Inhaltsverzeichnis
Eine Neujahrsgeschichte aus der IT
✨ Zwischen Serverräumen und Sternen ✨
Der letzte Arbeitstag des Jahres war angebrochen, und die IT‑Abteilung schien in einen seltenen Zustand kosmischer Harmonie eingetreten zu sein. Die Serverräume brummten leise, als würden sie ein Schlaflied summen, die Lüfter rauschten wie ein entspannter Winterwind, und selbst die rote Warnlampe am Backup-Server glimmte heute nur in einem beruhigenden, gemütlichen Orange.
Tom, erfahrener Administrator, lebende Firewall gegen Chaos und Erfinder des inoffiziellen Abteilungs-Mottos „Ein Kaffee pro Störung“, schob seinen Bürostuhl zurück und streckte sich. Wie jedes Jahr wollte er noch einmal „die Runde drehen“.
Ein Ritual – und heimlich sein liebster Moment im Dezember.
Er nahm seine Tasse, in der sich nur noch ein einsamer Schluck kalter Kaffee befand, und wanderte zwischen den Reihen blinkender Geräte hindurch. Wenn man wie Tom lange genug in der IT arbeitete, sah man in Servern Gesichter. Manche freundlich, manche mürrisch, je nachdem wie fehlerfrei sie liefen.
Auf seinem Monitor im Büro erschien plötzlich ein neues Icon:
„Jahresendbericht – automatisch generiert“.
Tom runzelte die Stirn. Das hatte er definitiv nicht programmiert.
🎇 Ein Bericht der besonderen Art
Er öffnete die Datei – und erwartete, wie jedes Jahr, trockene Zahlen darüber, wie viele Tickets gelöst worden waren, wie viele Updates erfolgreich liefen und wie oft jemand gefragt hatte, ob das Internet „heute langsamer ist“.
Doch stattdessen erschien ein Fenster mit einer ungewöhnlichen Botschaft:
„Hallo Tom.
Danke für ein Jahr voller Geduld, Humor und Kaffee.
Danke für die Nächte, die du wach warst, damit andere schlafen können.
Danke für das Chaos, das du ordnest, bevor es jemand bemerkt.Dieses Jahr möchten wir dir etwas zurückgeben.“
Tom setzte sich langsam, als hätte der Stuhl ihn selbst herangezogen.
Der Bildschirm leuchtete heller – und dann begann sich Text Zeile für Zeile aufzubauen.
💻 Wünsche für das neue Jahr (vom System selbst)
- Stabile Server, die dich sonntags ignorieren
- Backups, die immer frisch und niemals gebraucht werden
- User, die Screenshots machen, bevor sie „Es geht nicht“ sagen
- Updates, die nicht mitten in der Präsentation beginnen
- Schnittstellen, die zusammenarbeiten wie beste Freunde
- Firewall-Regeln, die niemand hinterfragt
- Dokumentationen, die tatsächlich existieren
- Projekte, die realistisch geschätzt werden
- Und vor allem: Zeit für dich selbst
- Zeit zum Lernen, Denken, Atmen, Staunen
Tom grinste. „Schön wär’s“, murmelte er – aber irgendwie fühlte sich das alles warm und echt an.
🌟 Ein kleiner IT‑Vorsatz
Gerade als er das Fenster schließen wollte, erschien eine letzte Zeile:
„Vergiss nicht: Auch Admins brauchen Updates.
Lade dir 2026 unbedingt ein paar herunter.“
Tom lehnte sich zurück. Dieser eine Satz war besser als jeder Workshop zur Work‑Life‑Balance.
Aber etwas irritierte ihn: Wenn ER das nicht geschrieben hatte – wer dann?
In diesem Moment klopfte es an seiner Bürotür.
Es war Jana, die Netzwerkexpertin, die mit Kabeln sprach, als wären es Haustiere.
„Du, Tom…“, begann sie, „mein Monitor hat gerade etwas gesagt. Ich glaube… ich glaube, unsere Systeme schicken uns Neujahrswünsche.“
Tom lachte. „Ach wirklich?“
„Ja! Da stand: ‚Danke, dass du uns dieses Jahr nicht umkonfiguriert hast, als wir mal kurz gezickt haben.‘ Sehr verdächtig.“
Wenig später kam auch Mehmet, der Mann fürs Monitoring, der immer behauptete, er könne an der Farbe einer Statuslampe erkennen, ob eine VM schlechte Laune hatte.
„Bei mir kam auch so ein Fenster. Ziemlich poetisch. Fast schon unheimlich poetisch.“
Und dann stand die ganze Truppe im Raum – alle mit derselben Geschichte.
🎆 Ein neues Jahr voller Möglichkeiten
Kollektives Schweigen.
Kollektives Staunen.
Und dann – kollektives Lachen.
„Vielleicht hat unser System endlich Bewusstsein entwickelt“, schlug Jana vor.
„Dann haben wir ein Problem“, sagte Mehmet. „Ein System mit Selbstbewusstsein fordert bestimmt bald Urlaub.“
Tom schüttelte den Kopf und sah noch einmal auf sein Display.
Vielleicht war es ein Easter Egg eines Tools.
Vielleicht ein unerwarteter Beitrag eines Kollegen.
Oder vielleicht… wollte das System selbst einfach mal Danke sagen.
Als sie gemeinsam das Büro verließen, legte sich draußen der Abend über die Stadt.
Der Himmel war klar, und die Sterne funkelten wie Status-LEDs im Universum.
Tom blieb kurz stehen und sah nach oben.
„Weißt du“, sagte er zu Jana, „eigentlich ist IT manchmal wie ein Sternenhimmel. Man sieht nur die Lichter, die funktionieren – und ahnt kaum, wie viel Arbeit dahintersteckt.“
Jana nickte. „Und solange wir dafür sorgen, dass sie weiter leuchten, wird’s ein gutes Jahr.“
Tom lächelte.
Das neue Jahr lag vor ihnen wie ein frisch gepatchtes System:
stabil, sicher, neugierig – bereit für alles, was kommt.
Frohes neues Jahr – an alle, die die digitale Welt jeden Tag ein Stück besser machen. 🚀✨
React2Shell: Entwarnung für gevis ERP BC und ECM
Seit Anfang Dezember sorgt die kritische #Sicherheitslücke CVE‑2025‑55182 („React2Shell“) in den React‑Server‑Komponenten weltweit für Aufsehen. Viele Unternehmen fragen sich derzeit, ob auch ihre eingesetzten Systeme betroffen sein könnten.
In diesem Artikel geben wir eine klare Einschätzung für drei zentrale Systeme:
- gevis ERP VEO, gevis ERP SaaS (Companial), gevis ERP (BC)
- d.3 Archiv (d.velop)
- i.r.i.s / Verify (OCR/Capture)
Hintergrund: Was ist die React‑Sicherheitslücke?
Die Schwachstelle betrifft ausschließlich moderne JavaScript‑Frameworks wie:
- React Server Components (RSC)
- Next.js (App Router, ab Version 15.x / 16.x)
- RSC‑bezogene Pakete wie
react-server-dom-webpackoderreact-server-dom-turbopack
Durch eine fehlerhafte Deserialisierung kann ein Angreifer ohne Authentifizierung beliebigen Code auf dem Server ausführen. Betroffen sind jedoch nur Anwendungen, die diese Technologien tatsächlich nutzen.
gevis ERP BC – nicht betroffen
gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt:
- SQL‑Server
- Business Central Service Tier
- Web‑ und Windows‑Clients
- AL-Extensions
- klassische .NET‑basierte Komponenten
React oder React‑Server‑Components kommen im gevis‑Produktstack nicht zum Einsatz.
Damit besteht keine Gefahr durch die React‑Sicherheitslücke.
d.3 Archiv – nicht betroffen
d.3 (d.velop d.3ecm) arbeitet mit:
- .NET‑Serverdiensten
- klassischen Thin‑Client‑/Webclient‑Technologien
- standardisierten DMS‑APIs
Auch hier gibt es keine Verwendung von React oder Next.js.
d.3 ist somit nicht anfällig für React2Shell.
i.r.i.s / IRIS / Verify – nicht betroffen
IRIS‑/Verify‑Lösungen dienen klassisch der:
- Texterkennung (OCR)
- Dokumentenerfassung
- Klassifikation und Extraktion
Technisch setzen diese Produkte auf lokalen Diensten, C++-/ .NET‑Bibliotheken und Capture‑Engines, jedoch nicht auf React‑basierten Webframeworks.
Damit besteht keine Betroffenheit.
Zusammenfassung
- gevis ERP BC: nicht betroffen
- d.3 Archiv: nicht betroffen
- i.r.i.s / IRIS / Verity: nicht betroffen
None der drei Systeme nutzt Technologien, die von der React‑Sicherheitslücke betroffen wären. Es besteht kein Handlungsbedarf für Ihre eingesetzten Produktivsysteme.
Hinweis: Eigene Web‑Portale prüfen
Falls Sie im Unternehmen andere (von Drittanbietern) React‑ oder Next.js‑basierte Webanwendungen einsetzen, sollten diese separat geprüft werden. Wenden Sie sich dazu bitte an die betreffenden Dienstleister.
Fazit
Sie können beruhigt sein: gevis ERP BC, d.3 und i.r.i.s sind nicht von der React‑Sicherheitslücke betroffen. Ihre Systeme laufen weiterhin sicher und stabil.
Podcast: Weihnachten im Datacenter tierisch sicher
Moderator (warm und leicht ironisch):
Willkommen zur Weihnachtsausgabe von „Secure & Merry“, dem Podcast, der IT-Sicherheit mit einer Prise Humor verbindet.
Heute wird es tierisch – denn unser Datacenter bekommt festlichen Besuch von fünf Experten der besonderen Art.
Szene 1 – Die Ankunft im Datacenter
Fünf Tiere betreten die Sicherheitsschleuse:
1. ByteBrumm, der Braunbär – kräftig, gemütlich, hungrig nach Speicherplatz.
2. IcePatch, der Eisbär – kühl, fokussiert, Meister der „Frozen Backups“.
3. RedPandaRoot, der rote Panda – neugierig und etwas zu experimentierfreudig.
4. PandaAdmin, der große Panda – friedlich, aber mit Adminrechten ausgestattet.
5. WomBot, der Wombat – bodenständig und Tunnelbau-Experte für sichere Netzwerke.
Szene 2 – Die Mission
Die fünf sind zum jährlichen „X-MAS Security Check“ eingeladen.
ByteBrumm:
„Ich prüfe die Passwörter. Wenn eins schwächer ist als mein Winterschlaf, knurr’ ich.“
IcePatch:
„Backups werden kontrolliert. Alles, was nicht dreifach gesichert ist, friert ein – sinnbildlich.“
RedPandaRoot:
„Darf ich die Firewalls testen? Bitte? Nur kurz…?“
(grummelnde Blicke der anderen)
„Okay… nur gucken.“
PandaAdmin:
„Ich mach die Rechteverwaltung. Weihnachten ja – aber nicht für unbefugte Nutzer.“
WomBot:
„Ich seh mir die Netzwerksegmente an. Danach bau ich ’nen sicheren Tunnel.“
Szene 3 – Kleine Katastrophen und große Erkenntnisse
Das Passwort-Problem
ByteBrumm:
„‚weihnachten123‘. Wirklich? Das Passwort gehört auf die Naughty-List!“
Er ersetzt es durch:Frohe-F3sttage!2025#Hoho
Moderator:
Moral: Schwache Passwörter sind wie billiger Glühwein – tun nur kurz gut, schaden aber lange.
Der neugierige Panda
RedPandaRoot findet ein USB-Stick mit der Aufschrift „wichtige Bilder“.
Alle:
„Nicht einstecken!“
Moderator:
Unbekannte Datenträger sind wie dubiose Plätzchen bei Kollegen – lieber nicht anfassen.
Der Backup-Schreck
IcePatch:
„Das letzte vollständige Backup ist so alt wie der Weihnachtsbaum… ohne Wasser.“
Not amused.
PandaAdmin räumt auf
Er entdeckt einen Nutzer mit „Admin“ und „Gast“-Rechten.
PandaAdmin:
„Das ist wie: gleichzeitig Bambus und Fast Food essen. Unmöglich.“
Szene 4 – Das Weihnachtswunder im Datacenter
Die Tiere schmücken das Datacenter sicher:
- Lichterkette: geprüft & zertifiziert
- Firewall als Adventskranz (natürlich ohne echte Kerzen)
- Monitoring-Lichter blinken im Rhythmus von „Jingle Bells“
WomBot:
„Wieder ’ne sichere Weihnacht. Keine Datenlecks, keine Ransomware.“
ByteBrumm:
„Alle Passwörter schön stark – wie ich.“
IcePatch:
„Backups frisch und stabil.“
RedPandaRoot:
„Und ich hab fast nichts angefasst!“
PandaAdmin:
„Rechte sauber getrennt. Friede auf Erden.“
Outro – Die Botschaft für die IT-Kunden
Moderator:
Liebe Zuhörerinnen und Zuhörer,
unsere tierischen Experten erinnern daran:
- Starke Passwörter sind schöner als jede Beleuchtung
- Regelmäßige Backups sind die wahren Weihnachtsgeschenke
- Unbekannte Anhänge & Datenträger lieber meiden
- Saubere Rechteverwaltung erspart festliche Überraschungen
Wir wünschen frohe & sichere Feiertage –
und denken Sie daran: Sicherheit ist das beste Geschenk für Ihre IT.
NIS2 Gesetz seit dem 6. Dezember 2025 in Kraft
Am 6. Dezember 2025 – passend zum Nikolaustag – ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland wirksam geworden. Mit diesem Stichtag endet die Übergangsphase, und Unternehmen, die unter die erweiterten Regelungen der EU #NIS2 Richtlinie fallen, müssen nun verbindlich erhöhte Anforderungen an ihre Cyber- und Informationssicherheit erfüllen.
Was bedeutet das für Unternehmen?
Das Gesetz zieht deutlich breitere Kreise als sein Vorgänger. Viele Organisationen, die bislang nicht im Fokus der Regulierung standen, fallen nun in die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“. Für sie gelten unter anderem:
- Strengere technische und organisatorische Sicherheitsmaßnahmen
(z. B. Risikomanagement, Zugriffskontrollen, Business Continuity, Schwachstellenmanagement) - Erweiterte Meldepflichten bei Sicherheitsvorfällen
inklusive kurzer Reaktionsfristen und mehrstufiger Meldungen - Erhöhte Anforderungen an Governance und Verantwortlichkeiten
etwa Nachweispflichten gegenüber Behörden und eine stärkere Einbindung der Geschäftsleitung
Warum ist NIS2 so bedeutend?
NIS2 soll die Resilienz der digitalen Infrastruktur in Europa nachhaltig stärken – nicht nur in klassischen kritischen Sektoren, sondern auch in Branchen wie Produktion, Logistik, Abfallwirtschaft, Postdienste oder Lebensmittel. Dadurch rückt Informationssicherheit noch stärker in den unternehmerischen Alltag und wird zum strategischen Erfolgsfaktor.
Fazit
Mit dem Inkrafttreten des NIS2-Gesetzes ist für viele Unternehmen jetzt der Zeitpunkt gekommen, ihre bestehenden Sicherheitskonzepte zu überprüfen, Risiken neu zu bewerten und Prozesse nachhaltig zu professionalisieren. NIS2 ist mehr als ein Pflichtprogramm – es ist eine Chance, Informationssicherheit zukunftsfest aufzustellen. Lesen Sie auch unsere angehefteten anderen Artikel zum Thema im Blog.