Eine Neujahrsgeschichte aus der IT

✨ Zwischen Serverräumen und Sternen ✨

Der letzte Arbeitstag des Jahres war angebrochen, und die IT‑Abteilung schien in einen seltenen Zustand kosmischer Harmonie eingetreten zu sein. Die Serverräume brummten leise, als würden sie ein Schlaflied summen, die Lüfter rauschten wie ein entspannter Winterwind, und selbst die rote Warnlampe am Backup-Server glimmte heute nur in einem beruhigenden, gemütlichen Orange.

Tom, erfahrener Administrator, lebende Firewall gegen Chaos und Erfinder des inoffiziellen Abteilungs-Mottos „Ein Kaffee pro Störung“, schob seinen Bürostuhl zurück und streckte sich. Wie jedes Jahr wollte er noch einmal „die Runde drehen“.
Ein Ritual – und heimlich sein liebster Moment im Dezember.

Er nahm seine Tasse, in der sich nur noch ein einsamer Schluck kalter Kaffee befand, und wanderte zwischen den Reihen blinkender Geräte hindurch. Wenn man wie Tom lange genug in der IT arbeitete, sah man in Servern Gesichter. Manche freundlich, manche mürrisch, je nachdem wie fehlerfrei sie liefen.

Auf seinem Monitor im Büro erschien plötzlich ein neues Icon:
„Jahresendbericht – automatisch generiert“.

Tom runzelte die Stirn. Das hatte er definitiv nicht programmiert.

🎇 Ein Bericht der besonderen Art

Er öffnete die Datei – und erwartete, wie jedes Jahr, trockene Zahlen darüber, wie viele Tickets gelöst worden waren, wie viele Updates erfolgreich liefen und wie oft jemand gefragt hatte, ob das Internet „heute langsamer ist“.

Doch stattdessen erschien ein Fenster mit einer ungewöhnlichen Botschaft:

„Hallo Tom.
Danke für ein Jahr voller Geduld, Humor und Kaffee.
Danke für die Nächte, die du wach warst, damit andere schlafen können.
Danke für das Chaos, das du ordnest, bevor es jemand bemerkt.

Dieses Jahr möchten wir dir etwas zurückgeben.“

Tom setzte sich langsam, als hätte der Stuhl ihn selbst herangezogen.
Der Bildschirm leuchtete heller – und dann begann sich Text Zeile für Zeile aufzubauen.

💻 Wünsche für das neue Jahr (vom System selbst)

• Stabile Server, die dich sonntags ignorieren
• Backups, die immer frisch und niemals gebraucht werden
• User, die Screenshots machen, bevor sie „Es geht nicht“ sagen
• Updates, die nicht mitten in der Präsentation beginnen
• Schnittstellen, die zusammenarbeiten wie beste Freunde
• Firewall-Regeln, die niemand hinterfragt
• Dokumentationen, die tatsächlich existieren
• Projekte, die realistisch geschätzt werden
• Und vor allem: Zeit für dich selbst
• Zeit zum Lernen, Denken, Atmen, Staunen

Tom grinste. „Schön wär’s“, murmelte er – aber irgendwie fühlte sich das alles warm und echt an.

🌟 Ein kleiner IT‑Vorsatz

Gerade als er das Fenster schließen wollte, erschien eine letzte Zeile:

„Vergiss nicht: Auch Admins brauchen Updates.
Lade dir 2026 unbedingt ein paar herunter.“

Tom lehnte sich zurück. Dieser eine Satz war besser als jeder Workshop zur Work‑Life‑Balance.
Aber etwas irritierte ihn: Wenn ER das nicht geschrieben hatte – wer dann?

In diesem Moment klopfte es an seiner Bürotür.
Es war Jana, die Netzwerkexpertin, die mit Kabeln sprach, als wären es Haustiere.
„Du, Tom…“, begann sie, „mein Monitor hat gerade etwas gesagt. Ich glaube… ich glaube, unsere Systeme schicken uns Neujahrswünsche.“

Tom lachte. „Ach wirklich?“

„Ja! Da stand: ‚Danke, dass du uns dieses Jahr nicht umkonfiguriert hast, als wir mal kurz gezickt haben.‘ Sehr verdächtig.“

Wenig später kam auch Mehmet, der Mann fürs Monitoring, der immer behauptete, er könne an der Farbe einer Statuslampe erkennen, ob eine VM schlechte Laune hatte.
„Bei mir kam auch so ein Fenster. Ziemlich poetisch. Fast schon unheimlich poetisch.“

Und dann stand die ganze Truppe im Raum – alle mit derselben Geschichte.

🎆 Ein neues Jahr voller Möglichkeiten

Kollektives Schweigen.
Kollektives Staunen.
Und dann – kollektives Lachen.

„Vielleicht hat unser System endlich Bewusstsein entwickelt“, schlug Jana vor.

„Dann haben wir ein Problem“, sagte Mehmet. „Ein System mit Selbstbewusstsein fordert bestimmt bald Urlaub.“

Tom schüttelte den Kopf und sah noch einmal auf sein Display.
Vielleicht war es ein Easter Egg eines Tools.
Vielleicht ein unerwarteter Beitrag eines Kollegen.
Oder vielleicht… wollte das System selbst einfach mal Danke sagen.

Als sie gemeinsam das Büro verließen, legte sich draußen der Abend über die Stadt.
Der Himmel war klar, und die Sterne funkelten wie Status-LEDs im Universum.
Tom blieb kurz stehen und sah nach oben.

„Weißt du“, sagte er zu Jana, „eigentlich ist IT manchmal wie ein Sternenhimmel. Man sieht nur die Lichter, die funktionieren – und ahnt kaum, wie viel Arbeit dahintersteckt.“

Jana nickte. „Und solange wir dafür sorgen, dass sie weiter leuchten, wird’s ein gutes Jahr.“

Tom lächelte.

Das neue Jahr lag vor ihnen wie ein frisch gepatchtes System:
stabil, sicher, neugierig – bereit für alles, was kommt.

Frohes neues Jahr – an alle, die die digitale Welt jeden Tag ein Stück besser machen. 🚀✨

React2Shell: Entwarnung für gevis ERP BC und ECM

Seit Anfang Dezember sorgt die kritische #Sicherheitslücke CVE‑2025‑55182 („React2Shell“) in den React‑Server‑Komponenten weltweit für Aufsehen. Viele Unternehmen fragen sich derzeit, ob auch ihre eingesetzten Systeme betroffen sein könnten.

In diesem Artikel geben wir eine klare Einschätzung für drei zentrale Systeme:

• gevis ERP VEO, gevis ERP SaaS (Companial), gevis ERP (BC)
• d.3 Archiv (d.velop)
• i.r.i.s / Verify (OCR/Capture)

Hintergrund: Was ist die React‑Sicherheitslücke?

Die Schwachstelle betrifft ausschließlich moderne JavaScript‑Frameworks wie:

• React Server Components (RSC)
• Next.js (App Router, ab Version 15.x / 16.x)
• RSC‑bezogene Pakete wie react-server-dom-webpack oder react-server-dom-turbopack

Durch eine fehlerhafte Deserialisierung kann ein Angreifer ohne Authentifizierung beliebigen Code auf dem Server ausführen. Betroffen sind jedoch nur Anwendungen, die diese Technologien tatsächlich nutzen.

gevis ERP BC – nicht betroffen

gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt:

• SQL‑Server
• Business Central Service Tier
• Web‑ und Windows‑Clients
• AL-Extensions
• klassische .NET‑basierte Komponenten

React oder React‑Server‑Components kommen im gevis‑Produktstack nicht zum Einsatz.
Damit besteht keine Gefahr durch die React‑Sicherheitslücke.

d.3 Archiv – nicht betroffen

d.3 (d.velop d.3ecm) arbeitet mit:

• .NET‑Serverdiensten
• klassischen Thin‑Client‑/Webclient‑Technologien
• standardisierten DMS‑APIs

Auch hier gibt es keine Verwendung von React oder Next.js.
d.3 ist somit nicht anfällig für React2Shell.

i.r.i.s / IRIS / Verify – nicht betroffen

IRIS‑/Verify‑Lösungen dienen klassisch der:

• Texterkennung (OCR)
• Dokumentenerfassung
• Klassifikation und Extraktion

Technisch setzen diese Produkte auf lokalen Diensten, C++-/ .NET‑Bibliotheken und Capture‑Engines, jedoch nicht auf React‑basierten Webframeworks.
Damit besteht keine Betroffenheit.

Zusammenfassung

• gevis ERP BC: nicht betroffen
• d.3 Archiv: nicht betroffen
• i.r.i.s / IRIS / Verity: nicht betroffen

None der drei Systeme nutzt Technologien, die von der React‑Sicherheitslücke betroffen wären. Es besteht kein Handlungsbedarf für Ihre eingesetzten Produktivsysteme.

Hinweis: Eigene Web‑Portale prüfen

Falls Sie im Unternehmen andere (von Drittanbietern) React‑ oder Next.js‑basierte Webanwendungen einsetzen, sollten diese separat geprüft werden. Wenden Sie sich dazu bitte an die betreffenden Dienstleister.

Fazit

Sie können beruhigt sein: gevis ERP BC, d.3 und i.r.i.s sind nicht von der React‑Sicherheitslücke betroffen. Ihre Systeme laufen weiterhin sicher und stabil.

NIS2 Gesetz seit dem 6. Dezember 2025 in Kraft

Am 6. Dezember 2025 – passend zum Nikolaustag – ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland wirksam geworden. Mit diesem Stichtag endet die Übergangsphase, und Unternehmen, die unter die erweiterten Regelungen der EU #NIS2 Richtlinie fallen, müssen nun verbindlich erhöhte Anforderungen an ihre Cyber- und Informationssicherheit erfüllen.

Was bedeutet das für Unternehmen?

Das Gesetz zieht deutlich breitere Kreise als sein Vorgänger. Viele Organisationen, die bislang nicht im Fokus der Regulierung standen, fallen nun in die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“. Für sie gelten unter anderem:

• Strengere technische und organisatorische Sicherheitsmaßnahmen
  (z. B. Risikomanagement, Zugriffskontrollen, Business Continuity, Schwachstellenmanagement)
• Erweiterte Meldepflichten bei Sicherheitsvorfällen
  inklusive kurzer Reaktionsfristen und mehrstufiger Meldungen
• Erhöhte Anforderungen an Governance und Verantwortlichkeiten
  etwa Nachweispflichten gegenüber Behörden und eine stärkere Einbindung der Geschäftsleitung

Warum ist NIS2 so bedeutend?

NIS2 soll die Resilienz der digitalen Infrastruktur in Europa nachhaltig stärken – nicht nur in klassischen kritischen Sektoren, sondern auch in Branchen wie Produktion, Logistik, Abfallwirtschaft, Postdienste oder Lebensmittel. Dadurch rückt Informationssicherheit noch stärker in den unternehmerischen Alltag und wird zum strategischen Erfolgsfaktor.

Fazit

Mit dem Inkrafttreten des NIS2-Gesetzes ist für viele Unternehmen jetzt der Zeitpunkt gekommen, ihre bestehenden Sicherheitskonzepte zu überprüfen, Risiken neu zu bewerten und Prozesse nachhaltig zu professionalisieren. NIS2 ist mehr als ein Pflichtprogramm – es ist eine Chance, Informationssicherheit zukunftsfest aufzustellen. Lesen Sie auch unsere angehefteten anderen Artikel zum Thema im Blog.

Podcast: Weihnachten im Datacenter tierisch sicher

Moderator (warm und leicht ironisch):

Willkommen zur Weihnachtsausgabe von „Secure & Merry“, dem Podcast, der IT-Sicherheit mit einer Prise Humor verbindet.
Heute wird es tierisch – denn unser Datacenter bekommt festlichen Besuch von fünf Experten der besonderen Art.

Szene 1 – Die Ankunft im Datacenter

Fünf Tiere betreten die Sicherheitsschleuse:

1. ByteBrumm, der Braunbär – kräftig, gemütlich, hungrig nach Speicherplatz.
2. IcePatch, der Eisbär – kühl, fokussiert, Meister der „Frozen Backups“.
3. RedPandaRoot, der rote Panda – neugierig und etwas zu experimentierfreudig.
4. PandaAdmin, der große Panda – friedlich, aber mit Adminrechten ausgestattet.
5. WomBot, der Wombat – bodenständig und Tunnelbau-Experte für sichere Netzwerke.

Szene 2 – Die Mission

Die fünf sind zum jährlichen „X-MAS Security Check“ eingeladen.

ByteBrumm:
„Ich prüfe die Passwörter. Wenn eins schwächer ist als mein Winterschlaf, knurr’ ich.“

IcePatch:
„Backups werden kontrolliert. Alles, was nicht dreifach gesichert ist, friert ein – sinnbildlich.“

RedPandaRoot:
„Darf ich die Firewalls testen? Bitte? Nur kurz…?“
(grummelnde Blicke der anderen)
„Okay… nur gucken.“

PandaAdmin:
„Ich mach die Rechteverwaltung. Weihnachten ja – aber nicht für unbefugte Nutzer.“

WomBot:
„Ich seh mir die Netzwerksegmente an. Danach bau ich ’nen sicheren Tunnel.“

Szene 3 – Kleine Katastrophen und große Erkenntnisse

Das Passwort-Problem

ByteBrumm:
„‚weihnachten123‘. Wirklich? Das Passwort gehört auf die Naughty-List!“

Er ersetzt es durch:
Frohe-F3sttage!2025#Hoho

Moderator:
Moral: Schwache Passwörter sind wie billiger Glühwein – tun nur kurz gut, schaden aber lange.

Der neugierige Panda

RedPandaRoot findet ein USB-Stick mit der Aufschrift „wichtige Bilder“.

Alle:
„Nicht einstecken!“

Moderator:
Unbekannte Datenträger sind wie dubiose Plätzchen bei Kollegen – lieber nicht anfassen.

Der Backup-Schreck

IcePatch:
„Das letzte vollständige Backup ist so alt wie der Weihnachtsbaum… ohne Wasser.“
Not amused.

PandaAdmin räumt auf

Er entdeckt einen Nutzer mit „Admin“ und „Gast“-Rechten.

PandaAdmin:
„Das ist wie: gleichzeitig Bambus und Fast Food essen. Unmöglich.“

Szene 4 – Das Weihnachtswunder im Datacenter

Die Tiere schmücken das Datacenter sicher:

• Lichterkette: geprüft & zertifiziert
• Firewall als Adventskranz (natürlich ohne echte Kerzen)
• Monitoring-Lichter blinken im Rhythmus von „Jingle Bells“

WomBot:
„Wieder ’ne sichere Weihnacht. Keine Datenlecks, keine Ransomware.“

ByteBrumm:
„Alle Passwörter schön stark – wie ich.“

IcePatch:
„Backups frisch und stabil.“

RedPandaRoot:
„Und ich hab fast nichts angefasst!“

PandaAdmin:
„Rechte sauber getrennt. Friede auf Erden.“

Outro – Die Botschaft für die IT-Kunden

Moderator:
Liebe Zuhörerinnen und Zuhörer,

unsere tierischen Experten erinnern daran:

• Starke Passwörter sind schöner als jede Beleuchtung
• Regelmäßige Backups sind die wahren Weihnachtsgeschenke
• Unbekannte Anhänge & Datenträger lieber meiden
• Saubere Rechteverwaltung erspart festliche Überraschungen

Wir wünschen frohe & sichere Feiertage –
und denken Sie daran: Sicherheit ist das beste Geschenk für Ihre IT.

NIS2: Jetzt registrieren!

Die EU-Richtlinie NIS-2 (Network and Information Security Directive) ist seit 2024 ein zentraler Baustein zur Verbesserung der Cybersicherheit im europäischen Wirtschaftsraum. Mit der deutschen Umsetzung im #NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurden nicht nur KRITIS-Betreiber, sondern auch zahlreiche weitere Unternehmen erstmalig reguliert.

Der entscheidende Punkt: Auch Unternehmen, die bisher nicht unter KRITIS fielen, gelten nun als „wichtige Einrichtungen“ und müssen sich registrieren.

Warum eine Registrierung Pflicht ist

Alle Unternehmen, die unter NIS-2 fallen – also sowohl „besonders wichtige Einrichtungen“ (ehemals KRITIS) als auch „wichtige Einrichtungen“ (neu betroffene Unternehmen) – sind gesetzlich verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu melden.

Damit sollen die Behörden:

• Ansprechpartner im Notfall erreichen können
• Cybervorfälle zentral erfassen
• Informationen, Warnungen und Pflichten zielgerichtet verschicken
• die Einhaltung der gesetzlichen Anforderungen überwachen

Die Registrierung muss innerhalb von 3 Monaten erfolgen, nachdem ein Unternehmen feststellt oder feststellen kann, dass es unter NIS-2 fällt.

Wo müssen sich Unternehmen registrieren?

Die Registrierung erfolgt online über eine Elster ID. Ich habe dazu einen separaten Artikel geschrieben.

Dieses Portal ist die zentrale Anlaufstelle für:

• bisherige KRITIS-Betreiber
• alle neuen NIS-2 „wichtigen Einrichtungen“
• NIS-2-relevante Dienstleister
• Betreiber digitaler Dienste

Welche Daten werden benötigt?

Die Registrierung erfordert unter anderem:

• Unternehmensname und Rechtsform
• Adresse und Kontaktdaten
• Name des gesetzlichen Vertreters
• NACE-Code (wirtschaftliche Tätigkeit)
• betroffene Sektoren und Dienste
• öffentliche IP-Adressbereiche
• Länder, in denen Dienste erbracht werden

Je vollständiger die Angaben, desto schneller der Registrierungsprozess.

Wer ist überhaupt betroffen?

Das Gesetz unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen

(z. B. Energie, Wasser, Gesundheitswesen, große Hersteller, bestimmte IT-Dienstleister)

Wichtige Einrichtungen

(z. B. mittelgroße Unternehmen vieler Branchen ab bestimmten Schwellenwerten)

Ein Unternehmen ist in der Regel betroffen, wenn es:

• mehr als 50 Mitarbeiter hat und
• über 10 Mio. € Umsatz und Bilanzsumme liegt
• oder in einen der NIS-2-Sektoren fällt

Damit betrifft NIS-2 weit mehr Firmen als früher – vom Produktionsbetrieb über IT-Dienstleister bis hin zu Logistik, Lebensmittelwirtschaft und Chemie.

Fazit: Jetzt Klarheit schaffen und registrieren

Unternehmen, die bereits einen IT-Sicherheitscheck sowie eine Risikoanalyse mitsamt Notfallplan durchgeführt haben, verfügen in der Regel über die notwendigen Informationen, um sicher festzustellen:

• ob sie unter die NIS-2-Richtlinie fallen,
• welcher Kategorie („wichtige“ oder „besonders wichtige“ Einrichtung) sie zugeordnet werden
• und ob eine Registrierung im MIP-Portal des BSI/BBK erforderlich ist.

Wenn diese Grundlagen bereits vorhanden sind, kann die Registrierung schnell und rechtssicher erfolgen.

Alle anderen Unternehmen – insbesondere solche, die bislang keine systematische IT-Dokumentation, Gap-Analyse oder Risikobewertung nach BSI-Grundschutz durchgeführt haben – sollten zunächst die nötigen Voraussetzungen schaffen. Dafür empfiehlt sich das kombinierte NIS-2 Vorbereitungspaket, bestehend aus:

🔹 IT-Sicherheitscheck und Gap-Analyse nach BSI-Grundschutz
https://tech-nachrichten.de/it-sicherheits-check/

🔹 Schulung, Risikoanalyse & Notfallkonzept nach NIS-2-Anforderungen
https://tech-nachrichten.de/schulung-notfallkonzept-risiko/

Erst auf dieser Basis kann sauber bewertet werden, ob das Unternehmen als „wichtig“ oder „besonders wichtig“ gilt – und ob eine Registrierungspflicht besteht.

Exchange Online Sicherheitsmechanismen im Überblick

Sie oder Ihr Prüfer haben sich sicherlich schon mal gefragt, wie Microsoft (oder Ihre Admins) Ihren Exchange online absichern. Hier die ausführliche Antwort:

#Exchange Online ist Teil von Microsoft 365 und bietet ein mehrschichtiges Sicherheitskonzept, um Daten, Identitäten und Kommunikation vor Bedrohungen zu schützen. Die wichtigsten Mechanismen sind:

Identitäts- und Zugriffsmanagement

• Multifaktor-Authentifizierung (MFA): Schützt Benutzerkonten vor Kompromittierung, selbst wenn Passwörter gestohlen werden.
• Conditional Access: Richtlinien basierend auf Standort, Gerät und Risiko, um den Zugriff granular zu steuern.
• Passwortrichtlinien & Überwachung: Starke Kennwortrichtlinien und Erkennung verdächtiger Anmeldeversuche.

Schutz der E-Mail-Kommunikation

• Exchange Online Protection (EOP):
  • Anti-Spam & Anti-Phishing: Filterung verdächtiger Inhalte und Schutz vor Spoofing.
  • Anti-Malware: Mehrere Engines scannen Anhänge und Nachrichten in Echtzeit.
• Microsoft Defender for Office 365:
  • Safe Links: Überprüfung von URLs vor dem Öffnen.
  • Safe Attachments: Anhänge werden in einer Sandbox getestet.
• Data Loss Prevention (DLP): Erkennt und verhindert das Versenden sensibler Daten wie Kreditkarten- oder Personalausweisnummern.
• E-Mail-Verschlüsselung: Transport Layer Security (TLS) für Daten in Transit und BitLocker für Daten im Ruhezustand.

Authentifizierung & Compliance

• SPF, DKIM und DMARC: Schützen vor Spoofing und sichern die Domain-Reputation.
• Audit Logging: Nachvollziehbarkeit aller Änderungen und Zugriffe für Sicherheits- und Compliance-Zwecke.
• Revisionssichere Archivierung & eDiscovery: Für rechtliche Anforderungen und Untersuchungen.

Erweiterte Sicherheitsmaßnahmen

• Deaktivierung von Legacy-Protokollen: POP3, IMAP und SMTP Basic Auth werden abgeschaltet, um MFA-Umgehungen zu verhindern.
• Integration mit Microsoft Defender XDR: Erweiterte Bedrohungserkennung und automatisierte Reaktionen.
• Zero Trust-Ansatz: Jeder Zugriff wird überprüft, unabhängig vom Standort oder Gerät.

Fazit Sicherheit

Exchange Online kombiniert starke Authentifizierung, intelligente Bedrohungsabwehr und umfassende Compliance-Funktionen. Damit wird ein Höchstmaß an Sicherheit für E-Mail-Kommunikation und Daten gewährleistet.

Wichtiger Hinweis zu Datensicherung und Archivierung

So umfassend und ausgereift die Sicherheitsmechanismen von Exchange Online auch sind, ist ein zentraler Punkt häufig missverstanden – sowohl von Anwendern als auch von Prüfern:

Exchange Online ist kein Backup-System.

Papierkorb ≠ Datensicherung

Microsoft stellt in Exchange Online ausschließlich logische Schutzmechanismen bereit, wie z. B.:

• Gelöschte Elemente / Wiederherstellbare Elemente (Papierkorb)
• Kurzfristige Aufbewahrungsfristen
• Versionierung in bestimmten Szenarien

Diese Funktionen dienen nicht als vollwertige Datensicherung.
Nach Ablauf der Aufbewahrungsfristen oder bei gezielten Löschvorgängen (z. B. durch Benutzer, Administratoren, Ransomware oder Fehlkonfigurationen) sind Daten endgültig verloren.

👉 Eine klassische Datensicherung mit unabhängigen Kopien existiert in Exchange Online „ab Werk“ nicht.

Kein echtes E-Mail-Archiv ohne Zusatzfunktion

Ebenso wichtig:
Ohne zusätzliche Lizenz oder Konfiguration verfügt Exchange Online nicht über ein revisionssicheres E-Mail-Archiv im Sinne von Compliance-, Audit- oder GoBD-Anforderungen.

Empfehlung: Microsoft 365 Mailarchiv

Für die Archivierung von E-Mails empfiehlt sich das Exchange Online Archiving, das bereits in vielen Microsoft 365 Business Premium-Plänen enthalten ist.
Vorteile:

• Revisionssichere Archivpostfächer
• Unabhängig vom Benutzerpostfach
• eDiscovery-fähig
• Unterstützung gesetzlicher Aufbewahrungsfristen

➡️ Archivierung ersetzt jedoch ebenfalls kein Backup.

Empfehlung für echte Datensicherung: ConnectWise Backup

Für eine vollwertige Datensicherung von Microsoft-365-Workloads ist eine externe Backup-Lösung zwingend erforderlich.

Empfohlen wird:

ConnectWise Backup für:

• Exchange Online
• Microsoft Teams
• OneDrive for Business
• SharePoint Online

Vorteile:

• Unabhängige Sicherung außerhalb von Microsoft 365
• Granulare Wiederherstellung (E-Mails, Postfächer, Dateien, Sites)
• Schutz vor Ransomware, Fehlbedienung und böswilligen Löschungen
• Erfüllung von Audit- und Compliance-Anforderungen

Ergänzendes Fazit

Exchange Online bietet ein sehr hohes Sicherheitsniveau in Bezug auf Zugriff, Bedrohungsschutz und Compliance.
Sicherheit ersetzt jedoch keine Datensicherung.

Eine ganzheitliche und prüfungssichere Strategie besteht daher aus:

• Exchange Online für sichere E-Mail-Kommunikation
• Microsoft 365 Mailarchiv für revisionssichere Archivierung
• ConnectWise Backup für echte, unabhängige Datensicherung

👉 Erst die Kombination dieser Bausteine sorgt für technische Sicherheit, rechtliche Absicherung und betriebliche Resilienz.

Windows 11 denglisch beheben

Manchmal kommt es vor, dass das (meist in englisch) vom Hersteller vorinstallierte Windows 11 Pro nach Einstellung auf Region und Sprache Deutschland noch immer ein Mischmasch aus englischen Begriffen (z.B. im Kontextmenü oder Immersive Control panel). Um das zu beheben, gibt es ein effektives Powershell Script. Nach einem automatischen Neustart des Rechners ist alles auf deutsch:

# --- Variables ---
$targetLanguage = "de-DE" # Replace with the desired language code (e.g., "en-US", "fr-FR")
# --- Install Language Pack ---
# Ensure you have the necessary language pack on your system or a local repository
# You can use Add-WindowsCapability -Online -Name "Language.es-ES~..." for feature-on-demand languages or install the pack from a local ISO [5, 11]
# Example using Install-Language cmdlet:
Install-Language -Language $targetLanguage
# --- Set User Display Language ---
# This sets the language for the current user
Set-WinUserLanguageList $targetLanguage -Force
# --- Copy Settings to System and Welcome Screen ---
# This applies the language to the system and the welcome screen
# You may need to run this section in a separate user session for it to fully apply
# Or use a scheduled task to run it under the logged-on user [7, 9]
Copy-UserInternationalSettingsToSystem -WelcomeScreen $True
# --- Force a Restart to Apply Changes ---
# A reboot is required for the changes to take effect system-wide [1, 9]
Restart-Computer -Force

NIS2-Umsetzungs-Gesetz verabschiedet

✅ Was ist passiert

Die #NIS2 Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Deutschland hatte die Umsetzungsfrist bis zum 17. Oktober 2024, diese Frist wurde jedoch nicht eingehalten. Der Kabinettsentwurf des BMI („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie …“) wurde veröffentlicht und durch das Bundeskabinett beschlossen (am 30. Juli 2025). Der Bundestag hat das Gesetz laut mehreren Quellen am 13. November 2025 beschlossen. Openkritis Zusammenfassung und Artikel der Bundesregierung

⚠️ Was heißt das in der Praxis & was kommt noch

Mit dem Beschluss des Gesetzes wird der rechtliche Rahmen in Deutschland gelegt, mit dem die Richtlinie in nationales Recht überführt wird. OpenKritis Artikel dazu. Das Gesetz sieht unter anderem vor:

• Erweiterten Anwendungsbereich: Neben klassischen KRITIS-Betreibern sollen künftig „wichtige“ und „besonders wichtige“ Einrichtungen erfasst werden.
• Neue Meldepflichten bei Sicherheitsvorfällen (z. B. dreistufiges Melderegime: Erstmeldung innerhalb 24 Std., Zwischenbericht, Abschlussbericht)
• Verstärkte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Behörden – z. B. Prüfungen, Mitteilungs- und Kontrollrechte.
• Neue Pflichten für Unternehmen: Risikomanagement, organisatorische & technische Maßnahmen, Berücksichtigung von Lieferketten und Dienstleistern.

Der genaue Zeitpunkt des Inkrafttretens steht noch aus. Es wird davon ausgegangen, dass das Gesetz Ende 2025 oder Anfang 2026 wirksam wird.

[time_until date="01.01.2026" label="voraussichtliches Inkrafttreten NIS2UmsuCG"]

📌 Anwendungsbereich – deutlich erweitert

Bisher (IT-SiG 2.0):

• Fokus auf KRITIS-Betreiber und einige digitale Dienste.
• Sektorspezifische Schwellenwerte.

Neu (NIS2UmsuCG):

• Zwei neue Kategorien:
  • Besonders wichtige Einrichtungen (Essential Entities, EE)
  • Wichtige Einrichtungen (Important Entities, IE)
• Unternehmensgröße wird zu einem zentralen Kriterium (250+ MA oder hoher Umsatz).
• Viel mehr Branchen und auch Zulieferer indirekt betroffen.

Auswirkung:
Eine große Zahl bisher nicht regulierter Unternehmen fällt ab sofort unter verbindliche Sicherheitsanforderungen.

📌 Sicherheitsanforderungen – viel konkreter und umfangreicher

Bisher:

• „Stand der Technik“ ohne starke Konkretisierung.
• Weniger klare Vorgaben für Risikomanagement.

Neu:
Klare Anforderungen, u. a.:

• Strukturiertes Risikomanagement inkl. Lieferkette
• Incident Response mit klar definierten Abläufen
• Business Continuity und Disaster Recovery
• Zero-Trust-Elemente
• Sichere Entwicklung und Patch-Management
• Verbindliche MFA / starke Authentifizierung
• Dokumentierte Tech- und Orga-Maßnahmen

Auswirkung:
Mehr prüfbare und verbindliche Kriterien – vergleichbar mit ISO 27001, aber bindender.

📌 Neues Melderegime für Sicherheitsvorfälle

Bisher:

• Meldung innerhalb 24 Stunden, wenig sanktioniert.

Neu – dreistufig:

1. Erstmeldung innerhalb 24 Stunden
2. Zwischenbericht nach 72 Stunden
3. Abschlussbericht innerhalb eines Monats

Auswirkung:
Unternehmen brauchen klar definierte Meldeprozesse, Tools und Verantwortlichkeiten.

📌 4. Management-Verantwortung und Haftung

Bisher:

• Verantwortlichkeit eher indirekt.

Neu:

• Geschäftsführung haftet persönlich bei fahrlässiger Pflichtverletzung.
• Pflicht zu Management-Schulungen im Bereich Cybersicherheit.
• Behörden können Maßnahmen gegen die Unternehmensleitung richten.

Auswirkung:
Security muss auf Vorstandsebene aktiv geführt und dokumentiert werden.

📌 Deutlich höhere Bußgelder

Bisher:

• Maximal 2 Mio. €.

Neu:

• Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % Umsatz
• Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % Umsatz

Auswirkung:
Bußgeldniveau vergleichbar mit DSGVO – deutlich höheres Risiko.

📌 Ausgeweitete Befugnisse des BSI

Bisher:

• Beratung, Anordnungen, Mindeststandards.

Neu:

• Anlasslose Prüfungen möglich
• Verbindliche technische Anordnungen
• Eingriffsbefugnisse bis in die Lieferkette
• Pflicht, dass Unternehmen mitwirken und Daten liefern

Auswirkung:
Unternehmen müssen jederzeit prüf- und nachweissicher sein.

📌 7. Lieferketten- / Dienstleisterpflichten

Bisher:

• Kaum konkrete gesetzliche Vorgaben.

Neu:

• Risikobewertung von Dienstleistern verpflichtend
• Verbindliche Security-Vorgaben in Verträgen
• Fokus auf Cloud, MSP, Softwarelieferanten
• Nachweis „angemessener Sicherheit“ in der Kette

Auswirkung:
Vendor-Management und TPRM werden zentrale Pflichtaufgaben.

📌 Governance und organisatorische Vorgaben

Neu eingeführt / konkretisiert:

• Verbindliche Sicherheitsstrategien
• Klare Rollen & Verantwortlichkeiten
• Audit- und Reportingpflichten
• Regelmäßige Schulungen
• Dokumentationspflichten für alle Maßnahmen

Auswirkung:
Organisatorische Sicherheit wird so wichtig wie technische Sicherheit.

📌 Fazit

NIS2UmsuCG verschärft und erweitert die Vorgaben des IT-SiG 2.0 erheblich:

• Mehr betroffene Unternehmen
• Konkretere Sicherheitsanforderungen
• Strengere Meldepflichten
• Persönliche Managementhaftung
• Höhere Bußgelder
• Deutliche Stärkung der Behördenrechte
• Verpflichtende Einbindung der Lieferkette

Für Systemkoordinierende und IT Fachpersonal in Unternehmen bedeutet das: Die Anforderungen steigen erheblich – organisatorisch, technisch und dokumentarisch.

Adventskalender

[pbadventskalender cats=771 games=1 debug=0]

Reminder: keine Sicherheitsupdates mehr für Windows 10 & Office

#Wichtig - morgen ist bei #Microsoft Patch Tuesday – doch für Windows 10 (Home/Pro/Enterprise), Office 2016/2019 und Exchange Server 2019 On-Premises bedeutet das: keine regulären Sicherheitsupdates mehr.
Das Supportende ist erreicht – und damit endet auch die Versorgung mit sicherheitsrelevanten Patches für Unternehmensumgebungen.

Was endet – und seit wann?

• Windows 10 (22H2, alle Editionen):
  Der reguläre Support endete am 14. Oktober 2025. Für Privatanwender bietet Microsoft ein Extended Security Updates-Programm (ESU) an – nicht aber für Unternehmen.
  Firmenkunden, die weiterhin Support benötigen, müssen auf Windows 11 oder Azure Virtual Desktop (AVD) migrieren.
• Microsoft Office 2016 & 2019:
  Ebenfalls Ende des Supports am 14. Oktober 2025 – und kein ESU-Programm verfügbar. Ab sofort gibt es keine Sicherheitsfixes mehr, auch nicht für Volumenlizenz- oder On-Prem-Installationen.
• Exchange Server 2019 On-Premises:
  Der reguläre Support ist am 14. Oktober 2025 ausgelaufen. Es gibt nur noch ein zeitlich begrenztes ESU-Programm (6 Monate) bis 14. April 2026, das individuell über Microsoft-Vertriebskontakte bereitgestellt wird – keine automatische Verlängerung oder öffentliche Downloads.

Speziell: Azure Virtual Desktop (AVD) mit Windows 10

Ein Sonderfall: In Azure Virtual Desktop-Umgebungen mit Windows 10 Multisession erhalten Systeme weiterhin sicherheitsrelevante Updates – ohne zusätzliches ESU-Abo.
Diese Ausnahme gilt nur innerhalb von Azure und nicht für lokale Windows 10-Installationen in Unternehmen.

Wichtig: Wer weiterhin Windows 10 Enterprise oder Pro lokal betreibt, erhält ab morgen keinerlei Sicherheitsupdates mehr.

Warum „ab morgen“ besonders kritisch ist

Ab dem Patch Tuesday im November 2025 erscheinen für die genannten Produkte keine regulären Sicherheitsupdates mehr.
Das bedeutet: Jedes Windows 10-, Office 2016/2019- oder Exchange 2019-System ohne Migration oder Cloud-Ausnahme bleibt dauerhaft verwundbar.
Bekannte Schwachstellen können ab morgen ungepatcht ausgenutzt werden – mit potenziell gravierenden Folgen für IT-Sicherheit und Compliance.

Gerade bei Exchange Servern warnen Sicherheitsbehörden wie das BSI vor einer zu erwartenden Welle gezielter Angriffe auf ungepatchte Systeme.

Handlungsempfehlungen (sofort umsetzen)

1. Windows 10:
   • Sofort prüfen: Welche Systeme laufen noch auf Windows 10?
   • Migration auf Windows 11 einleiten – auch in VDI-Umgebungen.
   • Alternativ: Azure Virtual Desktop (Windows 10 Multisession) prüfen, falls Cloud-Betrieb möglich ist.
2. Office 2016/2019:
   • Umstieg auf Microsoft 365 Apps for Enterprise oder Office 2024 LTSC planen.
   • Ältere Versionen dürfen nicht mehr produktiv eingesetzt werden.
3. Exchange Server 2019:
   • Wenn zwingend nötig, ESU bis April 2026 über Microsoft-Kontakt beantragen.
   • Langfristig: Migration auf Exchange Online oder Exchange Subscription Edition vorbereiten.
4. Übergangsmaßnahmen zur Risikominimierung:
   • Exponierte Dienste (z. B. OWA, EWS) absichern oder abschalten.
   • MFA erzwingen, EDR- und Logging-Regeln anpassen.
   • Backups und Netzsegmentierung überprüfen.
   • Angriffsoberflächen durch interne Pen-Tests oder Schwachstellenscans neu bewerten.

Checkliste für morgen (11. November 2025)

• Inventar: Welche Systeme laufen noch auf Windows 10 / Office 2016/2019 / Exchange 2019?
• Migrationspfade dokumentiert und kommuniziert?
• Exchange-ESU ggf. beauftragt (bis April 2026)?
• MFA und Härtungsmaßnahmen aktiv?
• Monitoring/EDR auf bekannte Exploit-Ketten (z. B. CVE-Historie) erweitert?

Fazit

Ab morgen endet die Ära von Windows 10, Office 2016/2019 und Exchange 2019 On-Prem in der Unternehmens-IT.
Ohne Updates besteht ein erhebliches Sicherheits- und Compliance-Risiko.
Es gibt kein ESU-Programm für Unternehmen – der einzige sichere Weg ist die Migration auf Windows 11, Microsoft 365 oder Exchange Online.

Jetzt handeln – bevor die Angreifer es tun.

Die Nacht der Syskos – Grusel in der Azure-Wolke

Es war Halloween 🎃 in Münster. Während draußen die Kinder als Vampire, Hexen und wandelnde WLAN-Router durch die Straßen zogen, versammelten sich tief im Rechenzentrum die Syskos – jene sagenumwobenen Systemkoordinierenden, die täglich gegen Druckerflüche, Firewall-Fabelwesen und Backup-Banshees kämpften.

An diesem Abend war die Stimmung besonders elektrisierend. Die Azure-Konsole ☁️👻 glühte, die Lüfter summten wie Geister, und die Syskos bereiteten sich auf ein nächtliches Update-Ritual vor.

Angeführt wurde das Team von Horst Hotfix, einem Veteran der IT-Schlachtfelder, der schon mal einen Drucker mit einem Blick zum Laufen brachte. Mit ihm im Team:

• Sabine Socket, die Excel-Magierin mit dem Talent, Pivot-Tabellen aus dem Nichts zu zaubern,
• Dieter Datastream, der Mann, der IP-Adressen im Schlaf rezitierte,
• und Monika Malwarefrei, die Firewall-Flüsterin mit einem Faible für dunklen Kaffee und helle Logs.

Die Azure-Konsole war geöffnet, die Updates bereit – doch plötzlich flackerte das Licht. Ein kalter Wind wehte durch die VLANs, und aus dem digitalen Nebel stieg ein Wesen empor: der 404-Geist, ein uralter Bug, der Dokumentationen verschlang und Systeme in die ewige Schleife schickte.

„Das ist kein gewöhnlicher Fehler“, murmelte Horst Hotfix und zog sein heiliges PowerShell-Skript. Die Syskos formierten sich, bewaffnet mit Laptops, Koffein und einem Backup-Plan. Gemeinsam riefen sie:

„Wir patchen nicht nur – wir retten die Cloud!“

Ein epischer Kampf entbrannte. Der 404-Geist versuchte, die Azure-Ressourcengruppen zu verwirren, doch Monikas Firewall-Zauber hielt stand. Dieter schickte ihm eine IP-Umleitung ins Nirvana, und Sabine sperrte ihn in eine verschlüsselte Excel-Datei mit Makrosperre.

Doch das war nicht alles. Aus dem Schatten der Cloud tauchten weitere Gestalten auf:

• Der Trojaner-Troll, der sich als harmloses PDF tarnte,
• Die Phishing-Phantomine, die versuchte, Passwörter mit süßen Emojis zu stehlen,
• und Der DNS-Dämon, der jede Anfrage ins Leere leitete.

Die Syskos kämpften tapfer. Mit einem Azure Policy-Set, das selbst den Sicherheitsgöttern Respekt abverlangte, bannte das Team die dunklen Mächte zurück in die Sandbox.

Als der Morgen graute, war die Cloud wieder stabil, die Systeme sicher – und die Legende der Syskos um ein Kapitel reicher.

🛡️ Und die Moral von der Geschicht?

Auch wenn die Nacht voller Geister ist – mit einem guten Backup, einem starken Team und einem klaren Sicherheitskonzept ist jede IT-Herausforderung zu meistern.

Cyberangriffe nehmen zu – und ein veralteter Sicherheitsstatus ist ein gefundenes Fressen für Hacker.
Ein IT-Sicherheitscheck nach BSI-Standards deckt Schwachstellen auf, sichert Ihre Compliance und spart Kosten, bevor Schaden entsteht.

👉 Jetzt informieren und handeln – bevor es zu spät ist [tech-nachrichten.de]

M365 Copilot Teams Audiozusammenfassungen

🎙️ Die Quadratur des Kreises: Audio-Recaps in Microsoft Teams – zwischen KI-Magie und Exportfrust

Mit Microsoft 365 Copilot hält eine neue Generation von KI-Funktionen Einzug in den Arbeitsalltag – darunter auch die heiß diskutierten Audio-Zusammenfassungen (Audio Recaps) in Microsoft Teams. Was auf den ersten Blick wie ein Traum klingt, entpuppt sich bei genauerem Hinsehen als eine Mischung aus technischer Meisterleistung und funktionalem Kopfschütteln.

🇩🇪➡️🇺🇸 Schulung auf Deutsch, Recap auf Amerikanisch

Stellen wir uns folgendes Szenario vor:
Patrick hält eine Schulung für deutsche Systemkoordinatoren und schaltet die deutsche Transkription an. Teams Copilot erstellt daraus hervorragende Zusammenfassungen mit Aufgaben. Nun kommt der neue Knopf "Audiozusammenfassung" ins Spiel: Teams transkribiert das Gesagte live – allerdings nicht auf Deutsch, sondern automatisch auf Englisch, und zwar in einem amerikanischen Slang, der eher nach Silicon Valley als nach Münster klingt.

Das Ergebnis?
Teams erstellt daraus Audio-Kapitel, die man sich direkt im Client anhören kann – inklusive lässiger US-Intonation. Man fühlt sich fast wie in einem Tech-Podcast.

Aber:
🔒 Exportieren? Fehlanzeige.
🔒 Herunterladen? Nicht möglich.
🔒 Teilen außerhalb von Teams? Vergiss es.

🤹‍♂️ Mit Copilot wird’s kurios

Dank M365 #Copilot kann man das amerikanische Transkript nun nehmen und – Achtung – „lustig“ auf Deutsch zurückübersetzen lassen. Die #KI macht daraus eine charmante Mischung aus Denglisch, Bürofloskeln und gelegentlichen Übersetzungsperlen („Failover Cluster“ wird zu „Ausfall-Ansammlung“ – kein Witz).

Aber hier kommt der Clou:
🎧 Audio-Recap auf Deutsch? Nicht möglich.
Teams erlaubt die Erstellung von Audio-Zusammenfassungen nur aus englischen Transkripten – und auch nur, wenn sie im Original von Teams erzeugt wurden.

🧩 Fazit: KI kann viel – aber nicht alles

Die Audio-Recaps in Teams sind ein Paradebeispiel für die Möglichkeiten moderner KI:

• Live-Transkription
• Automatische Kapitelbildung
• Sprachsynthese mit Slang

Aber sie zeigen auch die Grenzen:

• Keine Exportfunktion
• Keine Mehrsprachigkeit
• Kein Zugriff außerhalb von Teams

Wer also gehofft hat, seine Schulung als Podcast zu veröffentlichen oder das Recap als MP3 zu verschicken, muss sich gedulden – oder kreativ werden.

Wichtiger Hinweis: Die deutsche Zusammenfassung nehmen und mit Drittanbieterdiensten einen Podcast zu erstellen scheidet in diesem Fall aus, da in der Zusammenfassung mit Sicherheit DSGVO-relevante Personendaten verarbeitet werden.

Tipp für Admins und Trainer:innen (Tränende):
Wenn du Audio-Zusammenfassungen nutzen willst, plane deine Sessions auf Englisch – und mit Copilot-Lizenz. Für alles andere gilt: Die Quadratur des Kreises bleibt (vorerst) ungelöst.

Anmerkungen der Redaktion: Sobald das Feature auf deutsch kommt und nicht mehr vorher in us-english umgewandelt wird, wird das ein zusätzlicher Mehrwert für die Sysko-Schüler. Neben der Text-Zusammenfassung können sie sich die Highlights dann auf deutsch in einem 10 Minuten Podcast (2 Tage) anhören. Die Audios werden auch jetzt schon abgelegt - im Onedrive für Business des Speakers (GWS-Mitarbeitenden) unter \Recordings\AudioRecaps

Datensicherung Microsoft Azure IaaS und SaaS

Sicher in der Cloud: Das Datensicherungs-Konzept für gevis in Microsoft Azure IaaS und gevis ERP | VEO (r) bzw. Companial SaaS

Die Digitalisierung schreitet voran – und mit ihr die Anforderungen an moderne IT-Infrastrukturen. Für Unternehmen, die gevis ERP BC einsetzen, stellt sich zunehmend die Frage: Wie lässt sich die #Datensicherheit in der #Cloud gewährleisten? Dieser Blog-Artikel beleuchtet die Konzepte hinter der #Datensicherung in Microsoft Azure IaaS und der gevis Companial SaaS-Umgebung.

Microsoft Azure IaaS: Flexibilität mit Verantwortung

In der Infrastructure-as-a-Service (IaaS)-Variante wird gevis ERP BC auf dedizierten Azure-Servern betrieben – etwa über RDP-Sitzungen, Azure Virtual Desktop oder direkt im Browser. Die Verantwortung für die Datensicherung liegt hier bei Microsoft, das tägliche Snapshots und Langzeitarchivierung über Azure Backup bereitstellt.

Highlights:

• Alle Azure Server:
  • 30-Tage-Sicherung mit täglicher Vollsicherung
  • 10-Jahres-Archivierung für Compliance-Zwecke
• gevis ERP | BC Datenbanken (auf separatem Storage Account abgelegt):
  • 1x pro Tag Vollsicherung
  • alle 15 Minuten Deltasicherung
• (Achtung! vorgeschrieben, aber nur im Rahmen der Managed | Care Packages Premium und Premium plus oder optional einzeln buchbar):
  • Konsistenzprüfungen für gevis ERP BC und s.dok-Datenbanken
  • nach BSI GSK Standards vorgeschriebene Rücksicherungstests alle 3 Monate

Die gevis ERP | BC Sicherung erfolgt über SQL-Agenten-Wartungspläne und das Azure Backup Portal. Systemkoordinatoren oder GWS Managed Services übernehmen die Kontrolle und Durchführung.

Backup-Protokolle einsehen: Azure Portal und SQL-Agent

Im Azure Portal:

• Anmeldung unter https://portal.azure.com
• Navigieren zu Backup Center oder dem jeweiligen Recovery Services Vault
• Auswahl der VM oder Datenbankinstanz
• Anzeige des Sicherungsverlaufs inkl. Status, Dauer und Fehlerprotokollen

Im SQL Server Agent:

• Öffnen von SQL Server Management Studio (SSMS)
• Navigieren zu SQL Server Agent > Jobs
• Auswahl des relevanten Jobs (z. B. gevis-, BI1- oder s.dok-Datenbank)
• Rechtsklick → View History zur Einsicht der Ausführungsdetails

Textprotokolle im Dateisystem:

• Pfad: h:\sql-backup\berichte oder c:\doku_DB
• Enthalten tägliche Sicherungsstatistiken und Statusmeldungen
• Automatische Löschung älterer Protokolle (>30 Tage)
• Grundlage für Systemmeldungen an die GWS

Hinweis zu Wartungsplänen:

• Müssen vor der Bandsicherung abgeschlossen sein
• Sicherungssoftware (Standard: Microsoft Azure Backup) sichert .BAK und .TRN Dateien
  • Hinweis Drittanbieter Sicherungssoftware - keine Truncate-Logs über Drittsoftware – stattdessen Copy Logs aktivieren unter SQL-Aware Exclusions

gevis ERP | VEO SaaS und Companial SaaS: Sicherheit durch Standardisierung

Die Software-as-a-Service (SaaS)-Variante von gevis wird vollständig durch Microsoft betrieben, bei Companial von diesem Unternehmen überwacht (Auftragsverarbeiter). Die Datenbanken sind als Webservices in der Microsoft Cloud verfügbar, und Microsoft übernimmt die Sicherung gemäß den SLAs.

Besonderheiten:

• Keine direkte Einsicht in Sicherungsprozesse oder Speicherorte
• 30-Tage-Snapshot-Sicherung durch Microsoft
• ISO-zertifizierte Rechenzentren garantieren Compliance
• Zero-Administration für Kunden – keine manuelle Pflege der Infrastruktur notwendig

Vergleich: IaaS vs. SaaS – Was passt zu wem?

Kriterium	IaaS (Azure)	SaaS (Companial)
Zugriff	Voller Zugriff auf Server und SQL	Nur Browser-Zugriff, keine SQL-Verbindung
Sicherungskontrolle	Teilweise durch GWS (Managed Care Package Premium(+) oder Kunden	Vollständig durch Microsoft
Transparenz	Einsicht in Backup-Protokolle durch Kunden möglich	Keine Einsicht in Backup-Details
Flexibilität	Hoch (z. B. bei Migrationen)	Standardisiert, weniger Anpassungsmöglichkeiten
Compliance	ISO-konform, individuell erweiterbar	ISO-konform, durch Microsoft geregelt

Fazit: Sicherheit ist kein Zufall

Ob IaaS oder SaaS – beide Modelle bieten robuste Datensicherungskonzepte, die den Anforderungen moderner Unternehmen gerecht werden. Die Entscheidung für das passende Modell sollte auf Basis der IT-Strategie, Compliance-Vorgaben und internen Ressourcen getroffen werden.

Für weitere Details lohnt sich ein Blick in die internen Dokumente wie die Systemanforderungen und den Cloud Readiness Check.

Für eine Komplett-Dokumentation und Compliance Überprüfungen nach BSI Grundschutz bieten wir Ihnen unseren IT-Sicherheitscheck, ergänzt durch Risikoanalyse und Notfallplan nach BSI-Standards an.

Prüfung KI-Compliance für Mitarbeitende

Sie müssen für Ihr Unternehmen sicherstellen, dass alle Mitarbeitenden die Anforderungen des EU-KI-Acts kennen und verantwortungsvoll mit KI-Systemen umgehen. Diese #Prüfung unterstützt Sie dabei, den aktuellen Wissensstand zu erfassen und die Einhaltung der gesetzlichen Vorgaben zu fördern. Wenn Sie mehr als 50 % erreichen, gilt die Prüfung als bestanden. Die benötigte Zeit wird automatisch protokolliert.

Hinweis für die Mitarbeitenden: Der Nachweis der geleisteten Tests ist verpflichtend für Ihr Unternehmen. Bitte geben Sie in das Namensfeld Ihre GWS-Nummer, gefolgt von Ihrem Nachnamen (oder ohne GWS-Nummer: Vorname Nachname) an (Beispiele: 20304 Meier oder Markus Meier).

[personal_quiz items=20 cats="kuenstlicheintelligenz"]

Hinweisgeber-Portal für Unternehmen

Mit dem #Plugin „HinSchG-Portal“ bieten Unternehmen eine einfache und kostenfreie Lösung zur Umsetzung des Hinweisgeberschutzgesetz (HinSchG) und ermöglichen Mitarbeitenden, Lieferanten oder externen Hinweisgebern Missstände anonym oder vertraulich zu melden.

Warum dieses Plugin?

Seit dem Inkrafttreten des Hinweisgeberschutzgesetzes am 2. Juli 2023 sind Unternehmen – je nach Größe und Branche – verpflichtet, interne Meldestellen einzurichten und ein System zur Entgegennahme von Hinweisen bereitzustellen. Industrie- und Handelskammer+1
Das HinSchG verfolgt das Ziel, Hinweisgebende vor Repressalien zu schützen, indem ein sicherer Meldeweg bereitgestellt wird. dos-online.de
Dieses #Werkzeug Plugin ermöglicht genau das: einfach in das WordPress-Backend integrierbar, mandantenfähig, mit anonymem Upload, temporärem Downloadlink und komfortabler Mandantenverwaltung.

Highlights des Plugins

• Mandantenverwaltung: Mehrere Kennzahlen und Mandanten parallel möglich (z. B. verschiedene Gesellschaftseinheiten).
• Frontend-Hinweisformular: Nutzerfreundlich im Corporate Design, mit Pflichtfeldern, Upload-Funktion und Vista für Mandant:innen.
• Sichere Verarbeitung: Hinweisgeberdaten bleiben anonymisiert, Uploads werden temporär mit Linkfreigabe zur Verfügung gestellt.
• Open Source: Das Projekt ist auf GitHub verfügbar unter:
  https://github.com/svenbolte/hinschg-portal/
• Erstinstallation und Betrieb: Lizenzfrei; Betreiber bzw. Administrator verantwortet rechtlich die Nutzung und Umsetzung.

Für wen ist das Plugin geeignet?

• Mittel- und Großunternehmen, die eine interne Meldestelle nach HinSchG bereitstellen müssen.
• Dienstleister bzw. Agenturen, die Mandantenportale zur Hinweisgeberkommunikation betreiben.
• Behörden oder Organisationen im öffentlichen Auftrag, die Hinweiskanäle anbieten müssen.

Hinweise zur Nutzung

Obwohl das Plugin viele Aufgaben erheblich erleichtert, ersetzt es nicht die rechtliche oder datenschutzrechtliche Beratung – diese bleibt bei Ihnen. Achten Sie im Betrieb Ihrer Meldestelle auf die Dokumentation, Schulung der Verantwortlichen, technische und organisatorische Maßnahmen (TOMs) und die Einhaltung der Bearbeitungsfristen.
Eine gute Praxis: Einleitung einer internen Betriebsvereinbarung oder Dienstleistungsvereinbarung mit der Meldestelle sowie Information der Beschäftigten.

Fazit

Mit dem HinSchG-Portal-Plugin erhalten Sie eine solide Grundlage, um die gesetzlichen Anforderungen des Hinweisgeberschutzgesetzes effizient umzusetzen – transparent, mandantenfähig und minimal-aufwändig. Die Open-Source-Dokumentation auf GitHub macht Anpassung und Integration einfach. Wenn Sie eine Lösung suchen, die Sie schnell in Ihr WordPress-Umfeld einbinden können und die keine monatlichen Lizenzkosten erfordert, ist dieses Plugin eine hervorragende Option.

🛡️ Datenschutz beim Self-Hosting

Beim selbstgehosteten Betrieb des Hinweisgeberschutz-Portals trägt der Betreiber die Verantwortung für die datenschutzkonforme Einrichtung und Wartung. Da Webserver-Logs unter Umständen Rückschlüsse auf Nutzer zulassen (z. B. durch IP-Adressen oder Zeitstempel), ist besondere Sorgfalt geboten.

Grundsätze:

1. Keine Zuordnung von Logs zu Hinweisen
   Administratoren dürfen keine Versuche unternehmen, Hinweise anhand von Server-Logs oder IP-Daten einer Person zuzuordnen.
2. Log-Daten minimieren oder anonymisieren
   Web- und Fehlerlogs sollten so konfiguriert werden, dass keine personenbezogenen Daten gespeichert werden.
3. Verpflichtung der Administratoren
   Personen mit Serverzugriff sind schriftlich zu verpflichten, keine Rückverfolgung oder Datenverknüpfung vorzunehmen.
4. Löschfristen und Zugriffsbeschränkung
   Logs nur so lange aufbewahren, wie es für den Betrieb notwendig ist – Zugriff nur für berechtigte Admins.

Beispieltext für eine interne Richtlinie:

Verpflichtung zur Wahrung der Anonymität von Hinweisgebern
Administratoren, die Zugriff auf Server- oder Systemlogs haben, verpflichten sich, keine technischen oder sonstigen Maßnahmen zu ergreifen, um die Identität von Hinweisgebern zu ermitteln oder Hinweise einzelnen Personen zuzuordnen.
Die Auswertung von Log-Daten darf ausschließlich zum Zweck der Systemsicherheit erfolgen.
Eine Identifizierung von Hinweisgebern ist unzulässig. Verstöße können arbeits- oder dienstrechtliche Konsequenzen haben.

Digitale Zeiterfassung & Raumreservierung mit WordPress

In Zeiten, in denen gesetzliche Regelungen zur Arbeitszeiterfassung (z. B. durch Urteile von EuGH und BAG) an Bedeutung gewinnen, suchen viele Unternehmen nach schlanken, wirtschaftlichen Lösungen. Im Open-Source-Bereich existiert mit dem WordPress-Plugin Time Clock / Stempeluhr mit Raumbuchung eine interessante Option, die Zeit- und Raumverwaltung innerhalb Ihrer WordPress-Installation erlaubt.
Der Quellcode ist frei verfügbar auf GitHub: https://github.com/svenbolte/time-clock

In diesem Artikel beschreibe ich das Plugin, zeige seine Funktionen und Vorteile auf und verweise auf den Blogbeitrag
„Zeiterfassungspflicht neu aufgewärmt“, der das Thema Zeiterfassung in Unternehmen vertieft.

Was ist das „Time Clock / Stempeluhr & Raumplaner“-Plugin?

Das Plugin ist eine erweiterte Version eines WordPress-Time-Clock-Plugins mit integrierter Raumbuchungs- bzw. Desksharing-Funktion.
Es ermöglicht Mitarbeitenden, Arbeitszeiten zu erfassen und gleichzeitig Arbeitsplätze oder Räume zu reservieren.

Hauptfunktionen

1. Stempeluhr / Zeiterfassung (Frontend & Backend)
   • Mitarbeitende können sich über ID & PIN ein- und ausstempeln, Pausen beginnen und beenden oder Zeiten nachträglich eintragen.
   • Das Frontend zeigt alle Stempelvorgänge gruppiert nach Tagen mit Zwischen- und Gesamtsummen.
   • Export nach Excel für einzelne oder alle Mitarbeitenden zur Weiterverarbeitung.
   • Admins können nach Benutzer oder Monat filtern; Überschreitungen (z. B. mehr als 10 Stunden/Tag) werden farblich hervorgehoben.
2. Raumplaner / Sitzreservierung / Desksharing
   • Mit dem Shortcode [roombooking] lässt sich eine intuitive Buchungsoberfläche einbinden.
   • Administrator:innen können Räume und Sitzplätze mit Kapazitätsgrenzen anlegen und verwalten.
   • Mitarbeitende können für ein Datum genau einen Platz reservieren.
   • Admins behalten den Überblick über alle Reservierungen und können Räume wieder freigeben.
3. Rechtliche & technische Aspekte
   • Das Plugin ist vollständig auf Deutsch verfügbar.
   • Lizenz: GPL v2 oder neuer, frei nutzbar und anpassbar, aber ohne Gewährleistung.
   • Der Einsatz erfolgt auf eigenes Risiko – ideal für Organisationen mit interner WordPress-Umgebung.

Vorteile und Nutzen

Vorteil	Beschreibung
Kostenfrei & Open Source	Keine Lizenzkosten; Quellcode offen einsehbar und anpassbar.
Integriert in WordPress	Kein zusätzliches System nötig – alles im bestehenden CMS.
Zentrale Verwaltung	Zeiterfassung und Raumreservierung in einem Tool.
Flexibilität & Anpassbarkeit	Anpassbar an Design und Workflows Ihrer Organisation.
Excel-Export	Einfache Weiterverarbeitung, z. B. für Lohnabrechnung.
Transparenz	Nachvollziehbare Arbeitszeiten mit Markierung von Abweichungen.
Desksharing-Unterstützung	Perfekt für hybride Arbeitsmodelle und flexible Büros.
Rechtliche Orientierung	Unterstützt die Umsetzung der Zeiterfassungspflicht.

Kontext: Zeiterfassungspflicht in Deutschland

Die Diskussion um die gesetzliche Pflicht zur Arbeitszeiterfassung nimmt seit Jahren Fahrt auf.
Bereits 2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass Arbeitgeber ein objektives System zur Erfassung der Arbeitszeit bereitstellen müssen.
Das Bundesarbeitsgericht (BAG) bestätigte 2022 diese Pflicht auch für Deutschland.

Der Artikel „Zeiterfassungspflicht neu aufgewärmt“ auf tech-nachrichten.de beleuchtet diese Entwicklung und weist ausdrücklich auf kostenlose Open-Source-Lösungen wie dieses Plugin hin:

„Es gibt auch ein kostenloses WordPress Plugin, das Sie auf eigenes Risiko verwenden können.
Den Quellcode finden Sie auf GitHub … Das Plugin bietet Ihnen zusätzlich die Möglichkeit, Sitzbuchungen zu realisieren.“

Damit wird deutlich: WordPress kann mit überschaubarem Aufwand zu einem einfachen, datenschutzkonformen Zeiterfassungs- und Desksharing-System werden.

Einsatzszenarien und Tipps

• Kleine und mittlere Unternehmen (KMU)
  Ideal für Betriebe ohne komplexe Schichtpläne oder externe Systeme.
• Intranet-Lösungen
  Integration direkt in ein internes Mitarbeitenden-Portal oder WordPress-Dashboard.
• Hybrides Arbeiten / Desksharing
  Mitarbeiter:innen können Arbeitsplätze vor Ort flexibel reservieren.
• Eigene Anpassungen möglich
  Entwickler:innen können das Plugin erweitern oder automatisieren.
• Datenschutz & Organisation
  Vor Einführung: Rücksprache mit Datenschutzbeauftragten und ggf. Betriebsrat halten.

Fazit

Das kostenlose WordPress-Plugin Time Clock / Stempeluhr mit Raumbuchung ist eine clevere, leichtgewichtige Lösung für Unternehmen, die Zeiterfassung und Desksharing direkt in ihre bestehende WordPress-Umgebung integrieren möchten.

Es bietet:

• Stempeluhr-Funktion mit Excel-Export
• Raumbuchungssystem für Desksharing
• Transparente, flexible Verwaltung

Es ersetzt keine professionelle Zeiterfassung mit rechtlicher Zertifizierung, kann aber ein hervorragender Startpunkt sein – besonders für KMU, Vereine oder Startups, die eine einfache, kosteneffiziente Lösung suchen.

Mehr zur rechtlichen Einordnung der Zeiterfassungspflicht findest du im Artikel:
👉 Zeiterfassungspflicht neu aufgewärmt – tech-nachrichten.de

Teams Premium Upsell-Meldungen deaktivieren

Seit dem neuen Microsoft Teams-Client (2025) tauchen bei vielen Nutzer:innen lästige Hinweise wie
„Teams Premium abrufen“ oder „Jetzt ausprobieren“ auf. Diese Upsell-Meldungen sollen den Premium-Plan bewerben – können in Unternehmensumgebungen aber schnell nerven.

🎯 Ziel

Wir wollen nur die Werbung und Pop-ups deaktivieren, nicht Teams Premium selbst blockieren oder verhindern.

🔧 Lösung für Admins

Microsoft verteilt diese Hinweise als sogenannte In-Product Messages (Werbe-/Info-Kampagnen).
Admins können sie zentral über eine Teams-Richtlinie ausschalten:

1️⃣ PowerShell öffnen

Connect-MicrosoftTeams

2️⃣ Neue Richtlinie anlegen

New-CsTeamsUpdateManagementPolicy -Identity "NoUpsellMessages" -DisabledInProductMessages @("91382d07-8b89-444c-bbcb-cfe43133af33")

3️⃣ Richtlinie zuweisen

Beispiel: für alle Benutzer

Grant-CsTeamsUpdateManagementPolicy -PolicyName "NoUpsellMessages" -Global

Damit werden die meisten In-App-Werbungen und Upsell-Prompts (u. a. für Teams Premium) im Client ausgeblendet.
Die Änderung wirkt, sobald der Client die Richtlinie neu lädt – meist nach 24 Stunden oder beim nächsten Neustart.

💡 Tipp

Falls Nutzer:innen die Meldung trotzdem noch sehen: Cache des neuen Teams-Clients leeren oder sich einmal komplett ab- und wieder anmelden.

✅ Fazit

Mit einer einzigen PowerShell-Richtlinie können Admins die nervigen „Teams Premium abrufen“-Hinweise zuverlässig abschalten – ohne den Premium-Funktionsumfang grundsätzlich zu blockieren.

Support-Ende für Microsoft-Produkte seit 14. Oktober 2025

Am 14. Oktober 2025, endete der offizielle Support für eine Reihe zentraler Microsoft-Produkte. Das bedeutet: keine Sicherheitsupdates, keine Fehlerbehebungen und kein technischer Support mehr. Wer diese Produkte weiterhin nutzt, setzt sich erhöhten Sicherheitsrisiken aus und sollte dringend handeln.

Betroffene Produkte - #wichtig

Laut Microsoft Lifecycle-Dokumentation betrifft das Support-Ende unter anderem folgende Produkte:

• Windows 10 (alle Editionen inkl. Home, Pro, Enterprise, Education, IoT, LTSB 2015, Surface Hub)
• Office 2016 und Office 2019
• Exchange Server 2016 und 2019
• Skype for Business Server 2015 und 2019
• Visio 2016 und 2019
• Project 2016 und 2019
• Visual Studio 2015
• Team Foundation Server
• SharePoint Server 2019

Was bedeutet das konkret?

• Sicherheitslücken bleiben ungepatcht
• Neue Software oder Hardware kann inkompatibel sein
• Kein technischer Support durch Microsoft

Nur für Privatnutzer im EWR, für Geschäftskunden nicht nutzbar

Microsoft bietet für Nutzer im Europäischen Wirtschaftsraum ein Jahr kostenlose Sicherheitsupdates über das ESU-Programm (Extended Security Updates) – ohne Cloud-Zwang oder Microsoft Rewards.
• Gültig bis 13. Oktober 2026
• Anmeldung über Microsoft-Konto erforderlich

Was Unternehmen jetzt tun sollten

• Migration auf aktuelle Produkte wie Windows 11, Microsoft 365, Exchange Online, SharePoint Online planen
• Hardware auf Kompatibilität prüfen
• Mitarbeiterschulungen für neue Tools einplanen
• Sicherheitsstrategie überarbeiten

[linkbutton link="https://tech-nachrichten.de/warum-ein-it-sicherheitscheck-nach-bsi-standards-unverzichtbar-ist/" label="Lesen Sie dazu auch diesen Artikel"]

Hinweis für KRITIS-Betreiber

Das BSI fordert bis spätestens heute die Einreichung einer aktualisierten Mängelliste samt Umsetzungsplan gemäß §8a BSIG. Die Vorlage ist auf der BSI-Webseite verfügbar.

Fazit

Das Support-Ende betrifft viele Systeme, die noch aktiv im Einsatz sind. Wer jetzt nicht handelt, riskiert Sicherheitsprobleme und Kompatibilitätsverluste. Eine Migration auf moderne und unterstützte Lösungen ist dringend empfohlen.