IT-Tools & nützliche Programme

Du willst eine Datei von A nach B schieben, ohne sie vorher in irgendeine Cloud zu laden, ohne SSH-Keys auszutauschen und ohne einen Port aufzubohren? magic-wormhole und croc machen genau das: Beide bauen anhand eines kurzen, vorgelesenen Code-Worts eine Ende-zu-Ende-verschluesselte Direktverbindung auf. Der Trick heisst PAKE (Password-Authenticated Key Exchange): Aus einem schwachen, leicht diktierbaren Code wird ein starker Sitzungsschluessel abgeleitet — der Relay-Server sieht nur Chiffrat. Dieses Tutorial richtet sich an Profis, die ad-hoc-Transfers zwischen Maschinen, Standorten oder Kollegen brauchen.

So funktioniert das Code-Wort-Prinzip (PAKE)

• magic-wormhole nutzt SPAKE2 fuer den Schluesseltausch und verschluesselt die Daten anschliessend mit nacl/libsodium secretbox. Codes sehen aus wie 7-crossover-clockwork (eine Zahl plus phonetisch eindeutige Woerter, tab-vervollstaendigbar).
• croc nutzt eine PAKE-Implementierung (pake/v3) und verschluesselt mit AES-256-GCM (authentifiziert: falsche Codes scheitern hart an der Entschluesselung). Das Code-Phrase beginnt mit einer 4-stelligen PIN (waehlt den Relay-„Raum"), der Rest ist das gemeinsame Geheimnis.
• Gemeinsam: Ein Mittelsmann muesste waehrend des Handshakes einen MITM fahren und den Code erraten. Die Sicherheit haengt an der Entropie des Codes — kurze Codes sind ok, weil nur ein einziger Online-Rateversuch moeglich ist.

Installation

magic-wormhole (Python):

pipx install magic-wormhole   # empfohlen, isoliert
# oder: pip install magic-wormhole

croc (statisches Go-Binary, keine Runtime noetig):

brew install croc                 # macOS / Linuxbrew
winget install schollz.croc       # Windows
scoop install croc                # Windows (Scoop)
sudo pacman -S croc               # Arch
curl https://getcroc.schollz.com | bash   # universell

Profi-Hinweis: Pruefe curl … | bash-Installer vor der Ausfuehrung. Lade das Skript erst herunter, lies es, oder ziehe das fertige Binary aus den GitHub-Releases und verifiziere die Pruefsumme — gerade in CI/Servern.

Senden & Empfangen mit magic-wormhole

1. Auf der Quelle senden:

   wormhole send ./backup.tar.zst

   Es erscheint ein Code wie 7-crossover-clockwork.
2. Diesen Code dem Gegenueber durchsagen/chatten. Auf dem Zielrechner:

   wormhole receive 7-crossover-clockwork

   Beim Tippen reicht der Anfang plus Tab zur Vervollstaendigung.
3. Kurztext statt Datei (z. B. ein Token):

   wormhole send --text "kurzer geheimer string"

4. Laengere/staerkere Codes erzwingen:

   wormhole send --code-length 4 ./datei

• Verbindung: zuerst direkt P2P (LAN oder oeffentliche IP), sonst Fallback ueber den Transit Relay — der nur Chiffrat durchreicht. Der Mailbox/Rendezvous-Server vermittelt nur den PAKE-Handshake, sieht keine Dateien.

Senden & Empfangen mit croc

1. Senden (Code wird generiert und angezeigt):

   croc send report.pdf bilder/ logs.tar.gz

2. Empfangen — der Code ist das einzige Argument:

   croc 1234-eigenes-code-wort

3. Eigenen Code setzen (mind. 6 Zeichen):

   croc send --code geheim-projekt-x ./build/

4. Text senden oder aus einer Pipe streamen:

   croc send --text "API-Key: ..."
   pg_dump mydb | croc send

Warnung zur Code-Sichtbarkeit: Ein per --code uebergebenes Geheimnis landet in der Prozessliste (z. B. ps) und in der Shell-History. Auf Mehrbenutzer-Hosts stattdessen die Umgebungsvariable nutzen: CROC_SECRET='geheim-projekt-x' croc zum Empfangen.

Eigenen Relay self-hosten (volle Datenhoheit)

Wer keinem oeffentlichen Relay vertrauen will (oder hinter strikten Firewalls arbeitet), betreibt einen eigenen — bei croc trivial, weil ein einzelnes Binary:

croc relay --ports 9009,9010,9011,9012,9013

• Standard sind TCP 9009-9013; mindestens 2 Ports sind noetig (Port 1 = Steuerkanal, die uebrigen fuer den gemultiplexten Datenstrom). Genau diese Ports in der Firewall freigeben.
• Clients dann gegen den eigenen Relay fahren:

  croc --relay "relay.example.com:9009" send datei.zip

• Selbst ein boesartiger Relay kann den Sitzungsschluessel nicht lernen — er sieht nur AES-GCM-Chiffrat. Self-Hosting verhindert v. a. Metadaten-Abfluss und macht dich unabhaengig von Drittinfrastruktur.

Faustregel fuer den Profi-Einsatz: croc fuer schnelle, plattformuebergreifende Ad-hoc-Transfers (ein Binary, resumefaehig, leicht self-hostbar); magic-wormhole, wenn du das aeltere, breit auditierte SPAKE2/libsodium-Design und sauberes P2P mit Relay-Fallback bevorzugst. In beiden Faellen gilt: Code-Worte sind Einmalgeheimnisse — niemals wiederverwenden und nur ueber einen separaten Kanal (Anruf/Messenger) diktieren.

Eine kaputte SSD, ein verschluesselnder Erpressungstrojaner oder ein versehentlich geloeschter Ordner - und plötzlich sind Fotos, Steuerunterlagen oder die Bachelorarbeit weg. Die 3-2-1-Regel ist die seit Jahren bewaehrte Faustformel dagegen, und sie ist einfach genug fuer jeden Privathaushalt. Dieses Tutorial erklaert, was dahintersteckt, und zeigt dir konkrete Schritte fuer Windows, Mac und NAS - plus den Restore-Test, der aus "ich hab ja ein Backup" ein "ich kann wirklich wiederherstellen" macht.

Was 3-2-1 wirklich bedeutet

• 3 Kopien deiner Daten: das Original plus mindestens zwei Backups. Faellt eine Kopie aus, hast du noch zwei.
• 2 verschiedene Medien: z. B. interne Platte + externe USB-Platte, oder lokale Platte + Cloud. So trifft ein Defekt (oder ein Trojaner, der alle angeschlossenen Laufwerke befaellt) nie alles gleichzeitig.
• 1 Kopie ausser Haus (offsite): Cloud oder eine zweite Platte bei Familie/im Buero. Schuetzt gegen Brand, Wasserschaden oder Diebstahl am Standort.

Moderne Erweiterung gegen Ransomware: die 3-2-1-1-0-Regel ergaenzt eine unveraenderliche (immutable/offline) Kopie und null Fehler beim Verifizieren. Fuer den Heimgebrauch reicht 3-2-1 voellig, wenn du die Offsite-Kopie versioniert haeltst.

Windows: lokale Kopie + Image

1. Schliesse eine externe USB-Festplatte an (Medium 2).
2. Fuer deine persoenlichen Dateien: Dateiversionsverlauf aktivieren unter Einstellungen → System → Speicher → Sicherungsoptionen. Er sichert versioniert, du kannst also auch aeltere Staende einer Datei zurueckholen.
3. Fuer ein komplettes System-Image per Kommandozeile (Eingabeaufforderung als Administrator). Beispiel: taegliche Sicherung von Laufwerk C: auf E:

   wbadmin enable backup -addtarget:E: -include:C: -schedule:21:00 -quiet

   Sofort-Sicherung manuell starten:

   wbadmin start backup -backuptarget:E: -include:C: -allCritical -quiet

wbadmin nutzt den Volume Shadow Copy Service (VSS) und kann so auch geoeffnete Dateien sauber sichern. Befehl wbadmin get status zeigt laufende Jobs.

Mac: Time Machine

1. Externe Platte anschliessen, dann Systemeinstellungen → Allgemein → Time Machine → Backup-Volume hinzufuegen.
2. Time Machine sichert automatisch stuendlich und haelt versionierte Stuende vor - alte Datei-Versionen lassen sich gezielt zurueckholen.
3. Backup sofort und blockierend (wartet bis fertig) im Terminal anstossen:

   tmutil startbackup --block

   Lokale Schnappschuesse (wenn die Backup-Platte gerade fehlt) anzeigen:

   tmutil listlocalsnapshots /

Hinweis: Lokale Snapshots auf der internen Platte sind kein Ersatz fuer ein echtes Backup - sie liegen auf demselben Datentraeger. Sie zaehlen nicht als zweites Medium.

NAS & Offsite: die dritte Kopie

• Auf einem Synology erstellst du mit Hyper Backup eine Aufgabe auf ein zweites NAS oder in die Cloud; auf QNAP heisst das Pendant Hybrid Backup Sync.
• Aktiviere am Ziel unveraenderliche Snapshots (Immutable / WORM), damit Ransomware die Sicherung nicht mitverschluesseln kann.
• NAS-zu-NAS uebers Internet nie ungeschuetzt: rsync (Port 873) ist unverschluesselt - leite es durch ein VPN wie Tailscale oder WireGuard.
• Plattform-uebergreifend und verschluesselt offsite: restic macht versionierte, AES-256-verschluesselte, deduplizierte Snapshots:

  restic -r /pfad/zum/repo init
  restic -r /pfad/zum/repo backup ~/Dokumente
  restic -r /pfad/zum/repo snapshots

  Mit rclone kopierst du das Repo dann in die Cloud (z. B. ein crypt-Remote namens secret):

  rclone copy /pfad/zum/repo secret:backups

Wichtig: rclone sync spiegelt exakt und loescht dabei Ziel-Dateien, die lokal fehlen - benutze fuer additive Backups rclone copy. restic dagegen behaelt alte Snapshots, auch wenn du Dateien lokal loeschst.

Der Restore-Test, den alle vergessen

Ein Backup, das du nie zurueckgespielt hast, ist nur eine Hoffnung. Studien zeigen, dass 30-40 % der Betroffenen kritische Fehler erst im Ernstfall entdecken. Teste deshalb regelmaessig - kritische Daten monatlich, alles andere mindestens vierteljaehrlich:

1. Waehle ein paar echte Dateien aus (nicht nur eine leere Test-Datei) und stelle sie in einen separaten Ordner wieder her - niemals ueber das Original.
2. restic-Beispiel: neuesten Snapshot in einen Testordner zuruecksichern:

   restic -r /pfad/zum/repo restore latest --target ~/restore-test

3. Pruefe restic-Repos zusaetzlich auf Integritaet:

   restic -r /pfad/zum/repo check

4. Oeffne die wiederhergestellten Dateien wirklich und vergleiche Inhalt/Groesse. Erst dann gilt das Backup als bestanden.

Warnung: Stelle beim Test nie direkt ueber deine Live-Daten wieder her - ein Restore in den Originalpfad kann neuere Aenderungen ueberschreiben. Notiere ausserdem dein restic-Passwort und die rclone-crypt-Zugangsdaten getrennt vom Backup: ohne sie ist die verschluesselte Offsite-Kopie unwiederbringlich verloren.

Eigene Excel-Vorlage für die tägliche Zeiterfassung mit folgenden Funktionen:

Features

• Tageserfassung: Arbeitsbeginn, -ende und Pausen eintragen
• Projektzuordnung: Zeiten auf verschiedene Projekte aufteilen
• Überstundenberechnung: Soll/Ist-Vergleich automatisch
• Monatsübersicht: Zusammenfassung aller geleisteten Stunden
• Kommentarfeld: Notizen zu einzelnen Einträgen

Nützliche Excel-Formeln für Zeiterfassung

⬇ Excel-Vorlage herunterladen

Was macht ein VPN?

Ein VPN (Virtual Private Network) erstellt einen verschlüsselten Tunnel zwischen deinem Gerät und dem Internet:

• Verschlüsselung: Dein gesamter Datenverkehr wird verschlüsselt — niemand kann mitlesen
• IP-Verschleierung: Deine echte IP-Adresse wird versteckt
• Öffentliche WLANs: Sicher surfen im Café, Hotel oder Flughafen
• Geo-Blocking: Auf Inhalte zugreifen, die regional gesperrt sind

Wann brauchst du ein VPN?

• In öffentlichen Netzwerken (Café, Bahn, Hotel)
• Wenn du nicht möchtest, dass dein ISP deinen Traffic sieht
• Für Zugriff auf dein Heimnetzwerk von unterwegs

Worüber ein VPN nicht schützt

• Phishing-Mails und gefälschte Links
• Malware und Viren
• Schwache Passwörter

Ein VPN ist ein Baustein der IT-Sicherheit — kein Allheilmittel. Kombiniere es mit starken Passwörtern, 2-Faktor-Authentifizierung und gesundem Menschenverstand.

Das Problem

Du hast eine Liste mit Namen und E-Mail-Adressen und willst nur die Namen behalten:

Mustermann, Max    max.mustermann@outlook.com
Doe, John          john.doe@outlook.com
Maali, Tädi        taedi.maali@outlook.com

Die Lösung: Suchen & Ersetzen mit Wildcards

1. Öffne Suchen & Ersetzen mit Strg + H
2. Suchen nach: das gemeinsame Trennzeichen + * (z.B. ein Leerzeichen gefolgt von *@*)
3. Ersetzen durch: leer lassen
4. Klick auf "Alle ersetzen"

Wildcard-Übersicht in Excel

Vor- und Nachnamen trennen

• *, → entfernt alles bis zum Komma (Nachname weg)
• ,* → entfernt alles ab dem Komma (Vorname weg)

Spart enorm Zeit bei 1.000+ Einträgen. Funktioniert auch in Notepad++ mit Regex (Strg + H → Regex aktivieren).

Wichtig vorab (besonders bei Windows XP)

• Datenverlust auf dem Stick: Beim Erstellen wird der USB-Stick komplett gelöscht. Vorher alles sichern.
• Stick-Größe: Für XP reicht ein 2–8 GB Stick locker.
• XP bootet nicht „von Haus aus" vom USB-Stick: Ein einfaches „ISO draufschreiben" reicht bei XP oft nicht – man braucht ein Tool, das den Stick speziell vorbereitet (z. B. Rufus). Bei Windows 7/10/11 und Linux funktioniert der normale Weg problemlos.
• BIOS/UEFI: XP läuft nur im Legacy/BIOS-Modus (CSM), nicht im reinen UEFI-Modus.
• Sicherheit: Alte Systeme nie ungeschützt ins Internet hängen – am besten in einer virtuellen Maschine betreiben.

Teil 1 – CD/DVD zu ISO

Windows – mit ImgBurn (kostenlos):

1. ImgBurn von der offiziellen Seite (imgburn.com) laden und installieren. (Beim Installer Adware/Zusatzangebote abwählen.)
2. CD/DVD einlegen, ImgBurn öffnen → „Create image file from disc".
3. Bei Source das Laufwerk, bei Destination Speicherort + Dateinamen der .iso wählen.
4. Auf das große „Read"-Symbol klicken und warten.

macOS – mit dem Festplattendienstprogramm:

1. CD/DVD einlegen (externes Laufwerk nötig, falls keins vorhanden), Festplattendienstprogramm öffnen.
2. Menü Ablage → Neues Image → Image von [Disc], Format „DVD/CD-Master" → speichern (ergibt eine .cdr-Datei).
3. Im Terminal in ein echtes ISO umwandeln:

hdiutil makehybrid -iso -joliet -o ausgabe.iso quelle.cdr

Alternative komplett im Terminal (Gerätenummer prüfen!):

drutil status                 # zeigt z. B. /dev/disk2
diskutil unmountDisk /dev/disk2
sudo dd if=/dev/disk2 of=~/Desktop/abbild.iso bs=1m

Linux – im Terminal (einfachster Weg):

lsblk                         # CD/DVD ist oft /dev/sr0
sudo dd if=/dev/sr0 of=~/abbild.iso bs=1M status=progress

Grafisch geht es auch mit Brasero oder GNOME Disks („Laufwerksabbild erstellen").

Teil 2 – Bootbaren USB-Stick aus dem ISO

Windows – mit Rufus (empfohlen, auch für XP):

1. Rufus von rufus.ie laden (keine Installation nötig), USB-Stick einstecken.
2. In Rufus bei „Laufwerk/Device" den Stick wählen (genau prüfen!).
3. „Auswählen/SELECT" → deine .iso wählen.
4. Partitionsschema: für XP MBR, Zielsystem BIOS (oder UEFI-CSM).
5. Dateisystem: NTFS oder FAT32. Dann „Start", Löschwarnung bestätigen, warten.

XP: Rufus bereitet den Stick so vor, dass XP davon booten kann. Trotzdem hakt das XP-Setup manchmal beim USB-Treiber. Zuverlässiger läuft XP oft in einer virtuellen Maschine (VirtualBox/VMware) direkt aus der ISO – dort brauchst du gar keinen Stick.

macOS – im Terminal mit dd (Gerätenummer doppelt prüfen!):

diskutil list                 # z. B. /dev/disk4
diskutil unmountDisk /dev/disk4
sudo dd if=~/Desktop/abbild.iso of=/dev/rdisk4 bs=1m status=progress
diskutil eject /dev/disk4

Für XP ist macOS+dd nur bedingt geeignet (XP-ISOs sind nicht „dd-bootfähig"); dann lieber Rufus oder eine VM. Grafische Alternative: balenaEtcher.

Linux – im Terminal mit dd:

lsblk                         # z. B. /dev/sdb  (NICHT /dev/sdb1!)
sudo umount /dev/sdb*
sudo dd if=~/abbild.iso of=/dev/sdb bs=4M status=progress conv=fsync
sync

Grafische Alternativen: balenaEtcher, GNOME Disks oder Ventoy (Stick einmal vorbereiten, danach beliebig viele ISOs einfach draufkopieren).

Vom Stick booten

1. Stick einstecken, Rechner neu starten.
2. Boot-Menü öffnen (oft F12, F11, F9, Esc oder F8 – je nach Hersteller).
3. Den USB-Stick als Startgerät wählen.
4. Bei XP: im BIOS Legacy/CSM-Boot aktivieren, Secure Boot deaktivieren.

Kurz-Zusammenfassung

Windows XP speziell: Rufus (Windows) oder gleich eine virtuelle Maschine sind am zuverlässigsten – reines dd unter macOS/Linux klappt bei XP oft nicht.