Chrome 37, die aktuelle Version, bringt für Windows Nutzer unter anderem eine Neuerung: eine neue Technik für gestochen scharfe Schrift. Die DirectWrite genannte Technik soll vor allem auf großen und hochauflösenden Monitoren zu wesentlich schärfer und klarer wirkenden Schriften sorgen:

chrome-37-deactivate-directwrite-font-compare

Aber ganz ehrlich… meine Augen waren sofort beim ersten Start der 37er Version verwirrt. Google Mail, mit so viel Text auf einem Haufen, wirkte plötzlich auffallend unangenehm und pixelig auf die Augen. Auch in den kommenden Tagen konnten sich meine Augen nicht an diese Änderung, die sich ja auf jede Internetseite im Chrome auswirkt, gewöhnen.
Also, deaktivieren: Ruft in eurem Browser chrome://flags auf und aktiviert dort die „DirectWrite deaktivieren“ Funktion (ja, schön verwirrend):
chrome-37-deactivate-directwrite-flags

via

Es hat in den digitalen Nachrichten ein wenig die Runde gemacht: Google Account Passwörter wurden veröffentlicht, ca. 5 Millionen sollen es sein. Laut Google seien nicht einmal 2% der Daten nutzbar – es handle sich um typische „credential dumps“, so Google -, es gibt jedoch auch kritischere Vermutungen.
Update: Nicht nur Google hält diesen Leak für unkritisch, auch andere Erkenntnisse lassen Zweifel entstehen.
Wieviel tatsächliche aktive Logins dabei sind, spielt eigentlich auch keine Rolle. Diese Nachrichten sollten Google Nutzer generell dazu veranlassen, die eigenen Sicherheitsvorkehrungen zu überprüfen.

google-account-security-banner

Hier ein paar Tipps:

Starkes Passwort

Der Tipp ist selbstverständlich. Heutzutage sollten Passwörter zu wichtigen Logins mindestens 12 Zeichen lang (BSI empfiehlt) sein und von jeder Zeichenart (Klein- und Großbuchstaben, Zahlen und Sonderzeichen) mindestens 1 Exemplar beinhalten.
Auf HowSecureIsMyPassword.net könnt ihr euer Passwort eingeben und eine Schätzung erhalten, wie lange das Knacken dieses Passworts dauern würde. Mein aktuelles Google Passwort würde 903 Billiarden Jahre einem durchschnittlichen Angriff standhalten. Das reicht mir 😉
google-password-2-way-authentication-password-check

Was viele nicht wissen: Länge geht vor Komplexität. Zwar solltet ihr, wie gesagt, alle 4 Zeichenarten einbauen. Jedoch ist es noch wichtiger, dass euer Passworter mehr als 10 Zeichen hat. Im Notfall kann das Auffüllen eines schlechteren Passwortes die Sicherheit enorm erhöhen. Beispiel:
?Test3 = 1 Minute Angriffszeit!
?Test3…. = 96 Jahre Angriffszeit!
?Test3…….. = 4 Milliarden Jahre Angriffszeit!
Ihr müsst also nicht immer zwangsläufig hochkomplizierte Passwörter basteln, hängt notfalls einfach ein paar leicht zu merkende Zeichen an. Das ist für euch einfach zu merken, vervielfacht jedoch den Angriffsaufwand.

Weitere Tipps für sichere Passwörter findet ihr hier.

Passwort-/Konto-Wiederherstellung vorbereiten

Das Passwort ist super sicher, perfekt. Was nun, wenn man dieses Passwort vergisst? Oder aus anderen Gründen der Zugriff auf das Konto unmöglich ist.
Für diesen Fall kann man bei Google zusätzliche Informationen zur Kontowiederherstellung eintragen. Sowohl die Handynummer als auch eine alternative E-Mail Adresse können hinterlegt werden. Über diese erhält man dann Anweisungen, sollte der Zugriff nicht mehr wie gewohnt funktionieren.
google-password-2-way-authentication-account-recovery-options
Mehr Informationen

2-Wege-Login

Seit 2011 bietet Google bereits die Möglichkeit den Account Login doppelt abzusichern: Nach der Eingabe des (starken) Passworts wird zusätzlich ein Bestätigungs-Code erwartet, der per SMS, Sprachanruf oder über eine Google Authenticator App mitgeteilt wird. Dies nennt man 2-Wege-Login, oder 2-way-authentication, oder „Bestätigung in zwei Schritten“.
google-password-2-way-authentication-code

Wer dieses Feature noch nicht aktiviert hat, sollte dies unbedingt in Erwägung ziehen. Die Aktivierung dauert nur wenige Minuten und das Einrichten aller Geräte und Software, die das Google Konto nutzen, ist ebenfalls in weniger als 10 Minuten erledigt. Dafür ist es anschließend für Fremde fast nicht mehr möglich Zugriff auf das Konto zu erhalten; selbst, wenn sie das Google Passwort kennen.

2-Wege-Login Notfall vorbereiten

Die Anmeldung in zwei Schritten ist besonders sicher, benötigt neben dem Passwort aber immer noch den Code, der über ein Handy/Smartphone geliefert wird. Der Zugriff zum Konto kann also unter Umständen versperrt sein, sollte das Telefon mit der registrierten Nummer nicht mehr verfügbar sein (geklaut, neue Nummer, kein Netzempfang usw). Auf diesen Fall sollte man sich rechtzeitig vorbereiten.
So gibt es im Einstellungsbereich des 2-Wege-Logins die Möglichkeit Ersatz-Telefonnummern einzugeben und Ersatzcodes zu erstellen.
Die Sache mit den Ersatznummern ist klar, hier kann man die Telefonnummern von Familienmitgliedern oder anderen Vertrauenspersonen angeben, die im Notfall den Code auf ihr Handy erhalten.
Ersatzcodes, oder auch Einmalcodes, sind 10 für diesen Account festgelegte Codes, die jederzeit funktionieren. Diese sind statisch, können also ausgedruckt und irgendwo verstaut werden. Zu jeder Zeit lässt sich der Account mit dem Passwort und einem dieser festen Codes entriegeln. Die Codes kann man auch bei sich führen, sie sind ohne das Account Passwort schließlich auch nicht sicherheitskritisch.

Externe Zugriffe und Berechtigungen prüfen

Hin und wieder kann ein Blick auf die Kontozugriffe nicht schaden. Auch das Überprüfen und Aussortieren der Berechtigungen sollte mindestens ein Mal jährlich erfolgen. Beides lässt sich Schritt für Schritt im Accountsicherheits-Dialog erledigen. Nach der Bestätigung der Kontowiederherstellungsinformationen (Handynummer und alternative E-Mail) werden die Kontenzugriffe und anschließend die Berechtigungen aufgelistet.
google-password-2-way-authentication-account-accessgoogle-password-2-way-authentication-account-activity

via, via, via

Der Import von Datenbankdateien oder Dumps in eine MySQL Datenbank ist nicht unbedingt problematisch.

mysql.exe -u USERNAME -p PASSWORD DATABASENAME < MYDATABASE.sql


Ohne Shell Zugriff muss das anders laufen.
MySQL wird eigentlich immer mit einer Adminoberfläche installiert, in den meisten Fällen phpMyAdmin. phpMyAdmin ist aber oftmals an verschiedenste Limitierungen gebunden und generell gibt es viele Gründe, warum ein Datenbankimport scheitern kann: PHP Dateigrößen-Limit, phpMyAdmin Dateigrößen-Limit, Timeouts vom Server oder vom Client, sowas.
große-datenbanken-importieren-bigdump-phpmyadmin-limit
8MB Maximum? Nicht besonders viel.

Per FTP Zugriff, je nachdem wie eingeschränkt der Zugriffsbereich ist, können diese Probleme aber umgangen werden.
Server Vollzugriff:
Entweder könnt ihr auf die php.ini des Servers zugreifen und dort ein paar Einschränkungen lockern um den Import anschließend über die phpMyAdmin Oberfläche erneut probieren:

php_value upload_max_filesize 120M //file size
php_value post_max_size 120M
php_value max_execution_time 200
php_value max_input_time 200

Eingeschränkter Zugriff (shared hoster):
Häufig ist der Zugriff jedoch auf den html/public Bereich beschränkt, hier geht ihr folgendermaßen vor:
Wenn ihr von dem Hoster bereits eine leere Datenbank und einen User bekommen habt, was in den meisten Fällen so passiert, überspringt ihr den folgenden Satz einfach. Falls nicht erstellt ihr euch über die phpMyAdmin Oberfläche eine neue leere Datenbank und einen Datenbanknutzer, der auf diese Datenbank Vollzugriff/All Privileges hat.
Anschließend zieht ihr euch das nützliche Tool BigDump. Das ist im Endeffekt nur eine .php Datei.
Die öffnet ihr mit einem Editor und füllt die paar Zeilen aus: Server (bei shared so gut wie immer localhost), Datenbankname, Username, Userpasswort und der Dateiname der zu importierenden Datei. Die Kodierung ist meistens utf8 bei SQL Exports, passt das falls nötig auch noch an.
große-datenbanken-importieren-bigdump-config

Dann müsst ihr diese Datei zusammen mit dem Datenbankbackup auf den Server laden, am besten einfach in das Root html Verzeichnis. Im Anschluss die .php Datei im Browser aufrufen und mit „Start Import“ geht’s los. Eine 30MB SQL Datei wurde bei mir in etwa 1 Sekunde importiert.
große-datenbanken-importieren-bigdump-process-startgroße-datenbanken-importieren-bigdump-process-finished

Erledigt. Nicht vergessen danach die 2 Dateien wieder vom Server zu löschen.

Es gibt bestimmt noch andere Tools, die diesen Job erledigen. Solltet ihr jedoch Probleme mit diesen Workarounds haben, fragt doch vielleicht einfach mal euren Hoster, ob er nicht den Import übernehmen kann. Vorher die Backup Datei auf den Server laden, die meisten Hoster sind da hilfsbereit und machen das sogar kostenlos.

Quellen:via, via

Long time no see, let’s go again!!

Bei einem Nutzer der Firma kommt es zu Netzwerkproblemen am PC; die Netzwerkverbindung übermittelt irgendwann einfach keine Pakete mehr oder ist anderweitig gestört. Das Internet ist also tot und der Nutzer müsste jetzt selbstständig eine Diagnose des Netzwerkadapters durchführen o.Ä.
Besser ist ein Script, welches die Internetverbindung bei Doppelklick repariert.

Variante 1 – Sehr einfach

Hier ist ein relativ einfaches Script für die oben beschriebene Situation:

ipconfig /release
ipconfig /renew

Dieses Script kann der Nutzer selbstständig ausführen und innerhalb weniger Sekunden ist die Internetverbindung erneuert.

Es soll aber vorkommen, dass diese einfache Lösung das Problem nicht löst. Dann solltet ihr mit den folgenden Varianten fortfahren.

Variante 2 – Standard

Dieser Code enthält einige Reparaturen mehr:

@echo off & setlocal
ipconfig /release
ipconfig /renew
arp -d *
nbtstat -R
nbtstat -RR
ipconfig /flushdns
ipconfig /registerdns
endlocal

arp -d *“ löscht die gesamte lokale ARP Tabelle, wodurch diese daraufhin neu erstellt wird. „nbtstat -R“ löscht die NetBT Tabelle und der Parameter -RR startet eine Aktualisierung der neu erstellten Tabelle. Und die letzten 2 Befehle löschen den DNS Cache und erstellen ihn neu.
Hier werden also verschiedene andere Problemstellen angegangen und die Wahrscheinlichkeit, das Netzwerkproblem damit zu beheben, ist etwas höher.
Jedoch benötigen all diese neuen Befehle Administratorrechte. Hier müsst ihr das Script also als Administrator ausführen (lassen). Wie das geht erfahrt ihr am Ende des Posts.

Variante 3 – Sehr ausführlich

Mit diesen Befehlen gebt ihr den Netzwerkproblemen die volle Ladung Reset:

@echo off
ipconfig /release
ipconfig /renew
arp -d *
nbtstat -R
nbtstat -RR
:: adjust interface name here and remove "rem"
rem netsh interface set interface "LAN-Verbindung" DISABLED DISCONNECTED
:: service names should work in both german and english windows
net stop "dhcp" /y
net stop "dnscache" /y
net stop "netman" /y
net start "dhcp" 
net start "dnscache" 
net start "netman" 
:: adjust interface name here and remove "rem"
rem netsh interface set interface "LAN-Verbindung" ENABLED CONNECTED
ipconfig /flushdns
ipconfig /registerdns

Hier werden zusätzlich einige Dienste neu gestartet und der Adapter (wenn ihr den Adapternamen einfügt und die Kommentierung entfernt) zurückgesetzt.
Natürlich werden auch hierfür Administratorrechte benötigt. Mehr dazu im nächsten Abschnitt.

Script als Administrator ausführen

Natürlich kann man das Script einfach als Administrator ausführen, wenn man die Rechte oder die Login Daten hat. Aber wir gehen mal davon aus, dass ein eingeschränkter Nutzer völlig unabhängig von euch diese Reparaturen zu jeder Zeit ausführen können muss.
Dafür gibt es einen relativ simplen Workaround über die Aufgabensteuerung.

Erstellt auf dem PC des Nutzers eine neue einfache Aufgabe in der Aufgabenplanung, wählt einen beliebigen Trigger (wird eh wieder gelöscht), als Aktion wählt ihr „Programm starten“ und sucht das lokal kopierte Reset Script von oben. Öffnet dann die Eigenschaften der Aufgabe, löscht den Trigger und wählt im „Allgemein“ Tab einen lokalen Administratorbenutzer aus. Aktiviert „Unabhängig von der Benutzeranmeldung ausführen“ und „Mit höchsten Privilegien ausführen“ und speichert die Änderungen. In diesem Moment werdet ihr nach dem Passwort zu dem ausgewählten Nutzer gefragt, gebt das ein. Danach habt ihr eine Aufgabe erstellt, die auf Bedarf ausgeführt werden kann und mit erhöhten Adminrechten das Script ausführt.

Nun müsst ihr noch dem Nutzer die Möglichkeit geben, diese Aufgabe – am besten einfach per Doppelklick – auszuführen. Merkt euch dazu den Namen der gerade erstellten Aufgabe und erstellt auf dem Desktop des Nutzers, oder wo auch immer das Script zum Starten des Netzwerk-Resets liegen soll, ein neues Batch Script mit dieser einen Zeile:

schtasks /run /tn "reset-network"

In die Anführungszeichen kommt natürlich der Name eurer Aufgabe.

Nun kann der Nutzer per Doppelklick dieses Scripts die Netzwerkerneuerung starten, selbst wenn er keine Administratorrechte hat.

Natürlich sind diese Scripte nur Workarounds und beheben vermutlich nicht die Ursache der Netzwerkstörung, um die ihr euch natürlich kümmern solltet. Aber es verschafft euch mehr Zeit fürs Troubleshooting (viel Erfolg dabei!) weil der Nutzers damit erstmal sehr selbstständig, schnell und einfach das Problem beheben kann.

Ich habe die Einrichtung dieses Workrounds nochmal als Video festgehalten:

via, via, via

Vor längerer Zeit habe ich ja über die Website Monitoring Seite servercheck24.de geschrieben und den Dienst getestet. In diesem Test möchte ich auf den größeren Bruder serverguard24.de eingehen und die zusätzlichen Features testen. Denn serverguard24 bietet einige nette Erweiterungen.

Start, Registrierung, Übersicht

Hier gibt es nicht viel Neues zu sehen. Die Registrierung ist einfach und geht schnell. Einzig bei der Passworteingabe muss ich meckern; heutzutage sollten Passwörter von mindestens 6 Zeichen vorausgesetzt werden und ein Password-Strength-Meter gehört ebenfalls zum guten Ruf und ist leicht einzubauen.
serverguard24-de-test-vergleich-servercheck-signup
Es erfolgt im nächsten Schritt auch wieder die Eingabe der Mobilfunkdaten, damit die SMS Benachrichtigung genutzt werden kann.

Einfaches Uptime Monitoring

Wie auch bei servercheck24 ist eine einfache Seitenüberwachung via HTTP Request schnell eingerichtet und besonders leicht zu verwalten. Die Prüfhäufigkeit wird durch das gekaufte Paket bestimmt. An dieser Stelle bietet serverguard24 jedoch schon erste Erweiterungen. So lassen sich Wartungsintervalle angeben, zu denen keine Uptime Tests stattfinden sollen, weil diese sowieso fehlschlagen würden. Außerdem kann die geografische Region ausgewählt werden, von denen aus die Tests kommen sollen. Der eingerichtete Dienst lässt sich von hier aus auch direkt testen und als Belohnung für eine funktionierende Webseite das serverguard24 Qualitätssiegel einbauen, wenn man das möchte.
serverguard24-de-test-vergleich-servercheck-simple-http-monitoringserverguard24-de-test-vergleich-servercheck-simple-http-monitoring-smsserverguard24-de-test-vergleich-servercheck-simple-http-monitoring-new-features

Transaktionen

Ebenfalls ein zusätzliches Feature sind die Transaktionen. So bezeichnet werden eine Abfolge von Nutzeraktionen auf einer Webseite. Somit lassen sich komplexe Tests, sogar tief in eingeloggten Webseitenbereichen, durchführen.
Es gibt 2 verschiedene Typen von Transaktionen: echte Browser Transaktionen und Request-Transaktionen. Letztere sind relativ typische, modifizierte GET/POST Serveranfragen, die mit verschiedensten HTTP Parametern versehen werden können und damit auch sehr gezielte Tests ermöglichen, wenn die Seite daraufhin programmiert wurde.
Besonders interessant sind jedoch die User-/Browser-Transaktionen, die echtes Userverhalten in einem Browser simulieren können.
Dazu muss auf dem PC – es muss ein Windows PC sein – eine Software namens „ServerGuard24 Transaction Manager“ installiert werden, mit der einmalig diese User-Aktion aufgezeichnet wird:
serverguard24-de-test-vergleich-servercheck-transactions-software
Die Software hat quasi ein Internet Explorer (Version 7 oder 8?) verbaut und überwacht sämtliche Aktionen, die darin gemacht werden. Außerdem lassen sich Pausen, Prüfungen, Wartekonditionen und Parser mit verschiedensten Optionen einbauen. Formulareingaben werden ebenso überwacht wie Klicks auf bestimmte Elemente.
Nachträglich kann diese Abfolge von Browserereignissen kann dann direkt in das serverguard24 Profil gespeichert und getestet werden:
serverguard24-de-test-vergleich-servercheck-transactions-test
An dieser Stelle ist jedoch Kritik nötig: das ganze ist relativ buggy und unhandlich. Der in dieser Software verbaute Browser scheint uralt zu sein (wie gesagt, vermutlich IE 7 oder 8) und verursacht dadurch starke Darstellungsprobleme auf Webseiten, die nicht für diese alten Browser optimiert wurden. Bestimmte Tests sind dadurch vielleicht schon gar nicht mehr möglich. Erstellte Schritte können nicht verschoben werden. Klicks werden nur selten erkannt, vor allem Linkklicks, die auf neue URLs führen, scheinen oftmals nicht als User-Schritt anerkannt zu werden. Zusätzlich stürzte die Software bei meiner ersten Nutzung komplett ab. Und zwar mehrfach, einfach nur indem ich die Software ein paar Minuten lang laufen ließ, ohne sie anzufassen; irgendwann stürzt sie ab. Also die Bedienerfreundlichkeit, Zuverlässigkeit und Stabilität sind hier eher mau.

Android App

Darauf habe ich mich besonders gefreut: mobile Überwachung! Wenn etwas bei Serverüberwachung wichtig ist, dann vor allem immer und von überall via Smartphone die Kontrolle zu haben. Ergebnisse einsehen, Tests auswerten, Dienste aktivieren und deaktivieren, via App, sehr gut. Und genau das bietet die ServerGuard24 Android App auch. Die Bedienung ist sehr einfach und die Visualisierung ziemlich gut. Alle Informationen sind übersichtlich dargestellt und mit Farben und Icons verdeutlicht.
serverguard24-de-test-vergleich-servercheck-android-app-store serverguard24-de-test-vergleich-servercheck-android-app-servers

serverguard24-de-test-vergleich-servercheck-android-app-server-report serverguard24-de-test-vergleich-servercheck-android-app-server-service-details

Einziger Wermutstropfen: die Einstellungen der Tests können nur angezeigt und nicht bearbeitet werden.

Fazit

ServerGuard24 bietet alle wichtigen Funktionen für eine Überwachung der eigenen Server und Webseiten. Zusätzliche können Webmaster mit dem nötigen Wissen sehr umfangreiche Tests bauen und damit die Stabilität der Webseite und einzelner Features bis auf die digitalen Nieren prüfen lassen. Etliche Benachrichtigungsoptionen, vor allem Notfall-SMS, kombiniert mit der Überwachungs-Android-App sorgen dafür, dass man im Falle einer Störung innerhalb kürzester Zeit Bescheid weiß und aktiv werden kann.
Wie auch bei ServerCheck24 braucht es hier eigentlich nur noch kleinere Optimierungen in den einzelnen Features, um diese noch etwas stabiler und benutzerfreundlicher zu gestalten.
Aber das Gesamtpaket kann überzeugen!

bsi-mail-check-service

Wie ihr eventuell in den News mitbekommen habt, wurden mal wieder E-Mail Adressen im großen Stil gehackt. 18 Millionen deutsche Adressen sollen ebenfalls betroffen sein. Das BSI bietet erneut an, E-Mail Adressen auf eine Gefährdung hin zu überprüfen.

Ich kann empfehlen, dass jeder das für seine privaten Adressen einmal durchgeht.

Wenige E-Mails einzeln testen

Nach dem Absenden der Eingabe erhaltet ihr einen Code, bestehend aus 4 Zeichen. Speichert euch diesen Code!
Bei der Überprüfung wird die eingegebene Adresse mit der Liste gehackter Adressen abgeglichen und bei einer Übereinstimmung (also bei der Möglichkeit eines erfolgreichen Hacks!) eine Bestätigungsmail an diese Adresse versendet. In dieser Mail steht dann ebenfalls ein Code. Überprüft diese 2 Codes – wenn die Codes übereinstimmen ist die E-Mail Adresse vermutlich betroffen; wenn nicht handelt es sich ggf. um einen Hoax.

Viele E-Mails automatisiert testen

Als IT-Administrator bin ich natürlich auch für die Sicherheit aller E-Mail-Adressen des Unternehmens zuständig. Daher war es nötig, alle E-Mail-Adressen prüfen zu lassen. Da das BSI keine „Massenabfertigung“ anbietet, musste eine Automatisierung her; keine Zeit dutzende Adressen von Hand dort einzugeben und den Code zu kopieren.
Ich habe mir innerhalb weniger Minuten ein AutoIt Skript gebastelt, dass diesen Job in kürzester Zeit erledigt.

Hier der Code:

;options
AutoItSetOption("SendKeyDelay", 100)
AutoItSetOption("SendKeyDownDelay", 50)
AutoItSetOption("MouseClickDelay", 20)
For $iCount = 1 To 45
WinWaitActive("Microsoft Excel - ExportData.csv","")
Send("{CTRLDOWN}c{CTRLUP}{ALTDOWN}{TAB}{ALTUP}")
WinWaitActive("BSI-Sicherheitstest - Google Chrome","")
Send("{CTRLDOWN}lv{CTRLUP}{ENTER}")
MouseClick("left",1271, 168,1)
Send("{TAB}{ALTDOWN}{TAB}{ALTUP}")
WinWaitActive("Microsoft Excel - ExportData.csv","")
Send("{TAB}{CTRLDOWN}c{CTRLUP}{ALTDOWN}{TAB}{ALTUP}")
WinWaitActive("BSI-Sicherheitstest - Google Chrome","")
Send("{CTRLDOWN}v{CTRLUP}{TAB}{SPACE}")
MouseClick("left",1378, 355,2)
Send("{CTRLDOWN}c{CTRLUP}{ALTDOWN}{TAB}{ALTUP}")
WinWaitActive("Microsoft Excel - ExportData.csv","")
Send("{TAB}{F2}{CTRLDOWN}v{CTRLUP}{ENTER}{LEFT}{LEFT}{CTRLDOWN}c{CTRLUP}")
Next

Ich denke das Prinzip wird klar. Ließe sich vielleicht optimieren aber Zeit und Nutzen stehen da nicht im Verhältnis.

Aufbau:
Ihr müsst

  1. Chrome benutzen oder die WinWaitActive Fenstertitel anpassen,
  2. auf einem Monitor mit 1920×1080 sowohl Excel als auch den Browser halbieren, Excel links, Browser rechts
  3. in der Excel Tabelle 2 Spalten haben: 1. Spalte der BSI-Link, 2. Spalte die Mail Adresse, in die dritte Spalte wird automatisch der Code eingetragen, je 1 Zeile für jede zu überprüfene E-Mail-Adresse
  4. diese Excel Datei ExportData.csv nennen oder den WinWaitActive Fenstertitel anpassen
  5. die 2 Click-Koordinaten nochmal überprüfen (nutzt dazu „AutoIt Window Info“ – Au3Info.exe)

Grob sollte das reichen, ggf. müsst ihr noch Kleinigkeiten korrigieren aber ich denke damit sollte es schonmal grob laufen.

Hier das Video des laufenden Skripts: