• Wird in der analogen Welt etwas gestohlen, dann hat jemand anderer den Gegenstand und der legitime Besitzer bemerkt den Verlust.
• Wird in der digitalen Welt etwas “gestohlen”, dann hat auch jemand anderer die Daten und der legitime Besitzer verliert nichts, bemerkt also gar nicht, dass von ihm Daten gestohlen kopiert wurden.

Wir sind es aus der analogen Welt gewöhnt das ein Diebstahl mit dem Verlust einer Sache verbunden ist, den wir früher oder später bemerken, daher gehen wir von einem “Datendiebstahl” auch nur dann aus, wenn wir dies bemerken. Nur weil Facebook keinen Hinweis auf einen Datenmissbrauch feststellen konnte, gehen sie davon aus, dass die Daten, auf die die Werbekunden seit 2007 Zugriff hatten, nicht missbraucht wurden. Es gibt aber auch durchaus Möglichkeiten Daten zu missbrauchen ohne dass das Opfer überhaupt ahnt Opfer zu sein.

Wenn ich via Trojaner auf dem Computer meines Opfers Zugriff auf seinen E-Mail-Account habe, dann kann ich die Korrespondenz mitlesen und dies ohne aufzufallen. Ist er in der richtigen Position in einem Unternehmen beschäftigt, dann kann mir dieses Mitlesen durchaus nützlich sein. Erledigt er beispielsweise seine Angebotsabgabe an mögliche Kunden per E-Mail, so kann ich ihn leicht unterbieten, um den Zuschlag zu bekommen. So lange ich meine Aktivitäten nicht zu häufig und zu auffällig mache, wird er mich wahrscheinlich nie bemerken.


“Deutsche Unternehmen fürchten Datenattacken – Ernst & Young-Studie zu Datenklau” (ey.com)

Derzeit fühlt sich die Mehrheit der deutschen Unternehmen allerdings vor Attacken gefeit, nur zehn Prozent berichten von Wirtschaftsspionage oder Datenklau-Attacken in den vergangenen drei Jahren.

Zu beachten ist hierbei: “Derzeit fühlt sich…” — eben, es ist nur ein Gefühl, kein Wissen.

In jedem Unternehmen gibt es Mitarbeiter die zum Teil weitreichende Zugriffsberechtigungen benötigen um ihren Job zu erledigen und all diese Mitarbeiter sind potenzielle Datenkopierer.

• Jemand der im Marketing arbeitet der hat natürlich Zugriff auf die Kundendaten, die er aber auch kopieren kann, um sie direkt zu verkaufen.
• Ein Mitarbeiter aus der Buchhaltung hat u.a. auch Zugang zu den Daten, welche Beträge an welche Firmen geflossen sind, die u.U. auch Rückschlüsse auf streng vertrauliche Geschäftsbeziehungen zulassen.
• Ein kleines Licht in der Personalabteilung kann sich evtl. Zugang zu den Bewerbungen oder auch Abwerbungsangeboten verschaffen, um auch diese Informationen in Bares zu verwandeln.

Ich behaupte: Sehr viele Datenkopierer werden gar nicht bekannt, weil es in der digitalen Welt so einfach wie nie zuvor geworden ist, unbemerkt Informationen zu kopieren und unbemerkt an einen anderen Ort zu verschieben, um daraus Kapital zu schlagen.


Wer via Suchmaschine nach Datenbank-Dumps sucht, nach txt-, csv-, xls- oder auch doc-Dateien, wird sehr schnell auf Datenbestände stoßen, die einfach nur aus Dummheit das Licht der Öffentlichkeit erblickt haben. Wer sich nun diese Daten zu eigen macht, der muss kaum mit Verfolgung rechnen, da sein “Angriff” nicht bemerkt wird.


Das was wir in den letzten Wochen über “Datendiebstahl” gelesen haben, war nur die sprichwörtliche Spitze des Eisbergs.

“Datendiebstahl” oder “Datenkopierer” ist nun keine Wortklauberei von mir, sondern der Versuch klar zu machen, dass ein Datenmissbrauch, nur weil er nicht bemerkt wurde, trotzdem stattgefunden haben kann.

Twitter ist nicht sicher. Also, ich habe vorhin geguckt schnell im Internet, bevor ich hier reingegangen bin.

Das Internet ist sicherer als Twitter?!

Wurde das durch diesen ganzen BND-, BKA- und sonstigen Apparat “durchgerattert”, und am Ende stand, das können wir machen,…

Ja natürlich! Das BKA und auch der BND als Auslandsaufklärung hat erst Twitter gehackt um zu sehen wie sicher oder unsicher der Dienst ist… OMG

Der Herr Steegmans ist Mr. Cool — ich glaube ich wäre vor Lachen vom Stuhl gefallen.

Die “Mitschrift Pressekonferenz – Regierungspressekonferenz vom 25. März” (bundesregierung.de) ist nicht ganz wörtlich, aber naja, ich will nicht schon wieder den Korinthenkacker machen. :O)


Die “Qualitätsjournalisten” meinen dass der Empfang eines Fax vom Bundespresseamt sicher wäre. Hierzu eine kleine Anekdote:

In den ’90ern kamen Faxgeräte in Mode und waren auch für kleine Unternehmen und Privatpersonen erschwinglich. Mit einem Arbeitskollegen sprach ich damals darüber und wie man etwas versenden kann, wobei der Empfänger nicht sicher sein kann, wer das Fax abgesendet hat. Sein Vater war der Meinung das Fax ein sicherer Kommunikationsweg wäre und man könne da nichts fälschen. Naja… ;O)

Sein Vater war eher Atheist und seine Mutter eher religiös eingestellt. Dies nahm ich zum Anlass ein Fax zu versenden und bat meinen Kollegen um die Faxnummer. In dem Fax bestätigte ich, als ein fiktiver Reiseveranstalter deren Absenderkennung ich in meinem Faxgerät einstellte, eine Papstaudienz mit einwöchiger Unterkunft für zwei Personen in einem Kloster in Rom. Diese Bestätigung zeigte ich meinem Kollegen und fragte nach einer geeigneten Uhrzeit für mein Fax, damit er zugegen ist und die Angelegenheit auflösen konnte, damit es nicht zu einem ernsthaften Streit zwischen seinen Eltern kommt. Man kann sich denken was passierte. :O)

Seine Mutter fand diese Aktion sehr interessant und lustig, sein Vater wurde desillusioniert und etwas weniger technikgläubig.


Woran hängt denn die Sicherheit eines Twitter-Accounts?

Zum einen an der Authentizität des Accounts selber. Also woher weiß ich das @RegSprecher (twitter.com) der echte Account vom Regierungssprecher ist?

Leider hat der Internetbeauftragte des Bundespresseamtes keinen Hinweis zu Twitter auf der Seite vom Regierungssprecher Steffen Seibert (bundesregierung.de) hinterlassen, aber dafür gibt es hier etwas dazu: “Der Regierungssprecher twittert” (bundesregierung.de)

Der zweiter wichtige Punkt ist die Stärke des Passwortes welches Herr Seibert vergebenen hat. Evtl. kommt man mit etwas Hintergrundrecherche zu seinem Privatleben an das Passwort. Vorname der Ehefrau, der Kinder, des Hundes oder des Goldfischs, Geburtsdaten, Name der besuchten Schulen oder beliebte Urlaubsorte. Aber vielleicht hat Herr Seibert auch nachgedacht und etwas wie >31}{4;57,8z^69:20*_X)O verwendet, man weiß ja nie.


Diese Journalisten haben den Informationsvorsprung schon in weiten Teilen verloren, sie haben es nur noch nicht mitbekommen — weil es nicht in der Tageszeitung stand.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte 2008 konstatiert, dass das Webanalyse-Tool Google Analytics nach deutschem Recht nicht datenschutzkonform eingesetzt werden könne und schleswig-holsteinische Webseitenbetreiber darauf hingewiesen. Jetzt raten die Datenschützer zum kostenlosen Tool Piwik.

Aus dem PDF der Datenschützer:

Das Programm wird auf dem Webserver des Anwenders (im Folgenden: „Piwik-Verwender“) installiert und speichert Daten ebenfalls nur auf dem Server des Piwik-Verwenders. Es handelt sich also um eine sogenannte Inhouse-Lösung für Web-Analyse.

Quelle: https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf

Da die Installation von Piwik nicht auf dem Server erfolgen muss auf dem die zu trackenden Besucher auflaufen, ist alleine deren Verwendung nicht automatisch mit besserem Datenschutz gleichzusetzen.

Immer diese Datenschützer mit ihren falschen Annahmen — Google ist per se böse und Piwik ist per se gut.

Auch Piwik kann ich so einsetzen das Daten auf einem fremden Server gespeichert werden, was nötig werden kann, wenn auf dem Server der zu trackenden Website kein PHP oder MySQL läuft.


Piwik (de.piwik.org) ist nach meiner Meinung eine sehr gute Alternative zu Google Analytics (google.com). Bei Piwik weiß ich wo die Daten landen, sofern ich die Installation bei mir mache, bei Google weiß ich dies nicht. Wer seine Website gewissenhaft pflegt und mit den anfallenden Daten auch gewissenhaft umgeht, der kann mit Piwik nicht so viel falsch machen.

Aus dem PDF Seite 12:

Cross-Site-Scripting

Ein weiteres Problem ist das „Cross-Site-Scripting“: Dabei nimmt eine Webanwendung Daten von einem Nutzer an und sendet sie ungeprüft an einen anderen Browser weiter. So kann ein Angreifer zum Beispiel Skripte auf dem Rechner seines Opfers ausführen.

<sezier>

Dabei nimmt eine Webanwendung Daten von einem Nutzer an

Richtig…

und sendet sie ungeprüft

richtig…

an einen anderen Browser weiter.

nicht so ganz richtig.
</sezier>

Reflexives Cross-Site Scripting

Bei reflexivem XSS sendet das Opfer unbemerkt selber den Schadcode an den Server, der von diesem zurückgesendet und vom Browser des Opfers interpretiert wird.

Der Angreifer verteilt eine mit unerwünschtem Code erweiterte URL, via Kurz-URL (bit.ly, tinyurl.com, goo.gl, etc.) über Twitter, Skype, Facebook, Blogs, Kommentare jeglicher Art oder meinetwegen auch per E-Mail, an seine Opfer. Das Opfer klickt den Link zur Kurz-URL an und sendet damit den unerwünschten Code selber an den Server. Bei dem Code handelt es sich meist um JavaScript, HTML und/oder CSS. Der Server verarbeitet diesen Code aber nicht, sondern sendet ihn ungefiltert (die XSS-Lücke) an den Client, den Browser des Opfers, zurück und dieser interpretiert dies.

Szenario:
Ein Angreifer findet eine XSS-Lücke in einer Website, beispielsweise in der der Harvard University:
http://news.harvard.edu/gazette/
?s=</script><script>alert('Dumpfbacken!')</script>

bit.ly macht daraus: http://bit.ly/gU9q96

Der Angreifer verteilt nur diese Kurz-URL.

Da die meisten Opfer arglos sind, klicken sie den Link zur Kurz-URL an und schon sind sie in die Falle getappt und… sehen in diesem Fall nur eine JavaScript-Alert-Meldung. Bei einem echten böswilligen Angriff bemerkt das Opfer gar nicht, dass im Hintergrund, für ihn nicht sichtbar, etwas geschehen ist, zum Beispiel das Auslesen des Session-Cookie, mit deren Hilfe sich der Angreifer in den Account des Opfers einschleichen kann.

Ein Angreifer

1. findet eine XSS-Lücke,
2. nutzt Kurz-URL-Dienste zum verschleiern der manipulierten URL und
3. verteilt diese Kurz-URL.

Das Opfer

1. klickt auf den Link zur Kurz-URL. Der Aufruf mit der manipulierten URL erfolgt vom Browser des Opfers.
2. Der Server sendet den Schadcode zurück an den Absender, den Browser des Opfers.
3. Der zurückgesendete Code führt dann im Browser des Opfers, den meist destruktiven Code des Angreifers aus, der aber vom Opfer selber an den Server gesendet wurde.

<fund_am_rande>
Hängt man an die bit.ly-Kurz-URL ein Pluszeichens (+), so kann man neben der Statistik (wie oft die URL aufgerufen wurde, woher der Aufruf kam) auch den “Long Link” sehen, damit man weiß wohin man weitergeleitet wird.

Hänge ich nun an die obige bit.ly-URL das Pluszeichen ran, sehe ich auch den JavaScript-Alert, was mal wieder zeigt: Viele, sehr viele Websites sind Anfällig für Cross-Site Scripting.
</fund_am_rande>

Persistentes Cross-Site Scripting

Auch hier findet ein Angreifer eine XSS-Lücke in einer Website, aber hier wird der Schadcode auf dem Server gespeichert. Foren, Gästebücher, Kommentare oder auch die Profilseiten eines registrierten Benutzers der Website können entsprechende Lücken aufweisen, um ausführbaren Code zu speichern. Das Opfer wird in diesem Fall auf eine regulär erscheinende URL verwiesen, der man nicht ansehen kann, dass dahinter ein Angriff verborgen ist.

Für diesen Fall könnte man die Aussage des BSI zum Teil gelten lassen — wenn man gnädig ist. ;O)


Am häufigsten trifft man auf reflexives Cross-Site Scripting, wahrscheinlich weil Entwickler noch immer meinen, was der Server nicht speichert, das kann auch nicht gefährlich sein.


Weiter von Seite 12 des PDFs:

Über das „Cross-Site-Scripting“ werden nicht nur die Anbieter, sondern auch die Benutzer der Webseite angegriffen, was einen hohen Imageverlust für den Anbieter bedeutet.

Das Ziel von XSS-Angriffen sind meist die Besucher einer Website und nicht der Anbieter selber. Ist z.B. mal wieder eine Lücke in Twitter bekannt, so ist beispielsweise das Ziel der Angriffe, unbemerkt einen Wurm von anderen Benutzern weiterverbreiten zu lassen. Hierbei soll die Reputation der Benutzer ausgenutzt werden. Der Betreiber, also Twitter selber, ist hierbei nicht das Ziel des Angriffs. Der Wurm kann Code enthalten um Zugangsdaten zu stehlen oder um einfach nur einen Link zu einem Shop mit Blauen-Pillen zu verbreiten.


Mir geht es hier nicht darum, das BSI vorzuführen, sondern darum, dass sich Missverständnisse erst gar nicht weiter verbreiten. Es kommt eben manchmal doch auf die Korinthe an die gekackt werden muss.

“Wir führen keine Daten aus dem ec-Netzbetrieb der easycash mit den Daten aus den Kundenkartenprogrammen der easycash Loyalty Solutions zusammen“, unterstreicht Frank Wio, Mitglied der easycash Geschäftsleitung.

Er meinte wohl eher, dass dies nicht mehr gemacht wird, denn:

Auf dieser Basis ist es zu einer temporären Zusammenarbeit mit einem Kunden gekommen.

Dies bedeutet also, dass zumindest einmal Daten unberechtigt zusammengeführt und einem Kunden zum Kauf angeboten wurden. NDR Info war nur in einem Punkt etwas ungenau; Zur Zeit werden (hoffentlich) keine entsprechenden Daten mehr angeboten, aber in der Vergangenheit ist dies, laut dieser Stellungnahme, sehr wohl vorgekommen.

Da die Anschuldigungen geschäftsschädigenden Charakter für die Unternehmen und ihre Kunden haben, prüft das Unternehmen derzeit rechtliche Schritte.

Einen “geschäftsschädigenden Charakter” hat das alles ohne Zweifel und es strahlt auch auf die Kunden von easycash ab — aber dies geht nicht auf das Konto von NDR Info, sie haben es nur ans Licht gebracht.

Derlei Daten einfach zusammenzuführen um sie zu vergolden, zeugt von erheblichen Defiziten im Datenschutz. Das Mitarbeiter auf solche kruden Ideen kommen kann ich mir gut vorstellen, dass diese dann aber bis zu einem fertigen Produkt weiterentwickelt und Kunden angeboten werden… Ein Unternehmen bei dem jegliches Gespür für Datenschutz fehlt, sollte ganz genau von den Landesdatenschützern unter die Lupe genommen werden.


Da die Webfuzzies (oder die Redakteure) von ndr.de unfähig sind die Bedeutung einer URL und die Verlinkung dazu zu verstehen, (Vier Screenshots dazu.) ist es mir an dieser Stelle nicht möglich einen Link zu einem Artikel von NDR Info zu verbreiten, also nur dies: http://www.ndr.de/suche10.html?query=easycash

(Während ich das hier schreibe wurde die Headline, zu meinen Screenshots, schon wieder geändert.<g>)

Mal davon abgesehen dass ich das Logo einfach nur hässlich finde (Über Geschmack kann man nicht streiten oder vielleicht doch? <g>), hat das “SVG Export Plug-In . SVG Version: 6.00 Build 14948)” von “Generator: Adobe Illustrator 13.0.0″ keine gute Arbeit geleistet.

Denn am Ende der Datei müsste dies stehen:
...
</g>
</svg>

Schaut sich denn niemand mehr das Material an, welches veröffentlicht und zur Verfügung gestellt wird?


das logo selber habe ich hier nicht eingefügt – weil ich es ja so hässlich finde. :O)

FACEBOOK-NUTZUNG
Deutschland liegt hinten

Verglichen mit anderen europäischen Ländern ist Deutschland Facebook-Entwicklungsland.

Die IWB-Grafik zeigt die absoluten Nutzerzahlen. Hier meine Balkengrafik mit Zahlen von heute:

Es sieht so aus, als ob Schweden hinter Deutschland, bei der Nutzung von Facebook, liegen würde — dem ist aber nicht so.

Die Grundaussage der IWB, dass “Deutschland Facebook-Entwicklungsland” ist, ist nicht falsch, aber Deutschland steht dabei nicht auf Platz 6, sondern viel weiter hinten.

Ich mach dann mal wieder den Korinthenkacker. ;O)


Wenn in Schweden von 7,7 Mio. Onlinern 3,9 Mio. Facebook nutzen, sind dies immerhin 51%. In Deutschland gibt es hingegen nur 17,1% Facebook-User unter den Onlinern. An diesem Beispiel ist leicht erkennbar, dass ein einfacher Vergleich der absoluten Nutzerzahlen wenig hilfreich ist, um den Verbreitungsgrad in einem Land zu bewerten.

Wenn die Verbreitung von Facebook verglichen wird, dann muss berücksichtigt werden wie viele Menschen in einem Land das Internet nutzen. Und auf Grundlage dieser Onlinern erfolgt dann eine statistische Aufbereitung.

In dieser Studie gibt es folgende Nutzer:

• WNK: Weitester Nutzerkreis / Nutzung des Internets innerhalb der letzten 6 Monate (81,4%)
• ENK: Engerer Nutzerkreis / Nutzung des Internets mehrmals pro Woche oder häufiger (73,2%)
• Heavy User: Nutzung des Internets täglich oder fast täglich (60,8%)
• Offliner: Keine Internetnutzung innerhalb der letzten 6 Monate (18,6%)

Da mir Nutzer die nur innerhalb der letzten 6 Monate online waren wenig aussagekräftig erscheinen, habe ich die Zahl des “Engerer(n) Nutzerkreis(es)” genommen. Die Studie zeigt die Entwicklung in der Schweiz, für die Jahre von 1999 bis 2009.

Computernutzung in der Türkei (in %)
(…)
.Internetnutzung der 16 bis 74jährigen (…) 2009: 38,1

Es gibt auf Zypern 871.000 Einwohner.
Quelle: Liste der Staaten der Erde (de.wikipedia.org)

Im Report der Europäischen Kommission wird für 2008 unter

% pop. who are regular internet users (using the internet at least once a week)

35% aufgelistet.
871.000 * 35% = 304.850 Onliner

Von diesen 304.850 Onlinern sind 266.600 aktive Facebook-User.
266.600 / 304.850 = 87,5%

Achten die Deutschen eher auf Datenschutz und Privatsphäre als die Onliner der anderen 29 Staaten oder wo ist der Grund für die Zurückhaltung zu suchen?

2 computer verbinden für internet windows 98

Hallo?! Bei dem “98″ könnte man vermuten das es sich um eine Jahreszahl handelt?! Verschrotten – nicht verbinden!

md5 unsicher für passwörter

Ungesalzen ist MD5 genau so unsicher wie anderer Algorithmen, weil es

md5 cracker

gibt.

streng vertraulich type=xls

Also wenn, dann muss es filetype:xls oder ext:xls heißen. Man wird allerdings z.B. vom Bund oder seinen Behörden kaum etwas finden, es sei denn ein frustrierter Beamter will seinem Ärger Luft machen.

robots.txt disallow filetype .txt bnd

suchen? Hier http://www.bnd.de/robots.txt stehts doch!?

mitarbeit bnd
bnd vorstellungsgespräch
bnd braucht mitarbeiter
Vorstellungsgespräch beim BND
einstellungsgespräch beim bnd
inoffizielle Mitarbeiter bnd

absturz firefox 5 warum?

Aktuell sind wir beim Firefox 3.6 – also ist der Trojaner wohl nicht so gut gecodet?!

warum erscheinen meine gespeicherten dateien in der google suchmaschine

Da tipp ich mal auf aktiviertes Directory-Listing – kann und sollte man abschalten.

Was macht ein Linkbuilder?
wie linkbuilder werden
linkbuilding woher links bekommen

Ist Suchmaschinen-Spammer bereits ein erstrebenswerter Beruf?

wo wohne ich

In einer Welt in der verwirrte Menschen leben?!

wie kann ich im studivz den schutz abschalten
hat studivz meine ip adressdaten?
ip adresse nicht anzeigen studivz
können andere meine ip adresse sehen? studivz
studivz ip abschalten

ab wann und wieviel uhr werden bei studivz die ip adresse gespeichert?

Vom 32. Januar bis zum 35. Februar des Folgejahrhunderts und zwischen 6 Uhr 62 und 28 Uhr, bei 1,5 Promille Schweiß-Alkohol… so oder so ähnlich, das macht jeder etwas anders. ;O)

wird facebook account wirklich gelöscht

Nein!

sie hat bei Facebook die google suche aktiviert

Und nun?

Geheime Google Hacks

… findet man kaum über die Google-Suche – dann wären sie ja nicht mehr geheim.

kann gott mein aussehen verändern?

warum benutzt gott ein buch
Was soll ich mit Gott auf dieser Erde?
Ist Gott eine Notbremse
ist gott ein spielverderber
Meine Identität in Gott
sicherheit bei gott

quellcode gottes
update gott
gott bot internet
internet verglichen mit gott
surft Gott im Internet
Wo ist Gott im Web 2.0
findet gott ballerspiele ok?

gott unmoralisch
dummer gott
gott ist nicht unfähig
wo ist gott auf dieser welt?
gott und erwartungen
wie findet man zu Gott
mein Gott ist richtige Gott

Wie geht mit einem Korinthenkacker um

Einfach zustimmend nicken und schon hat man seine Ruhe. ;O)

Vor ein paar Tagen sprach ich mit einem Lehrer. Seine Schülern sollten etwas zum Thema Deutsche Revolution 1848/49 (de.wikipedia.org) im Internet recherchieren.

Hanauer Ultimatum (de.wikipedia.org)

Das Hanauer Ultimatum vom 9. März 1848 war eine Petition Hanauer Bürger an ihren Landesherren im Rahmen der Revolution von 1848/49, um bürgerliche Grund- und Freiheitsrechte zu erlangen.
(…)
Das Hanauer Ultimatum vom 9. März 1848 entstand im Zuge einer Petition an den Kurfürsten: Nachdem eine im Februar 1848 aufgesetzte Petition kurzfristig keine Veränderung bewirkt hatte, wählten Hanauer Bürger, die sich auf dem Marktplatz der Hanauer Neustadt versammelten, eine 24-köpfige „Volkskommission“, der unter anderem August Schärttner, Christian Lautenschläger, Pedro Jung, August Rühl sowie der Bürgermeister Bernhard Eberhard angehörten

Es gab 24 Mitglieder dieser “Volkskommission”, aber nur fünf werden auf Wikipedia erwähnt. Die Aufgabe für die Schüler bestand nun darin, die anderen 19 Mitglieder herauszufinden.

Wie beginnt man üblicherweise mit der Recherche, z.B. per Google?

Wir suchen nach den gegebenen fünf Namen (Schärttner, Lautenschläger, Jung, Rühl, Eberhard), in der Hoffnung, eine Seite zu finden, auf der die restlichen Mitglieder erwähnt werden.

Einer der acht Treffer führt uns auf die Seiten der Stadt Hanau und dort finden wir zwar “Das Hanauer Ultimatum” (hanau.de), aber darin ist nur ein neuer Name enthalten, Karl Röttelberg. Johann Bernhard Eberhard, der auch Oberbürgermeister war, wird darin nicht erwähnt. Dieser selbst findet sich aber auf der Seite “Oberbürgermeister der Stadt Hanau” (hanau.de), mit dem Hinweis:

Mitunterzeichner des Hanauer Ultimatums vom 9. März 1848

Ähnlich erfolglos bleiben die weiteren Recherchen per Google. Auch mit dem Zusatz “Volkskommission”, “Hanau”, “1848″ und dem Weglassen von einzelnen Namen, kommt man dem Ziel nicht näher. Eine Suche nach “Hanauer Ultimatum” bleibt auch ohne Erfolg, da diese Bezeichnung ganz sicher nicht in der Petition selber zu finden ist.

Die Schüler haben angeblich mehr als 100 Seiten durchforstet und nichts finden können, bis einer auf die Idee kam, auf den Seiten der Deutschen Nationalbibliothek (d-nb.de) nachzuschauen. Nach weiteren Suchanfragen dort, wurde er fündig und fand die Petition inkl. aller 24 Unterzeichner.


Setzt man sich etwas mit dem auseinander, was Suchmaschinen indexieren können und was nicht, so kann man sehr viel schneller gute Ergebnissen bei der Recherche erzielen.


Beginnen wir noch einmal mit der Recherche, nur diesmal berücksichtigen wir, was wir suchen bzw. aus welcher Zeit dies stammt und was Suchmaschinen dazu aufgenommen haben können und was nicht.

Wir schreiben das Jahr 1848. Die meistbenutzte Druckschrift im deutschsprachigen Raum ist zu der Zeit Fraktur (de.wikipedia.org). Dokumente in dieser alten Schriftart, die die meisten Menschen heute kaum noch lesen können, werden wir wahrscheinlich nur als eingescannte Bilder im Internet finden können.

PDF-Dokumente können u.a. Texte und Bilder enthalten. Ein mit einer Textverarbeitung geschriebener Text der als PDF gespeichert wurde, enthält die Textinformation selber, die auch Google in seinen Index aufnehmen kann. Wird hingegen ein Dokument eingescannt und als PDF gespeichert, so fehlt die Textinformation, da nur ein Bild der Vorlage gespeichert wird. Man könnte vor dem Speichern als PDF eine Texterkennung einsetzen, um die Textinformation zu erhalten, diese wird aber bei der Schriftart Fraktur versagen. In der alten Schrift wird u.a. das lange s (de.wikipedia.org) verwendet, welches wie ein f aussieht und da sich wohl kaum jemand die Mühe macht alle gescannten Dokumente entsprechend nachzubearbeiten und Korrektur zu lesen, müssen wir davon ausgehen dass die Petition nur als Bild gespeichert vorliegt. Google nimmt zwar auch Bilder in den Index auf, aber nicht den Text der auf einem Bild zu lesen ist, sondern nur, sofern vorhanden, den alternativen Text und/oder den Titel eines Bildes. Der Dateiname selber wird unter guten Umständen auch vom Google-Bot aufgenommen.

Wir können nicht nach Bestandteilen aus dem Text selber suchen, da wir diesen zum größten Teil nicht kennen und zum anderen annehmen müssen, dass dieser nur als Bild im Internet verfügbar ist (egal ob nun als GIF, TIFF oder PDF), bleibt uns nur die Möglichkeit nach Schlagworten oder Eigennamen zu suchen, nach etwas, was eine geschichtswissenschaftliche Institution in ihre Datenbank aufgenommen hat, wie das Dokument katalogisiert wurde.

Mit diesem Wissen gerüstet, suchen wir nun noch einmal per Google. In dem Text von Wikipedia sticht das Wort “Volkskommission” hervor, da es heute eher ungebräuchlich ist, versuchen wir es mit diesem einen Wort erneut: Volkskommission

Bereits das siebente vierte Suchergebnis sieht sehr vielversprechend aus:

Wenn wir nun auf der verlinkten Seite nach der “Volkskommission” suchen, so finden wir gleich zwei Dokumente:
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5599/
http://edocs.ub.uni-frankfurt.de/volltexte/2006/5595/

Die Seite Zentrales Verzeichnis Digitalisierter Drucke (digitalisiertedrucke.de) kannte ich bisher leider nicht. Sucht man dort nach “Volkskommission”, so wird man sofort mit den zwei Treffern belohnt.


Meist ist es hilfreich mehrere Suchworte in Google einzugeben, da es häufig zu viele Suchergebnisse gibt, wenn man nach zu allgemeinen Wortkombinationen sucht. In diesem Fall sieht man, nur genau das Gegenteil des üblichen Vorgehens führt zum Erfolg. Dies ist bedingt durch die Art bzw. das Alter des gesuchten Dokuments und dem Umstand, dass die Dokumente zwar in digitaler Form vorliegen, aber nicht im Volltext von Suchmaschinen indexiert werden können.


Da ich den Schülern nicht den Spaß der Recherche nehmen möchte…

In den zwei Dokumenten gibt es verschieden geschriebene Unterzeichner:
Nauh – Rau | Schreer – Schreher | Rühl – Rülh | Weidman – Weidmann

Viel Spaß! ;O)


Update: 27.02.2010 – 17:30 Uhr

Die Links zur Uni Frankfurt, mit den zwei Versionen der Petition, hatte ich auch in den Wikipedia Artikel eingefügt. Ich habe gerade gesehen das diese Links mittlerweile in den Hauptartikel übernommen wurden.

DAS ist für mich Web 2.0!

Beim Verticken von Krankenversicherungen schreiben die bestimmt:

Max Mustermann
Hypochonder
Weg vor der Tür 1
12345 Ich weiß wo dein Haus wohnt

Wenn sie nun Pentester, SicherheitslückeninWebsitesfinder oder einfach Korinthenkacker geschrieben hätten, dann hätte ich noch den Eindruck sie wissen wen sie anspammen, aber so?! Welcher Schwachkopf verkauft so fehlerhafte Adressdaten?

Was wollen die eigentlich von mir?

Als “Programmierer” gibt es natürlich ein gewisses Risiko, vor allem wenn man kein Korinthenkacker ist und keine korrekte Arbeit abliefert. Meine Arbeit ist aber eher am anderen Ende der Nahrungskette angesiedelt, wo ich genau das sehe was die versichern wollen.

Wer mich anspammt der muss damit rechnen dass ich… ;O)


Im Spam gab es einen Link zu https://kuv24.de/1000zeilen, allerdings funktioniert auch https://kuv24.de/1000zeilen-Quellcode-ohne-Bugs-sind-selten.

Dieses SEO-Feature, welches ich eher für einen Bug halte, funktioniert auch für alle anderen Links.

Die Seite
  https://kuv24.de/Willkommen/Highlights/index.html?pageid=328
kann auch mit
  https://kuv24.de/dummes-SEO-Zeuch/index.html?pageid=328
oder einfacher
  https://kuv24.de/?pageid=328
verlinkt werden.


Neben solchen SEO-Dummheiten gibt es aber auch Lücken was die Sicherheit angeht:

• Cross-Site Scripting
• Information Disclosure (plauderhafte Fehlermeldungen)
• aktives Directory Listing

Wenn eine Website ausschließlich über HTTPS läuft und ich solche dummen Fehler sehe, da habe ich immer den Eindruck – da denkt jemand HTTPS alleine würde schon für maximale Sicherheit sorgen, bzw. er nimmt an oder hofft, der Besucher würde so denken.