sehr umfassende<br />
Diagramme und Tabellen erstellen. Für den schnellen Test oder die Fehlersuche<br />
genügt in der Regel das Statistikfenster des Linktropy.<br />
5.3.7 Fazit<br />
Wer die sicherstellen muss, dass Anwendungen auch über WAN-Verbindungen<br />
optimal nutzbar sind, oder für die reibungslose Anbindung von Außenstellen und<br />
mobilen Mitarbeitern verantwortlich ist, fi ndet in der Linktropy-Gerätefamilie einen<br />
relativ günstigen und extrem unkomplizierten Partner.<br />
Quickinfo: WAN-Emulator von Apposite<br />
Produkt Linktropy 4500<br />
Hersteller Apposite, www.apposite-tech.com (www.digital-hands.eu)<br />
Preis 2 Mbps: 3500 Euro (exkl. MwSt)<br />
155 Mbps: 8500 Euro (exkl. MwSt)<br />
Maximal simulierter Durchsatz 2 - 155 Mbps<br />
Einstellbare Parameter Bandbreite, Latenz, Paketverlust, Bitfehler, Änderung der<br />
Paketreihenfolge, Verdoppelung von Paketen, Grundlast<br />
Formfaktor 1U<br />
Administratoren werden die einfache Bedienung schätzen und das Gerät auch für<br />
Durchsatztests einsetzen. Der Linktropy 4500 lässt sich in verschiedenen Ausbaustufen<br />
erwerben. In der kleinsten ist der maximale Durchsatz auf 2 Mbps begrenzt,<br />
in der größten beträgt sie – wie getestet – 155 Mbps.<br />
Elmar Török<br />
Elmar Török arbeitet seit 1993 als Autor und Fachjournalist im Bereich <strong>Netzwerk</strong>e und Telekommunikation.<br />
Mittlerweile hat er neben zwei Büchern einige Hundert Artikel für zahlreiche Medien – online wie<br />
offl ine – geschrieben, darunter PC Professionell, LANline, c‘t, IT-Administrator, sueddeutsche.de und<br />
<strong>TecChannel</strong>.<br />
<strong>TecChannel</strong>-Links zum Thema Webcode Compact<br />
Test: Günstiger WAN-Emulator von Apposite 1763593 S.186<br />
Die besten <strong>Netzwerk</strong>-Tools für kleine und mittlere Windows-LANs 461560 S.38<br />
Tipps zur Wahl der richtigen VPN-Technik 1737650 –<br />
192 www.<strong>TecChannel</strong>.de
Index<br />
A<br />
Adaptation Protocol 95<br />
Appliance 129<br />
Asset-Management 53<br />
Asynchronous Connectionless Link 98<br />
B<br />
Bare-Metal-Restore 140<br />
Base Station Controller 106<br />
BES 156<br />
Binary Phase Shift Keying 110<br />
BlackBerry Unite 156<br />
Bluetooth 88<br />
BSIG 88<br />
C<br />
Captive Portal 10<br />
Channel Classifi cation 94<br />
Cladding 82<br />
Clustering 140<br />
Codier-Schemata 110<br />
Compliance 126, 145, 152<br />
Content Filtering 127<br />
Continuous Data Protection 137<br />
Core 82<br />
Core Network 106<br />
D<br />
Data Leakage Protection 126<br />
Data Link Layer 95<br />
Data Stream Modifi cation 21<br />
Desaster Recovery 140<br />
Device Discovery 100<br />
Domain Controller 28<br />
Druckermanagement-Tool 167<br />
Dynamic Response System 133<br />
E<br />
E-Mail-Sicherheit 123<br />
Einschaltmonitor 48<br />
Energiebedarf 56<br />
Energy Effi cient Ethernet 58<br />
Enhanced Data Rate 89<br />
Enrollment-Prozess 161<br />
Essential Business Server 178<br />
Index<br />
F<br />
Failover 140<br />
Femtozellen 115<br />
Fingerprinting 128<br />
Frequency Hopping Spread Spectrum 92<br />
G<br />
Gaussian Frequency Shift Keying 93<br />
Geocluster 137<br />
GetMAC 32<br />
Glasfaser 57<br />
Gradientenindex 83<br />
Green IT 56<br />
GSM 104<br />
H<br />
Hierarchisches Speicher Management 134<br />
Home Node 117<br />
Homogenitäten 68<br />
Hop Sequence Modifi cation 94<br />
Host Controller Interface 91<br />
Hotspot 10<br />
HSDPA 107, 116<br />
HSUPA 108<br />
Hybrid-Treiber 169<br />
I<br />
Impedanz 67<br />
Information Lifecycle Management 134<br />
Inquiry 97<br />
Inventarisierung 53<br />
IP-Adresse 31<br />
Isochrone Verkehrsströme 90<br />
IT-Assets 179<br />
IT Director 43<br />
K<br />
Keyword-Matching 127<br />
Koaxialkabel 61<br />
Koexistenzproblematik 94<br />
Kopplungselemente 86<br />
L<br />
Lastsimulation 191<br />
Latenzzeit 111, 191<br />
www.<strong>TecChannel</strong>.de 193
Index<br />
Leistungsaufnahme 56, 57<br />
Light Emitting Diode 80<br />
Link-Klassen 64<br />
Link-Tester 76<br />
Link Manager Protocol 95<br />
Lizenzmanagement 51<br />
Logical Link Control 95<br />
Long Term Evolution 114<br />
Luftschnittstelle 106<br />
LWL 79<br />
M<br />
M0n0wall 10<br />
MAC/PHY-Implementierung 89<br />
Mail-Policy 150<br />
Makrozellen 115<br />
Master-Clock 92<br />
Media Gateway 106<br />
Message Transfer Agent 129<br />
Mobile Switching Center 106<br />
Modulation 109<br />
Monitoring 43<br />
Monomode 83<br />
Multi-Pass-Druckwerk 168<br />
Multifunktionsgeräte 166<br />
N<br />
Nanozellen 115<br />
Network Interface Cards 59<br />
<strong>Netzwerk</strong>-Tools 38<br />
O<br />
Object Exchange Protocol 101<br />
OpenSSH 24<br />
Optic Time Domain Refl ectometry 85<br />
Outputmanagement 172<br />
P<br />
Paging 97<br />
Pairing 89<br />
Patchpanel 74<br />
PCL 169<br />
Piconetz 89<br />
PowerShell 28<br />
Pre-Enrollment Wizard 161<br />
R<br />
RDP-Protokoll 17<br />
Remote-Support 19<br />
194 www.<strong>TecChannel</strong>.de<br />
Remote Framebuffer 17<br />
Remote Login 40<br />
Reputationstechnik 131<br />
RFCOMM 101<br />
RJ11 65<br />
Router 189<br />
S<br />
Scripts 28<br />
Service 20<br />
Service Discovery Protocol 100<br />
Shared Channel Transmission 112<br />
Shell Scripting 28<br />
SI-Prefi x 115<br />
Sicherheitsregeln 15<br />
Single-Instance-Speicherung 135<br />
Single-Pass-Druckwerk 168<br />
Snapshooting 140<br />
Software-Lizenzen 51<br />
Spam-Filterung 131<br />
SSH 23<br />
Stromverschlüsselung 102<br />
Synchronous Connection-Oriented Link<br />
97<br />
System Center Essentials Agent 184<br />
T<br />
Time Division Duplex 93<br />
Tunnelung 23<br />
Twisted Pair 64<br />
U<br />
Ultra Low Power 89<br />
Ultra Wide Band 89<br />
UMTS 104, 116<br />
USB-Sperrung 46<br />
UTRAN 107<br />
V<br />
Virtual Network Computing 17<br />
VLAN 10<br />
VNC 17<br />
vPro 43<br />
W<br />
WAN-Emulator 186<br />
Wellenwiderstand 67<br />
Wireless Personal Area Network 88<br />
WLAN 10