Monat: September 2024   2024   5 Ergebnisse

Inhaltsverzeichnis
  1. NIS2 Umsetzungsgesetz geplantes Inkrafttreten 2
  2. Teamviewer kritische Sicherheitslücken 3
  3. Folge-Audit - IT-Sicheck und Notfallplan (BSI) 4 - 5
  4. Office 2024 LTSC veröffentlicht 6
  5. OpenAudit Classic MariaDB ODBC Zugriff 7 - 8

NIS2 Umsetzungsgesetz geplantes Inkrafttreten

Aus einem Papier des Bundesministeriums für Inneres und Heimat geht mittlerweile eine Roadmap für das Gesetz hervor. Hier (dank einem LinkedIn Beitrag von Manuel Altug) der verbleibende Zeitplan:

Bundesrat 1. Durchgang 27. September 2024
Kabinettbeschluss über Gesetzänderung 2. Oktober 2024 mit Nachmeldung
Zuleitung Bundestag
Bundestag 1. Lesung 10./11. Oktober 2024
Ausschüsse, Anhörung Beschluss Anhörung 16. Oktober 2024Anhörung: 4. November 2024Abschluss IA: 13. November 2024
Bundestag 2./3. Lesung 5./6. Dezember 2024
Bundesrat 2. Durchgang 14. Februar 2025
Inkrafttreten 01. März 2025
Roadmap NIS2 Umsetzungsgesetz
3Monate 1Woche 5Tage
seit Sa. 01. März 2025 104 Tage
März 2025
MODIMIDOFRSASOKw
1
2
09
3
4
5
6
7
8
9
10
10
11
12
13
14
15
16
11
17
18
19
20
21
22
23
12
24
25
26
27
28
29
30
13
31
14

Ab diesem Datum bleiben drei Monate „Karenzzeit“ um sich im BSI-Portal zu registrieren und festgestellte Mängel zu beseitigen oder Maßnahmen aufzusetzen, die die geforderten Ansprüche des Gesetzes abdecken. Ab März wird dann auch das BSI bekanntgeben, wo sich wichtige Unternehmen (erweiterter Kreis) registrieren müssen und welche Details angegeben werden müssen. Bisher können sich nur KRITIS1 nach NIS, also „besonders wichtige Unternehmen“ im Portal registrieren.

1Woche 5Tage 19Stunden
seit So. 01. Juni 2025 12 Tage

Teamviewer kritische Sicherheitslücken

Wir setzen zwar das Produkt nicht selbst oder bei unseren Kunden ein, viele Dritt-Dienstleister aber doch. So finden sich bei OpenAudit Classic Scans häufig alte bis uralte Teamviewer Installationen. Zum Einen darf der Teamviewer Host im geschäftlichen Umfeld nur mit nötiger Lizenzierung eingesetzt werden, zum Anderen bietet auch ein installierter Teamviewer Client Angriffspotential für Menschen, die nichts Gutes im Sinne haben.

Konkret kann man mit installiertem Teamviewer älter als Version 15.58.4 Benutzer-Rechte zu Adminrechten ausweiten und (bösartige) Software installieren.

Die sind (CVE-2024-7479, CVE-2024-7481; beide CVSS 8.8, Risiko „hoch„) und auf der Seite von Teamviewer beschrieben.

Teamviewer deinstallieren, wenn nicht verwendet, oder aktualisieren, wenn Lizenzen vorhanden. Wird nur der Viewer benutzt, ist die „Ausführen, nicht installieren“ Variante empfehlenswert, immer wenn Ihr Dienstleister Zugriff für Remote Assistenz benötigt.

Folge-Audit - IT-Sicheck und Notfallplan (BSI)

Für den IT-Sicherheitscheck nach BSI-Standards BSI 200-1 und 200-2 und die Risiko-Analyse mit Notfallplan nach BSI-Standards BSI 200-3 und 200-4 sind jährliche Folge-Audits vorgeschrieben. Dabei werden die beim Erst-Audit ermittelten und von den Systemkoordinierenden weiter gepflegten Inhalte auf den aktuellen Stand gebracht und erneut testiert. Lassen Sie diese Aufgabe von unserem TÜV-geprüften IT-Sicherheits-Manager und -Auditor durchführen.

Seminarinhalte
(Auswahl)
und Ziele		 Nachstehend haben wir die Leistungsmerkmale aufgelistet:
* Aktualisierung der Bestands-Aufnahme Ihres Netzwerkes (Server und PCs) gemeinsam mit Ihrem Systemkoordinator remote (gegen Aufpreis auch On-Site).
* Bewertung der vom Sysko durchgeführten Maßnahmen und Neueinstufung Risiko-Boxen.
gemeinsame Aktualisierung der drei Checklisten BSI/ISA/Sysko.
* Aktualisierte Arbeitsmaterialien und Checklisten in Word- und Excel-Format zur eigenständigen Weiterpflege und Dokumentation Ihrer durchgeführten Maßnahmen und Ergänzung weiterer Themen aus den Standards.
* Bescheinigung über die Teilnahme am Folge-Audit für die vier BSI Standards.
Zielgruppe | Max. Tln Systemkoordinierende, Geschäftsführende | 4
Voraussetzungen * Erst-Audit für IT-Sicherheits-Check und Risikoanalyse und Notfallplan sind durchgeführt und nicht älter als 13 Monate
* Windows-Domänen-Netzwerk, ausgebildete Syskos
Zeitrahmen Dauer : 2 Tage (ca. 1 Tag 09:00 bis 17:00 Uhr in Teams, Rest Einzelarbeit)
Folgende Leistungen sind vom Kunden zu erbringen * Bereitstellung des Projektordners mit aktuellem Stand am ersten Tag, 09:00 Uhr
* Fernwartung via Managed vpn betriebsbereit bereitstellen.
* administrativen Zugriff auf Server ermöglichen.
* Aktualisieren Ihrer Foto-Dokumentation laut Fragenkatalog, wenn nötig.
* Aktualisieren der Dokumente „Checkliste-Fragenkatalog“, „Mitarbeitendenliste“, „Netzwerkplan“.

Bei Durchführung Onsite zusätzlich:
* Zugang zum Netzwerk.
* Zugang zu allen Räumlichkeiten inkl. Serverraum.
Bemerkungen Remoteschulung (Schulung oder Workshop via Fernwartung), Testat, bildet die Grundlage für Notfallplan und Risiko-Analyse nach BSI und ist einer der Bausteine für .
Es gelten unsere Allgemeinen Geschäftsbedingungen, einsehbar auf der GWS-Website: https://gws.ms.
Preisinformation 2.200 € zzgl. MwSt
Festpreis unabhängig von der Teilnehmerzahl, der Leistungen wie Vorbereitung, Unterlagen, Prüfung enthält.
Onsite-Zuschlag (Durchführung vor Ort) 960 € zzgl. MwSt
Bei Durchführung in Ihren Räumlichkeiten werden die obenstehende Pauschale und Reisekosten wie Fahrtzeit/Pkwkm/Parkgebühren zusätzlich in Rechnung gestellt.
Mustervorlage: VB-098870 „TEC SCHULUNG FOLGEAUDIT BSI 2T“

Office 2024 LTSC veröffentlicht

Microsoft hat heute den Release to Manufacturer „RTM“ Status für die nächste Kaufversion von Office – die Office 2024 – veröffentlicht. Sie erhält 5 Jahre Sicherheitsupdates, aber keinerlei Funktions-Updates. Es ist lauffähig auf: Windows 11, Windows 10, Windows 10 LTSC 2021, Windows 10 LTSC 2019 und Windows Server 2022.

Die Lizenzierung erfolgt weiterhin pro Gerät, den Einsatz in der Azure-Cloud im Azure Virtual Desktop lässt Microsoft weiterhin nicht zu. Microsoft hat eine übersichtliche Gegenüberstellung zwischen Microsoft 365 Plänen und Office 2024 veröffentlicht:

https://techcommunity.microsoft.com/t5/microsoft-365-blog/office-ltsc-2024-is-now-available/ba-p/4244953

Update Jan 2025 – Danke, Jens, für den Kommentar – Mittlerweile sind für die Volumenlizenzen (Select, Select+ und CSP) für Office LTSC 2024 auch die PUR und Lizenzbedingungen aktualisiert. Entgegen der oben genannten Microsoft Gegenüberstellung kann man doch wieder Shared Activation nutzen und diese Lizenzen auf RDS- oder Citrix-Servern einsetzen:

https://www.microsoft.com/licensing/terms/de-DE/productoffering/OfficeDesktopApplicationsWindows/MCA

Fazit: Man kann erneut Office kaufen, aber ausschließlich zur Nutzung auf einem lokalen Endgerät (Windows PC) und als Volumenlizenzen (CSP) auch auf RDS-Terminalservern. Am 16.09.2029 enden die Sicherheitsupdates. Es gibt über die gesamte Laufzeit keine Funktionsupdates. Auch Volumenlizenzen dürfen nicht mehr auf Terminalservern oder im Multiuser-Betrieb verwendet werden.

Tipp: Für On-Prem-Terminal-Server und Cloud-Einsatz im Azure Virtual Desktop eignet sich der Microsoft 365 Business Premium Plan, der im Abo auf named user lizenziert ist.

OpenAudit Classic MariaDB ODBC Zugriff

Wer die quelloffene Inventarisierungs-Lösung OpenAudit Classic einsetzt, möchte manchmal gern mit Microsoft Excel oder Microsoft Access per auf Tabellen des Inventars zugreifen und eigene Auswertungen erstellen. Alternativ die MariaDB Datenbank für eine eigene Intranet-Lösung, basierend auf Active Server Pages nutzen. Für beide Anforderungen habe ich eine zusammenfassende Anleitung/Checkliste erstellt, da es „Herausforderungen“ bei der Wahl des passenden Treibers aus der MariaDB Community (Office Clients 64-Bit) und (ASP-Webserver 32-Bit) gibt. Im /VCRUNTIMES Ordner vom Classic Setup sind die aktuellen ODBC Treiber für Windows enthalten:

Für Open-Audit ODBC Zugriff mit Excel oder Access:
-----------------------------------------------------------
 MariaDB ODBC Treiber 64-Bit .msi installieren
 /vc-runtimes/mariadb-connector-odbc-3.2.3-win64.msi

 ODBC einrichten (DSN, 64-Bit, passend zur 64-Bit Office Version):
 ---------------------------------
 Am Server den DB-User auch auf andere IPs zulassen (Grant acces @ %) 
 
 Den MariaDB Treiber auswählen MariaDB 3.2.3 ODBC Driver
 Assistent vorblättern, bis verify certificate sichtbar. Haken da rausnehmen!
 Zuück zum Startregister!
 Daten eintragen vom Server, Servername, User, Passwort
 Verbindung testen und zum Register wo Codepage ausgewählt werden kann: Latin1 auswählen
 -----------ASP Connections (32-Bit)------------------------
Für Classic ASP ODBC Webserver in Verbindung mit MariaDB: Auf dem Server auch Treiber 32-Bit installieren

 MariaDB ODBC Treiber 64-Bit .msi installieren
 /vc-runtimes/mariadb-connector-odbc-3.2.3-win64.msi

 ------------------------
 Optional: 2. Instanz von MYSQL einrichten oder vorhandene benutzen: 
 /mysql Verzeichnis kopieren und die *install-w10.cmd anpassen:  anderer Dienstname: Mariadbasp
 	"C:\Program Files (x86)\mariadbasp\bin\mysqld" --install Mariadbasp --defaults-file="C:\Program Files (x86)\mariadbasp\bin\my.ini"
  Andere Pfade
  mysql.ini ändern
  Andere [mysqld] section ersetzen durch [mariadbasp]
  port 33306 eintragen
 ------------------------


 Driver-String in ASP Classic Code (DSN nicht notwendig):
 --------------------------------------------------------
' ##### für MySQL diese Zeilen stattdessen
strConn = "Driver={MariaDB ODBC 3.2 Driver};Server=127.0.0.1;UID=root;PWD=kennworthier;DB=feedform;Port=3306;SSLVERIFY=0;CHARSET=Latin1"