Congratulations!
This is a valid RSS feed.
Recommendations
This feed is valid, but interoperability with the widest range of feed readers could be improved by implementing the following recommendations.
line 25, column 0: (11 occurrences) [help]
<site xmlns="com-wordpress:feed-additions:1">121000397</site> <item>
Source: https://joern.stampehl.de/feed/
<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"xmlns:content="http://purl.org/rss/1.0/modules/content/"xmlns:wfw="http://wellformedweb.org/CommentAPI/"xmlns:dc="http://purl.org/dc/elements/1.1/"xmlns:atom="http://www.w3.org/2005/Atom"xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"xmlns:slash="http://purl.org/rss/1.0/modules/slash/"xmlns:georss="http://www.georss.org/georss"xmlns:geo="http://www.w3.org/2003/01/geo/wgs84_pos#"><channel><title>Jörn's space</title><atom:link href="https://joern.stampehl.de/feed/" rel="self" type="application/rss+xml" /><link>https://joern.stampehl.de/</link><description></description><lastBuildDate>Thu, 06 May 2021 14:02:46 +0000</lastBuildDate><language>de-DE</language><sy:updatePeriod>hourly </sy:updatePeriod><sy:updateFrequency>1 </sy:updateFrequency><generator>https://wordpress.org/?v=6.0.3</generator><site xmlns="com-wordpress:feed-additions:1">121000397</site> <item><title>Wie intelligent müssen Chatbots sein?</title><link>https://joern.stampehl.de/wie-intelligent-muessen-chatbots-sein/</link><comments>https://joern.stampehl.de/wie-intelligent-muessen-chatbots-sein/#respond</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Thu, 06 May 2021 16:59:00 +0000</pubDate><category><![CDATA[Uncategorized]]></category><guid isPermaLink="false">https://joern.stampehl.de/?p=252</guid><description><![CDATA[<p>Chatbots sind ja momentan in aller Munde. Mittlerweile findet man auf vielen Seiten neben dem Livechat, wo man mit „echten“ Chat-Agenten spricht, immer öfter auch Chatbots, die diesen vorgeschaltet werden. Und so wollen auch immer mehr Firmen Chatbots einsetzen, zu sehr unterschiedlichen Szenarien. Dabei soll es auf jeden Fall ein Chatbot mit möglichst viel KI sein. Allerdings unterschätzen viele, wie viel Aufwand hierbei nötig ist. Und nicht immer ergibt es Sinn, den Bot mit möglichst viel Künstlicher Intelligenz auszustatten. Grundsätzlich kann man Chatbots in drei Kategorien unterteilen: Regelbasierte Chatbots Spracherkennende Chatbots Lernende Chatbots Regelbasierte Chatbots Der regelbasierte Chatbot besitzt keine Intelligenz im eigentlichen Sinne. Stattdessen stellt man bei der Konzeption ein Regelbaum auf. Dieser besteht aus einer Reihe von Fragen mit einer festdefinierten Anzahl von Antworten. Jede Antwort führt zu einer weiteren Frage mit weiteren Antworten. Der Gesprächspartner kann dabei nur aus den vorgegebenen Antworten auswählen und […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/wie-intelligent-muessen-chatbots-sein/">Wie intelligent müssen Chatbots sein?</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Chatbots sind ja momentan in aller Munde. Mittlerweile findet man auf vielen Seiten neben dem Livechat, wo man mit „echten“ Chat-Agenten spricht, immer öfter auch Chatbots, die diesen vorgeschaltet werden. Und so wollen auch immer mehr Firmen Chatbots einsetzen, zu sehr unterschiedlichen Szenarien. Dabei soll es auf jeden Fall ein Chatbot mit möglichst viel KI sein. Allerdings unterschätzen viele, wie viel Aufwand hierbei nötig ist. Und nicht immer ergibt es Sinn, den Bot mit möglichst viel Künstlicher Intelligenz auszustatten.</p><p>Grundsätzlich kann man Chatbots in drei Kategorien unterteilen:</p><ul><li>Regelbasierte Chatbots</li><li>Spracherkennende Chatbots</li><li>Lernende Chatbots</li></ul><h2>Regelbasierte Chatbots</h2><p>Der regelbasierte Chatbot besitzt keine Intelligenz im eigentlichen Sinne. Stattdessen stellt man bei der Konzeption ein Regelbaum auf. Dieser besteht aus einer Reihe von Fragen mit einer festdefinierten Anzahl von Antworten. Jede Antwort führt zu einer weiteren Frage mit weiteren Antworten. Der Gesprächspartner kann dabei nur aus den vorgegebenen Antworten auswählen und wird so durch den Gesprächsbaum geführt. Auch wenn das Gerüst hier sehr starr ist, können bei einem gut gestalteten Regelbaum 60%-80% der Anfragen (je nach Anwendungsfall) ohne menschliches Zutun beantwortet werden. Die Eingabe von kleineren Formularen, zum Beispiel zur Abfrage von Namen oder Kundennummern, ist einfach möglich.</p><p>Eine Optimierung nach dem Livegang ist allerdings ein wenig aufwändiger. Man muss sich dazu vor allem die Abbrüche anschauen oder eine Zufriedenheitsumfrage machen. Ein weiterer Nachteil ist, dass diese Bots nicht bei den meisten Messengern, wie <a href="https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/">WhatsApp</a>, benutzt werden können. Diese unterstützen die Benutzung von fest definierten Antworten nicht.</p><h2>Spracherkennende Chatbots</h2><p>Spracherkennende Chatbots basieren ebenfalls auf einem mehr oder weniger starr definierten Regelbaum. Statt hier aber die Antworten schon ausformuliert vorzugeben, können die Gesprächspartner hier Freitext eingeben. Aus diesen Texten muss man nun versuchen, deren Absicht (Intent) herauszufinden. Anchließend vergleicht man den vermuteten Intent mit den im Regelbaum definierten. Findet man die Antwort, kann man daraufhin die nächste Frage ausspielen. Dabei kommt die Künstliche Intelligenz durch NLP (<a href="https://de.wikipedia.org/wiki/Verarbeitung_nat%C3%BCrlicher_Sprache" target="_blank" rel="noreferrer noopener">natural language processing</a>) zum Einsatz. Zum Beispiel können Kunden bei der Post auf die Frage nach dem Begehr die Antworten „Ich möchte ein Paket aufgeben.“ oder „Ich möche eine Sendung verschicken.“ eingeben. Beides ist der gleiche Intent, obwohl die Wörter anders sind. Die Definition der Intents kann sehr aufwändig sein. Allerdings bieten die meisten Frameworks hier schon Grundlagen an, so dass man nicht ganz von vorne anfangen muss.</p><p>Um den Erfolg des Chatbots zu gewährleisten, muss man diesen allerdings immer wieder optimieren. Dazu muss man sich die Chatprotokolle angeschaut werden, ob Intents richtig erkannt werden. Eventuell muss man anschließend zusätzliche Intents definieren.</p><h2>Selbstlernende Chatbots</h2><p>Selbstlernende Chatbots basieren nicht mehr auf festen Regeln. Stattdessen lernt eine Künstliche Intelligenz auf Trainingsdaten. Basierend auf dem Gelernten werden dann Antworten auf frei formulierte Fragen gegeben. Im besten Fall sind die Trainingsdaten Chatprotokolle von Konversationen zwischen echten Menschen. Allerdings muss man bei diese Art von Bots sowohl während der Konzeption als auch nach dem Livegang am meisten Arbeit hineinstecken. Das beginnt schon mit der richtigen Auswahl der Trainingsdaten. Diese müssen unterschiedlich genug sein, um möglichst viele Fälle abzudecken. Allerdings muss auch sichergestellt sein, dass diese keine Fehler enthalten. </p><p>In einem Fall hatte man einen Chatbot im Kundenservice einsetzen wollen. Dazu lernte dieser auf den Chatprotokollen der letzten Monate. Bei der ersten Auswertung nach dem Livegang hat man dann festgestellt, dass der Bot sehr häufig falsche Antworten gab. Erst nach vielen Optimierungsversuchen hat man sich die ursprünglichen Chatprotokolle angeschaut. Dabei erkannte man, dass diese falschen Antworten von den menschlichen Chatagenten stammten. Das Ergebnis war, dass das Projekt eingestellt wurde und die Agenten bekamen eine neue Schulung.</p><p>Aber auch nach dem Livegang muss das Verhalten des Bots kontinuierlich überwacht und optimiert werden. Ansonsten kann es passieren, dass er sich in eine unerwünschte Richtung entwickelt. Dazu sind das entsprechende Knowhow und auch viel Zeit vonnöten. Anfängliche Erfolgsraten von < 40% sind keine Seltenheit. Das läßt sich aber durch eine gewissenhafte Optimierung deutlich steigern.</p><h2>Fazit</h2><p>Die Auswahl der Art des Chatbots hängt zum einen von dem Anwendungsfall ab, aber auch von der Bereitschaft und Möglichkeit, entsprechend Zeit und andere Ressourcen zu investieren. So kann man einem regelbasierten Chatbot und überschaubaren Aufwand schon viel erreichen. Will man mehr Intelligenz einsetzen, sollte man auf entsprechende Trainingsdaten zurückgreifen können. Jeder Bot wird aber auch nach dem Livegang noch Aufmerksamkeit benötigen. Nur wenn man sie über diese Tatsachen bewusst ist, kann man erfolgreich einen Chatbot betreiben.</p><p>Von einem Trugschluss sollte man sich aber verabschieden: Dass der Chatbot seine menschlichen Kollegen kurz- oder mittelfristig ablöst. Zwar kann dieser einen Großteil der Standartanfragen verarbeiten. Allerdings zeigt die Erfahrung, dass die Chat-Agenten dann nicht weniger Arbeit haben, sich aber besser mit den komplexeren übrigen Fragestellungen auseinandersetzen können. So werden sie entlastet, aber nicht ersetzt – zumindest noch nicht.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/wie-intelligent-muessen-chatbots-sein/">Wie intelligent müssen Chatbots sein?</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/wie-intelligent-muessen-chatbots-sein/feed/</wfw:commentRss><slash:comments>0</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">252</post-id> </item><item><title>Warum Deutschland ein Digitalminister braucht</title><link>https://joern.stampehl.de/warum-deutschland-ein-digitalminister-braucht/</link><comments>https://joern.stampehl.de/warum-deutschland-ein-digitalminister-braucht/#respond</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Sat, 03 Oct 2020 12:44:15 +0000</pubDate><category><![CDATA[Uncategorized]]></category><guid isPermaLink="false">https://joern.stampehl.de/?p=206</guid><description><![CDATA[<p>Eine Bundestagsabgeordnete hatte eingeladen zu einer offenen Diskussionsrunde eingeladen. Es sollte um die Digitalisierung von Städten, also um Smart Cities gehen. Ich nahm daran teil, weil ich mir Themen wie digitale Behörden, intelligente Verkehrskonzepte oder ähnliche Dinge gehen würde. Schnell stellte sich doch heraus, dass es den meisten Teilnehmern eher darum ging, wie man verhindern könne, dass durch Digitalisierung die Mieten steigen würden. Konkretes Beispiel war der Einbau von SmartHome-Systemen in Mietwohnungen, die als Modernisierung zählen würden. Am Rande ging es dann doch noch mal um Digitalisierung und ich warb dafür, dieses Thema bei der Bundesregierung mehr in den Vordergrund zu stellen und zu zentralisieren. Das würde am einfachsten durch einen Digitalminister gehen. Es gab heftigen Gegenwind, vor allem von den anwesenden meist älteren Parteimitgliedern. Digitalisierung sei ja schon ein priorisiertes Thema und ein eigenes Ministerium hätte auch zu viel Macht. Hier zeigte sich mir wieder, dass […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/warum-deutschland-ein-digitalminister-braucht/">Warum Deutschland ein Digitalminister braucht</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Eine Bundestagsabgeordnete hatte eingeladen zu einer offenen Diskussionsrunde eingeladen. Es sollte um die Digitalisierung von Städten, also um <a href="https://de.wikipedia.org/wiki/Smart_City" target="_blank" rel="noreferrer noopener">Smart Cities</a> gehen. Ich nahm daran teil, weil ich mir Themen wie digitale Behörden, intelligente Verkehrskonzepte oder ähnliche Dinge gehen würde. Schnell stellte sich doch heraus, dass es den meisten Teilnehmern eher darum ging, wie man verhindern könne, dass durch Digitalisierung die Mieten steigen würden. Konkretes Beispiel war der Einbau von SmartHome-Systemen in Mietwohnungen, die als Modernisierung zählen würden. Am Rande ging es dann doch noch mal um Digitalisierung und ich warb dafür, dieses Thema bei der Bundesregierung mehr in den Vordergrund zu stellen und zu zentralisieren. Das würde am einfachsten durch einen Digitalminister gehen. Es gab heftigen Gegenwind, vor allem von den anwesenden meist älteren Parteimitgliedern. Digitalisierung sei ja schon ein priorisiertes Thema und ein eigenes Ministerium hätte auch zu viel Macht.</p><p>Hier zeigte sich mir wieder, dass viele Menschen auf der einen Seite Angst vor Technologie haben, die sie teilweise auch nicht verstehen, und eher die negativen Seiten sehen. Zum anderen habe sie Angst, dass diese Technologien noch mehr Einfluss bekommen könnten.</p><p>Dabei bleibe ich dabei: In der nächsten Bundesregierung muss es einen Digitalminister geben. Natürlich weiß ich, dass wir mittlerweile eine <a href="https://www.bundesregierung.de/breg-de/bundesregierung/staatsministerin-fuer-digitalisierung" target="_blank" rel="noreferrer noopener">Staatsministerin</a> haben und damit das Thema sehr nahe an der Bundeskanzlerin ist. Aber die Befugnisse sind eben begrenzt. So koordiniert man nur und kann selber kaum etwas entscheiden. Auch gibt es kein eigenes Budget dafür, dieses ist in den anderen Ministerien verteilt. Damit kann man natürlich immer noch Akzente setzen, aber Richtungsentscheidungen sind schwierig. Diese müssen immer mit den anderen Ministerien abgestimmt werden.</p><h2>Ist ein Digitalminister zu mächtig?</h2><p>Ein Gegenargument ist, dass ein solches Ministerium zu sehr in Angelegenheiten anderer Ministerien eingreifen würde. Das war auch mit dem Umweltministerium so. <a href="https://www.deutschlandfunk.de/ein-umweltministerium-als-beruhigungsmittel.871.de.html?dram:article_id=127353" target="_blank" rel="noreferrer noopener">Gegründet wurde es</a>, um Kompetenzen zu bündeln (und um den Tschernobyl-Schock und das Aufkommen der Grünen zu bekämpfen). Denn es war klar, dass zu viele Teilbereiche verteilt waren, so dass die eher stiefmütterlich behandelt wurden. Mit der Gründung des Ministeriums wurde betont, dass es ein wichtiges Thema war. Die Parallelen zur Digitalisierung sind offensichtlich.</p><p>Das Argument, dass ein Digitalminister zu mächtig in einem Bundeskabinett wäre, ist nicht ganz von der Hand zu weisen. Aber es würde die Welt, wie sie existiert, besser abbilden. Digitalisierung hat sich mittlerweile so gut wie in jedem Bereich des Lebens ausgebreitet. Die Herausforderungen bezügliche Arbeit, <a href="https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/">Datenschutz</a> und ethischen Fragen sind gewaltig. den einzelnen Ministerien aber werden die Schwerpunkte anders gesetzt. Da ist die Digitalisierung nur ein Randphänomen.</p><p>Beispiel Künstliche Intelligenz: Dieses Thema ist vor allem im Bildungsministerium aufgehangen. Da geht es aber dann eher um die Forschung. Themen wir die rechtliche Seite oder Verbraucherschutz werden hier natürlich weniger beleuchtet. Dass ganz nebenbei auf den <a href="https://www.bmbf.de/" target="_blank" rel="noreferrer noopener">Internetseiten</a> deutlich wird, dass KI kein Schwerpunkt ist, zeigt dessen Prioritäten. Dabei wird das mit all seinen Chancen und Risiken in den nächsten Jahren immer wichtiger werden. Und dann wird man sich nun über eine Strategie kümmern müssen, wie wir damit umgehen wollen.</p><h2>Der Minister als Brückenbauer</h2><p>Zugleich böte ein Digitalminister die Chance, den Menschen die Chancen der Digitalisierung näher zu bringen. Sie oder er könnte bei vielen Themen regulierend eingreifen, andere Themen entsprechend fördern und damit zeigen, dass die Sorgen der Bürger ernst genommen werden würde. Und es könnte eigenständig Themen vorantreiben und damit die anderen Ministerien auch herausfordern. Eine Agentur, ein Staatsminister oder ähnliches können nur Vorschläge machen. Die Gestaltung läge aber weiter bei den einzelnen Ministerien und deren Priorisierungen haben zumindest in der Vergangenheit gezeigt, dass die verantwortlichen Personen sich mit digitalen Themen weder hervorgetan haben noch sich wirklich damit beschäftigen wollen.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/warum-deutschland-ein-digitalminister-braucht/">Warum Deutschland ein Digitalminister braucht</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/warum-deutschland-ein-digitalminister-braucht/feed/</wfw:commentRss><slash:comments>0</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">206</post-id> </item><item><title>Probleme beim Upgrade eines Embedded Jetty</title><link>https://joern.stampehl.de/probleme-upgrade-eines-embedded-jetty/</link><comments>https://joern.stampehl.de/probleme-upgrade-eines-embedded-jetty/#respond</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Thu, 14 Feb 2019 19:57:14 +0000</pubDate><category><![CDATA[Softwareentwicklung]]></category><category><![CDATA[Java]]></category><category><![CDATA[Jetty]]></category><category><![CDATA[Maven]]></category><category><![CDATA[Spring framework]]></category><guid isPermaLink="false">https://joern.stampehl.de/?p=177</guid><description><![CDATA[<p>Ich habe letztens ein Legacy-Projekt aktualisieren müssen. Grundlage ist dabei Java mit dem Spring-Framework und einem embedded Jetty. Dieser wird über Maven gestartet. Nachdem Update des Jettys auf die aktuelle Version musste ich feststellen, dass nach dem Hochfahren der Server nicht mehr angesprochen werden konnte. Nach einigem Ausprobieren war klar, dass die Jetty-Version 9.4.3 (9.4.3.v20170317) problemlos funktionierte, die Version 9.4.4 (9.4.4.v20170414) aber nicht mehr. Um das Problem einzugrenzen, habe ich mir die Ausgaben in der Konsole angeschaut: 9.4.3: 9.4.4: Wie man deutlich sehen kann, werden weder die Konfigurationen geladen, noch die entsprechenden Beans initialisiert. Als nächstes also erst einmal in das Changelog der Version 9.4.4 geschaut. Dort findet man diesen Hinweis: 1467 Change default for WebAppContext.isConfiguredDiscovered to false Und in der entsprechenden Diskussion auf GitHub findet man heraus, dass diese Änderung genau das ist, was das automatische Scannen der Konfiguration verhindert. Also muss man die pom.xml entsprechend anpassen: Mit […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/probleme-upgrade-eines-embedded-jetty/">Probleme beim Upgrade eines Embedded Jetty</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Ich habe letztens ein Legacy-Projekt aktualisieren müssen. Grundlage ist dabei <a rel="noreferrer noopener" aria-label="Java (öffnet in neuem Tab)" href="https://joern.stampehl.de/programmiersprache-das-neue-babylon/" target="_blank">Java</a> mit dem Spring-Framework und einem embedded Jetty. Dieser wird über Maven gestartet. Nachdem Update des Jettys auf die aktuelle Version musste ich feststellen, dass nach dem Hochfahren der Server nicht mehr angesprochen werden konnte. Nach einigem Ausprobieren war klar, dass die Jetty-Version 9.4.3 (9.4.3.v20170317) problemlos funktionierte, die Version 9.4.4 (9.4.4.v20170414) aber nicht mehr. Um das Problem einzugrenzen, habe ich mir die Ausgaben in der Konsole angeschaut:</p><p><b><u>9.4.3:</u></b></p><pre class="wp-block-code"><code>>> mvn jetty:run[...][INFO] Configuring Jetty for project: Challoday[INFO] webAppSourceDirectory not set. Trying src/main/webapp[INFO] Reload Mechanic: automatic[INFO] Classes = /Users/joern/IdeaProjects/challoday/target/classes[INFO] Configuring Jetty from xml configuration file = /Users/joern/IdeaProjects/challoday/src/main/resources/jetty.xml[INFO] Configuring Jetty from xml configuration file = /Users/joern/IdeaProjects/challoday/src/main/resources/jetty-http.xml[INFO] Context path = /[INFO] Tmp directory = /Users/joern/IdeaProjects/challoday/worky[INFO] Web defaults = org/eclipse/jetty/webapp/webdefault.xml[INFO] Web overrides = none[INFO] web.xml file = file:///Users/joern/IdeaProjects/challoday/src/main/webapp/WEB-INF/web.xml[INFO] Webapp directory = /Users/joern/IdeaProjects/challoday/src/main/webapp[INFO] jetty-9.4.3.v20170317[INFO] Scanning elapsed time=1342ms[INFO] 2 Spring WebApplicationInitializers detected on classpath[INFO] DefaultSessionIdManager workerName=node0[INFO] No SessionScavenger set, using defaults[INFO] Scavenging every 600000ms[INFO] Set web app root system property: 'webapp.root' = [/Users/joern/IdeaProjects/challoday/src/main/webapp][INFO] Initializing log4j from [classpath:log4j-development.xml][INFO] Initializing Spring root WebApplicationContext[INFO] Initializing Spring FrameworkServlet 'dispatcher'[INFO] Started o.e.j.m.p.JettyWebAppContext@7d199c68{/,file:///Users/joern/IdeaProjects/challoday/src/main/webapp/,AVAILABLE}{file:///Users/joern/IdeaProjects/challoday/src/main/webapp/}[INFO] Started ServerConnector@9cb927e{HTTP/1.1,[http/1.1]}{0.0.0.0:8080}[INFO] Started @10994ms[INFO] Started Jetty Server</code></pre><p><b><u>9.4.4:</u></b></p><pre class="wp-block-code"><code>>> mvn jetty:run[...][INFO] Configuring Jetty for project: Challoday[INFO] webAppSourceDirectory not set. Trying src/main/webapp[INFO] Reload Mechanic: automatic[INFO] Classes = /Users/joern/IdeaProjects/challoday/target/classes[INFO] Configuring Jetty from xml configuration file = /Users/joern/IdeaProjects/challoday/src/main/resources/jetty.xml[INFO] Configuring Jetty from xml configuration file = /Users/joern/IdeaProjects/challoday/src/main/resources/jetty-http.xml[INFO] Context path = /[INFO] Tmp directory = /Users/joern/IdeaProjects/challoday/worky[INFO] Web defaults = org/eclipse/jetty/webapp/webdefault.xml[INFO] Web overrides = none[INFO] web.xml file = file:///Users/joern/IdeaProjects/challoday/src/main/webapp/WEB-INF/web.xml[INFO] Webapp directory = /Users/joern/IdeaProjects/challoday/src/main/webapp[INFO] jetty-9.4.4.v20170414[INFO] Scanning elapsed time=1535ms[INFO] DefaultSessionIdManager workerName=node0[INFO] No SessionScavenger set, using defaults[INFO] Scavenging every 660000ms[INFO] Started o.e.j.m.p.JettyWebAppContext@4c2fb9dd{/,file:///Users/joern/IdeaProjects/challoday/src/main/webapp/,AVAILABLE}{file:///Users/joern/IdeaProjects/challoday/src/main/webapp/}[INFO] Started ServerConnector@7fb48179{HTTP/1.1,[http/1.1]}{0.0.0.0:8080}[INFO] Started @5672ms[INFO] Started Jetty Server</code></pre><p>Wie man deutlich sehen kann, werden weder die Konfigurationen geladen, noch die entsprechenden Beans initialisiert.</p><p>Als nächstes also erst einmal in das <a href="https://www.eclipse.org/lists/jetty-announce/msg00105.html" target="_blank" rel="noreferrer noopener" aria-label=" (öffnet in neuem Tab)">Changelog der Version 9.4.4</a> geschaut. Dort findet man diesen Hinweis:</p><blockquote class="wp-block-quote"><p>1467 Change default for WebAppContext.isConfiguredDiscovered to false</p></blockquote><p>Und in der entsprechenden <a rel="noreferrer noopener" aria-label="Diskussion (öffnet in neuem Tab)" href="https://github.com/eclipse/jetty.project/issues/1467" target="_blank">Diskussion auf GitHub</a> findet man heraus, dass diese Änderung genau das ist, was das <a href="http://www.eclipse.org/jetty/javadoc/9.4.14.v20181114/org/eclipse/jetty/webapp/WebAppContext.html#setConfigurationDiscovered-boolean-" target="_blank" rel="noreferrer noopener" aria-label=" (öffnet in neuem Tab)">automatische Scannen der Konfiguration</a> verhindert. Also muss man die <code>pom.xml</code> entsprechend anpassen:</p><pre class="wp-block-code"><code><plugin><groupId>org.eclipse.jetty</groupId><artifactId>jetty-maven-plugin</artifactId><version>9.4.4.v20170414</version><configuration><jettyXml>${project.basedir}/src/main/resources/jetty.xml,${project.basedir}/src/main/resources/jetty-http.xml</jettyXml><webAppConfig><tempDirectory>worky</tempDirectory><configurationDiscovered>true</configurationDiscovered></webAppConfig><stopPort>9998</stopPort><stopKey>foo</stopKey></configuration></plugin></code></pre><p>Mit dieser Änderung <code><configurationDiscovered>true</configurationDiscovered></code> wird stellt man das Verhalten der vorherigen Versionen wieder her. Damit lädt der Server wieder die Spring-Konfiguration einschließlich der Annotations.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/probleme-upgrade-eines-embedded-jetty/">Probleme beim Upgrade eines Embedded Jetty</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/probleme-upgrade-eines-embedded-jetty/feed/</wfw:commentRss><slash:comments>0</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">177</post-id> </item><item><title>Passwort-Verwaltung und -Dokumentation in Startups</title><link>https://joern.stampehl.de/passwort-verwaltung-und-dokumentation-in-startups/</link><comments>https://joern.stampehl.de/passwort-verwaltung-und-dokumentation-in-startups/#respond</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Wed, 31 Oct 2018 21:13:16 +0000</pubDate><category><![CDATA[Startups]]></category><category><![CDATA[Passwort]]></category><category><![CDATA[Passwortmanager]]></category><category><![CDATA[Sicherheit]]></category><category><![CDATA[StartUps]]></category><guid isPermaLink="false">https://joern.stampehl.de/?p=134</guid><description><![CDATA[<p>Kommen wir noch einmal auf das Thema Passwort zurück, diesmal im beruflichen Umfeld. Ich habe mittlerweile sehr unterschiedlichen Firmen gearbeitet und jedes Mal war das Thema Passwort und Passwort-Sharing ein mehr oder weniger großes Problem. Meist war ein Prozess etabliert, der zwar leidlich funktionierte, aber fast immer konnte ich nach dem Ausscheiden noch lange auf einige Dienste zugreifen. Ganz einfach ist das Thema leider nicht zu lösen, aber es gibt doch einiges, was man vor allem bei Technologiestartups beachten kann. Schauen wir uns doch zuerst einmal an, wie es zumeist bei einem jungen Startup läuft. Am Anfang setzen meist die Entwickler schnell eine ganze Reihe von Diensten auf, meist laufen die auf die dienstliche Emailadresse. Manchmal erstellt das Management sogar selber die zentralen Dienste, aber auch (und gerade) hier dann eventuell sogar mit privaten Emailadressen als Zugänge. Mit der Zeit kommen immer mehr Dienste hinzu, einige werden […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/passwort-verwaltung-und-dokumentation-in-startups/">Passwort-Verwaltung und -Dokumentation in Startups</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Kommen wir noch einmal auf das <a href="https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/">Thema</a> Passwort zurück, diesmal im beruflichen Umfeld. Ich habe mittlerweile sehr unterschiedlichen Firmen gearbeitet und jedes Mal war das Thema Passwort und Passwort-Sharing ein mehr oder weniger großes Problem. Meist war ein Prozess etabliert, der zwar leidlich funktionierte, aber fast immer konnte ich nach dem Ausscheiden noch lange auf einige Dienste zugreifen. Ganz einfach ist das Thema leider nicht zu lösen, aber es gibt doch einiges, was man vor allem bei Technologiestartups beachten kann.</p><p>Schauen wir uns doch zuerst einmal an, wie es zumeist bei einem jungen Startup läuft. Am Anfang setzen meist die Entwickler schnell eine ganze Reihe von Diensten auf, meist laufen die auf die dienstliche Emailadresse. Manchmal erstellt das Management sogar selber die zentralen Dienste, aber auch (und gerade) hier dann eventuell sogar mit privaten Emailadressen als Zugänge. Mit der Zeit kommen immer mehr Dienste hinzu, einige werden gar nicht mehr benutzt, andere sind extrem wichtig für die Firma geworden. Besonders interessant ist es dann, wenn ein Mitarbeiter die Firma verlässt. Zum einen kann es dann plötzlich schwierig werden, auf diese Dienste zuzugreifen, weil man eventuell gar nicht weiß, auf welche Emailadresse die laufen. Zum anderen ist dann natürlich immer die Gefahr, dass ein unzufriedener Mitarbeiter später einfach mal Unsinn anstellt, was man ihm im Zweifelsfall sogar nicht einmal nachzuweisen kann, da vielen in der Firma diesen Account auch nutzen.</p><h3>Welche Maßnahmen erleichtern die Passwortverwaltung?</h3><p>Wie gesagt, ganz einfach zu verhindern ist das alles nicht. Aber man kann einiges tun, um den Überblick zu behalten und unbefugte Zugriffe zu schützen.</p><ul><li><h4>Alle Accounts protokollieren</h4><p>Das hört sich trivial an, wird aber nur selten konsequent durchgeführt. Dabei sollte jedes Startup ein zentrales Dokument haben, wo alle externen Dienste aufgeführt sind, wie man darauf Zugriff bekommt, wer den hat und wo man eventuell das Passwort findet. Somit kann man im Zweifelsfall immer schnell nachschauen, wenn es bei einem Dienst Probleme gibt.</li><li><h4>Single-Sign-On-Accounts verwenden</h4><p>Das funktioniert natürlich nur, wenn alle in der Firma einen Provider benutzen, der solche Accounts zur Verfügung stellt. Das weit-verbreiteste Beispiel ist sicher der Google-Account. Wird GMail als Email-Provider benutzt, sollte also wenn möglich geschaut werden, ob damit auch andere Dienste benutzt werden können (z. B. Slack). Sollte dann ein Mitarbeiter ausscheiden, reicht die Deaktivierung seines Firmen-Google-Accounts aus, um auch andere Dienst für ihn zu blockieren.<br />Interessanter Nebeneffekt: Wenn man selber einen Administrationsbereich aufbaut, kann man den natürlich auch mit OAuth und GMail verbinden. Somit müssen sich die Mitarbeiter weniger Passworte merken und man kann sogar die Rechtevergabe darauf aufbauen.</li><li><h4>Individuelle Accounts verwenden</h4><p>Viele Dienstanbieter unterstützen SSO leider nicht. Aber zumindest stellen sie die Möglichkeit zur Verfügung, Teams anzulegen, so dass dann jeder einen persönlichen Zugang bekommt. Dieser kann dann im Zweifelsfall schnell deaktiviert werden, ohne dass die anderen betroffen sind. Viele Cloud-Dienste bieten das zum Beispiel an (AWS, Heroku, Docker, …). Je nach Dienst kann man dann auch die Rechte wieder granular für jeden einzelnen Benutzer einstellen.</li><li><h4>Dedizierte Emailadresse für Zugänge</h4><p>Viele kleinere Dienste stellen allerdings nur einen einfachen Zugang zur Verfügung. Ist das die einzige Möglichkeit, sollte man einen Emailverteiler einrichten, den man für so etwas benutzen kann. Somit kann man zumindest sicherstellen, dass mehrere Leute Benachrichtigungen erhalten und im Zweifelsfall das Passwort zurücksetzen können.</li><li><h4>Passwortverwaltung</h4><p>Für die einfachen Zugänge ist es meist nötig, die Passworte irgendwo abzuspeichern und anderen zur Verfügung zu stellen. Dass das nicht unbedingt auf einer frei-zugänglichen Wiki-Seite geschehen sollte, ist wohl einleuchtend.<br />Es gibt mittlerweile eine ganze Reihe von Tools, die hier ansetzen. <a href="https://keepass.info/">KeePass</a> ist sicher eine sehr einfache Lösung, die schnell zu etablieren ist. Wenn man aber vielleicht verschiedene Nutzergruppen haben will, die nur bestimmte Passwörter sehen dürfen, wäre <a href="http://www.vaultier.org/">Vaultier</a> eine Überlegung wert. Wichtig ist hier natürlich, dass es einen Verantwortlichen gibt, der das Tool regelmäßig pflegt und somit keiner die Passwörter per Slack oder Email weitergeben muss bzw. kann.</li><li><h4>Offboarding-Prozess</h4><p>Wenn jetzt wirklich mal einer der treuen Mitarbeiter das Unternehmen verlässt, so sollte es einen Prozess geben, welche Accounts dann wie deaktiviert bzw. wo eventuell Passworte geändert werden müssen. Führen die Mitarbeiter einen neuen Dienst ein, müssen diese auch den Prozess aktualisieren oder dem Verantwortlichen Bescheid geben, dass zu tun. Das Ändern der Passwörter ist dabei der aufwendigste Teil. Dieser ist aber unvermeidlich, wenn man sicherstellen will, dass der ehemalige Mitarbeiter wirklich keine Möglichkeit mehr hat, auf Firmenaccounts zuzugreifen.</li><li><h4>Bonus-Level: Dienste komplett deaktivieren</h4><p>Je älter und größer die Firma ist, umso mehr Dienste haben sich mittlerweile angesammelt. Viele davon sind nicht unbedingt kostenlos, die Preise sind aber eher vernachlässigbar. Trotzdem sind natürlich 20, 30 Euro jeden Monat viel Geld, wenn man den Dienst nicht gebraucht. Deshalb sollte man regelmäßig die Liste mit den Diensten evaluieren, um Kosten zu sparen und zugleich natürlich das Offboarding zu entschlacken.</li></ul><h3>Es fehlt das ultimative Passwort-Tool</h3><p>Das Optimum wäre natürlich ein Tool, welches die obengenannten Aufgaben automatisch übernimmt. Dieses hätte die gängigsten Dienste eingebunden, die Passwort-Verwaltung würde automatisch übernommen werden (inklusive des Änderns von Passwörtern, obwohl der Nutzer die dann nicht zu Gesicht bekommen sollte) und eine Zuordnung zu Teams wäre natürlich auch dabei. Leider ist mir so ein Dienst bislang nicht untergekommen, aber man soll die Hoffnung ja nicht aufgeben.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/passwort-verwaltung-und-dokumentation-in-startups/">Passwort-Verwaltung und -Dokumentation in Startups</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/passwort-verwaltung-und-dokumentation-in-startups/feed/</wfw:commentRss><slash:comments>0</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">134</post-id> </item><item><title>Sind Meta-Daten die neuen Drogen?</title><link>https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/</link><comments>https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Tue, 01 May 2018 07:48:02 +0000</pubDate><category><![CDATA[Sicherheit]]></category><category><![CDATA[Daten]]></category><category><![CDATA[Metadaten]]></category><guid isPermaLink="false">https://joern.stampehl.de/?p=112</guid><description><![CDATA[<p>Sitzen ist das neue Rauchen. Sagt man. Weil zu viel sitzen und damit zu wenig Bewegung ja ungesund ist. Sagen die Daten. Und rauchen tut ja heute keiner mehr, also fast keiner. Außer ein paar Unverbesserlichen und denjenigen, die nun diese neumodischen Verdampfer haben. Und ja, der Vergleich hinkt ein wenig, weil man sich das Sitzen ja nicht immer unbedingt aussuchen kann. Schließlich bietet nicht jedes Büro Stehpulte zum Arbeiten an. Wie dem auch sei, man sagt ja auch, Daten sind das neue Gold. Und die vielen Dienste, die wir heute so benutzen, ohne Geld dafür zu bezahlen, sind ja eigentlich nicht kostenlos. Wir bezahlen mit unseren Daten dafür. Und eigentlich sind wir ja auch nicht die Kunden, sondern das Produkt. Die Kunden sind die Werbetreibenden, die basierend auf unseren Daten Werbung ausspielen. Oder andere Firmen, die wer weiß was mit unseren Daten machen. Das komische ist: […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/">Sind Meta-Daten die neuen Drogen?</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Sitzen ist das neue Rauchen. Sagt man. Weil zu viel sitzen und damit zu wenig Bewegung ja <a href="https://academic.oup.com/eurheartj/article/36/39/2643/2398317#" target="_blank" rel="noopener">ungesund</a> ist. Sagen die Daten. Und rauchen tut ja heute keiner mehr, also fast keiner. Außer ein paar Unverbesserlichen und denjenigen, die nun diese neumodischen Verdampfer haben. Und ja, der Vergleich hinkt ein wenig, weil man sich das Sitzen ja nicht immer unbedingt aussuchen kann. Schließlich bietet nicht jedes Büro Stehpulte zum Arbeiten an.</p><p>Wie dem auch sei, man sagt ja auch, Daten sind das neue Gold. Und die vielen Dienste, die wir heute so benutzen, ohne Geld dafür zu bezahlen, sind ja eigentlich nicht kostenlos. Wir bezahlen mit unseren Daten dafür. Und eigentlich sind wir ja auch nicht die Kunden, sondern das Produkt. Die Kunden sind die Werbetreibenden, die basierend auf unseren Daten Werbung ausspielen. Oder andere Firmen, die wer weiß was mit unseren Daten machen. Das komische ist: Das ist uns ja irgendwo unterschwellig bewusst. Und eigentlich auch ziemlich egal, denn diese Dienste haben ja einen großen Erfolg und verdienen eine Menge Geld mit ihrem Geschäftsmodel.</p><p>Dabei geht es nicht einmal nur um die Daten, die wir direkt eingeben. Mindestens genauso interessant sind die Meta-Daten, also jene, die fast nebenbei und für uns oft nicht nachvollziehbar gesammelt werden. Dass zum Beispiel die neuen Mobilitätsdienstleister wie <a href="https://www.zeit.de/digital/datenschutz/2016-07/datenschutz-bmw-mietwagen-unfall-carsharing-gericht-daten-datensicherheit" target="_blank" rel="noopener">Carsharing-Firmen</a>, <a href="https://www.bikebiz.com/news/data-mining-is-why-billions-are-being-pumped-into-dockless-bikes" target="_blank" rel="noopener">Fahrradverleiher</a> und <a href="https://www.theguardian.com/technology/2017/aug/29/uber-u-turn-tracking-users-after-trip-ended-app-user-privacy-new-ceo" target="_blank" rel="noopener">Uber</a> Bewegungsprofile erstellen, scheint jedem klar, auch wenn der Sinn dahinter sich nicht jedem erschließt. Aber auch das regt kaum einen auf.</p><h2>Die Daten-Skandale sollten keinen überraschen</h2><p>Nur manchmal schrecken uns einige Meldungen auf. Wie letztens zum Beispiel der „Skandal“ um <a href="https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal" target="_blank" rel="noopener">Cambridge Analytica</a>. Oder die Untersuchung der Universität Nürnberg, die nur aufgrund des für jeden verfügbaren <a href="https://www.onlinestatusmonitor.com/" target="_blank" rel="noopener">Online-Status von WhatsApp</a> Onlineprofile von wildfremden Menschen erstellen konnte. Klar, mag man jetzt sagen, nette Spielerei, aber wen interessiert das? Zum Beispiel Krankenkassen, die sehen, dass man nicht genug Schlaf bekommt und dann die Beiträge erhöhen. Oder der nächste Arbeitgeber, der sich fragt, ob er den Bewerber wirklich einstellen sollte, wenn der nachts die ganze Zeit online ist und damit am Tag vielleicht nicht so leistungsfähig.</p><p>Spätestens hier beginnt für den einzelnen das Dilemma: Was ist nun die Konsequenz? Den Messenger wechseln, zu einem vermeintlich besseren wie Signal oder Threema? Wo man dann ganz alleine ist, weil der Freundeskreis einen als „Nerd“ oder „Aluhut“ abtut? Oder ganz drauf verzichten, mit dem Resultat aus der aktuellen Kommunikation ausgeschlossen zu werden? Zudem müsste man dann gleich das ganze Smartphone stilllegen, denn Android und iOS senden von Hause aus schon eine Menge an Metadaten an ihre Erschaffer. Da helfen noch nicht einmal <a href="https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/">VPNs</a>, denn die Daten werden ja auf dem Gerät selber erhoben. Und selbst bei einem „dumb-phone“ bekommt der Handyprovider genug Verbindungs- und Bewegungsdaten, die sicher einige interessante Rückschlüsse zulassen. Also gleich wieder zurück in die Höhle, Kommunikation per Rauchzeichen und sich damit aus dem modernen Leben mit den vielen Annehmlichkeiten verabschieden? Wohl auch keine Alternative.</p><h2>Kann es dafür eine Lösung geben?</h2><p>Natürlich muss ich sorgsam mit meinen Daten umgehen und mich bei jeder App fragen: Wozu braucht sie <a href="https://www.secuso.informatik.tu-darmstadt.de/de/secuso/forschung/ergebnisse/privacy-friendly-apps/" target="_blank" rel="noopener">diese Berechtigung</a>? Muss eine <a href="https://theintercept.com/2017/11/24/staggering-variety-of-clandestine-trackers-found-in-popular-android-apps/" target="_blank" rel="noopener">Taschenlampen-App</a> wirklich auf meinen Standort zugreifen? Aber manchmal will ich ja auch genau das.</p><p>Und damit ist nicht Sitzen für mich das neue Rauchen, sondern dieses ganze Benutzen von Social Media / Messengern / Internet-Gedöns. Obwohl ich genau weiß, dass ich damit eine Menge an Daten preisgebe, mache ich es trotzdem, weil es mit Spaß bringt und einen Nutzen für mich hat. Genau diese Logik müssen wohl Raucher auch haben (als Nichtraucher für mich schwer nachvollziehbar): Obwohl ich genau weiß, dass Rauchen schädlich für meine Gesundheit ist, entscheide ich mich bewusst dafür, weil ich Spaß daran habe, es genieße und die Wirkung haben möchte. Der einzige Unterschied ist, dass ich glaube, Rauchen ist einfacher aufzugeben.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/">Sind Meta-Daten die neuen Drogen?</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/sind-meta-daten-die-neuen-drogen/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">112</post-id> </item><item><title>Warum jeder ein VPN benutzen sollte</title><link>https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/</link><comments>https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Fri, 22 Sep 2017 19:30:21 +0000</pubDate><category><![CDATA[Sicherheit]]></category><guid isPermaLink="false">http://joern.stampehl.de/?p=87</guid><description><![CDATA[<p>Als Netzwerke in den Firmen sich etablierten, kam auch bald der Wunsch auf, sich von außerhalb mit dem firmeninternen Netzwerk zu verbinden. Der Hauptgrund war, dass man so auf dessen Ressourcen zugreifen zu konnte. So wollten Mitarbeiter im Außendienst zum Beispiel auf Dateien zugreifen, die auf dem internen Fileserver gespeichert war. Natürlich wäre es eine Möglichkeit gewesen, den Server auch von außerhalb zugänglich zu machen. Es liegt aber auf der Hand, dass das sicherheitstechnisch vielleicht nicht die optimale Lösung ist (nicht, dass das nicht trotzdem gemacht wurde und wahrscheinlich auch noch wird). Besser ist es, wenn man sich von außen mit dem internen Netz verbindet und dann quasi ein Teil dessen wird. Dazu wurden VPNs (Virtuell Private Networks) eingeführt. Dabei meldet sich dann der Mitarbeiter bei einem von außen zugänglichen Server mit einem bestimmten Protokoll an. Anschließend kann er dann darüber so arbeiten, als sei er direkt […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/">Warum jeder ein VPN benutzen sollte</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Als Netzwerke in den Firmen sich etablierten, kam auch bald der Wunsch auf, sich von außerhalb mit dem firmeninternen Netzwerk zu verbinden. Der Hauptgrund war, dass man so auf dessen Ressourcen zugreifen zu konnte. So wollten Mitarbeiter im Außendienst zum Beispiel auf Dateien zugreifen, die auf dem internen Fileserver gespeichert war. Natürlich wäre es eine Möglichkeit gewesen, den Server auch von außerhalb zugänglich zu machen. Es liegt aber auf der Hand, dass das sicherheitstechnisch vielleicht nicht die optimale Lösung ist (nicht, dass das nicht trotzdem gemacht wurde und wahrscheinlich auch noch wird). Besser ist es, wenn man sich von außen mit dem internen Netz verbindet und dann quasi ein Teil dessen wird. Dazu wurden VPNs (Virtuell Private Networks) eingeführt. Dabei meldet sich dann der Mitarbeiter bei einem von außen zugänglichen Server mit einem bestimmten Protokoll an. Anschließend kann er dann darüber so arbeiten, als sei er direkt mit dem Netzwerk vor Ort verbunden. Damit diese Verbindung über das VPN darüber hinaus auch noch abhörsicher ist, wird sie verschlüsselt. Somit werden Firmengeheimnisse gewahrt.</p><h2>Gründe für ein VPN im privaten Umfeld</h2><p>Mit der Zeit haben sich VPNs immer weiterverbreitet. So sind sie zum Beispiel auch bei Universitäten sehr beliebt, damit die Studenten sich mit dem Uni-Netz verbinden können. Aber auch im privaten Bereich werden VPNs immer häufiger benutzt. Dabei geht es nicht mehr unbedingt darum, sich in ein anderes Netz einzuloggen. Vielmehr möchte man von woanders auf das Internet zugreifen und dabei verschleiern, woher man eigentlich kommt. Dafür gibt es eigentlich drei Hauptgründe:</p><ol><li><strong>Geoblocking unblocken<br /></strong>Das ist sicher der Grund, den die meisten Menschen hierzulande kennen, wenn es um VPNs geht. Normalerweise geht es dann darum, sich Inhalte aus anderen Ländern zu holen, die in dem eigenen Land meist aus lizenzrechtlichen Gründen nicht erhältlich sind. Bestimmte Inhalte von Netflix und YouTube sind meist auf bestimmte Länder begrenzt. Das gilt auch für die Mediatheken der großen Fernseh- und Rundfunkanstalten und vor allem für Sportstreaming. Verbindet man sich nun mit einem VPN und einem Server in dem jeweiligen Land, wird der Inhalteanbieter annehmen, dass der Nutzer aus diesem Land kommt und ihm die Inhalte anbieten.<br />Natürlich ist dieses Vorgehen mittlerweile <a href="http://www.cbc.ca/news/business/netflix-border-hopping-television-1.3805525">auch bei Netflix und Co. bekannt</a> und auf Druck der Rechteinhaber versuchen sie auch, dagegen vorzugehen. Es ist ein Katz-und-Maus-Spiel, wo sich mittlerweile auch einige Anbieter drauf spezialisiert haben.</li><li><strong>Auf geblockte Inhalte zugreifen<br /></strong>Dieser Usecase ist dem vorherigen ziemlich ähnlich. Allerdings geht es hier darum, auf Inhalte zuzugreifen, die von der Regierung beziehungsweise den Internetprovidern geblockt werden. Das betrifft vor allem Länder, in denen zum Beispiel Facebook, Twitter oder sogar Wikipedia geblockt sind. Auch hier greift dann der Nutzer auf einen Server durch das VPN in einem anderen Land zu, wo diese Inhalte nicht geblockt sind. Solche Länder sind zum Beispiel Türkei, Russland oder natürlich China. Gerade bei letzterem zeigt sich, dass auch die Regierungen sich dieses Schlupfloches sehr wohl bewusst sind und die „Great Firewall“ ist damit nicht auszutricksen. In anderen Ländern, wo vor allem die privaten Internetprovider gezwungen werden, entsprechende Inhalte zu filtern, wird weniger rigoros gegen VPNs vorgegangen und wenn, sind die technischen Hürden deutlich niedriger. Aber auch das wird immer mehr zu einem Katz-und-Maus-Spiel.</li><li><strong>Privatsphäre<br /></strong>Das sollte der Grund sein, warum eigentlich jeder ein VPN nutzen würde. Und das ist wahrscheinlich der seltenste Grund, warum die Leute VPNs wirklich nutzen. Dabei liegt der Vorteil auf der Hand: Der Nutzer verbindet sich mit dem Server des VPN-Anbieters. Selbst bei einer <a href="https://www.comparitech.com/blog/vpn-privacy/not-all-vpns-protect-you-from-the-snoopers-charter-these-will/">Vorratsdatenspeicherung</a> sieht man dann in den Logfiles nur, dass man eben dieses VPN nutzt, aber nicht, was darüber gemacht wird. Umgekehrt wird man in den Logfiles zum Beispiel des Webservers nur sehen, dass der VPN-Server auf die Website zugegriffen hat, aber nicht, woher der eigentliche Nutzer kommt. Dessen IP-Adresse kennt dann nur der VPN-Anbieter. Das ist auch ein Grund, warum VPNs <a href="http://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/">von einigen Regierungen</a> mit Argwohn betrachtet, von anderen <a href="https://www.cnbc.com/2017/08/01/apple-ceo-tim-cook-defends-decision-to-remove-vpn-apps-in-china.html">direkt</a> <a href="http://money.cnn.com/2017/07/31/technology/russia-vpn-internet-putin/index.html">verboten</a> werden. Denn dann ist nicht mehr nachvollziehbar, wer wann worauf zugegriffen hat und eine Vorratsdatenspeicherung zum Beispiel läuft ins Leere.<br />Aber der Grund muss ja noch nicht einmal sein, dass man wirklich etwas zu verbergen hat. Verbindet man sich mit einem öffentlichen WLAN, weiß man nie genau, ob man dem Bereitsteller wirklich vertrauen kann und ob dieser das WLAN auch wirklich abgesichert hat. So sind zum Beispiel bei dem <a href="https://hannover.ccc.de/~nexus/dbwifi/chapter2.html">WLAN in den Zügen der Deutschen Bahn</a> einige Sicherheitsmängel festgestellt worden. Hier ist eine zusätzliche Absicherung durch ein VPN sinnvoll.</li></ol><h2>Die Grenzen von VPNs</h2><p>Was ein VPN nicht kann, ist Tracking beim Browsen zu verhindern. Wenn die Werbeindustrie jemanden tracken will, dann geschieht das normalerweise durch Cookies. Diese werden aber auch gesetzt und gespeichert, wenn man ein VPN benutzt. Will man das verhindern, muss man entsprechende Browsertechniken wie den anonymen Modus oder spezielle Plugins benutzen. Und selbst dann können Geräte noch recht zuverlässig durch Fingerprinting identifiziert werden. Bei dieser Technik werden verschiedene Parameter genommen (Gerätehersteller, -art, Browserauflösung, Sprache, usw.) und somit eine mehr oder weniger eindeutige Identifizierung ermöglicht.</p><h2>Nicht jedes VPN ist auch sicher</h2><p>Nun ist natürlich die Frage, welches VPN man benutzen sollte. Die Antwort ist durchaus schwieriger als gedacht. Denn zum einen kommt es auf den Anwendungsfall an, zum anderen aber nicht unbedingt als erstes auf Features oder Geschwindigkeit. Vielmehr sollte man auf den Preis achten. Genauer gesagt darauf, dass das VPN überhaupt Geld kostet. Denn die Frage, die sich ein Nutzer stellen sollte, ist, womit der VPN-Anbieter denn überhaupt Geld verdient. Denn die VPN-Infrastruktur kostet und da damit in der Regel noch Geld verdient werden soll, braucht man auch eine Einnahmequelle. Wenn das Geld nun nicht von den Nutzern kommt, ist es sehr wahrscheinlich, dass die <a href="https://cdt.org/files/2017/08/FTC-CDT-VPN-complaint-8-7-17.pdf">Nutzerdaten zu Geld</a> gemacht werden. Das heißt, der <a href="https://www.wsj.com/articles/the-new-copycats-how-facebook-squashes-competition-from-startups-1502293444">Anbieter loggt alles mit</a>, was der Nutzer macht und verkauft es später an andere Firmen. Und da er die Daten irgendwo speichern muss, können auch dann auch Regierungsbehörden darauf zugreifen, was den Einsatz in bestimmten Ländern gefährlich macht. Deshalb sollte ein VPN Geld kosten und zusätzlich eine „No-logging-policy“ haben. Erst dann sollten Kriterien wie welche Länder angeboten werden oder zusätzliche Features in Betracht gezogen werden. Auf die einschlägigen Vergleichsportale kann man sich im Allgemeinen jedenfalls nicht verlassen, da hier nur zählt, welcher Anbieter am meisten an das Portal zahlt (Stichwort Affiliate).</p><h2>Sind VPNs böse?</h2><p>Eine Anmerkung noch zur ethischen Seite: Natürlich können VPNs auch dazu genutzt werden, illegale Dinge zu treiben. Sei es Bittorrent, Terrorismus oder anderes, mit einem VPN können sich Kriminelle gut verstecken. Aber das trifft auf fast alles zu, was in diesem Bereich zu finden ist. Dazu gehören verschlüsseltes Messaging, die Verschlüsselungen von Dateien oder andere Techniken, die die Privatsphäre schützen. All das kann immer auch zum Bösen eingesetzt werden. Ich denke, man kann nicht diese Technologien für alle verbieten, weil sie einige missbrauchen. Aber diese Diskussion wird auf vielen Ebenen geführt.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/">Warum jeder ein VPN benutzen sollte</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/warum-jeder-ein-vpn-benutzen-sollte/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">87</post-id> </item><item><title>Zu viele Passwörter verderben die Sicherheit</title><link>https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/</link><comments>https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Tue, 24 Jan 2017 19:58:05 +0000</pubDate><category><![CDATA[Sicherheit]]></category><guid isPermaLink="false">http://joern.stampehl.de/?p=76</guid><description><![CDATA[<p>Der durchschnittliche Internetnutzer hat 15 verschiedene Accounts. Einige davon hat er freiwillig angelegt, zu anderen wurde er mehr oder weniger gezwungen. Und jeder dieser Accounts wird normalerweise mit einem Passwort geschützt. Natürlich ist der Nutzer faul und gibt bei jedem Service das gleiche Passwort an. Spätestens seit den großen Angriffen auf Yahoo, LinkedIn und Tumblr sieht man die Folgen davon. Die geleakten Email-Passwort-Kombinationen werden im großen Stil bei anderen Diensten ausprobiert und mit einer erstaunlich hohen Trefferquote werden Accounts dann übernommen. Stellt sich natürlich die Frage, wie das am besten zu verhindern ist. Dabei gibt es zwei Rahmenbedingungen, die das nicht gerade einfacher machen. Zum einen bestehen immer mehr Anbieter auf bestimmte Richtlinien bei der Passwortwahl (Sonderzeichen, Zahlen, Mindestgröße, …). Zum anderen soll man möglichst kein Passwort mehrfach verwenden. Beides sind natürlich sehr vernünftige Ratschläge. Kann aber von dem Nutzer erwartet werden, sich 20 verschiedene, möglichst komplizierte […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/">Zu viele Passwörter verderben die Sicherheit</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Der durchschnittliche Internetnutzer hat <a href="https://web.de/magazine/digital/sicher-im-netz/tag-passwort-sicherheit-deutsche-passwortmuede-risiko-smartphone-apps-32098002" target="_blank">15 verschiedene Accounts</a>. Einige davon hat er freiwillig angelegt, zu anderen wurde er mehr oder weniger gezwungen. Und jeder dieser Accounts wird normalerweise mit einem Passwort geschützt. Natürlich ist der Nutzer faul und gibt bei jedem Service das gleiche Passwort an. Spätestens seit den großen Angriffen auf <a href="http://www.golem.de/news/hackerangriff-mindestens-500-millionen-nutzerdaten-von-yahoo-kopiert-1609-123411.html" target="_blank">Yahoo</a>, <a href="http://www.security-insider.de/linkedin-hack-schlimmer-als-befuerchtet-a-536094/" target="_blank">LinkedIn</a> und <a href="http://derstandard.at/2000037953885/Tumblr-Hack-65-Millionen-E-Mailadressen-betroffen" target="_blank">Tumblr</a> sieht man die Folgen davon. Die geleakten Email-Passwort-Kombinationen werden im großen Stil bei anderen Diensten ausprobiert und mit einer erstaunlich hohen Trefferquote werden Accounts dann übernommen.</p><p>Stellt sich natürlich die Frage, wie das am besten zu verhindern ist. Dabei gibt es zwei Rahmenbedingungen, die das nicht gerade einfacher machen. Zum einen bestehen immer mehr Anbieter auf bestimmte Richtlinien bei der Passwortwahl (Sonderzeichen, Zahlen, Mindestgröße, …). Zum anderen soll man möglichst kein Passwort mehrfach verwenden. Beides sind natürlich sehr vernünftige Ratschläge. Kann aber von dem Nutzer erwartet werden, sich 20 verschiedene, möglichst komplizierte Passwörter zu merken?</p><p>Man kann sich die Passwörter natürlich aufschreiben. Für den Hausgebrauch ist das durchaus akzeptabel, solange man den Zettel nicht direkt an den Computer klebt, aber natürlich hat man dann unterwegs schon wieder ein Problem. Besonders dann, wenn man eben nicht den eigenen Computer benutzt, weil man zum Beispiel in einem Internet-Café ist.</p><h3>2FA ist eine brauchbare Ergänzung zu Passwörtern</h3><p>Eine sehr gute Ergänzung zu einfachen Passworten ist die 2-Faktoren-Authentifizierung. Bei dieser wird eben ein weiterer, möglichst unabhängiger Faktor abgefragt, zum Beispiel eine an ein Handy geschickte SMS mit einem einmaligen Code. Diese Methode ist nicht komplett sicher, vor allem, wenn man den Code über das gleiche Handy eingibt, wo man ihn empfangen hat. Aber für das oben beschriebene Szenario reicht es erst einmal aus. Der größte Haken an der Sache ist aber, dass diese Methode vor allem von kleineren Anbietern noch nicht umgesetzt wird. Während Microsoft, Google oder Facebook entsprechende Mechanismen dem Nutzer anbieten, sucht man es selbst bei Ebay vergebens. Dabei muss man gar nicht zu mit Kosten verbundenen SMS greifen. Der <a href="https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus" target="_blank">Time-based One-time Password Algorithmus</a> verursacht keine laufenden Kosten und für die gängigen Programmiersprachen gibt es entsprechende Bibliotheken.</p><p>Hier müssen also nicht nur die Nutzer in die Pflicht genommen werden, sondern auch mal wieder die Anbieter. Neben Sicherungsmaßnahmen wie 2FA müssen sie auch dafür sorgen, dass es zum Beispiel eine Beschränkung der Versuche bei der Passworteingabe gibt. Zudem ist es natürlich eine Selbstverständlichkeit, dass Passwörter in den Systemen entsprechend gehasht werden (Ich kenne aus eigener Erfahrung Systeme, wo diese im Klartext gespeichert wurden oder nur sehr einfach verschlüsselt.). Und vielleicht muss man dann 2FA (oder ähnliche Mechanismen) auch zur Pflicht machen. Die Nutzer zu immer komplizierteren Passwörtern zu zwingen, ist jedenfalls auf Dauer nicht der richtige Weg. Sicherheit muss eben auch immer praktisch sein und manchmal auch <a href="https://techcrunch.com/2017/01/22/whatsapp-signal-and-dangerously-ignorant-journalism/" target="_blank">Kompromisse machen</a>, damit es benutzbar bleibt. Ansonsten suchen sich die Nutzer Workarounds, mit denen sie ihre <a href="https://hpi.de/news/jahrgaenge/2016/hpi-wissenschaftler-ermitteln-die-zehn-meistgenutzten-deutschsprachigen-passwoerter.html" target="_blank">Sicherheit aushebeln</a>.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/">Zu viele Passwörter verderben die Sicherheit</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/zu-viele-passwoerter-verderben-die-sicherheit/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">76</post-id> </item><item><title>Programmiersprache – das neue Babylon</title><link>https://joern.stampehl.de/programmiersprache-das-neue-babylon/</link><comments>https://joern.stampehl.de/programmiersprache-das-neue-babylon/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Sun, 08 Jan 2017 10:25:58 +0000</pubDate><category><![CDATA[Softwareentwicklung]]></category><guid isPermaLink="false">http://joern.stampehl.de/?p=58</guid><description><![CDATA[<p>Der Brancheninformationsdienst Heise.de hat die beliebteste Programmiersprache 2016 ausgerufen. Das Ergebnis: Java. Während das für die eingefleischten Java-Programmierer wenig überraschend sein dürfte, werden gerade jüngere Programmierer das Ergebnis mit Skepsis sehen. Programmiersprachen waren schon immer Gegenstand von religiösen Diskussionen (was man auch in den Kommentaren zu dem Artikel sieht), aber mir kommt es so vor, als ob es in der letzten Zeit durch die Popularität neuer Sprachen diese an Schärfe gewonnen haben. Schaut man 15 Jahre zurück, dann gab es (zumindest im Webumfeld) eigentlich nur zwei Sprachen: Java und PHP. Während PHP dabei hauptsächlich von Frontendentwicklern eingesetzt wurde, die dann gerne mal SQL direkt in den HTML-Templates verwendeten, machten Java-Programmierer aus jedem kleinen Projekt eine Mammutaufgabe. Einige verwegene Microsoft-Enthusiasten setzten auf ASP und JavaScript wurde nur für kleinere Skripteschnippsel gebraucht. Alles andere spielte eher eine Nebenrolle. Erst mit dem Aufkommen von Rails, womit man innerhalb weniger Stunden […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/programmiersprache-das-neue-babylon/">Programmiersprache – das neue Babylon</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Der Brancheninformationsdienst Heise.de hat die beliebteste Programmiersprache 2016 ausgerufen. <a href="https://www.heise.de/developer/meldung/Programmiersprache-des-Jahres-ist-Java-3583597.html" target="_blank">Das Ergebnis: Java.</a> Während das für die eingefleischten Java-Programmierer wenig überraschend sein dürfte, werden gerade jüngere Programmierer das Ergebnis mit Skepsis sehen. Programmiersprachen waren schon immer Gegenstand von religiösen Diskussionen (was man auch in den Kommentaren zu dem Artikel sieht), aber mir kommt es so vor, als ob es in der letzten Zeit durch die Popularität neuer Sprachen diese an Schärfe gewonnen haben.</p><p>Schaut man 15 Jahre zurück, dann gab es (zumindest im Webumfeld) eigentlich nur zwei Sprachen: Java und PHP. Während PHP dabei hauptsächlich von Frontendentwicklern eingesetzt wurde, die dann gerne mal SQL direkt in den HTML-Templates verwendeten, machten Java-Programmierer aus jedem kleinen Projekt eine Mammutaufgabe. Einige verwegene Microsoft-Enthusiasten setzten auf ASP und JavaScript wurde nur für kleinere Skripteschnippsel gebraucht. Alles andere spielte eher eine Nebenrolle. Erst mit dem Aufkommen von Rails, womit man innerhalb weniger Stunden prototypisch komplette Webseiten hochziehen kann, etablierte sich auch Ruby. Durch seine Leichtgewichtigkeit fand die Sprache schnell Freunde neben der reinen Frontendentwicklung.</p><p>Wie aber schon angedeutet, sind gerade in den letzten fünf Jahren deutlich mehr Sprachen auf den Markt gekommen, die im Webbereich nicht mehr nur in Nischen benutzt werden. Golang, Erlang, Elixir oder Scala haben sich eine feste Fangemeinde erobert. Und gerade in Zeiten, wo immer mehr Anwendungen von monolithischen Strukturen in autonome Services umgebaut werden, können hier theoretisch für jeden Service eine andere Sprache benutzt werden. Eine Ausnahme bilden zurzeit die mobilen Anwendungen, hier sind die Sprachen (Java und Objective-C bzw. Swift) durch die Plattformen festgelegt.</p><p>Darüber hinaus <a href="http://lifehacker.com/the-most-popular-programming-languages-based-on-jobs-s-1790286049" target="_blank">erhöht es die Chance bei der Jobsuche</a>, wenn man zumindest eine gebräuchliche Sprache kennt. Da es immer noch eine ganze Reihe an bestehenden Anwendungen in C, Java oder Python gibt (und neue Projekte werden diese auch in Zukunft benutzen, siehe den nächsten Abschnitt) kann man immer mit diesen starten und später vielleicht selber <a href="https://techcrunch.com/2016/12/26/2016s-top-programming-trends/" target="_blank">eine neue einführen</a>.</p><h3><strong>Welche Programmiersprache soll man benutzen?</strong></h3><p>Was heißt das aber für den angehenden Programmierer, welche Sprache sollte er als erstes lernen? Und welche Sprache sollte ich für mein StartUp oder das Refactoring der Legacy-Anwendung in Betracht ziehen? Für beide Fragen gibt es natürlich keine einfache, universell gültige Antwort. Die hängt viel von den Zielen und den Umständen ab. Aber man kann zumindest einige Tipps geben.</p><p>Für den Einsteiger ist natürlich das Lernen einer neuen Programmiersprache leichter, wenn deren Struktur sehr flexibel ist. Ruby oder JavaScript sind hier sicher einfacher als zum Beispiel Java oder C++. Aber gerade für den Anfänger ist es meiner Meinung nach besser, sich eine Sprache mit mehr Strukturen anzueignen, die dann später auch auf andere Sprachen übertragbar sind. Das Problem an PHP zum Beispiel ist nicht, dass es eine schlechte Sprache ist, sondern dass die Sprache es einfach macht, schlecht zu programmieren. Auch in Java kann man unstrukturiert programmieren, es ist aber schwerer. Steigt man dann später von Java auf zum Beispiel Ruby um, kann man viele strukturelle Verhaltensweisen übernehmen, die die Übersichtlichkeit erleichtern. Das ist ähnlich, wie wenn man Autofahren lernt. Natürlich ist ein Kleinwagen einfacher zu überblicken und in einigen Situationen (Parkplatzsuche) einfach praktischer. Aber wenn man auf einem großen Kombi oder SUV gelernt hat, kann man später einen Kleinwagen einfacher fahren als wenn man von dem auf ein großes Auto umsteigt.</p><h3><strong>Bei neuen Projekten sollte die Wahl gut überlegt sein</strong></h3><p>Und was ist nun mit dem StartUp? Hier kann die Wahl der Sprache entscheidend für den Erfolg sein. Nicht unbedingt wegen der Sprache selber, sondern vor allem wegen des Ökosystems der Sprache. Ein StartUp wird normalerweise mit zwei, drei Programmierern starten. Jeder einzelne ist dabei sehr wichtig für die Firma und muss im Fall eines Ausscheidens so schnell wie möglich ersetzt werden. Setzt man nun auf eine relativ exotische Sprache so kann es noch schwerer werden, einen geeigneten Nachfolger zu finden, als es sowieso schon ist. Im schlimmsten Fall lässt man sich die erste Version von einer externen Agentur erstellen, die dann die Entscheidung für eine eher unbekannte Sprache getroffen hat, wo man selber dann entsprechende Experten für finden muss.</p><p>Des Weiteren sollte man natürlich darauf achten, dass die Anzahl der eingesetzten Sprachen möglichst gering bleibt. Die Möglichkeit, Frontendentwickler auch im Backend einzusetzen und vice versa ist gerade in einem kleinen Team von unschätzbaren Wert. Ist dann im Backend jeder Service in einer anderen Sprache programmiert, ist es für neue Programmierer umso schwerer, sich einzuarbeiten und eine Übersicht zu bekommen.</p><p>Eine Besonderheit stellt dabei JavaScript dar. Als reine Frontend-/Browsersprache gestartet, erobert es mittlerweile durch Node.JS immer mehr das Backend. Dadurch können versierte Fullstack-Entwickler schnell im Frontend als auch im Backend entwickeln. Aber man sollte aufpassen, denn nicht jeder Frontend-Entwickler kann auch Backend-Services schreiben (was umgekehrt fast noch mehr für Backend-Entwickler im Frontend zutrifft).</p><p>Ein weiterer Aspekt, den man beachten sollte, ist die Verfügbarkeit von Konnektoren für Datenbanken, Dienste und ähnliches. Für fast jede Programmiersprache gibt es zwar oft irgendeine Implementation. Aber manchmal ist genau diese ein Hobby-Projekt von einem einzelnen Entwickler ist, der das zuletzt vor einem halben Jahr aktualisiert hat. Besser ist es auf jeden Fall, wenn es eine rege Entwicklergemeinde gibt. Ansonsten läuft man Gefahr, bei zukünftigen Updates oder Fehlern keinen Support zu bekommen.</p><h3><strong>Die „beste“ Programmiersprache gibt es nicht</strong></h3><p>Auch in Zukunft werden Diskussionen um die Wahl der „richtigen“ Programmiersprache immer ideologisch geprägt sein. Aber abseits davon sollte man gerade in kleineren Organisationen vorsichtig sein, hinter jedem Trend hinterherzulaufen, nur, weil es gerade schick ist. Die Wahl einer traditionellen Programmiersprache ist vielleicht langweiliger, aber meist risikoärmer. Gerade das Drängen von einzelnen Programmierern, doch mal diese oder jene Sprache einzusetzen, weil sie ja so viel besser sei, sollte man immer nur dann nachgeben, wenn man auch bedacht hat, was passiert, wenn diese Programmierer einmal nicht mehr da sind.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/programmiersprache-das-neue-babylon/">Programmiersprache – das neue Babylon</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/programmiersprache-das-neue-babylon/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">58</post-id> </item><item><title>Die neue Vorratsdatenspeicherung in Großbritannien</title><link>https://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/</link><comments>https://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Fri, 30 Dec 2016 19:58:52 +0000</pubDate><category><![CDATA[Sicherheit]]></category><guid isPermaLink="false">http://joern.stampehl.de/?p=42</guid><description><![CDATA[<p>Ich hatte vor kurzem eine Zusammenfassung über das neue Gesetz zur Vorratsdatenspeicherung und Überwachung (a.k.a. Snoopers‘ Charter) in Großbritannien geschrieben. Dieses ist eines der rigidesten in Europa. Wenn man sich mal genauer damit beschäftigt, dann ist man froh, dass es hier noch nicht so weit ist. Another Reason for Using a VPN: the Investigatory Powers Bill Disclaimer: Momentan arbeite ich bei ZenMate, deshalb ist der Artikel auch darauf zugeschnitten. Natürlich stehe ich aber zu der Grundaussage.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/">Die neue Vorratsdatenspeicherung in Großbritannien</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>Ich hatte vor kurzem eine Zusammenfassung über das neue Gesetz zur Vorratsdatenspeicherung und Überwachung (a.k.a. Snoopers‘ Charter) in Großbritannien geschrieben. Dieses ist eines der rigidesten in Europa. Wenn man sich mal genauer damit beschäftigt, dann ist man froh, dass es hier noch nicht so weit ist.</p><p><a href="https://blog.zenmate.co.uk/another-reason-for-using-a-vpn-the-investigatory-powers-bill/">Another Reason for Using a VPN: the Investigatory Powers Bill</a></p><p><em>Disclaimer:</em> Momentan arbeite ich bei ZenMate, deshalb ist der Artikel auch darauf zugeschnitten. Natürlich stehe ich aber zu der Grundaussage.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/">Die neue Vorratsdatenspeicherung in Großbritannien</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/neue-vorratsdatenspeicherung-grossbritannien/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">42</post-id> </item><item><title>Dann eben nächstes Weihnachten, paydirekt</title><link>https://joern.stampehl.de/dann-eben-naechstes-weihnachten-paydirekt/</link><comments>https://joern.stampehl.de/dann-eben-naechstes-weihnachten-paydirekt/#comments</comments><dc:creator><![CDATA[Joerny]]></dc:creator><pubDate>Fri, 23 Dec 2016 07:12:11 +0000</pubDate><category><![CDATA[FinTech]]></category><guid isPermaLink="false">http://joern.stampehl.de/?p=27</guid><description><![CDATA[<p>In diesen Tagen geht das Weihnachtsgeschäft zu Ende und die Online-Händler werden wieder einmal Rekordumsätze vermelden. (Sehr zum Leidwesen der traditionallen Händler, aber das ist eine andere Geschichte.) Und damit wird es weitere Gewinner geben: Die Zahlungsdienstleister. Auch PayPal, Sofortüberweisung & Co. werden ihr Stück vom Kuchen abbekommen haben. Doch bei einem aus der Zunft wird es eher lange Gesichter geben: paydirekt. Das Schlimme ist, das war mit Ansage. Im letzten Jahr hat man das mit dem Weihnachtsgeschäft nicht geschafft. Das lag unter anderem an den Sparkassen, die erst im April dieses Jahres hinzukamen. Ohne diese große potentielle Kundengruppe waren die Händler aber gar nicht zu überzeugen und so war schon mal 2015 abgeschrieben. Dieses Jahr sollte alles besser werden. Bereits im August vermeldete man, dass wichtige Onlinehändler dabei wären. Bei diesen könne man dann im Weihnachtsgeschäft auch mit paydirekt bezahlen. Und auch die Werbemaschine lief endlich […]</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/dann-eben-naechstes-weihnachten-paydirekt/">Dann eben nächstes Weihnachten, paydirekt</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></description><content:encoded><![CDATA[<p>In diesen Tagen geht das Weihnachtsgeschäft zu Ende und die Online-Händler werden wieder einmal Rekordumsätze vermelden. (Sehr zum Leidwesen der traditionallen Händler, aber das ist eine andere Geschichte.) Und damit wird es weitere Gewinner geben: Die Zahlungsdienstleister. Auch PayPal, Sofortüberweisung & Co. werden ihr Stück vom Kuchen abbekommen haben. Doch bei einem aus der Zunft wird es eher lange Gesichter geben: paydirekt. Das Schlimme ist, das war mit Ansage.</p><p>Im letzten Jahr hat man das mit dem Weihnachtsgeschäft nicht geschafft. Das lag unter anderem an den Sparkassen, die erst im April dieses Jahres hinzukamen. Ohne diese große potentielle Kundengruppe waren die Händler aber gar nicht zu überzeugen und so war schon mal 2015 abgeschrieben. Dieses Jahr sollte alles besser werden. Bereits im August vermeldete man, dass wichtige Onlinehändler dabei wären. Bei diesen könne man dann im Weihnachtsgeschäft auch mit paydirekt bezahlen. Und auch die Werbemaschine lief endlich an, auch wenn die Sparkassen sich beschwerten, sie seien ja bislang die einzigen, die Werbung machten. Immerhin, die großen Namen (Rakoon, MediaMarkt & Saturn, dm) kamen auch, wenn auch teilweise viel zu spät. Erst Anfang Dezember, als das Geschäft schon im vollen Gange war, wurden die Bezahlverfahren implementiert. Und richtig prominent findet man sie auch nicht (bei MediaMarkt muss man zum Beispiel erst einmal „alle Zahlverfahren“ aufrufen, um das zu sehen).</p><h3>Die großen Probleme bei paydirekt sind weiterhin ungelöst</h3><p>Und so muss auch dieses Weihnachtsgeschäft mit angeblich 800.000 registrierten Kunden abgeschrieben werden. Ich erspare mir jetzt Vergleiche mit PayPal, Sofortüberweisung oder Giropay und wie viel Transaktionen und Umsatz die nach einem Jahr hatten, denn <a href="http://paymentandbanking.com/zum-geburtstag-infografik-1-jahr-paydirekt/">die Startparameter sind 2015 anders gewesen als noch zehn Jahre zuvor</a>. Und trotzdem darf man sehr kritisch sein, ob Weihnachten 2017 so viel besser sein wird. Denn nach wie vor hat paydirekt einige sehr große Probleme, die nicht einfach zu lösen sind:</p><ul><li><strong>paydirekt soll das Problem der Banken lösen, nicht das der Kunden</strong><br />Es scheint mir so, als ob die Hauptmotivation der Banken, paydirekt ins Leben zu rufen, zur keinen Zeit darin bestand, ihnen ein Problem abzunehmen, das bislang niemand anders lösen konnte. Denn das einzige Unterscheidungsmerkmal, was paydirekt zu den anderen Zahlungsdienstleistern hat, ist der Standort Deutschland mit seinen angeblich so hohen Standards in Punkto Sicherheit und Datenschutz. Und mittlerweile ist ja hinlänglich bekannt, dass die Deutschen zwar gerne mal aufschreien, wenn das Haus photographiert wird, aber ansonsten doch ziemlich sorglos mit ihren Daten umgehen. An einem Mangel an Alternativen zu PayPal kann es zu mindestens nicht liegen, denn mit den schon erwähnten Giropay, Sofortüberweisung und der altbekannten Rechnung bietet der Onlinehandel jetzt schon eine ganze Reihe von verschiedenen Möglichkeiten beim Bezahlen an. Man könnte ja nun bei den Händlern ansetzen, aber da sieht es noch schlimmer aus. Weder ist paydirekt günstiger noch unkomplizierter. Somit wären der einzigen, die einen wirklichen Vorteil hätte, die Banken, die zum einen ein weiteren Einnahmekanal hätten, zum anderen eine weitere Möglichkeit, Daten von den Händlern zu erhalten, um damit den Kunden weitere Produkte zu verkaufen.</li><li><strong>Die Banken haben keine Zeit und wollen keine weiteren Risiken eingehen</strong><br />Angeblich wurden bereits 100 Millionen Euro von den Banken investiert. Dieses Geld muss erst einmal wieder reingeholt werden, weshalb sie sich weigern, bei den Transaktionskosten herunterzugehen. Und auch millionenschwere Werbekampagnen wurden nur zögerlich angefahren, <a href="http://www.faz.net/aktuell/finanzen/meine-finanzen/deutsche-banken-wollen-paypal-konkurrenz-machen-14384710.html">worüber sich die Sparkassen ja schon beschwert haben</a>. Und offensichtlich fehlt der Wille, hier noch mehr zu investieren. Denn ein reines Brandmarketing wird sicher kaum die Wende bringen. Bei den Händlern hat man zwar mittlerweile einige Schwergewichte an Board, aber um auf einen wirklich relevanten Marktanteil zu kommen, muss man eventuell im ersten Jahr deutlich unter den Sätzen von PayPal, eventuell auch <a href="https://www.der-bank-blog.de/achillesferse-paydirekt/mobile-payment/21334/">untern den Sätzen der Kreditkarten kommen</a>. Darüber, dass man <a href="https://www.customweb.com/paydirekt/pd_de/extensions.html">Plugins für die Integration in die Shopsysteme selbstverständlich kostenlos</a> anbietet, muss man ja wohl nicht reden. Und selbst dann, nur mit vielen Händlern wird das auch nicht vom Kunden benutzt werden. Auch hier muss man diese inzentiveren wie zum Beispiel durch kostenloser Versand, wenn man paydirekt benutzt. Beide Maßnahmen würden aber Geld kosten und auch das müssen die Banken wieder reinholen.</li><li><strong>Es ist ein deutsches Projekt</strong><br />Auch das ist ein hausgemachtes Problem: Die Konzentration auf den deutschen Markt. Dabei ist es gerade hier sehr schwierig. Ein Drittel der Leute kaufen am liebsten online über Rechnung ein. Und auch die Kreditkarten, die das Konto nicht sofort belasten, werden immer beliebter. Somit schrumpft der Anteil der potentiellen Kunden weiter. Wie schon gesagt, hier gibt es ja eine ganze Reihe an bereits etablierten Konkurrenten. Und das der deutsche Markt schwierig ist, zeigen <a href="https://www.heise.de/newsticker/meldung/Telekom-schliesst-Online-Bezahldienst-Clickandbuy-3031022.html">das Verschwinden von ClickandBuy</a> oder <a href="http://www.gruenderszene.de/allgemein/yapital-schluss-analyse">Yapital</a>, die mit Hinweis auf das schwierige Markumfeld das Handtuch geschmissen haben. 10 Prozent Marktanteil, die man im konservativen Fall bis 2020 erreichen will, sind also mehr als ambitioniert.<br />Bliebe also zumindest Europa, aber das wären wieder weitere Kosten, man müsste schauen, in welchen Märkten es funktioniert, müsste ausländische Banken ins Boot holen, zumindest ausländische Partner, …</li></ul><h3>Entscheidungen müssen jetzt getroffen werden</h3><p>Alle drei Punkte hätten bekannt sein müssen, bevor man das Projekt startet. Nun läuft man einem agilen Markt hinterher. Dieser wird wahrscheinlich mit mobilen Bezahlmethoden wie Apple Pay im nächsten Jahr noch einmal aufgeschreckt werden. paydirekt wird dann wieder nachholen müssen. Und die Banken müssen sich nun entscheiden, ob sie noch mal viel Geld nachschießen wollen oder das Geld abschreiben und sich vielleicht auf Giropay und andere Produkte konzentrieren, die besser laufen oder wo die Konkurrenz (noch nicht!) so stark ist.</p><p>Der Beitrag <a rel="nofollow" href="https://joern.stampehl.de/dann-eben-naechstes-weihnachten-paydirekt/">Dann eben nächstes Weihnachten, paydirekt</a> erschien zuerst auf <a rel="nofollow" href="https://joern.stampehl.de">Jörn's space</a>.</p>]]></content:encoded><wfw:commentRss>https://joern.stampehl.de/dann-eben-naechstes-weihnachten-paydirekt/feed/</wfw:commentRss><slash:comments>1</slash:comments><post-id xmlns="com-wordpress:feed-additions:1">27</post-id> </item></channel></rss>
If you would like to create a banner that links to this page (i.e. this validation result), do the following:
Download the "valid RSS" banner.
Upload the image to your own server. (This step is important. Please do not link directly to the image on this server.)
Add this HTML to your page (change the image
srcattribute if necessary):
If you would like to create a text link instead, here is the URL you can use:
http://validator.w3.org/feed/check.cgi?url=https%3A//joern.stampehl.de/feed/