Alles Gazprom oder was? Der Kampf um Europas Energie
geschrieben am 01. Februar 2008 von Spiegelfechter
Podcast der Woche
Diesen Freitag kommt der Podcast der Woche wieder mal vom Hessischen Rundfunk. Die werktäglich ausgestrahlte Sendereihe “HR2-Der Tag” hat einem Thema eine komplette Sendung gewidmet, dass trotz brennender Aktualität und Bedeutung in den meisten deutschen Medien gar nicht vorkommt: Alles Gazprom oder was? Der Kampf um Europas Energie
In der Sendung kommen verschiedene Korrespondenten und Fachleute zu Wort, u.a. auch Alexander Rahr, der sich in seinem neusten Buch ausführlich mit diesem Thema auseinandergesetzt hat. Die Grundlagen der europäischen Gasversorgung und -sicherheit werden ebenso erläutert, wie die politische Waffe “Gas”, die besonders für die russisch-osteuropäischen Beziehungen von Bedeutung ist. Da auch der SPIEGELFECHTER sich bereits mehrere Male ausführlich mit dem Thema “europäische Energiesicherheit” beschäftigt hat, möchte ich die Radio-Sendung auch als Anlass nehmen, um über die aktuellen Geschehnisse zu berichten.
Der tragische Tod von Nabucco
Die Geschichte der EU-Energiesicherheitspolitik ließe sich mit “Pleiten, Pech und Pannen” recht zutreffend beschreiben. Eigentlich will Europa für sich selbst eine größtmögliche Sicherheit haben, wenn es um die Importe des immer wichtiger werdenden Rohstoffs Erdgas geht. Noch kommen große Teile aus der Nordsee, nahezu der komplette Rest kommt aus Russland und wird von dem Unternehmen Gazprom verkauft. Da Gazprom ein Staatsunternehmen ist, hat der russische Staat damit ein politisches Druckmittel gegenüber er EU – sollte es mal hart auf hart kommen, können die Europäer frieren. Auch preispolitisch sind solche Monopole für den Kunden äußerst unvorteilhaft. Wenn der Anbieter die Preise scharf anhebt, hat der Kunde keine Alternativen und muss zahlen. Dass die Gazprom mittel- bis langfristig die Preise massiv erhöhen wird, steht außer Zweifel. Die Politik wird in Russland den Schuldigen finden, obgleich sie eine ebenso große Teilschuld trägt – man begibt sich ohne jede Not in die einseitige Abhängigkeit.
Die letzte Woche war wieder ein Glanzstück europäischer Inkompetenz. Seit langem ist die “Nabucco-Pipeline” projektiert – sie ist der Wunschtraum der EU-Kommission, wird vom österreichischen Gasmonopolisten OMV und seine Pendants in der Türkei und mehreren Balkanstaaten getragen – erst diese Woche stieg die deutsche RWE ebenfalls in das Projekt ein, was beim Konkurrenten E.ON nur Unverständnis hervorruft. Nabucco steht zwar auf sicherem Boden, was die Pipelineroute, die Endabnehmer und die Finanzierung angeht – Nabucco hat allerdings ein entscheidendes Problem und das sind die Gaslieferanten. Die östlichen Anrainer des Kaspischen Meeres, die ursprünglich diese Aufgabe erfüllen sollten, wurden, trotz der direkten Intervention von Steinmeier, Solana und Merkel, kompromisslos von Putin in langfristige Lieferverträge eingebunden. Dies ist für Turkmenistan und Kasachstan (und auch Uzbekistan und Kirgisien) auf der einen Seite und Russland auf der anderen Seite von beidseitigem Vorteil, da Russland, anders als Europa, konkrete Wirtschafts- und Sicherheitsimpulse geben kann. Und natürlich stellen russische Geschäftspartner auch nicht die Frage nach “Menschenrechten” und “Demokratie” – wie es der Westen so gerne tut.
Als einzig verbliebener Lieferant am Kaspischen Meer bleibt also Aserbaidschan übrig. Die Aseris würden auch gerne an finanzstarke Kunden in Europa liefern, nur gibt es bereits die Shah-Deniz Pipeline, die zwar nur die Hälfte der Kapazität der Nabucco-Pipeline hat, aber mit der Gaslieferung ins türkische Erzurum bereits große Teile der aserischen Kapazitäten innehat. Um wirtschaftlich arbeiten zu können, muss die Nabucco-Pipeline recht gut ausgelastet sein. Dies könnte vor allem ein weitere Anrainer des Kaspischen Meeres gewährleisten – Iran verfügt nicht nur über eine Erdgasförderung am Kaspischen Meer, sondern auch über Zugang zum größten Gasfeld der Welt, an dem Iran und Katar beteiligt sind. Mangels Transporttrassen ist dieses Gasfeld bislang noch nicht kommerziell erschlossen. Dort läge die Quelle europäischer Energiesicherheit, aber Europa will nicht zugreifen.
Die EU hat bei dieser elementar wichtigen Frage plötzlich Bedenken wegen der Menschenrechtssituation in Iran – was natürlich ein Treppenwitz ist, wenn man bedenkt, dass Steinmeier sich – ebenso wie sein Vorgänger Fischer – persönlich beim Islom Karimov, dem “Schlächter von Taschkent”, vorgestellt hat, um sein Land dazu zu bewegen, Gas für die Nabucco-Pipeline zu liefern. Die Weigerung, iranisches Gas zu importieren, ist vielmehr dem Druck der USA und Israels zuzuschreiben, die eine Stärkung der regierenden Mullahs auf Teufel komm raus verhindern wollen.
Als neuer Gaslieferant kommt heute ausgerechnet der Irak in die Diskussion. Der Irak fördert momentan nur winzige Mengen an Erdgas, die er selbst verbraucht und die nachgewiesenen Erdgasfelder liegen vornehmlich im Süden des Landes – diese müssten nicht nur komplett neu erschlossen werden, sondern über eine Pipeline, die es noch gar nicht gibt, zur türkischen Grenze transportiert werden. All dies in einem Land, in dem Bürgerkrieg herrscht und jeder ausländische Spezialist eine halbe Armee von Bodyguards braucht. Auch ohne die Gefahr systematischer Sabotagen, wie sie bei der irakischen Erdölförderung die Regel sind, erscheint diese Idee zu illusorisch, um ernsthaft betrachtet zu werden. Ob unter diesen Bedingungen Investoren für die Nabucco zu finden sind, erscheint mehr als fraglich.
Woher die EU plötzlich diesen Floh im Ohr hat, ist klar – Washington hat kein Interesse daran, dass die EU doch noch mit Iran Lieferverträge abschließt. Da das Nabucco-Projekt kurz vor dem Ende steht, bestand die Gefahr, dass die österreichische OMV, die in Teheran bereits ein Büro mit über 100 Angestellten gegründet hat, schnell Nägel mit Köpfen machen will und entgegen der Wünsche des großen Bruders auf der anderen Seite des Atlantiks das Projekt doch noch rettet. Natürlich hat Washington auch lebhaftes Interesse daran, europäisches Geld in den Irak zu locken – mitgehangen, mitgefangen.
Die Zuspitzung der Lage resultierte vor allem aus zwei strategischen Etappenzielen der Russen. Als Konkurrenz für das Nabucco-Projekt stieg die russische/italiensche Alternative “South-Stream” in den Ring. Die Trasse geht durch Schwarze Meer und soll über Bulgarien, Serbien und Ungarn ins österreichische Baumgarten, den zukünftig größten Verteilknoten für Erdgas in Zentraleuropa, an dem sich die Gazprom vorletzte Woche zu 50% beteiligt hat und der auch der Endpunkt der Nabucco sein soll. Mit Bulgarien und Serbien haben die Russen in den letzten beiden Wochen Verträge abgeschlossen, die die Trassenführung nach Baumgarten nur noch von einer Zustimmung der Ungarn abhängig machen“. Während die EU, wie gewöhnlich, von so etwas kaum Kenntnis nimmt, schäumen die Amerikaner vor Wut und zeigen sich “zutiefst besorgt” vom Verhalten des “jungen Europas” und wohl auch hinter den Türen von der larmoyanten Apathie des “alten Europas”.
Die OMV hat bereits signalisiert, dass es ihr eigentlich egal ist, wo das Gas für den Knoten herkommt. Das ist verständlich, muss sich die OMV auch nicht um Geopolitik kümmern und verdient sie doch bei jedem verkauften Kubikmeter – je teurer, desto besser. Dem europäischen Endkunden kann dies alles jedoch keinesfalls egal sein.
Jens Berger
Kategorien: Deutschland Geopolitik Great Game Russland
 |
Partnersuche im Internet Vertrauen Sie Deutschlands Nr. 1 Wissenschaftlich fundierter Test www.PARSHIP.de |
Kommentieren
Artikel
Kommentare
eMail-Abo
“Dass die Gazprom mittel- bis langfristig die Preise massiv erhöhen wird, steht außer Zweifel.”
Abgesehen davon, dass Prognosen die die Zukunft betreffen ohnehin selten zutreffen- dies scheint mir keineswegs so sicher, ein solches Verhalten hätte nämlich sowohl für Gazprom wie auch für den russischen Staat auch bedeutende Risiken, auf Nachbarn und Kunden muss jedes Unternehmen Rücksicht nehmen.
Und was heisst “massiv”… die Ware Erdgas muss schliesslich für den Abnehmer bezahlbar bleiben, sonst lassen sich schlecht Geschäft machen
Da wär´s doch eigentlich keine schlechte Idee, sich mit Gazprom-Aktien einzudecken. Oder? ;-)
Wenn du im Jahr 2000 welche gekaufst hättest, wäre das eine gute Sache gewesen. Im Moment gibt es bessere Möglichkeiten. Hier kannst du dir den Chart ansehen:
http://de.finance.yahoo.com/q/bc?s=GAZ.F&t=my&l=on&z=m&q=l&c=
@Jens
‘mal ‘was ganz anderes: Deine Seite ist ja (ziemlich?) gugelfrei, oder hab’ ich ‘was übersehen? Find’ ich gut!! Ich hab’ auch nix gegen “ämäßen”, Du kriegst aber auch jedes Buch über die Mayersche, das ginge auch! So zu sagen: Aus deutschen Landen frisch auf den Tisch!
Grüße
Vogel
PS: Gute Alternativen zu Gugel: MetaGer (D) und KartOO (F)
@Jens
vielleicht macht’s uns ein zukünftiger (demokratischer) Präsident/In – die Demokraten sollen ja bekanntlich protektionistischer sein als die Reps – durch entsprechendes Verhalten ja doch leichter, uns endlich von den Amis zu emanzipieren!
Wär schon ganz gut, wenn wir uns nicht länger von unseren Ur….enkeln nicht weiter auf der Nase rumtanzen lassen würden.
Ein Jahr müssen wir noch durchhalten! Tapfer sein!
Beste Grüße
Vogel
@anon
*wissendgrins*
@bernd
Das sehe ich eindeutig anders. Zunächst einmal sollte man sich nicht die ADRs, sondern die “echte” Aktie anschauen (Charts). Im Oktober 2007 habe ich leider für 11,40 verkauft und mußte letzte Woche mit 12,00 wieder einsteigen – man sollte sich wirklich nicht von “Panik” verleiten lassen. Aber im Oktober war die Lage auf den Finanzmärkte so unduchsichtig, dass sogar ich in Bonds umgerubelt habe. Da ich aber 2001 mit 0,41 in das Investment eingestiegen bin, sehe ich das doch sehr entspannt. Mit 50 wollte ich mir eigentlich ein kleines Landhaus am Mittelmeer kaufen ;-)
@Admiral Golowko
Sicher werden sie die Preise “anpassen”. Alles andere wäre dumm. Wenn man als nicht substituierbarer Anbieter über ein knappes Gut verfügt, kann man über den Angebot-/Nachfragemechanismus den Preis anpassen. Die Alternativen (hauptsächlich LNG) sind wesentlich teurer, wenn man eine ähnliche Gewinnspanne kalkulieren würde. Natürlich wird die Gazprom nicht so dumm sein, die Welt vor den Kopf zu schlagen und den Ölpreis (als einziges nennenswertes Substitut) wird man auch nicht außer Acht lassen. Da aber ganz Europa im Klimawahn ist, wird Gas auch als Energielieferant immer wichtiger werden. Wait and see ;-)
@Vogel
-> Gugel
Jein – ich habe den Bot nicht ausgesperrt, aber von deren Anzeigen halte ich 0,Nix, da sie die Besucher tracken d.h. auspionieren.
-> Amazon
Das ist meine einzige, wenn auch bescheidene, Einnahmequelle. Da ich die Bücher persönlich aussuche und sie auch alle mit reinem Gewissen empfehlen kann, sehe ich da auch kein Problem. Außerdem nutze ich nicht das Amazon-Script, da dieses wahrscheinlich auch “trackt”, sondern ein “Widget”, das nur die Grafiken herunterlädt. Ich denke, dass bin ich meinen Besuchern schuldig ;-)
Wenn Mayer etc. pp. ein Partnerprogramm anbieten würden und sämtliche meiner Empfehlungen anbieten würden, würde ich lieber heute als morgen umsteigen. Aber Amazon hat auch einen weiteren Vorteil und das sind die angeschloßenen Händler, die Mängelexemplare usw. sehr günstig anbieten. Ich finde das eigentlich ganz ok.
Obwohl ich diese Analyse gut finde, hier einige Relativierungen, die meiner Ansicht nach wichtig sind:
- Gazprom kann den Gaspreis nicht anheben. Der Gaspreis ist direkt an den Ölpreis gekoppelt. Ob die Preise hier steigen wird der Ölmarkt bestimmen.
- Nicht Deutschland aber Europa, erhöht den Anteil des Erdgases aus Nordafrika, Algerien usw. Dies ist zwar kein Ersatz für Gazprom aber eine Dämpfung. Zusätzlich wird gerade in Hamburg eine Anlage für die Gazschiffe gebaut. Je höher der Gaspreis, desto mehr rentiert es sich. Das wirkt aber natürlich auch nur als kleiner Puffer, noch.
- Ob die Verträge mit den Zentralasiatischen Staaten lange Bestand haben werden, darf angezweifelt werden. Die Russen kassieren viel, dafür dass sie die Augen für Menschenrechte schließen. Der Preis für den Russen das Gas abkaufen, liegt weit unter dem Weltmarktpreis, den die Europäer bereit wäre zu zahlen.
wie sieht`s denn in nordafrika aus? algerien!? war da nicht was mit gas!?
Eine Investition in Richtung Iran würde doch nicht zur Verbesserung der Energiesicherheit beitragen. Dort wird man weitaus weniger Skrupel gegenüber Europa haben, wenn es darum geht Abhängigkeiten für politische “Erpressungsversuche” auszunutzen als in Russland. Und solange sich im deutschen Energiemarkt nichts ändert, bezahlen wir doch sowieso den Preis, den man gerade noch vertreten kann ohne ein Einschreiten der Politik befürchten zu müssen.
@Jens
Du bist sicher groß genug, ‘mal die Mayersche zu fragen ;-) vielleicht sind die ja auch ‘n guter Partner? (oder noch’n besserer? fragen kost’ nix!) Deinen Antrieb mit “ämäßen” zu “quellen” find’ ich okay. Es gehört für mich dazu, bei dem Standpunkt, den ich vertrete, möglichst wenig mit Big Brother(s) zu dealen. Auf’m Desktop iss schon Linux drauf, das Vista hier auf’m Notebook hat’s auch bald hinter sich (und das, obwohl ich keine Ahnung habe!). Ich versuch’ halt ‘n bisschen kosequent zu sein! :-)
Grüße
Vogel
PS.: Btw wie bist Du an Deine Buchempfehlung von Alexander Rahr gekommen? Den Schmöker gibt’s weder bei ä… noch bei der Mayerschen?
Ich muss immer lachen, wenn Steinmeier, Merkel und andere Lautsprecher mit “Menschenrechten” masturbieren. Interessanter fände ich zu erfahren, wieviel Geld ein Kanzler oder Aussenminister konkret kostet.
Vielleicht werde ich ja mal reich und habe (Achtung Wortwitz) noch genug Energie übrig, um mir meine Politik zu kaufen.
OT: @Vogel 12
Ich mag diese Einstellung. Laptops wie IBMs T40-43 laufen sehr gut z.B. mit Slack, Fedora oder Ubuntu. Die IBM Laptops kann man oft auch noch zu vernünftigen Preisen gebraucht erwerben, Lenovo (hat die Laptopsparte von IBM gekauft und “verbilligt”) Laptops können nicht mehr ansatzweise an den hohen Standard der alten IBMs anschließen.
Ubuntu ist aus Usersicht derzeit wohl am komfortabelsten, aber da immer mehr Firmen wie IBM da investieren, gehe ich davon aus, dass die nicht quelloffenen Pakete (um die Du nicht drumherum kommst) bald kompromittiert sein werden.
Ich würde in Zukunft mein Vertrauen trotz des notwendigen Aufwandes wahrscheinlich eher wieder Patrick Volkerding und seinem Team schenken.
Meines Erachtens kommt man nicht drumherum, ein eigenes Linux- oder BSD-basiertes Firewallsystem aufzubauen, den heutigen Routern kann man aus nachgewiesenem Anlass nicht mehr vertrauen – sprich: Dein eigener DSL-Router ist der erste Man-in-the-middle.
Wenn Du viel surfst, ab und zu mal Dateien herunterlädst, ist es dringend angeraten, dies über ein VPN (z.B. mit OpenVPN) entweder (mit Zustimmung Deines Arbeitgebers) mit dem Firmennetzwerk oder mit einem VPN zu ausländischen Servern in Ländern, die vertrauenswürdiger sind, durchzuführen. Wenn Dein Arbeitgeber Dir ein VPN erlaubt, solltest Du ihn fairerweise darüber in Kenntnis setzen, dass seine gesamte Hardware plötzlich völlig unbegründet für mindestens 6 Monate verschwunden sein kann, wenn er den Fehler gemacht hat, seine Standorte im Einflussbereich der EU zu haben.
Software wie Skype verbietet sich von selbst.
Darüber hinaus sollte ein regelmäßiges Tracken Deiner Firewall auf Ausbruchsversuche Deines Clients zur täglichen Routine werden.
Wenn Du Deine Hardware unbeaufsichtigt zu Hause läßt, solltest Du Dir etwas überlegen, wie Du erkennen kannst, dass jemand heimlich unbefugt zugegriffen hat.
@Vogel
Das Buch kommt lt. Az. am 6.2. heraus. Ich habe es also “noch” nicht gelesen, schätze aber Rahr aufgrund seiner Objektivität und denke mal, dass ich mit der Empfehlung gut liege ;-)
@Rusinform
Verträge laufen aber auch aus. Ich weiß nicht, ob die deutschen Importeure einen Sammelvertrag haben, oder Einzelverträge … aber solche Verträge haben mW Laufeziten von ungefähr 20 Jahren und dann wird neu verhandelt.
btw.: Der variable Preisbestandteil (an den Ölpreis gekoppelt) ist nur ein Anteil des Gesamtpreises. Wie hoch dieser variable Anteil ist und wie hoch der fixe Anteil ist mW Staatsgeheimnis ;-)
Ja und nein – Als LNG ist es teuer und eine Pipeline gibtt es noch nicht.
Richtig, bei steigenden Gaspreisen wird dies rentabel sein.
Sicher – die Russen zahlen aber für das Gas vor Ort. Der Gaspreis hängt größtensteils vom Ort des Handels ab. Die Usbeken haben gar nichts davon, wenn die Deutschen 250€ bezahlen würden, wenn das Gas nicht dorthin kommt. Außerdem bieten die Russen noch andere, immaterielle Vorzüge – Stichwort SCO.
@ absurd. sry aber deinen standpkt kann ich auf keinen fall nachvollziehen.
die europäische (teil)abhaengigkeit waere wohl eines der wenigen dinge die den iran relativ sicher vor amerikanischen bomben schuetzen wuerden. Das ist ein enormer Sicherheitsgewinn, den auch die ayatollahs zu schaetzen wüssten.
es geht ja nicht darum sich von den iranern abhaengig zu machen sondern ein ZWEITES standbein als gegengewicht zu russland aufzubauen. wenn einer von beiden zickt, kann man immernoch einen gewissen anteil am gesamtverbrauch beim anderen decken und steht nich ganz nackt da.
@schwitzig,
Danke! Hab’ nix verstanden weil ich ja
Wat is’n VPN? ;)
Darf ich Dich gelegentlich ‘was Fragen? Bist Du bei ubuntuusers dabei?
Beste Grüße
Vogel
@18 Vogel
Klar darfst Du mich fragen – eine Antwortgarantie gibt’s aber nicht :-). Nein, bei ubuntu bin ich nicht dabei – ich nutze es temporär eigentlich nur aus Faulheit.
VPN = Virtual Private Networking. Das kann in der Praxis z.B. bedeuten, dass Du durch das Internet einen Tunnel von einem Endpunkt zum anderen baust – quasi eine undurchsichtige Röhre in der Röhre Internet. Wenn Du dann z.B. an dem remote-Endpoint einen Proxy laufen läßt, könntest Du z.B. darüber surfen.
@schwitzig, #14
Zu dem Anlass würde ich gerne mehr erfahren, klär mich bitte auf.
Ein extra Firewallsystem hat m.E. keinen Sinn, wenn du einen DSL-Router hast.
Wenn du dich von eventuellem Man-in-the-middle im Router dadurch “schützen” möchtest, recht es vollkommen aus, die FW auf deinem PC zu aktivieren. Bei Linux wäre es allerdings keinen Zugewinn mehr, ob mit oder ohne FW. Wie soll denn bitte die FW dein PC zusätzlich “schützen”, wenn Linux ohnehin ordentlich konfiguriert ist? In diesem Fall “erfährt” dein DSL-Router nicht mehr und nicht weniger als jeder Router oder gar Switch auf dem Wege zw. deinem PC und einem Server (wie hier z.B.). Führ mal
> traceroute -m 100 spiegelfechter.com
# von deinem PC aus, falls es ein Linux ist. Unter su, wohl gemerkt.
Hi,
hier z.B.:
http://www.router-forum.de/thread.php?postid=136835
und hier zum Protokoll:
http://www.heise.de/tp/r4/artikel/24/24763/1.html
Eine PFW ist meistens sinnlos, da sie auf dem Client läuft, der direkt durch den User benutzt wird. Eine Kompromittierung wird dadurch wahrscheinlicher und würde den User dann obendrein noch ein falsches Sicherheitsgefühl vermitteln.
Eine Netzseparation ist mittlerweile problemlos auch virtualisiert machbar, so dass nicht zwingend zusätzliche HW erforderlich ist. Die Netfilter-Gruppe hat mit fwbuilder ein an Checkpoint FW-1 angelehntes Administrationsinterface entworfen, das die Verwaltung einer FW extrem vereinfacht.
Auf das Zeug mit “linux vernünftig konfiguriert” gehe ich jetzt mal freundlicherweise nicht näher ein.
Grundsätzlich sollte man seinen Traffic tracen (und damit meine ich nicht Dein Routenverfolgen) und von Zeit zu Zeit, speziell aber nach updates oder Neuinstallationen, bzw. Aktivierung z.B. von Plugins für den Browser der Wahl.
Die Gefahr ist _nicht_, wer Dich von aussen angreift, sondern was von innen nach draussen geht.
@schwitzig
Hallo
>
> hier z.B.:
> http://www.router-forum.de/thread.php?postid=136835
>
Ahja, speedport!
Da war vor ca. einem Jahr lustige Meldung dazu bei heise-news.
Die Burschen haben es ganz schlampig konfiguriert, und die Firmware war gaga.
Hab bei Bekannten das hochgezogen und konfiguriert.
Konfigurieren lässt sich da allerdings nicht viel. T-Com eben.
Ich dachte, du hast das da gemeint:
http://www.heise.de/security/Erste-aktive-Angriffe-auf-DSL-Router-Update–/news/meldung/102281
Die UPnP habe ich in meinem Fritz gleich bei allererster Konfiguration deaktiviert. Ist schon sehr lange her.
> und hier zum Protokoll:
> http://www.heise.de/tp/r4/artikel/24/24763/1.html
>
«Mit einem heimlichen Update über TR-069 und entsprechender Firmware lässt sich ohne weiteres Zutun zwar keine “Online-Durchsuchung” veranstalten, aber immerhin der Datenaustausch im Heimnetzwerk überwachen. Die Internet-Kommunikation bekommt der Provider sowieso mit, wenn er will.»
Ja, hab auch noch damals gelesen.
VoIP lässt sich dadurch allerdings auch abhören, wenn jemand drauf kommt.
Nach dem Artikel überlege ich mir, ob ich noch Upgrade machen soll oder lieber gleich OS-Soft drauf ziehen sollte. Die Teile sind längst gehackt.
Allerdings waren bei AVM die Konfigurationsoptionen sehr vernünftig – man hatte immer alles im Griff, was da von Funktionalitäten/Schnittstellen drin war. Ob es auf Ewig so bleiben wird, ist eine andere Frage.
> Eine PFW ist meistens sinnlos, da sie auf dem Client läuft, der direkt
> durch den User benutzt wird.
Aber das ist schon eine andere Geschichte.
Wenn du auf Win-Kiste ein Virus oder Trojaner fängst, braucht keiner mehr auf dein Router, da er sowieso alles im Griff hat. Im Linux (das benutze ich daheim seit kleiner Ewigkeit) läuft iptables unter su /SuperUser/, und es ist gar nicht so einfach auf den Rechner zu kommen, wenn du sogar im LAN bist (so, wie bei Einloggen in Router). Nicht mal, wenn auf der Kiste gar kein iptables oder eine andere FW läuft. Es sei denn, du hast darauf irgendwelche löchrige Netzdienste gestartet oder darauf Accounts ohne PWds hast. Das einzige, was man da (aus dem Router mit spec. Soft) anstellen kann – interne LAN-Kommunikation “abzuhören”. Wow!
> …. Eine Netzseparation ist mittlerweile
> problemlos auch virtualisiert machbar, so dass nicht zwingend zusätzliche
> HW erforderlich ist. Die Netfilter-Gruppe hat mit fwbuilder ein an
> Checkpoint FW-1 angelehntes Administrationsinterface entworfen, das die
> Verwaltung einer FW extrem vereinfacht. Auf das Zeug mit “linux vernünftig
> konfiguriert” gehe ich jetzt mal freundlicherweise nicht näher ein.
Wieso?
Bist du auf Win hingewiesen? Ich hatte mal Zeitlang Win&Linux parallel auf der Kiste, dann stellte ich aber fest, dass ich Win eigentlich gar nicht brauche.
Ich kenne keinen Menschen, der wirklich eine Win-Kiste im Griff hat.
Und manche von denen schlagen sich schon viele Jahre damit herum.
Egal was du drauf installierst und wie du es konfigurierst, es bleibt immer eine BlackBox mit vorgesehenen und unvorgesehenen Löchern. Genau wie dein Router. Auch Panzertüren nutzen nichts, wenn alle Fenster aufgerissen sind.
Im Übrigen meinte ich mit “vernünftig konfiguriert” nichts spektakuläres, sondern simpelste Sachen wie keine Accounts ohne PWds, kein Default-Guest, keine unnötige lokale Netzdienste etc. Das schafft auch jeder unbedarfte Benutzer mit ein wenig Sorgfalt schon bei Installation.
> Grundsätzlich sollte man seinen Traffic tracen (und damit meine ich nicht
> Dein Routenverfolgen) und von Zeit zu Zeit, speziell aber nach updates oder
> Neuinstallationen, bzw. Aktivierung z.B. von Plugins für den Browser der
> Wahl.
IdT, Mann kann nicht mit jeder Schlampe ins Bett gehen und dann auf gute Gesundheit hoffen. Hygiene ist nie verkehrt.
> Die Gefahr ist _nicht_, wer Dich von aussen angreift, sondern was von
> innen nach draussen geht.
>
Ist, wie gesagt, eine andere Geschichte.
In solchen Fällen hilft dir eine zwischen-FW oder auch Router im LAN herzlich wenig. Als wir in der Firma hinter einem http-Proxy gesetzt wurden, brauchte ich nur paar Tage, um mich dadurch auf meinem Heimrechner wieder d. ssh einzuloggen. D.h., wenn du was auf deinem PC hast, dann schafft es auch immer nach draußen. Es sei den, du ziehst den Stecker ;)
… nicht zu vergessen die hardgecodeten Passwörter, Serverdienste die nach public hören und trotz “Häkchen” im Webinterface nicht deaktiviert sind, bzw. die aus dem Webinterface gar nicht konfigurierbar sind. Das sind zu viele Zufälle und es ist auch keine VT, da Absicht zu unterstellen, da es eher eine VT wäre, zu glauben, dass derartiger Pfusch undokumentiert den RC passiert.
Du kommst offensichtlich nicht aus dem Bereich Security, denn Du denkst viel zu eindimensional. Dein Angreifer aus dem LAN ist bestenfalls der erste Schritt. Danach wird gewartet, bis sich z.B. auf Clients irgendeine Sicherheitslücke auftut oder der User einen Fehler macht – Stichwort Passwortauthentifikation. Ggf. wird auf dem kompromittierten Router ein Portforwarding eingerichtet, so dass Serverdienste aus dem LAN auch via NAT von aussen ansprechbar sind. Sobald jemand Deine FW, Deinen Router kontrolliert, ist nicht nur er im LAN sondern Deine Kisten dahinter direkt im WAN.
Transparenz und Modularität der OS wie Linux, Unix und Windows sind mittlerweile auch nicht mehr kontrollierbar. “Wirklich im Griff” kannst Du auch Dein eigenes Linuxsystem nicht mehr haben, denn dazu ist es mittlerweile zu komplex und hat zu viele Module, die gewartet und gepatcht werden müssen, auch “sicherheitskritische”. Ich habe seit knapp 20 Jahren mit Unixoiden und Winsystemen beruflich zu tun und würde bei keinem System behaupten, dass man es “im Griff haben kann”. Bestenfalls kann man die Funktion im Griff haben, aber die Zeit, jeweils den Source Code zu lesen, zu verstehen und erst dann die SW anzuwenden, hat niemand: Ergo, Du musst vertrauen und durch heterogene Netzgestaltung Mißbrauch vorbeugen.
Das OS ist völlig egal. Der User ist unter jedem OS angreifbar und darf Netzdienste nutzen. Die Aussage “Linux/Os-der-Wahl/Software-der-Wahl ist sicher” zeugt bestenfalls von Selbsttäuschung, schlimmstenfalls von Ignoranz und Blödheit. Deswegen gehe ich da lieber nicht drauf ein.
Wie gesagt – OS unabhängig.
Ja und? Wir reden hier nicht über so’n Babymumpitz wie Würmer, sondern über einen koordinierten mehrstufigen Angriff mit einer konkreten Absicht dahinter.
Der erste vernünftige Satz, den ich von Dir lese :-)
Sorry – das ist Mumpitz. httptunnel kannst Du z.B. auf Proxies wie squid sehr effektiv mit einer ACL für eine Whitelist mit Seiten, für die ein connect-state erlaubt ist, verhindern. Ohne connect kommst Du mit Deinem httptunnel genau bis zum Proxy und nicht weiter.
Wenn man _will_ kannst Du nicht.
Und das andere: Gerade beim Analysieren und verhindern von inneren Traffic zu Public nutzen Dir Systeme wie Router, FW im LAN. Wenn Deine FW sinnvoll konfiguriert ist, geht nichts nach draussen, von dem Du nicht willst, dass es nach draussen gehen soll.
Nein – siehe oben.
Doch, das ist hundsgewöhnliche Schlamperei! Dessen bin ich mir erfahrungsgemäß absolut sicher. Und es wird nicht besser, da Menschen mit wirklich fundierten Kenntnissen, die noch die Zeit fürs Nachdenken haben, sind “unbezahlbar” geworden. Im hektischen Wettbewerb kann sich heutzutage [fast] keiner mehr solche leisten. Von daher halte ich gezielten Einbau von allerlei Backdoors in moderne Systeme für schlicht überflüssig. Wer solche Backdoors explizit einbaut ist genau so einer “Programmierer” ohne Ahnung wie seine abertausende unterbezahlte und gestreßte Berufskollegen.
Nein, ich bin ganz “normaler” SW-Entwickler – nix Web-Design und so. Aber ich habe zeitlang SW für russ. Militär entwickelt und hab daher so ein paranoid-pragmatisches Gepräge. Und ich habe gute Vorstellung davon, was solide Sicherherheit in solcher Umgebung wirklich kosten kann. Das kann sich kein MKU mehr Leisten, und schon gar nicht ein Privatmann. Es sei denn, man(n) beschäftigt sich damit aus Spaß am Gerät, da man sowieso nix besseres zu tun hat, weil wegrationalisiert.
Nein, solche Illusionen mache ich mir nicht. Gegen wirklich qualifizierten und gezielten Angriff kann ich mich weder daheim noch im Büro schützen – viel zu aufwendig. Nur, wenn ich wirklich so’ne Person wäre, die solche Kosten von Überwachern gerechtfertigen würde, hätte ich schlicht meine Strategie geändert, anstatt mich mit allerlei IT/TK-Spielzeug herumzuschalgen.
Im Kontext der Diskussion von oben meinte ich effektiven Schutz gegen Möchtegernüberwachern mit ihren Bundestrojanern und allerlei Datensammler.
Dito.
Stimmt. Die Linuxe/Unixe vor 5 oder gar 10 Jahren waren echte Schenkelklopfer, aber in der Hinsicht immerhin wesentlich “besser”, als die Wins von damals. Das mag zgT auch daran liegen, dass ich sie viel besser verstehe.
M.E. ist es ein Holzweg. Durch Verkomplizierung der Umgebung wird mitnichten mehr Sicherheit erreicht – Security by obscurity.
Wer und bei welchen Voraussetzungen könnte sich bitte solchen Aufwand erlauben? Bei Schäubles Jüngs handelt es sich auch nur um eine Meute, die nur an Geld aus dem Steuertopf und lukrativen Geschäften interessiert sind. Die stellen/beauftragen auch keine hochqualifizierten Fachleute dafür, da es dabei lediglich um Data-Mining und Show für LAO-Idioten geht.
Mach’ dir nix vor, du kannst das Geschehen hier auf dem Blog gar nicht verstecken, da weder WPress noch der Mietserver dafür konzipiert und ausgelegt sind. Was nutzt dir SSL/https oder dein absolut sicherer PC, wenn man alle Aktivitäten im Blog direkt aus der MySQL-DB auslesen kann? Account-Daten dafür liegen offen im Netz. Und wenn der Port dafür von außen gesperrt ist, so ist es kein Kunstück, direkt auf den Server einzuloggen, wenn man die Verbindungen der Blogger und sonstiger User zum Server bereits protokolliert hat – stinknormaler ftp! Oder man wird schlicht selber zum “user” auf dem Server für Zweifuffzig im Monat.
Man kann aber dem Proxy sehr geschickt einen https auf 443 vorgaukeln, so dass auf die Idee erst gar keinen kommt, wenn er überhaupt je die Zeit für die Analyse finden würde. Admins werden auch in großen Unternehmen sehr mies bezahlt und haben idR sehr spezielle Ausbildung, die lediglich darauf hinaus läuft, wie was installiert und konfiguriert wird, damit es “läuft”, und wie die Sachen “zusammengeknüft” werden – da kann man sehen, was die leisten ;) Von TCP-Flags haben die meisten nie was gehört. Was wirklich dahinter abläuft, verstehen nur die wenigsten. It’s life, siehe die Sache pragmatischer an.
MfG
C.
Du hast das Funktionsprinzip und die Umsetzung von http-Tunneln noch nicht richtig verstanden. Da kannst Du https(SSL-encrypteten) Traffic simulieren wie Du willst – ohne connect keine Verbindung – das kannst Du an diesem httptunnel-Beispiel deutlich sehen:
[root@replaced-prxhost ~]# tail -f /var/log/squid/access.log | grep ‘replaced-destination.com’
1.2.3.4 – - [06/Feb/2008:12:22:39 +0100] “CONNECT replaced-destination.com:443 HTTP/1.1″ 0 16067 TCP_MISS:FIRST_UP_PARENT
Zu dem Rest später mehr.
@Schwitzig
> Du hast das Funktionsprinzip und die Umsetzung von http-Tunneln noch
> nicht richtig verstanden.
Doch, doch!
Es geht hier nicht um konkrete Implementierung wie z.B. die da: http://www.softguide.de/prog_n/pn_1047.htm (wie auch ähnliche)
oder darum, wie sauber dabei primäre TCP/IP Verbindung aufgebaut und http-Protokoll darauf implementiert ist, sondern darum, dass man eine virtuelle TCP/IP komplett(!) in HTTP umwickeln kann. Die Proxys und FWs bekommen von den virtuellen TCP/IP-Verbindungen, sei’s auch einer ssh-Sitzung, nicht den leisesten Hauch, da sie den Inhalt von den HTTP-GETs, PUTs, POSTs etc.pp gar nicht erst analysieren. Sollte jemand auf die Idee kommen, das dennoch zu tun, so ist spätestens mit HTTPS schon Schluss damit und all die tollen Einrichtungen lediglich eine Kommunikation d. HTTPS-Protokoll beobachten können, weil es eben eine solche IST (sorgfältige Implementierung vorausgesetzt).
Dass das alles andere als Kinderkacke ist, derart Wrapper wirklich sauber zu imlementieren, ist mir mehr als bewusst. Und falls du jetzt in deinem Proxy oder FW ganz strenge Regeln und Überprüfungen aufziehst, dann wird daran höchstwahrscheinlich auch jedes zweite kommerzielle VPN-Tool und ähliches scheitern. Und wenn in einer Firma so’n Tool g’rade ein wichtiger Chef einsetzt, so sind die strengeren Regeln in allen Schutzeinrichtungen in 0,nix wieder verworfen. Grau ist die Theorie :)
Wahrscheinlich ärgert sich Jens schon über unsere technische Plenkerei :P
Schönen Tach noch,
C.
Hier denkt der Proxy: Ah, SSL Verkehr
[root@replaced-prxhost ~]# tail -f /var/log/squid/access.log | grep ‘replaced-destination.com’
1.2.3.4 – - [06/Feb/2008:12:22:39 +0100] “CONNECT replaced-destination.com:443 HTTP/1.1″ 0 16067 TCP_MISS:FIRST_UP_PARENT
Der springende Punkt ist der CONNECT – State durch den Proxy. Den brauchst Du zwingend. Die GET, POST und was weiss ich Methoden interessieren nicht – ohne CONNECT bleibst Du am Proxy hängen.
Ich habe da vor einem Jahr unter anderem auch mit httptunnel und PuTTY (das Programm hat Potential!) einen audit gemacht und kann Dir sagen, dass Du ohne CONNECT state am Proxy nicht durchkommst. Das kannst Du ja mal in einer virtuellen Umgebung testen.
Zu dem Chef:
Das war der Grund, weshalb ich den Audit anberaumt und durchgeführt habe, denn ich bin für ein Labor, Testbed usw. zuständig, welches Services über einen speziellen BB auch aus einem Teilbereich eines Office-LAN bezieht. Aufgrund von Kundenverkehr habe ich da besondere Securityvorstellungen und zum Glück niemanden, der mir eine Öffnung befehlen könnte.
@Schwitzig
Mit squid habe ich mich zwar nie auseinandergesetzt, verstehe jedoch nicht, wohin du hinaus willst. Oder ist da eine Besonderheit von SSL? Meine Experimente beschränkten sich damals nur auf http, das mit https war nur so’ne allgemeine Überlegung ohne besondere Erfahrung.
Wenn http-C/S miteinander kommunizieren, bauen sie ganz normale TCP/IP-Verbindung auf und tauschen dadurch http-Requests aus.
IdR sind solche Verbindungen nicht von Dauer (sterben nach einem TimeOut ab), aber es spricht nichts dagegen, dass solche auch mehrere Stunden lang bestehen können und dürfen, ganz RFC-Conform. Wenn du z.B. ein DVD-image durch http holst (sei es durch den Browser oder wget), so besteht die TCP/IP Verbindung so lange, bis all die GBytes rüber sind.
Und wenn httptunnel-C/S solche Verbindungen dafür ausnutzen, um die Daten(!) auf einem host von ssh d. lokale(!) Verbindung entgegen zu nehmen und auf anderem host wiederum d. lokale(!) Verbindung an sshd zu reichen, so werden sich die ssh-C/S auch wunderbar verstehen. Wodurch und wie die Daten von einem host auf den anderen und zurück kommen, ist dabei vollkommen egal.
Ich würde sogar behaupten, dass es nicht mal zwingend erforderlich ist, dass httptunnel-C/S eine TCP/IP-Verbindung dauerhaft aufrecht erhalten müssen, um eine getunnelte ssh-Session aufrecht zu halten. Besonders dann nicht, wenn es eine einzige virtuelle Verbindung zw. ssh-C/S auf den hosts ist. Hautsache, dass die lokalen Verbindungen auf jeweiligen hosts von httptunnel-C/S zu den jeweiligen ssh-C/S aufrecht erhalten bleiben. Der Datenaustausch zw. den httptunnel-C/S kann auch durch mehrere nacheinander auf- und abgebaute TCP-Verbindungen erfolgen, so wie es auch bei Browser/http-Server “üblich” ist, nur dass in diesem Fall der “server” einen einzigen Client bedienen würde. Bei mehreren Clients, so wie es im Falle einer Spy-SW seien sollte, müsste der “server” schon wesentlich aufwendiger aufgebaut sein. Siehe dazu auch: http://www.jfranken.de/homepages/johannes/vortraege/ssh3_inhalt.de.html
Aber deine Meinung zu dem Rest v. #24 würde mich doch mehr interessieren.
Es ging ja um Schutz von Möchtegernüberwachern und eventuelles Entgegenwirken auf techn. Niveau. Und darum, was von den beiden Seiten in der Hinsicht praktisch(!) möglich und realistisch, und was unsinnig ist.
Schönen Abend noch.
C.
Hi Copoka,
ganz so einfach ist es nicht, theoretisch liegst Du nicht falsch (Dein letzter Link geht übrigens auch auf den CONNECT state ein) – ich denke, Du willst auf so etwas hinaus:
http://groups.google.com/group/alt.hackers/browse_thread/thread/b5b6a8554f331bc6
24 habe ich nicht vergessen :-). Da schreibe ich nachher noch etwas zu.
@COPOKA 24
Die T-Online-Router, die fernkonfigurierbar waren, bei denen man das aber trotz explizitem Abstellen nicht abgestellt hatte, finde ich da aber schon sehr “zufällig”. So etwas ist meiner Meinung nach nicht mit Schlamperei zu erklären.
Da stimme ich Dir zu – vom leisten können mal abgesehen. Ich arbeite bei einem wirklich Großen, der nur noch durch Sparen, aber parallel durch fast expotential explodierende Gewinne nach Steuern auffällt.
Die meisten Unternehmen _können_ sich Qualität leisten, doch leben wir in einer Welt mit Aktiengesellschaften – dem natürlichen Feind der Qualität und positiven Entwicklung.
Das Prinzip von Backdoors ist, dass man sicher davon weiss, direkt eine Zugriffmöglichkeit hat und meint, dass man nur selbst davon weiss. Das Argument, dass sowieso alles so beschissen zusammengezimmert ist (Cisco – nein, ich konnte es mir nicht verkneifen :-), dass man gar keine BDs benötigt, halte ich für blauäugig, denn dem stehen finanzielle und machtpolitische Interessen entgegen. Ich würde eher davon ausgehen, dass ein System gleich mehrere BDs durch unabhängige Abteilungen angefordert implementiert hat :-).
Ähem. Ich möchte das jetzt mal nicht so verstehen, dass Du Security für “Webdesign” hälst …
Bedingt richtig. “Sicherheit” gibt es gar nicht – es gibt nur eine Akkumulation von Nerv-den-Angreifer-Hürden-bis-er-sich-ein-anderes-Ziel-sucht. Ich vertrete den Standpunkt, dass man mit genügend Geld, Ausrüstung, Zeit und Manpower ausnahmslos jedes System ausforschen kann, um an Daten heranzukommen. Es ist eine Frage der Verhältnismäßigkeit und Mühe. Je besser das Kontroll- und Abwehrdesign ist, um so mehr Mühe und Zeit kostet es den Angreifer, der in den meisten Fällen auch eine Kosten/Nutzen-Rechnung anstellen wird. Bei einer Totalüberwachung des Bürgers ist es z.B. so, dass dort Hirarchien aufgebaut werden _müssen_: 1) Bots, automatisierte Trafficanalysis (lokale Trojan. Pf. inklusive), 2) Normal bezahlte Staatssklaven, 3) Teure, seltenere und daher oft überbuchte Staatssklaven.
Um von 1 bis 3 zu kommen, muss wenigstens in 1 schon sehr verdächtiges Material mit großem Potential angefallen sein. Totalitäre Staaten haben quantitativ meist ein engmaschiges Netz, wegen des Aufwandes qualitativ aber Defizite. Sprich: Die Intelligenten kommen davon, die Dummen dürfen zahlen. Es geht ja darum, Geld abzugreifen und Massenproteste zu verhindern und da stört es nicht, wenn die kleinere Menge der Intelligenten durchschlüpft, denn z.B. für Massenproteste brauchen auch Intelligente große Massen an mobilisierten Dummen – oder sagen wir “Subintelligenten” :-). So wird das vordringlichste Ziel totalitärer Staaten, nämlich der Selbsterhalt und die Festigung bestehender Strukturen, erreicht.
Jetzt muss ich schon wieder stoppen. Auf die anderen Punkte gehe ich nachher ein :-)
@Schwitzig, #30
Doch-doch! Schlamperei und geballte, globalisierte Ahnungslosigkeit und Wichtigtuerei.
Auf T-Online-Router möchte ich sogar stellvertretend etwas näher angehen.
Ich wurde vor paar Monaten von meinen Bekannten gebeten, ihnen “Internet” zu machen – die sind von t-online zu einem [angeblich] billigeren Provider gewechselt, konnten sich allerdings bei ihm nicht einloggen und wurden d. neue Hotline so verwirrt, dass sie absolut verzweifelt und ratlos waren.
Da fragte ich zuallererst, was für Router sie daheim haben – es war Speedport W 700V. Aha! Horrormeldungen zu Speedports auf heise waren mir noch frisch im Gedächtnis – freundliche http-Präsentation “nach Draußen”, festprogrammierte Passwörter, allerlei geöffnete Ports etc.pp. Sieh z.B. hier:
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2007-01/msg00455.html
Also habe ich mir Manual & neuste Firmware für das Ding besorgt und bin hin. Die armen Leute haben bereits zusätzlich zum “T-Online Software” (eine stolze CD voll) noch eine volle CD von dem neuen Provider installiert – alles in allem um 1G unnütziges Zeuch, und wurden nun von Hotline (kostenpflichtig!) zugelabert, wo was zu klicken wäre, damit’s “läuft”. Nach ca. 2 Stunden Plapperei und Herumklickerei verabschiedet sich die HL mit den Worten: “Achso, sie haben den Router gar nicht von uns! Tut uns Leid, dann können wir Ihnen auch nicht weiter helfen”, *Klack* ;)
Also habe ich das Teil resetet, upgradet und versuchte es vernünftig zu konfigurieren. Mann, du kannst es dir gar nicht vorstellen, was für geile Oberfläche das Ding hat! Anspruchsvolle Flashs, alles in Dynamik und Bewegung, mit ausführlichsen Bubbles, die sich ganz sanft auf- und wieder abbauen, um irgendein Unsinn zu verzapfen. Und fast nix aus Einstellungen, was nicht absolut erforderlich wäre. Nun habe ich Zugang zum Provider eingetippt und nachrecherchiert, von wem das geile T-Teil eigentlich kommt. Von einem Joint-Venture: http://www.arcadyan.com/english/company/biography_team.asp
Aha! Da wurde mir schlagartig, live und in Farbe klar, wie die Geschäfte zw. dieser Klitsche und T-Com abgelaufen sind. Das erlebe ich nämlich andauernd in letzten Jahren, nachdem unsere Firma von einem “großen und namhaften Unternehmen” übernommen wurde. Die gesamte Menagerie hat nicht die leiseste Ahnung von dem, was da eigentlich hergestellt wird und worauf es ankommt – weder von der Technik/Software, noch von dem Anwendungsbereich. Auf der Kundenseite sieht’s nicht viel besser aus – je größer und solider “der Kunde”, desto unglaublicher Inkompetenz seiner Vertreter, die Geschäfte tätigen und abwickeln. Falls die eigentliche Produkte angeschaut werden, dann wird der Schaum nur um die Dinger herumgeschlagen, die auf dem Bildschirm jedem Idioten auffallen. Das und nur das muss stimmen, “sonst können WIR es nicht verkaufen!”. Es wird nicht mal Funktionalität getestet – “Ach, das können WIR später machen!”.
Dito. Wobei “unser” die meisten Steuern in USA abführt. Und wen die Menagerie von T-Com von so ‘nem Zauberwerk wie TR-069 erfährt, so ist die aus dem Häuschen – “Geil, da können WIR UNS noch die halbe Hotline sparen!”. Und nun wird asiatische Joint-Venture damit beauftragt, es schleunigst einzubauen. Jemand baut die Schnittstelle ein und stellt ein Flag z.V., damit sie (de)aktiviert werden kann. Mit Einbau der Option auf Oberfläche wird einer beauftragt, der sich schwerpunktmässig nur mit Flash-Design auskennt. Die Option wird zwar eingebaut, aber nicht getestet – es wird schon klappen! Der weiß nicht mal, wie man das austesten kann. Beim Abnehmer wird nun nur dafür interessiert, ob die Schnittstelle funktioniert und sie nun mit Planung von Stellenabbau beginnen können. Ob sie sich abschalten lässt, interessiert mehr keine Sau. Wenn später herauskommt, dass die Option in der Oberfläche gar keine Auswirkung hatte, wird schlicht die alte Oberfläche wieder drufgesetzt – hat sich ja sowieso keiner beschwert! So oder so ähnlich läuft’s eben.
Apropos TR-069. Mein letztes Update fritz.box_fon_wlan.08.04.27 (Anfang 2007) enthält noch keine Spur davon. In zuletzt heruntergeladener fritz.box_fon_wlan.08.04.34 (Mitte 2007) sind in */var/tmp/urlader.image schon deutlich “tr069_passphrase” und “tr069_serial” zu sehen. Rip!
Ok, bei derart Produkten ist es was ganz anderes. Die Geräte fallen auch nicht so oft in die Hände von CCC-Jungs. Klar, wen Russen oder Chinesen Gerätschaften von Cisco bestellen, möchten sie auch ihre BDs darin haben, aber NSA, CIA etc.pp. wollen ja auf ihre auch nicht verzichten ;)
Ich meinte allerlei Ramsch für Verbrauchermarkt, Windows mit abertausenden Progrämmelchen inbegriffen. Da werden Binaries aus dem Netz wild heruntergeladen und installiert, was das Zeug hält. Erst vor paar Tagen kam in userem Unternehmen breite Diskussion auf, was man da alles herunterladen und installieren darf. Die ganze Sorge galt allerdings nur den Lizenzen und Copyrights, ansonsten könnt’ man alles installieren, was kostenfrei ist ;))
Und das in einem Unternehmen, das abertausende PCs aus der ganzen Welt mit allem Drum und Dran in ein Netz zusammengeschlossen hat. Mit VPNs, Proxys und FWs, versteht sich :)) So ist die Realität.
Ich meinte bloß, dass ich weder mit Sicherheit/Administration, noch mit WEB, LAMP, WAMP etc.pp. hauptberuflich zu tun habe. Ich interessiere mich dafür nur privat. Das, womit ich meine Brötchen verdiene, lief zwar auf allerlei Plattformen, aber immer innerhalb LANs. Nicht mal Web-Frontends, auch wenn mir schon mal von Kollegen gezeigt wurde, wie einfach es sei, es mal auch im Web anzubieten. Das wird noch kommen :))
Wenn die Menagerie davon Wind bekommt, wird es auch in 0,nix ins Web gestellt, falls es paar Kröten versprechen würde oder von Kunden gefordert wird.
Da will ich dir gar nicht widersprechen. Ich behaupte im Gegenteil, dass es immer einfacher und günstiger wird, auf 99,9% aller Systeme zu kommen, Firmennetze inbegriffen. Da kannst du an einzelnen FWs und Proxys so lange schrauben, bis jeder Eingreifer bei denen(!) entnervt den Tuch werfen wird, aber es sind noch etliche im Firmennetz. Was an meine Windose im Büro angehängt wird, kommt aus allen Herren Ländern und Standorten, und jede Niederlassung hat eigene FWs und Proxys. Außerdem hängen sich ins Firmennetz ständig die s.g. msdn-Projektingenieure rein (d. VPN – Gans sicher! ;) und die sonstigen Mänätscher und Verkaufsaffen wollen ja auch aus jedem Fleck der Erde den Zugriff auf all ihre ppt’s und doc’s im Firmennetz haben. All die Leute verstehen nicht mal, dass sie sich erst bei einem Provider einlogen – meist ohne jeglichen Schutz, außer PFW, und sich erst danach ins Firmennetz reinhängen und somit ihre Schlepptopos ‘ne Art Gateways von Draußen nach Innen sind.
Im Übrigen denke ich, dass in globalisierten Finanz- und macht-politischen Systemen nach ähnlichem Muster abläuft. Die werden ständig so “modernisiert”, verkompliziert und ausgedehnt, dass es letztes Endes niemand mehr einen Überblick darüber hat. Um die kaputt zu “modernisieren”, wird gar keine Verschwörung benötigt – es tut die Herdendynamik mit s.g. Sachzwängen von selbst. Missbrauchen lassen sie sich dennoch allemal.
Wen es interessiert:
http://golowko.blogspot.com/2008/02/gas-prinzen-und-prinzessinnen.html
@Golowko, #32
Ich wollte den Kommentar bei Dir posten, war mir aber viel zu umständlich.
====
Nur ein kleiner Tipp, damit du die ganze Information nicht aus allen Herren Ländern zusammenkratzen musst: http://de.rian.ru/
Da ist es immer ein top-Thema ;)
MfG
Lieber Jens Berger,
Sie schrieben:
“Da Gazprom ein Staatsunternehmen ist, hat der russische Staat damit ein politisches Druckmittel gegenüber er EU – sollte es mal hart auf hart kommen, können die Europäer frieren. Auch preispolitisch sind solche Monopole für den Kunden äußerst unvorteilhaft. Wenn der Anbieter die Preise scharf anhebt, hat der Kunde keine Alternativen und muss zahlen. Dass die Gazprom mittel- bis langfristig die Preise massiv erhöhen wird, steht außer Zweifel. Die Politik wird in Russland den Schuldigen finden, obgleich sie eine ebenso große Teilschuld trägt – man begibt sich ohne jede Not in die einseitige Abhängigkeit.”
1. Woraus entnehmen Sie, daß der Kauf des russischen Erdgases ohne Preisklausel vereinbart wurde?
2. Nord Steam wird von Gazprom und BASF/E.ON gemeinsam betrieben. Woraus entnehmen Sie, daß die deutsche Seite keinerlei Sicherheiten für den Fall vorgesehen oder bedacht hat, daß Russland die Zufuhr sperrt?
3. Preisklauseln für Gas werden für eine sehr lange Frist vereinbart, häufig gebunden an den gleitenden Fünfjahresdurchschnitt des Ölpreises an einem bestimmten Spotmarkt. Woraus entnehmen Sie, daß derartige Vereinbarungen nicht für Nord Stream abgeschlossen wurden, und für South Stream vorgesehen sind?
Ich denke, deutsche Großkonzerne schließen in der Regel keine Verträge mit ausländischen Großkonzernen, ohne sich die allereinfachsten Gedanken zu machen.
Sie scheinen aber dieser Meinung zu sein, oder täusche ich mich?
Herzlichst,
Thomas Immanuel Steinberg
@34 TIS
Im Normalfall haben solche Verträge einen festen Preisanteil und einen variablen Preisanteil, der Preisanpassungsfaktoren beinhaltet – bei den Gaslieferverträgen ist dies vor allem der Ölpreis; ein Überbleibsel aus alten Zeiten, in denen die deutsche Gaswirtschaft sich davor schützen wollte, dass Gas zu teuer wird, da der Ölpreis sinkt – an stetig steigende Ölpreise hat damals niemand gedacht. Aber diese Lieferverträge haben Laufzeiten – meist so lange, bis die Investitionen abgeschrieben sind. Im Normalfall haben beide Seiten eine Kündigungklausel, die sie gegen Ende des Vertrages ziehen können. Tun sie dies nicht, läuft der Vertrag einen festgelegten Zeitraum weiter, bis der nächste Termin für eine Kündigung kommt. Wenn eine Seite kündigt, wird neu verhandelt und meist steigt der Lieferpreis, da Substitutionen bei einer vorhandenen Infrastruktur deutlich teurer sind. Wenn die Verträge auslaufen (wann dies sein wird, weiß ich nicht), wird die Gazprom am längeren Hebel sitzen.
Auch das behaupte ich nicht. Aber was will die deutsche Seite mit einer Pipeline ohne Lieferanten? Für die Zeit der Abschreibungen wird ganz sicher ein Vertrag vorliegen. Aber was kommt danach?
Natürlich sind Verträge dieser Art geschlossen worden, aber was passiert danach? Ich rede hier nicht 5, 10 oder 15 Jahren – aber was ist, wenn Peak-Oil durchschlägt, die Gasverträge neu abgeschlossen werden müssen?
Noch ein Artikel zum Thema:
http://golowko.blogspot.com/2008/02/what-you-pay-what-you-get.html
Und noch ein interessanter Artikel:
http://www.spiegel.de/wirtschaft/0,1518,539382,00.html
Interessante Neuigkeiten:
Die NZZ meldet, daß die Schweiz mit dem Iran Verträge über Gaslieferungen abgeschlossen hat. Vielleicht nimmt man jetzt ja für Gas den gleichen Umweg wie für diplomatische Depeschen ;-)
Calmy-Rey in Iran für Gasvertrag
Nach Auffassung Berns keine Verletzung der Uno-Sanktionen
http://www.nzz.ch/nachrichten/schweiz/schweiz_iran_1.690814.html
Vielleicht kann einer der Leser hier anhand der genannten Konsortialpartner bzw. Trassendetails und des Lieferumfangs das Projekt näher einordnen.
An Gazprom führt wohl kein Weg vorbei . Genau so wenig wie bei den Chinesen . Die sichern sich jetz gerade rieisge Erdgasfelder im nahen Osten und am kaspischen Meer. Aber kein Grund zur Panik . Vielleicht dient die Nabucco Pipeline dazu mal Wasser von Österreich in den nahen Osten zu befördern. Gedl bringen würde das alle mal .. Und darum geht es denen ja