Gefahrenquelle Mobiles Arbeiten, Home Office

#Wichtig – die gemeinhin gern als „Home-Office“ bezeichnete Arbeitslokation, die im geschäftlichen Bereich als „Mobiles Arbeiten“ bezeichnet werden muss, kann möglicherweise als Einfallstor für kriminelle Machenschaften genutzt werden.
Um Datenverlust und möglichen Kontrollverlust effektiv zu vermeiden, muss der Unternehmer/Arbeitgeber wirksame Maßnahmen ergreifen. Tut er das nicht, werden Versicherungen im Schadensfall die Leistung komplett verweigern oder zumindest kürzen. Bei grob fahrlässigem Handeln drohen Regressforderungen und hohe Bußgelder.

Um zu vermeiden, dass die Sicherheitsgrundlinie, wenn Mitarbeiter zuhause oder an einem anderen Ort arbeiten, zu niedrig ist, sind einige Grund-Voraussetzungen zu erfüllen (hier nur einige Auszüge, mehr Details erfahren Sie im IT-Sicherheits-Check):

• Ein geschäftliches Notebook zur Verfügung stellen – wir empfehlen Notebooks der Thinkpad-Reihe vom Markführer lenovo
• Ein gemanagtes Dienst-Handy für zusätzliche mobile Kommunikation bereitstellen. Die Nutzung von privaten Handies ist nicht mit deutschem Recht vereinbar und birgt Risiken
• Bestimmte Software (z.B. Warenwirtschaft) nur über ein RDS Security Gateway, SSL verschlüsselt bereitstellen
• Eine Vereinbarung zum Verhalten und Nutzung und Tipps zur Gefahrenabwehr von Hard- und Software schließen und unterzeichnen lassen, Mitarbeiter schulen

Für den Firmensitz bzw. Hauptstandort des Betriebes gilt eine erhöhte Verpflichtung, was die Firewall Technik angeht. Es muss zwingend eine Next-Generation Firewall mit Advanced Threat Protection (hochladen von Anhängen und Downloads in die Cloud und Probeausführung vor Zustellung), SSL-Interception, kompletter HTTPs und Mailüberwachung im Einsatz sein. Die Firewall muss gemanagt und in Wartung sein. Für größere Umgebungen auch doppelt ausgelegt (Firewall-Cluster). Unsere Empfehlung: Barracuda Modell F280.

Für die Kommunikation mit den Mitarbeitern empfehlen wir Microsoft Teams in Verbindung mit einem Microsoft 365 E3 bzw. Business Premium Plan. Für Audio ist ein Bluetooth Headset von Jabra (evolve 65 empfohlen)

Trifft der Unternehmer die Maßnahmen nicht, werden mobile Arbeitsplätze auch gern mal für private Dinge genutzt oder zum Home-Schooling, für Spiele und andere nicht geschäftliche Dinge. Zum Steigern des Komforts dürfen Arbeitgeber dem Mitarbeiter einen Bildschirm, Maus und Tastatur zur Verfügung stellen, den Rest (inklusive Raum-, Heiz- und Stromkosten) trägt ein Mitarbeiter selbst.

Wie erreichen Sie das Ziel?

und wir erarbeiten die notwendigen Maßnahmen zum Erreichen des BSI Grundschutzes. Dazu gehört auch das Konzept „Mobiles Arbeiten“, das wir gemeinsam mit Ihrem Systemkoordinator erstellen. Sie erhalten Beispiele und Mustertexte und zahlreiche Unterlagen neben dem Testat über Ihre IT-Sicherheit.

TIPPS - Remote Schulungen und BSI-Testate

Online-Besprechungen als gute Alternative

Um Reisekosten zu sparen und die Termingestaltung zu flexibilisieren, ist die Durchführung #Remote eine gute Alternative zum Präsenztermin vor Ort – auch für:

• Systemkoordinatoren-Schulungen (Basis, SQL, RTC-Migration)
• Testate (IT-Sicherheitscheck, Notfallflan und Risiko-Analyse)
• Lizenz-Bilanz für Microsoft Lizenzen
• Workshops (z.B. Powerapps)

Technische Ausstattung

Für einen erfolgreichen Remote-Termin ist eine einwandfrei funktionierende Technik unabdingbar. Wir empfehlen Ihnen die folgende technische Ausstattung:

• Stabile Internetverbindung/WLAN
• Tool:                      Microsoft App #Teams (Lokal-Installation)
• Browser:               Google Chrome Enterprise, insbesondere für den „Teams-Gastzugang“ nötig
• Bildschirm:            Beamer, Fernseher oder großer Bildschirm, ggf. zweiter Bildschirm
• Lautsprecher:       z. B. „Konftel 55 Wx“ (Bluetooth-) Lautsprecher inklusive Mikrofon  
• Kamera:                z. B. Notebook-Kamera oder „Polycom“-Konferenzkamera mit integriertem Mikrofon  
• Headset:               z. B. „Jabra Evolve 65 Bluetooth Headset“

Organisation ist alles

Damit unser Remote-Termin reibungslos verlaufen kann und wir unser Ziel gemeinsam erreichen, ist es wichtig, dass sich alle Beteiligten diszipliniert an die folgenden Rahmenbedingungen halten:

„Spielregeln“ bringen Effizienz

Für Remote-Termine benötigen wir zusätzliche Spielregeln, an die sich alle Beteiligten halten, damit wir gemeinsam die räumliche Distanz bestmöglich überwinden können und den Termin möglichst effizient gestalten:

• „Netiquette“:         pünktlich, ehrlich, fair (kein paralleler Handyeinsatz, kein E-Mail-Check etc.)
• Hintergrund:         schlichten Hintergrund wählen/weichzeichnen, um auf die Person zu fokussieren
• Verfügbarkeit:       in „Teams“: „Bitte nicht stören“ einstellen; „MS-Outlook“: komplett schließen
• Rederechte:
  • Kamera aktivieren; ACHTUNG: in Maßen bewegen, um Bildverzerrungen zu vermeiden!
  • Mikrofon stummschalten und nur für eigene Beiträge die Stummschaltung aufheben
  • Hand heben, um anzumelden, dass man eine Frage stellen oder etwas anmerken möchte
  • Eigenen Namen nennen vor dem eigenen Beitrag (bei großer Teilnehmerzahl sinnvoll),  um Anonymität zu vermeiden

o     Chat, um z. B. auf technische Störungen aufmerksam zu machen und um z. B. Fragen zu sammeln, die später in einem eigenen Slot beantwortet werden

ACHTUNG: Beschränken Sie bitte die Nutzung auf das Wesentliche. So vermeiden wir unnötige Ablenkung für alle Beteiligten!

Inhaltlich bestens gerüstet

Fehlende Körpersprache kompensieren  

Trotz Kamera-Einsatz bleiben eigene Emotionen, die ich über meine Körpersprache transportiere, bei einem Remote-Termin weitestgehend im Verborgenen. Unsere Gefühlsebene ist jedoch bekanntermaßen für eine erfolgreiche Kommunikation sehr wichtig. Wir sollten daher versuchen, unsere fehlende Körpersprache zu kompensieren, indem wir den Kontakt und die Aufmerksamkeit möglichst stetig aufrecht erhalten durch:  

• Kamera aktivieren; ACHTUNG: in Maßen bewegen, um Bildverzerrungen zu vermeiden!
• Bildschirm teilen; ACHTUNG: nicht den ganzen Bildschirm, sondern das nur entsprechende Fenster freigeben, um evtl. störende Mails oder Messages zu eliminieren!
• Steuerung übergeben oder übernehmen  
• Dialog, indem Sie aktiv zuhören und gezielte Fragen stellen
• Feedback zur Halbzeit des Termins

Feedback

Unter Alle Schulungen wählen Sie bitte die besuchte Schulung aus und geben Ihr Feedback ab.

Online-Besprechungen erfordern Übung – das können wir Ihnen aus eigener Erfahrung versichern. Entscheidend für erfolgreiches Remote-Consulting ist es, sich im Anschluss gegenseitig konstruktives Feedback zu geben. Nur so haben alle Beteiligten die Chance das Remote-Consulting stetig zu verbessern und die Termine noch effizienter zu gestalten!

Prüfung / Zertifizierung

Im Nachgang zur Schulung können Sie online eine Prüfung unter Alle Prüfungen ablegen und sich zertifizieren. Wählen Sie einfach die Schulung aus und Ihr Multiple-Choice-Test beginnt.

Aufzeichnung

…eines Remote-Termins wird aus Datenschutzgründen derzeit nicht praktiziert. Sie ist maximal in den Teilen möglich, bei denen wir einen Vortrag halten und beide Seiten mit der Aufzeichnung ausdrücklich einverstanden sind. In diesem Fall müssen die mündlichen Einverständniserklärungen beider Seiten mit aufgezeichnet werden!

Windows 11 Tricks

Am 15. Oktober 2025 wird Microsoft für Endgeräte mit Windows 10 Pro das letzte Sicherheitsupdate verteilen. Bekanntlich (wir haben bereits darüber berichtet) werden dadurch weltweit mehrere Millionen PCs zu Elektronikschrott – nämlich alle, die einen älteren Prozessor als Intel der 8. Generation (oder vor 2018 erschienene AMD Prozessoren im Rechner haben. Rechner, die noch einen Intel Core Prozessor vor der i-Generation haben, starten nicht mal mehr nach dem Update (z.B. Core2Quad und Core2Duo), obwohl viele Rechner für den Betrieb von #Win11 je nach Anwendungszweck schnell genug wären.

Wer über aktuelle Hardware verfügt, muss sich mit einem miserablen Startmenü, Werbung, Nag-Screens und einem zweistufigen Kontextmenü herumärgern (mindestens zwei Mausklicks mehr, bevor man den Kontext erreicht, der bei Windows 10 direkt erscheint. Zusätzlich erscheinen bei Mouseover oben rechts im Fenster (oder Vollbild) Vorschläge, wie man das Fenster mit Anderen auf dem Bildschirm anordnen kann (das Flyout/Snapbar verdeckt den halben Bildschirm).

Was zunächst nach einem geheimen Hack aussah, funktioniert jedoch auch mit der aktuellen Release Version von Windows 11, der 23H2, die im Herbst erschienen ist. So kann man das „klassische“ Kontextmenü durch setzen eines Registry-Schlüssels (oder einer GPO) wieder aktivieren. Ferner kann man die Werbewidgets abschalten und den Startknopf wieder an den linken Bildschirmrand schicken. Offene Programme werden wieder mit Titel in der Taskleiste angezeigt, solange Platz ist und dann erst gruppiert.

Achtung: Der Einsatz der Einstellungen erfolgt auf eigenes Risiko. Nebenwirkungen könnten auftreten!

Hiermit wird für den aktuellen Benutzer das klassische Kontektmenü wieder (nach einem Reboot) aktiviert.

Windows Registry Editor Version 5.00
; widgets auschalten [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Dsh] "AllowNewsAndInterests"=dword:00000000
; Snapbar aus [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SnapBar"=dword:00000000 [HKEY_CURRENT_USER\Control Panel\Desktop] "WindowArrangementActive"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "EnableSnapAssistFlyout"=dword:00000000
; Startknopf links [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "taskbarAl"=dword:00000000
; altes Kontextmenü [HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32]

Diese Einstellungen, als Administrator in Regedit importiert machen ein paar Komforteinstellungen und das System besser bedienbar.

Die folgenden Einstellungen machen Windows 10/24H2 (seit Juni RTM und bei Neukäufen vorinstalliert) komfortabler und sind über GPO/reg.keys einstellbar:

• Startmenü wieder nach links,
• Über GPO/reg.keys einstellbar
• Bei den Empfehlungen alle Schalter auf aus, außer bei Dateiverlauf
• Im Startmenü unten weitere Symbole (Settings, eigene Dateien einschalten)
• klassisches Kontextmenü
• Taskleistensymbole erst gruppieren, wenn voll
• Widget-Bereich und Copilot (Symbol in Taskleiste) ausschalten

Nur dass alle Symbole in der TNA angezeigt werden hab ich noch nicht hinbekommen, die muss man bei Bedarf einzeln aus dem ^ Menü wegschalten, nachdem das zugehörige Programm einmal gelaufen ist.

IT-Sicherheit und NIS2- Ihre Meinung bitte

Wie eine aktuelle Auswertung der Allianz Versicherungsgruppe von Januar 2024 zeigt, sind die meisten Schadenfälle im Bereich Cyber-Kriminalität zu verzeichnen. Wir möchten gern Ihre Meinung (anonym) erfassen und auswerten, um einzuschätzen, wie wir Sie zukünftig dabei unterstützten können. #Erfreulich – das Ausfüllen dauert nicht mal eine Minute und hilft uns sehr. Dazu haben wir, wie im aktuellen GWS-Newsletter erwähnt, eine kleine Umfrage vorbereitet :

Vielen Dank für Ihre Mühe im Voraus! Gern können Sie auch in diesem Beitrag kommentieren.

Outlook – Support-Ende 2026

Bereits heute kann mit der #Outlook Win32 App aus den Office Versionen 2016 keine Verbindung mehr mit einem Exchange online (Microsoft 365) aufgebaut werden. Auch der offizielle Support von Exchange 2019 ist bereits im Oktober 2023 beendet worden. Zwar bekommen beide Office Versionen noch Sicherheitsupdates, die Verbindungsmöglichkeit mit M365 kann aber auch jeden Tag eingestellt werden.

Für lokale Installationen von Office oder Volumenlizenzen der Kaufversionen auf Terminalservern gilt daher: Möchte man von diesen beiden Plattformen auf sein Exchange online Konto mit der Outlook Win32 App zugreifen, wird das nur mit Office 2021 (LTSC) unterstützt!

#Endoflife – am 14. Oktober 2025 wird das letzte Sicherheitsupdate für Office 2016, 2019 ausgerollt. Gleichzeitig endet auch für Die Outlook Win32 App der Support und Verbindungen zu Microsoft 365 lassen sich nur noch mit der neuen Outlook App aufbauen. Diese ist quasi OWA in eine Windows-Store-App eingepackt, funktioniert nur mit einer Internetverbindung und hat keinen Offline-Speicher. Darüberhinaus werden bei Einbindung von Drittanbieterkonten (GMX,Web.de,gmail) die Zugangsdaten zu den IMAP/POP3 Konten an Microsoft übertragen und Inhalte dort gespeichert.

Anmerkung: Wer derzeit noch die kostenlosen Windows 10+ Apps „Mail, Kalender und Kontakte“ benutzt, der wird im Laufe des Jahres 2024 auf die Outlook App in der werbeverseuchten Free-Variante umgestellt. (verwendet man die neue Outlook App mit einem kostenlosen Microsoft-Konto, ist immer die erste Mail im Ordner eine gefakte Werbemail, die aussieht wie eine andere E-Mail) Das „Update“ erfolgt automatisch über de Microsoft Store.

Am 13. Oktober 2026 enden dann auch die #Sicherheitsupdates für Office 2021.

Im Sommer 2024 soll nochmal eine Kaufversion „Office 2024“ erscheinen (Das Paket enthält nicht mehr die Teams 2.1 App, außerdem wird der Microsoft Publisher (Programm zum Entwerfen von Publikationen und Grußkarten) entfernt. Mit 5 Jahren Sicherheitsupdates, wenn es dabei bleibt. Support/Updates-Ende ist dafür dann Juni 2029.

Fazit: Eine Verbindung von Outlook Kaufprodukten mit Microsoft 365 wird jetzt schon nur für Version 2021 offiziell unterstützt. Version 2019 kann jederzeit die Verbindung einstellen. Outlook (Win32 App mit Offline-Cache) wird bis Oktober 2026 eingestellt – dann funktioniert nur noch die neue Outlook Online-Webapp.

Die Einstellung von Outlook betrifft grundsätzlich auch Geschäftskunden mit Microsoft 365 Lizenzen!
Update 8.3.2024: Microsoft hat die Einstellung des klassischen Outlook nochmal revidiert. Wer ab Oktober 2025 M365 neu installiert, bekommt die neue App installiert. Diese enthält auch keinen Schieberegler mehr zurück zu Classic. Bestehende Installationen werden bis maximal 2029! von Microsoft unterstützt und mit Sicherheitsupdates versorgt, erhalten aber nach 2026 keine Funktionsupdates.

Quelle: https://techcommunity.microsoft.com/t5/outlook-blog/new-outlook-for-windows-a-guide-to-product-availability/ba-p/4078895

Teams – Rathaus und Grammatik?

Heute kam ein großes Update für Microsoft Teams. Leider hat sich beim Update das Outlook Addon für Teams 2.1 verabschiedet. Outlook war damit kurzfristig ohne Teams-Buttons und ohne Statusanzeige. Diesmal half es auch nicht, Teams und Outlook neu zu starten. Nach Beenden von Outlook, Deinstallation des Addons unter Systemsteuerung/Programme & Features und Neustart des Teams Programms und der Outlook-Windows Anwendung (gemeint ist die Win32 Anwendung nicht die neue, schlechte Outlook-Store-App) – waren die Knöpfe und Stati wieder da.

Auch mit der Grammatik nimmt Teams das nicht so ernst: 7 Beiträge von Sie und… (es meint mich damit):

Im Kalender kann man nun über das Lookup im Teams-Knopf… ja! ein Rathaus planen … Rathaus?

#Lustig – während die Kriminalpolizei rät, was das bedeutet, kurz einen Versuch gestartet: Im Kleingedruckten der Maske steht dann im Betreff „Versammlung“.

Microsoft schreibt dazu:

In einer Versammlung können Organisatoren und Mitorganisatoren Echtzeit-Ereignisanalysen wie die Anzahl der Zuschauer, das Land oder die Region der Teilnehmer und vieles mehr anzeigen. Die Analyse besteht aus mehreren Datenwidgets, einschließlich Diagrammen und Grafiken, Aufschlüsselungstabellen und einer Zeitachse für die Anzeigeerfahrung.

https://support.microsoft.com/de-de/office/einblicke-in-versammlung-in-microsoft-teams-def99575-61bf-4ea2-ad0e-c6e75dce7741

Das erinnert mich an „Männlich, Weiblich, Taucher“… In einigen Dingen ist der Mensch der KI noch überlegen 😺. Ruft man die englische Version des Microsoft Support Artikels auf, wird dort von „Town hall insights in Microsoft Teams“ gesprochen. Aber genauso wie man Sprichworte nicht 1:1 ins Deutsche übersetzen kann oder umgekehrt, muss auch hier nachgelegt werden. Da war wohl jemand nicht „heavy on the wire“ und im „sleep on train“ unterwegs 🤣.

Exchange Server unbedingt patchen

#Wichtig – die zuletzt für #Exchange Server 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Anydesk Server wurden gehackt

Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt.

#Wichtig – Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware „unterzujubeln“.

Update 06.02.2024. Das BSI hat nun eine Einschätzung der Gefahrenlage herausgegeben.

Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen.

Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat – es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt.

Stellen Sie dann auf andere, sicherere Lösungen – wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen.

Die Redaktion

Chrome sichere Seiten ohne Schloss

Ende 2023 rollte Google eine neue Benutzeroberfläche aus. Dabei wurden nicht nur die Symbole in der Adressleiste kleiner und unschärfer, sondern auch Veränderungen in der Anzeige der Sicherheit von Webseiten durchgeführt. Microsoft Edge ist zwar noch nicht davon betroffen, dürfte aber vermutlich bald nachziehen.

Bisher konnte man eine sichere SSL-verschlüsselte Verbindung zu einer Seite an einem Schloss-Symbol in der Adresszeile erkennen. Google tauscht dieses Symbol nun gegen zwei Schieberegler, an dessen Symbolik nicht erkennbar ist, ob die Verbindung zur Seite sicher ist. Ist hingegen die Verbindung nur „http“ – also ungesichert, ist in beiden Browsern der Hinweis „nicht sicher“ zu lesen, ist die Verbindung sicher (https) und ein Zertifikat abgelaufen, wird „nicht sicher“ in roter Schrift angezeigt.

Das Blöde an dem neuen Symbol ist, dass man nicht mehr direkt erkennen kann, ob eine Seite sicher ist – zumal (im Bild unten) manche links nicht als unsicher gekennzeichnet sind, obwohl sie es (http Aufruf) faktisch sind. Es gibt aber Abhilfe: unter chrome://flags, dann nach 2023 suchen und das 2023 Design abschalten. Chrome erscheint wieder im gewohnten Bild mit den „scharfen“ größeren Symbolen und mit Schloss für sichere Seiten.

Leo Bard 😹 meint dazu: Sergey Fährlich 🤣, dass man nicht mehr erkennt, dass eine SSL-Verschlüsselung mit gültigem Zertifikat vorliegt.

Google Chrome vs. Microsoft Edge

wir empfehlen, beide Browser installiert zu haben (jeweils in der Enterprise Version mit dem .msi Installationsprogramm) und Chrome für Enterprise als Standard-Browser, zum Internet-Surfen und als PDF-Betrachter zu verwenden. Bei nur etwa halbem Speicherverbrauch von #Chrome gegenüber #Edge ist insbesondere die höhere Aktualisierungsrate und die kürzere Zeit, in der Sicherheitslücken geschlossen werden entscheidend. Zudem ist der integrierte ChromePDF Betrachter im Browser enthalten, schlank und vollkommen ausreichend. Microsoft rollt derzeit die Acrobat Reader Freemium-Version mit dem Edge Browser aus. Das bedeutet rund 1 GB mehr Speicherplatz und zusätzliche Update-Dienste von Adobe, die im Hintergrund laufen. Update 18.03.2024: #Endoflife – Anfang 2025 wird Microsoft den integrierten PDF-Viewer entfernen und nur noch Adobe zulassen.

Für die Nutzung des Copilot (auch hier ist Enterprise empfohlen aus Datenschutz-Gründen) kann dann der Edge-Browser (der sich über Gruppenrichtlinien von Werbung und Ballast weitgehend befreien lässt) aufgerufen werden. Die kostenlosen Einheiten sind hier höher als bei Chrome Nutzung.

Während Microsoft im Internet erfolglos versucht, den Chrome-Download zu verhindern und Nutzern Fallen zur Umstellung auf Edge als Standardbrowser stellt, ist der von OpenAI programmierte Copilot objektiv. Diese Punkte schreibt er/es auf die Frage, warum Chrome besser ist als Edge:

Google Chrome und Microsoft Edge sind zwei der beliebtesten Webbrowser, die beide auf der Chromium-Engine basieren. Es gibt jedoch einige Unterschiede zwischen ihnen, die je nach Ihren Bedürfnissen und Präferenzen den Ausschlag geben können. Hier sind einige Gründe, warum Google Chrome besser sein könnte als Edge:
• Chrome hat einen größeren Marktanteil als Edge, was bedeutet, dass er von mehr Webseiten und Anwendungen unterstützt wird. Chrome hat auch eine größere Auswahl an Erweiterungen, die Ihnen zusätzliche Funktionen und Anpassungsmöglichkeiten bieten https://www.computerbild.de/artikel/cb-Tipps-Internet-Edge-vs.-Chrome-Die-Unterschiede-31398167.html https://www.techradar.com/pro/edge-vs-chrome-in-2023-heres-why-theres-only-one-winner-for-productivity-fans.
• Chrome hat einen besseren Ruf in Bezug auf die Sicherheit und den Datenschutz als Edge. Chrome bietet Ihnen mehr Kontrolle über Ihre Privatsphäre-Einstellungen und blockiert mehr schädliche Webseiten und Downloads als Edge https://kinsta.com/de/blog/microsoft-edge-gegen-chrome/ .
• Chrome hat eine bessere Integration mit Google-Diensten wie der Google-Suche, Gmail, Google Drive, Google Fotos, Google Maps und YouTube. Wenn Sie diese Dienste häufig nutzen, können Sie von Chrome profitieren, da er Ihnen einen schnelleren und einfacheren Zugriff auf sie bietet.
• Chrome hat einige einzigartige Funktionen, die Edge nicht hat, wie z.B. die Möglichkeit, Webseiten auf andere Geräte zu senden, einen Gastmodus zu verwenden, einen Inkognito-Modus zu aktivieren, einen Passwort-Manager zu nutzen, einen Übersetzer zu verwenden und einen Dunkelmodus einzuschalten .
Das sind einige der Gründe, warum Google Chrome besser sein könnte als Edge. Natürlich hat auch Edge seine eigenen Vorteile, eine integrierte Werbeblocker- und Anti-Tracking-Funktion, eine Vorlesefunktion.

Copilot Enterprise auf die Frage, warum Chrome besser ist als Edge

OpenAudit Classic SSL-Oberfläche

#erfreulich – ab Release 2024.01.16 ist die #OpenAudit Classic Weboberfläche auch SSL-verschlüsselt zu erreichen. Dabei wird zum Ende des Setups dem Apache Webserver ein über das beiliegende OpenSSL Commandline Werkzeug ein Zertifikat ausgestellt, das ab Ausstellung jeweils 2 Jahre gültig ist. Es reagiert auf den Servernamen oder auf einen dns alias namens „openaudit“.

Der Aufruf der Weboberfläche (und damit auch der verbundenen Seiten wie PHPmyAdmin und optional WordPress Intranet) lautet damit: https://servername:4443/openaudit. Dazu ist im OpenAudit Classic Ordner im Startmenü eine Verknüpfung hinterlegt. Testweise bleibt die Desktopverknüpfung allerdings zunächst klassisch (http://servername:888/openaudit)

Wenn das WordPress-Intranet noch nicht aufgesetzt, aber installiert ist, kann man es aus dem SSL-verschlüsselten Aufruf von OpenAudit im Menü initiieren. Das Intranet hat damit dann auch SSL. Eine nachträglich Änderung von http:// auf https:// ist bei vorhandenen Intranets nicht ohne Aufwand möglich.

In einem kommenden Release wird auf die SSL-Verknüpfung umgestellt. Alternativen sind https://openaudit:4443. Tragen Sie dazu die IP Ihres OpenAudit Servers im DNS ein mit cname: openaudit.

Selbst ausgestelltes Zertifikat – Warnung abstellen

Weil das Zertifikat ein selbst ausgestelltes ist, meinen die aktuellen Browser, die Seite sei unsicher, da das Zertifikat nicht im Internet überprüft werden kann. Betreten Sie die Seite trotzdem. Wenn Sie das Server-Zertifikat exportieren und in den Benutzer-Speicher: „vertrauenswürdige Stammzertifizierungsstellen“ importieren, versteht auch der Browser, dass die Daten SSL-verschlüsselt übertragen werden. (Klicken Sie auf das rote „nicht sicher“ in der Adresszeile, dann auf Verbindung ist nicht sicher, die Zeile „Zertifikat ist ungültig“. Im Register Details exportieren Sie nun das Zertifikat und speichern damit eine .CRT Datei. Diese kann durch Doppelklick in Ihr Windows System (und damit in den Browser) importiert werden.

Diese Methodik können Sie auch dann verwenden, wenn Sie die lästigen Warnungen beim Aufrufen der Geräteseite von Druckern, Netzwerk-Switches, IP-Cameras und Access-Points, sowie anderer Peripheriegeräte vermeiden möchten.

In den Enterprise-Browsern Chrome und Edge kann man die Zertifikate auch über eine Richtlinie (GPO) verteilen.

Zertifikat erneuern oder auf den Server ausstellen

Alle zwei Jahre muss das Zertifikat erneuert und erneut importiert/verteilt werden. Wechseln Sie dazu auf dem Openaudit-Server in das Verzeichnis „c:/programme (x86)/xampplite/apache/“ und rufen Sie die Datei „makecert2.cmd“ auf. Ein neues Zertifikat wird ausgestellt und ist wieder 2 Jahre gültig. Für die Verteilung finden Sie die Zertifikat-Datei im Ordner unter apache: ./conf/ssl.crt/

Microsoft Copilot pro verfügbar

Kurz notiert: Microsoft bietet den Copilot in der kostenlosen Variante, der limitiert ist. Zu Spitzenzeiten sind die Wartezeiten länger und es wird auf ältere Trainingsmodelle (älter als ChatGPT-4 und Dall-E 4) zurückgeschaltet. Auch steht der Turbo-Modus nicht zur Verfügung und Bilder können nur im Seiten-Verhältnis 1:1 erstellt werden, nicht 16:9 und nicht Breitformat. Im Microsoft Designer stehen auch nur eingeschränkte Funktionen zur Verfügung. Designer ist quasi eine #KI unterstützte Bildbearbeitung im Browser. Zusätzlich können maximal 15 Bilder pro Woche erzeugt werden.

Ab sofort ist auch Copilot pro erhältlich. Die Aufhebung der Limitierungen schlägt mit 22 € pro User pro Monat zur Verfügung und verspricht zusätzlich eine bessere Integration der KI in Office Apps.

• Bevorzugter Zugang zu GPT-4 und GPT-4 Turbo auch in Spitzenlastzeiten für mehr Leistung und schnellere Bearbeitung Ihrer Aufgaben
• Zugriff auf Copilot in ausgewählten Microsoft 365-Apps, um Dokumente zu entwerfen, E-Mails zusammenzufassen, Präsentationen zu erstellen und vieles mehr
• Generieren Sie KI-Bilder mit DALL-E 3 im Querformat jetzt noch schneller mit Designer (früher Bing Image Creator) und 100 Boosts pro Tag

https://www.microsoft.com/de-de/store/b/copilotpro?rtc=1

Microsoft WinRE Update scheitert

Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022!

Scheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht, dass es Windows 10 Systeme gibt, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops, die aus der Microsoft Vorlage installiert wurden, ist die Partition zu klein.

Die Sicherheitslücke selbst lässt sich indes nur ausnutzen, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist, kann man, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden.

Wurde die WinRE-Partition entfernt, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern, das das Update versteckt.

Die von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann, wenn – wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe Risiken.

Fazit: Wir hoffen, dass Microsoft diesen Patch nochmal repariert und eine sinnvolle Erkennung einbaut, ob überhaupt Bitlocker aktiv UND eine WinRE Partition vorhanden ist. Mit reagentc /info findet man das heraus.

Scheitern alle manuellen Lösungen von Microsoft und müsste man mit Drittanbieter Partitionstools arbeiten, ist es eher empfehlenswert, sich von der WinRE-Partition zu trennen, diese zu löschen, reagentc /disable einzugeben und das Update zu verstecken. Schließlich ist ja auch auf einem Bitlocker gesicherten System dann keine Sicherheitslücke existent.

EPIC Fail Patch: https://support.microsoft.com/help/5034441
Microsoft Bastelanleitung: https://support.microsoft.com/help/5028997

SSH – Terrapin Angriffs-Szenario

am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt.

Zu beachten

1. Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind)
2. Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden – er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen.
3. Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß – wie die VPNs – über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar.
4. Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen.
5. Unsere Shop-Frontends sind nicht von dem Szenario betroffen.
6. Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab.
7. Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern.

Client-Software aktualisieren

Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn Server UND Client abgesichert sind, ist die Lücke nicht ausnutzbar. Stellen Sie bitte sicher, dass diese auf den neusten Versionen sind. Weit verbreitet sind die folgenden Anwendungen:

• Filezilla Client (mind. Version 3.66.4)
• PuTTY (mind. Version 0.80)
• WinSCP (mind. Version 6.2.2)

Microsoft CO2-neutral vs. Elektronikschrott

In mehreren Werbekampagnen spricht Microsoft davon, bis 2030 klimaneutral zu sein. Dazu wird unter anderem „Windows Update ist jetzt CO2-fähig“ beworben. Schön, dass Microsoft etwas für den Klimaschutz tun möchte.

Wenn man kurz darüber nachdenkt und sich an die Hardware-Voraussetzungen für Windows 11 (aka. Vista 2.0) erinnert, wird Microsoft NICHT CO2-positiv, sondern CO2-negativ werden.

Eine Studie von Canalys kommt zu dem Schluss, dass viele Firmen ihre Rechner und Notebooks bis Oktober 2025 – #endoflife – ersetzen werden. Einige haben schon auf die die Enterprise LTSC 2019 Version mit Updates bis 2029 umgestellt oder setzen Azure Virtual Desktops (AVD) mit Windows 10 ein, das auch bis mind. 2029 Updates bekommen wird.

Die Unternehmen, die ohnehin alle vier Jahre die Notebooks und Rechner austauschen, können wir hier nicht abziehen, denn im Zweitmarkt für Gebrauchtgeräte lassen sich Windows 10 Endgeräte nicht mehr weiterveräußern. Demnach zählen diese auch zum produzierten Elektronikschrott.

Canalys kommt zu der Annahme, dass wenn allein nur jeder fünfte PC/Notebook verschrottet wird, 240 Millionen Endgeräte im Elektronikschrott landen. Teile dieser Geräte lassen sich anteilig recyclen – aber auch dieser Vorgang erzeugt wieder CO2. Der Rest landet im Müll.

Bei einem durchschnittlichen Gewicht von 2kg (Notebook) oder 6kg (Desktop PC) – rechnen wir mal mit 4 kg – ergibt das 1,2 Millionen Tonnen Müll.

Zur Info: Ein 4 Jahre genutzter PC hat einen CO2 Fußabdruck von etwa 100 kg (78kg Herstellung, 12 kg Transport) hinter sich. Wird er nicht weiterverwendet, kommen rund 8kg für den Recycling-Prozess dazu). Dass neue PCs weniger Energie verbrauchen und dass Laptops grundsätzlich sparsamer sind, als Desktop-PCs macht nicht viel aus. Noch unwahrscheinlicher wird das Ziel, wenn man darüber nachdenkt, wie viel Strom die KI mehr verbraucht und verbrauchen wird.

Fazit: Ein hehres Ziel von Microsoft, bis 2030 klimaneutral zu werden, lassen sich nicht erreichen wegen Millionen Tonnen Elektronik-Schrott, die mit dem Supportende von Windows ab Oktober 2025 entstehen werden.

Appell an Microsoft: Setzt die Mindestanforderung für den System-Prozessor bei Windows 12 für Intel Core-I Prozessoren auf alle ab der dritten Generation, nicht ab der Achten. Damit werden nahezu alle derzeit im Betrieb befindlichen Rechner weiterbetrieben werden können. Dass Firmen weiterhin PCs auswechseln nach 4 Jahren und damit den Hardware-Markt ankurbeln ist davon unabhängig. Secure Boot und TPM zu fordern ist für die meisten Business PCs kein Problem. Auch können sie mit SSD und RAM vielfach aufgerüstet werden.

Diskutieren Sie in den Kommentaren mit…

Quellen: Canalys, Microsoft Blogs und Umweltbundesamt

Copilot – Bilderkennung

Ein weiterer Anwendungsfall für die KI aka. Microsoft #Copilot ist die Erkennung von Bildinhalten. Mit Speisen funktioniert das zwar in den meisten Fällen nicht (obwohl Zanderfilet an der Hautmaserung leicht zu identifizieren ist und auch Garnelen leicht erkennbar sind), versuchen wir es mal mit aktuellen Automodellen.

Ich habe in Showroom das neue CLE-Coupe (von vorne und hinten) und einen Maybach fotografiert, die Bilder in der Microsoft Copilot Seitenleiste hochgeladen und gefragt, um welches Auto es sich handelt…

Nach einem EPIC Fail – Der CLE von vorne wird als Porsche Cayenne SUV erkannt, ist die Erkennung von hinten besser trainiert (obwohl das Coupe von hinten Ähnlichkeit mit dem 911er hat). Den Maybach kennt Sydney (aka. Copilot:ininende) dann auch direkt von vorn:

Das soll Sie aber nicht davon abhalten, die Bildidentifizierung auch mal auszuprobieren. Gerade im technischen Großhandel eine Artikelbeschreibung anhand eines Fotos zu bekommen oder im Gartenmarkt kann es auch ohne die PlantNet App und deren Community hilfreich sein, Pflanzen zu identifizieren.

Microsoft Copilot im Enterprise Plan