Home » Glossare » Social Media » Social Media teil 4

Social Media teil 4

Social Media Teil 4

 

Social Media vs. Massenmedien

Social Media sind von den traditionellen Massenmedien, wie z. B. Zeitungen, Radio, Fernsehen und Film zu unterscheiden. Social Media stützt sich ausschließlich auf online-basierte Kommunikationskanäle und Anwendungen. Des Weiteren weist sie relativ geringe Eintrittsbarrieren, wie z.B. geringe Kosten, unkomplizierte Produktionsprozesse und einfache Zugänglichkeit der Werkzeuge, für die Veröffentlichung und Verbreitung von Inhalten jeder Art auf, die sowohl für Unternehmen als auch für Privatpersonen einsetzbar sind. Hingegen erfordern Massenmedien umfängliche Ressourcen und Produktionsprozesse, um Veröffentlichungen zu realisieren.

Ein gemeinsames Charakteristikum, welches Social Media und Massenmedien besitzen, ist die Möglichkeit große wie auch kleine Rezipientengruppen zu erreichen. So kann beispielsweise ein Blogpost wie auch eine TV-Sendung Millionen Leser bzw. Zuschauer auf sich vereinnahmen; gleichzeitig besteht aber die Möglichkeit, dass kein Leser bzw. Zuschauer animiert werden kann, sich mit dem Beitrag auseinander zu setzen. Während Massenmedien wie das Fernsehen zunehmend auf die lineare Kommunikation eines Broadcast setzen, unterliegt die Kommunikation von Social Media neben einem hohen Echtzeit-Faktor auch dem Prinzip des Long Tail zur Generierung von Aufmerksamkeit und Reichweite.

Einige Eigenschaften, die bei der Differenzierung helfen, sind beispielsweise:

  1. Reichweite
    • Beide, Social Media und Massenmedien, ermöglichen es jedem, global präsent zu sein.
  2. Zugänglichkeit
    • Die Produktion von Massenmedien obliegt i. d. R. privaten oder regierungseigenen Unternehmen. Social Media Werkzeuge sind für jedermann zu geringen oder gar keinen Kosten zugänglich.
  3. Benutzerfreundlichkeit (engl. usability)
    • Die Produktion von Massenmedien setzt Spezialkenntnisse und eine umfassende Ausbildung voraus. Diese Ausprägung der Kenntnisse ist im Rahmen von Social Media deutlich geringer.
  4. Neuheit
    • Der Zeitraum zwischen einem Ereignis und der Veröffentlichung über Massenmedien, insbesondere von periodischen, beansprucht einen langen Zeitraum (Tage, Wochen, Monate). Social Media ermöglicht es unmittelbar und ohne Zeitverzug zu veröffentlichen.
  5. Beständigkeit
    • Ein Beitrag in einem Massenmedium (z. B. Zeitungsartikel) kann nach Erstellung und Veröffentlichung nicht mehr verändert werden. Social Media ermöglichen es nahezu ohne Zeitverzug Änderungen an Veröffentlichungen vorzunehmen.

Anwendungsfelder

Social Media kommt in verschiedenen B2B-Bereichen zum Einsatz. Schwerpunkt bilden die Bereiche Marketing, Public Relations und Vertrieb. Auch der Bereich Personalmarketing gewinnt durch Social Media als Unterdisziplin der HR an Bedeutung. Im Bereich der Medienbeobachtung für Marketing und PR entwickelt sich das Social Media Monitoring zudem als zusätzliches Geschäftsfeld für Unternehmen

Marketing

Hauptartikel: Social Media Marketing

Social Media Marketing (SMM) ist eine Form des Onlinemarketings, die Branding– und Marketingkommunikations-Ziele durch die Beteiligung in verschiedenen Social Media-Angeboten erreichen will. Zudem ist es eine Komponente der integrierten Marketingkommunikation eines Unternehmens. Integrierte Marketingkommunikation ist ein Prinzip nachdem ein Unternehmen innerhalb seines Zielmarktes mit der Zielgruppe in Kontakt tritt. Es koordiniert die Elemente des Promotions-Mixes—Werbung, Direktvertrieb, Direktmarketing, Public Relations und Verkaufsförderung—mit der Zielsetzung kundenorientiert zu kommunizieren.

In der traditionellen Marketingkommunikation werden Inhalt, Frequenz, Timing und Kommunikationsmedium in Abstimmung mit externen Agents, wie beispielsweise Agenturen, Marktforschunginstituten und/oder PR-Firmen, festgelegt. Das Wachtum von Social Media hat einen großen Einfluss auf die Kommunikationsweise der Unternehmen mit ihren (potenziellen) Kunden. Seit der Entstehung des Web 2.0, bietet das Internet eine Reihe diverse Werkzeuge um soziale und wirtschaftliche Kontakte auf- und auszubauen. Zudem bietet es zahlreiche Möglichkeiten Informationen zu teilen und kollaborativ zusammenzuarbeiten.

Im Fokus des Social Media Marketings stehen gewöhnlich drei Bemühungen

  1. Aufmerksamkeit für die Marke bzw. das Produkt generieren
  2. Generierung von Online-Unterhaltungen zu Unternehmensinhalten
  3. Animierung der Nutzer zum Teilen von Unternehmensinhalten mit ihrem Netzwerk

Die Öffentlichkeitsarbeit mittels Social Media wird Social Media Relations genannt und ist von den Werbeaktivitäten abzugrenzen. Ein Instrument sind beispielsweise Social Media Releases. Gebündelt werden diese Maßnahmen häufig in einem Social Media Newsroom.

Monitoring

Social Media Monitoring ist die systematische Beobachtung und Analyse von Social Media Beiträgen und Dialogen in Diskussionsforen, Weblogs, Mikro-Blogging und Social Communitys, wie Facebook oder MySpace. Es dient dazu, einen schnellen Über- und Einblick in Themen und Meinungen aus dem Social Web zu erlangen. Im Unterschied zur einmaligen bzw. in regelmäßigen Abständen durchgeführten Social Media Analyse wird Social Media Monitoring kontinuierlich durchgeführt.

Social Media Monitoring wird in erster Linie von Unternehmen, aber auch von Verbänden und politischen Parteien genutzt, um unmittelbare Meinungen, Kritik und Anregungen zu Produkten oder Dienstleitungen zu erhalten.

Um Social Media Monitoring zu betreiben stehen sowohl kostenlose Werkzeuge als auch professionelle und damit kostenpflichtige Dienstleitungen im Internet zur Verfügung.

Beispiele

Beispiele für Social Media-Anwendungen:

Verschiedene dieser Anwendungen können mittels Social Media Aggregation vereint werden.

 

Soziales Netzwerk (Internet)

aus Wikipedia, der freien Enzyklopädie

Soziale Netzwerke im Sinne der Informatik sind Netzgemeinschaften bzw. Webdienste, die Netzgemeinschaften beherbergen. Handelt es sich um Netzwerke, bei denen die Benutzer gemeinsam eigene Inhalte erstellen (User Generated Content), bezeichnet man diese auch als soziale Medien.

Dienste

Soziale Netzwerke stehen umgangssprachlich für eine Form von Netzgemeinschaften, welche technisch durch Webanwendungen oder Portale beherbergt werden. Im Englischen existiert der präzisere Begriff des social network service. Die deutschen Begriffe „Gemeinschaftsportal“ oder „Online-Kontaktnetzwerk“ sind eher weniger gebräuchlich.

Typische Funktionen

Die Webportale bieten ihren Nutzern üblicherweise folgende Funktionen an:

  • Persönliches Profil, mit diversen Sichtbarkeitseinstellungen für Mitglieder der Netzgemeinschaft oder generell der Öffentlichkeit des Netzes
  • Kontaktliste oder Adressbuch, samt Funktionen, mit denen die Verweise auf diese anderen Mitglieder der Netzgemeinschaft (etwa Freunde, Bekannte, Kollegen usw.) verwaltet werden können (etwa Datenimport aus E-Mail-Konto oder anderen Portalen)
  • Empfang und Versand von Nachrichten an andere Mitglieder (einzeln, an alle usw.)
  • Empfang und Versand von Benachrichtigungen über diverse Ereignisse (Profiländerungen, eingestellte Bilder, Videos, Kritiken, Anklopfen usw.)
  • Blogs oder Mikroblogging-Funktionen bzw. Veröffentlichen von einzelnen Statusupdates
  • Suche

Es sind Funktionen, die sich auch in CSCW-Anwendungen finden, allerdings hier für potentiell große Nutzergruppen (weltweit, landesweit, regional, stadtweit) ausgelegt.

Soziale Netzwerke als Anwendungsplattform

Einige soziale Netzwerke fungieren auch als Plattform für neue Programmfunktionen.

Softwareentwickler können die Portalseiten um eigene Programmanwendungen ergänzen, d.h. ihre Benutzerschnittstellen werden in das Portal eingebettet.

Die dazu nötigen Programmierschnittstellen und Entwicklungsumgebungen werden von den Entwicklern zur Verfügung gestellt.

Beispiele sind:

  • Facebook Social Graph, eine Programmierschnittstelle für Facebook
  • MySpace Developer Plattform (MDP), eine Entwicklungsumgebung für MySpace
  • OpenSocial, ein API, welches mehrere soziale Netzwerke umspannt[3]

Plattformübergreifend ist die Föderation durch B2B-APIs zu nennen.

Untersuchung sozialer Netzwerke

Unter anderem erforschen Betriebswirtschaftslehre, Ethnologie, Sozialpsychologie, Kommunikationswissenschaft, Computerphysik und Spieltheorie soziale Netzwerke. Dabei spielt unter anderem Multiplexität und Netzwerkdichte eine Rolle. Die dort entwickelten Verfahren lassen sich auch zur webometrischen Untersuchung des Internets einsetzen.

Es zeigt sich, dass soziale Netzwerke von ihrer Struktur oft Kleine-Welt-Netzwerke bilden, in denen die maximale Distanz zwischen einzelnen Einheiten überraschend gering ist („six degrees of separation“).

Geschäftsmodell

Soziale Netzwerke finanzieren sich durch Mitgliedsbeiträge sowie verschiedene Formen von Werbung und Sponsoring. Da die Zahlungsbereitschaft der Nutzer zumeist gering ist, setzen die meisten Betreiber auf Anzeigenerlöse.

Da die Dienstbetreiber Zugriff auf den sozialen Graphen der beherbergten Netzgemeinschaft haben, also wissen, welches Mitglied mit welchen anderen Mitgliedern in Relation steht, verfügen diese über eine kommerziell interessante Informationsbasis, etwa für zielgruppengerichtete Werbung.

Nutzung

Im Frühjahr 2008 nutzten in Europa die Briten mit 9,6 Millionen am meisten Social-Networking-Websites. Bis 2012 werden es nach einer Schätzung des Informationsanbieters Datamonitor mit über 27 Millionen fast die Hälfte der Briten sein. Dass die Briten bislang vorn liegen, führt Datamonitor auch darauf zurück, dass die Angebote in der Regel mit englischen Versionen gestartet sind. Die Menschen begrüßen es laut Datamonitor offenbar besonders, von zu Hause aus Kontakte knüpfen und Beziehungen aufrecht erhalten zu können.

Frankreich stellte mit 8,9 Millionen die zweitgrößte Nutzergruppe der Social-Networking-Angebote, Deutschland folgte demnach mit 8,6 Millionen auf Platz drei. Die Studie prognostiziert in Deutschland bis zum Jahr 2012 21,7 Millionen Nutzer. Das an vierter Stelle stehende Spanien wies lediglich 2,9 Millionen Nutzer auf. 41,7 Millionen Europäer insgesamt seien 2008 bei Social-Networking-Websites registriert, vier Jahre später sollen es laut Datamonitor 107 Millionen sein.[

Zu einem das Sprachproblem hervorhebenden Ergebnis kommt auch die zweite weltweite vom Community-Betreiber Habbo erstellte Studie zur Markentreue von Jugendlichen. Das Ergebnis: 40 Prozent der rund 60.000 befragten Jugendlichen aus 31 Ländern sehen soziale Netzwerke nicht als wichtigen Teil ihrer Onlineaktivitäten an. Dem Global Habbo Youth Survey zufolge ist eine der Hauptursachen hierfür, dass viele der Communitys in Englisch angeboten werden.

Auch LinkedIn und Facebook hatten Probleme, auf dem deutschen Markt Fuß zu fassen. Facebook konnte dieses Probleme überwinden und ist 2009 zum größten sozialen Netzwerk Deutschlands angewachsen.

Unternehmen nutzen Soziale Netzwerke zur Kommunikation der Mitarbeiter, aber auch zur Öffentlichkeitsarbeit. Eigene Dienstleister beraten und unterstützen sie dabei.

Kritik

Kritik an den Diensten richtet sich in erster Linie auf:

  • Die Veröffentlichung privater Informationen im Internet, die zu persönlichen Nachteilen führen kann, sei es durch eigene Unvorsichtigkeit oder Sicherheitslücken beim Dienst oder Nutzer.
  • Die Nutzung des sozialen Graphen und anderer persönlicher Daten seitens der Dienstbetreiber für kommerzielle Zwecke.[9]

Diese Probleme bestanden bereits vor Einführung der sozialen Netzwerke, so haben etwa Microsoft und IBM bereits 2003 Newsgroups und Mailinglisten unter sozialen Gesichtspunkten ausgewertet. Auch konnte man sich schon immer durch unbedachte Veröffentlichung im Internet Nachteile einhandeln.

Allerdings wurden noch nie zuvor so detailliert, kategorisiert persönliche Informationen von Nutzern abgefragt und veröffentlicht, wie es bei den umfangreichen Webformularen der heutigen Sozialen Netzwerke üblich ist. Die automatisierte Analyse dieser Daten wurde dadurch enorm vereinfacht und die oben genannten Probleme verschärft.

Beispiele:

  • 1.074.574 StudiVZ-Profile (davon 1.035.890 öffentliche) wurden am 9. Dezember 2006 von dritten systematisch ausgewertet.
  • Journalisten und Mediendienste besorgen sich in sozialen Netzwerken Bilder und Informationen.
  • In den USA werden regelmäßig die auf sozialen Netzwerken verfügbaren Informationen bei polizeilichen Ermittlungen herangezogen.

Betrachtet man die sozialen Netzwerke in ihrer Rolle als Anwendungsplattform, so stand hier bisher die Entwicklung von Funktionalität im Vordergrund. Inzwischen beginnt man, sich auch mit Sicherheitsaspekten der Anwendungen dort zu beschäftigen.

Datenschutzrechtliche Bewertung

Die Erhebung, Speicherung und Weitergabe von personenbezogenen Daten bedarf immer einer Rechtsgrundlage (so § 4 BDSG, beispielsweise § 28 BDSG) oder einer Einwilligung nach § 4a BDSG.

Eine Einwilligung nach § 4a BDSG kann nach den Datenschutzgesetzen nur dann wirksam erteilt werden, wenn sie auf der freien Entscheidung eines informierten Nutzers beruht. Das Problem bei sozialen Netzwerken besteht aber vorwiegend darin, dass die Nutzer formal eingewilligt haben und sich zumeist keine Gedanken über die Gefahren machen und den Netzwerken ein blindes Vertrauen entgegenbringen.

Für eine zulässige Datenverarbeitung nach § 28 BDSG gilt folgendes: Die datenschutzrechtliche Bewertung und Einordnung steht erst am Anfang. Da die sozialen Netzwerke und Communitys am ehesten mit Vereinen zu vergleichen sind und häufig von Mitgliedern gesprochen wird, stufen Bergmann/Möhrle/Herbdas Rechtsverhältnis zwischen einem Betroffenen und der jeweils verantwortlichen Stelle als vertragsähnli ches Vertrauensverhältnis im Sinne von § 28 Abs. 1 Satz 1 Nr. 1 BDSG ein. Entsprechend dem Phasenmodell der Datenverarbeitung müsste bereits bei der Erhebung und Speicherung untersucht werden, ob die Daten über den Betroffenen dem vertragsähnlichen Vertrauensverhältnis dienen. Hierbei ist ein strenger Maßstab an die Frage der Erforderlichkeit anzulegen. Aufgrund der Zweckbindung ist eine Übermittlung regelmäßig problematisch, denn ein Netzwerk, welches z. B. für Freizeitzwecke genutzt wird, darf nicht für berufliche Zwecke (Suchanfragen von Arbeitgebern bei Bewerbungen) missbraucht werden. Generell wird man auch die Nutzung durch Suchmaschinen als nicht vom Vertragszweck umfasst ansehen müssen.

Geschichte

Soziale Netzwerke, deren Funktionen über die von reinen Webforen und Chats hinausgehen, existieren seit Mitte der 1990er Jahre, eines der ersten Beispiele ist die 1995 gegründete US-amerikanische Schulfreunde-Community Classmates.com. Derartige Websites blieben jedoch weitgehend eine Randerscheinung. 2003 setzte dann auf dem Sektor ein Boom ein.

Im Januar 2004 wurde Orkut gestartet.

Im Juli 2005 wurde MySpace für 580 Millionen US-Dollar von der News Corporation gekauft.

Im Oktober 2007 kündigte Google die OpenSocial-Initiative an. Dadurch wurde es möglich, Inhalte verschiedener Sozialer Netzwerke durch eine einheitliche Methode zusammenzuführen.

Microsoft kaufte am 25. Oktober 2007 einen Anteil von 1,6 Prozent an Facebook und bezahlte dafür 240 Millionen US-Dollar. Durch diese Transaktion wurde Facebook auf dem Papier 15 Milliarden US-Dollar wert. Vorher wurde ein ähnliches Angebot seitens Google abgelehnt und ein Betrag von einer Milliarde US-Dollar, den Yahoo! bezahlen wollte, um Facebook zu übernehmen, nicht angenommen.

Im März 2008 hat AOL, die Internettochter des amerikanischen Medienkonzerns Time Warner, das 2005 gegründete Soziale Netzwerk Bebo für 850 Millionen US-Dollar (ca. 545 Millionen Euro) gekauft. Bebo hatte zur Zeit der Übernahme nach eigener Aussage etwa 40 Millionen Nutzer und ist vor allem in Großbritannien populär.

Im August 2008 meldete Facebook 100 Millionen Nutzer, im Februar 2010 400 Millionen Nutzer, am 21. Juli 2010 eine halbe Milliarde Nutzer.

Webanwendung

aus Wikipedia, der freien Enzyklopädie

Eine Webanwendung oder Webapplikation ist ein Computer-Programm, das auf einem Webserver ausgeführt wird, wobei eine Interaktion mit dem Benutzer über einen Webbrowser erfolgen kann. Hierzu sind der Computer des Benutzers (Client) und der des Dienstanbieters (Server) über ein Netzwerk wie das Internet oder über ein Intranet miteinander verbunden, so dass die räumliche Entfernung zwischen Client und Server unerheblich ist.

Der Benutzer startet eine Webanwendung, indem er z. B. in einem Browser die URL des Webservers eingibt und damit die erste Anfrage (HTTP-Request) sendet. Der Webserver nimmt diese Anfrage entgegen und übergibt sie an ein Programm. Dieses generiert oder lädt daraufhin den HTML-Quellcode einer Webseite, welche vom Webserver zurück an den Browser des Benutzers geschickt wird (HTTP-Response). Diese Webseite ist die grafische Benutzeroberfläche der Webanwendung. Webanwendungen setzen nicht zwingend die Benutzung eines Browsers voraus. Anfragen können auch von anderen Programmen durchgeführt werden, die den Response des Webservers verarbeiten, z. B. das Lesen von Informationen wie Börsenkurse oder Sportergebnisse auf einer Website.

Betrachtet man Webanwendungen als Schichtenarchitekturen, so entspricht der Browser der Präsentationsschicht (Thin Client).

Durch das Anklicken eines Hyperlinks auf dieser Webseite oder durch das Ausfüllen und Absenden eines Formulares startet der Benutzer eine erneute Anfrage an den Webserver. Hierbei werden typischerweise weitere Informationen, wie z. B. die in dem Formular getätigten Eingaben (HTTP POST), die Parameter des Links (HTTP GET) und die Daten eines HTTP-Cookie, an den Webserver übermittelt und als Eingabe durch die Webanwendung verarbeitet. Das Common Gateway Interface definiert die Daten-Schnittstelle zwischen Webserver und Webanwendung. Die Ausgabe der Webanwendung wird vom Webserver als Antwort an den Browser gesendet.

Die Abarbeitung eines solchen HTTP-Requests durch die Webanwendung nennt man auch Request Cycle.

Typischerweise entstehen bei der Benutzung einer Webanwendung Daten, die dauerhaft gespeichert werden müssen, so genannte Sessiondaten (z. B. Bestelldaten eines Webshops). Solche persistenten Daten werden serverseitig durch Datenbankserver oder auch in Dateien gespeichert. Benutzerbezogene Daten können auch clientseitig durch HTTP-Cookies gespeichert werden.

Während eine Webanwendung ursprünglich nur den HTML-Quellcode der Webseiten generiert hat, werden inzwischen auch beliebige andere Elemente, die in einem Browser dargestellt werden können, erzeugt. Dazu gehören vor allem Bilder, PDF-Dokumente oder Flash-Animationen.

Architektur

Eine Webanwendung läuft in der Regel auf dem Webserver, kann aber insbesondere im professionellen Bereich auch auf einen oder mehrere Application-Server ausgelagert sein, welche von einem oder mehreren Webserver mit Benutzer-Anfragen bedient werden. Dabei kann man grundsätzlich zwei Architekturen unterscheiden:

  • Standalone

Die Webanwendung ist ein eigenständiges Binär-Programm oder ein von einem eigenständigen Binär-Programm interpretiertes Skript, welches für jede Anfrage neu gestartet wird. Man nennt solche Anwendungen meist CGI-Programme.

  • Integriert

Die Webanwendung ist Teil des Webservers oder ein vom Webserver interpretiertes Skript. Es muss nicht mehr für jeden Request Cycle ein Programm gestartet werden. Beispiele: PHP, Perl, Python (jeweils durch ein Modul des Webservers interpretiert: “mod_php”, “mod_perl”, “mod_python” ), Java Servlet, JavaServer Pages oder ASP.NET.

Abgrenzung

Rich Internet Application

Eine Rich Internet Application (RIA) setzt per Definition ein höheres Maß an Programmlogik auf dem Client voraus, mit dem beispielsweise Berechnungen anstatt auf dem Server nunmehr auf dem Client durchgeführt werden können. Strenggenommen handelt es sich bei Webanwendungen, die JavaScript (incl. AJAX), Java Applets, Flash-Animationen, ActiveX-Plugins u. ä. einsetzen, auch um RIAs, sofern diese Elemente an der Interaktion mit dem Benutzer beteiligt sind.

Webservice

Mit einem Webservice stellt ein Webserver Informationen in einem strukturierten Format zur Verfügung, das nicht primär zur direkten Anzeige gedacht ist. Die Verwendung von XML genügt alleine nicht zur Abgrenzung gegen eine Webanwendung, da diese seit der Einführung von XHTML auch auf XML zurückgreifen. Bei einem Webservice sind die XML-Daten aber zur Weiterverarbeitung in einem beliebigen Programm auf dem Client gedacht. Hierbei ist selbst die Interaktion mit einem Benutzer keine zwingende Voraussetzung.

Vergleich

Vorteile

Webanwendungen setzen auf dem Computer des Benutzers nur einen Webbrowser voraus, welcher auf den meisten Systemen schon vorhanden ist. Im Gegensatz zu herkömmlichen Client-Server-Anwendungen ist also keine weitere Installation von Software auf den Computern der Benutzer notwendig, wenn man von Browser-Plugins wie Flash absieht. Dadurch erreichen Webanwendungen einen hohen Grad an Plattformunabhängigkeit, sofern bei der Entwicklung darauf geachtet wurde, dass alle Browser unterstützt werden.

Muss die Logik einer Webanwendung geändert werden, sind Änderungen nur an einer (zentralen) Stelle, nämlich auf dem Webserver, notwendig, was sich günstig auf die Wartungskosten auswirkt.

Durch die immer weiter gehende Verbreitung von Browsern auf andere Endgeräte, wie Mobiltelefone oder PDAs, finden Webanwendungen schnell eine Verbreitung jenseits der klassischen Softwareumgebungen.

Nachteile

Für die Nutzung einer Webanwendung wird eine Verbindung zum Webserver benötigt. Die Datenrate der Verbindung muss außerdem auf die Anforderungen der Webanwendung ausgelegt sein. Dieser Umstand schließt Webanwendungen für eine Reihe von Einsatzszenarien, wie z. B. die mobile Offline-Benutzung, per Definition aus. Webanwendung identifizieren angemeldete Benutzer per Session-ID. Daraus können sich Sicherheitsprobleme ergeben (siehe unten).

Webanwendungen sollten im Idealfall mit allen Webbrowsern richtig funktionieren, was nicht selbstverständlich ist, da die Browser HTML, trotz bestehender Standards (W3C), unterschiedlich interpretieren. Die leichte Abweichung in der Darstellung zwischen verschiedenen Browsern ist meist unerheblich, verheerender sind Unterschiede in der JavaScript-Interpretation, weshalb häufig Browserweichen verwendet werden müssen, teilweise sogar für unterschiedliche Browser-Versionen. Außerdem ist durch den oben dargestellten Request-Cycle nur eine asynchrone Verarbeitung möglich, was eine Reihe von Anwendungsgebieten (z. B. die Bearbeitung von Videos) als Webanwendung ausschließt oder deutlich erschwert.

Sicherheit

Sicherheit von Webanwendungen ist ein zu weites Feld, um es hier allumfassend zu behandeln. Darum beschränkt sich dieser Abschnitt auf die Beschreibung allgemein bekannter Angriffsmöglichkeiten im Zusammenhang mit Webanwendungen. Angriffe gegen eine Webanwendung können durch die Vermeidung von Sicherheitslücken während der Implementation oder durch den Einsatz von vorgeschalteten Web Application Firewalls abgewehrt werden.

SQL-Injection

Bei einer SQL-Injection sendet der Angreifer Verbindungsanfragen an den Webserver, wobei die Anfrage-Parameter mit SQL-Steuerzeichen versehen sind. Fängt die Webanwendung diese Steuerzeichen nicht ab, sondern sendet sie als Teil einer SQL-Abfrage an die Datenbank, kann der Angreifer entweder für ihn auf herkömmlichem Weg nicht zugängliche Daten auslesen oder Daten verändern.

Cross-Site Scripting

Hinter der Bezeichnung Cross-Site Scripting (XSS) verbergen sich zwei (manchmal wird noch ein dritter Typ unterschieden) grundsätzlich verschiedene Angriffe. Beim clientseitigen XSS schleust der Angreifer HTML-Steuerzeichen und Code einer clientseitigen Skriptsprache, wie z. B. JavaScript, in eine Webseite ein, die in dem Webbrowser des Opfers ausgeführt wird. Dieser Angriff nutzt dabei Sicherheitslücken bei der lokalen Ausführung der Skripte aus oder leitet eine Cross-Site Request Forgery ein. Unter serverseitigem XSS versteht man das Einschleusen von manipulierten Informationen in eine auf dem Webserver ausgeführte Scriptsprache, so dass diese beispielsweise bei einem dynamisch generierten include() eine vom Programmierer nicht vorgesehene Datei (ggf. sogar von einem anderen Server) ausführt.

Session-Hijacking

Da HTTP ein verbindungsloses Protokoll ist, muss die Webanwendung selbst die Identifikation eines Benutzers feststellen. Dies geschieht anhand einer Session-ID, die als Basic/Digest Authentication, Cookie, URL-Rewriting oder HTTP-Form-Parameter (GET oder POST) jedem Request mitgegeben wird. Beim Session-Hijacking versucht der Angreifer Kenntnis von der Session-ID des Benutzers zu erlangen, um sich dann selbst als sein Opfer auszugeben und mit dessen Rechten auf die Webanwendung zuzugreifen.

Cross-Site Request Forgery

Cross-Site Request Forgery setzen eine bestehende Session zwischen dem Benutzer und der Webanwendung voraus. Dabei versucht der Angreifer über verschiedene Techniken (ggf. XSS) den Benutzer oder über ein clientseitiges Script auch direkt den Browser zum Aufruf einer manipulierten URL zu bewegen. Anders als beim Session-Hijacking erlangt der Angreifer selbst aber keine Kenntnis von der Session-ID, da der Angriff ausschließlich im Browser des Benutzers stattfindet.

Directory Traversal

Bei einem Directory Traversal Angriff nutzt der Angreifer die fehlende Prüfung der Webanwendung auf manipulierte Pfadangaben aus. Erwartet die Webanwendung beispielsweise einen Parameter wie item=datei1.html kann dieser ggf. mit item=../../../Config.sys missbraucht werden

E-Mail-Injektion

Bei einer E-Mail-Injektion fügt der Angreifer in ein Kontaktformular manipulierte Daten ein, so dass anstelle der Nachricht an den vom Betreiber der Webanwendung beabsichtigten Empfänger nun beliebige E-Mails an beliebige Empfänger gesendet werden. Diese Möglichkeit wird meist für den Versand von SPAM missbraucht.
Die folgenden Angriffe richten sich nicht gegen die Webanwendung selbst, sind aber in deren Umfeld häufig zu finden:

Man-In-The-Middle-Angriff

Bei einem Man-In-The-Middle-Angriff (MitM) zielt der Angreifer darauf ab, dass der Benutzer anstatt mit dem Webserver direkt vielmehr mit dem Rechner des Angreifers eine Verbindung aufbaut, ohne dies zu bemerken. Der „In-the-middle“-Rechner startet bei jeder Anfrage des Benutzers seinerseits eine Anfrage an den echten Webserver und gibt dessen Antwort an den Benutzer weiter. Der Nutzwert besteht für den Angreifer darin, Anfragen an oder Rückgaben der Webanwendung beliebig manipulieren zu können. Gegen diese Art von Angriff bietet nur die Verschlüsselung der Datenübertragung mittels SSL Schutz. Dieser Schutz wird aber auch unwirksam, wenn sich der Angreifer ein SSL-Zertifikat der betroffenen Webseite verschaffen kann, zu dem ein Root-Zertifikat im Browser des Opfers installiert ist.

Denial of Service

Bei einem Denial of Service (DoS) Angriff versucht der Angreifer dem Webserver durch eine Vielzahl von Verbindungsanfragen die Ressourcen für reguläre Anfragen zu entziehen. Wird der Angriff gleichzeitig von mehreren (ggf. mehrere tausend) Computern gleichzeitig durchgeführt, spricht man auch von einem Distributed-Denial-of-Service-Angriff (DDoS). Ein DoS ist nicht auf Webanwendungen beschränkt, sondern kann sich gegen jede Art von Server richten.

Phishing

Beim Phishing handelt es sich nicht um eine Sicherheitslücke einer Webanwendung; es gehört vielmehr in den Bereich des Social Hacking. Hierbei fordert der Angreifer seine potentiellen Opfer meist massenweise per E-Mail auf, Zugangsdaten, wie z. B. PIN und TAN zum Online-Banking, auf einer Webseite einzugeben. Diese sieht in der Regel äußerlich so aus, wie die des Betreibers der Webanwendung, unterliegt aber der Kontrolle des Angreifers. Nimmt das Opfer diese Fälschung nicht wahr und gibt seine Zugangsdaten preis, kann der Angreifer diese zu seinen Gunsten verwenden.

Geschichte

Für eine Webanwendung ist es notwendig, Benutzereingaben zu empfangen. Die heute hierfür verwendeten HTML-Formulare sind erstmals im Entwurf für HTML+ vom 8. November 1993 enthalten. Aber schon die erste HTML-Version von Tim Berners-Lee bot mit dem “Isindex”-tag eine Möglichkeit, Parameter an den Webserver zu schicken. Die Parameter wurden dabei an die URL angehängt, der Vorläufer der HTTP-Get-Methode. Das erste größere System, das hiervon Gebrauch machte, war sehr wahrscheinlich ein Web Interface zum “SPIRES-HEP”, einer Datenbank der Stanford-Universität (Quelle ). Dieser Urahn aller heutigen Webanwendungen ging 1991 online.

Der erste Webbrowser, der eine umfangreiche Unterstützung für HTML-Formulare implementierte, war der NCSA Mosaic 2.0 im Dezember 1993; damals der Browser mit der größten Verbreitung. Die erste serverseitige Schnittstelle zum Empfang von Formulardaten war “htbin”. Diese wurde am 4. November 1993 als Teil der Version 2.13 des W3C-HTTP-Servers veröffentlicht. Bereits am 11. Februar 1994 folgte im Release 2.15 beta die CGI-Schnittstelle, die bis heute im Gebrauch ist. CGI ist von der verwendeten Programmiersprache unabhängig. Für die ersten Webanwendungen wurde C oder Perl verwendet. Perl bot sich wegen der mächtigen Funktionen zur Verarbeitung von Zeichenketten an.

Die erste Webanwendung, die von einer breiten Öffentlichkeit wahrgenommen wurde, entstand ebenfalls an der Stanford-Universität. Zwei Studenten entwickelten aus ihrer persönlichen Bookmarkverwaltung das Webverzeichnis Yahoo. Als Programmiersprache verwendeten sie Perl.

In den folgenden Jahren gab es Weiterentwicklungen der CGI-Schnittstelle, welche die Performance verbesserten. Im Frühjahr 1997 veröffentlichte Sun Microsystems die Servlet Technologie. Servlets sind Java-Programme, die CGI-Programmen sehr ähnlich sind. Der Hauptunterschied besteht darin, dass ein HTTP-Request nicht in einem eigenen Prozess, sondern lediglich einem eigenen Thread abgearbeitet wird. Dies brachte einen gewaltigen Performancegewinn.

Das Verfahren, Webseiten aus HTML-Code zusammenzusetzen, der fest im Programmcode hinterlegt war, barg jedoch ein großes Problem: Es war umständlich zu programmieren und ermöglichte keine Trennung von Logik und Inhalt. Dieses Problem wurde von mehreren Seiten auf ähnliche Weise gelöst. Der Programmcode für die dynamisch erzeugten Ausgaben wurde in das sonst statische HTML eingebettet. Diesen Ansatz verfolgen die Sprache PHP, die um das Jahr 1997 aus einem Perl basierten Projekt entstand, JavaServer Pages, die auf Servlets basieren, und Active Server Pages (ASP) von Microsoft.

In der Zeit des großen Internet-Booms um die Jahrtausendwende erlebten Webanwendungen einen gewaltigen Schub. Viele der von der Börse gefeierten Firmen der New Economy bauten ihr Geschäftsmodell auf einer Webanwendung auf. Die übertriebenen Erwartungen führten 2001 zum Platzen der sogenannten Dotcom-Blase. In dieser Zeit wurden aber auch Webanwendungen wie z. B. eBay, Yahoo und Google geboren, die heute zu einem selbstverständlichen Teil des Web-Lebens geworden sind.

 

Release 2013.08.12.

 

Translate »

Pin It on Pinterest

Share This

Share This

Share this post with your friends!

Share This

Share this post with your friends!

Erhalten Sie unsere Neuigkeiten per E-Mail

Erhalten Sie unsere Neuigkeiten per E-Mail

Melden Sie sich mit Ihrer E-Mail Adresse an und erhalten Sie alle Neuigkeiten von unserem Team.

Schauen Sie in Ihr Postfach!