Abschied, das Buch des Lebens

Heute mussten (durften?) wir Abschied nehmen von unserem Vater. 

Alles ging so schnell, nachdem er Mitte Juni einen Schwächeanfall mit einem Sturz erlitt, mussten wir ihn für kurze Zeit ins Regionale Pflegezentrum Baden bringen. Er meinte damals: «Das ist der Ort, an welchem ich geboren wurde!». Und ich entgegnete, dass er aber sicher nicht hier sterben werde!

Am 27. Juni brachten meine jüngere Schwester und ich ihn ins Alterszentrum am Buechberg in Fislisbach. Hier hatte er, als er noch in Niederrohrdorf lebte, während vielen Jahren sein Mittagessen als Gast eingenommen. In Fislisbach, dem Ort, wo er aufgewachsen war, wurde er herzlich aufgenommen. Er war bei vielen Angestellten, aber auch Bewohnern und Gästen noch wohl bekannt und wurde begrüsst.

Mitte Juli meldete ich ihn auf seinen Wunsch per 1. August definitiv im Altersheim an. Schon Mitte Juli hatte ich mit den Gemeinden abgeklärt, ob er sich in Fislisbach als Einwohner anmelden dürfe. Es lag ihm daran, seinen Wohnsitz hierher zu verlegen. Mir lag es daran, da ich wusste, dass er nur in Fislisbach beerdigt werden könnte, wenn er den Wohnsitz auch hier hätte. Ein Thema, nach welchem er sich vor einiger Zeit mal erkundigt hatte.

Noch am 3. August fragte ich mit einer gewissen Unruhe bei der Gemeinde nach, ob die Mutation vollzogen worden sei, was mir dann bestätigt wurde. Unser Vater gewöhnte sich im Altersheim weiter ein. Wir hatten sein Zimmer eingerichtet und meine ältere Schwester, welche im Ort lebt, organisierte ihm die vielen Dinge des täglichen Lebens. Er erhielt regelmässig Besuch von seinen Geschwistern und auch seinen ehemaligen Nachbarinnen.

Er absolvierte auch täglich seine Übungen mit den Pflegerinnen oder dem Physiotherapeuten. Wir hofften, dass diese Übungen ihm wieder ein wenig mehr Autonomie geben könnten. So dass er wieder unabhängig mit dem Rollator im Zimmer oder Altersheim unterwegs sein könnte.

Er war guten Mutes und geistig noch gut beisammen, wenn auch manchmal schnell müde. Wir machten bereits erste Pläne für seinen 90. Geburtstag im Dezember.

Aber sollte nicht so sein, am 10. August, morgens um 2 Uhr hörte sein Herz auf zu schlagen. 

Heute war die Beerdigung und die Trauerfeier. In Begleitung von vielen lieben Bekannten und unserer Verwandschaft nahmen wir Abschied. 

Pfarrer Rafal Lupa machte es zu einem sehr berührenden Ereignis. Sein Gleichnis wird mir in Erinnerung bleiben.

«Jeden Tag schreiben wir eine Seite in unser Buch des Lebens. An guten Tagen sind die Seiten gefüllt mit schönen Buchstaben in goldener Schrift. An schlechten Tag ist unsere Schrift krakelig und mit fleckiger Tinte geschrieben. Das Buch hat noch viele leere Seiten. Wir wissen nicht, wie viele Seiten wir noch beschreiben werden. Aber eines Tages werden wir dieses Buch schliessen.»

«Heute haben wir das Buch von Josef geschlossen. Er ist nicht von uns gegangen. Er ist nur vor uns gegangen!»

Ich bin unendlich traurig und schliesse mit dem Zitat, welches wir in der Todesanzeige verwendet haben.

Niemand ist fort, den man liebt. Liebe ist ewige Gegenwart. – Stefan Zweig 

Die Urne von Josef im Blumenkranz

Urs | Freitag 18 August 2017 - 7:02 pm | | default | Zwei Kommentare
Stichwörter: ,

Farewell Papa

Trauer ist für mich ungeheuer schwer in Worte zu fassen, ohne dass ich das Gefühl habe, pathetisch zu wirken oder mich vom Moment überwältigen zu lassen.

Deshalb ganz kurz.

Danke für alles, was Du uns im Leben mitgegeben hast und gute Reise… wo auch immer die hinführt!

Letztes Foto von Josef

Schade, dass es Dir nicht vergönnt war, den Neunzigsten zu erleben.

Urs | Donnerstag 10 August 2017 - 09:11 am | | default | Ein Kommentar
Stichwörter: ,

To proxy or not

Do you intercept SSL?

Nun wird es mal wieder etwas technisch. Es geht um ein Thema, welches mich geschäftlich beschäftigt, zu welchem ich also auch zwei Meinungen habe. Eben eine Geschäftliche und eine Private.

Was ist ein Proxy?

Ich wiederhole ungern, was das Internet schon hergibt. Deshalb die stark vereinfachende Ultrakurzbeschreibung. Details gibt unter anderem auch der Wikipedia-Artikel Proxy (Rechnernetz) her.

Ein Proxy ist ein «Stellvertreter» in einem Netzwerk, welcher Anfragen von (internen) Clients (PC, Laptop, Tabletts oder Smartphones) nach Webseiten entgegennimmt, die Antworten im Internet abholt und den Clients zurückgibt.

Die Analogie zum Gastgeber, der Pizzas für seine Gäste bestellt, welche in diesem Abschnitt des oben genannten Wikipedia-Artikels beschrieben ist, finde ich sehr passend und originell. Gekürzt hier wiedergegeben, da ich weiter unten darauf referenziere:

  • Meine Gäste haben Hunger und möchten Pizza
  • Ich frage die Wünsche aller Gäste ab und bestelle dann Pizzen beim Lieferdienst
  • Ich nehme die Pizzen in Empfang und verteile sie gemäss Bestellung an die Gäste

Warum wird denn Internet-Verkehr proxifiziert?

Die oben genannte Erklärung hilft ein wenig, zu erklären, weshalb man den Verkehr ins Internet über einen Proxy laufen lassen kann, soll oder eventuell gar muss. Das betrifft wohl die wenigsten Privathaushalte (bei sich selbst), sondern bezieht sich auf grössere Unternehmen.

  1. Ressourcenoptimierung
    Der Proxy kann (statische) Inhalte, welche immer wieder abgerufen werden, zwischenspeichern und so Bandbreite ins Internet einsparen. Dieses Argument ist im Zeitalter von günstigeren Breitbandanschlüssen nicht mehr so wichtig. Vor allem werden immer mehr Inhalte im Internet dynamisch erzeugt und lassen sich gar nicht mehr gut zwischenspeichern.
    Pizza-Analogie: der Lieferant kann mir die Pizzen ev. in einer grossen Schachtel liefern.
  2. Nachvollziehbarkeit
    Ich kann an einem Ort, dem Proxy und seinem Log, alle Anfragen ins Internet protokollieren.
    Pizza-Analogie: Ich weiss, wer welche Pizza bestellt hat und muss nicht alle befragen.
    Der Albtraum aller auf Datenschutz bedachten User? 
    1. Ja, aber
    2. Als Verantwortlicher einer Firma kann ich gegenüber den Strafverfolgungsbehörden auskunfts- und rechenschaftspflichtig sein*). Hat ein Benutzer in meinem Netzwerk eine Straftat (zum Beispiel: Aufruf zu Gewalt, Rassenhass etc.) von seinem Firmengerät aus begangen, wird beim Zielsystem die Firmenadresse registriert. Bei einer Anzeige muss ich belegen können, wer diese Straftat begangen hat. Das Log des Proxy zeigt mir das an einem zentralen Ort an.
    3. Natürlich kann ich hier auch zentral an einem Ort nachgucken, wer wann, wo und ungefähr wie lange im Internet gesurft ist. Entsprechend ist der Zugriff auf diese Logs sehr genau zu regeln. In der Schweiz ist ein Arbeitnehmender hier gesetzlich sehr gut abgesichert und das muss der Arbeitgeber zwingend einhalten, sonst macht er sich auch strafbar.
  3. Durchsetzen von Vorgaben
    Mit einem Proxy habe ich die Möglichkeit, den Zugriff aller Mitarbeitenden auf das Internet in der von mir gewünschten oder rechtlich notwendigen Form zu begrenzen.
    Pizza-Analogie: Wenn in meinem Haushalt keine Sardelle über die Türschwelle kommt, dann kann ich das so einfacher durchsetzen. Keine Angst, ich liebe Sardellen. :-)
    Beispiele:
    1. Webseiten mit strafbaren Inhalten (harte Pornographie, Extremismus und Gewalt) können blockiert werden
    2. Webseiten, welche nicht geschäftlichem Nutzen dienen, können gesperrt werden. Vielleicht möchte eine Firma nicht, dass die Mitarbeitenden auf Casino-Seiten ihre Zeit vertrödeln, sich auf Schnäppchenjagd begeben oder sich (legale) nackte Tatsachen zu Gemüt führen.
      Über diese Funktion wird sehr häufig gestritten:
      • Wer über Ziele geführt wird und/oder eine Vorgesetzte hat, welche genügend aufmerksam ist, sollte ja auffallen, wenn Zeit vertrödelt wird.
      • Manchmal sind solche Zugriffe trotzdem geschäftlich notwendig. Ev. muss die Marketing-Abteilung prüfen, ob ihre Werbung auf solchen Seiten richtig aussieht. Entsprechende Ausnahmeprozesse sind organisatorisch und manchmal auch technisch aufwändig.
  4. Schutzmassnahmen
    Ein entsprechend ausgerüsteter Proxy kann den Verkehr überprüfen und unerwünschte Elemente entfernen oder blockieren.
    Pizza-Analogie: Ich kann kontrollieren, dass keine Pizzen vergammelt sind oder noch eine Messerspitze darin steckt.
    In der Computerwelt kann ich Viren erkennen. Illegale Antworten, welche versuchen, den Browser zu manipulieren, entfernen. Oder auch Webseiten, welche in Kategorien für Malware oder Phishing aufgeführt sind, blockieren.

Also gibt es als Firma ab einer gewissen Grösse gute Gründe oder gar Verpflichtungen, einen Proxy einzusetzen.

Proxy und SSL

Kommen wir zum Hauptgrund dieses (leider) länglichen Artikels. Wenn ein Proxy stellvertretend die Anfrage für einen Client ausführt, dann läuft das dem Prinzip von SSL – vollständige Verschlüsselelung von einem zum anderen Ende – zuwider. Eigentlich kann ein Proxy so eine Verbindung gar nicht direkt entgegennehmen. Eigentlich…

Denn es gibt einen Kunstgriff, die SSL-Interception, gerne auch (verharmlosend) SSL-Inspection genannt.

en: to intercept someone/something
de: jemanden abfangen, abhören, unterbrechen

Dieser Wikipedia-Artikel erklärt das hybride Verschlüsselungsverfahren, welches bei SSL/TLS zum Einsatz kommt.

Der Server präsentiert dem Client mit der Webseite ein Zertifikat. Der Browser des Clients überprüft, ob das Zertifikat mit dem Namen der abgerufen Webseite übereinstimmt und ob es:

  • gültig ist (Datum von und Datum bis
  • nicht zurückgerufen wurde (ungültig erklärt, sogenannte Revocation in einer CRL)
  • vertrauenswürdig ist (von einer bekannten/gültigen Firma ausgestellt etc).

Dieses Zertifikat kann man als Benutzer überprüfen. Das Symbol bei der ULR im Browser zeigt üblicherweise ein Schlösschen an, wird teilweise auch grün dargestellt. Die Anzeige des Zertifikats ist bei den heutigen Browsern teilweise (unverständlicherweise!) schwieriger geworden.

Beispiel Anzeige Entwicklermodus Chrome/Mac mit SBB Webseite

Das obige Beispiel zeigt den Browser «Chrome» (auf Mac OS X), wo man unter «Anzeigen» – «Entwickler» – «Entwicklertools» mehr Informationen über die Webseite abrufen kann. Hier ist auch ein Link auf die Anzeige des Zertifikats vorhanden. 

SSL-Zertifikat der SBB-Webseite, abgerufen am 06.08.2017

Das Bild zeigt das Zertifikat der SBB-Webseite, abgerufen am 6. August 2017. 

Wie funktioniert denn nun die «Interception»?

In der Regel wird ein Proxy solcherart verschlüsselte Webseiten registrieren (siehe oben unter Nachvollziehbarkeit) und den Verkehr an sich beidseitig unverändert weiterleiten. Ist die Interception eingeschaltet, passiert folgendes:

  • Der Proxy verhandelt mit dem Client die Verschlüsselungsparameter, als wäre er das Zielsystem. Dazu präsentiert er dem Client ein Zertifikat, in welchem er behauptet, das Zielsystem zu sein.
  • Der Proxy kann nun die Details der Anfrage erkennen, da er die Anfrage ja entschlüsseln kann.
  • Der Proxy ruft dann die Webseite des Zielsystems auf und behauptet, der Client zu sein. In der Regel wird er die selben Parameter wie der Client verwenden, um die Verbindung aufzubauen.
  • Das Zielsystem beantwortet die Anfrage, da es annehmen muss, mit einem Client zu sprechen.
  • Der Proxy kann die Antwort nun entschlüsseln und überprüfen, da er ja die Verbindungsparameter kennt.
  • Der Proxy verschlüsselt die Antwort wieder und präsentiert sie dem anfragenden Client.

Der Proxy ist also sozusagen ein «Man in the middle». Siehe auch diesen Wikipedia-Artikel zum gleichnamigen Angriff.

Lässt sich das System so einfach austricksen?

Öhm, einigermassen… Eigentlich darf kein Server ein Zertifikat für eine «fremde» Webseite präsentieren und der Browser merkt, wenn Name in der URL und im Zertifikat nicht übereinstimmen.

Die Herausgeber von Zertifikaten sind peinlichst darauf bedacht, dass keine falschen Zertifikate herausgegeben werden und fehlerhafte Herausgeber müssen mit scharfen Sanktionen rechnen. Musste ich beim Verfahren startssl.com versus Chrome und Firefox selber erleben.

Beispiel einer Zertifikatswarnung

Nun muss also der Hersteller des Proxy zusammen mit den Engineers der Firma, die ihn einsetzt, den Client bzw. den Browser so konfigurieren, dass er sich «übertölpeln» lässt.  Dazu wird ihm meist ein Generalvertrauen in das Zertifikat, welches der Proxy präsentiert, eingeimpft. Selbstverständlich kann ein Benutzer, der ein (mehr oder weniger) gesundes Misstrauen hat, das Zertifikat angucken und merkt, dass da wer in der Mitte ist.

Aber warum soll ich denn überhaupt Interception einschalten?

Endlich, auf der Zielgerade dieses Artikels! 😅

Es gibt da zwei Herzen, ach, in meiner Brust! :-)

Wer mich kennt, weiss, was ich von Interception halte.

Gründe Pro:

  1. Abwehr von Schadsoftware
    Ich kann erkennen, ob jemand Schadsoftware über eine verschlüsselte Verbindung überträgt. 
    Beispiel: Der Mitarbeiter ruft seine private Mailbox bei GMX über SSL ab und lädt die Rechnung der Swisscom über 1'234 Franken auf den Firmen-PC hinunter. Die Rechnung ist natürlich nicht echt und auch nicht von Swisscom, sondern ein trojanisches Pferd mit Ransomware, welches sofort nach dem Öffnen fleissig mit dem Verschlüsseln aller durch diesen Benutzer erreichbaren Fileserverablagen beginnt.
  2. Filterung von Funktionen
    Wenn ich eine Verbindung öffne, kann ich gewisse Funktionen einer Seite erlauben oder blockieren.
    Beispiel: Meine Firmenpolicy erlaubt mir nicht, Dokumente auf Dropbox hochzuladen. Aber der Download soll erlaubt sein. Oder ich darf alles hochladen, ausser es enthält gewisse klassifizierte Informationen.
    Ohne Interception kann ich nur alles oder nichts erlauben.
  3. Nachvollziehbarkeit beim Nachladen von Seiten
    Gewisse Webseiten laden Informationen von anderen Seiten nach. Passiert das serverseitig, so erfahre ich ohne Interception nichts davon.

Gründe Contra:

  1. Gesetzliche oder vertragliche Vorgaben
    Gewisse Verbindungen darf ich nicht untersuchen. So ist zum Beispiel ein Meldeportal für Compliance-Verstösse (Whistleblowser-Meldestelle) absolut vertraulich zu behandeln. Verbindungen zu Ärzten oder Rechtsanwälten geniessen auch besonderen Schutz. Eine Bank kann zum Beispiel in den Nutzungsbedingungen verlangen, dass keine Interception verwendet wird.
    Das führt dazu, dass in der Regel eine Ausnahmeliste gepflegt wird.
  2. Sicherheitsüberlegungen
    Der Proxy ist ein «Man In The Middle». Wird er kompromittiert oder ist er fehlerhaft konfiguriert, leidet die Sicherheit aller Verbindungen.
  3. Performance
    Die Ent- und erneute Verschlüsselung ist einigermassen aufwändig. Die meisten Systeme verfügen heutzutage über spezielle Prozessoren oder ASIC, welche das aber recht gut abwickeln können. Das führt dann aber zum nächsten Thema, den:
  4. Kosten
    Die Pflege von Ausnahmen verursacht Aufwände. Ebenso das Engineering, damit sich die Systeme überhaupt auf eine Interception einlassen. Zudem lassen sich die meisten Hersteller von kommerziellen Proxy-Systemen die Interception extra bezahlen.

Man kann jetzt aber für alle Pro- und Contra-Gründe weitere Argumente finden:

  • Ein guter Schutz gegen Malware kann (und soll!) auch durch einen aktuellen Virenschutz auf dem Client und eine vernünftige Schulung der Mitarbeitenden (Awareness) erreicht werden.
  • Eine gute und sichere Konfiguration einer Interception bzw. des ganzen Proxy gehört bei einem renommierten Hersteller und einer fähigen Firma zum A und O!
  • Tatsache bleibt, dass mit der immer einfacheren Verfügbarkeit von SSL der Anteil von solcherart geschützen Seiten stark zunimmt.
  • Mit der Folge, dass neben den Firmen auch andere Leute und Organisationen immenses Interesse haben, dass dieser Schutz knackbar ist oder wird. Und wir wissen leider nur zu gut aus bekannten Vorfällen, dass solche Lücken nicht nur von den (vermeintlich) Guten ausgenützt werden. Somit dürfte die Interception ein bevorzugtes Ziel von Angreifern werden.

Anmerkung:
Der Artikel wurde sehr lange und ich bin wohl nicht mehr in der Lage, alle Tippfehler oder nicht grad offensichtliche Inkonistenzen jetzt herauszufinden. Melde mir doch einfach solche per Mail an «info@urs-mueller.ch». Ich werde den Artikel dann anpassen. 

Wie ist Deine Meinung? Du kannst gerne hier mitdiskutieren, auch wenn die Kommentarfunktion eher bescheiden ist (Threading, Mentions etc.).

*) Anmerkung vom 07.08.2017, 8:20

Die Anforderung der Nachvollziehbarkeit betrifft nicht alle Firmen in der CH, da normalerweise ein Provider für die Umsetzung des BÜPF/VÜPF zuständig ist. In meinem Fall sind wir das selber. Danke für die Hinweise dazu.

Urs | Sonntag 06 August 2017 - 12:27 pm | | default | Zwei Kommentare
Stichwörter: , ,

Kindheitserinnerungen - Ferien auf der Tannalp

Auf meinem MacBook Air nutze ich hin und wieder noch das Dashboard. Dort habe ich seit Jahren einen Web-Clip, der mir ein aktuelles Bild der Web-Cam der Camera Alpina von der Melchsee-Frutt zeigt.

Warum? Kindheitserinnerungen…

Mein Vater arbeitete als Dreher im damaligen EIR, heute PSI und brachte die fünfköpfige Familie mit seinem damaligen Lohn gerade so über die Runden. Unsere ersten Ferien verbrachten wir 1969 in Beatenberg. Ein «traumatisches» Ereignis, da wir dort unter anderem bei der Bäuerin im Garten mithelfen mussten. Schnecken ablesen und im Bier ertränken! Unser Fazit: «Gäll Mami, gäll Papi, wir gehen nie mehr in die Ferien!?».

Aber es kam anders… 1970 war ein verlängertes Wanderwochenende angesagt. Mit dem Zug aus dem Aargau nach Luzern, dann mit der Schmalspurbahn nach Engelberg und mit der Luftseilbahn bis Trüebsee.

Trüebsee, Sommer 1970

Von dort aus wanderten wir die rund 450 Höhenmeter bis zum Jochpass. Es war mitten im Sommer und mein Vater – mit einer ähnlichen Frisur, wie ich heute gesegnet – hatte keine Mütze dabei. Um einen Sonnenstich zu vermeiden, war dann ein befeuchtetes Taschentuch mit je einem «Chnopf» in jeder Ecke (zum beschweren) angesagt.

Unterwegs taten wir uns mit einer anderen Familie mit Kindern zusammen, welche das selbe Tagesziel anstrebten, die Tannalp. Aber das hiess nach Plan erst 350 Höhenmeter hinunter zum Engstlensee auf rund 1'850 Meter über Meer, diesem entlang bis zur Engstlenalp.

Während der kurzen Pause auf der Engstlenalp begannen Wolken aufzuziehen. Die Eltern drängten uns, auszutrinken und wir nahmen den Aufstieg zur auf knapp zweitausend Metern liegenden Tannalp unter die Wanderschuhe. Der Wanderweg schlängelt sich teilweise den Felsen entlang und als wir noch rund hundert Höhenmeter von der Tannalp entfernt waren, begann es aus den dunklen Wolken auch noch zu Grollen. Die Eltern mussten uns Kinder von fünf bis zwölf Jahren nicht mehr gross antreiben, denn das Wetter war genug «gfürchig».

Als wir um die letzte Ecke bogen und schon die erste Alphütte sahen, war es dann soweit. Erste fette Regentropfen klatschen uns ins Gesicht.  Der Regenschutz nützte nicht viel (taugte damals auch nicht viel) und so rannten wir die letzten paar Meter bis zur Anhöhe und dann die rund dreihundert Meter zum alten Berggasthaus.

Als wir dort ankamen, waren wir alle längst klitschnass und schlotterten, da es schnell abgekühlt hatte. Grosse Augen dann bei den Eltern, als wir erfuhren, dass alle Betten ausgebucht seien. Was nun? Weiter zur Melchsee-Frutt hätte nochmals rund eine Stunde Wanderung bedeutet, wir waren alle müde von der Anstrengung und es begann einzudunkeln. Der Patron des Berggasthauses meinte dann jedoch, die Käserei, an welcher wir eben vorbeigerannt waren, hätte ein Massenlager, wo wir vermutlich noch Platz fänden. 

Die alte Käserei auf der Tannalp im Jahr 2008

Also ging es die paar Meter zurück zur grossen Alphütte mit dem Schweinestall. Dort sahen wir Licht hinter den Fenstern und klopften an die Türe. Es war eine jener Türen, welche aus einem unteren und einem oberen Holztor mit Schnappschloss/-riegel bestanden. Es dauerte eine Minute und dann schwang die obere Türhälfte auf .Die Sennerin guckte uns nassen Vögel neugierig an. Wir erklärten unseren Wunsch und sie antwortete in einem für unsere Ohren sehr fremdartigen Singsang, dem Obwaldner Dialekt.

Wir traten in die warme, dunkle Hütte und warfen scheue Blicke auf die am Tisch versammelten Sennen und den Käser, das grosse Kupfer-Chessi im Hintergrund und den grossen Ofen. Dann führte uns Therese die sehr steile Treppe hoch in die Stube im ersten Stock und nochmals eine steilere Treppe zum Raum unter dem Dach, wo das Massen-/Matrazenlager war. Es hatte rund 15-20 Liegeplätze, von denen nicht viele belegt waren.

1975 in der Küche der alten Käserei auf der Tannalp

Ob wir uns etwas Essen ausleihen konnten oder noch die Resten aus dem Rucksack verputzten, weiss ich nicht mehr. Die Nacht war eher unruhig, da wir es uns nicht gewohnt waren. Am nächsten Morgen waren die Sachen natürlich noch nicht trocken und unsere Eltern beschlossen spontan, dass wir einen weiteren Tag hier einlegen würden.

So hatten wir die Gelegenheit, in der Frutt vorne einzukaufen und uns dann am Holzofen das Essen zu kochen. Wir erfuhren auch, dass es im ersten Stock auch verschiedene Zimmer (Einzel-, Vierer- und Doppel-Vierer) gäbe. Sonst war die Alphütte sehr einfach eingerichtet.

Die Toilette im ersten Stock ging direkt in die Güllengrube hinunter. Spülen musste man mit einem grossen Wassereimer, den man auf dem Hof am Brunnen unten wieder auffüllen konnte. Scharfer Ammoniakgeruch schlug einem entgegen. War man genug gross, war die Aussicht aus dem kleinen Fensterchen aber je nach Wetter und Tageszeit grandios, denn man blickte direkt auf den Graustock, rechts konnte man auch ein Eckchen des Titlis erspähen.

Blick von der Tannalp auf den Graustock

Da es nur in der Küche/Käserei im Erdgeschoss fliessendes Wasser hatte, hiess das natürlich auch, dass man sich am Brunnen draussen im Hof die Zähne putzte oder sich wusch. Ich glaube, ich muss nicht erwähnen, dass frisches Bergquellwasser seeeeeeehr kalt ist!

Blick von der Tannalp in Richtung Innertkirchen im Jahr 1970

Für uns Kinder waren die paar Tage auf der Tannalp ein kleines Paradies. Frische Bergluft, das Geläut der Kuhglocken, den Sennen beim Melken zuschauen. Aber auch die Einlieferung der Milch beobachten und die Verarbeitung zu den riesigen Laibern mit Sbrinz zu sehen. Frische Bergkäsli geniessen, die erste Buttermilch trinken und natürlich auch die gute Alpbutter aufs Brot zu streichen. Draussen die Bächlein stauen oder schöne Enziane und Alpenrosen bestaunen. Aber halt auch mal in einen Kuhfladen treten. Und natürlich auch Geisslein streicheln.

1970 auf der Tannalp, Geisslein streicheln

Leider ist das Bild hoffnungslos überbelichtet und unscharf, aber mehr gab der Schnappschuss aus Vaters damals schon nicht mehr neuen 35mm Kamera via Dia und Scanner nicht her.

Ich konnte es natürlich nicht unterlassen, am Tannensee jeweils beim Ufer und den zuführenden Bächen zu versuchen, Elritzen von Hand zu fangen.

1970, Blick über den Tannalpsee zur Melchsee-Frutt

Nach dem verlängerten Wochenende war die Rückreise via Melchsee-Frutt - Seilbahn Stöckalp - Postauto Sarnen und mit dem Zug via Luzern und Zürich zurück in den Aargau angesagt. Man roch es, wenn man zurück in die Agglo kam, die Luftqualität war damals noch deutlich schlechter.

Uns gefielen diese Ferien so gut, dass wir danach während rund sieben Jahren jährllich für zwei bis drei Wochen im Sommer wieder zurück kamen. Wir hatten jeweils ein Doppel-Viererzimer. Die Eltern schliefen im vorderen Zimmer, wo wir auch die Rucksäcke und die Esswaren lagerten. Im hinteren Zimmer hatten wir Kinder unser Reich. Und jeden Morgen erwachten wir, wenn der Käser die schweren Sbrinz-Laiber krachend wendete, so dass die halbe Hütte erzitterte. Mit der Zeit entwickelte meine Mutter eine gute Freundschaft zur Sennerin, so dass man sich auch sonst mal anrief.

Es war jeweils eine schöne Zeit und es gäbe noch manche Anekdote zu erzählen. Aber vielleicht ein anderes mal…

Urs | Samstag 05 August 2017 - 09:20 am | | default | Kein Kommentar
Stichwörter: , ,