Ein weiterer Anwendungsfall für die KI aka. Microsoft #Copilot ist die Erkennung von Bildinhalten. Mit Speisen funktioniert das zwar in den meisten Fällen nicht (obwohl Zanderfilet an der Hautmaserung leicht zu identifizieren ist und auch Garnelen leicht erkennbar sind), versuchen wir es mal mit aktuellen Automodellen.
Ich habe in Showroom das neue CLE-Coupe (von vorne und hinten) und einen Maybach fotografiert, die Bilder in der Microsoft Copilot Seitenleiste hochgeladen und gefragt, um welches Auto es sich handelt…
Nach einem EPIC Fail – Der CLE von vorne wird als Porsche Cayenne SUV erkannt, ist die Erkennung von hinten besser trainiert (obwohl das Coupe von hinten Ähnlichkeit mit dem 911er hat). Den Maybach kennt Sydney (aka. Copilot:ininende) dann auch direkt von vorn:
Das soll Sie aber nicht davon abhalten, die Bildidentifizierung auch mal auszuprobieren. Gerade im technischen Großhandel eine Artikelbeschreibung anhand eines Fotos zu bekommen oder im Gartenmarkt kann es auch ohne die PlantNet App und deren Community hilfreich sein, Pflanzen zu identifizieren.
Microsoft Copilot im Enterprise Plan
Remote-Unterstützung Open-Source
Software für Remote-Unterstützung gibt es wie Sand am Meer. Beispiele dafür sind Teamviewer, PC-Visit und Anydesk. Alle haben jedoch gemeinsam, dass sie nur im monatlichen Abo ab rund 10 € pro Endgerät erhältlich sind. Nach oben hin ist der Preis teilweise exorbitant.
Während Ultra-VNC nur im LAN funktioniert, da die „Tunnel durch das Internet“ Funktion kompliziert zu konfigurieren ist, funktionieren die Bezahl-Programme von Endpunkt zu Endpunkt getunnelt – auch durch Firewalls hindurch – da außen herum der normale SSL Port 443 benutzt wird.
Zudem hat Microsoft angekündigt, seine in Windows 10+ integrierte Remotehilfe Funktion nur noch als Store App und für Windows 11+ weiterzuentwickeln. Bereits jetzt ist die Funktion bei Windows 10 deaktiviert.
Eine Alternative, die die Ende-Zu-Ende-Verschlüsselung unterstützt, Remotesteuerung (inkl. unattended Login, bei dem der Bediener nicht am Gerät sein muss) ist HopToDesk – derzeit Open-Source. Die Nutzung ist sowohl geschäftlich, als auch prvat erlaubt. Ob noch Bezahlmodelle dazu kommen, ist offen, man schreibt aber, dass die Basisfunktionen immer kostenlos sein werden.
Gut dabei ist: Wie beim Teamviewer Client muss man hier weder Client, noch Host installieren (kann es aber). Beide Seiten starten das Programm (mehrere Instanzen sind auf der Fernwarterseite gleichzeitig möglich) und der Kunde teilt dem Supporter seine angezeite ID (9 stellige Zahl) mit. Mit dieser verbindet sich der Supporter und Beide sehen, was auf dem Bildschirm des Kunden passiert.
Mit integriert sind ein Chat und eine Dateitransferfunktion.
Solange die Funktionalität nicht zugunsten eines Freemium Modells eingeschränkt ist, spricht wegen Open-Source erstmal nichts gegen den Einsatz der Software. Die Entwickler haben zwar den Firmensitz in den USA, eine Ende-Zu-Ende-Verschlüsselung durfte aber nicht einfach über den Verbindungsserver (man in the middle) „mitzuhören“ sein – auch nicht über den Patriot Act. Zumindest ist der Server ja aus der Verbindung raus, sobald die beiden Endpunkte verbunden sind. Somit fließen Daten Peer-to-Peer.
Bisher war #PSR (aka. Problem Step Recorder oder Schrittaufzeichnung) ein integriertes Werkzeug zum automatisierten Aufzeichnen von Klick-Aktionen am Bildschirm. Diese Bildschirmaufzeichnung enthält dann nur die Bilder, die Veränderungen durch Mausklicks/Benutzeraktionen abbilden.
Das Ausgabeformat ist .MHT (Multimedia HTML), eine im E-Mail MIME Format kodierte Webseite mit Bildern. In der Webseite stehen Beschreibungen, wo und wie geklickt wurde, in den Bildern sind die Veränderungen farblich (grün) gekennzeichnet. Am Ende wird die MHT Datei als ZIP-Archiv abgespeichert.
Da nur der Internet-Explorer das MHT-Format mit den integrierten Bildern darstellt und alle anderen Browser das nicht können, hatte ich das kostenlose, portable Werkzeug „MHT2HTM“ entdeckt. Es wandelt die MHT Datei in einen Ordner mit Webseite (main.htm, main.css) und apsgepackten JPG Bildern um.
#Endoflife – leider hat sich Microsoft entschieden, den PSR aus neu installierten Betriebssystemen zu entfernen. Bereits jetzt ist er unter die „Optionalen Features“ abgewandert und man kann ihn via Powershell oder das Immersive Control Panel deinstallieren.
Alternativen zum PSR
IMAGO 1.2 Step Recorder ist eine vergleichbare Alternative, die deutlich weniger kann und seit Jahrzehnten nicht weiterentwickelt wird. Nicht zu empfehlen.
ShareX ist in der Lage, Bildschirm-Aktionen in Echtzeit als .MP4 Video, auch mit Tonspur aufzuzeichnen. Man hat also mit einem Open-Source Tool, das auch Bildschirm-Fotos halbautomatisiert (ohne das man einen Dateinamen vergeben und von Hand abspeichern muss) erstellen kann, schon ein besseres Werkzeug als die „Ausschneiden und Skizzieren App“ zur Hand (die App kann bei Windows 11 auch Videos erstellen, diese aber nicht automatisch speichern.
ScreenToGif (Empfehlung der Redaktion) ist aus unserer Sicht der beste Ersatz für den PSR, ist eine kostenlose, auf Wunsch auf portable Anwendung, die sowohl jeweils ein Bild pro Benutzer-Aktion erstellen kann, als auch eine animierte GIF-Datei oder ein MP4-Video. Ebenso können die Frames des erstellten Video bearbeitet werden oder als Einzelbilder in einen Ordner gespeichert werden.
Tipp: Einstellung für Bilderstellung bei Benutzer-Interaktion
ScreenToGif (portable) aufrufen, Recorder
Einstellung: „pro Sekunde“ über das Lookup auf „Benutzerinteraktion“ stellen
Alle Bildschirmfenster auf dem Desktop minimieren und F7 drücken (mit F8 beendet man später die Aufnahme)
Der Editor öffnet sich, über Datei / speichern unter die Speichereinstellungen von „Animierter GIF“ auf „JPEG“ stellen, im Teilexport auf Ausdruck, beim Speicherort z.B. einen Ordner „Anleitung“ unter c:\temp anlegen und diesen Ort angeben
„Speichern“ drücken (unten)
Prüfung Workshop Copilot
Sie möchten Ihr Wissen zum Microsoft Copilot, Nutzen und Risiken vertiefen? Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
Workshop Copilot und andere KI
#KI Werkzeuge wie Microsoft #Copilot, Google #Gemini und #ChatGPT können Mitarbeitende produktiv bei ihrer täglichen Arbeit unterstützen. In dieser #Schulung bzw. diesem Workshop erlernen Sie die Voraussetzungen und erarbeiten an Beispielen den Nutzer der KI im geschäftlichen Alltag (siehe auch die Artikel im Blog dazu).
Seminarinhalte (Auswahl)
* Wissenstransfer: Vergleich der Anbieter und Verfahren im Überblick. * Prüfen der Voraussetzungen / Lizenzen zur Nutzung. * Vorbereiten der Werkzeuge / Anmeldung im Browser mit dem Geschäftskonto. * Microsoft 365 Copilot Chats im Rahmen der M365 Pläne. * Nutzung des Microsoft Designer mit dem Arbeitskonto nutzen. * Beispiele mit Google Gemini und Imagen, sowie ChatGPT (free). * Programmieren lassen: PHP-Skripte mit ChatGPT. * Musik-KI. Soundclips und Audio-Untermalung von Text und Bild. * Video-KI: Vorträge/Trailer mit KI erstellen. * Hinweise (keine Rechtsberatung) zu Gefahren und Risiken. * Was vermieden werden sollte -Praxisbeispiele- im Rahmen der KI. * Kombination von KI-Diensten für bessere Ergebnisse. * Praxis-Übungen anhand ausgewählter Beispiele.
Zielgruppe | Max. Tln
Systemkoordinatoren, Entscheider | 4
Voraussetzungen
Sysko Basis Qualifikation, Microsoft 365 Pläne vorhanden
Zeitrahmen
Dauer : ca. 6h, 09:00 bis 15:00 Uhr. Frühstückspause: 10:30-10:40, Mittagspause von 12:30-13:00, Kaffeepause: 14:00-14:10.
Remoteschulung (Schulung oder Workshop via Fernwartung) Fernwartung via Managed vpn betriebsbereit Administrativer Zugriff auf die Server und PCs Zugangsdaten zu den Microsoft Online-Portalen
Preisinformation
1.100 € zzgl. MwSt Festpreis unabhängig von der Teilnehmerzahl, der Leistungen wie Vorbereitung, Unterlagen, Prüfung enthält.
Onsite-Zuschlag (Durchführung vor Ort)
Dieser Workshop wird nicht Onsite angeboten
Mustervorlage: VB-0xxxxx
Microsoft Copilot und Datenschutz
Während die kostenlosen Zugriffe auf Microsoft BING Chat (a.k. ChatGPT 4) und den mit Windows 10 und 11 verteilten #Copilot Chatprompt, sowie die direkten oder indirekten Zugriffe auf Bing Image Creator (aka. Dall-E 3.0) alle eingegebenen Informationen öffentlich im Internet speichern und auch ausgewählte generative Bilder veröffentlichen, gibt es im Rahmen ausgewählter Microsoft 365 Pläne seit Dezember 2023 die Variante „Bing Chat Enterprise“, sowie das daraus aufgerufene Datenmodell „Bing Image Creator Enterprise“.
Basis für die Anmeldung ist dabei die EntraID (ehemals Azure Active Directory Anmeldung). Man meldet sich also (hierfür ist derzeit noch der Edge-Browser erforderlich, der aber nicht Standardbrowser sein muss) mit seinem Arbeitskonto im Edge Browser an und ruft bing.com auf. Hat man nun einen unterstützten Microsoft 365 Plan, ist man in einem Bing Chat Enterprise (Copilot) unterwegs, der die Prompts zwar zum Training benutzt, nicht aber der Person zuordnen kann und auch erstellte generative Bilder nicht im Internet speichert.
Welche Pläne erlauben Bing Chat Enterprise?
Microsoft Copilot (früher Bing Chat Enterprise) fügt kommerziellen Datenschutz für berechtigte Benutzer hinzu, die mit Geschäfts-, Schul- oder Unikonten (Entra ID) angemeldet sind. Derzeit ist kommerzieller Datenschutz in Copilot für Benutzer mit einer berechtigten Microsoft 365-Lizenz verfügbar:
Microsoft 365 E3
Microsoft 365 E5
Microsoft 365 F3
Microsoft 365 Business Standard
Microsoft 365 Business Premium
https://learn.microsoft.com/de-de/copilot/manage
Der grün markierte Plan ist derzeit der mit dem besten Preis/Leistungsverhältnis, da er im Cloud-Einsatz die benötigten Einzelpakete zu einem günstigeren monatlichen Gesamtpaket vereinigt.
es werden keine Prompts und Ausgabe-Daten dauerhaft gespeichert
Anfragen und Ergebnisse stehen nur dem User zur Verfügung
Bilder werden nicht in öffentlichen Galerien veröffentlicht, sondern stehen nur während der Browser-Sitzung dem User zum Download bereit
im meistgenutzten Microsoft 365 Plan ist die Nutzung inbegriffen
Nachteile: 1
Wer keine Microsoft 365 Pläne oben aus der Liste nutzt, geht leer aus und sollte die KI nicht geschäftlich nutzen
Fazit und Workshop
#Erfreulich – wenn Sie bereits die Microsoft 365 Business Premium Pläne im Unternehmen einsetzen, können Sie die verbesserten Datenschutzfunktionen des Copilot Enterprise nutzen.
Angebot: Wir bieten Ihnen einen Individual-Workshop an, um gemeinsam mit Ihnen die Voraussetzungen und neuen Möglichkeiten der datenschutzkonformen Nutzung der KI anhand ausgewählter Beispiele zu verdeutlichen und die Gefahren aufzuzeigen.
Wenden Sie sich an die Redaktion über das Schulungs-Anmelde-Formular oder kontaktieren Sie uns über die gewohnten Wege.
Google Smartphone – Ärger mit dem Dativ
Aktuell bewirbt Google sein neues Smartphone. Neu ist eine KI Funktion „best take“ – „Beste Aufnahme“. In der Werbung wird das Feature vorgestellt. Leider scheitern die Übersetzer kläglich an der Grammatik – oder an der Rechtschreibung – wie man’s sieht.
Gemäß dem Motto „Genitiv ins Wasser – Dativ“ erscheint im Spot ein Abbildung des Telefons mit der Unterschrift:
Google Pixel Pro – mit Beste Aufnahme
Aus „with best take“ wird einfach „mit Beste Aufnahme“. Wenn man schon englische Bezeichnungen übersetzt, dann bitteschön in „Anführungszeichen“ zusammenfassen. Dann doch lieber denglisch lassen!
Vermutlich bekommt man das Smartphone während der black week „zu das beste Preis“, in Kleinanzeigen auch bekannt als Festpreis „VB“ – „Veste Breis“ – nicht etwa „Verhandlungsbasis“, wie mancher Zeitgenosse meint.
KI: Was macht eigentlich?
Neben der Bildgenerierung eignet sich die #KI (aka. BingChat Enterprise) am Besten für Formulierungen. So wollte ich schon immer wissen, was ich arbeite. Der Prompt „Patrick Bärenfänger von der GWS bei der Arbeit“ liefert das folgende Ergebnis:
Patrick Bärenfänger ist ein IT-Security Manager und -Auditor bei der GWS, einem Unternehmen, das IT-Lösungen für den Mittelstand anbietet. Er ist seit über 32 Jahren in der IT-Branche tätig und hat sich auf die Ausbildung und Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen spezialisiert1. Er ist auch ein Autor von Tech-Nachrichten, einem Blog, in dem er über verschiedene Themen rund um die IT-Sicherheit, Softwareversionen und Veranstaltungen berichtet1.
Bei der Arbeit ist Patrick Bärenfänger verantwortlich für Schulungen für Systemkoordinatoren, in denen er ihnen professionelle Methoden, Werkzeuge und Voraussetzungen vermittelt, um die IT-Sicherheitsaufgaben ortsunabhängig oder delegiert durchführen zu können. Er ist auch an verschiedenen Projekten beteiligt, wie zum Beispiel dem IT Sicherheitstag des Arbeitskreises für IT Management des ZGV Mittelstandverbunds, der im Juni 2022 bei der GWS in Münster stattfand. Dort gab er einen Einblick in die Rolle der Systemkoordinierenden in Zentralen und auf Mitgliederseite und wie sie zur Reduzierung von Schadenereignissen beitragen können3.
Patrick Bärenfänger ist ein Experte in seinem Fachgebiet und ein wertvoller Mitarbeiter bei der GWS. Er ist immer auf dem neuesten Stand der IT-Sicherheitslage und teilt sein Wissen gerne mit anderen. Er ist auch ein begeisterter Blogger, der seine Leser über die neuesten Entwicklungen und Trends in der IT-Welt informiert.
Bing Chat Enterprise mit EU-DSGVO Datenkonformität
Bing Chat erstellt ein Bild dazu: Aha, ich fange keine Bären, sondern bin ein Bär, der was fängt 😮 Dazu benutzt er eine Angel-Büchse von Steyr-Mannlicher.
ImageGlass Viewer 9 verschlimmbessert
Bis Version 8.x (Kobe) ist ImageGlass Viewer immer noch mein Favorit. V8 lässt sich auch ECHT portabel ohne Zusatzkomponenten einsetzen.
Mit dem heute veröffentlichten #ImageGlass Viewer 9 gibt es zwar einen „portable“ Download, den man auf einen USB-Stick kopieren und ausführen kann, es müssen auf dem Zielsystem aber zunächst sowohl die .net Desktop Runtime mit 200 MB und drei Diensten, die im Hintergrund laufen, auch wenn keine andere Software sie nutzt installiert werden. Außerdem zusätzlich (rund 700 MB) die Edge Webview2 Runtime, die auch gleich den unerwünschten Browser „Microsoft Edge“ bei Windows 10 mit installiert und ca. 6 geplante Tasks mehrfach täglich im Hintergrund laufen lässt.
Zudem wurden nützliche Features und Einstellungen aus der Software entfernt – wie der integrierte EXIF-Viewer oder der Scrollbar in der Dialeiste. Dieses Feature muss nun als zusätzliche App installiert werden. Müllt das System alles nur zu!
Mit dem Update im Dezember 2024 wird Microsoft eine EU-Gesetzgebung umsetzen, nach deren Vorgabe sich der Edge bei Windows 10 und Windows 11 deinstallieren lassen muss. Derzeit kann man die Einstellungen als Insider in einer .json Datei setzen und die unerwünschte Bloatware wird entfernt.
Bei paint.net gibt es eine ECHTE „Portable“ Version, die .net und alle Bibliotheken enthält und auch nur 60 MB groß ist die ZIP. Sie funktioniert auf jedem sauberen (vanilla) Windows 10 System!
Mal sehen, ob der Entwickler auf den „Feature Request“ in Github reagiert und auch so eine Version packt, die im User-Kontext läuft und keine Zusatzkomponenten installiert braucht!
Fazit: Bis zur Version 8.10.27.9 bleibt der ImageGlass Viewer die Empfehlung der Redaktion – als schlankes, speichersparendes Programm, dass sich auch ressourcenschonend auf AVD und Terminalservern einsetzen lässt.
Mit dem Dezember Update (oder wer es früher auf dem Rechner haben möchte mit dem optionalen Windows Update am 24.11.2023) verteilt Microsoft seinen Copilot nun auch an Windows 10 (22H2) Endgeräte. Die „Scharfschaltung“ der Funktionalität erfolgt dann zeitversetzt einige Wochen später. Je nach Microsoft 365 Abomodell lassen sich mit einem Geschäftskonto Funktionen der künstlichen Intelligenz abrufen. Microsoft spricht von einem Nachfolger des eingestellten „Cortana“ Assistenten. Auch mit einem Microsoft Konto stehen grundlegende Funktionen limitiert zur Verfügung. Aus Datenschutzgründen sollte der Copilot aber nur mit einem Geschäftskonto im Rahmen des Microsoft Tenants benutzt werden.
Da Windows 10 noch immer einen Marktanteil von über 78% hat und nicht zu erwarten ist, dass Firmen Millionen Tonnen von Elektronikschrott produzieren, weil sie funktionsfähige PCs, die drei bis fünf Jahre alt sind, verschrotten, rechnet sich die KI für eine Plattform Windows 11 mit mittlerweile geringerem Marktanteil (knapp 7% Pro/Enterprise, 18% Consumer-Versionen) als apple MAC-OS (rund 20%) vermutlich nicht.
#Witzig – Bei „Copilot“ muss ich als Erstes an eine Filmkomödie der Regisseure Abrahams/Zucker aus dem Jahre 1980 mit Leslie Nielsen denken: „Die unglaubliche Reise in einem verrückten Flugzeug„. Der beschriebene „Filmcharakter“ heißt zwar in der deutschen Fassung „Autopilot“, sitzt aber auf dem Sitz des Copiloten im Flugzeug. In der Szene verliert der Copilot Luft (wie Microsoft auf der Windows 11 Plattform). Legendäre Filmzitate vorher im Film „Mein Name ist Roger Murdock. Ich bin der Copilot“ und der Dialog zwischen Roger, Victor und Over „We have clearance, Clarence. Roger, Roger. What’s our vector, Victor?“
Wer diese Art von Humor mag, gebe bitte gern auf Google die Suchbegriffe „Copilot aufblasen“ oder „Roger Victor Vector over“ ein. Ein 2-Minuten Clip (den ich aus Copyrightgründen hier nicht verknüpfe) erläutert Details 🤣.
KI-Bild zum „Copilot“ erstellt mit Bing Image Creator unter Assistenz von Dall-E
Neue Outlook-App – noch nicht einsetzen
Microsoft zeigt in der Outlook Windows-Anwendung oben rechts einen Schieberegler „Neues Outlook“ an. Wir berichteten darüber, dass Sie eine Gruppenrichtlinie benötigen, um diese Meldung zu unterdrücken.
Mittlerweile ist die App keine Vorabversion „Preview“, sondern veröffentlicht. Im Prinzip handelt es sich um in eine Microsoft-Store App, die den als OWA (Browser-App von Microsoft 365 Outlook) bekannten Webdienst umhüllt.
Was spricht dagegen?
Update 22.11.2023: Inzwischen warnen auch einige Landesdatenschutzbehörden vor dem Einsatz der „neuen Outlook-App“. In ausführlichen Begründungen der Juristen heißt es, Microsoft erfülle die Vorgaben der DSGVO nicht hinreichend.
Die Funktionalität im Browser ist bei weitem noch nicht an der des installierbaren Programms angekommen. Mails können zwar damit empfangen, Termine und Kontakte bearbeitet oder erstellt werden.
Generell gilt aber: Gegenüber der Win32-Anwendung sind dazu mehr Mausklicks möglich, Tastenkombinationen fehlen oder funktionieren nicht. Ein Beispiel: Ein vorhandenen Termin bearbeiten. Bei Klick kommt zunächst nur eine Zusammenfassung des Termins, dann auf „Bearbeiten“, dann auf „erweitert“ klicken, um z. B. den Status „Abwesend“ oder das Flag „Privat“ zu setzen. Beim Programm kommt sofort der komplette Bearbeitungsmodus und im Ribbon Menü sind alle möglichen Einstellungen mit einem Mausklick zu tätigen.
Alle Schnittstellen (auch die für MDE-Geräte) fehlen, selbst die Teams-Integration funktioniert schlecht bis gar nicht – weil es ja kein Addon für die Outlook app gibt.
Es gibt keinen „Offline-Modus“, d.h. man braucht eine Internetverbindung, um die Mails/Kalender zu sehen.
Es lassen sich keine POP3 oder IMAP-Konten einrichten, lediglich die Anbindung von outlook.com und GMX soll möglich sein (das ist allerdings nur schlecht für kleinere Unternehmen, die Ihre Mails beim Provider abfragen). Kritisch dabei: Microsoft übermittelt eine große Menge Daten der App, es werden Zugangsdaten und E-Mails von Drittanbieter-Konten an Server, die nicht sicher im Schengen-Raum der EU stehen. Derzeit brennt eine heiße Diskussion mit deutschen Datenschützern darüber. Es ist mit Klagen zu rechnen.
Richtlinie, die den Microsoft Store sperrt ausrollen. Zur Geräteverwaltung kann Intune verwendet werden. Wenn man Apps aus dem Store für Geschäftseinsatz benötigt, können die Admins diese im Unternehmensportal hinterlegen und die Unternehmensportal-App verteilen.
Solange die Windows-Anwendung von Outlook noch in den Microsoft 365 Business Plänen enthalten ist, ist diese Anwendung zu empfehlen, da sie den besten Leistungsumfang und höchsten Bedienkomfort neben der Offline-Fähigkeit bietet.
Exchange Server On-Prem Risiko hoch
Wenn in Programmen Sicherheitslücken entdeckt werden, leisten viele Hersteller im Rahmen der Lebenszyklen von Software Sicherheitsupdates. Aber: Syskos bzw. Admins sind verpflichtet, diese zeitnah zu installieren. Sonst nehmen Versicherungen Kürzungen der Leistungen vor.
Aus Sicht der Geschäftsführenden oder Entscheider hat das potentielle Risiko eine höhere Bedeutung als die für den Einsatz der Software aufgewendeten Kosten. Schließlich müssen auch die administrativen Tätigkeiten bezahlt werden, da das Fachpersonal während des Patchens keine anderen Aufgaben wahrnehmen kann.
Durch Umstellung auf Exchange online verlagern Sie das operative Risiko auf die Microsoft Deutschland GmbH. Diese müssen erkannte Sicherheitslücken sofort schließen, im Schadenfall sind sie normalerweise regresspflichtig.
Microsoft hat derzeit Exchange Server 2019 (Nutzungsrechte per Kauf (mit oder ohne Wartung) auf der Produktliste. Dabei kostet der Server rund 1.000 € und pro Nutzer jeweils eine Zugriffslizenz von etwa 150 €. Hinzu kommen die Kosten für Einrichtung und die Wartungs- und Betriebskosten, sowie Hardware-Ressourcen (128++ GB RAM, 4 vCPUs, schnelle SSDs mit rund 1TB Speicher oder mehr).
#Wichtig – die Gefahr dabei: Wie aktuell (November 2023) sind vier #Sicherheitslücken mit unterschiedlichem Wirkungsgrad entdeckt worden. Eine davon wurde von Microsoft geschlossen, sie bleibt aber solange gefährlich, bis der Admin den Patch auf dem Exchange Server installiert hat.
Lösung: Lassen Sie zeitnah Ihren Microsoft #Exchange Server 201x, egal, ob er in Ihren Räumlichkeiten oder in einem Rechenzentrum (Housing) für Sie bereitgestellt wird, auf Exchange online umstellen.
Nebeneffekt. Alle derzeit verfügbaren Office 201X Versionen bekommen ab Herbst 2026 oder bereits ab Oktober 2025 keine Sicherheitsupdates mehr. Mit dem Microsoft 365 Business Premium Plan erhalten Sie neben dem vorgeschriebenen E-Mail-Archiv Viren- und Spamschutz für E-Mails, Virenschutz für das Endgerät, Exchange Online-Postfach, 1 TB Cloudspeicher (EU-Datenschutz-Grenze) pro (User-)Lizenz, alle Office-Anwendungen als installierbares Programm mit Remote-Nutzungsrechten für On-Prem und die Cloud, Sharepoint für gemeinsames Arbeiten an Dateien, die Teams-Lizenz.
Zusätzlich ist Microsoft EntraID Plan 1 enthalten, der es Ihnen ermöglicht, die bald erzwungene 2-Faktor-Authentifizierung (2FA) auch mit anderen Mitteln als der Authenticator-App auf einem Dienst-Handy durchzuführen. Details haben wir in einem separaten Artikel hier im Blog für Sie zusammengefasst.
Unsere von #ALMEX produzierten #MDE Geräte der TI/TX und TC601 Serien können dank einer eigens für diese Geräte entwickelten Software auch Offline betrieben werden. So erfordert beispielsweise die Inventur keine WLAN oder Mobilfunkverbindung zwischen Gerät und Server.
Mit der Dynamics 365 Business Central App (bzw. beim RTC bis BC140 mit dem Client in einer Terminal- oder Azure Virtual Desktop Sitzung) kann man die Geräte bei Verfügbarkeit einer WLAN Infrastruktur auch online betreiben – beispielsweise für den Wareneingang oder permanente Inventur.
Mischen impossible 😉
Mischen sollten Sie die beiden Betriebsarten auf demselben Gerät jedoch nicht. Also entweder die Dynamics 365 BC App oder den RTC-Client für online-Betrieb mit WLAN oder die Almex Android-App für den Offline Betrieb.
Technischer Hintergrund
sobald die Offline app einmal gestartet wird, die Scan-Buttons augenblicklich deaktiviert werden. Da hilft auch kein Neustart, der Haken muss dann wieder manuell gesetzt werden. Wenn der Kunde das weiß kann er gerne eine Offline Inventur planen, er muss dann nur halt selber die Einstellungen bei allen Geräten prüfen:
Die Offline app sollte auf Grund dieser Inkompatibilität deinstalliert, oder zumindest aus dem Kiosk Mode entfernt werden, damit sie nicht versehentlich gestartet wird auf einem online genutzten Gerät.
s.dok Archiv aktualisieren bis März 2024
Innerhalb definierter Support-Zeiten bringt auch d.velop, unser Partner für unsere s.dok Dokumenten-Management Lösung, Sicherheitsupdates für das Produkt heraus. Derzeit ist Version 8.1.0.x aktuell. Das „x“ steht dabei für den Patchlevel (beispielsweise: .41 oder .50).
Am 31. März 2024 werden keine Sicherheitsupdates mehr veröffentlicht – #endoflife. Für ältere Versionen als 8.1 von s.dok gilt das bereits jetzt.
Bitte finden Sie über „Systemsteuerung/Programme und Funktionen“ die Version Ihres s.dok Servers heraus und kontaktieren unsere Archiv-Fachspezialisten für ein mögliches Update oder Upgrade.
Gleichermaßen gilt: Wenn Sie noch die IBM DB2-Datenbank auf Ihrem s.dok Server im Einsatz haben (erkennbar am grünen Datenbanksymbol „DB2COPY“ in der Taskleiste links neben der Uhr), benötigen die neuen Versionen eine Microsoft SQL-Server 2016 oder 19 Standard Lizenz. Im Regelfall werden alte Server dazu neu installiert und die Dokumente/Daten vom alten s.dok Server auf den Neuen migriert.
Veröffentlichung zum Supportende von d.velop
Office und M365 auf RDS-Server
Heute geht es um Best Practice #Lizenz Einsatz auf Terminalservern. Während beim Einsatz im Azure Virtual Desktop (Nachfolger von RDS-(Terminal-)servern) der Business Premium Plan für die Nutzung der installierten Office Apps erforderlich ist, dürfen Office 2021 (Std oder Proplus) LTSC Perpetual Lizenzen (früher: Open oder Select+ Volumenlizenzen mit Software-Assurance) auch auf #On-Premises betriebenen RDS-Servern eingesetzt werden.
Allerdings liegt durch die Verkürzung der Supportdauer von 10 Jahren (Office 2016) auf 7 Jahre (Office 2019) und 5 Jahre (Office 2021 LTSC) das Support-Ende bei spätestens Oktober 2025. Ab jetzt erhält Office 2021 LTSC (auch mit Software Assurance) also noch knapp 2 Jahre Sicherheitsupdates.
Möchte man auf seinen RDS-Servern sowohl das eine, als auch das andere Produkt einsetzen, ist das mit nur einem Terminal-Server nicht realisierbar.
Zwar haben beide Lizenzen seit 2022 den gleichen Vertriebskanal (CSP), sind aber unterschiedliche Produkte. Mit dem höherwertigen Produkt können auch nur kleinere Editionen desselben Produkts genutzt werden.
Microsoft 365 Business Premium Pläne sind pro natürlicher Person zu lizenzieren. Die Anmeldung am „Office“ erfolgt über die jeweilige Entra-ID (ehemals Azure AD-Anmeldung) des Benutzers.
Office 2021 LTSC (Volumenlizenzen mit Software Assurance => CSP) sind pro Gerät lizenziert. Der Terminalserver wird über einen MAK oder KMS und einen Shared Activation key aktiviert. Auf dem Terminalserver müssen also Geräte zugeordnet werden, die fest der Lizenz zugewiesen sind. Nur von diesen Geräten aus darf Office 2021 aufgerufen werden. Da man technisch keine Geräte zuordnen kann, muss das organisatorisch gelöst und dokumentiert werden.
Im Beispiel-Szenario ist auf dem Terminalserver Office 2021 LTSC Standard installiert. Ein Microsoft 365 Benutzer greift also auf ein Geräte-lizenziertes Produkt zu, da das aufgerufene Produkt ja auf dem Server so aktiviert wurde. Im Gegensatz zu einem installierten Microsoft 365 Plan erfolgt keine Anmeldung/Aktivierung am Office mit dem User. Meldet sich ein User, (egal ob M365 oder O2021) am Terminalserver mit dem installierten und aktivierten Office 2021 von einem End-Gerät aus an, dem KEINE Office 2021 LTSC Gerätelizenz zugeordnet ist – besteht ein Lizenzverstoß.
Einzige Möglichkeit, das sauber abzugrenzen, ist
einen Terminalserver mit Microsoft 365 -> Anmeldung über Entra ID (Das aufrufende Gerät ist damit egal, weil ja die Sitzung an der Entra-ID mit M365 Lizenz hängt)
und einen weiteren Terminalserver mit Office 2021 LTSC mit dem MAK/KMS+Shared-Activation key und einer festen Zuordnung zu zugelassenen Geräten (organisatorisch und mit einer AD-Gruppe dokumentieren: In dem Fall dürfen sich AD-User nur an solchen Geräten unter RDP anmelden)
zu betreiben.
„Mischen impossible“ – das Mischen und Zuordnen von Microsoft 365 Plänen und Office 2021 LTSC Perpetual Volumenlizenzen erfordert das Verteilen der beiden Produkte auf mindestens 2 Terminalserver – bzw in größeren Umgebungen auf Terminalserver zweier Farmen. Die Zuordnung eder 2021 Terminalserver erfolgt für 2021 auf Gerätebasis, bei Terminalservern mit installiertem Microsoft 365 meldet sich der Nutzer mit seiner Entra-ID an.
Für installierbare Office-Apps in Azure-Cloud Umgebungen kann nur der Microsoft Business Premium Plan genutzt werden.
Quelle: Microsoft Volume Licensing Guides und product use rights für CSP-Lizenzen
Security Information and Event Management
Das „Security Information and Event Management“, kurz #SIEM sammelt sicherheitsrelevante Vorkommnisse und Ereignisse auf, konsolidiert sie und stelle sie in Auswertungen zusammen. Bei Bedarf können je nach Produkt und Geldbeutel Alarme generiert oder auch automatische Aktionen eingeleitet werden.
Es gibt zahlreiche Anbieter von SIEM Lösungen für On-Premises Betrieb. Die Preise sind Premium, weil bisher nur große Konzerne oder Banken und Rechenzentralen SIEM einsetzen.
Server in der #Azure IaaS Cloud – Für alle. die statt Hardware-Servern in die Azure IaaS Cloud wechseln oder bereits signiert sind, gibt es von Microsoft eine SIEM-Cloudlösung in Azure.
Da wir zu dem Thema aber so gut wie keine Anfragen bekommen (haben), leisten wir für diese Module auch keinen Support und es benötigt eine gewisse kritische Masse (Kundenzahl), um hier zu investieren.
Fazit: Wir bieten keine SIEM-Lösungen für On-Prem-Betrieb an. Für Azure IaaS wäre der Vertrieb eines Azure Moduls möglich (reiner CSP-Vertrieb), wir leisten aber keinen Support und keine Dienstleistungen zur Einrichtung.
Teams 2.1 Ordnerablagen geändert
Das neue Teams Version 2.1 ist nicht nur schneller, sondern auch im Gegensatz zum Vorgänger 1.6 keine Electron-Anwendung mehr, die man über eine EXE im User-Kontext installieren kann.
Stattdessen kommt ein MSIX-Installer, der über eine Gruppenrichtlinie vom Administrator ausgerollt werden kann. Teams 2.x funktioniert nur mit Arbeits (und Schul-) Konten. Wer zwischen alter und neuer Version wechseln möchte, lässt eine Weile lang beides installiert.
Auch neu: Wer einen Microsoft 365 Plan hat, kann wegen der EU-Anforderung nun auch für 2€ weniger im Monat Office-Pläne OHNE Teams bekommen. Benötigt man es dann wieder, kostet Teams Standard 5€ pro Monat. Immer zusätzlich sind die Telefonie-Option und die Premium Edition von Teams.
Wer privat mit einem kostenlosen Microsoft-Konto unterwegs ist, muss weiterhin das alte Teams 1.6 verwenden, das nun Teams Classic heißt. Teams 1.6 Classic funktioniert auch weiterhin zusätzlich mit Geschäftskonten.
Auch die Ablageorte für Hintergrundbilder haben sich geändert.
# Stammordner für Settings und Bilder
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams # Eigenen Hintergrundbilder sind hier
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\Backgrounds\Uploads # Datencache und Einstellungen. Mehrere GB groß
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\EBWebView # Protokolldateien
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\Logs
Windows Server 2012 R2 Supportende
Nur zur Erinnerung – #endoflife. Mit dem Patchday am 10. Oktober 2023 liefert Microsoft die letzten #Sicherheitsupdates für Windows Server 2012 R2 aus, die nicht in der Azure Cloud betrieben werden (also für alle Kauf-Versionen ungeachtet, ob Sie eine Software-Assurance mitgebucht haben oder nicht.
Der Betrieb von 2012 R2 Servern ist damit ein potenziell deutlich höheres Risiko, die Gefahr einer Infektion und Ausbreitung von Schadsoftware damit gegeben. Spätestens, wenn zum Patchday November 2023 für neuere Betriebssysteme Lücken geschlossen werden.
Modernisieren Sie vorhandene Server 2012 R2 auf neuere Server-Betriebssysteme (2016, 2019 oder 2022) oder bringen die Server in die Microsoft Azure IaaS Cloud, falls Sie Software weiterbetreiben müssen, die nur auf dieser 10 Jahre alten Plattform lauffähig ist. Für die Beurteilung Ihrer Cloudfähigkeit lassen Sie bitte einen Cloud Readiness Check durchführen.
Outlook Popup-Fehler behoben
Im aktuellen (monatlichen) Update-Kanal von Microsoft (Office) 365 hatte sich mit den September-Updates ein Fehler eingeschlichen, der dazu führte, dass Outlook (die Desktop-Win32-Anwendung) bei jedem Start meinte, sie wäre nicht richtig geschlossen worden.
Die Frage, ob man vorige Fenster wieder öffnen wollte, nervte bei jedem Start. #Erfreulich: Eine Woche später rollt Microsoft nun eine Problemlösung dazu aus, die im Current (aktuellen) Kanal automatisch verteilt wird.
Der dazu notwendige Build ist 16.0.16827.20130.
Sollte das Update bei Ihnen (so Sie denn das Problem haben) nicht automatisch verteilt werden, können sie es über das Menü: Datei / Office Konto / Update-Optionen / Jetzt aktualisieren einer beliebigen Office Anwendung anstoßen.
Sollte das Problem (näheres ist nicht bekannt) auch in den Kaufversionen auftreten, müssen Sie bis zum nächsten Patchday im Oktober 2023 warten. Eine alte, unsichere Version von Office zu installieren, ist nicht empfehlenswert.
WebP - Sicherheitslücken zahlreich
Kurz notiert, aber #wichtig – In einer von zahlreichen Softwareprodukten genutzten Grafik-Bibliothek „libwebp“ sind kritische Sicherheitslücken festgestellt worden. Auf einer Skala von 10 mit Risiko 10 bewertet. Die Referenz ist: CVE-2023-5129.
Eines der betroffenen Produkte ist auch Libreoffice, das einige von Ihnen beispielsweise zum Erstellen von PDF-Formularen benutzen. Aber auch einige kostenlose Grafiklösungen sind betroffen.
Grundsätzlich gilt: Aktualisieren Sie Libreoffice auf Version 7.6.2.1 und recherchieren Sie, ob weitere Software, die Sie im Einsatz haben, betroffen sein könnten. Bei Unsicherheit ist es immer eine gute Idee, alle Tools, Werkzeuge und frei Software auf dem aktuellen Stand zu haben.
Update 07/2024: #Erfreulich – Die Zuordnung von „Device Lizenzen“ ist mittlerweile auch für IaaS- und On-Prem-Umgebungen, bei denen kein Microsoft 365 Tenant im Einsatz sit (Lizenzierung über .FLF Datei) wieder (technisch) möglich.
Dazu müssen zunächst alle „Devices“ in die Geräteliste eingetragen und mit deren MAC-Adresse verknüpft werden. Administration -> Allgemein -> System -> Geräte
In der jeweiligen Gerätekarte ist (gemäß product use rights: Business Central Device licenses provide limited access to a subset of Business Central capabilities) der Gerätetyp auf „Eingeschränkt“ zu setzen, da mit „Vollständig“ die komplette Funktionalität zur Verfügung steht.
Den Active Directory Benutzer nennt man am Besten wie das Gerät, z-B. Kasse23. In Business Central dann die Benutzer-Liste aufrufen, ein neues Objekt erstellen und mit dem AD-Konto verknüpfen. Unter „Lizenztyp“ ist „Device only user“ auszuwählen bzw. „Einziger Benutzer des Geräts“.
Zweiter Vorteil: Das oben beschriebene Verfahren mit den Geräte-Karten lässt sich nun auch für die SaaS-Lösung verwenden. Die umständliche Konfiguration der alten BC-Versionen ist damit vom Tisch.
Ursprungs-Artikel
Mit Version 18 von Dynamics 365 Business Central hat Microsoft für die erforderliche Dynamics 365 Business Central Essentials Lizenz auch die Möglichkeit geschaffen, Geräte zu lizenzieren. Dies gilt aber laut Nutzungsbedingungen nur dann, wenn die Essentials Device Lizenz im Microsoft 365 Portal eingetragen und dem Gerät zugeordnet ist. Mit der Geräte-Lizenz sind dann auch nur sehr eingeschränkte Funktionen aus dem BC-Core möglich – wie Wareneingang im Lager oder Artikelerfassung.
Dazu wird im Azure-AD eine Gruppe angelegt, die die natürlichen Personen enthält, die an diesem Gerät arbeiten. Im Browser und in der App meldet sich dann das AAD-Benutzer-Objekt an, dem die Lizenz zugewiesen ist, oder aber ein Benutzer aus der Gruppe. Zum Rechtsnachweis sind alle potenziellen natürlichen Personen in der Gruppe enthalten, die am Gerät arbeiten, bzw. sich im Browser dort anmelden.
Ist die Lizenzdatei noch die klassische .FLF-Datei in der Datenbank, erfolgt die Anmeldung an #gevis aus Kompatibilitätsgründen über das herkömmliche Active Directory. Mit Version 18 unterstützt Microsoft diese Methode aber nicht mehr, so dass bei On-Prem und IaaS Installationen nur die Named-User-Lizenzierung genutzt werden kann.
Fazit
gevis ERP | SaaS und gevis ERP | VEO, sowie das von unserer DoIT-Business Unit vertriebene Microsoft 365 Business Central als SaaS Lösung unterstützen Lizensierung über das Microsoft 365-Portal in einer Azure-Gruppe. Device Lizenzen lassen sich so realisieren
gevis ERP | BC (On-Prem und IaaS, Lizenzierung über .FLF-Datei) können unter den oben genannten Bedingungen wieder als „Device User“ verwendet werden – alternativ werden sie über das Modell „Full User“ mit named Usern (=naturlichen Mitarbeitenden) lizenziert.
Weil einige von Ihnen beispielsweise bei Vodafone West Business (ehemals Unitymedia) Internet-Leitungen im Einsatz haben und der Standard-Grenzrouter (bzw. Kabelmodem) AVM Fritz!box Cable 6490 oder 6691 sind, hier der Hinweis, dass AVM in allen Routern eine kritische Sicherheitslücke geschlossen hat und – auch für sehr alte Geräte das Sicherheitsupdate anbietet. Das gilt auch für Repeater wie Fritz!Box 1750E oder neuer. Updates gibt es im Übrigen nicht nur für Kabelmodems, sondern für alle Fritz-Produkte.
Die sicheren Versionen sind entweder: 7.57 oder bei ganz alten Modellen 7.31.
Da Sie das Update nur bei frei gekauften und nicht bei vom Provider im Mietverhältnis bereitgestellten Boxen über die Oberfläche installieren können, bzw. es nur dort bei der passenden Einstellung automatisch installiert wird, hier die sicherste Vorgehensweise bei Kabel-Mietboxen:
#Wichtig – machen Sie die Boxen für mindestens 5 Minuten stromlos. Stecken Sie den Stromstecker wieder ein und warten ca. 20 Minuten, bis das Update provisioniert und installiert wurde.
Wenn Sie die „Stromlos“ Aktion nicht durchführen, kann es mitunter mehrere Wochen dauern, bis Ihr Provider das Update an einem Morgen um 0600 Uhr zwangsweise installiert.
Tipp: AVM vodafone Sicherheitsupdate beschleunigen durch Box stromlos für 5 Minuten
Notepad++ Sicherheitslücke geschlossen
Weil der nützliche Editor doch sehr weit verbreitet ist, ist die folgende Meldung eine Notiz wert:
Nachdem bekannt wurde, dass im Notepad++ vier offene Sicherheitslücken klaffen, hat der Chefentwickler das Update 8.5.7 veröffentlicht. Die geschlossenen Sicherheitslücken sind CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166. Außerdem wurde die uninstall.exe digital signiert.
Mit einer der Sicherheitslücken konnte man durch Öffnen eines präparierten Dokuments Angreifern die Ausführung von Programmen und damit die Kontrolle über Systeme erlauben.
#Wichtig – aktualisieren Sie bitte dringend alle Ihre Systeme durch Notepad++, Version 8.5.7, um auf der sicheren Seite zu sein.
#Microsoft arbeitet derzeit mit Hochtouren am Release 2.1 von Teams für Windows-Desktop. Derzeit als Public Preview, ab September 2023 – nun verschoben auf Oktober – als Release für alle. In Unternehmens-Umgebungen gilt. im Microsoft 365 (Office) Admincenter, unter dem Teams-Admin kann eine Richtlinie entscheiden, welche Mitarbeitenden den Schiebeschalter „das neue Teams“ links oben bekommen oder nicht.
Wir empfehlen zunächst einen kleinen Feldtest durch Ihre Admins/Syskos – oder mit wenigen Mitarbeitenden, sobald das Release freigegeben ist. Sie können also bereits jetzt die Richtlinie im Teams-Admin setzen, dass Microsoft sie nicht automatisch auf die 2.x Version umstellt, wenn Sie zunächst beim langsameren Teams 1.6 bleiben möchten.
Screenshots
Erfahrungsbericht
Die erste, augenscheinliche Erfahrung ist, dass Teams kleiner ist, deutlich schneller startet und dem eingestellten Windows Designschema folgt. Wer Windows im „hellen“ Design eingestellt hat (wie ich), sieht auch alle Teams-Fenster in hell.
Außerdem sind alle Chats so sortiert, dass die neusten Posts oben stehen (statt wie bisher ganz nach unten zu scrollen und die Posts dann unten anzuzeigen. Das dürfte sich auch positiv auf die Performance auswirken
Die Installationsdatei ist nun eine .msix Datei (statt .msi), somit ist das Installationsziel der Windows Store Ordner und nicht mehr das Benutzerprofil. Die Datei lässt sich aber auch mit Benutzerrechten ausführen.
Die Anwendung ist (wie das neue Outlook) eine Progressive Web App.
Wer Skype-Telefonie benutzt, sieht im Popup bei Anrufen einen breiteren Annehmen-Button, der quadratisch ist.
Bei Video-Calls lassen sich nun auch Videohintergründe verwenden. Als Vorlage liegen dort ein paar Büsche im Wind oder Blumen bereit. Unklar ist noch, in welchem Format (.mp4 oder .gif) diese bewegten Bilder hochladbar sind in der Teams GUI, bzw. in welchem Ordner sie hinterlegt werden müssen. Leider hat es auch das „Standard Hintergrund auswählen“ nicht in die Einstellungen geschafft, d.h. um den Hintergrund zu wechseln, muss man erst eine Besprechung mit sich selbst starten.
Das Teilen von Audio funktioniert nun, ohne in den Windows-Einstellungen die Lautsprecherquelle zu ändern.
Die Benachrichtigungen wurden statt der lilafarbenen Popups nun ins Windows-Benachrichtigungs-Center integriert und lassen sich damit Blockweise oder alle auf einmal löschen.
Es gibt eine neue Outlook-Integration als Addon – Unterschiede konnte ich aber noch nicht feststellen.
Der Teams-Client im Browser wird dann sukzessive auch umgestellt, so dass Kunden hiermit zunächst in Kontakt treten dürften.
Was noch nicht optimal gelöst ist
Update vom 28.08 -noch ungelöst: Es gibt zwar eine Checkbox „Teams automatisch mit Windows starten“, man (User mit User-Rechten) kann diese aber nicht setzen. Das „alte“ Teams konnte minimiert im Hintergrund starten. Dieses Feature wird auch wieder benötigt, da sonst nach jedem Anmelden/Neustart Teams 2.1 von Hand aufgerufen werden muss und nicht direkt in der Startleiste startet, sondern als Vollbild.
Ist man Organisator einer Besprechung, fehlt oben in der Teilen-Leiste die Möglichkeit, Anderen die Steuerung zu übergeben. In dem Fall müssen die Anderen die Steuerung anfragen und man kann sie dann in einem Popup übergeben und in einem weiteren Popup wieder übernehmen.
Barracuda ESG ist nicht die Firewall
Derzeit kursiert eine echte Warnung des FBI mit dem Hinweis, Barracuda ESG Appliances sofort abzuschalten. Die darin enthaltene Sicherheitslücke wurde nicht nachhaltig geschlossen.
ESG steht dabei nicht für „Einscheiben-Sicherheits-Glas“, sondern für „E-Mail Security Gateway“. Das ESG ist auch optisch leicht von der Firewall zu unterscheiden, da es keine LAN-Anschlüsse am Frontpanel hat.
#Erfreulich – Wer also, wie viele von Ihnen eine Barracuda Firewall-Appliance, wie sie von der NetGo vermarktet wird (diese Geräte beginnen mit „F“, F18, F80, F280, F380) einsetzt, ist nicht von der Sicherheitslücke betroffen.
veeam – Sicherheitslücke – V12 erforderlich
Eine Datensicherungssoftware muss immer den aktuellen Stand haben, denn bei einem Befall aufgrund einer Sicherheitslücke in der Software wären im schlimmsten Fall ein Datenverlust oder Datendiebstahl verbunden.
Bei veeam hat die Sicherheitslücke, vor der die CISA derzeit warnt, ein Ranking von 7.5 von 10 auf der Schadensskala. Problem ist der Prozess Veeam.Backup.Service.exe, der auf TCP-Port 9401 reagiert. Angreifer können verschlüsselte Anmeldeinformationen herausbekommen und Zugriffe auf Backup-Infrastruktur-Hosts stattfinden, schreiben die Entwickler von veeam.
Neu dabei ist, dass man nun auch Version 11 mit aktuellem Patchlevel auf Version 12 anheben muss. Erst mit Version Build 12.0.0.1420 P20230223 oder neuer ist diese Lücke sicher geschlossen.
#Wichtig – Bitte aktualisieren Sie Ihre veeam-Installationen auf die aktuelle 12er Version oder lassen sie aktualisieren.
Update 07.11.2023: veeam Software schickt aktuell auch E-Mails, die auf die Sicherheitslücke hinweisen. Bitte klicken Sie nicht auf Links in der E-Mail, sondern melden sich durch Eingabe der URL auf https://veeam.com mit Ihrem veeam-Konto an und laden den Patch. Da bei der Installation einiges beachtet werden muss, empfehlen wir, die Installation als Vorgang/Ticket bei uns in Auftrag zu geben.
veeam.com – Meldung zur Sicherheitslücke
Azure AD wird zu Microsoft Entra ID
Kurz notiert: Microsoft hat am 11. Juli 2023 das Produkt „Azure Active Directory“ in „Microsoft Entra ID“ umbenannt. Vertraglich ändert sich nichts, auch die Preismodelle bleiben zunächst gleich. Weil das Active Directory in der Cloud schon immer ein Modul aus der Microsoft Entra Identitätslösung war, hat man sich entschlossen, die Bezeichnung anzupassen.
Wenn Sie Azure AD heute verwenden oder derzeit Azure AD in Ihren Organisationen bereitstellen, können Sie den Dienst weiterhin ohne Unterbrechung verwenden. Alle vorhandenen Bereitstellungen, Konfigurationen und Integrationen funktionieren weiterhin wie heute, ohne dass Sie etwas zu unternehmen brauchen.
Sie können vertraute Azure AD-Funktionen weiterhin verwenden, auf die Sie über das Azure-Portal, das Microsoft 365 Admin Center und das Microsoft Entra Admin Center zugreifen können.
Sie möchten Ihr Grundwissen zum Thema Internet und Nutzung vertiefen? Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
NIS2 – Sicherheits-Richtlinie ab März 25
Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.
Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.
#Wichtig – So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.
Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.
Änderungen nach nationaler Umsetzung des Gesetzes
Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.
Das BSI schreibt dazu: „[…] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“
Wer ist betroffen?
Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von „wesentlichen“ (wie bisher KRITIS mit erweiterten Kriterien) und „wichtigen“ Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.
[] mindestens 50 Mitarbeiterinnen und Mitarbeitern. [] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro. [] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.
Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind
#Wichtig – da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.
Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.
Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.
Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.
Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im „best practice“ von jährlichen Audits aus.
Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.
Registrierung im BSI Meldeportal
Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.
Checkliste des BSI
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:
Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
Kein Meldewesen bei erkannten Vorfällen
Wo steht mein Unternehmen bei den Mindestanforderungen?
Mit unserem IT-Sicherheitscheck und anschließender Risikoanalyse mit Notfallplan werden einige der im Standard erklärten Ziele überprüft und Maßnahmen zur Erfüllung beschrieben. Die BSI Grundschutz-Themen bilden dabei eine „best practice“ Auswahl der wichtigsten Anforderungen der NIS2-Direktive ab.
Eine NIS2-Compliance Überprüfung und Themen wie die Betrachtung/Beurteilung der Risiken aus Sicht der Geschäftsleitung wird durch unseren Partner AWADO angeboten. Bereits in unseren beiden Analysen ermittelte Ergebnisse werden dabei von der AWADO berücksichtigt. Für das Angebot wenden Sie sich bitte direkt an die AWADO.
Fazit
Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.
Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.
Lassen Sie unseren IT-Sicherheitscheck (BSI) und anschließende Risikoanalyse mit Notfallplan (BSI) für Ihr Unternehmen durchführen, um den Ihren Ist-Zustand zu ermitteln eine Gap-Analyse einiger Anforderungen nach „best practice“ aus den Standards zu analysieren.
Beauftragen Sie den „NIS2 Compliance Check“ bei der AWADO, um die NIS2-Compliance und die Betrachtung aus der Perspektive eines Vorstandes zu erhalten.
KI - Bard - kann der was?
Nachdem vermehrt Unternehmen auf „Künstliche Intelligenz“, kurz #KI setzen, startet auch #Google nach anfänglichen Herausforderungen mit der EU-DSGVO seinen Text-Bot namens „BARD“ mit der Browser-App „bard.google.com“. Man bezeichnet die Beta als „Experiment“.
Der Name erinnert an die gleichnamige Animationsfigur mit „t“ am Ende (aka. Ay Caramba). In dem Fall kann der Bot dann aber nur Unsinn und Streiche im Kopf haben…
Möglich ist auch die Herleitung aus Asterix Comics, wo der Barde Troubardix aber auch nichts kann und daher immer am Ende an den Baum gefesselt wird.
Dann gibt es noch ein Computerspiel, „Bard’s tale“, was auch hergenommen werden kann.
Erste Gehversuche
Bleiben wir mal bei Asterix und testen das Musikgeschick, indem wir uns einen Werbesong für „gevis ERP“ komponieren lassen:
(Verse 1) Du suchst ein ERP-System, Das dich bei deiner Arbeit unterstützt? Dann schau dir doch mal gevis an! Es ist das perfekte System für Unternehmen jeder Größe.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Verse 2) Mit gevis kannst du deine Prozesse automatisieren, Und so Zeit und Geld sparen. Du hast immer einen Überblick über deine Daten, Und du kannst schnell und einfach Entscheidungen treffen.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Bridge) gevis ist das perfekte System für Unternehmen, Die ihre Prozesse optimieren und ihre Effizienz steigern wollen. Es ist einfach zu bedienen und skalierbar, Und es bietet eine breite Palette von Funktionen.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Outro) Probiere gevis noch heute aus! Du wirst es nicht bereuen.
Bards KI-Ausgabe auf die Frage nach einem Werbesong für gevis ERP
geht schon mal, allerdings lassen sich die geschriebenen Zeilen nicht wirklich in Reinform für Strophe und Refrain bringen – selbst in einer RAP-Version fehlt der gewisse Flow.
Bewerbungen schreiben kann er nicht – es kommt immer die Antwort „kann ich nicht, ich bin kein {Jobname}
Vielleicht kann der ja was mit Artikeln? – Ja! Kundenreferenzen zu einem Artikel als Werbetext funktioniert wieder ausgesprochen gut. Ich hoffe, es wird nicht für Fake-Bewertungen missbraucht.
Kalkammonsalpeter (KAS) ist ein Stickstoffdünger, der aus Ammoniak und Kohlendioxid hergestellt wird. Er ist ein beliebter Dünger für Landwirte, da er leicht zu handhaben und zu verteilen ist und eine gute Stickstoffquelle für Pflanzen bietet.
KAS ist ein granulierter Dünger, der in verschiedenen Korngrößen erhältlich ist. Er kann im Frühjahr, Sommer und Herbst ausgebracht werden. Die ideale Ausbringungszeit hängt von der Kulturpflanze und dem Boden ab.
KAS enthält 27 % Stickstoff, der in einer 1:1-Mischung aus Ammoniumnitrat und Ammoniumcarbamat vorliegt. Diese Form des Stickstoffs ist für Pflanzen leicht verfügbar und wird schnell von ihnen aufgenommen.
KAS ist ein guter Dünger für eine Vielzahl von Kulturpflanzen, darunter Getreide, Gemüse, Obst und Zierpflanzen. Er kann auch zur Verbesserung der Bodenqualität verwendet werden.
KAS ist ein kostengünstiger Dünger, der ein gutes Preis-Leistungs-Verhältnis bietet. Er ist eine gute Wahl für Landwirte, die nach einem leistungsstarken und vielseitigen Dünger für ihre Pflanzen suchen.
Als Landwirt habe ich seit vielen Jahren gute Erfahrungen mit KAS gemacht. Er ist ein zuverlässiger und preiswerter Dünger, der meine Pflanzen gut versorgt. Ich würde KAS jedem Landwirt empfehlen, der nach einem guten Dünger für seine Pflanzen sucht.
Hier sind einige zusätzliche Vorteile von KAS:
Er ist einfach zu handhaben und zu verteilen.
Er enthält eine gute Menge Stickstoff, die für Pflanzen wichtig ist.
Er ist preiswert.
Er ist eine gute Wahl für eine Vielzahl von Kulturpflanzen.
Wenn Sie nach einem guten Dünger für Ihre Pflanzen suchen, würde ich KAS empfehlen.
„Schreibe eine Artikelbeschreibung zu Kalkammonsalpeter aus der Sicht eines Landwirts“
Fazit
Bilder kann Bard nicht erstellen, es handelt sich um einen reinen Text-Bot. Bei der Verfeinerung von Texten und als Marketing-Unterstützung hat der „Säugling“ unter den KIs schon auch in deutsch ausbaufähiges Wissen. Microsoft setzt mit dem KI-Kopiloten auf mindestens 10 Jahre Wissensvorsprung von OPENAI ein, hat damit – entgegen der sonst üblichen Praxis mal die Nase weit vorn. Bleibt zu hoffen, dass die KI auch weiterhin nicht nur in Premium-Modellen nutzbar ist, sondern dass es wie bei Teams auch eine free und eine Standard-Version geben wird.
WordPress und PHP Support
Viele große Provider wie IONOS und STRATO, all-inkl.com bieten im Web-Hosting die Möglichkeit, als Content Management-System #WordPress einzusetzen. Wer diese Plattform einsetzt, muss darauf achten, dass nicht nur WordPress und die installierten Themes und Plugins auf dem aktuellen Stand sind (das lässt sich bei unterstützten Plugins weitgehend automatisieren), sondern dass auch die eingesetzte PHP Version noch im offiziellen Support ist. Endet hier der Support-Zeitraum und man setzt die Version weiterhin ein, nehmen die meisten Provider eine hohe monatliche Service-Gebühr zusätzlich – da der Support für Sicherheitsupdates dieser alten Versionen auch bei PHP Geld kostet.
Achten Sie darauf, dass Sie immer eine aktuelle PHP Version einsetzen. Support-Ende für Version 8.0 ist bereits Anfang Dezember 2023! Für Version 8.1 ein Jahr später und für Version 8.2 in gut 2 Jahren (Dez 2025). Stellen Sie Version PHP 8.2 in der Oberfläche Ihres Providers ein und prüfen, ob Ihre Designs und Plugin keine Fehler auswerfen.
Stellen Sie die Datenbank von (Oracle) MYSQL auf die quelloffene MariaDB um. Diese wird häufiger aktualisiert und hat mehr kostenlose Möglichkeiten.
Prüfen Sie, ob Ihre Designs und Plugins noch aktuelle Updates erhalten. Das funktioniert am einfachsten mit dem kostenlosen Plugin „Plugin-Report“. Für das Design (Theme) bitte auf der Theme-Website in wordpress.org nachsehen, wann hier das letzte Update war und ob es frei von Warnungen ist.
Grundsätzlich ist es empfehlenswert, regelmäßig im Portal Ihres Web-Hosters nachzuschauen. So fordern die meisten Provider Sie aktuell auf (sofern diese noch nicht vorhanden ist), eine AVV zu schließen, die nach DSGVO vorgeschrieben ist. Diese sollte unbedingt abgeschlossen sein, um Bußgelder zu vermeiden.
Ghostscript kritische Lücke
Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten.
Die Sicherheitslücke CVE-2023-36664, CVSS 9.8 von 10, Risiko „kritisch“ erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden.
Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript „unter der Motorhaube“ zum PDF-Erstellen verwenden – wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden – sofern das möglich ist.
#Wichtig – Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten und Servern zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen) kompatibel ist. Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programmen (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) ausschließlich die 64-Bit Version auf den Service Tiers.
Betroffene Produkte können auch Signosign/2 von Signotec oder s.dok/sscan sein – hier muss zusätzlich ein Update der Software beim Hersteller angefragt und heruntergeladen werden, um Sicherheit und Kompatibilität herzustellen.
Wie üblich, hat Microsoft für seine unterstützten Betriebssysteme und für Office am Dienstag Sicherheitslücken geschlossen. Wer also für Office und Windows die Updates zeitnah installiert, ist sicherer unterwegs. Für die Server müssen laut Richtlinien von BSI und Versicherungen die Patches innerhalb von 7 Tagen installiert sein, ansonsten drohen Kürzungen bei Versicherungsleistungen.
Eine entdeckte Lücke in Office, die bereits ausgenutzt wird, bleibt aber noch ungepatcht: (CVE-2023-36884, CVSS 8.3, hoch). Hierbei kann beim Öffnen eines präparierten Dokuments durch Mitarbeitende Schadcode eingeschleust werden.
Mindestens eine Bande russischer Krimineller nutzt die Lücke bereits in großem Stil aus. Wie Microsoft verlautbart, schützt der Microsoft 365 Defender für Business vor den Attacken. Wer also M365 Business Premium und den enthaltenen Defender für Business einsetzt oder den Defender für Business Plan aktiviert hat, ist sicherer.
#Wichtig – Ein Workaround soll zusätzliche Sicherheit für alle noch unterstützten Office-Versionen bieten:
Windows Registry Editor Version 5.00
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MsPub.exe"=dword:00000001
"PowerPnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
Da auch Wordpad (Bestandteil von Windows und Windows Server) auftaucht, ist es ratsam den key generell auf alle Systeme auszurollen, da auch damit Word-Dokumente geöffnet werden können.
SPAM in Briefform – IT-Sicherheit
obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine „Firma“ aus Darmstadt immer noch Kunden zu verunsichern.
An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung – die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.
In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.
Danach wird die „Geschäftsführung“ aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.
Dieses Roboter-Schreiben gehört sofort in die Ablage P!
Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.
In den Beta-Versionen von Adobe Photoshop gibt es einen Filter, mit dem man ein Bild durch „generative KI“ Bilder breiter machen kann. Möchte man beispielsweise aus einem Bild im Full-HD-Format ein Website-Banner machen (beispielsweise in 1400x200px), wirkt das Bild in der Darstellung mit herkömmlichen Mitteln (Resize) verzerrt.
Praktischer ist es, wenn man das Bild in die Mitte des geplanten Banners legt und dann rechts und links auffüllen lässt, ohne das am Bild etwas verzerrt wird. Das kann der #KI „Generative Fill“ Filter.
Der Haken dabei: Nicht jeder hat Photoshop UND ist auch noch im Beta-Programm angemeldet. Nach Release des Filters wird dieser voraussichtlich nicht im Creative Abonnement enthalten sein.
Wer die Funktion nicht häufig nutzt, kann mit der kostenlosen Version von clipdrop.co/uncrop 1x pro Tag oder mit der kostenlosen Registrierung auf der Website (eine E-Mail-Adresse reicht, auch Wegwerf-E-Mails werden (noch) akzeptiert) mehrere Bilder am Tag mit KI breit machen:
Die Resultate können nützlich, aber auch lustig ein. Ich habe mal ein KI-Bild aus dem Skype Bing-Chat ins Banner-Format umgewandelt:
Outlook – testen Sie das neue Outlook – Nein
Derzeit erscheint in der Microsoft 365 #Outlook Desktop App oben rechts der Hinweis mit einem Schieberegler „Testen Sie das neue Outlook“. Die Meldung ist so unglücklich platziert, dass man beim Minimieren des Outlook-Fensters leicht den Schieberegler aktiviert.
Die Folge: Aus dem Store wird die neue Outlook App heruntergeladen und als Standardprogramm für E-Mails eingetragen. Diese App ist nichts anderes als ein App-Fenster, wo im Browser unter Zuhilfenahme der Edge Webview2 Runtime (diese muss installiert sein) OWA aufgerufen wird.
Auch aktuell bietet OWA bei weitem noch nicht die Funktionen und den Bedienkomfort wie die Desktop App. So sind beim Bedienen des Kalenders deutlich mehr Mausklicks notwendig um z. B. einen vorhandenen Termin zu bearbeiten oder Flags zu setzen, die bei der Desktop App direkt im Ribbon Menü mit einem Klick erreichbar sind. Auch das Verändern und Verschieben von Terminen mit der Maus ist schwerfälliger in der Browserdarstellung und funktioniert mehr schlecht als recht.
Zudem werden nur Microsoft 365 Konten (bisher) unterstützt. Es gibt aber zahlreiche Kunden, die noch ein Google-Konto oder Post bei einem anderen Provider per IMAP mit abfragen müssen (meist historisch bedingt, aber notwendig).
Abhilfen: Wenn Sie die neue App bereits versehentlich aktiviert haben, müssen Sie den Schieber wieder ausschalten, die Store-App auf Ihrem Rechner deinstallieren und bei Standard-Apps die Outlook Desktop App wieder aktivieren.
#Erfreulich – zum Glück gibt es einen Registry-Schlüssel, den Admins auch per GPO ausrollen können, der die lästige Werbung für die minderwertige App entfernt (Für diejenigen, die mit User-Rechten arbeiten und den Registry-key lokal ausführen müssen – bitte den Registy Ast beginnen lassen mit Users und der SID des Benutzers für den das gelten soll. Dann mit Elevated rights Regedit aufrufen und den veränderten Key ausführen):
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "HideNewOutlookToggle"=dword:00000001
oder
[HKEY_USERS\S-1-5-21-222222222-2222222222-2222222222-1153\SOFTWARE\...
CISCO Anyconnect und Secure Clients
Wir möchten Ihnen gerne eine optimale Lösung für die Sicherheit Ihrer IT-Infrastruktur anbieten. Dazu empfehlen wir Ihnen, sich mit unserem Partner NetGo Firewalls von Barracuda Networks zu schützen. Diese Firewalls sind speziell für die Azure IaaS und Azur Virtual Desktop (AVD) Umgebungen sowie für die On-Premises Hauptstandorte konzipiert. Sie ermöglichen eine sichere und flexible Anbindung Ihrer verschiedenen Standorte. Außerdem können Ihre Mitarbeitenden im Außendienst und im mobilen Arbeiten den Software-VPN-Client von Barracuda auf ihren Windows PCs und Notebooks nutzen.
Wir möchten Sie auch darauf hinweisen, dass es bei der Verwendung von CISCO Routern, die im Rahmenvertrag mit der Telekom enthalten sind, zu Sicherheitsproblemen kommen kann. Es gibt eine aktuelle Sicherheitslücke, die den Update-Mechanismus von CISCO betrifft. Wenn Sie einen CISCO Router in der Hauptstelle haben, an dem auch mobile Windows Clients angebunden sind (z.B. für Homeoffice, mobiles Arbeiten oder Außendienst), sollten Sie unbedingt prüfen, ob Ihr CISCO Secure Client oder CISCO Anyconnect vpn Client auf dem neuesten Stand ist. Die aktuellen Updates erhalten Sie nur, wenn Sie bei CISCO oder über die Telekom im Rahmenvertrag eine Wartung für den CISCO Router abgeschlossen haben.
Bitte prüfen Sie Ihr Software-Inventar, ob Sie in Ihrem Unternehmen CISCO vpn Software einsetzen. Hierbei kann OpenAudit Classic hilfreich sein.
Wenn ja: Beschaffen Sie über Ihren Dienstleister den aktuellen Cisco AnyConnect Secure Mobility Client 5.0.03072 und rollen ihn an alle VPN-Endgeräte aus.
Falls Sie keine Wartung auf die CISCO Geräte haben, aber eine Barracuda Firewall (Cloudgen oder On-Prem), stellen Sie gemeinsam mit der NetGo Ihr CISCO vpn auf Barracuda um. Hier ist der Updatemechanismus der VPN-Clients mit Bordmitteln besser automatisierbar.
Falls Sie keine Barracuda Firewalls einsetzen, sondern Drittanbieter-Geräte von sophos oder Fortinet o.ä., stellen Sie mit Ihrem Dienstleister das vpn auf diese Lösung um und lassen prüfen, ob diese Geräte und Software auf dem aktuellen Stand ist. Allein bei Fortinet gibt es einmal im Monat einen Patchday, der kritische Sicherheitslücken schließt
Wer wissen möchte, wann die eingesetzten Produkt-Versionen keinen Support oder – #wichtig – keine Sicherheitsupdates mehr bekommen, dem sei die folgende Seite empfohlen, die alle End-Daten in einer farblich gestalteten Oberfläche übersichtlich darstellt. Tipp: Windows und Office sind unter ‚M‘ wie Microsoft zu finden:
Bereits im November 2022 lieferte Microsoft Mechanismen aus, die die Kerberos-Anmeldung sicherer machen können. Es geht dabei um das Anmeldeverfahren, wie sich Drittgeräte und andere Windows Server an einem AD-Domänencontroller anmelden.
Auch dieser Sicherheitspatch war zunächst nur ausgerollt worden, um Administratoren Zeit zu geben, die Sicherheit dieser Anmeldungen zu erhöhen bzw. auf Drittgeräten aktuelle Firmware/Softwareupdates zu machen.
Bereits am 13. Juni 23 mit dem Juni-Patchday hat Microsoft die Kerberos Einstellung auf „Überwachungsmodus“ gesetzt. Die Verbindung ist damit weiterhin möglich, Fehler werden im Ereignisprotokoll aufgezeichnet.
Am 11. Juli 2023 setzt Microsoft die Kerberos-Einstellung mit dem monatlichen Update auf „Erzwingen“. Das bedeutet, das Systeme mit unsicheren Kerberos-Schlüsseln sich nicht mehr anmelden können.
#Wichtig – Wie im Microsoft Artikel ausführlich beschrieben, betrifft das Update Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions.
Wenn Sie auf Ihren Domänencontrollern Fehler mit der Ereignis-ID 42 finden, oder Geräte erkennen, die keinen gemeinsamen Kerberos-Verschlüsselungstyp aufweisen, indem Sie das Ereignisprotokoll für Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 anzeigen, lesen Sie bitte: KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966
Nach der Installation des Juni 2023-Updates (auf allen Servern) das Ereignisprotokoll an Ihren Domänencontrollern sichten und nach Fehlern mit der Ereignis-ID 42 suchen und wie im folgenden Artikel beschreiben verfahren (An Ende des Artikels ist eine FAQ):
Heutzutage werden fast ausschließlich Windows Betriebssysteme mit 64-Bit eingesetzt. Ältere Versionen mit 32-Bit werden von vielen Herstellern und Anwendung nicht mehr unterstützt.
Die Software, die man unter Windows einsetzt, kann damit 32-Bit oder 64-Bit sein. Lange Zeit hat Microsoft empfohlen, die 32-Bit-Versionen von Office einzusetzen.
#Erfreulich – mittlerweile bieten die 64-Bit-Versionen eine bessere Performance, da kein 32-Bit-Subsystem unter Windows für die Office Apps gestartet werden muss und die Limitierung von 4GB Arbeitsspeicher entfällt. In Excel lassen sich so recht große Datenmengen darstellen und der Import über die Datenquellen ist auch deutlich schneller.
Achtung! Dazu muss allerdings auch der Rechner einen Core I5 mindestens der 8. Generation, 8 GB RAM, besser noch 16 GB Arbeitsspeicher und eine schnelle SSD haben
Insbesondere bei Microsoft Teams muss die Anwendung immer in 64-Bit installiert sein, da ansonsten extreme Performance-Einbußen drohen.
Wann ist für Microsoft 365 (Office) 32-Bit Pflicht?
Wenn Sie Anwendungen auf dem Rechner einsetzen (das gilt auch für Azure Virtual Desktop und Terminal- und Citrix-Server), die nur in der 32-Bit-Version mit Outlook (über OLHANDLER.DLL) kommunizieren können, dürfen Sie nicht die 64-Bit-Version installieren. Einige Beispiele sind:
Microsoft Dynamics 2009 R2 (Classic) –> gevis Classic bis G/R8
Microsoft Dynamics NAV bis Version 2018 und Business Central bis Version 14 (BC14)
Gigaset Quicksync (Synchronisieren von Outlook-Kontakten mit DECT-Handsets)
GWS MDESync (die Windows Mobilschnittstelle meckert Outlook32 als fehlend an)
Andere Programme, die die E-Mails erzeugen und dabei MAPI32.dll oder OLHANDLER.dll benutzen
Mit gevis ERP | BC Versionen ab 17.x (Business Central Version ab 17, Client = Google Chrome für Enterprise, 64-Bit) lassen sich beliebige E-Mail-Programme durch Download von .EML-Dateien aufrufen. Die Bit-Tiefe ist dabei unerheblich. Wenn Sie eine unserer SaaS-Lösungen wie gevis ERP | VEO einsetzen, ist die Office-Bit-Tiefe ebenfalls unerheblich.
Wir empfehlen Microsoft 365. So bleiben Sie im Rahmen des Abonnements immer auf dem besten Stand der Sicherheit und die Verteilung der Updates durch die Admins ist auch sehr einfach. Sollten Sie Kaufversionen im Einsatz haben (erkennbar an einer Jahreszahl am Ende) müssen diese Versionen nach Ablauf der Sicherheitsupdates neu gekauft werden. Alle Versionen erhalten nach dem 13. Oktober 2026 keine Sicherheitsupdates mehr.
Aktuell werden für gevis Umgebungen Microsoft 365 (aktueller monatlicher Kanal) für alle Installationsarten und nur für die lokale Installation auf Windows 10 Pro Endgeräten (nicht Terminal-/Citrix/Azure Virtual Desktop) die Kauf-Versionen 2019 und 2021 unterstützt.
Patchday Juni manueller Eingriff erforderlich
#Wichtig – mit dem Patchday Juni 2023 hat Microsoft die #SicherheitslückeCVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.
Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.
Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001
Glücklicherweise setzen viele Unternehmen auf eine Hardware-Firewall-Appliance, um das lokale Netzwerk in Richtung Internet abzusichern. Viele namhafte Hersteller von Routern (CISCO, Lancom, sogar AVM) schreiben, dass Ihre Router Firewall-Funktionalitäten beinhalten. Das sind allerdings ausschließlich Funktionen der klassischen (1. Generation) Firewalls. Anders gesagt: Es erfolgt keine inhaltliche Prüfung von Daten und E-Mails, es gibt keine Advanced Thread Detection und somit auch keine Cloud-Sandbox zur Simulation. Diese „Firewalls“ erfüllen weder GSI-Grundschutz, noch den Prüfungsstandard 330 des IDW.
Unternehmen mit mehreren Standorten setzen mehrere Router ein, die Verbindung zur Hauptstelle erfolgt sternförmig über die integrierte SSL-VPN-Funktion der Router. Bei Ecotel und Telekom Enterprise Managed Netzwerken werden die (CISCO) Router ausschließlich für die Zweigstellen-Vernetzung und die mobilen VPN-Verbindungen benutzt. In der Hauptstelle steht dann bestenfalls eine „richtige“ Firewall der zweiten Generation.
IaaS Cloud
Mit der Ablösung der On-Premises Server (IaaS statt Hardware-Neukauf) wird entweder ein „Azure vpn Gateway“ bei Microsoft zur Anbindung angemietet (hier werden nur wenige Gen2-Firewalls wie von Barracuda Networks oder neuere Modelle der sophos X-Serie und von Fortinet) unterstützt.
Außerdem sind dann die in IaaS angemieteten Server und die Nachfolger der Citrix oder RDS-Terminalserver: Azure Virtual Desktops nicht mit einer Gen2-Firewall abgesichert und angreifbarer.
In unseren #Firewall Konzeptionen zeigen wir gemeinsam mit unserem Partner NetGo am Beispiel von Barracuda Firewalls die sternförmige Anbindung an die Cloud mit „Internet-Breakout“ in der Cloud auf Gen2-Firewall Stufe. Dazu kommt eine #CloudGen virtuelle Firewall zum Einsatz, die Server und Azure Virtual Desktops absichert. An dem oder den Standort(en) kommt ein VPN-Endgerät – passend zur Bandbreite und Benutzerzahl am Standort (F18 oder F80) zum Einsatz.
Vorteile: #Erfreulich ist, das das Azure VPN-Gateway mit mindestens 165€ pro Monat so entfällt. Jeder Standort braucht nur eine (dynamische) IP-Adresse, ggf. ein DSL-Modem und den Barracuda VPN-Endpunkt. Der Weg zum Server erfordert daher nicht mehr den Umweg über die Hauptstelle.
Fazit
Der Weg zum Internet sollte immer über eine Firewall der zweiten Generation mit ATP und Contentanalyse abgesichert werden. Diese sollte einen Wartungsvertrag auch für Firmware und Antivirus enthalten (vitalizing und Security Updates) und gemanagt sein.
Sobald Azure IaaS im Spiel ist, wird eine sternförmige Anbindung an die IaaS Cloud und Azure Virtual Desktops über eine virtuellen CloudGen Firewall Pflicht. Ob Sie das Musterangebot der NetGo annehmen oder mit Ihrem Firewall Dienstleister ein identisches Konzept konstruieren, bleibt Ihnen überlassen.
Internet Domain .zip lieber sperren
Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain „.zip“ ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.
Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.
Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.
Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.
#Wichtig – Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)
Mit der gevis Einführung und Migration auf neue Versionen, in die IaaS- oder SaaS-Cloud sind immer Pflichtschulungen zur Ausbildung und Zertifizierung von Systemkoordinierenden – kurz SYSKO – erforderlich. Die folgende Checkliste soll Ihnen erleichtern, Ihren Status zu ermitteln. Zertifizierte Systemkoordinierende können viele vorgeschriebene und wiederkehrende Aufgaben in Eigenverantwortung lösen – ohne dafür einen kostenpflichtigen Vorgang bei uns eröffnen zu müssen. Sie sind die Feuerwehr im eigenen Hause und halten den IT-Betrieb am Laufen.
Ermitteln Sie Ihren Status nach folgender Checkliste:
A ( ) Bei Einführung von gevis (Version 7 bis einschließlich Version BC 140) habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt)
Bund: ( ) Bei Migration von gevis (Version 7 bis einschließlich Version BC 140) auf gevis ERP | BC oder gevis ERP | SaaS oder gevis ERP | VEO habe ich etwa 6-stündige Sysko Aktualisierungs-Schulung besucht (und die Prüfung abgelegt)
C ( ) Wir haben direkt gevis ERP | BC ab Version 15 (Client ausschließlich im Browser) eingeführt und ich habe die habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt). Zertifizierte Syskos sind noch noch im Unternehmen
D oder: ( ) Bei Einführung von gevis (ERP | SaaS oder ERP | VEO) habe ich die 1-tägige Sysko anywhere SaaS Schulung absolviert (und die Prüfung abgelegt)
E ( ) Ursprüngliche SYSKOs haben das Unternehmen verlassen. Neue Mitarbeitende (mindestens 1) haben die 2-tägige Sysko-Basis-Schulung für neue Mitarbeitende absolviert (und die Prüfung abgelegt)
Kreuzen Sie bitte Zutreffendes an. #Wichtig – nur wenn Sie die folgenden Buchstabenkombinationen erhalten, ist Ihr Unternehmen #zertifiziert und auf dem aktuellen Stand der Sysko-Zertifizierungen:
A+B oder C oder D oder/und E
Wenn nicht, melden Sie sich oder anderen Mitarbeitende im Betrieb bitte zu den noch fehlenden Schulungen an. Mehr Details zu den Syskotätigkeiten hier.
Windows 10 Zukunfts-Strategie
Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.
Ist das PC-Endgerät von vor 2018 (aka. Intel Core-I-Prozessor kleiner als 8. Generation)
PC bis Herbst 2025 weiterbetrieben, dann 2-10 kg Elektronikschrott und ca. 63 kg CO2 produzieren, mindestens 500 € (bei Notebooks mindestens 1000 €) in die Hand nehmen und neuen PC / neues Notebook mit Windows 12 Pro anschaffen
(gilt nicht für Notebooks, nur für kabelgebundene PCs)
oder: IGEL-OS bei IGEL.com mit Wartung anschaffen und auf der vorhandenen Hardware installieren. + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten
Gerät ist neuer (mind. 8Gen Prozessor, TPM 2.0, Secure Boot)
Auf Windows 12 Pro aktualisieren (noch unklar: ggf. kostenlos, kann aber auch eine Lizenz erfordern)
Neues Gerät soll angeschafft werden
jetzt: Windows PC oder Notebook mit Windows 10 Pro (Downgraderecht von Windows 11 Pro in Business PCs führender Hersteller enthalten. ab Herbst 2024: Windows PC oder Notebooks mit Windows 12 Pro erwerben.
Gerät braucht keine lokale Software
HP Thin-Client oder andere Hardware mit IGEL-OS von IGEL.com mit Wartung beschaffen + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten
Entscheidungs-Matrix Windows Zukunft. Windows 11 Pro wird nicht empfohlen!
Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.
Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.
Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.
Deploy und VM-ISOs neu erstellen erforderlich
Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks – oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.
Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen – mit Patchstand von Mai 2023
Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Windows 10 auf 22H2 umstellen, Office 2013 entfernen
Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.
Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.
Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 oder neuer stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023. Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.
In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen – insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.
Microsoft Authenticator App matching numbers
Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.
Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.
Wenn man aktuell in Outlook oder bald auch in der Teams-App (gilt für Windows, Android und IOS) einen Link anklickt, wird dieser – unabhängig von der Standard-Browser-Wahl mit Edge ausgeführt.
Microsoft möchte so erneut (hoffentlich wieder erfolglos wie in der Vergangenheit) den Edge zum Standard-Browser erzwingen. Angesichts der Tatsache, dass dieser nun auch Adobe Reader Freemium als PDF-Betrachter enthält, ist das aus Sicherheitsaspekten keine gute Idee.
Zumal Google spätestens 2 Stunden nach Schließen von Sicherheitslücken im Chromium-Projekt oder im eigenen Programmcode das Sicherheitsupdate verteilt. Bei Microsoft Edge on Chromium dauert es mindestens 24 Stunden bzw. bis zum nächsten Patchday.
Darüberhinaus gelten in der dann gestarteten Browser-Sitzung nicht die Einstellungen, die sich der Anwender im Browser seiner Wahl gemacht hat. Auch die Drittanbieter-Extensions sind vielfach nicht installiert und aktiviert im Edge (ublock origin), so dass der Anwender wieder mit Werbung zugemüllt wird!
Wer unter android die Edge App nicht installiert hat, wird zwar beim Anklicken eines Links dazu aufgefordert und „Öffnen mit Edge“ ist als Standard ausgewählt – bisher kann man aber noch „Standard-Browser öffnen“ anklicken und darunter den Schieber auf „als Standard“ setzen
Unter Windows habe ich das Verhalten noch nicht nachvollziehen können, Outlook 365 mit aktuellem April-Funktionsupdate fragt mich nicht, Edge zu installieren, es bleibt aber zu befürchten, das das noch kommt. Schauen Sie dann in Teams unter Einstellungen und „Link Behandlung“, ob Sie dort eine Einstellung setzen können – bzw. in Outlook bei den Optionen.
Seit einiger Zeit installiert Office die Edge Webview2-Runtime mit. Bisher ist es mir mit den passenden GPOs bzw. Registry-Einträgen gelungen, Edge vom System fernzuhalten (durch die Runtime ist zwar auch der Browser im System, die Registry-Einstellungen verhindern aber bisher, dass er als Browser tätig wird und die werbelastige GUI aufruft.
Microsoft verlangt 2-Faktor in Microsoft 365
In letzter Zeit verschickt Microsoft E-Mails zu sogenannten „Sicherheitsstandards“. Man weist Sie darauf hin, zu einem bestimmten Datum diese Sicherheitsstandards für Ihren Microsoft 365 Tenant zu aktivieren. Der Microsoft Tenant wird für alle Online-Anwendungen verwendet. Dazu zählen: Exchange online, Office, Sharepoint, Teams, Dynamics 365, gevis ERP | VEO, gevis ERP | SaaS, Power-BI, Microsoft CRM 365 und Weitere.
Teil dieser Sicherheitsstandards ist die Aktivierung von #MFA (Multi-Faktor-Authentifizierung) für jeden Benutzer. Aus diesem Anlass gibt es ein paar wichtige Punkte, auf die wir Sie gerne hinweisen möchten.
Während derzeit nur rund 37% der Unternehmenskunden überhaupt MFA verwenden – ein großer Anteil sogar nur für administrative Konten, plant Microsoft so schnell wie möglich, den Faktor auf 100% und alle Benutzer zu steigern.
MFA ist ein Sicherheitsverfahren beim Anmelden, bei dem ein Benutzer neben seinem Benutzername und Kennwort einen weiteren Faktor zur Anmeldung benötigt, damit die Anmeldung genehmigt wird. Dieser Faktor ist im Falle der Sicherheitsstandards die Authenticator App von Microsoft, die auf dem Smartphone des Mitarbeiters installiert wird. Dort muss die Anmeldung bei Microsoft 365 zusätzlich genehmigt werden, was die Sicherheit vor Account Diebstahl deutlich erhöht.
Neben der App werden auch weitere Faktormethoden unterstützt wie Telefonanruf oder Hardwaretoken.
Nach der Aktvierung der Sicherheitsstandards von Microsoft, hat jeder Benutzer 14 Tage Zeit die App einzurichten. Nach Ablauf funktioniert die Anmeldung, ohne die App eingerichtet zu haben, nicht mehr. Eine nachträgliche Einrichtung ist aber weiterhin möglich. Falls Sie aktuell nicht über die nötigen Mittel verfügen, die Authenticator App bei jedem Benutzer zu installieren, empfehlen wir Ihnen folgende Möglichkeiten:
Einrichtung von Conditional Access
Die Authenticator App von Microsoft, dürfen Sie bereits bei Erstellung des Tenants sofort nutzen. Sie ist kostenlos als zusätzlicher Faktor und kann lizenzunabhängig eingerichtet werden. Neben der Authenticator App bietet Microsoft aber auch andere Möglichkeiten an, die Sicherheit durch einen weiteren Faktor zu erhöhen. Hier kommt Conditional Access zum Einsatz. Conditional Access kann andere Faktoren wie Standort, Betriebssystem, Geräte oder Gruppen nutzen, um den Zugriff für einen Benutzer zu gewähren. So kann sich der Mitarbeiter beispielsweise nur Anmelden, wenn er sich an einem der von Ihnen vorher definierten Standort befindet.
Conditional Access ist lizenzpflichtig und wird nur bei einem EntraID Plan1 freigeschaltet, der alle Mitarbeitenden, die Conditonal Access nutzen sollen, lizenziert werden muss. Die EntraID Plan1 Lizenz ist bereits in dem Abonnement Microsoft 365 Business Premium enthalten.
Wenn MFA für die Benutzer aktiviert wurde, muss MFA auch für die Benutzer eingerichtet werden. Das gilt auch, wenn Conditional Access so eingerichtet ist, dass keine MFA-Anmeldung erforderlich ist.
Sicherheitsstandards wieder deaktivieren?
Update 12.12.2023 – Mittlerweile lassen sich die Richtlinien auch nicht mehr deaktivieren. Die Sicherheitsstandards können nach der Aktivierung von Microsoft auch wieder über Azure Active Directory #EntraID deaktiviert werden. Wir weisen an dieser Stelle klar darauf hin, dass wir das nicht empfehlen.
Die Deaktivierung sollte nur erfolgen, falls noch mehr Zeit für die Organisation benötigt wird, MFA Unternehmensweit einzuführen. Eine langfristige Deaktivierung kann der Sicherheit Ihrer Microsoft 365 Umgebung schaden.
Falls Sie noch Rückfragen zu dem Thema der Microsoft Sicherheitsstandards haben, können Sie jederzeit einen Vorgang eröffnen und wir beraten Sie gerne.
Fazit – AVD mit Office ist günstiger als ohne
MFA kann nur mandantenweit (ganzer Tenant) aktiviert werden. Wenn Sie vermeiden möchten, dass auch an Theken und Kassen-Arbeitsplätzen das Handy mit der Authenticator-App gezückt werden muss, benötigen Sie entweder einen Microsoft 365 Business Premium Plan oder bei anderen Plänen wie Windows E3 (für Azure virtual Desktop (AVD) ohne Office und ohne E-Mail) den Microsoft EntraID Plan 1. Diese beiden Zusammenstellungen erlauben auch Geräte-ID oder IP-Adresse des Geräts als zweiten Faktur zuzulassen. Die Nutzung der Authenticator App kann damit vermieden werden.
#Wichtig – Nutzer, die bisher einen Exchange online Plan 1 nebst Mailvirenschutz, Endpunkt-Virenschutz und AVD Zugriff nutzten, sollten auf den Microsoft 365 Business Premium Plan umstellen, sobald möglich, da die Summe der Einzel-Pläne den Preis des Premium-Plans überschreitet. Oder anders gesagt: Das Gesamtpaket mit Office ist günstiger als AVD mit Postfach und Schutz und MFA.
Microsoft Preisliste – nachgerechnet
Windows 10 – 22H2 letzte Version
Microsoft hat heute verlautbart, dass die Version 22H2 (Build 19045) das letzte Funktionsupdate für Windows 10 #Win10 ist. Man werde nur noch #Sicherheitsupdates bis zum Ende der Laufzeit bereitstellen. Das würde bedeuten, dass die vorhandene Regel (Build 19046 nach 18 Monaten erforderlich) gebrochen ist.
{Update 12.05.2023} Es gibt offensichtlich weiterhin auch Fehlerkorrekturen (die bisher immer am vierten Dienstag im Monat als optionales Update verteilt wurden). Die Änderungen des optionalen Updates werden immer mit dem nachfolgenden Patchday verteilt. Während der Patchday Mai 2023 Build 2965 hat, bekommen Insider Build 3030 mit etwa einer Seite Fehlerkorrekturen.
Für Endverbraucher (Consumer) ist das Ende der Sicherheitsupdates im Oktober 2025, für Enterprise-Kunden und die LTSC 2019-Version erst 2029 (LTSC-Versionen erhalten für 10 Jahre Updates, die letzte LTSC war 2021. Dies erhält aber nur 5 Jahre Updates, also bis 2026).
Kunden mit den Miet-Versionen wie Windows 10 Enterprise LTSC und Azure Virtual Desktop auf Windows 10 Basis müssen also die nächsten Jahre keinen größeren Aufwand betreiben und auch keine Hardware neu kaufen.
Mein Kommentar (Die folgenden Aspekte spiegeln die Meinung der Redaktion):
1) Unternehmen, die Windows 10 Pro und Enterprise einsetzen werden wohl kaum neue Hardware (Laptops alle 4-5 Jahre nach Abschreibung davon mal ausgenommen) ersetzen, nur damit ein unkomfortableres Windows 11 #Eleven darauf offiziell unterstützt wird. 2) keine Funktionsupdates mehr für Windows 10? Gut, weil bisher jedes Funktionsupdate nur mehr Werbung in Windows reingemogelt hat. Ich möchte nichts von BING, keine BING-Suche, keine Werbung, keine BING-Nachrichten und keine Websuche und Suchvorschläge damit auf meinem Rechner. Auch keinen Edge mit der sicherheitsanfälligen Adobe Reader Freemium Version integriert! Wenn ich ChatGPT ausprobieren möchte, installiere ich mir dafür Skype Desktop. Dafür kann ich komplett auf Edge verzichten und habe nur für Office die Edge Runtime mit im Gepäck, aber keine 25 Edge Browserprozesse im Hintergrund laufen. 3) Viele PC-Endgeräte werden nur noch zum Hochfahren benutzt, um dann einen Azure Virtual Desktop zu nutzen. Bei AVD bekommen wir bis 2031 (im Rahmen der Miete) erweiterte Sicherheitsupdates und müssen die Pools nicht auf Win11 umstellen. 4) Das zentral verwaltbare IGEL Thin-OS läuft wunderbar auch auf alter PC-Hardware und die Lizenz mit Wartung kostet nicht die Welt. Der AVD-Client unter diesem Linux wird offiziell von Igel und Microsoft supportet 5) Wenn ich das nicht falsch verstanden habe, lässt sich die 10 Pro-Version für einen monatlichen Betrag in eine Enterprise Version umwandeln – und schon gelten wieder erweiterte Supportzeiten. 6) Die Mitarbeitenden finden sich in einem einheitlichen Bedienkonzept wieder – selbst die Laptop-Benutzer fahren ein Windows 10 hoch und auf dem Terminalserver (2022) sieht es genauso aus. Ebenso bei Azure Virtual Desktop. Warum sollten sie sich mit zwei UIs anfreunden? 7) Ich befürchte, dass diesmal Windows 12 dann im Herbst 2024 nicht wieder das bessere Windows im gut/schlecht Rhythmus sein wird. Wenn doch, muss lediglich die Hardware-Beschränkung (mindestens Core i 8. Generation) gelockert werden.
Das die Bedienung der Nachfolgebetriebssysteme wieder besser wird, zeigt sich schon in den aktuellen Moment-Updates von Windows 11. Ich lasse mich gern eines Besseren belehren und bleibe solange wie möglich bei Windows 10 Enterprise (LTSC). Was noch fehlt, ist dass die ganze Werbung und das BING-Geraffel zunächst ausgeschaltet sein sollte und bei Bedarf über GPOs angeschaltet werden kann. Derzeit muss man rund drei Seiten voll GPOs sich mühsam zusammensuchen und dann verteilen (die Hoffnung stirbt bekanntlich zuletzt).
Fazit: Ich befürworte das IaaS Cloudkonzept (und da wo möglich ist auch SaaS). Außerdem bin ich überzeugt von den Vorteilen des Azure Virtual Desktops und den anderen Onlinediensten wie Exchange Online, Sharepoint, Teams und Onedrive for Business. Auf der Client-Seite und mit dem Einbringen von Werbung und Störfunktionen in der Pro-Version von Windows 10/11 hat sich Microsoft keinen Gefallen getan. ChatGPT als Onlinedienst zu nutzen, kann durchaus produktiv sein – auch in der Bezahlversion, eine zwangsweise Integration in ein Client-Betriebssystem ist aber m. E. unangebracht.
Meinung der Redaktion von tech-nachrichten.de
Samsung Buds True Wireless statt Klinke
Früher hatten alle Smartphones einen 3,5mm-Klinkenstecker. Daran konnte man entweder einen Selfie-Stick (wer sowas braucht), einen Fernauslöser für die Kamera oder ein kabelgebundenes In-Ear-Headset anschließen. Über das eingebaute Mikrofon konnten störungsfrei für die Anderen Gespräche geführt werden.
Alle neuen Smartphones, mittlerweile auch die Unter- und Mittelklasse verzichten auf den Klinkenanschluss, die mitgelieferten Headsets, Ladekabel und Netzteil. Ob aus Umweltschutzgründen (ein Typ-C-Ladegerät hat quasi jeder) oder zur Gewinnmaximierung der Hersteller sei mal dahingestellt.
Nun mussten also für das neue Smartphone möglichst handliche, Mobile Freisprecher her. Es liegt also nahe, sich auch hier im Hause Samsung zu bedienen, wenn das Telefon auch von dem Hersteller ist. Wer nimmt schon die fetten, schweren Over-Ear Headset immer unterwegs mit. 😮
#Samsung bietet verschiedene Modelle an (Buds Live im unteren Segment, Buds2 in der Mittelklasse und Buds2 Pro). Ich habe mich für die Mittelklasse SM-R177 entschieden, da diese mit Straßenpreis von derzeit knapp über 70 Euro netto nicht wesentlich teurer ist als die Billigvariante Live (rund 60 €) und deutlich günstiger als die Pro Variante, die es nicht unter 160 € gibt.
Die Live-Variante scheidet schon deshalb aus, weil die Hörer wie Bohnen und nicht als In-Ear-Silikon-Hörer ausgelegt sind, damit schlechter im Ohr halten und den schlechtesten Klang haben. Zudem funktioniert ANC so gut wie gar nicht.
Die getesteten Buds2 lassen sich sowohl an Android Smartphones, als auch mit Windows 10+ Rechnern über Bluetooth verbinden. Unter #Windows sogar noch komfortabler, weil sobald man den Deckel der Ladestation der Buds öffnet, Windows fragt, ob man die schnelle Kopplung der Geräte nutzen möchte. Einen Mausklick später sind die Ohrhörer (und die Mikrofone) verbunden und lassen sich nutzen.
Das Highlight: Es gibt auf Github die inoffizielle Buds Win32-Anwendung. Sie sieht ähnlich der Samsung App aus und hat sogar noch mehr Funktionen als das Android Original
https://github.com/ThePBone/GalaxyBudsClient
Da es die inoffizielle App auch für Linux gibt, lassen sich die Buds2 auch mit Linux koppeln.
Unter #Android installiert man am Besten die „Samsung Wear“ App startet sie, öffnet den Deckel der Buds-Ladestation und wählt dann die Buds aus. Konfigurieren kann man sie über die App. Dazu kann man ein Widget installieren, das dann auf einer der Homepages die direkte Steuerung von ANC, Equalizer und 360° Sound erlaubt.
Ein Einsatz unter IOS, sollte auch möglich sein, kann ich aber mangels Geräten nicht prüfen.
Möchte man nun mit den Buds zwischen den Geräten wechseln, geht man nur am entsprechenden Gerät in die Bluetooth-Einstellungen und drückt auf verbinden. Schon hat das gewünschte Gerät die Verbindung. Bei mir sind es zwei Laptops und ein Smartphone, die ich so wechselweise mit den True-Wireless Buds2 koppeln kann.
Mit einer Treibergröße von 11mm liegen die In-Ohrbohnen im Mittelfeld, was bedeutet, dass die Bässe auch in der Bass-Boost-Einstellung nicht so satt klingen können wie bei over-Ear-Headsets wie dem Jabra Evolve2 75. Das erwartet man aber auch nicht. Auch ANC lässt noch einige Geräusche durch, auch wenn man das zum Ohr Passende Silikondoppel verwendet (4 Paar sind in der Packung).
Die Bedienung erfolgt per Touch Sensorflächen egal ob am rechten oder linken Ohr. So kann man beispielsweise Anrufe annehmen oder abweisen, je nachdem ob man einen einfach-Klick, Doppelklick oder Dreifachklick toucht. Gleichermaßen die Musiksteuerung (3x klick = Titel zurück, 1x klick = Start/Stop, 2x klick = Titel vor. Auf dem Smartphone startet dann Samsung Music, auf dem PC muss man VLC und seine Playlist vorher aufrufen, kann dann aber mit den gleichen Kombinationen navigieren, solange VLC noch die Fokus-Anwendung ist.
Über die Einstellungen kann man auch konfigurieren, dass für Telefongespräche die Buds von ANC auf den Hear-Thru Modus automatisch gehen. So klingt das Telefonat natürlicher. Wahlweise kann dann trotzdem ANC eingeschaltet werden.
Geladen werden die Öhrlinge über die mitgelieferte Ladebox, die entweder über ein USB-C-Kabel (auch Schnelladen möglich) oder kontaktlos (Qi-Standard-Handy oder Ladefläche vorausgesetzt) aufgeladen werden können. Nutzt man sie gerade nicht, in die Ladestation damit und die Gesamtzeit sollte 5h Dauernutzung überschreiten.
Fazit: Bestes Preis-Leistungsverhältnis, excellente (wenn man die inoffizielle Github Software dazunimmt) Softwareuntersützung.
Samsung Galaxy A54 5G Testbericht
Etwa einmal pro Jahr bringt #Samsung neue Modelle seiner verschiedenen Serien heraus. Die Smartphones der oberen Mittelklasse (was Preis, Leistung und Verarbeitung angeht) bildet dabei die A5X Serie.
Nachdem mein Vorgänger nicht mehr monatliche Sicherheitsupdates bekam, war es an der Zeit, einen Nachfolger auszuwählen. Ganz frisch im Markt (seit März 2023) ist dabei das Samsung #Galaxy A54 5G.
Im Vergleich zum A53 5G hat es zwar geringfügige Nachteile, in punkto Sicherheit gewährt Samsung aber beim 54er ganze 4 Jahre Sicherheitsupdates im monatlichen Zyklus. Außerdem werden android und die OneUI Bedienoberfläche von Samsung längere Zeit Updates erhalten, als das A53 (es lief noch unter dem 3 Jahre Updates und 1 OS-Update Zyklus und wird demnach Ende 2025 keine monatlichen Sicherheitsupdates mehr bekommen).
Vergleich A54 (gegenüber A50) und Vorteile
Die erste Neuerung ist das eingebaute 5G-Modem. Eine Messung am Standort zauberte 267MBit Downstream und 70MBit Upstream hervor. (4G+ kam nur auf 100/20 MBit oder weniger).
Die Karten-Schublade ist nun hybrid, d.h. sie unterstützt ENTWEDER Dual SIMs oder aber eine SIM und eine Speicherkarte bis 1TB. Ich habe die Samsung EVO 512 eingesetzt.
Das Display ist etwas (0,1″) kleiner als beim A53, aber genausogroß und mit den gleichen Eckdaten wie beim A50 – also hier keine Änderung.
Es hat 3 statt 4 Kameralinsen (A53) und trotzdem eine bessere Kameraoptik als das A50. Außerdem wurde die Kamera-Software von der Oberklasse S-Serie übernommen.
Es gibt auch wieder ein Always On Display, das man aber erst einschalten muss (Werksseitig steht es auf „Tap to activate“)
Die Bedienung des neuen One-UI ist flüssig, man sollte aber in den Einstellungen die Entwickler-Optionen einschalten und dann alle drei Animationen ausschalten. Dann wird die Bedienung richtig schnell.
Im Firmenumfeld ist es dank Knox optimal in Intune integrierbar und die Mitarbeitenden haben einen Bereich im Smartphone, wo die privaten Apps laufen und im App-Drawer eine SEktion, wo Firmen-Apps aufrufbar/installierbar sind.
Leider kommt man nicht drum herum, bei der Ersteinrichtung einige Werbeapps wie booking.com, Twitter, Youtube Music und weitere erst zu installieren und am Ende wieder zu deinstallieren. Andere unerwünschte Apps lassen sich entweder deaktivieren oder über die AOD Schnittstelle an der Befehlszeile ordentlich deinstallieren.
Der (die) Lautsprecher sind wesentlich besser im Klang – der Einsatz mit Saugnapfhalterung im Auto als Navi ist nun auch mit dem integrierten Lautsprecher gut hörbar. Neuere Autos haben eh Android Auto – dafür wäre das dann egal.
Nachteile
Leider hat man auf die 3,5mm Klinkenbuchse verzichtet. Ich glaube zwar, das es wenige Nutzende mit Selfie-Stick gibt, aber die In-Ear-Headset-Kombination, die früher mitgeliefert wurde, war ganz praktisch. Im Gegensatz zur S-Serie werden weder (Bluetooth) Headset, noch Ladekabel, noch Netzteil mitgeliefert. Wer die Schnelladefunktion nutzen möchte, braucht das USB-C-Kabel und Netzteil vom Vorgänger Samsung-Handy oder ein kostenpflichtiges Neuteil.
QI- kontakloses Laden bleibt wieder den teuren S-Modellen vorbehalten, fand aber noch nie in der A-Serie statt.
Das UKW-Radio wurde mangels Antennenanschluss auch entfernt (davor war das Kopfhörerkabel die Antenne)
Empfohlenes Zubehör
Samsung EVO 512 GB MicroSD-Speicherkarte (mit rund 40 Euro ein günstiger Erweiterungsspeicher)
Silikon-Protektor, schwarz – schützt die Glas-Rückseite und bietet ein bessere Griffgefühl. Außerdem kippelt das Handy nicht, wenn man es auf den Tisch legt
Samsung Display-Schutz-Folie – Die Glasfront hat zwar Gorillaglas 5, aber wenn das Telefon mal auf einen spitzen Stein fällt, ist das Display hinüber. Mit etwas handwerklichem Geschick lässt sich das Touch Display folieren.
Fazit
#Erfreulich – der Wechsel von einem A50 oder älteren Samsung-Modell auf das A54 5G ist empfehlenswert, allein wegen der längeren Sicherheits-Laufzeit. Wer schon ein A53 5G hat, sollte erst bei Ablauf der Sicherheit auf das dann erschienene A56 5G wechseln.
#Wichtig – nach dem totalen Datenverlust eines norwegischen Cloud-Anbieters, hier die Fakten, was und wie bei Microsoft in ISO-zertifizierten Rechenzentren gesichert wird:
SaaS: (z.B. gevis SaaS, ECM (Archiv) SaaS, BI1 SaaS) – Microsoft bzw. AWS führt einmal täglich einen Snapshot der Datenbanken aus. Dieser wird 30 Tage vorgehalten.
IaaS: virtuelle Server, die Sie bei Microsoft in Azure betreiben, sind standardmäßig mit 1 Snapshot aller VMs pro Tag, 14 Tage lang und 10 Jahressicherungen gesichert. Wer mehr möchte, kann Wochen und Monatssicherungen zusätzlich mieten
Online-Dienste: Exchange online, Sharepoint online, Teams, Onedrive für Business werden nicht gesichert. Diese Dienste verfügen nur über einen Papierkorb, der 30 Tage Datenrestauration (allerdings auch nur für Onedrive und Exchange Postfächer, nicht für Teams Chats und Teams Einstellungen). Wir empfehlen für die Sicherung dieser Dienste den Onlinedienst „Artikel A0002613 ConnectWise Full Cloud Backup“.
Mailarchiv: In den Microsoft 365 Business Premium Plänen ist ein Mailarchiv enthalten, das eingerichtet werden kann. Alternativ ein Drittprodukte mit Ihrem Dienstleister einsetzen – z.B. Mailstore als Onlinedienst.
Azure Backup macht sogenannte Snapshots von allen in Azure IaaS angelegten und zur Sicherung ausgewiesenen Servern. Hierbei wird die gesamte Windows oder Linux-Maschine mit allen Inhalten, Betriebssystem und Daten (Storage) komplett gesichert. Liegen auf einer Dateifreigabe die Dokumente (aka. Laufwerke P:, Q:, R:, S:), werden diese mitgesichert.
2. Wie werden Daten in Azure Backup verschlüsselt?
Azure Backup verschlüsselt alle Ihre gesicherten Daten automatisch, wenn sie in der Cloud mit Azure Storage-Verschlüsselung gespeichert werden. Dies hilft Ihnen, Ihre Sicherheits- und Complianceverpflichtungen zu erfüllen. Ruhende Daten werden mit der AES-256-Verschlüsselung verschlüsselt (einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist). Zusätzlich werden alle Ihre Sicherungsdaten während der Übertragung über HTTPS übertragen. Sie bleiben immer im Azure-Backbone-Netzwerk.
3. Wieviele Backups der Datensicherung werden erstellt (Generationen)?
Die empfohlene Standardeinstellung (und Best-Practice) ist:
[X] 14 Tages Sicherungen (1 x pro Tag)
keine 5 Wochen Sicherungen (da deutlich teurer)
keine 12 Monats-Sicherungen (da deutlich teurer)
[X] 10 Jahres-Sicherungen
Hierbei ist entscheidend, dass Daten und Datenbanken, die älter als 14 Tage sind, keinen nennenswerten wirtschaftlichen Vorteil bieten. Für die Langzeitsicherung wird 1x pro Jahr eine Sicherung für 10 Jahre aufbewahrt.
4. Wo wird die Datensicherung gespeichert (an anderen Orten oder anderer Cloud)?
Aus wirtschaftlichen Überlegungen (GRC ist mind. doppelt so teuer) ist die Datensicherung als LRC gebucht, d.h. sie findet am Standort des gewählten Rechenzentrums (Frankfurt, Berlin, Dublin, Amsterdam) statt.
5. Ist die Datensicherung gegen Eventualitäten eines Ransomware-Angriffs vorbereitet?
6. Kann ich die gevis Datenbank zusätzlich Offline-Sicherung On-Premises erstellen?
Rechnen Sie die Datenmenge des SQL-Backup-Ordners und teilen sie durch Ihren Downstream Ihrer Internet-Leitung. Wenn die benötigte Zeit ausreicht, könnten Sie ein NAS z.B. von Synology bei sich aufstellen und über den integrierten Mechanismus den Ordner darauf kopieren. Zusätzlich – wegen notwendiger OFFLINE-Sicherungen müssen regelmäßig auf an das NAS angeschlossene USB-Platten Sicherungskopien erstellt werden, die dann an einem anderen Ort gelagert werden.
7. Wie kann ein Wiederherstellungstest durchgeführt werden?
Das BSI schreibt regelmäßige Rücksicherungstests vor. Best practice ist hierbei 1x pro Monat. Analog zum Datensicherungs-Band-Check (On-Premises) bieten wir auch für das Azure Backup Rücksicherungsprüfungen an. Der Bestellschein kann hier heruntergeladen werden.
8. Wie werden Daten aus Teams, Sharepoint, Exchange online und Onedrive for Business gesichert?
Wenn Sie keine optional anzumietenden Lösungen wie Connectwise Full Backup einsetzen, werden diese Dokumente und Daten nicht gesichert. Über de Papierkorb-Funktion der Onlinedienste lassen sich Dokumente nur max. 30 Tage restaurieren. Wird der Papierkorb gelöscht, sind die Dokumente fort. Mit dem Einsatz von Connectwise Full Backup werden mehrere Snapshots der Dokumente am Rechenzentrum des Connectwise Onlinedienstes gesichert.
9. Wie werden E-Mails archiviert?
Nur wenn im Rahmen des Microsoft 365 Business Premium Plans das E-Mail-Archiv auf den Postfächern aktiviert und bei den anderen Plänen lizensiert und aktiviert wird, erfolgt eine Archivierung von E-Mails. Alternativ kann unsere Archivlösung oder ein Barracuda Mailarchiv lizensiert und eingerichtet werden. Fremdarchiv-Onlinedienste sind ebenfalls denkbar, müssen aber vom Anbieter eingerichtet werden.
Patchday April kritische Lücken
#Wichtig – rund die Hälfte der mit dem April #Patchday geschlossenen Lücken werden im CVE-Rating als kritisch eingestuft und ermöglichen „Remote-Code Execution“. Ein gefundenes Fressen und ein sehr hohes Risiko, dass Mitarbeitende mit Benutzer-Rechten etwas anklicken und das Angeklickte den Rechner infiziert, Code nachlädt und weitere Systeme im Netzwerk befällt.
Hierbei werden Dienste (wie beispielsweise ein lückenhafter DHCP-Serverdienst) genutzt, um ohne Adminrechte Programme auszuführen.
Da bei den Updates auch Dienste auf den Servern betroffen sind und nicht nur Windows Clients, sind die zeitnahe Installation der April-Patches enorm wichtig.
Mit dem Funktionsupdate März, das mit dem Patchday April 2023 an alle verteilt wird, wird außerdem LAPS (Local admin Password solution), die Möglichkeit, lokale (Admin-) Konten und Kennwörter per Gruppenrichtlinien zu setzen/ändern in die Windows-Betriebssysteme integriert. Ob LAPS auch für die Server implementiert wird, wird aus dem Artikel nicht klar.
Windows 10 Build 19045 erforderlich
Microsoft erinnert derzeit daran, dass Windows 10-Versionen, die nicht das Funktionsupdate 22H2 haben, im Juni 2023 das letzte Funktionsupdate und im Oktober 2023 das letzte Sicherheitsupdate bekommen. [Update Mai 2024]: Auch die Enterprise-Version von Windows 10 bekommt nur noch automatische Updates bis Oktober 2025, wenn Version 22H2 installiert ist.
Windows 10 21H2 oder älter ohne Updates1Jahr 10Monate 1Woche 4Tage seit Di. 10. Okt. 2023681 Tage
#Endoflife – Da das Funktionsupdate von Version 21H2 (19044) auf 22H2 (19045) nur wenige Minuten dauert, sollte es unbedingt zeitnah ausgeführt werden. Sollten Sie noch Windows 10 Systeme mit einem Build kleiner als 19041 haben, dauert die Installation des Funktionsupdates mindestens eine Stunde, ist aber umso wichtiger.
Neue Features gab es zum Juni 23 Update allerdings wenige. Es wurde aber „unter der Motorhaube“ gearbeitet. Betroffen sind auch die Windows 10 Pro und Workstation Versionen (da Microsoft sie zu den Consumer-Versionen zählen).
Prüfen Sie, welche Windows – Version auf Ihren Systemen ist. Wenn Sie #OpenAudit Classic im Einsatz haben und alle Systeme inventarisiert, reicht dazu ein Blick in die Hardwareliste. Der jeweilige „Build“ wird dort in einer der rechten Spalten angezeigt. Dort muss eine 19045 enthalten sein. In Azure Virtual Desktop (Windows 10) werden bis mindestens Januar 2027 Sicherheitsupdates angeboten. Vermutlich wird Microsoft aber die Mieter nicht zwingen, die AVD Maschinen im Pool auf Windows 11 umzustellen. Bis 2025 wird ohnehin Windows 12 oder eine akzeptable Windows 11 25H2 Version erschienen sein. Bereits in Windows 11 24H2 wurden zahlreiche Mängel der Vorversionen beseitigt.
Microsoft Supportseiten
Neues aus dem Phishereihafen
Mittlerweile lässt die Bereitschaft der Phishing Agency, korrekte deutsche Sprache zu verfassen wieder nach. Vermutlich weigert sich ChatGPT mittlerweile, den Betrügern Texte zu verfassen. Die Nigeria-Connection nennt uns nun „Aufmerksamkeit“ – wer mich nicht mit „Euer Durchlaucht“ anreden, bekommt meine schon mal gar nicht.
Der „Sanfte Kunde“ in der anderen Fraud-Mail schmeichelt dagegen. Mit Aktivitäten AUF meiner Kreditkarte meinen die bestimmt, dass eine Ameise über die Karte gekrabbelt ist. Wie auch immer – mittlerweile kann man nur sagen: „Wer drauf reinfällt, ist selbst schuld“.
ChatGPT und der erste April
Nun ja, das mit Google am ersten April war unser diesjähriger #Aprilscherz, wie einige bemerkt haben, Überhaupt fällt auf, dass sich diese Jahr fast alle ITler auf ChatGPT in ihren Scherzen konzentrieren.
ChatGPT selbst ist leider nicht sehr kreativ und bietet nur Vorschläge für zwei Scherze an:
Bing KI-Suche wird zu Google KI-Suche
Nachdem Microsoft mit dem Edge on Chromium Browser aktuell wieder Marktanteile verliert (Das hängt auch damit zusammen, dass der intergrierte PDF-Betrachter durch die Adobe Acrobat Reader Freemium Software mit Werbung ausgetauscht wird), möchte man sich ganz auf die künstliche Intelligenz konzentrieren.
Bisher musste man entweder Microsoft Edge benutzen oder in Chrome die bing.com Webseite aufrufen, um die Suchmaschine BING optional um die KI-Funktionen zu erweitern.
Ab sofort kann, wer als Standard-Browser Google Chrome für Enterprise verwendet (auch der empfohlene Browser unserer Redaktion), sich auf der Microsoft Bing ChatGPT-Seite (wie bisher) registrieren und (nach Verlassen der Warteschlange, was einige Tage dauert) die KI aus dem Chrome Browser heraus nutzen. Dazu muss nicht einmal mehr Edge on Chromium auf dem System installiert sein. Auch Cortana, der Sprach-Assistent ist optional, da Google ja ebenfalls eine Sprachengine enthält.
Die Google Suche bekommt damit ebenfalls die Microsoft ChatAI Funktion – man muss nicht BING verwenden als Suchmaschine.
Microsoft Tech Blog
Zum Aktivieren der KI-Such-Funktionalität (ehemals Bing ChatGPT inklusive der Google Sprachsteuerung) in Google Chrome (ab Version 111 stable) gehen Sie in die chrome://flags und setzen den folgenden Parameter auf „enabled“. Nach einem Neustart des Browsers und wenn Sie bei Microsoft freigeschaltet sind (siehe oben), antwortet Ihnen die Google Suche automatisch mit der künstlichen Intelligenz von (ehemals BING-) ChatGPT – selbstverständlich auf deutsch.
Microsoft macht alten Exchange die Tür zu
Wie aktuelle Statistiken beweisen, sind noch zigtausende alte #Exchange Server im Internet erreichbar und versenden (da solche Server meist schon – auch ohne das der Betreiber es merkt – unter der Kontrolle Krimineller sind) E-Mails und Spams.
Da nur noch Exchange Server mit Version 2016 und 2019 #Sicherheitsupdates bekommen, stellen die alten Versionen 2007, 2010 und 2013 ein hohes Risiko dar. Microsoft hat daher beschlossen, auf seinen Onlinediensten (Exchange Online/Microsoft 365) den Empfang von Mailservern der unsicheren Art zu verhindern, indem dort der absendende Server aus den E-Mail-Kopfzeilen ausgelesen wird und bei feststellen von einem Exchange 2007/10/13 die E-Mail abgewiesen (gebounct) wird.
Die Block-Regel für Exchange Server 2007 wird kurzfristig aktiviert, 2010 und 2013 sollen dann sukzessive folgen.
#Wichtig – wer noch einen Exchange Server 2007, 2010 oder 2013 betreibt, sollte umgehend handeln (Version 2019 lizensieren (Ende der Sicherheitsupdates ist bereits am 14.Okt 2025 und einen Nachfolger kann man nur noch mieten!) oder besser: auf Exchange online umstellen) oder damit rechnen, dass er viele seiner Kunden und Lieferanten (alle Empfänger, die bereits Microsoft Online-Diente nutzen) nicht mehr erreichen können wird.
Zum Onlinedienst Exchange online kann man E-Mail-Security und SPAM-Schutz dazubuchen (und hat den Defender mit Advanced Threat Protection im Business Premium Plan enthalten oder zum Exchange online-Plan den Defender gebucht).
Der Virenscanner ist so sicher, dass er selbst nachweislich von Microsoft (Kopfdaten im E-Mail-Header und Sendeverlauf der Mailserver) stammende E-Mails fallweise auch in Quarantäne „Phishing-Verdacht“ legt. Was mir dabei gar nicht gefällt ist, dass die Benachrichtigungs-E-Mail vom Microsoft Quarantäne-Center genau so aufgebaut ist, wie alle Phishing-Mails. So befindet sich darin beispielsweise ein Link, auf den man klicken soll. Geschulte User klicken auf keinen Fall auf den Link. Wer also weiß, wie er das Microsoft 365 Defender Quarantänecenter erreichen kann, gibt die URL dazu im Browser ein, wer nicht, fragt seinen Administrator nach der URL und gibt sie dann im Browser ein.
Die kassierte E-Mail und die Benachrichtigung stammen nachweislich von Microsoft selbst
Im Quarantäne-Bereich angekommen, erscheint dann die E-Mail in der Liste. Hier wird nun auch der Grund für die Quarantäne genannt: SPAM-Verdacht, nicht Phishing.
Niemals auf Links und Buttons in E-Mails klicken, auch wenn die E-Mails von einem bekannten Absender stammen. Ist die Zieladresse bekannt, diese im Browser eingeben. Ist sie nicht bekannt, die E-Mail umgehend löschen!
Ausschneiden und Skizzieren nicht sicher
Update 26.03.2023: Auch wenn Microsoft den #Acropalypse Fehler angeblich mit der Version 11.2302.20.0 von „Ausschneiden und skizzieren“ behoben hat – unter Windows 10 taucht weiterhin Version 10.2008.3001.0 auf. Daher ist es sicherer, Bilder entweder mit der kostenlosen Anwendung Paint.net zu beschneiden oder aber ShareX zu verwenden. Mit beiden Apps konnte nicht festgestellt werden, dass nach dem Ausschneiden noch ausgeschnittene Fragmente in der Bilddatei zu finden waren.
Der Nachfolger vom „Snipping-Tool“ in Windows 10 und 11 ist „Ausschneiden und Skizzieren“, das sich über die Tastenkombination {Windows&Hochstellen&S} aufrufen lässt. Damit können Bildausschnitte oder Bildschirmfotos erstellt, bearbeitet und gespeichert werden. Dabei kann man auch Teile wegschneiden, um beispielsweise Informationen für den Empfänger zu verschleiern.
Aktuelle Tests haben jedoch ergeben, dass die entfernte Information weiterhin im PNG-Bild abgespeichert ist. Die PNG enthält somit auch das ursprüngliche Bild mit den Informationen, die nicht verschleiert wurden. Mit Analyse-Tools (oder mit einem Hex-Editor) lässt sich demnach das ursprüngliche Bild wiederherstellen.
Das quelloffene Projekt „ShareX“ hat diese Lücke nicht, bietet mehr Möglichkeiten (wie das sofortige Abspeichern der Schnappschüsse ohne Rückfrage und die Videoaufzeichnung als MP4-Datei). ShareX ist der Nachfolger von „Greenshot“. Wir empfehlen als Dokumentations- und Ausschneide-Werkzeug „ShareX“ einzusetzen
ShareX Projekt
Zerstören Sie diese Nachricht
Neben Banken und Liefer-/Paketdiensten werden nun auch Logos von Punktesammelfirmen in Phishing-E-Mails eingesetzt. Die angegebene Miles & More AG gibt es natürlich nicht (es ist eine GmbH), auch die Absendeadresse ist wieder klar als falsch erkennbar. Während man in dieser E-Mail auf Rechtschreibfehler verzichtet, sind die gewählten Formulierungen kurios: Konto Aktivität, aber Karte, nicht Konto gesperrt. Und sie laden uns ein, auf den bösen, bösen Link zu klicken. Klar, wer auf alles klickt, das nicht bei 1-2-3 auf den Bäumen ist, wird auch darauf hereinfallen. Wie man E-Mails „zerstört“ bleibt ungeklärt. Wir empfehlen 85%ige Salzsäure (wie in dem Filmzitat „Diese Nachricht zerstört sich in 5 Sekunden“).
Auch die in den Microsoft 365 Business Premium Plänen integrierte Linkprüfung verhindert nicht zu 100% das Aufrufen solcher Betrugswebseiten.
Wir können immer nur wiederholen: Links in E-Mails anklicken ist absolut tabu. Auch wenn es sich um E-Mails vermeintlich bekannter Absender handelt – auf jeden Fall die Link-Adresse kopieren und in einem Editor anschauen. Besser: Die Webseite des Anbieters eingeben oder den eigenhändig erstellten Lesezeichen aufzurufen, ist eher geeignet.
Ein neuer Phisch
IT-Sicherheit – Fragen und Antworten
In dieser #FAQ haben wir die wichtigsten Fragen und Antworten zur IT #Sicherheit für Sie zusammengestellt:
1. Was ist Phishing und wie können Sie sich davor schützen?
Phishing ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartennummern preiszugeben. Sie können sich davor schützen, indem Sie auf verdächtige E-Mails achten, keine Links in E-Mails anklicken, die Sie nicht erwartet haben, und keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist.
2. Was ist Social Engineering und wie können Sie sich davor schützen?
Social Engineering ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen preiszugeben, indem sie sich als vertrauenswürdige Person oder Organisation ausgeben. Sie können sich davor schützen, indem Sie auf verdächtige Anfragen achten, keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist, und keine Links anklicken, die Sie nicht erwartet haben.
3. Was ist Ransomware und wie können Sie sich davor schützen?
Ransomware ist eine Art von Malware, die Ihre Dateien verschlüsselt und Sie auffordert, ein Lösegeld zu zahlen, um sie wiederherzustellen. Sie können sich davor schützen, indem Sie regelmäßig Backups Ihrer Dateien erstellen, eine Antivirensoftware verwenden und keine verdächtigen E-Mail-Anhänge öffnen.
4. Was ist Malware und wie können Sie sich davor schützen?
Malware ist eine Art von Software, die darauf abzielt, Ihren Computer zu beschädigen oder zu stehlen. Sie können sich davor schützen, indem Sie eine Antivirensoftware verwenden, keine verdächtigen E-Mail-Anhänge öffnen und keine Software von unbekannten Quellen herunterladen.
5. Was ist ein starkes Passwort und wie können Sie ein sicheres Passwort erstellen?
Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Sie sollten auch keine persönlichen Informationen wie Ihren Namen oder Ihr Geburtsdatum verwenden.
6. Was ist eine Firewall und wie funktioniert sie?
Eine Firewall ist eine Art von Sicherheitssoftware, die den Datenverkehr zwischen Ihrem Computer und dem Internet überwacht und unerwünschte Verbindungen blockiert.
7. Was ist ein VPN und wie funktioniert es?
Ein VPN ist eine Art von Sicherheitssoftware, die Ihre Internetverbindung verschlüsselt und Ihre Identität verbirgt, indem sie Ihre IP-Adresse maskiert.
8. Was ist eine Zwei-Faktor-Authentifizierung und wie funktioniert sie?
Eine Zwei-Faktor-Authentifizierung ist eine Methode, bei der Sie sich mit zwei verschiedenen Methoden anmelden müssen, z. B. einem Passwort und einem Fingerabdruck oder einem Passwort und einem SMS-Code.
9. Was ist ein Physischer Zugriff und wie können Sie sich davor schützen?
Physischer Zugriff bezieht sich auf den Zugriff auf einen physischen Ort oder ein physisches Gerät. Sie können sich davor schützen, indem Sie Ihre Geräte sperren, wenn Sie sie nicht verwenden, und sicherstellen, dass Sie sie nicht unbeaufsichtigt lassen.
10. Was ist ein Sicherheitsupdate und warum ist es wichtig, es durchzuführen?
Ein Sicherheitsupdate ist eine Art von Software-Update, das Sicherheitslücken in Ihrem Betriebssystem oder Ihrer Software behebt. Es ist wichtig, Sicherheitsupdates regelmäßig durchzuführen, um sicherzustellen, dass Ihr Computer vor Bedrohungen geschützt ist.
veeam neue kritische Sicherheitslücken
Werden diese #Sicherheitslücken (CVE-2023-27532 „hoch“) ausgenutzt, können Angreifende Kontrolle über den Backup-Server erlangen. Veeam Software hat Anfang März 2023 Sicherheitsupdates zur Verfügung gestellt, mit denen die Lücken geschlossen werden können.
#Wichtig – Wie aus dem Security-Bulletin des Herstellers hervorgeht, müssen alle veeam-Versionen (9,10 und auch Version 11) auf Version 12.0 aktualisieren.
Hierzu ist ein aktiver Wartungsvertrag erforderlich (Anmerkung: Eine Backup-Software ohne Wartung bzw. mit Sicherheitslücken zu betreiben, führt bei vielen Versicherungen zur Kürzung von Leistungen im Schadenfall. Vielfach ist die Datensicherung auch der einzige Rettungsanker, wenn ein Verschlüsselungstrojaner gewütet hat). Die Vertrags-Rest-Laufzeit wird im Startbild von veeam oder im „Info über“ Dialog unter „Support expiration date“ im Hamburger-Menü angezeigt. Ist der Support nicht „expired“, dürfen Sie upgraden. Zum Herunterladen der aktuellen Patches melden Sie sich mit Ihrem veeam Konto auf veeam.com an, laden das Update herunter und installieren es. Dabei müssen auch die Agents auf den physikalischen Maschinen aktualisiert werden. Nach einem Neustart des Backup-Servers ist die Sicherheitslücke geschlossen und Sie haben die aktuelle 12er Version von veeam im Einsatz.
Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.
veeam Knowledgebase
Kritische Lücke in Microsoft Office
#Wichtig – Microsoft hat mit den Februar-Updates kritische #Sicherheitslücken geschlossen, mit der es möglich ist, durch eine manipulierte .RTF Datei in Systeme einzubrechen. Das Kritische daran: Die E-Mail-Vorschau in Outlook reicht aus, um den enthaltenen Schadcode auszuführen. Dazu muss man die E-Mail bzw. den Anhang nicht einmal öffnen. Auch im Windows-Explorer kann die Lücke in der Dateivorschau genutzt werden.
Betroffen sind alle Office-Versionen ab 2007, gepatcht werden aktuell nur noch Versionen ab 2016.
Wer ein Microsoft 365 Abonnement einsetzt, ist einigermaßen fein raus – aber nur dann, wenn er die Office-Updates auch automatisch und zeitnah ausrollt. Das kann man leicht im Datei/Office-Konto Menü der Office-Programme prüfen. Dort muss z. B. „Microsoft® Outlook® für Microsoft 365 MSO (Version 2302 Build 16.0.16130.20186) 32 Bit“ stehen. Entscheidend ist die 2302, die für Februar 2023 steht.
Stellen Sie sicher, dass Sie keine Office-Versionen einsetzen, die nicht das Februar-Sicherheitsupdate verfügen. Bei älteren Office-Versionen müssten Sie verhindern, dass diese in Verbindung mit .RTF-Dateien kommen – was allein bei Outlook schwierig ist, aber alle Office Apps und Programme betrifft, die als Vorschau .rtf anzeigen können.
Wenn Sie unterstützte Office Versionen oder Microsoft 365 einsetzen, stellen Sie sicher, dass das Februar 2023 – Update installiert ist.
Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.
Die lustige Wortstellung im Deutschen wie bei „Ich helfen will“, „Deutsch bei Joda gelernt hast?“ ist bekannt von der kleinen Figur aus der Science-Fiction Serie. Nun findet die Sprache auch in E-Mails, die Ihre Daten klauen möchten, Einzug. So heißt es in der aktuellen SPAM-Welle, die natürlich nicht von der Telekom-Tochter kommt, sondern von zwielichtigen Gestalten:
Dies ist eine Benachrichtigung, um Sie darüber zu informieren, dass Ihr Konto gesperrt wurde. Die Aussetzung ist wie folgt:
Domain Namen. (Anm: hier wird nicht etwa die Internet-Domain eigetragen, sondern da steht „Domain Namen.“)
Grund für die Sperrung: Unser Abrechnungssystem hat festgestellt, dass Ihr Domainname abgelaufen ist (Anm: Ein MHD gibt es nicht, der Provider würde schreiben, dass die Rechnung nicht bezahlt wurde, denn ein Vertrag enthält nicht nur die Internet-Domain), daher wurde er für die weitere Verwendung gesperrt. Um Ihr Konto (Anm: gerade ging es doch noch um den Domain-Namen, nicht um ein Konto) zu reaktivieren, melden Sie sich bitte an und überprüfen Sie die Liste der damit verbundenen Domains, erneuern Sie alle und aktualisieren Sie gegebenenfalls die Zahlungsmethode. Wir empfehlen Ihnen, alle erforderlichen Änderungen so schnell wie möglich vorzunehmen, damit Sie keine wertvolle Zeit verlieren, die Sie bereits in das Produkt investiert haben und Schritten unter folgendem Link mаnuell аuszufüllen : Kundenbereich (Anm: Hier ist der böse Link, auf den immer noch viele Empfänger klicken)
Wichtig: Wenn Sie die Domain nicht innerhаlb von 24 Stunden аb heute werden erneuern, Ihre Dienste endgültig gelöscht werden(Anm: hier ist es endlich, das Joda-Zitat)
aktuelles aus dem SPAM-Filter.
Moderne SPAM-Filter, wie sie beispielsweise im Security Paket ( #Defender für Exchange ab Plan 1 oder im #Microsoft 365 Business Premium Plan ) enthalten sind, filtern solche E-Mails bei Bedarf automatisch heraus, so dass unbedarfte Mitarbeitende schon mal nicht mehr klicken (können).
Prüfung zum Sysko SQL RTC auf SaaS Update
Modul 3 des Sysko-Führerscheins. Sie haben von Classic SQL (NAV 2009R2) oder dem RTC (NAV 2013 bis BC14) auf gevis ERP | SaaS oder gevis ERP | VEO umgestellt. Diese #Prüfung hilft Ihnen, Ihre erlernten Fähigkeiten unter Beweis zu stellen. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
Teams free wird eingeschränkt
Während lange Zeit viele Funktionen auch ohne Anmeldung und ohne Abonnement kostenlos nutzbar waren, kündigt Microsoft nun das Teams (klassik) Modell. Am 12. April 2023 werden die Konten gekündigt und müssen neu verbunden werden. Wer also schon eine Organisation mit seinem Teams-Konto verknüpft hat (auch das war mit einem normalen Microsoft-Konto bisher möglich), verliert ab diesem Datum alle Chats und Einstellungen.
Wer also Teams ohne ein „Arbeitskonto“, sondern kostenlos mit einem Microsoft-Konto nutzt und weiter kostenlos eingeschränkte Funktionen nutzen möchte, muss bis April tätig werden. Die Einschränkungen der neuen „Teams free“ Version lassen nur noch Videotelefonate, bzw. Besprechungen von max. 1 Stunde Gesprächsdauer zu. Auch die Zahl der Teilnehmenden wurde eingeschränkt.
#Wichtig – Wer die so entstandenen Daten mitnehmen möchte, braucht mindestens ein Teams Essential Abonnement (ca. 3,40€ pro User pro Monat). Dazu muss ein M365 Mandant bestehen oder angelegt werden. Zusätzlich müssen die gespeicherten Daten händisch exportiert und in den neuen Account importiert werden.
Alternative – Abonnement
Wer bereits jetzt Microsoft 365 Business Premium Pläne im Unternehmen einsetzt, braucht nichts zu tun und kann den vollen (bisherigen) Umfang von Teams weiter nutzen. Allerdings gibt es auch dort Funktionen, für die es ein zusätzliches Teams Premium Abonnement erfordert.
Fazit
Kunden mit Microsoft 365 Business Plänen sind nicht betroffen, es sei denn, sie möchten Funktionen nutzen, die es nur im Premium Abo gibt
Teilnahme an Schulungen der GWS ist weiterhin mit der kostenlosen Teams-Version auch ohne Anmeldung mit einem Microsoft-Konto oder M365 Plan möglich
Wer mit einem Microsoft-Konto (also nicht mit Arbeitskonto) an Teams angemeldet ist und in seinem Betrieb die kostenlosen Funktionen nutzt, muss ab April auf einen M365 Plan wechseln oder verliert seine Chats/Teams/Dokumente.
Visual C++ Runtimes ohne Updates
Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem – was diese Runtimes betrifft, frei von bekannten #Sicherheitslücken – Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.
Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.
Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.
Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023
Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.
Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren – und bestenfalls den Hersteller nach einer neueren Version fragen.
Microsoft Edge ab März mit Adobe Freemium
Wie Microsoft heute mitteilte, wird der in #Edge integrierte Open-Source PDF-Betrachter ab März 2023 durch ein Adobe PDF Reader Lite Freemium Modul ersetzt und der integrierte PDF-Betrachter dadurch ersetzt. Ähnlich zum installierbaren Adobe Acrobat Reader DC werden dann innerhalb des Moduls die Premium-Funktionen, die es nur im Abo gibt, von Adobe beworben. Microsoft Edge stellt damit Werbung nicht nur für eigene Produkte, sondern Lösungen von Drittanbietern dar. Welche Daten dabei an Adobe Inc. USA übertragen werden, ist noch unklar. Außerdem wächst der Bedarf an Datei- und Arbeitsspeicher für das Produkt und die Dienste (z. B. Adobe Updater) an. (Quelle: Microsoft Website)
Kommentar: Oh, nein!. Da bin ich gerade froh, Adobe Acrobat Reader DC von allen Systemen entfernt zu haben und somit 95% Sicherheitslücken und veraltete Versionen weniger, da baut Microsoft eine Freemium-Version in den eigenen (in weiten Teilen GPL-lizensierten) Browser ein.
Nun haben wir einenj weiteren Grund, Chrome für Enterprise als Standard-Browser zu setzen und ggf. sofern möglich, Edge ganz aus dem System zu entfernen. Dabei ggf. nur die Edge Runtime (die hoffentlich ohne Adobe Reader-Plugin geliefert wird, für einzelne Apps zu verwenden. Ich hoffe, das Vorhaben wird nicht Bestand haben oder eine Option (oder Life-Hack) geben, die PDF-Engine zu deaktivieren.
Ich werde bei Chrome Enterprise und dem integrierten Open-Source PDF-Betrachter in diesem Browser bleiben und überlege, ob ich den Edge rückstandsfrei entfernen kann auf allen betreuten Systemen. Die Aufdringliche Werbung dafür nervt ja eh und dass man laufend dagegen neue Policies aktivieren muss!
Der Kommentar im Kasten spiegelt die Meinung der Redaktion.
Objektiv betrachtet: Man kann geteilter Meinung sein, welchen Browser man am Besten findet. Aber um die höchstmögliche Sicherheit von Windows Systemen zu bekommen eignet sich (denn dabei stehen 0-Day-Updates bereits zwei Stunden nach Bekanntwerden zur Verfügung). Google Chrome Enterprise als Standard-Browser.
Seit Version 109 von Edge gibt es nur die folgende Möglichkeit den Microsoft Edge Browser rückstandsfrei aus Windows 10 und Server 2016/19/22 zu entfernen (wie immer Benutzung auf eigenes Risiko):
Den Windows Taskmanager starten und alle Prozesse beenden, die mit Microsoft Edge beginnen
Eine administrative Powershell öffnen und den Befehl reg add „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EdgeUpdate“ /v „DoNotUpdateToEdgeWithChromium“ /t REG_DWORD /d 1 -f eingeben
Regedit aufrufen und den Ast: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ öffnen. Dann die Schlüssel durchblättern, bis Microsoft Edge beim Display Name auftaucht. Den kompletten Schlüssel löschen
Windows Explorer öffnen und alle Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (außer Webview2)
Die Edge Verknüpfungen in Startmenü und Taskleiste löschen
Zuletzt unter Systemsteuerung Programme&Features den Microsoft Edge Webview2 deinstallieren.. Achtung: Edge Webview2 muss nach jedem Office-Update erneut deinstalliert werden,
Nun auch den Rest der Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (Edge Updater)
Die Aufgabenplanung aufrufen und alle Tasks löschen, die mit Edge beginnen!
Den Rechner neu starten und den freien Platz und rund 600 MB mehr Arbeitsspeicher und weniger Hintergrunddienste genießen
vmware aktuell halten
Angesichts der aktuellen Angriffs-Serie fokussieren sich Cyberkriminelle auf ungepatchte Browseroberflächen in der VCenter Oberfläche von vmware-Versionen, die Weboberfläche von ESX(i)-Server und auch den vmware Workstation Hypervisor.
Dabei reicht es aus, dass das Unheil stiftende Programm im Netzwerksegment ausgeführt wird, wo die Server stehen. Schadprogramme laufen im Benutzerkontext und werden vorzugsweise durch Klicks von Benutzern gestartet.
Das besondere daran ist, dass die Sicherheitslücken bereits 2021 geschlossen wurden. Offensichtlich gibt es viele Kunden, die entweder keinen Wartungsvertrag mehr mit vmware haben (damit keinen Zugriff auf die Patches) oder/und ihre Systeme nicht aktuell sind.
#Wichtig – Wir raten allen Systemkoordinierenden, ihre VMware Installationen auf aktuellem Stand zu halten.
Obwohl seit #Hafnium bekannt ist, dass der Betrieb von #Exchange 2019, 2016 und 2013 oder älteren Servern mit der höchsten Risiko-Klasse verbunden ist, hat eine Studie von Januar 2023 herausgefunden, dass über 60.000 Server weltweit entweder ungepatcht oder eine alte Version wie 2013 oder älter haben. #Wichtig – Große Teile dürften damit bereits unter Kontrolle von Kriminellen sein und zum Identitätsdiebstahl genutzt werden.
Das Schlimme – im Strafrechtlichen Bereich sind Sie als Betreiber oder Lizenznehmer betroffen und müssen im Schlimmsten Fall hohe Bußgelder zahlen oder mit empfindlichen Strafen rechnen. Zudem reduzieren oder verweigern Cyber-Versicherungen die Zahlung mit Berufung auf Vorsätzlichkeit.
Artikel im Techblog von Microsoft, wo nochmal eindringlich auf den aktuellen Patchstand hingewiesen wird.
Sicher ist nur, wer Exchange online gemietet hat, denn für diesen Online-Dienst trägt Microsoft die Verantwortung für die Aktualisierung und das schnelle Schließen von Sicherheitslücken. Das Ganze in Verbindung mit dem Microsoft 365 Business Premium Plan, der gesetzlich vorgeschriebene Dinge wie ein Mailarchiv, den Business Virenschutz und in Verbindung mit dem Exchange Security Paket auch Mail und Spamschutz enthält.
Office 2021 eol nur 1 Jahr nach Office 2016/2019
Wie viele von uns wissen, werden am 14. Oktober 2025 mit dem Patchday das letzte Mal Sicherheits-Updates für die Kaufversionen sowie die Volumenlizenzen veröffentlicht. Danach ( #endoflife ) ist bei diesen Produkten damit zu rechnen, dass nicht mehr geschlossene Sicherheitslücken für das Einschleusen von Schadsoftware benutzt werden. Zu allem Übel kürzen Cyber-Versicherungen dann rigoros die Leistungen im Schadenfall, weil unsichere Produkte verwendet werden. Im Schlimmsten Fall bleibt die Leistung wegen Vorsätzlichkeit ganz aus.
Was viele noch nicht wussten: Microsoft hat mit den Kauf-Versionen von Office 2021 erneut den erweiterten Support-Zeitraum gekürzt (das ist der Zeitraum, nach dessen Ablauf keine #Sicherheitsupdates mehr erscheinen). Von 7 Jahren bei Office 2019 auf 5 Jahre.
Office 2021 bekommt damit ab 13. Oktober 2026! – knapp ein Jahr nach Office 2019 und 2016 keine Updates mehr.
Jetzt noch Kauflizenzen zu erwerben führt dazu, dass die Anschaffung nicht mal mehr ganz im Rahmen der AfA abgeschrieben werden kann. Insbesondere bei Gebraucht-Lizenzen sei hier noch mal die Warnung formuliert, dass Fälle bekannt sind, wo Microsoft strafrechtlich gegen Käufer = Lizenznehmer vorgegangen sind.
Die für den Administrator komfortabelste und für den Geschäftsführer mit den wenigsten Risiken verbundene Lösung bleiben damit die Microsoft 365 Mietpläne.
Von PetaBytes und Exabytes
Im Bild sieht man den Grund, warum Mozilla Firefox nicht empfohlen wird. Wenn man mal den Platzbedarf sieht, den allein die Firefox-Tracking-Cookies benötigen, machen die 7 Exabyte rund ein Viertel Promille des weltweiten Datenbestands aus. Das waren nach Google-Recherche rund 33.000 Exabytes in 2019.
Als (Standard HDD) Cloudspeicher angemietet kostet das rund 30.000.000 € pro Monat, als (Premium SSD) etwa 4x so viel. Also etwa wie die Porto-Kasse von E. M. 😉
big big data
8 Bits – also acht binäre Informationen – sind ein Byte.
1024 Bytes sind ein Kilobyte (KB, KBbyte).
1024 Kilobytes sind ein Megabyte (MB, MByte).
1024 Megabytes sind ein Gigabyte (GB, GByte).
1024 Gigabytes sind ein Terabyte (TB, TByte).
1024 Terabytes sind ein Petabyte (PB, PByte).
1024 Petabytes sind ein Exabyte (EB, EByte).
1024 Exabytes sind ein Zettabyte (ZB, ZByte).
1024 Zettabytes sind ein Yottabyte (YB, YByte, Yobibyte).
Microsoft 365 Dienststatus abfragen
Kommt selten vor, war aber aber Anfang Februar 2023 der Fall: #Microsoft Online-Dienste sind nicht erreichbar oder extrem langsam. Wenn beispielsweise in Ihrem #Teams kein Video und keine Bildschirmfreigaben mehr funktionieren und der Bildschirm schwarz bleibt – oder sogar Verbindungs-Abbrüche auftreten, kann die Internet-Verbindung schuld sein, es kann aber auch eine Störung in den Onlinediensten vorliegen. #Wichtig – Über einen gängigen Speedtest, wie den von AVM können Sie die Bandbreite Ihres Standorts ermitteln. Sind hier keine Anomalitäten, gibt es weitere Werkzeuge:
Die meisten Syskos haben administrative Rechte im Microsoft 365 (und im Azure)-Portal. Sollte die Störung nicht die Anmeldung im Portal betreffen, können Sie hier zumindest die Ursache eingrenzen und herausfinden, wie der Status der einzelnen Dienste ist:
Melden Sie sich dazu mit Ihrem administrativen Konto „ihrname@ihrefirma.onmicrosoft.com“ an https://admin.microsoft.com an.
Um den Dienststatus anzuzeigen, wechseln Sie in der linken Navigationsleiste des Admin Centers zu „Integrität>Dienststatus„, oder wählen Sie die Dienststatus Karte im Dashboard „Start“ aus. Die Dashboardkarte gibt an, ob ein Problem mit einem aktiven Dienst vorliegt, und stellt einen Link zur Seite mit Details zum Dienststatus bereit.
Der Status der einzelnen Clouddienste wird auf der Seite Dienstatus in einem Tabellenformat angezeigt.
In Microsoft Azure (da wo in IaaS Umgebungen Ihre Server stehen) gelten grundsätzlich höhere Verfügbarkeiten. Sollte es hier Störungen geben, lassen sich diese unter dieser Seite regionsweise einsehen:
Edge-Update Januar 2023: Statt des Skifahrens hat man nun auf die Wasser-Variante umgestellt. Mit einem Surfer (hier: Pinguin gewählt) gewegt man sich über den Ozean. Statt des Yeti kommt nun der Riesenkrake und versucht einen zu fressen:
Edge Sommer Game (im Winter 23)
Nachdem Google schon seit Jahren ein verstecktes Osterei Spiel im Browser eingebaut hat, gibt auch Microsoft seine jahrelange Tradition nicht auf und hat aktuell passend zur Jahreszeit das SkiFree Spiel aus den 90ern wieder aufleben lassen. Seit der #Edge on Chromium Version 96 lautet die Adress-Zeile: edge://surf und man kann mit der Maus oder mit den Pfeiltasten einen Skifahrer auf einer virtuellen Pixelpiste navigieren. Dabei gilt es Steinen, Bäumen und anderen Skifahrern und weiteren Hindernissen auszuweichen. Vorsicht auch vor dem Yeti, der als Strichmännchen Jagd auf Menschen macht und diese futtert, wenn er sie bekommt.
Bei Google #Chrome lautet die URL: chrome://dino – hier gilt es mit der Leertaste den Dino über die Hindernisse in der Prärie hüpfen zu lassen. Dies sind meist Kakteen. Beide Microsoft Spiele sind grafisch und in der Spiel-Action dem Chrome 80er-Jahre Style Dinospiel haushoch überlegen. Wenn es um Pausen-Zeitvertreib geht, ist Microsoft hier klar im Vorteil.
Dino in Chrome und Ski32 Revival im New Edge
Sehr #erfreulich – Wem der Dino in Google nicht reicht, der kann ja Snake in Googlemaps spielen: https://snake.googlemaps.com/
Edge erstellt bei jedem Update Desktoplink
Derzeit erstellt Microsoft #Edge bei jedem Update (in allen Kanälen) erneut eine Desktop-Verknüpfung. Wer das nicht möchte, muss sich mit einer Einstellung in den Edge Gruppenrichtlinien oder mit dem Setzen eines Registry Schlüssels behelfen:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate] "CreateDesktopShortcutDefault"=dword:00000000
CI-Cloud jetzt auch mit Roaming Signatures
Viele von Ihnen setzen das Produkt CI-Cloud von CI Solution ein, um in Outlook servergesteuerte Informationen als E-Mail-Signaturen corporateweit auszurollen. Bisher wurden die Signaturen dabei in ihrem Outlook Profilordner gespeichert. Die Outlook-Web-App ließ sich nicht bedienen.
Der Hersteller informiert uns nun über Neuerungen in Microsoft Exchange online, für die er die akteulle Version seines Produkts angepasst hat:
„Roaming Signaturen“ (Geräteübergreifende E-Mail Signaturen für Postfächer in M365 / Exchange Online) ist bei Microsoft verfügbar und bereits auf vielen Mandanden aktiviert. Die Art und Weise wie zentrale E-Mail Signaturen künftig bereitgestellt werden ändert sich damit grundlegend.
Dieses Feature wurde in den letzten Wochen auch von uns umgesetzt: Roaming Signatures wird ab sofort innnerhalb der CI-Cloud unterstützt. Damit können E-Mail Signaturen weiterhin zentral und zuverlässig verteilt werden – so wie Sie es von unseren Produkte kennen. Gleichzeitig können Sie alle Vorteile von Roaming Signatures nutzen.
Seit April 2023 lassen sich alle Office-Kauf-Versionen bis einschließlich 2013 und ab Oktober auch 2016 und 2019 nicht mehr an Online-Dienste von Microsoft anbinden. Bereits bestehende Verbindungen lassen sich nicht mehr nutzen. Betroffen sind alle, die derzeit noch die Kaufversionen von Microsoft Office einsetzen und beispielsweise nur Exchange online Plan 1 gemietet haben. Outlook kann dann beispielsweise nicht mehr auf das Online-Postfach zugreifen.
Auch Excel, Word, Powerpoint (und Access) können nicht mehr auf Online-Speicherorte wie Onedrive for Business oder Sharepoint zugreifen und dort Dokumente teilen/speichern/aufrufen.
Ebenfalls im April endeten die #Sicherheitsupdates für Exchange Server 2013. Dieser ist bereits jetzt ein Sicherheitsrisiko, da nicht alle Sicherheitslücken ( siehe #Hafnium ) für dieses Produkt geschlossen werden. Zudem kann er nicht hybrid betrieben werden.
#endoflife – Wenn Sie Office-Kauf-Versionen einsetzen (erkennbar an der Jahreszahl hinter dem Namen) und die Zahl nicht 2021 ist, müssen Sie handeln, um weiterhin z. B. mit Outlook auf Ihre E-Mails im Exchange online zugreifen zu können. Ansonsten bleiben Ihre E-Mails nur über OWA (im Chrome für Enterprise Browser) erreichbar.
Eine Möglichkeit ist die Umstellung der Exchange online-Pläne auf den Microsoft 365 Business Premium Plan (der neben den installierbaren Office-Anwendungen auch Mailarchiv, E-Mail- und Endgerät- Virenschutz, die Zugriffslizenz für Azure Virtual Desktop und 1TB Cloudspeicher pro User enthält (für die Nutzung von Onedrive für Business und Sharepoint als Ablösung des Fileservers)
Kurz notiert: Für Windows 8.1 Nutzende ist am 10. Januar 2023 das Nutz-Ende angesagt, da der erweiterte #Support#endoflife und damit ab diesem Datum die Windows #Sicherheitsupdates eingestellt werden. Da Rechner mit diesem Betriebssystem mindestens 8 Jahre als sein müssen, empfiehlt sich der Austausch durch ein neues Gerät (beispielsweise ein lenovo ThinkCentre Tiny oder ein lenovo Thinkpad). Das empfohlene Betriebssystem ist Windows 10 Pro – nicht Windows 11 Pro. Sie können beim Konfigurieren der Hardware angeben, dass Sie diese mit vorinstallierter Windows 10 Pro Version bekommen. Der Historie der Betriebssysteme folgend wird Windows 12 dann im Herbst 2024 wieder ein nutzbares Betriebssystem ohne Komforteinbußen.
Office Lizenzänderungen 2023
#Microsoft macht auf tiefergehende Änderungen in seinen Office #Lizenzen aufmerksam. Dies betrifft im Wesentlichen installierbare Programme (Kauflizenzen, Volumenlizenzen mit und ohne Software-Assurance und auch die Microsoft 365 Pläne mit installierbaren Apps):
#wichtig – Für den Einsatz installierbarer Office Anwendungen gilt seit 1.1.2023:
Für alle Kauflizenzen von Office 20xx (Home&Business, Volumenlizenzen und auch Lizenzen mit mit gültiger Software-Assurance) gilt seit 1.1.2023, dass sie NICHT in Cloud-Server-Mehrbenutzerumgebungen betrieben werden dürfen.
Für Microsoft 365 gilt: Remotezugriff (Einsatz der installierbaren Anwendungen (Apps) auf On-Premises- oder Cloud- Terminalservern oder Azure Virtual Desktop ausschließlich als Bestandteil des M365 Business Premium Plans oder M365 Apps für Enterprise). Ein M365 Apps für Business Plan reicht nicht aus.
Quelle: Microsoft Licensing
Wer einen On-Premises-Terminalserver in der Cloud unterstellen möchte, muss ebenfalls den Business Premium Plan einführen.
Fazit
Kaufversionen von Office nur auf dem lokalen Rechner, oder (Volumenlizenzen mit und ohne SA) auf On-Premises Terminal/oder Citrix-Servern einsetzbar.
Mietversionen von Microsoft 365 benötigen einen Business Premium Plan, um installierbare Apps in Cloud-Terminalservern oder Azure Virtual Desktop einzusetzen
Wir verwenden nur 1st-Party-Cookies, die von dieser Webseite ausgestellt werden und technisch notwendig sind. Wenn Sie Komfort-Cookies zulassen, dürfen wir auch Cookies setzen, die Ihren Komfort erhöhen und Präferenzen speichern. Welche Art von Cookies das sind, entnehmen Sie bitte:: DatenschutzImpressum
(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren.
)
(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)
