Was kostet eine Webseite?
Letzte Woche ist mir etwas „komisches“ passiert. Ich hatte mit einem Ex-Kollegen eine Diskussion über eine iOS-App, die wir in Auftrag gegeben haben. Sein Kommentar war kurz „das hätte ich auch in zwei Tagen geschafft“. Da er iOS-Programmierung erst seit zwei Wochen lernt, habe ich das erstmal belächelt und wieder vergessen.
Ein paar Tage später haben mich meine Schwiegereltern mal wieder drauf angesprochen, ob ich ihre Webseite nicht neu machen könnte. Da ich ein toller Schwiegersohn bin, habe ich mich natürlich sofort drangesetzt. Vielleicht aber auch, weil ich es schon hundert mal versprochen habe und nie dazu gekommen bin. Jaja, auch ich werde um die Weihnachtszeit sentimental.
Da ich noch im Urlaub war, habe ich mir mal einen Tag geblockt, um mit meiner Frau anzufangen. Die Webseite sollte klassisch werden. Seiten, News und eine tagesaktuelle Speisekarte, Kontakt und so weiter. Es handelt sich um ein Restaurant, wie ihr euch sicher denken konntet. Wir haben also mit vier Fotos und einem Familien-Wappen am Morgen angefangen. Und wir waren am Abend fertig. Mit allem. Layout, Technik und Infrastruktur.
Acht Stunden nach dem ersten Kaffee war die Webseite fertig und technisch live. Alles was noch gefehlt hat, waren die Inhalte. Die Seite hat keinerlei Testabdeckung, setzt auf WordPress auf, die verwendeten Plugins waren sicher von mieser Codequalität, aber egal, die Seite war live. Warum ist das egal? Weil es eine Webseite für ein Restaurant ist. Da sind maximal 100 Leute am Tag drauf. Da sind keine sicherheitsrelevanten Dinge zu hacken. Warum also mehr?
Ich glaube, dass 90% aller Webseiten in diese Kategorie fallen. Trotzdem würde ich, wenn ich dafür bezahlt worden wäre zu einem CMS greifen, Tests schreiben, die besten Plugins auswählen und ggf. auch eigene programmieren, wenn ich nicht genau das richtige finde. Für eine solche Webseite würde ich also mindestens eine oder zwei Wochen Aufwand ansetzen.
Natürlich geht es in diesem Artikel nicht drum, die kosten einer Webseite zu berechnen. Vielmehr wusste ich mal wieder reflektieren, ob wir verlernt haben einfach zu denken. Wird nicht alles immer komplexer in unseren Köpfen? Müssen wir nicht wieder zurück zu unseren Anfängen? Mir hat dieser Tag „rumgehacke“ wirklich Spaß gemacht und ich konnte mich drauf konzentrieren die Seite und die Features zu bauen.
Also wenn ich als Kunde von einer x-beliebigen Webagentur für eine solche Website ein Angebot über 2 Wochen kriegen würde, das Tests, Plugin-Entwicklung etc. als Kostenpunkte aufführt, dann müssten die schon einen Dritte-Welt-Tagessatz haben, damit ich sie buchen würde.
(womit natürlich nichts gegen die Website gesagt sein soll!) 😉
Wenn ich eine Agentur wäre, wäre meine kleinste Zeiteinheit eine Woche. So unrealistisch finde ich also zwei Wochen gar nicht. Aber vielleicht schreibe ich einfach mal die Anforderungen zusammen und frage bei einer Agentur an. Wäre sicherlich interessant.
Bei der Kalkulation einer Agentur muss man auch noch die Kundenkommunikation einrechnen. Du kennst den Laden und die Vertrauen dir – eine Agentur muss erst raus finden wie der Stil des Ladens ist und Entwürfe in mehr Runden diskutieren … Da is ein Kunde leicht anspruchsvoller …
Schick mal, Nils. Ich kalkuliers dir.
Falls ich am WE Zeit finde, mache ich das wirklich. Danke fürs Angebot.
Das Ergebnis würde mich interessieren!
Netter Artikel und ich stimme dir prinzipiell zu, doch mit einer Aussage bin ich nicht ganz einverstanden:
„Da sind maximal 100 Leute am Tag drauf. Da sind keine sicherheitsrelevanten Dinge zu hacken. Warum also mehr?“
Sicherheitsrelevante Dinge hin oder her, wenn eine Website gehackt ist und die Kunden nur die „We are hacked“-Information zu sehen bekommen, ist das schlecht fürs Geschäft. Nicht versierte User bekommen dabei oft auch gleich noch Panik, dass allenfalls ihr PC auch betroffen sein kann, etc.
Gänzlich auf Sicherheit zu verzichten, nur weil es nichts zu holen gibt auf der Website, würde ich also nicht 😉
> Da sind maximal 100 Leute am Tag drauf.
> Da sind keine sicherheitsrelevanten Dinge zu hacken.
> Warum also mehr?
Wenn ich das lese werde ich agressiv. Ich bin auch etwas erschüttert so etwas von jemanden zu lesen, der es besser wissen sollte.
Du schlägst in die gleiche Kerbe wie die Leute die zur aktuellen NSA-Thematik antworten: „Interessiert mich nicht, ich habe eh nichts zu verbergen“
1) Wo läuft so eine Webseite? Richtig, auf einem Server. Dieser Server hat „power“. Unter Umständen sogar recht viel. Wenn ich mir vorstelle, dass so ein Server missbraucht wird, wird mir schlecht. Denn wir alle, die selber Internetangebote betreiben, haben täglich mit gekaperten Servern zu kämpfen. Und alles fängt in der Regel damit an, dass man sich mal ’nen Tag hingesetzt hat und danach nie wieder.
2) http://praegnanz.de/weblog/cms-aspekte – Hätte es also nicht auch eine statische Webseite werden können, die man wirklich danach vergessen kann?
3) Es fängt immer damit an, dass man etwas „mal eben“ macht. „Ist doch nur für…“ — aber welche Verantwortung man mit einer Internetseite hat, dass ist vielen nicht bewusst bzw. viele werden sich nicht dafür verantwortlich sehen: Im Zweifel wird der Server gehackt. Man war nicht der einzige Kunde auf dem Server. Zahlreiche weitere Kunden sind also wegen einem gefährdet (ja, ein guter Hoster wird versuchen zu verhindern, dass ein kompromitierter Account gleich… aber in der Praxis sieht es doch so aus: Wer leistet sich einen guten Hoster? Und für 5€ im Monat sollte man nicht viel erwarten).
4) Auch hat man eine Verantwortung gegenüber seinen Nutzern. Wenn die Webseite „umgestaltet“ wurde ist das eine Sache (evtl. peinlich für den Betreiber; wobei man heute auch das Gefühl haben könnte: Wer noch nicht gehackt wurde, der ist nicht wichtig…). Aber wenn darüber Malware verteilt wird eine andere.
Ne ne ne. Ich mag das evtl. etwas überzogen sehen, aber diese Leute die mal eben ’ne Internetseite mit irgendeinem dynamischen Zeugs bei irgendeinem Hoster hochziehen halte ich für Gemeingefährlich. Und das stört mich auch an deinem WordPress-Artikel:
WordPress macht es so einfach Code auszuführen. Man kann sich so einfach Plugins reinziehen. Aber 90% der Plugins würden einem professionellen Auditing nicht standhalten. Aber wen interessiert es. Es ist ja nur ’ne Seite für ~100 Leute…
Nein Nils, für mich steht jetzt fest: Du hast nicht verstanden was „Sicherheit“ bedeutet. Sicherheit ist kein Feature was du dir jetzt eingespart hast. Sicherheit lebt man. Steigst du in deinen PKW und schnallst dich manchmal nicht an, weil du ja nur eben ’ne Kleinigkeit einkaufen fahren möchtest? Wohl nicht. Solltest du es nur tun, weil du Angst vor einer Strafe hast, wäre das auch nicht viel besser.
Security Is Not a Feature, It’s a State of Mind.
Hallo zusammen, zu den Kommentaren habe ich fünf Anmerkungen:
1) Schön dass wieder diskutiert wird. Das hat mir bei phphatesme gefallen und jetzt natürlich auch.
2) Ja vielleicht war das Beispiel mit der Sicherheit pädagogisch falsch gewählt. Ich wollte das Thema nicht runterspielen, aber trotzdem sehe ich es ein wenig anders als Franz
3) In meinem jetzigen Job setzen wir auf risikobasiertes Qualitätsmanagement. Das bedeutet, dass wir versuchen alles aus dem Weg zu Räumen, was ein Risiko bedeutet. Risiko definieren wir ganz klassisch als Eintrittswahrscheinlichkeit * Kosten. Betrachten wir das Risiko, dass unsere Seite gehackt wird. Eintrittswahrscheinlichkeit würde ich sagen „möglich aber unwahrscheinlich“. Das ein direkter Angriff kommt glaube ich nicht, dazu haben die kleinen Webseiten einfach zu wenig Relevanz. Dass jemand automatisiert vorbeikommt kann da eher sein, aber wenn die Software- und Plugin-Updates mitzieht glaube ich, dass man die Eintrittswahrscheinlichkeit noch geringer halten kann. Nächster Punkt sind die Kosten, die ein solcher Angriff bedeuten würden. Naja die Seite wäre down und das ggf. für einen Tag. Dann haben wir wieder alles aufgesetzt und die Plugins aktualisiert. Das Gewinnausfall wäre bei einer Restaurantseite sicherlich überschaubar, wenn nicht sogar gleich Null. Zusammengefasst: Kaum Chance, dass es passiert, kaum ein Schaden. Also kein Risiko. Und somit auch kein besonderer Fokus auf dieses Thema.
4) Ich finde das OK, dass ich mich so entschieden habe, weil ich es bewusst getan habe. Ich hätte auch ein Problem damit, wenn sich jemand keine Gedanken über die Risiken macht und einfach seine Seite livestellt. Fahrlässig würde damit nicht umgehen. Ich glaube deswegen war das Thema auch ein wenig falsch gewählt.
5) Franz schreibt, dass man auf die Hoster Rücksicht nehmen sollte. Das würde ich so nicht sehen. Wenn man bei einem kleinen Anbieter ist, dann würde ich das vielleicht noch machen, aber ein 1und1 oder ähnliches sollte doch bitte seine Infrastruktur im Griff haben und nicht die diversen Seiten sich gegenseitig beeinflussen lassen. Wenn ich nur eine gewisse Bandbreite, Kerne, Speicher, HD zugesagt bekomme, dann muss doch das System zumachen, wenn das gehakte System mehr will. Da würde ich mich nicht in der Pflicht sehen.
Meine Antworten sind bewusst ein wenig polarisierend gewählt, weil ich gerne noch eine Runde weiter diskutieren möchte 😉
Hallo,
erst einmal möchte ich mich bedanken, dass mein Kommentar durchgekommen ist. 🙂
Zu deinen Antworten:
Ich kenne Kosten/Nutzenbewertungen. Heute muss man diese teilweise machen – leider.
Aber werden wir konkret: In den letzten Wochen sind die Blogs bekannter deutscher Journalisten gehackt worden. Das waren meines Wissens keine gezielten Angriffe auf die Personen, aber die Journalisten hatten sich halt einfach ein WordPress zusammengeklickt und das war es (um ein paar Namen zu nennen: Da war Stefan Niggemeier, der BILD Blog, ein Chefredakteur der SZ (oder war es die Zeit?) dabei… alles Leute die sich professionelle Webs leisten können sollten aber für sich entschieden haben, dass sie das nicht brauchen). Gerade im Umfeld von Herrn Niggemeier überraschte dann noch, dass der Hoster gewisse Dinge zugelassen/begünstigt hatte. Hätte ich nicht erwartet — begründet wurde das dann aber teilweise mit „Sponsoring“ („Ja also wir haben da mal ’nen Server eingerichtet, diesen aber nicht prof. betreutet“) bzw. wurden auch einfach Dinge aufgeschoben (wie das eben so ist, „Ist ja nur mein Blog… lesen ja nur paar Leute… soo wichtig ist das jetzt gerade auch nicht, als dass ich mich da mal paar Stunden hinsetze“).
Diese Blogs haben jedenfalls via IFrames die Besucher infiziert. Teilweise wurde auch gleich der Webserver komplett übernommen (Darkleech).
Diese Leute hatten ein eher geringes Verständnis dafür, was sie ihren Lesern zugemutet haben. Die Leser waren ihnen eigentlich egal. Ich weiß nicht ob es daran lag, dass sie das einfach nicht verstanden haben (wer nicht vom Fach ist, der wird schwer bewerten können, welche Gefahr von seinem Web eigentlich ausgeht) oder bewusst (etwas in Sorge um ihren Ruf) heruntergespielt haben (auch beobachte ich, dass viele heute der Meinung sind, „Früher oder später wird jeder mal gehackt… gehackt werden ist unschön, aber davon geht die Welt auch nicht unter“ und ihnen manche Dinge also egal sind)…
Im Straßenverkehr bspw. ist mir persönlich egal ob eine Person angeschnallt ist oder nicht. Das soll die persönliche Entscheidung jeder Person sein. Ich würde das auch nicht sanktionieren, dass regelt schon Darwin. Aber überall da wo die eigene Entscheidung Auswirkungen auf Dritte hat, da sieht es anders aus.
Meinetwegen dürften Betrunke auch gegen Bäume fahren – ihre Sache. Aber weil sie auf dem Weg zur nächsten Platane leider andere Menschen gefährden könnten, finde ich es richtig, dass das verboten ist. 🙂
Kommen wir noch einmal auf deine Kosten/Nutzenrechnung: Sehr egoistisch. Ja, das Internetangebot eines Restaurants generiert keinen direkten Umsatz, allenfalls erlaubt es Online-Reservierungen. Ansonsten informiert es nur (wobei auch dieser Faktor nicht zu unterschätzen ist). Insofern magst du Recht haben, dass wenn die Seite gehackt wird, ihr kaum Schaden habt. Aber nur weil der Betreiber einer Webseite bislang leider nicht dafür haftet, wenn sein Internetangebot bspw. Malware verteilt und andere angreift. Daher finde ich das egoistisch. Erst in dem Moment wo der Schaden der Nutzer/Opfer auf einen zurückfallen würde, wäre mit einer Änderung deiner Position zu rechnen (bzw. würden evtl. ein paar mehr Leute ihre Webleichen abschalten). Und diese Einstellung finde ich nicht gut.
Zu Punkt 5:
Mir ging es weniger darum, dass dein Web jetzt die ganze CPU-Zeit und oder Bandbreite frisst und der andere Kunde auf dem gleichen Server Probleme bekommt. Nein, da stimme ich dir zu: In dem Falle hätte der Hoster seine Hausaufgaben nicht gemacht.
Was ich eigentlich meinte: Wenn dein Web gehackt wurde und der Angreifer darüber nun SPAM-/Phishing-Nachricht versendet, dann bekommt der Server (genauer die IP) ein Problem. Damit haben auch alle anderen Kunden ein Problem. Ich möchte ein Bewusstsein dafür schaffen, dass dieser „Schaden“ den Hoster Geld kostet (und evtl. auch die anderen Kunden). Aber viele Leute sehen nicht ein, weshalb sie dafür haftbar sein sollten. Gerade im Billig-Segment zieht man dann schnell weiter und lässt den ehemaligen Hoster mit den Problemen allein („damit muss er alleine fertig werden, sein Business“). Diese Einstellung finde ich auch nicht gut. 🙂
Noch zum Artikel:
Ich stimme dir schon zu, dass es nicht immer ein eigenes Framework sein muss. Dass man auf bewährte existierende Lösungen zurückgreifen sollte, sofern dies möglich ist. Ich würde da auch gar nicht differenzieren ob du bezahlt wirst oder nicht: Man sollte immer die optimale Lösung wählen und die Lösung dabei nicht davon abhängig machen, ob man selber von ihr leben kann. Ansonsten berätst du nicht „frei“.
Ich kritisiere aber nachwievor deine Einstellung zum Thema „Sicherheit“. Hier wird jedem herzlich egal sein ob das Restaurant Schaden nimmt oder nicht. Hier zählt nur, ob von dem Internetangebot eine Gefahr für das eigene System oder die eigenen Server ausgeht.
Ich finde aber auch, dass jedem Betreiber einer Internetseite die eigenen Besucher (nur deshalb betreibt man ja ein öffentliches Internetangebot) nicht egal sein sollten (sei es auch nur aus finanziellen Gründen).
Und ich kann wirklich nur hoffen, dass der Satz „Da sind keine sicherheitsrelevanten Dinge zu hacken“ ohne weitere Gedanken niedergeschrieben wurde. Ansonsten hast du in meinen Augen ein falsches Verständnis davon was „Sicherheit“ bedeutet… mit allen Konsequenzen.
Ja, ich verstehe genau, was du meinst.
Man kann, wenn man mal weglässt, was wir alles über “Softwareentwicklung” gelernt haben, in Windeseile ein Projekt abschließen, wo man sonst in der gleichen Zeit gefühlt nicht einmal die Anforderungen gesammelt hätte.
Und dann funktioniert der scheiß auch noch.
Aber klar ist auch, dass diese Herangehensweise bei einem entsprechend großen (Teamgröße * Lebensdauer) Projekt natürlich ganz schnell nach Hinten losgeht, und die Effizienz weg ist.
Der mit den 2 Tagen war ich.
Wenn die Anforderungen stehen und man die Grafiken hat, die benötigt werden ist das Coding in 2 Tagen erledigt. Noch dazu war die „App“ so unperformant, und das ist sie heute noch, dass sogar der Picker geruckelt hat auf einem iPhone 4 mit iOS 7. Das ist immer ein Zeichen für schlechte Performance Optimierung. Das iPhone 4 ist die Messlatte.
Heute nach fast 2 Monaten iOS Development(speziell iOS, ich habe schon andere Sachen gemacht) sage ich, dass die App selbst von mir in 5 Tagen komplett incl. Grafiken fertig wäre.
Warum?
Was ist drin?
– Ein einfach animierter Startsceen
– Ein Navigation Controller um die NavBar nutzen zu können (kommt von Apple fertig.
– Detailviews (textareas) die von der Navbar gesteuert werden
– ein Pickerview mit Grafiken im Hintergrund (ruckelt und wird auch von Apple incl Methoden fertig geliefert)
– ein paar table views ( Auch fertig von Apple)
-so wie es aussieht ein json oder xml File das aktuell ausgelesen werden kann
– Ein paar kleine Grafiken
Ansonsten ist da nix drin. Lediglich die Steuerung zwischen einzelnen views. Selbst delegates, Blocks oder User Interaction muss man nichtmal machen weil es keinen wirklichen Interaktionen gibt, die mehr tun als eine Textseite anzuzeigen. Die App vergisst sogar was ich vorher ausgewählt habe.
Wenn dafür jemand viel Geld verlangt nutzt er die Unwissenheit aus, die in der mobile App Entwicklung vorherrscht.
Ich könnte sogar wetten, das das Ding mit Storyboard/ IB gebaut wurde.
zusammen geklickt wurde.
Also alles in allem. Eine Augenwischerei. Es ist noch nichtmal eine App in meinen Augen. Das ist eine Inhalte Anzeige. Aber App ist ja fancy.
Jeder will ne App aber keine fragt sich ob er die auch wirklich für den Zweck braucht.
Trotz der sehr interessanten Diskussion geht es doch nur um eines:
„Vielmehr wusste ich mal wieder reflektieren, ob wir verlernt haben einfach zu denken. “
Dieser Reflektion begegne ich auch sehr oft.