E-Rechnungspflicht – ZUGFeRD und XRECHNUNG

E-Rechnungen werden Pflicht im B2B-Geschäftsverkehr. Das bedeutet: „Empfang und Verarbeitung von E-Rechnungen im B2B-Geschäftsverkehr sind ohne vorherige Zustimmung ab 1. Januar 2025 in Unternehmen zu ermöglichen. Die grundsätzliche Verpflichtung zur Ausstellung von elektronischen Rechnungen gilt ebenfalls ab 1. Januar 2025. Es gibt aber Übergangsfristen. Spätestens ab 2028 sind nur noch E-Rechnungen erlaubt, die EN 16931 entsprechen. Auch bisher (seit 2017) mussten Rechnungen, die an Behörden übermittelt wurden, dem sog. #XRECHNUNG Format entsprechen.

Ab 1.1.2025 sind dazu zwei Rechnungsformate zulässig:

• XRECHNUNG – das ist eine XML-Datei, die alle rechnungsrelevanten Daten in genormtem Format und Zeichensatz enthält (es gibt in der Regel keine Visualisierung, es sei denn, der Empfänger erstellt sie sich zum Archivieren)
• ZUGFeRD – eine PDF-Datei, die die Rechnung visuell enthält (also wie wir bisher eine PDF-Rechnung kennen). Zusätzlich sind in der PDF-Datei die XML-Daten eingebettet. Diese lassen sich maschinell extrahieren und elektronisch weiterverarbeiten

Eine Rechnung muss also auf jeden Fall den (genormten) XML-Datensatz enthalten oder daraus bestehen.

Bisher werden keine Anforderungen an den Versand der Datei gestellt. D. h. die Zustellung per E-Mail wird vermutlich weiterhin der Standard sein. Wenn Sie über ein Kunden-Extranet verfügen, können Sie auch die Rechnungen in diesem Bereich Ihren Kunden zum Abruf bereitstellen.

Das bedeutet, dass Sie Eingangsrechnungen aus Ihrem Eingangspostfach extrahieren müssen und bei #ZUGFeRD aus dem PDF-Anhang die XML-Daten extrahieren – bzw. bei XRECHNUNG den XML-Anhang bestenfalls mit einer Visualisierung ausstatten (PDF erstellen aus den XML-Daten) und beide Anhänge dann in Ihr DMS-System überführen und verschlagworten lassen.

Vom Land Baden-Württemberg gibt es einen kostenlosen Online-Dienst, mit dem man zu versendende oder Eingangsrechnungen prüfen kann: https://erechnungsvalidator.service-bw.de

Möchte man eine Eingangsrechnung visualisieren, kann man dazu die Online-Webseite eines deutschen Verlages (derzeit noch kostenlos) benutzen. Es wird eine PDF erstellt, die die XML-Datei in eine PDF umwandelt, die aussieht wie eine klassische Rechnung: https://dtvp.de/xrechnung/

PHP Vorlage für WordPress

Für Programmierer – mit einer kostenlosen PHP Bibliothek kann man XRECHNUNG bzw. den XML-Content nach Faktur-X Standard erstellen. Als Input dienen 2 JSON Dateien – eine für die Kopfdaten der Rechnung und eine für die Artikelposten, die in ein Formular kopiert werden können. Ein Formatmuster ist jeweils im Form bei Aufruf der Seite.

Mit einem zweiten Template können Rechnungen in den Ordner wp-uploads/rechnungen/ hochgeladen werden (PDF und XML). Das Werkzeug extrahiert Rechungskopfdaten und Posten jeder Rechnung und stellt sie auf der Seite dar. Hierzu muss der Administrator angemeldet sein. Achtung! Die Nutzung dieses Templates wird nur im Intranet empfohlen, da bei Nutzung im Internet die Rechnungen öffentlich wären.

In meinem WordPress-Theme „Penguin-Mod“ erstellen Sie eine neue Seite oder einen Beitrag und wählen als Template „XRECHNUNG make“ oder XRECHNUNG visualize aus. Das Theme ist im OpenAudit Classic Download enthalten, wenn man die WordPress Instanz mit installiert.

Soweit in diesem Blog-Artikel auf rechtliche Erfordernisse hingewiesen oder eine rechtliche Einschätzung vorgenommen wird, kann dies eine ggf. notwendige rechtsanwaltliche Prüfung nicht ersetzen. Die bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können. Es kann insofern keine Gewähr für die Rechtskonformität dieser Informationen geboten werden.

Phishing, Quishing, Smishing oder Vishing

Kurz notiert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen gut strukturierten Leitartikel verfasst, der die oben genannten Betrugstechniken erklärt und Tipps und Hinweise gibt, wie man diese Art von Angriffen effektiv verhindern kann. Zusätzlich werden die wichtigsten Kontaktadressen genannt für den Fall, das doch etwas passiert.

Wir haben für alle Interessierten zusätzlich einen kleinen User #Awareness Test als Multiple Choice Prüfung für Sie entworfen. Testen Sie Ihr Wissen kostenlos und unverbindlich.

Crowdstrike vs. CounterStrike

Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet. Dennoch lässt das pure Ausmaß aufhorchen.

Am 19. Juli 2024 sorgte eine flächendeckendes, fehlerhaftes Update für das Security Product „Falcon“ der texanischen Firma Crowdstrike für Totalausfälle bei vielen Unternehmen der KRITIS Infrastruktur. Betroffen waren viele Fluggesellschaften, Behörden und kommunale Einrichtungen. Die Nachwirkungen dauern an. Der kritische Effekt dabei: Nach dem Update/Neustart von Windows Rechnern und Servern fuhren die Systeme in einen Blue Screen.

Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen „Rollback“), sondern über einen eigenen Updater von Crowdstrike installiert wurden.

Fakt: Jeder betroffene PC und Server musste/muss von Hand angefasst, die schadhafte Datei ersetzt und neu gestartet werden.

Warum vs. CounterStrike? Hört sich fast genauso an. Auch ich nahm im ersten Augenblick an, dass es sich um das Spiel dreht. CS ist ein „Ego-Shooter“-Computerspiel, in dem es darum geht, im Team Terroristen zu vernichten. Crowdstrike hat es geschafft, IT-Systeme von über 20.000 Kunden weltweit lahmzulegen – nur das hier unschuldige Unternehmen und keine Terroristen das Ziel waren.

Kommentar der Redaktion:
Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt. Allerdings war beim Print Nightmare (dem letzten großen Fail in der Größenordnung) nicht auf allen Geräten ein Bluescreen und Admins konnten den Patch zurückrollen.

Hier haut man einen Patch raus, der flächendeckend einen Bluescreen erzeugt – nicht nur auf spezifischer Hardware. Die Aktionäre haben die texanische Firma schon bestraft, aber für sowas muss doch Schadenersatz gezahlt werden – und (nur) wenn einer der Schergen dahintersteckt auch hohe Bußgelder verhängt werden.

Ohne auf Verschwörungstheorien zu setzen – Kaspersky wird in den USA verboten, weil der CEO auf der russischen Geheimdienstschule war. Der 2. CEO von Crowdstrike kommt vom FBI, der erste CEO und Gründer war früher bei McAfee. Beides auch keine Vertrauens-Garanten, wenn man die Geschichte von John McAfee aus Belize kennt. Ein Verbot ist hier aber unwahrscheinlich. Da die Ursache für den Massen-Rollout des Crowdstrike Patches noch untersucht wird, ist es durchaus denkbar, dass Schurkenstaaten und deren Cyberkriminelle dahinter stecken.

Die Darstellung im Kasten stellt eine Einschätzung und die Meinung der Redaktion dar.

Wir verfolgen die Untersuchungen und sind gespannt auf die Ursache und welche Maßnahmen ergriffen werden, um so etwas zukünftig zu vermeiden

Stellenbeschreibung für Systemkoordinierende

Begriffsdefinitionen und Verwendung

• Systemkordinator (gn*) – amtliche Stellenbezeichnung, genderneutral.
• Systemkoordinierende – Verwendung dieser Schreibweise im Fließtext/Tutorials.
• SYSKO – Abkürzung bzw. Kurzbezeichnung, genderneutral, taucht auch im Logo SYSKO zertifiziert auf.

Was sind Systemkoordinierende? 

Die GWS hat auf Basis modernster Technologien ein modernes Warenwirtschaftssystem entwickelt. Die vielfältigen technischen Systeme, Bedieneroberflächen und vor allem die programmtechnischen Lösungen stellen immer neue Anforderungen an Ihre Mitarbeiter. 

Systemkoordinierende bekleiden unverzichtbare Funktionen in Ihrem Unternehmen. Er hilft Ihnen und Ihrem Unternehmen, den Informationsfluss zu verbessern und dadurch Kosten zu reduzieren. Der Systemkoordinator kann die in der Informationsverarbeitung anfallenden Anforderungen schnell und professionell realisieren. 

Die Rolle der Systemkoordinierenden beinhaltet die konsequente und permanente Pflege der EDV-Umgebung seines Arbeitgebers. Die Ausbildung und Zertifizierung umfasst zwei Tage und schließt mit einer Prüfung ab. 

Arbeiten der GWS, die im Aufgabenbereich von Systemkoordinierenden liegen, sind immer kostenpflichtig. Die „Rechtlichen Bedingungen“ am Ende dieses Dokuments sind Grundlage und fester Bestandteil dieses Dokuments. Die jeweils aktuelle Version ist im GWS-Extranet unter „Seminare“ zu finden. 

Server in der Cloud: Systemkoordinierende ebenfalls erforderlich 

Auch wenn Ihre Server nicht mehr in Ihren Räumlichkeiten stehen (man nennt das: On-Premises), sondern in Microsoft-Azure Rechenzentren in der #Cloud in Irland (bei Dublin) (auch als Infrastructure as a Service – #IaaS bezeichnet), bleiben die Aufgaben von Systemkoordinierenden erhalten. Lediglich die Werkzeuge und Verknüpfungen können unterschiedlich sein. In der Sysko-Ausbildung lernen Sie, bedarfsgerecht die notwendigen Aufgaben zu meistern. 

Warum besteht die Pflicht zur Ausbildung? 

• Die Pflicht zur Wahrnehmung der Aufgaben ergibt sich durch zahlreiche Gesetze. (Bundesdatenschutzgesetz, Telemediengesetz und weitere Regularien). 
• Wirtschafts- und Verbandsprüfer handeln nach IPW330. Zum Prüfungsumfang gehört auch eine IT-Systemprüfung. 
• Banken fordern eine Dokumentation der IT-Infrastruktur sowie der Maßnahmen zur Aufrechterhaltung des Betriebs für ihre Risikoanalyse nach BASEL II oder Oxley-Savannes und verweigern Kredite bei abschätzbaren Risiken. 
• Versicherungen (z.B. Betriebshaftflicht oder Geschäftsführerversicherung) verweigern die Zahlung mit Verweis auf grobe Fahrlässigkeit, wenn erkennbar ist, dass keine wirksamen Maßnahmen zum Schutz ergriffen wurden.
• Softwarefirmen führen Zivil- und strafrechtliche Maßnahmen durch, wenn die im Unternehmen verwendeten Lizenzen nicht kontrolliert werden. 

Welche Aufgaben haben Systemkoordinierende? 

Die Aufgaben der Systemkoordinierenden, die diese Aufgaben je nach Unternehmensgröße meist in Teilzeit ausüben, gliedern sich in mehrere Bereiche: 

Netzübergabe und Kennwörter 

Bei Übergabe eines Netzwerks von der GWS an den Kunden ist das Netzwerk mit „Auslieferungswerten“ ausgestattet. Außerdem sind die Systeme zunächst mit einem generischen „Passwort ab Werk“ vorbetankt. Systemkoordinierende haben die Aufgabe, nach eigenem Ermessen das Ändern und Aktualisieren der Passwörter vorzunehmen. Da jedes Netz ein Einzelfall ist, sind weitere, nicht dokumentierte Abhängigkeiten möglich. Daher ist es zwingend erforderlich, dass Systemkoordinierende Passwortänderungen zuvor mit seinem Betreuer in der GWS abstimmen. Begleitend zu diesen Selbsthilfe-Maßnahmen kann durch einen Vor-Ort-Einsatz eines GWS-Beraters bei Bedarf ein Sicherheits-Check mit anschließender Aktualisierung erfolgen. 

Reparatur durch Neubetankung 

Unattended installation (auch bekannt unter: Deployment) ist ein Verfahren von Microsoft, um Produkte und Betriebssysteme automatisiert zu installieren. Bei Bedarf können in einem separaten Workshop die Methodik und die Verfahrensweise gemeinsam erörtert werden. Für das Zusammenstellen und Bereitstellen der Datenträger und das ständige Überprüfen seines Handelns bei dieser Installation nach den jeweiligen Lizenz-Bestimmungen der Hersteller sind Systemkoordinierende voll verantwortlich. 

Sicherheitsupdates (Azure Server bzw. On-Prem) 

Microsoft (Windows Betriebssysteme, Office, Serverprodukte wie SQL, Exchange) 

Neusysteme werden von der GWS jeweils mit den wichtigsten Sicherheitsupdates vorinstalliert ausgeliefert. Schon wenige Tage nach Übergabe der Systeme können aber neue Sicherheitslücken bekannt werden. Eine Firewall allein schützt nicht vor Schadprogrammen, die Sicherheitslücken ausnutzen, daher ist eine Aktualisierung der Systeme enorm wichtig! Diese Aktualisierung der Systeme  gehört zu den Pflichten der Systemkoordinierenden. Hierbei lassen sich PC-Systeme über den Dienst „Automatsche Updates“ aktualisieren.  

Die Aktualisierung der Server darf niemals automatisch erfolgen, da ansonsten die Gefahr eines automatischen Neustarts während der Geschäftszeit gegeben ist. Außerdem kann es bei fehlerhaften Updates zum Produktionsstillstand kommen. Das Einspielen der Updates an Servern darf daher nur von Systemkoordinierenden durchgeführt werden, die im Rahmen der Systemkoordinator-Schulung dieses Handwerk ordentlich erlernt haben und wissen, was sie tun. Zum Aktualisieren der Server wird an der Konsole die Windows Update-Seite aufgerufen. Sie bestimmen damit, wann die Server neu gestartet werden und dass zum Zeitpunkt der Updates niemand mehr im System arbeitet. 

Andere Hersteller 

Neben den Microsoft-Produkten werden auch entdeckte Sicherheitslücken in weiteren Standardsoftwareprodukten von den Herstellern geschlossen. Diese Updates müssen zeitnah heruntergeladen und durch Systemkoordinierende installiert werden. Betroffen sind hier im Wesentlichen PCs und Citrix bzw. Terminalserver. Hierzu zählen beispielsweise (sofern im Einsatz): 

• Adobe Acrobat Reader (PDF) – deinstallieren, wenn Chrome für Enterprise 
• Oracle Java Runtime (zur Webseitendarstellung) – wenn möglich, vermeiden – Aktuelle Versionen sind kostenpflichtig
• Adobe Flash Player deinstallieren (wenn noch vorhanden, enthält Sicherheitslücken, ohne Funktion) 
• GPL Ghostscript (für Druckausgabe/E-Mail aus gevis Classic) 
• UltraVNC (Fernwartung) 
• PDF24 (PDF-Dateien aus Anwendungen erstellen) 
• ShareX (Open Source Bildschirm filmen und Screenshots)
• 7-Zip, Filezilla und Notepad++
• Google Chrome für Enterprise (Standardbrowser)
• Microsoft Edge on Chromium Enterprise (Ersatzbrowser, Absicherung)

Updates zur Fehlerbehebung 

Hierbei handelt es sich zwar nicht um Sicherheitsupdates, sondern um Updates, die bekannte und gefundene Fehler beheben. Dazu zählen: Terminalserver/AVD, Treiber, Firmware, Datensicherungs-Software, Antivirus, SQL-Server und Weitere. 

Systemkoordinierende installieren solche Updates nur dann ein, wenn sie zur Lösung eines aufgetretenen und festgestellten Fehlers zwingend notwendig sind. 

Datensicherung (nur On-Premises) 

Bei vollständigem Betrieb in Azure müssen nur noch die SQL-Sicherungen von gevis, s.dok und bi1 kontrolliert werden. Bei Auslieferung On-Premises (und sofern das Produkt erworben wurde) des gevis-Servers ist die Datensicherungssoftware „veeam Backup & Recovery“ in Verbindung mit einem Bandlaufwerk vorkonfiguriert. Im Rahmen der Installation werden durch die GWS Sicherungsaufträge konfiguriert, die täglich die Inhalte aller Server von gevis komplett auf ein Band schreiben kann (gesichert werden können nur solche Server, für die eine Agent-Lizenz des Sicherungsprogramms erworben wurde). Das Vorhalten der Bandsicherungen nach dem Großvater/Vater/Sohn-Prinzip, das Wechseln der Bänder, das Austauschen aller Bandmedien einmal pro Jahr, das wöchentliche Verwenden eines Reinigungsbandes und Austausch, sowie die tägliche Kontrolle der erfolgreichen Datensicherung sind Aufgaben der Systemkoordinierenden. Hierzu zählen insbesondere die Überwachung der durch den Microsoft SQL-Server-Agenten erstellten Sicherungen der Datenbank. 

Zur Gewährleistung der Sicherheit wird die regelmäßige Probe-Rücksicherung von Datenordnern in ein temporäres Verzeichnis empfohlen. Weitere Aufgaben sind die ordnungsgemäße und feuer- und entwendungssichere Lagerung der Bänder, das Bereitstellen von adhoc-Sicherungen und die Erweiterung von Sicherungsjobs.  

Die GWS bietet die Überprüfung von Datensicherungen als Dienstleistung an. Dazu kann auf Bestellung oder im Abonnement monatlich ein Band an die GWS geschickt werden. Im Pauschalpreis ist die Kontrolle der Warenwirtschafts-Datenbanken und ein Report enthalten. Mehr Details im Extranet der GWS. 

Unterbrechungsfreie Stromversorgungen (USVs) (nur On-Premises) 

Prüfen Sie regelmäßig (täglich, beim Wechseln der Datensicherungsbänder) 
a) dass an Ihren USVs die Batterielampe NICHT ROT leuchtet 
b) die Auslastungsanzeige nicht über 80% liegt (max. 4 LEDs leuchten grün) 
c) die Batterieladung bei 100% liegt (5 grüne LEDs) 

Managed | Firewall (Partner: NetGo)

Die Managed | Firewall stellt die 2. Generation einer Firewall-Absicherung dar. Neben dem Zugriffsschutz und dem überwachten Internet-Zugang sind folgende Szenarien zusätzlich abgesichert: 

• Prüfung von Surf- und E-Mail-Verkehr auf Viren und Trojaner und Quarantäne durch Verhaltenserkennung (Datei sperren). 
• Zentrales Management durch die GWS, dezentrale Geräte vor Ort. 
• Integration in Monitoring (Managed | Monitoring). 
• Hochverfügbarkeit (Cluster) optional. 
• Hardware-Austausch alle 4 Jahre in der Miete enthalten. 
• Als Basis verwenden wir eine leistungsfähige Hardware von Barracuda Networks.
• Spezifische Anforderungen wurden angepasst  

Managed vpn Access (Partner: NetGo) 

Wenn Sie keine Managed | Firewall einsetzen, benötigen Sie für Verbundfunktionen, EDI und die Fernwartungsmöglichkeit durch die GWS eine Managed | vpn access Box. 

• Fernwartung und Verbundkommunikation entsprechen Fiducia & GAD IT AG Konzernvorgaben. 

Leitungswege (Zweigstellenanbindung) 

Die Leitungswege werden nach GWS-Konzept durch einen Partner (Carrier) abgebildet, der für alle Komponenten und Verbindungen den Support übernimmt. Hierzu erhält der Kunde eine eigene Durchwahl bei der Anbieter-Hotline. Systemkoordinierende kümmern sich um die primäre Diagnose und unterstützt den Anbieter Support bei der schnellen Behebung von Leitungsfehlern. Die aktuellen Partner sind die ecotel AG und Telekom Deutschland GmbH. 

Virenschutz und Anti-Spyware 

Das Standardprodukt für Antivirus ist Microsoft Defender (für Endpoint, für Business oder für Server). Die Verwaltung erfolgt über das Azure Admincenter durch die Systemkoordinierenden. Dies gilt auch für Antivirus-Lösungen anderer Hersteller, wie GData.
Es ist immer ein lokaler Virenschutz für die Server und Arbeitsplätze vor Ort notwendig. Aufgaben Systemkoordinierender sind, auf allen Systemen im Netzwerk für aktuelle Virus-Signaturen zu sorgen, Virenschutz zu installieren und die Protokolle zu kontrollieren. Der Virenschutz muss so konfiguriert sein, dass regelmäßige Komplettscans der Geräte durchgeführt werden (1x pro Woche, nachts, die PCs bleiben 1x pro Woche dafür an). Arbeitsplätze werden dabei auch auf Befall durch Trojanische Pferde/Würmer untersucht. 

Bei Bedarf können die Kontroll und Administrations-Aufgaben im Rahmen von Managed | Care Packages an die GWS ausgelagert werden.

First Level Support 

Systemkoordinierende sind erste Ansprechpartner der Mitarbeitenden bei IT-Problemen. Dazu gehören das Beheben von Druckerstaus, kleineren Netzwerkstörungen und das Erkennen und Beseitigen von Bedienerfehlern. Gleichwohl sind Systemkoordinierende die Schnittstelle zum Kunden-Service-Center. Schnelle Hilfe ist nur möglich, wenn die übermittelte Diagnose und Problem Beschreibung qualitativ hochwertig ist. 

Die Basisleistung der GWS, ausschließlich wirksam für gevis ERP | BC, umfasst (gevis-Vertrag, §1.5) 

• Fehlerbeseitigung in der Software und der zur Verfügung gestellten Dokumentation.
• Anpassung der Software aufgrund von Gesetzesänderungen.
• Aktualisierung und Veränderung der Ausführung und des Inhaltes der Vertragssoftware. 
• Auslieferung neuer Releases der Software an den Kunden.
• Anpassung und Übersendung der zugehörigen Dokumentation (die Dokumentation wird in elektronischer Form mit den Updates zur Verfügung gestellt) Informationen für den Kunden über Ergänzungen und Weiterentwicklungen der Programme.

Für die anderen GWS-Standardprodukte kann ein modular aufgebauter „Hardwarewartungs- und Softwarepflegevertrag“ abgeschlossen werden. Mehr Informationen im Extranet. 

Dokumentation und Softwarepflege 

gevis ERP | BC

Systemkoordinierende sind verpflichtet, eine neue Version innerhalb von zwölf Monaten nach Erhalt aufzuspielen. Die Pflicht zur Erbringung der beschriebenen Leistungen bezieht sich auf den jeweils neuesten Versions-Stand und den diesem vorhergehenden Versions-Stand. Ein Anspruch auf eine Dokumentation besteht nicht bei jeder Änderung der Software, sondern nur bei wesentlichen Änderungen, die eine neue Instruktion des Anwenders zwingend erforderlich machen.  

Hard- und Software-Inventar 

Im Rahmen der IPW330 Prüfer-Richtlinien ist die Dokumentation der IT-Umgebung gefordert und die Abbildung der Prozesse und Berechtigungen. Diese Aufgaben werden durchgeführt (Systemkoordinierende kennen den internen Ablauf und die Organisation genau). Die GWS kann im Rahmen eines Workshops bzw. Sicherheitschecks beim Erfüllen der Anforderungen unterstützen tätig werden. 

Organisation 

Systemkoordinierende sind verantwortlich für den rechtskonformen Einsatz von Software und die korrekte Lizenzierung. Er bewahrt die Lizenzen an einem sicheren Ort auf. Durch organisatorische Maßnahmen und geeignete Betriebsvereinbarungen wird das Risiko „Störungen durch Benutzer“ verkleinert (Benutzer werden angewiesen, nicht jeden E-Mail-Anhang zu öffnen etc.). Solche Maßnahmen müssen vom Systemkoordinator eingeleitet oder beauftragt werden. 

Systemkoordinierende sind mit exponierten Rechten ausgestattet und muss daher besondere Sorgfalt im Umgang mit den Daten wahren, um nicht mit den Regelungen des Datenschutzgesetzes (BDSG) in Konflikt zu geraten. 

Insbesondere Beachtung verdienen das Erfüllen der Vorgaben aus der Anlage zu §9 BDSG: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabe-Kontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Möglichkeit getrennter Datenverarbeitung, Verschlüsselung. 

Systemkoordinierende arbeiten eng mit dem für das Unternehmen vorgeschriebenen Datenschutzbeauftragten zusammen und liefert diesem die nötigen Prüfunterlagen.  

Muster-Stellen-Ausschreibung für Ihre Verwendung

Sie suchen einen Sysko? Schreiben Sie doch eine Stelle nach folgendem Muster aus:

Position: Systemkoordinator (m/w/d)

Abteilung: IT-Support

Berichtet an: IT-Manager oder Geschäftsleitung

Aufgaben:

• Koordination und Verwaltung der IT-Systeme des Unternehmens.
• Unterstützung der Benutzer bei IT-Problemen.
• Installation und Wartung von IT-Hardware und -Software.
• Planung und Durchführung von IT-Projekten.
• Überwachung der IT-Sicherheit.
• Einhaltung von IT-Richtlinien und -Protokollen.

Qualifikationen:

• Abgeschlossene Ausbildung im Bereich IT-Systemadministration oder ähnliches.
• Mindestens 2 Jahre Berufserfahrung im IT-Support.
• Gute Kenntnisse in den gängigen IT-Systemen (Windows, Linux, Netzwerk, etc.).
• Teamfähigkeit und gute Kommunikationsfähigkeiten.
• Problemlösungs- und Analysefähigkeiten.
• Selbstständige Arbeitsweise und Flexibilität.

Rechtliche Bedingungen, Haftungsausschluss

Rechtliche Bedingungen, Haftungssausschluss
Unsere Referate, Artikel, Anleitungen, Datenträger und Downloads sind so produziert, dass Teilnehmende, die das Basisseminar besucht haben, sinnvoll damit umgehen können. Wir formulieren Empfehlungen nach „best practice und bestem Wissen und Gewissen“, für die wir keinerlei Haftung übernehmen. Für die Umsetzung der Datensicherheit, die Einhaltung des Datenschutzgesetztes und sonstiger gesetzlicher und betrieblicher Bestimmungen, sowie die Folgen der Installation von Sicherheitsupdates ist das jeweilige Unternehmen (Kunde) allein verantwortlich. Bitte haben Sie Verständnis dafür, dass unsere Mitarbeiter nur Unterstützung für unsere Produkte sicherstellen können und eine detaillierte Unterstützung für Software fremder Hersteller nicht zum Supportangebot gehören. Die Angaben, die auf unseren Webseiten oder in Informationsschriften zur Verfügung gestellt werden, dienen ausschließlich der allgemeinen Information und dienen nicht der Beratung von Kunden im konkreten Einzelfall. Der Autor hat diese Informationen gewissenhaft zusammengestellt, übernimmt jedoch keine Haftung für Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen den Autor, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind ausgeschlossen.

Cybersicherheit – Authentifizierungs Tipps

Nicht alle Verfahren lassen die Absicherung mit einem zweiten Faktor #MFA zu. Umso wichtiger ist es, für alle Anmeldungen (egal ob am Netzwerk, in der Domäne oder bei Online-Diensten) sichere Kennwörter zu verwenden.

Nach einer aktuelle Studie von März 2024 sind zwar viele dem Aufruf gefolgt (bzw. wurden vom den Anbietern dazu gezwungen) #Kennwörter auf mindestens 8 Zeichen zu verlängern, es gibt aber noch zu viele Sites, die nicht gleichzeitig Komplexität einfordern.

Das Resultat: Nach „123456“ ist nun „12345678“ das meistverwendete Kennwort. Da wo Komplexregeln gelten, ist nun Passwort1$ das meistgefundene Kennwort. Man kann sicher davon ausgehen, dass solche Konten bereits gehackt wurden – ansonsten ist der Identitätsdiebstahl nur eine Frage der Zeit.

Vorschläge

#Wichtig – das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zwar weiterhin (auch für Standard-User) 8-stellige Kennwörter, bei denen 3 von 4 Komplexitäts-Regeln erfüllt sein müssen, die allgemeine Praxis setzt aber auf 10 Stellen (sofern kein zweiter Faktor möglich ist, wie beim Active Directory zur Anmeldung im Firmennetzwerk bzw. an der Windows Domäne und einigen Websites). Für administrative Kennwörter sind mindestens 12 Stellen empfehlenswert:

• Großbuchstaben
• Kleinbuchstaben
• Zahl
• Sonderzeichen wie §$%&/.- und Leerzeichen

Die gebildeten Kennwörter dürfen in keinem Wörterbuch auftauchen (also keine ganzen Wörter enthalten, es sei denn, sie sind mit Rechtschreibfehlern gespickt).

Immer wenn Zwei-Faktor möglich ist, sollte es verwendet werden. Bei Microsoft365 (Entra-ID, ehemals Azure Active Directory: Office, Teams, Sharepoint, Exchange online) lässt sich die Anmeldung entweder kostenlos mit der Authenticator App oder im Rahmen eines Microsoft 365 Business Premium Plans auch mit „conditional access“ absichern. Hierbei wird entweder die Hardware-ID des Endgerätes als zweiter Faktor verwendet oder/und es lassen sich geografische Zugänge eingrenzen (z. B. keine Anmeldung aus dem Ausland).

Notebooks verschlüsseln

Werden Notebooks/Windows tablets verwendet, müssen diese zusätzlich (das funktioniert mit Bordmitteln) durch den Bitlocker und einer 4-6 stelligen PIN geschützt sein. Beim Einschalten des Geräts, noch bevor das Betriebssystem startet, wird dann diese PIN angefordert.

Handlungsbedarf?

Prüfen Sie Ihre verwendeten Kennwörter und ob Sie bereits MFA bei Microsoft 365 für Alle einsetzen (bzw. Conditional Access im Rahmen von Business premium Plänen).

Wenn nicht – bitte zeitnah die Sicherheit auf die aktuellen Mindest-Anforderungen bzw. best Practice bringen.

Richten Sie sich am Besten nach folgenden Regeln:

• Wenn möglich, 2-Faktor-Authentifizierung verwenden (MFA) – für Microsoft 365 ist MFA für alle Konten ab Juli 2024 Pflicht.
• Passwörter sollten grundsätzlich 10 Zeichen haben und komplex sein. Das gilt sowohl für Domänen-Anmeldungen, als auch für Internet-Seiten und App-Logins.
• Admin/Domain-Admin Passwörter sind mit mindestens 12 Zeichen und Komplexität empfohlen

Empfehlungen der Redaktion

Lesen Sie bitte auch unseren Detail-Artikel zur Kennwortsicherheit.

Sicherheitsbetrachtung Kaspersky Antivirus

viele von Ihnen haben die #Kaspersky #Virenschutz Produkte (managed und unmanaged) im Einsatz. Einige von Ihnen fragen sich, wie sicher die Verwendung der Software ist und ob es Alternativen gibt. Am Ende müssen Sie die Entscheidung für sich selbst treffen. Die folgenden Fakten, die wir für Sie zusammengestellt haben, sollen Ihnen diese Risiko-Analyse erleichtern.

{Update August 2023: Links hinzugefügt. Die Einschätzung bleibt unverändert}

Umfrage

Risikobetrachtung

• Sortierung

Alternativen

Microsoft bietet (ganz aktuell) im Rahmen der Microsoft 365 Mietpläne mittlerweile einen managebaren Virenschutz auch für kleinere Unternehmen an Microsoft Defender für Business. Lizenzen sind für die Clients mit Microsoft 365 Business Premium Plänen inkludiert. Eine Umstellung von Kaspersky ist möglich, es können keine alten Betriebssysteme abgesichert werden.

Die Schutzwirkung ist vergleichbar mit den Kaspersky Produkten. Daher haben wir Support- und Produktmanagement aufgebaut, um Sie professionell bei einer Migration auf die Microsoft Defender für Business und Azure Defender Lösung unterstützen können. So lange laufen die meisten Kaspersky-Subscriptions.

Wenn Sie in Eigenverantwortung auf eine andere Drittanbieter-Antivirus Lösung umstellen möchten, gelten die folgenden Anregungen:

• Leistungsumfang und Schutzwirkung müssen mindestens auf dem Level angesiedelt sein wie bei Kaspersky
• Nebenwirkungen mit der auf den Servern und Clients betriebene Software sollten vermieden werden (insbesondere im Hinblick auf Performance und Datenintegrität)
• Der Anbieter sollte Ihr vollstes Vertrauen genießen. Manche Anbieter haben Ihren Firmensitz bzw. die Dachgesellschaften in Ländern wie der Slowakei, Rumänien, Slowenien, Pakistan, wo andere Datenschutzgesetze gelten, als in der EU.
• Die Vertragsbeziehung sollte immer mit einer deutschen Tochtergesellschaft des Herstellers erfolgen.
• Server, von denen die Daten/Signaturen verteilt werden, sollten innerhalb der EU oder in einem neutralen Land stehen (Schweiz).
• Kein Support durch die GWS: Systemkoordinierende sind für Drittanbieter-Produkte in voller Eigenverantwortung

Fazit

Die Einstufung der amerikanischen FCC (Telekommunikations-Regulierer) wie auch die BSI-Warnung von März 2022 vor dem Einsatz von Kaspersky geben als Begründung Risiken an, die für nahezu jede Antivirus-Software gelten. Entgegen beiden Artikeln hat die Kaspersky Dachgesellschaft „Kaspersky labs, Ltd.“ den Sitz in Großbritannien, nicht in Russland. Kaspersky ist einer der Weltmarktführer, daher wird das Risiko entsprechend hoch bewertet. Das Bundesamt rät ausdrücklich davon ab, den Virenschutz abzuschalten oder zu verschlechtern.

Im Moment sprechen viele Vorteile zunächst für den Weiterbetrieb von Kaspersky Antivirus. Der aufgezeigten Risiken sollte sich jede Führungskraft bewusst sein. Schlagartig auf einen anderen Virenschutz umzustellen, verschlechtert jedoch die Schutzwirkung für Altsysteme. In den von uns durchgeführten Risiko-Analysen nach BSI-Standard wird das allgemein gestiegene Risiko von Cyber-Sicherheits-Produkten bewertet. Dabei ist irrelevant, von welchem Hersteller der Virenschutz ist.

Wir sprechen uns damit aktuell weder für noch gegen Kaspersky Antivirensoftware aus. Mittelfristig – etwa bei Ablauf der Subscription – regen wir an, nach jeweils im Einzelfall zu erfolgender Risiko- und Vorteils- /Nachteilsabwägung, auf das integrierte Microsoft Produkt umzustellen. Dazu müssen alte Betriebssysteme modernisiert sein.

Kurzfristig empfehlen wir: Investieren Sie in Mitarbeiter-Awareness-Schulungen, um das Risiko für Angriffe zu verringern und kontrollieren Sie laufend die Berichte und Aktualität Ihres Virenschutzes und der Firewall-Infrastruktur. Erfahren Sie mehr hierzu in einem eigenen Artikel hier im Portal.

Pressemeldungen

Für Interessierte: Pressereview und Maßnahmen, die Kaspersky Labs zur Absicherung im Rahmen der SOC2-Zertifizierung der Software eingebaut hat:

https://www.kaspersky.com/about/compliance-soc2
https://www.kaspersky.com/about/iso-27001
https://www.faz.net/aktuell/wirtschaft/unternehmen/softwareanbieter-kaspersky-unter-verdacht-17867952.html
https://www.itmagazine.ch/artikel/seite/76682/0/.html
https://tarnkappe.info/artikel/nb65-riesen-blamage-mit-falschem-kaspersky-source-code-leak-216923.html
Stellungnahme von Kaspersky zum BSI-Artikel – PC-Welt am 15.03.2022
https://www.kaspersky.de/blog/kaspersky-statement-zur-warnung-des-bsi/28282/
https://www.silicon.de/41693219/usa-stufen-kaspersky-als-sicherheitsbedrohung-ein – FCC Meldung
https://community.beck.de/2022/04/28/bei-virenschutzprogrammen-bestehen-schon-aufgrund-ihrer-funktionsweise-sicherheitsluecken-ovg-nrw-zur-warnung – Einschätzung des OVG-Urteils durch Fachjuristen
BSI-Warnung war politisch motiviert – Artikel aus „legal Tribune online“

Cyber-Versicherung möchte mehr Geld

Einige Kunden sind verunsichert aufgrund der Aufforderung einer Versicherung die aktuelle Virenschutzlösung bekannt zu geben. Die Konsequenz, sofern es sich um eine Lösung des Herstellers Kaspersky handelt, ist die Erhöhung der Selbstbeteiligung und die Aufforderung die Lösung zu ersetzen.

Viele andere Versicherungen sehen „im Rahmen und Umfang der Verträge die Nutzung von Kaspersky aktuell nicht als Gefahrerhöhung an“. Falls Sie betroffen sein sollten, lassen Sie Ihre Situation durch einen Fachanwalt individuell prüfen.

Kaspersky Antivirus in den USA verboten

In den Vereinigten Staaten wurde nun ein Vertriebsverbot für #Kaspersky Security-Produkte und die damit verbundenen Updates/Subscriptions verabschiedet. Es wird noch im Juli 2024 für den Abschluss von neuen Abonnements wirksam. Bisher war nur amerikanischen Behörden untersagt, Produkte dieses Herstellers zu verwenden. Das „Kauf- und Updateverbot“ wurde nun auch auf andere Unternehmen und Endverbraucher ausgeweitet.

Obwohl die Kaspersky Holding LLC ihren Sitz in London hat und die Freigabe von EMEA-Signaturen in der Schweiz erfolgt, möchten wir betonen, dass es technisch ausgereifte Alternativen gibt, die ein vergleichbares Preis-Leistungs-Verhältnis bieten. Wir sind uns bewusst, dass letztendlich Gelder nach Russland fließen könnten, möchten jedoch keine politischen Argumente anführen.

Wie bereits in einem früheren Artikel erwähnt, ist (Stand 27.06.2024) der Vertrieb von Kaspersky-Software oder Updates in Deutschland und der EU derzeit nicht verboten. Das Bundesamt hat hierzu eine offizielle Stellungnahme abgegeben. Hierzu das Statement vom Bundesamt.

Für Unternehmen mit bis zu 300 Mitarbeitern ist der Defender für Business im Microsoft 365 Business Premium Plan enthalten, der auch KI-gestützten erweiterten Schutz für Endgeräte bietet. Für Server gibt es ebenfalls entsprechende Sicherheitspläne. Für größere Unternehmen stehen die Enterprise- oder M-Pläne zur Verfügung.

Unser Cloud-Vertriebsteam steht Ihnen gerne zur Verfügung, um Sie bei der Umstellung auf das Defender-Produkt auch für On-Premises-Lösungen zu beraten.

vmware vcenter Server Sicherheitslücken

Einige von Ihnen setzen #vmware vsphere als Virtualisierungssoftware (On-Premises) ein. Dazu wird zur Administration eine virtueller Server „vcenter“ genutzt. Anfang Juni werden zwei #Sicherheitslücken bekannt, die er ermöglichen, dass jemand, der schon im Netzwerk angemeldet ist erhöhte Berechtigungen im VCenter erlangt und ggf. Schadcode auf der VM ausführen kann. Details im Support-Artikel von Broadcom (dem neuen Besitzer von vmware).

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

Auch wenn das Risiko vergleichsweise gering ist, weil es nur angemeldet und im lokalen Netzwerk funktioniert, sollten Sie, sofern Sie die vmware noch in Wartung haben, die verfügbaren Updates zeitnah installieren.

• vCenter Server 7.0 U3r
• vCenter Server 8.0 U1e
• vCenter Server 8.0 U2D

Ist Ihre vmware nicht mehr in Wartung, müssen Sie mit den Sicherheitslücken leben – oder in die Azure-Cloud migrieren. Kunden mit IaaS (Azure Servern in der Microsoft Cloud) sind nicht betroffen.

PDF24 Creator wieder empfohlen

Geek Software, der Hersteller vom #PDF24 Creator stellt mit Version 11.18.0 auch Version 9.8.0 auf seinen Internetseiten als Download bereit. Diese Version enthält dieselben Komponenten und Versionen wie die 11.18.0, die Toobox ist aber nicht enthalten.

Scheinbar gibt es schon seit 9.3.0 eine 64-Bit Version davon. Es wurde/wird nur nicht explizit beworben. Bisher musste man die Version 11 um die nicht gewünschten Komponenten bereinigen und das aktuelle Ghostscript x64 und QPDF von Hand integrieren.

Dadurch, dass man nun die Version 9 wieder auf den Herstellerseiten herunterladen kann, wird das gewünschte Customizing (z. B. PDF24 Windows-Dienst benutzen, automatisch speichern an bestimmten UNC- oder lokalen Pfad, Einstellungen für alle Benutzer in Terminal/AVD Umgebungen) für einen Repack zur eigenen Verwendung vereinfacht.

Mit diesen Einstellungen haben wir den Druckertreiber auch als freigegebenen Druckertreiber auf einem Windows Printserver getestet. Die zentrale Druckausgabe in einen Netzwerkordner funktioniert problemlos.

#Erfreulich – die Werkzeugfunktionen wie PDF zusammenfügen, PDF Seiten extrahieren, für Web optimieren, OCR und Weitere sind noch enthalten.

PDF24 Creator (derzeit Version 9.8.0) ist wieder Empfehlung unserer Redaktion. Es ist ein kostenlos geschäftlich nutzbarer Druckertreiber zum automatischen Erstellen von PDF-Dateien in einem lokalen oder Netzwerklaufwerk. Bei Einsatz in lokalen oder Terminalserverumgebungen können Benutzer PDF kombinieren, Seiten extrahieren, PDF für Web optimieren und weitere Funktionen nutzen. Admins brauchen sich nicht um JAVA RE oder Webview2 Updates zu kümmern.

PDF24 Creator Webseiten

Windows 11 24H2 ohne Wordpad

Mit jeder neuen Version wirft Microsoft alte Anwendungen aus Windows, weil sie nicht mehr weiterentwickelt werden. Nachdem schon die Schrittaufzeichnung (leider) dem Rotstift zum Opfer gefallen ist, wird mit dem Rollout von Windows 11 24H2 Wordpad entfernt. #endoflife

Bisher konnte man damit mit Bordmitteln RTF- und Word (docx) Dateien erstellen, öffnen und bearbeiten.

Auch wenn es im Netz Tricks gibt, Wordpad wieder manuell in Betrieb zu nehmen, wird es nicht weiterentwickelt – und wichtiger – Sicherheitslücken werden nicht mehr geschlossen.

Ein so manuell installiertes, altes Wordpad würde damit Einfallstor für Viren und Trojaner, da viele Schwachstellen im Konverter liegen, der die docx-Datei entpackt und darstellt.

Alternativen sind: die Online-Versionen von Microsoft Office (erfordert Microsoft Konto), die Online-Versionen von Google Docs (erfordern Google Konto), Microsoft 365 Business Premium Pläne (all-inclusive E-Mail, Mailarchiv, Business Virenschutz mit ATP, MFA mit conditional Access und alle Office Win32 Programme zum Installieren). Für gelegentlichen Einsatz, mit eingeschränkter Kompatibilität, Darstellung und Funktionen: Libreoffice 24.x (wenn es nur um Briefe schreiben und Kalkulationen geht).

Windows Server 2025 wird Nachfolger

Nach Server 2022 kommt Server 2025. #Microsoft hat nun auch für Visual Studio Abonnenten die RTM-Version (als Release Preview) bereitgestellt.

Server 2025 wird dabei die gleichen Updates wie #Windows 11 24H2 bekommen. Der Server Build ist damit identisch wie bei der Windows 11 Version – nämlich 26100.xxx (xxx steht für das monatliche Sicherheitsupdate und das optional 2 Wochen später erscheinende Funktionsupdate.

Installiert man also aus der ISO 26100.1, erfolgt kurz darauf ein Update auf Version .560. Da ich in der virtuellen Maschine kein TPM aktiviert habe, funktioniert die Installation im Gegensatz von Windows 11 ohne Tricks. Die Voraussetzung, dass der Prozessor SSE 4.2 unterstützen muss und somit alte Core2Duo und Core2Quad Prozessoren nicht lauffähig sind, vermuten wir, können es aber weder dementieren, noch beweisen. Es wird aber wohl kaum jemand so alte Client-Hardware zum Betrieb von Servern einsetzen. Wie alt ein XEON-Prozessor in einem Server 2025 sein darf, ist noch herauszufinden. Da die meisten bei On-Prem-Einsatz ihre Windows Server (Std oder Datacenter) Lizenzen mit einem Server als OEM Version lizenzieren, dürfte auch das nicht relevant sein.

Wer ein VS Prem oder VS Professional Abonnement hat, kann die Server-Version schon in einer isolierten Umgebung testen (z. B. in einer Client Hyper-V Umgebung).

Zur automatisierten Installation (Unattended, deployment) dürfen folgende Schlüssel verwendet werden (für die Lizenzierung muss nachher ein gültiger Lizenz-Schlüssel eingegeben werden).

Windows Server 2025 Standard. TVRH6-WHNXV-R9WG3-9XRFY-MY832
Windows Server 2025 Datacenter. D764K-2NDRG-47T6Q-P8T8W-YP6DF

Windows-Updates für die Server 2025 Version wird es voraussichtlich bis September 2034 geben – Bisher waren Server immer LTSC mit 10 Jahren Laufzeit. Sofern Microsoft nicht auf den „Modern Life Cycle mit 5 Jahren“ wie beim Office umstellt. bleibt das dabei.

Testbericht Server 2025 / 26100

Mit den o.g. Installationsschlüsseln lässt sich eine Unattend Vorlage bauen, so dass eine VM auf Knopfdruck innerhalb von 5 Minuten mit GUI installiert ist (und das nur im Client-Hyper-V unter Windows 10). Das ist gegenüber Server 2022 eine deutliche Beschleunigung.

Der Installationsprozess ist noch nicht modernisiert – man findet in der SETUP-GUI immer noch das Aussehen von Windows 7 😀 .

Das Aussehen von Windows Server 2025 ist – Überraschung! – identisch mit Windows 11 (24H2). Kein Wunder, denn es ist ja dieselbe Code-Basis und derselbe Kernel. Wer also die RDS-Services aktiviert, bekommt auf den Terminalservern die GUI von Windows 11 präsentiert. Gruppenrichtlinien, die man von Windows 11 kennt, lassen sich auch anwenden.

Der Server-Manager und auch Active Directory Benutzer&Computer, sowie die anderen Verwaltungs-Tools sind unverändert verfügbar, es wird aber wieder Werbung für ADAC gemacht (Active Directory Admin Center). Außerdem ist wieder AzureArc – wie nach einem Windows Update von Server 2022 an Bord und fährt im Autostart mit hoch. Wer keine Server in Azure hat (Hybrid), sondern eine reine On-Prem-Umgebung, der kann im Task-Manager unter Autostart (ja, der Menüpunkt ist nun auch auf dem Server vorhanden) das Tray-Icon deaktivieren.

Wie die Hardware-Anforderungen sind, wird leider nicht klar ausgedrückt (siehe oben). Eins ist sicher: Auf meiner Test-VM habe ich in den Einstellungen NICHT den TPM des Hosts aktiviert. Die Installation der Gen2 VM läuft problemlos durch und Server 2025 startet auch danach fehlerfrei. Meine Vermutung ist aber, dass es neben der Windows 11 Prozessorliste (alles ab Core i der 8. Generation) auch eine Positivliste für XEON-Prozessoren gibt. Lediglich die IoT-LTSC Version von Server 2025 hat geringere Hardware-Anforderungen (sie hat aber auch keine grafische Benutzeroberfläche, wenn sie auf einer Smart-Fliese im Bad betrieben wird).

Copilot Störung

Update: #erfreulich – die Störung wurde Stand 24.05.29024 behoben. Zum Test erstellt Copilot einen Vorschlag zum Prompt „GWS Branchentage“. Alle BUs sind vertreten und wir freuen uns auf Sie.

Originalmeldung: Wichtig – kurz notiert: Seit heute vormittag (23.05.2024) sind die #KI Funktionen von Microsoft nicht nutzbar. Es kommt eine Meldung im Look der 80er-Jahre: „Oops, es ist nicht Ihre Schuld, wir sind es“ mit einem Panda und dem alten BING Logo.

Es lassen sich sämtliche #Copilot Funktionen nicht nutzen – wie der Chat (Text-KI) oder der Microsoft Designer (KI-Bilderstellung).

Betroffen sind auch die Bezahl-Funktion „Copilot Pro“ und die Integration in Microsoft Apps wie MSPAINT (Windows 11). Damit dürften die APIs in MSGRAPH auch nicht funktionieren.

Eine größere Störung, die Microsoft auch im Azure-Portal mit Statusaktualisierungen versieht. Gleichermaßen berichtet Microsoft auf „X“ (ehemals Twitter):

We're investigating an issue where users may be unable to access the Microsoft Copilot service. We're working to isolate the cause of the issue. More information can be found in the admin center under CP795190.

— Microsoft 365 Status (@MSFT365Status) May 23, 2024

Teams – One Version 2.1

Kurz notiert: Im aktuellen „Release Preview Ring“ hat Microsoft das „Teams personal“ Installationspaket stillgelegt. Installiert oder aktualisiert man den in Windows 11 enthaltenen Teams 2.0 free = personal Client, ruft dieser nur noch den Teams (neu) 2.1 Client auf. Man kann also die Teams-App mit dem lila T auf weißem Untergrund deinstallieren.

Stattdessen kann man im neuen #Teams 2.1 Client (ab Version 24131-2300-2871-3804) über das Profilbild zusätzlich, oder wenn man kein Geschäftskonto hat nur ein Microsoft Konto (personal) dort eintragen. An Besprechungen kann man hingegen auch ohne ein Microsoft- oder Geschäftskonto teilnehmen. Man klickt dann einfach auf „an Besprechung teilnehmen“ und gibt die Zugangsdaten aus dem Link ein – oder Teams startet über die Verknüpfung. Erkennbar ist die neue App auch daran, dass sie nicht mehr den „Teams (work or school)“ Titel führt, sondern nur noch „Teams“.

Fazit: Ab der oben genannten Version, die vermutlich mit dem Patchday im Juni 2024 für Alle verteilt wird, können die „Teams free“ oder „Teams personal“ App und die klassische (lila) Teams App vom Rechner deinstalliert werden.

Man installiert dann am Besten das neue Teams mit diesem Logo:

(Wer das neue One-Version Teams jetzt schon testen möchte, kann es hier herunterladen)

gevis - Windows PC vs. Azure Virtual Desktop

Wir werden häufiger gefragt, ob es vorteilhaft ist, Browser-basierte Anwendungen (wie gevis ERP | BC ab Version 17, #gevis ERP | VEO oder gevis ERP | SaaS) direkt von Chrome für Enterprise auf einem lokalen Windows PC oder im Azure Virtual Desktop #AVD aufzurufen. Hierzu die folgenden Grundlagen, wann der lokale „Browseraufruf“ besser sein kann. (Achtung: Dies sind nicht die Mindest-Anforderungen, sondern ein Wert, der nach Best-Practice den direkten Aufruf im Vorteil sehen kann):

• Der PC ist aktuell (er übertrifft die Mindest-Voraussetzungen von Windows 11 24H2) = Core i5-8Gen, 16 GB RAM, schnelle SSD 256 GB.
• Interaktionen des Benutzers im Browser fordern eine hohe „Rendering“ Aktivität des Browsers. Hier ist Grafikleistung gefragt.
• Die Internet-Leitung, bezogen auf die Browserleistung ist Breitband (mindestens 5 MBit/s pro User verfügbar).

Die Vorteile vom Azure Virtual Desktop sind die folgenden:

• PCs/Endgeräte können geringere Anforderungen (z.B. alter Core I3 PC mit 8 GB RAM, SSD, IGEL OS Linux) haben.
• Durch Verwendung des AVD Clients kann auf die „Einwahl“ ins Firmennetz per VPN verzichtet werden (wir empfehlen trotzdem, im Homeoffice nur dienstliche Endgeräte zu verwenden).
• höhere Sicherheit – die komplette Arbeitsumgebung (Desktop) mit allen wichtigen Apps ist in einer geschützten und zentral verwalteten Umgebung.
• Verhindern von Misch-Umgebungen mit privaten Inhalten.
• Admins brauchen neue Software und Aktualisierungen nur im AVD Pool zu installieren, nicht auf jedem Endgerät.
• Wenn die AVD-Hosts die aktuelle 64 GB Konfiguration haben, ist die AVD-Umgebung vielfach genauso schnell wie das direkte Verwenden auf einem aktuellen PC.

Misch-Umgebungen mit vielen AVD-Usern und einzelnen Power-Usern, die Browser-Anwendungen direkt auf aktuellen Rechnern aufrufen, sind möglich, administrativ aufwendiger und nicht so sicher!

Windows 10 Build 19045 erforderlich

Microsoft erinnert derzeit daran, dass Windows 10-Versionen, die nicht das Funktionsupdate 22H2 haben, im Juni 2023 das letzte Funktionsupdate und im Oktober 2023 das letzte Sicherheitsupdate bekommen. [Update Mai 2024]: Auch die Enterprise-Version von Windows 10 bekommt nur noch automatische Updates bis Oktober 2025, wenn Version 22H2 installiert ist.

Windows 10 21H2 oder älter ohne Updates  1Jahr 8Monate 4Tage
seit Di. 10. Okt. 2023 613 Tage

#Endoflife – Da das Funktionsupdate von Version 21H2 (19044) auf 22H2 (19045) nur wenige Minuten dauert, sollte es unbedingt zeitnah ausgeführt werden. Sollten Sie noch Windows 10 Systeme mit einem Build kleiner als 19041 haben, dauert die Installation des Funktionsupdates mindestens eine Stunde, ist aber umso wichtiger.

Neue Features gab es zum Juni 23 Update allerdings wenige. Es wurde aber „unter der Motorhaube“ gearbeitet. Betroffen sind auch die Windows 10 Pro und Workstation Versionen (da Microsoft sie zu den Consumer-Versionen zählen).

Prüfen Sie, welche Windows – Version auf Ihren Systemen ist. Wenn Sie #OpenAudit Classic im Einsatz haben und alle Systeme inventarisiert, reicht dazu ein Blick in die Hardwareliste. Der jeweilige „Build“ wird dort in einer der rechten Spalten angezeigt. Dort muss eine 19045 enthalten sein.
In Azure Virtual Desktop (Windows 10) werden bis mindestens Januar 2027 Sicherheitsupdates angeboten. Vermutlich wird Microsoft aber die Mieter nicht zwingen, die AVD Maschinen im Pool auf Windows 11 umzustellen. Bis 2025 wird ohnehin Windows 12 oder eine akzeptable Windows 11 25H2 Version erschienen sein. Bereits in Windows 11 24H2 wurden zahlreiche Mängel der Vorversionen beseitigt.

Microsoft Supportseiten

TreeSizeFree vs. Windirstat

TreeSizeFree ist (bis Version 4.7.2) ein geschäftlich und privat nutzbares, portables Werkzeug, um sich in Ordnerstrukturen die größten Platz-Verbraucher anzeigen zu lassen.
Man konnte es auf Windows 10/11 Rechnern oder Windows Server 2016/19/22 aufrufen. Während Version 4.7.x schon keine Netzwerklaufwerke scannen konnten, ist mit Version 4.7.3 der Aufruf der Software auf Windows Servern nicht mehr möglich. Das funktioniert dann nur noch mit der Pro Version für rund 60 € pro Lizenz.

Alternativen müssen her. Ich habe mich mal mit dem quelloffenen WinDirStat beschäftigt. Auf Github gibt es ein Projekt dazu, das (Stand Mai 2024) aktualisiert wird. Nightly Builds der Version 2.0 (moderneres Interface, schneller) ist im Fork:

zu sehen. Es ist zwar nicht ganz so schnell, wie DirSizeFree, kann aber sowohl auf Server 2022, als auch Windows 10/11 laufen und auch Netzlaufwerke scannen. So viel langsamer als TSF ist es nicht, liefert aber zusätzlich eine Sortierung nach Dateityp-Ranking (welcher Dateityp verbraucht am Meisten).