Netzwerk - TecChannel

April/Mai/Juni 2009
www.TecChannel.de
Netzwerk
• Sichere Gastzugänge einrichten
• Netzwerk-Aufgaben automatisieren
• VNC-Verbindungen schützen
• Die besten Netzwerk-Tools
• Ratgeber Netzwerkdrucker
E-Mail
• Ratgeber
E-Mail-Sicherheit
• Checklisten
für E-Mail-Policies
• Blackberry &
Windows Mobile
integrieren
€ 14,90 Österreich € 16,40
Benelux € 17,15 · Schweiz SFR 29,80

Editorial
Liebe Leser,
Editorial
Netzwerke sind längst integrale Bestandteile unserer
Arbeitswelt und machen auch vor dem häuslichen
Umfeld nicht halt. Was noch vor einigen Jahren die
Kommunikation zwischen Desktop-PCs, Server und
Druckern in Firmen ermöglichte, fi ndet sich jetzt in
fast jedem Haushalt. Die Brücke zwischen Arbeitswelt
und Heimnetzwerk schlägt dann oft noch ein VPN.
Gegenüber den Anfängen mit BNC-Terminatoren und
Koaxial-Kabeln hat sich zwar die Verkabelung deutlich
vereinfacht. Dafür sind die Anforderungen an Datendurchsatz, Verfügbarkeit und
vor allem an die Sicherheit gestiegen.
Dieses TecChannel-Compact soll Ihnen im Netzwerkalltag nützlich zur Seite
stehen. In praktischen Workshops zeigen wir Ihnen beispielsweise, wie Sie VNC-
Verbindungen absichern oder sichere Gastzugänge ins LAN mit M0n0wall realisieren.
Auch das Management kommt nicht zu kurz, dafür sorgen Artikel zum IT-
Director und zum Lizenzmanagement.
Wer die Grundlage einer Technologie nicht kennt, dem fehlt die Basis zum wirklichen
Verständnis. Daher erklären wir in einigen Artikeln die verschiedenen
Kabeltypen in Netzwerken. Die Zukunft sieht allerdings kabellos aus – Grund
genug, auf die Technologien Bluetooth, HSDPA und Femotzellen einzugehen.
Da eine Hauptanwendung in vernetzten Systemen die E-Mail ist, widmen wir
diesem Themenkomplex ein gesondertes Kapitel. Immer wichtiger werden dabei
die Themen Sicherheit, Sicherung und Compliance
Ich wünsche Ihnen viele neue Erkenntnisse beim Lesen dieses Compacts.
Moritz Jäger
Redakteur TecChannel
www.TecChannel.de 3

Impressum
Impressum
Chefredakteur: Michael Eckert (verantwortlich,
Anschrift der Redaktion)
Stellv. Chefredakteur / CvD: Albert Lauchner
Redaktion TecChannel:
Lyonel-Feininger-Straße 26, 80807 München,
Tel.: 0 89/3 60 86-897, Fax: -878
Homepage: www.TecChannel.de,
E-Mail: feedback@TecChannel.de
Autoren dieser Ausgabe:
Johann Baumeister, Jobst Eckardt, Peter Gruber,
Bernhard Haluschak, Mike Hartmann, Jürgen
Hill, Moritz Jäger, Malte Jeschke, Matthias
Juchoff, Helfried Pirker, Hannes Rügheimer,
Ramon Schwenk, Axel Sikora, Elmar Török
Verlagsleitung: Michael Beilfuß
Copyright: Das Urheberrecht für angenommene
und veröffentlichte Manuskripte liegt bei der
IDG Business Media GmbH. Eine Verwertung
der urheberrechtlich geschützten Beiträge und
Abbildungen, vor allem durch Vervielfältigung
und/oder Verbreitung, ist ohne vorherige schriftliche
Zustimmung des Verlags unzulässig und
strafbar, soweit sich aus dem Urheberrechtsgesetz
nichts anderes ergibt. Eine Einspeicherung
und/oder Verarbeitung der auch in elektronischer
Form vertriebenen Beiträge in Datensysteme ist
ohne Zustimmung des Verlags nicht zulässig.
Grafi k und Layout:
stroemung: Michael Oliver Rupp,
Multimedia Schmiede,
Twentyfi rst Communications: B. Maier-Leppla
Titelbild: de.fotolia.com
Anzeigen:
Anzeigenleitung: Sebastian Woerle
Tel.: 0 89/3 60 86-628
Ad-Management: Edmund Heider (Ltg.) (-127),
Rudolf Schuster (-135)
Anzeigenannahme: Manfred Aumaier (-602),
Andreas Mallin (-603)
Dieses TecChannel-Compact wurde mit der Adobe Creative Suite CS produziert. TecChannel-Compact
erscheint im Verlag der PC-WELT. Zu unserer Verlagsgruppe gehören folgende Zeitschriften:
Abonnement, Einzel- und Nachbestellung, Umtausch defekter Datenträger:
TecChannel Kundenservice, Postfach 81 05 80, 70522 Stuttgart, Tel: (+49) 07 11/72 52-276, für Österreich
1/21 95 560, für Schweiz, 0 71/3 14 06-15, Fax: (+49) 07 11/72 52-377, E-Mail: shop@TecChannel.de
4 www.TecChannel.de
Druck: Sachsendruck GmbH, Paul-Schneider-
Strasse 12, 08525 Plauen
Vertrieb / Produktion:
Gesamtvertriebsleitung: Josef Kreitmair (-243)
Vertriebsassistenz: Melanie Stahl (-738)
Vetriebsmarketing: Stefan Rörig (-722) (Ltg.)
Produktionsleitung: Heinz Zimmermann
Jahresbezugspreise:
Inland: 49,20 EUR, Studenten: 43,80 EUR
Ausland: 52,20 EUR, Studenten: 46,80 EUR
Haftung: Eine Haftung für die Richtigkeit der
Beiträge können Redaktion und Verlag trotz
sorgfältiger Prüfung nicht übernehmen. Veröffentlichungen
in TecChannel-Compact erfolgen
ohne Berücksichtigung eines eventuellen Patentschutzes.
Warennamen werden ohne Gewährleistung
einer freien Verwendung benutzt.
Veröffentlichung gemäß § 8, Absatz 3 des
Gesetzes über die Presse vom 8.10.1949: Alleiniger
Gesellschafter der IDG Business Media
GmbH ist die IDG Communications Media AG,
München, eine 100-prozentige Tochter der IDG
Inc., Boston, Mass., USA.
Verlag: IDG Business Media GmbH, Lyonel-
Feininger-Straße 26, 80807 München,
Tel.: 0 89/3 60 86-0, Fax: -118,
Website: www.idgmedia.de
Handelsregisternummer: HR 99187
Umsatzidentifi kationsnummer: DE 811257800
Geschäftsführer: York von Heimburg
Mitglied der Geschäftsführung:
Michael Beilfuß
Vorstand: York von Heimburg,
Keith Arnot, Bob Carrigan
Aufsichtsratsvorsitzender:
Patrick J. McGovern

Inhalt
Inhalt
Editorial 3
Impressum 4
1 Netzwerk-Praxis 10
1.1 Sicheren Gastzugang für LAN und WLAN realisieren 10
1.1.1 Installation der M0n0wall 10
1.1.2 Erster Start der M0n0wall 11
1.1.3 Konfi guration 13
1.1.4 Aktivieren des Hotspots 14
1.1.5 Sicherheitsregeln und Add-ons 15
1.2 Aus der Ferne an den Server – VNC-Verbindungen schützen 17
1.2.1 Variationen eines Themas 18
1.2.2 TightVNC und UltraVNC 18
1.2.3 Grundinstallation 19
1.2.4 Verschlüsselung 21
1.2.5 Eigenen Schlüssel erzeugen 22
1.2.6 Einfach mit SSH 23
1.2.7 SSH-Komponenten für VNC 24
1.2.8 Alles mit SSH 25
1.2.9 ZeBeDee – einfacher als SSH 26
1.2.10 Fazit 27
1.3 Shell Scripting im Netzwerk 28
1.3.1 Domain Controller fi nden 28
Parameter 28
Code 28
Funktion 29
Verarbeitung der Ergebnisdatei 30
1.3.2 Netzwerkadresse berechnen 31
Parameter 31
Code (Berechnung der Netzadresse aus IP und Subnetmask) 31
Funktion 32
1.3.3 GetMAC für NT4 und W2K 32
Code (Ausgabe der Mac-Adressen ab Windows 2000) 32
Funktion 33
1.3.4 Ping-Liste 34
1.3.5 Port-Liste aus netstat 35
Code 35
Funktion 36
www.TecChannel.de 5

Inhalt
1.4 Die besten Netzwerk-Tools für kleine und mittlere Windows-LANs 38
1.4.1 Wireshark: Traffi c-Monitoring im Netzwerk 38
1.4.2 A-Toolbar: Schnelle Verbindungskontrolle 38
1.4.3 3D Traceroute: Den Weg eines Datenpakets aufl isten 39
1.4.4 AdvancedRemoteInfo: Statusinformationen im Netz 40
1.4.5 CurrPorts: Überblick über offene Ports verschaffen 40
1.4.6 PuTTY: Remote Login vom Windows-Desktop aus 40
1.4.7 Unlocker: Gesperrte Dateien freigeben 40
1.4.8 FS Guard: Dienste und Verzeichnisse überwachen 41
1.4.9 X-NetStat: Infos mit aufgebohrtem Netstat abfragen 41
1.4.10 Strong Search: Netzwerkweiter Dateisucher 42
2 Netzwerk-Management 43
2.1 IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke 43
2.1.1 Installation und Benutzeroberfl äche 43
2.1.2 Einstellungen und Konfi guration 45
2.1.3 Daten-und Systemschutz: USB-Sperrung 46
2.1.4 Daten- und Systemschutz: Festplattensicherung und -wiederherstellung 46
2.1.5 Internet- und Netzwerksicherheit 47
2.1.6 Leistung und Diagnose 48
2.1.7 Fazit 50
2.2 Grundlagen: Lizenzmanagement im Unternehmen 51
2.2.1 Ab wann lohnt sich professionelles Lizenzmanagement 51
2.2.2 Viele Lizenzen verderben den Brei 52
2.2.3 Inventarisierung ist Voraussetzung 53
2.2.4 Organisation ist alles 54
4.2.5 Fazit 54
3 Netzwerk-Grundlagen 56
3.1 Green IT: Energiesparpotenzial bei Netzwerken 56
3.1.1 Performance benötigt Energie 57
3.1.2 Zukunft: Energy Effi cient Ethernet 58
3.1.3 Reduktion der Interface-Karten 59
3.1.4 Feintuning 60
3.2 Kabeltypen für LANs 61
3.2.1 Koaxialkabel 61
Verstärkungen 61
Cheapernet 62
Überprüfung des Netzwerks 63
3.2.2 Twisted Pair-Kabel 64
Link-Klassen 64
Steckverbindungen 65
6 www.TecChannel.de

Inhalt
3.2.3 Kabelaufbau und Spezifi kationen 67
3.2.4 NEXT, NEXT-a, FEXT, ELFEXT und AXTLK 69
3.2.5 Kabelverlegung 72
Qualität der Kabel 72
Verlegung des LAN-Kabels 73
Verlegung von Profi s 74
Patchpanels und Fehlerquellen 74
3.2.6 Überprüfen von TP-Verbindungen 75
3.2.7 Link-Tester selbst gebaut 76
3.2.8 Optische Netzwerke mit LWL 79
3.2.9 SC- und ST-Verbindungen 79
3.2.10 Funktionsprinzip und LWL-Typen 80
3.2.11 Verlegung von LWL 84
3.2.12 Überprüfung und Fehlersuche 85
3.3 Bluetooth-Grundlagen: Herkunft und Funktionsweise 88
3.3.1 Hintergründe und Standardisierung 88
3.3.2 Versionen und zeitliche Entwicklung 88
3.3.3 Aufbau des Protokollstapels 90
3.3.4 Physikalische Schicht – Frequenzsprungverfahren 92
3.3.5 Data Link Layer 95
Adressierung und Anmeldung 96
Die synchrone Kommunikation 97
Die asynchrone Kommunikation 98
3.3.6 HCI-Interface und Aufbau der Anwendungsprotokolle 99
3.3.7 Das Service Discovery Protocol 100
3.3.8 RFCOMM – Grundlage für Verbindungen 101
3.3.9 Häufi gstes Anwendungsszenario: Gekoppelte Dienste 101
3.3.10 Weitere Anwendungsprotokolle 101
3.3.11 Sicherheit in Bluetooth 102
3.3.12 Sicherheitslücken 102
3.3.13 Fazit und Ausblick 103
3.4 So funktionieren UMTS und HSPA 104
3.4.1 Unterschiede der Funktechnik zwischen UMTS und GPRS/GSM/EDGE 104
3.4.2 Architektur von GSM- und UMTS-Netzen 106
3.4.3 UMTS: Die IP-gerechte Netzstruktur 106
3.4.4 UMTS aufgerüstet: Tuning per HSDPA und HSUPA 107
3.4.5 Technik: So funktioniert HSDPA 109
3.4.6 Effi zienter dank besserer Modulation 109
3.4.7 HSDPA-Zukunft: Schneller, optimierter, effi zienter 111
3.4.8 Die Klassen der HSDPA-Endgeräte 112
3.4.9 Was kommt danach? 113
www.TecChannel.de 7

Inhalt
3.5 So funktionieren Femtozellen 115
3.5.1 Ähnliche Größen trotz unterschiedlicher Vorsilben 115
3.5.2 Funktionsprinzip und Netzanbindung 116
3.5.3 Stand der Entwicklung 117
3.5.4 Die ersten Femtocell Gateways 117
3.5.5 Praxiseinsatz aus Sicht der Mobilfunkprovider 119
3.5.6 Praxisszenario für Internetprovider 120
3.5.7 Status: So sehen es Provider und Entwickler 120
3.5.8 Fazit und Ausblick 122
4 E-Mail 123
4.1 E-Mail-Sicherheit 123
4.1.1 E-Mail-Sicherheitsaspekte im geschäftlichen Kontext 124
4.1.2 Sicherheit bei der E-Mail-Erstellung 124
4.1.3 Vorgaben für das Erstellen von E-Mails 125
4.1.4 Data Leakage Protection sorgt für Compliance 126
1.4.5 E-Mail-Sicherheit für den Posteingang 128
1.4.6 E-Mail-Schutz durch Appliances 129
1.4.7 Die dunkle Seite der E-Mail-Nutzung 130
1.4.8 Effektive Spam-Filterung 131
1.4.9 Archivieren und wiederfi nden 133
1.4.10 Sichere Infrastruktur für E-Mail-Systeme 136
1.4.11 Absicherung der Daten und Programme 136
1.4.12 Sicherung des Exchange-Mail-Systems 139
1.4.13 Fazit 143
4.2 E-Mail-Archivierung: Anforderungen und Lösungen 144
4.2.1 Motivation zur E-Mail-Archivierung 144
4.2.2 Compliance-Anforderungen 145
4.2.3 Unterschiedliche Lösungsansätze 145
4.2.4 Die richtigen Speicherformate 146
4.2.5 Unterschiedliche Systemkonzepte und -funktionen 147
4.2.6 Wichtige Anwendungsfunktionen im Mail-Client 149
4.2.7 Regeln zum Umgang mit E-Mails 149
4.2.8 Fazit 151
4.3 Compliance: Was es bei Regelwerken zu beachten gilt 152
4.3.1 Anforderungen 152
4.3.2 Verantwortlichkeiten 153
4.3.3 Lückenlose Dokumentation 154
4.4 BlackBerry Unite: Kostenloser BlackBerry-Server im Test 156
4.4.1 Was kann BlackBerry Unite? 156
4.4.2 Push-Mail einrichten und nutzen 157
8 www.TecChannel.de

Inhalt
4.4.3 Termine, Kontakte und Daten synchronisieren 158
4.4.4 Geräteverwaltung 158
4.4.5 Fazit: Ausreichend für Kleinstumgebungen 159
4.5 SCMDM: Microsofts Alternative zu BlackBerry 160
4.5.1 Was kann der SCMDM? 160
4.5.2 Der Ablauf 160
4.5.3 Account vorbereiten und Gerät einbinden 161
4.5.4 Policies ausrollen 162
4.5.5 Verteilen von Software 163
4.5.6 Voraussetzungen: Was geht – und was nicht? 164
4.5.7 Fazit: Interessanter Ansatz für aktuelle Microsoft-only-Umgebungen 165
5 Kaufberatung 166
5.1 Drucker und Multifunktionsgeräte richtig auswählen und einsetzen 166
5.1.1 Analyse ist Pfl ichtaufgabe 167
5.1.2 Ausstattungsfragen 168
5.1.3 Farbdrucker statt SW-Gerät? 170
5.1.4 Leistung und Qualität 171
5.1.5 Druckkosten 172
5.1.6 Sicherheit beim Drucken 174
5.1.7 Multifunktionalität 175
5.1.8 Fazit 176
5.2 Der Essential Business Server von Microsoft 178
5.2.1 Fakt ist: Admins in KMUs brauchen Hilfe 178
5.2.2 Volles Leistungspotenzial des EBS erfordert drei Server 180
5.2.3 Probleme schon vor der Entstehung ausschalten 181
5.2.4 Umstieg bei Ablösung alter Windows-Installationen 183
5.2.5 SCE-Konsole gibt Diagnose-Tipps 183
5.2.6 Fazit 185
5.3 Test: Günstiger WAN-Emulator von Apposite 186
5.3.1 WAN-Emulation leicht gemacht 186
5.3.2 Einstecken und fertig 187
5.3.3 Emulation 188
5.3.4 Messen... 189
5.3.5 ...und Drosseln 190
5.3.6 Lastsimulation 191
5.3.7 Fazit 192
Index 193
www.TecChannel.de 9

1. Netzwerk-Praxis
1 Netzwerk-Praxis
Das Verwalten von Rechnersystemen auf der Basis umfassender Zugriffsrechte bildet
den Schwerpunkt der Arbeit von Systemadministratoren. Neue Verfahren bieten
den Verantwortlichen Hilfestellung bei Planung, Installation, Konfi guration
sowie Pfl ege der Systeme. In diesem Kapitel stellen wir aktuelle Anleitungen und
Werkzeuge für Netzwerkadministratoren vor.
1.1 Sicheren Gastzugang für LAN und
WLAN realisieren
Wer einen Internetzugang für Gäste einrichten will, muss sein LAN vor unbefugten
Zugriffen abschotten. Die kostenlose FreeBSD- Firewall M0n0wall bietet
mit dem sogenannten Captive Portal eine komfortable und einfach einzurichtende
Hotspot-Lösung. Das Captive Portal leitet Benutzer zunächst auf eine Webseite,
auf der sie Zugangsdaten eingeben müssen, bevor sie ins Internet gelangen. Damit
lassen sich auch – spannend für Hotels oder Gaststätten – Lösungen realisieren, in
denen ein Voucher verkauft wird, das dann einmal gültige Zugangsdaten enthält.
Ähnliche Lösungen sind auch für viele WLAN-Router via Firmware verfügbar; diese
kosten allerdings oft eine Menge Geld.
Als Basis für diese Konfi guration verwenden wir die kostenlose Firewall M0n0wall
(http://m0n0.ch/wall/). Diese mit weniger als 6 MByte extrem kleine FreeBSD-
Distribution lässt sich problemlos auf älteren Systemen verwenden und von Compact
Flash oder USB starten. Zudem bietet sie neben dem Captive Portal viele interessante
Features wie VLAN-Support, IPsec- und PPTP-VPN, DynDNS, Traffi c
Shaping und Wake on LAN.
Die Mindestanforderungen an das zu verwendende System sind sehr moderat, da
die M0n0wall zur Verwendung auf Embedded Systemen ausgerichtet ist. Ein Pentium
III und 64 MByte RAM reichen für eine 100-MBps-Netzwerkverbindung.
Soll ein Gigabit-Link bedient werden, empfi ehlt der Programmierer einen P4 mit
2,4 GHz. Als Boot-Medium haben Sie die Wahl zwischen CD-ROM, USB oder
Festplatte. Letztere können Sie mittels eines Adapters auch durch eine CF-Karte
ersetzen. Dazu sind mindestens zwei LAN-Ports erforderlich.
1.1.1 Installation der M0n0wall
Die grundlegende Installation der M0n0wall geht recht schnell vonstatten. Nach
dem Download des Images (raw CF/HD image for generic PCs) wird dieses mit
dem ebenfalls auf der Website zu fi ndenden Tool physdiskwrite auf USB oder
Harddisk geschrieben.
10 www.TecChannel.de

physdiskwrite
Sicheren Gastzugang für LAN und WLAN realisieren
Das Tool zeigt Ihnen eine Auswahl der gefundenen Datenträger. Achten Sie darauf,
den richtigen auszuwählen. Unter Linux verwenden Sie statt physdiskimage einfach
die Befehlszeile
gunzip -c | dd of=/dev/XXX bs=16k
Ersetzen Sie dabei das XXX durch den Gerätenamen des Speichermediums, beispielsweise
hda.
Konzentration: Bei einer Falscheingabe ruinieren Sie die Daten auf der Festplatte.
Wenn Sie ein CD-ROM im Router-System haben, können Sie auch das CD-Image
der M0n0wall herunterladen und brennen.
1.1.2 Erster Start der M0n0wall
Danach sind Sie schon bereit für die Einrichtung des Systems. Im Falle eines Starts
von CD-ROM benötigen Sie zusätzlich noch einen USB-Stick für die Speicherung
der Konfi gurationsdaten. Das Medium muss mit FAT formatiert sein. Nun können
Sie die M0n0wall booten, und ein kurzer Wizard führt Sie durch die grundlegende
Einrichtung. Die Schritte sind ganz einfach:
Als Erstes sind die Schnittstellen einzurichten, denen Sie auch gleich ihre Funktion
zuweisen. Dabei steht LAN für das lokale Netzwerk, WAN für den Weitverkehrszugang
und OPT für sonstige Netzwerke. In diesem Fall wird das Gastnetz als
LAN konfi guriert und die Verbindung ins Internet als WAN. Mittels der Funktion
„autodetect“ erleichtert M0n0wall das Identifi zieren der Schnittstellen. Dazu sollte
zunächst kein Kabel angeschlossen sein. Erst wenn das System Sie dazu auffordert,
schließen Sie das jeweilige Netzwerkkabel an. M0n0wall entdeckt den Statuswech-
webcode: 1768961 11

1. Netzwerk-Praxis
sel (link-up) an der Netzwerkkarte und identifi ziert diese richtig. Klappt das nicht,
müssen Sie über den Namen der Karte gehen. Hinweise zur Benennung der Karten
gibt das M0n0wall-Handbuch (http://doc.m0n0.ch/handbook/).
Suche: Die Zuordnung der Netzwerkschnittstellen gestaltet sich nicht ganz einfach.
Danach ist ein Reboot fällig. Im Anschluss können Sie im zweiten Schritt die
LAN-Adresse ändern und den DHCP für die LAN-Clients konfi gurieren.
Feinschliff: Über das Web-Frontend der M0n0wall nehmen Sie die weitere Konfi guration vor.
12 www.TecChannel.de

Sicheren Gastzugang für LAN und WLAN realisieren
Die weitere Konfi guration erfolgt über die Web-Schnittstelle der M0n0wall. Dazu
rufen Sie einfach von einem Rechner im Gastnetz die URL http://192.168.1.1 auf,
sofern Sie die IP-Konfi guration des LAN-Adapters nicht geändert haben. Der Benutzername
ist admin und das dazu passende Kennwort mono. Letzteres sollten Sie
umgehend unter „General Setup“ ändern.
1.1.3 Konfi guration
Ziel unserer Lösung ist es, ein separates Netzwerksegment zu erzeugen, in dem die
für Gäste zugänglichen Access Points durch die M0n0wall vom Firmen-LAN abgeschottet
sind. Daher gestaltet sich die Einrichtung des WAN-Interfaces wie folgt:
Die M0n0wall soll von einem DHCP-Server im Firmennetz eine IP-Adresse sowie
die sonstigen Parameter wie Default Gateway und DNS-Server beziehen. Dazu
stellen Sie unter „Interfaces / WAN“ den Eintrag „Type“ auf DHCP.
Abgeschottet: Die Gäste sollen sich in einem eigenen Segment tummeln.
Im nächsten Schritt wird die Hotspot-Funktion scharf geschaltet. Dazu rufen Sie
das Menü „Services / Captive portal“ auf und schalten das „Captive portal“ ein.
Die Schnittstelle sollte LAN sein, denn an diesem Segment hängen die Gäste.
Unter „Authentication“ stellen Sie „Local user manager“ ein. Damit überlassen Sie
die Benutzerverwaltung der M0n0wall. Wichtig ist, dass Sie bei „Portal page contents“
eine HTML-Seite hochladen, damit das Login funktioniert. Eine solche Seite
könnte beispielsweise so aussehen:
Meinefi rma.de - WLAN-Zugang für Gäste
WLAN-Zugang zum Internet für unsere Gäste
webcode: 1768961 13

1. Netzwerk-Praxis
Bitte geben Sie Benutzernamen und Passwort an oder Ihren
➥ Voucher-Code
Benutzername:
Passwort:
Voucher:
➥
1.1.4 Aktivieren des Hotspots
Nach dem Speichern der Änderungen können Sie über den integrierten Benutzermanager
verschiedene User anlegen – achten Sie aber darauf, dass Sie den Tab
„Users“ bei „Services / Captive portal“ verwenden und nicht den generellen Benutzer-Manager
der M0n0wall („System / User manager“). Wenn Sie die aktuelle
Beta-Version installiert haben, können Sie auch das Voucher-System nutzen – etwa
für eine Gaststätte. Die Einrichtung und Nutzung des Voucher-Systems ist im
M0n0wall-Handbuch detailliert beschrieben.
Wer darf: Im integrierten Benutzer-Manager legen Sie die User-Kennungen an, die über den Hotspot
das Internet nutzen dürfen.
Damit sind die grundlegenden Arbeiten erledigt. Wenn Sie jetzt von einem Rechner
im Gastnetz aus das Internet nutzen wollen, gelangen Sie zunächst zur Anmeldemaske.
Erst nach Eingabe der richtigen Daten können Sie weitersurfen.
14 www.TecChannel.de

Sicheren Gastzugang für LAN und WLAN realisieren
Nicht schön, aber funktional: Das Login für den Hotspot. Sie sollten etwas mehr Mühe in das Design
investieren als wir.
Über das Menü „Status / Captive portal“ können Sie nun jederzeit einsehen, was
gerade in Ihrem Gastnetz passiert. Über „Status / Traffi c“ erhalten Sie ständig aktuelle
Informationen über den Datenverkehr. Wenn Sie verhindern wollen, dass
Ihre Gäste zu viel Bandbreite verbrauchen, können Sie später noch das Traffi c Shaping
aktivieren („Firewall / Traffi c shaper“).
Status: M0n0wall gibt einen aktuellen Überblick über die Hotspot-Funktionen.
1.1.5 Sicherheitsregeln und Add-ons
Zu guter Letzt sollten Sie noch ein paar Firewall-Regeln erstellen, die die Möglichkeiten
der Gäste einschränken. Zunächst sollten Sie den Zugriff auf Ihr LAN ausschließen
– die Gäste dürfen lediglich mit dem Internet kommunizieren. Welche
Protokolle Sie zulassen wollen, bleibt Ihnen überlassen. Machen Sie sich aber die
jeweils möglichen Konsequenzen klar. Wenn Sie außer HTTP, HTTPS und POP3
beispielsweise noch SMTP freigeben, besteht die Gefahr, dass über Ihr Netzwerk
massenhaft Spam versendet wird.
webcode: 1768961 15

1. Netzwerk-Praxis
Da die Web-GUI der M0n0wall über das LAN erreichbar ist, sollten Sie abgesehen
vom geänderten Passwort auch den Port verändern, auf dem der Web-Server
lauscht. Oder Sie richten über „Firewall / NAT“ eine Regel ein, die WAN-Traffi c
(also aus dem Firmennetz) auf die LAN-IP der M0n0wall (also das Gastnetz) weiterleitet.
Dann können Sie aus Ihrem Firmennetz heraus die M0n0wall verwalten.
Der Speicherplatz ist bei einer M0n0wall-Installation auf Compact Flash stark beschränkt.
M0n0wall bietet jedoch zum Glück die Möglichkeit, Log-Einträge an einen
externen Syslog-Server zu schicken. Ein solcher ist bei Linux schon integriert,
für Windows gibt es mit dem Kiwi-Syslog-Daemon (www.kiwisyslog.com/kiwisyslog-daemon-overview/)
einen kostenlosen Syslog-Server für Windows.
Mike Hartmann
16 www.TecChannel.de
Mike Hartmann leitet das Ressort Software und Netzwerke bei TecChannel. Seit
seinem Studium der Informatik beschäftigt er sich intensiv mit kleinen und großen
Netzwerken. Daneben gehört seit Anbeginn sein Interesse Sicherheitsfragen. Seine
journalistische Laufbahn startete er Mitte der 90er Jahre bei der PC Professionell.
TecChannel-Links zum Thema Webcode Compact
Sicheren Gastzugang für LAN und WLAN realisieren 1768961 S.10
Firewall-Grundlagen 401639 –
IPCop – Die Profi -Linux-Firewall-Distribution 433444 –
So funktionieren TCP/IP und IPv6 401211 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.

Aus der Ferne an den Server – VNC-Verbindungen schützen
1.2 Aus der Ferne an den Server –
VNC-Verbindungen schützen
Wie ist man eigentlich vor VNC mit der Administration von mehr als einem Server
klargekommen? Das praktische Tool ist ideal, wenn man wenig Platz und viele
Computer hat oder aus der Ferne Support leisten muss. In puncto Sicherheit ist
VNC allerdings eher schwach bestückt. Doch Ableger des Original-VNC und Zusatztools
schließen auch diese Lücke.
Als die ersten Programme zur Fernsteuerung von Computern aufkamen, ging es
meist um den halbwegs schnellen Zugriff auf den eigenen Rechner über quälend
langsame Telefonleitungen und analoge Modems mit 9600 Bit pro Sekunde. Das
war die Geburtsstunde von Programmen wie PC Anywhere, Carbon Copy oder
Remotely-Anywhere. Mittlerweile bringt jede Windows-Version mit dem Remote-Desktop
eine eigene Möglichkeit für diese Form des Zugangs mit. Allerdings ist
die Basis des Remote Desktop – das RDP-Protokoll – nur sehr rudimentär implementiert
und muss bei Cross-Plattform-Einsätzen ohnehin passen.
Unentbehrlich:
Der Zugriff per
Remote Desktop
ist eines der
wichtigsten Tools,
nicht nur für Support-Mitarbeiter.
Doch zum Glück gibt es VNC. VNC steht für Virtual Network Computing und
wurde von Mitarbeitern eines AT&T Labors (heute Olivetti & Oracle Research Laboratory)
entwickelt. VNC arbeitet mit einem RFB genannten Protokoll ( Remote
Framebuffer), das vollkommen unabhängig von Betriebssystem, Window-Manager
und Anwendung eingesetzt werden kann. So gibt es mittlerweile Client-Implementationen
für alle Windows-Varianten einschließlich Windows Mobile, verschiedene
Unix- und Linux-Derivate, Palm OS, Netware, Mac OS, Java, DOS,
OS/2, RiscOS und BeOS. Server sind für Unix, Windows, Netware, Symbian und
Mac OS verfügbar. Auch wenn die Implementationen von verschiedenen Quellen
stammen, so ist, zumindest wenn es um die Basisfunktion geht, durch die Verwendung
von RFB das problemlose Zusammenspiel zwischen Client- und Server-
Software sichergestellt, egal unter welchem Betriebssystem.
webcode: 1770145 17

1. Netzwerk-Praxis
Der VNC-Server leitet die Ausgabe des Displays auf einen TCP-Port weiter, per
Default ist das 5900. Dort werden die Display-Daten vom Client abgeholt und die
Maus- und Tastatureingaben weitergeleitet. Ebenfalls möglich ist die Verwendung
eines Browsers als Client. Standardmäßig halten VNC-Server den Port 5800 für
solche Anfragen offen, er kann jedoch ebenfalls frei gewählt werden.
1.2.1 Variationen eines Themas
Das ursprüngliche VNC wird auch heute noch als RealVNC bezeichnet und ist unter
www.realvnc.com zu fi nden. Lange Zeit war es still um die „Mutter des VNC“
– seit 2002 gibt es auch einen kommerziellen Ableger, der das Projekt weiterführt
und neben den kostenpfl ichtigen auch eine, stark funktionsbeschränkte, kostenlose
Version anbietet. Aktuell ist die Version 4.4. Doch in der Ruhepause waren andere
Entwickler nicht untätig und haben zahlreiche eigene Versionen von VNC
entwickelt. Ein paar Dutzend eigenständige oder auf dem ursprünglichen VNC
basierende Variationen sind im Internet zu fi nden. Viele Administratoren schwören
auf die eine oder die andere Implementation, zum Teil ist das Geschmacksache,
es gibt allerdings auch deutliche Unterschiede im Funktionsumfang der Produkte.
In jedem Fall sind Varianten mit einer aktiven Entwicklergemeinde sowie
regelmäßigen Releases und Patches für den professionellen Einsatz sinnvoll. Nur
so ist sichergestellt, dass Sicherheitslücken schnell und kompetent behoben werden.
Zwei der wichtigsten VNC-Ableger sind TightVNC und UltraVNC.
1.2.2 TightVNC und UltraVNC
TightVNC (www.tightvnc.com) wird aktiv weiterentwickelt, es ist voll kompatibel
mit dem originalen VNC und beinhaltet auch eine einfache Funktion für den Dateitransfer
zwischen Server und Client. Besonderer Clou ist eine Encoding-Variante
der übertragenen Grafi kdaten. Das „Tight“ Encoding ist speziell für langsame
Verbindungen ausgelegt und macht das Arbeiten mit der Software selbst über
ISDN-Leitungen sehr komfortabel. TightVNC gibt es für alle Desktop- und Server-Plattformen
von Windows sowie für Linux und Unix. Eine reine Java-Implementation
des Viewers ist ebenfalls erhältlich. TightVNC enthält auch einen sogenannten
Mirror-Driver für die 32-Bit-Windows-Betriebssysteme, der die
Bildschirmwiedergabe beschleunigt.
Auch UltraVNC (www.uvnc.com) ist vollständig mit dem Original kompatibel.
Diese Variante gibt es jedoch nur für Windows. Sie bietet Authentifi zierung sowohl
über ein Passwort als auch über die NT-Domäne oder den Active-Directory-
Verzeichnisdienst. Wie bei TightVNC sind unterschiedliche Zugriffsstufen, Viewer-Only
und Vollzugriff möglich. Auch hier sorgt ein spezieller Grafi ktreiber für
schnelle Bildschirm-Updates. Dazu kann man noch Chat-Fenster zwischen Host
und Client aufbauen und Dateien zwischen den beiden PCs transferieren.
18 www.TecChannel.de

Aus der Ferne an den Server – VNC-Verbindungen schützen
Mittlerweile ist UltraVNC auch mit den entsprechenden Anpassungen für Vista
versehen worden, sodass der Bildschirmaufbau auch für Microsofts neuestes
Desktop-Betriebssystem beschleunigt und UAC unterstützt wird.
Eigener Treiber: Zur
Beschleunigung der
Applikation verwenden
TightVNC und UltraV-
NC eigene Treiber,
nicht unbedingt zur
Freude von Windows.
Allerdings ist es um die Sicherheit nach der Passworteingabe schlecht bestellt. Diese
übermittelt einen, mit einer Challenge/Response-Abfrage geschützten und per
DES verschlüsselten, String. Während das Passwort noch verschlüsselt wird, wandern
die folgenden Daten im Klartext über das Netzwerk, wo sie problemlos mitgeschnitten
werden können. Um diesem Problem abzuhelfen, gibt es generell zwei
Möglichkeiten. Die erste ist, ein VNC-Produkt zu verwenden, das eine Form der
Verschlüsselung als Zusatzoption anbietet. Dazu gehören VeNCrypt, PowerVNC
und UltraVNC. Die zweite Möglichkeit ist, einen sicheren Tunnel zwischen Host
und Client aufzubauen und die VNC-Daten darüber zu schicken. Die bekanntesten
Tools dafür sind SSH und ZeBeDee.
1.2.3 Grundinstallation
Unter Windows ähnelt sich die Installation aller VNC-Varianten und ist so simpel,
dass eigentlich jede Anleitung überfl üssig ist. In puncto Sicherheit sollte man
jedoch ein paar Details beachten: Diese drehen sich vor allem um den Schutz vor
unbefugter Nutzung durch Dritte. Server und Client sind getrennt verfügbar, und
sollten auch nur jeweils dort installiert werden, wo sie unbedingt benötigt werden.
Beim Einsatz für Remote-Support hat der Viewer beispielsweise auf Arbeitsplätzen
nichts verloren, der Server gehört nicht auf die hoch privilegierten Workstations
der Administratoren. Meist kann auch festgelegt werden, ob der Server als Dienst
oder als Anwendung laufen soll.
webcode: 1770145 19

1. Netzwerk-Praxis
Selektiv: Nicht jede Komponente gehört auf jedes System.
Geht es darum, Computer im lokalen Netz dauerhaft für die Administration bereit
zu machen, ist der Einsatz als Service empfehlenswert. Damit startet der Server bei
jedem Booten automatisch und wartet auf Verbindungen. Wenn es nur um gelegentlichen
Support bei Benutzern geht, möglicherweise in einer externen Firma,
dann ist der Applikationsmodus die bessere Wahl. So ist das Einfallstor VNC per
Default geschlossen – eine Session erfordert das aktive Mitwirken des Benutzers
vor dem Arbeitsplatz.
Windows-Dienst: Mitunter kann es sinnvoll sein, den VNC-Host als Windows-Dienst einzurichten.
Zusätzlich sind über das Optionsmenü verschiedene Einstellungen, ebenfalls je
nach VNC-Variante, möglich, die den Zugriff weiter einschränken. Beispielsweise
kann man ein Fenster einblenden lassen, das den Benutzer um Erlaubnis für den
Zugriff bittet und bei fehlender Bestätigung abbricht. Wie mit den meisten manuellen
Sicherheitsvorkehrungen kann so etwas bei einem Fehler aber auch schnell
dazu führen, dass das Remote-Troubleshooting scheitert.
20 www.TecChannel.de

1.2.4 Verschlüsselung
Aus der Ferne an den Server – VNC-Verbindungen schützen
Da ist es doch besser, auf Verschlüsselung und Key-Dateien zu setzen, wie es UltraVNC
anbietet: Diese VNC-Variante kann Verbindungen über sogenannte DSM-
Plug-ins ( Data Stream Modifi cation) verschlüsseln. Es gibt zurzeit drei Varianten,
die sicherste ist eine Implementation von AES mit 128 Bit Schlüssellänge. Der Host
kann ein Key-File lesen und mit dem Key-File des Viewers vergleichen, es ist aber
nicht unbedingt notwendig. Sobald das AES-Plug-in auf beiden Seiten eingesetzt
wird, verschlüsselt es die Verbindung. Die Authentifi zierung läuft dann nur über
das VNC-Passwort.
Plug-in aktivieren: Sobald
das Plug-in im Programmverzeichnis
von UltraVNC liegt,
kann es aktiviert werden.
Für die Nutzung der Plug-ins lädt man die gepackte Datei des gewünschten Plugins
herunter und extrahiert die Dateien in das UltraVNC-Programmverzeichnis,
in der Regel in C:\Programme\UltraVNC. Im Prinzip reicht die Datei mit der Endung
„.dsm“, die anderen Files dienen nur der Information. Die „.dsm“-Datei
muss sowohl auf dem Host als auch auf dem Client in das Verzeichnis kopiert
werden. Wer jetzt in den Admin-Optionen auf das Auswahlfeld für das DSM-
Plug-in unten links geht, fi ndet in der Liste das neu installierte Modul und kann es
per Mausklick freischalten. Auf dem Server ist ein Restart von UltraVNC nötig,
bevor die Änderung akzeptiert wird. Wählt man auch beim Client in den Optionen
das Modul aus, ist schon die nächste Verbindung verschlüsselt. Allerdings ist
mit diesem Verfahren die Passwortabfrage die einzige Barriere gegen unberechtigten
Zugriff, schließlich kann auch ein Angreifer das DSM-Modul herunterladen
und installieren. Darum sollten Sie auch passende Key-Dateien auf beiden Seiten
nutzen, um die Authentifi zierung zu stärken.
webcode: 1770145 21

1. Netzwerk-Praxis
1.2.5 Eigenen Schlüssel erzeugen
Um einen Schlüssel zu erzeugen, öffnen Sie den UltraVNC-Client und klicken auf
den Button „Confi g“ neben dem ausgewählten DSM-Modul. Der Suchdialog nach
einer passenden Key-Datei wird angezeigt – tragen Sie einen Dateipfad und den
Namen der Key-Datei (wie vorgeschlagen, allerdings ohne das vorangestellte
„new_“) in das Feld ganz unten ein. Der Pfad ist nicht unwichtig, so liegt das File
dort, wo es hingehört, und Sie müssen es nicht suchen. Ein weiterer Klick auf den
Button „Gen Key“ reicht – die Key-Datei ist fertig. Diese muss ebenfalls in das
Programmverzeichnis von UltraVNC kopiert werden und zwar auf der Client-
und auf der Host-Seite!
22 www.TecChannel.de
Schlüssel erzeugen: Bei der
Schlüsselerzeugung unbedingt
auf den richtigen Dateinamen
achten.
Es sind zwar noch weitere Stellen im Dateisystem von Windows möglich, an denen
UltraVNC die Datei fi ndet, aber im Programmverzeichnis ist es am besten
aufgehoben. Wenn Sie nun im Client oder auf dem Host den „Confi g“-Button für
das DSM-Modul in den Admin-Optionen wählen, müsste im Ausgabefenster die
Meldung „KEY FILE FOUND“ und „Using Key File“ erscheinen.
Geschafft: Jetzt nur noch den
Schlüssel auf Server und Client
kopieren.
Eine Verbindung kommt ab jetzt nur noch zustande, wenn beide Computer über
ein identisches Key-File verfügen. UltraVNC zeigt die korrekte Verschlüsselung
während einer Session in der oberen Fensterleiste und bei den Verbindungsoptionen
an. Im Test funktionierten auch Verbindungen zwischen unterschiedlichen
UltraVNC-Versionen, solange sie zumindest neuer als 1.0 waren.

Verschlüsselt: Ab jetzt kann niemand mehr mitlauschen.
1.2.6 Einfach mit SSH
Aus der Ferne an den Server – VNC-Verbindungen schützen
Wer mit anderen VNC-Varianten arbeiten oder weitere Anwendungen schützen
möchte, ist auf die Trennung von Sicherheit und Applikation angewiesen. Der
grundsätzliche Vorgang der sicheren Tunnelung ist immer gleich:
Ein Teil der Tunnel-Software nimmt auf dem Client die Daten vom VNC-Client
entgegen und schickt sie an den anderen PC. Dort werden sie von der Gegenstelle
der Tunnel-Software angenommen und an den VNC-Host weitergereicht. Der
Tunnel selbst ist verschlüsselt, und die Daten liegen nur im Arbeitsspeicher der
beiden PCs im Klartext vor.
Wichtiger Hinweis: Per Default sind in den Admin-Optionen von VNC die sogenannten Loopback
Connections abgeschaltet, Verbindungen mit localhost also verboten. Weil VNC bei Verwendung
eines Tunnels die Daten nur an den localhost übergibt, müssen Sie auf dem Host die Option Loopback
Connections erlauben.
Der Königsweg für den Tunnel zwischen Server und Client ist der Einsatz von SSH
(Secure Shell). SSH ist für die Anwendung völlig transparent – die Anwendung,
egal ob VNC, Telnet, FTP oder etwas anderes, kommuniziert mit ihren Gegenstellen
abgeschottet in einem verschlüsselten Tunnel. Ein Authentisierungsmechanismus
kann dafür sorgen, dass sich, ähnlich wie bei den DSM-Modulen von Ultra-
VNC, kein Rechner im Internet erfolgreich als ein anderer ausgeben kann.
webcode: 1770145 23

1. Netzwerk-Praxis
Weder beim Aufbau noch bei der Nutzung einer Verbindung überträgt Secure
Shell Daten unverschlüsselt. Hierbei sorgt ein asymmetrisches Verschlüsselungsverfahren
für die Geheimhaltung der verwendeten Schlüssel. Das kann allerdings
kräftigen Konfi gurations- und Lernaufwand erfordern, je nachdem wie sicher die
Verbindung ausgestaltet werden soll. Einfacher machen es vorgefertigte SSH-
Komponenten, die ohne viel Konfi guration auskommen.
1.2.7 SSH-Komponenten für VNC
Ein Programm für diesen Zweck ist SSHVNC (freshmeat.net/projects/sshvnc/).
Die Software übernimmt den Client-Part der SSH-Verschlüsselung und enthält einer
VNC-Viewer, sodass man darüber direkt mit einem Server kommunizieren
kann. Zusätzlich sind verschlüsselte Telnet-, FTP- und Remote-Shell-Sessions
möglich. Im Prinzip handelt es sich dabei um eine Kombination des TightVNC-
Viewers mit dem VNC-Modul der SSHTools (sourceforge.net/projects/sshtools).
SSH eingebaut: SSHVNC hat die notwendigen Komponenten für den SSH-Zugang gleich eingebaut.
Der Nachteil: SSHVNC liegt seit vier Jahren in Version 0.1.3 vor. Die Software
funktioniert zwar, wird aber augenscheinlich nicht mehr gepfl egt und weiterentwickelt.
Auf dem Client verlangt SSHVNC lediglich die IP-Adresse oder den Host-
Namen des Servers sowie einen Benutzernamen für SSH. Das Tool baut eine Verbindung
auf, fragt nacheinander das Passwort für SSH und VNC ab und startet
eine VNC-Session.
Fehlt nur noch der SSH-Server auf dem Host. Bei Linux und Unix ist der Anwender
fein raus, hier gehört ein SSH-Server zur Grundausstattung, er ist in allen aktuellen
Linux-Distributionen enthalten. Bei Windows konnte man lange Zeit nur
auf kommerzielle und damit kostenpfl ichtige Angebote oder OpenSSH/CopSSH
(Webcode 401973) zurückgreifen. OpenSSH ist zwar eine sehr leistungsfähige Lösung,
doch die Konfi guration stellt den Administrator vor einige Hürden.
24 www.TecChannel.de

Aus der Ferne an den Server – VNC-Verbindungen schützen
Mittlerweile gibt es jedoch eine einfachere Alternative: FreeSSHd. Die Software ist
schnell installiert, einfach einzurichten und kostenlos, ideal für den schnellen und
sicheren VNC-Zugang. Sie kann entweder automatisch beim Start von Windows
mitgeladen oder nur auf Wunsch aus dem Programme-Menü aufgerufen werden.
Neben SSH sind auch ein sFTP- und ein Telnet-Server integriert.
SSH für Windows:
FreeSSHd bietet einen
SSH-Server ohne den
Cygwin-Umweg.
Wer es ganz schnell und simpel haben will, kann die eingebaute Benutzerverwaltung
von FreeSSHd nutzen oder sich über die Windows-User-Datenbank authentifi
zieren. Für SSH wird auch ein Public-Key unterstützt.
1.2.8 Alles mit SSH
Wenn der SSH-Server ohnehin schon steht, ist der Schritt zum kompletten Tunnel
nicht weit. Ganz ohne vorgefertigte Hilfsmittel kommt man mit einem SSH-
Client aus, über den die VNC-Daten getunnelt werden. Am bekanntesten in der
Windows-Welt ist PuTTy. Auch hier ist die Installation ein Kinderspiel, und wer
auf Public-Keys zur Authentifi zierung verzichtet, muss auch bei der Konfi guration
nur zwei Einträge beachten. Zunächst den Namen oder die IP-Adresse des
VNC-Hosts und dann die eigentliche Port-Weiterleitung. Die fi ndet sich im Abschnitt
SSH unter Tunnel. Im Feld Source-Port wählen Sie einen beliebigen freien
Port des lokalen Rechners. Dort nimmt PuTTy die VNC-Daten des Viewers entgegen
und schickt sie dann – Eintrag Destination – an den Host-Namen oder die IP-
Adresse und den VNC-Port des Hosts. Per Default liegt VNC immer auf Port
webcode: 1770145 25

1. Netzwerk-Praxis
5900, darum ist Host-seitig keine weitere Konfi guration nötig. Der Ablauf sieht
nun so aus: Zuerst etablieren Sie den SSH-Tunnel, indem Sie die Verbindung über
PuTTy per Open aufbauen. Bei der Passwort-Authentifi zierung öffnet sich nun
ein Fenster, das Benutzername und Passwort abfragt.
Danach meldet sich der SSH-Server mit seiner Begrüßungsmeldung. Nun starten
Sie den VNC-Viewer. Er soll in unserem Beispiel über Port 5500 kommunizieren,
darum wird im Adressfeld des Viewers der eigene PC mit dem Eintrag localhost::5500
kontaktiert. Wichtig sind die beiden Doppelpunkte in der Mitte. Die
Daten laufen jetzt zum lokalen Port 5500, werden von PuTTy entgegengenommen,
verschlüsselt und auf Port 22 zum Host übertragen. Dort nimmt sie der
SSH-Server in Empfang, entschlüsselt sie und gibt sie, wie in PuTTy konfi guriert,
an den wartenden VNC-Host auf Port 5900 weiter.
26 www.TecChannel.de
PuTTy: Der Windows-Client
PuTTy lässt sich schnell
einsetzen.
Klappt alles, will VNC nun das Passwort zur Anmeldung haben. Das Tunneling
mit SSH funktioniert auch, wenn man die DSM-Module von UltraVNC einsetzt,
doppelt gemoppelt also.
1.2.9 ZeBeDee – einfacher als SSH
Noch einfacher und unkomplizierter lässt sich dieselbe Aufgabe mit ZeBeDee
(www.winton.org.uk/zebedee/) absolvieren. Der Name kommt von Zlib Compression,
Blowfi sh Encryption und Diffi e-Hellman Schlüsselverwaltung. Das Tool

Aus der Ferne an den Server – VNC-Verbindungen schützen
ähnelt SSH in vielen Belangen. Es baut einen Tunnel zwischen Client und Server
auf und sichert diesen durch starke Verschlüsselung. ZeeBeDee unterstützt zudem
das Tunneling von UDP-Paketen.
Weil der Autor Wert auf besonders einfache Handhabung gelegt hat, ist ein ZeBe-
Dee-Tunnel fast ohne Konfi guration aufsetzbar. Gerade diese Eigenschaft macht
ZeBeDee interessant für Administratoren, die ihre VNC-Verbindung ohne großen
Aufwand sichern wollen. Dazu laden Sie einfach die Datei herunter und entpacken
sie in ein Verzeichnis auf Client und Host. ZeBeDee ist ein reines Kommandozeilen-Tool,
das eine ganze Menge kann. Wer sich dafür interessiert, fi ndet auf
www.winton.org.uk/zebedee/manual.html die ausführliche, englische Beschreibung.
Auf die Schnelle etabliert man einen VNC-Tunnel jedoch so:
Auf dem Host starten Sie die ausführbare Datei zebedee.exe in einem DOS-Fenster
mit dem Parameter -s: zebedee.exe -s. Das Fenster lassen Sie offen, ZeBe-
Dee wartet im Hintergrund auf eine Verbindung. Am Client öffnen Sie ebenfalls
ein DOS-Fenster und starten zebedee.exe mit den Parametern localport:ip-adresseoder-hostname:remoteport.
Um beim Beispiel von SSH zu bleiben: zebedee.exe
5500:193.175.100.201:5900. Nun können Sie den VNC-Viewer starten und
analog zum SSH-Beispiel die Adresse localhost::5500 eingeben.
1.2.10 Fazit
Für kleine Firmen, die VNC ausschließlich im LAN benutzen, reichen die Authentifi
zierung per Passwort und dessen DES-Verschlüsselung in der Regel aus. Doch
erst zusätzliche Sicherheitsmaßnahmen wie das Tunneling über SSH oder Zebe-
Dee machen aus dem Tool eine rundum praxistaugliche Anwendung, die auch
über das Internet sicher einsetzbar ist – etwa um Außenstellenmitarbeitern Support
per Remote Desktop zu geben.
Elmar Török
Elmar Török arbeitet seit 1993 als Autor und Fachjournalist im Bereich Netzwerke und Telekommunikation.
Mittlerweile hat er neben zwei Büchern einige Hundert Artikel für zahlreiche Medien – online wie
offl ine – geschrieben, darunter PC Professionell, LANline, c‘t, IT-Administrator, sueddeutsche.de und
TecChannel.
TecChannel-Links zum Thema Webcode Compact
Aus der Ferne an den Server – VNC-Verbindungen schützen 1770145 S.17
Die besten Netzwerk-Tools für kleine und mittlere Windows-LANs 461560 –
SSH statt VPN - sicher und kostenlos Daten austauschen 1770145 –
Tipps zur Wahl der richtigen VPN-Technik 1737650 –
webcode: 1770145 27

1. Netzwerk-Praxis
1.3 Shell Scripting im Netzwerk
Mit Scripts lassen sich Arbeiten im Netzwerk vereinfachen und automatisieren. Im
vierten Teil unserer Serie „ Shell Scripting unter Windows 2003“ stellen wir Ihnen
Scripte rund um den Einsatz im Netzwerk vor.
Unter Linux sind Scripte der Alltag, mittlerweile holt auch die Windows-Fraktion
auf. Spätestens, seit Microsoft die Power Shell eingeführt hat, sind auch unter Windows
komplexe und hilfreiche Scripte möglich. In diesem Artikel stellen wir Ihnen
Scripte für den Einsatz im Netzwerk vor.
Die anderen Teile dieser Serie fi nden Sie online auf TecChannel.de. Jeder einzelne
Artikel behandelt ein anderes Themengebiet, vertreten sind die Bereiche Allgemeinen
Problemstellung (Webcode 1761680), Datei- und Systemverwaltung (Webcode
1761681) sowie ActiveDirectory (Webcode 1761685).
1.3.1 Domain Controller fi nden
Das folgende Script kann als Test verwendet werden, ob die DNS-Einträge für den
Beitritt zu einer Domäne richtig konfi guriert sind. Alternativ lässt sich damit auch
einfach ein Domain Controller für die angegebene Domain fi nden.
Parameter
Code
%1 = DNS-Name der Domain
@echo off
:: haben wir einen parameter?
if x%1 == x (echo Bitte DNS-Namen der Domain angeben.) &
➥ goto :eof
:: DNS-Abfrage nach dem service record und suche der hosts
:: ACHTUNG! Das folgende Kommmando ist eine logische Zeile!
nslookup -type=SRV _ldap._tcp.dc._msdcs.%1 2> nul | fi nd
➥ "hostname" > %temp%\dclist.txt
:: nichts gefunden? dann fehlermeldung ausgeben
if errorlevel 1 (echo Kein DC fuer %1 gefunden.) & goto :eof
:: verarbeiten der liste der domain controller
call :process %temp%\dclist.txt
if defi ned DCNAME echo Domain Controller fuer %1: %DCNAME%
:: shell script beenden
goto :eof
28 www.TecChannel.de

Shell Scripting im Netzwerk
:: verarbeiten der liste der domain controller
:process
set DCNAME=
if not exist %1 (echo Datei %1 existiert nicht) & goto :eof
if %~z1 == 0 (echo Datei %1 ist leer) & goto :eof
for /F „delims== tokens=2“ %%f in (%1) do @set DCNAME=%%f
set DCNAME=%DCNAME: =%
del %temp%\dclist.txt
goto :eof
Funktion
Zu Beginn wird geprüft, ob überhaupt ein Domänenname angegeben wurde. Falls
nicht, wird eine entsprechende Meldung ausgegeben und der Batch beendet.
Danach folgt der Kern des Shell Scripts. Über einen Aufruf von nslookup wird
nach den DNS Service-Records für den Eintrag der Domain Controller gesucht.
Dazu wird über die Option -type der Abfragetyp auf SRV-Einträge umgestellt
und dann nach dem LDAP-Eintrag auf TCP-Basis für den Namen der Domäne
gesucht. Falls der DNS-Server einen Eintrag fi ndet, liefert nslookup die unten
stehende Ausgabe (hier am Beispiel der Demo-Domain shellbook.local).
C:\tmp>nslookup -type=SRV _ldap._tcp.dc._
➥ msdcs.shellbook.local
Server: localhost
Address: 127.0.0.1
_ldap._tcp.dc._msdcs.shellbook.local SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = silicony.shellbook.local
silicony.shellbook.local internet address = 192.168.229.11
C:\tmp>
Wir sind nur an der Zeile interessiert, die mit „scr hostname“ beginnt. Hier fi ndet
sich der DNS-Name des jeweiligen Domain Controllers. Um diese Information
für die spätere Verarbeitung zu speichern, wird die Ausgabe in eine Datei umgeleitet.
Dazu dient der Teil hinter nslookup.
2> nul | fi nd "hostname" > %temp%\dclist.txt
Die Fehlerausgabe (falls kein DNS-Eintrag gefunden wird, geht das berüchtigte
„non-existant domain“ statt nach StdErr ins Null-Device) wird ignoriert.
Die Ausgabe für StdOut wird per Piping an fi nd übergeben, das nach dem String
hostname sucht. Sollten bei der Abfrage mehrere Domain Controller gefunden
werden, enthält die Datei dclist.txt nach der Ausführung mehr als eine Zeile.
Wir verwenden dann den letzten gefundenen Eintrag (mehr dazu weiter unten).
webcode: 1761686 29

1. Netzwerk-Praxis
Jetzt wird der durch fi nd erzeugte Errorlevel geprüft und bei einem Inhalt ungleich
0 eine Meldung ausgegeben, dass kein Domain Controller gefunden wurde.
Verarbeitung der Ergebnisdatei
Im Anschluss folgt die Verarbeitung der Ergebnisdatei. Um hier auch eine Prüfung
auf leere Dateien und andere mögliche Probleme zu ermöglichen, wird nicht direkt
mit dem Lesen der Datei begonnen, sondern über das Kommando call eine
interne Sprungmarke aufgerufen, die als ersten Parameter den Namen der Ergebnisdatei
erhält. Damit Sie nicht zurückblättern müssen, hier nochmals der Teil des
Scripts, der die Verarbeitung der Ergebnisdatei übernimmt.
:: verarbeiten der liste der domain controller
:process
set DCNAME=
if not exist %1 (echo Datei %1 existiert nicht) & goto
:eof
if %~z1 == 0 (echo Datei %1 ist leer) & goto :eof
for /F "delims== tokens=2" %%f in (%1) do @set
DCNAME=%%f
set DCNAME=%DCNAME: =%
del %temp%\dclist.txt
goto :eof
Zuerst wird die Umgebungsvariable DCNAME geleert (falls Sie einen anderen Namen
bevorzugen, verwenden Sie ihn einfach, dann aber überall im Batch). Jetzt
wird sicherheitshalber geprüft, ob die angegebene Datei überhaupt existiert. Danach
folgt ein Test, ob die Datei leer ist oder nicht, indem die Dateigröße auf 0
Byte getestet wird.
Nun wird in einer for-Schleife jede Zeile der Datei gelesen. Als Trennzeichen wird
das Gleichheitszeichen defi niert, und wir lesen das zweite Token (dies ist der Teil
nach dem „=“ mit dem Hostnamen). Dieses Token wird per set in der Variablen
DCNAME gespeichert. Diese Schleife ist auch der Grund, warum bei mehr als einem
Domain Controller immer der letzte verwendet wird. Jeder Durchlauf überschreibt
den vorherigen Inhalt der Umgebungsvariablen. Als kleine Übung können
Sie das Shell Script so umbauen, dass nach der ersten erfolgreichen Zuweisung
die Schleife die Variable nicht mehr belegt. Als Übung für Fortgeschrittene
sollten Sie versuchen, die Schleife so zu ändern, dass bei mehr als einem Domain
Controller alle Hostnamen durch Leerzeichen getrennt in der Variablen DCNAME
enthalten sind.
Nach der for-Schleife werden noch alle eventuell vorhandenen Leerzeichen in
der Variablen entfernt, sodass nur der Hostname übrig bleibt. Die nun nicht mehr
benötigte Datei wird gelöscht, damit folgen das Beenden des Aufrufs und die
Rückkehr zum Hauptbatch.
Wie Sie sehen, ist der Aufwand auch für Aufgabenstellungen, die normalerweise
gleich an VBScript und LDAP denken lassen, mit der Shell nicht sehr groß und
30 www.TecChannel.de

Shell Scripting im Netzwerk
auch für Nichtprogrammierer lösbar. Gerade im Bereich Netzwerk bietet die Shell
mittlerweile von dnscmd über nslookup und bis zu netsh alle Möglichkeiten,
die ein Administrator benötigt.
1.3.2 Netzwerkadresse berechnen
Dieses Script ist aus reiner Faulheit entstanden. In diesem Fall benötigten wir für
eine IP-Adresse im Dialogfeld der TCP/IP-Eigenschaften schnell den Netzwerkanteil.
Leider fi nden sich im Dialogfeld nur die IP-Adresse und die Subnet-Maske.
Dieses Script nimmt Ihnen in Zukunft die Rechnerei ab und ist gleichzeitig ein
gutes Beispiel für den sinnvollen Einsatz von set /a.
Parameter
%1 = IP-Adresse in dezimaler Punktnotation
%2 = Subnetzmaske in dezimaler Punktnotation
Code (Berechnung der Netzadresse aus IP und Subnetmask)
@echo off
if !%1 == ! goto noparm
if !%2 == ! goto noparm
setlocal
:: das for-Kommando ist eine Zeile!
for /F "delims=. tokens=1,2,3,4" %%f in („%1“) do for /F
"delims=. tokens=1,2,3,4" %%m in ("%2") do call :doByte
%%f %%g %%h %%i %%m %%n %%o %%p
::
goto :eof
:noparm
echo Calculate network address from ip and subnet mask
echo.
echo Usage: %0 [ipaddr] [netmask]
echo.
echo Either [ipaddr] or [netmask] is missing ....
goto :eof
:doByte
set /A byte="%1 & %5"
set net=%byte%
set /A byte="%2 & %6"
set net=%net%.%byte%
set /A byte="%3 & %7"
set net=%net%.%byte%
set /A byte="%4 & %8"
set net=%net%.%byte%
webcode: 1761686 31

1. Netzwerk-Praxis
echo Network address = %net%
endlocal
Funktion
Aufruf beispielsweise mit getnetwork.bat72.31.168.10 255.255.240.0
Die Ausgabe Network address = 172.31.160.0 liefert dann die Netzwerkadresse
für eine bestimmte IP anhand der Subnetmaske.
Die Funktion des Scripts selbst ist eigentlich nur eine einzige Demonstration der
Nutzung von set für die Arbeit mit Bitoperatoren. Dazu werden die beiden Parameter
anhand des Trennzeichens „.“ mit zwei for-Schleifen in die einzelnen Bytes
aufgeteilt. Diese werden dann ab der Sprungmarke :doByte logisch UND-verknüpft,
um die Netzwerkadresse zu erhalten.
1.3.3 GetMAC für NT4 und W2K
Ab Windows Server 2003 steht das Kommando getmac zur Verfügung, mit dessen
Hilfe die Mac-Adresse des lokalen Computers ausgegeben werden kann. Diese
Funktionalität soll auch unter Windows 2000 und XP bereitstehen. Die Mac-
Adresse ist durch ipconfi g /all bereits seit Windows 2000 verfügbar. Aus der
entsprechenden Zeile in der Ausgabe muss nun der Wert extrahiert werden. Danach
ist die Ausgabe so zu fi ltern, dass auch nur Zeilen mit einer Ethernetadresse
ausgegeben werden. Sind mehrere Adapter im System verfügbar, soll die Mac-
Adresse für alle Adapter ausgegeben werden. Geben Sie das unten stehende Kommando
ein. Sie erhalten dann eine Ausgabe mit allen defi nierten Mac-Adressen.
ipconfi g /all | fi nd /i „phys“
Das Problem an dieser Ausgabe liegt aber darin, dass Sie nicht feststellen können,
welche Mac-Adresse zu welchem Netzwerkadapter gehört. Ist nur ein Adapter
vorhanden, ist dies kein Problem, und Sie können dieses Kommando verwenden.
Wir möchten Ihnen aber nachfolgend gerne eine etwas komfortablere Version
vorstellen, die den Namen getmac.bat trägt.
Code (Ausgabe der Mac-Adressen ab Windows 2000)
@echo off
echo Liste der Mac-Adressen fuer %computername%
echo.
set action=
for /F "usebackq tokens=*" %%f in (`ipconfi g /all`) do
call :procline "%%f"
goto :eof
:procline
32 www.TecChannel.de

if "%action%" == "getDesc" goto getDesc
if "%action%" == "getMac" goto getMac
echo %1 | fi nd /i "Verbindungsspez" > nul
if errorlevel 1 goto :eof
set action=getDesc
goto :eof
Shell Scripting im Netzwerk
:getDesc
for /F "delims=: tokens=2" %%f in („%~1“) do set output=%%f
set output=%output:~1%
set action=getMac
goto :eof
:getMac
for /F "delims=: tokens=2" %%f in („%~1“) do set
➥ output=%%f = %output%
echo %output%
set action=
goto :eof
Funktion
Mithilfe einer for-Schleife wird die Ausgabe von ipconfi g /all Zeile für Zeile
bearbeitet. Jetzt müssen wir feststellen, wo die Ausgabe eines Adapters beginnt.
Dies ist mit der Ausgabe eines eventuell defi nierten verbindungsspezifi schen DNS-
Suffi x der Fall. Für ein deutsches Windows fi nden Sie den Suchbegriff im fett gedruckten
Wort im Listing. Für den Einsatz mit einem englischen Windows müssen
Sie dieses Wort durch die entsprechende englische Ausgabe (connection-specifi c
DNS suffi x) ersetzen. Der ganze Trick besteht nun darin, sich irgendwie zu merken,
dass nach der Zeile mit dem Suffi x zuerst eine Zeile mit der Beschreibung des
Adapters folgt. Die Zeile nach der Beschreibung ist dann die Zeile mit der Mac-
Adresse. Diese ganze Unterscheidung erfolgt im ersten Block nach der for-Schleife,
den wir hier nochmals zum leichteren Nachvollziehen aufführen:
:procline
if "%action%" == "getDesc" goto getDesc
if "%action%" == "getMac" goto getMac
echo %1 | fi nd /i "Verbindungsspez" > nul
if errorlevel 1 goto :eof
set action=getDesc
goto :eof
Zuerst wird mithilfe der Variablen action getestet, ob wir bereits auf eine Beschreibung
oder auf eine Mac-Adresse warten. Dann erfolgt ein Sprung an die entsprechenden
Sprungmarken. Ist dies noch nicht der Fall, wird mittels von fi nd getestet,
ob in der übergebenen Zeile der Text für das verbindungsspezifi sche Suffi x
vorkommt. Falls nicht, können wir uns weitere Aktionen schenken und beenden
den Aufruf. Liefert fi nd dagegen einen Exit-Code von 0, wird die Zeile ausgeführt,
webcode: 1761686 33

1. Netzwerk-Praxis
die den Inhalt von action auf den Wert „getDesc“ setzt. Beim nächsten Durchlauf
wissen wir also, dass es sich um eine Beschreibungszeile handeln muss.
Die beiden Codeblöcke nach :getDesc und :getMac sind sehr ähnlich. Die
übergebene Zeile wird mit einer for-Schleife am Doppelpunkt aufgetrennt und
das zweite Wort verwendet. In der Variablen output wird der String aus Mac-
Adresse und Beschreibung des Adapters zusammengestellt. Nach der Ausgabe
beim Block von :getMac wird die Variable action wieder gelöscht, sodass der
Zyklus von Neuem beginnen kann.
1.3.4 Ping-Liste
Mit dem folgenden Script können Sie feststellen, welche Rechner innerhalb des
Subnets gerade online sind. Als Ergebnis erhalten Sie eine Liste mit IP-Adressen.
Diese könnten dann von einem anderen Script weiterverarbeitet werden.
Mithilfe einer Zählschleife (for /L) wird der Bereich von 1 bis 254 in Einerschritten
durchlaufen. Für jeden Wert wird ein einzelnes Ping (-n 1) ausgeführt. Die Ausgabe
der gesamten Schleife (deshalb die runden Klammern) wird per Piping an den
fi nd-Filter übergeben, der alle Rechner heraussucht, die geantwortet haben. Bei
einem englischen Windows müssen Sie den Text „Antwort“ bei fi nd durch „reply“
ersetzen. Durch die Option /i ist die Schreibweise (groß oder klein) gleichgültig.
Das Ergebnis dieser Filterung wird in eine temporäre Datei geschrieben. Diese Datei
(%temp%\tmp.dat) wird dann von einer weiteren Schleife Zeile für Zeile gelesen,
wobei die Angabe „tokens=3“ dafür sorgt, dass nur jeweils das dritte Wort
(die IP-Adresse) gelesen wird. Mit jedem gelesenen Wort wird nun das Label :output
als Unterroutine angesprungen. Der übergebene Parameter stellt die IP-Adresse
dar, die allerdings am Ende noch den Doppelpunkt der ping-Ausgabe trägt.
Antwort von 192.168.1.11: Bytes=32 Zeit %temp%\tmp.dat
echo == Online sind folgende Rechner ==
for /F "tokens=3" %%f in (%temp%\tmp.dat) do @call
:output %%f
endlocal
goto :eof
:output
34 www.TecChannel.de

set wert=%1
set wert=%wert:~0,-1%
echo %wert%
1.3.5 Port-Liste aus netstat
Shell Scripting im Netzwerk
Dieses Script stammt aus einem Projekt zur Überwachung eines Servers. Es sollte
festgestellt werden, zu welchen Prozessen von außen Verbindungen bestanden.
Die Ausgabe liefert eine Liste aller Prozesse mit aktiven TCP-Verbindungen, der
entfernten Adresse (IP und Port) und der im Prozess laufenden Services. So bekommen
Sie schnell einen Überblick, wer von außen mit welchen Prozessen und
Diensten in Verbindung steht.
Nachfolgend fi nden Sie einen (aus Platzgründen gekürzten) Auszug aus der Ausgabe
des Shell Scripts.
==== Process ====
dfssvc.exe 1324 Dfs
Connections:
bytebag.shellbook.com:1025
bytebag.shellbook.com:1025
bytebag.shellbook.com:epmap
==== Process ====
dns.exe 1360 DNS
Connections:
bytebag.shellbook.com:ldap
==== Process ====
ntfrs.exe 1464 NtFrs
Connections:
bytebag.shellbook.com:1025
bytebag.shellbook.com:1025
bytebag.shellbook.com:ldap
Code
@echo off
setlocal
netstat -p TCP -a -o | fi nd /i „established“ > %temp%\
x.x
if exist %temp%\y.y del %temp%\y.y
for /F "tokens=3,5" %%f in (%temp%\x.x) do echo %%g %%f
webcode: 1761686 35

1. Netzwerk-Praxis
>> %temp%\y.y
sort < %temp%\y.y > %temp%\x.x
set pid=-1
for /F "tokens=1,2" %%f in (%temp%\x.x) do call
:procline %%g %%f
endlocal
if exist %temp%\x.x del %temp%\x.x
if exist %temp%\y.y del %temp%\y.y
goto :eof
:procline
if %pid% == %2 goto havePID
echo.
echo.
echo ==== Process ====
tasklist /FI "pid eq %2" /NH /SVC
echo.
echo Connections:
:havePID
set pid=%2
echo %1
goto :eof
Funktion
Zuerst benötigen wir eine Liste aller aktiven TCP-Verbindungen. Das erledigt der
Aufruf von netstat -p TCP -a -o. Diese Ausgabe wird gefi ltert, sodass nur die
Zeilen mit der Kennung ESTABLISHED übrig bleiben. Das Ergebnis wird in eine
temporäre Datei x.x geschrieben.
Diese Liste muss nun umgeschichtet werden, sodass Sie die PID des Prozesses als
erste Spalte enthält und danach die Adresse des entfernten Rechners. Dazu wird
zuerst eine eventuell noch bestehende Datei y.y gelöscht. Danach wird mithilfe
einer for-Schleife die Datei umgeformt und in eine zweite Datei y.y geschrieben.
Eine Alternative wäre die Ausführung der for-Schleife in einer Subshell und die
Umleitung der gesamten Ausgabe per einfachem „>“ in die Datei. Dies erspart die
Zeile mit dem Löschen der Datei y.y. Dazu müsste die for-Schleife wie folgt modifi
ziert werden:
(for /F "tokens=3,5" %%f in (%temp%\x.x) do echo %%g%%f) >
➥ %temp%\y.y
Diese Datei muss noch sortiert werden, damit alle gleichen PIDs untereinander
stehen. So kann die Ausgabe für alle Verbindungen zu einem Prozess erfolgen, bis
die PID wechselt. Dazu verwenden wir sort.
Nach dem Sortieren kann die Ausgabe erzeugt werden. Damit wir wissen, welche
PID gerade abgearbeitet wird, wird eine Umgebungsvariable (pid) mit der jeweiligen
Prozess-ID belegt. Zu Beginn schreiben wir den Startwert -1 in die Variable.
In der nun folgenden for-Schleife wird die sortierte Datei x.x Zeile für Zeile ein-
36 www.TecChannel.de

Shell Scripting im Netzwerk
gelesen. Zuerst wird getestet, ob die in der Zeile verzeichnete PID bereits abgearbeitet
wird. Schlägt dieser IF-Vergleich fehl, dann haben wir einen neuen Prozess,
und es erfolgt die Ausgabe der Prozessdaten. Dazu werden per tasklist und
einem Filter nach Prozess-ID der Name des Prozesses, die PID und die darin laufenden
Dienste ausgegeben.
Ab der Marke :havePID laufen beide Zweige der vorigen IF-Abfrage wieder zusammen.
Hier wird die Adresse der verbundenen Maschine (als Kombination aus
Namen und Portnummer) ausgegeben. Sollten Sie eine numerische Ausgabe der
Daten bevorzugen, ergänzen Sie beim Aufruf von netstat die Option -n für numeric
output. Nach der Ausgabe erfolgt noch das obligatorische Aufräumen, bei
dem die beiden temporären Dateien gelöscht und mit endlocal die Änderungen
an der Umgebung wieder rückgängig gemacht werden.
Armin Hanisch
Arnin Hamisch ist IT-Experte und Autor mehrere Bücher zu den Themen Shell Scripting, C# und XML
mit .NET. Derzeit arbeitet er als Leiter Projektierung und Technik bei einem deutschen CRM Anbieter.
TecChannel-Links zum Thema Webcode Compact
Shell Scripting im Netzwerk 1761686 S.28
Shell Scripting unter Windows 1761680 –
Scripts zur System- und Dateiverwaltung 1761681 –
Scripting-Hilfe für ActiveDirectory 1761685 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
Windows 2003 Shell Scripting: Dieser Beitrag zum Shell Scripting
unter Windows 2003 basiert auf Kapitel 16 des Standardwerks
„Windows 2003 Shell Scripting - Abläufe automatisieren ohne
Programmierkenntnisse“ von Armin Hanisch aus dem Haus Pearson
Education. Sie können dieses 320 Seiten starke Buch in
unserem Partner-Bookshop www.informit.de online erwerben.
webcode: 1761686 37

1. Netzwerk-Praxis
1.4 Die besten Netzwerk-Tools für kleine und
mittlere Windows-LANs
Ob Offi ce-LAN oder ein Firmennetzwerk: Der Administrator muss in einem lokalen
Netzwerk ständig optimieren. Die richtigen Tools nehmen dem Administrator
viel Arbeit ab. Zum Testen von Servern und zum Administrieren von Computern
im Netzwerkverbund benötigen Systemverwalter immer wieder Spezialprogramme.
Ein kleines privates Netz will ebenso regelmäßig administriert werden
wie ein Büroverbund oder ein Firmennetzwerk. Kleine kostenlose Tools stellen gegenüber
den Windows-Bordmitteln erweiterte Funktionen zur Verfügung.
1.4.1 Wireshark: Traffi c-Monitoring im Netzwerk
Systemverantwortliche setzen zur Fehlerdiagnose häufi g einen Netzwerk-Sniffer
ein. Diese Tools lauschen den Datenverkehr mit, speichert Transferprotokolle und
erlauben eine Bit-genaue Analyse der Daten. Mit Sniffern kann man Fehler im
LAN aufspüren, aber auch Programme, die Daten heimlich versenden. Profi s investieren
in einen guten Packet Sniffer durchaus mehrere Hundert oder Tausend
Euro. Administratoren kleinerer und mittlerer Netze kommen oft auch mit Freeware-Sniffern
weiter.
Eines der wenigen gut gemachten kostenlosen Tools zum Auswerten des Netzwerkverkehrs
ist Wireshark (Webcode 55812). Die Software erlaubt es, sowohl Daten
im laufenden Netzwerkbetrieb zu analysieren, als auch archivierte Daten aus
einer Protokolldatei zu lesen. Es lassen sich Details über jedes einzelne TCP/IP-Paket
auf den Bildschirm bringen. Zusätzlich verfügt der Sniffer über Analyse- und
Reportfunktionen sowie eine eigene Scriptsprache zum Filtern von Netzwerkpaketen.
Das einzige Manko an Ethereal ist die umständliche Defi nition der Filter.
1.4.2 A-Toolbar: Schnelle Verbindungskontrolle
Komfortabler als mit Ping.EXE nutzen Sie Ping mit der A-Toolbar (Webcode
33022). Nach dem Programmstart klicken Sie auf den runden blauen Button, tippen
die Adresse der zu überprüfenden Gegenstelle bei „Host“ ein und starten den
Check mit der Return-Taste. Neben Ping hält die Auswahlleiste von AToolbar noch
jede Menge weiterer Internet- und Desktop-Werkzeuge bereit. So bietet das Programm
beispielsweise Portscanner, Adressabfragefunktion, Suchmaschinenmaske,
DNS Lookup, Whois, Google Page Rank und einen Link Manager. Mit der Desktop-Suche
können Sie auf dem Rechner nach Mails und Dokumenten recherchieren.
Die Treffer zeigt das Tool unter „Result Tabs“ an. Die Startleiste der A-Toolbar
siedelt sich über der Taskleiste auf dem Desktop an. Sie lässt sich bei Bedarf minimieren,
so dass für Anwendungen die gewohnte Fläche zur Verfügung steht.
38 www.TecChannel.de

Alles dabei: In der A-
Toolbar stecken rund 50
Netzwerk-Tools, angefangen
von Ping über Whois-
Abfragen bis hin zu Wake
on LAN.
Die besten Netzwerk-Tools für kleine und mittlere Windows-LANs
1.4.3 3D Traceroute: Den Weg eines Datenpakets aufl isten
Der Diagnosebefehl Tracert.EXE ermittelt die Route von Datenpaketen zu einem
Ziel, indem er ICMP-Echopakete (Internet Control Message Protocol) sendet. Bequemer
als in der Kommandozeile nutzen Sie Tracert mit 3D Traceroute (Webcode
27749). Größter Unterschied zum altbackenen Windows-Pendant: Die Freeware
zeigt Ihnen die Wege durch das Internet anschaulich als Grafi k an. Das vom
Tool erzeugte Diagramm informiert Sie nicht nur über die Anzahl der Zwischenstationen,
sondern auch über ihre Reaktionsgeschwindigkeit. Anhand der Grafi k
erkennen Sie auf einen Blick, ob Störungen auftreten und wenn ja, wo. Über zahlreiche
Einstellmöglichkeiten richten Sie die Ausgabe nach Ihren Wünschen ein.
Routenverfolgung: 3D Traceroute verrät, welchen Weg Datenpakete nehmen.
Visual Route (Webcode 6926) setzt zwar auf nicht ganz so aufwendige 3D-Grafi
ken, dafür ist die Lesbarkeit der Diagramme ein Trick besser als bei 3D Traceroute.
Auch bei diesem Tool gibt der Nutzer einfach eine URL oder IP-Adressse ein,
und kurz Zeit später zeigt Visual Route, über welche Stationen die Pakete laufen.
Zu den einzelnen Stationen liefert das Tool ausführliche Infos.
webcode: 461560 39

1. Netzwerk-Praxis
1.4.4 AdvancedRemoteInfo: Statusinformationen im Netz
Mit AdvancedRemoteInfo (Webcode 109230) sammeln Administratoren ausführliche
Informationen über Windows-Arbeitsstationen. Anschließend kann zu
jedem PC ein Bericht angezeigt werden. Der Report enthält unter anderem eine
Aufl istung der vorhandenen Hard- und Software, der derzeit angemeldeten Benutzer
und die Netzwerk- Konfi guration auf PCs mit Win NT, 2000 oder XP.
Die von der Freeware erfassten Daten lassen sich zur weiteren Bearbeitung im Excel
oder HTML-Format exportieren. Darüber hinaus sind weitere Funktionen
vorhanden. Beispielsweise lassen sich auf entfernten Rechnern Dateifreigaben löschen
oder neue Shares anlegen. Der Systemverwalter kann zudem die Deinstallation
von Programmen auf einem Remote-PC, das Herunterfahren oder Neustarts
lassen sich über das Netzwerk veranlassen.
1.4.5 CurrPorts: Überblick über offene Ports verschaffen
Nicht schaden kann es, regelmäßig zu überprüfen, welche Ports auf den Clients geöffnet
und in Benutzung sind. Gut dafür geeignet ist die Freeware CurrPorts (www.
nirsoft.net/utils/cports.html). Sie starten das Tool und weisen die Software an, die
insgesamt Ports des Rechners zu checken und Ihnen mitzuteilen, welche Programme
welche Ports mit welchen Protokollen nutzen. Weil die Aufl istung auch
versteckte Prozesse anzeigt, sind Rückschlüsse auf Malware möglich.
1.4.6 PuTTY: Remote Login vom Windows-Desktop aus
PuTTY (www.putty.org) ist ein empfehlenswertes Terminal-Programm für SSHund
Telnet-Sessions mit konfi gurierbaren Funktionstasten. Die Freeware Tool ersetzt
das unsichere Telnet und bietet Verschlüsselungs- und Authentisierungsverfahren
für den Remote-Zugriff auf einen Rechner im LAN oder über das Internet.
Ebenfalls in den Werkzeugkoffer von Administratoren gehört WinSCP (www.
winscp.net/eng/docs/lang:de). Der Open-Source-SFTP-Client mit grafi scher
Oberfl äche nutzt das SSH-Protokoll und lässt sich komfortabel wie ein FTP-Client
verwenden. Zu den Extras gehören neben dem geschützten Dateitransfer die
Funktionen Stapelverarbeitung, Kommandozeileneingabe, integrierter Text-Editor
und Verzeichnissynchronisation.
1.4.7 Unlocker: Gesperrte Dateien freigeben
Manchmal wird der Löschversuch für eine Datei mit einer Fehlermeldung quittiert,
weil das betreffende Element gesperrt ist. Erst nach einem Neustart ist die
Blockade aufgehoben – zumindest in einigen Fällen.
40 www.TecChannel.de

Statusinformationen
abrufen: Das kostenlose
Tool AdapterWatch liefert
Detailangaben zur Netzwerkkarte.
Die besten Netzwerk-Tools für kleine und mittlere Windows-LANs
Abhilfe schafft die Freeware Unlocker (http://ccollomb.free.fr/unlocker/), die sich
nach der Installation in das Kontextmenü des Windows-Explorers einklinkt. Nach
der Auswahl einer gesperrten Datei oder eines Verzeichnisses rufen Sie über die
rechte Maustaste den Eintrag Unlocker auf und klicken auf die Schaltfl äche Unlock.
Danach ist das Element entsperrt kann gelöscht werden. Die Freeware AdapterWatch
(www.nirsoft.net/utils/awatch.html) liefert Statusinformationen zu
Netzwerkinterface. Zu den vom Tool angezeigten Daten gehören unter anderem
IP-Adresse, MAC-Adresse, DNS, die Anzahl der übertragenen Pakete, Übertragungstempo
und Paketstatistiken.
1.4.8 FS Guard: Dienste und Verzeichnisse überwachen
Mit FS Guard (Folder & Service Guard, www.pcinspector.de) können Administratoren
Dienste und Ordner auf NT/2000- und 2003-Servern automatisch überwachen.
Dazu sind die zu überwachenden Elemente auszuwählen. Die Konfi guration
der Überwachung erfolgt über eine komfortable Benutzeroberfl äche.
So ist es möglich, permanent kritische Dienste auf dem Server zu observieren und
gestoppte oder nicht mehr funktionierende Services neu zu starten. Auch Protokolldateien
lassen sich mit der Software observieren. Der Administrator kann sich
beispielsweise bei erreichen oder überschreiten einer zuvor festgesetzten Speicherplatzgrenze
warnen lassen. So werden Sie umgehend informiert, wenn ein Protokoll
durch Fehlermeldungen unverhältnismäßig anwächst. Das Programm kann
Benachrichtigungen per Mail verschicken und Sie so auch während Ihrer Abwesenheit
auf dem Laufenden halten.
1.4.9 X-NetStat: Infos mit aufgebohrtem Netstat abfragen
Mit Hilfe der englischsprachigen Shareware X-NetStat (www.freshsoftware.com)
ermitteln Sie Details zu allen ein- und ausgehenden Internet- und Netzwerkverbindungen.
Dazu gehören Infos zu den offenen Ports sowie Angaben zu den IP-
webcode: 461560 41

1. Netzwerk-Praxis
Adressen der Rechner, mit denen Daten ausgetauscht werden. Gut: Das Aktualisierungsintervall
lässt sich frei wählen. Das Grundprinzip des Ressourcen schonenden
Tools erinnert an die Windows-Funktion netstat.exe, allerdings läuft X-NetStat
nicht im Kommandozeilenfenster. Dadurch ist die Bedienerführung einfacher. Zudem
können Sie mit diesem Tool auch Verbindungen per Mausklick zu beenden
oder die gesammelten Informationen in die Zwischenablage zu kopieren.
Solarwinds Standard Toolset (www.solarwinds.com) hilft dem Profi bei der tief
gehenden Analyse ausgedehnter Arbeitsumgebungen. Dazu stehen 13 Werkzeuge
zur Verfügung, die in Rubriken wie „Cisco Tools“, „Ping Tools“ und „Adress Management“
eingeteilt sind. Mit dem „IP Network Browser“ checken Sie, ob alle
Rechner operabel sind, „Ping“ und „Trace Route“ informiert über Antwortzeiten
sowie Datenpakete, und mit Hilfe von „Wake-on-LAN“ aktivieren Sie Clients.
1.4.10 Strong Search: Netzwerkweiter Dateisucher
Anwender, die bei der netzwerkweiten Dateisuche mit der Windows-Suchfunktion
arbeiten, wissen über die Schwächen dieser Betriebssystemroutine Bescheid. Weitaus
komfortabler und – dank Multithreading – auch merklich schneller geht’s mit
der englischsprachigen Shareware Strong Search (www.kraslabs.com).
42 www.TecChannel.de
Suchassistent: Strong
Search spielt seine
Stärken beim Recherchieren
im LAN aus.
Das Tool sucht auf allen Netzwerkressourcen nach benutzerdefi nierten Daten,
Platzhalter können Sie ebenso nutzen wie Datei-, Datums- und Größenfi lter. Zudem
ist es möglich, innerhalb der Ergebnisliste zu suchen. Profi s können mehrere
Suchanfragen gleichzeitig starten und die Suche auf versteckte Shares ausweiten.
Der englischsprachige Multi Network Manager (www.globesoft.com) ist ideal für
Anwender, die von wechselnden Lokalitäten über eine sichere VPN-Verbindung
auf ein Netzwerk zugreifen. Dies ist etwa dann der Fall, wenn Sie mit Ihrem Laptop
unterwegs sind und Kontakt zum Firmen-LAN aufnehmen müssen. Mehrere
Arbeitsumgebungen lassen sich speichern und im Profi lmanager verwalten.
Ramon Schwenk

2 Netzwerk-Management
IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke
Von den Intel-Entwicklern stammt eine Software zur erweiterten Administra tion
von vPro-basierten Systemen. Was das Tool interessant macht ist, dass auch nicht
vPro zertifi zierte Rechner mit eingeschränkter Funktionalität unterstützt werden.
Zudem geht es um Software-Lizenzen: Durch falsches Lizenzmanagement können
schnell Missverständnisse bei Software-Herstellern aufkommen.
2.1 IT Director: Kostenloses IT-Management-
Tool für kleine Netzwerke
Mit dem IT Director adressiert der Hersteller Unternehmen, die weniger als 25
Rechner einsetzen und keine, beziehungsweise nur wenige Mitarbeiter haben, die
sich um die Wartung und Pfl ege der IT-Infrastruktur kümmern können. Das Tool
ermöglicht es, den Firmen den Überblick über ihren Rechnerbestand zu behalten.
Es bietet neben Monitoring-Funktionen auch Sicherheits-Features wie das Sperren
von USB-Schnittstellen oder das Erstellen eines Festplatten-Backups über einen
vPro-basierten Rechner (Webcode 442760).
Unter dem vPro-Logo vereint Intel (www.intel.com) die wichtigsten Aspekte von
Business-PCs, dazu zählen hohe Rechenleistung bei geringem Energieverbrauch,
erweiterte Managementfunktionen, proaktive Sicherheitsfunktionen sowie langfristige
Plattformstabilität. Unser Artikel erklärt detailliert in einem Workshop,
welche Funktionen der IT Director für Desktop-PCs und Notebooks bietet und
wie sie angewendet werden. Das Netzwerk-Management-Tool können Sie kostenlos
auf der Homepage des Intel IT Director downloaden (www.intel.com/support/
vpro/itdirector/). Dort fi nden Sie auch weiterführende Informationen zu dem
Programm. Eine Alternative zum IT Director ist das ebenfalls kostenlose Netzwerk-Management-Programm
Spiceworks (Webcode 1743311), das TecChannel
bereits detailliert vorgestellt hat.
2.1.1 Installation und Benutzeroberfl äche
Der IT Director in der Version 1.1 lässt sich direkt auf vPro-fähige Computer installieren.
Das sind in erster Linie Rechner, die mit einem Q35- oder Q45-Chipsatz
ausgestattet sind und die Active-Management-Technologie (AMT) von Intel
(Webcode 432854) unterstützen. Bei Nicht-vPro-Rechnern muss der Anwender
ein spezielles Konfi gurations-Tool (itdirectorconfi g.exe) des IT Director installieren,
welches dann ermöglicht, auch nicht vPro-konforme Rechner zu überwachen.
Der IT Director läuft auf allen Windows-XP- und Windows-Vista-Betriebssystemen
außer auf den Home-Versionen. Hinweis: Intel erweitert ständig den Funkti-
webcode: 1777328 43

2. Netzwerk-Management
onsumfang und die unterstützten vPro-Chipsätze im IT Director, so dass laut Intel
auch vPro-fähige-Notebooks (Webcode 1762610) demnächst vom Programm erkannt
werden sollten.
Ein beliebiges System mit IT Director dient als zentraler Steuerrechner für die
Kontrolle, der im Netzwerk befi ndlichen Rechner, die entsprechend auch den IT
Director beziehungsweise das Tool itdirectorconfi g.exe installiert haben. Allerdings
unterstützt der IT Director bei nicht vPro-fähigen Systemen alle zur Verfügung
stehenden Funktionen wie die USB-Sperrung oder den Einschaltmonitor.
IAMT-aktiviert: Um den Intel IT Director mit sämtlichen Funktionen zu nutzen, muss der Computer die
Funktion Intel AMT unterstützen.
Bevor der Anwender das Programm nutzen kann, müssen auf jedem Computer
entsprechende Benutzerberechtigungen für den IT Director eingerichtet werden.
Dazu ist es notwendig, dass auf allen Rechnern im Netzwerk jeweils ein IT-Director-Konto
mit dem gleichen Benutzernamen und dem identischen Kennwort erstellt
wird. Ansonsten ist der IT Director nicht in der Lage, die entsprechenden
Computer im Netzwerk zu identifi zieren.
44 www.TecChannel.de
Steuerzentrale: Der IT
Director lässt sich über
drei zentrale Reiterfunktionen
bedienen.
Nach der Installation des IT Director auf einem vPro-System steht dem Anwender
eine Benutzeroberfl äche mit drei Registern zur Verfügung:
Mein Computer – Dient zur Konfi guration des Schutzes und der Überwachung
auf Client-Rechnern.
Mein Netzwerk – Dient zur Überwachung von Rechnern im Netzwerk.
Einstellungen – Dient zur Festlegung von Berechtigungen, der Deaktivierung der
Einstellungen für Mein Computer und der Konfi guration des Netzwerks.

2.1.2 Einstellungen und Konfi guration
IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke
Nach dem Start des IT Director werden in diesem Bereich alle im Netzwerk gefundenen
Geräte unter Mein Netzwerk / Liste aller angeschlossenen Computer und Geräte
aufgelistet. Nach und nach scannt das Programm die einzelnen Geräte und
versucht sie zu identifi zieren. Bei Erfolg erscheint ein PC-Symbol mit dem entsprechenden
Computernamen. Rechner oder Geräte, die zwar im Netz vorhanden
sind, aber nicht identifi ziert werden können, listet das Programm ebenfalls auf,
kennzeichnet diese aber mit einem roten Ausrufesymbol.
Auf der Suche: Nach
dem Start des IT
Director sucht das
Programm nach
angeschlossenen
Computern, um diese
zu managen.
Unter dem Hauptreiter Einstellungen verbergen sich einige zentrale Einstellmöglichkeiten
des IT Director. Wenn der Administrator das Programm zum ersten
Mal auf dem Computer verwendet, muss er festlegen, auf welche Funktionen ein
Benutzer dieses Systems Zugriff hat.
Zentrales Stellwerk:
Unter dem Reiter „Einstellungen“
lassen sich
vielfältige Funktionen
individuell konfi gurieren.
Wenn die Option Der aktuelle Benutzer (XY) hat Zugriff auf alle Funktionen gewählt
wurde, besteht zusätzlich die Möglichkeit festzulegen, ob andere Benutzer
Zugriff auf bestimmte Seiten wie Mein Netzwerk und Mein Computer des Tools
haben dürfen. Für die schnelle Konfi guration weiterer Systeme bietet der IT Director
die Möglichkeit, die entsprechenden Konfi gurationsparameter zu impor-
webcode: 1777328 45

2. Netzwerk-Management
tieren oder zu exportieren. Beim Exportieren der Systemeinstellungen eines Computers
kann der Administrator individuell festlegen, welche Daten für ein neues
System relevant sind.
2.1.3 Daten-und Systemschutz: USB-Sperrung
Eine wichtige Funktion des IT Director ist die Überwachung und Kontrolle der
USB-Ports. Diese gehören zu den wichtigsten Schnittstellen am Rechner, um Daten
schnell aufzuspielen oder extern für den mobilen Einsatz abzuspeichern.
Gleichzeitig gehört die USB-Schnittstelle zu den größten Sicherheitsrisiken eines
PCs. Über dieses Interface können User unbemerkt Schadprogramme auf den
Rechner übertragen, die sich dann weiter durch das Intranet verbreiten können.
Um dies wirksam zu verhindern, bietet der IT Director in Menü Mein Computer
unter dem Reiter Daten- und Systemschutz den Menüpunkt Richtlinie für USB-
Sperrung. Hier kann der Anwender diese Option aktivieren und deaktivieren. Ist
die USB-Sperrung eingeschaltet, so können vier vordefi nierte Typen von USB-Geräten
gesperrt werden. Dazu zählen Unterhaltungs-USB-Geräte wie MP3-Player,
Speichergeräte wie externe USB-Festplatten, Bürogeräte wie USB-Drucker oder -
Scanner oder sonstige Geräte.
Unter Mein Netzwerk kann der IT-Verantwortliche Systemdetails über die USB-
Sperrung von jedem überwachten Computer abrufen und kontrollieren. Wenn
ein gesperrtes USB-Gerät versucht, eine Verbindung zum Computer aufzubauen,
erfolgt eine Meldung im Fenster Warn- und Informationsmeldungen. Die Funktion
der USB-Sperrung wird ausschließlich nur von vPro-fähigen Rechnern mit Q35beziehungsweise
Q45-Express-Chipsatz unterstützt.
2.1.4 Daten- und Systemschutz: Festplattensicherung
und -wiederherstellung
Eine weitere hilfreiche Sicherheitsoption des IT-Management-Tools ist die Datensicherung
und Wiederherstellung der lokalen Festplattenlaufwerke. Im selben Menüpunkt
informiert das Tool, ob der Nutzer auf dem System den Intel Matrix Sto-
46 www.TecChannel.de
Storage im Griff: Für
eine Datensicherung
der Festplatten stellt
der IT Director entsprechende
Funktionen zur
Verfügung.

IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke
rage Manager installiert hat. Hierbei handelt es sich um eine Verwaltungs- und
Konfi gurationssoftware auf Basis der Intel-Matrix-Storage-Technologie. Zu beachten
ist, dass der IT Director die von Windows zur Verfügung gestellten Routinen
nutzt, wenn der Intel-Matrix-Storage-Treiber nicht installiert ist.
Der Matrix-Storage-Manager bietet für die verschiedenen hauseigenen Chipsätze
unter einigen Betriebssystemen Softwareunterstützung für eine RAID-Funktionalität
der Systeme. Diese beinhaltet RAID-Level 0, 1, 5 und 10 für SATA-Festplatten.
Zudem unterstützt der Matrix-Storage-Manager die Intel Rapid-Recover-Technologie
und AHCI Native Command Queuing für eine bessere Storage-Performance
sowie Matrix-RAID für zwei RAID-Volumes auf demselben Array.
Auf Nummer sicher:
Der IT Director kann
Datensicherungen von
jedem überwachten
Computer im Netzwerk
anlegen.
Nach dem Drücken des entsprechenden Start-Buttons unter dem Reiter Mein
Netzwerk oder Mein Computer / Festplattensicherung und -wiederherstellung öffnet
sich ein Übersichtsfenster, in dem der Anwender zwischen drei Optionen wählen
kann. Das sind im Einzelnen: Dateien sichern, Dateien wiederherstellen und Komplette
PC-Sicherung.
2.1.5 Internet- und Netzwerksicherheit
In dem Bereich Mein Computer / Internet- und Netzwerksicherheit kann der Administrator
sich über die Internet- und Netzwerksicherheit des Clients informieren.
Der IT Director ermöglicht die Überwachung der Einstellungen für die Internetsicherheit
auf den Computern im Netzwerk, um dem IT-Verantwortlichen mehr
Kontrolle über die Computersicherheit zu geben.
Der Anwender kann wählen, welche dieser Einstellungen erforderlich sind. Falls
dann eine verpfl ichtende Einstellung auf einem System fehlt, erfolgt eine Meldung
des IT Director unter Systemdetails. Wie das Festplatten-Backup lehnt sich auch
diese Option an den Einstellungen des Windows-Sicherheitscenters an.
Nach der Konfi guration des Programms unter Einstellungen / Wählen Sie die zu
überwachenden Sicherheitsfunktionen ist der Überwachungsmodus aktiv. Der Ad-
webcode: 1777328 47

2. Netzwerk-Management
ministrator wird dann explizit über den Status der Firewall, der automatischen
Updates von Windows, der Anti-Virus-Software und der Anti-Spyware-Software
des jeweiligen Computers im Netzwerk informiert.
Sicherheit ist Trumpf: Das Sicherheitscenter des IT Directors informiert den Administrator über den
Zustand der festgelegten Sicherheitsoptionen.
2.1.6 Leistung und Diagnose
Ein sehr nützliches Feature des IT Director ist der Einschaltmonitor unter Mein
Computer beziehungsweise Mein Netzwerk / Leistung und Diagnose. Gerade im
Zuge von Green IT (Webcode 1751091) und immer höheren Stromkosten unterstützt
diese Option den sparsamen Umgang mit der Energie. Mit dem Einschaltmonitor
kann der Anwender seine Bürozeiten defi nieren, in denen er seinen Computer
aktiv nutzt.
48 www.TecChannel.de
Computer-Öffnungszeiten:
Mit dem Einschaltmonitor
kann der
Administrator die
Bürozeiten des Users
defi nieren, um zu
erfahren im welchen
Zeitraum der Computer
genutzt wird. Mit diesen
Informationen können
dann entsprechende
Stromsparmaßnahmen
durchgeführt werden.

IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke
Ist der Rechner außerhalb dieser festgelegten Zeiten länger als eine Stunde während
eines Tages aktiv, wird der Nutzer unter Mein Netzwerk / Systemdetails per
Warn- und Informationsmeldung unter Systemdetails im rechten Funktionsfenster
des IT Director in Kenntnis gesetzt. Allerdings wird diese Funktion nur von
vPro-fähigen Rechnern mit Q35- oder Q45-Express-Chipsatz unterstützt.
Für die Wahl der allgemeinen Bürozeiten stehen unter Mein Computer / Leistung
und Diagnose / Einschaltmonitor fünf vordefi nierte Zeitparameter zur Verfügung.
Ferner kann der Anwender auch individuell seine Bürozeiten nach Arbeitstagen
und Arbeitszeiten eingeben. Damit ist der Einschaltmonitor im Prinzip ein Überwachungs-Tool
zur Kontrolle des Betriebszustands der überwachten Rechner.
Storage-Speicherplatz:
Der Anwender
hat jederzeit die Möglichkeit
den freien
Festplattenspeicher
abzurufen.
Zusätzlich bietet das IT-Tool in der gleichen Rubrik Mein Netzwerk / Leistung und
Diagnose die Möglichkeit, den freien Festplattenspeicher lokal und auf den Netzlaufwerken
zu überwachen. Der Anwender kann den Grenzwert für das Senden
einer Warnmeldung individuell festlegen. Somit ist der Nutzer beziehungsweise
der Administrator stets über den Zustand des freien Festplattenspeichers auf den
einzelnen Rechnern informiert und kann in Notsituationen (knappe Speicherkapazität)
sofort entsprechende Gegenmaßnahmen einleiten. Allerdings berechnet
der IT Director nur die freie Speicherkapazität einer physikalischen Festplatte und
nicht der einzelnen Partitionen.
Storage-Status: Der
IT Director ist in der
Lage, einen vorgegebenenSpeichergrenzwert
einer oder mehrerer
Client-Festplatten
zu überwachen.
‚
Die Einstellung des Grenzwertes auf dem Computer erfolgt über den Reiter Einstellungen
unter dem Menüpunkt Einstellungen für „Mein Netzwerk“ und Grenzwert
für freien Festplattenspeicher. Ein Drop-down-Menü bietet dem Nutzer die
Auswahlmöglichkeit, zwischen 5 und 30 Prozent in Fünferschritten einzustellen.
webcode: 1777328 49

2. Netzwerk-Management
2.1.7 Fazit
Der IT Director ist ein kostenloses Management-Tool von Intel. Mit den Funktionen
des Programms adressiert der Hersteller Unternehmen, die weniger als 25
Rechner einsetzen und keine, beziehungsweise nur wenige Mitarbeiter für die
Wartung und Pfl ege der IT-Infrastruktur haben. Der IT Director bietet für kleine
Netzwerke viele nützliche Features. Will der Anwender aber den vollen Funktionsumfang
des Management-Tools nutzen, sind vPro-fähige Rechner (Webcode
442760) zwingend notwendig.
Das Management-Programm bietet bei Weitem nicht den Funktionsumfang von
professionellen und kostenpfl ichtigen Lösungen. Allerdings reicht es aus, um einen
kleinen Rechnerpark zumindest rudimentär zu verwalten. Ein weiterer Vorteil
dieses Programms ist die einfache und unkomplizierte Bedienung, sodass auch
Nicht-IT-Spezialisten den IT Director nutzen können.
Zu der wichtigsten Funktion des Programms zählt das Überwachen des Hard- und
Software-Status. Dabei spielt die Kontrolle der Sicherheit der einzelnen Rechner
eine besondere Rolle. So informiert der IT Director über den Status der Firewall
und des Virenprogramms der einzelnen Rechner und ermöglicht das gezielte
Sperren von USB-Schnittstellen. Darüber hinaus unterstützt das Tool den Anwender
beim Erstellen von System-Backups. Auch dem Energiesparen widmet
sich der IT Director mit einigen ausgewählten und im Ansatz nützlichen Features.
Allen in allem unterstützt der kostenlose IT Director den IT-Verantwortlichen in
kleinen Unternehmen vor allen Dingen beim Umgang mit vPro-fähigen Rechnern.
Allerdings ist der Funktionsumfang des Tools sehr beschränkt und auch
nicht als Ersatz einer professionellen IT-Management-Lösung zu sehen. So ist
zum Beispiel keine Dateiübertragung, kein direkter Video- und Tastaturzugriff
oder detaillierte Hard- und Software-Überwachung (Patches, Hardwaredetails)
möglich. Das Netzwerk-Management-Tool können Sie kostenlos auf der Homepage
des Intel IT Director downloaden (www.intel.com/support/vpro/itdirector/).
Dort fi nden Sie auch weiterführende Informationen zu dem Programm.
Bernhard Haluschak
50 www.TecChannel.de
Bernhard Haluschak ist als Hardware-Redakteur bei TecChannel tätig. Der Dipl. Ing.
(FH) der Elektrotechnik / Informationsverarbeitung blickt auf langjährige Erfahrungen im
Server-Umfeld und im Bereich neuer Technologien zurück. Vor seiner Fachredakteurslaufbahn
arbeitete er in Entwicklungslabors, in der Qualitätssicherung sowie als Laboringenieur
in namhaften Unternehmen.
TecChannel-Links zum Thema Webcode Compact
IT Director: Kostenloses IT-Management-Tool für kleine Netzwerke 1777328 S.43
Intels neue vPro-Plattform: IAMT 5.0 und Q45-Express-Chipsatz 1772327 –
vPro 2008: Komfortable Verwaltung von Business-PCs 442760 –

Grundlagen: Lizenzmanagement im Unternehmen
2.2 Grundlagen: Lizenzmanagement
im Unternehmen
Wenn Lizenz-Inhaber gegen Software-Piraten zu Felde ziehen, sollten sich nicht
nur Filesharer, sondern auch Unternehmen angesprochen fühlen. Denn durch
falsches Lizenzmanagement kann die weiße Weste schnell ein paar hässliche Flecken
bekommen. Doch so weit muss es nicht kommen. Denn wer proaktiv seine
Software-Lizenzen im Griff hat, kann nicht nur besser schlafen, sondern sogar bis
zu 30 Prozent seiner IT-Kosten in diesem Bereich einsparen.
Mitte Mai dieses Jahres verkündete die Business Software Alliance (BSA) (http://
w3.bsa.org/germany/), dass der Anteil unlizenzierter Software in Deutschland auf
27 Prozent gesunken sei. Weltweit wäre die Software-Piraterie hingegen deutlich
auf dem Vormarsch, was eine Piraterierate von 38 Prozent belege (http://w3.bsa.
org/germany/presse/newsreleases/BS058-08.cfm). Einen Monat zuvor meldete
der Verband, dass deutsche Unternehmen in 2007 rund 2,8 Millionen Euro an
Schadensersatz und Lizenzierungskosten bezahlen mussten. Dies entspricht einer
Steigerung um mehr als 250 Prozent gegenüber dem Vorjahr.
Da die Nutzung von Software ohne Lizenz einen Verstoß gegen das Urheberrecht
darstellt und als Straftat verfolgt werden kann, sollte allein diese Tatsache einem
IT-Verantwortlichen schon ausreichen, um sich mit Lizenzmanagement aktiv
auseinanderzusetzen. Doch in der Praxis vernachlässigen immer noch viele Unternehmen
dieses Thema – obwohl Organisationen, deren Software nicht ausreichend
lizenziert ist, neben rechtlichen und fi nanziellen Risiken auch Imageschäden
und eine empfi ndliche Beeinträchtigung ihres Geschäftsbetriebs drohen.
Wer – wahrscheinlich in den meisten Fällen mehr aus Nachlässigkeit denn aus
Vorsatz – die Verwaltung seiner Nutzungsrechte für Software in der Vergangenheit
links liegen gelassen hat, lässt sich sicher gern durch die positiven Aspekte
eines umfassenden Lizenzmanagements dazu motivieren, hier etwas zu ändern.
Denn die Praxis zeigt beispielsweise, dass heute in Unternehmen mehr als 30 Prozent
aller einmal erworbenen Lizenzen nicht mehr genutzt und auch nicht wiederverwendet
werden. Durch ein effektives Management dieser Lizenzen können sich
so bereits Einsparungen in derselben Größenordnung realisieren lassen. Hinzu
kommen die Vermeidung unnötiger Kosten durch Überlizenzierung, die gezielte
Wiederverwertung oder der Verkauf vorhandener Lizenzen und die Wahl des kostengünstigsten
Lizenzmodells der jeweiligen Hersteller.
2.2.1 Ab wann lohnt sich professionelles Lizenzmanagement
Grundsätzlich gilt, dass sich Lizenzmanagement allein aufgrund der rechtlichen
Aspekte immer „lohnt“. Nach Auffassung von Gartner trägt proaktives Lizenzmanagement
zudem dazu bei, bis zu 30 Prozent der Kosten im operativen Betrieb
(TCO) einzusparen. Dies berücksichtigt dabei auch Nebeneffekte wie beispiels-
webcode: 1772789 51

2. Netzwerk-Management
weise die Umstellung von Retail- auf kostengünstigere Volumenlizenzen. Wer
sein persönliches Einsparpotenzial ermitteln will, kann sich dies exemplarisch von
Microsofts SAM-ROI-Assessment (microsoft.com/resources/sam/tool.mspx) innerhalb
von fünf Minuten berechnen lassen. Hierbei geht es nicht um die Lizenzierung
von Microsoft-Produkten, sondern allgemein darum, welche Erfolge
durch bestimmte Verfahren erzielbar sind.
Ob und wenn ja wie viel ein Unternehmen dann in eine professionelle Lösung investieren
muss, hängt hingegen von verschiedenen Faktoren ab: Im günstigsten
Fall reicht bereits eine einfache Excel- oder OpenOffi ce-Tabelle, um die im Unternehmen
vorhandenen Lizenzen in Form einer Lizenzbilanz den eingesetzten Software-Paketen
gegenüberzustellen. Voraussetzung hierfür ist natürlich, dass man
einerseits weiß, welche Software auf allen Rechnern im Betrieb installiert ist und
auch tatsächlich genutzt wird. Andererseits muss der Administrator natürlich
über alle im Unternehmen vorhandenen Lizenzen informiert sein und sich im
Klaren darüber sein, wie diese genutzt werden dürfen.
Ein Beispiel: Eine Werbeagentur hat eine überschaubare Anzahl von Programmen
wie das vorinstallierte Betriebssystem, eine Offi ce-Suite und ein paar Grafi kwerkzeuge
im Einsatz. Bei den Anwendungen handelt es sich zudem um sogenannte
Retail-Versionen mit einem klaren Lizenzmodell. Hier kann eine Tabellenkalkulation
oder selbst gestrickte Datenbank absolut ausreichen, um über Soll und Ist
der Software-Nutzungsrechte Buch zu führen. Schwieriger wird es dann, wenn
viele Rechner regelmäßig inventarisiert werden müssen oder Software mit komplexeren
Lizenzmodellen zum Einsatz kommt.
2.2.2 Viele Lizenzen verderben den Brei
In der Praxis oft verwendete Lizenzformen sind Nutzungsrechte pro Benutzer, pro
Maschine oder pro gleichzeitiger Nutzung, neudeutsch auch concurrent use genannt.
Alle vorhandenen Lizenzformen muss ein Unternehmen in seinem Lizenzmanagement
abbilden können.
Flexibel: Professionelle Werkzeuge ermöglichen auch komplexe Lizenzbestimmungen. (Quelle: Aagon)
52 www.TecChannel.de

Grundlagen: Lizenzmanagement im Unternehmen
Anspruchsvoll wird es bereits bei bestimmten Lizenzformen von Microsoft, die
beispielsweise die Installation von Offi ce auf einem zweiten mobilen Rechner erlauben,
sofern dieser nicht gleichzeitig mit dem Desktop genutzt wird. Eine andere
Lizenzform räumt hingegen Unternehmen ein Downgrade-Recht ein, sodass
ein installiertes Offi ce 2003 durchaus von einer Offi ce-2007-Lizenz abgedeckt sein
kann. Problematisch ist auch immer eine gemischte Umgebung aus Fat Clients
und einer Terminal-Server-Farm mit Thin Clients. Hier muss das Lizenzmanagement
sehr fl exibel regelbasierte Defi nitionen von Lizenzpaketen ermöglichen, um
eine automatisierte Lizenzbilanz erstellen zu können. Manche Volumenlizenzen
erlauben zudem die Installation der Software auf einem privaten PC. An dieser
Stelle wird schnell klar, dass hier eine Tabellenkalkulation an ihre Grenzen stößt.
2.2.3 Inventarisierung ist Voraussetzung
In kleinen Installationen ist die eingesetzte Software noch überschaubar, von
Hand zählbar, und Information über die tatsächliche Nutzung können durch Benutzerbefragungen
erlangt werden. Größere Umgebungen erfordern hingegen einen
gewissen Automatisierungsgrad, um den Istzustand noch mit vertretbarem
Aufwand feststellen zu können. Dies übernehmen Werkzeuge zur Software-Inventarisierung.
Und auch bei deren Einsatz sind einige Dinge zu beachten.
So reicht es beispielsweise nicht aus, lediglich zu einem bestimmten Zeitpunkt alle
Rechner im lokalen Netz von einer zentralen Konsole aus zu inventarisieren. Denn
hier gehen dem Unternehmen all diejenigen Rechner durch die Lappen, die gerade
ausgeschaltet, offl ine oder im mobilen Einsatz sind. Gibt es solche Rechner im Unternehmen
und bleiben diese bei der Inventarisierung außen vor, so kann man sie
und auch das nachfolgende Lizenzmanagement eigentlich gleich ganz sein lassen.
Um also ein vollständiges Bild aller installierten und genutzten Software zu erhalten,
eignen sich für diese Aufgabe eher Produkte, die einen kleinen Software-
Agenten auf allen Rechnern installieren. Dieser führt dann automatisch in vordefi -
nierten Abständen lokale Inventarisierungsläufe durch und kann idealerweise
seine Ergebnisse beispielsweise auch per E-Mail an eine zentrale Software- Asset-
Management-Konsole im Unternehmen melden. Wichtig ist also immer, alle potenziell
lizenzpfl ichtigen Systeme regelmäßig zu betrachten.
Ein weiterer Punkt ist die Unterstützung der zu inventarisierenden Betriebssysteme.
Gibt es aber etwa nur wenige Server unter einem vom Asset-Management
nicht unterstützten Betriebssystem, so kann es aus Kostengründen durchaus sinnvoll
sein, diese Rechner manuell zu inventarisieren. Denn auf Servern verändert
sich der Software-Bestand im Vergleich zu Arbeitsplatzrechnern eher selten. In
diesem Zusammenhang gilt es, ein immer wieder auftretendes Missverständnis zu
beseitigen: Selbst wenn ein Server unter dem freien Betriebssystem Linux läuft, bedeutet
dies nicht, dass für Software auf diesem Server keine kommerziellen Lizenzen
notwendig sind. So kann etwa der Einsatz einer Open-Source-Datenbank
im kommerziellen Umfeld durchaus eine Lizenzpfl icht auslösen.
webcode: 1772789 53

2. Netzwerk-Management
2.2.4 Organisation ist alles
Neben der technischen Umsetzung sollte ein Unternehmen das Lizenzmanagement
auch organisatorisch in seinen Abläufen verankern. Im ersten Schritt empfi
ehlt es sich dabei, zunächst die Prozesse für die Beschaffung von Software, die
Ablage von Software-Lizenzen und Lizenznachweisen, Prozesse für die Verteilung
von Software sowie die Supportwege in einem Unternehmen zu dokumentieren.
54 www.TecChannel.de
Prozess: Zu
einem erfolgreichenLizenzmanagement
gehört auch ein
fester Prozess
für die Beschaffung
und Installation
von Software.
(Quelle:
Aagon)
Bereits hier zeigen sich in der Praxis oft die ersten Unzulänglichkeiten, beispielsweise
wenn die IT-Abteilung, der Einkauf oder einzelne Mitarbeiter die Prozesse
der Beschaffung und Installation von Software höchst unterschiedlich interpretieren.
Zudem vernachlässigen Unternehmen gern die Ablage aller vorhandenen Lizenzen
und Original-Datenträger. Im schlimmsten Fall befi nden sich diese im
Büro oder gar im Homeoffi ce der Anwender. Idealerweise wären sie an einem zentralen
Ort in einem abschließbaren, feuerfesten Schrank aufgehoben, zu dem nur
berechtigte Personen Zugang haben.
4.2.5 Fazit
An einem umfassenden und verantwortungsvollen Lizenzmanagement kommt
heute unter rechtlichen Aspekten kein Unternehmen vorbei. In der Praxis bewegen
sich allerdings viele immer noch zwischen strafrechtlich relevanter Unterlizenzierung
und verschwenderischer Überlizenzierung. Dabei muss Lizenzmanagement
nicht teuer sein, und die richtigen Werkzeuge können sich durch erzielte
Einsparungen in kurzer Zeit amortisieren.

Grundlagen: Lizenzmanagement im Unternehmen
Wo stehe ich gerade: In der Lizenzbilanz sieht der Administrator per Knopfdruck, wo sein Unternehmen
über- oder unterlizenziert ist. (Quelle: Aagon)
Auf der Suche nach dem richtigen Tool sollten Unternehmen darauf achten, dass
es keinen Rechner und keine Lizenzform außen vor lässt, alle notwendigen Daten
inventarisiert, einfach zu bedienen ist und ihnen so viel Arbeit wie möglich abnimmt.
Letzteres gilt sowohl für die Inventarisierung wie auch für die Pfl ege der
Lizenzen und die automatische Erstellung einer Lizenzbilanz.
Matthias Juchhoff
Matthias Juchhoff ist Microsoft Certifi ed Professional für Softwareassetmanagement
und Produktmanager für ACMP bei Aagon Consulting in Soest.
TecChannel-Links zum Thema Webcode Compact
Grundlagen: Lizenzmanagement im Unternehmen 1772789 S.51
Spiceworks 3.1: Kostenlose Management-Software 1743311 –
ZENworks Confi guration Management: Installation 1752575 –
Grundlagen: Intel Active Management Technology 432854 –
Grundlagen: System- und Netzwerk-Management 402047 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1772789 55

3. Netzwerk-Grundlagen
3 Netzwerk-Grundlagen
Netzwerk-Grundlagen bilden den Schwerpunkt dieses Kapitels. Zu Beginn widmen
wir uns den Energieeinsparmöglichkeiten im Rahmen der Netzwerkinfrastruktur.
Weiter geht es um die Basis jeder fest vernetzten Einheit: der Verkabelung,
genauer um die drei wichtigste Kabeltypen, nämlich Koaxial-Kabel, Twisted
Pair-Kabel und Lichtwellenleiter. Im Bereich drahtloser Netze beschäftigen wir
uns mit der Funktionsweise von Bluetooth, UMTS, HSPA und Femtozellen.
3.1 Green IT: Energiesparpotenzial
bei Netzwerken
In Diskussionen um den Energiebedarf professioneller IT ist meist von plakativen
Systemen wie Servern oder Storage die Rede. Bei Einführung einer neuen Prozessorgeneration
geht es längst nicht mehr nur um die absolute Performance, sondern
um die Energieeffi zienz derselben. Die Leistungsaufnahme der Netzwerkinfrastruktur
führt da eher ein Schattendasein, dabei gibt es auch dort Sparpotenzial.
Energiebedarf: Das Sparpotenzial eines Firmen-LAN reicht für 125 Einfamilienhäuser.
Das Thema Green IT fi ndet häufi g auf Komponentenebene statt, oder bezüglich
der entsprechenden Systeme wie Servern und deren Aufenthaltsräumen. In Diskussionen
um die Netzwerkinfrastruktur steht in vielen Fällen noch die Perfor-
56 www.TecChannel.de

Green IT: Energiesparpotenzial bei Netzwerken
mance im Vordergrund, dabei geht auch der Datentransport nicht ohne entsprechende
Leistungsaufnahme vonstatten. Netzwerkanwendungen wie Collaboration
beziehungsweise Videoconferencing sollen ganzheitlich betrachtet die Energiebilanz
eines Unternehmens verbessern – zumindest, wenn es nach den Aussagen der
Hersteller geht.
Ein großer LAN-Switch mit Power over Ethernet (PoE) kann bis 1000 Watt Leistungsaufnahme
haben, so rechnet Jörg Kracke, Geschäftsführer bei 3Com Deutschland
(www. 3com.de), vor. Ebenso schlägt sich der ständige Wettlauf um höhere
Übertragungsraten im Netz negativ auf die Energiebilanz nieder. „10 Gigabit
Ethernet ist zwar hundertmal schneller als Fast Ethernet“, so Kracke weiter, „verbraucht
aber auch die sechsfache Strommenge.“
Eine höhere Leistungsaufnahme hat den Effekt, dass die Abwärme in den Etagenverteilern
steigt. Diese sind meist weit davon entfernt, in Sachen Klimatisierung
etwa wie ein Serverraum betrachtet zu werden. Kurzum, in den Etagenverteilern
ist nachfolgend eine zusätzliche Kühlung nötig, die ihrerseits wiederum den Energiebedarf
erhöht. Addieren sich alle diese negativen Faktoren, wartet auf den Anwender
noch eine weitere Kostenfalle: Die Stromverkabelung muss eventuell erneuert
werden, weil sie dem gestiegenen Verbrauch nicht gewachsen ist.
Was es bei der entsprechenden Kühlung von Serverräumen zu beachten gilt, verrät
Ihnen der Beitrag Green IT: Energiesparende Klimatisierung in Serverräumen
(Webcode 1769088). Dem komplexen Thema Energiemanagement widmet sich
der Artikel Green IT: Strom sparen in Serverräumen durch optimales Energiemanagement
(Webcode 1760738).
3.1.1 Performance benötigt Energie
Eine Erklärung für den steigenden Energiebedarf bei höheren Transferraten im
Netz liefert Jan Roschek, Direktor bei Cisco (www.cisco.com) in Deutschland:
„Mit den steigenden Geschwindigkeiten erhöhen sich im Kupferkabel die Fehler
durch Störungen, sodass schnellere und effi zientere Korrekturverfahren verwendet
werden müssen.“ Und diese erforderten mehr Rechenleistung, was sich direkt
in einem höheren Stromverbrauch widerspiegle. Auf der anderen Seite lassen sich
die im Kabel entstehenden Störungen erst mittels moderner digitaler Signalverarbeitung
unterdrücken und so eine Übertragung per Kupferkabel realisieren.
Sparsame Glasfaser
Vor diesem Hintergrund kann die Glasfaser gleich doppelt punkten. Zum einen
treten bei ihr, so 3Com-Geschäftsführer Kracke, in engen Kabelschächten keine
Übertragungsfehler durch Übersprechen auf, zum anderen verbraucht sie weniger
Strom, da DSP zur Fehlerkompensation entfallen kann. Pro Netzwerk-Port
braucht die Glasfaser mit einem Watt, wie Cisco-Manager Roschek vorrechnet,
rund sieben Watt weniger als ein klassischer Kupferkabelanschluss. Allerdings ist
webcode: 1779595 57

3. Netzwerk-Grundlagen
auch beim Kupferkabel in Sachen Ethernet noch nicht das letzte Wort gesprochen:
Das US-amerikanische Normierungsgremium IEEE arbeitet unter der Bezeichnung
„IEEE 802.3az“ (www.ieee802.org/3/az/index.html) an einer Erweiterung
der Ethernet-Standards um das „Energy Effi cient Ethernet“. Davon verspricht sich
etwa David Law, Chairman der IEEE-802.3, enorme Einsparmöglichkeiten.
Übertragung: Glasfaseranschlüsse benötigen pro Port rund sieben Watt weniger Energie als ein
klassischer Kupferkabelanschluss.
3.1.2 Zukunft: Energy Effi cient Ethernet
Die Idee hinter Energy Effi cient Ethernet ist, dass ein LAN-Port nur noch dann
Strom verbraucht, wenn auch wirklich gerade Daten übertragen werden. Im Leerlauf
sollte er dann einen Energiebedarf von annähernd null Watt aufweisen. Damit
hält im LAN ein Gedanke Einzug, der im Carrier-Umfeld bei den DSL-Zugängen
bereits verwirklicht ist: So verfügt ADSL2/2+ genau über eine solche
Stromsparfunktion, die im DSL-Modem und im DSLAM den Energieverbrauch
senkt, wenn keine Daten übertragen werden, die Geräte also in eine Art Schlafmodus
schickt.
Beim Energy Effi cient Ethernet sollen Daten in möglichst kurzer Zeit mit höchster
Geschwindigkeit übertragen werden. Danach soll der Port in einen Schlafzustand
verfallen, wo er fast keinen Strom verbraucht. Steht dann eine neue Übertragung
an, werden die beteiligten Kommunikations-Ports mit einem Wecksignal wieder
in den aktiven Übertragungsmodus versetzt. „Und der typische Ethernet-Port
eines Endgeräts befi ndet sich zu 99 Prozent der Zeit im Leerlauf und benötigt heute
dennoch unvermindert Energie“ erklärt Law das Potenzial der neuen Technik.
So vielversprechend der Energy-Effi cient-Ethernet-Ansatz auch klingt, bei den
momentanen Bemühungen, den Energiebedarf zu senken, bringt er wenig: Branchenkenner
rechnen nämlich erst 2010 mit einer Verabschiedung der IEEE-Norm
802.3az. Zudem müssen die Anwender erst einmal kräftig investieren. „Energy Effi
cient Ethernet funktioniert nur“, so IEEE-Mitglied Law, „wenn beide Endpunkte
einer Verbindung einem Upgrade unterzogen werden – also etwa ein Switch-Port
58 www.TecChannel.de

Green IT: Energiesparpotenzial bei Netzwerken
und der Netzwerk-Port eines Rechners.“ Für die Anwender bleibt zumindest ein
Trostpfl aster: Die Technik ist abwärtskompatibel zum klassischen Ethernet, sodass
etwa gemischter Betrieb möglich ist und eine Einführung mit der Substitution
vorhandener Notebooks und PCs durch neue Geräte erfolgen kann, denn bei kommenden
Produktgenerationen dürfte IEEE 802.3az ein Standard-Feature sein.
3.1.3 Reduktion der Interface-Karten
802.3az ist allerdings nicht die einzige Anstrengung der IEEE, um den Energieverbrauch
der Netzinfrastruktur zu senken. Laut Law arbeitet „die IEEE 802.1 Data
Centre Bridging Task Group (www.ieee802.org/1/pages/dcbridges.html) an einem
Standard für ein konvergentes Ethernet im Rechenzentrum“. Dabei geht es darum,
die Zahl der diversen Subnetze in einem Rechenzentrum wie etwa LAN und
Speichernetz zu reduzieren und so Strom zu sparen, konkretisiert Cisco-Manager
Roschek. Unter dem Schlagwort Unifi ed I/O sollen so die oft zahlreichen Network
Interface Cards (NICs), Host Bus Adapters (HBAs) und Host Channel Adapters
(HCAs) eines Servers auf wenige Converged Network Adapters (CNAs) reduziert
werden, die ihre Daten über ein einziges 10-Gigabit-Ethernet austauschen. Allerdings
steht auch diese Entwicklung erst am Anfang, und bereits erhältliche Lösungen
unterliegen vorerst dem Generalverdacht, „proprietär“ zu sein, da noch
kein Standard existiert. Geht es nach Cisco, soll dieser als Data Center Ethernet
(DCE) verabschiedet werden.
Stromsparen durch grundlegend neue Standards ist aber nur eine Option. Ebenso
lässt sich der Energieverbrauch mit einem modernen Produktdesign senken. Roschek
zufolge verbraucht ein einzelner 10GBase-T-Adapter heute, wenn das Hardware-Design
mit einem Field Programmable Gate Array (FPGA) realisiert wurde,
unter dem Strich 20 Watt. Konstruiert man dagegen den gleichen Netzadapter mit
einem Application Specifi c Integrated Circuit (Asic) als Baustein, dann reduziert
sich der Energieverbrauch auf die Hälfte. In das gleiche Horn bläst IEEE-Mitglied
Law: „Die Anwender können bereits heute Geld und Energie sparen, wenn sie auch
im Netzwerk bei Neuanschaffungen auf die Energieeffi zienz achten.“
Neue Geräte brauchen weniger Strom
Wie hoch diese Unterschiede ausfallen können, zeigt 3Com-Geschäftsführer Kracke
an einem Beispiel aus dem eigenen Haus: „Tauscht man einen Gigabit Switch
der älteren Generation – etwa einen 3Com 4924 gegen einen 3Com 4200G – aus,
ergibt sich eine Ersparnis von 178 Watt pro Switch.“ Auf den ersten Blick scheint
dies keine berauschende Einsparung zu sein – beim Netz wird jedoch gern vergessen,
dass die Verbesserungen 100- beziehungsweise 1000-fach erzielt werden. Legt
man beispielsweise ein typisches Unternehmens-LAN mit 100 Ethernet-Switches
und 2000 Netzknoten zugrunde, ergeben sich ganz andere Größenordnungen: Es
werden rund 156.000 Kilowattstunden eingespart. „Eine Menge, die der jährlichen
Beleuchtung von 125 Einfamilienhäusern entspricht“, veranschaulicht Kracke.
webcode: 1779595 59

3. Netzwerk-Grundlagen
3.1.4 Feintuning
Ferner existieren einige Stellhebel, um mit relativ wenig Aufwand den Energieverbrauch
zu reduzieren. Gerade bei größeren Netzkomponenten, die zur Verbesserung
der Ausfallsicherheit redundant aufgebaut sind, gehen 30 bis 40 Prozent des
Stromverbrauchs darauf zurück, dass die Stromversorgung ineffi zient ist. Deshalb
ist darauf zu achten, dass die Effi zienz der Stromversorgung bei Volllast über 80
Prozent liegt – analog den PC-Netzteilen der Spezifi kation 80-Plus. Diese Effi zienzsteigerung
führt direkt zu einer anderen Sparmaßnahme: Warum müssen die
Gehäuselüfter ständig laufen, wenn dank effi zienterer Stromversorgung weniger
Energie in Wärme umgewandelt wird?
Hier bieten sich temperaturgesteuerte Lüfter an, damit kein Strom für unnötige
Kühlleistung gebraucht wird. An dieser Stelle sind auch die Hersteller gefordert,
denn durch ein intelligentes Gehäuse- und Gerätedesign lassen sich viele Netzkomponenten
auch komplett ohne Lüfter konzipieren. Das schont nicht nur das
Energiebudget, sondern auch die Nerven der Anwender aufgrund der geringeren
Geräuschbelastung. Eine weitere Kostenfalle unter Stromaspekten ist das im Zusammenhang
mit WLANs und VoIP propagierte Power over Ethernet.
Mit neuen Standards wie Enhanced Power over Ethernet beziehungsweise Power
over Ethernet Plus, die Endgeräte mit 30 oder 60 Watt über das LAN versorgen
sollen, stellt sich die Frage, ob jedes Device diese elektrische Leistung wirklich
braucht. Hier ist darauf zu achten, dass die Produkte entsprechende Managementprofi
le ermöglichen, um die maximale Leistung je nach den angeschlossenen Geräten
festzulegen. Und diese Features sollten im Alltag dann auch genutzt werden.
Jürgen Hill
Jürgen Hill ist Redakteur bei unserer Schwesterzeitschrift Computerwoche und dort für Produkte &
Technologien zuständig.
TecChannel-Links zum Thema Webcode Compact
Green IT: Energiesparpotenzial bei Netzwerken 1779595 S.56
Green IT: Energiesparende Klimatisierung in Serverräumen 1769088 –
Green IT: Strom sparen in Serverräumen ... 1760738 –
Green IT: Hype oder Wirklichkeit? 1751091 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
60 www.TecChannel.de

3.2 Kabeltypen für LANs
Kabeltypen für LANs
In diesem Beitrag geht es in erster Linie um die Basis jedes Firmennetzwerks, die
Verkabelung. Dafür existieren drei wichtige Kabeltypen, das Koaxial-Kabel, das
Twisted-Pair-Kabel und Lichtwellenleiter. Auch wenn das althergebrachte Koaxialkabel
in der neutigen IT-Praxis keine Rolle mehr spielt, gehen wir dennoch zunächst
kurz auf den Urvater der Netzwerkverkabelung ein.
3.2.1 Koaxialkabel
Das Koaxialkabel ist nicht nur in der LAN-, sondern auch in der Hochfrequenz-
(HF) und Antennentechnik ein häufi g verwendetes Medium. Dabei werden im
Wesentlichen drei Typen unterschieden: 50-Ohm-Koaxialkabel nach dem IEEE
802.3-Standard (CSMA/CD) für 10Base2- (RG58) und 10 Base5-Verbindungen;
75-Ohm-Koaxialkabel nach dem IEEE 802.7-Standard für Breitbandnetze; 93-
Ohm Koaxialkabel (RG 62) für IBM-Terminal-Verbindungen.
Für LANs ist im Grunde genommen lediglich das Koaxialkabel mit einer Impedanz
von 50 Ohm (+/- 2 Ohm) von Bedeutung, welches es in einer unterschiedlichen
Ausführung für 10Base5 und für 10Base2 gibt. Das ursprüngliche LAN-Koaxialkabel
laut 10Base5 hat eine ungefähre Dicke von 10 mm und wird in gelber
Farbe geliefert, woher auch seine übliche Bezeichnung ( Yellow Cable) stammt.
Mit einer Signalfrequenz von 10 MHz über eine Länge von 500 m betrieben, darf
es eine Dämpfung von maximal 8,5 dB aufweisen. Das Gleiche gilt für das dünnere
Koaxialkabel (RG58, etwa 5mm Dicke), allerdings sind dann als maximale Länge
nur noch 185 m zulässig. Hieraus resultiert also letztendlich die maximale Länge
eines Ethernet-Segments.
Verstärkungen
Die folgende Tabelle zeigt einige gebräuchliche dB-Angaben für Verstärkungen;
für die Dämpfung ist jeweils der Kehrwert des Faktors zu nehmen (zum Beispiel
-3dB bei Spannungen entspricht einem Verhältnis von 0,707).
Tabelle 1: Beispiele für positive dB-Angaben
Dezibel Spannungs- und Stromverhältnis (Faktor) Leistungsverhältnis (Faktor)
0 dB x1 x1
3 dB x1,413 x2
6 dB x2 x4
10 dB x3,16 x10
20 dB x10 x100
webcode: 1757142 61

3. Netzwerk-Grundlagen
40 dB x100 x10000
60 dB x1000 x1000000
80 dB x10000 x1000000000
100 dB x100000 x10000000000
120 dB x1000000 x1000000000000
Koaxialkabel für Netzwerkverbindungen gibt es im Computer- und Elektronikfachhandel
– je nach Länge – ab ca. 2,50 Euro. Wo die Längen der fertig konfektionierten
Koaxialkabel bei einer Installation ausreichen, sollte nicht versucht werden,
die Verbindungsleitungen selbst herzustellen, also Kabel und Stecker einzelnen
zu erwerben und die Stecker selbst anzulöten oder auch aufzuquetschen (crimpen).
Das erscheint zunächst zwar preiswerter, ist jedoch oftmals für Netzwerkfehler
verantwortlich.
Die Einheit Dezibel – dB – ist nach Alexander Graham Bell, dem Erfi nder des Telefons benannt und
eine Maßeinheit für das Verhältnis zweier absoluter elektrischer Größen wie Strom, Spannung und
Leistung. Das Verhältnis wird logarithmisch (lg = log10, zur Basis 10) und nicht linear ausgedrückt,
damit auch große Unterschiede im absoluten Wert der Größen mit kleinen Zahlen angegeben
werden können, wie es etwa in der Nachrichtentechnik üblich ist. Des Weiteren gibt es noch weitere
vom Dezibel abgeleitete Messgrößen, die jedoch als Absolut- und nicht als Relativwerte zu verstehen
sind, wie der absolute Spannungs- (dBu) und der absolute Leistungspegel (dBm), auf die man
sich per Defi nition (0,775 V, 1 mW) bezieht. Spannungsverhältnis: a = 20 lg U1/U2 dB a: Dämpfungsmaß,
U1: Eingangsspannung, U2: Ausgangsspannung v = 20 lg U2/U1 dB v: Verstärkungsmaß,
U1: Eingangsspannung, U2: Ausgangsspannung Leistungsverhältnis: a = 10 lg P1/P2 dB a:
Dämpfungsmaß, P1: Eingangsleistung, P2: Ausgangsleistung v = 10 lg P2/P1 dB v: Verstärkungsmaß,
Eingangsleistung, P2: Ausgangsleistung Absoluter Spannungspegel: Lu = 20 lg Ux/0,775 V
dBu Lu: absoluter Spannungspegel, Ux: Eingangsspannung Absoluter Leistungspegel: Lp = 10 lg
Px/1 mW dBm Lp: absoluter Leistungspegel, Px: Eingangsleistung.
Cheapernet
Das bei 10Base2, der üblichen Installationsart ( Cheapernet), zu verwendende Koaxialkabel
wird einfach von PC zu PC geführt, mittels T-Stücken zu einem Bus verbunden
und an den beiden Enden jeweils mit einem Terminierungswiderstand
(50 Ohm) abgeschlossen. Das Koaxialkabel ist dabei vom Typ RG58 und besteht
aus einem Innenleiter, der das Datensignal führt, und dem Außenleiter, einer Abschirmung,
die sich auf Massepotential befi ndet. Auf Grund der Tatsache, dass die
Abschirmung als Gefl echt das Datensignal nach außen hin schützt (abschirmt), ist
die Störanfälligkeit dieser Verbindung relativ gering.
Der Nachteil von 10Base2 und auch 10Base5 per AUI-Anschluss mit externem
Transceiver ist zweifellos der, dass es bei einer Verkabelung mit Koaxialkabel keine
Möglichkeit gibt, hiermit im Bedarfsfall eine Steigerung der Datenübertragungsrate
auf 100 MBit/s (Fast Ethernet) oder höher vornehmen zu können, denn dies
ist nur mit Hilfe von Twisted Pair-Kabeln möglich.
62 www.TecChannel.de

Kabeltypen für LANs
Mit dem dünnen Koaxialkabel (Cheapernet) darf die maximale Netzwerksegmentlänge 185 m nicht
überschreiten. Es sind maximal 30 Stationen möglich, zwischen denen ein Mindestabstand von 0,5
m Kabel notwendig ist, und es sind nicht mehr als vier Repeater zulässig.
Überprüfung des Netzwerks
Wenn sich ein PC in einem Netzwerk nicht ansprechen lassen will, sollte nach der
Kontrolle der Einstellungen die Aufmerksamkeit auf die korrekte Verkabelung gerichtet
werden. Die Überprüfung eines Netzwerk(-segments) mit Koaxialkabel
(Cheapernet) lässt sich relativ einfach mit einem üblichen Multimeter im Widerstandsmessbereich
durchführen.
Zuerst zieht man die T-Stücke (mit den Kabeln) bei allen an diesem Segment angeschlossenen
PCs ab und an einem Ende auch den einen Widerstand, woraufhin
sich von der anderen Seite des Segmentes her mit dem Messgerät ungefähr 50
Ohm messen lassen sollten, eben der Wert des Abschlusswiderstandes. Ein besonders
Augenmerk ist dabei stets dem Signalkontakt in der Mitte des BNC-Stecker
(BNC: Bayonet Neill Concelmann) zu widmen, da dieser durch mechanische Beschädigung
oder auch nachlässige Konfektionierung häufi g zu weit hinten liegt,
wodurch kein Kontakt gegeben ist.
Abbildung 1: Der Kontaktstift
in der Mitte des BNC-Steckers
liegt zu weit hinten, was für
Kontaktprobleme verantwortlich
ist.
Anschließend wird der Abschlusswiderstands abgezogen, woraufhin der Wert unendlich
angezeigt werden sollte, da es jetzt keinerlei Verbindung zwischen der Signal-
und der Masseleitung geben kann und darf. Wenn dieser einfache Test nicht
diese beiden Ergebnisse liefert, stimmt mit der Verkabelung etwas nicht, das bedeutet,
es sind nunmehr alle Anschlüsse sowie auch die Kabel auf ihre Unversehrtheit
hin zu überprüfen.
Für die weitere Fehlereingrenzung geht man am besten Schritt für Schritt vor, das
heißt man wiederholt diese Messung, indem das Segment verkürzt wird. Dazu
wird der Abschlusswiderstand auf das T-Stück des benachbarten PCs gesteckt, gemessen,
abgezogen, wieder gemessen, dann das nächste Teilstück hinzugenommen
webcode: 1757142 63

3. Netzwerk-Grundlagen
und so weiter, bis man die schadhafte Stelle ermittelt hat. Bei diesem „Durchgangstest“
ist es wichtig, dass die T-Stücke nicht an den PCs angeschlossen sind, weil
man sonst in die Netzwerkkarten hinein misst, was keinerlei Aufschluss bietet.
3.2.2 Twisted Pair-Kabel
Ursprünglich wurde Twisted Pair-Kabel im Fernmeldebereich verwendet. In den
80er Jahren wurde es dann zunehmend für die LAN-Verkabelung eingesetzt und
den steigenden Anforderungen entsprechend laufend technisch verbessert, was zu
immer höheren Übertragungsraten geführt hat. Für die Klassifi zierung von verdrillten
Leitungen (Twisted Pair) sind erstmalig im Jahr 1994 von den amerikanischen
Normungsinstituten EIA/TIA insgesamt sieben maßgebliche Kategorien
defi niert worden, für die teilweise noch einige Unterkategorien existieren.
Tabelle 2: Die verschiedenen Kategorien für Twisted-Pair-Kabel
Kategorie Bedeutung/Daten
1 Leistung eines konventionellen Telefonkabels mit einer maximalen Datenratevon
1 MBit/s. Wird nicht für Datenübertragungen verwendet.
2 Kabel als Ersatz/Nachfolger des Kategorie-1-Kabels. Datenraten von bis zu 4
MBit/s sind über mittlere Entfernungen möglich. Wird für ISDN eingesetzt.
3 Nicht abgeschirmte Kabel für Datenraten von bis zu 10 MBit/s bei einer Kabellänge
von bis zu 100 m. Insbesondere für Telefonanlagen in den USA sowie für
100BaseT4 und Token Ring. Ist für maximal 16 MHz spezifi ziert.
4 UTP/STP-Kabel (20 MHz) für größere Entfernungen als mit Kategorie-3-Kabel
bei einer Datenrate von maximal 20 MBit/s. Dieser Kabel-Typ ist nur in den
USA gebräuchlich.
5 Kabel für einen erweiterten Frequenzbereich (100 MHz). Gilt als Standardkabel
und wird etwa für CDDI und Fast-Ethernet verwendet. Cat5e liegt eine genauere
Spezifi kation (EIA/TIA-568B) zugrunde, und es kommt insbesondere für
längere 100BaseT-Strecken in Deutschland sowie für 1000BaseT zum Einsatz.
6 Frequenzbereich bis 250 MHz, wird durch EN 50288 defi niert und für ATM-
Netze empfohlen. Leitungsfähigere Varianten sind Cat6a bis 625 MHz und
Cat6e bis 500 MHz, die 10GBaseT ermöglichen.
7 Frequenzbereich bis 600 MHz. Geringeres Nebensprechen und geringere
Dämpfung als Kategorie-6-Kabel mit vier einzelnen abgeschirmten Adernpaarenplus
Gesamtschirm.
Link-Klassen
In der Tabelle 2 sind die wichtigsten Daten für die TP-Kabel-Standards angegeben,
die für Deutschland und Europa nur bedingt als verbindlich – im Sinne von
zugesicherten Eigenschaften, die etwa eine Installationsfi rma garantieren kann –
anerkannt sind. Stattdessen sind erstmalig 1995 verschiedene Link-Klassen (Ta-
64 www.TecChannel.de

Kabeltypen für LANs
belle 3), etwa in DIN EN 50173 und in ISO/IEC 11801, spezifi ziert worden, die
nicht nur das Kabel selbst, sondern auch die Verbindung einschließlich der Anschlussdose
verbindlich spezifi zieren und somit das Gesamtsystem mit genauen
Übertragungseigenschaften (Klasse A-G) beschreiben.
Tabelle 3: Die in Europa gültigen Link-Klassen für TP-Kabel
Link-Klasse Max. Frequenz Anwendungen
A 100 kHz Telefon, ISDN
B 1 MHz ISDN
C 16 MHz 10BaseT, Token Ring
D 100 MHz 100BaseTX
E 250 MHz 1000BaseT
F 600 MHz 10GBaseT
G 1 GHz 10GBaseT
Die Twisted Pair-Kabel sind für Ethernet standardisiert und werden teils auch für
andere Implementierungen (Token Ring, 100VGAnyLAN) verwendet, wobei insbesondere
das Twisted Pair-Kabel der Kategorie 5 (Cat 5) universell einsetzbar und
demnach sehr verbreitet ist. Hierfür ist ein Western-Stecker gemäß RJ45 als Standard
anzusehen. Je nach LAN-Typ werden vier (etwa Fast-Ethernet) oder auch alle
acht Adern eines Cat5-Kabels (etwa 100VGAnyLAN Gigabit-Ethernet) verwendet.
Steckverbindungen
Als Anschlussstecker ist für Twisted Pair-Kabel meist ein Western-Stecker vorgesehen,
wobei es unterschiedliche Typen gibt, die sich sowohl in mechanischer als
auch elektrischer Hinsicht – in der Verwendung der einzelnen Adern – voreinander
unterscheiden.
Das Format der Western-Steckverbindung ist zwar international genormt, nicht
jedoch die Kontaktbelegung. Falls aus dem Kabelaufdruck oder der Beschreibung
nicht hervorgeht, um welchen TP-Kabeltyp und für welchen Einsatzzweck es sich
handelt, sollte vorsichtig sein, denn auch falls der Stecker passen sollte, können Signale
im Kabel „gebrückt“ oder „verdreht“ sein, so dass die Steckerbelegung eben
nicht 1:1 ist und es zu elektrischen Beschädigungen der damit verbundenen Geräte
kommen kann. Insbesondere sehr kostengünstige Restbestände unbekannter
Herkunft aus dem Elektronik-Versandhandel können hier für unangenehme
Überraschungen sorgen, auch wenn sie als TP-Netzwerkkabel bezeichnet werden.
Insbesondere Kabel mit RJ11-Stecker gibt es in zahlreichen unterschiedlichen Belegungen
für viele verschiedene Geräte, was letztendlich Geräte- und /oder Hersteller-abhängig
ist. Außerdem ist es wichtig, dass das Differenzsignal stets auf
einem Adernpaar liegt, damit sichergestellt werden kann, dass sich äußere Stö-
webcode: 1757142 65

3. Netzwerk-Grundlagen
rungen auf das Kabel kompensieren können. Wie die Adernpaarzuordnung tatsächlich
realisiert ist, kann aber nicht ohne weiteres, etwa mit einem Multimeter
im Widerstandsmessbereich oder einem einfachen Kabeltester, festgestellt werden.
Hiermit ist nur ein Signaldurchgang detektierbar, der aber auch bei einer
falschen Adernpaarzuordnung vorliegt.
66 www.TecChannel.de
Abbildung 2: Die Zuordnung der Leitungspaare
am RJ45-Anschluss
Letztendlich wird die Adernpaarzuordnung durch die jeweilige Adapterschaltung
wie etwa eine Netzwerkkarte bestimmt, die entsprechend ausgeführte Übertrager
einsetzt. Diese Zuordnung darf dann natürlich nicht durch ein falsch verdrahtetes
Netzwerkkabel aufgehoben werden, was immer wieder bei selbst angefertigten
Twisted Pair-Kabeln passiert.
Die Verbindungen am Western-Stecker werden häufi g falsch hergestellt, indem die korrekte Zuordnung
der Leitungspaare nicht beachtet wird, was sich insbesondere bei verhältnismäßig hohen
Übertragungsraten und Distanzen als Netzwerkfehler äußert.
Ethernet
Bei einem Ethernet-Anschluss müssen zwei Adernpaare verbunden werden, die
nicht nebeneinander liegen. Eine Verdrehung der Paarzuordnung hat bei Ethernet
unter Umständen fatale Folgen. Es kommt dann zu langsamen Netzwerkverbindungen
oder der Datenstrom reißt ab, was mit Fehlermeldungen einhergeht, die
keineswegs auf ein fehlerhaftes Kabel hinweisen. Beim Einstecken eines RJ45-Steckers
ist zu beachten, dass der Plastikhebel (Retention Clip) des Steckers an der
Buchse einrastet, denn nur so ist eine stabile Verbindung möglich. Für das Herausziehen
eines Western-Steckers aus einer Buchse ist demnach der Plastikhebel (mit
dem Daumen) herunterzudrücken, damit der Stecker wieder freigegeben wird.
Aus Unkenntnis über die Existenz dieser Stecksicherung am Western-Stecker wird
immer wieder versucht, den Stecker mit einem hohen Kraftaufwand aus der Buchse
zu ziehen, wobei mechanische Beschädigungen wie das Abbrechen des Plastikhebels
die Folge sein können. Anschlusskabel mit abgebrochenem Plastikhebel

Kabeltypen für LANs
sollten keinesfalls mehr verwendet werden, weil der Stecker durch geringe mechanische
Beanspruchung aus der Buchse herausrutscht, wodurch dann gar keine
oder nur eine sporadische elektrische Verbindung gegeben ist. Der RJ45-Stecker
(IEC 60603-7) hat für alle üblichen Ethernet-Realisierungen die gleichen mechanischen
Abmessungen, was demnach auch für Gigabit-Ethernet gilt. Für Kabel ab
der Kategorie 6 und somit bereits für 10GBaseT wird als RJ45-Verbinder eine geschirmte
Ausführung (IEC 60603-7-5) empfohlen, bei der die Verdrillung der
Adernpaare soweit wie möglich erhalten bleibt. Äußerlich ist dabei jedoch keine
Veränderung gegenüber dem bisherigen RJ45-Stecker erkennbar.
Abbildung 3: Die GG45-
Buchse ist für Cat7-Kabel
spezifi ziert.
Für Kabel der Kategorie 7 ist ein neuer Steckverbinder defi niert worden: GG45 der
Firma Nexan. Er ist rückwärtskompatibel zu Cat6- und Cat5-Verbindungen, und
der RJ45-Steckverbinder ist um vier neue Kontakte erweitert worden, die durch
einen mechanischen Schaltmechanismus in der Buchse aktiviert werden.
3.2.3 Kabelaufbau und Spezifi kationen
Die Einzeladern, wovon maximal acht in einem LAN-TP-Kabel möglich sind, werden
jeweils zu einem Paar verdrillt (Abbildung 4) und sind als isolierte Kupferleiter
ausgeführt. Die Impedanz ( Wellenwiderstand) beträgt typischerweise 100
Ohm +/-15%, wobei bei einigen zumeist älteren Kabeltypen (etwa Cat3) der Wellenwiderstand
120 oder 150 Ohm beträgt.
Bei Patchkabeln sind die Leitungen als Litze mit einem typischen Durchmesser
von 0,4-0,5 mm ausgeführt und bei Kabeln für die feste Verlegung als Draht mit
einem Durchmesser von jeweils 0,5-0,65 mm. Die Stärke des Kupferleiters wird
oftmals als American Wire Gauge (AWG) angegeben; dabei ist die Drahtdicke bei
einem höheren AWG geringer. Die typischen TP-Verlegekabel der Kategorien
Cat5-Cat7 werden als AWG24 spezifi ziert, während AWG22-AWG27 im LAN-Bereich
gebräuchlich sind.
webcode: 1757142 67

3. Netzwerk-Grundlagen
68 www.TecChannel.de
Abbildung 4: In einem Twisted Pair-Kabel sind
maximal vier miteinander verdrillte Kabelpaare
vorhanden.
Wie bereits beim Koaxialkabel erläutert, bewirkt die Dämpfung (in dB) eine Reduzierung
der Signalamplitude in Abhängigkeit von der jeweiligen Leitungslänge.
Die korrekte Erkennung einer Signalamplitude, die im schlimmsten Fall im Rauschen
untergehen kann, wird durch ein vorgegebenes Signal-Rausch-Verhältnis
(Signal to Noise Ratio, SNR) spezifi ziert. Wie die anderen wichtigen Parameter
auch, wird diese Größe in dB (Dezibel) angegeben.
Tabelle 4: Eckdaten von Kupferkabeln für Netzwerke
Standart Kabel Dämpfung Max. Länge
10Base2 Koax, RG58 8,5 dB 185 m
10Base5 Koax, Yellow Cable 8,5 dB 500 m
10BaseT TP, Cat3 13,1 dB 100 m
100BaseTX TP, Cat5 10,7 dB 100 m
1000BaseTX TP, Cat5 22 dB 100 m
Homogenitäten
Auf Twisted Pair-Kabeln fi ndet eine differentielle Datenübertragung (symmetrisch)
statt, es gibt daher mindestens zwei Sendeleitungen (TXD+, TXD-) und
auch zwei Empfangsleitungen (RXD+, RXD-). Die Datensignale werden hier nicht
wie bei einer Koaxialleitung auf die Masse bezogen, sondern das Nutzsignal liegt
zwischen TXD- und TXD+, was dementsprechend auch für das Empfangssignal
auf den RXD-Leitungen gilt.
Dadurch werden Störsignale weitgehend unterdrückt, da sich ein äußeres Störsignal
auf die beiden komplementären Signaladern auswirkt und das hieraus resultierende
Differenzsignal idealerweise wieder zu Null wird. Voraussetzung ist hierfür,
dass die Leitungen eines Adernpaares exakt gleich lang und zudem absolut
homogen miteinander verdrillt sind.
Fatal ist es, wenn die Paarzuordnung nicht korrekt ist. Selbst wenn ein TP-Kabel
die genannten Bedingungen prinzipiell erfüllt, kann es bei der Verlegung des Kabels
und den Anschlüssen (wieder) zu Inhomogenitäten kommen, weil das Kabel
zu stark gequetscht wird oder die Anschlussdosen nicht optimal konfektioniert
worden sind. Dies kann zur Verschlechterung der elektrischen Eigenschaften führen,
was dann insbesondere bei Gigabit-Ethernet gravierende Auswirkungen hat:
keine LAN-Verbindung.

Die Bandbreite
Kabeltypen für LANs
Ein häufi ges – eher grobes – Unterscheidungsmerkmal bei den Kategorien für TP-
Kabel ist die Bandbreite. Laut den grundlegender Kabel-Standards wird nicht direkt
auf eine bestimmte Netzwerk-Implementierung Bezug genommen, sondern
es stellt sich gewissermaßen erst durch die Art der zu übertragenden Daten heraus,
welches Medium geeignet ist. Dabei geht man von einem typischen Datenaufbau,
-volumen und Transferverhalten aus und schlägt noch eine Sicherheitsreserve
dazu, was dann zu den für diese oder jene Netzwerk-Implementierung empfohlenen
Kabeltypen mit entsprechender Bandbreite (Tabelle 5) führt.
Zu den genaueren Spezifi zierungsdaten gehört das Übersprechen (Cross Talk),
was beim TP-Kabel bedeutet, dass sich die Signale der Adernpaare durch induktive
und kapazitive Kopplungen der Leitungen im Kabel gegenseitig stören können.
Das Near End Crosstalk (NEXT, Nahnebensprechen) ist ein derartiger unerwünschter
Effekt, der die elektrische Beeinfl ussung von einem Leitungspaar zum
anderen beschreibt und von der Frequenz abhängig ist. Je höher der NEXT-Wert
ist, desto besser sind die Leitungspaare gegeneinander abgeschirmt, so dass sich
die Signale möglichst nicht gegenseitig stören können. Insbesondere bei Gigabit-
Ethernet mit TP-Kabel, wo die gleichzeitige Verwendung aller vier Leitungspaare
im Gleichtakt praktiziert wird, kann dieser Effekt, der sich nur durch ausgeklügelte
Kodierungen (Trellis) vermeiden lässt, stark zum Tragen kommen.
Tabelle 5: Charakteristische Werte bei verschiedenen Kabelkategorien
Kategorie Bandbreite Dämpfung NEXT
3 16 MHz 17 dB bei 4 MHz 30 dB bei
10 MHz 40 dB bei 16 MHz
4 20 MHz 13 dB bei 4 MHz 22 dB bei
10 MHz 25 dB bei 16 MHz
5 100 MHz 13 dB bei 4 MHz 47 dB bei
10 MHz 44 dB bei 16 MHz
32 dB bei 100 MHz
3.2.4 NEXT, NEXT-a, FEXT, ELFEXT und AXTLK
32 dB bei 4 MHz 26 dB bei 10
MHz 21 dB bei 16 MHz
47 dB bei 4 MHz 41 dB bei 10
MHz 38 dB bei 16 MHz
53 dB bei 4 MHz 20 dB bei 10
MHz 25 dB bei 16 MHz 67 dB
bei 100 MHz
Für Cat5-Kabel ist laut der EN 50173-Norm bei 100 MHz ein Wert von 67 dB für
das NEXT gefordert, wie es auch in der Tabelle 5 angegeben ist. Diese Werte sind
mittlerweile (ab Cat5e) strenger gefasst, so dass bei Cat7 der Klasse F bei einer Frequenz
von 100 MHz die maximale Dämpfung nur noch 19,2 dB betragen darf. Bei
der Maximalfrequenz von 600 MHz sind 50 dB erlaubt.
Mit dem Cat5-Kabel sind für alle Ethernet-Standards bis hin zu 1000BaseT maximale Segmentlängen
von 100 m möglich, wobei man von 90 m fest verlegtem Kabel und 10 m Patch-Kabel (von der
Anschlussdose zum Gerät) ausgeht.
webcode: 1757142 69

3. Netzwerk-Grundlagen
Der Parameter für das Nahnebensprechen wird mitunter auch mit NEXT-a umschrieben,
wobei das „a“ für die Dämpfung steht (Attenuation). Näherungsweise
kann man S/N (dB) = NEXT (dB) - a (dB) setzen. Das Signal-Rauschverhältnis (S/
R) entspricht demnach ungefähr dem Wert für das Nahnebensprechen minus der
Dämpfung, womit man die wichtigsten Parameter im Zusammenhang hat. NEXTa
wird auch als Attenuation to Crosstalk Ratio (ACR) bezeichnet und beschreibt
genau genommen eben nicht nur das Kabel allein, sondern die Beschaffenheit einer
gesamten Übertragungsstrecke.
Das Fernnebensprechen ist die ungewollte Übertragung von Energie auf benachbarte
Adern am Ende des Leitungswegs, was als Far End Crosstalk (FEXT) spezifi -
ziert wird. Die Leitungslänge hat hierauf einen maßgeblichen Einfl uss, und deshalb
wird am Leitungsende gemessen, wie stark ein Sendesignal auf dem Adernpaar
1 die anderen drei beeinfl usst. Die relative Größe, die das Verhältnis von NEXT
zum (gedämpften) Nutzsignal beschreibt, wird als ELFEXT ausgewiesen.
Für die Beeinfl ussung zwischen den Aderpaaren einer Strecke ist oftmals ein Wert
defi niert worden, der als Powersum der Summe aus NEXT, FEXT und ELFEXT
entspricht. Bei der Datenübertragung über das Netzwerkkabel wird ein kleiner
Teil des Nutzsignals als Echo refl ektiert, was als Return Loss bezeichnet wird. Der
Wert in dB gibt somit einen Wert für den Anteil der refl ektierten und somit verlorenen
Signalenergie an. Refl exionen treten insbesondere an Störstellen (Knick)
und an Steckverbindern auf.
Mit 10GBaseT ist noch ein weiteres Kriterium hinzugekommen, und zwar Alien
Crosstalk (AXTLK), was als Fremdnebensprechen verstanden wird. Hiermit wird
der Kopplungseffekt ausgewiesen, der sich zwischen Twisted Pair-Kabeln auswirkt,
wenn die Kabel gebündelt werden.
Schirmung
Ein Twisted Pair-Kabel besteht – wie erläutert – aus mehreren, miteinander verdrillten
Leitungen. Diese Kabel sind in unabgeschirmter (UTP, Unshielded Twisted
Pair) und abgeschirmter (STP, Shielded Twisted Pair) Ausführung erhältlich.
UTP-Kabel werden in Deutschland selten verwendet, obwohl weltweit über 90%
aller LANs damit arbeiten. Stattdessen wird hier vorwiegend ein STP-Kabel verwendet,
welches unempfi ndlicher gegen Störungen ist, weil hier ein Metallmantel
in das Kabel eingearbeitet ist. Dieser wirkt einerseits gegen äußere Störungen als
Abschirmung, andererseits begrenzt er aber auch das vom Kabel ausgehende elektrische
Feld und somit die Abstrahlung des Kabels.
Ein weiteres Unterscheidungsmerkmal ist die Art der Abschirmung. STP-Kabel
gibt es mit einer gemeinsamen Abschirmung (S-UTP), die als Mantel (Gefl echt,
Metallfolie) um alle Leitungen geführt ist, und in einer Auslegung, bei der jedes
Aderpaar einzeln (STP) abgeschirmt ist. Zudem ist noch eine Variante namens
S-STP erhältlich, bei der die Adern einzeln abgeschirmt sind und zusätzlich eine
Gesamtabschirmung um alle Leitungen herum realisiert wird. Dieses gilt als das
störungssicherste Netzwerkkabel und wird etwa für 10GBaseT verwendet.
70 www.TecChannel.de

Abbildung 5: Der Aufbau der verschiedenen Twisted Pair-Kabel
Normen
Kabeltypen für LANs
Die Begriffe UTP, STP, S-UTP sowie S-STP sind allerdings nicht genormt, so dass
nicht selten auch andere Bezeichnungen für diese vier grundlegenden Kabeltypen
verwendet werden. Bei einem FTP-Kabel (Foiled Twisted Pair) handelt es sich beispielsweise
um ein STP-Kabel, bei dem die Adernpaare von einer Metallfolie umgeben
sind. Zur deutlichen Unterscheidung wird die Gesamtschirmung üblicherweise
mit Screened und die Adernschirmung mit Shielded ausgewiesen, wie es
auch der Tabelle 6 zu entnehmen ist.
Tabelle 6: Varianten des Twisted Pair-Kabels
Typ Gesamtschirmung Adernschirmung
U-UTP Unscreened Unshielded
S-UTP Screened Unshielded
U-STP Unscreened Shielded
S-STP Screened Shielded
FTP Unscreened Shielded
Ältere Spezifi kationen der verschiedenen TP-Kabeltypen sind nicht selten unklar
oder sogar widersprüchlich, und dem wird in der Norm ISO/IEC 11801 E
aus dem Jahre 2002 mit einem einheitlichen Bezeichnungsschema in der Form
xx/yzz begegnet:
webcode: 1757142 71

3. Netzwerk-Grundlagen
xx steht für die Gesamtschirmung: U = ungeschirmt; F = Folien-geschirmt; S
= Gefl echtschirm; SF = Gefl echt + Folienschirmung
y steht für die Adernpaarschirmung: U = ungeschirmt; F = Folien-geschirmt;
S = Gefl echtschirm
zz steht für Twisted Pair
3.2.5 Kabelverlegung
Generell sind auch die Masseverhältnisse bei einer LAN-Verbindung von Bedeutung.
Beim Koaxialkabel wird daher an einem Ende des Segments mit einer Kette
eine Erdung vorgenommen. Eine extra Erdungsmöglichkeit gibt es beim TP-Kabel
nicht, doch in den Hubs und Switches, die an das Stromnetz angeschlossen
sind, fi ndet möglicherweise eine Erdung statt, was letztendlich vom Geräteaufbau
abhängig ist. Bei einem Metallgehäuse mit internem Netzteil kann man in der Regel
davon ausgehen, dass dem so ist; bei Geräten im Plastikgehäuse oder mit externem
Steckernetzteil ist dies hingegen nicht der Fall.
Obwohl in den Einheiten Übertrager zum Einsatz kommen, die eine galvanische
Trennung zwischen der LAN-Elektronik auf der Netzwerkkarte oder auch im
Switch zum LAN-Segment hin vornehmen, können sich ungeordnete Masseverhältnisse
ergeben, und zwar durch die Verwendung unterschiedlich aufgebauter
TP-Kabel, also etwa die Kombination von STP, S-UTP oder auch S-STP.
Problemen, die aus einer derartigen Installation resultieren, auf den Grund zu
kommen, ist nicht trivial und bleibt letztendlich dem professionellen LAN-Techniker
mit speziellen Messgeräten vorbehalten. Daher kann man nur empfehlen,
möglichst einheitliche TP-Kabel zu verwenden. Eine Mischung etwa von S-STPmit
S-UTP führt zudem zu einer erhöhten Störanfälligkeit. Dann wäre es besser,
wenn ausschließlich S-UTP zum Einsatz käme. Weil nachträgliche Änderungen an
einer LAN-Verkabelung oftmals nicht mehr ohne weiteres möglich sind, sollte auf
jeden Fall versucht werden, einzelne Segmente mit einheitlichen TP-Kabeln aufzubauen,
was mindestens die Strecke vom PC bis hin zum Switch-Port bedeutet, besser
natürlich noch den ersten Switch mit den weiteren Ports einbezieht.
Die Selbstanfertigung von Twisted Pair-Verbindungen mit Crimp-Zange und einzelnen RJ45-Steckern
ist keine empfehlenswerte Methode für den Aufbau eines aktuellen LANs. Stattdessen sollten
Patch-Kabel von Markenherstellern eingesetzt werden. Feste Gebäude-Installationen überlässt man
dem Fachmann, der auch Messprotokolle über die verlegten Strecken anfertigen kann.
Qualität der Kabel
Nach Möglichkeit ist von einer Selbstanfertigung von TP-Verbindungen abzusehen,
denn aus den obigen Erläuterungen sollte ersichtlich sein, dass eine Reihe
von Faktoren eine LAN-Verbindung negativ beeinfl usst, auch wenn man dem
RJ45-Stecker und dem Kabel die jeweilige Bedeutung nicht ansieht.
72 www.TecChannel.de

Kabeltypen für LANs
Patch-Kabel, die typischerweise die Verbindung zwischen einem PC und einem
Switch herstellen, gibt es in handelsüblichen Längen (0,5-30m) mit entsprechender
Kennzeichnung (Cat5e, Cat6a) und auch in unterschiedlichen Farben, die die Orientierung
in dem mitunter existierenden Kabelwust erleichtern.
Den als besonders preisgünstig erscheinenden Sonderangeboten für fertig konfektionierte
TP-Kabel kann man von außen kaum ansehen, wie es mit der Qualität
bestellt ist und ob es hiermit nicht spätestens mit Gigabit-Ethernet Probleme gibt.
Stattdessen sollte ein Produkt von einem Markenhersteller bevorzugt werden, der
auch die relevanten Kabelparameter veröffentlicht bzw. explizit die Eignung für
die jeweils zu realisierende LAN-Verbindung garantiert.
In der Vergangenheit war man mit Cat5-Kabel (S-UTP) auf der sicheren, das heißt
der zukunftssicheren Seite, was für 10GBaseT jedoch nicht mehr gilt, so dass bei
Neuverlegungen möglicherweise das gegenüber Cat5e etwa dreimal so teure Cat7-
Kabel für die Gebäudeinstallation notwendig wird. Für Rauminstallationen hingegen
reicht weiterhin das Cat5-Kabel bis maximal Gigabit-Ethernet aus, denn zum
jetzigen Zeitpunkt ist es eher unwahrscheinlich, dass 10GBaseT direkt bis an einzelne
PCs geführt werden wird.
Verlegung des LAN-Kabels
Bei kleineren LAN-Installationen ist eine Verlegung von „losen“ Patch-Kabeln, die
es bis hin zu 30 m Länge gibt, die beste Methode, was man auch leicht selbst ausführen
kann. Wo es möglich ist, können bereits vorhanden Kabelschächte und
Mauerdurchbrüche für die Netzwerkkabel genutzt werden.
Abbildung 6: Slimwire-Kabel
sind sehr fl ach und lassen sich
auch an kritischen Stellen recht
unauffällig verlegen.
Ein Signalübersprechen ist dabei unwahrscheinlich, weil mit einem Kabel jeweils
nur eine einzige LAN-Verbindung realisiert wird und nicht mehrere Verbindungen
in einem Kabel geführt werden, wie es bei Kabeln für die feste Verlegung
meist der Fall ist. Dennoch sollten LAN-Kabel sicherheitshalber nicht mit anderen
Elektrokabeln (per Kabelbinder) gebündelt werden.
Bei Mauerdurchbohrungen für LAN-Kabel ist der RJ45-Stecker (mit dem Plastikhebel)
mitunter ein Hindernis, weil das Loch 1,5-2 cm groß sein muss, damit der
webcode: 1757142 73

3. Netzwerk-Grundlagen
Stecker hindurchpasst. Ihn abzuschneiden, um dann nach dem Durchstecken des
LAN-Kabels den Stecker per Crimp-Zange wieder aufzuquetschen, ist jedoch keine
sinnvolle Alternative.
Für Power Over Ethernet sind zunächst die Vorgaben der Gerätehersteller von Bedeutung. Bei der
Verkabelung muss außerdem der maximal zulässige Strom beachtet werden, so dass möglicherweise
dickere LAN-Kabel eingesetzt werden müssen.
Verlegung von Profi s
Gegebenenfalls ist ein Übergang auf dünne LWL-Verbindungen eine Möglichkeit
für die Verlegung, zumindest für bestimmte Strecken (im Backbone), was man
ebenfalls selbst durchführen kann, wenn man sich an die Standardlängen halten
kann oder Polymer Optical Fiber verwendet, welches sich beliebig zuschneiden
lässt. Die feste Verlegung von Twisted Pair-Kabeln für die Gebäudeinstallation ist
demgegenüber eine Arbeit für den Fachbetrieb, wobei auch Elektriker und Firmen
für die Antenneninstallation entsprechende LAN-Installationsarbeiten anbieten.
Dabei sollte als Kunde unbedingt darauf geachtet werden, dass die Firma ein Messprotokoll
entsprechend der gültigen Normen (ISO/IEC 11801 oder TIA/EIA 568
B.2) anfertigen kann. Damit ist die Netzwerkverkabelung eindeutig spezifi ziert
worden, und etwaige spätere Kommunikationsprobleme können nicht im LAN
selbst begründet sein, solange die Spezifi kationen auch von der Geräteseite her
eingehalten werden.
Auch wenn immer wieder der Eindruck erweckt wird, dass die Verlegung von
Netzwerkkabeln eine einfache Sache ist, die auch von einem Laien durchgeführt
werden kann, ist dies bei festen Gebäudeinstallationen, wo möglicherweise sogar
mehrere Gebäudekomplexe vernetzt werden müssen, keineswegs mehr der Fall. Es
reicht nicht aus, wenn bei der Elektroinstallation einfach ein paar mehradrige
LAN-Kabel mit verlegt oder einige zusätzlich mit in Beton gegossen werden. Entsprechende
Planungserfahrung, Kenntnisse über Installations- und auch Brandschutztechnik
sowie natürlich über die neusten LAN-Verlegeverfahren sind hierfür
absolut notwendig. Das Aufl egen der Twisted Pair-Kabel, womit letztendlich
der Arbeitsgang der Kabelverbindung in den Patchpanels und den LAN-Anschlussdosen
gemeint ist, erfordert für Cat6- und insbesondere für Cat7-Installationen
ein hohes Maß an Genauigkeit und Präzision bei der Arbeit.
Patchpanels und Fehlerquellen
Mit Patchpanels oder auch Patch-Feldern werden so genannte Umsteckfelder in
einem Metallgehäuse bezeichnet, die in der Regel keine Elektronik beinhalten,
sondern nur dafür vorgesehen sind, einerseits (von hinten) die Stränge der meist
vieladrigen, gebündelten TP-Kabel aufzunehmen und andererseits (von vorne)
mehrere RJ45-Buchsen (typisch 8-48) für den Anschluss der LAN-Kabel zur Verfügung
zu stellen.
74 www.TecChannel.de

Abbildung 7: Eine Netzwerkanschlussdose
für Cat7-Kabel ver-
fügt über ein Metallgehäuse.
Kabeltypen für LANs
Intern fi ndet also die Aufsplitterung der einzelnen Kabelstränge in die Einzeladern
statt. Jeder Anschlussdose – etwa in einzelnen Büros – ist auf dem Patchfeld eine
eigene Steckverbindung zugeordnet. Die eingesetzten Patchpanels müssen dabei
den Spezifi kationen des jeweiligen Verkabelungsstandards entsprechen, weil sie
unmittelbar die Übertragungseigenschaften des LANs beeinfl ussen.
Patchpanels sind Bestandteil einer festen (Gebäude-)Installation und müssen dem jeweiligen Verkabelungsstandard
entsprechen, was gleichermaßen für die Ausführung der intern Verdrahtung gilt.
Das Verlegen, Abschneiden, Abisolieren und das Befestigen der Kabel bzw. der einzelnen
Adern beinhaltet eine ganze Reihe von potentiellen Fehlerquellen, wie die
mögliche Verletzung von maximal erlaubten Biegeradien (üblicherweise das Achtfache
des Kabelaußendurchmessers), die Nichteinhaltung der maximalen ungeschirmten
Aderlänge, eine zu geringe Aufl agefl äche der Abschirmung, ein zu hoher
Druck auf das Kabel und einiges mehr.
Im Gegensatz zu früheren LAN-Installationen bleibt bei den aktuellen nur ein
recht geringer Spielraum zwischen dem, was die Norm verschreibt und Verkabelungen
zu leisten vermögen, und dem, was notwendig ist, damit die Netzwerkeinheiten
auch wie vorgesehen funktionieren. Selbst kleine Nachlässigkeiten bei der
Verlegung können später zu hohen Reparaturkosten bzw. Nacharbeiten führen.
3.2.6 Überprüfen von TP-Verbindungen
Bei der Verwendung von Twisted Pair-Kabeln ist ein einfacher Test mit einem Multimeter
im Ohm-Messbereich wie beim Koaxialkabel nicht ohne Weiteres möglich.
Es ist jedoch relativ leicht, per Software zu ermitteln, wo das Problem liegt,
indem die PCs einzeln „angepingt“ werden, damit die schadhafte Verbindung oder
Kopplungsstelle identifi ziert werden kann.
webcode: 1757142 75

3. Netzwerk-Grundlagen
Dabei hängt die Fehlersuche natürlich auch von der jeweiligen Topologie des
Netzwerks ab, also davon, an welcher Stelle sich ein Verteiler (Router, Switch) befi
ndet. Daher empfi ehlt es sich bei einer größeren Installation, einen Verdrahtungsplan
parat zu haben oder zumindest die einzelnen Kabelenden zu beschriften,
damit man für den Fehlerfall gewappnet ist und nicht erst lange herumrätseln
muss, welches TP-Kabel wohin verläuft.
Die Überprüfung eines TP-Kabels mit einem Ohmmeter wie für Koaxialkabel erläutert
ist zwar möglich, allerdings wird hierfür eine recht dünne Messspitze am
Messgerät benötigt, damit man an die Kontakte herankommt. Mit dem Messgerät
müsste gleichzeitig an beiden Enden des Kabels auf dem jeweiligen Kontakt angesetzt
werden, was dann einen Widerstand von nahezu Null Ohm (Kurzschluss) zu
ergeben hat. Dies kann bei größeren (verlegten) Längen nicht durchgeführt werden,
da man mit dem Messgerät eben nicht an die beiden Enden herankommt.
Überprüfen mit Messgeräten
Diese einfache Methode kann daher eher selten näheren Aufschluss bieten. Einem
(zuvor funktionsfähigen) TP-Kabel kann man eigentlich von außen ansehen, ob
es in Ordnung ist oder nicht. Wenn die Stecker nicht beschädigt wirken und auch
keine Knicke im Kabel zu entdecken sind, ist das Kabel meist in Ordnung. Eine
Ausnahme ist natürlich dann gegeben, wenn die Kabel nicht in Augenschein genommen
werden können, weil sie etwa in einem Kabelschacht verlegt worden
sind. Statt eines Kabelfehlers ist man zuweilen auch einem Irrtum aufgesessen,
weil es auch TP-Kabel (Cross-Kabel) mit einer internen Leitungsdrehung gibt.
Zur Erinnerung: Für die Verbindung zwischen einem Switch und einem PC wird
ein TP-Kabel mit einer 1:1-Verdrahtung (Patch-Kabel) verwendet. Bei tiefergreifenden
Problemen mit einer TP- und erst recht mit einer LWL-Verkabelung
kommt man nicht ohne spezielle Messgeräte aus, die sich für die einmalige Anwendung
allerdings nicht lohnen. Insbesondere die Firmen Fluke und Hewlett-
Packard (Agilent) bieten ein recht breites Spektrum an Messgeräten für LANs und
WANs an, was vom einfachen Kabeltester bis hin zum Protokollanalyser reicht.
3.2.7 Link-Tester selbst gebaut
Zur schnellen Überprüfung, ob mit einem bestimmten Kabel eine LAN-Verbindung
besteht, eignet sich ein kleiner Switch, den man einfach an das jeweilige
LAN-Kabel anschließt, woraufhin anhand der vorhandenen Leuchtdioden abzulesen
ist, ob ein Link zu dem dahinter befi ndlichen Switch zustande kommt.
Für den Switch ist eine Spannungsversorgung notwendig, die entweder eingebaut
ist, was das Gerät dann unhandlicher macht, oder über ein externes Steckernetzteil
hergestellt wird, was sich oft als unpraktisch erweist, weil nicht immer dort, wo
sich gerade das zu prüfende LAN-Kabel befi ndet, auch eine 230 V-Steckdose zur
Verfügung steht.
76 www.TecChannel.de

Abbildung 8: Eine umgebaute Netzwerkkarte
als handlicher Link-Tester.
Kabeltypen für LANs
Die Lösung bietet ein handlicher Link-Tester, den man sich – mit etwas Lötgeschick
– auch ganz einfach selbst bauen kann. Dafür wird eine Netzwerkkarte mit
dem dreipoligen WOL-Anschluss benötigt. Fast-Ethernet-Karten sind mitunter
bereits für ein paar Euro erhältlich, wobei der jeweilige Bus-Anschluss (ISA, PCI,
PCI-Express) hier keine Rolle spielt, denn die Karte wird nicht etwa in einem PC
eingebaut, sondern über den WOL-Anschluss mit Spannung versorgt. Das reicht
aus, um nach dem Einstecken eines LAN-Kabels auf den vorhandenen Leuchtdioden
(LEDs) erkennen zu können, ob ein Link vorhanden ist und ob hier 10 MBit/s
oder 100 MBit/s möglich sind. Die Karte muss logischerweise über die entsprechenden
LEDs verfügen.
Abbildung 9: Die
umgebaute Netzwerkkarte
von der Vorder-
und von der Rückseite.
Zu Netzwerkkarten mit WOL-Anschluss wird meist auch das passende, recht dünne
dreipolige Kabel (oftmals in gelber Farbe) mitgeliefert, welches normalerweise
auf den passenden Anschluss des Mainboards gehört, hier jedoch über den Pin 1
webcode: 1757142 77

3. Netzwerk-Grundlagen
mit 5 V versorgt wird. Pin 2 wird mit der Masse der Spannungsversorgung verbunden,
während Pin 3 nicht benötigt wird und daher auch am Stecker abgekniffen
werden kann.
Stromversorgung des Link-Testers
Für die Spannungsversorgung sind mindestens drei 1,5 V-Batterien notwendig,
die in ein entsprechendes Batteriefach einzusetzen sind, welches man im Elektronikhandel,
etwa bei Conrad Elektronik, fi ndet. Üblicher ist allerdings ein Batteriefach
für vier 1,5 V-Batterien, womit dann 6 V vorhanden sind. Um damit
nicht die Zerstörung der Karte zu riskieren, verwendet man in diesem Fall am besten
einen 5 V-Spannungsregler (vom Typ 7805 Low Drop), der aus den 6 V konstante
5 V erzeugt. Ein 9 V-Block ist natürlich ebenfalls möglich, wobei dann kein
Low Drop-Typ notwendig ist, weil die Spannungsdifferenz größer ist und auch
ein 7805-Standard-Typ verwendet kann. Beachtet werden sollte bei der Spannungsversorgung,
dass das „Gerät“ gut zu handhaben ist.
Ein fl aches Batteriefach mit vier AAA-Batterien könnte im Übrigen (mit doppelseitigen
Teppichklebeband) auf die Platinenrückseite geklebt werden, wie es in der
Abbildung 9 zu erkennen ist. Außerdem wurde bei der verwendeten Netzwerkkarte
noch ein einfacher Taster in den Weg der Spannungsversorgung (vor den Spannungsregler)
gelötet, damit die Schaltung nur beim Drücken auf den Taster mit
Spannung versorgt wird und nur dann Strom verbraucht wird, was eine sehr lange
Haltbarkeit der Batterien verspricht.
78 www.TecChannel.de
Abbildung 10: Die Zusatzschaltung für die
Netzwerkkarte im Detail
Wer den Tester besonders stabil aufbauen will, kann die Karte mit den zusätzlichen
Teilen natürlich in ein Gehäuse einbauen. Hier wurden die Teile direkt an
den Batteriekasten gelötet, wobei man aufpassen muss, dass der heiße Lötkolben
nicht das Plastik aufweicht und dabei die beiden Ösen des Batteriefachs ihren Halt
verlieren. Zuletzt könnte noch das möglicherweise störende Slotblech der Karte
abgeschraubt werden. Weil hier aber meist die Beschriftungen, die den Status der
LEDs angeben, aufgebracht sind, ist es sinnvoller, das Blech abzuschneiden und/
oder um die Platine herum zu biegen, wodurch sie auch besser zu handhaben ist.

3.2.8 Optische Netzwerke mit LWL
Kabeltypen für LANs
Netzwerke auf der Basis von Lichtwellenleitern ( LWL) sind verglichen mit solchen
mit Kupferverbindungen störunempfi ndlicher, abhörsicherer und weisen eine
niedrigere Fehlerrate auf. Die LWL-Verbindungen können beispielsweise auch im
gleichen Kabelschacht wie etwa die Starkstromleitungen verlegt werden, ohne dass
die hiervon ausgehenden Störungen einen Einfl uss auf die Netzwerkverbindung
hätten. Beschädigungen durch Überspannungen, statische Entladung oder auch
durch Blitzschlag sind bei LWL nicht möglich. Außerdem gibt es hier automatisch
eine „galvanische“ Entkopplung zwischen der Netzwerkhardware (etwa Netzwerkkarte)
und dem Medium, wofür bei den TP- und Koax-Netzwerkkarten spezielle
Übertrager (Transformatoren) notwendig sind. Daher können bei einer optischen
Übertragung keine Masseprobleme auftreten.
Die Lichtwellenleiterverbindungen – gewissermaßen die LWL-Kabel, auch wenn
es keine Kabel im elektrischen Sinne sind – sind entgegen der oft zitierten Befürchtung
äußerst robust, dabei relativ dünn und daher sehr fl exibel, was sie in der
Handhabung unkritischer erscheinen lässt als TP- oder auch Koaxialkabel.
3.2.9 SC- und ST-Verbindungen
Prinzipiell gibt es zwar eine Vielzahl von möglichen LWL-Anschlüssen, aber ab
Fast-Ethernet auf Glasfaser (100BaseF) hat sich die SC-Verbindung als Standard
hierfür erwiesen. Über entsprechende Adapter lassen sich aber auch Verbindungen
zwischen den älteren ST- und den SC-Steckverbindern problemlos herstellen.
Abbildung 11: Die beiden
optischen Kopplungselemente
für TX und RX mit ST-Stecker
auf einer LWL-Netzwerkkarte.
Crossover-Verbinder, wie sie für TP-Verbindungen erhältlich sind, gibt es für
LWL nicht, was bei ST-Verbindungen auch unnötig wäre, denn die TX- sowie die
RX-Leitungen können sowohl überkreuz als auch 1:1 miteinander verbunden
werden, weil man es hier mit einzelnen Steckern zu tun hat.
webcode: 1757142 79

3. Netzwerk-Grundlagen
80 www.TecChannel.de
Abbildung 12: SC-Stecker
lassen sich über Adapter auch
mit ST-Steckern verbinden.
Bei SC sind die beiden Connectoren vielfach fest miteinander verbunden (SC-Duplex),
so dass hier keine Verwechslungsgefahr zwischen RX und TX gegeben ist.
Allerdings werden jedoch auch gekreuzte LWL-LAN-Verbindungen, etwa zwischen
Switches, benötigt. Aus diesem Grunde gibt es auch SC-Verbinder, bei denen
die beiden Stecker wahlweise zusammengesteckt werden können.
3.2.10 Funktionsprinzip und LWL-Typen
Bei Lichtwellenleitern wird generell zwischen Monomode-, auch als Singlemode
bezeichnet, und Multimodeleitern unterschieden. Bei Multimodefasern fi ndet die
Signalübertragung anhand mehrerer Moden (mögliche Signalwege im Kabel)
statt, während die viel dünnere Monomodefaser das Licht nur in einer Mode (parallel
zur Achse des Mediums, Mode 0) übertragen kann. Dies führt gegenüber
Multimodefaser zu geringeren Dämpfungswerten und höheren Bandbreiten.
Bei 10BaseFX sowie 100BaseFX spielt fast ausschließlich die Dämpfung, die durch
Refl exion und Absorption des „Transportlichts“ verursacht wird, eine Rolle. Demnach
hat man es bei Dämpfungsbetrachtungen auf Glasfaser mit einem völlig anderen
Effekt zu tun, als dies bei Kupferverbindungen und den dort zugrunde liegenden
elektrischen Eigenschaften der Fall ist.
Dämpfungen bei Lichtwellenleiter entstehen in erster Linie durch die auf einer
Glasfaserstrecke befi ndlichen Übergänge (Dosen, Anschlüsse, Adapter und so weiter)
sowie in zweiter Linie durch Verunreinigungen der Faser selbst, was jedoch bei
den aktuellen handelsüblichen Glasfasern zu vernachlässigen ist, da sie sich qualitativ
als hochwertig genug darstellen.
LED und Laser-Dioden als Sender
Leuchtdioden ( Light Emitting Diode, LED) strahlen das Licht gleichförmig in
mehrere Richtungen ab. Das grundsätzliche Prinzip des Lichttransports über
Lichtwellenleiter beruht dabei auf der Totalrefl exion an den Grenzschichten der

Kabeltypen für LANs
Materialien unterschiedlicher Dichte. Bei der Verwendung einer LED wird das
Licht unterschiedlich oft an der Oberfl äche refl ektiert, es legt unterschiedliche
Wege zurück, was zu den verschiedenen Moden führt. Für das Datensignal bedeutet
dies, dass es zu unterschiedlichen Laufzeiten und damit zu Signalverzerrungen
kommt, die von der Länge der Lichtwellenleiterstrecke abhängig ist.
Abbildung 13: Ein Transmitter und ein dazugehöriger Receiver. Diese Elemente sind für die Umsetzung
der elektrischen Impulse in Lichtimpulse (Transmitter) und umgekehrt (Receiver) zuständig.
Diesen Effekt, der zum einen durch den Leiter selbst und zum anderen auch durch
die Lichtquelle hervorgerufen wird, bezeichnet man als Dispersion, und er ist insbesondere
ab Gbit-Ethernet ein ausschlaggebendes Kriterium. Ab 100BaseFX werden
statt LEDs vielfach Laserdioden (LD) verwendet, die ein stärker gebündeltes
Signal generieren und bei denen der überwiegende Anteil der Lichtintensität über
den direkten, gradlinigen Weg abgestrahlt wird, so dass auch Entfernungen über
mehrere Kilometer überbrückbar sind, wobei die Faser selbst eine wichtige Rolle
spielt. Generell werden drei grundsätzliche Typen unterschieden:
Lambda-Multimode-Faser mit Stufenindex-Profi l (100 MHz x km)
Lambda-Multimode-Faser mit Gradienten-Profi l (1 GHz x km)
Lambda-Monomode-Faser (10 GHz x km)
Für die Klassifi zierung von Lichtwellenleitern wird ein Produkt von Bandbreite
und Länge angegeben, da die Dispersion von der Länge der Glasfaser abhängig ist.
webcode: 1757142 81

3. Netzwerk-Grundlagen
Bei einer Angabe wie 100 MHz x km kann daher eine LAN-Verbindung mit 100
MHz über 1 km oder 50 MHz über 2 km oder beispielsweise auch 200 MHz über
500 m realisiert werden. Die typischen Richtwerte sind in Klammern bei den drei
Fasertypen angegeben.
Klassifi zierung und Faseraufbau
Allen drei Fasertypen ist gemein, dass sie von einem Kunststoffmantel (Buffer
Coating) umgeben sind, der dem Glasmantel ( Cladding) nach außen hin als
Schutz dient. Ganz im Innern ist der eigentliche Kern der Faser ( Core) untergebracht.
Core und Cladding bestehen zwar meist beide aus Quarzglas (SiO2), allerdings
unterscheiden sich dabei die jeweiligen Brechungsindizes. Der Brechungsindex
beschreibt generell das Verhältnis der Lichtgeschwindigkeit im Vakuum (ca.
300.000 km/s) zur Lichtgeschwindigkeit im Medium.
Abbildung 14: Die Lichtübertragung differiert bei den verschiedenen Fasern, was in Abhängigkeit von
der Übertragungsstrecke zu unterschiedlich „guten“ Ausgangsimpulsen führt.
Der mehr oder weniger gebündelte Strahl wird an der Grenzfl äche der beiden
Glasmaterialien refl ektiert und somit in der Faser gehalten. Neben Glas werden
auch unterschiedliche Kunststofffasern (meist bei 650 nm Wellenlänge) verwendet,
die preiswerter und einfacher zu fertigen sind, allerdings noch nicht die Qualität
der Glasfasern erreichen, höhere Dämpfungen aufweisen und demnach auch
nur kürzere Strecken überbrücken können. Außerdem werden auch Glas- und
Kunststofffasern miteinander kombiniert, was zu einem besonders günstigen
Preis/Leistungsverhältnis führen soll. Wenn man also von Glasfaser redet, kann es
sich auch um eine Kunststofffaser handeln, so dass Lichtwellenleiter (LWL) viel-
82 www.TecChannel.de

Kabeltypen für LANs
leicht die treffendere Bezeichnung ist. Beim Stufenindex-Profi l besteht zwischen
Kern und Mantel ein abrupter Übergang von einem zum anderen Brechungsindex.
Der Brechungsindex (n) ist dabei im Cladding geringer als im Core (ncore >
ncladding = totale Refl ektion). Da die Lichtstrahlen der Quelle (LED) in unterschiedlichen
Winkeln auftreffen, ergibt sich ein Zickzackverlauf des Lichtes, was
eine Verbreiterung des Ausgangsimpulses gegenüber dem Eingangsimpuls zur Folge
hat und für typische Längen bis hin zu 200 m durch eine Photodiode noch als
eindeutiger Impuls (High) zu detektieren ist.
Bei einer Faser mit Gradientenindex-Profi l wird eine abgestufte Veränderung der
Brechungsindizes realisiert, so dass sich für die Lichtstrahlen gekrümmte Bahnen
ergeben und sich das Licht im Mittel eher auf dem optimalen, gradlinigen Weg bewegt.
Der Ausgangsimpuls ist dadurch ausgeprägter, wodurch größere Entfernungen
als mit Stufenindex-Profi l-Faser (bis zu 10 km) überbrückbar sind
Monomode-Lichtwellenleiter und LWL-Durchmesser
Monomode-Lichtwellenleiter entsprechen dem Aufbau einer Faser mit Stufenindexprofi
l, nur ist der Core hier wesentlich dünner als bei den Multimodefasern ausgeführt
und der Brechungsindex des Mantels ist genau auf eine bestimmte Wellenlänge
angepasst. Das Licht wird dabei ohne Brechung und Refl exion achsenparallel
transportiert, was zu exakten Ausgangsimpulsen über sehr große Längen (50 km)
führt. Bei Monomode-Fasern werden generell Laser-Dioden verwendet.
Abbildung 15: Aufbau und
jeweiliger Durchmesser der
verschiedenen Fasertypen.
webcode: 1757142 83

3. Netzwerk-Grundlagen
Wie es der Abbildung 15 zu entnehmen ist, bestehen bei den jeweiligen Durchmessern
des Kerns und des Mantels erhebliche Unterschiede. In Deutschland werden
bei den meisten LANs Multimode-Gradienten-Index-Fasern mit 62,5/125 nm verwendet,
die sich sowohl für Standard- (850 nm), Fast-Ethernet (1300 nm) als auch
für Gbit-Ethernet eignen. Demnach kann bei einer entsprechenden Umrüstung
das LWL-Medium beibehalten werden, sofern man in der Vergangenheit die richtige
Entscheidung für die Verlegung des entsprechenden Lichtwellenleitertyps getroffen
hat. Monomode-Fasern (9/100 nm) werden vorwiegend für WAN-Verbindungen
sowie für Gbit- und 10 Gbit-Ethernet eingesetzt.
3.2.11 Verlegung von LWL
Die Verlegung von Lichtwellenleitern ist wegen ihrer Flexibilität und Unempfi ndlichkeit
gegenüber Störungen verhältnismäßig einfach und unterscheidet sich in
der grundsätzlichen Vorgehensweise nicht von der Verlegung der anderen Medien.
Besondere Beachtung verdient aber auch hier die Konfektionierung der Übergänge
von der festen Verlegung (etwa im Kabelschacht) zu den Anschlussdosen
und auch in den Verteilern (Patchpanels). Hier können natürlich nicht Stecker
aufgelötet oder aufgequetscht werden, sondern die Fasern des Leiters bedürfen einer
besonderen Behandlung wie dem Schneiden, Spleißen, Kleben und Polieren.
Abbildung 16: LWL-Strecker lassen sich mit Hilfe von Kupplungsstücken problemlos verlängern.
Für diese Arbeiten gibt es spezielle Werkzeuge, mit deren Hilfe sich die Fasern
möglichst optimal verschweißen oder auch in einem LWL-Anschlussstecker verkleben
lassen. Ein guter Übergang weist dabei eine Dämpfung von 0,1-0,2 dB auf,
ein schlechter hingegen über 1 dB. An diesen Stellen muss also besonders sorgfältig
gearbeitet werden, um auch die spezifi zierten Längen mit der Faserstrecke überbrücken
zu können. Die Ausführungen der LWL-Anschlüsse und die Qualität der
Faser selbst spielen eine wichtige Rolle für die Bandbreiten- und Dämpfungsbetrachtungen.
Vielfach kommt man jedoch auch mit den Standardlängen von Lichtwellenleitern
aus, die typischerweise bis hin zu 50 m reichen, mit fertigen Anschlüssen
(TS, SC) versehen sind und sich mit Kupplungsstücken (siehe Abbildung
16) entsprechend verlängern lassen.
84 www.TecChannel.de

Selbstherstellung von LWL-Verbindungen
Kabeltypen für LANs
Seit einiger Zeit sind außerdem LWL-Anschlüsse für die – relativ einfache – Selbstmontage
verfügbar, wie die LightCrimp-Verbinder der Firma AMP. Im ersten
Schritt werden Faser und Ader mit der speziellen Crimp-Zange gefasst, die Faser
wird defi niert gebrochen, und dann wird die Zugentlastung des Kabels mit dem
Stecker gecrimpt (gequetscht). Klebstoff kommt dabei nicht zum Einsatz, und es
sollen sich durch diese Verbindungsart im Mittel Dämpfungen von unter 1 dB ergeben.
Für größere Installationen ist dieses Verfahren jedoch aus Kostengründen
nicht geeignet, zumal sich nur ganz bestimmte LWL-Fasern und Stecker damit
verbinden lassen. Des Weiteren lassen sich hiermit auch keine Verbindungen von
mehradrig ausgeführten LWL-Kabeln realisieren, so dass sich dieses Verfahren
eher für Reparaturen und kleinere Installationen eignet, zu denen kein LWL-Techniker
herangezogen werden soll.
Abbildung 17: Mit Hilfe von
speziellen Patchpanels werden
Verteilungen für Lichtwellenleiter
realisiert.
Im Backbone werden vorzugsweise mehradrige LWL-Verbindungen verlegt, weil
diese preiswerter sind als etwa 10 einzelne Leitungen, die jeweils über einen eigenen
Kunststoffmantel verfügen müssen. Wie es auch mit Twisted Pair-Kabel üblich
ist, werden die Adern dann in einem Patchpanel in die einzelnen Verbindungswege
aufgeteilt, die beispielsweise in die Büros führen. Dort wird jeweils eine LWL-Anschlussdose
montiert, von der aus dann mit einem LWL-Patchkabel die Verbindung
mit einem Medien-Converter (LWL auf TP) oder einem LWL-Switch, der
über TP-Ports verfügt, hergestellt wird.
3.2.12 Überprüfung und Fehlersuche
Für die Überprüfung von LWL-Verbindungen werden so genannte OTDR-Messgeräte
verwendet. Anhand der Optic Time Domain Refl ectometry ist es nicht nur
möglich, die Dämpfung, sondern auch die Position der einzelnen Komponenten
in einer Lichtwellenleiterstrecke zu ermitteln. Ein derartiges Gerät ist zwar ver-
webcode: 1757142 85

3. Netzwerk-Grundlagen
hältnismäßig teuer; es gehört jedoch zur Standardausrüstung eines LWL-Technikers,
damit die Strecken nach der Installation durchgemessen werden können und
ein Prüfprotokoll angefertigt werden kann, welches dem Kunden als Beleg für die
Erfüllung der zugrunde gelegten LWL-Spezifi kation dann auszuhändigen ist.
Die Fehlersuche in einem LWL-Netzwerk kann für den Anwender prinzipiell nur
nach den Kriterien, wie sie auch bei TP-Kabel gültig sind, vorgenommen werden,
was zunächst die Kontrolle der Kabel auf ihre Unversehrtheit hin und die der Anschlüsse
(RX, TX) bedeutet. Anschließend kann dann per Software (etwa mit Ping)
versucht werden, die schadhafte Stelle im Netz zu lokalisieren.
Einfacher optischer LWL-Test
Das Licht der verwendeten Wellenlängen lässt sich nicht mit bloßem Auge erkennen,
sondern nur mit Hilfe von speziellen Detektoren. Allerdings sind in einigen
Einheiten zusätzliche LEDs eingebaut, die rotes, sichtbares Licht transportieren
und genau diesem Zweck – der Identifi zierung von korrekten Übertragungsstrecken
– dienen. Leider lässt sich jedoch anhand der Beschreibungen zu den Einheiten
nicht immer feststellen, ob diese nützliche Option gegeben ist oder nicht.
Hersteller wie beispielsweise Hewlett-Packard (HP) realisieren diese zusätzliche
Funktion allerdings bei vielen Einheiten, wie in ihren Switches. Außerdem werden
vielfach die elektro/optischen Kopplungselemente (Transmitter, Receiver) von HP,
deren Bauelemente seit einiger Zeit unter Agilent fi rmieren, auf Netzwerkkarten
und anderen LWL-LAN-Elementen eingesetzt, und dann ist die Wahrscheinlichkeit
recht groß, dass hier ebenfalls eine zusätzliche LED eingebaut ist. Verlassen
kann man sich aber nicht darauf.
86 www.TecChannel.de
Abbildung 18: Der Transmitter von HP
verfügt neben der LED für die Datenübertragung
über eine zweite für die LAN-
Verbindungskontrolle, was anhand der vier
(statt zwei) Anschlüsse im Gehäuse zu
erkennen ist.
Für den Test einer optischen Übertragungsstrecke eignet sich im Übrigen auch ein
handelsüblicher Laserpointer, mit dem man in die Faser hineinleuchten könnte.
Bei der Inaugenscheinnahme sollte man aber stets vorsichtig sein, wenn man nicht

Kabeltypen für LANs
genau weiß, was einen erwartet, denn das (Laser-)licht kann bekanntlich Sehstörungen
und sogar Beschädigungen der Augen zur Folge haben. Allerdings entsprechen
zumindest die optischen LAN-Komponenten der Laser Klasse 1, die laut Defi
nition unter den vorhersehbaren Bedingungen sicher ist.
Klaus Dembowski
Klaus Dembowski ist als Diplomingenieur an der Technischen Universität Hamburg-Harburg tätig und
hat mehrer Grundlagenfachbücher zu den Themen PC-Hardware, hardwarenahe Programmierung und
Netzwerktechnik geschrieben.
TecChannel-Links zum Thema Webcode Compact
Netzwerkgrundlagen: Kabeltypen für LANs 1757142 S.61
Fehler in der Netzwerkverkabelung fi nden und vermeiden 1757612 –
Optische Netzwerke mit LWL 1758902 –
POF: Lichtleiter statt Netzwerkkabel 461017 –
Zukunftssichere Netzwerkverkabelung für 10-Gbit-Ethernet 495753 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
Lokale Netze: Dieser Beitrag zur Netzwerkverkabelung basiert
auf dem Buch „Lokale Netze – Handbuch der kompletten Netzwerktechnik“
von Klaus Dembowski. Dieses Grundlagenwerk der
Netzwerktechnik können Sie in unserem Partner-Bookshop www.
informit.de online erwerben.
webcode: 1757142 87

3. Netzwerk-Grundlagen
3.3 Bluetooth-Grundlagen: Herkunft und
Funktionsweise
Auch wenn neue Lösungen wie WUSB am Horizont auftauchen, ist Bluetooth die
am weitesten verbreitete Kurzstreckendatenfunktechnologie. Seit der Einführung
im Jahr1999 hat sich diese Funktechnologie mittlerweile nicht nur bei Consumern,
sondern auch bei vielen industriellen Anwendungen etabliert. Schätzungsweise
mehr als 1,5 Milliarden Bluetooth-Chips wurden in den ersten zehn Jahren
verbaut. Mit zahlreichen Aktualisierungen und Erweiterungen des Standards versucht
die Bluetooth Special Interest Group (Bluetooth SIG oder BSIG), dem Standard
eine erfolgreiche Zukunft im Wettstreit der Funktechnologien zu sichern.
3.3.1 Hintergründe und Standardisierung
Die Anfänge der Aktivitäten zu Bluetooth gehen bereits auf das Jahr 1994 zurück,
als die Mobile Communications Division von Ericsson eine Machbarkeitsstudie
zum Ersatz der vielfältigen Kabelverbindungen zwischen Mobiltelefonen und den
verschiedenen Peripheriegeräten in Auftrag gab. In der Folge wurde Anfang 1998
die Bluetooth Special Interest Group (BSIG, www.bluetooth.com) von den fünf
Firmen IBM, Toshiba, Intel, Ericsson und Nokia gegründet. Ziel war es, einen fi rmenübergreifenden
Standard für sogenannte Wireless Personal Area Networks
(WPAN) zu erstellen. Als erste fi nale Spezifi kation veröffentlichte die BSIG Version
1.0a im Juli 1999. Der engere Kreis der BSIG-Gründer wurde bald darauf im
Rahmen einer Promoter-Group um die Firmen 3Com, Lucent, Microsoft und
Motorola erweitert. Heute umfasst die BSIG mehr als 10.000 Mitglieder. Der
Name der Technologie ist abgeleitet von Harald I Blaatand (Blauzahn), der von
940 bis 981 als König von Dänemark das Land christianisierte und Norwegen und
Dänemark vereinigte. Der Name geht auf die beiden Wörter „blå“ für dunkelhäutig
und „tan“ für großer Mann zurück, was in diesem Fall gleichbedeutend mit
König oder Anführer ist.
3.3.2 Versionen und zeitliche Entwicklung
Vor dem Hintergrund der fast zehnjährigen Geschichte liegen mittlerweile verschiedene
Varianten und Erweiterungen des Bluetooth-Standards vor. Die wichtigsten
Elemente im Kernstandard (Core-Standard) werden hier im Vorgriff auf
die nachfolgende technische Beschreibung genannt:
Die erste Version 1.0a wurde im Juli 1999 verabschiedet, Version 1.0b folgte
im Dezember desselben Jahres.
Seit Februar 2001 liegt der Standard in der Version 1.1 vor. Dieser galt als die
erste solide Basis für marktgerechte Produkte, da die Vorversionen eine Reihe
88 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
von Ungenauigkeiten und Fehlern aufwiesen. Probleme gab es etwa bei der
Kompatibilität, der sauberen Implementierung von Piconetzen sowie einer
eindeutigen Master-Slave-Zuweisung.
Im November 2003 wurde dann mit der Version 1.2 eine grundlegend überarbeitete
Spezifi kation vorgelegt, die die Bluetooth-Architektur transparenter
defi nierte und um einen schnellen Verbindungsaufbau (Fast Connection Setup)
erweiterte. Zusätzlich statteten die Entwickler Bluetooth mit der Adaptive-Frequency-Hopping-(AFHSS)-Technologie
aus und erlaubten eine verbesserte
Sprachqualität im Rahmen der Extended SCO-Verbindungsart.
Der gegenwärtige Standard stammt aus dem Jahr 2004 und bildet die
Bluetooth-Spezifi kation Version 2.0. Neu ist die Enhanced-Data-Rate-(EDR)-
Erweiterung, die eine Erhöhung der Bruttodatenrate auf 2,2 MBit/s vorsieht.
Bluetooth 2.0 + EDR ist aktuell in den meisten Endgeräten verbaut.
Im Juli 2007 wurde zwar bereits Version 2.1 + EDR veröffentlicht, die unter
anderem Unterstützung für Near Field Communications bringt und ein
schnelleres Pairing ermöglicht. Allerdings ist die Spezifi kation auch im August
2008 nur in wenigen Geräten im Einsatz.
Bluetooth Version 3.0 trägt derzeit noch den Codenamen Seattle und soll die
Ultra-Wide-Band-Technologie verwenden. Dadurch sind beispielsweise Datenraten
von theoretisch bis zu 480 Mbit/s möglich. Einen zeitlichen Rahmen
gibt es für diese Spezifi kation noch nicht.
Zukünftige Erweiterungen gehen sowohl in Richtung verlustleistungsarmer Verbindungen
als auch in Richtung höherer Datenraten.
Im Rahmen von WiBree, beziehungsweise Ultra Low Power (ULP) Bluetooth
soll eine energiesparende Variante für Sensoranwendungen im Consumerund
Home-Automation-Bereich bereitgestellt werden. Der wesentliche Vorteil
bei diesem Ansatz soll sich laut den Bluetooth-Strategen daraus ergeben,
dass Geräte wie Handys oder PDAs, die ohnehin über eine Bluetooth-Implementierung
verfügen, weite Teile für die Anbindung der einfacheren Sensoren
verwenden können.
Die BSIG hat 03/2006 die Entscheidung getroffen, die OFDM-UWB-Variante
der WiMedia Alliance als hochbitratiges „Wireless USB“ zu verwenden.
Am Rande des Mobile World Congress im Februar 2008 in Barcelona kündigte
die BSIG allerdings an, dass in Zukunft auch die WiFi-Protokolle nach
IEEE802.11 als alternative MAC/PHY-Implementierungen für den Transport
von hochbitratigem Bluetooth-Verkehr genutzt werden sollen. Diese Ankündigung
hat vielfach Verwunderung ausgelöst, und es wird derzeit lebhaft darüber
diskutiert, welche Auswirkungen das tatsächlich haben wird.
Nicht erwähnt bei dieser Aufstellung sind die Entwicklungen im Bereich der Anwendungsprotokolle,
wo mittlerweile eine Vielzahl von anwendungsspezifi schen
Protokollen zur Verfügung steht.
webcode: 401459 89

3. Netzwerk-Grundlagen
3.3.3 Aufbau des Protokollstapels
Die Beschreibung der Bluetooth-Kommunikationsprotokolle umfasst alle Ebenen
der Protokollschichten. Insbesondere die Steuerprotokolle zum Aufbau der Adhoc-Netzwerke,
aber auch die Bestandteile zur Übertragung isochroner Verkehrsströme
(http://de.wikipedia.org/wiki/Isochron) reichen deutlich über die Transportdienste
eines reinen Funknetzes hinaus. Bluetooth stellt ein komplettes
Funksystem bereit, das bewusst auch Anwendungsprotokolle vorsieht. Denn der
Protokollstapel weist nicht nur Bluetooth-spezifi sche Protokolle auf, sondern
greift auch in den höheren anwendungsorientierten Schichten auf bestehende und
verbreitete Protokolle zurück. Als Beispiel seien die Transport- und Anwendungsprotokolle
aus der TCP/IP-Familie genannt.
Abbildung 1: Der Aufbau des Bluetooth-Standards.
Betrachtet man den Umfang der Protokollbestandteile, zeigt sich, dass eine
Bluetooth-Station mit komplettem Umfang eine Komplexität erreicht, die der angestrebten
einfachen und kostengünstigen Realisierung entgegensteht. Statt einer
kompletten und teuren Implementierung können Hersteller nur die notwendigen
Bestandteile in den Geräten verbauen. Lediglich die Kernprotokolle müssen in jeder
Station enthalten sein. Problematisch ist allerdings, dass damit die Interoperabilität
der Geräte nicht immer gegeben ist. Um dieses Problem zu lösen, ist das
90 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
Service Discovery Protocol (SDP) ein weiteres und verpfl ichtendes Protokoll. In
der Realität führt dieser Sachverhalt dazu, dass sehr viele Anwendungen jenseits
des eigentlichen Bluetooth-Protokollstapels über die serielle Schnittstelle RF-
Comm realisiert werden.
Die Bluetooth-Spezifi kation umfasst mit dem Host Controller Interface (HCI)
auch eine Befehlsschnittstelle zum Baseband Controller und Link Manager sowie
zum Hardware-Status und den Befehlsregistern. Die Positionierung des HCI kann
angepasst werden. Die Abbildung zeigt das typische Beispiel, das in etwa mit der
TCP-Socket-Schnittstelle gleichgesetzt werden kann. Die unteren drei Schichten
werden hierbei oft als Bluetooth-Controller bezeichnet. Abbildung 2 zeigt sie mit
ihren Signalströmen.
Abbildung 2:
Architektur der
unteren Schichten
des Bluetooth-
Protokollstapels.
Für die Bluetooth-Standardisierung wurde ein neues Gremium eingerichtet. Das
zeigt sich vor allem dadurch, dass nicht auf eine Konformität mit den Schichten
der verbreiteten Referenzmodelle (OSI- oder TCP/IP-Referenzmodell) geachtet
wurde. Eine Einpassung in andere Standardfamilien, etwa den Standards nach
IEEE802.x, wird zwar vor allem vonseiten des IEEE angestrebt, ist aber auf der
Grundlage der vorangehend genannten Punkte nur nach umfassenden Anpassungen
möglich. Insbesondere wurde mit dem WPAN-Standard IEEE802.15.1
eine sprachlich angepasste Beschreibung der physischen und der Basisband-
Schicht vorgelegt.
webcode: 401459 91

3. Netzwerk-Grundlagen
3.3.4 Physikalische Schicht – Frequenzsprungverfahren
Wie viele Funksysteme arbeitet auch der Bluetooth-Standard im praktisch weltweit
lizenzfrei verfügbaren 2,4-GHz-ISM-Band. Auf Grund der potenziell sehr
hohen Kanalauslastung (Duty Cycle) muss entsprechend den Vorschriften der
Regulierungsbehörden ein Frequenzspreizverfahren eingesetzt werden. Hierbei
nutzt Bluetooth ein Frequenzsprung-Spread-Spectrum-Verfahren ( Frequency
Hopping Spread Spectrum, FHSS). In einem aufgebauten Piconetz wird die Frequenzfolge
vom Master vorgegeben und folgt einer Pseudozufallsfolge, die in Abhängigkeit
von der Geräteadresse des Masters und dessen Clock-Zustand nach
vergleichsweise aufwendigen Regeln berechnet wird und somit in jedem Piconetz
unterschiedlich ist. Auf diese Weise soll der Betrieb von möglichst vielen unabhängigen
Piconetzen mit hoher räumlicher Dichte unterstützt werden.
Abbildung 3: Blockschaltbild der grundlegenden Selection Kernels für die Frequenzsprungberechnung
des Bluetooth-FHSS.
Der Aufbau der Frequenzberechnung ist in den Abbildungen 3 und 4 dargestellt.
Die Frequenzen sind im Wesentlichen abhängig von der 28 Bit breiten Master-
Clock CLK sowie den unteren 28 Bit der 48 Bit langen Bluetooth-MAC-Adresse.
In der Frequenzberechnung fi nden weitere – hier nicht gezeigte – Verfahren Anwendung,
wie etwa in dem PERM5-Block, die zu einer möglichst guten Gleichverteilung
der gewählten Frequenzen führen.
Bei der Auswahl der Frequenzen muss natürlich Rücksicht auf die regionalen Restriktionen
genommen werden. Der Aufwand wird gering gehalten, indem nur
zwei Betriebsmodi unterschieden werden: Ein Modus mit 79 Sprungfrequenzen
steht für Nordamerika und Europa zur Verfügung, ein zweiter Modus mit 23
Sprungfrequenzen wurde für Japan und ehemals Frankreich und Spanien defi -
niert. In dem Frequenzsprungverfahren beträgt die nominale Sprungrate 1600
Hops/s. Hierzu gibt der Master allen Slaves im Piconetz Zeitschlitze mit einer Länge
von 625 ns vor, wobei eine Übertragung von allen Teilnehmern nur zu Beginn
92 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
eines Zeitschlitzes gestartet werden darf. Die Zeitschlitze werden in Abhängigkeit
von der Clock des Masters von 0 bis 227-1 durchgezählt, sodass sich eine Zykluszeit
der Zählung von etwa 23 h ergibt.
Abbildung 4: Eingänge für den Selection Kernel in den unterschiedlichen Betriebsmodi.
Zur Unterstützung von bidirektionalem Verkehr wird ein Time Division Duplex-
(TDD-)-Verfahren eingesetzt, bei dem der Master seine Übertragung nur zu Beginn
eines geradzahligen Zeitschlitzes, die Slaves nur zu Beginn von ungeradzahligen
Zeitschlitzen beginnen dürfen, wie dies in Abbildung 5 dargestellt ist.
Abbildung 5: Auswahl der Sprungfrequenzen während der Datenübertragung.
Auf diese Basisfrequenz werden die Nutzinformationen mithilfe eines GFSK
( Gaussian Frequency Shift Keying) aufmoduliert. Binäre Einsen werden hierbei
durch eine positive, binäre Nullen durch eine negative Abweichung von der Trä-
webcode: 401459 93

3. Netzwerk-Grundlagen
gerfrequenz repräsentiert. Der Unterschied dieser beiden Frequenzen soll größer
als 115 kHz sein. Das Bandbreiten-Zeit-(BT)-Produkt soll 0,5 betragen, der Modulationsindex
zwischen 0,28 und 0,35 betragen.
Adaptivität im Frequenzsprungverfahren
Beim 2,4-GHz-Band handelt es sich um ein so-genanntes ISM-Band, das für lizenzfreie
industrielle (industrial), wissenschaftliche (scientifi c) und medizinische
(medical) Anwendungen reserviert ist. Die in solchen ISM-Bändern aktiven Funksysteme
müssen sich an die regulatorischen Vorgaben halten, sind aber ansonsten
sowohl in Bezug auf die Implementierung ihrer Modulationsarten und Rahmenformate
als auch in ihrem Einsatz frei. Eines der Probleme dabei ist die Koexistenz
zwischen mehreren Systemen einer Protokollfamilie, aber natürlich – und insbesondere
– auch zwischen Systemen unterschiedlicher Protokollfamilien. Diese
Koexistenzproblematik ist Gegenstand zahlreicher Untersuchungen. Beim IEEE
wurde sogar eine eigene Arbeitsgruppe 802.2 eingerichtet, die Lösungsmöglichkeiten
(Recommended Practices) insbesondere für die Koexistenz von IEEE802.11
(WLAN) und Bluetooth erarbeitet und in 2003 veröffentlicht hat. Die Analysen
dieser Arbeitsgruppe sind sehr lesenswert. Leider sind die dort beschriebenen Vorgaben
aber sehr allgemein. Die Gruppe konnte unter dem Druck der Industrieunternehmen
keine tragfähige kooperative Lösung erarbeiten, so-dass sich die Ergebnisse
der Arbeitsgruppe auf Analysen beschränken mussten.
Im Laufe der Jahre haben jedoch zwei Aspekte zu einer Veränderung der Situation
geführt. Zum einen verschärft sich die Koexistenzproblematik in der Praxis zusehends
durch eine zunehmende Nutzung des 2,4-GHz-ISM-Bandes. Zum anderen
wurden die Vorschriften der Regulierungsvorgaben in Bezug auf die minimale
Anzahl von zu nutzenden Frequenzen bei Frequenzsprungverfahren gelockert, indem
die minimale Anzahl der Frequenzen im 2,4-GHz-Band auf 15 reduziert wurde.
Auf dieser Grundlage wurde 2003 das Frequenzsprungverfahren in der Version
2.0 des Bluetooth-Standards um eine adaptive Komponente (adaptive
frequency hopping, AFH) erweitert. Hierbei wurde allerdings nur festgelegt, dass
der Master in einer Picozelle die zu nutzenden oder die auszublendenen Frequenzen
den Slaves vorgeben darf. Es ist jedoch weiterhin der Implementierung
überlassen, auf welcher Grundlage diese Entscheidung getroffen wird. Außerdem
bleibt die eigentliche Frequenzsprungvorschrift unverändert. Lediglich die Abbildungsfunktion
auf konkrete Frequenzen wird angepasst. Der AFH-Ansatz bei
Bluetooth setzt sich aus vier Bestandteilen zusammen [104] [103]:
Die Komponente „ Channel Classifi cation” bewertet die einzelnen Frequenzen
in Abhängigkeit von ihrer Belastung.
Es ist die Aufgabe des „ Link Management“ (LM), die relevanten AFH-Informationen
an alle angemeldeten Bluetooth-Knoten im Netzwerk zu verteilen.
Mithilfe der „ Hop Sequence Modifi cation“ werden Kanäle selektiv reduziert.
Die „ Channel Maintenance“ ist für die periodische Neubewertung der Kanalqualität
zuständig.
94 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
Testergebnisse zeigen, dass der AFH-Algorithmus in Koexistenzsituationen eine
etwa 30-prozentige Leistungssteigerung für Bluetooth und eine etwa 80-prozentige
Leistungssteigerung für WLAN ergibt. Dies entspricht in etwa auch Simulationsergebnissen
für ähnliche Frequenzsprungverfahren.
3.3.5 Data Link Layer
Auf der Ebene des Data Link Layer (Sicherungsschicht) sind vor allem die Basistopologie,
die Zugriffsmechanismen und die Adressierung beschrieben. Im
Bluetooth-Protokoll sind diese Aufgaben besonders in den beiden folgenden Teilschichten
umgesetzt:
Link Manager Protocol (LMP): Das LMP erfüllt Aufgaben der Netzverwaltung.
Diese umfassen insbesondere den Verbindungsaufbau zwischen Stationen,
die Authentifi zierung und Verschlüsselung sowie die Steuerung der
Energiesparmodi und der Gerätezustände in einem Piconetz.
Logical Link Control and Adaptation Protocol (L2CAP): Das L2CAP verbindet
die Protokolle der höheren Schichten mit den Aufgaben des Basisbands. Es
ist in der Weise parallel zu LMP angeordnet, dass L2CAP die Übertragung der
Nutzdaten übernimmt. L2CAP stellt sowohl verbindungsorientierte als auch
verbindungslose Dienste zur Verfügung, greift selbst aber nur auf die verbindungslosen
asymmetrischen ACL-Verbindungen des Basisbandprotokolls zu.
Ein Bluetooth-Netzwerk ist grundsätzlich nach dem Master-Slave-Prinzip aufgebaut,
wobei der Master die Steuerung des Verkehrsfl usses übernimmt. Auf diese
Art sind vergleichsweise einfach isochrone Verkehrsströme abzuwickeln, wie sie
etwa im Rahmen des Audiomoduls benötigt werden.
Grundsätzlich sind folgende Arten von Bluetooth-Netzwerken zu unterscheiden
(vergleiche Abbildung 6):
Wenn nur ein Master in einem Netzwerk vorhanden ist, handelt es sich um
ein Piconetz.
Wenn der eine Master ausschließlich mit einem Slave im Rahmen einer Punktzu-Punkt-Verbindung
(Point-to-Point) kommuniziert, wird das Netzwerk
im Mono-Slave-Modus betrieben.
Der eine Master kann auch im Multi-Slave-Modus Punkt-zu-Multipunkt-
Verbindungen (Point-to-Multipoint) mit bis zu sieben aktiven Slaves etablieren,
wobei weitere Slaves im geparkten Zustand passiv teilnehmen können.
Ein Scatternetz setzt sich aus mehreren Piconetzen zusammen. Da jedes Piconetz
von einem Master verwaltet wird, gibt es im Scatternetz-Modus folgerichtig
mehrere Master. Dabei kann eine Station als Slave in mehreren Piconetzen
angemeldet sein und nacheinander in diesen Netzen auch aktiv sein.
Darüber hinaus kann ein Master eines Piconetzes gleichzeitig auch Slave in
einem anderen Piconetz sein.
webcode: 401459 95

3. Netzwerk-Grundlagen
Abbildung 6: Architekturen von Bluetooth-Netzwerken.
Scatternetze haben sich in den heutigen Realisierungen der Bluetooth-Protokollstapel
nicht durchgesetzt. Gleiches gilt für viele Routing-Algorithmen, die für umfassendere
Netzwerkverwaltung entwickelt wurden. In einem solchen Piconetz
wird der Kommunikationsablauf durch den Master vorgegeben. Dieser gibt, wie
bereits beschrieben, allen Slaves im Piconetz Zeitschlitze mit einer Länge von 625
ns vor, wobei eine Übertragung von allen Teilnehmern nur zu Beginn eines Zeitschlitzes
gestartet werden darf.
Aufeinanderfolgende Pakete werden auf verschiedenen Frequenzen übertragen.
Im normalen Modus wird mit dem Beginn eines jeden neuen Zeitschlitzes ein Frequenzsprung
durchgeführt. Bei der Übertragung von Paketen, die drei oder fünf
Zeitschlitze einnehmen, wird die Frequenz bis zur vollständigen Übertragung des
Pakets festgehalten. Das folgende Paket wird danach mit der Frequenz übertragen,
die dem Zustand der Clock entspricht.
Adressierung und Anmeldung
Die Bluetooth-Geräte folgen einer Adressierung nach den 48 Bit langen IEEE-
Adressen. Die Adressen werden sowohl zur eindeutigen Identifi zierung der Geräte
während der Anmeldung in ein Netzwerk verwendet, als auch im Fall eines Masters,
zur Berechnung der Sprungfolgen.
Nach der Anmeldung wird den aktiven Slaves eine drei Bit lange Kurzadresse (active
member address, AM_ADDR) zugewiesen, die diese für die Kommunikation
in ihrem Piconetz verwenden. Die geringe Länge dieser Kurzadresse limitiert die
Anzahl der aktiven Slaves in einem Piconetz auf sieben.
96 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
Allerdings müssen bei der Anmeldung in einem solchen Piconetz eine Reihe von
Arbeitsschritten durchgeführt werden. Insbesondere aufgrund der notwendigen
Aufsynchronisation von Slaves auf die Frequenzsprungfolge des Masters benötigt
die Anmeldung eine gewisse Zeit. Diese unterteilt sich dann im Wesentlichen in
zwei Phasen:
Mithilfe des Inquiry können die Stationen herausfi nden, welche anderen Stationen
mit welchen Adressen und Clock-Zuständen sich im Umkreis ihrer
Funkreichweite befi nden.
Das Paging dient dazu, eine Verbindung zwischen den Geräten zu etablieren.
Um eine spontane (ad-hoc) Anmeldung zu ermöglichen, versendet jede eingeschaltete
Station in regelmäßigen Zeitabständen Anfragen (inquiry) an die Umgebung
und hört den Kanal in den Zeiten zwischen zwei eigenen Anfragen auf Anfragen
anderer Stationen ab.
Die synchrone Kommunikation
Der Bluetooth-Standard sieht in den bisherigen Versionen zwei grundsätzliche
Kommunikationsarten vor, die für die unterschiedlichen in Abbildung 7 gezeigten
Verbindungsarten genutzt werden können:
Die synchrone verbindungsorientierte Kommunikation ( Synchronous Connection-Oriented
Link – SCO) realisiert eine symmetrische Punkt-zu-Punkt-Kommunikation
zwischen dem Master und genau einem Slave. SCO entspricht funktional
einer leitungsvermittelten Übertragung, da der Master in regelmäßigen
Abständen Zeitschlitze reserviert. Dies bedeutet, dass der Master in festgelegten
Zeitschlitzen Daten an den Slave sendet, wobei der Slave berechtigt ist, in dem jeweils
folgenden Zeitschlitz seine Daten abzusetzen.
Abbildung 7: Zuordnung der unterschiedlichen Typen von Verbindungen, Paketen und Kanälen.
webcode: 401459 97

3. Netzwerk-Grundlagen
Ein Master kann bis zu drei SCO-Verbindungen zu einem oder mehreren Slaves
unterhalten. Ein Slave kann seinerseits bis zu drei SCO-Verbindungen mit einem
Master oder maximal zwei SCO-Verbindungen von verschiedenen Mastern unterstützen.
Die SCO-Verbindungen sind darauf ausgelegt, eine effi ziente Sprachübertragung
zu gewährleisten. Hierbei ist von Bedeutung, dass bei der Übertragung
von Sprachinformation ein Datenverlust in einem gewissen Umfang sehr viel unkritischer
ist, als eine Verzögerung der Informationen. Deswegen fi ndet bei SCO-
Verbindungen keine Überprüfung der Datenintegrität statt. Für den Fall, dass Daten
bei der Übertragung verloren gehen, fi ndet folglich keine erneute Übermittlung
statt, weil dies auch eine Verzögerung der folgenden Sprachinformationen bedeuten
würde. Um auch in schwierigen Umgebungsbedingungen die Bitfehlerrate in
einem erträglichen Maß zu halten, werden Fehlerkorrektur-(Forward Error Correction,
FEC)-Verfahren eingesetzt. Hierbei fi nden Faltungscodierung und Viterbi-Decodierung
Einsatz. Da FEC-Verfahren zusätzliche Redundanz in den Datenstrom
einfügen, lässt sich auf diese Weise die Übertragungsqualität gegen die
Nettodatenrate abgleichen.
Die asynchrone Kommunikation
Die asynchrone verbindungslose Kommunikation ( Asynchronous Connectionless
Link – ACL) hingegen stellt eine Verbindung zwischen dem Master und einem
oder mehreren Slaves dar, die nur dann erfolgen darf, wenn der Kanal nicht für einen
SCO reserviert ist. Eine ACL-Verbindung entspricht einer paketvermittelten
Übertragung. Zwischen einem Master und einem Slave darf zu einem Zeitpunkt
nur eine ACL-Verbindung aufgebaut sein.
Abbildung 8: Pakettypen im Bluetooth-Standard in unterschiedlichen Varianten kombiniert.
98 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
Im Rahmen der ACL-Verbindungen kann der Master auch Pakete an alle Slaves in
seinem Piconetz versenden, indem er keine Zieladresse angibt. Dies wird als Broadcast
interpretiert. Eine Broadcast-Übertragung von einem Slave ist nicht erlaubt.
Die ACL-Verbindungen sind im Gegensatz zu den SCO-Verbindungen für eine
effi ziente Datenübertragung ausgelegt. Bei Übermittlung von Daten spielt die Verzögerung
eine meist untergeordnete Rolle, während die Datenintegrität von zentraler
Bedeutung ist. Deswegen werden im Rahmen von ACL-Verbindungen fehlerhafte
oder fehlende Informationsbestandteile erneut angefordert.
In jeder dieser Verbindungsarten stehen verschiedene Pakettypen zur Verfügung,
die versendet werden dürfen. Diese sind in Abbildung 8 mit den wichtigsten Eigenschaften
aufgeführt.
Gemeinsame Pakettypen: Sowohl für asymmetrische als auch für symmetrische
Verbindungen stehen mit ID-, NULL-, POLL- und FHS-Paket gemeinsame
Pakettypen zur Verfügung, die im Wesentlichen zur Verwaltung
der Teilnehmerstationen dienen.
DM-Pakete tragen Daten mittlerer Geschwindigkeitsanforderung (Data – Medium
Rate). Wie bei den folgenden Pakettypen auch, repräsentieren die Zahlen
1, 3 oder 5 die Anzahl der Zeitschlitze, die das Paket einnimmt (vgl. Abschnitt
5). Das DM1-Paket kann in beiden Verbindungstypen (SCO & ACL)
versendet werden und stellt eine Art Basisverbindung dar.
Insbesondere besteht hierdurch auch die Möglichkeit, während der synchronen
Verbindung Steuerinformationen zu übertragen.
DH-Pakete tragen Daten hoher Geschwindigkeitsanforderung (Data – High
Rate). Sie unterscheiden sich von den DM-Paketen lediglich durch den Wegfall
der FEC-Redundanz.
HV-Pakete sind vorgesehen für die Übertragung von Sprache (High Quality
Voice) und anderen synchronen und transparenten Diensten.
DV-Pakete setzen sich aus einem Daten- und einem Sprachblock zusammen
(Data Voice Combined). Die beiden Bestandteile werden vollständig unabhängig
voneinander bearbeitet. Dies bezieht sich auch auf die Fehlerbehandlung
durch Codierung und Redundanzübertragung.
3.3.6 HCI-Interface und Aufbau der Anwendungsprotokolle
Das Host-Controller-Interface (HCI) ist eine Befehlsschnittstelle für den Basisband-Controller
und den Link-Manager. Es stellt auch den Zugriff auf die Verbindungsparameter
zur Verfügung. Im typischen Fall kann das HCI in etwa mit der
TCP-Socket-Schnittstelle gleichgesetzt werden.
Mit dem HCI kommen auch Host-Entwickler in Berührung, da die im HCI bereitgestellten
Befehle durch einen HCI-Driver auf dem Bluetooth-Host angesprochen
werden, wie dies in Abbildung 9 gezeigt ist.
webcode: 401459 99

3. Netzwerk-Grundlagen
Abbildung 9: Übersicht einer Bluetooth-Kommunikation zwischen zwei Endgeräten mit Darstellung der
unteren Softwareschichten.
Der Host Control Transport Layer, der durch die physische Anbindung bereitgestellt
wird, verbindet die beiden HCI-Instanzen der beiden miteinander kommunizierenden
Bluetooth-Controller. Die Hosts werden durch asynchrone Nachrichten
über die HCI-Ereignisse informiert und sind dann dafür verantwortlich, die
möglichen Events zu parsen und die erforderlichen Aktionen durchzuführen.
Die Befehlsstruktur des HCI
Die umfangreichen Befehle des HCI sind in die folgenden Gruppen untergliedert:
Generic Events, Device Setup, Controller Flow Control, Controller Information,
Controller Confi guration, Device Discovery, Connection Setup, Remote Information,
Synchronous Connections, Connection State, Piconet Structure, Quality of
Service, Physical Links, Host Flow Control, Link Information, Authentication and
Encryption und Testing.
Die für das Finden von Geräten zuständigen Befehle ( Device Discovery) mögen
den Umfang und die Aufgaben des HCI illustrieren: Inquiry Command , Inquiry
Result Event , Inquiry Result with RSSI Event , Inquiry Cancel Command , Periodic
Inquiry Mode Command, Exit Periodic Inquiry Mode Command, Read Inquiry
Scan Activity Command, Write Inquiry Scan Activity Command, Read Inquiry
Scan Type Command, Write Inquiry Scan Type Command, Read Inquiry
Mode Command und Write Inquiry Mode Command.
3.3.7 Das Service Discovery Protocol
Eine wichtige Rolle im Ablauf einer Bluetooth-Kommunikation spielt das Service
Discovery Protocol (SDP). Damit können unterschiedliche Bluetooth-Geräte erkennen,
welche Dienste und Charakteristika die jeweilige Gegenstelle ermöglicht.
Hinter diesem System stecken Spargedanken: Dank SDP müssen die Hersteller
100 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
nicht den kompletten Bluetooth-Stack in ihren Geräten verbauen, sondern können
ihre Systeme modular aufbauen. Wollen zwei Geräte eine Verbindung zueinander
aufbauen, können sie die zur Verfügung stehenden Dienste abfragen und
darauf basierend eine Verbindung aufbauen. SDP stellt eine wesentliche Grundlage
dar, um spontane (Ad-hoc-)Netzwerke aufzubauen.
3.3.8 RFCOMM – Grundlage für Verbindungen
Der RFCOMM-Standard ist mit eines der wichtigsten Anwendungsprotokolle. Er
emuliert eine serielle RS-232-Schnittstelle und passt dazu einen Teil der ETSI-
Spezifi kation TS 07.10 für den Bluetooth-Standard an. Dieser beschreibt die
Punkt-zu-Punkt-Verbindung zwischen zwei Geräten über die »serielle Schnittstelle
Luft«. Aus diesem Grund werden zum Beispiel auch LAN-Verbindungen
über TCP/IP über das serielle Point-to-Point-Protocol (PPP) über RFCOMM implementiert.
RFCOMM besitzt eine ähnlich zentrale Bedeutung wie die drahtgebundene
RS232-Schnittstelle. In diesem Fall bedeutet dies, dass das RFCOMM-
Protokoll in praktisch allen Bluetooth-Stack-Implementierungen vorliegt und
viele proprietäre Anwendungen hierüber abgewickelt werden.
3.3.9 Häufi gstes Anwendungsszenario: Gekoppelte Dienste
Zu den meistvorkommenden Bluetooth-Anwendungsfällen gehört das Koppeln
verschiedener Geräte. Im Alltag tritt wahrscheinlich die Kopplung einer Freisprecheinrichtung
und eines Telefons am häufi gsten auf, etwa als Headset oder
Freisprecheinrichtung in Fahrzeugen. Hier signalisiert Telephony Control Service
– Binary (TCS Binary) den Gesprächsaufbau und -abbau auf der Grundlage der
ITU-T-Empfehlung Q.931. Zusätzlich hat die Bluetooth SIG einen Satz der sogenannten
AT-Kommandos aus den einschlägigen ITU- und ETSI-Spezifi kationen
übernommen, um die Ansteuerung von Modems und Mobiltelefonen zu gewährleisten.
Darüber hinaus stehen auch Fax-Dienstleistungen zur Verfügung. Es ist
darauf hinzuweisen, dass nur der Gesprächsaufbau über das TCSBIN-Protokoll
und die L2CAP-Ebene erfolgt. Die Übertragung der Nutzdaten erfolgt über das
Audioprotokoll, das unmittelbar auf einen SCO-Link im Baseband zugreift.
3.3.10 Weitere Anwendungsprotokolle
Darüber hinaus haben verschiedene weitere anwendungsnahe Protokolle Eingang
in den Bluetooth-Standard gefunden. Hierzu zählt das Object-Exchange-(OBEX-
)Protokoll, das aus dem IrDAStandard für Infrarot-Verbindungen übernommen
wurde und das die Repräsentation von Objekten und die Strukturierung von Dialogen
zwischen den Objekten modelliert. Mithilfe von OBEX wird das vCard-Protokoll
abgewickelt, das den Austausch von virtuellen Visitenkarten ermöglicht.
webcode: 401459 101

3. Netzwerk-Grundlagen
Das Wireless Application Protocol (WAP), das für die Übermittlung von WML-
Ressourcen auf Mobiltelefone entwickelt wurde, steht ebenfalls im Bluetooth-
Standard zur Verfügung und wird über die TCP/IP-Schichten realisiert.
3.3.11 Sicherheit in Bluetooth
Sicherheit ist bei drahtlosen Systemen von überragender Bedeutung. Dazu ist eine
starke Autorisierung notwendig; zudem muss die Vertraulichkeit zwischen den
beiden Geräten stets garantiert sein. Daher unterstützen Bluetooth Sicherheitsmaßnahmen
sowohl auf Link als auch auf Application Layer. Diese sind symmetrisch
ausgeführt, sodass jedes Gerät in identischer Art und Weise Authentifi zierung
und Verschlüsselung in der gleichen Art und Weise durchführen kann.
Das Schlüsselmaterial für den Link Layer wird aus vier Bestandteilen generiert: der
Bluetooth Geräteadresse, zwei geheimen Schlüsseln und einer pseudozufälligen
Zahl, die für jede Übertragung neu erzeugt wird (laut Specifi cation of the Bluetooth
System). Für Bluetooth wurde ein spezieller Satz von kryptografi schen Algorithmen
der sogenannten E-Familie von Massey und Rueppel entwickelt:
Die Authentifi zierung der Geräte nutzt ein symmetrisches zweiseitiges Challenge/
Response-System, der sogenannten E1 Algorithmus. Für die Verschlüsselung der
Daten wird der E0-Algorithmus verwendet, ein symmetrisches Stromverschlüsselungsverfahren.
Die Schlüsselverwaltung und -verwendung besteht aus verschiedenen
Elementen. Für die Schlüsselgenerierung werden die kryptografi schen Elemente
der sogenannten E2- und E3-Algorithmen verwendet.
3.3.12 Sicherheitslücken
Wie immer lassen sich bei kryptografi schen Sicherheitssystemen zwei Arten von
möglichen Angriffen unterscheiden: Es kann sowohl Schwächen im Algorithmus
an sich als auch in der Implementierung im Protokoll geben.
Der E0-Algorithmus wurde umfangreich von der Community analysiert, und es
existieren gute Abschätzungen der kryptografi schen Stärke. Insbesondere weist
mit dem Summationsgenerator ein Element eine Schwäche auf, die in Korrelationsangriffen
ausgenutzt werden könnte. Dies erscheint aber angesichts der hohen
Resynchronisationsfrequenz unrealistisch.
Direkte Angriffe auf das E0-Verfahren sind bekannt, weisen aber eine erhebliche
Komplexität auf: Der Bericht „Security Weaknesses in Bluetooth“ (http://ieeexplore.ieee.org/Xplore/login.jsp?url=/iel5/8900/28134/01258472.
pdf?arnumber=1258472) stellt zwei solche Angriffe vor. Auch die Untersuchung
“Analysis of the E0 Encryption System” (http://portal.acm.org/citation.cfm?id=64
6557.694748&coll=GUIDE&dl=GUIDE&CFID=24725003&CFTOKEN=474548
29) von Scott R. Fluhrer und Stefan Lucks zeigt einen Angriff, der nachweist, dass
sich die maximale effi ziente Schlüssellänge 84 Bits reduziert, wenn 132 Bits dem
102 www.TecChannel.de

Bluetooth-Grundlagen: Herkunft und Funktionsweise
Angreifer des verschlüsselten Datenstroms bekannt sind. Die maximale effektive
Schlüssellänge kann sich bis auf 73 Bits verringern, wenn 243 Bits des verschlüsselten
Datenstroms bekannt sind. Abgesehen von diesen komplexen theoretischen
Lücken sind auch einige allgemeine Schwächen vorhanden. So gab es in der Vergangenheit
beispielsweise fehlerhaft implementierte Bluetooth-Stacks, etwa 2006
bei Toshiba (Webcode 451185). Eine weitere Schwachstelle sind Standard-PINs.
Hier machte vor einiger Zeit die Trifi nity-Gruppe mit ihrem Car Whisperer von
sich reden (http://trifi nite.org/trifi nite_stuff_carwhisperer.html).
Bekannte Sicherheitsrisiken
Im Bereich der Protokollimplementierungen sind folgende Schwächen bekannt –
es sind im Wesentlich auch jene, die zu bekannten Angriffen führen:
Die Schlüssellänge kann zwischen zwei Stationen ausgehandelt werden, wobei die
größte gemeinsame Schlüssellänge ausgewählt wird. Bietet eine Station also nur
eine geringe Schlüssellänge an, so wird die gesamte Kommunikation mit dieser geringen
Länge verschlüsselt. Die Wahl der PIN-Codes für die Authentifi zierung ist
ebenfalls eine häufi ge Schwachstelle. In manchen Systemen ist der PIN-Code sogar
fest vorgegeben. Die wechselseitige Authentifi zierung basiert nicht auf Zertifi -
katen und erlaubt damit grundsätzlich auch einen Man-in-the-middle-Angriff.
Die meisten Anwendungsprotokolle bieten selbst keine Sicherheit. Da einige der
Protokolle aber auch Zugriff auf das Dateisystem erlauben, eröffnen sich einem
Angreifer weitere Sicherheitslücken. Das Service Discovery Protocol (SDP) erlaubt
das aktive Sammeln von Informationen über die Stationen, ihre Adressen
und die bereitgestellten Dienste.
3.3.13 Fazit und Ausblick
Trotz all dieser Angriffsmöglichkeiten sollte nicht unerwähnt bleiben, dass die
Spezifi kation der Bluetooth-Security-Mechanismen potenziellen Angreifern bei
korrekter Implementierung durch Systementwickler und korrekten Einsatz durch
die Benutzer ein hohes Know-how abfordert.
Zum zehnjährigen Geburtstag erscheint die Bluetooth-Entwicklung kein bisschen
müde – im Gegenteil: Es scheint eher die Gefahr zu bestehen, dass sich die SIG zu
viele neue Ziele setzt. Denn auch andere Techniken versuchen, am Erfolg von
Bluetooth anzuknüpfen. Eines der prominentesten Beispiele ist dabei sicherlich
Wireless USB. Die Technologie hat durchaus das Zeug, Bluetooth Konkurrenz zu
machen, denn die meisten Anwender kennen USB schon, die Hemmschwelle zur
Nutzung ist also dementsprechend niedrig. Dennoch wird Bluetooth auch in den
nächsten Jahren nicht aus dem mobilen Alltag wegzudenken zu sein. Denn vor
allem in seinem angestammten Bereich, der Koppelung eines Handys mit einem
anderen Gerät, kann sich diese Technologie immer wieder beweisen.
Prof. Dr. Axel Sikora
webcode: 401459 103

3. Netzwerk-Grundlagen
3.4 So funktionieren UMTS und HSPA
Netzbetreiber und Gerätehersteller überschlagen sich regelrecht mit der Ankündigung
immer höherer Downlink- und Uplink-Geschwindigkeiten im UMTS-Netz.
Was aber steckt eigentlich genau hinter den dazu eingesetzten Übertragungsstandards
HSDPA und HSUPA?
„Per Mobilfunk höhere Datenraten als DSL“ – so oder ähnlich bewerben die Netzbetreiber
ihre mobilen Breitbandzugänge mit den Übertragungsverfahren HSD-
PA und HSUPA. Tatsächlich bietet die Technologie „High Speed Downlink Packet
Access“ oder kurz HSDPA in der Übertragungsrichtung vom Mobilfunknetz
zum Teilnehmer heute Geschwindigkeiten von bis zu 7,2 Mbit/s. In weiteren Ausbauschritten
sollen bis zu 14,4 Mbit/s möglich werden. Und das komplementäre
Upload-Verfahren „High Speed Uplink Packet Access“ (HSUPA) erreicht heute
schon bis zu 1,44 Mbit/s, ein Ausbau auf 2,88 Mbit/s und mehr ist ebenfalls bereits
geplant. Beide Varianten im Verbund werden auch als „HSPA“ bezeichnet – „High
Speed Packet Access“. Die Bezeichnung beschreibt einen Protokollzusatz für das
Mobilfunknetz UMTS (Universal Mobile Telecommunications System), mit dem
sich die Datenraten, aber auch Latenzzeiten und Fehlerkorrekturverfahren mobiler
Datenübertragungen spürbar tunen lassen. Im Folgenden lesen Sie, wie diese
Standards im Detail funktionieren und was die Zukunft bringt.
3.4.1 Unterschiede der Funktechnik zwischen
UMTS und GPRS/GSM/EDGE
Der 1992 eingeführte Mobilfunkstandard GSM (ursprünglich „Groupe Spéciale
Mobile“, später international als „Global System for Mobile Communications“
umgenannt) war in seiner Architektur ganz auf die Übermittlung von Sprache
ausgelegt. Jedem Teilnehmer steht ein eigener, dezidierter Kanal zur Verfügung.
Um die raren Mobilfunkfrequenzen effi zienter nutzen zu können, wurde ein Zeitschlitzverfahren
eingeführt (TDMA – „Time Division Multiple Access“, übersetzt
etwa: zeitbasierter Mehrfachzugriff). Bis zu acht Verbindungen lassen sich gleichzeitig
auf derselben Funkfrequenz übertragen. Mit sogenannten Half-Rate-Codecs
waren später sogar bis zu 16 Gespräche pro GSM-Trägerfrequenz möglich.
Die Datenmodi des GSM-Netzes waren zunächst auch auf leitungsvermittelte
Verbindungen ausgelegt. Per „GSM-Modem“ ließen sich 9,6 Kbit/s, später durch
effi zientere Codierung 14,4 Kbit/s übertragen. Mit wachsendem Bedarf an Übertragungsbandbreite
wurde das Kanalbündelungsverfahren HSCSD („High Speed
Circuit-Switched Data“) eingeführt. Es erlaubte die Kombination von bis zu vier
14,4-Kbit/s-„Kanälen“ und somit Datenraten von bis zu 57,6 Kbit/s. Doch ein
HSCSD-Nutzer belegte vier oder gar fünf (mit einem zusätzlichem Uplink-Kanal)
der knappen und teuren GSM-Zeitschlitze. Die Entwicklung unterstrich jedoch
die zunehmende Bedeutung von Datenverbindungen (insbesondere per IP für
104 www.TecChannel.de

So funktionieren UMTS und HSPA
den mobilen Zugriff aufs Internet). Die Lösung war die Einführung von GPRS,
dem „General Packet Radio Service“. Der wichtige Entwicklungsschritt war die
Abkehr von leitungsorientierten Einwahlverbindungen hin zu paketvermittelten
„Always On“-Verbindungen. Zwar nutzt auch GPRS die GSM-Zeitschlitze, stellt
diese jedoch mehreren (Daten-)Teilnehmern einer Mobilfunkzelle gleichzeitig
zur Verfügung. Je nach eingesetzter Kanalcodierung erlaubt GPRS theoretisch Datenraten
bis zu 171,2 Kbit/s.
Solide Basis: Im März 2008 gab
es mehr als 18 Millionen EDGEfähige
Geräte in Deutschland.
(Quelle: M:Metrics)
In der Praxis sind Netze und Endgeräte heute auf 53,6 Kbit/s beschränkt. Der geplante
Ausbau auf mehr Zeitschlitze oder verbesserte Codierungsschemata wurde
von anderen Technologien überholt – etwa EDGE („Enhanced Data Rates for
GSM Evolution“), der durch eine modernisierte Netzarchitektur und Kanalcodierung
Datenraten theoretisch bis zu 470 Kbit/s, in der Praxis bis 236,8 Kbit/s übertragen
kann. Im Uplink liegt die maximale Datenrate bei 118,4 Kbit/s.
Neuer Fokus: Von Sprach- zur Datenkommunikation
GSM und GPRS werden auch als zweite Generation des Mobilfunks bezeichnet
(nach der ersten Generation, die analoge Verfahren nutzte wie in Deutschland die
A-, B- und C-Netze). EDGE wird häufi g als Übergangstechnologie und somit als
„2,5 G“ betrachtet. Bei der Konzeption der dritten Generation (auch „3G“ – die
landläufi ge Bezeichnung für UMTS) lag der Schwerpunkt nicht mehr länger auf
Sprach-, sondern vielmehr auf Datenkommunikation. Die gesamte Netzarchitektur
ist auf IP-Datenverkehr ausgerichtet. Und das gilt auch für das Funkübertragungsverfahren.
Statt der für leitungsvermittelte Verbindungen optimierten Zeitschlitze
nutzt UMTS das für Paketdatenübertragung ausgelegte Code-Multiplex-
Verfahren. Seine englischen Bezeichnungen CDMA („Code Division Multiple
Access“) beziehungsweise W-CDMA („Wideband-CDMA“) charakterisieren diese
Übertragungstechnik. W-CDMA nutzt für die Signalübertragung das gesamte
verfügbare Frequenzspektrum – im Fall von UMTS sind das 5 MHz. Man spricht
auch von einem „Spread Spectrum“-Verfahren. Damit der Empfänger das für ihn
bestimmte Signal aus dem übertragenen Gesamtgemisch „heraushören“ kann,
webcode: 1758443 105

3. Netzwerk-Grundlagen
identifi ziert er „seine“ Datenpakete anhand eines Verschlüsselungscodes, des sogenannten
Spreiz-Codes. Die Code-basierte Spread-Spectrum-Übertragung ist
nicht nur für paketvermittelte Verbindungen optimiert – sie profi tiert auch von
günstigeren Übertragungseigenschaften und erlaubt somit eine effi zientere Nutzung
der verfügbaren Funkfrequenzen. Die Zahl möglicher Nutzer wird nicht
mehr durch die Zahl der verfügbaren Frequenzen und Zeitschlitze, sondern durch
die von ihnen benötigte Bandbreite defi niert.
3.4.2 Architektur von GSM- und UMTS-Netzen
Nicht nur das Übertragungsverfahren auf der sogenannten Luftschnittstelle (also
der verwendete Funkstandard), sondern auch die Netzarchitektur wurde bei
UMTS auf den Schwerpunkt Datenübertragung optimiert. Die Struktur eines
GSM/GPRS-Netzes bildet noch die Vermittlungsfunktion ab: ein „ Mobile Switching
Center“ (MSC) übernimmt das „Durchschalten“ der Verbindungen, der sogenannte
„ Base Station Controller“ (BSC) steuert die „ Base Transceiver Stations“
(BTS) und somit die einzelnen Funkzellen. Für die Datenübertragung sind Gateways
(GGSN – „Gateway GPRS Support Node“) ins IP-Netz vorgesehen.
GSM-Struktur: GSM wurde auf Sprachverbindungen ausgelegt und vermittelt in erster Linie Anrufer.
3.4.3 UMTS: Die IP-gerechte Netzstruktur
Im Vergleich dazu repräsentiert die Architektur eines UMTS-Netzes dessen Fokus
auf IP-basierte Datenübertragung: Man unterscheidet das „ Core Network“, das
mit Elementen wie einem „Mobile Switching Center Server“ (MSCS) und „ Media
Gateway“ (MGW) die Signalisierung und Vermittlung übernimmt, und das ei-
106 www.TecChannel.de

So funktionieren UMTS und HSPA
gentliche Funknetz („UMTS Terrestrial Radio Access Network“, kurz UTRAN).
Letzteres ist aus mehreren Radio Network Controllern (RNC) aufgebaut. Sie steuern
wiederum die einzelnen Funkzellen, die bei UMTS als „Node B“ bezeichnet
werden. Ihre Funktion entspricht den BTS des GSM-Netzes.
Daten im Fokus: UMTS wurde von Anfang für IP-Datenübertragungen ausgelegt.
Wichtiger als die etwas unterschiedlichen Fachbegriffe für die Netzkomponenten
ist die unterschiedliche Aufgabenverteilung: UMTS-Netze sind in mehreren logischen
Schichten organisiert. Sie trennen den Datenverkehr von der Signalisierung
und Vermittlung. Eine dritte Schicht ist dann die Serviceschicht (englisch
„Service Layer“), die für die einzelnen Netzdienste, aber auch für die Netzüberwachung
zuständig ist.
3.4.4 UMTS aufgerüstet: Tuning per HSDPA und HSUPA
Mit der kommerziellen Einführung von UMTS in Deutschland im Jahr 2004 bot
das 3G-Netz eine Datenübertragungsgeschwindigkeit von bis zu 384 Kbit/s im
Downlink und 64 Kbit/s im Uplink. Die dafür verwendeten Codierungsverfahren
sind in der sogenannten „Release 99“ des UMTS-Standards defi niert – der Fassung
des Standards, die im Jahr 1999 verabschiedet wurde. Allerdings versprach
UMTS von Anfang an Datenraten von bis zu 2 Mbit/s. Ursprünglich sollte diese
Höchstgeschwindigkeit nur an räumlich sehr begrenzten Hotspots zur Verfügung
stehen. Doch dieses Konzept wurde schnell verworfen und nicht praktisch realisiert.
An seine Stelle trat HSDPA, der „High Speed Downlink Packet Access“. Die
erste Ausbaustufe wurde in der 2005 veröffentlichten „Release 5“ des Funkstandards
spezifi ziert. Sie erhöhte die Datenraten im Downlink auf bis zu 1,8 Mbit/s
webcode: 1758443 107

3. Netzwerk-Grundlagen
und hob die Uplink-Datenrate gleichzeitig auf 384 Kbit/s an. Das maßgeblich an
der Standardisierung beteiligte Herstellergremium 3GPP („3rd Generation Partnership
Project“) und die für die Ratifi zierung der Standards zuständige ITU (International
Telecommunications Union) erkannten schnell, dass der Bedarf an
mobilen Datenraten kontinuierlich steigen würde.Deshalb folgte im Jahr 2006 die
nächste Ausbaustufe, auch als „Release 6“ bekannt. Sie beschleunigte den Downlink
per HSDPA auf 3,6 Mbit/s. Parallel dazu wurde auch eine deutlich schnellere
Uplink-Technologie vorgestellt: HSUPA („High Speed Uplink Packet Access“)
stellte Uplink-Datenraten von bis zu 1,44 Mbit/s zur Verfügung.
108 www.TecChannel.de
Wachstum: Von Januar 2007 bis
März 2008 ist die Anzahl der
UMTS-Geräte in Deutschland auf
nahezu 10,5 Millionen angestiegen.
(Quelle: M:Metrics)
Die derzeit jüngste Spezifi kation „Release 7“ erhöhte abermals die Datenraten auf
nun 7,2 Mbit/s im Downlink und 3,84 Mbit/s im Uplink. Und schon ist eine abermalige
Verbesserung auf 14,4 Mbit/s im Downlink und 5,76 Mbit/s im Uplink geplant
– sie soll im Lauf des Jahres 2008 als „Release 8“ spezifi ziert werden.
Die verschiedenen Ausbaustufen im Überblick:
UMTS-Ausbaustufen
Beschreibung Standard Einführung max. Downlink max. Uplink
UMTS Release 99
(1999)
2004 384 Kbit/s 64 Kbit/s
HSDPA
(1. Ausbaustufe)
HSDPA
(2. Ausbaustufe) plus HSUPA
HSDPA/HSUPA
(3. Ausbaustufe)
HSDPA/HSUPA
(4. Ausbaustufe)
Release 5
(2005)
Release 6
(2006)
Release 7
(2007)
Release 8
(2008)
2006 1,8 Mbit/s 384 Kbit/s
2007 3,6 Mbit/s 3,6 Mbit/s
2008 7,2 Mbit/s 3,84 Mbit/s
vorauss.
2009
14,4 Mbit/s 5,76 Mbit/s

Praxis macht schrittweise Steigerung notwendig
So funktionieren UMTS und HSPA
Man mag sich nun fragen, warum die Spezifi kationen immer nur schrittweise festgelegt
werden. Der einfache Grund: Sowohl die Bauteile in den Endgeräten als
auch die Komponenten im UMTS-Kern- und Funknetz sind von der jeweils verfügbaren
Prozessortechnologie abhängig. Höhere Datenraten erfordern leistungsfähigere
Bauteile. Nur wenn diese sowohl im Mobilfunknetz als auch in den Handys
und Datenmodems zur Verfügung stehen, lässt sich die jeweils spezifi zierte
Übertragungstechnologie auch tatsächlich in der Praxis realisieren.
In der Praxis bedeutet dies allerdings, dass die Kunden für jeden neuen Geschwindigkeitsschritt
oder die Einführung zusätzlicher Übertragungsverfahren wie HSU-
PA auch neue Hardware kaufen müssen. Nur wenn der eingesetzte Chipsatz bereits
auf eine höhere Ausbaustufe ausgelegt ist, lassen sich die vom Netz
angebotenen höheren Datenraten eventuell durch ein Firmware-Update nutzen.
Beachten sollte man zudem, dass die angegebenen Datenraten jeweils Maximalwerte
sind. Wegen der Besonderheiten der W-CDMA-Funktechnik sinken die
praktisch erzielbaren Werte mit der Anzahl der eingebuchten Teilnehmer und der
Entfernung zur Funkantenne beziehungsweise zum „Node B“. In der Praxis liegen
die erzielbaren Werte bei etwa zwei Dritteln bis der Hälfte der jeweiligen Maximalangaben.
Letztlich hängen die Datenraten jedoch von der Anzahl der Teilnehmer
und dem Netzausbau des jeweiligen Anbieters ab.
3.4.5 Technik: So funktioniert HSDPA
Wie aber konnten HSDPA und HSUPA die Datenraten von UMTS so deutlich
steigern? Die beiden Verfahren setzten an verschiedenen Stellen an, um die UMTS-
Übertragung zu tunen. Wichtigstes Ziel dabei war jedoch, dass die gerade erst teuer
installierten 3G-Netze für diese Protokollerweiterungen nicht aufwendig umgebaut
werden sollten. Sofern die in den Basisstationen eingesetzten Komponenten
ausreichend leistungsfähig waren, sollte ein Software-Upgrade genügen.Gleichzeitig
sind allerdings auch Ausbaumaßnahmen im Kernnetz notwendig – schließlich
müssen die „Node B“ bei höheren Datenraten auch über schnellere Backbones
an den IP-Verkehr angebunden werden, damit die übermittelten Daten schnell
genug zu- und abfl ießen können.
3.4.6 Effi zienter dank besserer Modulation
Ein wichtiger Baustein zur Effi zienzsteigerung bei HSPA sind neue, verbesserte
Modulationsverfahren. HSDPA und HSUPA basieren auf den Varianten QPSK
(englisch „Quadrature Phase Shift Keying“, übersetzt: Vierphasen-Modulation)
und dem noch leistungsfähigeren 16-QAM („16 Level Quadrature Amplitude
Modulation“, also 16-stufi ge Quadratur-Amplitudenmodulation). QPSK kann
per Phasenmodulation pro „Codesignal“ 2 Bits gleichzeitig übermitteln. 16-QAM
webcode: 1758443 109

3. Netzwerk-Grundlagen
verwendet zusätzlich eine Amplitudenmodulation und überträgt so mit einem
Codewort 4 Bits gleichzeitig. Allerdings steigt mit zunehmender Bandbreite auch
die Empfi ndlichkeit gegenüber Störungen. Im Vergleich zu QPSK verdoppelt 16-
QAM die Bandbreite – gleichzeitig sinkt aber die Störsicherheit, und die Menge
von Interferenzstörungen nimmt zu.
Die Uplink-Technologie HSUPA setzt statt QPSK und 16-QAM eine robustere 1-
Bit-Modulation namens Binary Phase Shift Keying (BPSK) ein. Sie erlaubt das
Senden von Daten auch bei vergleichsweise stark gestörter Funkverbindung.
Vorwärts-Fehlerkorrektur und intelligente Rekonstruktion
Ein wichtiges Grundprinzip ist deshalb, dass die höherwertigen Codier-Schemata
vom Netz nur solchen Endgeräten zugewiesen werden, die sich in geringer Entfernung
vom Node B befi nden und somit eine gute Signalqualität empfangen. Jeder
Teilnehmer empfängt genau die Datenrate, die nach seinen aktuellen Empfangsbedingungen
realisierbar ist. Das Endgerät informiert die Basisstation über die aktuelle
Empfangsqualität. Je besser die Funkqualität, desto mehr Daten werden
übertragen. Dies stellt sicher, dass sich mehr Daten fehlerfrei übertragen lassen.
Aufwendige Fehlerkorrekturmaßnahmen können so in vielen Fällen ganz vermieden
werden. Erkennt das Funknetz jedoch, dass die Empfangsqualität sinkt, fügt
es den Nutzdaten redundante Daten hinzu. Mit ihrer Hilfe kann das Endgerät
auch fehlerhaft empfangene Datenblocks selbstständig rekonstruieren. Die bei
schlechten Funkverbindungen verwendete Codier-Rate von 1/4 bedeutet, dass ein
Viertel der übertragenen Daten Nutzdaten sind – drei Viertel also für die Fehlerkorrektur
benötigt werden. Im Gegensatz dazu kann bei optimalem Funkkontakt
auf die Fehlerkorrektur verzichtet werden. Dann kommt eine Codier-Rate von 4/4
zum Einsatz – und somit die maximal mögliche Datenrate.
Die folgende Tabelle zeigt die möglichen Kombinationen von Modulation, Codier-Rate
und Anzahl parallel genutzter Übertragungs-„Kanäle“:
Kombinationen von Modulation, Codier-Rate und Kanäle
Modulation Codier-Rate 5 Kanäle 10 Kanäle 15 Kanäle
QPSK 1/4 0,6 Mbit/s 1,2 Mbit/s 1,8 Mbit/s
2/4 1,2 Mbit/s 2,4 Mbit/s 3,6 Mbit/s
3/4 1,8 Mbit/s 3,6 Mbit/s 5,4 Mbit/s
16-QAM 2/4 2,4 Mbit/s 4,8 Mbit/s 7,2 Mbit/s
3/4 3,6 Mbit/s 7,2 Mbit/s 10,7 Mbit/s
4/4 4,8 Mbit/s 9,6 Mbit/s 14,4 Mbit/s
Das im HSPA-Standard vorgesehene AMC („Adaptive Modulation and Coding“)
sorgt dafür, dass sich Basisstation und Endgerät je nach Signalqualität und Netz-
110 www.TecChannel.de

So funktionieren UMTS und HSPA
belastung bei laufender Verbindung auf das jeweils am besten geeignete Codierungsschema
einigen. Die bei HSUPA eingesetzte BPSK-Codierung (Binary Phase
Shift Keying) kann bei der W-CDMA-Codierung einen, zwei, vier oder sechs
Codes pro Teilnehmer nutzen.
Daraus ergeben sich folgende maximal mögliche Datenraten:
Maximale Datenraten der BPSK-Codierung
Modulation Codier-Rate 1 Code 2 Codes 4 Codes 6 Codes
BPSK 2/4 0,64 Mbit/s 1,28 Mbit/s 2,56 Mbit/s 3,84 Mbit/s
3/4 0,72 Mbit/s 1,44 Mbit/s 2,88 Mbit/s 4,32 Mbit/s
4/4 0,96 Mbit/s 1,92 Mbit/s 3,84 Mbit/s 5,76 Mbit/s
Die angegebene Rate von 4/4 kommt wieder nur bei glasklaren Funkverbindungen
zum Einsatz, die auf jede Fehlerkorrektur verzichten können. In der Praxis lassen
sich daher eher die bei der Codier-Rate „3/4“ angegeben Datenraten erreichen.
3.4.7 HSDPA-Zukunft: Schneller, optimierter, effi zienter
Neben Signalcodierung und Fehlerkorrektur realisiert HSPA weitere Verbesserungen
in der Struktur des UMTS-Netzes. Das wichtigste Ziel ist hier eine Verringerung
der Latenzzeiten. Typisch für Mobilfunkübertragungen ist nämlich, dass
die Wartezeit auf Antworten deutlich höher ausfällt als vom Festnetz gewohnt.
Jede interaktive Kommunikation wird dadurch quälend langsam.
Massiver Anstieg: Seit Mai 2007
konnte HSDPA stark zulegen. Der
Standard bleibt aber dennoch
hinter UMTS und EDGE zurück.
(Quelle: M:Metrics)
Das zeigt sich bereits beim Aufbau komplexer Webseiten, wirkt sich noch viel
schlimmer jedoch bei Text- und Audio-Chats, Videokonferenzen und ähnlichen
Anwendungen aus.
webcode: 1758443 111

3. Netzwerk-Grundlagen
Bei GPRS sind Ping-Zeiten von 600 Millisekunden und mehr typisch. EDGE
konnte den Wert bereits auf 400 bis 500 ms senken, UMTS in der Standardausführung
erreicht etwa 200 bis 300 ms. Mit HSPA sinken die Ping-Zeiten auf typischerweise
50 bis 200 ms. Um die Latenzzeiten zu verringern, war es notwendig,
die Steuerung der Paketübertragung (das sogenannte Scheduling) näher an die
Basisstationen (Node B) heranzubringen. Diese Funktion, die bei UMTS ursprünglich
im Radio Network Controller (RNC) angesiedelt war, wandert bei
HSPA deshalb direkt in die Steuerungsmodule der Node B. Dies entlastet die RNC
und spart Übertragungszeiten. Zudem sendet HSPA verlorene Datenpakete
schneller neu, als es bei UMTS (Release 99) möglich war.
Shared Channel Transmission und Fast Hybrid Automatic Repeat Request
Doch HSPA nutzt noch weitere Tricks zur Effi zienzsteigerung. Während das
CDMA-Verfahren an sich jeder „Verbindung“ von Netz zu Endgerät einen individuellen
Code und somit einen eigenen virtuellen Kanal zuweist, kann HSPA bei
Bedarf einen Übertragungscode mehreren Verbindungen zuweisen. Dieses Verfahren,
das als „Shared Channel Transmission“ bezeichnet wird, erlaubt es, die in
einer UMTS-Funkzelle verfügbare Bandbreite noch besser auszunutzen.
Eine weitere Besonderheit von HSPA ist ein optimiertes Protokoll, mit dem das
Endgerät fehlerhaft empfangene Datenpakete sehr schnell neu anfordern kann.
Dieses als FH-ARQ (Fast Hybrid Automatic Repeat Request) bezeichnete Verfahren
senkt die Latenzzeiten weiter ab. Wie auch das grundsätzliche Scheduling, verlagert
HSPA auch die ARQ-Funktion von den Radio Network Controllern (RNC)
in die Basisstationen (Node B).
3.4.8 Die Klassen der HSDPA-Endgeräte
Wie bereits erwähnt, müssen HSPA-Endgeräte die notwendige Rechenleistung
bieten, um die jeweils gewünschte Codierrate, Fehlerkorrektur und Latenzzeiten
unterstützen zu können. HSPA-Protokollelemente wie FH-ARQ erfordern zusätzliche
Rechenleistung. Und auch wenn mehrere „Shared Channels“ (sogenannte
HS-DSCH-Codes – High Speed Downlink Shared Channels) gleichzeitig genutzt
werden sollen, erhöht dies die Anforderungen an die Rechenleistung.
Je nach Hardware werden zudem eines oder beide der Codierungsverfahren QPSK
und 16-QAM unterstützt, und auch die Zuordnung der Spreizcodes muss innerhalb
bestimmter Zeitvorgaben (TTI – Transmission Time Interval) unterstützt
werden. Die ersten HSDPA-Geräte auf dem Markt unterstützten die nachträglich
defi nierte Kategorie 12. Heute übliche HSDPA/HSUPA-Geräte zählen zu den Kategorien
6, 7 und 8. Geräte der Kategorie 9 und 10 dürfen im Lauf des Jahres 2009
auf den Markt kommen. Alle diese Anforderungen führen dazu, dass für HSPA
zwölf verschiedene Endgeräteklassen defi niert wurden, die jeweils spezifi sche
Werte und Leistungsdaten unterstützen müssen:
112 www.TecChannel.de

HSPA-Endgeräteklassen
Endgerätekategorie
Max. Anzahl an
HS-DSCH-Codes
Maximale
Datenrate
Min. Transmission
Time Interval
So funktionieren UMTS und HSPA
Codierung
Kategorie 1 5 1,2 Mbit/s 3 QPSK/16-QAM
Kategorie 2 5 1,2 Mbit/s 3 QPSK/16-QAM
Kategorie 3 5 1,8 Mbit/s 2 QPSK/16-QAM
Kategorie 4 5 1,8 Mbit/s 2 QPSK/16-QAM
Kategorie 5 5 3,6 Mbit/s 2 QPSK/16-QAM
Kategorie 6 5 3,6 Mbit/s 1 QPSK/16-QAM
Kategorie 7 10 7,2 Mbit/s 2 QPSK/16-QAM
Kategorie 8 10 7,2 Mbit/s 1 QPSK/16-QAM
Kategorie 9 15 10,2 Mbit/s 1 QPSK/16-QAM
Kategorie 10 15 14,4 Mbit/s 1 QPSK/16-QAM
Kategorie 11 5 0,9 Mbit/s 2 QPSK
Kategorie 12 5 1,8 Mbit/s 1 QPSK
3.4.9 Was kommt danach?
Die derzeitigen HSPA-Spezifi kationen sehen einen Ausbau der Downlink-Datenraten
via HSDPA bis 14,4 Mbit/s und des Uplinks per HSUPA bis 5,76 Mbit/s vor.
Doch der Bedarf an Bandbreite wächst weiter. Daher wird bereits konkret über die
nächsten Ausbaustufen und technischen Weiterentwicklungen nachgedacht.
HSPA+
Im Standardisierungsgremium 3GPP wird eine Erweiterung von HSPA diskutiert,
die mit dem Arbeitstitel „HSPA+“ bezeichnet wird. Angestrebt werden Datenraten
von bis zu 28 Mbit/s im Downlink und 11 Mbit/s im Uplink – grob betrachtet also
eine weitere Verdopplung der mit „Release 8“ erzielbaren Geschwindigkeiten. Um
diese Datenraten zu erreichen, sollen weiterentwickelte Modulationsverfahren wie
64-QAM im Downlink oder 16-QAM im Uplink Verwendung fi nden. Zudem ist
der Einsatz der Mehrfach-Antennentechnik MIMO geplant. Sowohl auf Seite der
Basisstation als auch in den Endgeräten wären dann jeweils mindestens zwei Antennen
aktiv. Weil dies nicht zuletzt auch neue Investitionen auf Netzseite erfordern
würde, ist nicht sicher, ob diese Spezifi kation zum Einsatz kommen wird.
HSOPA
Wenn im Mobilfunknetz ohnehin neue Komponenten hinzugefügt werden müssen,
kann der Geschwindigkeitsgewinn aber auch gleich etwas höher ausfallen.
Das ist zumindest der Ansatz hinter der deutlich radikaleren Weiterentwicklung
HSOPA – „High Speed OFDM Packet Access“. Das Verfahren setzt auf das noch
webcode: 1758443 113

3. Netzwerk-Grundlagen
modernere und leistungsfähigere Verfahren „Orthogonal Frequency Division
Multiplexing“, bei dem die Modulation in mehreren Dimensionen erfolgt. Die Effi
zienz bei der Nutzung des verfügbaren Spektrums liegt dabei noch einmal um
den Faktor 2 bis 4 höher als beim W-CDMA-Verfahren. Zudem ist der Standard
fl exibler hinsichtlich der Kanalbandbreite. Ist sie bei UMTS auf 5 MHz fi xiert,
kann sie bei OFDM einen beliebigen Wert zwischen 1,25 und 20 MHz annehmen.
Kombiniert mit der MIMO-Technik sollen so Datenraten von bis zu 100 Mbit/s
im Downlink und 50 Mbit/s im Uplink erreicht werden, und auch die Latenzzeiten
liegen mit 20 ms auf dem Niveau der heute besten Annahmen im HSPA-
Standard. In Laborumgebungen wurden mit dieser Technik schon heute Datenraten
von 40 Mbit/s in einem 5-MHz-Kanal übertragen.
All diese Vorteile haben natürlich ihren Preis: OFDM ist voll und ganz inkompatibel
zu W-CDMA und erfordert somit sowohl ein neues beziehungsweise erweitertes
UMTS-Funknetz als auch neue Endgeräte. HSOPA wird deshalb bisweilen
auch als „Super 3G“ oder auch „3,5 G“ bezeichnet.
LTE – Long Term Evolution
OFDM und MIMO sind auch Bausteine der heute gehandelten Überlegungen für
die vierte Mobilfunkgeneration „4G“. Noch ist unsicher, welche Technologien dafür
letzten Endes zum Einsatz kommen werden. Weil auch der Zeithorizont für
diese Netze deutlich über die nächsten Jahre hinausgeht (Marktbeobachter rechnen
etwa mit 2012 bis 2015), spricht man auch von „Long-Term Evolution“ oder
kurz LTE (übersetzt: auf längere Zeit angelegte Weiterentwicklung). LTE wird
eine völlig neue Funkschnittstelle defi nieren. Erste Spezifi kationen nennen Datenraten
von 144 Mbit/s und mehr. HSOPA ist ein Ansatz, der in der weiteren Entwicklung
zu LTE führen könnte – es sind aber auch diverse andere Basistechnologien
wie etwa WiMAX im Gespräch für die längerfristige Mobilfunkzukunft. Nur
eines steht schon heute fest: Auch mit LTE werden die Datenraten beständig weiterwachsen,
bis sie irgendwann wieder zu knapp erscheinen und letztlich den Ruf
nach einer fünften Mobilfunkgeneration provozieren werden.
Hannes Rügheimer
114 www.TecChannel.de
Hannes Rügheimer ist Fachjournalist seit 1991 und schreibt für viele renommierte
Medien über Themen wie Mobilfunk, mobiles Internet, Notebooks, Navigation und
Unterhaltungselektronik. Er berichtet seit Jahren über die technologischen Entwicklungen
in diesen Gebieten.
TecChannel-Links zum Thema Webcode Compact
So funktionieren UMTS und HSPA 1758443 S.104
So funktionieren Femtozellen 1764850 S.115
NGN: IP-Netze der Next Generation 1852814 –

3.5 So funktionieren Femtozellen
So funktionieren Femtozellen
Seit dem Mobile World Congress 2008, der im Februar in Barcelona stattfand,
treibt ein neues Schlagwort die Mobilfunk- und Internetbranche um: Femtozellen.
TecChannel erklärt Ihnen, was sich dahinter verbirgt.
Femtozellen sind kleine Mobilfunkzellen, die beim Kunden zu Hause betrieben
werden sollen. Sie dienen grundsätzlich dazu, UMTS-Versorgung in Wohnungen
und Geschäftsräumen zur Verfügung zu stellen, in welche die „öffentlichen“
Funkzellen nicht mehr hineinreichen. Dabei bezieht die Branche den Begriff Femtozellen
vor allem auf den Einsatz solcher Mini-Mobilfunkzellen bei privaten
Kunden. Denn im Businessmarkt ist das Verfahren schon lang nichts Neues mehr:
Um Bürohäuser und Firmengelände ausreichend mit Mobilfunkabdeckung zu
versorgen, installieren die Mobilfunkbetreiber im Auftrag ihrer Geschäftskunden
kleine Füllsender. Diese bezeichnet man als Picozellen. Auch wenn sie zur Netzstruktur
und Funknetzplanung des öffentlichen Mobilfunknetzes gehören, werden
sie nur eingerichtet, um den Bandbreiten- und Netzversorgungswünschen
von Businesskunden nachkommen zu können.
3.5.1 Ähnliche Größen trotz unterschiedlicher Vorsilben
Die Vorsilben „Femto“ und „Pico“ sind sogenannte SI-Prefi xe – also Vorsilben für
physikalische Maßeinheiten nach dem internationalen Einheitensystem (französisch
Système internationale d’unités, kurz SI). Femto steht für ein Billiardstel,
Pico für ein Billionstel. Das bedeutet nun aber nicht, dass eine privat genutzte
Mini-Funkzelle tausend Mal kleiner wäre als eine geschäftliche genutzte. Beide
Zellentypen haben meist einen Durchmesser von 10 bis 30 Metern. Die unterschiedlichen
Begriffe und Einheiten sollen lediglich die verschiedenen Einsatzschwerpunkte
verdeutlichen. Allerdings orientiert sich die Nomenklatur an den
bei GSM und UMTS bislang üblichen Bezeichnungen für Funkzellen-Größen:
Makrozellen sind Funkzellen von etwa 20 bis 30 km Durchmesser. Sie werden
typischerweise in schwach besiedelten, ländlichen Gebieten eingesetzt.
Minizellen haben üblicherweise einige Kilometer Durchmesser und versorgen
typischerweise städtische Gebiete.
Microzellen haben nur noch einige hundert Meter Durchmesser und sorgen
in Stadtteilen mit starker Mobilfunknachfrage für ausreichend Kapazität.
Nanozellen sind Füllzellen mit unter 100 Meter Durchmesser, die gezielte Kapazitätsspitzen
etwa auf Veranstaltungen abfangen sollen.
Im Netzkonzept von UMTS gibt es zudem noch sogenannte Hyper- oder Umbrella-Zellen,
die eine Grundkapazität „über“ der Abdeckung kleinerer Funkzellen
bieten und eine Ausdehnung von mehreren hundert Kilometern erreichen können.
Bisweilen spricht man auch – mit leichter Übertreibung – von „Welt-Zellen“.
webcode: 1764850 115

3. Netzwerk-Grundlagen
3.5.2 Funktionsprinzip und Netzanbindung
Die Grundidee von Femtozellen sieht so aus: Eine räumlich eng begrenzte Funkzelle
verbindet ein Handy per UMTS mit einem Gateway und somit letztlich mit
dem Kernnetz des Mobilfunknetzes. So können ganz normale Mobilfunkendgeräte
eine vorhandene Internetverbindung, zum Beispiel über eine DSL-Leitung,
nutzen. Das Prinzip ist ähnlich wie bei WLAN-Handys, die sich zu Hause an einem
normalen WLAN-Hotspot anmelden. Doch während Handys und Smartphones
mit WLAN-Chip selten sind, erlaubt eine UMTS-Funkzelle jedem mobilen 3G-
Endgerät den Zugang.
Da die lokale Funkzelle nur ein begrenztes Versorgungsgebiet abdecken muss und
sich darin eine nur kleine Zahl von Endgeräten anmeldet, kann die Technik einer
Femtozelle deutlich einfacher ausgelegt sein als die einer Funkzelle im großen, öffentlichen
Mobilfunknetz. Tatsächlich sind die notwendigen Funktionen heute
bereits auf wenigen, hoch integrierten Chips verfügbar. Gateways oder Router
HSDPA für zu Hause
Trotzdem können diese privaten Funkzellen schnelle Datenübertragungen unterstützen.
Viele der ersten Produkte mit Femtozellen-Technik stellen sogar schon
HSDPA- und teilweise HSUPA-kompatible Luftschnittstellen zur Verfügung. Die
in allen UMTS-Zellen übliche Leistungssteuerung soll Störungen öffentlicher, größerer
Funkzellen durch die Femtozellen verhindern. Wenn ein Mobilfunkanbieter
die Femtozelle bei seinem Kunden betreibt, wird er sie an sein UMTS-Kernnetz
anbinden. Diese Verbindung erfolgt verschlüsselt über das öffentliche Internet,
etwa per DSL oder per Breitbandkabel. Die lokale Femtozelle wird in diesem Zusammenhang
auch als Home Node B oder kurz HNB bezeichnet. Der Begriff ist
angelegt an die in UMTS-Netzen übliche Bezeichnung Node B für eine Funkzelle.
Außenstelle: Die per Internet ans UMTS-Kernnetz angebundene Femtozelle gehört logisch zum Mobilfunknetz
des Anbieters
116 www.TecChannel.de

So funktionieren Femtozellen
Die maximal über die Femtozelle nutzbare Bandbreite für Sprach- und Datenübertragungen
ist somit natürlich von der Bandbreite der Internetanbindung des
Kunden abhängig. Bei den heute üblichen DSL-Geschwindigkeiten zwischen 3
und 16 Mbit/s stellt dies aber in der Praxis keine nennenswerte Beschränkung dar.
Die Installation und Verbindungsaufnahme des Gateways sollen bei entsprechenden
Endkundenprodukten vollautomatisch per Plug-and-Play erfolgen. Der
Mobilfunk- beziehungsweise Internetprovider schickt seinem Kunden eine entsprechende
Box, dieser schließt sie an seiner Breitband-Internetleitung an – fertig.
So zumindest der Plan von Herstellern und Anbietern.
3.5.3 Stand der Entwicklung
Auf der Mobilfunk-Fachmesse „Mobile World Congress“ wurde im Februar 2008
in Barcelona bereits eine ganze Reihe an d5142311 Vorserienprodukten vorgestellt.
Die Hardware dieser Gateway-Boxen ist im Wesentlichen fertig entwickelt.
In der Software müssen nur noch kleinere Anpassungen an die jeweiligen Einstellungen
und Netzkomponenten der späteren Anbieter vorgenommen werden.
Kommender 3GPP-Standard für Femtozellen
Die derzeit vorgestellten Geräte nutzen allerdings noch proprietäre Verfahren für
die Verbindung zwischen Gateway und Mobilfunk-Kernnetz. Um das zu ändern,
arbeitet das Mobilfunk-Standardisierungsgremium 3GPP derzeit an einem branchenweiten
Standard für Femtozellen. Bis zum Jahresende 2008 soll ein entsprechender
Vorschlag fertiggestellt sein. Wesentliches Element dieses kommenden
Standards ist die Schnittstelle zwischen Home Node B (also der lokalen Femtozelle
beim Endkunden) und dem Home Node B Gateway (HNB-GW) auf Anbieterseite.
Die Firmen Alcatel-Lucent, Kineto, Motorola und NEC haben bereits wesentliche
Komponenten für den kommenden Standard vorgeschlagen, die auf bereits
existierenden Schnittstellen-Spezifi kationen in UMTS-Netzen basieren.
Wenn ein gemeinsam abgestimmter Standard für diese Spezifi kationen verabschiedet
ist, werden die Hersteller der Gateways ihre Produkte entsprechend anpassen
müssen. Dies ist jedoch vergleichsweise unproblematisch, zumal ohnehin
noch keine Geräte an Privatkunden ausgeliefert wurden. Zudem basieren die meisten
der heute vorgestellten Boxen bereits auf den Standardisierungsvorschlägen,
welche die beteiligten Herstellern gemeinsam erarbeitet und als Vorschlag eingereicht
haben.
3.5.4 Die ersten Femtocell Gateways
Gegenwärtig handelt es sich bei den bereits vorgestellten Femtozellen-Access-
Points um Vorserienmodelle. Diese waren auf dem GSM World Congress aber bereits
in reichlicher Anzahl zu begutachten:
webcode: 1764850 117

3. Netzwerk-Grundlagen
Netgear (www.netgear.de) stellte gemeinsam mit Nokia Siemens Networks das
„Femtocell Voice Gateway DVG 834 GH“ vor. Es kombiniert eine HSDPA-taugliche
Femtozellen-Basisstation, einen Breitband-Router mit ADSL2plus-Modem,
einen WLAN-Access-Point nach 802.11g-Standard und einen 4-Port-Ethernet-
Switch (10/100BaseT). Auch ein VoIP-Client nach SIP-Protokoll und eine zweistufi
ge Firewall sind integriert.
Motorolas Femtocell Access Point 8000 fällt auf den ersten Blick durch sein Design
auf. Auch die von ihm generierte Mini-Funkzelle unterstützt HSDPA, das
Gerät ist jedoch als Zusatz zu einem bestehenden Breitband-Router gedacht. Wer
zusätzlich einen WLAN-Access-Point nach 802.11b/g-Standard und integriertem
VoIP-Client haben möchte, dem bietet Motorola das Schwestermodell „Femtocell
Gateway 8100“ an. Diese Variante enthält dann auch einen 4-Port-Switch. Beson
deren Wert legt Motorola auf seine Quality-of-Service-(QoS)Implementation, die
vor allem für Sprachtelefonate über das System vorteilhaft sein dürfte.
118 www.TecChannel.de
Femtocell: Das Voice Gateway
DVG 834 GH stammt von
Netgear und Nokia Siemens
Networks.
Streaming: Der Femtocell-Access-Point
Oyster 3G von IP.access unterstützt Sprach-
Codecs und Video-Streaming-Modi.
Schick: Die Femtocell-Produkte
aus Motorolas 8000er-Serie
fallen durch ihr Design auf.
Modular: Ubiquisys versteht sein „ZoneGate“
als Baukastensystem für Mobilfunkbetreiber.

So funktionieren Femtozellen
Die britische Firma IP.access (www.ipaccess.com) präsentiert ihren FemtoCell-
Access-Point Oyster 3G. Das System unterstützt HSDPA bis zu 7,2 MBit/s und soll
sich k252ünftig per Software auf HSUPA aufrüsten lassen. Die generierte Mobilfunkzelle
unterstützt den Mobilfunk-Sprachverbesserungs-Codec AMR (Adaptive
Multirate Coding) und spezielle Video-Streaming-Modi. Auch der Oyster 3G
besitzt keine eigenen Router/DSL-Funktionen, sondern ist für den Anschluss an
eine bestehende Breitbandverbindung konzipiert.
Ebenfalls in Großbritannien ansässig ist die Firma Ubiquisys (ubiquisys.com). Ihr
Femtocell Gateway heißt ZoneGate und versteht sich mehr als Systemplattform. Je
nach Wünschen der Operator könne man WiFi, DSL, VoIP, Ethernet- und/oder
USB-Ports einbauen, so der Hersteller. Die eingesetzte 3G-Funktechnologie unterstützt
HSDPA und soll künftig auf HSUPA aufgerüstet werden können.
Preise oder Einführungstermine waren noch von keinem Hersteller zu erfahren.
Die Gateways oder Access Points würden ohnehin von Mobilfunk- oder Internetprovidern
im Rahmen entsprechender Vertragsoptionen beim Kunden installiert
und daher wie in diesen Märkten üblich vom Anbieter stark subventioniert.
3.5.5 Praxiseinsatz aus Sicht der Mobilfunkprovider
Die Femtozellen-Technologie hat ihre Ursprünge in der Mobilfunkbranche. Naheliegenderweise
zielen die einschlägigen Hardware-Hersteller damit auf ihre traditionelle
Kundschaft: Mobilfunkprovider. Das ist allerdings nicht unumstößlich
– grundsätzlich können auch Internetprovider entsprechende Produkte und Tarife
anbieten. Für Mobilfunkanbieter bieten Femtozellen die Möglichkeit, ihren
Kunden auch zu Hause oder an anderen stationären Einsatzorten (Büros, Ferienwohnungen
und Ähnliches) einen schnellen Zugang zu ihrem Netz zur Verfügung
zu stellen. Ist die heimische Femtozelle Bestandteil des Mobilfunknetzes, können
UMTS-Geräte mit „Soft Handover“ auch bei laufender Verbindung zwischen den
öffentlichen Zellen und der privaten Heimzelle wechseln.
Die Femtozelle wird zur „ Homezone“
Das Geschäftsmodell beziehungsweise die Motivation für einen Mobilfunkprovider
zum Einsatz dieser Technologie besteht darin, dass die Kunden auch beim Telefonieren
und Surfen zu Hause das Mobilfunknetz des Anbieters nutzen – zumindest
wenn die jeweiligen mobilen Endgeräte zum Einsatz kommen. Wie heute
schon bei Homezones üblich, dürften die Kunden dazu nur bereit sein, wenn sie
im Vergleich zur Nutzung des öffentlichen, allgemein verfügbaren Mobilfunknetzes
zu Hause deutliche Preisvorteile erhalten. Das Telefonieren und Surfen
per Femtozelle darf nicht teurer sein als vergleichbare Verbi ndungen über die
Festnetze konventioneller Telefonnetz- oder Internetanbieter. Mobilfunkanbieter
werden für ihre Femtozellen daher ähnliche Tarifkonditionen anbieten müssen
wie heute für Homezones oder Festnetzkommunikation üblich.
webcode: 1764850 119

3. Netzwerk-Grundlagen
Noch ist insbesondere bei den deutschen Netzbetreibern aber noch nicht abzusehen,
ob diese entsprechende Angebote unterbreiten wollen. Die Einschätzungen
dazu sind jedenfalls noch sehr zurückhaltend.
3.5.6 Praxisszenario für Internetprovider
Nicht nur für Mobilfunkprovider ist die Femtozellen-Technik grundsätzlich interessant.
Auch Internetprovider könnten sie dazu nutzen, den Mobilfunkanbietern
Kunden beziehungsweise Gesprächs- und Surf-Minuten abspenstig zu machen.
Das technische Szenario sieht dann so aus: Zu Hause bucht sich das Handy des
Teilnehmers in die Femtozelle ein, die der Internetprovider mit einer von ihm gelieferten
Gateway-Box bereitstellt. Datenkommunikation läuft dann per Router
über den vorhandenen Breitbandanschluss, Sprachkommunikation je nach Anschlusstyp
und Tarifmodell übers konventionelle Telefonnetz (analog oder ISDN)
oder per Voice over IP. Wie heute schon i m Festnetz üblich, wären VoIP-Verbindungen
dabei noch günstiger als Gespräche übers klassische Telefonnetz – Letzteres
hätte aber in puncto Sprachqualität und Ausfallsicherheit die Nase vorn.
Probleme durch Handover und Funklizenz
Ist in diesem Geschäftsmodell kein Mobilfunkanbieter beteiligt, hat dies aus technischer
Sicht nur eine Einschränkung zur Folge: Ein Seamless Handover, also der
automatische Wechsel zwischen öffentlichem Mobilfunknetz und privater Femtozelle,
wäre nicht möglich. Das Handy müsste bei der Ankunft in der Homezone
einen Netzwechsel durchführen. Aus regulatorischer Sicht gilt für diese Variante
zudem zu bedenken, dass klassische Internetprovider keine Lizenz für den Betrieb
selbst miniaturisierter Funkzellen in den UMTS-Frequenzbereichen besitzen. Zumindest
die Kooperation mit einem 3G-Lizenzinhaber (etwa als MVNO – Mobile
Virtual Network Operator) wäre deshalb nicht zu vermeiden. Dann aber liegt auch
das Angebot gemeinsamer Tarife und Geschäftsmodelle mit Handover- beziehungsweise
Roaming-Mechanismen nicht mehr fern.
3.5.7 Status: So sehen es Provider und Entwickler
Gegenwärtig gelten Femtozellen als viel versprechende Technologie, die jedoch
noch ein wenig auf der Suche nach ihren Anwendungen und Geschäftsmodellen
ist. Entsprechend unterschiedlich sind die Einschätzungen von Netzbetreibern
und Herstellern:
T-Mobile investierte im März 2008 eine größere, nicht näher genannte Summe in
den Femtozellen-Hersteller Ubiquisys. Seit Juni fi ndet mit dessen Produkten ein
Pilotprojekt im Großraum Köln/Bonn statt. „Femtocells sind ein weiterer möglicher
Innovationsschritt, um unseren Kunden überall und jederzeit das beste Mobilfunkerlebnis
zu bieten“, sagt Günther Ottendorfer, Geschäftsführer Technik T-
120 www.TecChannel.de

So funktionieren Femtozellen
Mobile Deutschland. „Wir haben bereits auf der diesjährigen CeBIT Femtocells
vorgestellt und erste positive Ergebnisse bei der Erprobung erzielt. Wir werden das
Thema der Deep-Inhouse-Versorgung konsequent weiter verfolgen.“. Eine Entscheidung
über den kommerziellen Einsatz ist aber noch nicht gefallen.
Vodafone testet die Technologie im Rahmen eines Pilotprojekts in Spanien. Pressesprecherin
Marion Stolzenwald von Vodafone Deutschland erklärt dazu: „Wir
beobachten diese Tests und warten die Ergebnisse ab. Derzeit gibt es noch keine
Entscheidungen.“
Insider lassen jedoch durchblicken, dass Vodafone der Femtozellen-Technologie
in Deutschland keinen allzu großen Erfolg zutraut.
Die Hersteller erhoffen sich viel
Ganz anders sehen das naturgemäß die Hersteller entsprechender Lösungen:
„Mithilfe von Femtocells können viele Anwendungen direkt über UMTS laufen.
User benötigen mit unserer Lösung kein spezielles Handy, das über WLAN verfügt.
Der Zugriff auf den Rechner funktioniert mit jedem 3G-Mobiltelefon“,
schwärmt Andy Tiller, Chef der Firma ip.access.
Joe Cozzolino, Corporate Vice President und General Manager Motorola Home
and Networks Mobility, sieht in den innovativen Funktionen und Kostenvorteilen,
welche die Femtozellen versprechen, schlagkräftige Argumente für diese Technologie.
Die Anwender würden Femtocells bereitwillig nutzen, wenn sie sich nicht
um die Konfi guration kümmern müssten.
Voice Gateways mit offener Netzwerkarchitektur würden zweifellos die schnelle
und weit gefächerte Akzeptanz der Femtocell-Technologie fördern, argumentiert
Timo Hyppölä, bei Nokia-Siemens Networks Leiter des Produktbereichs Indoor
Radio Solutions
Optimistische Marktstudie
Gern zitieren die Hardware-Hersteller eine Studie des Marktforschungsunternehmens
ABI-Research, die im Auftrag von Motorola durchgeführt wurde. Denn diese
Studie kommt zu überaus optimistischen Ergebnissen: von 1800 befragten Internet-
und Mobilfunkanwendern in sechs Ländern könnten sich angeblich 40
Prozent den Einsatz von Femtozellen-Lösungen bis Mitte 2009 („innerhalb der
nächsten zwölf Monate“) vorstellen.
Das größte Interesse besteht der Umfrage zufolge in Polen, wo 67 Prozent der Befragten
entsprechende Services nutzen würden. In Spanien haben 62 Prozent, in
Italien 61 Prozent Interesse an der Technologie. In Frankreich und Großbritannien
würden immerhin noch 34 Prozent, in Deutschland 33 Prozent der Befragten
Femtozellen nutzen.
ABI-Research leitet aus diesen Angaben hohe Marktchancen f252ür die Technologie
ab: 36 Millionen Femtozellen-Access-Points sollen nach Schätzung des Unternehmens
bis 2012 verkauft werden.
webcode: 1764850 121

3. Netzwerk-Grundlagen
3.5.8 Fazit und Ausblick
Die Femtozellen-Technologie soll in erster Linie Mobilfunkprovidern dabei helfen,
ihre Kunden zu überreden, mobile Endgeräte zunehmend auch zu Hause zu
verwenden. Der Erfolg von Homezone-Modellen zumindest bei privaten Wenigtelefonierern
zeigt, dass auf Kundenseite dazu durchaus Bereitschaft vorhanden ist.
Der Kunde zahlt Strom und Internetverbindung
Allerdings wenden Kritiker ein, dass die Mobilfunkanbieter bei diesem Szenario
Kosten, die im normalen Netzbetrieb bei ihnen anfallen, subtil auf den Kunden
abwälzen: Der Stromverbrauch des Access Points, Gateways oder Routers geht zu
Lasten des Kunden, ebenso die zur Anbindung ans Kernnetz genutzte Breitband-
Internetverbindung des heimischen Teilnehmers. Immerhin spart sich der Mobilfunkbetreiber
die sonst nicht unerheblichen Kosten für Stand- oder Mietleitungen.
Für die Kunden ist der Betrieb einer Femtozelle daher nur wirtschaftlich,
wenn die Provider diese Aspekte in ihrer Tarifgestaltung berücksichtigen. Dann
allerdings stellt sich wiederum die Frage, ob die so zu erwirtschaftenden Umsätze
entsprechende Investitionen rechtfertigen. Die Mobilfunkprovider scheinen diese
Frage unterschiedlich einzuschätzen – offensichtlich auch abhängig von den im
jeweiligen Land vorherrschenden Angebots- und Tarifstrukturen sowohl im Mobilfunk
als auch bei Festnetz-Internetanschlüssen.
Glaubt man entsprechenden Umfragen, könnten Femtozellen vor allem in Osteuropa,
aber auch in Spanien, Italien und anderen Ländern auf hohes Kundeninteresse
stoßen. In Deutschland und Frankreich ist die Nachfrage etwas verhaltener.
Von den großen deutschen Mobilfunkanbietern scheint T-Mobile der Technologie
etwas mehr zuzutrauen, Vodafone etwas weniger.
Andererseits dürfte Netgear-Pressesprecher Karsten Kunert Recht behalten, wenn
er zur Rolle der Provider prophezeit: „Sobald einer damit anfängt, wird der Rest
mit entsprechenden Angeboten nachziehen.“
Hannes Rügheimer
122 www.TecChannel.de
Hannes Rügheimer ist Fachjournalist seit 1991 und schreibt für viele renommierte
Medien über Themen wie Mobilfunk, mobiles Internet, Notebooks, Navigation und
Unterhaltungselektronik. Er berichtet seit Jahren über die technologischen Entwicklungen
in diesen Gebieten.
TecChannel-Links zum Thema Webcode Compact
So funktionieren UMTS und HSPA 1758443 S.122
NGN: IP-Netze der Next Generation 1852814 –
IPv6 schleicht sich durch die Hintertür 1742321 –

4 E-Mail
E-Mail-Sicherheit
E-Mails bilden die Basis aller unternehmerischen Aktivitäten. Dennoch wird das
Thema E-Mail-Sicherheit bei vielen Verantwortlichen noch unterschätzt. Dabei
geht es um Authentizität und Schutz der Inhalte, Content-Kontrolle, Archivierung
und Spam. Nicht zuletzt spielt das Verhalten der Anwender eine Rolle, wenn es um
die Einführung und Beachtung von Regelwerken geht. Wir zeigen in diesem Kapitel
in kompakter Form, was für Administratoren und Entscheider relevant ist.
4.1 E-Mail-Sicherheit
Die E-Mail ist längst zur tragenden Säule beim IT-Einsatz geworden. Einem Ausfall
des E-Mail-Systems wird oftmals ein größerer Einfl uss auf die geschäftlichen
Tätigkeiten zugeschrieben, als dies für die traditionellen Geschäftsapplikationen
und deren dahinterliegende Datenbanken gilt. Allerdings ist die Absicherung des
E-Mail-Systems keine einfache Aufgabe. Die Techniken, Vorgaben und Regularien
beim Umgang mit E-Mail passen nicht in das gewohnte Schema der programmierten
Applikationen und Datenbanken. Um beispielsweise eine Bestellung mit
einer Geschäftsapplikation zu erfassen, existieren klare Vorgaben, Erfassungsmasken,
Geschäftsabläufe, Vorschriften und Techniken zur Aufbewahrung und Sicherung
der Daten. Die Bearbeitung der Bestelldaten erfolgt ausschließlich durch
vorher fest programmierte Bearbeitungsmasken. Was wo zu stehen hat und in
welchen Format eine Bestellung gespeichert, gedruckt, weitergeleitet oder gelöscht
wird, ist lange vorher durch die Designer und Entwickler der Applikation in Code
gegossen. Der Ablauf kann durch den stets authentifi zierten Benutzer auch nicht
verändert werden. Die Situation bei der E-Mail-Nutzung könnte gegensätzlicher
kaum sein. Eine E-Mail ist meist im Freitextformat formuliert, jeder Nutzer kann
sie nach Gutdünken aufbauen. Dies macht eine nachfolgende rechnergestützte
Bearbeitung schwierig. Auch die weitere Bearbeitung ist, im Gegensatz zu den Geschäftsapplikationen,
oft nicht defi niert. Wer darf die E-Mail sehen, weiterleiten
oder löschen? Wo und wie lange wird sie gespeichert? Welche Inhalte muss eine E-
Mail aufweisen, dass sie für geschäftsrelevante Entscheidung herangezogen werden
kann? All diese Fragen sind bei der E-Mail-Nutzung nicht defi niert. Da E-
Mails immer mehr zu den Trägern von Geschäftsprozessen werden, treten hier
Konfl ikte auf. In den Bemühungen um Compliance muss man die E-Mail-Nutzung
regelkonform (compliant) machen. Dies umfasst den gesamten Prozess, von
der Erstellung einer E-Mail über ihren Transport und die Auslieferung beim Empfänger
bis zur nachfolgenden Archivierung.
Dieser Artikel zur E-Mail-Sicherheit richtet sich nach den chronologischen Abläufen.
Sie beginnt bei der sicheren E-Mail-Erzeugung und beschäftigt sich dann
mit den Sicherungsmaßnahmen auf Empfängerseite. Der letzte Abschnitt widmet
sich der Absicherung des E-Mail-Systems selbst.
webcode: 1778559 123

4. E-Mail
4.1.1 E-Mail-Sicherheitsaspekte im geschäftlichen Kontext
Im Mittelpunkt der folgenden Ausführungen stehen der Nutzen und der Einsatzzweck
von E-Mails für geschäftliche Anwendungen. Dabei geht es sowohl um die
die frei erstellte Mail, die zwischen zwei Partnern ausgetauscht wird, als auch um
den automatisierten Einsatz von E-Mails als Träger des Geschäftsprozesse. Im
Vordergrund stehen dabei die möglichst automatische Klassifi zierung, Weiterleitung
und Bearbeitung von geschäftlich ausgetauschten Nachrichten.
Eine Grundvoraussetzung für alle auf E-Mails basierenden Geschäftsprozesse stellt
die Sicherheit dar. Dabei gilt es mehrere Facetten zu berücksichtigen:
Sicherheit beim Erzeugen und Versenden einer E-Mail: Werden alle fi rmeninternen
Regeln eingehalten? Welche Informationen sind in der E-Mail enthalten?
Ist der Sender berechtigt, diese Daten zu verbreiten? An wen wird die
Mail gesandt?
Sicherheit gegen Angriffe beim Transport: Verschlüsselung und Signatur
schützen vor Spionage und Verfälschung.
Absicherung gegen Angriffe, die auf eingehenden E-Mails basieren: SPAM,
Viren und Trojaner.
Abgesicherter Zugriff der Benutzer auf das E-Mail-System und Postfächer
Gesicherte Aufbewahrung der E-Mails und Klassifi zierung, um sie wiederzufi
nden. Dabei ist auch der Schutz vor versehentlichem Löschen wichtig.
Absicherung des Mail-Systems gegen einen Ausfall, wie etwa durch Clusteroder
Failover-Techniken.
4.1.2 Sicherheit bei der E-Mail-Erstellung
Bei der Erstellung einer E-Mail unterscheidet man drei grundsätzliche Varianten.
Die erste ist die manuell erstellte Freitext-Mail. Sie wird durch einen Benutzer
in einem Mail-Programms mit POP3-, SMTP- oder IMAP-Anbindung erstellt
und versendet. Inhalt und Empfänger der E-Mail werden komplett durch den
Ersteller der Mail vorgegeben.
Der zweite Weg ist die automatisiert erzeugte Mail. Der Inhalt wird durch die
Applikationssysteme erzeugt und als Mail versandt. Dazu stehen in den gängigen
Entwicklungs-Kits oder -Sprachen meist direkte Funktionen zum Versenden
von E-Mails bereit. Beispiele dazu fi nden sich allerorten. eBay, Amazon
oder etwa Buchungssysteme versenden nach der Änderung des Auftragsstatus
solche Bestätigungen. Der Inhalt der Mail besteht aus vorgegebenen
Texten, in denen die relevanten Kundenangaben oder der Bestellstatus in die
reservierten Positionen eingefügt werden.
Eine Mischform aus den beiden obigen Varianten ist die Massen-E-Mail zu
Werbezwecken; zu dieser Variante gehört auch die Spam-Mail.
124 www.TecChannel.de

E-Mail-Sicherheit
Diese drei Varianten werden hier deshalb getrennt erwähnt, weil die Reaktion seitens
des Empfängers unterschiedlich sein wird. Dies wird im zweiten Teil unserer
Artikelserie besprochen. Der Sicherheitsaspekt aus Sicht des Absenders ist bei der
automatisch generierten E-Mail unkritisch. Inhalte und Empfängerkreis werden
durch Programmierung und Datenbankinhalte klar festgelegt. Alle Daten, die für
den Versand der Mail herangezogen wurden, lassen sich jederzeit rekonstruieren.
Die verschickte E-Mail aufzubewahren wäre damit nicht mehr notwendig. Aus
Gründen der Beweissicherung und Compliance kann es allerdings notwendig sein,
die E-Mail selbst abzulegen. Ganz anders ist die Situation für frei erstellte Mails
durch die Benutzer. Inhalte und Empfängerkreis sind per se frei defi nierbar. Der
lockere Umgangston, den die Benutzer bei E-Mails an den Tag legen, mag im einfachsten
Fall lediglich zu Kopfschütteln führen. Er kann aber auch schwerwiegende
Konsequenzen für den Mitarbeiter oder das Unternehmen haben. Dies gilt
beispielsweise dann, wenn vertrauliche Informationen an Empfänger weitergereicht
werden, die diese Inhalte nicht zu Gesicht bekommen sollten.
4.1.3 Vorgaben für das Erstellen von E-Mails
Um die Sicherheit bei der manuellen Erzeugung von E-Mail zu gewährleisten, existieren
derzeit zwei Ansätze: automatisierte Kontrollverfahren und verbindliche
Regeln für die Mitarbeiter. Trotz aller technischen Hilfsmittel müssen zunächst
allgemeine Vorgaben für den Umgang mit dem Mail-System geschaffen werden.
Diese Regeln beschreiben beispielsweise
die Nutzung von Mail-Verteilern,
den Gebrauch sinnfälliger Betreffzeilen,
die Vermeidung von überfl üssigen Anhängen,
die Kennzeichnung rein informativer E-Mails
eventuell das Verbot, die E-Mail-Adresse öffentlich zugängig zu machen.
Sofern keine automatisierten Verfahren zur Bearbeitung und Speicherung der E-
Mails bestehen, gehören zu diesem Regelsatz auch Vorgaben über Speicherort der
E-Mails, Postfachgröße, Aufbewahrungszeiten oder Löschintervalle.
Wichtig ist zu klären, ob und wie geschäftlich nicht relevante E-Mails erkannt und
behandelt werden. Die Benutzer sind zudem im Umgang mit unerwarteten Mails
zu schulen. Der generelle Rat, E-Mails von unbekannten Absendern erst gar nicht
zu öffnen, ist im geschäftlichen Umfeld fehl am Platz.
Klare Regeln zur E-Mail-Erstellung, egal ob manuell oder maschinell, haben einen
entscheidenden Einfl uss auf die nachfolgenden Weiterverarbeitung. So vereinfacht
die Verwendung von Schlüsselwörtern die anschließende Klassifi zierung extrem,
beispielweise wenn der Benutzer schon im Betreff festlegt, dass es sich um
eine „Produktanfrage“ handelt. Andernfalls muss das Anliegen des Benutzers
durch Textanalyse-Algorithmen oder gar manuell mühsam ermittelt werden.
webcode: 1778559 125

4. E-Mail
Ein wichtiger Punkt wird nach der Einführung von Regeln oft vernachlässigt: Nur
wenn deren Einhaltung auch mit Nachdruck kontrolliert wird, erhalten die Anweisungen
einen rechtsverbindlichen Status. Ansonsten kann sich der Arbeitnehmer
auf eine Duldung des Regelverstoßes berufen.
4.1.4 Data Leakage Protection sorgt für Compliance
126 www.TecChannel.de
Klare Regeln:
Websense
blockiert den
Mail-Versand in
Outlook, falls
die Mail gegen
feste Regeln
verstößt.
Im Mittelpunkt jeglicher IT-Nutzung stehen immer die Daten. Ihr Schutz kann
kaum als zu hoch eingestuft werden. In vielen Bereichen wird dieser Schutz auch
durch passende Konzepte unterstützt. Firewalls, Berechtigungssystem, Benutzergruppen
oder Passwörter sind dafür nur die gängigsten Lösungen. Der unachtsame
Versand von E-Mails kann jedoch diese Schutzmaßnahmen vollständig untergraben.
Ohne weitere Hilfsmittel kann jeder Benutzer Daten durch das
E-Mail-System nach außen schleusen. Derzeit etablieren sich Werkzeuge, die dies
verhindern sollen: Data-Leakage-Protection-Tools überwachen und protokollieren
dazu den Transfer der Daten und ihre Nutzung.
Nach einer Untersuchung von Infowatch (www.infowatch.com/de/) ist die Bedrohung
durch den Datenverlust mittlerweile größer als viele andere Gefahren des
Internets. 78 Prozent der befragten Unternehmen räumen dem Datendiebstahl
die höchste Priorität gegenüber allen anderen Sicherheitsbedrohungen ein. Die
Veröffentlichung von Daten durch nachlässiges Verhalten der Mitarbeiter steht
mit 65 Prozent an zweiter Stelle. Ob es sich um einen gezielten Einbruch, verlorene
Notebooks oder den übersehenen Anhang einer E-Mail handelt, spielt aber
für das Ergebnis keine Rolle: Firmeninterne Daten sind in die falschen Hände gelangt.
Die Data Leakage Protection versucht, alle Kommunikationskanäle gegen

E-Mail-Sicherheit
diesen Datenverlust abzusichern. Der Schutz umfasst dabei die Armada der USB-
Geräte, den direkten Zugriff auf Dateiverzeichnisse und die Kommunikationskanäle
wie E-Mail, Instant Messaging oder Peer-to-Peer-Netze.
Ernstfall: In McAfee DLP werden Regeln darüber eingestellt, was mit auffälligen Mails passieren soll.
Da E-Mail eines der wichtigsten Kommunikations-Interfaces darstellt, wird es
durch die DLP-Tools besonders abgesichert. Um mehr Sicherheit zu erreichen,
werden E-Mails nach sensiblen Inhalten durchsucht. Ferner lassen sich die Anhänge
analysieren oder generell einschränken.
Content Filtering untersucht den Mailinhalt
Das Content Filtering der DLP-Tools analysiert den E-Mail-Text und die Anhänge.
Bewertet werden dabei nicht nur Schlüsselwörter ( Keyword-Matching) und Dateitypen
des Anhangs, sondern etwa auch die E-Mail-Adreese des Empfängers und
die Sendezeit. Alle Parameter tragen zu einem Gesamtwert bei, der die Wahrscheinlichkeit
eines Verstoßes angibt.
Keyword Matching: Utimacos Mail-Analyse untersucht die E-Mail auch nach Schlüsselworten. Hierzu
ist eine Vielzahl an Schlüsselworten bereits hinterlegt.
webcode: 1778559 127

4. E-Mail
Beim Keyword-Matching werden die übermittelten Daten nach bestimmten
Schüsselworten wie etwa „Quartalszahlen“ oder „Monatsabschluss“ durchsucht.
Dafür sind aber umfassende Konfi gurationen nötig. Eine einfache Liste an Schlüsselworten
führt selten zum erwünschten Ergebnis. Erst die Kombination mehrere
Wörter ergibt den kritischen Kontext.
Eine weitere Technik, den Datenabfl uss zu unterbinden, ist das Fingerprinting.
Hierbei werden eindeutige Merkmale der Daten, ähnlich einem Fingerabdruck,
ermittelt. Selbst wenn die Daten dann kopiert oder in einen anderen Zusammenhang
gestellt werden, bleibt der Fingerabdruck erhalten, und die Daten sind nach
wie vor eindeutig zuordenbar. Um auch jene Fälle zu erkennen, in denen der Text
in einen anderen Zusammenhang kopiert oder in einen anderen Text eingefl ochten
wird, gilt der Fingerprint nicht für den kompletten Text. Das Fingerprinting
operiert vielmehr auf Textblöcken und Passagen, sodass auch deren Versand in E-
Mails erkannt wird.
Übersicht wichtiger DLP-Anbieter
Hersteller Webseite Produkt
Centennial Software www.centennial-software.de DeviceWall
EMC germany.emc.com Data Loss Prevention Suite
Ironport www.ironport.com/de/ Data Leakage
McAfee www.mcafee.com/de/ Total Protection
INFOWATCH www.infowatch.com/de/ Traffi c Monitor, Device Monitor
Proofpoint www.proofpoint.com Proofpoint DLP
Symantec www.symantec.com/de/ Vontu Data Loss Prevention
Trend Micro www.trendmicro.com Leakproof
Websense www.websense.com/global/de/ Essential Information Protection
Tizor Systems www.tizor.com DLP
Zu den ambitioniertesten Techniken der Textanalyse zählen linguistische Analysen.
In der einfachsten Version erkennt das DLP-System dabei die Grundform der
Wörter und führt etwa Verben auf den Infi nitiv zurück.
1.4.5 E-Mail-Sicherheit für den Posteingang
35 Milliarden E-Mails sollen nach einer Prognose des Marktforschungsinstituts
IDC weltweit im Jahr 2005 täglich versendet worden sein. Für das Jahr 2008 geht
HP von 5500 PByte an E-Mail-Datenvolumen allein in Deutschland aus. Davon
werden 90 Prozent als Spam betrachtet. Unabhängig davon, wie man diese Werte
einstuft, eines ist sicher: Das Wachstum bei verseuchten oder unerwünschten
128 www.TecChannel.de

E-Mail-Sicherheit
Mails ist ungebrochen. Trotz ihrer Anzahl müssen alle E-Mails, und somit auch
der Spam, bearbeitet werden. Meist trennt man in der ersten Stufe die unerwünschten
E-Mails ab und löscht sie zeitnah. Der dann noch verbleibende kleine
Rest ist jedoch umso entscheidender für viele Unternehmen. Aufgrund der vermehrten
Nutzung von E-Mail als allgemeiner Kommunikationsplattform fl ießen
mehr und mehr Angebote, Verträge oder Bestellungen über die Mail-Systeme. Für
den Kontakt mit dem Endverbraucher stellt Mail neben Telefon ohnehin meist die
einzige Drehscheibe dar, über die er sich informiert, bestellt oder auch beschwert.
In vielen Geschäftszweigen gehört die E-Mail bereits heute zur zentralen Kommunikationsplattform
mit dem Kunden. Auch von staatlicher Seite wächst der Druck
zur digitalen Kommunikation. Seit einigen Jahren sind Unternehmen in Deutschland
etwa verpfl ichtet, Lohnsteuer-Anmeldungen und Umsatzsteuer-Voranmeldungen
elektronisch abzuwickeln.
Zur Untersuchung und Vorselektion der eingehenden E-Mails bietet der Markt
ein breites Portfolio an Tools an, darunter Virenscanner, Malware-Scanner und
Content-Filter. Deren Trefferrate hängt entscheidend davon ab, wie gut sie mit
Attachments umgehen können. Sendmail (http://sendmail.com/sm/solutions/inbound/)
beispielsweise gibt an, neben der Mail und HTML-Texten auch alle gängigen
Anhänge mit den Formaten MPG, JPG, Active X, PDF, Word, Excel, Powerpoint,
RTF und weitere in den Scanablauf einzubeziehen.
1.4.6 E-Mail-Schutz durch Appliances
Die Untersuchung auf bösartigen Code in E-Mails und das Erkennen von Spam
basiert häufi g auf ähnlichen Algorithmen. So kann die Prüfung des Absenders
oder die Analyse der Anhänge für beide Zwecke genutzt werden.
Verschlüsselung:
IronMail von Secure
Computing ermöglicht
die Mail-Verschlüsselung
durch eine zweite
separate Appliance.
Daher fi nden sich häufi g Überschneidungen oder zumindest enge Kooperationen
zwischen beiden Bereichen. Die Module zur Viren- und Spam-Erkennung sind in
den meisten Fällen auf vorgeschalteten Netzwerkeinheiten, einem Gateway, MTA
( Message Transfer Agent) oder eigenen Appliances hinterlegt. Zwar sollte die Untersuchung
auf Spam und Viren so früh wie möglich erfolgen. Dennoch kann auch
webcode: 1778559 129

4. E-Mail
eine nachgeschaltete Analyse sinnvoll sein, denn die Untersuchung des Mail-
Stroms auf dem vorgeschalteten Gateway ermöglicht keine Prüfung von Postfächern,
da diese ja erst auf den Mail-Servern existieren. Die Überprüfung der
E-Mail im Kontext des Clients und dementsprechend individuelle Filterregeln
sind natürlich auch erst dort möglich.
Für diese unterschiedlichen Einsatzzwecke liefern die Hersteller ebenso unterschiedliche
Produkte. Das Angebot in diesem Segment ist unübersichtlich. Eigene
Appliances zur E-Mail-Bearbeitung bieten beispielsweise Websense mit E-Mail
Security, Secure Computing mit Secure Mail, Ironport, Mirapoint oder Borderware
mit Steelgate. Auch Symantec hat hier mehrere Produkte im Angebot.
Der Vorteil von Appliances zur Sicherung des E-Mail-Eingangs liegt in deren zentralen
Verwaltungsmöglichkeiten. Die Appliance kann auch gleich um ein Regelwerk
für den Umgang mit dem ein- und ausgehenden Mail-Verkehr ergänzt werden.
Diese Policies defi nieren die maximale Mail-Größe, erlauben nur bestimmte
Anhänge und ergänzen die E-Mails um Angaben zur Corporate Identity. Die Appliance
kann aber auch besondere Aufgaben wie eine zentrale Signatur oder ein
spezielles Routing managen.
1.4.7 Die dunkle Seite der E-Mail-Nutzung
Zu den größten Ärgernissen beim Umgang mit E-Mails gehört heute Spam. Dieser
hat genau genommen zwei schädliche Effekte. Der eine besteht in der Vergeudung
von Ressourcen durch das Bearbeiten und Aussortieren von Spam. Der zweite Effekt
ist die Gefährdung, die von Spam direkt ausgeht. Meist sollen Spam-Mails
den Empfänger ja dazu animieren, zweifelhafte Produkte zu bestellen und Websites
zu besuchen, die der Empfänger der Mail ansonsten nicht aufgerufen hätte.
Welche Ausmaße diese Plage mittlerweile erreicht hat, zeigt die jüngste Studie
eines Forscherteams der University of California in Berkeley und San Diego. Nach
deren Untersuchung führt nur eine von 12,5 Millionen versandten Spam-Mails
beim Absender zum Erfolg. Daher müssen unzählige Spam-E-Mails verschickt
werden, bis sich dieses zweifelhafte Geschäftsmodell rechnet.
Retarus (www.retarus.de), ein Unternehmen, das E-Mail-Dienste anbietet, stellte
im Herbst 2008 „einen Besorgnis erregenden Anstieg der Zahl virenverseuchter E-
Mails“ fest. Es soll sich demnach um die Vorhut einer neuen Spam-Welle zu handeln.
Nachdem es in den ersten acht Monaten des Jahres 2008 in puncto Versendung
von Viren und Malware relativ ruhig war, verzeichnet der E-Mail-Profi nun
wieder einen dramatischen Zuwachs an infi zierten Nachrichten.
MessageLabs (www.messagelabs.com), ein Anbieter von E-Mail-Managed-Services,
der jüngst von Symantec (www.symantec.com/de/) übernommen wurde,
ermittelte im November ein Spam-Rate von 70 Prozent. Die Angriffe durch Viren
sind nach den MessageLabs-Messungen derzeit rückläufi g. Phishing allerdings
bleibt auf dem Niveau der zurückliegenden Monate.
130 www.TecChannel.de

1.4.8 Effektive Spam-Filterung
E-Mail-Sicherheit
Der effi zienteste Weg, Spam fernzuhalten, wäre, diese gar nicht erst über die
WAN-Strecke zum Empfänger zu transportieren, sondern bereits vorab auszusortieren.
Hierzu gibt es diverse Ansätze, wie etwa die Senderkennung, die sich allerdings
bis dato nicht durchsetzen konnte. In den allermeisten Fällen bleibt nur der
Weg, Spam beim Empfänger auszusortieren. Diverse Spam-Filter versuchen das –
mit mehr oder minder gutem Erfolg. Sie beruhen meist auf der Analyse der E-Mail
nach Schlüsselworten oder Textformatierungen. Andere Verfahren kombinieren
RBL („Real Time Blackhole Lists“) mit diversen Filtern und überprüfen den Absender
durch DNS-Lookup. Oftmals werden auch heuristische Methoden zur
Spam-Erkennung eingesetzt.
Um eine hohe Trefferrate zu erreichen, kann man all diese Verfahren kombinieren.
In der Praxis wird die Analysetiefe durch die zur Verfügung stehenden Rechenkapazität
des Spam-Filters begrenzt. Um hier Engpässe zu verhindern, kann
man beispielsweise E-Mails mit besonders großen Anhängen zeitversetzt scannen.
Dashboard: Umfangreiche Auswertungen
zur Bedrohungslage präsentiert
IronPort mit seiner Appliance.
Manche Hersteller, wie etwa IronPort, setzen auf eigene Reputationstechniken.
IronPort stellt im Web Server-Systeme bereit, die eine Klassifi zierung der Absender
vornehmen. Aus der Historie des E-Mails-Verkehrs von oder zu diesem Absender
werden dann Werte ermittelt, die Auskunft darüber geben, ob es sich bei
E-Mails von diesem Absender um Spam oder sonstige Malware handelt.
webcode: 1778559 131

4. E-Mail
Microsoft Forefront
Seit einiger Zeit besitzt Microsoft für seinen Mail-Server Exchange auch ein eigenes
Sicherheitswerkzeug aus der Forefront-Familie (www.microsoft.com/germany/forefront/).
Zu dieser Familie gehören eine Firewall, ein Access-Gateway,
Schutzsoftware für Windows-Clients sowie Tools für verschiedene Microsoft-Server,
darunter auch Exchange. In Prinzip handelt es sich bei Forefront für Exchange
um ein Framework, in das die Sicherheitsprodukte von Drittanbieter eingeklinkt
werden. Forefront fungiert dabei gewissermaßen als Verwaltungs- und Kommunikationsplattform
für den Exchange Server. Die eigentlichen Sicherheitssysteme
kommen von den Partnern. Diese sind derzeit die Firmen AhnLab, Authentium,
CA, Norman, Kaspersky, Sophos und Virus Buster sowie Microsofts eigene Anti-
Virus Engine, die auf der Technologie von Gecad basiert.
132 www.TecChannel.de
Exchange-Sicherheit:
Microsoft liefert mit
Forefront for Exchange
ein eigenes Tool-Set zur
Überwachung des E-
Mail-Verkehrs.
Seit der Version 2007 ist Exchange in mehrere Rollen aufgeteilt. Diese nennen sich
Hub Transport, Edge Transport, Unifi ed Communication, Mailbox und Client
Access. Die Rollen stehen für die verschiedenen Funktionen, die für den jeweiligen
Betrieb von Exchange benötigt werden. Hinter der Rolle Mailbox liegen die Postfächer
der Benutzer und ihre Verwaltung, der Hub Transport übernimmt den
Austausch der Mails und wird sowohl für die interne als auch für die externe Kommunikation
über das Internet benötigt. Der Edge Transport ist nur bei der Kommunikation
mit dem Internet notwendig. Der Rolle Unifi ed Communication wiederum
ist gänzlich neu und bildet Funktionen wie die Sprachein- und -ausgabe
ab, während die Rolle Client Access die Schnittstelle für spezielle Client-Zugänge
wie etwa Outlook Web Access implementiert.

E-Mail-Sicherheit
Die Rollen können auf unterschiedlichen Servern installiert werden. Über diesen
Weg wird die weitgehend wahlfreie Skalierbarkeit des Mail-Systems erzielt. In
kleineren Unternehmen mit einer überschaubaren Anzahl an Mail-Boxen können
alle Rollen einem physischen Server zugewiesen werden.
Dynamische
Sicherheitsregeln:
In der kommenden
Version von Forefront
verknüpft
Microsoft die
unterschiedlichen
Systeme zu einem
Dynamic Response
System.
Forefront lässt sich dabei auf die drei Rollen Edge, Hub und Mailbox anwenden.
In der kommenden Version von Forefront sollen die bis dato separat agierenden
Sicherheitsmodule integriert werden. Microsoft will Forefront so zu einem Dynamic
Response System ausbauen, also einem Sicherheitssystem, das dynamisch auf
die Bedrohungen reagiert oder auch präventiv agiert. Wird beispielsweise festgestellt,
dass ein Benutzer ein übermäßig großes E-Mail-Aufkommen hat, so stehen
er und seine Aktionen für einen bestimmten Zeitraum unter verstärkter Überwachung.
Diese bezieht auch seine sonstige Interaktionen mit anderen Benutzern,
wie etwa über Instant Messaging, ein.
1.4.9 Archivieren und wiederfi nden
Prinzipiell lassen sich bei der Mail-Nutzung drei Phasen unterscheiden. In der aktiven
Phase, die relativ kurz ist, wird die E-Mail empfangen, bearbeitet oder beantwortet.
In der nachfolgenden Referenzphase liegt diese E-Mail ungenutzt vor.
Mitunter erinnert sich der Benutzer an sie und sucht sie wieder hervor, um den
Inhalt der Mail wieder aufzugreifen, eine Reklamation zu bearbeiten oder einfach
einen Kontakt ausfi ndig zu machen. Die dritte und längste Phase ist die Beweisphase.
In dieser Zeit sind die Mails wegen gesetzlicher Bestimmungen aufzubewahren
und für einen Zugriff durch die Behörden bereitzuhalten. Hierbei dient
die E-Mail als Nachweis für einen Geschäftsvorfall. Die Verpfl ichtung, E-Mails als
webcode: 1778559 133

4. E-Mail
Geschäftspost aufzubewahren, wird durch mehrere gesetzliche Vorgaben geregelt.
Dieser Aspekt der Archivierung und Aufbewahrung gewinnt in letzter Zeit zunehmend
an Brisanz.
Die Verpfl ichtung zur E-Mail-Speicherung stellen gewaltige Anforderungen an
die Speichersysteme. Um sich hiervon ein Bild zu machen, kann auf eine Untersuchung
der Enterprise Strategy Group zurückgegriffen werden. Zwar bezieht sich
diese nicht nur auf E-Mails, aber E-Mails haben einen gewaltigen Anteil daran:
Nach Meinung der Analysten wächst das Volumen für die Datenarchivierung der
Unternehmen in den nächsten drei Jahren auf über 100.000 PByte. Wenn man dabei
den Anteil Deutschlands auf fünf Prozent taxiert, wären bei reinem Disk-Backup
hierzulande fünf Millionen Festplatten mit je einem TByte nötig.
Die Archivierung kann im einfachsten Fall durch Backups der Mail-Postfächer erfolgen.
Dies ist jedoch nur in einfachen Szenarien angeraten. Die Werkzeuge dafür
sind dateibasiert und damit zwar unabhängig von den Mail-Systemen. Eine Wiederherstellung
einzelner E-Mails ist aber meist nicht möglich.
Information Lifecycle Management und hierarchische Speicher
Weiter als das singuläre Backup der Mail-Speicher geht die sachbezogene Speicherung
der Mail mit dem zugehörigen Vorgang, Produkt oder Geschäftvorfall.
Durch Journalfunktionen, Erstellung von Metadaten und Volltextsuche erfolgt
dann ein verknüpfter Zugriff auf die jeweilige “Sache“ oder den Vorgang. Dieser
wird jedoch kaum durch die Mail alleine beschrieben sein. Ein Angebot kann typischerweise
aus einer Mail und einer PDF-Datei, die das Produkt spezifi ziert, bestehen.
Die Bestellung mag als Kunden-E-Mail, die Rechung wiederum als Ausdruck
vorliegen. Um nun aber eine vorfallsbezogene Ablage der Daten zu ermöglichen,
müssen die Mail-Systeme mit allen an dem Vorgang beteiligten Systemen verknüpft
werden. Hierfür sind Werkzeuge nötig, die mit dem Dokumentenmanagement,
dem Content-Management, dem Archivsystem und dem ERP-System kooperieren.
Die Werkzeuge zur Archivierung von Geschäftsvorfällen unterscheiden
sich grundlegend von denen, die stupide Kopien von Dateien auf Tapes oder Disks
ablegen. Sie segeln unter der Flagge namens HSM ( hierarchisches Speicher Management)
oder ILM ( Information Lifecycle Management) und weisen eine enge
Integration mit jenen Systemen auf, für die sie ihre Dienste anbieten. Tools dieser
Art interagieren meist direkt mit dem E-Mail-System, dem Dateisystem und mitunter
auch Content-Management-Systemen wie dem Sharepoint Portal Server.
Durch zentrale oder benutzerdefi nierte Regeln erfolgt die Verknüpfung der E-
Mails mit den Anhängen, den Dateien im Dateisystem und den Inhalten im Sharepoint
Server. Diese Verknüpfung der einzelne Informationsschnipsel bildet den
Geschäftsvorgang ab, der dann als eine Einheit (der Vorgang) auf den Archivmedien
hinterlegt wird.
In den Quellsystemen (Mail-System, Dateisystem etc.) sind bei der vorgangsbezogenen
Archivierung nur noch Verknüpfungen zum Archivspeicher vorhanden.
Ferner erfolgen eine Trennung des Mail-Headers vom eigentlichen Mail-Inhalt
134 www.TecChannel.de

E-Mail-Sicherheit
und von den Anhängen sowie die singuläre Speicherung ( Single-Instance-Speicherung)
bei identischen Anhängen in mehreren Mails. Die Verlagerung der Informationen
vom Primärsystem ins Archivsystem kann sowohl manuell durch
den Benutzer als auch automatisiert durch vielfältigste Kriterien parametrisiert
werden. Darunter fallen beispielsweise das Alter der Informationen, ihre Größe
und die Zugriffshäufi gkeit. Dazu gehören auch Angaben zur Aufbewahrungsdauer
(Retention Period) mit einer automatischen Löschung beim Ablauf der Aufbewahrungsdauer.
Zur Gewährleistung der angemessenen oder gesetzeskonformen
Speicherung aller vorgangsbezogenen Informationen sind die Archivierungsregeln,
-abläufe und -medien entsprechend festzulegen.
Archivierungslösungen und MailRecorder für den SMTP-Datenstrom
Mimosa beispielsweise liefert mit Nearpoint (www.mimosasystems.com) eine Archivierungslösung
für E-Mail-Bestände und wirbt mit einem schnellen Restore im
Fehlerfall. Mimosa und NetApp (www.netapp.com/de/) haben im November
2008 eine Kooperation angekündigt. NetApp kooperiert daneben aber auch noch
mit den Archivierungslösungen von CommVault (www.commvault.de) und Quest
(www.quest.com). Die Archivierungsanwendungen sind für mehrere Informationssysteme
ausgelegt, darunter auch Microsoft Exchange, Microsoft Offi ce
SharePoint, Dateidienste und Lotus Notes.
Streamwriter: HP platziert seinen
MailRecorder vor die Spam-Filter und
stellt damit sicher, dass alle Mails
aufbewahrt werden.
Die Nutzer erhalten dabei Zugriff auf mehrere Speicherklassen und Protokolle.
Eingeschlossen sind ferner Funktionen wie Deduplizierung, kaskadierende Snapshots
und Thin Provisioning. NetApps SnapLock versiegelt außerdem die Daten
webcode: 1778559 135

4. E-Mail
gegen Löschen und Änderungen, sodass die gespeicherten Inhalte auch revisionssicher
sind. Einen ganz anderen Ansatz der Archivierung empfi ehlt HP. Deren
MailRecorder wird von HP als Flugschreiber für E-Mails bezeichnet. Er zeichnet
den gesamten SMTP-Datenstrom direkt bei der Ankunft auf. Im Gegensatz dazu
operieren die meisten Archivlösungen nach dem Spam-Filter.
Nach Meinung von HP birgt die nachgeschaltete Archivierung das Risiko, dass geschäftskritische
E-Mails vorher durch den Spam-Filter aussortiert werden und somit
nicht archiviert sind. Das Argument ist prinzipiell nicht von der Hand zu weisen.
Wenn man allerdings ins Kalkül zieht, dass circa 90 Prozent der E-Mail
ohnehin Spam sind, heißt das, dass 90 Prozent Müll aufgezeichnet werden. Unklar
dabei ist auch die rechtliche Behandlung von privaten E-Mails.
1.4.10 Sichere Infrastruktur für E-Mail-Systeme
Ein Ausfall des E-Mail-Systems führt in den meisten Fällen zu gravierenden Leerzeiten
und Verzögerungen bei den betrieblichen Abläufen. Daher wird eine permanente
Verfügbarkeit des E-Mail-Systems erwartet – ja sogar gefordert. Dennoch
lassen sich Hardware-Ausfälle oder Systemfehler nicht gänzlich ausschließen.
Umso wichtiger ist es deshalb, im Fehlerfall die Betriebsbereitschaft mitsamt der
schnellen Wiederherstellung der alten E-Mails sicherzustellen.
Für die Betriebssicherheit muss man zwischen dem Zugang zu den eigenen E-
Mail-Daten und der Verfügbarkeit des E-Mail-Systems an sich unterscheiden. Ist
der Zugang gestört, so sind natürlich auch alle Daten in diesem Moment nicht
verfügbar. Bei den E-Mail-Daten sind aber nicht nur die E-Mail-Nachrichten gemeint,
sondern alle im E-Mail-System hinterlegten Inhalte. Oft arbeiten die E-
Mail-Server gleichzeitig als Groupware-Server. Im Fall von Microsoft Exchange
sind neben den eigentlichen E-Mails und deren Anhängen auch die Kontakte, die
Aufgabenlisten und der Terminkalender bei einem Ausfall nicht mehr erreichbar.
Ist kein Zugang zum E-Mail-System mehr möglich, so führt das zu einer weitreichenden
Einschränkung des Arbeitsumfelds. Ohne Kontaktdaten nützt dann häufi
g auch das Telefon nicht mehr viel. Werden gar Unifi ed-Communication-Systeme
eingesetzt, so versagt mit einem Ausfall der E-Mail-Server auch das Telefon.
Die Abhängigkeit vom E-Mail-System sollte insbesondere bei Disaster-Recovery-
Szenarien beachtet werden. Es nützt wenig, wenn die wichtigen Telefonnummern
und Anweisungen für den Fehlerfall just auf den Servern hinterlegt sind, die gerade
ausgefallen sind.
1.4.11 Absicherung der Daten und Programme
Die Absicherung des E-Mail-Systems muss sich auf alle notwendigen Daten und
auch Prozesse beziehen. Aus Sicht der betroffenen Benutzer macht es keinen Unterschied,
ob fehlende Daten, ein überlastetes Netzwerk oder ein ausgefallener
Server-Dienst die Ursache für die Störung sind. Daher verschmelzen alle beteili-
136 www.TecChannel.de

E-Mail-Sicherheit
gten Bausteine bei den Schutzkonzepten zu einer Einheit. Die traditionellen Backup-Verfahren
sind inzwischen von komplexeren IT-Absicherungen abgelöst.
Vom RAID zum Geocluster
Beim Schutz der E-Mail-Daten gilt es auch das geografi sche Ausmaß des Datenschutzes
zu betrachten. Die Spiegelung der Mail-Speicher, beispielsweise durch
den Einsatz eines RAID-Verbunds, sichert die Daten vor dem Ausfall der Festplatte.
Für den Ausfall des kompletten Rechners jedoch bieten RAID-Arrays keinen
Schutz. Hiergegen hilft die Spiegelung auf ein separates Festplattensystem. Befi ndet
sich dieser Plattenspiegel jedoch im gleichen Raum, so sind die Daten zwar vor
dem Ausfall des Rechners, aber nicht vor dem Ausfall der Stromversorgung für
diesen Raum abgesichert. Dies gilt auch bei sonstigen „lokalen Katastrophen“ wie
etwa Feuer oder Hochwasser.
Um auch dagegen gewappnet zu sein, müssen die Sicherungssysteme weit genug
von den primären Systemen, die es abzusichern gilt, entfernt sein. Dieser Gedanke
lässt sich mehrfach fortführen und fi ndet seine Ende in der Platzierung von Datenspiegeln
oder Ausweichrechenzentren auf unterschiedlichen Kontinenten. Ob
dabei nur die Daten gegen Verlust gesichert sind oder auch die E-Mail-Server
selbst, ist im Prinzip beim Geoclustering unerheblich.
Datensicherung durch Backups
Der traditionelle Weg der Datensicherung erfolgt durch periodische Kopiervorgänge
der Daten auf externe Bandmedien oder auch Bandbibliotheken. Die gängigsten
Verfahren hierbei sind die Vollsicherung, die inkrementelle Sicherung
oder differenzielle Sicherung. Die Sicherungen laufen meist in Zeiten mit wenig
Last wie nachts oder am Wochenende.
Bei täglichen Backups kann der Datenverlust im Störungsfall einen ganzen Arbeitstag
betragen. Auch der Wiederherstellvorgang selbst kann mehrere Stunden
bis Tage dauern. Das Angebot an Sicherungstools in diesem Segment ist recht umfangreich.
Dazu gehören beispielsweise die Werkzeuge von CA (ARCserve, www.
ca.com/de/), EMC (Legato Networker, www.legato.com), HP (Data Protector,
www. hp.com), IBM (Tivoli Storage Manager, www.ibm.com) und Symantec
(Backup Exec, www.symantec.com/de/). Daneben stehen aber auch noch viele
kleinere Anbieter, die ähnliche Produkte offerieren.
Kontinuierliche Sicherung der Daten
Die traditionelle Sicherung hat den Nachteil eines relativ großen Datenverlusts
und einer langen Wiederherstellungszeit. Durch die kontinuierliche Datensicherung
( Continuous Data Protection / CDP) werden beide Werte reduziert. Die
CDP-Sicherungsverfahren arbeiten meist mit sehr kleinen Sicherungsintervallen
bis hinab zu wenigen Minuten. Gesichert wird meist auf Plattensysteme. Diese
können im gleichen Raum oder weit entfernt stehen. Entfernte Sicherungssysteme
werden über IP-Strecken angebunden und erfüllen implizit die Forderung nach
webcode: 1778559 137

4. E-Mail
einer Standortsicherung. CDP-Verfahren bringen aber auch Änderungen hinsichtlich
der Wiederherstellung der Mail-Daten. Die Rücksicherung kann meist
durch die Benutzer selbst vorgenommen werden. Zur Umsetzung von CDP existieren
sowohl eigene Server-Lösungen als auch eine Kombination mit globalen
Speichersystemen und eigenen Routinen zur Datenspiegelung.
DPM: Der Data Protection Manager von Microsoft sichert nach dem CDP-Verfahren. In der Protection
Group werden die zu sichernden Daten beschrieben.
Die Anbieter der traditionellen Sicherungswerkzeuge bieten meist auch Varianten
ihrer Tools mit der Möglichkeit zur kontinuierlichen Datensicherung an. Hinzu
kommen aber auch spezialisierte Anbieter. Microsoft hat mit dem Data Protection
Manager (DPM) eines dieser Werkzeuge im Angebot. Der Data Protection
Manager weist auch die notwendigen Interfaces zur Sicherung der Exchange-Inhalte
auf. Zur Sicherung der Daten auf das Zweitsystem greift Microsoft auf einen
im Betriebssystem verankerten Dienst, den Volume Shadow Service, zurück. Der
potenzielle Datenverlust im Fehlerfall sinkt auf den Zeitpunkt seit der letzten Sicherung
der Daten, dies sind im Minimum 15 Minuten. Die von den überwachten
Exchange-Servern eingesammelten Daten speichert der DPM in einem Datenpool.
Bei größeren Umgebungen legt man diesen auf ein separates Speichersystem.
Partielle Rücksicherung von E-Mail-Inhalten
Bei der traditionellen Bandsicherung sind immer vollständige Datenbestände als
Einheit zurückzusichern. Continuous Data Protection ermöglicht hingegen eine
feinere Abstufung der Rücksicherung sowie auch eine Wiederherstellung der Inhalte
direkt durch die Benutzer.
Doch in der Praxis werden oftmals nur einzelne E-Mails oder Ordner gelöscht.
Ein vollständiger Restore des gesamten Servers mit allen Daten wäre in diesem Fall
138 www.TecChannel.de

E-Mail-Sicherheit
kaum angemessen. Außerdem müssten dann auch alle Änderungen, die seit dem
letzten Sicherungslauf von Nutzern vorgenommen wurden, aufwendig und manuell
mit dem wiederhergestellten E-Mail-Bestand zusammengefügt werden.
Kroll Ontrack: Die PowerControlls erlauben das Management von Postfächern und einzelnen E-Mails.
Zur selektiven Wiederherstellung von einzelnen E-Mails, Postfächern oder sonstigen
Inhalten dienen daher Erweiterungen zur Exchange-Datensicherung. Dazu
zählen unter anderem die PowerControls von Kroll Ontrack (www.ontrack.de/
powercontrols/) oder der Recovery Manager für Exchange von Quest (www.quest.com/recovery-manager-for-exchange/).
Diese Tools erlauben eine sehr feingranulare
Wiederherstellung von Informationen.
1.4.12 Sicherung des Exchange-Mail-Systems
Die bis dato betrachteten Varianten fokussierten sich auf die Sicherung der Daten.
Um auch die Prozesse, also den Exchange-Server-Dienst, gegen den Ausfall abzusichern
bieten sich unterschiedliche Verfahren an:
Imaging und Snapshooting
CDP mit Failover kombiniert
Clustering der Exchange-Server
Duplizierung aller Komponenten
Virtualisierung
webcode: 1778559 139

4. E-Mail
Imaging und Snapshooting
Beim Imaging oder Snapshooting werden Festplatten oder Partitionen eines Rechners
als eine Einheit kopiert. Da hierbei direkt und unter Umgehung des Dateisystems
auf die Festplatten zugegriffen wird, ist es konkurrenzlos schnell. Es eignet
sich vor allem dann, wenn von einem Rechnersystem eine Kopie erzeugt werden
soll beziehungsweise diese im Fehlerfall schnell wiederhergestellt werden muss.
Dieses Vorgehen wird als Bare-Metal-Restore bezeichnet. Der Nachteil ist, dass das
gesicherte Image nur auf einer nahezu identischen Hardware lauffähig ist. Durch
das Imaging lassen sich nur fertig konfi gurierte Server mitsamt Betriebssystem
und Applikationen sinnvoll absichern. Zur Sicherung von Daten ist das Verfahren
nicht geeignet. Die Daten müssen getrennt gesichert und im Fehlerfall eingebunden
werden.
CDP mit Failover kombiniert
Die Werkzeuge dieser Kategorie ermöglichen eine Absicherung von Server-Systemen
über IP-Strecken hinweg. Über spezielle Integratoren erfolgt die Anbindung
an die E-Mail-Systeme wie Exchange. Gesichert werden sowohl die Daten als auch
die Applikationsdienste und alle Konfi gurationseinstellungen der Registry. Durch
den Rückgriff auf eine IP-Verbindung ist der Einsatz auf keine Region begrenzt.
Das Prinzip dieser Verfahren basiert auf zwei identischen Rechnersystemen im
Aktiv/Passiv-Betrieb. Der aktive Rechner spiegelt dabei seine Daten fortwährend
an den passiven Partner. Dessen Rolle ist die Entgegennahme der Daten vom aktiven
Partner und die Überwachung dessen auf Funktionsfähigkeit. Dies passiert
durch einen Heartbeat, der zwischen den Geräten ausgetauscht wird. Durch den
Einsatz von IP als Kommunikationsverbindung können diese Verfahren sowohl
zur Absicherung von Server-Systemen in Rechenzentren als auch für das Desaster
Recovery über Weitverkehrsnetzen (WAN) eingesetzt werden. Im Fehlerfall übernimmt
der bis dato passive Rechner die Arbeit des ausgefallen aktiven Geräts.
Zu den Anbietern in diesem Segment zählen Neverfail Heartbeat von Neverfail,
Doubletake oder etwa WANsync von CA. Wenngleich die prinzipiellen Ausführungen
der Tools vergleichbar sind, gibt es Unterschiede in der Implementierung.
Diese liegen beispielsweise darin, ob die verwendeten Server-Systeme hinsichtlich
der Hardware identisch sein müssen oder nicht. Neverfail beispielsweise verlangt
keine gleiche Hardware. Die Rechner dürfen sich durchaus bezüglich der CPU,
des BIOS, des Mainboards, des Speicherausbaus oder der Netzwerkanbindung
unterscheiden. Damit erlaubt Neverfail auch den Einsatz eines älteren Rechners,
der nicht die gleichen Leistungswerte aufweisen muss wie das primäre System.
Absicherung durch Clustering
Die geringste Ausfallzeit und damit die höchste Verfügbarkeit erreicht man mit
einem Failover-Cluster. Hierbei handelt es sich um vollständig redundante Server-Systeme,
die mit einem gemeinsamen Datenträger ausgestattet sind. Alle Kno-
140 www.TecChannel.de

E-Mail-Sicherheit
tenrechner zusammen bilden eine Ressourcengruppe. Diese tritt nach außen als
ein geclusterter Dienst in Erscheinung. Folglich wird der gesamte Failover-Cluster
als ein einzelner Exchange-Server im Netzwerk dargestellt. Dahinter verbergen
sich aber mehrere Knoten des Clusters.
MS-FO-Cluster: Im Windows Server 2008 hat Microsoft die Verwaltung der Cluster vereinfacht und
stellt dazu einen Cluster Manager bereit.
Im Fehlerfall, also bei Ausfall eines dieser Knoten, übernehmen die anderen den
Dienst. Dies kann, sofern die Applikation mitspielt, völlig unbemerkt vom Benutzer
erfolgen. Damit federn Failover-Cluster Ausfälle einer Server-Hardware, aber
auch des Mail-Servers ab, denn der Benutzer wird bei korrekter Funktionsweise
davon nichts bemerken. Im Windows Server 2008 hat Microsoft diese Cluster-
Funktionen vereinfacht. Das Aufsetzen und Betreiben eines Clusters wird damit
gegenüber der Vorgängerversion bedeutend einfacher. Neu ist auch die Unterstützung
von geografi sch verteilten Clustern.
Duplizierung aller Komponenten
Eine andere Variante des Ausfallschutzes verwendet eine Duplizierung aller Komponenten,
von der Hardware über alle Software-Systeme hinweg. Als Anbieter in
diesem Segment fungiert Stratus (www.stratus.de) mit seinem ftServer. Dabei
handelt es sich genau genommen um zwei identische Server-Systeme im 19-Zoll-
webcode: 1778559 141

4. E-Mail
Formfaktor, die sich gegenseitig überwachen. Durch eine Verlängerung des Rechnerbusses
über ein Zusatzmodul an der Rückseite des Geräts erfolgt die Durchschleusung
der Signale an dem Partnerrechner.
Beim Ausfall einer Komponente übernimmt der noch fehlerfrei operierende Partner
dessen Aufgaben. Das Verfahren arbeitet unabhängig von der Applikation und
kann somit auch E-Mail-Server absichern. Der Vorteil dieses Verfahrens liegt in
der Unabhängigkeit der Überwachung von jeglichen Software-Systemen. Auf dem
Server-System dürfen sich daher auch weitere Dienste befi nden, die parallel mit
abgesichert werden. Nachteilig erweist sich, dass die sich überwachenden Baugruppen
aufgrund technischer Gegebenheiten, wie der Signallaufzeiten, in unmittelbarer
Nachbarschaft stehen müssen. Eine Hochverfügbarkeit über Räume hinweg
oder gar größere Distanzen ist damit nicht machbar.
Neue Sicherungsverfahren durch Virtualisierung
Zu den neuesten Verfahren der Server-Absicherungen zählen Virtualisierungslösungen.
Hierbei läuft ein Server in einer virtuellen Umgebung auf einem physischen
Host-Server. Fällt der Host-Server aus, so wird die virtuelle Instanz kurzerhand
auf einem anderen Host neu gestartet. Die Logik zur Überwachung des
Gesamtsystems mitsamt dem Transfer der virtuellen Maschinen hat beispielsweise
VMware in vMotion (www.vmware.com/de/products/vi/vc/vmotion.html) und
den Distributed Resource Scheduling bereits integriert.
142 www.TecChannel.de
Virtuelle Sicherheit: VMware
Neverfail ist in der Lage, virtuelle
Server, die unter der Verwaltung
des VMware ESX stehen, abzusichern.
Das Verfahren ähnelt dem, das unter „CDP mit Failover kombiniert“ erwähnt
wurde. Die Absicherung der Daten ist aber ausgegliedert und erfolgt autark durch
ein angeschlossenes Speichersubsystem. Nur die Server-Prozesse, also Betriebssystem
mit Applikationen, laufen in virtuellen Maschinen.

E-Mail-Sicherheit
Das Verfahren ähnelt dem, das unter „CDP mit Failover kombiniert“ erwähnt
wurde. Die Absicherung der Daten ist aber ausgegliedert und erfolgt autark durch
ein angeschlossenes Speichersubsystem. Nur die Server-Prozesse, also Betriebssystem
mit Applikationen, laufen in virtuellen Maschinen.
VMware VCB: Durch
Consolidated Backup
sichert VMware die
Inhalte der virtuellen
Maschinen mitsamt
ihren Applikationen.
1.4.13 Fazit
Eine rundum Absicherung des E-Mail-Systems umfasst den Postausgang, den
Posteingang und die Infrastruktur selbst. Neben technischen Maßnahmen, die
auch von externen Anbietern umgesetzt werden können, darf aber der menschliche
Faktor nicht vernachlässigt werden. Nur wer gut ausgebildete Administratoren
und vor allem sensibilisierte E-Mail-Nutzer hat, kann auf Dauer Ausfälle
abfangen und Angriffe abwehren.
Johann Baumeister
Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich
Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und
ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
TecChannel-Links zum Thema Webcode Compact
E-Mail: Mehr Sicherheit durch klare Regeln und DLP 1778559 –
E-Mail-Sicherheit für den Posteingang 1779570 –
Sichere Infrastruktur für E-Mail-Systeme 1779571 –
Automatische Verschlüsselung mit E-Mail Gateways 1762105 –
25 Jahre Computervirus – ein Rückblick 1776614 –
webcode: 1778559 143

4. E-Mail
4.2 E-Mail-Archivierung: Anforderungen
und Lösungen
Beim Thema E-Mail-Archivierung herrscht nach wie vor Verunsicherung, nicht
nur in IT-Abteilungen. Der folgende Ratgeber nennt typische Probleme im Bereich
der digitalen Archivierung und liefert Empfehlungen für die richtige Vorgehensweise
bei der Archivierung von E-Mails.
„Rechtliche Anforderungen wie die AO und GdPDU oder Sarbanes-Oxley (SOX)
verlangen von allen Unternehmen die Archivierung aller E-Mails.“ So oder so
ähnlich klingen Äußerungen von vielen Anbietern elektronischer Mail-Archivierungs-Lösungen.
Sobald eine neue gesetzliche Aufl age erscheint, die relevant ist
für IT-Anwender, werden Sachverhalte refl exartig in die jeweils gewünschte Richtung
interpretiert. Dies mag den Herstellern dienlich sein, doch die Anwender
werden dadurch verunsichert.
Gleichzeitig wird das Lösungsangebot von Mail-Archiv-/Mail-Management-Lösungen
immer vielfältiger und noch undurchsichtiger als im klassischen DMS-
Markt. Tatsache aber ist, dass eine wachsende Anzahl von E-Mails geschäftskritische
Informationen beinhaltet, deren Relevanz von vielen Unternehmen noch
nicht erkannt wurde beziehungsweise der eigentlich notwendige sorgfältige Umgang
mit diesen E-Mails und deren möglicherweise langfristige Aufbewahrung
nicht oder nur teilweise defi niert ist. Die bestehenden E-Mail-Systeme sind nicht
dazu geeignet, Mails revisionssicher und dauerhaft aufzubewahren.
4.2.1 Motivation zur E-Mail-Archivierung
Die älteste Triebfeder zur Mail-Archivierung kommt aus der IT. Im Fokus stehen
dort typischerweise der Systembetrieb und die wachsenden Datenbanken von
Mailsystemen, die im Extremfall – bei großen Benutzerzahlen – nicht mehr im zugesagten
Zeitfenster konsistent gesichert oder umgekehrt nicht zeitnah wiederhergestellt
werden können.
Häufi g kommen dazu lokale Mail-Archiv-Dateien der Anwender. Diese entlasten
zwar die teuren zentralen Mail-Speicher (PC-Speicher ist um Faktoren günstiger
als Server-Speicher), sind dafür aber schwieriger zu sichern, weil im Besitz und auf
der PC-Platte von Individuen mit jeweils eigenen Vorstellung von Ordnung und
Sicherheit. Eine Archivierung zur Entlastung von E-Mail-Datenbanken erleichtert
zwar deren Administration und verschafft Benutzern eine quasi „unlimitierte
Mail-Box“, löst aber nicht das Problem der Strukturierung und echten Bereinigung
der E-Mail-Daten. Das immer größer werdende – kostenbehaftete – Mail-
Archiv muss irgendwann ebenfalls durch Auslagerung oder Löschen wieder bereinigt
werden. Spätestens dann stellt sich wieder die Frage, nach welchen Kriterien
diese Vernichtung erfolgen soll.
144 www.TecChannel.de

4.2.2 Compliance-Anforderungen
E-Mail-Archivierung: Anforderungen und Lösungen
Oft wird unter dem Themenkomplex „ Compliance-Anforderungen“ von Marktteilnehmern
eine vermeintliche Pfl icht propagiert, alle E-Mails zu 100 Prozent
und ungeachtet des Inhalts automatisch archivieren zu müssen. Weder die deutsche
Gesetzgebung wie das Handelsrecht (HGB) oder das Steuerrecht (AO,
GdPDU), noch die amerikanischen Regularien wie beispielsweise Sarbanes Oxley
Act (SOX) schreiben eine solche Maßnahme vor. Im Vordergrund stehen immer
Selbstqualifi zierungsrecht und -pfl icht des Anwenders beziehungsweise des Unternehmens
zu entscheiden, welche Unterlagen für welchen Zeitraum aufbewahrt
werden müssen. Dies betrifft zudem nicht nur E-Mails, sondern alle Dokumente
inklusive Papier und andere Formen relevanter Informationen.
Ein per Mail ausgetauschtes Angebot, welches nicht zu einem Auftrag führt, ist
nicht aufbewahrungspfl ichtig und kann gelöscht werden. Führt diese Mail zu
einem Auftrag, gilt sie als eingehender oder ausgehender Handelsbrief und unterliegt
der Aufbewahrungspfl icht nach Handels- oder Steuerrecht. Nur ein Anwender
kann dies entscheiden, nicht aber eine systemgetriebene Software. Insbesondere
Töchter von US-Firmen oder US-börsennotierte Unternehmen fühlen sich
aufgrund dort vorhandener Prozessrisiken oft gezwungen, alle extern und intern
kommunizierten E-Mails zu archivieren. Der bei fast allen Unternehmen vorhandene
Grund zur Mail-Archivierung basiert auf der Problematik, dass geschäftliche
Vorgänge aufgrund fehlender Unterlagen – gerade in Form von Mail-Kommunikation
– nicht immer nachvollziehbar sind oder erheblichen Mehraufwand verursachen.
So weiß etwa der Mitarbeiter einer Versicherung nicht, dass ein Interessent
bereits mehrfach bei verschiedenen Stellen im Unternehmen per Mail Anfragen zu
der gleichen Versicherungsleistung gestellt hat, weil diese Mails nicht zentral und
strukturiert gespeichert wurden. Eine wichtige per Mail versandte Absprache eines
in Urlaub befi ndlichen Vertriebskollegen ist in der Kundenakte nicht vorhanden.
Manche Kollegen/Innen drucken mit Geschäftspartnern, Kunden und anderen
Partnern ausgetauschte E-Mails als Papier aus und legen diese in den klassischen
Aktenordner. Andere nutzen für die Aufbewahrung eine persönliche Ablagestruktur
auf dem Dateisystem. Wiederum andere schieben die Mails in einen persönlichen
Ordner im Mail- oder Groupware-System. Eine funktional rein auf E-Mail-
Archivierung ausgerichtete Lösung kann solche Anforderungen an eine
strukturierte Verwaltung von Mails nicht erfüllen. Falls nicht bereits vorhanden,
sollte das Unternehmen hier über eine umfassendere Lösung zur Verwaltung von
elektronischen Dokumenten inklusive E-Mails nachdenken.
4.2.3 Unterschiedliche Lösungsansätze
Die Entscheidung zur Archivierung von E-Mails kann auf unterschiedliche Art
und Weise getroffen werden. Der systemgetriebene Ansatz dient einer zentral und
regelbasierten Archivierung von ein- und ausgehenden oder auch intern ausge-
webcode: 1769847 145

4. E-Mail
tauschten E-Mails. Aus Unternehmenssicht besteht einerseits die höchstmögliche
Sicherheit, dass alle über das Regelwerk klassifi zierten E-Mails auch wirklich abgelegt
werden, andererseits ergeben sich keine oder nur stark eingeschränkte Möglichkeiten,
diese Mails in individuelle Ablagestrukturen einzubinden. Das System
entscheidet, welche Mails wie archiviert werden – eine Interaktion des Anwenders
ist nicht notwendig oder gewünscht.
Diese Funktionalität wird von vielen E-Mail-Archivprodukten unterstützt – allerdings
in unterschiedlicher Ausprägung bezüglich Umfang und Möglichkeiten des
Regelwerks, Schnittstellen zum Abgriff von E-Mails, mögliche Speichertechnologien
usw. Sollte dieses Verfahren zum Einsatz kommen, ist der Abschluss einer
Betriebsvereinbarung mit Regelung der privaten E-Mail-Nutzung ein Muss. Empfohlen
wird hier das explizite Verbot privater Mails. Der anwendergesteuerte Ansatz
basiert auf einer fachlich gesteuerten und durch den Mitarbeiter initiierten E-
Mail-Archivierung. Der menschliche Verstand erlaubt die direkte Klassifi zierung
in relevante und irrelevante E-Mails oder einzelner Anhänge. Wichtig aus Anwendersicht
ist die Komfortstufe der dafür vorgesehenen Lösung – eine komfortable
„Speichern unter“-Möglichkeit zur direkten Anlage von Mails oder deren Anhänge
in den Kontext einer elektronischen Projekt-, Kunden-, Vertragsakte oder eine
direkte Integration in eine Fachanwendung zur weiteren Sachbearbeitung sollte
möglich sein. So kann etwa ein eingehender Vertragsentwurf im Fachbereich bereits
im Kundenkontext dokumentiert und gleichzeitig an die Kollegen in der
Rechtsabteilung zur Prüfung weitergeleitet werden.
Diese Form der Mail-Speicherung ist typischerweise nur im Zusammenhang einer
DMS-Lösung sinnvoll möglich – rein auf Mail-Archivierung fokussierte Produkte
unterstützen solche Anwendungsszenarien nicht.
4.2.4 Die richtigen Speicherformate
Jeder Mail-Client stellt den Inhalt einer E-Mail unterschiedlich formatiert dar.
Eine in Lotus Notes erzeugte und in MS Outlook angezeigte Mail (oder umgekehrt)
verliert teilweise Zeilenumbrüche und andere Formatierungen. Es gibt keinen
generellen Formatstandard zur Speicherung oder einen rechtlich begründeten
Zwang zur Konvertierung von E-Mails vor der Archivierung. Die Optionen
von Mail-Archiv-Lösungen reichen von der Speicherung systemspezifi scher Formate
(beispielsweise msg bei MS Exchange) über den Internet-Standard RFC 2822
bis hin zur Konvertierung in TIFF oder PDF/A.
Zu beachten ist gegebenenfalls die in der GdPDU (Grundsätze der Prüfbarkeit digitaler
Unterlagen) dokumentierte Anforderung des BMF (Bundesministerium
für Finanzen) zur Speicherung aller steuerrelevanten Mails (Text und Anhänge)
im Originalformat. Hintergrund ist dort die Möglichkeit einer maschinellen Auswertbarkeit
im Prüfungsfall. Stolpersteine sind auch E-Mails oder Anhänge mit
einer qualifi zierten elektronischen Signatur wie beispielsweise bei einem elektronischen
Rechnungsaustausch. Hier muss zwingend das Originalformat bei der
146 www.TecChannel.de

E-Mail-Archivierung: Anforderungen und Lösungen
Archivierung gewahrt bleiben, da die Gültigkeit der Signatur sonst später nicht
mehr nachvollziehbar ist. Das Mail-Archiv muss sowohl zusätzlich die Speicherung
von Signaturen als auch deren Prüfung unterstützen. Konvertierungsprozesse
sind manchmal sinnvoll (Ziel: einheitliches Format aller Dokumente) aber
auch technisch komplex (vor allem aufgrund unterschiedlichster Quellformate).
Was häufi g falsch verstanden wird: Dokumente, die sich bisher nicht für die TIFFoder
PDF-Konvertierung geeignet haben – Excel-Tabellen beliebiger Breite mit
Worksheets, Links, Makros und Formeln, MS-Project-Dateien mit unterschiedlichen
Sichten auf die Ressourcen eines Projektes, Audio- und Videodateien lassen
sich nicht ohne erheblichen Funktions- und vor allem Informationsverlust in
TIFF oder PDF konvertieren. Daran ändert auch der ISO-Standard nichts.
Grundregel: TIFF, PDF und PDF/A sind geeignet für Dokumente, die alle relevanten
Informationen in dieser Druckansicht offenbaren. Für andere Dokumente
und Unterlagen muss und darf man abwägen, ob nicht andere Formate besser geeignet
sind. Die Empfehlung lautet für die Speicherung von E-Mails, eine Konvertierung
möglichst zu vermeiden.
4.2.5 Unterschiedliche Systemkonzepte und -funktionen
Der Markt bietet aktuell drei unterschiedliche Systemkonzepte zur Mail-Archivierung
an. Mail-Appliance-Produkte bestehen aus einer vorkonfi gurierten Kombination
von Hard- und Software-Komponenten (inklusive Betriebssystem und Datenbank),
um eine schnelle Inbetriebnahme (Plug & Play) zu ermöglichen. Alle
Anwendungskomponenten laufen auf einem Server-System, weitere Komponenten
sind nicht erforderlich. Die Ablage der archivierten E-Mails erfolgt typischerweise
im File-System.
Das Anwendungsprinzip lautet hier: Archivierung aller ein- und ausgehenden E-
Mails außerhalb des eigentlichen Mail-Systems – typischerweise über die SMTP-
Schnittstelle (Simple Message Transfer Protocol) – als (Sicherheits-)Kopie. Innerhalb
des Mail-Systems ausgetauschte Nachrichten bleiben davon erst einmal
unberührt, es sei denn, die Lösung kann auch zum Beispiel über die POP3-Schnittstelle
das Journal eines Mail-Systems auslesen. Die Original-E-Mail wandert erst
einmal weiter in das Mail-System und verbleibt dort bis zur Löschung durch den
Anwender oder Administratoren. Ein späterer Zugriff auf archivierte Mails erfolgt
ausschließlich über eine eigenständige Mail-Archiv-Client-Anwendung.
Alternativ dazu gibt es funktional rein auf Mail-Archivierung ausgerichtete Software-basierte
Lösungen. Die Anwendungsarchitektur ist in der Regel „einfach“
aufgebaut, das heißt, alle Komponenten können auf einem Server (typischer Standard
ist die MS-Windows-Plattform) installiert werden. Oft bestehen Optionen
für den Einsatz unterschiedlicher Speichertechnologien inklusive WORM-Speicher.
Neben der systemgetriebenen Journalarchivierung von Mails als Kopie können
diese alternativ auch vollständig (beziehungsweise nur Anhänge) ausgelagert
und durch einen Link im Mail-System ersetzt werden. Der Zugriff auf die Mail ist
webcode: 1769847 147

4. E-Mail
dann im Mail-Client per Doppelklick möglich. Alternativ gibt es Such- und Anzeigefunktionen
über einen eigenständigen Mail-Archiv-Client, falls die Mail im
Mail-System gelöscht wurde. Nur wenige Lösungen unterstützen mobile Clients,
das heißt, ein Außendienstmitarbeiter kann seine persönlichen archivierten E-
Mails auf dem Notebook mitnehmen und offl ine sichten.
Übersicht der Lösungsansätze
Die dritte Lösungsvariante besteht aus einem Anwendungsmodul zur E-Mail-Archivierung,
welches eine DMS-Plattform zur Verwaltung und Speicherung der
Mail-Objekte benutzt. Je nach Komplexität der zugrunde liegenden Systemarchitektur
können auch mehrere Server (beispielsweise Application-Server, Datenbank-Server,
Volltext-Server, Rendition-Server) erforderlich sein. Es bestehen
große Unterschiede in Bezug auf unterstützte Mail-Systeme (MS Exchange ist
Standard), verfügbare Schnittstellen (MAPI-Integration ist nicht immer Standard),
Umfang des Regelwerks und weitere Faktoren.
Im Gegensatz zu den beiden anderen Varianten wird alternativ oder in Kombination
auch die anwendergesteuerte Ablage von E-Mails in individuelle Dokumentstrukturen
über eine direkte Integration in die Mail-Clients unterstützt. Die
folgende Übersichtstabelle zeigt die typischen Merkmale der dargestellten Lösungsansätze
zur E-Mail-Archivierung im Vergleich:
Ansätze zur E-Mail-Archivierung
Mail-Appliance Mail-Archiv Mail-Archiv mit
DMS-Option
Hardware inkl. aller benötigtenInfrastruktur-Komponenten
ja nein nein
Speicherprinzip für Mails typisch: Kopie oft: Kopie oder Link oft: Kopie oder Link
Formatkonvertierung Mails nein nein manchmal
Verwaltung von „Nicht-Mail- nein typisch: nein, ja
Dokumenten“
manchmal als
Dateispeicher
nutzbar
Offl ine-Nutzung (mobiler
Client)
Anpassbarkeit der Benutzeroberfl
äche
Zusätzlich benötigte Komponenten
Optionen Speichertechnologie
148 www.TecChannel.de
nein manchmal manchmal
typisch: nein typisch: nein hoch
keine Server, Storage,
ggf. Datenbank
nein manchmal ja
Server, Storage,
DMS, Datenbank

E-Mail-Archivierung: Anforderungen und Lösungen
4.2.6 Wichtige Anwendungsfunktionen im Mail-Client
Jeder Anbieter hat eigene Vorstellungen und Philosophien über den Komfort und
die Möglichkeiten, wie ein Anwender eine E-Mail in ein Mail-Archiv ablegen oder
in eine elektronische Akte speichern kann – einen Standard gibt es nicht. Die Lösungen
unterscheiden sich wesentlich in Anwendungsfunktionen. Dazu gehören
beispielsweise. Möglichkeiten wie das Löschen archivierter Mails im Mail-System
oder die Kennzeichnung von bereits archivierten E-Mails im Mail-Client, um gegebenenfalls
eine Doppelarchivierung zu vermeiden.
Bei der Wiederherstellung archivierter E-Mails im Mail-System gibt es ebenfalls
große Unterschiede: Bei manchen Lösungen ist eine Wiederherstellung ausgeschlossen,
andere unterstützen nur einen erneuten Versand der Mail in das Eingangspostfach
des ursprünglichen Empfängers oder Absenders ungeachtet des
Ordners, aus dem die Mail ursprünglich archiviert wurde. Wieder andere stellen
die E-Mail wieder am ursprünglichen Speicherort im Mail-System zur Verfügung.
Aus Anwendersicht wichtiger als das Speicherformat ist die Möglichkeit, dass bei
der Ablage von Mails der logische Zusammenhang zwischen Mail-Body und Anhängen
gewahrt bleiben kann (Beispiel: Rechnung und Aufwandübersicht als getrennte
Anhänge in einer Mail). Nicht alle Mail-Archiv-Lösungen beherrschen
„von Geburt an“ eine solche Funktionalität.
Neben der Speicherung der nativen Mail- oder Dokument-Formate ist manchmal
auch die Option einer Konvertierung (Drucken) in die Dateiformate TIFF oder
PDF(/A) als Langzeitformat oder als parallele Formatversion wichtig. Dies kann
bei einem fehlenden Multiformat-Viewer eine schnelle Anzeige von Mails beim
Blättern in einer elektronischen Akte oder für bestimmte Anwendergruppen ohne
Zugriffsberechtigung auf das Original unterstützen.
4.2.7 Regeln zum Umgang mit E-Mails
E-Mail-Kommunikation ist potenziell schnell und einfach zu handhaben, birgt
aber gerade deswegen auch Gefahren von Manipulation und Sicherheitsrisiken.
Sensible Unternehmensdaten können - absichtlich oder versehentlich - verschickt
werden, geschäftskritische Mails können – absichtlich oder versehentlich – gelöscht
oder nicht wieder auffi ndbar abgelegt werden. Die Dokumente liegen ja nur
einen Klick weit weg. Eine wesentliche Ursache dafür ist, dass bei vielen Firmen
der Umgang und die Nutzung von E-Mails nicht oder nur unzureichend geregelt
ist. Solange keine klaren schriftlichen Vereinbarungen darüber existieren, was in
der E-Mail-Kommunikation erwünscht, erlaubt und verboten ist, wird jeder Anwender
subjektive Auslegungen und Vermutungen dazu anstellen.
Mitarbeitern sollte auch die Wichtigkeit der Archivierung von E-Mails als Dokumente
in einer strukturierten Ablage deutlich gemacht werden. Vor dem Hintergrund,
dass Kommunikation mehr und mehr per E-Mail geführt wird, kann dies
beispielsweise zur einzigen Dokumentation für Vertragsabschlüsse oder anderer
webcode: 1769847 149

4. E-Mail
Absprachen wie im Projektgeschäft werden. Für das Löschen von Mails muss es
genauso Vorschriften geben wie für die Speicherung.
Typische Themen einer Mail-Policy
Kapitel Inhalte
Zweckbestimmung • Ziel ist Unterstützung der Mitarbeiter durch Nutzung von Informationsund
Kommunikationsdiensten sowie Gewährleistung des Datenschutzes
Grundsätze der
Nutzung
Leistungs- und
Verhaltenskontrolle
Protokollierung von
Daten
Einsatz SicherheitssoftwareZugriffsberechtigungen
Qualifi zierung von
Mitarbeitern
150 www.TecChannel.de
• Primäre Nutzung für geschäftliche Zwecke
• Grundsätzen der Nutzung (individuelle Ausprägung)
• Corporate Identity
• Verbot verleumderische, beleidigende, rassistische Inhalte
• Verbot Versendung sensibler, vertraulicher oder gesetzlich geschützter
Inhalte, Weiterleitung an unberechtigte Leser
• Regeln zu Versand von Informationen (erlaubt/verboten)
• Erlaubte und verbotene Formate
• Regelung Abwesendheit und Vertretung
• Einsatz Signatur und Verschlüsselung bei kritischen Mails
• Ablageregeln für E-Mails mit fachlichem/internen Bezug
• Behandlung eingehende verschlüsselte E-Mails
• Limitierung Speicherraum für Mails
• Keine Nutzung von Daten zur Kontrolle von Mitarbeitern, Verwendung
nur durch zugriffsberechtigte Personen
• Defi nition von Protokolldaten und Löschfristen (beispielsweise drei
Monate)
• Auswertung anonymisierter Daten für Statistiken, Kostenverrechnung
• Sichtung von Protokolldaten durch Arbeitgeber unter Hinzuziehung von
Betriebsrat bei Missbrauchsverdacht
• Darstellung der Verwendung von Virenscanner, Spam-Filter
• Zugriff im Vertretungs-/Krankheitsfalle
• Aufstellung zugriffsberechtigter Personen
• Schulung Systemadministratoren und Mitarbeiter in der Nutzung
Rechte Betriebsrat • Kontrollmöglichkeit der Betriebsvereinbarung wie beispielsweise Sichtung
der Räumlichkeiten, Konfi gurationen, Systemprotokolle usw.
Sanktionen/Verstöße • Abgestuftes Verfahren bei Missbrauchsverdacht
Fordert das Unternehmen eine solche Sorgfalt von den Mitarbeitern ein, muss es
im Gegenzug auch die entsprechende technische Infrastruktur zum Beispiel in
Form eines DMS bereitstellen, das neben E-Mails auch andere Dokumente wie
Briefe, Faxe, Memos, etc. verwalten kann. Es empfi ehlt sich, in einer E-Mail-Policy

E-Mail-Archivierung: Anforderungen und Lösungen
den gesamten Kommunikationsprozess zu defi nieren und den Angestellten klar zu
machen, dass ein Verstoß gegen die Regeln geahndet wird. Die Tabelle auf der vorherigen
Seite zeigt einige typischen Themenbereiche einer Mail-Policy.
4.2.8 Fazit
Eine reine Mail-Archivierung löst nicht die Compliance-Probleme oder Anforderungen
zu Strukturierung elektronischer Dokumente eines Unternehmens. Die
am Markt zahlreich angebotenen E-Mail-Archivierungslösungen weisen gravierende
Unterschiede bezüglich Funktionalität, Architektur, Zukunftsfähigkeit und
Integrationsfähigkeit in führende Anwendungssysteme auf. Dies gilt insbesondere
für die Anwender-getriebenen Funktionen und Komfort für die Benutzer. Bei der
Auswahl des geeigneten Produktes sollten zunächst alle Anforderungen des Unternehmens
aus unterschiedlichen Bereichen bzgl. Ablage und Verwaltung von E-
Mails analysiert und berücksichtigt werden. Der System-getriebene Ansatz verlangt
immer nach einer klaren Regelung über den Umgang mit privaten E-Mails.
Jobst Eckardt
Jobst Eckardt hat einen Abschluss als Dipl. Ing. Technische Informatik und durch seine
Tätigkeit bei international führenden Anbietern mehr als 17 Jahre Erfahrung bei der
Konzeption und Einführung von ECM-Lösungen. Zuvor war er bei einem großen deutschen
Anbieter in der Entwicklung und Beratung für Lösungen im Bankenumfeld tätig.
Seit 2001 ist er Senior-Berater bei der Zöller & Partner GmbH
TecChannel-Links zum Thema Webcode Compact
E-Mail-Archivierung: Anforderungen und Lösungen 1769847 S.144
IT Security Management mit ITIL 1751293 –
Datenschutzrecht: Neue Mindestanforderungen an Unternehmen 235113 –
Das ungeliebte Kind E-Mail-Archivierung 576672 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1769847 151

4. E-Mail
4.3 Compliance: Was es bei der Einführung
von Regelwerken zu beachten gilt
Die Frage der richtigen Umsetzung von Compliance-Richtlinien stellt sich großen
wie mittelständischen Unternehmen gleichermaßen. Bei einer entsprechenden
Richtlinieneinführung gilt es einige Aspekte zu beachten.
Die vergangenen Skandale deutscher Großunternehmen haben die Debatte um
die zuverlässige Einhaltung vorgeschriebener Compliance-Richtlinien wieder voll
in Gang gebracht. Nachdem bereits in den USA Betrugsskandale zu scharfen Reglementierungen
– Sarbanes-Oxley Act und Basel II – geführt haben, wird nun
auch in Europa wieder verstärkt über die Einhaltung rechtlicher Vorschriften und
die Selbstverpfl ichtung der Unternehmen diskutiert. Im Unternehmensbereich
bedeutet Compliance die Sicherstellung und Überwachung der Einhaltung von
gesetzlichen Vorgaben ebenso wie die Selbstverpfl ichtung der Unternehmen, eigene
Regeln einzuhalten. Diese sind in vielen Fällen an die ethischen Leitfäden des
Unternehmens gebunden und können auch von Anteilseignern oder dem Aufsichtsrat
der Firma aufgestellt werden. Diese Regeln sollen den Missbrauch von
vertraulichen Daten und daraus folgenden möglichen Schadensersatzklagen ebenso
wie ein Imageschaden des Unternehmens abwehren.
Die meisten Großunternehmen haben heute eigene Abteilungen und Compliance-Manager,
die die Einhaltung aller Vorgaben überwachen. So viel zu den theoretischen
Grundlagen der Compliance. Dass Konzerne solche Selbstverpfl ichtungen
zwar eingegangen sind, sie aber zum Teil nicht eingehalten haben, zeigten
vor allem die Bilanzskandale der amerikanischen Großunternehmen Enron und
Worldcom vor einigen Jahren.
Hier reagierte die US-Justiz 2002 mit dem Sarbanes-Oxley Act, der die verlässliche
und wahrheitsgetreue Berichterstattung der Unternehmen garantieren sollte und
die Strafvorschriften für Vergehen wesentlich verschärfte. CEOs und CFOs haften
seit Inkrafttreten persönlich für fehlerhafte oder geschönte Bilanzen. Ziel dieser
Verordnungen ist es, das Vertrauen der Anleger und der Öffentlichkeit in die
Richtigkeit der veröffentlichten Finanzdaten zu stärken.
4.3.1 Anforderungen
Auch in Europa wurden Finanzunternehmen in den letzten Jahren mit juristischen
Mitteln verstärkt unter Druck gesetzt. Das Mammut-Regelwerk Basel II gilt seit
2007 für alle Kreditinstitute und Finanzdienstleister. Basel II setzt neben einer
Mindestanforderung an Eigenkapital auf den bankenaufsichtlichen Überwachungsprozess
und eine Erweiterung der Offenlegung. Bei der Erfassung von Risiken
muss dabei auch das operative Risiko der Banken durch interne Verfahren,
Mitarbeiter, Systeme oder bankinterne Ereignisse einbezogen werden.
152 www.TecChannel.de

Compliance: Was es bei der Einführung von Regelwerken zu beachten gilt
Weltweit gibt es immerhin mehr als 10.000 Compliance-Vorschriften, von denen
viele von weltweit operierenden Unternehmen beachtet werden müssen. Trotz
der verschärften Bestimmungen haben erneute Datenskandale und Schmiergeldaffären
bei renommierten deutschen Unternehmen das Image und die Glaubwürdigkeit
dieser stark geschädigt. Aus diesem Grund ist es nicht verwunderlich,
dass damit einhergehend auch die Diskussion um zuverlässige Compliance-Lösungen
neu entfl ammt ist.
Die Frage der richtigen Umsetzung stellt sich großen wie mittelständischen Unternehmen
gleichermaßen. Während Großunternehmen über ganze Compliance-
Abteilungen verfügen, ist bei Mittelständlern oft der Geschäftsführer selbst für die
Einhaltung bestimmter Verhaltenskodizes verantwortlich. Doch gleich, wie viele
Mitarbeiter und Abteilungen das Unternehmen umfasst – Prozesse und Informationen
müssen für alle Beteiligten transparent sein.
Ebenso muss eine zuverlässige Archivierung der Daten garantiert werden und dies
alles unter Berücksichtigung der aktuellsten, höchstmöglichen Sicherheitsstandards.
Um diese Vorgaben zu erfüllen, gilt es einige grundsätzliche Aspekte zu beachten:
Zunächst muss in allen Bereichen des Unternehmens eine gezielte Analyse
der möglichen Risiken durchgeführt werden. Durch ein solches systematisches Risikomanagement
können eventuelle Gefahrenpotenziale von vorneherein entdeckt
und gegebenenfalls eliminiert werden.
4.3.2 Verantwortlichkeiten
Es ist darauf zu achten, dass interne Richtlinien in einer Weise formuliert und vorgegeben
werden, die es realistisch möglich machen, diese auch zu befolgen. Ein
weiterer wichtiger Aspekt bei der Initiierung eines Compliance-Programms ist die
Frage der Verantwortlichkeiten. Um spätere Missverständnisse und unnötige Diskussionen
zu vermeiden, sollte daher zu Beginn entschieden werden, welche Bereiche
genau welchem Mitarbeiter unterstehen.
Dazu gehört es natürlich auch, den Mitarbeitern einen geeigneten Ansprechpartner
im Falle einer Beschwerde zur Verfügung zu stellen. Beim sogenannten „whistleblowing“
nutzen viele große Unternehmen mittlerweile externe Dienstleister,
die über spezielle Internetseiten oder Hotlines, Informationen und Hinweise der
Mitarbeiter über Verstöße sammeln und beurteilen. Die Seiten informieren die
Mitarbeiter ebenfalls darüber, in welchen Fällen eine offi zielle Beschwerde angemessen
ist, wie sie sich verhalten sollen und welche Risiken damit einhergehen
können. Wobei man den englischen Rechtsbegriff des „whistleblowing“ nicht mit
dem umgangssprachlich abwertenden „jemanden verpfeifen“ übersetzen darf.
Hier geht es vielmehr um eine Person, die aus Gewissensgründen und meist selbstlos
Informationen weitergibt. Oft setzt sie damit die eigene soziale und berufl iche
Stellung aufs Spiel. In Großbritannien und den USA gibt es bereits Gesetzgebungen
die „Whistleblower“ schützen.
webcode: 1768489 153

4. E-Mail
Eine weitere organisatorische Maßnahme ist die Errichtung von „Chinese Walls“.
Sie zielt auf die räumliche Trennung von kritischen Geschäftsbereichen und deren
Mitarbeitern von anderen Abteilungen ab, sodass sensible Daten nicht Bestandteil
des allgemeinen Büroklatsches werden.
4.3.3 Lückenlose Dokumentation
Neben dem Erkennen organisatorischer Risiken ist die oberste und wichtigste
Vorgabe, um Compliance-Verstöße zu verhindern, eine lückenlose Dokumentation
aller Prozesse und Vorgänge. Sie ist nicht nur bei der Aufdeckung von Unregelmäßigkeiten
extrem wichtig – die aktuellen Bestimmungen fordern Transparenz
in allen Bereichen. Vor allem die IT-Abteilungen von Banken und Finanzdienstleistern
stehen hier vor einer besonderen Herausforderung. Für sie bedeutet die
Flut von Vorschriften eine zunehmende restriktive Belastung.
IT-Verantwortliche in deutschen Unternehmen unterliegen einem wachsenden
Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen
Kodizes. Die im Juni 2008 in Kraft getretene EuroSOX-Regelung, die sich an die
US-amerikanischen Gesetze anlehnt, wird diese Entwicklung noch weiter verschärfen.
Geregelt wird durch das Gesetz der Europäischen Kommission vor allem
die Verwaltung von Dokumenten, insbesondere interne und externe Verträge
ebenso wie eine revisionssichere Archivierung. IT-gestützte Compliance-Systeme
sollten im Idealfall im Hintergrund agieren, also automatisierte Prozesse darstellen,
die von den Mitarbeitern nicht zusätzlich beachtet oder bearbeitet werden
müssen. Im Falle der Archivierung hieße dies beispielsweise, dass Protokolle oder
Dokumente automatisch vom System archiviert und entsprechend abgelegt werden,
ohne eines weiteren Handlungsschritts der Bearbeiter zu bedürfen.
Bei der Implementierung heißt es jedoch, Vorsicht walten lassen. Es sollte seitens
der IT-Abteilung darauf geachtet werden, dass nicht wahllos archiviert wird. Speicherplatz
ist zwar ein billiges Gut, doch das Prinzip „store everything, manage
nothing“ kann im Bedarfsfall die Suche nach den richtigen Dokumenten fast unmöglich
machen. Müssen Dokumente gar im Zuge eines Gerichtsverfahrens vorgelegt
werden, können die Konsequenzen gravierend sein. Eine klare Strukturierung
und Priorisierung der Daten sollte daher die Basis jedes IT-gestützten
Compliance-Programms sein.
4.3.4 Fazit
Für viele Finanzdienstleister stehen die Compliance-Vorgaben in direktem Widerspruch
zum wirtschaftlichen Erfolg und der Notwendigkeit, offensiv neue Geschäftsbereiche
zu erschließen. Hinzu kommt, dass viele der Kernbankensysteme
im Vergleich zur heutigen Entwicklung der IT veraltet und schwerfällig sind. Eine
komplett neue IT-gestützte Struktur wäre für einen Großteil der Finanzdienstlei-
154 www.TecChannel.de

Compliance: Was es bei der Einführung von Regelwerken zu beachten gilt
ster enorm kostenaufwendig und ein zu hohes Risiko. So wird in den meisten Fällen
die notwendige Compliance-Struktur um das bestehende System herumgebaut.
Oft bringt dies zusätzliche technische Probleme mit sich, da eine reibungslose
Zusammenführung unterschiedlicher IT-Strukturen eine enorme technische Herausforderung
darstellt.
Eine wirkliche Lösung für dieses heikle Dilemma scheint es nur bedingt zu geben.
Sie ist eine Frage der Einstellung. Immer mehr Unternehmen beginnen die Compliance-Frage
und den IT-Rattenschwanz, den das Ganze nach sich zieht, als Chance
zur Umstrukturierung zu betrachten und in diesem Zusammenhang veraltete
Systeme abzubauen und das Potenzial neuer Synergien und Geschäftsbereiche zu
erforschen. IT-gestützte Prozesse haben in den letzten Jahren bereits zu einer massiven
Steigerung der Effi zienz geführt. Warum also diese Möglichkeiten nicht im
Zuge eines neu implementierten Compliance-Programms nutzen?
Eine Herausforderung ist dies ohne Zweifel, und sie erfordert Entscheider mit Visionen
und Mut zum Risiko. Doch ob Vorstand oder Geschäftsführung diesen
Schritt wagt oder nicht, die Compliance-Thematik wird in jedem Falle nicht ignoriert
werden können. Sinnvoll ist es hier, den Medien-Hype um Regelberge und
bestehende Unternehmensskandale zu relativieren und eine individuelle Lösung
zu fi nden, die sich an die Struktur und Mitarbeiter des eigenen Unternehmens anpassen
kann.
Dr. Helfried Pirker
Dr. Helfried Pirker ist Business Unit Manager beim Beratungshaus Benmark. Der
promovierte Informatiker betreut seit mehr als acht Jahren Projekte zur Implementierung
von Enterprise Content Management Systemen, vor allem im Umfeld von Banken,
Medien- und Telekommunikationsunternehmen.
TecChannel-Links zum Thema Webcode Compact
Compliance: Die Einführung von Regelwerken 1768489 S.152
Kostenlose Ratgeber: Digitale Langzeitarchivierung 1760031 –
Datenschutzrecht: Neue Mindestanforderungen an Unternehmen 235113 –
IT Security Management mit ITIL 1751293 –
Das ungeliebte Kind E-Mail-Archivierung 576672 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1768489 155

4. E-Mail
4.4 BlackBerry Unite: Kostenloser
BlackBerry-Server im Test
Seit einiger Zeit versucht RIM, mit seinen BlackBerry-Diensten und -Endgeräten
auch kleinere Firmen und Privatkunden zu erreichen. Dabei soll auch BlackBerry
Unite helfen. Diese abgespeckte Version des BlackBerry Enterprise Servers ( BES)
stellt RIM kostenlos bereit. Damit können bis zu fünf BlackBerrys verwaltet, mit
Push-Mail versorgt und Termine synchronisiert werden. Wir haben die neue Version
des BlackBerry Enterprise Servers (BES) von RIM einem Test unterzogen.
BlackBerry Unite: Abgespeckter BlackBerry Enterprise Server für kleine Unternehmen.
Unite passt gut in dieses neue Konzept von RIM. Die Software ist sowohl in der
Benutzerzahl als auch in den Features begrenzt, BES-User werden also wahrscheinlich
nicht zurückwechseln. Interessant ist es dagegen für kleinere Firmen,
die zwar einen BlackBerry einsetzen möchten, bei denen die Zusatzkosten für den
BES aber nicht die erhofften Vorteile aufwiegen.
Für unseren Test verwendeten wir Unite (http://na.blackberry.com/eng/services/
blackberryunite/) in einer virtuellen Maschine, als Betriebssystem kam ein frisch
installiertes Windows XP zum Einsatz. Mit dem Server verbunden war der neue
BlackBerry Bold (Webcode 1770365). Verifi ziert haben wir die Funktionen mit
einem BlackBerry Pearl 8110 (Webcode 1748088).
4.4.1 Was kann BlackBerry Unite?
Wichtigstes Feature von Unite ist natürlich die Push-Mail-Fähigkeit. Unite-Admins
können pro Benutzerkonto bis zu fünf IMAP- oder POP3-Konten einrichten.
Direkte Verbindungen zu Exchange oder Notes-Umgebungen sind dabei allerdings
tabu, das bleibt dem „großen“ BlackBerry Enterprise Server vorbehalten.
Zusätzlich gibt es noch freigegebene Kontakte und Termine. Wird ein Benutzer
oder ein Termin geändert oder aktualisiert, erhalten alle angeschlossenen Black-
Berrys das Update zu diesem Eintrag. Weiterhin lässt sich ein zentrales Verzeichnis
festlegen. Dateien, die in diesem Verzeichnis liegen, werden anschließend auf
156 www.TecChannel.de

BlackBerry Unite: Kostenloser BlackBerry-Server im Test
die BlackBerrys übertragen. Allerdings gilt das nur, wenn das Endgerät über
WLAN verfügt und sich im selben Netzwerk wie der Unite-Server befi ndet oder
per USB an den Server angeschlossen wird. Eine weitere wichtige Funktion von
Unite ist die Verwaltung von Endgeräten. Hier lassen sich Funktionen einschränken
oder deaktivieren, außerdem kann der Administrator Geräte remote über die
Luftschnittstelle löschen und Passwörter zurücksetzen oder neu vergeben.
Systemvoraussetzungen
Bei den Systemvoraussetzungen zeigt sich Unite deutlich unfl exibler als der BES.
Das System benötigt Vista oder Windows XP, arbeitet aber nur unter 32-Bit-Betriebssystemen.
Zusätzlich empfi ehlt RIM einen 800-MHz-Prozessor, 512 MByte
RAM sowie mindestens zwei GByte Speicherplatz auf der Festplatte. Hier zeigt
sich, dass Unite derzeit eigentlich nicht für den 24/7-Businessbetrieb ausgelegt ist.
Warum RIM keinen Linux-Client zur Verfügung stellt ist nicht bekannt.
Die notwendige Software sowie Readme-Dateien fi nden Sie hier bei RIM (http://
na.blackberry.com/eng/services/blackberryunite/). Die Installation läuft erfreulich
problemlos, ein Doppelklick auf die Exe startet den unter Windows bekannten
Installationsassistenten, der durch den kompletten Vorgang führt. Anschließend
ist Unite einsatzbereit. Sollten nach der Installation neue Updates verfügbar sein,
lädt sich Unite diese automatisch herunter und pfl egt sie ein. Als Endgerät benötigen
Sie einen BlackBerry, auf dem mindestens die Firmware 4.0 oder höher installiert
ist. Zudem muss ihre Mobilfunkkarte über eine BlackBerry-Option verfügen.
4.4.2 Push-Mail einrichten und nutzen
RIM hat sich beim Webinterface alle Mühe gegeben, um die Konfi guration so einfach
wie möglich zu halten. Das ist gut geglückt, die einzelnen Punkte sind gut erklärt.
Bevor E-Mails auf Endgeräte gepusht werden, muss der BlackBerry mit
einem Nutzer verbunden werden.
Initialisierung: Der BlackBerry Bold wird an Unite
angemeldet.
Dazu wird das Smartphone per USB am Unite-Server angeschlossen. Ist das Endgerät
verbunden, können Sie einen neuen User anlegen oder den BlackBerry einem
bestehenden Benutzer zuweisen.
webcode: 1772351 157

4. E-Mail
Sobald das geschehen ist, kann man das Konto des Users anpassen. In diesem
Kontrollzentrum können Sie bis zu fünf E-Mail-Konten eintragen, von denen
Unite die Post abholt und auf den BlackBerry weiterleitet. Wie bereits beschrieben
werden hier nur IMAP und POP3 unterstützt. Über diesen Umweg lassen sich
zwar auch die E-Mails von Exchange- oder Domino-Systemen abfragen, allerdings
gehen so natürlich diverse Funktionen verloren, beispielsweise eine Gelesen-Markierung.
Auch Kontakte oder Termine werden nicht übertragen.
4.4.3 Termine, Kontakte und Daten synchronisieren
Neben den Push-Mail-Diensten kann Unite auch gemeinsame Termine und Kontakte
abgleichen. Allerdings merkt man ganz klar, dass hier die Anbindung an eine
Groupware fehlt. Für den Abgleich sind nur Termine und Kontakte vorgesehen,
die über das Webinterface von Unite eingegeben werden. Diese synchronisiert
Unite dann automatisch mit allen angeschlossenen BlackBerrys. Zusätzlich lassen
sich auch Dateien automatisch auf die Endgeräte übertragen. Dazu wird für jedes
Gerät ein Ordner auf dem Unite-Server eingetragen. Sobald Sie nun Dokumente,
Bilder oder andere Dateien in diesem Ordner ablegen, kopiert sie Unite automatisch
auf die Geräte. Das erfolgt dann allerdings nicht über das UMTS-, GPRS oder
EDGE-Netzwerk, sondern nur, wenn der BlackBerry per USB am Unite-Server
angeschlossen ist oder sich via WLAN im gleichen Netzwerk befi ndet.
4.4.4 Geräteverwaltung
Einer der wichtigsten Punkte beim Einsatz von Smartphones ist die Verwaltbarkeit.
Das bedeutet, dass sich Firmen-Policies durchsetzen lassen müssen, zum anderen
muss es die Möglichkeit einer Remote-Löschung geben, falls das Handy gestohlen
wird oder verloren geht. Beide Fälle kann Unite rudimentär abdecken.
Geregelt werden diese Details über den Punkt „Geräteverwaltung“.
Ersthelfer: Verlorene Geräte lassen sich aus der Ferne deaktiveren und damit löschen.
158 www.TecChannel.de

BlackBerry Unite: Kostenloser BlackBerry-Server im Test
Der Punkt „Verwalten von Diensten“ dient zur Konfi guration einfacher Policies.
Diese müssen für jedes Benutzerkonto separat angelegt werden. Hier richten Sie
beispielsweise ein, ob der Browser die Seiten über den Unite-Server abruft oder
dafür den BlackBerry Internet Service der jeweiligen Provider. Zusätzlich können
Sie weitere Einschränkungen in den Funktionen vornehmen. Beispielsweise lässt
sich der mobile Internetzugang komplett verbieten oder per Black- und Whitelist
einschränken. Auch die Übertragung von Dateien oder Anhängen ist blockierbar.
Ebenfalls wichtig ist der Punkt „Mobile erste Hilfe“. Hier legen Sie beispielsweise
die Kennwörter der BlackBerrys fest oder tauschen sie aus. Zudem kann man hier
die Informationen des Besitzers eintragen. Wird das Smartphone gestohlen oder
geht es verloren, ist der Punkt „Deaktivieren Sie Ihr BlackBerry-Gerät“ wichtig.
Dieser Befehl löscht Geräte über das Providernetz.
4.4.5 Fazit: Ausreichend für Kleinstumgebungen
Unite ist defi nitiv kein Ersatz für einen „großen“ BlackBerry Enterprise Sever.
Aber der Dienst ist eine gute Ergänzung für kleinere Firmen, die den BlackBerry
Internet Service der Mobilfunkprovider nutzen. Unite schafft hier einen deutlichen
Mehrwert, da sich Geräteeinstellungen und E-Mail-Informationen zentral
innerhalb der Firma verwalten lassen. Dazu kommen Sicherheitsfunktionen wie
Remote Wipe sowie die Möglichkeit, einzelne Gerätefunktionen anzupassen beziehungsweise
zu deaktivieren.
Unite hat aber auch einen großen Nachteil: Ohne ein ständig laufendes Windows
XP oder Vista lässt sich der Dienst nicht nutzen. Linux wird nicht unterstützt, ob
und wann sich das ändern wird, steht nicht fest. In der ersten Ausbaustufe versteht
sich Unite nur mit echten BlackBerrys. Geräte mit BlackBerry-Connect-Client lassen
sich derzeit noch nicht anschließen. Auf Nachfrage erklärt RIM, dass dieses
Feature eventuell für künftige Updates der Software geplant ist, genaue Termine
gibt es aber nicht. Alles in allem lässt sich sagen: Für eine kostenlose Software ist
Unite bereits sehr ausgereift und auch für BlackBerry-Neulinge leicht zu administrieren.
Durch die Begrenzung der User und der Features gräbt sich RIM auch
nicht das Wasser ab, sondern schafft eher mehr Aufmerksamkeit für den BES. Wer
mit dem Gedanken spielt, einzelne Nutzer in der Firma mit BlackBerrys auszustatten,
sollte sich Unite in jedem Fall ansehen.
Moritz Jäger
Moritz Jäger arbeitet als Redakteur im Software-Ressort bei TecChannel. Neben
Themen rund um Open-Source, Virtualisierung und Sicherheit liegt sein Fokus auf
Anwendungen, Lösungen und Tools für die mobile Arbeitswelt. Egal ob Push-Mail,
Übertragungstechnologien, USB-Anwendungen oder Endgeräte und deren Absicherung
- Jäger verlässt sich nicht auf die Herstellerangaben, sondern stellt die Testobjekte im
praktischen Einsatz auf die Probe.
webcode: 1772351 159

4. E-Mail
4.5 SCMDM: Microsofts Alternative
zu BlackBerry
Microsoft schließt mit dem SCMDM (S ystems Center Mobile Device Manager)
die Lücke zwischen seiner Server-Software und mobilen Endgeräten. Mit dem
Verwaltungs-Tool SCMDM will der Konzern der Konkurrenz von RIM und Nokia
das Wasser abgraben. TecChannel wirft einen ersten Blick auf den SCMDM..
Mobile Geräte werden immer wichtiger und enthalten immer mehr sensible Daten.
Dementsprechend sollten sie fest in die Sicherheitsinfrastruktur einer Firma
eingebunden werden. Lösungen gibt es dafür bereits zahlreiche auf dem Markt,
Firmen wie RIM haben unter anderem darauf einen ganzen Weltmarkt errichtet.
Mit dem Wortungetüm Systems Center Mobile Device Manager 2008 will nun
auch Microsoft selbst in die Verwaltung von mobilen Geräten einsteigen.
Das Besondere daran: Der SCMDM integriert mobile Geräte wie PDAs und Smartphones
direkt in das Active Directory. Administratoren müssen also nicht umlernen,
sondern können wie gewohnt ihre Nutzer verwalten.
4.5.1 Was kann der SCMDM?
Die Features des Systems Center Mobile Device Manager können sich durchaus
sehen lassen: Für Handys und PDAs gibt es kein eigenes Schema, sie sehen aus und
verhalten sich wie normale Workstations oder Server. Der Administrator kann
Gruppenrichtlinien erlassen, Features wie die Kamera deaktiveren oder Einstellungen
und Updates verteilen.
4.5.2 Der Ablauf
Bilder sind deutlich aussagekräftiger als der reine Text, daher begleiten wir die
Funktionen des SCMDM mit einer Reihe an Screenshots und Fotos. Wie bereits
erwähnt klinkt sich der SCMDM nach der Installation direkt in das Active Directory
der Firma ein.
Auswahl: Nutzer können Sie neu anlegen oder direkt aus dem Active Directory importieren.
160 www.TecChannel.de

SCMDM: Microsofts Alternative zu BlackBerry
Für den korrekten Ablauf muss das Endgerät „richtig“ im Internet sein. Da der
SCMDM eine VPN-Verbindung zwischen Endgerät und Server aufbaut, müssen
außerdem diverse Ports freigegeben sein; laut Microsoft benötigt die Software die
Ports 500, 4500 und 4901.
4.5.3 Account vorbereiten und Gerät einbinden
Bevor sich ein neues Gerät in die Umgebungsstruktur eingliedern lässt, muss einiges
an Vorbereitung erledigt werden. Notwendige Informationen sind beispielsweise
die E-Mail-Adresse, das Passwort für den Enrollment-Prozess oder die Nutzerdaten
ganz allgemein. Dabei hilft der sogenannte „ Pre-Enrollment Wizard“. Der
Assistent führt in fünf Schritten durch die Vorbereitung.
Gut vorbereitet: Der Pre-Enrollment-Wizard führt durch die Vorbereitungen und legt Grunddaten fest.
Hat der Assistent seine Arbeit erledigt, wechselt die Arbeit vom Server auf das Gerät
über. In Windows Mobile 6.1 gibt es dafür in den Einstellungen einen neuen
Punkt namens „Domain Enroll“. Klickt der Nutzer auf den Button, startet der
Prozess auf dem Endgerät. Dazu ist zunächst die Eingabe der E-Mail-Adresse notwendig.
Das Smartphone verbindet sich im Anschluss mit dem jeweiligen Server
und sucht die Enrollment-Einstellungen auf dem Server. Werden diese gefunden,
fragt das Smartphone das zuvor vergebene Enrollment-Passwort ab. Ist dies richtig
eingegeben, wird das Gerät in die Domäne aufgenommen und eingebunden.
webcode: 1758436 161

4. E-Mail
War das Einbinden erfolgreich, verlangt Windows Mobile einen Neustart. Anschließend
greifen bereits die ersten Maßnahmen. So baut das Device etwa einen
VPN-Tunnel zum Server auf und signalisiert im Home-Bildschirm mit einem
Logo, dass die Verbindung aktiv ist.
4.5.4 Policies ausrollen
162 www.TecChannel.de
Erfolg: Nach dem Neustart ist die
VPN-Verbindung aktiv, wie das neue
Logo in der obersten Leiste neben der
Signalstärke zeigt.
Eine der ersten Sicherheitsmaßnahmen ist, das Gerät mit einem Passwort zu
schützen. Ist diese Richtlinie aktiv, wird der Benutzer nach dem ersten Neustart
gezwungen, ein neues Passwort zu vergeben.
Zugangskontrolle: Passwörter sorgen
für mehr Sicherheit.
Ansonsten liefert Microsoft bereits eine Reihe von Policies mit. Mit dabei ist beispielsweise
die Möglichkeit, die integrierte Kamera zu deaktivieren – auch zeitgesteuert.
Nahezu jede Funktion kann der Administrator erlauben oder deaktivieren,
die Smartphones lassen sich also in gewisser Weise „abhärten“.

SCMDM: Microsofts Alternative zu BlackBerry
Daneben kann der Administrator aber auch wie bei Desktop-Systemen Konfi gurationen
auf die Geräte bringen. Das beginnt beim Einrichten von E-Mail-Konten
und geht bis hin zu speziellen Bluetooth-Einstellungen. So ist es beispielsweise
möglich, die Pairing-Codes von Freisprecheinrichtungen bereits von Beginn an in
dem Gerät zu verankern. Dazu kommt hier eine weitere Besonderheit von Windows
Mobile 6.1. Denn laut Microsoft testet das Betriebssystem bei einem
Bluetooth-Pairing-Vorgang die bekanntesten Standard-Pairing-Codes, um automatisch
eine Verbindung mit der Gegenstelle herzustellen.
Bluetooth: Sie können festlegen, wie und womit das Gerät Verbindung aufnehmen darf.
Sind die mitgelieferten Richtlinien nicht ausreichend, können Admins auch eigene
Policies schreiben. Praktisches Beispiel: Zwar wird eine Richtlinie mitgeliefert,
die Speicherkarten zwingend verschlüsselt, will man externen Speicher aber komplett
verbieten, ist das nur per Handarbeit zu erreichen.
4.5.5 Verteilen von Software
Weitere Anwendungsbereiche für den Systems Center Mobile Device Manager
sind das Deployment und die Wartung von Software. Die mobilen Geräte lassen
sich über das System remote und „over the air“ mit neuen Programmen bestücken.
Ebenso ist es möglich, Updates oder Upgrades fl ächendeckend auszurollen.
Wie meistens bei Microsoft läuft auch die Software-Verteilung über einen Assistenten.
Der Software-Wizard legt dabei die Voraussetzungen für einzelne Pakete
fest. So macht es beispielsweise keinen Sinn, eine Touchscreen-gesteuerte Anwendung
auf einem normalen Windows-Mobile-Telefon zu installieren.
webcode: 1758436 163

4. E-Mail
Anpassung: Bestimmte Software setzt bestimmte Endgeräte voraus.
Einige Anwendungen erfordern zudem bestimmte bereits installierte Tools oder
spezielle Registry-Keys. Über den Assistenten kann man diese Abhängigkeiten auflösen
und die Anwendungen in einem Rutsch installieren. Zuletzt kann man festlegen,
in welchen Sprachvarianten die Software auf dem Endgerät landet und ob es
dem User erlaubt ist, die Software zu deinstallieren. Ist so ein Paket erstellt, kann
man es anschließend an komplette Gruppen oder einzelne Geräte verschicken. Die
Endgeräte laden sich anschließend die benötigten Programme und Informationen
nach und richten das Paket ein – ohne Zutun des Nutzers.
4.5.6 Voraussetzungen: Was geht – und was nicht?
Bevor nun jemand den Untergang von BlackBerry und Konsorten beschwört,
muss man über die Vorraussetzungen des Systems Center Mobile Device Manager
Bescheid wissen. Da zeigt sich nämlich, dass Microsoft in erster Linie für die Zukunft
plant; die Gegenwart oder nahe Vergangenheit interessieren nicht.
Zunächst zu den Endgeräten. Auf diesen muss zwingend Windows Mobile in der
Version 6.1 laufen. Denn das Gerät muss den Microsoft-proprietären VPN-Client
einsetzen können, außerdem müssen einige Voraussetzungen für das erste Ausrollen
der Policies gegeben sein. Die ersten Geräte mit Windows Mobile 6.1 sollen
im Laufe dieses Jahres ausgeliefert werden. Ältere Smartphones erhalten unter
Umständen ein Update, wann und ob diese erfolgen, liegt aber in der Hand der
Hersteller. Geräte ohne Windows Mobile 6.1 könnten zwar theoretisch unterstützt
werden, darum müssen sich dann laut Microsoft aber Dritthersteller kümmern.
Auf der Server-Seite ist der SCMDM ebenfall anspruchsvoll. Mindestens
ein Server 2003 64-Bit muss vorhanden sein. Zusätzlich sind SQL Server 2005, Active
Directory und Microsoft CA erforderlich.
164 www.TecChannel.de

4.5.7 Fazit: Interessanter Ansatz für aktuelle
Microsoft-only-Umgebungen
SCMDM: Microsofts Alternative zu BlackBerry
Wer in seiner Infrastruktur nur Microsoft-Produkte einsetzt, für den ist der Systems
Center Mobile Device Manager eine praktische und einfache Möglichkeit,
mobile Endgeräte einzubinden. Die direkte Integration in Active-Directory verringert
die Lernkurve, wer täglich mit Nutzern arbeitet, der sollte sich schnell zurechtfi
nden. Kombiniert man den SCMDM mit den Push-Mail-Fähigkeiten
aktueller Exchange-Installationen, erhält man einen kompletten Klon der Black-
Berry- oder IntelliSync-Funktionen.
Anders sieht es dagegen in heterogenen Umgebungen aus. Zumindest derzeit interessiert
es Microsoft anscheinend nicht, dass nicht jede Firma auf Windows Mobile
setzt. Anstatt hier die Chance zu nutzen und ein offenes Protokoll mit passenden
Schnittstellen zu schaffen, mauert man sich ein. Zwar sollen Drittentwickler
durchaus auch andere mobile Betriebssysteme integrieren können, wann das geschieht,
wer sich damit beschäftigt und ob das überhaupt funktioniert, diese Fragen
bleibt der Windows-Konzern schuldig. Auch die Nutzer älterer Windows-
Mobile-Geräte bleiben außen vor, wenn ihnen der Hersteller kein Update
zukommen lässt. Wer sich in Zukunft um Geräteverwaltung sorgen macht, sollte
Microsofts SCMDM zwar durchaus mit ins Auge fassen, aber nicht vergessen, dass
es auch bereits etablierte Produkte in diesem Bereich gibt, die nahezu alle Umgebungen
und Endgeräte unterstützen, etwa IntelliSync von Nokia (Webcode
472882), die ubi-Suite von Ubitexx (www.ubitexx.de) oder die BlueFire-Suite
(www.bluefi resecurity.com).
Moritz Jäger
Moritz Jäger arbeitet als Redakteur im Software-Ressort bei TecChannel. Neben
Themen rund um Open-Source, Virtualisierung und Sicherheit liegt sein Fokus auf
Anwendungen, Lösungen und Tools für die mobile Arbeitswelt. Egal ob Push-Mail,
Übertragungstechnologien, USB-Anwendungen oder Endgeräte und deren Absicherung
- Jäger verlässt sich nicht auf die Herstellerangaben, sondern stellt die Testobjekte im
praktischen Einsatz auf die Probe.
TecChannel-Links zum Thema Webcode Compact
SCMDM: Microsofts Alternative zu BlackBerry 1758436 S.160
BlackBerry Unite - Kostenloser BlackBerry-Server 1772351 S.156
Test: HTC Touch Pro 1773166 –
Palm Treo Pro im Test 1771982 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1758436 165

5. Kaufberatung
5 Kaufberatung
Drucker und Multifunktionsgeräte sind elementare Bestandteile einer IT-Infrastruktur
hinsichtlich Funktionalität und Kosten. Grund genug, sich mit Auswahl-
und Betriebskriterien zu beschäftigen. Microsoft will mit dem Komplettpaket Essential
Business Server vor allem im KMU-Bereich punkten. Wir stellen Ihnen den
EBS vor und zeigen, was er kann. Außerdem erfahren Sie, wie Linktropy WAN-
Emulator von Apposite Anwendungs-Performance über WAN simulieren lässt.
5.1 Drucker und Multifunktionsgeräte richtig
auswählen und einsetzen
Obwohl von Druckern wie Multifunktionsgeräten in der Regel wenig technologischer
Sex-Appeal ausgeht, gehören sie zu den unabdingbaren Bestandteilen jeder
IT-Infrastruktur. In der Regel versehen die Geräte relativ unscheinbar und
pfl egeleicht ihren Dienst, erst beim Ausfall wird deutlich, wie alltägliche Prozesse
von dieser Gerätschaft abhängen. Doch nicht nur bei alltäglichen Geschäftsausgaben,
sondern auch bei den Kosten der IT spielen Outputgeräte eine nicht unerhebliche
Rolle. Studien sprechen davon, dass jedes Unternehmen, gleich welcher Branche,
drei bis fünf Prozent seines Umsatzes fürs Drucken ausgibt. Bei den reinen
IT-Kosten liegen die Ausgaben fürs Drucken in der Regel höher als Server- oder
Storage-Investitionen.
Dabei sind neben den Anschaffungskosten die laufenden Kosten für den Betrieb
zu berücksichtigen. Dies beinhaltet Verbrauchsmaterialien ebenso wie Service und
Support. Daher sollte man bei der Entscheidung für einen Drucker oder ein Multifunktionsgerät
zahlreiche Kriterien einbeziehen. Oft entstehen Kosten nicht nur
aufgrund der eingesetzten Technologie oder Geräte, sondern wegen der ineffi zienten
Nutzung oder Bereitstellung derselben. Dabei lassen sich Kostenquellen wie
Sparmaßnahmen vom Administrator einschränken beziehungsweise vorgeben.
Zumindest, wenn man bei der Anschaffung auf derlei Funktionalitäten achtet.
Die folgenden Punkte beziehen sich primär auf Geräte für kleine bis mittlere Arbeitsgruppen.
Was für Drucker gilt, trifft natürlich ebenso gut auf die darauf basierenden
Multifunktionsgeräte zu. Spezielle Multifunktionsfragen werden gesondert
abgehandelt. Im Folgenden ist in der Regel von laserbasierten Druckern und Multifunktionsgeräten
die Rede. Das heißt nicht, dass für kleine Arbeitsgruppen tintenbasierte
Lösungen per se nicht infrage kommen, das Gros der Geräte arbeitet in
diesem Umfeld jedoch auf Laserbasis.
Wer sich bereits für konkrete Produkte interessiert, wird in dem Beitrag Test: Multifunktionsgeräte
auf Farblaser-Basis fündig (Webcode 451294). Reine Farbdrucker
für kleine Arbeitsgruppen vergleicht der Test: Farblaser für kleine Gruppen
(Webcode 498445).
166 www.TecChannel.de

5.1.1 Analyse ist Pfl ichtaufgabe
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
Ob nun ein bereits vorhandener Drucker oder ein Multifunktionsgerät ersetzt
werden soll oder diesbezüglich eine Erstanschaffung ansteht – das Wissen um die
eigenen Druckeranforderungen muss vor jeder Entscheidung vorhanden sein. So
sollte mit den gängigen Druckermanagement-Tools, wie HPs Web Jet Admin
(www.teccommunity.de/articles/article/175/HP/detail), eingehend das Druckaufkommen
und -verhalten analysiert werden. Wie hoch ist das Druckvolumen tatsächlich,
und werden die installierten Optionen wie Duplex-Einheit oder Papierzuführungen
überhaupt genutzt? Eine softwarebasierte Analyse allein genügt in
der Regel aber meist nicht. Um beim Beispiel Duplex zu bleiben: Dass diese Option
laut Analyse nicht verwendet wurde, muss nicht unbedingt bedeuten, dass diese
überfl üssig sei. Für Anwender ist Drucken meist gleichbedeutend mit dem Klick
auf das entsprechende Icon. Ist da im Treiber Duplex nicht als Standard vorkonfi -
guriert, wird diese Option nie oder nur selten zum Einsatz kommen. Daher ist es
entscheidend, dass sich die Druckertreiber vom Administrator diesbezüglich vorkonfi
gurieren und ausrollen lassen.
Bestandsaufnahme: Mit Tools wie Web Jet Admin lässt sich das eigene Druckaufkommen über eine
Druckerfl otte analysieren und als Bericht ausgeben.
Nicht alles lässt sich per Software erfassen, wie etwa eine verfehlte Einkaufspolitik
hinsichtlich der Ausstattung. Auffällig viele Reparaturen oder Austausch von Papierzuführungen
lassen in der Regel darauf schließen, dass an eben jenen gespart
wurde. In vielen kaufmännischen Einsatzgebieten sind zwei Papierzuführungen
webcode: 1777471 167

5. Kaufberatung
meist noch zu wenig, um die notwendigen unterschiedlichen Papiersorten sauber
zu handhaben. Demzufolge werden Papierzuführungen meist viel öfter – und heftiger
– als eigentlich vorgesehen geöffnet und geschlossen, um Papier zu wechseln.
Eine weitere Papierzufuhr wäre aus Kostensicht in jedem Fall effi zienter gewesen.
Hier gilt wie bei nahezu jeder Anschaffung, dass die reine Betrachtung des Einstiegspreises
eines Geräts häufi g teuer werden kann. Apropos Papierzuführungen,
die leiden häufi g unter dem Druckerstandort Fußboden, der in der Praxis immer
wieder anzutreffen ist.
Wenn Optionen gemäß der Analyse tatsächlich erforderlich sind, sollte ein entsprechend
vorkonfi guriertes Modell gewählt werden. Dies verspricht dann in der
Regel einen Preisvorteil gegenüber einem Basisgerät, das nachträglich um die Optionen
erweitert wird. Apropos Duplex: Dies ist anders als in der Vergangenheit
auch für schwach motorisierte Geräte verfügbar. Das kommt nicht von ungefähr,
vielerorts gehört das beidseitige, ressourcenschonende Drucken bereits zum
Pfl ichtprogramm. Und da mittlerweile Duplex zur Pfl ichtausstattung für die Erlangung
des „Blauen Engel“ erforderlich ist, setzt sich dieses Ausstattungsmerkmal
zunehmend durch. Nachträgliches Aufrüsten mit Hardware ist meist unverhältnismäßig
teuer – und bei manchen Modellen – gerade im preiswerten Segment –
auch gar nicht möglich.
Sowohl die laufenden Kosten für den Druckbetrieb und Support als auch etwaige
Garantieverlängerungen sind in die Kalkulation einzubeziehen. Verbreitet ist immer
noch die spärliche einjährige Herstellergarantie. Entsprechend zu empfehlende
Upgrades hinsichtlich des Service und der Garantie kosten schnell einige
Hundert Euro. Daher sollte vor dem Kauf eine ausstattungsbereinigte Betrachtung
erfolgen. Bislang gab es nutzungsabhängige Abrechnungsverfahren meist nur für
deutlich größere Systeme, inzwischen sind solche Lösungen auch vereinzelt für
Systeme dieser Klasse erhältlich. Dies macht die oben angeführte Analyse allerdings
noch unabdingbarer.
5.1.2 Ausstattungsfragen
Im Bereich sehr preiswerter Farblaser und Farbmultifunktionsgeräte sind hier und
da noch Geräte mit Multi-Pass-Druckwerk anzutreffen. Bei Geräten mit Karusselloder
Revolvertechnik rotieren die vier Farbeinheiten an der Bildtrommel, um seriell
nacheinander die vier Farben aufzutragen. Das hat zur Folge, dass im Gegensatz
zu Single-Pass-Systemen der Druck einer Farbseite ein Vielfaches der Zeit eines
monochromen Drucks benötigt. Die dafür erforderliche Mechanik führt darüber
hinaus nicht nur zu deutlicher Geräuschentwicklung, sondern macht auch mit Vibrationen
auf sich aufmerksam – je nach Modell unterschiedlich intensiv.
Weiterer Ansatzpunkt für den Konstrukteurs-Rotstift ist der Controller. Einige
Drucker dieser Klasse arbeiten Host-basiert, das heißt, sie überlassen dem angeschlossenen
Rechner die Arbeit der Datenaufbereitung. Das macht den Drucker
günstiger; Prozessoren und Speicher im Drucker können deutlich kleiner dimen-
168 www.TecChannel.de

Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
sioniert sein. Da Host-basiert in der Regel auch mit einer Einschränkung des
Sprachverständnisses der Geräte einhergeht, wissen die Geräte mit Standard- PCL-
oder gar Postscript-Daten wenig anzufangen. Diese ausstattungsbedingten Kürzungen
kommen zwar dem Preis zugute, schränken aber gleichzeitig die Flexibilität
der Geräte ein – nicht nur in der Betriebssystemunterstützung. In Sachen
Performance muss Host-basiert hingegen kein Nachteil sein, je nach System lässt
es sich damit sogar fl inker drucken. Bei HPs neuem Hybrid-Treiber wird sogar dynamisch
je nach Anwendung entschieden, ob traditionell oder Host-basiert gedruckt
wird. Wenn ein Gerät Postscript beherrscht, heißt dies noch lange nicht,
dass unter dieser Druckersprache der volle Komfort und die volle Geschwindigkeit
zur Verfügung stehen. Hier muss man gegebenenfalls Abstriche machen.
Skalierbarkeit: Es kann durchaus sinnvoll sein, auch
kompakte Systeme mit entsprechenden Papierzuführungen
auszurüsten. (Quelle: Kyocera)
Bei der Erstausstattung in Sachen Toner trifft man inzwischen auch bei professionellen
Geräten häufi g auf sogenannte Toner-Starter-Kits. Dabei handelt es sich um
Kartuschen, die mit weniger Toner befüllt sind. Die Reichweite beträgt oft nur einen
Bruchteil dessen, was die nachzukaufenden Einheiten erreichen. Manchmal
reicht dieser Toner nur für wenige Hundert Seiten, die Angaben dazu stehen oft
nur in den Fußnoten der Datenblätter. Damit stehen relativ kurz nach getätigter
Investition die ersten spürbaren Folgekosten an. Das sollte man bei dem dann häufi
g auf den ersten Blick günstigen Einstiegspreis berücksichtigen. Für viele Drucker
bieten die Hersteller Tonereinheiten in unterschiedlichen Kapazitäten an,
darüber lässt sich der Seitenpreis meist direkt beeinfl ussen.
Zu den wichtigsten Faktoren für einen reibungslosen Betrieb gehört die richtige
Ausstattung in Sachen Papierzuführungen und -ablagen. Wer hier zu knapp kalkuliert,
kann kaum mit zufriedenen Anwendern rechnen. Den sogenannten Multifunktionszufuhren
sollte man nicht mehr Beachtung schenken, als diese verdienen.
Meist fassen diese 50 bis 100 Medien, von den Herstellern werden diese schon
webcode: 1777471 169

5. Kaufberatung
mal zur Kassettenkapazität dazu addiert. Formal richtig, in der Praxis jedoch nicht
ganz zutreffend. Das Gros dieser meist klappbaren Zuführungen funktioniert ganz
ordentlich, wenn man ab und zu spezielle Papiere oder Briefumschläge zuführen
will. Wer dauerhaft seine Firmenbriefbögen im Drucker vorhalten will, sollte besser
gleich eine zweite Papierkassette ordern. Sinnvoll kann die Anschaffung eines
Sorters oder abschließbarer Mailboxen sein, statt eines weiteren Druckers, nur um
den Anwendern die Ausdrucke zielgerichtet oder sicher zu servieren.
5.1.3 Farbdrucker statt SW-Gerät?
Auch wenn es mancher Hersteller gern anderes sehen würde, als Bürodienstleister
versehen monochrome Laserdrucke nach wie vor ihren Job ganz hervorragend. In
vielen Einsatzszenarien gibt es daher keinen Grund, sich auch beim nächsten Austausch
nicht wieder für einen SW-Laser zu entscheiden. In kleineren Umgebungen
kann der ausschließliche Einsatz eines Farbdruckers durchaus Sinn ergeben, gegebenenfalls
muss dann die Farbnutzung reglementiert sein.
Eingeschränkte Farbfähigkeit: Bei einigen Druckern lässt sich festlegen, welche Anwendungen oder
welche Anwender Farbe benutzen dürfen.
Inzwischen liegen einige Farbdrucker bei den monochromen Druckkosten auf
einem mit reinen SW-Druckern vergleichbaren Niveau. Die Regel ist dies allerdings
nicht. In Verbindung mit den sinkenden Einstiegspreisen nehmen die Hersteller
dies zum Anlass, Farblaser als Substitut ihrer farblosen Kollegen anzupreisen.
Je nach Umgebung mag dies zutreffen, dann gilt es allerdings, Farb- und
170 www.TecChannel.de

Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
SW-Druckjobs sorgfältiger zu trennen, als dies in der Praxis üblicherweise erfolgt
sein dürfte. Um die Kosten für farbige Ausdrucke in Grenzen zu halten, bieten die
Hersteller zunehmend ausgefeilte Funktionen an. Je nach Modell kann so etwa der
Farbdruck auf einzelne Anwender oder Applikationen oder eine Kombination aus
beidem beschränkt werden. Standard ist derlei Funktionalität aber noch nicht.
So lässt sich beispielsweise festlegen, ob aus Anwendungen wie Outlook oder Notes
in jedem Fall nur monochrom gedruckt werden darf. Entsprechende Funktionen
sind insbesondere dann wichtig, wenn man die Drucker über ein Abrechnungsverfahren
betreibt. Je nach Vertragsmodell gilt da jede Farbseite kostenseitig
als komplette Farbseite unabhängig davon, ob nur das E-Mail-Logo in Farbe gedruckt
wurde oder nicht. Damit produziert man gegebenenfalls deutlich höhere
Druckkosten mit nicht gerade sinnvollen Farbdrucken.
Häufi g sind die Druckkosten bei besonders preiswerten Geräten höher als bei höherwertigen
Modellen. Dies liegt meist allein schon an der Reichweite der Verbrauchsmaterialien.
Und da sind die monochromen Laser den preiswerten Farblaser
häufi g überlegen.
5.1.4 Leistung und Qualität
Wer sein Druckvolumen kennt, kann sich hinsichtlich der notwendigen Leistungsfähigkeit
der Geräte leichter entscheiden. Bei monochromen Laserdruckern genügen
mittlerweile auch preiswerte Geräte den Ansprüchen von Arbeitsgruppen. Die
Unterschiede bei Farblasern sind nach wie vor gravierender. Die Druckgeschwindigkeit
wird üblicherweise in der nominellen Seitenleistung des Druckwerks angegeben.
Bei Druck- beziehungsweise Kopiergeschwindigkeiten Benchmark-Ergebnisse
im Nachkommastellenbereich zu vergleichen, ist müßig. Aber absolute
Ergebnisse verdeutlichen doch den Leistungsunterschied in einem Klassement. So
benötigten Farblaser-basierte Multifunktionsgeräte in unseren Tests für ein 200seitiges
PDF-Dokument (Webcode 451294) zwischen 13,5 und 53 Minuten. Ein
durchaus spürbarer Unterschied – mehr oder minder innerhalb eines Klassements.
Wer häufi g PowerPoint-Dateien zu Papier bringen muss, wird gleichfalls schnell
erkennen, ob sein Gerät ein Fehlkauf war. Wird dieses Dateiformat in Farbe ausgegeben,
haben viele Drucker-Controller und -Treiber damit ihre liebe Müh.
Für viele Anwender bestimmt die Antrittsgeschwindigkeit aus dem Stromsparmodus
häufi g die gefühlte Leistungsfähigkeit. Hier registrieren wir bei Tests ebenfalls
gravierende Unterschiede zwischen wenigen Sekunden bis zu einer Minute für das
Produzieren der ersten Seite aus dem Schlummermodus. Dieser Wert ist gerade
bei den kleinen Geräten von Bedeutung, denn diese werden gern in kleinen Arbeitsgruppen
mit einer begrenzten Anzahl an Druckaufträgen eingesetzt. Und das
heißt in der Praxis relativ häufi ge Starts aus dem Stromsparmodus. Die Leistungsaufnahme
im Stand-by-Modus unterscheidet sich häufi g erheblich, wenngleich
wir bei neueren Geräten eine deutlich geringere Leistungsaufnahme feststellen.
webcode: 1777471 171

5. Kaufberatung
Fotoqualität, wie man sie heute selbst von preiswerten Tintendruckern kennt, liefern
Farblaserdruckwerke noch nicht. Technologiebedingt bleibt in der Regel das
Raster beim Farblaserdruck mehr oder minder erkennbar. Aber wer hingegen Fotos
als vielfältige Ansichtssache benötigt, Zielgruppe sind etwa Makler oder Gutachter,
kann mit einigen aktuellen Geräten durchaus ansehnliche Ergebnisse erzielen.
Andererseits spricht wie erwähnt je nach Anwendung nichts gegen ein
professionelles Tintengerät für entsprechende Ergebnisse.
In Zusammenhang mit Ausstattungsmerkmalen gilt es hinsichtlich der Leistung,
einige wenige Punkte zu beachten. Das reine Vorhandensein einer Funktion, sagt
noch nichts darüber aus, wie diese realisiert ist. Bei einigen Duplex-Einheiten traditioneller
Machart bricht die Ausgabegeschwindigkeit beim beidseitigen Bedrucken
auf rund die Hälfte ein. Lösungen mit einem neueren Ansatz erreichen auch
in diesem Modus nahezu die volle Geschwindigkeit. Bei vielen Druckern – insbesondere
im unteren Preissegment – muss man im Postscript-Betrieb Geschwindigkeitseinbußen
hinnehmen. Zudem bieten die entsprechenden Treiber nicht
immer den vollen Funktionsumfang. Ausnahmen bestätigen wie immer die Regel.
Wer diese Sprachsteuerung tatsächlich extensiv nutzen will, sollte sich für ein entsprechend
leistungsfähiges Gerät entscheiden.
5.1.5 Druckkosten
Gemäß einer im Jahr 2007 von Kyocera (www.kyoceramita.de) und SEH (www.
seh.de) durchgeführten Outputmanagement-Studie bei Unternehmen und Behörden
kennen 44 Prozent der Befragten ihr eigenes Druckvolumen nicht.
Druckvolumen: In größeren Unternehmen oft eine unbekannte Größe. (Quelle: Kyocera)
172 www.TecChannel.de

Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
Bei Unternehmen und Behörden, die über mehr als 5000 PCs verfügen, sei mit
mehr als 60 Prozent sogar die Mehrheit über das Druckvolumen nicht genau informiert.
Das ist insofern beachtlich, als dass laut mehreren Quellen jedes Unternehmen
gleich welcher Branche drei bis fünf Prozent seines Umsatzes allein fürs
Drucken ausgibt. Grund genug, sich mit dem Thema Druckkosten zu befassen.
Die eingangs geforderte Analyse ist gerade aus diesem Gesichtspunkt unerlässlich.
Die Druckkosten der Geräte bestimmen nicht nur die Preise und Reichweiten der
Verbrauchsmaterialien, sondern auch die Art der Druckjobs. Wer stets viele kleine
Druckaufträge sendet, wird weit weniger lang mit den Materialien auskommen als
der Produzent von größeren Druckjobs. Bei Multi-Pass-Geräten gilt es, die Angaben
zu den Verbrauchsmaterialien hinsichtlich der Lebensdauer entsprechend des
Einsatzes zu bewerten: Steht für die Bildtrommel beispielsweise ein Wert von
45.000 Seiten im Datenblatt, so bezieht sich dies auf den rein monochromen
Druck. Wird in Farbe gedruckt, reduziert sich dieser Wert auf ein Viertel, da die
Trommel für jede auf das Druckmedium aufgetragene Farbe ein Image verarbeiten
muss. Dies gilt entsprechend für Einheiten wie Tonerauffangbehälter und andere
Verbrauchsmaterialien. Einige Hersteller geben daher korrekterweise die Lebensdauer
entsprechender Module in Images an.
Kostenkalkulation: Nahezu alle
Hersteller bieten verschiedene
Abrechnungsmodelle an.
Für die Reichweite von Tonerkassetten existiert zwar inzwischen eine ISO-Norm,
dennoch geben nicht alle Hersteller dies gemäß der Norm an. Verbreitet ist zudem
noch die Angabe bei einer Deckung von fünf Prozent. Die bereits erwähnten Starter-Toner-Kits
und ihre geringe Reichweite sollten insbesondere beim Einsatz in
Anwendungen mit geringen Druckvolumen berücksichtigt werden.
Apropos Kosten, der Anschaffungspreis des Geräts spielt in einer Gesamtrechnung
eine eher untergeordnete Rolle. Die entstehenden Folgekosten durch Toner, Papier
und Verschleißteile machen den größten fi nanziellen Anteil der Druckkosten aus.
Mitunter kommen noch teure Serviceverträge hinzu. Dabei gilt es, auch die eventuellen
Aufpreise für eine Garantieverlängerung einzubeziehen. Einige Hersteller
offerieren ihre Geräte nach wie vor mit einer einjährigen Garantie. Um die Druck-
webcode: 1777471 173

5. Kaufberatung
kosten kalkulierbar zu halten, bieten Druckerhersteller verschiedene Abrechnungsmodelle
an. Die Angebote reichen hier von All-inclusive-Verträgen, Flatrates
(Pauschalangeboten) und Pay-per-Click bis zu Smart-Printing-Services. Bei diesen
Abrechnungssystemen gibt es feine, aber deutliche Unterschiede. Kunden, die
sich an das falsche Modell binden, zahlen mitunter mehr für das Drucken als ohne
vertragliche Bindung. Unerlässlich ist in jedem Fall eine eingehende Vorabanalyse
des eigenen Druckaufkommens und -verhaltens.
5.1.6 Sicherheit beim Drucken
Während in der Vergangenheit das Thema „Sicheres Drucken“ – wenn überhaupt
– primär von größeren Unternehmen berücksichtigt wurde, ist dies inzwischen in
allen Firmengrößen von Belang. Ein Netzwerkdrucker ist aus mehreren Aspekten
ein potenzielles Risiko. Der Drucker wird hingegen häufi g mit einer Standard-Setup-Routine
ins LAN integriert und danach sicherheitstechnisch sich selbst – oder
weit schlimmer – allen gleichermaßen überlassen. Häufi g wird selbst der einfache
Zugriff auf den integrierten Print-Server nicht durch ein Passwort geschützt.
Ausgabe auf Abruf: Der mit einem individuellen Kennwort versehene Druckauftrag wird erst mit
Eingabe des Codes am Gerät ausgegeben.
174 www.TecChannel.de

Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
Netzwerkfähige Ausgabegeräte bieten im Betrieb meist gleich mehrere Schwachpunkte:
Die Netzwerkverwaltung beziehungsweise -karte arbeitet oft ungesichert,
alle Konfi gurationsparameter des Netzwerks lassen sich so leicht auslesen. Auf den
in die Systeme integrierten Festplatten bleiben die Dokumente längere Zeit liegen.
Nicht selten passieren auch einfache Anwenderfehler am Gerät selbst, Dokumente
werden im Ausgabefach vergessen. Zudem lassen sich mit den Geräten Unterlagen
leicht per Fax oder E-Mail außerhalb des Unternehmens versenden.
Wie eingangs erwähnt, gehört zu den Grundproblemen, dass die Netzwerkdrucker
in Sachen Sicherheit meist nicht entsprechend konfi guriert werden. Bereits die Beachtung
einiger grundlegender Vorgehensweisen beim Konfi gurieren von Netzwerkdruckern
kann die Sicherheit deutlich erhöhen. Zahlreiche Netzwerkdrucker
bieten bereits ab Werk eine Basisfunktionalität in Sachen Druck von vertraulichen
Dokumenten. Üblicherweise muss der Anwender dazu im Treiber einen PIN-Code
für den Druckauftrag vergeben. Erst wenn dieser am Gerät aktiviert wird, lässt sich
der Druckauftrag abrufen.
Von nahezu allen namhaften Druckerherstellern befi nden sich zudem Lösungen
im Angebot, bei denen sich der Anwender eindeutig am Gerät identifi zieren muss,
bevor der Druckauftrag im Ausgabefach landet. Die Authentifi zierung kann beispielsweise
über SmartCards, die herkömmlichen Zugangskarten oder Fingerprint-Sensoren
erfolgen. Je nach System lässt sich damit nicht nur garantieren,
dass nur berechtigte Anwender an die jeweiligen Druckaufträge kommen. Ausführliche
Informationen zum Thema Sicherheit und Drucken liefert Ihnen der
Beitrag Sicherheitslücke Drucker (Webcode 452907).
5.1.7 Multifunktionalität
Multifunktionsgeräte erfreuen sich hoher Beliebtheit und das zu Recht. Zumindest,
wenn sie wirklich multifunktional sind und entsprechend eingerichtet wurden.
Ein komfortabler Druckertreiber ist eine Sache, ein homogenes Softwarekonzept
für ein Multifunktionsgerät aber eine weit größere Herausforderung.
Schließlich möchte man alle Funktionen aus einer Oberfl äche oder den entsprechenden
Anwendungen ansteuern können, ein einfaches Zusammenpacken von
entsprechenden Tools genügt da nicht. Und selbst das fi ndet unserer Erfahrung
nach nicht immer statt.
Gerade bei den beliebten Farblaser-Multifunktionsgeräten des unteren Preissegments
handelt es sich hinsichtlich des Druckens um die bekannten artverwandten
Farblaser – mit all ihren Vor- und Nachteilen. Manchmal noch mit ein paar zusätzlichen
Nachteilen, der Ausbau zum Multifunktionsgerät verhindert oft den Einsatz
einer Duplex-Einheit, auf dieses Ausstattungsmerkmal muss man dann verzichten.
Gleichfalls registrieren wir bei Tests, dass die meist oben auf dem Drucker sitzende
Scan-/Kopiereinheit nicht wirklich dazu dient, die Papierablage zu optimieren.
Manchmal fällt diese etwas klein aus, und größere Druckjobs sind nur mit
regelmäßigem Entleeren derselben durchzuführen.
webcode: 1777471 175

5. Kaufberatung
Multifunktion: Einheitliche Oberfl ächen für alle Funktionen sind eher die Ausnahme als die Regel.
Ein vorhandener Netzwerkanschluss garantiert noch nicht, dass wirklich alle
Funktionen via Netzwerk verfügbar sind. So handelt es sich bei einigen Multifunktionsgeräten
nur um Netzwerkdrucker, die ihre Multifunktion nur lokal oder am
Gerät ausspielen. Scannen übers Netzwerk ist nicht zwangsweise bei einem Netzwerk-Multifunktionsgerät
möglich. Apropos scannen: Auch diese Funktionalitäten
unterscheiden sich bei den Kombis erheblich. Scan-to-Mail bedeutet bei einigen
Geräten beispielsweise, dass auf dem Client das Mailprogramm gestartet
und dort die Vorlage als Anhang automatisch hinzugefügt wird.
Andere Kombis können auch direkt vom Gerät aus auf ein Adressbuch zugreifen
und quasi „selbst“ die Mail versenden. Ähnliches gilt für die Funktionalität Scanto-Folder,
die im einfachsten Fall meint, alle Vorlagen landen in einem gemeinsamen
Verzeichnis. Bei professionelleren Geräten können sich Anwender authentifi
zieren und in ihr jeweils eigenes Verzeichnis scannen. In diesem Zusammenhang
bei Geräten für kleine Arbeitsgruppen ein recht beliebtes Feature: ein USB-Port an
der Gehäusefront auf den sich scannen und von dem sich drucken lässt.
Allerdings ist es nicht immer die mangelnde Fähigkeit der Geräte, die für eine eingeschränkte
Funktionalität sorgt. Häufi g hapert es auch an der vollständigen Einrichtung
der multifunktionalen Peripherie, die zugegebenermaßen nicht immer
ganz selbsterklärend ist.
5.1.8 Fazit
Der Kauf eines Druckers oder Multifunktionsgeräts ohne Kenntnisse des bisherigen
Nutzungsverhaltens und auch daraus abzuleitender Erkenntnisse dürfte mit
Sicherheit wieder in einem unbefriedigenden Ergebnis münden. Die Software-
Tools stehen meist kostenlos zur Verfügung, zumindest eine quantitative Analyse
scheint da realisierbar. Dass, wenn bei der Entscheidung der Preis im Vordergrund
steht, nicht unbedingt die scheinbar billige Lösung auch wirklich die günstigste
176 www.TecChannel.de

Drucker und Multifunktionsgeräte richtig auswählen und einsetzen
darstellt, ist eine Binsenweisheit. Daher nochmals die Punkte, die dem Kauf oder
Leasing vorangehen sollten, kurz zusammengefasst:
Eingehende Analyse
Festlegung erforderlicher Ausstattungsmerkmale
Abgeleitete Leistungsanforderungen, auch hinsichtlich Farbe
Kostenmodelle auf eigenes Druckvolumen untersuchen
Sicherheitsanforderungen einbeziehen
Häufi g versehen aber auch üppige Konfi gurationen völlig unterfordert ihren
Dienst, weil sie mit Standardeinstellungen ins Netzwerk integriert wurden. Vorkonfi
gurierte Treiber und Profi le sorgen erst dafür, dass Funktionen auch in entsprechendem
Maße genutzt werden. Aus Kostensicht sollten Regulierungen beim
Farbdruck eine Selbstverständlichkeit sein. Manchmal lässt sich ja auch der vorhandene
Druckerfuhrpark ganz ohne jede Neuanschaffung noch optimieren.
Malte Jeschke
Malte Jeschke ist Leitender Redakteur bei TecChannel. Seit mehr als 15 Jahren beschäftigt
er sich intensiv mit professionellen Drucklösungen und deren Einbindung in
Netzwerke. Daneben gehört sein Interesse mobilen Rechnern. Vor dem Start seiner
journalistischen Laufbahn 1991 realisierte er unter anderem für Großunternehmen
Projekte zur Anbindung von Außendienstmitarbeitern an vorhandene IT-Strukturen.
TecChannel-Links zum Thema Webcode Compact
Drucker und Multifunktionsgeräte richtig auswählen und einsetzen 1777471 S.166
Test: Multifunktionsgeräte auf Farblaser-Basis 451294 –
Test: Laserdrucker für Arbeitsgruppen 432508 –
Test: Farblaser für kleine Gruppen 498445 –
Sicherheitslücke Drucker 452907 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1777471 177

5. Kaufberatung
5.2 Der Essential Business Server
von Microsoft
Konkurrenz für Linux im Mittelstand. Microsoft hat vor Kurzem die neueste Version
seines Essential Business Servers (EBS, www.microsoft.com/germany/server/
essential/ebs/) vorgestellt. Dabei handelt es sich im Grunde um ein Rundum-Paket
für Unternehmen von 25 bis 300 Arbeitsplätzen. In der Standard-Version sind in
einem Paket Windows Server 2008 Standard Edition, Exchange 2007 sowie die
Forefront Security für Exchange Server gebündelt. Entscheidet man sich für die
Premium-Version, erhält man zusätzlich noch MSSQL Server 2008.
Was für wen? Die Grafi k zeigt, welcher Server für welche Umgebung gedacht ist. (Quelle: Microsoft)
Wie der Small Business Server (SBS, von fünf bis 75 Arbeitsplätzen, www.microsoft.com/germany/server/essential/sbs/),ist
auch der EBS als All-in-One-Software
gedacht. Microsoft setzt damit vor allem auf den Mittelstand und gegen Linux-
Distributionen wie beispielsweise Red Hat oder Novell, die ebenfalls eine komplette
Server-Umgebung in einem Paket anbieten.
5.2.1 Fakt ist: Admins in KMUs brauchen Hilfe
Microsoft fand in einer Marktanalyse heraus, dass kleine und mittelständische Firmen
dieser Größenordnung in der Regel höchstens zwei Angestellte beschäftigen,
die für die tägliche IT-Routine zuständig sind. In den meisten Fällen handelt es
sich dabei um Generalisten mit breitem, aber in vielen Fällen relativ oberfl ächlichem
IT-Wissen. Die meiste Zeit verbringen diese Personen damit, auf Probleme
im Netzwerk zu reagieren.
Deshalb, so das Ergebnis der Marktforschung, sind diese Administratoren an einer
Lösung interessiert, die nicht nur den Support erleichtert, sondern zudem auch einen
Überblick über die Bereiche Sicherheit sowie Anwendung und Management
178 www.TecChannel.de

Der Essential Business Server von Microsoft
von Hard- und Software gibt. Hinzu kommt die Kontrolle und Verwaltung der Bestände
– sprich IT-Assets. Mit anderen Worten: IT-Manager in mittelständischen
Firmen kämpfen mit vielen Problemen, die auch ihre Kollegen in großen Unternehmen
haben, allerdings verfügen sie im Normalfall wegen viel geringerer Budgets
nicht über informationstechnische Hilfsmittel, die ihnen formalisierte Strukturen
sowie vorbeugende Handlungsmöglichkeiten an die Hand geben.
Das sind die Unterschiede: Die Premium-Version des Essential Business Server bringt zusätzlich
noch die MSSQL Datenbank mit. (Quelle: Microsoft)
Eine Konsole für zentralen Überblick
Mit dem EBS verfolgt Microsoft nun die Idee, diesen IT-Verantwortlichen ihre Arbeit
zu erleichtern. Mit der Suite sollen sie sich laufend ein Bild vom Status ihrer
IT-Landschaft machen können.
Das heißt, sie sehen, ob der Netzwerk- und der E-Mail-Betrieb funktionieren, ob
die Sicherheitssysteme ihren Dienst tun, ob der Internet-Zugang und Log-on für
die Anwender gewährleistet ist, und ob alle Lizenzkriterien erfüllt sind. Außerdem
können sie laut Microsoft durch Plug-ins mit der Konsole sämtliche Hardware
verwalten und kontrollieren.
Die Entwicklung des EBS ist unter anderem das Resultat der jährlich 6,5 Milliarden
Dollar hohen Investitionen von Microsoft in Produkte und Supportprogramme
für kleine und mittelständische Unternehmen. Der Konzern trägt damit
ebenso wie andere Hersteller der Zielgruppe mittelständischer Firmen Rechnung,
die auf der Suche nach neuen Umsatzfeldern immer interessanter und lukrativer
wird. Mit der Suite verfolgt Microsoft das Ziel, die genannten Probleme der IT-
Manager zu lösen und einen Best-Practise-Ansatz zu liefern.
webcode: 1779960 179

5. Kaufberatung
Übersicht: Die Admin-Konsole zeigt auf einen Blick, wo Fehler auftreten. (Quelle: Microsoft)
Konkurrenz durch Linux- und Unix-Produkte
Alexander Kubsch, Analyst bei Techconsult (www.techconsult.de), teilt das Ergebnis
der Marktanalyse. Seiner Meinung nach ist im Mittelstand der Bedarf an einer
Suite wie dem EBS vorhanden. Dem Experten zufolge gibt es zwar sowohl in der
Linux- als auch Unix-Welt eine Sammlung von Produkten, die dieselben Aufgaben
erfüllen können wie der Essential Business Server, allerdings sei der damit verbundene
Administrationsaufwand deutlich höher. „
Es wäre sogar denkbar, dass Anwender, die unterdessen ihre Erfahrungen mit Linux
gesammelt haben, wegen der aufwändigen Administration und des fehlenden
Supports zu Microsoft zurückwechseln und den ESB einsetzen“, sieht Kubsch gute
Chancen für die neue Suite. Dafür spreche auch, dass der Mittelstand ohnehin sehr
Windows-affi n ist. Voraussetzung für einen Erfolg des EBS im Markt sei jedoch,
dass Microsoft seinen Vertriebspartnern klarmacht, wo die Vorteil der Suite liegen.
Dies sei dringend erforderlich, weil das Produkt noch sehr unbekannt ist.
5.2.2 Volles Leistungspotenzial des EBS erfordert drei Server
Um den Funktionsumfang des EBS komplett ausschöpfen zu können, benötigen
die Lizenznehmer drei Server. Für Firmen mit geringerem IT-Budget und weniger
Anwender bedeutet dies unter Umständen eine sehr anspruchsvolle und wohl ab-
180 www.TecChannel.de

Der Essential Business Server von Microsoft
zuwägende Investition. Da der EBS aber für bis zu 300 Nutzer oder Geräte konzipiert
wurde und ein breites Spektrum an Diensten beinhaltet, sind folgende drei
Server erforderlich:
Erstens: Management Server
Zunächst ist ein Management Server Voraussetzung, der als eine Art „Hub“ für alle
Operationen im Netzwerk fungiert. Der Management Server umfasst
Windows Server 2008,
Networking,
Active Directory,
File & Print, und
System Center Essentials.
Zweitens: Messaging Server
Vonnöten ist auch ein Messaging Server, der für den Ablauf aller Exchange- und
anderer Mail-relevanten Services sorgt und als zweiter Domain Controller arbeitet.
Auf dem Messaging Server laufen
Windows Server 2008,
Active Directory,
Exchange Server 2007 und
Forefront Security for Exchange Server.
Drittens: Security Server
Vor den beiden bereits genannten Servern sitzt der Edge- oder Security Server, der
die Server und alle anderen Komponenten im Netzwerk vor Bedrohungen schützen
soll. Er beinhaltet:
Windows Server 2008,
Exchange Server 2007 und
Forefront Threat Management Gateway for Medium Business
Die geschilderten Elemente sind Bestandteile der Standard Edition. Die Premium
Edition umfasst zusätzlich eine Lizenz für den Windows Server 2008 sowie den
SQL Server 2008 Standard Edition.
5.2.3 Probleme schon vor der Entstehung ausschalten
Der Essential Business Server stellt ein Tool dar, mit dem IT-Umgebungen in Midsize-Netzen
gezielt untersucht und kontrolliert werden können. Die Suite „überwacht“
dabei 91 Problemfelder in den Bereichen Wartung sowie Konfi guration,
die sich in der Vergangenheit als für die Anwender besonders virulent herausge-
webcode: 1779960 181

5. Kaufberatung
stellt haben. Dazu zählen zum Beispiel Probleme mit dem Active Directory, im
Networking, mit Exchange sowie die Konfi guration des Windows Server.
Sicherheit: Ein Blick auf die Security-Konsole. (Quelle: Microsoft)
Die Entwickler von Microsoft haben sich dieser kritischen Punkte angenommen
und versuchen, sie mit dem EBS automatisch für die Anwender auszuschalten. Allerdings
gibt es auch für alle, die nicht in den EBS investieren wollen, eine gute
Nachricht: Sie können diese Tools kostenlos im Web unter http://www.microsoft.
com/downloads/details.aspx?FamilyId=E3906025-00E3-407D-BF5B-99D546021
923&displaylang=en abrufen. Auf dieser Seite fi nden sich aber auch für Firmen,
die den EBS implementieren wollen, Preparation und Planning Tools (http://www.
microsoft.com/downloads/details.aspx?FamilyId=E3906025-00E3-407D-BF5B-9
9D546021923&displaylang=en), die Aufschluss darüber geben, wie das Netwerk
nach der Installation aussehen wird.
Konsole zeigt Komponentenstatus an
Mit der Installation der Suite steht dem Administrator die Windows Essential
Business Server Administration Console zur Wahrnehmung seiner Aufgaben zur
Verfügung. Mit Hilfe der Administrationskonsole wird auch der Status von Geräten
oder Software anderer Hersteller im Netz durch integriertes Monitoring abgebildet.
Zu diesem Zweck haben Partner und Drittanbieter ergänzende Anwendungen
durch Plug-ins realisiert.
182 www.TecChannel.de

Der Essential Business Server von Microsoft
Dazu gehören laut Microsoft Angebote von den Hardwareherstellern AMD, Dell,
HP, IBM, Intel, Lenovo und Sun Microsystems sowie von den Softwareherstellern
Computer Associates, Citrix Systems, Symantec und Trend Micro. Allerdings will
auch Microsoft selbst noch in Sachen Integration aktiv werden. Der Hersteller
kündigte kürzlich an, auch seine Business-Lösungen Dynamics CRM 4.0, NAV
2009 und AX 2009 auf den EBS anpassen zu wollen.
5.2.4 Umstieg bei Ablösung alter Windows-Installationen
Techconsult-Analyst Kubsch hält das Angebot des Server-Pakets in Gestalt des EBS
für einen klugen Schachzug des Herstellers. „Microsoft war mit Bundles, zum Beispiel
dem Small Business Server, stets erfolgreich“, meint er und nennt die Zielsetzung,
die sich dahinter verbirgt: „Die Strategie von Microsoft ist es, mit dem günstigeren
Paketpreis möglichst viele Produkte beim Kunden zu platzieren.
Dadurch kann das Unternehmen die eigene Basis auch dort erhöhen, wo zuvor
Wettbewerbsprodukte installiert waren.“ Allerdings werden die CIOs in mittelständischen
Betrieben nach Einschätzung von Kubsch nicht automatisch auf die
EBS-Plattform umsteigen: „Warum sollten sie eine laufende Umgebung ohne Not
ändern?“. Ein Wechsel werde in den meisten Fällen nur dann erfolgen, wenn die
Ablösung älterer Windows-Installationen anstehe oder Unternehmen etwa mobile
Mitarbeiter einbinden sowie die Administration vereinfachen wollen.
Ein Vorteil für mittelständische Unternehmen, die mit dem EBS liebäugeln, könnte
im Preis- bzw. Lizenzmodell liegen. Mit dem Kauf der Suite fallen für die EBS Standard
Edition laut Microsoft-Listenpreis 7.799 Dollar plus 112 Dollar für die Client
Access License (ACL) je Nutzer an. Die Premium Edition kostet 10.213 Dollar plus
274 Dollar pro Anwender. Jede EBS-Server-Suite beinhaltet standardmäßig fünf
CALs. Damit ist die Anschaffung des EBS-Pakets mit den entweder drei Servern
der Standard-Edition oder den vier in der Premium-Edition enthaltenen Servern
kostengünstiger als der Kauf der einzelnen Server-Produkte. Würde ein Unternehmen
die jeweiligen Produkte separat kaufen, fi elen je Server sowohl der Grundpreis
als auch die jeweiligen Lizenzgebühren pro User an.
5.2.5 SCE-Konsole gibt Diagnose-Tipps
Auf einem HP Bladecenter c3000 mit drei Proliant BL260c G5 Server-Blades, die
jeweils über 10 GB RAM verfügten, war der Setup-Prozess der Testinstallation sehr
anspruchsvoll. Es dauerte nahezu eineinhalb Tage, bis die Server-Umgebung stand
und die Konfi guration auf den drei Maschinen für den realen Betrieb abgeschlossen
war. Die EBS Administration Console erwies sich dann in ihrer Handhabung
aber als intuitiv und schaffte in der Tat die meisten lästigen, jedoch alltäglichen
Aufgaben eines Administrators aus dem Weg.
webcode: 1779960 183

5. Kaufberatung
Das heißt: Es war leicht, Anwender-Accounts anzulegen, Rechner im Netz zu identifi
zieren sowie ihren Status und die Performance zu überwachen, Update-Funktionen
auszulesen und auftretende Fehler zu erkennen. Für die meisten Probleme,
die von den System Center Essentials Agents (SCE, http://sce.editme.com/Disco
very) auf den Netzwerk-Computern entdeckt wurden, bot die SCE-Konsole weitere
Informationen sowie mögliche Vorschläge zur Diagnose an. Allerdings war
die SCE-Konsole zunächst schwer zu verstehen und zu navigieren. Ihre Handhabung
sollte für Administratoren, die sie täglich nutzen, jedoch binnen kurzer Zeit
kein Problem mehr sein.
Remote: Der Web-Workplace erlaubt den sicheren Zugriff auf entfernte Rechner. (Quelle: Microsoft)
Im Test stellte sich auch die E-Mail-Übertragung sowie der Empfang als unproblematisch
heraus. Bewusst erzeugte Fehler auf dem Messaging Server wurden von
der EBS Administration Console rasch bemerkt und mit Hilfe der SCE das auftretende
Problem bestimmt. Zuverlässig arbeitet im Probebetrieb auch das Forefront
Threat Management Gateway (www.microsoft.com/presspass/press/2008/apr08/
04-08ForefrontBetaPR.mspx), das von Microsoft vorkonfi guriert auf die Anforderungen
des EBS ausgeliefert wird.
184 www.TecChannel.de

5.2.6 Fazit
Der Essential Business Server von Microsoft
Alles in allem hat sich der EBS im Test bewährt und bedient die Suite zweifellos
vorhandene Marktbedürfnisse. Sie hilft überlasteten Administratoren dabei, nicht
mehr nur auf Probleme zu reagieren, sondern eine Umgebung zu schaffen, in der
sie vorbeugende Kontrolle über das Netz ausüben können und mehr Freiraum für
ihre Tätigkeit bekommen. Mit den Bereichen Mail, Sicherheit, Management sowie
in der Premium-Edition auch noch Datenbank fährt Microsoft mit dem EBS einen
wirklich umfassenden Ansatz im Marktsegment für mittelständische Kunden.
Für kleinere Umgebungen, bis zu 75 Arbeitsplätzen, positioniert Microsoft mit
dem Small Business Server eine ähnliche Lösung. Diese Lösung verlangt dem System
auch deutlich weniger ab, hier reicht bereits ein Server aus. Einen Überblick,
wo Microsoft welche Lösung sieht, fi nden Sie hier.
Interessant ist, dass Microsoft mit dem SBS und dem EBS nach langer Zeit auf die
Konkurrenz durch Linux reagiert. Denn die meisten Distributionen bieten komplette
Umgebungen an, mit denen sich nahezu jeder Business-Einsatz abbilden
lässt. Zusätzlich helfen Programme wie Webmin dem Admin bei der Verwaltung.
Dennoch erfordert Linux noch immer eine Einarbeitung sowie das Überwinden
der ersten Hemmschwelle.
Peter Gruber
Peter Gruber ist Redakteur bei unserer Schwesterzweitschrift Computerwoche. Dort betreut er unter
anderem den Bereich der Mittelstands-IT.
TecChannel-Links zum Thema Webcode Compact
Der Essential Business Server von Microsoft 1779960 S.178
Windows Server 2008: Mehr Sicherheit mit RDOC und NAP 1758677 –
Windows Server 2008: Zertifi katsdienste 1735102 –
Scripting-Hilfe für ActiveDirectory 1761685 –
Mit den Webcodes gelangen Sie auf www.TecChannel.de direkt zum gewünschten Artikel. Geben Sie
dazu den Code direkt hinter die URL www.TecChannel.de ein, etwa www.TecChannel.de/465195.
webcode: 1779960 185

5. Kaufberatung
5.3 Test: Günstiger WAN-Emulator
von Apposite
Jahrelang lief alles wunderbar in der Außenstelle, plötzlich meckern die fünf Mitarbeiter
vor Ort über schlechte Antwortzeiten der Programme, die sie über die
DSL-Verbindung nutzen. Liegt es an der Leitung? Am Server? Oder ist etwas ganz
anderes schuld? Testequipment, um WAN-Strecken zu simulieren, ist meist teurer
und komplex. Mit einer Ausnahme: dem Linktropy WAN-Emulator von Apposite.
Viele Firmen nutzen WAN-Verbindungen für den Kontakt mit Außenstellen oder
mobilen Mitarbeitern. Das kann eine xDSL-Leitung sein oder eine UMTS-Verbindung,
aber auch ISDN kommt noch öfter zum Einsatz als man denkt. Wenn in so
einer Situation die entfernten Kollegen ein neues Programm erhalten sollen, oder
wenn die Filiale beispielsweise Mitarbeiterzuwachs bekommt, kann der Administrator
oft nur hoffen, dass alles gut geht. Denn einen schnellen und einfachen Weg,
um herauszufi nden, mit wie viel Bandbreite das Programm gerade noch auskommt,
gibt es in der Praxis nicht.
Anwendungen, die im lokalen Netz wunderbar funktionieren, können bei einer
weniger stabilen Anbindung unter sporadischen und schwer zu diagnostizierenden
Fehlern bis hin zum Totalausfall leiden. Es ist zwar einfach, die zusätzliche Netzlast
durch einen weiteren Mitarbeiter zu simulieren. Aus Mangel an einer Prüfstrecke
mit den gleichen physikalischen und logischen Eigenschaften ist diese Simulation
jedoch letztendlich wenig aussagekräftig.
Natürlich gibt es Hard- und Software für eine solche Aufgabe, ein WAN-Emulator
ist hier die beste Wahl. Mit ihnen lassen sich verschiedene Parameter einer Netzwerkverbindung,
vor allem die Bandbreite, gezielt regulieren. Aber auch diverse
Fehlerquellen können mit so einem Emulator praxisähnlich nachgebildet werden.
Die WAN-Emulatoren Shunra VE (www.shunra.com) vom gleichnamigen Hersteller
zum Beispiel bieten jede nur erdenkliche Simulationsgröße und eignen sich
zum Nachstellen beliebiger WAN-Strecken. Doch abgesehen vom Preis verhindert
gerade diese Komplexität den Einsatz als relativ einfaches ad-hoc-Tool für den Admin.
Hier geht es schließlich nicht um den physikalisch korrekten Nachweis von
Bandbreite bis hin zum letzten Bit sondern um eine „geht/geht nicht“-Analyse.
Und hier kommt die Linktropy-Familie von Apposite Technologies ins Spiel.
5.3.1 WAN-Emulation leicht gemacht
Der amerikanische Hersteller Apposite (www.apposite-tech.com), in Deutschland
durch den Distributor Digital Hands (http://www.digital-hands.eu/home/) repräsentiert,
bietet WAN-Emulatoren zu relativ niedrigen Preisen an, die sehr einfach
zu bedienen sind. So sollen auch Administratoren mit geringen WAN-Kenntnissen
die Geräte sofort benutzen können.
186 www.TecChannel.de

Test: Günstiger WAN-Emulator von Apposite
WAN in a box: Der Linktropy 4500 emuliert eine WAN-Verbindung inklusive aller Unwägbarkeiten wie
Datenverlusten oder Verzögerungen.
Das kleinste System, das Linktropy Mini, fängt bei knapp 1600 Euro an. Für den
Test stand ein Linktropy 4500 zur Verfügung, der einen WAN-Link mit bis zu 155
MBit/s Durchsatz emulieren kann. Das ist genug für eine ATM-Verbindung mit
voller Geschwindigkeit und reicht auf jeden Fall für jede Art der aktuell erhältlichen
xDSL-Varianten.
Die größeren Geräte Linktropy 7500 und 7500pro können bis zu einem Gigabit
Bandbreite simulieren und verfügen über mehrere Interfaces, darunter auch optische
Anschlüsse mit SFP-Modulen. Möglich werden die vergleichsweise niedrigen
Preise laut Hersteller durch den Verzicht auf eigens entwickelte ASICs. Diese
würden die Emulation zwar mit höherer Genauigkeit ermöglichen, die Kosten allerdings
erheblich nach oben treiben. Da Apposite vor allem auf Softwareentwickler
und Administratoren als Kunden abzielt, sind die erreichbare Genauigkeit und
die eingebauten Features jedoch mehr als ausreichend.
5.3.2 Einstecken und fertig
Ein WAN-Emulator ist prinzipiell äußerst simpel: Er sitzt zwischen zwei Netzwerksegmenten,
bei Apposite als A und B gekennzeichnet, und kontrolliert die
Verbindung in beide Richtungen. Dafür sind beim Modell 4500 zwei RJ-45 Ports
vorgesehen, die Bandbreite lässt sich in beide Richtungen getrennt einstellen und
so eine asynchrone Verbindung simulieren.
Ein weiterer Netzwerkanschluss dient zum Management des Geräts. Sinnvollerweise
nutzt man dafür ein getrenntes Netzwerksegment oder schließt den Management-PC
direkt mit einem Netzwerkkabel an. So wird verhindert, dass das
Messergebnis durch den Management-Traffi c verfälscht wird.
Die Web-basierte Software ist simpel aufgebaut, im Test ließen sich sowohl der Internet
Explorer 7 als auch der Firefox 2.0.0.14 zur Verwaltung nutzen. Weil sich die
Web-basierte Benutzeroberfl äche zwischen den Familienmitgliedern nicht unterscheidet,
einzig das Modell Mini muss auf den Datenexport als CSV-Datei verzichten,
gelten die Aussagen und Testergebnisse in dieser Hinsicht für alle Geräte.
webcode: 1763593 187

5. Kaufberatung
Drei Netzwerkkabel, ein Stromanschluss, mehr braucht der Linktropy-Emulator
nicht. Ohne zu übertreiben, ist der WAN-Emulator nach höchstens einer Viertelstunde
einsatzbereit, einschließlich auspacken und Kabel anstecken.
5.3.3 Emulation
Nachdem man über die Default IP-Adresse 10.0.0.10. mit dem Gerät Verbindung
aufgenommen hat, kann die WAN-Emulation starten. Alternativ bieten die Linktropy-Geräte
auch eine serielle Schnittstelle an, um die Grundkonfi guration zu erledigen.
Wie das geht, führt Apposite im beigelegten Quick-Start Guide aus.
So viel wie nötig: Mehr als die gewünschte Bandbreite muss man nicht einstellen, die Parameter im
unteren Teil sind im Normalfall nicht nötig.
Die Menüs des Emulators sind klar aufgeteilt: ein Fenster kümmert sich um die
Emulationseinstellungen, eines um die Bridge- oder Routingparameter, eines um
die Systemdaten wie die IP-Adresse und die Link-Geschwindigkeiten der beiden
Test-Ports und eines bietet Speicherplätze, um Testparameter zu organisieren, abzulegen
und wieder aufzurufen.
188 www.TecChannel.de

Test: Günstiger WAN-Emulator von Apposite
Das letzte Fenster ist dem Update des Systems vorbehalten. Ändert man Einstellungen
auf einer Seite markiert das System die Werte in Fettschrift, bei Syntaxfehlern
wird das Fenster rot umrandet. Fehleingaben sind damit praktisch ausgeschlossen.
Aktuell ist die Firmware 3.1.4., Updates gibt es für Kunden (nach
Registrierung) auf der Apposite-Website kostenlos zum Download.
5.3.4 Messen...
Grundsätzlich bietet das Gerät zwei Betriebsarten an, Bridge oder Router. Der
Bridging-Mode ist transparent, alle Datenpakete werden von A nach B und umgekehrt
geleitet. Wer Routen will, muss die gewünschten statischen Routen im entsprechenden
Menü eintragen - über Routingprotokolle wie RIP oder OSPF zum
automatischen Finden und Setzen von Routen verfügt das Gerät nicht.
Zu Beginn der Testreihe ist es empfehlenswert, die Emulation ohne jede Limitierung
oder Fehlersimulation über den großen Button am oberen Ende des Management-Tools
einzuschalten. Im Statistikbildschirm sieht man jetzt, was über den
Testlink an Daten geschleust wird. Die Erfassung läuft zwar in Echtzeit, das Update
im Diagramm erfolgt allerdings minimal in Intervallen von einer Sekunde. Wird
ein großer Datentransfer auf einer Seite gestartet, lässt sich sofort der Gesamtdurchsatz
ablesen.
Vollgas: Hoher Durchsatz bei einem Filetransfer über eine Firewall.
webcode: 1763593 189

5. Kaufberatung
Während des Tests erwies sich das Linktropy 4500 als zuverlässiges Tool, um Netzwerkdurchsätze
für eine ganze Reihe von Produkten zu messen. So konnten mehrere
Firewalls und Router damit auf ihren Durchsatz unter hoher Belastung getestet
werden. Die Genauigkeit des Systems ist schwer in absoluten Zahlen festzuhalten,
laut Hersteller soll die Abweichung von der eingestellten Limitierung bei unter
einem Prozent liegen. Was die Statistikdaten angeht, konnten wir im Test praktisch
Übereinstimmung mit Messergebnissen des Benchmark-Tools Iometer erzielen.
5.3.5 ...und Drosseln
Administratoren werden das Gerät aber weniger zum Messen von Durchsätzen als
für die Simulation von WAN-Strecken einsetzen. Die Bandbreite selbst ist in
Schritten von einem Bit pro Sekunde wählbar, dazu lassen sich noch diverse Störeinfl
üsse auswählen.
Nadelöhr: Die Limitierung deckelt den Durchsatz sauber.
Absolute Paketverluste sind genauso dabei wie die Bitfehlerhäufi gkeit (BER) und
Verzögerungen. Die Bitfehlerhäufi gkeit ist ein sehr wichtiger Parameter bei WAN-
Strecken, der auch bei einer ganzen Reihe von standardisierten Tests bezüglich der
Güte einer Verbindung zum Einsatz kommt (BER-Test oder BERT). Eine Bitfehlerhäufi
gkeit von 3*10-6 bedeutet beispielsweise, dass von einer Million übertragener
oder gespeicherter Bits durchschnittlich drei Bits falsch sein können.
Man darf sie nicht mit der Bitfehlerwahrscheinlichkeit (BEP) verwechseln, sie bezieht
sich auf eine, durch theoretische Überlegungen berechnete Wahrscheinlichkeit,
für das Auftreten eines Bitfehlers. Dazu gibt es noch eine Reihe von erwei-
190 www.TecChannel.de

Test: Günstiger WAN-Emulator von Apposite
terten Parametern, die alle mit einer ausführlichen Online-Hilfe versehen und
noch mal länger in der englischen PDF-Userguide beschrieben sind.
5.3.6 Lastsimulation
Um die bereits vorhandene Netzwerklast auf einer Verbindung zu simulieren, erzeugt
das Linktropy 4500 auch eine Art „Hintergrundrauschen“. Es lässt sich bis zu
100 Prozent skalieren, auch wenn das in der Praxis keinen Sinn ergibt. Wichtiger
sind hingegen die Auswirkungen von Paketverlusten auf den Durchsatz. Schon bei
relativ niedrigen Werten, geht die Leistung dermaßen in die Knie, dass Dateitransfers
praktisch undurchführbar werden.
Im Test ließ sich auch die Auswirkung von Latenzzeiten auf VoIP-Übertragungen
sehr gut darstellen. Für eine Firma, die beispielsweise ihre Außenstelle per WAN-
Leitung und VoIP mit Sprachtelefonie versorgen will, sind das sehr wertvolle Daten.
Sind die gewünschten Einstellungen vorgenommen, genügt der Mausklick auf
den „Ein“-Knopf um die Emulation zu starten.
Große Wirkung: Schon eine Fehlerrate von 0,05% hat deutliche Auswirkungen auf den Durchsatz.
Änderungen bei den Test- und Fehlerparametern werden durch ein „Apply“ sofort
auf die Verbindung angewendet, so kann man einfach an einem Wert „drehen“, bis
die Anwendung reagiert. Um solche Abläufe zu automatisieren hat Apposite einen
Scheduler eingebaut. Mit ihm können Parameter in Blöcken für einen bestimmten
Zeitraum vorgegeben werden. Der Scheduler arbeitet alle Blöcke der Reihe nach
ab, und fängt danach auf Wunsch wieder von vorne an. Damit sind ausführliche
Belastungstests mit schrittweise schlechter werdenden Bedingungen möglich.
webcode: 1763593 191

5. Kaufberatung
Mit Hilfe der Exportfunktion lassen sich die Ergebnisse als CSV-Datei exportieren.
Ausreichende Excel-Kenntnisse voraus gesetzt, kann der Benutzer damit sehr umfassende
Diagramme und Tabellen erstellen. Für den schnellen Test oder die Fehlersuche
genügt in der Regel das Statistikfenster des Linktropy.
5.3.7 Fazit
Wer die sicherstellen muss, dass Anwendungen auch über WAN-Verbindungen
optimal nutzbar sind, oder für die reibungslose Anbindung von Außenstellen und
mobilen Mitarbeitern verantwortlich ist, fi ndet in der Linktropy-Gerätefamilie einen
relativ günstigen und extrem unkomplizierten Partner.
Quickinfo: WAN-Emulator von Apposite
Produkt Linktropy 4500
Hersteller Apposite, www.apposite-tech.com (www.digital-hands.eu)
Preis 2 Mbps: 3500 Euro (exkl. MwSt)
155 Mbps: 8500 Euro (exkl. MwSt)
Maximal simulierter Durchsatz 2 - 155 Mbps
Einstellbare Parameter Bandbreite, Latenz, Paketverlust, Bitfehler, Änderung der
Paketreihenfolge, Verdoppelung von Paketen, Grundlast
Formfaktor 1U
Administratoren werden die einfache Bedienung schätzen und das Gerät auch für
Durchsatztests einsetzen. Der Linktropy 4500 lässt sich in verschiedenen Ausbaustufen
erwerben. In der kleinsten ist der maximale Durchsatz auf 2 Mbps begrenzt,
in der größten beträgt sie – wie getestet – 155 Mbps.
Elmar Török
Elmar Török arbeitet seit 1993 als Autor und Fachjournalist im Bereich Netzwerke und Telekommunikation.
Mittlerweile hat er neben zwei Büchern einige Hundert Artikel für zahlreiche Medien – online wie
offl ine – geschrieben, darunter PC Professionell, LANline, c‘t, IT-Administrator, sueddeutsche.de und
TecChannel.
TecChannel-Links zum Thema Webcode Compact
Test: Günstiger WAN-Emulator von Apposite 1763593 S.186
Die besten Netzwerk-Tools für kleine und mittlere Windows-LANs 461560 S.38
Tipps zur Wahl der richtigen VPN-Technik 1737650 –
192 www.TecChannel.de

Index
A
Adaptation Protocol 95
Appliance 129
Asset-Management 53
Asynchronous Connectionless Link 98
B
Bare-Metal-Restore 140
Base Station Controller 106
BES 156
Binary Phase Shift Keying 110
BlackBerry Unite 156
Bluetooth 88
BSIG 88
C
Captive Portal 10
Channel Classifi cation 94
Cladding 82
Clustering 140
Codier-Schemata 110
Compliance 126, 145, 152
Content Filtering 127
Continuous Data Protection 137
Core 82
Core Network 106
D
Data Leakage Protection 126
Data Link Layer 95
Data Stream Modifi cation 21
Desaster Recovery 140
Device Discovery 100
Domain Controller 28
Druckermanagement-Tool 167
Dynamic Response System 133
E
E-Mail-Sicherheit 123
Einschaltmonitor 48
Energiebedarf 56
Energy Effi cient Ethernet 58
Enhanced Data Rate 89
Enrollment-Prozess 161
Essential Business Server 178
Index
F
Failover 140
Femtozellen 115
Fingerprinting 128
Frequency Hopping Spread Spectrum 92
G
Gaussian Frequency Shift Keying 93
Geocluster 137
GetMAC 32
Glasfaser 57
Gradientenindex 83
Green IT 56
GSM 104
H
Hierarchisches Speicher Management 134
Home Node 117
Homogenitäten 68
Hop Sequence Modifi cation 94
Host Controller Interface 91
Hotspot 10
HSDPA 107, 116
HSUPA 108
Hybrid-Treiber 169
I
Impedanz 67
Information Lifecycle Management 134
Inquiry 97
Inventarisierung 53
IP-Adresse 31
Isochrone Verkehrsströme 90
IT-Assets 179
IT Director 43
K
Keyword-Matching 127
Koaxialkabel 61
Koexistenzproblematik 94
Kopplungselemente 86
L
Lastsimulation 191
Latenzzeit 111, 191
www.TecChannel.de 193

Index
Leistungsaufnahme 56, 57
Light Emitting Diode 80
Link-Klassen 64
Link-Tester 76
Link Manager Protocol 95
Lizenzmanagement 51
Logical Link Control 95
Long Term Evolution 114
Luftschnittstelle 106
LWL 79
M
M0n0wall 10
MAC/PHY-Implementierung 89
Mail-Policy 150
Makrozellen 115
Master-Clock 92
Media Gateway 106
Message Transfer Agent 129
Mobile Switching Center 106
Modulation 109
Monitoring 43
Monomode 83
Multi-Pass-Druckwerk 168
Multifunktionsgeräte 166
N
Nanozellen 115
Network Interface Cards 59
Netzwerk-Tools 38
O
Object Exchange Protocol 101
OpenSSH 24
Optic Time Domain Refl ectometry 85
Outputmanagement 172
P
Paging 97
Pairing 89
Patchpanel 74
PCL 169
Piconetz 89
PowerShell 28
Pre-Enrollment Wizard 161
R
RDP-Protokoll 17
Remote-Support 19
194 www.TecChannel.de
Remote Framebuffer 17
Remote Login 40
Reputationstechnik 131
RFCOMM 101
RJ11 65
Router 189
S
Scripts 28
Service 20
Service Discovery Protocol 100
Shared Channel Transmission 112
Shell Scripting 28
SI-Prefi x 115
Sicherheitsregeln 15
Single-Instance-Speicherung 135
Single-Pass-Druckwerk 168
Snapshooting 140
Software-Lizenzen 51
Spam-Filterung 131
SSH 23
Stromverschlüsselung 102
Synchronous Connection-Oriented Link
97
System Center Essentials Agent 184
T
Time Division Duplex 93
Tunnelung 23
Twisted Pair 64
U
Ultra Low Power 89
Ultra Wide Band 89
UMTS 104, 116
USB-Sperrung 46
UTRAN 107
V
Virtual Network Computing 17
VLAN 10
VNC 17
vPro 43
W
WAN-Emulator 186
Wellenwiderstand 67
Wireless Personal Area Network 88
WLAN 10