Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor mit mehr als 35 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen:
Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.
Plattform für die gevis ERP|BC Warenwirtschaft der GWS. Besteht aus SQL-Server, Batch-Servern, NST-Webservern, Client im Chrome Browser. Ab Version 21 mit One Version, Updates von Microsoft 2x pro Jahr.
Wer Windows 11 ab Version 24H2 (seit Juni 2024 mit neuen PCs vorinstalliert, seit Oktober 2024 im Update-Angebot) einsetzt, kann sich über neue Funktionen im Windows #SnippingTool freuen. Vermutlich ist es auch beim Windows Server 2025 im Lieferumfang (noch nicht überprüft). Dieses reagiert auf die „DRUCK“ Taste (oder auf Windows&Shift&S). Im Gegensatz zur Windows 10 Version kann die 11er sowohl Bildschirmbereiche, als auch den Gesamtbildschirm abfotografieren (und in einem frei wählbaren Pfad automatisch speichern), als auch Video mit Audiospur vom Gesamtbildschirm oder Ausschnitten aufzeichnen (und ebenfalls an einem einstellbaren Ordner automatisch speichern).
ShareX ist der Nachfolger des „toten“ (letztes Update ist von 2017) Projekts „Greenshot“ und wird weiterentwickelt. Es enthält alle Funktionen von Greenshot und mehr (Videoaufzeichnung und zahlreiche Werkzeuge und Editoren). Wer also bei #ShareX und unter #Win11 nicht die Tools wie: Greenshot-Lupe, Greenshot-Editor (im Snipping-Tool ist auch ein einfacher Bildeditor und mit Clipchamp auch ein Video-Editor), Videothumbnailer, Bild-Thumbnailer, Bildschirmmessband, Color-Picker oder die Autoupload-Funktionen benutzt, kann auf ShareX verzichten. Wer eine Lösung auf Windows Server 2016/19/22 sucht, setzt weiterhin ShareX ein.
Hinweis: Die genannten Produkte stellen lediglich die Erfahrung der Redaktion dar. Wir leisten keinen Support für die Produkte und der Einsatz geschieht auf Ihre eigene Gefahr.
Word - Strg-F sucht nicht mehr
Seit dem Update 2410 (Oktober oder Enterprise channel) von #Microsoft Word (und auch mit dem Update 2411 / current nicht behoben) ist die Tastenbelegung Strg&F, die die Navigationssuche – also Volltextsuche im Dokument – anstößt umbelegt. Stattdessen wird die Fettdruck-Funktion aktiviert (Strg&Shift&F funktioniert weiterhin für Fettdruck). Microsoft hat den Fehler akzeptiert und wird (hoffentlich) mit dem nächsten Funktionsupdate die Belegung wieder korrigieren. Wer solange nicht warten kann:
„Q: Wenn ich in Word (Windows 10) STRG+F drücke, wird die Absatzmarke fett. Wie kann ich einstellen, dass wie früher mit STRG+F die Navigation Cursor im Suchfeld dort erscheint?“
Die Tastenkombination Strg + F dem Befehl NavigationsbereichSuche wieder zuweisen:
{Update 25.02.2025}: wir möchten Sie darüber informieren, dass es mit dem neuen Outlook (New Outlook), das Microsoft seit Januar 2025 auf allen Windows 10 und 11 Systemen automatisch installiert, einige Änderungen bei der Drag & Drop-Funktionalität zu externen Programmen, wie zum Beispiel Browsern oder Webclients, gibt. Leider wird bei der Übergabe nicht mehr die E-Mail oder die Anlage selbst übertragen, sondern nur noch Metadaten, was dazu führt, dass die Datei nicht mehr ankommt.
Derzeit können wir noch nicht sagen, ob und wann Microsoft eine Korrektur vornehmen wird oder ob dies überhaupt als Fehler betrachtet wird. Wir werden in jedem Fall ein Ticket eröffnen und Sie über den Fortschritt auf dem Laufenden halten.
Von dieser Änderung betroffen sind unter anderem die beliebte ECM Dropzone in gevis sowie alle anderen Applikationen, die Drag & Drop-Features anbieten.
{Update 6.1.2025}: das Remediation Script mit den Änderungen wurde ergänzt – das Vorige zeigte nur den Status an} Microsoft hat bekanntgegeben, dass Geschäftskonten (also beispielsweise Microsoft 365 Business Premium) ab Januar 2025 automatisch auf die neue #Outlook app umgestellt werden.
Wir raten dringend davon ab, auf das neue Outlook umzustellen. Ergreifen Sie bitte Maßnahmen, stattdessen Outlook Classic weiterzuverwenden!
Dies gilt grundsätzlich, insbesondere, wenn Sie noch nicht One Version mit gevis ab Business Central Version 23 einsetzen. Auch mit gevis ERP | BC 23 oder neuer gibt es zahlreiche Funktionen wie die s.dok Dropzone, die NICHT mit der neuen Outlook App funktionieren. Zudem ist ein großer Anteil an weiterer Drittanbieter-Software nicht kompatibel zur neuen App.
Das neue Outlook ist nur solange für den reinen E-Mail-Empfang benutzbar (außer dass Funktionen gegenüber Outlook classic fehlen und Schnittstellen zu anderen Programmen nicht mehr funktionieren), wie man seine E-Mails auch in Exchange online hat (also auch im Microsoft Tenant). In dem Fall greift die neue app direkt auf den Tenant zu und stelle E-Mails und Kalender identisch zur Outlook Web app dar. Schließlich ist die MSIX App ein „Wrapper“ um den Webseiten-Aufruf von OWA).
Kritisch wird es, wenn man noch Microsoft #Exchange Server 2019 oder älter einsetzt, denn das neue Outlook kann nicht auf Exchange On-Premises oder gehostete Exchange Server zugreifen.
Falls also die in unserem anderen Artikel beschriebene Richtlinie (bzw. Registrykey) nicht funktioniert, muss man ein Powershell-Skript – am besten täglich laufen lassen, dass verhindert, das die neue Outlook app Outlook Classic deaktiviert oder entfernt.
# Define registry path and value
$registryPath = "HKCU:\Software\Policies\Microsoft\office\16.0\outlook\preferences"
$valueName = "NewOutlookMigrationUserSetting"
# Check if the registry path exists
if (Test-Path $registryPath) {
# Check if the DWORD value exists
$value = Get-ItemProperty -Path $registryPath -Name $valueName -ErrorAction SilentlyContinue
if ($value -ne $null) {
# Check if the value is set to 0
if ($value.$valueName -eq 0) {
Write-Output "Registry key and DWORD exist, and NewOutlookMigrationUserSetting is set to 0."
exit 0
}
else {
Write-Output "Registry key and DWORD exist, but NewOutlookMigrationUserSetting is not set to 0."
exit 1
}
}
else {
# DWORD does not exist
Write-Output "Registry key exists, but the DWORD NewOutlookMigrationUserSetting does not exist."
exit 1
}
}
else {
# Registry path does not exist
Write-Output "Registry path does not exist."
exit 1
}
Das oben genannte Script zeigt den Status an, das folgende setzt die Registry-Einstellungen:
# Define registry path and value
$registryPath = "HKCU:\Software\Policies\Microsoft\office\16.0\outlook\preferences"
$valueName = "NewOutlookMigrationUserSetting"
$valueData = 0
# Create the registry path and set the DWORD value to 0
Write-Output "Creating registry path and setting $valueName to $valueData in $registryPath"
New-Item -Path $registryPath -Force | Out-Null
Set-ItemProperty -Path $registryPath -Name $valueName -Value $valueData -Type DWord
Write-Output "Registry key and value have been set successfully."
Wir empfehlen ein kombiniertes Script zum Einsetzen z.B. als Windows-Aufgabe:
# Define registry path and value
$registryPath = "HKCU:\Software\Policies\Microsoft\office\16.0\outlook\preferences"
$valueName = "NewOutlookMigrationUserSetting"
# Check if the registry path exists
if (Test-Path $registryPath) {
# Check if the DWORD value exists
$value = Get-ItemProperty -Path $registryPath -Name $valueName -ErrorAction SilentlyContinue
if ($value -ne $null) {
# Check if the value is set to 0
if ($value.$valueName -eq 0) {
Write-Output "Registry key and DWORD exist, and NewOutlookMigrationUserSetting is already set to 0."
}
else {
# Set the value to 0
Set-ItemProperty -Path $registryPath -Name $valueName -Value 0
Write-Output "Registry key and DWORD exist, but NewOutlookMigrationUserSetting was not 0. It has been set to 0."
}
}
else {
# DWORD does not exist
Write-Output "Registry key exists, but the DWORD NewOutlookMigrationUserSetting does not exist."
}
}
else {
# Registry path does not exist
Write-Output "Registry path does not exist."
}
Noch risikoreicher – auch aus Sicht der Datenschützer wird es, wenn man andere Konten in die neue Outlook-app einträgt (GMX, Web.de oder IMAP-Konten) oder sie mit einem privaten Konto verwendet. In allen Fällen werden Daten vom Microsoft Webdienst herangeholt und dann an die Outlook App übertragen. Bei Outlook Classic erfolgen alle Zugriffe direkt zum Ziel.
Übrigens: Microsoft schreibt, dass Outlook Classic, wenn man die Win32 Anwendung als Kauf- (LTSC 2024) oder Miet-Version (M365 Pläne) lizenziert hat, noch bis 2029 unterstützt wird. Danach gibt es entweder keine Exchange Server mehr oder die app kann auch mit Exchange Servern verbinden.
Fazit: Verhindern Sie bitte aktiv die Umstellung auf das neue Outlook und bleiben beim „Outlook classic“. Bis 2029 die Sicherheitsupdates für Outlook Classic eingestellt werden, hoffen wir, dass das neue Outlook die gleichen Funktionen bietet.
On-Prem vs. Azure IaaS - Vergleich
Welche Voraussetzungen müssen zu einem korrekten 1:1 Vergleich zwischen Azure IaaS #Cloud und On-Prem-Serverbetrieb herangezogen werden?
Server-Hardware Hochverfügbarkeit (wie in Azure) erfordert mindestens zwei Virtualisierungs-Hosts und einen Backup-Server, sowie ein Backup NAS und Tape Laufwerk mit Bändern Ersatz defekter Komponenten: Wartungsvertrag mit Hersteller für 5 Jahre VO 4h Wiederherstellungszeit 24×7 alle fünf Jahre mindestens drei Server und ein Storage-System neu kaufen Erweiterungsmöglichkeiten wärend der Laufzeit oder größer dimensionieren
upgradefähige Lizenzen mit Software Assurance Windows Server Betriebssysteme und SQL-Lizenzen m üssen als CSP Subscription mit Software-Assurance erworben werden. ROK/OEM-Lizenzen können nach wenigen Jahren wegen Abhängigkeiten zu anderer Software ersetzt werden müssen. (Beispiel: Business Central Version 2025 erfordert Windows Server 2022!. Wer ROK/OEM 2019 Datacenter einsetzt, muss komplett neu kaufen) SQL und Office 201x ebenso. Kauflizenzen müssen 5 Jahren nach Erscheinen der Version oder nach Softwareabhängikeit vorher ersetzt werden.
Unterbrechungsfreie Stromversorgungen Die Wartung der Diesel-Generatoren oder der Austausch der Akkus.
Netzwerk Kabeltrassen zum Serverraum nicht redundant, keine zwie Wege-Führung, Patchfelder, Verkabelung, Switches, Transceiver Module
WAN-Leitungen, Showstopper Störung Hauptstelle Vernetzung meist sternförmig zur On-Prem Hauptstelle. Fällt dort die Technik oder Leitungen aus, kann kein Standort arbeiten. Bei Cloud sind alle Standorte sternförmig und redundant mit Azure verbunden.
Storage Eternus oder NetApp benötigt – RAID, Full Flash Server-SSDs, Geschwindigkeit der Datenträger nicht skalierbar!
IT-Security eine CloudGen Firewall, virtuell, hochverfügbar, Standorte vpn-Router (Verwlatungsaufwand wird wesentlich reduziert).
Datensicherung: mindestens 8 Stunden pro Monat Backup-Server in einem anderen Brandabschnitt erfordert einen zweiten Serverraum, der die Anforderungen des ersten abreckt. Lagerung von passiven Offline-Medien außerhalb des Grundstücks Sicherstellung der kontinuierlichen Funktionsweise der Infrastruktur als auch in garantierten Störungsbehebungen im Notfall. Arbeitszeit: Syskos benötigen zusätzliche Zeit zum Kontrollieren, Auslagern und Durchführen der #Datensicherung
Zwei Serverraüme in zwei Brandabschnitten: Einmalkosten: durchschnittlich 14.000 € Serverräume Klimatisierung (und Wartung des Geräts) (Im RZ sind Klimaanlagen zusätzlich redundant) Brandfrühesterkennung und Brandlast Mindestens T30 Türen, nicht brennbarer Boden, Wände mit F60 Brandschutz Löschanlagen (mind. richtig dimensionierten CO2 Löscher und Wartung, Rauchmelder, Brandmeldezentrale mit Alarmierung) ISO Zertifizierung nach Rechenzentrum Standards (Sicherheit, (physische oder IT), gegenüber On-Premise deutlich überlegen)
Stromverbrauch – Energiekosten: > 8 kWh (mind. 4.000 € / Monat) Ein kleiner 12qm Serverraum in Mindestkonfiguration hat einen Stromverbrauch von mindestens 6,5 kWh inkl. Klimatisierung) Dazu kommen die Energiekosten für den zweiten (Backup) Raum mit mindestens 3 kW
Stromverbrauch – Energiekosten: > 8 kWh (mind. 4.000 € / Monat) Ein kleiner 12qm Serverraum in Mindestkonfiguration hat einen Stromverbrauch von mindestens 6,5 kWh inkl. Klimatisierung) Dazu kommen die Energiekosten für den zweiten (Backup) Raum mit mindestens 3 kW
Do. 26. Juni 2025 09:17 vor 2 Monaten22 kB 0s@300MBit159
Wer Äpfel mit Äpfeln vergleichen möchte, (also nicht einen Dacia Spring mit einem VW ID5 vergleicht), berücksichtige die oben genannten Punkte in seiner Vergleichskalkulation.
Prüfung Microsoft 365 Azure Administration Exchange
Sie möchten Ihr Wissen zu den Online-Portalen von Azure, Exchange, Teams und Sharepoint testen? Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
ImageGlass Viewer 8 R.I.P Nomacs besser
Leider hat der Entwickler vom Image-Glass-Viewer 8 Ende April 2024 das letzte Update herausgebracht. Das Produkt ist damit #endoflife – Zu diesem Zeitpunkt waren keine bekannten Sicherheitslücken im Produkt. Update 27.10.2024 – Leider enthält das .net Framework im ImageGlass Viewer 8 nun eine DDOS Sicherheitslücke. Daher raten wir Ihnen, das Produkt zu deinstallieren – leider. Ein Update auf ImageGlass Version 9 oder neuer wird nicht empfohlen, da die Microsoft .net Desktop Runtime 8 (die nur mit Adminrechten installiert werden kann und diverse Services im Hintergrund Ressourcen rauben lässt) und Edge Webview2 Runtime verlangt. Eine Portable Version, die mit Benutzer-Rechten auskommt, ist ab Version 9 weder möglich, noch vom Autor geplant. Entsprechende „Issues“ in GitHub werden leider sofort geschlossen.
Alternativen
Es gibt zahlreiche Alternativen im Open-Source-Umfeld, die als schneller Bildbetrachter funktionieren und auch eine Brücke zur Bildbearbeitung per Hotkey (E) erlauben. Zudem muss sich das Produkt mit Betriebssystem-Methoden registrieren und als Standard-Bildbetrachter fungieren. Neuere Bildformate wie HEIC und RAW sollten darstellbar sein. Es muss eine Vollbildansicht, Dialeiste und das Navigieren mit Pfeiltasten möglich sein. Ein integrierter Folder-Explorer und die Möglichkeit, die Anwendung ohne Installation (Portabel) einzusetzen, wäre nützlich.
Nach Betrachtung mehrerer Produkte wie „qview, jpegview, picview, Photoqt und die erneuerte Windows Fotos App (unter Windows 11 24H2)“ lassen sich zwar alle portabel und im reinen Benutzerkontext ohne Adminrechte aufrufen, sind jedoch entweder kompliziert zu bedienen oder langsam bzw. Ressourcenfresser. Außerdem kann die Windows Foto Store App nicht auf RDS-Terminalservern verwendet werden. Gesucht wird also eine schnelle und schlanke 64-Bit Win32 App.
Wer mehr einige Batch-Bildbearbeitungen benötigt, dem sei der FastStone Image Viewer empfohlen. Bei gewerblicher Nutzung kostet diese Software zwar rund 35 US-$ pro Lizenz, sie ist aber schlank, leistungsfähig und wird regelmäßig aktualisiert.
Nomacs
Am besten erfüllt die oben gelisteten Anforderungen Nomacs, der für Windows und Linux und apple MAC verfügbar ist. Die empfohlene Windows Version ist eine portable 64-Bit Version, die neue Versionen sind in Github herunterladbar. Die Repository zeigt, das am Projekt aktiv gearbeitet wird. Damit sollten potentielle Sicherheitslücken geschlossen werden, wenn sie entstehen.
Update 30.10.2024: Mittlerweile steht als Fehlermeldung: Diese Funktion ist in Ihrer Region nicht verfügbar. Also entweder hat Microsoft Probleme bei der Umsetzung von EU-Direktiven oder die neue App-Steuerung kann noch kein deutsch. Die Redaktion meint: Es ist ratsam – auch wenn ohne Sprachsteuerung – die nutzbringenden Funktionen der künstlichen Intelligenz im Geschäft zu nutzen. Dies gilt insbesondere für die Nutzer, die bereits über Microsoft 365 Business Premium Pläne verfügen. In diesen Plänen ist die KI an vielen Stellen in Office integriert und über die M365 App können auch Prompts (über die Tastatur) eingegeben werden. Für den Sprachdialog lässt sich dann Google Gemini nutzen.
Update 26.10.2024: Heute wurde auch die letzte funktionierende Copilot App in der Sidebar von Edge entfernt. Damit ist der Microsoft Copilot nun vollständig unbrauchbar. R.I.P Copilot. Sehr schade, aber so wird kein Kunde erwägen, 20 € pro Monat für Copilot Pro auszugeben. Überall erscheint nun die Meldung: „Es liegt an uns, nicht an Ihnen. Da hat etwas nicht geklappt. Ich benötige wahrscheinlich nur etwas Zeit zum Aktualisieren.“
Update: 14.10.2024: Leider entfernt Microsoft die Copilot-Funktion nun auch aus der M365 App. Fakt ist also: Derzeit ist kein Sprachdialog mit Copilot mehr möglich – egal ob android, Windows oder IOS. Man muss Anfragen per Hand eingeben. Vermutlich wird in Kürze auch noch der BING Image Creator abgeschaltet.
Update 12.10.2024: Nach einigen Updates funktioniert die Spracheingabe (Chatdialog) nun auch im Browser und in den Windows 10/110 Apps nicht mehr. Damit ist der Copilot leider fast gänzlich unbrauchbar geworden. Einige Negativerfahrungen dazu tauchen sogar bei den Copilot Pro Nutzern im Microsoft Forum auf. Hoffentlich wird der Fehler schnell behoben. Wer weiterhin (ohne Aufpreis) per Sprachdialog mit einer KI Antworten bekommen möchte, kann Google Gemini verwenden. Inzwischen kann das Google Produkt auch mit Image Bilder erstellen. #rot
Originalartikel: Microsoft – Euer Ernst? Mit dem „Update“ auf die #Copilot android app ist der Nutzen des Programms vergleichbar mit der Codezeile “ printf ‚Hello world‘; „. Scheinbar hat man einer untrainierten #KI die Aufgabe gegeben: „Code a Copilot app“. Das Resultat ist eine Oberfläche, an der man sich mit seiner EntraID oder Microsoft Konto anmeldet und dann aus fünf Sprachmodellen auswählen kann (3x männlich, 2x weiblich). Die Stimmproben sind auf englisch. Danach startet ein Bildschirm mit Werbung für Copilot pro und ein Prompt.
Drückt man nun das Mikrofon passiert … nichts! Auch über das PLUS Symbol „Dialog starten“ kommt eine englische Meldung sinngemäß „Ich habe im Moment keine Zeit für Dich. Versuchs später nochmal“ – Richtig schlecht –
Gibt man einen KI-Prompt über die Tastatur in die Zeile ein, werden die Ergebnisse der KI angezeigt, aber nicht mehr als Audio ausgegeben. Dito mit „Erstelle ein Bild von einem Humaoiden Programmierer“. Statt bisher vier Bildvorschlägen kommt nur noch eins. Noch schlimmer. Während man in der Vorgänger Android app auf das Bild klicken und das Format auf 16:9 (generativ) ändern konnte (wir haben davon hier berichtet) , kann man das Bild nun nur noch herunterladen. Es bleibt quadratisch. Wir vermuten, dass das 16:9 Feature dem Copilot Pro für 20€ im Monat vorbehalten ist und daher versehentlich in der Android App verfügbar war.
Alternativen
Übrigens: Google entwickelt seine „Gemini“ KI massiv weiter. Auch hier ist der Aufruf aus Chrome „https://gemini.google.com“ derzeit die beste Lösung. Es gibt die Möglichkeit, die app zu installieren und vom #Google Assistenten auf Gemini Assist umzustellen. Die Steuerungsmöglichkeiten in Android Auto und auf dem Handy werden dadurch aber auch nutzlos. „Spiele Song XXX über Samsung Music“ funktioniert nur mit dem Assistant. Gemini möchte das Lied über Youtube Music abspielen. Auch auf die Frage nach dem Wetter morgen in der Gemini app kommt die Rückfrage, man möge sagen, von wo man das Wetter wissen möchte. Beim Assistenten wird die Wettervorhersage vom aktuellen Standort genommen.
Zuletzt gibt es dann noch auf #Samsung Geräten BIXBY zur Auswahl. Dieser Sprachassistent hat die schönste Stimme von allen und kann auch ohne die KI-Funktionen der S24 Serie mit viel Nützlichkeit punkten. Bixby ist beispielsweise optimal auf die Sprachsteuerung via Galaxy Buds ausgelegt.
Die android App ganz schnell deinstalliert und „https://Copilot.microsoft.com“ als Chrome Shortcut auf den Homescreen gepackt. Hier funktioniert die verbale Kommunikation (noch), die Sprachausgabe und Aufnahme ist auf deutsch. Einzig das Umwandeln in 16:9 steht nicht zur Verfügung.Nur die Microsoft 365 app (nur android, nicht Windows) enthält noch den funktionierenden Copiloten mit Sprachdialog.
Ergänzung: Meldet man sich mit einem M365 E3-Plan am Copilot an, wird man in die M365 App weitergeleitet, wo dann ein Copilot Icon, aber kein Sprachdialog möglich ist.
Fazit: Die Microsoft KI Funktionen im Rahmen des Microsoft 365 Business Premium Plans nutzen, ansonsten auf (die kostenlose Version) von Google Gemini setzen, denn hier funktionieren sowohl Sprachdialog, als auch neuerdings eine Bild-Erzeugungs-Funktion.
NIS2 Umsetzungsgesetz geplantes Inkrafttreten
Aus einem Papier des Bundesministeriums für Inneres und Heimat geht mittlerweile eine Roadmap für das #NIS2 Gesetz hervor. Hier (dank einem LinkedIn Beitrag von Manuel Altug) der verbleibende Zeitplan:
Bundesrat 1. Durchgang
27. September 2024
Kabinettbeschluss über Gesetzänderung
2. Oktober 2024 mit Nachmeldung
Zuleitung Bundestag
Bundestag 1. Lesung
10./11. Oktober 2024
Ausschüsse, Anhörung
Beschluss Anhörung 16. Oktober 2024Anhörung: 4. November 2024Abschluss IA: 13. November 2024
Ab diesem Datum bleiben drei Monate „Karenzzeit“ um sich im BSI-Portal zu registrieren und festgestellte Mängel zu beseitigen oder Maßnahmen aufzusetzen, die die geforderten Ansprüche des Gesetzes abdecken. Ab März wird dann auch das BSI bekanntgeben, wo sich wichtige Unternehmen (erweiterter Kreis) registrieren müssen und welche Details angegeben werden müssen. Bisher können sich nur KRITIS1 nach NIS, also „besonders wichtige Unternehmen“ im Portal registrieren.
Wir setzen zwar das Produkt nicht selbst oder bei unseren Kunden ein, viele Dritt-Dienstleister aber doch. So finden sich bei OpenAudit Classic Scans häufig alte bis uralte Teamviewer Installationen. Zum Einen darf der Teamviewer Host im geschäftlichen Umfeld nur mit nötiger Lizenzierung eingesetzt werden, zum Anderen bietet auch ein installierter Teamviewer Client Angriffspotential für Menschen, die nichts Gutes im Sinne haben.
Konkret kann man mit installiertem Teamviewer älter als Version 15.58.4 Benutzer-Rechte zu Adminrechten ausweiten und (bösartige) Software installieren.
Teamviewer deinstallieren, wenn nicht verwendet, oder aktualisieren, wenn Lizenzen vorhanden. Wird nur der Viewer benutzt, ist die „Ausführen, nicht installieren“ Variante empfehlenswert, immer wenn Ihr Dienstleister Zugriff für Remote Assistenz benötigt.
Folge-Audit - IT-Sicheck und Notfallplan (BSI)
Für den IT-Sicherheitscheck nach BSI-Standards BSI 200-1 und 200-2 und die Risiko-Analyse mit Notfallplan nach BSI-Standards BSI 200-3 und 200-4 sind jährliche Folge-Audits vorgeschrieben. Dabei werden die beim Erst-Audit ermittelten und von den Systemkoordinierenden weiter gepflegten Inhalte auf den aktuellen Stand gebracht und erneut testiert. Lassen Sie diese Aufgabe von unserem TÜV-geprüften IT-Sicherheits-Manager und -Auditor durchführen. #Schulung
Seminarinhalte (Auswahl) und Ziele
Nachstehend haben wir die Leistungsmerkmale aufgelistet: * Aktualisierung der Bestands-Aufnahme Ihres Netzwerkes (Server und PCs) gemeinsam mit Ihrem Systemkoordinator remote (gegen Aufpreis auch On-Site). * Bewertung der vom Sysko durchgeführten Maßnahmen und Neueinstufung Risiko-Boxen. gemeinsame Aktualisierung der drei Checklisten BSI/ISA/Sysko. * Aktualisierte Arbeitsmaterialien und Checklisten in Word- und Excel-Format zur eigenständigen Weiterpflege und Dokumentation Ihrer durchgeführten Maßnahmen und Ergänzung weiterer Themen aus den Standards. * Bescheinigung über die Teilnahme am Folge-Audit für die vier BSI Standards.
Agenda
Im Interview: * Kunde: Bereitstellung der veränderten Dateien Sicheck und NFP seit letztem Audit. * Besprechung der vom Kunden durchgeführten Änderungen. * Versicherungen – sind dort Änderungen seit dem letzten Audit. * Netzwerkplan – Leitungen und Standorte identisch. * Notfallplan – Ansprechpartner extern noch identisch (AVV). * Risikoanalysetabelle – Server/Leitungen noch identisch und am gleichen Standort. Arbeiten durch Auditor im Anschluss und am Folgetag: * Aktualisierung OpenAudit Classic Auswertungen und Archivieren der alten Auswertungen. * Aktuellen IP-Scan Stuttgart erstellen. * Gevis User und Rollen neu exportieren. * Worddokumente/ Notfall-Exceltabelle – Stichtagsinventar als PDF V2 * ablegen und Ordner. * BSI-Fragen und Risikobewertungen (Score) neu erstellen. * Feinschliff und aktuellen Stand zusammenfassen. * Worddokumente als PDF für Status einfrieren/Testat. * KI-Analysen und Zusammenfassungen erstellen. * Teilnahmebescheinigungen und Übergabe der neuen ZIP-Datei.
Zielgruppe | Max. Tln
Systemkoordinierende, Geschäftsführende | 4
Voraussetzungen
* Erst-Audit für IT-Sicherheits-Check und Risikoanalyse und Notfallplan sind durchgeführt und nicht älter als 13 Monate * Windows-Domänen-Netzwerk, ausgebildete Syskos
Zeitrahmen
Dauer : 2 Tage (ca. 1 Tag 09:00 bis 17:00 Uhr in Teams, Rest Einzelarbeit)
Folgende Leistungen sind vom Kunden zu erbringen
* Bereitstellung des Projektordners mit aktuellem Stand am ersten Tag, 09:00 Uhr * Fernwartung via Managed vpn betriebsbereit bereitstellen. * administrativen Zugriff auf Server ermöglichen. * Aktualisieren Ihrer Foto-Dokumentation laut Fragenkatalog, wenn nötig. * Aktualisieren der Dokumente „Checkliste-Fragenkatalog“, „Mitarbeitendenliste“, „Netzwerkplan“.
Bei Durchführung Onsite zusätzlich: * Zugang zum Netzwerk. * Zugang zu allen Räumlichkeiten inkl. Serverraum.
Bemerkungen
Remoteschulung (Schulung oder Workshop via Fernwartung), Testat, bildet die Grundlage für Notfallplan und Risiko-Analyse nach BSI und ist einer der Bausteine für #NIS2. Es gelten unsere Allgemeinen Geschäftsbedingungen, einsehbar auf der GWS-Website: https://gws.ms.
Preisinformation
2.200 € zzgl. MwSt Festpreis unabhängig von der Teilnehmerzahl, der Leistungen wie Vorbereitung, Unterlagen, Prüfung enthält.
Onsite-Zuschlag (Durchführung vor Ort)
960 € zzgl. MwSt Bei Durchführung in Ihren Räumlichkeiten werden die obenstehende Pauschale und Reisekosten wie Fahrtzeit/Pkwkm/Parkgebühren zusätzlich in Rechnung gestellt.
Microsoft hat heute den Release to Manufacturer „RTM“ Status für die nächste Kaufversion von Office – die Office 2024 #LTSC – veröffentlicht. Sie erhält 5 Jahre Sicherheitsupdates, aber keinerlei Funktions-Updates. Es ist lauffähig auf: Windows 11, Windows 10, Windows 10 LTSC 2021, Windows 10 LTSC 2019 und Windows Server 2022.
Die Lizenzierung erfolgt weiterhin pro Gerät, den Einsatz in der Azure-Cloud im Azure Virtual Desktop lässt Microsoft weiterhin nicht zu. Microsoft hat eine übersichtliche Gegenüberstellung zwischen Microsoft 365 Plänen und Office 2024 veröffentlicht:
Update Jan 2025 – Danke, Jens, für den Kommentar – Mittlerweile sind für die Volumenlizenzen (Select, Select+ und CSP) für Office LTSC 2024 auch die PUR und Lizenzbedingungen aktualisiert. Entgegen der oben genannten Microsoft Gegenüberstellung kann man doch wieder Shared Activation nutzen und diese Lizenzen auf RDS- oder Citrix-Servern einsetzen:
Fazit: Man kann erneut Office kaufen, aber ausschließlich zur Nutzung auf einem lokalen Endgerät (Windows PC) und als Volumenlizenzen (CSP) auch auf RDS-Terminalservern. Am 16.09.2029 enden die Sicherheitsupdates. Es gibt über die gesamte Laufzeit keine Funktionsupdates. Auch Volumenlizenzen dürfen nicht mehr auf Terminalservern oder im Multiuser-Betrieb verwendet werden.
Tipp: Für On-Prem-Terminal-Server und Cloud-Einsatz im Azure Virtual Desktop eignet sich der Microsoft 365 Business Premium Plan, der im Abo auf named user lizenziert ist.
OpenAudit Classic MariaDB ODBC Zugriff
Wer die quelloffene Inventarisierungs-Lösung OpenAudit Classic einsetzt, möchte manchmal gern mit Microsoft Excel oder Microsoft Access per #ODBC auf Tabellen des Inventars zugreifen und eigene Auswertungen erstellen. Alternativ die MariaDB Datenbank für eine eigene Intranet-Lösung, basierend auf Active Server Pages nutzen. Für beide Anforderungen habe ich eine zusammenfassende Anleitung/Checkliste erstellt, da es „Herausforderungen“ bei der Wahl des passenden Treibers aus der MariaDB Community (Office Clients 64-Bit) und (ASP-Webserver 32-Bit) gibt. Im /VCRUNTIMES Ordner vom #OpenAudit Classic Setup sind die aktuellen ODBC Treiber für Windows enthalten:
Für Open-Audit ODBC Zugriff mit Excel oder Access:
-----------------------------------------------------------
MariaDB ODBC Treiber 64-Bit .msi installieren
/vc-runtimes/mariadb-connector-odbc-3.2.3-win64.msi
ODBC einrichten (DSN, 64-Bit, passend zur 64-Bit Office Version):
---------------------------------
Am Server den DB-User auch auf andere IPs zulassen (Grant acces @ %)
Den MariaDB Treiber auswählen MariaDB 3.2.3 ODBC Driver
Assistent vorblättern, bis verify certificate sichtbar. Haken da rausnehmen!
Zuück zum Startregister!
Daten eintragen vom Server, Servername, User, Passwort
Verbindung testen und zum Register wo Codepage ausgewählt werden kann: Latin1 auswählen
-----------ASP Connections (32-Bit)------------------------
Für Classic ASP ODBC Webserver in Verbindung mit MariaDB: Auf dem Server auch Treiber 32-Bit installieren
MariaDB ODBC Treiber 64-Bit .msi installieren
/vc-runtimes/mariadb-connector-odbc-3.2.3-win64.msi
------------------------
Optional: 2. Instanz von MYSQL einrichten oder vorhandene benutzen:
/mysql Verzeichnis kopieren und die *install-w10.cmd anpassen: anderer Dienstname: Mariadbasp
"C:\Program Files (x86)\mariadbasp\bin\mysqld" --install Mariadbasp --defaults-file="C:\Program Files (x86)\mariadbasp\bin\my.ini"
Andere Pfade
mysql.ini ändern
Andere [mysqld] section ersetzen durch [mariadbasp]
port 33306 eintragen
------------------------
Driver-String in ASP Classic Code (DSN nicht notwendig):
--------------------------------------------------------
' ##### für MySQL diese Zeilen stattdessen
strConn = "Driver={MariaDB ODBC 3.2 Driver};Server=127.0.0.1;UID=root;PWD=kennworthier;DB=feedform;Port=3306;SSLVERIFY=0;CHARSET=Latin1"
UltraVNC 1.4.3.6 Defender false positive
Win32/Malgent! MTB is a generic detection that Microsoft Defender uses to identify Trojans that are designed to perform a variety of malicious actions on a computer.
Microsoft Defender meint, mit UltraVNC 1.4.3.6, 64-Bit-Version, Silent Installer könnte man einen PC fernsteuern, was auch bösartig genutzt werden könnte. Daher schlägt seit Mitte August der Defender für Business und Enterprise darauf an und kassiert das Installationspaket.
Anhand der Herstellersignatur der enthaltenen ausführbaren Programme kann man erkennen, dass es sich um das unschädliche Original handelt.
Ich habe das UltraVNC 1.4.3.6 Silent-Installationspaket aus dem Source-Code des Projekts neu mit einer anderen Kompressionsmethode und mit Version 1.5.0.0 gepackt und schon meckert Microsoft nicht mehr. Diese Methode ist besser, als dem Defender einen Ausschluss einzutragen.
Wem der Defender das UltraVNC_Setup_x64.exe Paket kassiert, der lade sich einfach auf der UltraVNC Projektseite die Version 1.5.0.0 herunter. Bei den Sysko-Tools liegt dann das InnoSetup-Script, um daraus einen fully unattended Installer für die Softwareverteilung zu machen, der kundenspezifische Voreinstellungen/Passwort-Hash enthält.
Copilot android app kann Querformat-Bilder
Kurz notiert. Wer die Microsoft #Copilot App aus dem Google Playstore auf seinem Android Smartphone installiert hat, kann nicht nur über das Mikrofon mit „Sydney“ kommunizieren, sondern auch #KI generierte Bilder ins Querfomat erweitern. Microsoft schreibt, das resultierende Format sei 4:3, es ist aber mindestens 16:9.
Dazu die Copilot App öffnen, auf das Mikro Symbol tippen und einen Bild-Prompt sprechen, z. B.: „erstelle ein Bild zu „Microsoft Gruppenrichtlinien“. Wie aus der Browser-App und der Windows 11 App bekannt, kommen nun vier Bildvorschläge. Nun auf das Bild Ihrer Wahl tippen und auf das Drei-Punkte-Menü …
Im Menüpunkt „Größe ändern“ lässt sich „Querformat 4:3“ auswählen. Nun wird das Bild auf 16:9 erweitert und lässt sich herunterladen.
In der Windows 10 oder 11 Copilot App ist diese Funktion nicht enthalten, da zur Anzeige der Bilder der Browser aufgerufen wird und das Ergebnis nicht in der PWA-App bleibt.
IT-Sicherheit mit BSI-Grundschutz, IT-Compliance
Auch wenn Ihr Unternehmen nicht direkt vom NIS2-Umsetzungsgesetz betroffen ist, lohnt sich der Blick auf den BSI-Grundschutz. Warum?
Höhere Versicherungsleistungen im Schadensfall Versicherer prüfen zunehmend, ob grundlegende Sicherheitsmaßnahmen umgesetzt wurden – andernfalls drohen Leistungskürzungen.
Bezahlbare Prämien sichern Wer in IT-Sicherheit investiert, profitiert oft von günstigeren Cyber-Versicherungen.
Wettbewerbsvorteil durch Vertrauen Immer mehr Geschäftspartner erwarten ein Mindestmaß an IT-Sicherheit – machen Sie sich zum verlässlichen Partner.
Mit gezielten Maßnahmen zur Cyberabwehr schützen Sie nicht nur Ihr Unternehmen, sondern stärken auch Ihre Position am Markt.
Wir freuen uns auf Ihren Auftrag. Sie können alle oben genannten Workshops über unseren Vertrieb, Team SCT oder das Kontaktformular dieser Website beauftragen.
NIS-2 Gesetz kommt ohne Übergangsfrist
Update 01.08.2025: Das Bundeskabinett hat das Gesetzgebungsverfahren beschlossen. Update: 25.06.2025:Nach Bildung der neuen Bundesregierung hat das NIS2UmsuCG hohe Priorität, da die EU-Frist zur nationalen Umsetzung bereits im Oktober 2024 abgelaufen ist. Experten gehen davon aus, dass der neue Regierungsentwurf bis Ende 2025 umgesetzt wird. Das geplante Gesetz bildet dabei die Richtlinie (EU) 2022/2555 ab. Wichtig dabei: Es gibt keine dreimonatige Übergangsfrist mehr. Somit können ab der Verkündigung des Gesetzes Bußgelder verhängt werden. Die unten beschriebenen Erst- und Folge-Audits sollten daher, wenn noch nicht geschehen, zeitnah durchgeführt werden. Die Registrierung im Meldeportal wird laut BSI erst ab Wirksamkeit des Gesetzes möglich sein, sollte dann auch unmittelbar durchgeführt werden.
NIS-2 Ausgangslage und Pflichten
Unternehmen müssen zahlreiche Vorschriften erfüllen, die sich Genossenschaftsgesetz, Bundesdatenschutzgesetz, Abgabenordnung, GDPdU, KWG, NISUmscG, MA-Risk und weiteren Regularien ableiten lassen. Dazu kommen je nach Unternehmenstyp Prüfungen durch Wirtschaftsprüfer, Verbände. Eventuell gelten auch der DORA Standard und MaRisk der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin).
In Zusammenarbeit mit unserem Partner, der AWADO Wirtschaftsprüfungsgesellschaft haben wir folgende Strategie zur Vorgehensweise für Sie zusammengestellt. Mit der Kombination der folgenden Workshops erzielen Sie das bestmögliche Resultat im Rahmen der NIS-2-Anforderungen.
BSI Grundschutz überprüfen (GWS)
Die Wirksamkeit von technisch/organisatorischen Maßnahmen ist regelmäßig zu überprüfen Dazu sind die beiden GWS BSI-Testate geeignet.
Mit unserem IT-Sicherheitscheck auf Basis der BSI-Standards 200-1 und 200-2 bieten wir Ihnen eine praxisorientierte Analyse Ihrer IT-Sicherheitslage. Gemeinsam mit Ihren Systemverantwortlichen führen wir einen strukturierten Workshop durch, in dem wir auf Grundlage Ihrer technischen IT-Dokumentation einen fundierten Soll-Ist-Vergleich erstellen.
Best-Practice-Analyse: Auswahl relevanter Themen aus den BSI-Grundschutzkatalogen 200-1/2 und ISA DE 315.
Workshop mit Systemkoordinatoren: Gemeinsame Erhebung und Bewertung Ihrer IT-Infrastruktur (Server, PCs, Netzwerk).
Zertifizierte Expertise: Bewertung durch unseren TÜV-geprüften IT-Sicherheitsmanager und -Auditor.
Maßnahmenempfehlungen: Konkrete Handlungsempfehlungen zur Erfüllung der identifizierten Anforderungen.
Umfangreiches Unterlagenpaket: Inklusive Beschreibungen, Mustertexte, Dokumentenvorlagen und Anforderungen aus BSI-Katalogen und Versicherungsrichtlinien.
Checklisten & Arbeitsmaterialien: Zur eigenständigen Weiterpflege im Word- und Excel-Format.
Ihr Mehrwert: Sie erhalten eine transparente Übersicht über Ihre aktuelle Sicherheitslage, konkrete Maßnahmen zur Verbesserung und alle Werkzeuge zur nachhaltigen Dokumentation und Weiterentwicklung Ihrer IT-Sicherheit.
GWS Notfallplan und Risikoanalyse (BSI): Basierend auf den BSI-Standards 200-3 und 200-4 sowie der NIS2-Richtlinie entwickeln wir gemeinsam mit Ihnen einen maßgeschneiderten Notfallplan und führen eine fundierte Risikoanalyse durch. Ziel ist es, Ihre IT-Umgebung auf mögliche Ausfälle vorzubereiten und geeignete Maßnahmen zur Schadensbegrenzung zu definieren.
Strukturierte Risikoanalyse: Bewertung Ihrer IT-Infrastruktur anhand von Checklisten, Fragenkatalogen und gelieferten Daten – aufbauend auf dem vorherigen IT-Sicherheitscheck.
Individueller Notfallplan: Erstellung eines praxisnahen Handlungsleitfadens für den Ernstfall – abgestimmt auf Ihre Geschäftsprozesse und Schadensklassen.
Berücksichtigung gesetzlicher Anforderungen: Integration relevanter Vorgaben aus der NIS2-Direktive und dem BSI-Grundschutz.
Dokumentation & Vorsorge: Analyse bestehender Schutzmaßnahmen und Definition konkreter Schritte zur Schadensvermeidung und -bewältigung.
Professionelle Umsetzung: Durchführung durch unseren TÜV-geprüften IT-Sicherheitsmanager und -Auditor.
Umfangreiche Mustervorlagen: Aktualisierte Vorlagen und Dokumente zur schnellen und effizienten Umsetzung – individuell angepasst an Ihre Organisation.
Ihr Vorteil: Sie erhalten ein belastbares Sicherheitskonzept, das nicht nur regulatorischen Anforderungen entspricht, sondern auch im Ernstfall klare Orientierung bietet.
Um Ihre IT-Sicherheitsmaßnahmen nachhaltig zu begleiten und kontinuierlich zu verbessern, bieten wir regelmäßige Folge-Audits im Abstand von 12 Monaten an. Dabei werden Veränderungen in Ihrer IT-Infrastruktur sowie der aktuelle Umsetzungsstand der empfohlenen Maßnahmen überprüft und dokumentiert.
Regelmäßige Überprüfung: Jährliche Kontrolle Ihrer IT-Sicherheitslage auf Basis der vorherigen Analyse und Dokumentation.
Aktualisierung der Maßnahmen: Bewertung neuer Risiken und Anpassung bestehender Sicherheitsmaßnahmen.
Transparente Planung: Das Datum für Ihr nächstes Audit finden Sie auf dem Deckblatt Ihres letzten Testats (Durchführungsdatum + 12 Monate).
Verlässliche Begleitung: Durchführung durch unsere zertifizierten IT-Sicherheits-Experten.
Ihr Vorteil: Sie behalten Ihre IT-Sicherheit im Blick, erfüllen fortlaufend regulatorische Anforderungen und schaffen Vertrauen bei Kunden, Partnern und Versicherern.
Cyber Security Abwehr Check (netgo)
Starke Partnerschaft für Ihre IT-Sicherheit.
Unser Partner netgo unterstützt Sie mit bewährten Sicherheitslösungen und umfassender Beratung. Gemeinsam bieten wir technische und organisatorische Maßnahmen, um Ihre kritischen Systeme zuverlässig zu schützen.
In diesem Workshop analysieren wir Ihre aktuelle IT-Sicherheitslage – strukturiert, praxisnah und strategisch. Wir betrachten
Technische Systeme
Organisatorische Abläufe
Menschliche Faktoren
Ziel: Eine fundierte Standortbestimmung und konkrete Empfehlungen zur Stärkung Ihrer Cyber-Resilienz.
Sicherheitslösungen & Monitoring – netgo bietet moderne Lösungen wie:
Meldesysteme & Alarmierung
Monitoring & SIEM (Security Information and Event Management)
MDR (Managed Detection & Response)
Diese Systeme ermöglichen es, Bedrohungen frühzeitig zu erkennen und sofort zu reagieren. Durch das Outsourcing entlasten Sie Ihre internen IT-Verantwortlichen und reduzieren Risiken sowie mögliche Schäden. 👉 Tipp:Lesen Sie dazu auch den Artikel im GWS-Blog.
NIS-2 Compliance herstellen (AWADO)
NIS-2 individuelle Betroffenheits-Analyse (wenn nicht schon vorhanden) und NIS2-Compliance-Check: (zusätzlich zu beauftragen, Ausführung durch unseren Partner: AWADO).
Schritt für Schritt zur NIS2-Konformität.
NIS2-Workshop: Geltungsbereich & Bestandsaufnahme: Der Workshop ist der erste Schritt auf dem Weg zur NIS2-Compliance.
Ob Ihr Unternehmen vom NIS2-Umsetzungsgesetz betroffen ist.
Welche Geschäftsprozesse besonders schützenswert sind.
Wie Ihr aktuelles IT-Managementsystem aufgebaut ist.
Ziel ist ein gemeinsames Verständnis Ihrer Organisation und eine erste Einschätzung zur Relevanz der NIS2-Anforderungen.
NIS2-Compliance-Check: Wenn eine Betroffenheit festgestellt wurde, folgt der Compliance-Check.
Den aktuellen Stand Ihrer IT-Systeme und Managementprozesse.
Die Umsetzung der technischen und organisatorischen Maßnahmen nach § 30 NIS2UmsuCG.
Die Anforderungen des BSI und den aktuellen Gesetzesstand.
Am Ende erhalten Sie eine Präsentation mit:
Identifizierten Lücken
Konkreten Handlungsempfehlungen zur Erreichung der NIS2-Konformität
Management-Schulungen nach NIS2: Diese Schulungen sind für Geschäftsleitungen verpflichtend, wenn NIS2 zutrifft.
Grundlagen der NIS2-Gesetzgebung.
Pflichten für Ihr Unternehmen und wie Sie diese erfüllen.
Einführung in das Risikomanagement nach NIS2.
Vorgehen zur Bewertung von Cyber-Risiken.
Die 10 Mindestanforderungen an das Risikomanagement.
Technische und organisatorische Schutzmaßnahmen.
Aktuelle Bedrohungslagen und Schutzstrategien.
Ihr Vorteil: Sie erhalten Klarheit, Sicherheit und konkrete Werkzeuge zur Umsetzung der gesetzlichen Anforderungen.
Gruppenrichtlinien – Central Store
Für viele Anwendungen sind Gruppenrichtlinien verfügbar, mit denen man zentral in der Domäne (oder in der AAD-Verwaltung in Azure) Einstellungen für die Software verteilen kann.
Am Beispiel von Google Chrome für Enterprise und Microsoft Edge für Business zeige ich kurz die Vorbereitungen, um diese Richtlinien zu benutzen. #FAQ
Laden Sie dazu zunächst die Richtlinien-Pakete herunter und entpacken sie. Im Entpackten finden Sie jeweils einen Ordner ADMX mit Unterordnern. Um die Inhalte der ADMX-Ordnerstruktur geht es.
Wechseln Sie auf einem der Domänencontroller in den folgenden Pfad (meist auch unter c:windowsSYSVOL im Windows Explorer erreichbar):
Gibt es noch keinen Ordner „PolicyDefinitions“, legen sie ihn bitte an.
Alles, was im jeweiligen ADMX Ordner (nicht den Ordner selbst, sondern nur Inhalte und Unterordner) ist, in diesen Ordner kopieren, dabei vorhandene Dateien und Verzeichnisse überschreiben.
Warten, bis die Richtlinien auf alle Domänencontroller gespiegelt wurden.
Gruppenrichtlinien-Verwaltung auf einem der DCs öffnen
eine neue Richtlinie erstellen (empfohlen: jeweils eine für Chrome Enterprise und eine für Edge Business)
die Richtlinien im GP-Editor bearbeiten, dafür die neuen Richtlinien für Chrome und Edge lokalisieren und benutzen.
Commodore C64 – vor 40 Jahren
C64 – mein persönliches Jubiläum: im Jahre 1984 bekam ich meinen ersten Computer geschenkt – einen C64. Damals in der Hi-Tech-Ausstattung mit einem 1541 5,25″ Disketten-Laufwerk (mit 180 KB fassenden Floppy-Disks). Dazu ein FBAS/RGB Monitor von Commodore, der über einen speziellen 7-poligen DIN-Stecker am Heck des C64-Brotkastens eingestöpselt wurde und an der Vorderseite einen FBAS (Video und Audio Chinch) Eingang hatte, über den man das Signal vom VHS-Videorecorder/TV-Tuner einspielen konnte.
Als Drucker gab es einen sagenhaften 7-Nadeldrucker Commodore MPS-801 mit Mini-Farbbändern, die so schnell leer und teuer waren, dass man sie mit Pelikan Stempelfarbe schwarzblau nachgefärbt hat. Ich hatte damals eine Quelle Privileg Typenrad-Schreibmaschine (Privileg electronic 1200, ein Modell von robotron / Erika Erfurt in der DDR hier im Westen von Karstadt vertrieben) mit Carbonbändern und exzellentem Schriftbild und mehreren Typenrädern für Schriftarten. Hierzu gab es damals für 150 Mark eine Umrüstplatine, die ein Interface für den C64 hatte. Aus der Schreibmaschine schaute dann wieder so ein C64-DIN-Stecker, den man in die 2. Buchse vom Floppy oder vom MPS-Drucker stecken konnte und somit war der C64 meine erste Textverarbeitung mit dem Schriftbild einer professionellen Schreibmaschine.
Dieser C64 6-PIN-DIN-Stecker war also schon sehr fortschrittlich und alle Peripheriegeräte (außer Joysticks, die hatten ja 2 Anschlüsse für sich allein) wurden als Daisy-Chain daran angeschlossen: Rechner -> Floppy -> Drucker-MPS -> Drucker Typenrad. Später kam dann eine Tochterplatine auf die Grundplatine mit einem Turboschalter an der Seite, die die Rechenleistung des C64 verbesserte. Als Drucker folgte ein Seikosha 9-Nadel-Drucker mit zusätzlichem Seriellen Interface, der dann zu meinem ersten PC (Commodore PC30-III) übernommen wurde.
Der Expansion Port bekam (eine Gastfamilie in den USA schenkte mir das Bauteil, weil ihnen eine Elektronikkette gehörte) ein 300 baud Modem. Der User-Port war schon von Anfang an Anlass für Basteleien. Aus einem Alten Telefonzentrale-Hörergruppenbauteil und etwas Elektronik baute ich mir mein erstes CTI-Gerät. Damit konnte man auf der C64-Tastatur die Nummer auswählen, einen Knopf drücken und der User Port ließ ein Relais per Impulswahl die Nummer wählen, bzw. den Gabelschalter zum Auflegen und Abheben steuern.
Die Joystick-Ports waren auch hervorragende Analog-Mess-Ports mit 256 Abstufungen. So konnte man mit einem NTC oder PTC Baustein die Temperatur, mit einer Fotozelle die Helligkeit in Lux ermitteln für optimales Fotolicht.
Temperatur in Server- und Technikräumen
Die #Temperatur im Serverschrank nicht außerhalb des Temperaturbereichs von 18°C bis 24°C liegen. Auch wenn moderne Server ein verbessertes Abwärmekonzept (wie FUJITSU Cool-Safe) haben, sind nicht alle anderen technischen Geräte immer auf dem neusten Stand, sondern bis zu 6 Jahre alt (oder sogar älter).
Daher sind Server-Hersteller-Empfehlungen, die Server bei 25-27 °C zu betreiben, mit Vorsicht zu betrachten.
Das #BSI empfiehlt keine konkreten Werte, schreibt aber, dass ausreichend Kühlleistung gemessen an der Wärmeleistung der Server vorhanden sein muss, um sicheren Dauerbetrieb der Geräte zu erreichen. Die Luftfeuchtigkeit sollte bei etwa 45-55% liegen.
Aus Energie-Effizienz-Gründen haben sich de Werte 22°C bei 50% relativer Luftfeuchte etabliert.
Bei dieser Temperatur (messbar und dokumentiert als „Ambient“ im FUJIUSU IRMC oder HP ILO) arbeiten Netzwerkgeräte optimal und haben eine lange Lebensdauer. (Hintergrund: Muss mehr warme Abluft von den elektronischen Komponenten abgeführt werden, drehen die Lüfter mit bis zu Maximaldrehzahl. Vergleichbar mit einem Turbolader im Auto, der ständig unter Vollast läuft und daher schneller defekt ist.
Elektronische Geräte erzeugen Wärme. Sofern die Wärmeableitung nicht ausreicht und die Luft nicht entweichen kann, sondern sich im Schrank staut, kann es zur Überhitzung kommen. Die Temperatur hat einen direkten Einfluss auf die Leistung und Zuverlässigkeit Ihres Servers und anderer Netzwerkgeräte wie Telefonanlagen, Switches, Router, USV).
Zu hohe Temperaturen können zu Störungen und Ausfällen führen. Eine Temperatur ab 30°C verdoppelt die Ausfallrate. Und ab 40°C ist die Gefahr 4-mal so groß. Zudem können hohe Temperaturen dauerhafte Schäden an den Geräten verursachen.
E-Rechnungspflicht – ZUGFeRD und XRECHNUNG
E-Rechnungen werden Pflicht im B2B-Geschäftsverkehr. Das bedeutet: „Empfang und Verarbeitung von E-Rechnungen im B2B-Geschäftsverkehr sind ohne vorherige Zustimmung ab 1. Januar 2025 in Unternehmen zu ermöglichen. Die grundsätzliche Verpflichtung zur Ausstellung von elektronischen Rechnungen gilt ebenfalls ab 1. Januar 2025. Es gibt aber Übergangsfristen. Spätestens ab 2028 sind nur noch E-Rechnungen erlaubt, die EN 16931 entsprechen. Auch bisher (seit 2017) mussten Rechnungen, die an Behörden übermittelt wurden, dem sog. #XRECHNUNG Format entsprechen.
Seit 1. Januar 2025 sind dazu alle Rechnungsformate, die der EN-Norm entsprechen, zulässig:
XRECHNUNG – das ist eine XML-Datei, die alle rechnungsrelevanten Daten in genormtem Format und Zeichensatz enthält (es gibt in der Regel keine Visualisierung, es sei denn, der Empfänger erstellt sie sich zum Archivieren)
ZUGFeRD – eine PDF-Datei, die die Rechnung visuell enthält (also wie wir bisher eine PDF-Rechnung kennen). Zusätzlich sind in der PDF-Datei die XML-Daten eingebettet. Diese lassen sich maschinell extrahieren und elektronisch weiterverarbeiten
Das FAKTUR-X Format gehört auch dazu. Hierbei handelt es sich um in ein PDF/A eingebettete XML-Daten – ähnlich wie beim ZUGFeRD
Eine Rechnung muss also auf jeden Fall den (genormten) XML-Datensatz enthalten oder daraus bestehen.
Bisher werden zumindest für Deutschland keine Anforderungen an den Versand der Datei gestellt. D. h. die Zustellung per E-Mail wird vermutlich weiterhin der Standard sein. Nach EU-Richtlinie reicht aber der STARTTLS Versand nicht aus und Rechnungen sollten verschlüsselt werden. Wenn Sie über ein Kunden-Extranet verfügen, können Sie auch die Rechnungen in diesem Bereich Ihren Kunden zum Abruf bereitstellen. In dem Fall erfolgt der Zugriff SSL-verschlüsselt und Manipulationen auf dem Transportweg werden verhindert.
Das bedeutet, dass Sie Eingangsrechnungen aus Ihrem Eingangspostfach extrahieren müssen und bei #ZUGFeRD aus dem PDF-Anhang die XML-Daten extrahieren – bzw. bei XRECHNUNG den XML-Anhang bestenfalls mit einer Visualisierung ausstatten (PDF erstellen aus den XML-Daten) und beide Anhänge dann in Ihr DMS-System überführen und verschlagworten lassen.
Vom Land Baden-Württemberg gibt es einen kostenlosen Online-Dienst, mit dem man zu versendende oder Eingangsrechnungen prüfen kann: https://erechnungsvalidator.service-bw.de
Möchte man eine Eingangsrechnung visualisieren, kann man dazu die Online-Webseite eines deutschen Verlages (derzeit noch kostenlos) benutzen. Es wird eine PDF erstellt, die die XML-Datei in eine PDF umwandelt, die aussieht wie eine klassische Rechnung: https://dtvp.de/xrechnung/
PHP Vorlage für WordPress
Für Programmierer – mit einer kostenlosen PHP Bibliothek kann man XRECHNUNG bzw. den XML-Content nach Faktur-X Standard erstellen. Als Input dienen 2 JSON Dateien – eine für die Kopfdaten der Rechnung und eine für die Artikelposten, die in ein Formular kopiert werden können. Ein Formatmuster ist jeweils im Form bei Aufruf der Seite.
Mit einem zweiten Template können Rechnungen in den Ordner wp-uploads/rechnungen/ hochgeladen werden (PDF und XML). Das Werkzeug extrahiert Rechungskopfdaten und Posten jeder Rechnung und stellt sie auf der Seite dar. Hierzu muss der Administrator angemeldet sein. Achtung! Die Nutzung dieses Templates wird nur im Intranet empfohlen, da bei Nutzung im Internet die Rechnungen öffentlich wären.
In meinem WordPress-Theme „Penguin-Mod“ erstellen Sie eine neue Seite oder einen Beitrag und wählen als Template „XRECHNUNG make“ oder XRECHNUNG visualize aus. Das Theme ist im OpenAudit Classic Download enthalten, wenn man die WordPress Instanz mit installiert.
Soweit in diesem Blog-Artikel auf rechtliche Erfordernisse hingewiesen oder eine rechtliche Einschätzung vorgenommen wird, kann dies eine ggf. notwendige rechtsanwaltliche Prüfung nicht ersetzen. Die bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können. Es kann insofern keine Gewähr für die Rechtskonformität dieser Informationen geboten werden.
XRECHNUNG Generator
XRECHNUNG 3.0 oder ZUGFeRD XML Datensatz erzeugen
Phishing, Quishing, Smishing oder Vishing
Kurz notiert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen gut strukturierten Leitartikel verfasst, der die oben genannten Betrugstechniken erklärt und Tipps und Hinweise gibt, wie man diese Art von Angriffen effektiv verhindern kann. Zusätzlich werden die wichtigsten Kontaktadressen genannt für den Fall, das doch etwas passiert.
Wir haben für alle Interessierten zusätzlich einen kleinen User #Awareness Test als Multiple Choice Prüfung für Sie entworfen. Testen Sie Ihr Wissen kostenlos und unverbindlich.
Crowdstrike Falcon gehört zwar nicht zu den von uns eingesetzten Produkten, uns ist es im Kundenkreis auch noch nicht begegnet. Dennoch lässt das pure Ausmaß aufhorchen.
Am 19. Juli 2024 sorgte eine flächendeckendes, fehlerhaftes Update für das Security Product „Falcon“ der texanischen Firma Crowdstrike für Totalausfälle bei vielen Unternehmen der KRITIS Infrastruktur. Betroffen waren viele Fluggesellschaften, Behörden und kommunale Einrichtungen. Die Nachwirkungen dauern an. Der kritische Effekt dabei: Nach dem Update/Neustart von Windows Rechnern und Servern fuhren die Systeme in einen Blue Screen.
Um das Update wieder loszuwerden, waren/sind vielfach manuelle Eingriffe notwendig, da es nicht über das Windows Update-System von Microsoft verteilt wurden (das ermöglicht einen „Rollback“), sondern über einen eigenen Updater von Crowdstrike installiert wurden.
Fakt: Jeder betroffene PC und Server musste/muss von Hand angefasst, die schadhafte Datei ersetzt und neu gestartet werden.
Warum vs. CounterStrike? Hört sich fast genauso an. Auch ich nahm im ersten Augenblick an, dass es sich um das Spiel dreht. CS ist ein „Ego-Shooter“-Computerspiel, in dem es darum geht, im Team Terroristen zu vernichten. Crowdstrike hat es geschafft, IT-Systeme von über 20.000 Kunden weltweit lahmzulegen – nur das hier unschuldige Unternehmen und keine Terroristen das Ziel waren.
Kommentar der Redaktion: Ernsthaft – Microsoft passiert es auch mal, das man einen Patch an die Tester im Insider-Programm ausliefert, die 2 Wochen nichts merken und es am Patchday knallt. Allerdings war beim Print Nightmare (dem letzten großen Fail in der Größenordnung) nicht auf allen Geräten ein Bluescreen und Admins konnten den Patch zurückrollen.
Hier haut man einen Patch raus, der flächendeckend einen Bluescreen erzeugt – nicht nur auf spezifischer Hardware. Die Aktionäre haben die texanische Firma schon bestraft, aber für sowas muss doch Schadenersatz gezahlt werden – und (nur) wenn einer der Schergen dahintersteckt auch hohe Bußgelder verhängt werden.
Ohne auf Verschwörungstheorien zu setzen – Kaspersky wird in den USA verboten, weil der CEO auf der russischen Geheimdienstschule war. Der 2. CEO von Crowdstrike kommt vom FBI, der erste CEO und Gründer war früher bei McAfee. Beides auch keine Vertrauens-Garanten, wenn man die Geschichte von John McAfee aus Belize kennt. Ein Verbot ist hier aber unwahrscheinlich. Da die Ursache für den Massen-Rollout des Crowdstrike Patches noch untersucht wird, ist es durchaus denkbar, dass Schurkenstaaten und deren Cyberkriminelle dahinter stecken.
Die Darstellung im Kasten stellt eine Einschätzung und die Meinung der Redaktion dar.
Wir verfolgen die Untersuchungen und sind gespannt auf die Ursache und welche Maßnahmen ergriffen werden, um so etwas zukünftig zu vermeiden
Cybersicherheit – Authentifizierungs Tipps
Nicht alle Verfahren lassen die Absicherung mit einem zweiten Faktor #MFA zu. Umso wichtiger ist es, für alle Anmeldungen (egal ob am Netzwerk, in der Domäne oder bei Online-Diensten) sichere Kennwörter zu verwenden.
Nach einer aktuelle Studie von März 2024 sind zwar viele dem Aufruf gefolgt (bzw. wurden vom den Anbietern dazu gezwungen) #Kennwörter auf mindestens 8 Zeichen zu verlängern, es gibt aber noch zu viele Sites, die nicht gleichzeitig Komplexität einfordern.
Das Resultat: Nach „123456“ ist nun „12345678“ das meistverwendete Kennwort. Da wo Komplexregeln gelten, ist nun Passwort1$ das meistgefundene Kennwort. Man kann sicher davon ausgehen, dass solche Konten bereits gehackt wurden – ansonsten ist der Identitätsdiebstahl nur eine Frage der Zeit.
Vorschläge
#Wichtig – das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zwar weiterhin (auch für Standard-User) 8-stellige Kennwörter, bei denen 3 von 4 Komplexitäts-Regeln erfüllt sein müssen, die allgemeine Praxis setzt aber auf 10 Stellen (sofern kein zweiter Faktor möglich ist, wie beim Active Directory zur Anmeldung im Firmennetzwerk bzw. an der Windows Domäne und einigen Websites). Für administrative Kennwörter sind mindestens 12 Stellen empfehlenswert:
Großbuchstaben
Kleinbuchstaben
Zahl
Sonderzeichen wie §$%&/.- und Leerzeichen
Die gebildeten Kennwörter dürfen in keinem Wörterbuch auftauchen (also keine ganzen Wörter enthalten, es sei denn, sie sind mit Rechtschreibfehlern gespickt).
Immer wenn Zwei-Faktor möglich ist, sollte es verwendet werden. Bei Microsoft365 (Entra-ID, ehemals Azure Active Directory: Office, Teams, Sharepoint, Exchange online) lässt sich die Anmeldung entweder kostenlos mit der Authenticator App oder im Rahmen eines Microsoft 365 Business Premium Plans auch mit „conditional access“ absichern. Hierbei wird entweder die Hardware-ID des Endgerätes als zweiter Faktor verwendet oder/und es lassen sich geografische Zugänge eingrenzen (z. B. keine Anmeldung aus dem Ausland).
Notebooks verschlüsseln
Werden Notebooks/Windows tablets verwendet, müssen diese zusätzlich (das funktioniert mit Bordmitteln) durch den Bitlocker und einer 4-6 stelligen PIN geschützt sein. Beim Einschalten des Geräts, noch bevor das Betriebssystem startet, wird dann diese PIN angefordert.
Handlungsbedarf?
Prüfen Sie Ihre verwendeten Kennwörter und ob Sie bereits MFA bei Microsoft 365 für Alle einsetzen (bzw. Conditional Access im Rahmen von Business premium Plänen).
Wenn nicht – bitte zeitnah die Sicherheit auf die aktuellen Mindest-Anforderungen bzw. best Practice bringen.
Richten Sie sich am Besten nach folgenden Regeln:
Wenn möglich, 2-Faktor-Authentifizierung verwenden (MFA) – für Microsoft 365 ist MFA für alle Konten ab Juli 2024 Pflicht.
Passwörter sollten grundsätzlich 10 Zeichen haben und komplex sein. Das gilt sowohl für Domänen-Anmeldungen, als auch für Internet-Seiten und App-Logins.
Admin/Domain-Admin Passwörter sind mit mindestens 12 Zeichen und Komplexität empfohlen
Am 18. April 2025 wurde von Microsoft im Kontext von WSUS (Windows Server Update Services) keine komplette Einstellung des Dienstes vorgenommen, sondern es gab wichtige Änderungen im Support und in der Weiterentwicklung.
Hier ist eine differenzierte Übersicht über das, was zum Stichtag eingestellt wurde, und was weiterhin funktioniert:
❌ Eingestellt / betroffen ab 18. April 2025
Einstellung der Weiterentwicklung
Microsoft hat offiziell angekündigt, dass WSUS nicht mehr aktiv weiterentwickelt wird.
Das bedeutet:
Keine neuen Features.
Keine Verbesserungen in der Verwaltung oder Funktionalität.
Keine Unterstützung für neue Windows-Versionen nach Windows 11 24H2 oder Server 2025, sofern keine Kompatibilitäts-Updates mehr folgen.
Verwaltung neuer Update-Kanäle
WSUS unterstützt nicht mehr alle neuen Update-Typen und Pakete, z. B.:
Neue Feature-Updates im „Unified Update Platform (UUP)“-Format werden nicht mehr automatisch unterstützt.
Updates für bestimmte Azure- oder Intune-gebundene Geräte können nicht mehr sauber synchronisiert werden.
✅ Was funktioniert weiterhin (Stand Juli 2025)
Bereitstellung klassischer Windows-Updates
WSUS kann weiterhin verwendet werden, um klassische Sicherheits- und Qualitätsupdates für unterstützte Systeme bereitzustellen:
Windows 10 (bis inkl. 22H2)
Windows Server 2016, 2019, 2022 (solange sie Support erhalten)
Windows 11 23H2 und teilweise 24H2 (sofern Unterstützung nicht aufgehoben wurde)
Updates werden weiterhin synchronisiert (sofern nicht vom Microsoft Update-Katalog entfernt).
Clients können sich weiter mit WSUS verbinden und Updates beziehen.
GPO-basierte Steuerung (z. B. Update-Zeitpläne, Genehmigungen) funktioniert weiterhin.
Support bis Oktober 2032
WSUS kann laut Microsoft-Planungen bis einschließlich Oktober 2032 genutzt werden, sofern es mit unterstützten Windows-Versionen betrieben wird.
📝 Empfehlung für WSUS-Nutzer
Für Unternehmen, die WSUS On-Premises einsetzen, gilt:
Der aktuelle Wartungsansatz (WSUS) funktioniert weiterhin.
Aufgaben der Systemkoordinierenden (z. B. Update der Server) bleiben bestehen.
Es ist ratsam, auf moderne Update-Management-Systeme (z. B. Intune, Endpoint Manager) umzusteigen – insbesondere im Rahmen einer Cloud-Migration (IaaS/SaaS).
Viele Unternehmen haben bereits heute #WSUS abgeschaltet/entfernt und lassen Updates direkt herunterladen. Die Installation auf den Endgeräten mit Windows 10 / 11 Pro/Enterprise erfolgt dann automatisch und die Benutzer werden zum Neustart aufgefordert.
Auf Servern erfolgt die Installation meist durch den Unternehmens-Administrator, gefolgt von einem manuellen Neustart der Server. Hiermit wird sichergestellt, dass die Neustarts im definierten Wartungsfenster (max. 10 Tage nach Patchday) liegen. Nach dem Neustart erfolgt eine kurze Funktionsprüfung der wichtigsten Funktionen. Im Bedarfsfall können so fehlerhafte Sicherheitsupdates zurückgezogen werden.
Wir empfehlen das Installieren der Updates am ersten Wochenende nach dem Patchday. Damit hat Microsoft 4 Tage Zeit, Patches, die fehlerhaft sind, wieder zurückzuziehen oder zu reparieren. Zusätzlich liegt man im von Versicherungen bewerteten Zeitfenster (nach mehr als 10 Tagen ohne Updates behalten sich Versicherungen vor, die Leistungen im Schadenfall rigoros zu kürzen).
Wer die Geräte verwalten möchte, dem empfehlen wir passende Intune Pläne. Bereits im Microsoft 365 Business Premium Plan sind wertvolle und nützliche Funktionen aus Intune nutzbar. Für die vollständige Verwaltung aller Geräte kann dann ein auf die vollständigen Intune-Pläne zurückgegriffen werden.
Kaspersky Antivirus in den USA verboten
In den Vereinigten Staaten wurde nun ein Vertriebsverbot für #Kaspersky Security-Produkte und die damit verbundenen Updates/Subscriptions verabschiedet. Es wird noch im Juli 2024 für den Abschluss von neuen Abonnements wirksam. Bisher war nur amerikanischen Behörden untersagt, Produkte dieses Herstellers zu verwenden. Das „Kauf- und Updateverbot“ wurde nun auch auf andere Unternehmen und Endverbraucher ausgeweitet.
Obwohl die Kaspersky Holding LLC ihren Sitz in London hat und die Freigabe von EMEA-Signaturen in der Schweiz erfolgt, möchten wir betonen, dass es technisch ausgereifte Alternativen gibt, die ein vergleichbares Preis-Leistungs-Verhältnis bieten. Wir sind uns bewusst, dass letztendlich Gelder nach Russland fließen könnten, möchten jedoch keine politischen Argumente anführen.
Wie bereits in einem früheren Artikel erwähnt, ist (Stand 27.06.2024) der Vertrieb von Kaspersky-Software oder Updates in Deutschland und der EU derzeit nicht verboten. Das Bundesamt hat hierzu eine offizielle Stellungnahme abgegeben. Hierzu das Statement vom Bundesamt.
Für Unternehmen mit bis zu 300 Mitarbeitern ist der Defender für Business im Microsoft 365 Business Premium Plan enthalten, der auch KI-gestützten erweiterten Schutz für Endgeräte bietet. Für Server gibt es ebenfalls entsprechende Sicherheitspläne. Für größere Unternehmen stehen die Enterprise- oder M-Pläne zur Verfügung.
Unser Cloud-Vertriebsteam steht Ihnen gerne zur Verfügung, um Sie bei der Umstellung auf das Defender-Produkt auch für On-Premises-Lösungen zu beraten.
vmware vcenter Server Sicherheitslücken
Einige von Ihnen setzen #vmware vsphere als Virtualisierungssoftware (On-Premises) ein. Dazu wird zur Administration eine virtueller Server „vcenter“ genutzt. Anfang Juni werden zwei #Sicherheitslücken bekannt, die er ermöglichen, dass jemand, der schon im Netzwerk angemeldet ist erhöhte Berechtigungen im VCenter erlangt und ggf. Schadcode auf der VM ausführen kann. Details im Support-Artikel von Broadcom (dem neuen Besitzer von vmware).
Auch wenn das Risiko vergleichsweise gering ist, weil es nur angemeldet und im lokalen Netzwerk funktioniert, sollten Sie, sofern Sie die vmware noch in Wartung haben, die verfügbaren Updates zeitnah installieren.
vCenter Server 7.0 U3r
vCenter Server 8.0 U1e
vCenter Server 8.0 U2D
Ist Ihre vmware nicht mehr in Wartung, müssen Sie mit den Sicherheitslücken leben – oder in die Azure-Cloud migrieren. Kunden mit IaaS (Azure Servern in der Microsoft Cloud) sind nicht betroffen.
PDF24 Creator wieder empfohlen
Geek Software, der Hersteller vom #PDF24 Creator stellt mit Version 11.18.0 auch Version 9.8.0 auf seinen Internetseiten als Download bereit. Diese Version enthält dieselben Komponenten und Versionen wie die 11.18.0, die Toobox ist aber nicht enthalten.
Scheinbar gibt es schon seit 9.3.0 eine 64-Bit Version davon. Es wurde/wird nur nicht explizit beworben. Bisher musste man die Version 11 um die nicht gewünschten Komponenten bereinigen und das aktuelle Ghostscript x64 und QPDF von Hand integrieren.
Dadurch, dass man nun die Version 9 wieder auf den Herstellerseiten herunterladen kann, wird das gewünschte Customizing (z. B. PDF24 Windows-Dienst benutzen, automatisch speichern an bestimmten UNC- oder lokalen Pfad, Einstellungen für alle Benutzer in Terminal/AVD Umgebungen) für einen Repack zur eigenen Verwendung vereinfacht.
Mit diesen Einstellungen haben wir den Druckertreiber auch als freigegebenen Druckertreiber auf einem Windows Printserver getestet. Die zentrale Druckausgabe in einen Netzwerkordner funktioniert problemlos.
#Erfreulich – die Werkzeugfunktionen wie PDF zusammenfügen, PDF Seiten extrahieren, für Web optimieren, OCR und Weitere sind noch enthalten.
PDF24 Creator (derzeit Version 9.8.0) ist wieder Empfehlung unserer Redaktion. Es ist ein kostenlos geschäftlich nutzbarer Druckertreiber zum automatischen Erstellen von PDF-Dateien in einem lokalen oder Netzwerklaufwerk. Bei Einsatz in lokalen oder Terminalserverumgebungen können Benutzer PDF kombinieren, Seiten extrahieren, PDF für Web optimieren und weitere Funktionen nutzen. Admins brauchen sich nicht um JAVA RE oder Webview2 Updates zu kümmern.
PDF24 Creator Webseiten
Windows 11 24H2 ohne Wordpad
Mit jeder neuen Version wirft Microsoft alte Anwendungen aus Windows, weil sie nicht mehr weiterentwickelt werden. Nachdem schon die Schrittaufzeichnung (leider) dem Rotstift zum Opfer gefallen ist, wird mit dem Rollout von Windows 11 24H2 Wordpad entfernt. #endoflife
Bisher konnte man damit mit Bordmitteln RTF- und Word (docx) Dateien erstellen, öffnen und bearbeiten.
Auch wenn es im Netz Tricks gibt, Wordpad wieder manuell in Betrieb zu nehmen, wird es nicht weiterentwickelt – und wichtiger – Sicherheitslücken werden nicht mehr geschlossen.
Ein so manuell installiertes, altes Wordpad würde damit Einfallstor für Viren und Trojaner, da viele Schwachstellen im Konverter liegen, der die docx-Datei entpackt und darstellt.
Alternativen sind: die Online-Versionen von Microsoft Office (erfordert Microsoft Konto), die Online-Versionen von Google Docs (erfordern Google Konto), Microsoft 365 Business Premium Pläne (all-inclusive E-Mail, Mailarchiv, Business Virenschutz mit ATP, MFA mit conditional Access und alle Office Win32 Programme zum Installieren). Für gelegentlichen Einsatz, mit eingeschränkter Kompatibilität, Darstellung und Funktionen: Libreoffice 24.x (wenn es nur um Briefe schreiben und Kalkulationen geht).
Windows Server 2025 wird Nachfolger
Nach Server 2022 kommt Server 2025. #Microsoft hat nun auch für Visual Studio Abonnenten die RTM-Version (als Release Preview) bereitgestellt.
Server 2025 wird dabei die gleichen Updates wie #Windows 11 24H2 bekommen. Der Server Build ist damit identisch wie bei der Windows 11 Version – nämlich 26100.xxx (xxx steht für das monatliche Sicherheitsupdate und das optional 2 Wochen später erscheinende Funktionsupdate.
Installiert man also aus der ISO 26100.1, erfolgt kurz darauf ein Update auf Version .560. Da ich in der virtuellen Maschine kein TPM aktiviert habe, funktioniert die Installation im Gegensatz von Windows 11 ohne Tricks. Die Voraussetzung, dass der Prozessor SSE 4.2 unterstützen muss und somit alte Core2Duo und Core2Quad Prozessoren nicht lauffähig sind, vermuten wir, können es aber weder dementieren, noch beweisen. Es wird aber wohl kaum jemand so alte Client-Hardware zum Betrieb von Servern einsetzen. Wie alt ein XEON-Prozessor in einem Server 2025 sein darf, ist noch herauszufinden. Da die meisten bei On-Prem-Einsatz ihre Windows Server (Std oder Datacenter) Lizenzen mit einem Server als OEM Version lizenzieren, dürfte auch das nicht relevant sein.
Wer ein VS Prem oder VS Professional Abonnement hat, kann die Server-Version schon in einer isolierten Umgebung testen (z. B. in einer Client Hyper-V Umgebung).
Zur automatisierten Installation (Unattended, deployment) dürfen folgende Schlüssel verwendet werden (für die Lizenzierung muss nachher ein gültiger Lizenz-Schlüssel eingegeben werden).
Windows Server 2025 Standard. TVRH6-WHNXV-R9WG3-9XRFY-MY832
Windows Server 2025 Datacenter. D764K-2NDRG-47T6Q-P8T8W-YP6DF
Windows-Updates für die Server 2025 Version wird es voraussichtlich bis September 2034 geben – Bisher waren Server immer LTSC mit 10 Jahren Laufzeit. Sofern Microsoft nicht auf den „Modern Life Cycle mit 5 Jahren“ wie beim Office umstellt. bleibt das dabei.
Testbericht Server 2025 / 26100
Mit den o.g. Installationsschlüsseln lässt sich eine Unattend Vorlage bauen, so dass eine VM auf Knopfdruck innerhalb von 5 Minuten mit GUI installiert ist (und das nur im Client-Hyper-V unter Windows 10). Das ist gegenüber Server 2022 eine deutliche Beschleunigung.
Der Installationsprozess ist noch nicht modernisiert – man findet in der SETUP-GUI immer noch das Aussehen von Windows 7 😀 .
Das Aussehen von Windows Server 2025 ist – Überraschung! – identisch mit Windows 11 (24H2). Kein Wunder, denn es ist ja dieselbe Code-Basis und derselbe Kernel. Wer also die RDS-Services aktiviert, bekommt auf den Terminalservern die GUI von Windows 11 präsentiert. Gruppenrichtlinien, die man von Windows 11 kennt, lassen sich auch anwenden.
Der Server-Manager und auch Active Directory Benutzer&Computer, sowie die anderen Verwaltungs-Tools sind unverändert verfügbar, es wird aber wieder Werbung für ADAC gemacht (Active Directory Admin Center). Außerdem ist wieder AzureArc – wie nach einem Windows Update von Server 2022 an Bord und fährt im Autostart mit hoch. Wer keine Server in Azure hat (Hybrid), sondern eine reine On-Prem-Umgebung, der kann im Task-Manager unter Autostart (ja, der Menüpunkt ist nun auch auf dem Server vorhanden) das Tray-Icon deaktivieren.
Wie die Hardware-Anforderungen sind, wird leider nicht klar ausgedrückt (siehe oben). Eins ist sicher: Auf meiner Test-VM habe ich in den Einstellungen NICHT den TPM des Hosts aktiviert. Die Installation der Gen2 VM läuft problemlos durch und Server 2025 startet auch danach fehlerfrei. Meine Vermutung ist aber, dass es neben der Windows 11 Prozessorliste (alles ab Core i der 8. Generation) auch eine Positivliste für XEON-Prozessoren gibt. Lediglich die IoT-LTSC Version von Server 2025 hat geringere Hardware-Anforderungen (sie hat aber auch keine grafische Benutzeroberfläche, wenn sie auf einer Smart-Fliese im Bad betrieben wird).
Copilot Störung
Update: #erfreulich – die Störung wurde Stand 24.05.29024 behoben. Zum Test erstellt Copilot einen Vorschlag zum Prompt „GWS Branchentage“. Alle BUs sind vertreten und wir freuen uns auf Sie.
Originalmeldung: Wichtig – kurz notiert: Seit heute vormittag (23.05.2024) sind die #KI Funktionen von Microsoft nicht nutzbar. Es kommt eine Meldung im Look der 80er-Jahre: „Oops, es ist nicht Ihre Schuld, wir sind es“ mit einem Panda und dem alten BING Logo.
Es lassen sich sämtliche #Copilot Funktionen nicht nutzen – wie der Chat (Text-KI) oder der Microsoft Designer (KI-Bilderstellung).
Betroffen sind auch die Bezahl-Funktion „Copilot Pro“ und die Integration in Microsoft Apps wie MSPAINT (Windows 11). Damit dürften die APIs in MSGRAPH auch nicht funktionieren.
Eine größere Störung, die Microsoft auch im Azure-Portal mit Statusaktualisierungen versieht. Gleichermaßen berichtet Microsoft auf „X“ (ehemals Twitter):
We're investigating an issue where users may be unable to access the Microsoft Copilot service. We're working to isolate the cause of the issue. More information can be found in the admin center under CP795190.
— Microsoft 365 Status (@MSFT365Status) May 23, 2024
WordPress Admin mit 2FA nachrüsten
Ab Werk bzw. mit Bordmitteln ist die Admin-Oberfläche des größten Teils von #Wordpress basierten Webseiten (Marktanteil 2024 mittlerweile bei über 73%) nur mit einem mehr oder weniger schlechten Kennwort abgesichert.
Administrative Konten sollten heutzutage aber durch Zwei-Faktor Authentifizierung geschützt sein. Hierzu gibt es im WordPress Plugin-Verzeichnis zahlreiche Plugins. Die meisten davon in einer Freemium Version und mit Werbung oder auf den Google Authenticator ausgelegt.
Aktuell gibt es ein Plugin namens „Two-Factor“, das komplett quelloffen ist und neben E-Mail-Tokens an die hinerlegte Mailadresse auch die weit verbreitete Microsoft Authenticator App unterstützt. Diese kann über einen QR-Code angelernt werden und wirft dann alle 60 Sekunden einen Token aus, der zum Anmelden benutzt werden muss.
Die Einrichtung und Aktivierung der #2FA Methode erfolgt im Admin-Bereich unter „Benutzer“ für jeden Admin einzeln. Natürlich ergibt es Sinn, 2FA für alle Admins zu aktivieren und für den Master Admin zusätzlich Wiederherstellungscodes zu erzeugen. Ob Sie dabei die Token an E-Mail Methode oder die Authenticator App bevorzugen, bleibt Ihnen überlassen. 2FA ist auf jeden Fall wärmstens empfohlen und einfach einzurichten.
Teams – One Version 2.1
Kurz notiert: Im aktuellen „Release Preview Ring“ hat Microsoft das „Teams personal“ Installationspaket stillgelegt. Installiert oder aktualisiert man den in Windows 11 enthaltenen Teams 2.0 free = personal Client, ruft dieser nur noch den Teams (neu) 2.1 Client auf. Man kann also die Teams-App mit dem lila T auf weißem Untergrund deinstallieren.
Stattdessen kann man im neuen #Teams 2.1 Client (ab Version 24131-2300-2871-3804) über das Profilbild zusätzlich, oder wenn man kein Geschäftskonto hat nur ein Microsoft Konto (personal) dort eintragen. An Besprechungen kann man hingegen auch ohne ein Microsoft- oder Geschäftskonto teilnehmen. Man klickt dann einfach auf „an Besprechung teilnehmen“ und gibt die Zugangsdaten aus dem Link ein – oder Teams startet über die Verknüpfung. Erkennbar ist die neue App auch daran, dass sie nicht mehr den „Teams (work or school)“ Titel führt, sondern nur noch „Teams“.
Fazit: Ab der oben genannten Version, die vermutlich mit dem Patchday im Juni 2024 für Alle verteilt wird, können die „Teams free“ oder „Teams personal“ App und die klassische (lila) Teams App vom Rechner deinstalliert werden.
Man installiert dann am Besten das neue Teams mit diesem Logo:
(Wer das neue One-Version Teams jetzt schon testen möchte, kann es hier herunterladen)
Wir werden häufiger gefragt, ob es vorteilhaft ist, Browser-basierte Anwendungen (wie gevis ERP | BC ab Version 17, #gevis ERP | VEO oder gevis ERP | SaaS) direkt von Chrome für Enterprise auf einem lokalen Windows PC oder im Azure Virtual Desktop #AVD aufzurufen. Hierzu die folgenden Grundlagen, wann der lokale „Browseraufruf“ besser sein kann. (Achtung: Dies sind nicht die Mindest-Anforderungen, sondern ein Wert, der nach Best-Practice den direkten Aufruf im Vorteil sehen kann):
Der PC ist aktuell (er übertrifft die Mindest-Voraussetzungen von Windows 11 24H2) = Core i5-8Gen, 16 GB RAM, schnelle SSD 256 GB.
Interaktionen des Benutzers im Browser fordern eine hohe „Rendering“ Aktivität des Browsers. Hier ist Grafikleistung gefragt.
Die Internet-Leitung, bezogen auf die Browserleistung ist Breitband (mindestens 5 MBit/s pro User verfügbar).
Die Vorteile vom Azure Virtual Desktop sind die folgenden:
PCs/Endgeräte können geringere Anforderungen (z.B. alter Core I3 PC mit 8 GB RAM, SSD, IGEL OS Linux) haben.
Durch Verwendung des AVD Clients kann auf die „Einwahl“ ins Firmennetz per VPN verzichtet werden (wir empfehlen trotzdem, im Homeoffice nur dienstliche Endgeräte zu verwenden).
höhere Sicherheit – die komplette Arbeitsumgebung (Desktop) mit allen wichtigen Apps ist in einer geschützten und zentral verwalteten Umgebung.
Verhindern von Misch-Umgebungen mit privaten Inhalten.
Admins brauchen neue Software und Aktualisierungen nur im AVD Pool zu installieren, nicht auf jedem Endgerät.
Wenn die AVD-Hosts die aktuelle 64 GB Konfiguration haben, ist die AVD-Umgebung vielfach genauso schnell wie das direkte Verwenden auf einem aktuellen PC.
Misch-Umgebungen mit vielen AVD-Usern und einzelnen Power-Usern, die Browser-Anwendungen direkt auf aktuellen Rechnern aufrufen, sind möglich, administrativ aufwendiger und nicht so sicher!
Teams lustige Transkriptionen (Text to speech)
Die lustigsten #Microsoft#Teams Transcriptions bei Anrufen. Setzt man Teams Telefonie statt einer Telefonanlage ein, werden die Sprachnachrichten von Microsoft künstlicher Intelligenz analysiert und in Text umgewandelt. Neben der Nachricht als MP3-Anhang erhält der Anrufer in der E-Mail einen Text des gesprochenen Anrufs. Einige Beispiele für diese intelligente Art von Misspelled Lyrics hier:
„ebay kuttenberg schnitzel guten tag herr bärenfänger“ -> Die BÄKO Württemberg lässt grüßen. Hat auch mit Lebensmitteln zu tun.
„Schützen Weber oder Bärenfänger?“ Ich hab ihnen zwar gerade eine Mail geschrieben… -> keine Ahnung, ob Weber schützen und wovor.
„Reif also nun. Max Mustermann. Hallo, ich wollte mich kurz melden betreffend der dem Claudine.“ -> ich kenne leider keine Claudine. Vielleicht ist das die Schwester von Cloudio in der Cloud. Was man aus „Raiffeisen“ so verstehen kann als KI.
Update 12/2023: Auch die inzwischen eingesetzte #KI bringt keine Besserung in der Transskription von Anrufen (Voice to Text): „da haben für Mittwoch und Donnerstag bei Ihnen die Disco Schulung gebucht“ –> DJ Patrick holt die Disco Kugel raus und legt Beats aus den 80ern als LP und Singles auf.
„Hilde Frischkäse, Meyer. Hallo Herr Bärenfänger…“ –> Hilde Frischkäse macht man amerikanischen Käsekuchen raus, nicht aus Magerquark.
„Schönen guten Tag Herr Bernd Schulte Eva vom Eisenhalle hier Herr Behrendt Schulte könnten sie mich einmal“ –> Bernd Schulte oder Behrendt Schulte – wer ist gemeint?
„Hallo Björn Sänger jetzt kannst du weglassen Mädchen“ –> Björn Sänger ist mal was Neues. Aber warum soll ich Mädchen weglassen? Nein!
„Hey Kontakten. Hallo Herbert fenger wird ihren Rückruf es geht um. Okay schulungsanfrage hör auf gewiss.“ –> Häärbert hört auf gevis oder hört gewiss auf.
„Geile Fischmarkt nochmal Hallo Herr Bernd Finger“ –> Bernd Finger in Hamburg ist gemeint und der Fischmarkt bekanntlich neben der Reeperbahn.
„Guten Morgen Herr Bernd Singer…Ich bekomme zwar die Liste von der gbs aber bezüglich Disco da sollte auch ein Münster geben…“ –> Im Moment ist die Disco leider geschlossen
„Hier trifft Sybille arthro ja guten Tag Herr Bempfinger“ –> Hoffentlich hat die Sybille keine Arthrose 😮 Sonst lieber zu Dr. Bempfinger und behandeln lassen.
„Mustermann PK Franken Hallo. Herr Ben Finger Bitte um kurzen Rückruf und der Nummer 12345″ –> Ei ei ei die Pozilei sucht den Finger – PK bedeutet Polizeikommisariat.
„Hallo Herr Bernd Finger hier ist Camper Raiffeisen herbern Finger rufen sie mich doch bitte mal an zwecks dem Zugang für den hier MC Dankeschön Tschüss.“ –> fett gedruckt wieder lustige Interpretationen meines Namens. Und der Camper ist auch lustig.
„Guten Morgen Herr Berninger hier spricht Martina Ping von der Genossenschaft Reh der Brücke im hier“ –> Der Anrufer war männlich, der Vorname vom Reh ist „Kartoffelpü“ und ich bin auch nicht der Berninger. Update: Cortana scheint den Namen aber zu mögen, denn mein Name wird häufiger so verbogen in den Transkriptionen.
„Scheiß Raumgestaltung Erika Mustermann“ –> Cortana AI kann auch fluchen. Der echte Firmenname ist anders (Anrufer-Name aus Datenschutzgründen verfremdet)
„Moin Patrick ähm, Ich war Grad am überlegen, um für den Karton Termin zu erstellen und hab gedacht“ –> In dem Termin sprechen wir wohl über Box-Ware.
„Tanja bowlen von der bahngenossenschaft … vielleicht könnte Ich bitte dich wieder melden“ –> Bitte melde mich, dann gehen wir bowlen. Wir können auch kegeln. Die Bahn ist doch eine AG.
„Lust einmal in deine Disko Schulung rein zu gucken“ –> Die Sysko-Schulung wird zur Disko Schulung. Dann leg ich jetzt mal (Popmusik) auf 🙂
“ […] habe Anfänger ich hätte eine bitte an sie haben wir heute äh die Schulung Disco Schulung […] –> Die 80er und Disko Musik sind auch für Anfänger immer ein Thema. Mein Name ist wieder mal der Brüller (fett).
Anmerkung der Redaktion: Personendaten und Rufnummern der Anrufer wurden verändert.
TreeSizeFree vs. Windirstat
TreeSizeFree ist (bis Version 4.7.2) ein geschäftlich und privat nutzbares, portables Werkzeug, um sich in Ordnerstrukturen die größten Platz-Verbraucher anzeigen zu lassen. Man konnte es auf Windows 10/11 Rechnern oder Windows Server 2016/19/22 aufrufen. Während Version 4.7.x schon keine Netzwerklaufwerke scannen konnten, ist mit Version 4.7.3 der Aufruf der Software auf Windows Servern nicht mehr möglich. Das funktioniert dann nur noch mit der Pro Version für rund 60 € pro Lizenz.
Alternativen müssen her. Ich habe mich mal mit dem quelloffenen WinDirStat beschäftigt. Auf Github gibt es ein Projekt dazu, das (Stand Mai 2024) aktualisiert wird. Nightly Builds der Version 2.0 (moderneres Interface, schneller) ist im Fork:
zu sehen. Es ist zwar nicht ganz so schnell, wie DirSizeFree, kann aber sowohl auf Server 2022, als auch Windows 10/11 laufen und auch Netzlaufwerke scannen. So viel langsamer als TSF ist es nicht, liefert aber zusätzlich eine Sortierung nach Dateityp-Ranking (welcher Dateityp verbraucht am Meisten).
Teams (work or school) jetzt auch personal
#Microsoft hat sein Vorhaben, nur noch einen#Teams Client auf dem System haben zu müssen, in den Release Preview Ring gebracht. Es ist damit zu rechnen, dass zeitnah (vermutlich bis Juni 2024) das Feature in die Release-Version übernommen wird. Die Bezeichnung heißt immer noch „Teams (work or school), Nutzer können aber durch Klick auf das Symbolbild ihr (kostenloses) Microsoft Konto zufügen.
Beim Start von Teams öffnen sich dann zwei gleichartige Symbole in der Taskleiste, eins vom Geschäftskonto und eins vom Microsoft-Konto mit der Bezeichnung: Teams (work or school) | Persönlich. Im Microsoft-Konto sind die Funktionen der Oberfläche reduziert und es können maximal 60 Minuten lange Besprechungen gestartet werden. Verfügt der Besprechungs-Organisator jedoch über ein Microsoft 365 Geschäftskonto mit einem Teams-Plan, wird das Limit der Microsoft (free) Konto-Teilnehmenden oder Gäste nicht gezogen. Eine weitere Einschränkung ist, dass in der Version.
#gelb – hat man nur die (work or school) Teams-Version installiert, kann man zwar als Gast an Besprechungen teilnehmen, trägt man ein Microsoft Konto ein, öffnet sich aber Teams im Browser oder es kommt eine Meldung, man möchte Teams im Browser öffen (je nachdem, ob das kostenlose Microsoft-Konto früher mal als kostenloses Firmenkonto konfiguriert war oder nicht.
Damit benötigen Benutzer ohne Microsoft 365 Konto weiterhin die nunmehr „Teams Personal“ benannte, kostenlose Version. Nur wer ein Microsoft 365 Konto mit Teams Lizenz hat, kann (allerdings frage ich mich, warum man das tun sollte, denn das personal Teams Konto kann man auch im Browser aufrufen), ein Microsoft Konto im Teams (work or school) zusätzlich eintragen (so dass dann Teams zweimal geöffnet wird. Da die Teams Personal app seit fast einem Jahr die gleiche Code-Basis hat wie die Work or school Version, ist die Variante mit den zwei Apps die Flexiblere:
Kunden ohne Teams (Microsoft 365) Plan/Lizenz installieren die „weiße“ MS-Teams.msix (Personal), um an Besprechungen teilzunehmen (oder mit einem kostenlosen Microsoft Konto bis zu 1-stündige Videobesprechungen zu initiieren).
Wer eine Teams Lizenz hat, installiert die „blaue“ Teams.msix (work or school) und trägt sein Arbeitskonto ein.
Microsoft Insider Programm, eigene Tests der Redaktion
ITSM: Vorgänge werden zu Tickets
Unsere Umstellung von der „Vorgangsbearbeitung“ auf Jira Service Management erfolgt heute. Jira ist ein modernes, cloud-basiertes und hochverfügbares #Ticketsystem des Marktführers Atlassian. An dieser Stelle danken wir allen Pilotkunden, die ihre Erfahrungen mit uns geteilt haben. Wir haben einige Fragen in einer kleinen #FAQ für Sie zusammengefasst:
Für einen einfachen Zugang zum Portal haben Sie im April per Mail einen Link und neue Zugangsdaten erhalten. Gemäß der mit Ihrer Hilfe aktualisierten Stammdaten sind zunächst Systemkoordinierenden sowie ihre Stellvertretenden im neuen Serviceportal angelegt. Dafür haben Kunden vorab ihre Stammdaten bei uns überprüft und bei Bedarf aktualisiert.
2. Werden vorhandene Extranet-Zugängen bestehen bleiben?
Bereits vorhandene Extranet-Zugänge bleiben vorerst bestehen, d. h. Sie haben hier auch weiterhin Zugriff auf bestehende Vorgänge und ihre Historie.
3. Werden alte Vorgänge automatisch übernommen?
Alte Vorgänge werden nicht übernommen. Mit dem neuen System richten wir uns auch nach dem Standard der Information Technology Infrastructure Library (ITIL) aus.
4. Kann ich Vorgänge übertragen?
Ja, die für Sie relevanten Vorgänge übernehmen Sie bitte eigenständig in das neue Vorgangssystem. Ist die Anzahl größer als 30, haben wir bereits Kontakt mit Ihnen aufgenommen und unterstützen Sie.
5. Wann wird das alte System auf „nur-lesen“ Zugriff umgestellt?
Etwa 3 Wochen nach Echtstart des neuen Systems (also Mitte Mai 2024).
6. Gibt es eine Anleitung?
! Die wichtigsten Informationen zum neuen Serviceportal haben wir in einem Wissensartikel zusammengefasst, den Sie auf der Startseite des Serviceportals finden.
7. Ist E-Learning verfügbar?
Wenn Sie E-Learnings der GWS gebucht haben, können Sie den folgenden Link verwenden.
Kategorisierung
Das neue Vorgangssystem bietet im Vergleich zu unserem Altsystem eine moderne und intuitive Benutzeroberfläche. Darüber hinaus gibt es weitere Unterschiede. Anders als im Altsystem, differenzieren wir im neuen Vorgangssystem zwischen unterschiedlichen Vorgangstypen. Die Differenzierung erfolgt bereits bei der Erstellung eines Vorgangs im neuen Serviceportal. Durch die Differenzierung unterstützen Kunden uns dabei ihr Anliegen besser einzuordnen.
Bei den Vorgangstypen handelt es sich um: • Störung (Incident) • Allgemeine Anfrage (Service Request) • Projektsupport
Liegt eine Störung, ein Ausfall, eine ungeplante Unterbrechung oder eine Qualitätsminderung des Systems vor, wählen Sie bitte den Vorgangstyp “Störung (Incident)”.
Für Produktberatungen, zusätzliche Lizenzen oder andere ähnliche Anliegen, wählen Sie bitte den Vorgangstyp “Allgemeine Anfrage (Service Request)”.
Wenn Sie sich in der Projektierung mit uns befinden, wählen sie für alle Vorgänge den Vorgangstyp “Projektsupport”.
Um bereits von den Vorteilen des neuen Systems vom ersten Tag an zu profitieren, bitten wir Sie, sich mit unserer neuen Vorgangs-Priorisierung vertraut zu machen. Eine Übersicht und Erläuterung finden Sie im Artikel „Details zu Auswirkungen und Dringlichkeit“ in unserer neuen Knowledge Base.
#Erfreulich – die richtige Kategorisierung und Priorisierung unterstützten uns dabei, Ihnen schneller und besser weiterhelfen zu können.
Office 2024 LTSC offizielle Vorschau zum Testen
Microsoft hat heute die offizielle Vorschauversion von Office 2024 LTSC veröffentlicht. Da die finale Version 2024 heißen soll, muss diese vor dem 01. Juli 2024 veröffentlicht werden. An diesem Tag beginnt für Microsofts das Fiskaljahr 2025 (und somit werden die Kaufversionen auch so benannt). Sie erhält dann 5 Jahre Sicherheitsupdates (das nennt sich modern Release Cycle).
Office 2024 LTSC wird keinen Publisher mehr enthalten, da das Produkt #endoflife ist. Als Plattform sind: Windows 10 (LTSC Enterprise oder 22H2) und Windows 11 (ab Version 23H2). Auf der Liste steht auch Windows Server 2022, der Betrieb der Kaufversionen im RDS Terminalserver ist aber weiter nicht erlaubt.
Auch die Lizenzierung bleibt auf Geräte-Basis. Volumenlizenzen können zwar auf RDS-Terminalservern eingesetzt werden, allerdings nur On-Premises. Ein Einsatz der Produkte auf Cloud-Servern – z. B. in Azure oder im Azure Virtual Desktop ist auch mit einer Software-Assurance Subscription nicht zulässig. Dafür eignen sich nur die Microsoft 365 Abo-Pläne! Auch alle Cloud- und Sicherheitsfeatures und ein Großteil der Gruppen-Richtlinien sind mit den Kauf-Varianten nicht möglich.
Wer die neue Version (am besten in einer virtuellen Testmaschine im Client-Hyper-V) testen möchte – hier die offizielle Anleitung von Microsoft:
Deployment Tool
Das Deployment Tool ist die offizielle Downloadquelle und der Verteilmechanismus für alle Office- und Microsoft 365 Versionen.
Offizielle Test-Schlüssel für den Preview (mit Ablaufdatum)
Product Keys (Schlüssel) für die MAK-Aktivierung. Office LTSC 2024 für die kommerzielle Vorschau: Y63J7-9RNDJ-GD3BV-BDKBP-HH966. Visio 2024 Preview: 3HYNG-BB9J3-MVPP7-2W3D8-CPVG7.
Aufruf für das Setup
Ein einer CMD Datei aus dem Deployment Odner ausgeführt. Die Konfigurationsdatei muss sich ebenfalls dort befinden.
Es wird 2024 eine weitere Kauf-Version von Office 2024 geben. Allerdings erhält sie wieder keine Funktions-, sondern nur Sicherheitsupdates bis Mai 2030 (5 Jahre).
Weder KI-Funktionen (Copilot und Designer), die die Arbeit erleichtern, noch Online-Funktionen (Collaborative Tools) und auch keine Cloud-Dienste wie 1 TB Speicher pro Benutzer sind möglich. Der Einsatz ist auf lokale Windows 10/11 PCs beschränkt und wird pro Gerät lizenziert. Das enthaltene Outlook/Win32 Programm wird bis 2028 eingestellt. Es muss dann die Edge-Webview-App verwendet werden, ohne Microsoft 365 Mietplan eingeschränkt und mit Werbung gespickt ist.
Exchange 16/19, Office16/19, Win10 Ende – Okt 2025
Am 14. Oktober 2025 ist der letzte Patchday für Sicherheitsupdates und die oben genannten Produkte. Selbst wer die Kaufversionen von Office 2021 LTSC einsetzt, bekommt nur bis Oktober 2026 Sicherheitsupdates – #endoflife.
Wie Microsoft im #Exchange Blog schreibt, wird es im Herbst zwar auch eine weitere Kauf-Version vom Exchange Server 2025 geben, aber auch nur mit 5 Jahren „modern Support Cycle“, also mit Updates bis Herbst 2029. Außerdem müssen alle, die derzeit Exchange 2016 Server einsetzen, auf Exchange 2019 updaten, um dann auf Exchange 2025 zu migrieren.
Beim #Office sind die Nebenwirkungen, dass man nur noch mit Office 2021 LTSC und nur bis Oktober 2026 auf Exchange online und Exchange 2025 zugreifen können wird. Im Sommer 2024 erscheint Office 2024 als weitere Kaufversion (Supportende Sommer 2029)
Langfristig und kaufmännisch betrachtet, ist allein wegen der monatlichen Funktionsupdates und 1TB Cloudspeicher in der EU-Cloud, erweitertem Virenschutz und Teams, Sharepoint-Funktionen, Mail-Archiv und Exchange Postfach, sowie MFA mit Conditional Access der Microsoft 365 Business Premium Plan zukunftsweisend. Für alle, die weder Office, noch E-Mail benötigen, sind die Einzelpläne für AVD, Virenschutz und MFA mit bestem Preis-/Leistungsverhältnis.
Das bedeutet NIS2 für Ihre IT-Security
Cyberkriminalität ist auf dem Vormarsch. Die Bedrohungslage wird immer komplexer. Zugleich werden die gesetzlichen Anforderungen in Sachen IT-Sicherheit immer schärfer. Mit der #NIS2 Richtlinie drohen Strafen in Millionenhöhe, wenn Unternehmen ihre IT-Systeme nicht ausreichend schützen. #Erfreulich – in dem 45 Minuten Vortrag konnten Sie Details erfahren. Vortrag und Video-Mitschnitt haben wir für Sie hier zusammengestellt:
Do. 04. Juli 2024 09:04 vor 1 Jahr5 MB 0s@300MBit31
Cyberkriminalität ist auf dem Vormarsch. Die Bedrohungslage wird immer komplexer. Zugleich werden die gesetzlichen Anforderungen in Sachen IT-Sicherheit immer schärfer. Mit der NIS2-Richtlinie drohen Strafen in Millionenhöhe, wenn Unternehmen ihre IT-Systeme nicht ausreichend schützen. In diesem Vortrag erfahren Sie, wie Sie diese Herausforderungen effektiv meistern.
Branchentag BTU vom 19 – 20 Juni 2024 für unsere Kunden aus den Branchen Baustoff-, Bedachungs- & Maler-Großhandel sowie dem Technischer Handel, Sanitär-Heizung-Klima und Stahlhandel.
Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.
Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit #Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). #Wichtig – das entspricht rund 25 % aller Exchange-Server in Deutschland.
Wer Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.
Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)
Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.
1. Sie haben Exchange Server 2010/2013 im Einsatz?
Migrieren Sie umgehend auf Exchange online.
2. Sie haben Exchange Server 2016/2019 im Einsatz?
Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.
3. Sie haben schon Exchange online?
Microsoft kümmert sich beim Exchange online um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.
Microsoft 365 Business Premium KI+
Bisher musste man die KI-Features mit rund 29 € monatlich extra bei Microsoft mieten. Erforderlich war dazu ein „Microsoft Tenant“ – auch als Geschäftskonto bekannt. Aus EU-Wettbewerbsgründen muss es den Coplilot Premium auch weiterhin einzeln geben.
Typischer alter Windows 10 PC: Intel Core2Duo 3342 mit 8GB RAM und 128er SSD als Cloud KI PC.
Weil der „Microsoft 365 Business Premium“ schon immer „die eierlegende Wollmilchsau“ mit dem besten Preis-/Leistungsverhältnis ist, hat man sich entschlossen, mit dem neuen „M365 BP KI+“ ein Kombinationspaket zu schnüren. Es enthält neben allen Office Apps und den bekannten Cloud Features auch die Microsoft Copilot Premium mit ChatGPT 4.5 (ChatBot und Rest-API) und Dall-E 4.0 (aka. Microsoft Copilot Designer, generative Bild-KI). Enthalten ist auch eine „virtuelle Windows 365 Business-Cloud-PC“ Premium Lizenz mit 4 vCPUs, 32 GB RAM, 128 GB Speicher.
Monatliche Lizenzgebühren pro User sind nur 149,50 € zzgl. MwSt. Für ein All-Inclusive-Paket günstiger als mancher Server in Azure und mit allem, was man braucht, um die Arbeit zu erleichtern.
Alle wichtigen Office Apps mit KI-Integration (Word,Excel,Powerpoint,Teams for Work, Outlook).
Access und Publisher sind auch als installierbare Win32 Programme enthalten
Ein kompletter Cloud-PC mit den oben angegebenen Leistungsdaten. So kann nach Ablauf von Windows 10 auf den alten Rechnern Linux oder Igel-OS installiert werden und man muss keine Windows Sicherheitsupdates auf dem Rechner machen. Hardwareneukauf entfällt
Alle KI-Funktionen sind mit den neusten Versionen nutzbar – und ohne jegliche Wartezeiten
Der Microsoft Designer ersetzt die Marketingabteilung
Microsoft Technologie Blog
#Aprilscherz 2024. Von den genannten Plänen ist bei Microsoft nichts bekannt
Windows Server LSASS-Memory-Leak geschlossen
#Erfreulich – mit dem #Patchday März 2024 schließt Microsoft eine kritische Sicherheitslücke in der Kerberos Authentifizierung von Domänen-Controllern. Leider hat man dabei einen Speicherfresser (Memory Leak) kodiert, der dazu führt, dass mancher (nicht alle) Domänencontroller 2016/2019 und 2022 nach einiger Zeit (zwischen 12 und 24 Stunden) so viel Speicher auf den Prozess LSASS.EXE alloziert, dass der DC entweder keine Aufgaben mehr wahrnimmt oder sogar eigenständig neu startet.
Update 23.3.2024: Microsoft hat ein Out-of-band Update für Windows Server 2022 (KB5037422), Windows Server 2016 (KB5037423) und Windows Server 2012 R2 (KB5037426) herausgegeben. Windows Server 2019 folgt noch in den nächsten Tagen. #Warnung – diesen Patch bitte zeitnah installieren auf betroffenen Servern.
Update 26.03.2024: Nun ist auch das Update für Windows Server 2019 erschienen. Die unterstützten Server sollten dann nach Installation und Neustart wieder frei vom Speicherloch sein und nicht mehr abstürzen.
Microsoft Knowledge Base
Einige Admins berichten, dass das Problem bei ihnen gar nicht auftritt, andere starten die DC zeitversetzt 1x pro Tag neu als Workaround. Da DCs in Azure aus Kostengründen meist noch andere Aufgaben (1 File, 1 Print/Apps) übernehmen, lässt sich ein Neustart nur außerhalb der normalen Arbeitszeiten realisieren.
Generell ist es aber keine gute Idee, das Update wegzulassen, da eine kritische Lücke mit einem Score von 9 von 10 geschlossen wurde.
Microsoft hat das Problem bestätigt und arbeitet an einem Hotfix, der kurzfristig ausgerollt werden soll. Aus Sicherheitsgründen kann man hier nur abwarten.
Übrigens: Ältere Server wie Server 2012 R2, die On-Premises keine Sicherheitsupdates bekommen, haben zwar nicht das Speicherproblem, aber dennoch die Sicherheitslücke. Werden sie in Azure betrieben, gibt es einen Patch, der auch für diese Server die Sicherheitslücke schließt und auch das Speicherproblem mit sich bringt. Wer noch Windows Server 2008 R2 einsetzt, hat ganz andere Sicherheitsprobleme, da es auch im ESU gegen Bezahlung keine Sicherheitsupdates mehr gibt.
Chrome 2023 Refresh abschalten
Chrome hat Ende 2023 ein neues Design namens #Chrome refresh eingeführt. Es resultiert in unscharfen Ordnern in der Lesezeichenleiste und ebenso fettgedrucker, unscharfer Schrift in den Lesezeichen und Menüs. Außerdem passen wegen der größeren Abstände weniger Lesezeichen auf den Bildschirm, so dass vielfach gescrollt werden muss. Zu allem Übel kommt auch, dass auch im Kontextmenü in Chrome je nach Bildschirmauflösung gescrollt werden muss. Bei Touch-enabled devices sind außerdem die Adressleiste und das Menü bei Windows 11 viel zu groß. Der Touch Disabled Parameter schafft Abhilfe.
Mit dem Update auf Chrome 123 muss man nun zwei (bei Touch sogar drei) Sachen abschalten (auf Disabled setzen) bei den Chrome flags, um wieder das besser lesbare und für Desktopdarstellung besser geeignete Design zu erhalten:
Schauen wir mal, wie lange Google das bessere, alte Design noch im Code lässt 😮
Windows 11 statt Windows 10
Wir werden immer wieder gefragt, welches Client- und Server-Betriebssystem eingesetzt werden kann. Aus Haftungsgründen werden wir zwar keine Empfehlungen und keine Freigaben aussprechen, die folgende Faktensammlung hilft Ihnen, die anstehenden Aufgaben zu ermitteln:
Windows 10 bekommt ab 15. Oktober 2025 keine Sicherheitsupdates mehr. Ein Upgrade auf Windows 11 wird erforderlich!
Seit dem Funktionsupgrade Windows 11 24H2 funktioniert Windows 11 mit vielen Produkten.
Teilweise Unterstützung für den Einsatz von Windows 11 im Dynamics 365 Business Central Umfeld wurde von Microsoft erst mit Business Central Version 23 Wave 2 beschrieben. Setzt man ältere BC Versionen unter Windows 11 ein, können allein wegen der geänderten Systemfonts auch im Browser Darstellungsfehler entstehen.
Ältere gevis Versionen: Classic, RTC (NAV 2013R2 bis BC 140) haben möglicherweise funktionsbezogene Einschränkungen unter Windows 11 oder lassen sich nicht installieren. Notfall-Arbeitsplätze dieser Versionen werden von Microsoft nicht unter Windows 11 unterstützt!
Umwelt schonen, Admin-Aufwand reduzieren: ältere Client-Hardware (etwa älter als 5 Jahre) unterstützt kein Windows 11. Statt funktionierende PCs zu verschrotten, können diese in Verbindung mit Azure Virtual Desktop mit IGEL-OS statt Windows weiterbetrieben werden
Hardware-Anforderungen für Windows 11 mindestens TPN/CoreI5 8Gen/16 GB RAM/SSD/schnelle GPU
Software testen: Betrachten Sie grundsätzlich auch andere Software, sofern sie auf dieser Plattform betrieben werden soll. So müssen manche Drittanbieterprodukte kostenpflichtig auf die neuste Version umgestellt werden, um unter Windows 11 unterstützt zu werden.
Browser: Auch wenn andere Browser mit BC23ff. grundsätzlich unterstützt werden, setzen Sie schon wegen deutlich geringerem Speicherverbrauch: Google Chrome für Enterprise ein. Auch hier ist der Microsoft Edge Browser von Nachteil.
Neue Outlook app: Vom Einsatz der neuen Outlook-App raten wir solange ab, bis alle Features der Win32-App realisiert wurden. In Microsoft 365 Abos wird der Einsatz der Win32-App bis 2029 unterstützt.
Fazit: Seit Juni 2024 wird mit neuer PC-Hardware Windows 11 Pro Version 24H2 ausgeliefert. PCs, die die Hardware-Voraussetzungen erfüllen (mindestens Intel Core-I Prozessor der 8. Generation, TPM 2.0 Chip, Secure Boot und weitere…) Alle Win11 tauglichen Bestandsgeräte sollten zum Erhalt weiterer Sicherheitsupdates nach dem 15. Oktober 2025 umgehend neu installiert (mit Windows 11 Pro 24H2) oder als Inplace Upgrade migriert werden.
Für alle Windows-Hardware, die nicht Windows 11 konform ist (alle Rechner ohne TPM2 und mit Prozessor kleiner Core i5 der 8. Generation) eignet sich Azure Virtual Desktop Win 11 in Verbindung mit IGEL-OS (das ist ein leicht administrierbares Linux Derivat mit Wartung/Updates).
Für Azure Virtual Desktops besteht ebenfalls Handlungsbedarf bis Oktober 2025, diese auf Windows 11 Enterprise Multiuser umzustellen. Hierbei unterstützt Microsoft nicht die Inplace-Migration der AVD10 VMs auf Windows 11 Enterprise Multiuser. Ein Inplace-Upgrade geschieht demnach auf eigenes Risiko. Bei Scheitern oder Nebenwirkungen müssen AVD-Pool und die VMs mit Windows 11 neu erstellt werden.
Am 15. Oktober 2025 wird Microsoft für Endgeräte mit Windows 10 Pro das letzte Sicherheitsupdate verteilen. Bekanntlich (wir haben bereits darüber berichtet) werden dadurch weltweit mehrere Millionen PCs zu Elektronikschrott – nämlich alle, die einen älteren Prozessor als Intel der 8. Generation (oder vor 2018 erschienene AMD Prozessoren im Rechner haben. Rechner, die noch einen Intel Core Prozessor vor der i-Generation haben, starten nicht mal mehr nach dem Update (z.B. Core2Quad und Core2Duo), obwohl viele Rechner für den Betrieb von #Win11 je nach Anwendungszweck schnell genug wären.
Wer über aktuelle Hardware verfügt, muss sich mit einem miserablen Startmenü, Werbung, Nag-Screens und einem zweistufigen Kontextmenü herumärgern (mindestens zwei Mausklicks mehr, bevor man den Kontext erreicht, der bei Windows 10 direkt erscheint. Zusätzlich erscheinen bei Mouseover oben rechts im Fenster (oder Vollbild) Vorschläge, wie man das Fenster mit Anderen auf dem Bildschirm anordnen kann (das Flyout/Snapbar verdeckt den halben Bildschirm).
Was zunächst nach einem geheimen Hack aussah, funktioniert jedoch auch mit der aktuellen Release Version von Windows 11, der 23H2, die im Herbst erschienen ist. So kann man das „klassische“ Kontextmenü durch setzen eines Registry-Schlüssels (oder einer GPO) wieder aktivieren. Ferner kann man die Werbewidgets abschalten und den Startknopf wieder an den linken Bildschirmrand schicken. Offene Programme werden wieder mit Titel in der Taskleiste angezeigt, solange Platz ist und dann erst gruppiert.
Achtung: Der Einsatz der Einstellungen erfolgt auf eigenes Risiko. Nebenwirkungen könnten auftreten!
Hiermit wird für den aktuellen Benutzer das klassische Kontektmenü wieder (nach einem Reboot) aktiviert.
Windows Registry Editor Version 5.00
; widgets auschalten [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Dsh] "AllowNewsAndInterests"=dword:00000000
; Snapbar aus [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SnapBar"=dword:00000000 [HKEY_CURRENT_USER\Control Panel\Desktop] "WindowArrangementActive"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "EnableSnapAssistFlyout"=dword:00000000
; Startknopf links [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "taskbarAl"=dword:00000000
; altes Kontextmenü [HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32]
Diese Einstellungen, als Administrator in Regedit importiert machen ein paar Komforteinstellungen und das System besser bedienbar.
Die folgenden Einstellungen machen Windows 10/24H2 (seit Juni RTM und bei Neukäufen vorinstalliert) komfortabler und sind über GPO/reg.keys einstellbar:
Startmenü wieder nach links,
Über GPO/reg.keys einstellbar
Bei den Empfehlungen alle Schalter auf aus, außer bei Dateiverlauf
Im Startmenü unten weitere Symbole (Settings, eigene Dateien einschalten)
klassisches Kontextmenü
Taskleistensymbole erst gruppieren, wenn voll
Widget-Bereich und Copilot (Symbol in Taskleiste) ausschalten
Nur dass alle Symbole in der TNA angezeigt werden hab ich noch nicht hinbekommen, die muss man bei Bedarf einzeln aus dem ^ Menü wegschalten, nachdem das zugehörige Programm einmal gelaufen ist.
Outlook – Support-Ende 2026
Bereits heute kann mit der #Outlook Win32 App aus den Office Versionen 2016 keine Verbindung mehr mit einem Exchange online (Microsoft 365) aufgebaut werden. Auch der offizielle Support von Exchange 2019 ist bereits im Oktober 2023 beendet worden. Zwar bekommen beide Office Versionen noch Sicherheitsupdates, die Verbindungsmöglichkeit mit M365 kann aber auch jeden Tag eingestellt werden.
Für lokale Installationen von Office oder Volumenlizenzen der Kaufversionen auf Terminalservern gilt daher: Möchte man von diesen beiden Plattformen auf sein Exchange online Konto mit der Outlook Win32 App zugreifen, wird das nur mit Office 2021 (LTSC) unterstützt!
#Endoflife – am 14. Oktober 2025 wird das letzte Sicherheitsupdate für Office 2016, 2019 ausgerollt. Gleichzeitig endet auch für Die Outlook Win32 App der Support und Verbindungen zu Microsoft 365 lassen sich nur noch mit der neuen Outlook App aufbauen. Diese ist quasi OWA in eine Windows-Store-App eingepackt, funktioniert nur mit einer Internetverbindung und hat keinen Offline-Speicher. Darüberhinaus werden bei Einbindung von Drittanbieterkonten (GMX,Web.de,gmail) die Zugangsdaten zu den IMAP/POP3 Konten an Microsoft übertragen und Inhalte dort gespeichert.
Anmerkung: Wer derzeit noch die kostenlosen Windows 10+ Apps „Mail, Kalender und Kontakte“ benutzt, der wird im Laufe des Jahres 2024 auf die Outlook App in der werbeverseuchten Free-Variante umgestellt. (verwendet man die neue Outlook App mit einem kostenlosen Microsoft-Konto, ist immer die erste Mail im Ordner eine gefakte Werbemail, die aussieht wie eine andere E-Mail) Das „Update“ erfolgt automatisch über de Microsoft Store.
Am 13. Oktober 2026 enden dann auch die #Sicherheitsupdates für Office 2021.
Im Sommer 2024 soll nochmal eine Kaufversion „Office 2024“ erscheinen (Das Paket enthält nicht mehr die Teams 2.1 App, außerdem wird der Microsoft Publisher (Programm zum Entwerfen von Publikationen und Grußkarten) entfernt. Mit 5 Jahren Sicherheitsupdates, wenn es dabei bleibt. Support/Updates-Ende ist dafür dann Juni 2029.
Fazit: Eine Verbindung von Outlook Kaufprodukten mit Microsoft 365 wird jetzt schon nur für Version 2021 offiziell unterstützt. Version 2019 kann jederzeit die Verbindung einstellen. Outlook (Win32 App mit Offline-Cache) wird bis Oktober 2026 eingestellt – dann funktioniert nur noch die neue Outlook Online-Webapp.
Die Einstellung von Outlook betrifft grundsätzlich auch Geschäftskunden mit Microsoft 365 Lizenzen! Update 8.3.2024: Microsoft hat die Einstellung des klassischen Outlook nochmal revidiert. Wer ab Oktober 2025 M365 neu installiert, bekommt die neue App installiert. Diese enthält auch keinen Schieberegler mehr zurück zu Classic. Bestehende Installationen werden bis maximal 2029! von Microsoft unterstützt und mit Sicherheitsupdates versorgt, erhalten aber nach 2026 keine Funktionsupdates.
Wie eine aktuelle Auswertung der Allianz Versicherungsgruppe von Januar 2024 zeigt, sind die meisten Schadenfälle im Bereich Cyber-Kriminalität zu verzeichnen. Wir möchten gern Ihre Meinung (anonym) erfassen und auswerten, um einzuschätzen, wie wir Sie zukünftig dabei unterstützten können. #Erfreulich – das Ausfüllen dauert nicht mal eine Minute und hilft uns sehr. Dazu haben wir, wie im aktuellen GWS-Newsletter erwähnt, eine kleine Umfrage vorbereitet :
Vielen Dank für Ihre Mühe im Voraus! Gern können Sie auch in diesem Beitrag kommentieren.
Exchange Server unbedingt patchen
#Wichtig – die zuletzt für #Exchange Server 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.
Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.
Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.
Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.
Anydesk ist eine Abonnement-Software zum Fernsteuern des (eigenen) Desktops über das Internet und wird teilweise auch für Homeoffice genutzt.
#Wichtig – Wie erst jetzt offiziell vom Anbieter bestätigt, hat es Datendiebstahl bei der Firma Anydesk gegeben, die es den Kriminellen ermöglichte, Anwendern Schadsoftware „unterzujubeln“.
Zwar wurden mittlerweile die Codesignaturen gesperrt und durch neue ersetzt, es kann aber viele Fälle geben, wo schon eine Schadsoftware auf den Endgeräten installiert wurde und schlummert. Der Hersteller empfiehlt, die Anydesk Software zu deinstallieren und nur die aktuellste Version von der Webseite herunterzuladen und zu verwenden. Außerdem sollten die betroffenen Systeme mit mehreren Virenscannern untersucht werden. Auch die Zugangspasswörter zum Online-Konto müssen geändert werden. Unklar ist noch, ob auch Zahlungsdaten gestohlen wurden aus den Online-Profilen.
Wir empfehlen, die Software zu deinstallieren, das Abonnement zu kündigen, betroffene Geräte komplett zu löschen und neu zu installieren. Für die Anwendungen die Daten zu importieren. Wohl dem, der eine Datensicherung hat – es werden allerdings aus Sicherheitsgründen keine Programme und kein Betriebssystem wiederhergestellt.
Stellen Sie dann auf andere, sicherere Lösungen – wie beispielsweise den Azure Virtual Desktop unter Windows 10 oder Windows 365 bei Microsoft um. Bei der Microsoft Lösung ist die Sicherheit bereits durch die 2-Faktor-Authentifizierung deutlich höher. Zudem kann der Azure Virtual Desktop in Azure gesichert werden. Bei Homeoffice-Einsatz muss dann auch der PC im Büro nicht eingeschaltet sein und kann Strom sparen.
Die Redaktion
Chrome sichere Seiten ohne Schloss
Ende 2023 rollte Google eine neue Benutzeroberfläche aus. Dabei wurden nicht nur die Symbole in der Adressleiste kleiner und unschärfer, sondern auch Veränderungen in der Anzeige der Sicherheit von Webseiten durchgeführt. Microsoft Edge ist zwar noch nicht davon betroffen, dürfte aber vermutlich bald nachziehen.
Chrome und Edge im Vergleich. Man sieht die unscharfen kleinen Symbole gut und die Schlösser oder nicht…
Bisher konnte man eine sichere SSL-verschlüsselte Verbindung zu einer Seite an einem Schloss-Symbol in der Adresszeile erkennen. Google tauscht dieses Symbol nun gegen zwei Schieberegler, an dessen Symbolik nicht erkennbar ist, ob die Verbindung zur Seite sicher ist. Ist hingegen die Verbindung nur „http“ – also ungesichert, ist in beiden Browsern der Hinweis „nicht sicher“ zu lesen, ist die Verbindung sicher (https) und ein Zertifikat abgelaufen, wird „nicht sicher“ in roter Schrift angezeigt.
Das Blöde an dem neuen Symbol ist, dass man nicht mehr direkt erkennen kann, ob eine Seite sicher ist – zumal (im Bild unten) manche links nicht als unsicher gekennzeichnet sind, obwohl sie es (http Aufruf) faktisch sind. Es gibt aber Abhilfe: unter chrome://flags, dann nach 2023 suchen und das 2023 Design abschalten. Chrome erscheint wieder im gewohnten Bild mit den „scharfen“ größeren Symbolen und mit Schloss für sichere Seiten.
Leo Bard 😹 meint dazu: Sergey Fährlich 🤣, dass man nicht mehr erkennt, dass eine SSL-Verschlüsselung mit gültigem Zertifikat vorliegt.
Google Chrome vs. Microsoft Edge
Wettkampf Chrome gegen Edge
wir empfehlen, beide Browser installiert zu haben (jeweils in der Enterprise Version mit dem .msi Installationsprogramm) und Chrome für Enterprise als Standard-Browser, zum Internet-Surfen und als PDF-Betrachter zu verwenden. Bei nur etwa halbem Speicherverbrauch von #Chrome gegenüber #Edge ist insbesondere die höhere Aktualisierungsrate und die kürzere Zeit, in der Sicherheitslücken geschlossen werden entscheidend. Zudem ist der integrierte ChromePDF Betrachter im Browser enthalten, schlank und vollkommen ausreichend. Microsoft rollt derzeit die Acrobat Reader Freemium-Version mit dem Edge Browser aus. Das bedeutet rund 1 GB mehr Speicherplatz und zusätzliche Update-Dienste von Adobe, die im Hintergrund laufen. Update 18.03.2024: #Endoflife – Anfang 2025 wird Microsoft den integrierten PDF-Viewer entfernen und nur noch Adobe zulassen.
Für die Nutzung des Copilot (auch hier ist Enterprise empfohlen aus Datenschutz-Gründen) kann dann der Edge-Browser (der sich über Gruppenrichtlinien von Werbung und Ballast weitgehend befreien lässt) aufgerufen werden. Die kostenlosen Einheiten sind hier höher als bei Chrome Nutzung.
Während Microsoft im Internet erfolglos versucht, den Chrome-Download zu verhindern und Nutzern Fallen zur Umstellung auf Edge als Standardbrowser stellt, ist der von OpenAI programmierte Copilot objektiv. Diese Punkte schreibt er/es auf die Frage, warum Chrome besser ist als Edge:
Google Chrome und Microsoft Edge sind zwei der beliebtesten Webbrowser, die beide auf der Chromium-Engine basieren. Es gibt jedoch einige Unterschiede zwischen ihnen, die je nach Ihren Bedürfnissen und Präferenzen den Ausschlag geben können. Hier sind einige Gründe, warum Google Chrome besser sein könnte als Edge: • Chrome hat einen größeren Marktanteil als Edge, was bedeutet, dass er von mehr Webseiten und Anwendungen unterstützt wird. Chrome hat auch eine größere Auswahl an Erweiterungen, die Ihnen zusätzliche Funktionen und Anpassungsmöglichkeiten bieten https://www.computerbild.de/artikel/cb-Tipps-Internet-Edge-vs.-Chrome-Die-Unterschiede-31398167.html https://www.techradar.com/pro/edge-vs-chrome-in-2023-heres-why-theres-only-one-winner-for-productivity-fans. • Chrome hat einen besseren Ruf in Bezug auf die Sicherheit und den Datenschutz als Edge. Chrome bietet Ihnen mehr Kontrolle über Ihre Privatsphäre-Einstellungen und blockiert mehr schädliche Webseiten und Downloads als Edge https://kinsta.com/de/blog/microsoft-edge-gegen-chrome/ . • Chrome hat eine bessere Integration mit Google-Diensten wie der Google-Suche, Gmail, Google Drive, Google Fotos, Google Maps und YouTube. Wenn Sie diese Dienste häufig nutzen, können Sie von Chrome profitieren, da er Ihnen einen schnelleren und einfacheren Zugriff auf sie bietet. • Chrome hat einige einzigartige Funktionen, die Edge nicht hat, wie z.B. die Möglichkeit, Webseiten auf andere Geräte zu senden, einen Gastmodus zu verwenden, einen Inkognito-Modus zu aktivieren, einen Passwort-Manager zu nutzen, einen Übersetzer zu verwenden und einen Dunkelmodus einzuschalten . Das sind einige der Gründe, warum Google Chrome besser sein könnte als Edge. Natürlich hat auch Edge seine eigenen Vorteile, eine integrierte Werbeblocker- und Anti-Tracking-Funktion, eine Vorlesefunktion.
Copilot Enterprise auf die Frage, warum Chrome besser ist als Edge
Teams – Rathaus und Grammatik?
Heute kam ein großes Update für Microsoft Teams. Leider hat sich beim Update das Outlook Addon für Teams 2.1 verabschiedet. Outlook war damit kurzfristig ohne Teams-Buttons und ohne Statusanzeige. Diesmal half es auch nicht, Teams und Outlook neu zu starten. Nach Beenden von Outlook, Deinstallation des Addons unter Systemsteuerung/Programme & Features und Neustart des Teams Programms und der Outlook-Windows Anwendung (gemeint ist die Win32 Anwendung nicht die neue, schlechte Outlook-Store-App) – waren die Knöpfe und Stati wieder da.
Auch mit der Grammatik nimmt Teams das nicht so ernst: 7 Beiträge von Sie und… (es meint mich damit):
Im Kalender kann man nun über das Lookup im Teams-Knopf… ja! ein Rathaus planen … Rathaus?
#Lustig – während die Kriminalpolizei rät, was das bedeutet, kurz einen Versuch gestartet: Im Kleingedruckten der Maske steht dann im Betreff „Versammlung“.
Microsoft schreibt dazu:
In einer Versammlung können Organisatoren und Mitorganisatoren Echtzeit-Ereignisanalysen wie die Anzahl der Zuschauer, das Land oder die Region der Teilnehmer und vieles mehr anzeigen. Die Analyse besteht aus mehreren Datenwidgets, einschließlich Diagrammen und Grafiken, Aufschlüsselungstabellen und einer Zeitachse für die Anzeigeerfahrung.
Das erinnert mich an „Männlich, Weiblich, Taucher“… In einigen Dingen ist der Mensch der KI noch überlegen 😺. Ruft man die englische Version des Microsoft Support Artikels auf, wird dort von „Town hall insights in Microsoft Teams“ gesprochen. Aber genauso wie man Sprichworte nicht 1:1 ins Deutsche übersetzen kann oder umgekehrt, muss auch hier nachgelegt werden. Da war wohl jemand nicht „heavy on the wire“ und im „sleep on train“ unterwegs 🤣.
Teams 2.0 Pflicht ab 1. April 2024
Update 25.04.2024: Microsoft hat das Support-Ende von Microsoft Teams Classic auf den 30. Juni 2024 verschoben. Nun müssen Unternehmen die Teams-Versionen unter Windows bis zu diesem Zeitpunkt auf das neue Teams umstellen.
Ursprünglicher Artikel: Es klingt wie ein Aprilscherz – ist es aber nicht. Wer derzeit noch mit dem „alten“ Teams 1.6 arbeitet – erkennbar an der Lila Menüfarbe und am Listeneintrag „Microsoft Teams classic“ in der Softwareliste – wird am 01. April 2024 auf das neue Teams 2.0 migriert. Ab Februar gibt es im Teams Classic schon Erinnerungen, die auf die Umstellung hinweisen. Teams 1.6 wird damit #endoflife – für Geschäftskonten.
Soweit nicht per Gruppenrichtlinie unterbunden von den Admins, werden oder haben einige bereits umgestellt. Dazu ist oben links in der Menüleiste des klassischen Teams ein Schieberegler, mit dem man auf das Neue umstellen kann und im neuen Teams in den Einstellungen der Schiebeschalter zurück zum klassischen Teams.
Es ist nachvollziehbar, dass Microsoft nicht zwei Clients auf Dauer pflegen möchte, zumal der alte Teams Client deutlich langsamer ist und auf Electron basiert. Die neue Implementierung im Chromium Stack (Microsoft nennt das: Edge Webview2 Runtime) mit reactjs ist deutlich schneller.
Allerdings sind einige Funktionen (wie als Moderator in einer Bildschirmfreigabe jemand Anderem die Sitzung zu übergeben – das Andere muss aktiv auffordern, die Steuerung zu übernehmen) im neuen Teams noch nicht verfügbar.
Erschwerend kommt hinzu, dass das neue Teams nur mit Geschäftskonten aka. EntraID funktioniert. Eine Anmeldung mit einem kostenlosen Microsoft-Konto (und damit eingeschränkter Funktionalität) ist nicht möglich. Wer also kein Geschäftskonto bzw. keine Microsoft 365 Tenant hat, wird bis auf Weiteres weiterhin den alten Teams Client benutzen müssen – oder aber im Webbrowser noch eingeschränktere Funktionen nutzen müssen.
Ich glaube der Termin für die „Zwangsumstellung“ ist zu früh gewählt, denn eine vollständige Ablösung vom Teams classic findet nicht statt.
OpenAudit Classic SSL-Oberfläche
#erfreulich – ab Release 2024.01.16 ist die #OpenAudit Classic Weboberfläche auch SSL-verschlüsselt zu erreichen. Dabei wird zum Ende des Setups dem Apache Webserver ein über das beiliegende OpenSSL Commandline Werkzeug ein Zertifikat ausgestellt, das ab Ausstellung jeweils 2 Jahre gültig ist. Es reagiert auf den Servernamen oder auf einen dns alias namens „openaudit“.
Der Aufruf der Weboberfläche (und damit auch der verbundenen Seiten wie PHPmyAdmin und optional WordPress Intranet) lautet damit: https://servername:4443/openaudit. Dazu ist im OpenAudit Classic Ordner im Startmenü eine Verknüpfung hinterlegt. Testweise bleibt die Desktopverknüpfung allerdings zunächst klassisch (http://servername:888/openaudit)
Wenn das WordPress-Intranet noch nicht aufgesetzt, aber installiert ist, kann man es aus dem SSL-verschlüsselten Aufruf von OpenAudit im Menü initiieren. Das Intranet hat damit dann auch SSL. Eine nachträglich Änderung von http:// auf https:// ist bei vorhandenen Intranets nicht ohne Aufwand möglich.
In einem kommenden Release wird auf die SSL-Verknüpfung umgestellt. Alternativen sind https://openaudit:4443. Tragen Sie dazu die IP Ihres OpenAudit Servers im DNS ein mit cname: openaudit.
Selbst ausgestelltes Zertifikat – Warnung abstellen
Weil das Zertifikat ein selbst ausgestelltes ist, meinen die aktuellen Browser, die Seite sei unsicher, da das Zertifikat nicht im Internet überprüft werden kann. Betreten Sie die Seite trotzdem. Wenn Sie das Server-Zertifikat exportieren und in den Benutzer-Speicher: „vertrauenswürdige Stammzertifizierungsstellen“ importieren, versteht auch der Browser, dass die Daten SSL-verschlüsselt übertragen werden. (Klicken Sie auf das rote „nicht sicher“ in der Adresszeile, dann auf Verbindung ist nicht sicher, die Zeile „Zertifikat ist ungültig“. Im Register Details exportieren Sie nun das Zertifikat und speichern damit eine .CRT Datei. Diese kann durch Doppelklick in Ihr Windows System (und damit in den Browser) importiert werden.
Diese Methodik können Sie auch dann verwenden, wenn Sie die lästigen Warnungen beim Aufrufen der Geräteseite von Druckern, Netzwerk-Switches, IP-Cameras und Access-Points, sowie anderer Peripheriegeräte vermeiden möchten.
In den Enterprise-Browsern Chrome und Edge kann man die Zertifikate auch über eine Richtlinie (GPO) verteilen.
Zertifikat erneuern oder auf den Server ausstellen
Alle zwei Jahre muss das Zertifikat erneuert und erneut importiert/verteilt werden. Wechseln Sie dazu auf dem Openaudit-Server in das Verzeichnis „c:/programme (x86)/xampplite/apache/“ und rufen Sie die Datei „makecert2.cmd“ auf. Ein neues Zertifikat wird ausgestellt und ist wieder 2 Jahre gültig. Für die Verteilung finden Sie die Zertifikat-Datei im Ordner unter apache: ./conf/ssl.crt/
Microsoft Copilot pro verfügbar
Kurz notiert: Microsoft bietet den Copilot in der kostenlosen Variante, der limitiert ist. Zu Spitzenzeiten sind die Wartezeiten länger und es wird auf ältere Trainingsmodelle (älter als ChatGPT-4 und Dall-E 4) zurückgeschaltet. Auch steht der Turbo-Modus nicht zur Verfügung und Bilder können nur im Seiten-Verhältnis 1:1 erstellt werden, nicht 16:9 und nicht Breitformat. Im Microsoft Designer stehen auch nur eingeschränkte Funktionen zur Verfügung. Designer ist quasi eine #KI unterstützte Bildbearbeitung im Browser. Zusätzlich können maximal 15 Bilder pro Woche erzeugt werden.
Ab sofort ist auch Copilot pro erhältlich. Die Aufhebung der Limitierungen schlägt mit 22 € pro User pro Monat zur Verfügung und verspricht zusätzlich eine bessere Integration der KI in Office Apps.
Bevorzugter Zugang zu GPT-4 und GPT-4 Turbo auch in Spitzenlastzeiten für mehr Leistung und schnellere Bearbeitung Ihrer Aufgaben
Zugriff auf Copilot in ausgewählten Microsoft 365-Apps, um Dokumente zu entwerfen, E-Mails zusammenzufassen, Präsentationen zu erstellen und vieles mehr
Generieren Sie KI-Bilder mit DALL-E 3 im Querformat jetzt noch schneller mit Designer (früher Bing Image Creator) und 100 Boosts pro Tag
Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022!
Scheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht, dass es Windows 10 Systeme gibt, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops, die aus der Microsoft Vorlage installiert wurden, ist die Partition zu klein.
Die Sicherheitslücke selbst lässt sich indes nur ausnutzen, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist, kann man, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden.
Wurde die WinRE-Partition entfernt, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern, das das Update versteckt.
Die von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann, wenn – wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe Risiken.
Fazit: Wir hoffen, dass Microsoft diesen Patch nochmal repariert und eine sinnvolle Erkennung einbaut, ob überhaupt Bitlocker aktiv UND eine WinRE Partition vorhanden ist. Mit reagentc /info findet man das heraus.
Scheitern alle manuellen Lösungen von Microsoft und müsste man mit Drittanbieter Partitionstools arbeiten, ist es eher empfehlenswert, sich von der WinRE-Partition zu trennen, diese zu löschen, reagentc /disable einzugeben und das Update zu verstecken. Schließlich ist ja auch auf einem Bitlocker gesicherten System dann keine Sicherheitslücke existent.
am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt.
Zu beachten
Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind)
Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden – er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen.
Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß – wie die VPNs – über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar.
Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen.
Unsere Shop-Frontends sind nicht von dem Szenario betroffen.
Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab.
Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern.
Client-Software aktualisieren
Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn Server UND Client abgesichert sind, ist die Lücke nicht ausnutzbar. Stellen Sie bitte sicher, dass diese auf den neusten Versionen sind. Weit verbreitet sind die folgenden Anwendungen:
Filezilla Client (mind. Version 3.66.4)
PuTTY (mind. Version 0.80)
WinSCP (mind. Version 6.2.2)
Microsoft CO2-neutral vs. Elektronikschrott
In mehreren Werbekampagnen spricht Microsoft davon, bis 2030 klimaneutral zu sein. Dazu wird unter anderem „Windows Update ist jetzt CO2-fähig“ beworben. Schön, dass Microsoft etwas für den Klimaschutz tun möchte.
Mit Microsoft BING Image Creator erzeugt 😉
Wenn man kurz darüber nachdenkt und sich an die Hardware-Voraussetzungen für Windows 11 (aka. Vista 2.0) erinnert, wird Microsoft NICHT CO2-positiv, sondern CO2-negativ werden.
Eine Studie von Canalys kommt zu dem Schluss, dass viele Firmen ihre Rechner und Notebooks bis Oktober 2025 – #endoflife – ersetzen werden. Einige haben schon auf die die Enterprise LTSC 2019 Version mit Updates bis 2029 umgestellt oder setzen Azure Virtual Desktops (AVD) mit Windows 10 ein, das auch bis mind. 2029 Updates bekommen wird.
Die Unternehmen, die ohnehin alle vier Jahre die Notebooks und Rechner austauschen, können wir hier nicht abziehen, denn im Zweitmarkt für Gebrauchtgeräte lassen sich Windows 10 Endgeräte nicht mehr weiterveräußern. Demnach zählen diese auch zum produzierten Elektronikschrott.
Canalys kommt zu der Annahme, dass wenn allein nur jeder fünfte PC/Notebook verschrottet wird, 240 Millionen Endgeräte im Elektronikschrott landen. Teile dieser Geräte lassen sich anteilig recyclen – aber auch dieser Vorgang erzeugt wieder CO2. Der Rest landet im Müll.
Bei einem durchschnittlichen Gewicht von 2kg (Notebook) oder 6kg (Desktop PC) – rechnen wir mal mit 4 kg – ergibt das 1,2 Millionen Tonnen Müll.
Zur Info: Ein 4 Jahre genutzter PC hat einen CO2 Fußabdruck von etwa 100 kg (78kg Herstellung, 12 kg Transport) hinter sich. Wird er nicht weiterverwendet, kommen rund 8kg für den Recycling-Prozess dazu). Dass neue PCs weniger Energie verbrauchen und dass Laptops grundsätzlich sparsamer sind, als Desktop-PCs macht nicht viel aus. Noch unwahrscheinlicher wird das Ziel, wenn man darüber nachdenkt, wie viel Strom die KI mehr verbraucht und verbrauchen wird.
Fazit: Ein hehres Ziel von Microsoft, bis 2030 klimaneutral zu werden, lassen sich nicht erreichen wegen Millionen Tonnen Elektronik-Schrott, die mit dem Supportende von Windows ab Oktober 2025 entstehen werden.
Appell an Microsoft: Setzt die Mindestanforderung für den System-Prozessor bei Windows 12 für Intel Core-I Prozessoren auf alle ab der dritten Generation, nicht ab der Achten. Damit werden nahezu alle derzeit im Betrieb befindlichen Rechner weiterbetrieben werden können. Dass Firmen weiterhin PCs auswechseln nach 4 Jahren und damit den Hardware-Markt ankurbeln ist davon unabhängig. Secure Boot und TPM zu fordern ist für die meisten Business PCs kein Problem. Auch können sie mit SSD und RAM vielfach aufgerüstet werden.
Diskutieren Sie in den Kommentaren mit…
Quellen: Canalys, Microsoft Blogs und Umweltbundesamt
Copilot – Bilderkennung
Ein weiterer Anwendungsfall für die KI aka. Microsoft #Copilot ist die Erkennung von Bildinhalten. Mit Speisen funktioniert das zwar in den meisten Fällen nicht (obwohl Zanderfilet an der Hautmaserung leicht zu identifizieren ist und auch Garnelen leicht erkennbar sind), versuchen wir es mal mit aktuellen Automodellen.
Ich habe in Showroom das neue CLE-Coupe (von vorne und hinten) und einen Maybach fotografiert, die Bilder in der Microsoft Copilot Seitenleiste hochgeladen und gefragt, um welches Auto es sich handelt…
Nach einem EPIC Fail – Der CLE von vorne wird als Porsche Cayenne SUV erkannt, ist die Erkennung von hinten besser trainiert (obwohl das Coupe von hinten Ähnlichkeit mit dem 911er hat). Den Maybach kennt Sydney (aka. Copilot:ininende) dann auch direkt von vorn:
Das soll Sie aber nicht davon abhalten, die Bildidentifizierung auch mal auszuprobieren. Gerade im technischen Großhandel eine Artikelbeschreibung anhand eines Fotos zu bekommen oder im Gartenmarkt kann es auch ohne die PlantNet App und deren Community hilfreich sein, Pflanzen zu identifizieren.
Microsoft Copilot im Enterprise Plan
Remote-Unterstützung Open-Source
Software für Remote-Unterstützung gibt es wie Sand am Meer. Beispiele dafür sind Teamviewer, PC-Visit und Anydesk. Alle haben jedoch gemeinsam, dass sie nur im monatlichen Abo ab rund 10 € pro Endgerät erhältlich sind. Nach oben hin ist der Preis teilweise exorbitant.
Während Ultra-VNC nur im LAN funktioniert, da die „Tunnel durch das Internet“ Funktion kompliziert zu konfigurieren ist, funktionieren die Bezahl-Programme von Endpunkt zu Endpunkt getunnelt – auch durch Firewalls hindurch – da außen herum der normale SSL Port 443 benutzt wird.
Zudem hat Microsoft angekündigt, seine in Windows 10+ integrierte Remotehilfe Funktion nur noch als Store App und für Windows 11+ weiterzuentwickeln. Bereits jetzt ist die Funktion bei Windows 10 deaktiviert.
Eine Alternative, die die Ende-Zu-Ende-Verschlüsselung unterstützt, Remotesteuerung (inkl. unattended Login, bei dem der Bediener nicht am Gerät sein muss) ist HopToDesk – derzeit Open-Source. Die Nutzung ist sowohl geschäftlich, als auch prvat erlaubt. Ob noch Bezahlmodelle dazu kommen, ist offen, man schreibt aber, dass die Basisfunktionen immer kostenlos sein werden.
Gut dabei ist: Wie beim Teamviewer Client muss man hier weder Client, noch Host installieren (kann es aber). Beide Seiten starten das Programm (mehrere Instanzen sind auf der Fernwarterseite gleichzeitig möglich) und der Kunde teilt dem Supporter seine angezeite ID (9 stellige Zahl) mit. Mit dieser verbindet sich der Supporter und Beide sehen, was auf dem Bildschirm des Kunden passiert.
Mit integriert sind ein Chat und eine Dateitransferfunktion.
Solange die Funktionalität nicht zugunsten eines Freemium Modells eingeschränkt ist, spricht wegen Open-Source erstmal nichts gegen den Einsatz der Software. Die Entwickler haben zwar den Firmensitz in den USA, eine Ende-Zu-Ende-Verschlüsselung durfte aber nicht einfach über den Verbindungsserver (man in the middle) „mitzuhören“ sein – auch nicht über den Patriot Act. Zumindest ist der Server ja aus der Verbindung raus, sobald die beiden Endpunkte verbunden sind. Somit fließen Daten Peer-to-Peer.
Bisher war #PSR (aka. Problem Step Recorder oder Schrittaufzeichnung) ein integriertes Werkzeug zum automatisierten Aufzeichnen von Klick-Aktionen am Bildschirm. Diese Bildschirmaufzeichnung enthält dann nur die Bilder, die Veränderungen durch Mausklicks/Benutzeraktionen abbilden.
Das Ausgabeformat ist .MHT (Multimedia HTML), eine im E-Mail MIME Format kodierte Webseite mit Bildern. In der Webseite stehen Beschreibungen, wo und wie geklickt wurde, in den Bildern sind die Veränderungen farblich (grün) gekennzeichnet. Am Ende wird die MHT Datei als ZIP-Archiv abgespeichert.
Da nur der Internet-Explorer das MHT-Format mit den integrierten Bildern darstellt und alle anderen Browser das nicht können, hatte ich das kostenlose, portable Werkzeug „MHT2HTM“ entdeckt. Es wandelt die MHT Datei in einen Ordner mit Webseite (main.htm, main.css) und apsgepackten JPG Bildern um.
#Endoflife – leider hat sich Microsoft entschieden, den PSR aus neu installierten Betriebssystemen zu entfernen. Bereits jetzt ist er unter die „Optionalen Features“ abgewandert und man kann ihn via Powershell oder das Immersive Control Panel deinstallieren.
Alternativen zum PSR
IMAGO 1.2 Step Recorder ist eine vergleichbare Alternative, die deutlich weniger kann und seit Jahrzehnten nicht weiterentwickelt wird. Nicht zu empfehlen.
ShareX ist in der Lage, Bildschirm-Aktionen in Echtzeit als .MP4 Video, auch mit Tonspur aufzuzeichnen. Man hat also mit einem Open-Source Tool, das auch Bildschirm-Fotos halbautomatisiert (ohne das man einen Dateinamen vergeben und von Hand abspeichern muss) erstellen kann, schon ein besseres Werkzeug als die „Ausschneiden und Skizzieren App“ zur Hand (die App kann bei Windows 11 auch Videos erstellen, diese aber nicht automatisch speichern.
ScreenToGif (Empfehlung der Redaktion) ist aus unserer Sicht der beste Ersatz für den PSR, ist eine kostenlose, auf Wunsch auf portable Anwendung, die sowohl jeweils ein Bild pro Benutzer-Aktion erstellen kann, als auch eine animierte GIF-Datei oder ein MP4-Video. Ebenso können die Frames des erstellten Video bearbeitet werden oder als Einzelbilder in einen Ordner gespeichert werden.
Tipp: Einstellung für Bilderstellung bei Benutzer-Interaktion
ScreenToGif (portable) aufrufen, Recorder
Einstellung: „pro Sekunde“ über das Lookup auf „Benutzerinteraktion“ stellen
Alle Bildschirmfenster auf dem Desktop minimieren und F7 drücken (mit F8 beendet man später die Aufnahme)
Der Editor öffnet sich, über Datei / speichern unter die Speichereinstellungen von „Animierter GIF“ auf „JPEG“ stellen, im Teilexport auf Ausdruck, beim Speicherort z.B. einen Ordner „Anleitung“ unter c:\temp anlegen und diesen Ort angeben
„Speichern“ drücken (unten)
Prüfung Workshop Copilot
Sie möchten Ihr Wissen zum Microsoft Copilot, Nutzen und Risiken vertiefen? Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
Workshop Copilot und andere KI
#KI Werkzeuge wie Microsoft #Copilot, Google #Gemini und #ChatGPT können Mitarbeitende produktiv bei ihrer täglichen Arbeit unterstützen. In dieser #Schulung bzw. diesem Workshop erlernen Sie die Voraussetzungen und erarbeiten an Beispielen den Nutzer der KI im geschäftlichen Alltag (siehe auch die Artikel im Blog dazu).
Seminarinhalte (Auswahl)
* Wissenstransfer: Vergleich der Anbieter und Verfahren im Überblick. * Prüfen der Voraussetzungen / Lizenzen zur Nutzung. * Vorbereiten der Werkzeuge / Anmeldung im Browser mit dem Geschäftskonto. * Microsoft 365 Copilot Chats im Rahmen der M365 Pläne. * Nutzung des Microsoft Designer mit dem Arbeitskonto nutzen. * Beispiele mit Google Gemini und Imagen, sowie ChatGPT (free). * Programmieren lassen: PHP-Skripte mit ChatGPT. * Musik-KI. Soundclips und Audio-Untermalung von Text und Bild. * Video-KI: Vorträge/Trailer mit KI erstellen. * Hinweise (keine Rechtsberatung) zu Gefahren und Risiken. * Was vermieden werden sollte -Praxisbeispiele- im Rahmen der KI. * Kombination von KI-Diensten für bessere Ergebnisse. * Praxis-Übungen anhand ausgewählter Beispiele.
Zielgruppe | Max. Tln
Systemkoordinatoren, Entscheider | 4
Voraussetzungen
Sysko Basis Qualifikation, Microsoft 365 Pläne vorhanden
Zeitrahmen
Dauer : ca. 6h, 09:00 bis 15:00 Uhr. Frühstückspause: 10:30-10:40, Mittagspause von 12:30-13:00, Kaffeepause: 14:00-14:10.
Remoteschulung (Schulung oder Workshop via Fernwartung) Fernwartung via Managed vpn betriebsbereit Administrativer Zugriff auf die Server und PCs Zugangsdaten zu den Microsoft Online-Portalen
Preisinformation
1.100 € zzgl. MwSt Festpreis unabhängig von der Teilnehmerzahl, der Leistungen wie Vorbereitung, Unterlagen, Prüfung enthält.
Onsite-Zuschlag (Durchführung vor Ort)
Dieser Workshop wird nicht Onsite angeboten
Mustervorlage: VB-0xxxxx
Microsoft Copilot und Datenschutz
Während die kostenlosen Zugriffe auf Microsoft BING Chat (a.k. ChatGPT 4) und den mit Windows 10 und 11 verteilten #Copilot Chatprompt, sowie die direkten oder indirekten Zugriffe auf Bing Image Creator (aka. Dall-E 3.0) alle eingegebenen Informationen öffentlich im Internet speichern und auch ausgewählte generative Bilder veröffentlichen, gibt es im Rahmen ausgewählter Microsoft 365 Pläne seit Dezember 2023 die Variante „Bing Chat Enterprise“, sowie das daraus aufgerufene Datenmodell „Bing Image Creator Enterprise“.
Basis für die Anmeldung ist dabei die EntraID (ehemals Azure Active Directory Anmeldung). Man meldet sich also (hierfür ist derzeit noch der Edge-Browser erforderlich, der aber nicht Standardbrowser sein muss) mit seinem Arbeitskonto im Edge Browser an und ruft bing.com auf. Hat man nun einen unterstützten Microsoft 365 Plan, ist man in einem Bing Chat Enterprise (Copilot) unterwegs, der die Prompts zwar zum Training benutzt, nicht aber der Person zuordnen kann und auch erstellte generative Bilder nicht im Internet speichert.
Welche Pläne erlauben Bing Chat Enterprise?
Microsoft Copilot (früher Bing Chat Enterprise) fügt kommerziellen Datenschutz für berechtigte Benutzer hinzu, die mit Geschäfts-, Schul- oder Unikonten (Entra ID) angemeldet sind. Derzeit ist kommerzieller Datenschutz in Copilot für Benutzer mit einer berechtigten Microsoft 365-Lizenz verfügbar:
Microsoft 365 E3
Microsoft 365 E5
Microsoft 365 F3
Microsoft 365 Business Standard
Microsoft 365 Business Premium
https://learn.microsoft.com/de-de/copilot/manage
Der grün markierte Plan ist derzeit der mit dem besten Preis/Leistungsverhältnis, da er im Cloud-Einsatz die benötigten Einzelpakete zu einem günstigeren monatlichen Gesamtpaket vereinigt.
es werden keine Prompts und Ausgabe-Daten dauerhaft gespeichert
Anfragen und Ergebnisse stehen nur dem User zur Verfügung
Bilder werden nicht in öffentlichen Galerien veröffentlicht, sondern stehen nur während der Browser-Sitzung dem User zum Download bereit
im meistgenutzten Microsoft 365 Plan ist die Nutzung inbegriffen
Nachteile: 1
Wer keine Microsoft 365 Pläne oben aus der Liste nutzt, geht leer aus und sollte die KI nicht geschäftlich nutzen
Fazit und Workshop
#Erfreulich – wenn Sie bereits die Microsoft 365 Business Premium Pläne im Unternehmen einsetzen, können Sie die verbesserten Datenschutzfunktionen des Copilot Enterprise nutzen.
Angebot: Wir bieten Ihnen einen Individual-Workshop an, um gemeinsam mit Ihnen die Voraussetzungen und neuen Möglichkeiten der datenschutzkonformen Nutzung der KI anhand ausgewählter Beispiele zu verdeutlichen und die Gefahren aufzuzeigen.
Wenden Sie sich an die Redaktion über das Schulungs-Anmelde-Formular oder kontaktieren Sie uns über die gewohnten Wege.
Google Smartphone – Ärger mit dem Dativ
Aktuell bewirbt Google sein neues Smartphone. Neu ist eine KI Funktion „best take“ – „Beste Aufnahme“. In der Werbung wird das Feature vorgestellt. Leider scheitern die Übersetzer kläglich an der Grammatik – oder an der Rechtschreibung – wie man’s sieht.
Gemäß dem Motto „Genitiv ins Wasser – Dativ“ erscheint im Spot ein Abbildung des Telefons mit der Unterschrift:
Google Pixel Pro – mit Beste Aufnahme
Aus „with best take“ wird einfach „mit Beste Aufnahme“. Wenn man schon englische Bezeichnungen übersetzt, dann bitteschön in „Anführungszeichen“ zusammenfassen. Dann doch lieber denglisch lassen!
Vermutlich bekommt man das Smartphone während der black week „zu das beste Preis“, in Kleinanzeigen auch bekannt als Festpreis „VB“ – „Veste Breis“ – nicht etwa „Verhandlungsbasis“, wie mancher Zeitgenosse meint.
KI: Was macht eigentlich?
Neben der Bildgenerierung eignet sich die #KI (aka. BingChat Enterprise) am Besten für Formulierungen. So wollte ich schon immer wissen, was ich arbeite. Der Prompt „Patrick Bärenfänger von der GWS bei der Arbeit“ liefert das folgende Ergebnis:
Patrick Bärenfänger ist ein IT-Security Manager und -Auditor bei der GWS, einem Unternehmen, das IT-Lösungen für den Mittelstand anbietet. Er ist seit über 32 Jahren in der IT-Branche tätig und hat sich auf die Ausbildung und Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen spezialisiert1. Er ist auch ein Autor von Tech-Nachrichten, einem Blog, in dem er über verschiedene Themen rund um die IT-Sicherheit, Softwareversionen und Veranstaltungen berichtet1.
Bei der Arbeit ist Patrick Bärenfänger verantwortlich für Schulungen für Systemkoordinatoren, in denen er ihnen professionelle Methoden, Werkzeuge und Voraussetzungen vermittelt, um die IT-Sicherheitsaufgaben ortsunabhängig oder delegiert durchführen zu können. Er ist auch an verschiedenen Projekten beteiligt, wie zum Beispiel dem IT Sicherheitstag des Arbeitskreises für IT Management des ZGV Mittelstandverbunds, der im Juni 2022 bei der GWS in Münster stattfand. Dort gab er einen Einblick in die Rolle der Systemkoordinierenden in Zentralen und auf Mitgliederseite und wie sie zur Reduzierung von Schadenereignissen beitragen können3.
Patrick Bärenfänger ist ein Experte in seinem Fachgebiet und ein wertvoller Mitarbeiter bei der GWS. Er ist immer auf dem neuesten Stand der IT-Sicherheitslage und teilt sein Wissen gerne mit anderen. Er ist auch ein begeisterter Blogger, der seine Leser über die neuesten Entwicklungen und Trends in der IT-Welt informiert.
Bing Chat Enterprise mit EU-DSGVO Datenkonformität
Bing Chat erstellt ein Bild dazu: Aha, ich fange keine Bären, sondern bin ein Bär, der was fängt 😮 Dazu benutzt er eine Angel-Büchse von Steyr-Mannlicher.
ImageGlass Viewer 9 verschlimmbessert
Bis Version 8.x (Kobe) ist ImageGlass Viewer immer noch mein Favorit. V8 lässt sich auch ECHT portabel ohne Zusatzkomponenten einsetzen.
Mit dem heute veröffentlichten #ImageGlass Viewer 9 gibt es zwar einen „portable“ Download, den man auf einen USB-Stick kopieren und ausführen kann, es müssen auf dem Zielsystem aber zunächst sowohl die .net Desktop Runtime mit 200 MB und drei Diensten, die im Hintergrund laufen, auch wenn keine andere Software sie nutzt installiert werden. Außerdem zusätzlich (rund 700 MB) die Edge Webview2 Runtime, die auch gleich den unerwünschten Browser „Microsoft Edge“ bei Windows 10 mit installiert und ca. 6 geplante Tasks mehrfach täglich im Hintergrund laufen lässt.
Zudem wurden nützliche Features und Einstellungen aus der Software entfernt – wie der integrierte EXIF-Viewer oder der Scrollbar in der Dialeiste. Dieses Feature muss nun als zusätzliche App installiert werden. Müllt das System alles nur zu!
Mit dem Update im Dezember 2024 wird Microsoft eine EU-Gesetzgebung umsetzen, nach deren Vorgabe sich der Edge bei Windows 10 und Windows 11 deinstallieren lassen muss. Derzeit kann man die Einstellungen als Insider in einer .json Datei setzen und die unerwünschte Bloatware wird entfernt.
Bei paint.net gibt es eine ECHTE „Portable“ Version, die .net und alle Bibliotheken enthält und auch nur 60 MB groß ist die ZIP. Sie funktioniert auf jedem sauberen (vanilla) Windows 10 System!
Mal sehen, ob der Entwickler auf den „Feature Request“ in Github reagiert und auch so eine Version packt, die im User-Kontext läuft und keine Zusatzkomponenten installiert braucht!
Fazit: Bis zur Version 8.10.27.9 bleibt der ImageGlass Viewer die Empfehlung der Redaktion – als schlankes, speichersparendes Programm, dass sich auch ressourcenschonend auf AVD und Terminalservern einsetzen lässt.
Mit dem Dezember Update (oder wer es früher auf dem Rechner haben möchte mit dem optionalen Windows Update am 24.11.2023) verteilt Microsoft seinen Copilot nun auch an Windows 10 (22H2) Endgeräte. Die „Scharfschaltung“ der Funktionalität erfolgt dann zeitversetzt einige Wochen später. Je nach Microsoft 365 Abomodell lassen sich mit einem Geschäftskonto Funktionen der künstlichen Intelligenz abrufen. Microsoft spricht von einem Nachfolger des eingestellten „Cortana“ Assistenten. Auch mit einem Microsoft Konto stehen grundlegende Funktionen limitiert zur Verfügung. Aus Datenschutzgründen sollte der Copilot aber nur mit einem Geschäftskonto im Rahmen des Microsoft Tenants benutzt werden.
Da Windows 10 noch immer einen Marktanteil von über 78% hat und nicht zu erwarten ist, dass Firmen Millionen Tonnen von Elektronikschrott produzieren, weil sie funktionsfähige PCs, die drei bis fünf Jahre alt sind, verschrotten, rechnet sich die KI für eine Plattform Windows 11 mit mittlerweile geringerem Marktanteil (knapp 7% Pro/Enterprise, 18% Consumer-Versionen) als apple MAC-OS (rund 20%) vermutlich nicht.
#Witzig – Bei „Copilot“ muss ich als Erstes an eine Filmkomödie der Regisseure Abrahams/Zucker aus dem Jahre 1980 mit Leslie Nielsen denken: „Die unglaubliche Reise in einem verrückten Flugzeug„. Der beschriebene „Filmcharakter“ heißt zwar in der deutschen Fassung „Autopilot“, sitzt aber auf dem Sitz des Copiloten im Flugzeug. In der Szene verliert der Copilot Luft (wie Microsoft auf der Windows 11 Plattform). Legendäre Filmzitate vorher im Film „Mein Name ist Roger Murdock. Ich bin der Copilot“ und der Dialog zwischen Roger, Victor und Over „We have clearance, Clarence. Roger, Roger. What’s our vector, Victor?“
Wer diese Art von Humor mag, gebe bitte gern auf Google die Suchbegriffe „Copilot aufblasen“ oder „Roger Victor Vector over“ ein. Ein 2-Minuten Clip (den ich aus Copyrightgründen hier nicht verknüpfe) erläutert Details 🤣.
KI-Bild zum „Copilot“ erstellt mit Bing Image Creator unter Assistenz von Dall-E
Neue Outlook-App – noch nicht einsetzen
Microsoft zeigt in der Outlook Windows-Anwendung oben rechts einen Schieberegler „Neues Outlook“ an. Wir berichteten darüber, dass Sie eine Gruppenrichtlinie benötigen, um diese Meldung zu unterdrücken.
Mittlerweile ist die App keine Vorabversion „Preview“, sondern veröffentlicht. Im Prinzip handelt es sich um in eine Microsoft-Store App, die den als OWA (Browser-App von Microsoft 365 Outlook) bekannten Webdienst umhüllt.
Was spricht dagegen?
Update 22.11.2023: Inzwischen warnen auch einige Landesdatenschutzbehörden vor dem Einsatz der „neuen Outlook-App“. In ausführlichen Begründungen der Juristen heißt es, Microsoft erfülle die Vorgaben der DSGVO nicht hinreichend.
Die Funktionalität im Browser ist bei weitem noch nicht an der des installierbaren Programms angekommen. Mails können zwar damit empfangen, Termine und Kontakte bearbeitet oder erstellt werden.
Generell gilt aber: Gegenüber der Win32-Anwendung sind dazu mehr Mausklicks möglich, Tastenkombinationen fehlen oder funktionieren nicht. Ein Beispiel: Ein vorhandenen Termin bearbeiten. Bei Klick kommt zunächst nur eine Zusammenfassung des Termins, dann auf „Bearbeiten“, dann auf „erweitert“ klicken, um z. B. den Status „Abwesend“ oder das Flag „Privat“ zu setzen. Beim Programm kommt sofort der komplette Bearbeitungsmodus und im Ribbon Menü sind alle möglichen Einstellungen mit einem Mausklick zu tätigen.
Alle Schnittstellen (auch die für MDE-Geräte) fehlen, selbst die Teams-Integration funktioniert schlecht bis gar nicht – weil es ja kein Addon für die Outlook app gibt.
Es gibt keinen „Offline-Modus“, d.h. man braucht eine Internetverbindung, um die Mails/Kalender zu sehen.
Es lassen sich keine POP3 oder IMAP-Konten einrichten, lediglich die Anbindung von outlook.com und GMX soll möglich sein (das ist allerdings nur schlecht für kleinere Unternehmen, die Ihre Mails beim Provider abfragen). Kritisch dabei: Microsoft übermittelt eine große Menge Daten der App, es werden Zugangsdaten und E-Mails von Drittanbieter-Konten an Server, die nicht sicher im Schengen-Raum der EU stehen. Derzeit brennt eine heiße Diskussion mit deutschen Datenschützern darüber. Es ist mit Klagen zu rechnen.
Richtlinie, die den Microsoft Store sperrt ausrollen. Zur Geräteverwaltung kann Intune verwendet werden. Wenn man Apps aus dem Store für Geschäftseinsatz benötigt, können die Admins diese im Unternehmensportal hinterlegen und die Unternehmensportal-App verteilen.
Solange die Windows-Anwendung von Outlook noch in den Microsoft 365 Business Plänen enthalten ist, ist diese Anwendung zu empfehlen, da sie den besten Leistungsumfang und höchsten Bedienkomfort neben der Offline-Fähigkeit bietet.
Exchange Server On-Prem Risiko hoch
Wenn in Programmen Sicherheitslücken entdeckt werden, leisten viele Hersteller im Rahmen der Lebenszyklen von Software Sicherheitsupdates. Aber: Syskos bzw. Admins sind verpflichtet, diese zeitnah zu installieren. Sonst nehmen Versicherungen Kürzungen der Leistungen vor.
Aus Sicht der Geschäftsführenden oder Entscheider hat das potentielle Risiko eine höhere Bedeutung als die für den Einsatz der Software aufgewendeten Kosten. Schließlich müssen auch die administrativen Tätigkeiten bezahlt werden, da das Fachpersonal während des Patchens keine anderen Aufgaben wahrnehmen kann.
Durch Umstellung auf Exchange online verlagern Sie das operative Risiko auf die Microsoft Deutschland GmbH. Diese müssen erkannte Sicherheitslücken sofort schließen, im Schadenfall sind sie normalerweise regresspflichtig.
Microsoft hat derzeit Exchange Server 2019 (Nutzungsrechte per Kauf (mit oder ohne Wartung) auf der Produktliste. Dabei kostet der Server rund 1.000 € und pro Nutzer jeweils eine Zugriffslizenz von etwa 150 €. Hinzu kommen die Kosten für Einrichtung und die Wartungs- und Betriebskosten, sowie Hardware-Ressourcen (128++ GB RAM, 4 vCPUs, schnelle SSDs mit rund 1TB Speicher oder mehr).
#Wichtig – die Gefahr dabei: Wie aktuell (November 2023) sind vier #Sicherheitslücken mit unterschiedlichem Wirkungsgrad entdeckt worden. Eine davon wurde von Microsoft geschlossen, sie bleibt aber solange gefährlich, bis der Admin den Patch auf dem Exchange Server installiert hat.
Lösung: Lassen Sie zeitnah Ihren Microsoft #Exchange Server 201x, egal, ob er in Ihren Räumlichkeiten oder in einem Rechenzentrum (Housing) für Sie bereitgestellt wird, auf Exchange online umstellen.
Nebeneffekt. Alle derzeit verfügbaren Office 201X Versionen bekommen ab Herbst 2026 oder bereits ab Oktober 2025 keine Sicherheitsupdates mehr. Mit dem Microsoft 365 Business Premium Plan erhalten Sie neben dem vorgeschriebenen E-Mail-Archiv Viren- und Spamschutz für E-Mails, Virenschutz für das Endgerät, Exchange Online-Postfach, 1 TB Cloudspeicher (EU-Datenschutz-Grenze) pro (User-)Lizenz, alle Office-Anwendungen als installierbares Programm mit Remote-Nutzungsrechten für On-Prem und die Cloud, Sharepoint für gemeinsames Arbeiten an Dateien, die Teams-Lizenz.
Zusätzlich ist Microsoft EntraID Plan 1 enthalten, der es Ihnen ermöglicht, die bald erzwungene 2-Faktor-Authentifizierung (2FA) auch mit anderen Mitteln als der Authenticator-App auf einem Dienst-Handy durchzuführen. Details haben wir in einem separaten Artikel hier im Blog für Sie zusammengefasst.
Unsere von #ALMEX produzierten #MDE Geräte der TI/TX und TC601 Serien können dank einer eigens für diese Geräte entwickelten Software auch Offline betrieben werden. So erfordert beispielsweise die Inventur keine WLAN oder Mobilfunkverbindung zwischen Gerät und Server.
Mit der Dynamics 365 Business Central App (bzw. beim RTC bis BC140 mit dem Client in einer Terminal- oder Azure Virtual Desktop Sitzung) kann man die Geräte bei Verfügbarkeit einer WLAN Infrastruktur auch online betreiben – beispielsweise für den Wareneingang oder permanente Inventur.
Mischen impossible 😉
Mischen sollten Sie die beiden Betriebsarten auf demselben Gerät jedoch nicht. Also entweder die Dynamics 365 BC App oder den RTC-Client für online-Betrieb mit WLAN oder die Almex Android-App für den Offline Betrieb.
Technischer Hintergrund
sobald die Offline app einmal gestartet wird, die Scan-Buttons augenblicklich deaktiviert werden. Da hilft auch kein Neustart, der Haken muss dann wieder manuell gesetzt werden. Wenn der Kunde das weiß kann er gerne eine Offline Inventur planen, er muss dann nur halt selber die Einstellungen bei allen Geräten prüfen:
Die Offline app sollte auf Grund dieser Inkompatibilität deinstalliert, oder zumindest aus dem Kiosk Mode entfernt werden, damit sie nicht versehentlich gestartet wird auf einem online genutzten Gerät.
s.dok Archiv aktualisieren bis März 2024
Innerhalb definierter Support-Zeiten bringt auch d.velop, unser Partner für unsere s.dok Dokumenten-Management Lösung, Sicherheitsupdates für das Produkt heraus. Derzeit ist Version 8.1.0.x aktuell. Das „x“ steht dabei für den Patchlevel (beispielsweise: .41 oder .50).
Am 31. März 2024 werden keine Sicherheitsupdates mehr veröffentlicht – #endoflife. Für ältere Versionen als 8.1 von s.dok gilt das bereits jetzt.
Bitte finden Sie über „Systemsteuerung/Programme und Funktionen“ die Version Ihres s.dok Servers heraus und kontaktieren unsere Archiv-Fachspezialisten für ein mögliches Update oder Upgrade.
Gleichermaßen gilt: Wenn Sie noch die IBM DB2-Datenbank auf Ihrem s.dok Server im Einsatz haben (erkennbar am grünen Datenbanksymbol „DB2COPY“ in der Taskleiste links neben der Uhr), benötigen die neuen Versionen eine Microsoft SQL-Server 2016 oder 19 Standard Lizenz. Im Regelfall werden alte Server dazu neu installiert und die Dokumente/Daten vom alten s.dok Server auf den Neuen migriert.
Veröffentlichung zum Supportende von d.velop
Office und M365 auf RDS-Server
Heute geht es um Best Practice #Lizenz Einsatz auf Terminalservern. Während beim Einsatz im Azure Virtual Desktop (Nachfolger von RDS-(Terminal-)servern) der Business Premium Plan für die Nutzung der installierten Office Apps erforderlich ist, dürfen Office 2021 (Std oder Proplus) LTSC Perpetual Lizenzen (früher: Open oder Select+ Volumenlizenzen mit Software-Assurance) auch auf #On-Premises betriebenen RDS-Servern eingesetzt werden.
Allerdings liegt durch die Verkürzung der Supportdauer von 10 Jahren (Office 2016) auf 7 Jahre (Office 2019) und 5 Jahre (Office 2021 LTSC) das Support-Ende bei spätestens Oktober 2025. Ab jetzt erhält Office 2021 LTSC (auch mit Software Assurance) also noch knapp 2 Jahre Sicherheitsupdates.
Möchte man auf seinen RDS-Servern sowohl das eine, als auch das andere Produkt einsetzen, ist das mit nur einem Terminal-Server nicht realisierbar.
Zwar haben beide Lizenzen seit 2022 den gleichen Vertriebskanal (CSP), sind aber unterschiedliche Produkte. Mit dem höherwertigen Produkt können auch nur kleinere Editionen desselben Produkts genutzt werden.
Microsoft 365 Business Premium Pläne sind pro natürlicher Person zu lizenzieren. Die Anmeldung am „Office“ erfolgt über die jeweilige Entra-ID (ehemals Azure AD-Anmeldung) des Benutzers.
Office 2021 LTSC (Volumenlizenzen mit Software Assurance => CSP) sind pro Gerät lizenziert. Der Terminalserver wird über einen MAK oder KMS und einen Shared Activation key aktiviert. Auf dem Terminalserver müssen also Geräte zugeordnet werden, die fest der Lizenz zugewiesen sind. Nur von diesen Geräten aus darf Office 2021 aufgerufen werden. Da man technisch keine Geräte zuordnen kann, muss das organisatorisch gelöst und dokumentiert werden.
Im Beispiel-Szenario ist auf dem Terminalserver Office 2021 LTSC Standard installiert. Ein Microsoft 365 Benutzer greift also auf ein Geräte-lizenziertes Produkt zu, da das aufgerufene Produkt ja auf dem Server so aktiviert wurde. Im Gegensatz zu einem installierten Microsoft 365 Plan erfolgt keine Anmeldung/Aktivierung am Office mit dem User. Meldet sich ein User, (egal ob M365 oder O2021) am Terminalserver mit dem installierten und aktivierten Office 2021 von einem End-Gerät aus an, dem KEINE Office 2021 LTSC Gerätelizenz zugeordnet ist – besteht ein Lizenzverstoß.
Einzige Möglichkeit, das sauber abzugrenzen, ist
einen Terminalserver mit Microsoft 365 -> Anmeldung über Entra ID (Das aufrufende Gerät ist damit egal, weil ja die Sitzung an der Entra-ID mit M365 Lizenz hängt)
und einen weiteren Terminalserver mit Office 2021 LTSC mit dem MAK/KMS+Shared-Activation key und einer festen Zuordnung zu zugelassenen Geräten (organisatorisch und mit einer AD-Gruppe dokumentieren: In dem Fall dürfen sich AD-User nur an solchen Geräten unter RDP anmelden)
zu betreiben.
„Mischen impossible“ – das Mischen und Zuordnen von Microsoft 365 Plänen und Office 2021 LTSC Perpetual Volumenlizenzen erfordert das Verteilen der beiden Produkte auf mindestens 2 Terminalserver – bzw in größeren Umgebungen auf Terminalserver zweier Farmen. Die Zuordnung eder 2021 Terminalserver erfolgt für 2021 auf Gerätebasis, bei Terminalservern mit installiertem Microsoft 365 meldet sich der Nutzer mit seiner Entra-ID an.
Für installierbare Office-Apps in Azure-Cloud Umgebungen kann nur der Microsoft Business Premium Plan genutzt werden.
Quelle: Microsoft Volume Licensing Guides und product use rights für CSP-Lizenzen
Security Information and Event Management
Das „Security Information and Event Management“, kurz #SIEM sammelt sicherheitsrelevante Vorkommnisse und Ereignisse auf, konsolidiert sie und stelle sie in Auswertungen zusammen. Bei Bedarf können je nach Produkt und Geldbeutel Alarme generiert oder auch automatische Aktionen eingeleitet werden.
Es gibt zahlreiche Anbieter von SIEM Lösungen für On-Premises Betrieb. Die Preise sind Premium, weil bisher nur große Konzerne oder Banken und Rechenzentralen SIEM einsetzen.
Server in der #Azure IaaS Cloud – Für alle. die statt Hardware-Servern in die Azure IaaS Cloud wechseln oder bereits signiert sind, gibt es von Microsoft eine SIEM-Cloudlösung in Azure.
Da wir zu dem Thema aber so gut wie keine Anfragen bekommen (haben), leisten wir für diese Module auch keinen Support und es benötigt eine gewisse kritische Masse (Kundenzahl), um hier zu investieren.
Fazit: Wir bieten keine SIEM-Lösungen für On-Prem-Betrieb an. Für Azure IaaS wäre der Vertrieb eines Azure Moduls möglich (reiner CSP-Vertrieb), wir leisten aber keinen Support und keine Dienstleistungen zur Einrichtung.
Teams 2.1 Ordnerablagen geändert
Das neue Teams Version 2.1 ist nicht nur schneller, sondern auch im Gegensatz zum Vorgänger 1.6 keine Electron-Anwendung mehr, die man über eine EXE im User-Kontext installieren kann.
Stattdessen kommt ein MSIX-Installer, der über eine Gruppenrichtlinie vom Administrator ausgerollt werden kann. Teams 2.x funktioniert nur mit Arbeits (und Schul-) Konten. Wer zwischen alter und neuer Version wechseln möchte, lässt eine Weile lang beides installiert.
Auch neu: Wer einen Microsoft 365 Plan hat, kann wegen der EU-Anforderung nun auch für 2€ weniger im Monat Office-Pläne OHNE Teams bekommen. Benötigt man es dann wieder, kostet Teams Standard 5€ pro Monat. Immer zusätzlich sind die Telefonie-Option und die Premium Edition von Teams.
Wer privat mit einem kostenlosen Microsoft-Konto unterwegs ist, muss weiterhin das alte Teams 1.6 verwenden, das nun Teams Classic heißt. Teams 1.6 Classic funktioniert auch weiterhin zusätzlich mit Geschäftskonten.
Auch die Ablageorte für Hintergrundbilder haben sich geändert.
# Stammordner für Settings und Bilder
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams # Eigenen Hintergrundbilder sind hier
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\Backgrounds\Uploads # Datencache und Einstellungen. Mehrere GB groß
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\EBWebView # Protokolldateien
C:\Users\%username%\AppData\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\Logs
Windows Server 2012 R2 Supportende
Nur zur Erinnerung – #endoflife. Mit dem Patchday am 10. Oktober 2023 liefert Microsoft die letzten #Sicherheitsupdates für Windows Server 2012 R2 aus, die nicht in der Azure Cloud betrieben werden (also für alle Kauf-Versionen ungeachtet, ob Sie eine Software-Assurance mitgebucht haben oder nicht.
Der Betrieb von 2012 R2 Servern ist damit ein potenziell deutlich höheres Risiko, die Gefahr einer Infektion und Ausbreitung von Schadsoftware damit gegeben. Spätestens, wenn zum Patchday November 2023 für neuere Betriebssysteme Lücken geschlossen werden.
Modernisieren Sie vorhandene Server 2012 R2 auf neuere Server-Betriebssysteme (2016, 2019 oder 2022) oder bringen die Server in die Microsoft Azure IaaS Cloud, falls Sie Software weiterbetreiben müssen, die nur auf dieser 10 Jahre alten Plattform lauffähig ist. Für die Beurteilung Ihrer Cloudfähigkeit lassen Sie bitte einen Cloud Readiness Check durchführen.
Outlook Popup-Fehler behoben
Im aktuellen (monatlichen) Update-Kanal von Microsoft (Office) 365 hatte sich mit den September-Updates ein Fehler eingeschlichen, der dazu führte, dass Outlook (die Desktop-Win32-Anwendung) bei jedem Start meinte, sie wäre nicht richtig geschlossen worden.
Die Frage, ob man vorige Fenster wieder öffnen wollte, nervte bei jedem Start. #Erfreulich: Eine Woche später rollt Microsoft nun eine Problemlösung dazu aus, die im Current (aktuellen) Kanal automatisch verteilt wird.
Der dazu notwendige Build ist 16.0.16827.20130.
Sollte das Update bei Ihnen (so Sie denn das Problem haben) nicht automatisch verteilt werden, können sie es über das Menü: Datei / Office Konto / Update-Optionen / Jetzt aktualisieren einer beliebigen Office Anwendung anstoßen.
Sollte das Problem (näheres ist nicht bekannt) auch in den Kaufversionen auftreten, müssen Sie bis zum nächsten Patchday im Oktober 2023 warten. Eine alte, unsichere Version von Office zu installieren, ist nicht empfehlenswert.
WebP - Sicherheitslücken zahlreich
Kurz notiert, aber #wichtig – In einer von zahlreichen Softwareprodukten genutzten Grafik-Bibliothek „libwebp“ sind kritische Sicherheitslücken festgestellt worden. Auf einer Skala von 10 mit Risiko 10 bewertet. Die Referenz ist: CVE-2023-5129.
Eines der betroffenen Produkte ist auch Libreoffice, das einige von Ihnen beispielsweise zum Erstellen von PDF-Formularen benutzen. Aber auch einige kostenlose Grafiklösungen sind betroffen.
Grundsätzlich gilt: Aktualisieren Sie Libreoffice auf Version 7.6.2.1 und recherchieren Sie, ob weitere Software, die Sie im Einsatz haben, betroffen sein könnten. Bei Unsicherheit ist es immer eine gute Idee, alle Tools, Werkzeuge und frei Software auf dem aktuellen Stand zu haben.
Update 07/2024: #Erfreulich – Die Zuordnung von „Device Lizenzen“ ist mittlerweile auch für IaaS- und On-Prem-Umgebungen, bei denen kein Microsoft 365 Tenant im Einsatz sit (Lizenzierung über .FLF Datei) wieder (technisch) möglich.
Dazu müssen zunächst alle „Devices“ in die Geräteliste eingetragen und mit deren MAC-Adresse verknüpft werden. Administration -> Allgemein -> System -> Geräte
In der jeweiligen Gerätekarte ist (gemäß product use rights: Business Central Device licenses provide limited access to a subset of Business Central capabilities) der Gerätetyp auf „Eingeschränkt“ zu setzen, da mit „Vollständig“ die komplette Funktionalität zur Verfügung steht.
Den Active Directory Benutzer nennt man am Besten wie das Gerät, z-B. Kasse23. In Business Central dann die Benutzer-Liste aufrufen, ein neues Objekt erstellen und mit dem AD-Konto verknüpfen. Unter „Lizenztyp“ ist „Device only user“ auszuwählen bzw. „Einziger Benutzer des Geräts“.
Zweiter Vorteil: Das oben beschriebene Verfahren mit den Geräte-Karten lässt sich nun auch für die SaaS-Lösung verwenden. Die umständliche Konfiguration der alten BC-Versionen ist damit vom Tisch.
Ursprungs-Artikel
Mit Version 18 von Dynamics 365 Business Central hat Microsoft für die erforderliche Dynamics 365 Business Central Essentials Lizenz auch die Möglichkeit geschaffen, Geräte zu lizenzieren. Dies gilt aber laut Nutzungsbedingungen nur dann, wenn die Essentials Device Lizenz im Microsoft 365 Portal eingetragen und dem Gerät zugeordnet ist. Mit der Geräte-Lizenz sind dann auch nur sehr eingeschränkte Funktionen aus dem BC-Core möglich – wie Wareneingang im Lager oder Artikelerfassung.
Dazu wird im Azure-AD eine Gruppe angelegt, die die natürlichen Personen enthält, die an diesem Gerät arbeiten. Im Browser und in der App meldet sich dann das AAD-Benutzer-Objekt an, dem die Lizenz zugewiesen ist, oder aber ein Benutzer aus der Gruppe. Zum Rechtsnachweis sind alle potenziellen natürlichen Personen in der Gruppe enthalten, die am Gerät arbeiten, bzw. sich im Browser dort anmelden.
Ist die Lizenzdatei noch die klassische .FLF-Datei in der Datenbank, erfolgt die Anmeldung an #gevis aus Kompatibilitätsgründen über das herkömmliche Active Directory. Mit Version 18 unterstützt Microsoft diese Methode aber nicht mehr, so dass bei On-Prem und IaaS Installationen nur die Named-User-Lizenzierung genutzt werden kann.
Fazit
gevis ERP | SaaS und gevis ERP | VEO, sowie das von unserer DoIT-Business Unit vertriebene Microsoft 365 Business Central als SaaS Lösung unterstützen Lizensierung über das Microsoft 365-Portal in einer Azure-Gruppe. Device Lizenzen lassen sich so realisieren
gevis ERP | BC (On-Prem und IaaS, Lizenzierung über .FLF-Datei) können unter den oben genannten Bedingungen wieder als „Device User“ verwendet werden – alternativ werden sie über das Modell „Full User“ mit named Usern (=naturlichen Mitarbeitenden) lizenziert.
Weil einige von Ihnen beispielsweise bei Vodafone West Business (ehemals Unitymedia) Internet-Leitungen im Einsatz haben und der Standard-Grenzrouter (bzw. Kabelmodem) AVM Fritz!box Cable 6490 oder 6691 sind, hier der Hinweis, dass AVM in allen Routern eine kritische Sicherheitslücke geschlossen hat und – auch für sehr alte Geräte das Sicherheitsupdate anbietet. Das gilt auch für Repeater wie Fritz!Box 1750E oder neuer. Updates gibt es im Übrigen nicht nur für Kabelmodems, sondern für alle Fritz-Produkte.
Die sicheren Versionen sind entweder: 7.57 oder bei ganz alten Modellen 7.31.
Da Sie das Update nur bei frei gekauften und nicht bei vom Provider im Mietverhältnis bereitgestellten Boxen über die Oberfläche installieren können, bzw. es nur dort bei der passenden Einstellung automatisch installiert wird, hier die sicherste Vorgehensweise bei Kabel-Mietboxen:
#Wichtig – machen Sie die Boxen für mindestens 5 Minuten stromlos. Stecken Sie den Stromstecker wieder ein und warten ca. 20 Minuten, bis das Update provisioniert und installiert wurde.
Wenn Sie die „Stromlos“ Aktion nicht durchführen, kann es mitunter mehrere Wochen dauern, bis Ihr Provider das Update an einem Morgen um 0600 Uhr zwangsweise installiert.
Tipp: AVM vodafone Sicherheitsupdate beschleunigen durch Box stromlos für 5 Minuten
Notepad++ Sicherheitslücke geschlossen
Weil der nützliche Editor doch sehr weit verbreitet ist, ist die folgende Meldung eine Notiz wert:
Nachdem bekannt wurde, dass im Notepad++ vier offene Sicherheitslücken klaffen, hat der Chefentwickler das Update 8.5.7 veröffentlicht. Die geschlossenen Sicherheitslücken sind CVE-2023-40031, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166. Außerdem wurde die uninstall.exe digital signiert.
Mit einer der Sicherheitslücken konnte man durch Öffnen eines präparierten Dokuments Angreifern die Ausführung von Programmen und damit die Kontrolle über Systeme erlauben.
#Wichtig – aktualisieren Sie bitte dringend alle Ihre Systeme durch Notepad++, Version 8.5.7, um auf der sicheren Seite zu sein.
#Microsoft arbeitet derzeit mit Hochtouren am Release 2.1 von Teams für Windows-Desktop. Derzeit als Public Preview, ab September 2023 – nun verschoben auf Oktober – als Release für alle. In Unternehmens-Umgebungen gilt. im Microsoft 365 (Office) Admincenter, unter dem Teams-Admin kann eine Richtlinie entscheiden, welche Mitarbeitenden den Schiebeschalter „das neue Teams“ links oben bekommen oder nicht.
Wir empfehlen zunächst einen kleinen Feldtest durch Ihre Admins/Syskos – oder mit wenigen Mitarbeitenden, sobald das Release freigegeben ist. Sie können also bereits jetzt die Richtlinie im Teams-Admin setzen, dass Microsoft sie nicht automatisch auf die 2.x Version umstellt, wenn Sie zunächst beim langsameren Teams 1.6 bleiben möchten.
Screenshots
Erfahrungsbericht
Die erste, augenscheinliche Erfahrung ist, dass Teams kleiner ist, deutlich schneller startet und dem eingestellten Windows Designschema folgt. Wer Windows im „hellen“ Design eingestellt hat (wie ich), sieht auch alle Teams-Fenster in hell.
Außerdem sind alle Chats so sortiert, dass die neusten Posts oben stehen (statt wie bisher ganz nach unten zu scrollen und die Posts dann unten anzuzeigen. Das dürfte sich auch positiv auf die Performance auswirken
Die Installationsdatei ist nun eine .msix Datei (statt .msi), somit ist das Installationsziel der Windows Store Ordner und nicht mehr das Benutzerprofil. Die Datei lässt sich aber auch mit Benutzerrechten ausführen.
Die Anwendung ist (wie das neue Outlook) eine Progressive Web App.
Wer Skype-Telefonie benutzt, sieht im Popup bei Anrufen einen breiteren Annehmen-Button, der quadratisch ist.
Bei Video-Calls lassen sich nun auch Videohintergründe verwenden. Als Vorlage liegen dort ein paar Büsche im Wind oder Blumen bereit. Unklar ist noch, in welchem Format (.mp4 oder .gif) diese bewegten Bilder hochladbar sind in der Teams GUI, bzw. in welchem Ordner sie hinterlegt werden müssen. Leider hat es auch das „Standard Hintergrund auswählen“ nicht in die Einstellungen geschafft, d.h. um den Hintergrund zu wechseln, muss man erst eine Besprechung mit sich selbst starten.
Das Teilen von Audio funktioniert nun, ohne in den Windows-Einstellungen die Lautsprecherquelle zu ändern.
Die Benachrichtigungen wurden statt der lilafarbenen Popups nun ins Windows-Benachrichtigungs-Center integriert und lassen sich damit Blockweise oder alle auf einmal löschen.
Es gibt eine neue Outlook-Integration als Addon – Unterschiede konnte ich aber noch nicht feststellen.
Der Teams-Client im Browser wird dann sukzessive auch umgestellt, so dass Kunden hiermit zunächst in Kontakt treten dürften.
Was noch nicht optimal gelöst ist
Update vom 28.08 -noch ungelöst: Es gibt zwar eine Checkbox „Teams automatisch mit Windows starten“, man (User mit User-Rechten) kann diese aber nicht setzen. Das „alte“ Teams konnte minimiert im Hintergrund starten. Dieses Feature wird auch wieder benötigt, da sonst nach jedem Anmelden/Neustart Teams 2.1 von Hand aufgerufen werden muss und nicht direkt in der Startleiste startet, sondern als Vollbild.
Ist man Organisator einer Besprechung, fehlt oben in der Teilen-Leiste die Möglichkeit, Anderen die Steuerung zu übergeben. In dem Fall müssen die Anderen die Steuerung anfragen und man kann sie dann in einem Popup übergeben und in einem weiteren Popup wieder übernehmen.
Barracuda ESG ist nicht die Firewall
Derzeit kursiert eine echte Warnung des FBI mit dem Hinweis, Barracuda ESG Appliances sofort abzuschalten. Die darin enthaltene Sicherheitslücke wurde nicht nachhaltig geschlossen.
ESG steht dabei nicht für „Einscheiben-Sicherheits-Glas“, sondern für „E-Mail Security Gateway“. Das ESG ist auch optisch leicht von der Firewall zu unterscheiden, da es keine LAN-Anschlüsse am Frontpanel hat.
#Erfreulich – Wer also, wie viele von Ihnen eine Barracuda Firewall-Appliance, wie sie von der NetGo vermarktet wird (diese Geräte beginnen mit „F“, F18, F80, F280, F380) einsetzt, ist nicht von der Sicherheitslücke betroffen.
veeam – Sicherheitslücke – V12 erforderlich
Eine Datensicherungssoftware muss immer den aktuellen Stand haben, denn bei einem Befall aufgrund einer Sicherheitslücke in der Software wären im schlimmsten Fall ein Datenverlust oder Datendiebstahl verbunden.
Bei veeam hat die Sicherheitslücke, vor der die CISA derzeit warnt, ein Ranking von 7.5 von 10 auf der Schadensskala. Problem ist der Prozess Veeam.Backup.Service.exe, der auf TCP-Port 9401 reagiert. Angreifer können verschlüsselte Anmeldeinformationen herausbekommen und Zugriffe auf Backup-Infrastruktur-Hosts stattfinden, schreiben die Entwickler von veeam.
Neu dabei ist, dass man nun auch Version 11 mit aktuellem Patchlevel auf Version 12 anheben muss. Erst mit Version Build 12.0.0.1420 P20230223 oder neuer ist diese Lücke sicher geschlossen.
#Wichtig – Bitte aktualisieren Sie Ihre veeam-Installationen auf die aktuelle 12er Version oder lassen sie aktualisieren.
Update 07.11.2023: veeam Software schickt aktuell auch E-Mails, die auf die Sicherheitslücke hinweisen. Bitte klicken Sie nicht auf Links in der E-Mail, sondern melden sich durch Eingabe der URL auf https://veeam.com mit Ihrem veeam-Konto an und laden den Patch. Da bei der Installation einiges beachtet werden muss, empfehlen wir, die Installation als Vorgang/Ticket bei uns in Auftrag zu geben.
veeam.com – Meldung zur Sicherheitslücke
Azure AD wird zu Microsoft Entra ID
Kurz notiert: Microsoft hat am 11. Juli 2023 das Produkt „Azure Active Directory“ in „Microsoft Entra ID“ umbenannt. Vertraglich ändert sich nichts, auch die Preismodelle bleiben zunächst gleich. Weil das Active Directory in der Cloud schon immer ein Modul aus der Microsoft Entra Identitätslösung war, hat man sich entschlossen, die Bezeichnung anzupassen.
Wenn Sie Azure AD heute verwenden oder derzeit Azure AD in Ihren Organisationen bereitstellen, können Sie den Dienst weiterhin ohne Unterbrechung verwenden. Alle vorhandenen Bereitstellungen, Konfigurationen und Integrationen funktionieren weiterhin wie heute, ohne dass Sie etwas zu unternehmen brauchen.
Sie können vertraute Azure AD-Funktionen weiterhin verwenden, auf die Sie über das Azure-Portal, das Microsoft 365 Admin Center und das Microsoft Entra Admin Center zugreifen können.
Sie möchten Ihr Grundwissen zum Thema Internet und Nutzung vertiefen? Diese #Prüfung hilft Ihnen dabei. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
NIS2 – Sicherheits-Richtlinie ab März 25
Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.
Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.
#Wichtig – So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.
Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.
Änderungen nach nationaler Umsetzung des Gesetzes
Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.
Das BSI schreibt dazu: „[…] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“
Wer ist betroffen?
Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von „wesentlichen“ (wie bisher KRITIS mit erweiterten Kriterien) und „wichtigen“ Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.
[] mindestens 50 Mitarbeiterinnen und Mitarbeitern. [] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro. [] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.
Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind
#Wichtig – da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.
Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.
Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.
Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.
Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im „best practice“ von jährlichen Audits aus.
Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.
Registrierung im BSI Meldeportal
Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.
Checkliste des BSI
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:
Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
Kein Meldewesen bei erkannten Vorfällen
Wo steht mein Unternehmen bei den Mindestanforderungen?
Mit unserem IT-Sicherheitscheck und anschließender Risikoanalyse mit Notfallplan werden einige der im Standard erklärten Ziele überprüft und Maßnahmen zur Erfüllung beschrieben. Die BSI Grundschutz-Themen bilden dabei eine „best practice“ Auswahl der wichtigsten Anforderungen der NIS2-Direktive ab.
Eine NIS2-Compliance Überprüfung und Themen wie die Betrachtung/Beurteilung der Risiken aus Sicht der Geschäftsleitung wird durch unseren Partner AWADO angeboten. Bereits in unseren beiden Analysen ermittelte Ergebnisse werden dabei von der AWADO berücksichtigt. Für das Angebot wenden Sie sich bitte direkt an die AWADO.
Fazit
Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.
Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.
Lassen Sie unseren IT-Sicherheitscheck (BSI) und anschließende Risikoanalyse mit Notfallplan (BSI) für Ihr Unternehmen durchführen, um den Ihren Ist-Zustand zu ermitteln eine Gap-Analyse einiger Anforderungen nach „best practice“ aus den Standards zu analysieren.
Beauftragen Sie den „NIS2 Compliance Check“ bei der AWADO, um die NIS2-Compliance und die Betrachtung aus der Perspektive eines Vorstandes zu erhalten.
KI - Bard - kann der was?
Nachdem vermehrt Unternehmen auf „Künstliche Intelligenz“, kurz #KI setzen, startet auch #Google nach anfänglichen Herausforderungen mit der EU-DSGVO seinen Text-Bot namens „BARD“ mit der Browser-App „bard.google.com“. Man bezeichnet die Beta als „Experiment“.
Der Name erinnert an die gleichnamige Animationsfigur mit „t“ am Ende (aka. Ay Caramba). In dem Fall kann der Bot dann aber nur Unsinn und Streiche im Kopf haben…
Möglich ist auch die Herleitung aus Asterix Comics, wo der Barde Troubardix aber auch nichts kann und daher immer am Ende an den Baum gefesselt wird.
Dann gibt es noch ein Computerspiel, „Bard’s tale“, was auch hergenommen werden kann.
Erste Gehversuche
Bleiben wir mal bei Asterix und testen das Musikgeschick, indem wir uns einen Werbesong für „gevis ERP“ komponieren lassen:
(Verse 1) Du suchst ein ERP-System, Das dich bei deiner Arbeit unterstützt? Dann schau dir doch mal gevis an! Es ist das perfekte System für Unternehmen jeder Größe.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Verse 2) Mit gevis kannst du deine Prozesse automatisieren, Und so Zeit und Geld sparen. Du hast immer einen Überblick über deine Daten, Und du kannst schnell und einfach Entscheidungen treffen.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Bridge) gevis ist das perfekte System für Unternehmen, Die ihre Prozesse optimieren und ihre Effizienz steigern wollen. Es ist einfach zu bedienen und skalierbar, Und es bietet eine breite Palette von Funktionen.
(Chorus) gevis, gevis, Das ERP-System für alle! Es hilft dir bei der Verwaltung deiner Finanzen, Deines Personals, deiner Produktion und mehr.
(Outro) Probiere gevis noch heute aus! Du wirst es nicht bereuen.
Bards KI-Ausgabe auf die Frage nach einem Werbesong für gevis ERP
geht schon mal, allerdings lassen sich die geschriebenen Zeilen nicht wirklich in Reinform für Strophe und Refrain bringen – selbst in einer RAP-Version fehlt der gewisse Flow.
Bewerbungen schreiben kann er nicht – es kommt immer die Antwort „kann ich nicht, ich bin kein {Jobname}
Vielleicht kann der ja was mit Artikeln? – Ja! Kundenreferenzen zu einem Artikel als Werbetext funktioniert wieder ausgesprochen gut. Ich hoffe, es wird nicht für Fake-Bewertungen missbraucht.
Kalkammonsalpeter (KAS) ist ein Stickstoffdünger, der aus Ammoniak und Kohlendioxid hergestellt wird. Er ist ein beliebter Dünger für Landwirte, da er leicht zu handhaben und zu verteilen ist und eine gute Stickstoffquelle für Pflanzen bietet.
KAS ist ein granulierter Dünger, der in verschiedenen Korngrößen erhältlich ist. Er kann im Frühjahr, Sommer und Herbst ausgebracht werden. Die ideale Ausbringungszeit hängt von der Kulturpflanze und dem Boden ab.
KAS enthält 27 % Stickstoff, der in einer 1:1-Mischung aus Ammoniumnitrat und Ammoniumcarbamat vorliegt. Diese Form des Stickstoffs ist für Pflanzen leicht verfügbar und wird schnell von ihnen aufgenommen.
KAS ist ein guter Dünger für eine Vielzahl von Kulturpflanzen, darunter Getreide, Gemüse, Obst und Zierpflanzen. Er kann auch zur Verbesserung der Bodenqualität verwendet werden.
KAS ist ein kostengünstiger Dünger, der ein gutes Preis-Leistungs-Verhältnis bietet. Er ist eine gute Wahl für Landwirte, die nach einem leistungsstarken und vielseitigen Dünger für ihre Pflanzen suchen.
Als Landwirt habe ich seit vielen Jahren gute Erfahrungen mit KAS gemacht. Er ist ein zuverlässiger und preiswerter Dünger, der meine Pflanzen gut versorgt. Ich würde KAS jedem Landwirt empfehlen, der nach einem guten Dünger für seine Pflanzen sucht.
Hier sind einige zusätzliche Vorteile von KAS:
Er ist einfach zu handhaben und zu verteilen.
Er enthält eine gute Menge Stickstoff, die für Pflanzen wichtig ist.
Er ist preiswert.
Er ist eine gute Wahl für eine Vielzahl von Kulturpflanzen.
Wenn Sie nach einem guten Dünger für Ihre Pflanzen suchen, würde ich KAS empfehlen.
„Schreibe eine Artikelbeschreibung zu Kalkammonsalpeter aus der Sicht eines Landwirts“
Fazit
Bilder kann Bard nicht erstellen, es handelt sich um einen reinen Text-Bot. Bei der Verfeinerung von Texten und als Marketing-Unterstützung hat der „Säugling“ unter den KIs schon auch in deutsch ausbaufähiges Wissen. Microsoft setzt mit dem KI-Kopiloten auf mindestens 10 Jahre Wissensvorsprung von OPENAI ein, hat damit – entgegen der sonst üblichen Praxis mal die Nase weit vorn. Bleibt zu hoffen, dass die KI auch weiterhin nicht nur in Premium-Modellen nutzbar ist, sondern dass es wie bei Teams auch eine free und eine Standard-Version geben wird.
WordPress und PHP Support
Viele große Provider wie IONOS und STRATO, all-inkl.com bieten im Web-Hosting die Möglichkeit, als Content Management-System #WordPress einzusetzen. Wer diese Plattform einsetzt, muss darauf achten, dass nicht nur WordPress und die installierten Themes und Plugins auf dem aktuellen Stand sind (das lässt sich bei unterstützten Plugins weitgehend automatisieren), sondern dass auch die eingesetzte PHP Version noch im offiziellen Support ist. Endet hier der Support-Zeitraum und man setzt die Version weiterhin ein, nehmen die meisten Provider eine hohe monatliche Service-Gebühr zusätzlich – da der Support für Sicherheitsupdates dieser alten Versionen auch bei PHP Geld kostet.
Achten Sie darauf, dass Sie immer eine aktuelle PHP Version einsetzen. Support-Ende für Version 8.0 ist bereits Anfang Dezember 2023! Für Version 8.1 ein Jahr später und für Version 8.2 in gut 2 Jahren (Dez 2025). Stellen Sie Version PHP 8.2 in der Oberfläche Ihres Providers ein und prüfen, ob Ihre Designs und Plugin keine Fehler auswerfen.
Stellen Sie die Datenbank von (Oracle) MYSQL auf die quelloffene MariaDB um. Diese wird häufiger aktualisiert und hat mehr kostenlose Möglichkeiten.
Prüfen Sie, ob Ihre Designs und Plugins noch aktuelle Updates erhalten. Das funktioniert am einfachsten mit dem kostenlosen Plugin „Plugin-Report“. Für das Design (Theme) bitte auf der Theme-Website in wordpress.org nachsehen, wann hier das letzte Update war und ob es frei von Warnungen ist.
Grundsätzlich ist es empfehlenswert, regelmäßig im Portal Ihres Web-Hosters nachzuschauen. So fordern die meisten Provider Sie aktuell auf (sofern diese noch nicht vorhanden ist), eine AVV zu schließen, die nach DSGVO vorgeschrieben ist. Diese sollte unbedingt abgeschlossen sein, um Bußgelder zu vermeiden.
Ghostscript kritische Lücke
Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten.
Die Sicherheitslücke CVE-2023-36664, CVSS 9.8 von 10, Risiko „kritisch“ erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden.
Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript „unter der Motorhaube“ zum PDF-Erstellen verwenden – wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden – sofern das möglich ist.
#Wichtig – Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten und Servern zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen) kompatibel ist. Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programmen (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) ausschließlich die 64-Bit Version auf den Service Tiers.
Betroffene Produkte können auch Signosign/2 von Signotec oder s.dok/sscan sein – hier muss zusätzlich ein Update der Software beim Hersteller angefragt und heruntergeladen werden, um Sicherheit und Kompatibilität herzustellen.
Wie üblich, hat Microsoft für seine unterstützten Betriebssysteme und für Office am Dienstag Sicherheitslücken geschlossen. Wer also für Office und Windows die Updates zeitnah installiert, ist sicherer unterwegs. Für die Server müssen laut Richtlinien von BSI und Versicherungen die Patches innerhalb von 7 Tagen installiert sein, ansonsten drohen Kürzungen bei Versicherungsleistungen.
Eine entdeckte Lücke in Office, die bereits ausgenutzt wird, bleibt aber noch ungepatcht: (CVE-2023-36884, CVSS 8.3, hoch). Hierbei kann beim Öffnen eines präparierten Dokuments durch Mitarbeitende Schadcode eingeschleust werden.
Mindestens eine Bande russischer Krimineller nutzt die Lücke bereits in großem Stil aus. Wie Microsoft verlautbart, schützt der Microsoft 365 Defender für Business vor den Attacken. Wer also M365 Business Premium und den enthaltenen Defender für Business einsetzt oder den Defender für Business Plan aktiviert hat, ist sicherer.
#Wichtig – Ein Workaround soll zusätzliche Sicherheit für alle noch unterstützten Office-Versionen bieten:
Windows Registry Editor Version 5.00
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MsPub.exe"=dword:00000001
"PowerPnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
Da auch Wordpad (Bestandteil von Windows und Windows Server) auftaucht, ist es ratsam den key generell auf alle Systeme auszurollen, da auch damit Word-Dokumente geöffnet werden können.
SPAM in Briefform – IT-Sicherheit
obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine „Firma“ aus Darmstadt immer noch Kunden zu verunsichern.
An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung – die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.
In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.
Danach wird die „Geschäftsführung“ aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.
Dieses Roboter-Schreiben gehört sofort in die Ablage P!
Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.
In den Beta-Versionen von Adobe Photoshop gibt es einen Filter, mit dem man ein Bild durch „generative KI“ Bilder breiter machen kann. Möchte man beispielsweise aus einem Bild im Full-HD-Format ein Website-Banner machen (beispielsweise in 1400x200px), wirkt das Bild in der Darstellung mit herkömmlichen Mitteln (Resize) verzerrt.
Praktischer ist es, wenn man das Bild in die Mitte des geplanten Banners legt und dann rechts und links auffüllen lässt, ohne das am Bild etwas verzerrt wird. Das kann der #KI „Generative Fill“ Filter.
Der Haken dabei: Nicht jeder hat Photoshop UND ist auch noch im Beta-Programm angemeldet. Nach Release des Filters wird dieser voraussichtlich nicht im Creative Abonnement enthalten sein.
Wer die Funktion nicht häufig nutzt, kann mit der kostenlosen Version von clipdrop.co/uncrop 1x pro Tag oder mit der kostenlosen Registrierung auf der Website (eine E-Mail-Adresse reicht, auch Wegwerf-E-Mails werden (noch) akzeptiert) mehrere Bilder am Tag mit KI breit machen:
Die Resultate können nützlich, aber auch lustig ein. Ich habe mal ein KI-Bild aus dem Skype Bing-Chat ins Banner-Format umgewandelt:
Outlook – testen Sie das neue Outlook – Nein
Derzeit erscheint in der Microsoft 365 #Outlook Desktop App oben rechts der Hinweis mit einem Schieberegler „Testen Sie das neue Outlook“. Die Meldung ist so unglücklich platziert, dass man beim Minimieren des Outlook-Fensters leicht den Schieberegler aktiviert.
Die Folge: Aus dem Store wird die neue Outlook App heruntergeladen und als Standardprogramm für E-Mails eingetragen. Diese App ist nichts anderes als ein App-Fenster, wo im Browser unter Zuhilfenahme der Edge Webview2 Runtime (diese muss installiert sein) OWA aufgerufen wird.
Auch aktuell bietet OWA bei weitem noch nicht die Funktionen und den Bedienkomfort wie die Desktop App. So sind beim Bedienen des Kalenders deutlich mehr Mausklicks notwendig um z. B. einen vorhandenen Termin zu bearbeiten oder Flags zu setzen, die bei der Desktop App direkt im Ribbon Menü mit einem Klick erreichbar sind. Auch das Verändern und Verschieben von Terminen mit der Maus ist schwerfälliger in der Browserdarstellung und funktioniert mehr schlecht als recht.
Zudem werden nur Microsoft 365 Konten (bisher) unterstützt. Es gibt aber zahlreiche Kunden, die noch ein Google-Konto oder Post bei einem anderen Provider per IMAP mit abfragen müssen (meist historisch bedingt, aber notwendig).
Abhilfen: Wenn Sie die neue App bereits versehentlich aktiviert haben, müssen Sie den Schieber wieder ausschalten, die Store-App auf Ihrem Rechner deinstallieren und bei Standard-Apps die Outlook Desktop App wieder aktivieren.
#Erfreulich – zum Glück gibt es einen Registry-Schlüssel, den Admins auch per GPO ausrollen können, der die lästige Werbung für die minderwertige App entfernt (Für diejenigen, die mit User-Rechten arbeiten und den Registry-key lokal ausführen müssen – bitte den Registy Ast beginnen lassen mit Users und der SID des Benutzers für den das gelten soll. Dann mit Elevated rights Regedit aufrufen und den veränderten Key ausführen):
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General] "HideNewOutlookToggle"=dword:00000001
oder
[HKEY_USERS\S-1-5-21-222222222-2222222222-2222222222-1153\SOFTWARE\...
CISCO Anyconnect und Secure Clients
Wir möchten Ihnen gerne eine optimale Lösung für die Sicherheit Ihrer IT-Infrastruktur anbieten. Dazu empfehlen wir Ihnen, sich mit unserem Partner NetGo Firewalls von Barracuda Networks zu schützen. Diese Firewalls sind speziell für die Azure IaaS und Azur Virtual Desktop (AVD) Umgebungen sowie für die On-Premises Hauptstandorte konzipiert. Sie ermöglichen eine sichere und flexible Anbindung Ihrer verschiedenen Standorte. Außerdem können Ihre Mitarbeitenden im Außendienst und im mobilen Arbeiten den Software-VPN-Client von Barracuda auf ihren Windows PCs und Notebooks nutzen.
Wir möchten Sie auch darauf hinweisen, dass es bei der Verwendung von CISCO Routern, die im Rahmenvertrag mit der Telekom enthalten sind, zu Sicherheitsproblemen kommen kann. Es gibt eine aktuelle Sicherheitslücke, die den Update-Mechanismus von CISCO betrifft. Wenn Sie einen CISCO Router in der Hauptstelle haben, an dem auch mobile Windows Clients angebunden sind (z.B. für Homeoffice, mobiles Arbeiten oder Außendienst), sollten Sie unbedingt prüfen, ob Ihr CISCO Secure Client oder CISCO Anyconnect vpn Client auf dem neuesten Stand ist. Die aktuellen Updates erhalten Sie nur, wenn Sie bei CISCO oder über die Telekom im Rahmenvertrag eine Wartung für den CISCO Router abgeschlossen haben.
Bitte prüfen Sie Ihr Software-Inventar, ob Sie in Ihrem Unternehmen CISCO vpn Software einsetzen. Hierbei kann OpenAudit Classic hilfreich sein.
Wenn ja: Beschaffen Sie über Ihren Dienstleister den aktuellen Cisco AnyConnect Secure Mobility Client 5.0.03072 und rollen ihn an alle VPN-Endgeräte aus.
Falls Sie keine Wartung auf die CISCO Geräte haben, aber eine Barracuda Firewall (Cloudgen oder On-Prem), stellen Sie gemeinsam mit der NetGo Ihr CISCO vpn auf Barracuda um. Hier ist der Updatemechanismus der VPN-Clients mit Bordmitteln besser automatisierbar.
Falls Sie keine Barracuda Firewalls einsetzen, sondern Drittanbieter-Geräte von sophos oder Fortinet o.ä., stellen Sie mit Ihrem Dienstleister das vpn auf diese Lösung um und lassen prüfen, ob diese Geräte und Software auf dem aktuellen Stand ist. Allein bei Fortinet gibt es einmal im Monat einen Patchday, der kritische Sicherheitslücken schließt
Wer wissen möchte, wann die eingesetzten Produkt-Versionen keinen Support oder – #wichtig – keine Sicherheitsupdates mehr bekommen, dem sei die folgende Seite empfohlen, die alle End-Daten in einer farblich gestalteten Oberfläche übersichtlich darstellt. Tipp: Windows und Office sind unter ‚M‘ wie Microsoft zu finden:
Bereits im November 2022 lieferte Microsoft Mechanismen aus, die die Kerberos-Anmeldung sicherer machen können. Es geht dabei um das Anmeldeverfahren, wie sich Drittgeräte und andere Windows Server an einem AD-Domänencontroller anmelden.
Auch dieser Sicherheitspatch war zunächst nur ausgerollt worden, um Administratoren Zeit zu geben, die Sicherheit dieser Anmeldungen zu erhöhen bzw. auf Drittgeräten aktuelle Firmware/Softwareupdates zu machen.
Bereits am 13. Juni 23 mit dem Juni-Patchday hat Microsoft die Kerberos Einstellung auf „Überwachungsmodus“ gesetzt. Die Verbindung ist damit weiterhin möglich, Fehler werden im Ereignisprotokoll aufgezeichnet.
Am 11. Juli 2023 setzt Microsoft die Kerberos-Einstellung mit dem monatlichen Update auf „Erzwingen“. Das bedeutet, das Systeme mit unsicheren Kerberos-Schlüsseln sich nicht mehr anmelden können.
#Wichtig – Wie im Microsoft Artikel ausführlich beschrieben, betrifft das Update Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions.
Wenn Sie auf Ihren Domänencontrollern Fehler mit der Ereignis-ID 42 finden, oder Geräte erkennen, die keinen gemeinsamen Kerberos-Verschlüsselungstyp aufweisen, indem Sie das Ereignisprotokoll für Microsoft-Windows-Kerberos-Key-Distribution-Center Event 27 anzeigen, lesen Sie bitte: KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966
Nach der Installation des Juni 2023-Updates (auf allen Servern) das Ereignisprotokoll an Ihren Domänencontrollern sichten und nach Fehlern mit der Ereignis-ID 42 suchen und wie im folgenden Artikel beschreiben verfahren (An Ende des Artikels ist eine FAQ):
Heutzutage werden fast ausschließlich Windows Betriebssysteme mit 64-Bit eingesetzt. Ältere Versionen mit 32-Bit werden von vielen Herstellern und Anwendung nicht mehr unterstützt.
Die Software, die man unter Windows einsetzt, kann damit 32-Bit oder 64-Bit sein. Lange Zeit hat Microsoft empfohlen, die 32-Bit-Versionen von Office einzusetzen.
#Erfreulich – mittlerweile bieten die 64-Bit-Versionen eine bessere Performance, da kein 32-Bit-Subsystem unter Windows für die Office Apps gestartet werden muss und die Limitierung von 4GB Arbeitsspeicher entfällt. In Excel lassen sich so recht große Datenmengen darstellen und der Import über die Datenquellen ist auch deutlich schneller.
Achtung! Dazu muss allerdings auch der Rechner einen Core I5 mindestens der 8. Generation, 8 GB RAM, besser noch 16 GB Arbeitsspeicher und eine schnelle SSD haben
Insbesondere bei Microsoft Teams muss die Anwendung immer in 64-Bit installiert sein, da ansonsten extreme Performance-Einbußen drohen.
Wann ist für Microsoft 365 (Office) 32-Bit Pflicht?
Wenn Sie Anwendungen auf dem Rechner einsetzen (das gilt auch für Azure Virtual Desktop und Terminal- und Citrix-Server), die nur in der 32-Bit-Version mit Outlook (über OLHANDLER.DLL) kommunizieren können, dürfen Sie nicht die 64-Bit-Version installieren. Einige Beispiele sind:
Microsoft Dynamics 2009 R2 (Classic) –> gevis Classic bis G/R8
Microsoft Dynamics NAV bis Version 2018 und Business Central bis Version 14 (BC14)
Gigaset Quicksync (Synchronisieren von Outlook-Kontakten mit DECT-Handsets)
GWS MDESync (die Windows Mobilschnittstelle meckert Outlook32 als fehlend an)
Andere Programme, die die E-Mails erzeugen und dabei MAPI32.dll oder OLHANDLER.dll benutzen
Mit gevis ERP | BC Versionen ab 17.x (Business Central Version ab 17, Client = Google Chrome für Enterprise, 64-Bit) lassen sich beliebige E-Mail-Programme durch Download von .EML-Dateien aufrufen. Die Bit-Tiefe ist dabei unerheblich. Wenn Sie eine unserer SaaS-Lösungen wie gevis ERP | VEO einsetzen, ist die Office-Bit-Tiefe ebenfalls unerheblich.
Wir empfehlen Microsoft 365. So bleiben Sie im Rahmen des Abonnements immer auf dem besten Stand der Sicherheit und die Verteilung der Updates durch die Admins ist auch sehr einfach. Sollten Sie Kaufversionen im Einsatz haben (erkennbar an einer Jahreszahl am Ende) müssen diese Versionen nach Ablauf der Sicherheitsupdates neu gekauft werden. Alle Versionen erhalten nach dem 13. Oktober 2026 keine Sicherheitsupdates mehr.
Aktuell werden für gevis Umgebungen Microsoft 365 (aktueller monatlicher Kanal) für alle Installationsarten und nur für die lokale Installation auf Windows 10 Pro Endgeräten (nicht Terminal-/Citrix/Azure Virtual Desktop) die Kauf-Versionen 2019 und 2021 unterstützt.
Patchday Juni manueller Eingriff erforderlich
#Wichtig – mit dem Patchday Juni 2023 hat Microsoft die #SicherheitslückeCVE-2023-32019 geschlossen, die zu Datenabfluss und Elevated Rights für authentifizierte Benutzer führen kann. Leider wird der Lückenschluss nicht aktiviert, so dass ein manueller Eintrag in die Windows Registry der Windows 10 PCs erfolgen muss.
Wer Gruppenrichtlinien einsetzt, kann diese natürlich über die Gruppenrichtlinienverwaltung verteilen.
Für Server 2022 und für die Windows 11 Versionen ist der Wert anders, als bei dem im Beispiel aufgezeigten Schlüssel für Windows 10 22H2 (19045).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"4103588492"=dword:00000001
Glücklicherweise setzen viele Unternehmen auf eine Hardware-Firewall-Appliance, um das lokale Netzwerk in Richtung Internet abzusichern. Viele namhafte Hersteller von Routern (CISCO, Lancom, sogar AVM) schreiben, dass Ihre Router Firewall-Funktionalitäten beinhalten. Das sind allerdings ausschließlich Funktionen der klassischen (1. Generation) Firewalls. Anders gesagt: Es erfolgt keine inhaltliche Prüfung von Daten und E-Mails, es gibt keine Advanced Thread Detection und somit auch keine Cloud-Sandbox zur Simulation. Diese „Firewalls“ erfüllen weder GSI-Grundschutz, noch den Prüfungsstandard 330 des IDW.
Unternehmen mit mehreren Standorten setzen mehrere Router ein, die Verbindung zur Hauptstelle erfolgt sternförmig über die integrierte SSL-VPN-Funktion der Router. Bei Ecotel und Telekom Enterprise Managed Netzwerken werden die (CISCO) Router ausschließlich für die Zweigstellen-Vernetzung und die mobilen VPN-Verbindungen benutzt. In der Hauptstelle steht dann bestenfalls eine „richtige“ Firewall der zweiten Generation.
IaaS Cloud
Mit der Ablösung der On-Premises Server (IaaS statt Hardware-Neukauf) wird entweder ein „Azure vpn Gateway“ bei Microsoft zur Anbindung angemietet (hier werden nur wenige Gen2-Firewalls wie von Barracuda Networks oder neuere Modelle der sophos X-Serie und von Fortinet) unterstützt.
Außerdem sind dann die in IaaS angemieteten Server und die Nachfolger der Citrix oder RDS-Terminalserver: Azure Virtual Desktops nicht mit einer Gen2-Firewall abgesichert und angreifbarer.
In unseren #Firewall Konzeptionen zeigen wir gemeinsam mit unserem Partner NetGo am Beispiel von Barracuda Firewalls die sternförmige Anbindung an die Cloud mit „Internet-Breakout“ in der Cloud auf Gen2-Firewall Stufe. Dazu kommt eine #CloudGen virtuelle Firewall zum Einsatz, die Server und Azure Virtual Desktops absichert. An dem oder den Standort(en) kommt ein VPN-Endgerät – passend zur Bandbreite und Benutzerzahl am Standort (F18 oder F80) zum Einsatz.
Vorteile: #Erfreulich ist, das das Azure VPN-Gateway mit mindestens 165€ pro Monat so entfällt. Jeder Standort braucht nur eine (dynamische) IP-Adresse, ggf. ein DSL-Modem und den Barracuda VPN-Endpunkt. Der Weg zum Server erfordert daher nicht mehr den Umweg über die Hauptstelle.
Fazit
Der Weg zum Internet sollte immer über eine Firewall der zweiten Generation mit ATP und Contentanalyse abgesichert werden. Diese sollte einen Wartungsvertrag auch für Firmware und Antivirus enthalten (vitalizing und Security Updates) und gemanagt sein.
Sobald Azure IaaS im Spiel ist, wird eine sternförmige Anbindung an die IaaS Cloud und Azure Virtual Desktops über eine virtuellen CloudGen Firewall Pflicht. Ob Sie das Musterangebot der NetGo annehmen oder mit Ihrem Firewall Dienstleister ein identisches Konzept konstruieren, bleibt Ihnen überlassen.
Internet Domain .zip lieber sperren
Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain „.zip“ ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.
Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.
Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.
Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.
#Wichtig – Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)
Mit der gevis Einführung und Migration auf neue Versionen, in die IaaS- oder SaaS-Cloud sind immer Pflichtschulungen zur Ausbildung und Zertifizierung von Systemkoordinierenden – kurz SYSKO – erforderlich. Die folgende Checkliste soll Ihnen erleichtern, Ihren Status zu ermitteln. Zertifizierte Systemkoordinierende können viele vorgeschriebene und wiederkehrende Aufgaben in Eigenverantwortung lösen – ohne dafür einen kostenpflichtigen Vorgang bei uns eröffnen zu müssen. Sie sind die Feuerwehr im eigenen Hause und halten den IT-Betrieb am Laufen.
Ermitteln Sie Ihren Status nach folgender Checkliste:
A ( ) Bei Einführung von gevis (Version 7 bis einschließlich Version BC 140) habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt)
Bund: ( ) Bei Migration von gevis (Version 7 bis einschließlich Version BC 140) auf gevis ERP | BC oder gevis ERP | SaaS oder gevis ERP | VEO habe ich etwa 6-stündige Sysko Aktualisierungs-Schulung besucht (und die Prüfung abgelegt)
C ( ) Wir haben direkt gevis ERP | BC ab Version 15 (Client ausschließlich im Browser) eingeführt und ich habe die habe ich die 2-tägige Sysko-Basis-Schulung absolviert (und die Prüfung abgelegt). Zertifizierte Syskos sind noch noch im Unternehmen
D oder: ( ) Bei Einführung von gevis (ERP | SaaS oder ERP | VEO) habe ich die 1-tägige Sysko anywhere SaaS Schulung absolviert (und die Prüfung abgelegt)
E ( ) Ursprüngliche SYSKOs haben das Unternehmen verlassen. Neue Mitarbeitende (mindestens 1) haben die 2-tägige Sysko-Basis-Schulung für neue Mitarbeitende absolviert (und die Prüfung abgelegt)
Kreuzen Sie bitte Zutreffendes an. #Wichtig – nur wenn Sie die folgenden Buchstabenkombinationen erhalten, ist Ihr Unternehmen #zertifiziert und auf dem aktuellen Stand der Sysko-Zertifizierungen:
A+B oder C oder D oder/und E
Wenn nicht, melden Sie sich oder anderen Mitarbeitende im Betrieb bitte zu den noch fehlenden Schulungen an. Mehr Details zu den Syskotätigkeiten hier.
Windows 10 Zukunfts-Strategie
Bekanntlich endet mit dem Patchday am 15. Oktober 2025 die Updateversorgung für die Kauf-Versionen von Windows 10 und Windows 10 Pro. Wer also keine LTSB oder LTSC oder die IoT-Versionen dieses Betriebssystems mit Software-Assurance gemietet hat, muss sich bis zum genannten Zeitpunkt Gedanken machen, was mit den Endgeräten und Betriebssystemsoftware zu tun ist. Hierbei gelten nur Alt-PCs, die mindestens 8 GB Arbeitsspeicher, eine SSD und mindestens einen Core i5-Prozessor haben, als alltagstauglich.
Ist das PC-Endgerät von vor 2018 (aka. Intel Core-I-Prozessor kleiner als 8. Generation)
PC bis Herbst 2025 weiterbetrieben, dann 2-10 kg Elektronikschrott und ca. 63 kg CO2 produzieren, mindestens 500 € (bei Notebooks mindestens 1000 €) in die Hand nehmen und neuen PC / neues Notebook mit Windows 12 Pro anschaffen
(gilt nicht für Notebooks, nur für kabelgebundene PCs)
oder: IGEL-OS bei IGEL.com mit Wartung anschaffen und auf der vorhandenen Hardware installieren. + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten
Gerät ist neuer (mind. 8Gen Prozessor, TPM 2.0, Secure Boot)
Auf Windows 12 Pro aktualisieren (noch unklar: ggf. kostenlos, kann aber auch eine Lizenz erfordern)
Neues Gerät soll angeschafft werden
jetzt: Windows PC oder Notebook mit Windows 10 Pro (Downgraderecht von Windows 11 Pro in Business PCs führender Hersteller enthalten. ab Herbst 2024: Windows PC oder Notebooks mit Windows 12 Pro erwerben.
Gerät braucht keine lokale Software
HP Thin-Client oder andere Hardware mit IGEL-OS von IGEL.com mit Wartung beschaffen + Azure Virtual Desktop bei Microsoft anmieten, Clients lizensieren mit oder ohne Office und dann remote arbeiten
Entscheidungs-Matrix Windows Zukunft. Windows 11 Pro wird nicht empfohlen!
Der entscheidende Vorteil der IGEL OS Lösung (auch auf anderer Thin-Client Hardware z. B. von HP) besteht darin, dass alle Einstellungen über die zentrale IGEL UMS Oberfläche administriert werden können . Dazu zählen als Hardware auch x86 PCs. Man braucht keine lokalen Eingriffe mehr am Endgerät.
Benötigt ein PC Software, die nur lokal und nicht in Azure Virtual Desktop Windows 10 Umgebungen betrieben werden kann, wird vermutlich die Neuanschaffung eines PCs mit Windows 12 Pro im Herbst 2025 erforderlich sein.
Azure Virtual Desktops erhalten im Rahmen der Miete mindestens bis Herbst 2028 Updates und können vermutlich vorher auch schon auf Windows 12 umgestellt werden, wenn gewünscht.
Deploy und VM-ISOs neu erstellen erforderlich
Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks – oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden.
Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen – mit Patchstand von Mai 2023
Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Windows 10 auf 22H2 umstellen, Office 2013 entfernen
Wir weisen nochmals darauf hin, dass bereits am 13. Juni 2023 der Support für ältere Windows 10 Versionen endet. Bitte sorgen Sie dafür, dass Ihre Windows 10 Umgebungen unbedingt Version 22H2 (das entspricht Build 19045) haben. Ältere Build-Zahlen sind dann unsicher und es gibt bereits jetzt einige Software, die dann eingeschränkt lauffähig ist.
Bereits am 11. April 2023 endete der Support und damit die #Sicherheitsupdates für #Office 2013, Visio 2013, Project 2013, Sharepoint 2013 und Skype für Business 2015. Diese Produkte sollten Sie nicht mehr einsetzen. Als Alternative bieten sich die Mietprodukte von Microsoft 365 an, die im Rahmen der Mietlaufzeit immer aktuell und auf dem bestmöglichen Stand der Sicherheit sind.
Öffnen Sie eine Eingabeaufforderung {Windows-R}, cmd, {Enter} und geben das Kommando: Winver {Enter} ein. Die installierte Windows-Version wird Ihnen angezeigt. Dort muss derzeit 19045.2965 oder neuer stehen. Die Zahl hinter dem Punkt entspricht dabei den Sicherheitsupdates von Mai 2023. Tipp: Haben Sie bereits Build 19042 oder neuer installiert, ist der Wechsel auf 19045 in wenigen Minuten erledigt. Ist der Build noch eine vierstellige Zahl wie etwa 1802, dauert das Upgrade rund eine Stunde.
In wenigen Wochen wird Microsoft das Update erzwingen. Um die Zeit der Nichtverfügbarkeits der Rechner besser zu planen, sollten Sie vorher handeln und das Update anstoßen – insbesondere, wenn eine vierstellige Version <19041 angezeigt wird.
Microsoft Authenticator App matching numbers
Kurz notiert: Um die Sicherheit zu erhöhen, aktiviert Microsoft neben der MFA Verpflichtung den Mechanismus, eine auf dem Windows-Rechner im Browser angezeigte, zweistellige Zahl in der Authenticator App auf dem Smartphone einzugeben. Bisher musste man Login-Vorgänge nur in der App genehmigen.
Die Änderung gilt für beide Plattformen (IOS und Android) und ist verpflichtend. Wie und ob Microsoft die matching numbers bei den anderen Authentifizierungsverfahren (Telefonanruf und TOTP) realisiert, ist nicht bekannt, bzw. macht bei TOTP auch keinen Sinn, da man dabei meist einen Hardware-Token hat.
Wenn man aktuell in Outlook oder bald auch in der Teams-App (gilt für Windows, Android und IOS) einen Link anklickt, wird dieser – unabhängig von der Standard-Browser-Wahl mit Edge ausgeführt.
Microsoft möchte so erneut (hoffentlich wieder erfolglos wie in der Vergangenheit) den Edge zum Standard-Browser erzwingen. Angesichts der Tatsache, dass dieser nun auch Adobe Reader Freemium als PDF-Betrachter enthält, ist das aus Sicherheitsaspekten keine gute Idee.
Zumal Google spätestens 2 Stunden nach Schließen von Sicherheitslücken im Chromium-Projekt oder im eigenen Programmcode das Sicherheitsupdate verteilt. Bei Microsoft Edge on Chromium dauert es mindestens 24 Stunden bzw. bis zum nächsten Patchday.
Darüberhinaus gelten in der dann gestarteten Browser-Sitzung nicht die Einstellungen, die sich der Anwender im Browser seiner Wahl gemacht hat. Auch die Drittanbieter-Extensions sind vielfach nicht installiert und aktiviert im Edge (ublock origin), so dass der Anwender wieder mit Werbung zugemüllt wird!
Wer unter android die Edge App nicht installiert hat, wird zwar beim Anklicken eines Links dazu aufgefordert und „Öffnen mit Edge“ ist als Standard ausgewählt – bisher kann man aber noch „Standard-Browser öffnen“ anklicken und darunter den Schieber auf „als Standard“ setzen
Unter Windows habe ich das Verhalten noch nicht nachvollziehen können, Outlook 365 mit aktuellem April-Funktionsupdate fragt mich nicht, Edge zu installieren, es bleibt aber zu befürchten, das das noch kommt. Schauen Sie dann in Teams unter Einstellungen und „Link Behandlung“, ob Sie dort eine Einstellung setzen können – bzw. in Outlook bei den Optionen.
Seit einiger Zeit installiert Office die Edge Webview2-Runtime mit. Bisher ist es mir mit den passenden GPOs bzw. Registry-Einträgen gelungen, Edge vom System fernzuhalten (durch die Runtime ist zwar auch der Browser im System, die Registry-Einstellungen verhindern aber bisher, dass er als Browser tätig wird und die werbelastige GUI aufruft.
Microsoft verlangt 2-Faktor in Microsoft 365
In letzter Zeit verschickt Microsoft E-Mails zu sogenannten „Sicherheitsstandards“. Man weist Sie darauf hin, zu einem bestimmten Datum diese Sicherheitsstandards für Ihren Microsoft 365 Tenant zu aktivieren. Der Microsoft Tenant wird für alle Online-Anwendungen verwendet. Dazu zählen: Exchange online, Office, Sharepoint, Teams, Dynamics 365, gevis ERP | VEO, gevis ERP | SaaS, Power-BI, Microsoft CRM 365 und Weitere.
Teil dieser Sicherheitsstandards ist die Aktivierung von #MFA (Multi-Faktor-Authentifizierung) für jeden Benutzer. Aus diesem Anlass gibt es ein paar wichtige Punkte, auf die wir Sie gerne hinweisen möchten.
Während derzeit nur rund 37% der Unternehmenskunden überhaupt MFA verwenden – ein großer Anteil sogar nur für administrative Konten, plant Microsoft so schnell wie möglich, den Faktor auf 100% und alle Benutzer zu steigern.
MFA ist ein Sicherheitsverfahren beim Anmelden, bei dem ein Benutzer neben seinem Benutzername und Kennwort einen weiteren Faktor zur Anmeldung benötigt, damit die Anmeldung genehmigt wird. Dieser Faktor ist im Falle der Sicherheitsstandards die Authenticator App von Microsoft, die auf dem Smartphone des Mitarbeiters installiert wird. Dort muss die Anmeldung bei Microsoft 365 zusätzlich genehmigt werden, was die Sicherheit vor Account Diebstahl deutlich erhöht.
Neben der App werden auch weitere Faktormethoden unterstützt wie Telefonanruf oder Hardwaretoken.
Nach der Aktvierung der Sicherheitsstandards von Microsoft, hat jeder Benutzer 14 Tage Zeit die App einzurichten. Nach Ablauf funktioniert die Anmeldung, ohne die App eingerichtet zu haben, nicht mehr. Eine nachträgliche Einrichtung ist aber weiterhin möglich. Falls Sie aktuell nicht über die nötigen Mittel verfügen, die Authenticator App bei jedem Benutzer zu installieren, empfehlen wir Ihnen folgende Möglichkeiten:
Einrichtung von Conditional Access
Die Authenticator App von Microsoft, dürfen Sie bereits bei Erstellung des Tenants sofort nutzen. Sie ist kostenlos als zusätzlicher Faktor und kann lizenzunabhängig eingerichtet werden. Neben der Authenticator App bietet Microsoft aber auch andere Möglichkeiten an, die Sicherheit durch einen weiteren Faktor zu erhöhen. Hier kommt Conditional Access zum Einsatz. Conditional Access kann andere Faktoren wie Standort, Betriebssystem, Geräte oder Gruppen nutzen, um den Zugriff für einen Benutzer zu gewähren. So kann sich der Mitarbeiter beispielsweise nur Anmelden, wenn er sich an einem der von Ihnen vorher definierten Standort befindet.
Conditional Access ist lizenzpflichtig und wird nur bei einem EntraID Plan1 freigeschaltet, der alle Mitarbeitenden, die Conditonal Access nutzen sollen, lizenziert werden muss. Die EntraID Plan1 Lizenz ist bereits in dem Abonnement Microsoft 365 Business Premium enthalten.
Wenn MFA für die Benutzer aktiviert wurde, muss MFA auch für die Benutzer eingerichtet werden. Das gilt auch, wenn Conditional Access so eingerichtet ist, dass keine MFA-Anmeldung erforderlich ist.
Sicherheitsstandards wieder deaktivieren?
Update 12.12.2023 – Mittlerweile lassen sich die Richtlinien auch nicht mehr deaktivieren. Die Sicherheitsstandards können nach der Aktivierung von Microsoft auch wieder über Azure Active Directory #EntraID deaktiviert werden. Wir weisen an dieser Stelle klar darauf hin, dass wir das nicht empfehlen.
Die Deaktivierung sollte nur erfolgen, falls noch mehr Zeit für die Organisation benötigt wird, MFA Unternehmensweit einzuführen. Eine langfristige Deaktivierung kann der Sicherheit Ihrer Microsoft 365 Umgebung schaden.
Falls Sie noch Rückfragen zu dem Thema der Microsoft Sicherheitsstandards haben, können Sie jederzeit einen Vorgang eröffnen und wir beraten Sie gerne.
Fazit – AVD mit Office ist günstiger als ohne
MFA kann nur mandantenweit (ganzer Tenant) aktiviert werden. Wenn Sie vermeiden möchten, dass auch an Theken und Kassen-Arbeitsplätzen das Handy mit der Authenticator-App gezückt werden muss, benötigen Sie entweder einen Microsoft 365 Business Premium Plan oder bei anderen Plänen wie Windows E3 (für Azure virtual Desktop (AVD) ohne Office und ohne E-Mail) den Microsoft EntraID Plan 1. Diese beiden Zusammenstellungen erlauben auch Geräte-ID oder IP-Adresse des Geräts als zweiten Faktur zuzulassen. Die Nutzung der Authenticator App kann damit vermieden werden.
#Wichtig – Nutzer, die bisher einen Exchange online Plan 1 nebst Mailvirenschutz, Endpunkt-Virenschutz und AVD Zugriff nutzten, sollten auf den Microsoft 365 Business Premium Plan umstellen, sobald möglich, da die Summe der Einzel-Pläne den Preis des Premium-Plans überschreitet. Oder anders gesagt: Das Gesamtpaket mit Office ist günstiger als AVD mit Postfach und Schutz und MFA.
Microsoft Preisliste – nachgerechnet
Windows 10 – 22H2 letzte Version
Microsoft hat heute verlautbart, dass die Version 22H2 (Build 19045) das letzte Funktionsupdate für Windows 10 #Win10 ist. Man werde nur noch #Sicherheitsupdates bis zum Ende der Laufzeit bereitstellen. Das würde bedeuten, dass die vorhandene Regel (Build 19046 nach 18 Monaten erforderlich) gebrochen ist.
{Update 12.05.2023} Es gibt offensichtlich weiterhin auch Fehlerkorrekturen (die bisher immer am vierten Dienstag im Monat als optionales Update verteilt wurden). Die Änderungen des optionalen Updates werden immer mit dem nachfolgenden Patchday verteilt. Während der Patchday Mai 2023 Build 2965 hat, bekommen Insider Build 3030 mit etwa einer Seite Fehlerkorrekturen.
Für Endverbraucher (Consumer) ist das Ende der Sicherheitsupdates im Oktober 2025, für Enterprise-Kunden und die LTSC 2019-Version erst 2029 (LTSC-Versionen erhalten für 10 Jahre Updates, die letzte LTSC war 2021. Dies erhält aber nur 5 Jahre Updates, also bis 2026).
Kunden mit den Miet-Versionen wie Windows 10 Enterprise LTSC und Azure Virtual Desktop auf Windows 10 Basis müssen also die nächsten Jahre keinen größeren Aufwand betreiben und auch keine Hardware neu kaufen.
Mein Kommentar (Die folgenden Aspekte spiegeln die Meinung der Redaktion):
1) Unternehmen, die Windows 10 Pro und Enterprise einsetzen werden wohl kaum neue Hardware (Laptops alle 4-5 Jahre nach Abschreibung davon mal ausgenommen) ersetzen, nur damit ein unkomfortableres Windows 11 #Eleven darauf offiziell unterstützt wird. 2) keine Funktionsupdates mehr für Windows 10? Gut, weil bisher jedes Funktionsupdate nur mehr Werbung in Windows reingemogelt hat. Ich möchte nichts von BING, keine BING-Suche, keine Werbung, keine BING-Nachrichten und keine Websuche und Suchvorschläge damit auf meinem Rechner. Auch keinen Edge mit der sicherheitsanfälligen Adobe Reader Freemium Version integriert! Wenn ich ChatGPT ausprobieren möchte, installiere ich mir dafür Skype Desktop. Dafür kann ich komplett auf Edge verzichten und habe nur für Office die Edge Runtime mit im Gepäck, aber keine 25 Edge Browserprozesse im Hintergrund laufen. 3) Viele PC-Endgeräte werden nur noch zum Hochfahren benutzt, um dann einen Azure Virtual Desktop zu nutzen. Bei AVD bekommen wir bis 2031 (im Rahmen der Miete) erweiterte Sicherheitsupdates und müssen die Pools nicht auf Win11 umstellen. 4) Das zentral verwaltbare IGEL Thin-OS läuft wunderbar auch auf alter PC-Hardware und die Lizenz mit Wartung kostet nicht die Welt. Der AVD-Client unter diesem Linux wird offiziell von Igel und Microsoft supportet 5) Wenn ich das nicht falsch verstanden habe, lässt sich die 10 Pro-Version für einen monatlichen Betrag in eine Enterprise Version umwandeln – und schon gelten wieder erweiterte Supportzeiten. 6) Die Mitarbeitenden finden sich in einem einheitlichen Bedienkonzept wieder – selbst die Laptop-Benutzer fahren ein Windows 10 hoch und auf dem Terminalserver (2022) sieht es genauso aus. Ebenso bei Azure Virtual Desktop. Warum sollten sie sich mit zwei UIs anfreunden? 7) Ich befürchte, dass diesmal Windows 12 dann im Herbst 2024 nicht wieder das bessere Windows im gut/schlecht Rhythmus sein wird. Wenn doch, muss lediglich die Hardware-Beschränkung (mindestens Core i 8. Generation) gelockert werden.
Das die Bedienung der Nachfolgebetriebssysteme wieder besser wird, zeigt sich schon in den aktuellen Moment-Updates von Windows 11. Ich lasse mich gern eines Besseren belehren und bleibe solange wie möglich bei Windows 10 Enterprise (LTSC). Was noch fehlt, ist dass die ganze Werbung und das BING-Geraffel zunächst ausgeschaltet sein sollte und bei Bedarf über GPOs angeschaltet werden kann. Derzeit muss man rund drei Seiten voll GPOs sich mühsam zusammensuchen und dann verteilen (die Hoffnung stirbt bekanntlich zuletzt).
Fazit: Ich befürworte das IaaS Cloudkonzept (und da wo möglich ist auch SaaS). Außerdem bin ich überzeugt von den Vorteilen des Azure Virtual Desktops und den anderen Onlinediensten wie Exchange Online, Sharepoint, Teams und Onedrive for Business. Auf der Client-Seite und mit dem Einbringen von Werbung und Störfunktionen in der Pro-Version von Windows 10/11 hat sich Microsoft keinen Gefallen getan. ChatGPT als Onlinedienst zu nutzen, kann durchaus produktiv sein – auch in der Bezahlversion, eine zwangsweise Integration in ein Client-Betriebssystem ist aber m. E. unangebracht.
Meinung der Redaktion von tech-nachrichten.de
Samsung Buds True Wireless statt Klinke
Früher hatten alle Smartphones einen 3,5mm-Klinkenstecker. Daran konnte man entweder einen Selfie-Stick (wer sowas braucht), einen Fernauslöser für die Kamera oder ein kabelgebundenes In-Ear-Headset anschließen. Über das eingebaute Mikrofon konnten störungsfrei für die Anderen Gespräche geführt werden.
Alle neuen Smartphones, mittlerweile auch die Unter- und Mittelklasse verzichten auf den Klinkenanschluss, die mitgelieferten Headsets, Ladekabel und Netzteil. Ob aus Umweltschutzgründen (ein Typ-C-Ladegerät hat quasi jeder) oder zur Gewinnmaximierung der Hersteller sei mal dahingestellt.
Nun mussten also für das neue Smartphone möglichst handliche, Mobile Freisprecher her. Es liegt also nahe, sich auch hier im Hause Samsung zu bedienen, wenn das Telefon auch von dem Hersteller ist. Wer nimmt schon die fetten, schweren Over-Ear Headset immer unterwegs mit. 😮
#Samsung bietet verschiedene Modelle an (Buds Live im unteren Segment, Buds2 in der Mittelklasse und Buds2 Pro). Ich habe mich für die Mittelklasse SM-R177 entschieden, da diese mit Straßenpreis von derzeit knapp über 70 Euro netto nicht wesentlich teurer ist als die Billigvariante Live (rund 60 €) und deutlich günstiger als die Pro Variante, die es nicht unter 160 € gibt.
Die Live-Variante scheidet schon deshalb aus, weil die Hörer wie Bohnen und nicht als In-Ear-Silikon-Hörer ausgelegt sind, damit schlechter im Ohr halten und den schlechtesten Klang haben. Zudem funktioniert ANC so gut wie gar nicht.
Die getesteten Buds2 lassen sich sowohl an Android Smartphones, als auch mit Windows 10+ Rechnern über Bluetooth verbinden. Unter #Windows sogar noch komfortabler, weil sobald man den Deckel der Ladestation der Buds öffnet, Windows fragt, ob man die schnelle Kopplung der Geräte nutzen möchte. Einen Mausklick später sind die Ohrhörer (und die Mikrofone) verbunden und lassen sich nutzen.
Das Highlight: Es gibt auf Github die inoffizielle Buds Win32-Anwendung. Sie sieht ähnlich der Samsung App aus und hat sogar noch mehr Funktionen als das Android Original
https://github.com/ThePBone/GalaxyBudsClient
Da es die inoffizielle App auch für Linux gibt, lassen sich die Buds2 auch mit Linux koppeln.
Unter #Android installiert man am Besten die „Samsung Wear“ App startet sie, öffnet den Deckel der Buds-Ladestation und wählt dann die Buds aus. Konfigurieren kann man sie über die App. Dazu kann man ein Widget installieren, das dann auf einer der Homepages die direkte Steuerung von ANC, Equalizer und 360° Sound erlaubt.
Ein Einsatz unter IOS, sollte auch möglich sein, kann ich aber mangels Geräten nicht prüfen.
Möchte man nun mit den Buds zwischen den Geräten wechseln, geht man nur am entsprechenden Gerät in die Bluetooth-Einstellungen und drückt auf verbinden. Schon hat das gewünschte Gerät die Verbindung. Bei mir sind es zwei Laptops und ein Smartphone, die ich so wechselweise mit den True-Wireless Buds2 koppeln kann.
Mit einer Treibergröße von 11mm liegen die In-Ohrbohnen im Mittelfeld, was bedeutet, dass die Bässe auch in der Bass-Boost-Einstellung nicht so satt klingen können wie bei over-Ear-Headsets wie dem Jabra Evolve2 75. Das erwartet man aber auch nicht. Auch ANC lässt noch einige Geräusche durch, auch wenn man das zum Ohr Passende Silikondoppel verwendet (4 Paar sind in der Packung).
Die Bedienung erfolgt per Touch Sensorflächen egal ob am rechten oder linken Ohr. So kann man beispielsweise Anrufe annehmen oder abweisen, je nachdem ob man einen einfach-Klick, Doppelklick oder Dreifachklick toucht. Gleichermaßen die Musiksteuerung (3x klick = Titel zurück, 1x klick = Start/Stop, 2x klick = Titel vor. Auf dem Smartphone startet dann Samsung Music, auf dem PC muss man VLC und seine Playlist vorher aufrufen, kann dann aber mit den gleichen Kombinationen navigieren, solange VLC noch die Fokus-Anwendung ist.
Über die Einstellungen kann man auch konfigurieren, dass für Telefongespräche die Buds von ANC auf den Hear-Thru Modus automatisch gehen. So klingt das Telefonat natürlicher. Wahlweise kann dann trotzdem ANC eingeschaltet werden.
Geladen werden die Öhrlinge über die mitgelieferte Ladebox, die entweder über ein USB-C-Kabel (auch Schnelladen möglich) oder kontaktlos (Qi-Standard-Handy oder Ladefläche vorausgesetzt) aufgeladen werden können. Nutzt man sie gerade nicht, in die Ladestation damit und die Gesamtzeit sollte 5h Dauernutzung überschreiten.
Fazit: Bestes Preis-Leistungsverhältnis, excellente (wenn man die inoffizielle Github Software dazunimmt) Softwareuntersützung.
Samsung Galaxy A54 5G Testbericht
Etwa einmal pro Jahr bringt #Samsung neue Modelle seiner verschiedenen Serien heraus. Die Smartphones der oberen Mittelklasse (was Preis, Leistung und Verarbeitung angeht) bildet dabei die A5X Serie.
Nachdem mein Vorgänger nicht mehr monatliche Sicherheitsupdates bekam, war es an der Zeit, einen Nachfolger auszuwählen. Ganz frisch im Markt (seit März 2023) ist dabei das Samsung #Galaxy A54 5G.
Im Vergleich zum A53 5G hat es zwar geringfügige Nachteile, in punkto Sicherheit gewährt Samsung aber beim 54er ganze 4 Jahre Sicherheitsupdates im monatlichen Zyklus. Außerdem werden android und die OneUI Bedienoberfläche von Samsung längere Zeit Updates erhalten, als das A53 (es lief noch unter dem 3 Jahre Updates und 1 OS-Update Zyklus und wird demnach Ende 2025 keine monatlichen Sicherheitsupdates mehr bekommen).
Vergleich A54 (gegenüber A50) und Vorteile
Die erste Neuerung ist das eingebaute 5G-Modem. Eine Messung am Standort zauberte 267MBit Downstream und 70MBit Upstream hervor. (4G+ kam nur auf 100/20 MBit oder weniger).
Die Karten-Schublade ist nun hybrid, d.h. sie unterstützt ENTWEDER Dual SIMs oder aber eine SIM und eine Speicherkarte bis 1TB. Ich habe die Samsung EVO 512 eingesetzt.
Das Display ist etwas (0,1″) kleiner als beim A53, aber genausogroß und mit den gleichen Eckdaten wie beim A50 – also hier keine Änderung.
Es hat 3 statt 4 Kameralinsen (A53) und trotzdem eine bessere Kameraoptik als das A50. Außerdem wurde die Kamera-Software von der Oberklasse S-Serie übernommen.
Es gibt auch wieder ein Always On Display, das man aber erst einschalten muss (Werksseitig steht es auf „Tap to activate“)
Die Bedienung des neuen One-UI ist flüssig, man sollte aber in den Einstellungen die Entwickler-Optionen einschalten und dann alle drei Animationen ausschalten. Dann wird die Bedienung richtig schnell.
Im Firmenumfeld ist es dank Knox optimal in Intune integrierbar und die Mitarbeitenden haben einen Bereich im Smartphone, wo die privaten Apps laufen und im App-Drawer eine SEktion, wo Firmen-Apps aufrufbar/installierbar sind.
Leider kommt man nicht drum herum, bei der Ersteinrichtung einige Werbeapps wie booking.com, Twitter, Youtube Music und weitere erst zu installieren und am Ende wieder zu deinstallieren. Andere unerwünschte Apps lassen sich entweder deaktivieren oder über die AOD Schnittstelle an der Befehlszeile ordentlich deinstallieren.
Der (die) Lautsprecher sind wesentlich besser im Klang – der Einsatz mit Saugnapfhalterung im Auto als Navi ist nun auch mit dem integrierten Lautsprecher gut hörbar. Neuere Autos haben eh Android Auto – dafür wäre das dann egal.
Nachteile
Leider hat man auf die 3,5mm Klinkenbuchse verzichtet. Ich glaube zwar, das es wenige Nutzende mit Selfie-Stick gibt, aber die In-Ear-Headset-Kombination, die früher mitgeliefert wurde, war ganz praktisch. Im Gegensatz zur S-Serie werden weder (Bluetooth) Headset, noch Ladekabel, noch Netzteil mitgeliefert. Wer die Schnelladefunktion nutzen möchte, braucht das USB-C-Kabel und Netzteil vom Vorgänger Samsung-Handy oder ein kostenpflichtiges Neuteil.
QI- kontakloses Laden bleibt wieder den teuren S-Modellen vorbehalten, fand aber noch nie in der A-Serie statt.
Das UKW-Radio wurde mangels Antennenanschluss auch entfernt (davor war das Kopfhörerkabel die Antenne)
Empfohlenes Zubehör
Samsung EVO 512 GB MicroSD-Speicherkarte (mit rund 40 Euro ein günstiger Erweiterungsspeicher)
Silikon-Protektor, schwarz – schützt die Glas-Rückseite und bietet ein bessere Griffgefühl. Außerdem kippelt das Handy nicht, wenn man es auf den Tisch legt
Samsung Display-Schutz-Folie – Die Glasfront hat zwar Gorillaglas 5, aber wenn das Telefon mal auf einen spitzen Stein fällt, ist das Display hinüber. Mit etwas handwerklichem Geschick lässt sich das Touch Display folieren.
Fazit
#Erfreulich – der Wechsel von einem A50 oder älteren Samsung-Modell auf das A54 5G ist empfehlenswert, allein wegen der längeren Sicherheits-Laufzeit. Wer schon ein A53 5G hat, sollte erst bei Ablauf der Sicherheit auf das dann erschienene A56 5G wechseln.
#Wichtig – nach dem totalen Datenverlust eines norwegischen Cloud-Anbieters, hier die Fakten, was und wie bei Microsoft in ISO-zertifizierten Rechenzentren gesichert wird:
SaaS: (z.B. gevis SaaS, ECM (Archiv) SaaS, BI1 SaaS) – Microsoft bzw. AWS führt einmal täglich einen Snapshot der Datenbanken aus. Dieser wird 30 Tage vorgehalten.
IaaS: virtuelle Server, die Sie bei Microsoft in Azure betreiben, sind standardmäßig mit 1 Snapshot aller VMs pro Tag, 14 Tage lang und 10 Jahressicherungen gesichert. Wer mehr möchte, kann Wochen und Monatssicherungen zusätzlich mieten
Online-Dienste: Exchange online, Sharepoint online, Teams, Onedrive für Business werden nicht gesichert. Diese Dienste verfügen nur über einen Papierkorb, der 30 Tage Datenrestauration (allerdings auch nur für Onedrive und Exchange Postfächer, nicht für Teams Chats und Teams Einstellungen). Wir empfehlen für die Sicherung dieser Dienste den Onlinedienst „Artikel A0002613 ConnectWise Full Cloud Backup“.
Mailarchiv: In den Microsoft 365 Business Premium Plänen ist ein Mailarchiv enthalten, das eingerichtet werden kann. Alternativ ein Drittprodukte mit Ihrem Dienstleister einsetzen – z.B. Mailstore als Onlinedienst.
Azure Backup macht sogenannte Snapshots von allen in Azure IaaS angelegten und zur Sicherung ausgewiesenen Servern. Hierbei wird die gesamte Windows oder Linux-Maschine mit allen Inhalten, Betriebssystem und Daten (Storage) komplett gesichert. Liegen auf einer Dateifreigabe die Dokumente (aka. Laufwerke P:, Q:, R:, S:), werden diese mitgesichert.
2. Wie werden Daten in Azure Backup verschlüsselt?
Azure Backup verschlüsselt alle Ihre gesicherten Daten automatisch, wenn sie in der Cloud mit Azure Storage-Verschlüsselung gespeichert werden. Dies hilft Ihnen, Ihre Sicherheits- und Complianceverpflichtungen zu erfüllen. Ruhende Daten werden mit der AES-256-Verschlüsselung verschlüsselt (einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist). Zusätzlich werden alle Ihre Sicherungsdaten während der Übertragung über HTTPS übertragen. Sie bleiben immer im Azure-Backbone-Netzwerk.
3. Wieviele Backups der Datensicherung werden erstellt (Generationen)?
Die empfohlene Standardeinstellung (und Best-Practice) ist:
[X] 14 Tages Sicherungen (1 x pro Tag)
keine 5 Wochen Sicherungen (da deutlich teurer)
keine 12 Monats-Sicherungen (da deutlich teurer)
[X] 10 Jahres-Sicherungen
Hierbei ist entscheidend, dass Daten und Datenbanken, die älter als 14 Tage sind, keinen nennenswerten wirtschaftlichen Vorteil bieten. Für die Langzeitsicherung wird 1x pro Jahr eine Sicherung für 10 Jahre aufbewahrt.
4. Wo wird die Datensicherung gespeichert (an anderen Orten oder anderer Cloud)?
Aus wirtschaftlichen Überlegungen (GRC ist mind. doppelt so teuer) ist die Datensicherung als LRC gebucht, d.h. sie findet am Standort des gewählten Rechenzentrums (Frankfurt, Berlin, Dublin, Amsterdam) statt.
5. Ist die Datensicherung gegen Eventualitäten eines Ransomware-Angriffs vorbereitet?
6. Kann ich die gevis Datenbank zusätzlich Offline-Sicherung On-Premises erstellen?
Rechnen Sie die Datenmenge des SQL-Backup-Ordners und teilen sie durch Ihren Downstream Ihrer Internet-Leitung. Wenn die benötigte Zeit ausreicht, könnten Sie ein NAS z.B. von Synology bei sich aufstellen und über den integrierten Mechanismus den Ordner darauf kopieren. Zusätzlich – wegen notwendiger OFFLINE-Sicherungen müssen regelmäßig auf an das NAS angeschlossene USB-Platten Sicherungskopien erstellt werden, die dann an einem anderen Ort gelagert werden.
7. Wie kann ein Wiederherstellungstest durchgeführt werden?
Das BSI schreibt regelmäßige Rücksicherungstests vor. Best practice ist hierbei 1x pro Monat. Analog zum Datensicherungs-Band-Check (On-Premises) bieten wir auch für das Azure Backup Rücksicherungsprüfungen an. Der Bestellschein kann hier heruntergeladen werden.
8. Wie werden Daten aus Teams, Sharepoint, Exchange online und Onedrive for Business gesichert?
Wenn Sie keine optional anzumietenden Lösungen wie Connectwise Full Backup einsetzen, werden diese Dokumente und Daten nicht gesichert. Über de Papierkorb-Funktion der Onlinedienste lassen sich Dokumente nur max. 30 Tage restaurieren. Wird der Papierkorb gelöscht, sind die Dokumente fort. Mit dem Einsatz von Connectwise Full Backup werden mehrere Snapshots der Dokumente am Rechenzentrum des Connectwise Onlinedienstes gesichert.
9. Wie werden E-Mails archiviert?
Nur wenn im Rahmen des Microsoft 365 Business Premium Plans das E-Mail-Archiv auf den Postfächern aktiviert und bei den anderen Plänen lizensiert und aktiviert wird, erfolgt eine Archivierung von E-Mails. Alternativ kann unsere Archivlösung oder ein Barracuda Mailarchiv lizensiert und eingerichtet werden. Fremdarchiv-Onlinedienste sind ebenfalls denkbar, müssen aber vom Anbieter eingerichtet werden.
Patchday April kritische Lücken
#Wichtig – rund die Hälfte der mit dem April #Patchday geschlossenen Lücken werden im CVE-Rating als kritisch eingestuft und ermöglichen „Remote-Code Execution“. Ein gefundenes Fressen und ein sehr hohes Risiko, dass Mitarbeitende mit Benutzer-Rechten etwas anklicken und das Angeklickte den Rechner infiziert, Code nachlädt und weitere Systeme im Netzwerk befällt.
Hierbei werden Dienste (wie beispielsweise ein lückenhafter DHCP-Serverdienst) genutzt, um ohne Adminrechte Programme auszuführen.
Da bei den Updates auch Dienste auf den Servern betroffen sind und nicht nur Windows Clients, sind die zeitnahe Installation der April-Patches enorm wichtig.
Mit dem Funktionsupdate März, das mit dem Patchday April 2023 an alle verteilt wird, wird außerdem LAPS (Local admin Password solution), die Möglichkeit, lokale (Admin-) Konten und Kennwörter per Gruppenrichtlinien zu setzen/ändern in die Windows-Betriebssysteme integriert. Ob LAPS auch für die Server implementiert wird, wird aus dem Artikel nicht klar.
Windows 10 Build 19045 erforderlich
Microsoft erinnert derzeit daran, dass Windows 10-Versionen, die nicht das Funktionsupdate 22H2 haben, im Juni 2023 das letzte Funktionsupdate und im Oktober 2023 das letzte Sicherheitsupdate bekommen. [Update Mai 2024]: Auch die Enterprise-Version von Windows 10 bekommt nur noch automatische Updates bis Oktober 2025, wenn Version 22H2 installiert ist.
Windows 10 21H2 oder älter ohne Updates1Jahr 10Monate 3Wochen 5Tage seit Di. 10. Okt. 2023696 Tage
#Endoflife – Da das Funktionsupdate von Version 21H2 (19044) auf 22H2 (19045) nur wenige Minuten dauert, sollte es unbedingt zeitnah ausgeführt werden. Sollten Sie noch Windows 10 Systeme mit einem Build kleiner als 19041 haben, dauert die Installation des Funktionsupdates mindestens eine Stunde, ist aber umso wichtiger.
Neue Features gab es zum Juni 23 Update allerdings wenige. Es wurde aber „unter der Motorhaube“ gearbeitet. Betroffen sind auch die Windows 10 Pro und Workstation Versionen (da Microsoft sie zu den Consumer-Versionen zählen).
Prüfen Sie, welche Windows – Version auf Ihren Systemen ist. Wenn Sie #OpenAudit Classic im Einsatz haben und alle Systeme inventarisiert, reicht dazu ein Blick in die Hardwareliste. Der jeweilige „Build“ wird dort in einer der rechten Spalten angezeigt. Dort muss eine 19045 enthalten sein. In Azure Virtual Desktop (Windows 10) werden bis mindestens Januar 2027 Sicherheitsupdates angeboten. Vermutlich wird Microsoft aber die Mieter nicht zwingen, die AVD Maschinen im Pool auf Windows 11 umzustellen. Bis 2025 wird ohnehin Windows 12 oder eine akzeptable Windows 11 25H2 Version erschienen sein. Bereits in Windows 11 24H2 wurden zahlreiche Mängel der Vorversionen beseitigt.
Microsoft Supportseiten
Neues aus dem Phishereihafen
Mittlerweile lässt die Bereitschaft der Phishing Agency, korrekte deutsche Sprache zu verfassen wieder nach. Vermutlich weigert sich ChatGPT mittlerweile, den Betrügern Texte zu verfassen. Die Nigeria-Connection nennt uns nun „Aufmerksamkeit“ – wer mich nicht mit „Euer Durchlaucht“ anreden, bekommt meine schon mal gar nicht.
Der „Sanfte Kunde“ in der anderen Fraud-Mail schmeichelt dagegen. Mit Aktivitäten AUF meiner Kreditkarte meinen die bestimmt, dass eine Ameise über die Karte gekrabbelt ist. Wie auch immer – mittlerweile kann man nur sagen: „Wer drauf reinfällt, ist selbst schuld“.
ChatGPT und der erste April
Nun ja, das mit Google am ersten April war unser diesjähriger #Aprilscherz, wie einige bemerkt haben, Überhaupt fällt auf, dass sich diese Jahr fast alle ITler auf ChatGPT in ihren Scherzen konzentrieren.
ChatGPT selbst ist leider nicht sehr kreativ und bietet nur Vorschläge für zwei Scherze an:
Bing KI-Suche wird zu Google KI-Suche
Nachdem Microsoft mit dem Edge on Chromium Browser aktuell wieder Marktanteile verliert (Das hängt auch damit zusammen, dass der intergrierte PDF-Betrachter durch die Adobe Acrobat Reader Freemium Software mit Werbung ausgetauscht wird), möchte man sich ganz auf die künstliche Intelligenz konzentrieren.
Bisher musste man entweder Microsoft Edge benutzen oder in Chrome die bing.com Webseite aufrufen, um die Suchmaschine BING optional um die KI-Funktionen zu erweitern.
Ab sofort kann, wer als Standard-Browser Google Chrome für Enterprise verwendet (auch der empfohlene Browser unserer Redaktion), sich auf der Microsoft Bing ChatGPT-Seite (wie bisher) registrieren und (nach Verlassen der Warteschlange, was einige Tage dauert) die KI aus dem Chrome Browser heraus nutzen. Dazu muss nicht einmal mehr Edge on Chromium auf dem System installiert sein. Auch Cortana, der Sprach-Assistent ist optional, da Google ja ebenfalls eine Sprachengine enthält.
Die Google Suche bekommt damit ebenfalls die Microsoft ChatAI Funktion – man muss nicht BING verwenden als Suchmaschine.
Microsoft Tech Blog
Zum Aktivieren der KI-Such-Funktionalität (ehemals Bing ChatGPT inklusive der Google Sprachsteuerung) in Google Chrome (ab Version 111 stable) gehen Sie in die chrome://flags und setzen den folgenden Parameter auf „enabled“. Nach einem Neustart des Browsers und wenn Sie bei Microsoft freigeschaltet sind (siehe oben), antwortet Ihnen die Google Suche automatisch mit der künstlichen Intelligenz von (ehemals BING-) ChatGPT – selbstverständlich auf deutsch.
Microsoft macht alten Exchange die Tür zu
Wie aktuelle Statistiken beweisen, sind noch zigtausende alte #Exchange Server im Internet erreichbar und versenden (da solche Server meist schon – auch ohne das der Betreiber es merkt – unter der Kontrolle Krimineller sind) E-Mails und Spams.
Da nur noch Exchange Server mit Version 2016 und 2019 #Sicherheitsupdates bekommen, stellen die alten Versionen 2007, 2010 und 2013 ein hohes Risiko dar. Microsoft hat daher beschlossen, auf seinen Onlinediensten (Exchange Online/Microsoft 365) den Empfang von Mailservern der unsicheren Art zu verhindern, indem dort der absendende Server aus den E-Mail-Kopfzeilen ausgelesen wird und bei feststellen von einem Exchange 2007/10/13 die E-Mail abgewiesen (gebounct) wird.
Die Block-Regel für Exchange Server 2007 wird kurzfristig aktiviert, 2010 und 2013 sollen dann sukzessive folgen.
#Wichtig – wer noch einen Exchange Server 2007, 2010 oder 2013 betreibt, sollte umgehend handeln (Version 2019 lizensieren (Ende der Sicherheitsupdates ist bereits am 14.Okt 2025 und einen Nachfolger kann man nur noch mieten!) oder besser: auf Exchange online umstellen) oder damit rechnen, dass er viele seiner Kunden und Lieferanten (alle Empfänger, die bereits Microsoft Online-Diente nutzen) nicht mehr erreichen können wird.
Zum Onlinedienst Exchange online kann man E-Mail-Security und SPAM-Schutz dazubuchen (und hat den Defender mit Advanced Threat Protection im Business Premium Plan enthalten oder zum Exchange online-Plan den Defender gebucht).
Der Virenscanner ist so sicher, dass er selbst nachweislich von Microsoft (Kopfdaten im E-Mail-Header und Sendeverlauf der Mailserver) stammende E-Mails fallweise auch in Quarantäne „Phishing-Verdacht“ legt. Was mir dabei gar nicht gefällt ist, dass die Benachrichtigungs-E-Mail vom Microsoft Quarantäne-Center genau so aufgebaut ist, wie alle Phishing-Mails. So befindet sich darin beispielsweise ein Link, auf den man klicken soll. Geschulte User klicken auf keinen Fall auf den Link. Wer also weiß, wie er das Microsoft 365 Defender Quarantänecenter erreichen kann, gibt die URL dazu im Browser ein, wer nicht, fragt seinen Administrator nach der URL und gibt sie dann im Browser ein.
Die kassierte E-Mail und die Benachrichtigung stammen nachweislich von Microsoft selbst
Im Quarantäne-Bereich angekommen, erscheint dann die E-Mail in der Liste. Hier wird nun auch der Grund für die Quarantäne genannt: SPAM-Verdacht, nicht Phishing.
Niemals auf Links und Buttons in E-Mails klicken, auch wenn die E-Mails von einem bekannten Absender stammen. Ist die Zieladresse bekannt, diese im Browser eingeben. Ist sie nicht bekannt, die E-Mail umgehend löschen!
Ausschneiden und Skizzieren nicht sicher
Update 26.03.2023: Auch wenn Microsoft den #Acropalypse Fehler angeblich mit der Version 11.2302.20.0 von „Ausschneiden und skizzieren“ behoben hat – unter Windows 10 taucht weiterhin Version 10.2008.3001.0 auf. Daher ist es sicherer, Bilder entweder mit der kostenlosen Anwendung Paint.net zu beschneiden oder aber ShareX zu verwenden. Mit beiden Apps konnte nicht festgestellt werden, dass nach dem Ausschneiden noch ausgeschnittene Fragmente in der Bilddatei zu finden waren.
Der Nachfolger vom „Snipping-Tool“ in Windows 10 und 11 ist „Ausschneiden und Skizzieren“, das sich über die Tastenkombination {Windows&Hochstellen&S} aufrufen lässt. Damit können Bildausschnitte oder Bildschirmfotos erstellt, bearbeitet und gespeichert werden. Dabei kann man auch Teile wegschneiden, um beispielsweise Informationen für den Empfänger zu verschleiern.
Aktuelle Tests haben jedoch ergeben, dass die entfernte Information weiterhin im PNG-Bild abgespeichert ist. Die PNG enthält somit auch das ursprüngliche Bild mit den Informationen, die nicht verschleiert wurden. Mit Analyse-Tools (oder mit einem Hex-Editor) lässt sich demnach das ursprüngliche Bild wiederherstellen.
Das quelloffene Projekt „ShareX“ hat diese Lücke nicht, bietet mehr Möglichkeiten (wie das sofortige Abspeichern der Schnappschüsse ohne Rückfrage und die Videoaufzeichnung als MP4-Datei). ShareX ist der Nachfolger von „Greenshot“. Wir empfehlen als Dokumentations- und Ausschneide-Werkzeug „ShareX“ einzusetzen
ShareX Projekt
Zerstören Sie diese Nachricht
Neben Banken und Liefer-/Paketdiensten werden nun auch Logos von Punktesammelfirmen in Phishing-E-Mails eingesetzt. Die angegebene Miles & More AG gibt es natürlich nicht (es ist eine GmbH), auch die Absendeadresse ist wieder klar als falsch erkennbar. Während man in dieser E-Mail auf Rechtschreibfehler verzichtet, sind die gewählten Formulierungen kurios: Konto Aktivität, aber Karte, nicht Konto gesperrt. Und sie laden uns ein, auf den bösen, bösen Link zu klicken. Klar, wer auf alles klickt, das nicht bei 1-2-3 auf den Bäumen ist, wird auch darauf hereinfallen. Wie man E-Mails „zerstört“ bleibt ungeklärt. Wir empfehlen 85%ige Salzsäure (wie in dem Filmzitat „Diese Nachricht zerstört sich in 5 Sekunden“).
Auch die in den Microsoft 365 Business Premium Plänen integrierte Linkprüfung verhindert nicht zu 100% das Aufrufen solcher Betrugswebseiten.
Wir können immer nur wiederholen: Links in E-Mails anklicken ist absolut tabu. Auch wenn es sich um E-Mails vermeintlich bekannter Absender handelt – auf jeden Fall die Link-Adresse kopieren und in einem Editor anschauen. Besser: Die Webseite des Anbieters eingeben oder den eigenhändig erstellten Lesezeichen aufzurufen, ist eher geeignet.
Ein neuer Phisch
IT-Sicherheit – Fragen und Antworten
In dieser #FAQ haben wir die wichtigsten Fragen und Antworten zur IT #Sicherheit für Sie zusammengestellt:
1. Was ist Phishing und wie können Sie sich davor schützen?
Phishing ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartennummern preiszugeben. Sie können sich davor schützen, indem Sie auf verdächtige E-Mails achten, keine Links in E-Mails anklicken, die Sie nicht erwartet haben, und keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist.
2. Was ist Social Engineering und wie können Sie sich davor schützen?
Social Engineering ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen preiszugeben, indem sie sich als vertrauenswürdige Person oder Organisation ausgeben. Sie können sich davor schützen, indem Sie auf verdächtige Anfragen achten, keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist, und keine Links anklicken, die Sie nicht erwartet haben.
3. Was ist Ransomware und wie können Sie sich davor schützen?
Ransomware ist eine Art von Malware, die Ihre Dateien verschlüsselt und Sie auffordert, ein Lösegeld zu zahlen, um sie wiederherzustellen. Sie können sich davor schützen, indem Sie regelmäßig Backups Ihrer Dateien erstellen, eine Antivirensoftware verwenden und keine verdächtigen E-Mail-Anhänge öffnen.
4. Was ist Malware und wie können Sie sich davor schützen?
Malware ist eine Art von Software, die darauf abzielt, Ihren Computer zu beschädigen oder zu stehlen. Sie können sich davor schützen, indem Sie eine Antivirensoftware verwenden, keine verdächtigen E-Mail-Anhänge öffnen und keine Software von unbekannten Quellen herunterladen.
5. Was ist ein starkes Passwort und wie können Sie ein sicheres Passwort erstellen?
Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Sie sollten auch keine persönlichen Informationen wie Ihren Namen oder Ihr Geburtsdatum verwenden.
6. Was ist eine Firewall und wie funktioniert sie?
Eine Firewall ist eine Art von Sicherheitssoftware, die den Datenverkehr zwischen Ihrem Computer und dem Internet überwacht und unerwünschte Verbindungen blockiert.
7. Was ist ein VPN und wie funktioniert es?
Ein VPN ist eine Art von Sicherheitssoftware, die Ihre Internetverbindung verschlüsselt und Ihre Identität verbirgt, indem sie Ihre IP-Adresse maskiert.
8. Was ist eine Zwei-Faktor-Authentifizierung und wie funktioniert sie?
Eine Zwei-Faktor-Authentifizierung ist eine Methode, bei der Sie sich mit zwei verschiedenen Methoden anmelden müssen, z. B. einem Passwort und einem Fingerabdruck oder einem Passwort und einem SMS-Code.
9. Was ist ein Physischer Zugriff und wie können Sie sich davor schützen?
Physischer Zugriff bezieht sich auf den Zugriff auf einen physischen Ort oder ein physisches Gerät. Sie können sich davor schützen, indem Sie Ihre Geräte sperren, wenn Sie sie nicht verwenden, und sicherstellen, dass Sie sie nicht unbeaufsichtigt lassen.
10. Was ist ein Sicherheitsupdate und warum ist es wichtig, es durchzuführen?
Ein Sicherheitsupdate ist eine Art von Software-Update, das Sicherheitslücken in Ihrem Betriebssystem oder Ihrer Software behebt. Es ist wichtig, Sicherheitsupdates regelmäßig durchzuführen, um sicherzustellen, dass Ihr Computer vor Bedrohungen geschützt ist.
veeam neue kritische Sicherheitslücken
Werden diese #Sicherheitslücken (CVE-2023-27532 „hoch“) ausgenutzt, können Angreifende Kontrolle über den Backup-Server erlangen. Veeam Software hat Anfang März 2023 Sicherheitsupdates zur Verfügung gestellt, mit denen die Lücken geschlossen werden können.
#Wichtig – Wie aus dem Security-Bulletin des Herstellers hervorgeht, müssen alle veeam-Versionen (9,10 und auch Version 11) auf Version 12.0 aktualisieren.
Hierzu ist ein aktiver Wartungsvertrag erforderlich (Anmerkung: Eine Backup-Software ohne Wartung bzw. mit Sicherheitslücken zu betreiben, führt bei vielen Versicherungen zur Kürzung von Leistungen im Schadenfall. Vielfach ist die Datensicherung auch der einzige Rettungsanker, wenn ein Verschlüsselungstrojaner gewütet hat). Die Vertrags-Rest-Laufzeit wird im Startbild von veeam oder im „Info über“ Dialog unter „Support expiration date“ im Hamburger-Menü angezeigt. Ist der Support nicht „expired“, dürfen Sie upgraden. Zum Herunterladen der aktuellen Patches melden Sie sich mit Ihrem veeam Konto auf veeam.com an, laden das Update herunter und installieren es. Dabei müssen auch die Agents auf den physikalischen Maschinen aktualisiert werden. Nach einem Neustart des Backup-Servers ist die Sicherheitslücke geschlossen und Sie haben die aktuelle 12er Version von veeam im Einsatz.
Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.
veeam Knowledgebase
Kritische Lücke in Microsoft Office
#Wichtig – Microsoft hat mit den Februar-Updates kritische #Sicherheitslücken geschlossen, mit der es möglich ist, durch eine manipulierte .RTF Datei in Systeme einzubrechen. Das Kritische daran: Die E-Mail-Vorschau in Outlook reicht aus, um den enthaltenen Schadcode auszuführen. Dazu muss man die E-Mail bzw. den Anhang nicht einmal öffnen. Auch im Windows-Explorer kann die Lücke in der Dateivorschau genutzt werden.
Betroffen sind alle Office-Versionen ab 2007, gepatcht werden aktuell nur noch Versionen ab 2016.
Wer ein Microsoft 365 Abonnement einsetzt, ist einigermaßen fein raus – aber nur dann, wenn er die Office-Updates auch automatisch und zeitnah ausrollt. Das kann man leicht im Datei/Office-Konto Menü der Office-Programme prüfen. Dort muss z. B. „Microsoft® Outlook® für Microsoft 365 MSO (Version 2302 Build 16.0.16130.20186) 32 Bit“ stehen. Entscheidend ist die 2302, die für Februar 2023 steht.
Stellen Sie sicher, dass Sie keine Office-Versionen einsetzen, die nicht das Februar-Sicherheitsupdate verfügen. Bei älteren Office-Versionen müssten Sie verhindern, dass diese in Verbindung mit .RTF-Dateien kommen – was allein bei Outlook schwierig ist, aber alle Office Apps und Programme betrifft, die als Vorschau .rtf anzeigen können.
Wenn Sie unterstützte Office Versionen oder Microsoft 365 einsetzen, stellen Sie sicher, dass das Februar 2023 – Update installiert ist.
Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.
Die lustige Wortstellung im Deutschen wie bei „Ich helfen will“, „Deutsch bei Joda gelernt hast?“ ist bekannt von der kleinen Figur aus der Science-Fiction Serie. Nun findet die Sprache auch in E-Mails, die Ihre Daten klauen möchten, Einzug. So heißt es in der aktuellen SPAM-Welle, die natürlich nicht von der Telekom-Tochter kommt, sondern von zwielichtigen Gestalten:
Dies ist eine Benachrichtigung, um Sie darüber zu informieren, dass Ihr Konto gesperrt wurde. Die Aussetzung ist wie folgt:
Domain Namen. (Anm: hier wird nicht etwa die Internet-Domain eigetragen, sondern da steht „Domain Namen.“)
Grund für die Sperrung: Unser Abrechnungssystem hat festgestellt, dass Ihr Domainname abgelaufen ist (Anm: Ein MHD gibt es nicht, der Provider würde schreiben, dass die Rechnung nicht bezahlt wurde, denn ein Vertrag enthält nicht nur die Internet-Domain), daher wurde er für die weitere Verwendung gesperrt. Um Ihr Konto (Anm: gerade ging es doch noch um den Domain-Namen, nicht um ein Konto) zu reaktivieren, melden Sie sich bitte an und überprüfen Sie die Liste der damit verbundenen Domains, erneuern Sie alle und aktualisieren Sie gegebenenfalls die Zahlungsmethode. Wir empfehlen Ihnen, alle erforderlichen Änderungen so schnell wie möglich vorzunehmen, damit Sie keine wertvolle Zeit verlieren, die Sie bereits in das Produkt investiert haben und Schritten unter folgendem Link mаnuell аuszufüllen : Kundenbereich (Anm: Hier ist der böse Link, auf den immer noch viele Empfänger klicken)
Wichtig: Wenn Sie die Domain nicht innerhаlb von 24 Stunden аb heute werden erneuern, Ihre Dienste endgültig gelöscht werden(Anm: hier ist es endlich, das Joda-Zitat)
aktuelles aus dem SPAM-Filter.
Moderne SPAM-Filter, wie sie beispielsweise im Security Paket ( #Defender für Exchange ab Plan 1 oder im #Microsoft 365 Business Premium Plan ) enthalten sind, filtern solche E-Mails bei Bedarf automatisch heraus, so dass unbedarfte Mitarbeitende schon mal nicht mehr klicken (können).
Prüfung zum Sysko SQL RTC auf SaaS Update
Modul 3 des Sysko-Führerscheins. Sie haben von Classic SQL (NAV 2009R2) oder dem RTC (NAV 2013 bis BC14) auf gevis ERP | SaaS oder gevis ERP | VEO umgestellt. Diese #Prüfung hilft Ihnen, Ihre erlernten Fähigkeiten unter Beweis zu stellen. Wenn Sie mehr als 50 % erreichen, gilt sie als bestanden. Die benötigte Zeit wird protokolliert. Bitte verwenden Sie Chrome oder Edge. Für die Auswertung sollten alle Fragen beantwortet sein. Kreuzen Sie in der rechten Spalte an. Nach der [Auswertung] stellt der Webserver Ihnen ein Prüfungszertifikat aus, das Sie gern als PDF [Drucken] können. Zur Lösung können eine oder mehrere Antworten richtig sein.
Teams free wird eingeschränkt
Während lange Zeit viele Funktionen auch ohne Anmeldung und ohne Abonnement kostenlos nutzbar waren, kündigt Microsoft nun das Teams (klassik) Modell. Am 12. April 2023 werden die Konten gekündigt und müssen neu verbunden werden. Wer also schon eine Organisation mit seinem Teams-Konto verknüpft hat (auch das war mit einem normalen Microsoft-Konto bisher möglich), verliert ab diesem Datum alle Chats und Einstellungen.
Wer also Teams ohne ein „Arbeitskonto“, sondern kostenlos mit einem Microsoft-Konto nutzt und weiter kostenlos eingeschränkte Funktionen nutzen möchte, muss bis April tätig werden. Die Einschränkungen der neuen „Teams free“ Version lassen nur noch Videotelefonate, bzw. Besprechungen von max. 1 Stunde Gesprächsdauer zu. Auch die Zahl der Teilnehmenden wurde eingeschränkt.
#Wichtig – Wer die so entstandenen Daten mitnehmen möchte, braucht mindestens ein Teams Essential Abonnement (ca. 3,40€ pro User pro Monat). Dazu muss ein M365 Mandant bestehen oder angelegt werden. Zusätzlich müssen die gespeicherten Daten händisch exportiert und in den neuen Account importiert werden.
Alternative – Abonnement
Wer bereits jetzt Microsoft 365 Business Premium Pläne im Unternehmen einsetzt, braucht nichts zu tun und kann den vollen (bisherigen) Umfang von Teams weiter nutzen. Allerdings gibt es auch dort Funktionen, für die es ein zusätzliches Teams Premium Abonnement erfordert.
Fazit
Kunden mit Microsoft 365 Business Plänen sind nicht betroffen, es sei denn, sie möchten Funktionen nutzen, die es nur im Premium Abo gibt
Teilnahme an Schulungen der GWS ist weiterhin mit der kostenlosen Teams-Version auch ohne Anmeldung mit einem Microsoft-Konto oder M365 Plan möglich
Wer mit einem Microsoft-Konto (also nicht mit Arbeitskonto) an Teams angemeldet ist und in seinem Betrieb die kostenlosen Funktionen nutzt, muss ab April auf einen M365 Plan wechseln oder verliert seine Chats/Teams/Dokumente.
Visual C++ Runtimes ohne Updates
Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem – was diese Runtimes betrifft, frei von bekannten #Sicherheitslücken – Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.
Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.
Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.
Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023
Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.
Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren – und bestenfalls den Hersteller nach einer neueren Version fragen.
Microsoft Edge ab März mit Adobe Freemium
Wie Microsoft heute mitteilte, wird der in #Edge integrierte Open-Source PDF-Betrachter ab März 2023 durch ein Adobe PDF Reader Lite Freemium Modul ersetzt und der integrierte PDF-Betrachter dadurch ersetzt. Ähnlich zum installierbaren Adobe Acrobat Reader DC werden dann innerhalb des Moduls die Premium-Funktionen, die es nur im Abo gibt, von Adobe beworben. Microsoft Edge stellt damit Werbung nicht nur für eigene Produkte, sondern Lösungen von Drittanbietern dar. Welche Daten dabei an Adobe Inc. USA übertragen werden, ist noch unklar. Außerdem wächst der Bedarf an Datei- und Arbeitsspeicher für das Produkt und die Dienste (z. B. Adobe Updater) an. (Quelle: Microsoft Website)
Kommentar: Oh, nein!. Da bin ich gerade froh, Adobe Acrobat Reader DC von allen Systemen entfernt zu haben und somit 95% Sicherheitslücken und veraltete Versionen weniger, da baut Microsoft eine Freemium-Version in den eigenen (in weiten Teilen GPL-lizensierten) Browser ein.
Nun haben wir einenj weiteren Grund, Chrome für Enterprise als Standard-Browser zu setzen und ggf. sofern möglich, Edge ganz aus dem System zu entfernen. Dabei ggf. nur die Edge Runtime (die hoffentlich ohne Adobe Reader-Plugin geliefert wird, für einzelne Apps zu verwenden. Ich hoffe, das Vorhaben wird nicht Bestand haben oder eine Option (oder Life-Hack) geben, die PDF-Engine zu deaktivieren.
Ich werde bei Chrome Enterprise und dem integrierten Open-Source PDF-Betrachter in diesem Browser bleiben und überlege, ob ich den Edge rückstandsfrei entfernen kann auf allen betreuten Systemen. Die Aufdringliche Werbung dafür nervt ja eh und dass man laufend dagegen neue Policies aktivieren muss!
Der Kommentar im Kasten spiegelt die Meinung der Redaktion.
Objektiv betrachtet: Man kann geteilter Meinung sein, welchen Browser man am Besten findet. Aber um die höchstmögliche Sicherheit von Windows Systemen zu bekommen eignet sich (denn dabei stehen 0-Day-Updates bereits zwei Stunden nach Bekanntwerden zur Verfügung). Google Chrome Enterprise als Standard-Browser.
Seit Version 109 von Edge gibt es nur die folgende Möglichkeit den Microsoft Edge Browser rückstandsfrei aus Windows 10 und Server 2016/19/22 zu entfernen (wie immer Benutzung auf eigenes Risiko):
Den Windows Taskmanager starten und alle Prozesse beenden, die mit Microsoft Edge beginnen
Eine administrative Powershell öffnen und den Befehl reg add „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EdgeUpdate“ /v „DoNotUpdateToEdgeWithChromium“ /t REG_DWORD /d 1 -f eingeben
Regedit aufrufen und den Ast: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ öffnen. Dann die Schlüssel durchblättern, bis Microsoft Edge beim Display Name auftaucht. Den kompletten Schlüssel löschen
Windows Explorer öffnen und alle Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (außer Webview2)
Die Edge Verknüpfungen in Startmenü und Taskleiste löschen
Zuletzt unter Systemsteuerung Programme&Features den Microsoft Edge Webview2 deinstallieren.. Achtung: Edge Webview2 muss nach jedem Office-Update erneut deinstalliert werden,
Nun auch den Rest der Ordner unter „c:\programme (x86)\microsoft“ entfernen, die mit Edge beginnen (Edge Updater)
Die Aufgabenplanung aufrufen und alle Tasks löschen, die mit Edge beginnen!
Den Rechner neu starten und den freien Platz und rund 600 MB mehr Arbeitsspeicher und weniger Hintergrunddienste genießen
vmware aktuell halten
Angesichts der aktuellen Angriffs-Serie fokussieren sich Cyberkriminelle auf ungepatchte Browseroberflächen in der VCenter Oberfläche von vmware-Versionen, die Weboberfläche von ESX(i)-Server und auch den vmware Workstation Hypervisor.
Dabei reicht es aus, dass das Unheil stiftende Programm im Netzwerksegment ausgeführt wird, wo die Server stehen. Schadprogramme laufen im Benutzerkontext und werden vorzugsweise durch Klicks von Benutzern gestartet.
Das besondere daran ist, dass die Sicherheitslücken bereits 2021 geschlossen wurden. Offensichtlich gibt es viele Kunden, die entweder keinen Wartungsvertrag mehr mit vmware haben (damit keinen Zugriff auf die Patches) oder/und ihre Systeme nicht aktuell sind.
#Wichtig – Wir raten allen Systemkoordinierenden, ihre VMware Installationen auf aktuellem Stand zu halten.
Obwohl seit #Hafnium bekannt ist, dass der Betrieb von #Exchange 2019, 2016 und 2013 oder älteren Servern mit der höchsten Risiko-Klasse verbunden ist, hat eine Studie von Januar 2023 herausgefunden, dass über 60.000 Server weltweit entweder ungepatcht oder eine alte Version wie 2013 oder älter haben. #Wichtig – Große Teile dürften damit bereits unter Kontrolle von Kriminellen sein und zum Identitätsdiebstahl genutzt werden.
Das Schlimme – im Strafrechtlichen Bereich sind Sie als Betreiber oder Lizenznehmer betroffen und müssen im Schlimmsten Fall hohe Bußgelder zahlen oder mit empfindlichen Strafen rechnen. Zudem reduzieren oder verweigern Cyber-Versicherungen die Zahlung mit Berufung auf Vorsätzlichkeit.
Artikel im Techblog von Microsoft, wo nochmal eindringlich auf den aktuellen Patchstand hingewiesen wird.
Sicher ist nur, wer Exchange online gemietet hat, denn für diesen Online-Dienst trägt Microsoft die Verantwortung für die Aktualisierung und das schnelle Schließen von Sicherheitslücken. Das Ganze in Verbindung mit dem Microsoft 365 Business Premium Plan, der gesetzlich vorgeschriebene Dinge wie ein Mailarchiv, den Business Virenschutz und in Verbindung mit dem Exchange Security Paket auch Mail und Spamschutz enthält.
Office 2021 eol nur 1 Jahr nach Office 2016/2019
Wie viele von uns wissen, werden am 14. Oktober 2025 mit dem Patchday das letzte Mal Sicherheits-Updates für die Kaufversionen sowie die Volumenlizenzen veröffentlicht. Danach ( #endoflife ) ist bei diesen Produkten damit zu rechnen, dass nicht mehr geschlossene Sicherheitslücken für das Einschleusen von Schadsoftware benutzt werden. Zu allem Übel kürzen Cyber-Versicherungen dann rigoros die Leistungen im Schadenfall, weil unsichere Produkte verwendet werden. Im Schlimmsten Fall bleibt die Leistung wegen Vorsätzlichkeit ganz aus.
Was viele noch nicht wussten: Microsoft hat mit den Kauf-Versionen von Office 2021 erneut den erweiterten Support-Zeitraum gekürzt (das ist der Zeitraum, nach dessen Ablauf keine #Sicherheitsupdates mehr erscheinen). Von 7 Jahren bei Office 2019 auf 5 Jahre.
Office 2021 bekommt damit ab 13. Oktober 2026! – knapp ein Jahr nach Office 2019 und 2016 keine Updates mehr.
Jetzt noch Kauflizenzen zu erwerben führt dazu, dass die Anschaffung nicht mal mehr ganz im Rahmen der AfA abgeschrieben werden kann. Insbesondere bei Gebraucht-Lizenzen sei hier noch mal die Warnung formuliert, dass Fälle bekannt sind, wo Microsoft strafrechtlich gegen Käufer = Lizenznehmer vorgegangen sind.
Die für den Administrator komfortabelste und für den Geschäftsführer mit den wenigsten Risiken verbundene Lösung bleiben damit die Microsoft 365 Mietpläne.
Von PetaBytes und Exabytes
Im Bild sieht man den Grund, warum Mozilla Firefox nicht empfohlen wird. Wenn man mal den Platzbedarf sieht, den allein die Firefox-Tracking-Cookies benötigen, machen die 7 Exabyte rund ein Viertel Promille des weltweiten Datenbestands aus. Das waren nach Google-Recherche rund 33.000 Exabytes in 2019.
Als (Standard HDD) Cloudspeicher angemietet kostet das rund 30.000.000 € pro Monat, als (Premium SSD) etwa 4x so viel. Also etwa wie die Porto-Kasse von E. M. 😉
big big data
8 Bits – also acht binäre Informationen – sind ein Byte.
1024 Bytes sind ein Kilobyte (KB, KBbyte).
1024 Kilobytes sind ein Megabyte (MB, MByte).
1024 Megabytes sind ein Gigabyte (GB, GByte).
1024 Gigabytes sind ein Terabyte (TB, TByte).
1024 Terabytes sind ein Petabyte (PB, PByte).
1024 Petabytes sind ein Exabyte (EB, EByte).
1024 Exabytes sind ein Zettabyte (ZB, ZByte).
1024 Zettabytes sind ein Yottabyte (YB, YByte, Yobibyte).
Microsoft 365 Dienststatus abfragen
Kommt selten vor, war aber aber Anfang Februar 2023 der Fall: #Microsoft Online-Dienste sind nicht erreichbar oder extrem langsam. Wenn beispielsweise in Ihrem #Teams kein Video und keine Bildschirmfreigaben mehr funktionieren und der Bildschirm schwarz bleibt – oder sogar Verbindungs-Abbrüche auftreten, kann die Internet-Verbindung schuld sein, es kann aber auch eine Störung in den Onlinediensten vorliegen. #Wichtig – Über einen gängigen Speedtest, wie den von AVM können Sie die Bandbreite Ihres Standorts ermitteln. Sind hier keine Anomalitäten, gibt es weitere Werkzeuge:
Die meisten Syskos haben administrative Rechte im Microsoft 365 (und im Azure)-Portal. Sollte die Störung nicht die Anmeldung im Portal betreffen, können Sie hier zumindest die Ursache eingrenzen und herausfinden, wie der Status der einzelnen Dienste ist:
Melden Sie sich dazu mit Ihrem administrativen Konto „ihrname@ihrefirma.onmicrosoft.com“ an https://admin.microsoft.com an.
Um den Dienststatus anzuzeigen, wechseln Sie in der linken Navigationsleiste des Admin Centers zu „Integrität>Dienststatus„, oder wählen Sie die Dienststatus Karte im Dashboard „Start“ aus. Die Dashboardkarte gibt an, ob ein Problem mit einem aktiven Dienst vorliegt, und stellt einen Link zur Seite mit Details zum Dienststatus bereit.
Der Status der einzelnen Clouddienste wird auf der Seite Dienstatus in einem Tabellenformat angezeigt.
In Microsoft Azure (da wo in IaaS Umgebungen Ihre Server stehen) gelten grundsätzlich höhere Verfügbarkeiten. Sollte es hier Störungen geben, lassen sich diese unter dieser Seite regionsweise einsehen:
Edge-Update Januar 2023: Statt des Skifahrens hat man nun auf die Wasser-Variante umgestellt. Mit einem Surfer (hier: Pinguin gewählt) gewegt man sich über den Ozean. Statt des Yeti kommt nun der Riesenkrake und versucht einen zu fressen:
Edge Sommer Game (im Winter 23)
Nachdem Google schon seit Jahren ein verstecktes Osterei Spiel im Browser eingebaut hat, gibt auch Microsoft seine jahrelange Tradition nicht auf und hat aktuell passend zur Jahreszeit das SkiFree Spiel aus den 90ern wieder aufleben lassen. Seit der #Edge on Chromium Version 96 lautet die Adress-Zeile: edge://surf und man kann mit der Maus oder mit den Pfeiltasten einen Skifahrer auf einer virtuellen Pixelpiste navigieren. Dabei gilt es Steinen, Bäumen und anderen Skifahrern und weiteren Hindernissen auszuweichen. Vorsicht auch vor dem Yeti, der als Strichmännchen Jagd auf Menschen macht und diese futtert, wenn er sie bekommt.
Bei Google #Chrome lautet die URL: chrome://dino – hier gilt es mit der Leertaste den Dino über die Hindernisse in der Prärie hüpfen zu lassen. Dies sind meist Kakteen. Beide Microsoft Spiele sind grafisch und in der Spiel-Action dem Chrome 80er-Jahre Style Dinospiel haushoch überlegen. Wenn es um Pausen-Zeitvertreib geht, ist Microsoft hier klar im Vorteil.
Dino in Chrome und Ski32 Revival im New Edge
Sehr #erfreulich – Wem der Dino in Google nicht reicht, der kann ja Snake in Googlemaps spielen: https://snake.googlemaps.com/
Edge erstellt bei jedem Update Desktoplink
Derzeit erstellt Microsoft #Edge bei jedem Update (in allen Kanälen) erneut eine Desktop-Verknüpfung. Wer das nicht möchte, muss sich mit einer Einstellung in den Edge Gruppenrichtlinien oder mit dem Setzen eines Registry Schlüssels behelfen:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate] "CreateDesktopShortcutDefault"=dword:00000000
CI-Cloud jetzt auch mit Roaming Signatures
Viele von Ihnen setzen das Produkt CI-Cloud von CI Solution ein, um in Outlook servergesteuerte Informationen als E-Mail-Signaturen corporateweit auszurollen. Bisher wurden die Signaturen dabei in ihrem Outlook Profilordner gespeichert. Die Outlook-Web-App ließ sich nicht bedienen.
Der Hersteller informiert uns nun über Neuerungen in Microsoft Exchange online, für die er die akteulle Version seines Produkts angepasst hat:
„Roaming Signaturen“ (Geräteübergreifende E-Mail Signaturen für Postfächer in M365 / Exchange Online) ist bei Microsoft verfügbar und bereits auf vielen Mandanden aktiviert. Die Art und Weise wie zentrale E-Mail Signaturen künftig bereitgestellt werden ändert sich damit grundlegend.
Dieses Feature wurde in den letzten Wochen auch von uns umgesetzt: Roaming Signatures wird ab sofort innnerhalb der CI-Cloud unterstützt. Damit können E-Mail Signaturen weiterhin zentral und zuverlässig verteilt werden – so wie Sie es von unseren Produkte kennen. Gleichzeitig können Sie alle Vorteile von Roaming Signatures nutzen.
Seit April 2023 lassen sich alle Office-Kauf-Versionen bis einschließlich 2013 und ab Oktober auch 2016 und 2019 nicht mehr an Online-Dienste von Microsoft anbinden. Bereits bestehende Verbindungen lassen sich nicht mehr nutzen. Betroffen sind alle, die derzeit noch die Kaufversionen von Microsoft Office einsetzen und beispielsweise nur Exchange online Plan 1 gemietet haben. Outlook kann dann beispielsweise nicht mehr auf das Online-Postfach zugreifen.
Auch Excel, Word, Powerpoint (und Access) können nicht mehr auf Online-Speicherorte wie Onedrive for Business oder Sharepoint zugreifen und dort Dokumente teilen/speichern/aufrufen.
Ebenfalls im April endeten die #Sicherheitsupdates für Exchange Server 2013. Dieser ist bereits jetzt ein Sicherheitsrisiko, da nicht alle Sicherheitslücken ( siehe #Hafnium ) für dieses Produkt geschlossen werden. Zudem kann er nicht hybrid betrieben werden.
#endoflife – Wenn Sie Office-Kauf-Versionen einsetzen (erkennbar an der Jahreszahl hinter dem Namen) und die Zahl nicht 2021 ist, müssen Sie handeln, um weiterhin z. B. mit Outlook auf Ihre E-Mails im Exchange online zugreifen zu können. Ansonsten bleiben Ihre E-Mails nur über OWA (im Chrome für Enterprise Browser) erreichbar.
Eine Möglichkeit ist die Umstellung der Exchange online-Pläne auf den Microsoft 365 Business Premium Plan (der neben den installierbaren Office-Anwendungen auch Mailarchiv, E-Mail- und Endgerät- Virenschutz, die Zugriffslizenz für Azure Virtual Desktop und 1TB Cloudspeicher pro User enthält (für die Nutzung von Onedrive für Business und Sharepoint als Ablösung des Fileservers)
Kurz notiert: Für Windows 8.1 Nutzende ist am 10. Januar 2023 das Nutz-Ende angesagt, da der erweiterte #Support#endoflife und damit ab diesem Datum die Windows #Sicherheitsupdates eingestellt werden. Da Rechner mit diesem Betriebssystem mindestens 8 Jahre als sein müssen, empfiehlt sich der Austausch durch ein neues Gerät (beispielsweise ein lenovo ThinkCentre Tiny oder ein lenovo Thinkpad). Das empfohlene Betriebssystem ist Windows 10 Pro – nicht Windows 11 Pro. Sie können beim Konfigurieren der Hardware angeben, dass Sie diese mit vorinstallierter Windows 10 Pro Version bekommen. Der Historie der Betriebssysteme folgend wird Windows 12 dann im Herbst 2024 wieder ein nutzbares Betriebssystem ohne Komforteinbußen.
Office Lizenzänderungen 2023
#Microsoft macht auf tiefergehende Änderungen in seinen Office #Lizenzen aufmerksam. Dies betrifft im Wesentlichen installierbare Programme (Kauflizenzen, Volumenlizenzen mit und ohne Software-Assurance und auch die Microsoft 365 Pläne mit installierbaren Apps):
#wichtig – Für den Einsatz installierbarer Office Anwendungen gilt seit 1.1.2023:
Für alle Kauflizenzen von Office 20xx (Home&Business, Volumenlizenzen und auch Lizenzen mit mit gültiger Software-Assurance) gilt seit 1.1.2023, dass sie NICHT in Cloud-Server-Mehrbenutzerumgebungen betrieben werden dürfen.
Für Microsoft 365 gilt: Remotezugriff (Einsatz der installierbaren Anwendungen (Apps) auf On-Premises- oder Cloud- Terminalservern oder Azure Virtual Desktop ausschließlich als Bestandteil des M365 Business Premium Plans oder M365 Apps für Enterprise). Ein M365 Apps für Business Plan reicht nicht aus.
Quelle: Microsoft Licensing
Wer einen On-Premises-Terminalserver in der Cloud unterstellen möchte, muss ebenfalls den Business Premium Plan einführen.
Fazit
Kaufversionen von Office nur auf dem lokalen Rechner, oder (Volumenlizenzen mit und ohne SA) auf On-Premises Terminal/oder Citrix-Servern einsetzbar.
Mietversionen von Microsoft 365 benötigen einen Business Premium Plan, um installierbare Apps in Cloud-Terminalservern oder Azure Virtual Desktop einzusetzen
Drucker mit 14.000 Seiten pro Minute
Mal wieder etwas zum Schmunzeln: Eine große Elektronik-Verbundgruppe vertreibt über Printmedien (Prospektbeilagen) und im Onlinehandel (auch hier ist der Fehler noch präsent) einen (äußerlich) unscheinbaren Tintenstrahldrucker, der es aber in sich hat:
extrem schnell 😉
Ein wenig kuriose Mathematik zu dem Rekord-Drucker: Ein Paket Papier enthält 500 Blatt, eine ganze Kiste davon 2.500 Blatt also knapp 6 Kisten pro Minute. Ein Papierfach von etwa 1,80m Höhe würde dann eine Minute reichen. Der sagenhafte Drucker zieht 233! Seiten pro Sekunde ein. Nicht einmal die Offset-Druckmaschine des Zeitungsverlags schafft das. und die ist mindestens 1.000x so teuer. Das Fassungsvermögen einer typischen Papierkassette von Tintenstrahldruckern ist 100 Blatt.
Der Bediener müsste also etwa 2x pro Sekunde Papier ins Papierfach nachlegen.
Übrigens: Die Tinte reicht für rund 3.600 Seiten (in diesem Fall keine Patronen, sondern nachfüllbar) und allein schwarze Farbe muss alle 90 Sekunden komplett nachgefüllt werden.
Sicherheitslücken in veeam geschlossen
Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen.
Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der „Veeam Distribution Service“ auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen.
Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind. Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden.
Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal.
Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherung für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.
Neulich bei Junk-Mail: 1.5mio geschenkt
glücklicherweise nerven solche E-Mails in der Regel nicht, wenn man einen effizienten SPAM-Filter einsetzt. Dennoch fallen immer wieder Personen auf solche E-Mails herein:
Hallo, Ich bin Frau Maria Elisabeth Schaeffler, eine deutsche Wirtschaftsmagnatin, Investorin und Philanthropin. Ich bin der Vorsitzende von Wipro Limited, 25 % meines persönlichen Vermögens werden für wohltätige Zwecke ausgegeben und ich habe auch versprochen, die restlichen 25 % in diesem Jahr 2022 an Privatpersonen zu verschenken. Ich habe beschlossen, 1.500.000,00 Euro an Sie zu spenden, wenn Sie es sind an meiner Spende interessiert sind, kontaktieren Sie mich bitte für weitere Informationen. Unter folgendem Link können Sie auch mehr über mich lesen {wikipedia-Link} Grüße Direktor Wipro Limited Maria Elisabeth Schaeffler E-Mail: mariaelisabethschaeffler85@gmail.com
SPAM-Mail von Zufallsalias@gmail.com oder @outlook.com
Hier mal ein schlecht gemachtes Beispiel, das im Moment aber als wahre Massen-E-Mail das Netz überschwemmt. Man macht sich nicht mal die Mühe, den Empfänger mit seinem Namen anzureden, oben steht eine deutsche Frau als Absender, der Mustertext bezieht sich aber auf einen Mann, der Vorsitzender einer ausländischen GmbH (Limited – kürzt man das nicht generell als Ltd. nur ab? Und hat eine GmbH nicht einen Geschäftsführer und Gesellschafter statt einem Vorsitzenden?) ist. Schade auch, dass „Frau“ sich nicht mal eine eigene E-Mail-Adresse/Domain leisten kann. Die Absendeadresse ist darüberhinaus eine andere als zum Antworten angegeben. Und 2x 25% sind 100% laut der oben stehenden Rechnung.
Die Masche ist schon Jahrzehnte alt und wurde m. E. von der Nigeria Connection erfunden. Wer drauf reinfällt, muss erstmal jede Menge Geld überweisen, um dann nichts zu bekommen. Falls Ihr Spamfilter mal eine solche E-Mail durch lässt – die Entf-Taste ist die richtige Wahl. Zusätzlich hilft bei solch schlecht gemachten Mail ein einfacher Absenderfilter, der E-Mail-Aliase mit Zahlen direkt löscht.
Chrome und Edge nur noch ab Windows 10
Mit der Version 110 endet für Chromium-basierte Browser (Google #Chrome, Microsoft #Edge, Vivaldi und weitere) die Aktualisierung mit #Sicherheitsupdates für alte Windows und Windows Server Versionen.
Betroffen sind ab Februar 2023: Windows Server 2012 R2 und Windows 8.1. Wer diese Betriebssysteme dann noch einsetzt, wird keine sichere Verbindung mehr zum Internet aufbauen können. Das Risiko eines Angriffs beim Surfen steigt damit signifikant an.
Unterstützt werden dann nur noch Windows Server 2016, Windows Server 2019, Windows Server 2022 sowie Windows 10. Windows 11 wird zwar auch unterstützt, die Redaktion hält aber an ihrer Empfehlung, Windows 11 Pro/Enterprise NICHT einzusetzen, fest.
Für ältere Betriebssysteme (Server 2008 R2 und Server 2012, sowie Windows Vista, Windows 7, Windows 8) gibt es bereits jetzt keine Aktualisierungen mehr.
Werfen Sie einen Blick auf #Fotos von #Hardware, Rechner, Notebooks und #Tablets von innen und außen und auf andere Elektronik-Komponenten, die ich schon mal in den Händen hatte.…
Sehen Sie #Fotos von Serverräumen oder Räume, wo Server untergebracht sind. Teilweise kurios oder historisch bedingt. Viele dieser Serverstandorte erfüllen nicht oder nur teilweise die Vorgaben des Bundesamtes für Sicherheit……
Anzahl Dateien: 144 Gesamt Dateigröße: 20,1M
ODBC: Fehler im Windows-Treiber
Viele von Ihnen nutzen Microsoft Query oder Microsoft Access, um eigene Auswertungen über die ODBC-Schnittstelle zu ziehen. Wer nicht den „ODBC Treiber 17.x“ verwendet, sondern den Treiber, der bei Windows 10 bzw. Server 2016-22 mitgeliefert wird, hat mit dem November kumulativen Update das Problem, dass keine ODBC-Verbindungen mehr aufgebaut werden können.
Ob Sie den Betriebssystemtreiber verwenden, können Sie bei aufgetretener Fehlermeldung in einer administrativen Eingabeaufforderung mit dem Befehl: tasklist /m sqlsrv32.dll feststellen.
Wenn ja, gibt es derzeit von Microsoft keine Lösung für das Problem. Mit dem #ODBC Treiber 17 ist es mir bisher nicht aufgetreten. Damit könnte ein Workaround (der Treiber ist ohnehin der empfohlene Weg – auch nicht die Version 18 des Treibers, sondern die aktuelle Version 17.10.2.1) die Installation und Einrichtung der Datenquellen mit dem 17er Treiber sein. Dieser verwendet die Bibliothek: mssqlodbc17.dll.
Nutzer des 17er Treibers sollten ebenfalls diesen auf die aktuelle Version von Ende November 2022 bringen, um potentielle #Sicherheitslücken zu schließen.
d.velop, der Hersteller von d.3 Produkten (unser Archivsystem s.dok basiert darauf) weist in seinem aktuellen Sicherheits-Bulletin DV-SEC-2022-09 darauf hin, dass Sicherheitslücken in den Produkten (und Versionen):
Current 2022.Q3 Patch 3 (beinhaltet d.3 server 8.21.4) Current 2022.Q3 Patch 4 (beinhaltet d.3 server 8.21.5)
geschlossen wurden. Betroffen sind Sie nur, wenn Sie eine der genannten Versionen einsetzen. Die Software-Versionen sollten daher auf:
Current 2022.Q4 (beinhaltet d.3 server 8.25.2) oder Annual 2022 (beinhaltet d.3server 8.21.6) oder Current 2022.Q3 Patch 5 (beinhaltet d.3 server 8.21.6)
aktualisiert werden. Bei Fragen wenden Sie sich bitte an unser DMS-Team.
Hardware-Test: Jabra Evolve2 75
Etwa drei Jahre nach Inbetriebnahme des #Jabra Evolve 65 Headsets (und dessen nachlassender Akkuleistung) steht eine neue Kommunikationshardware bereit: Das Modell Jabra Evolve2 75 hat eine Menge zusätzlicher Features und Verbesserungen erhalten. Der Straßenpreis (Quelle: Bechtle, 28.11.2022) liegt bei etwa 206 € netto.
Jabra Evolve2 75 Teams zertifiziertes Headset
Highlights
Tragekomfort verbessert – die Ohrmuscheln decken nun das ganze Ohr ab und liegen so besser an (on-Ear). Der Bügel ist ebenfalls gepolstert
ANC (Active Noise Cancelling). Umgebungsgeräusche werden durch Amplitudenverschiebung weggerechnet. Man hört keine Umgebungsgeräusche und konzentriert sich ganz auf das Gesprächsaudio. Sagenhafte 8 Mikrofone sind dazu im Geräte eingebaut.
Tonqualität stark verbessert. Das mag mit an den größeren Ohrmuscheln liegen, ist aber auch dem Soundprozessor geschuldet, der Musik von Sprache unterscheiden kann und optimiert.
Mikrofonbügel: Dieser ist kürzer als beim 65er. Es lässt sich konfigurieren, dass das Mikro stummgeschaltet wird, wenn man ihn hochklappt. Ist er hochgeklappt verschwindet er besser im Ohrmuschelgehäuse als sein Vorgänger. Im Gegensatz zum Vorgänger lässt sich der Bügel allerdings nur in einer Richtung bewegen, nicht dreidimensional. Da das Mikrofon aber auch mit dem so größeren Abstand zum Mund eine hervorragende Qualtät hat, ist das aus meiner Sicht kein Nachteil
USB-Anschluss. Ist nun der allgemeinen Norm entsprechend eine USB-C Buchse am Gerät, kein Mikro-USB mehr
USB Dongle (wahlweise als USB-C oder USB-A erhältlich): Braucht man nicht wirklich, denn über Bluetooth lassen sich bis zu zwei Geräte parallel koppeln und verbinden. Audio und Mikro funktionieren dann auf dem Gerät, das sich zuletzt gemeldet hat (Also Teams Sitzung und ein Anruf kommt = Headset funktioniert mit dem Handy.
Trageerkennung: Ein Gyro Sensor ist im Gerät eingebaut. Setzt man das Headset auf, fängt beispielsweise die Musik vom Smartphone an zu spielen, legt man das Headset ab, stoppt die Musik.
Akkulaufzeit: Noch nicht getestet. Da ein größerer Akku zu erwarten ist, wird die Laufzeit bei ca. 10 Stunden Dauerbetrieb liegen (so die zusätzlichen Features nicht mehr Energie brauchen)
App: Neben der Windows-Anwendung gibt es nun auch eine Android-App im Google Playstore. Auch damit können viele Einstellungen und Firmware-Updates gemacht werden.
Hervorragendes Gerät, bei dem der Straßenpreis nur rund 50 € über dem Evolve 65 liegt. Anmerkung: Jabra ruft als Listenpreis stattliche 435 € brutto dafür auf.
Mehrwersteuer! Ergreift Maßnahmen jetzt!
Neues aus dem Phisherei-Hafen. Zwar sind aktuelle Phishing-E-Mails häufiger ohne eklatante Rechtschreib- oder Grammatikfehler (bis auf das fehlende „t“ in Mehrwersteuer), aber etwas mehr Mühe hätte man doch erwarten können:
Adresse liegt in einer Wohnung in einem Plattenbau in Berlin (hier keine gewerbliche Nutzung erlaubt)
Die „Firma“ nennt sich DeutschePostDe (endlich weiß ich was „DPD“ bedeutet)
Mein Name ist „Hallo“ – so zumindest die Anrede (also wie in der US-Version von Hallo Spencer, wo man Hallo zum Vornamen machen musste, damit das Video nicht verändert werden musste).
Es geht um 1,12 EUR Zollgebühren (Zollgebühren unter 5 € werden nicht erhoben und Bisher musste der Zoll die Gebühren selbst erheben, die Abholung musste persönlich durch den Empfänger erfolgen)
Scheinbar fallen gerade in der Black Week bzw. zum Black Friday, den viele Unternehmen nutzen, viele Anwender auf solche Sachen rein. Gleichzeitig flutet aktuell eine riesige Anzahl von Fake-Shops das Internet, wo nicht existente Waren zum Abgreifen von Zahlungsinformationen angeboten werden. Sollte Ihr SPAM-Filter solche E-Mails durchlassen, schärfen Sie bitte die Regeln und löschen sie ansonsten unverzüglich.
Ihr Paket wird gerade vom Zoll abgefertigt
Hallo,
Ihr Paket MDFX22323234KK sollte heute ankommen. Aufgrund eines Zwischenfalls während des Versands mussten wir die Lieferung auf morgen zwischen 9:00 und 13:00 Uhr verschieben.
Ihr Paket wurde vom Zoll aufgrund des unbezahlten Mehrwersteuerbetrags von 1,12 EUR zurückgehalten.
Um Ihr Paket in Übereinstimmung mit den aktuellen Zollbestimmungen zuzustellen, muss die Mehrwertsteuergebühr innerhalb von 7 Werktagen bezahlt werden. Nach Ablauf dieser Frist wird das Paket an den Absender zurückgeschickt.
Mit dem nächsten Release von #OpenAudit Classic können aus den Hardwarelisten auch RDG-Dateien erstellt werden. Remote Desktop Groups (.rdg) werden vom Microsoft Remote Desktop Connection Manager gelesen. Das Sysinternals Werkzeug bietet Zugriff auf alle Server (und per RDP erreichbare Sitzungen) unter einer Oberfläche.
Einstellungen können dort zentral oder pro Untergruppe getätigt werden, die Hashwert-Ablage zum Kennwort wird mit dem Benutzerprofil verknüpft, so dass Dritte die Kennwörter nicht benutzen können.
Wenn Sie nicht auf das kommende Release warten möchten – oder Ihre vorhandene Installation ohne Neuinstallation auf den aktuellen Stand bringen möchten, laden Sie sich den Quellcode über „Code/Download ZIP“ bei Github.com herunter und tauschen die Inhalte des /htdocs/openaudit Ordners und des Unterordners ./lang und ./javascript aus.
Quellcode zum Projekt. Das SETP-Paket mit den aktuellen Releases finden Sie später im Download-Bereich.
To come: Mit einem der nächsten Releases wird auch ein direkter Export nach Excel (im XLSX-Format) möglich sein. Das spart den Umweg über die CSV-Datei, die in Excel dann wieder als XLSX gespeichert werden musste.
Microsoft Azure Rechenzentren
Sie wollten schon immer wissen, welche Zertifizierungen Microsoft für ihre deutschen Rechenzentren in Frankfurt/Main und in der Nähe von Berlin in Brandenburg hat und wie die Standard SLAs für virtuelle Server (IaaS) sind? Welche Sicherheitsmechanismen stehen zur Verfügung?
Wir haben für Sie die wichtigsten Informationen mit Links zu Microsoft-Seiten als #FAQ für Sie zusammengestellt:
Entweder über ein Azure VPN Gateway (hierbei sind Internetzugriffe aus der Serverumgebung und aus dem Azure Virtual Desktop NICHT über eine 2Gen Firewall abgesichert! Oder über eine virtuelle CloudGen Firewall (Linux-VM, die in Azure plaziert wird und sämtlichen Traffic mit Methoden einer 2Gen-Firewall und mit ATP überwacht: (Absicherung ohne CloudGen Firewall (nur wenn kein Azure Virtual Desktop AVD im Einsatz – Beispiel mit Teams-Telefonie): CloudGen-Firewall-Konzept. Hier sind AVD und IaaS in der Cloud gut abgesichert:
5. Welche Firewalls werden für das Azure vpn Gateway unterstützt?
Während BYOD (bring your own device) in vielen außereuropäischen Ländern beliebt ist, verhindern Bundesdatenschutzgesetz (die deutsche Anwendung der EU-DSGVO) und Sicherheitsaspekte nicht nur die Verwendung von privaten Mobilgeräten, sondern auch von Laptops, Tablets und PC-Hardware mit Anbindung an dienstliche Quellen wie E-Mail, M365, AVD und Azure. Neben den gesetzlichen Aspekten steigen auch die Risiken signifikant (im zweistelligen Prozentbereich), da privat eingebrachte, nicht verwaltete Geräte keine Mindestanforderungen erfüllen und keinem Monitoring unterliegen. Viele Cyber-Versicherungen schließen daher grundsätzlich auch BYOD aus oder weigern sich, Zahlungen im Schadenfall zu leisten. Die Beweispflicht liegt dann beim Versicherungsnehmer, was den Anspruchnachweis zusätzlich erschwert.
Dienstliche Hardware und Mobilgeräte auch privat nutzen?
Die private Nutzung von dienstlichen Mobilgeräten (Smartphones, Tablets) kann hingegen gesetzlich vereinbart werden.
Hierzu müssen die technischen Maßnahmen eines Mobile Device Managements wie Intune genutzt werden (oder MDM-Software eines anderen Anbieters). Effektiv lässt sich das nur mit Endgeräten von Samsung (Galaxy A50 und S20 oder neuer) realisieren, denn nur dort gibt es einen Bereich für private Apps wie Whatsapp, Gmail etc. und den geschäftlichen Bereich mit Outlook, M365 und anderen Dienst-Apps. Auch die dienstlichen Daten liegen in einem verschlüsselten Bereich des Speichers und können vom Admin gelöscht werden. Die privaten Daten hingegen bleiben erhalten. (nur bei den Samsung Geräten ist das so, bei apple wird meines Wissens das Gerät komplett gelöscht).
In jedem Fall müssen auch die Nutzung der dienstlichen Mobiltarife und das Datenvolumen so organisatorisch geregelt werden, dass die private Nutzung erlaubt ist (Achtung! Nur risikoarm bei Flatrate-Tarifen, die nicht automatisch Volumen dazubuchen, sondern drosseln) und einer All-Net-Flatrate für Telefonie.
Die außereuropäische Nutzung solllte bei Verwendung der dienstlichen SIM komplett untersagt sein.
Zuletzt bietet sich noch die Möglichkeit, mit DUAL-SIM zu arbeiten und die private SIM dann dem privaten Bereich fest zuzuordnen und die dienstliche SIM nur im dienstlichen Bereich des verwalteten Mobilgeräts.
HP-Drucker: Kritische Sicherheitslücken
Viele von Ihnen verwenden Drucker von Hewlett-Packard. Moderne Drucker bieten dabei auch Zugriff auf Online-Dienste und nahezu alle Drucker mit Netzwerkfunktionalität haben ein Web-Interface. Bereits vor 8 Monaten waren kritische Sicherheitslücken in vielen HP-Druckern entdeckt und Firmware-Updates bereitgestellt worden.
Nun sind zwei weitere kritische Sicherheitslücken geschlossen worden, mit denen Angreifer Codeschmuggel betreiben können. Sind die Online-Features (z. B. HP Smart) im Gerät aktiviert, ist der Angriff sogar über das Internet möglich.
Maßnahmen
Wenn Sie HP-Drucker im Einsatz haben, prüfen Sie bitte, ob Ihre Modelle betroffen sind. HP hat dazu einen CVE-Artikel veröffentlicht, in dem die Modelle aufgelistet sind.
Derzeit nutzen Angreifer insbesondere vier Sicherheitslücken in Windows und zwei Lücken in Exchange Server aus. Davon stuft Microsoft drei Lücken als „kritisch“ ein. Die beiden Exchange-Schwachstellen (CVE-2022-41040, CVE-2022-41082) sind schon seit Ende September 2022 bekannt – seitdem gibt es auch Attacken. Zwar hat Microsoft Workarounds veröffentlicht, die aber teilweise nicht funktioniert haben. Über die Lücken lässt sich Schadcode installieren (wie z. B. LockBit).
Mit dem November Patchday 2022 (gestern) hat Microsoft nicht nur die Windows-Sicherheitslücken geschlossen, sondern bietet auch Patches für Exchange Server 2016 und 2019 an. Wer noch Exchange Server 2013 im Einsatz hat, geht leer aus und sollte keinen Zugriff auf Exchange-Dienste wie OWA und Active Sync über das Internet zulassen.
Nutzer der Online-Dienste (Microsoft 365 mit Exchange online) sind wieder einmal nicht betroffen, da die Lücken dort noch vor Bekanntwerden geschlossen wurden.
Installieren Sie bitte die November-Patches sowohl auf allen Windows (Servern – Ihr Exchange-Server ist einer davon), als auch die Exchange CUs/Patches auf dem Exchange Server.
Auf der sicheren Seite sind Sie, wenn Sie auf Exchange online umstellen. Wir unterstützen Sie gern dabei.
Ausgetwittert - TwiXit
Weil Sie die Möglichkeit haben, unser Sysko-Blog per RSS (auch für einzelne Interessengebiete) zu verfolgen oder per E-Mail benachrichtigt werden können, wenn wir hier einen neuen Beitrag erfassen, haben wir uns entschieden, die „Twitter syndication“ und den damit verbundenen Twitter-Kanal @sysko_news einzustellen.
Das Bild wurde KI-generiert vom BING Image Creator.
Wirtschaftsschutz Innenministerium NRW
Anlässlich der Fachtagung von Raiffeisenverband Westfalen-Lippe und der genobit (Tochtergesellschaft des Genossenschaftsverband Weser-Ems e.V) waren zwei Mitarbeitende des Innenministeriums NRW zu Gast, die einen Vortrag über IT-Sicherheit in Unternehmen aus Sicht der Fachabteilung Wirtschaftsschutz präsentiert haben.
Zunächst wurden die Aufgaben der Fachabteilung erläutert, dann anhand zahlreicher Vorfälle und Praxisbeispiele aktuelle Gefahren und Präventiv-Maßnahmen aufgezeigt. Neben dem interessanten Vortrag war das Highlight, dass das Ministerium kostenlose Vortrags- und Workshop-Angebote für Zielgruppen von Auszubildenden über Personal bis zur Geschäftsleitung anbietet. Kontaktdaten hierzu im Kasten weiter unten.
Auch die weiteren Vorträge aus Sicht von Datenschutz- und IT-Spezialisten der genobit und Verbandsprüfern waren kurzweilig und informativ aufbereitet. Im Schwerpunkt ging es um die aktuellen Fassungen des BSI-Grundschutz-Kompendium und aktuelle Vorkommnisse im Rahmen der Datenschutz-Grundverordnung #DSGVO. Für die Teilnehmenden ein erfolgreicher Tag bei der GWS in Münster.
Die Angebote des Ministeriums stehen selbstverständlich für alle Unternehmen zur Verfügung, nicht nur für die o.g. Teilnehmenden. Wenden Sie sich gern an die untenstehenden Kontaktpersonen.
Ministerium des Innern des Landes Nordrhein-Westfalen Wirtschaftsschutz E-Mail: wirtschaftsschutz@im1.nrw.de im.nrw/wirtschaftsschutz
Quelle: Informationsblatt des Wirtschaftsschutz NRW
Abmahnwelle wegen Google-Fonts Remote
Mit Urteil des Landgerichts München vom 20.01.2022 (Az: 3 O 17493/20) wurde die Rechtswidrigkeit der Einbindung von Google-Fonts durch Aufruf von externen Seiten festgestellt. Mit Aufruf der Website wird durch das Laden der Google-Fonts eine Verbindung zu US-Servern von Google aufgebaut und die IP-Adresse des Besuchers übermittelt.
Da eine Einbindung der Google Fonts oftmals auch bei der Anzeige des „Cookie-Banners“ und bei inhaltsleeren Fehlerseiten (z.B. gelöschte Seiten o.ä.) erfolgt, bleibt die Einbindung trotz Überprüfung gerne zunächst unentdeckt, womit die automatische Übermittlung der IP-Adresse des Besuchers daher gegen die DSGVO verstoßen kann. Details kann Ihnen hierzu ein Fachanwalt für IT-Recht oder Ihr Datenschutzbeauftragter erläutern.
Leider machen sich einige Abmahnanwälte diese Verstöße mit Massen-Abmahnungen zu Nutze und verschicken automatisiert Zahlungsaufforderungen in Höhe von rund 200 €.
Update 21.12.2022: Die beiden Abmahnanwälte, die mehr als 2.000 Abmahnungen verschickt haben, sind nun selbst angeklagt und verurteilt worden (wegen Abmahnbetrugs). In der Begründung der Staatsanwaltschaft Berlin wurde festgestellt, das die Suche nach Webseiten mit verlinkten Google Fonts durch eine Software durchgeführt werden. Da ein Datenschutz-Verstoß nicht gegen Programme, sondern nur gegen natürliche Personen wirksam sind, waren die Abmahnungen in betrügerischer Absicht. Ungeachtet dieser Massenabmahnung sollten Sie Google Fonts und andere „Open-Source“ Bibliotheken ausschließlich auf dem eigenen Webauftritt betreiben (also keine externen Links setzen).
Schutz-Maßnahmen
Keine Befürchtungen im Fall einer entsprechenden Abmahnung müssen Sie haben, wenn Sie entweder keine externen Fonts in Ihrem Internetauftritt eingebunden haben oder die Google-Fonts lokal über ihren in Deutschland gehosteten Webserver mit ausliefern.
Das können Sie stichprobenartig einfach prüfen, indem Sie Ihre Internetseite aufrufen und dann im Chrome oder Edge die Taste {F12} drücken. Im Register „Quellcode“ erscheint dann links eine Liste der Quellen, aus denen Ihre Seiten die Daten beziehen. Taucht dort nur die eigene Domain auf, reduziert sich das Risiko einer Abmahnung signifikant. Alternativ rufen Sie von Ihren Seiten und Unterseiten „Seitenquelltext anzeigen“ auf und suchen darin nach „fonts“ oder „google“.
Auf diesen Seiten verwenden wir beispielsweise keine externen Quellen für Google-Fonts, Avatare, Emojis und andere Darstellungs- oder Programmcode-Elemente. Mehr dazu in unserer Datenschutzerklärung.
WordPress
Da mittlerweile rund 64,3% {Quelle: de.statista.com, Oktober 2022} aller Internet-Auftritte die Plattform „WordPress“ verwenden, gibt es zahlreiche empfohlene Maßnahmen, die externen Verbindungen zu kappen, bzw. auf die eigene Seite zu verlagern. Für mehr Details lassen Sie sich bitte von Ihrer Medienagentur oder Ihrem Webdesigner in Abstimmung mit Ihrem Datenschutzbeauftragten und Fachanwalt beraten.
Libreoffice 7 Sicherheitslücke
Die meisten Firmen setzen auf die Standardlösung: Microsoft 365 (oder Microsoft Office). Dabei ist man nur bei der Miet-Variante mit bester Sicherheit und schnellen Updates versorgt. Bei den Kaufvarianten (z. B. Office 2021 Home & Business) gibt es weder effizienten Makroschutz, noch neue Funktionen und Sicherheitsupdates nur alle 4 Wochen am Patchday. Diese wiederum kann man dann auch nicht zentral verteilen.
Ungeachtet davon setzen einige von Ihnen Libreoffice (oder zumindest den Writer davon) ein, um ausfüllbare PDF-Formulare zu erstellen (Meines Wissens die einzige kostenlose Software, die das kann).
Wenn Sie Libreoffice in Ihrem Software-Inventar finden, aktualisieren Sie bitte auf die Version 7.4.2.3 (bestenfalls in der x86_64 Variante). Ansonsten kann durch simplen HTML-Code, der ein einem Dokument ist, Schadcode auf die Zielsysteme eingeschleust werden. Libreoffice hat leider keinen automatischen Updater integriert, daher ist die Aktualisierung von Hand vorzunehmen.
Makros und Sicherheitslücken in Makros gibt es nicht nur in Microsoft Office, sondern auch in Libreoffice!
Lansweeper, ein Hersteller von IT Asset Management (ITAM) Software hat jüngst eine Analyse veröffentlicht, bei der etwa 27 Millionen Geräte in 60.000 Unternehmen ausgewertet wurden, ob sie für Windows #Eleven (Pro, Enterprise, Business) geeignet sind. Dabei kam heraus, dass 42,76 Prozent nicht geeignet sind und ersetzt werden müssten.
Da nicht zu erwarten ist, dass in den nächsten Monaten oder mittelfristig über 11,5 Millionen PCs in Unternehmen ersetzt werden, wird Microsoft sich eine andere Strategie überlegen müssen, um Windows marktführend auf Endgeräten im Betriebssystemmarkt zu behaupten.
Wir empfehlen weiterhin, vorhandene PCs UND neu angeschaffte Windows Endgeräte mit Windows 10 Pro zu bestellen (die namhaften Hersteller bieten das nachwievor an) oder nach dem Auspacken mit dem Downgraderecht und Windows 10 Pro neu zu installieren. Eine „Neubetankung“ bietet bei der passenden Vorlage die Möglichkeit, das Endgerät von unnützem und werbe-la(ä)stigem Inhalt zu befreien.
Der 10. Oktober 2023 ist der letzte „Patchday“, an dem Microsoft #Sicherheitsupdates#endoflife für sein Server-Betriebssystem „Windows Server 2012 R2“ ausrollt. Danach ist mit mehr oder weniger kritischen Sicherheitslücken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann – nicht nur als Terminalserver – angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und Identitätsdiebstahl zu betreiben.
Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links und dem bildschirmfüllenden Startmenü, das auch unten links den Startknopf hat:
Windows Server 2012 R2 Taskleiste
Um herauszufinden, ob Sie noch Server 2012 im Einsatz haben und wie viele mit welcher Software, empfehlen wir unsere IT-Dokumentation. Diese liefert Ihnen nicht nur die 2012er Server, sondern auch ein komplettes Software und Hardware-Inventar und einer IST-Aufnahme nach BSI-Standard 200-1.
Soll die IT-Dokumentation für die Verbandsprüfung oder zur Dokumentation für Versicherungen genutzt werden, empfiehlt sich der IT-Sicherheitscheck, der Ihnen ein Testat nach dem BSI-Standard 200-1 und IDW PS330 liefert. Er wird durch einen TÜV-zertifizierten IT-Security Manager und -Auditor ausgeführt.
Kontaktieren Sie mich gern bei Fragen oder zur Beauftragung über das Kontaktformular des Syskoportals.
Was kann ich tun?
Neuinstallation der Programme auf Server 2019 bzw. 2022 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 – also nur zwei Jahre später.
Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen – ansonsten neu angeschafft werden.
Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafür anfallen.
Ich habe meine Server On-Premises – wie komme ich in die Cloud?
Beauftragen Sie den Cloud Readiness Check und wir prüfen, welche Schritte notwendig und angezeigt sind, um hochpreisige Hardware-Neuanschaffungen und immer kürzeren Software-Updates Zyklen zu begegnen.
Ihr Ansprechpartner ist Andreas Lübke. Gern können Sie sich auch an die Kontaktpersonen in Ihrer Business Unit wenden.
An der türkisfarbenen Taskleiste mit Startknopf links oder nach Eingabe von Winver – oder Sie beauftragen eine IT-Dokumentation oder den IT-Sicherheitcheck
2. Sind Server in Azure betroffen
Nein, da für die die ESU-Updates gelten. Trotzdem ist eine Migration auf Server 2019 (mindestens 2016) empfohlen
3. Kann ich meine Server in die Cloud migrieren
Der obligatorische Cloud-Readiness Check beantwortet alle Erfordernisse
4. Kann ich ESU einzeln kaufen bei Microsoft?
Nein, ESU steht nur Enterprise-Kunden und Cloud-Kunden von Microsoft zur Verfügung. Für die Verwendung On-Premises ruft Microsoft sehr hohe monatliche Gebühren pro Server bzw. Endgerät auf.
5. Sind Windows Endgeräte auch betroffen?
Sofern Sie noch Rechner mit Windows 8.1 (Pro) im Einsatz haben, sind bereits jetzt einige Softwareprodukte nicht mehr darauf lauffähig. Ein Upgrade auf Windows 10 Pro (ja, wir raten weiterhin von Windows 11 Pro ab!) ist empfehlenswert. Da solche Rechner meist 8-10 Jahre alt sind, am besten kombiniert mit Austausch der Hardware
Fortinet Firewalls
Kein Produkt, das wir unterstützen – dennoch kommen Fortinet #Drittanbieter Firewalls häufiger im beobachteten Umfeld (auch als Azure vpn Gateway) vor. Aktuell haben die Fortigate Firewalls und Proxies von Fortinet einige kritische Sicherheitslücken, die es Angreifern ermöglicht, aus der Ferne Zugriff auf die Admin-Oberfläche der Firewalls zu erlangen. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.
Wer ein Fortinet-Produkt administriert, sollte den Fortinet Oktober-Patchday nicht abwarten. Die #Sicherheitslücken sind in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.
Da in modernen Azure Umgebungen mit Azure Virtual Desktop statt RDS- oder Citrix-Terminalservern eine On-Premises Firewall nicht ausreicht und erst eine CloudGen-Firewall mindestens der zweiten Generation zu einer guten Absicherung führt, empfehlen wir die Barracuda-Produkte. Diese sind Cloud-zertifiziert und praxiserprobt und bieten einen gemanagten, umfassenden Schutz mit hohem Wirkungsgrad.
Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen zudem das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.
Unser Firewall-Partner, die NetGo berät Sie hier gern
PDF24 Creator sinkt in Bewertung
[Update 08.06.2024] – es gibt wieder eine aktuelle 9.x Version in 64-Bit und ohne Java/Webview). Seit Version 11.2 stellt der Hersteller der beliebten PDF-Drucker-Software (die mit dem Schaf) einige der in der GUI integrierten Funktionen auf JAVA um. Bis Version 11.1.0 konnte man das JRE- Unterverzeichnis (rund 200 MB), den WebView2-Ordner (rund 400 MB) löschen und viele Funktionen wie die Datei-Tools (im Prinzip alles außer der Toolbox, die für die meisten Nutzer im Umfeld unserer Redaktion keine nennenswerten Zusatzfunktionen enthielt) trotzdem nutzen.
Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von #PDF24 Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion – und unsere 10 Punkte Bewertung wieder.
Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist, aus demselben Ordner wie den Browser nimmt. Mit PDF24 Creator kommt also nochmal eine Webview Runtime auf das System, die nicht im Rahmen des Browsers automatisch aktualisiert wird.
PDF24Creator auf TerminalServern bzw. in AVD-Umgebungen automatisiert auf dem aktuellen Stand zu halten ist eine besondere Herausforderung und funktioniert ohne Profiwerkzeuge eher mäßig.
Stattdessen die Version 9.x (die noch nicht diesen mächtige Overhead der beiden Runtimes enthielt), ist keine Alternative, da erst mit Version 10 die echte 64-Bit-Umgebung und Bereinigung der 32-Bit-Registry-Einträge erfolgte.
Wer den PDF24-Creator als schlankes Werkzeug zum Zero-Click PDF-Erstellen beim Drucken verwenden möchte und aus der GUI alle Funktionen inklusive verbinden von Dateien, Extrahieren einzelner Seiten, Web-Optimierung, Bilder extrahieren und nicht die Toolbox benötigt, bleibe bitte bei Version 11.1.0.0 und behalte das Changelog im Auge, ob künftige Versionen Sicherheitslücken schließen. Ist das der Fall, wird man ein Riesen-Trümmer zum PDF erstellen auf Rechnern (oder Terminalservern) haben oder sich nach was Anderem umsehen müssen.
Dieser Artikel ist ein Kommentar mit der Meinung der Redaktion
Erneut Zero-Day Lücken in Exchange - Update
Update vom 12.10.2022: Laut Microsoft wurden die untenstehenden Lücken mit einem aktuellen Patch für Exchange Server zum Oktober-Patchday bereitgestellt. sie sollten umgehend installiert werden. Leider wurde zeitgleich eine weitere Sicherheitslücke bekannt. Für diese 0-Day-Lücke gibt es noch keinen Patch und sie ist ebenfalls kritisch. Der Exchange Server im eigenen Serverraum bleibt damit (vermutlich von Microsoft so gewollt, denn die Cloud-Lösung ist wieder einmal nicht betroffen) ein unsicheres Fahrwasser.
#Hafnium 3.1: Wieder wurden #Sicherheitslücken in #Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen – dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.
Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.
Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.
Erweiterte Anleitung, die Sicherheitslücke zu schließen, da der erste Fix nicht ausreicht
Zeiterfassungspflicht neu aufgewärmt
Bereits im Mai 2019 wurde vom Europäischen Gerichtshof beschlossen, eine Verpflichtung zur #Zeiterfassung für Unternehmen einzuführen. Im September 2022 stützte das Bundesarbeitsgericht diese Entscheidung, indem zur Zeiterfassungs-Pflicht ein eigenes Urteil aussprach.
Grundsätzlich besteht die Pflicht also schon ab 2019, wurde aber jetzt erst in nationales Recht umgesetzt. Viele von Ihnen setzen Software oder Web-Lösungen (und Stempelterminals) zur Zeiterfassung bereits ein, es gibt aber viele Fälle, insbesondre im KMU (kleine und mittelständische Unternehmen), deren Mitarbeitende noch keine Zeiten erfassen.
Zur Einführung (bzw. generell) gilt: Stimmen Sie die weitere Vorgehensweise mit einem Fachanwalt, Ihrem Datenschutzbeauftragten und – sofern vorhanden – Ihrem Betriebsrat ab.
Die einfachste Methode (sofern die o.g. Bedingungen das erlauben) sind „Stundenzettel“, die monatsweise händisch erfasst und dann von der Personalabteilung bzw. den Personalverantwortlichen archiviert werden. Im Zeitalter der Digitalisierung nicht empfehlenswert.
Die (nur) für zertifizierte Syskos kostenlos herunterladbare Excel-Vorlage ermöglicht das Erfassen der Zeiten über ein ganzes Jahr hinweg. Zusätzlich können (müssen aber nicht) Urlaubstage und Gleitzeittage eingetragen werden. Mit Excel-Formeln wird berechnet, wie der Gleitzeitsaldo ist und farblich markiert, wenn gegen gesetzliche Vorgaben verstoßen wird (>10 Stunden etc.). Verwenden Sie dazu bitte dasselbe Kennwort wie für den Zugriff auf Ihre Unterlagen. Das Plugin bietet Ihnen zusätzlich die Möglichkeit hausinterne Veranstaltungen oder ein eigenes #Desksharing mit Buchungsmöglichkeit für Schreibtische/Arbeitsplätze zu realisieren.
Mo. 26. Sep. 2022 11:55 vor 3 Jahren570 kB 0s@300MBit6
Neu! Jetzt auch als Wordpess Plugin zur Online-Erfassung von Zeiten und Auswertung in Ihrem Intranet. Den Quellcode und den Code-Download finden Sie hier.
Kritische Sicherheitslücke in sophos Firewalls
Kein Produkt, das wir unterstützen – dennoch kommen sophos Drittanbieter-Firewalls häufiger im beobachteten Umfeld vor.
Aktuell haben eine größere Anzahl von sophos Firewalls eine kritische Sicherheitslücke, die es Angreifern ermöglicht, in das Nutzerportal und die Admin-Weboberfläche Schadcode zu injizieren.
Betroffen sind die Sophos Firewalls 9.0 MR1 (19.0.1) und ältere Versionen. Dagegen gibt es von sophos die Hotfixes 19.0 GA, MR1 und MR1-1, 18.5 GA, MR1, MR1-1, MR2, MR3 und MR4, 18.0 MR3, MR4, MR5 und MR6, 17.5 MR12, MR13, MR14, MR15, MR16 und MR17 sowie 17.0 MR10, 18.5 MR5 (18.5.5), 19.0 MR2 (19.0.2) und 19.5 GA .
Für ältere Softwareversionen stellt Sophos laut der Sicherheitsmeldung keine Hotfixes bereit, sondern verweist darauf, dass Administratoren ein (meist kostenpflichtiges und bei den ganz alten Firewalls wegen mangelnder Hardwareausstattung nicht möglich) Upgrade vornehmen müssen.
Zur Absicherung Ihrer Firewalls wenden Sie sich bitte an Ihren Dienstleistenden oder diejenigen, die Ihre sophos Firewalls managen.
Für eine Anbindung an Microsoft Azure (IaaS Cloud) sind ohnehin nur die leistungsfähigeren XG-Modelle von sophos geeignet. Sobald man Azure Virtual Desktop als Nachfolger der Terminalserver/Citrix) einsetzt, benötigt man ohnehin eine CloudGen-Firewall und pro Standort eine kleine VPN-Box zur sternförmigen VPN-Anbindung
Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.
Neue MDE-Geräte Almex TC601B
Die aktuelle Generation der #ALMEX#MDE Geräte im Rahmen unserer #Kassenschlager ist das Modell TC-601-B. Wie der Vorgänger zeichnet sich das Gerät durch zertifizierte Schlagfestigkeit und Robustheit aus. Der integrierte Barcode-Scanner ist nun von Honeywell und die Display-Größe wächst auf 6 Zoll.
Highlights sind eine Lade/Dockingstation mit integriertem Ladefach für den Akku oder einen Ersatzakku. Der Akku im Gerät ist wechselbar, die Anschlussart USB Typ C mit separaten Schnelladekontakten für die Dockingstation.
Die Betriebsarten sind wie bisher offline und online, d.h. über die Offline App, die Dynamics365 BC App oder über RDP gegen einen Terminalserver (nur alte BC-Versionen bis BC140)
TC 601 B Ansichten
Datenblätter haben wir hier für Sie bereitgestellt.
Die Apps und die Windows-Datenübertragungsprogramme (MDE-Sync) sind nicht kompatibel mit denen der Vorgänger (Almex Ti/Tx und Sykeye.allegro). Auf einem PC lassen sich aber mehrere MDE Syncs betreiben. Achten Sie dann darauf, dass immer das richtige Programm aufgerufen wird oder verwenden Sie verschiedene Entlade-PCs
Sysko-Hinweise MDE
VLC Plus Player – Adware
Neulich entdeckt beim Software-Scan. Es tauchte in der Softwareliste statt des bekannten quelloffenen „VLC Media Player“ von videolan.org ein VLC Plus Player von vlc.de oder andere Varianten und Namen auf.
Letztgenanntes Programm basiert zwar auf der aktuellen Version vom VLC Media Player, enthält aber einen anderen Installer und anderes Logowork. Statt des „Baustellen-Pylons“ ist das Symbol ähnlich gefärbt und wie ein Vorfahrtschild gestaltet. Zusätzlich wird Adware im Setup mit ausgeliefert und die Anbieter verstoßen gegen die GPL-Lizenz, indem sie den modifizierten Quell-Code vom Programm und Setup-Skript (.nsis) nicht veröffentlichen. Ublock Origin sperrt mittlerweile diese und andere Webseiten und damit die Downloadmöglichkeit. Als Herausgeber fungiert eine „Aller Media eK“.
Leider bekommt man bei der Google (oder BING) Suche nach „VLC“ immer noch die Fake-Versionen als erstes angeboten. Es gilt jedoch „Finger weg davon“.
Wir warnen ausdrücklich davor, solche Abwandlungen des Originals einzusetzen. Als Media-Player empfehlen wir weiterhin den Download des Originals. Wenn Sie Abarten des Programms in Ihrem Netzwerk finden, deinstallieren Sie diese umgehend. Im schlimmsten Fall reicht das nicht aus, weil der Installer Adware im System mitinstallliert hat. Hier hilft nur das Neu-Aufsetzen der betroffenen Geräte.
Die „.exe“ oder die „.msi“ Zeile sind die möglichen Installationsprogramme. Direkter Download Link der Windows 64-Bit Version vom Original-Projekt
Word – Mustertexte erzeugen
Manchmal benötigt man zum Beispiel für einen Artikelentwurf Fülltext, bevor die richtigen Inhalte eingesetzt werden. So kann man im Vorfeld schon sehen, ob das Bildschirm- oder Drucklayout nachher passt. Man nennt diese Texte auch „Blindtexte“.
Hierzu kann man in Word drei Möglichkeiten auswählen, welcher Text und wie viel gesetzt wird. Was viele noch nicht wissen (auch das Pseudo-Latein ist möglich):
lorem(A,S) oder lorem(A)
rand(A,S) oder rand(A)
rand.old(A,B) oder rand.old(A)
Dabei sind „A“ die Anzahl der Absätze, die erzeugt werden und (optional) „S“ die Anzahl der Sätze innerhalb jedes Absatzes.
Der Lorem-Text sieht aus wie Latein – ist es aber nicht. Er enthält Fantasiewörter
Bei „rand“ wird ein Text aus der Word-Hilfe (Einbinden von Videos) kopiert (Je nach Sprache von Word in der ausgewählten Landessprache)
Achtung lustig! Nimmt man rand.old, kommt die deutsche Variante von „the quick brown fox jumps over the lazy dog“ zum Einsatz: „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“. Beides sind Sätze, die alle Buchstaben des Alfabets (A-Z) mindestens einmal enthalten.
Funfacts zu Word, Blindtexte
UEFI-Sicherheitslücke in Notebooks und PCs
vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen.
Sofern Sie die Windows 10 App „lenovo Vantage“ installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads – suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen.
lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Liste
Etwa seit Windows 11 veröffentlicht wurde, hat Microsoft mit einem Windows 10 Update eine neue Funktion namens „Neuigkeiten und interessante Themen“ in die Taskleiste installiert. Im Hintergrund werden die MSN-Webseiten von Microsoft zahlreich aufgerufen. Angezeigt wird bestenfalls das Wetter in der Taskleiste (Symbol und Temperatur/Zustand).
Seit neuestem wird immer wieder die Wetterzeile in der Taskleiste durch das Word „Nachrichten“ ersetzt. Klickt man darauf, wird eine „Eilmeldung“ angezeigt – und erst, wenn man die wegklickt, erscheint wieder das Wetter. Die Aktualisierung des lokalen standortbezogenen Wetters klappt neuerdings auch nicht mehr zuverlässig. Sow wurde heute nachmittag die Temperatur (und die Mondsichel) von letzter Nacht angezeigt.
Zusätzlich werden in dem Popup viele Nachrichtenquellen heruntergeladen und angezeigt, die mich nicht interessieren. Leider kann man die Nachrichten nicht komplett abschalten (sondern nur einzelne von über 250 Kanälen blockieren) und sich nur auf das Wetter konzentrieren. Daher habe ich mich entschlossen, die Clickzahlen von Microsoft nicht mehr zu sponsern und unerwünschten Inhalt nicht länger zu dulden.
Dazu gibt es einen Registry-Eintrag (auch als Gruppenrichtlinie verfügbar):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds] "EnableFeeds"=dword:00000000
Einmal gesetzt, wird das Element in der Taskleiste abgeschaltet und lässt sich auch nicht über die rechte Maustaste wieder aktivieren. An sich für Unternehmen gedacht, die Werbung weitgehend unterbinden möchten. Nach ersten Tests funktioniert der Registry Schlüssel auch für die Pro Versionen, nicht nur für Enterprise.
Wer sowieso viel mit einem Chromium-basierten Browser unterwegs ist und die Wetterinfo kostenlos und werbefrei oben rechts in der Erweiterungen-Leiste sehen möchte, aktiviert einfach die Chrome-Erweiterung: UVWeather.
Kleiner Fun-Fact am Rande: Wer möchte, kann in Outlook ab Version 2013 bzw. 365 die Wetterleiste im Kalender anzeigen lassen. Diese ist (bis jetzt) werbefrei und zeigt das 5-Tage-Wetter des eingegebenen Standorts an. Dazu muss unter den Optionen/Trustcenter in den Trustcenter-Einstellungen unter Datenschutz „Erfahrungen aktivieren, die Onlineinhalte herunterladen“ aktiviert werden.
IGEL Thin-Client Doku und Azure
Um eine Aufstellung aller verwendeten und in der #Igel Verwaltungssoftware UMS registrierten #Thin-Clients zu bekommen, meldet man sich an der UMS-Oberfläche an und geht mit der rechten Maustaste auf „Views“:
Unter Views, einen neuen View erzeugen „Alle-igel“
Das Attribut „Arbeitsspeicher“ auswählen – im folgenden Dialog keinen Filter eingeben
View fertigstellen
Weitere Spalten wie Produkt, Version, Unit-ID, Gerätetyp, CPU-Geschwindigkeit, CPU-Typ,. Flashspeicher, Arbeitsspeicher, Grafikspeicher einblenden (Dreipunktemenü rechts an den Spaltenüberschriften)
Rechte Maustaste auf den View „Alle-Igel“ links in der Navigation
Als „csv“ Datei abspeichern!
Damit sind alle relevanten Informationen in der „csv“ Datei und lassen sich in Excel als Tabelle formatieren
In der Spalte Version (Tabelle in Excel sortieren) lassen sich die für Azure Virtual Desktop #AVD benötigten Mindestfirmware-Versionen 11.04 qualifizieren. Geräte mit älterer Firmware können entweder bei gültigem Wartungsvertrag aktualisiert werden oder sind aufgrund der Hardware nicht für den Einsatz geeignet und müssen ersetzt werden.
Das quelloffene Werkzeug für Hard- und Software-Inventur hat einige neue Funktionen bekommen.
Über das Menü: Administrator / IP-Liste erzeugen kann eine Kommagetrennte Liste von Netzwerken in das Eingabefeld kopiert werden. Daraus wird beim Abschicken automatisch die pc_list_file.txt im scripts Ordner erneuert. Nach dieser Liste geht OpenAudit Classic vor und ermittelt das Inventar
Herausfinden der Zweigstellen-IP-Kreise: Nachdem der erste OpenAudit Scan gelaufen ist, unter Sonstige Geräte / Printers IPv4 schauen. In der Spalte Port tauchen die IP-Adressen der Standortdrucker auf. Hat man im Active Directory beim Drucker auch den Standort dokumentiert, lassen sich so auch die Standortbezeichnungen ablesen. Diese (IP und Standort) können beispielsweise in die „00-kunde-Netzwerk-ips-leitungen.xlsx“ Datei für Dokumentationen kopiert werden.
Nach dem ersten Scan wird auch der Windows-Domänenname (meist vollständig als FQDN) in der Systeme Liste angezeigt
Unter „Sonstige Geräte / Gateways“ kann man herausfinden, auf welchen Wegen das Unternehmen vernetzt ist.
Der Softwarevergleich hat nun weitere Produkte in der Liste und nimmt eine Bewertung vor: (S) bedeutet, dass die Software auf einem Server gefunden wurde, (c) auf einem Windows 10 Client (oder AVD), bzw. in einer RDS-Sitzung, (x) steht für die Empfehlung, die Software zu deinstallieren oder die Erfordernis, wenn benötigt, Lizenzen dafür vorzuweisen. S,c und x können kombiniert auftreten (sc, sx, cx beispielsweise) Disclaimer: Es lassen sich keine Aussagen darüber treffen, ob der Betrieb der Software vom Hersteller als kompatibel eingestuft wird und auch nicht, ob die Software auf einem neueren Betriebssystem lauffähig ist. Meist muss sie dafür kostenpflichtig aktualisiert werden.
Das aktuelle Release von #OpenAudit Classic geht heute im Laufe des Tages online und ist unter den Downloads zu finden. Dabei wurden auch die Systemkomponenten wie PHP, MariaDB(MySQL) und die Runtimes auf den aktuellen Stand gebracht. Details in der Software-DB.
Diashow Serverräume BSI Grundschutz
Folder Slider Fehler: Verzeichnis nicht gefunden wp-content/uploads/bilder/0000-xx-hardsv-bsi
Checkboxen in Word? lieber doch nicht
In Word aus Microsoft 365 Abonnements kann man die Registerkarte „Entwicklertools“ auch als Non-Developer einschalten. Damit lassen sich ankreuzbare Felder – genannt Checkboxen – im Word-Text unterbringen. So können beispielsweise Checklisten „hübsch“ zum Ankreuzen gestaltet werden:
Ankreuzfeld, schick
Warum das keine gute Idee ist, dieses schon vielfach im Internet von anderen Seiten gezeigte Feature von Word 365 zu nutzen?
Schickes Aussehen und man kann mit der Maus an- und abwählen
Nachteile: 4
Besitzer von Office 201x Kaufversionen können nichts ankreuzen
Libreoffice Writer wandelt die Objekte in Bilder um – man kann auch nichts ankreuzen
Manches Word-Dokument ist defekt nach Bearbeitung mit Libreoffice Writer
Zeilen, die eine Checkbox enthalten, lassen sich nicht markieren und mit {Entf} löschen
Um Checklisten und Fragenkataloge wirklich barrierefrei zu gestalten, empfehle ich daher, mit den „eckigen Klammern“ zu arbeiten:
[] nicht angekreuztes Feld [X] angekreuztes Feld
Sieht zwar nicht ganz so schick aus, ist aber sogar mit Wordpad bearbeitbar. Ob man die Boxen noch Fett formatiert, sei jedem überlassen. Ich habe meine Checklisten und Fragenkataloge heute (ohne Fettdruck) auf das ASCII-Art Verfahren umgestellt. Allen, die sich gemeldet haben, vielen Dank für Ihr Feedback.
Microsoft übersetzt Chassis-Typen
Mal was zum Schmunzeln: Mit dem Windows Management Instrumentarium, kurz WMI kann man beinahe alle Informationen über Hardware und Software eines Windows Endgeräts oder -Servers abfragen. Im DOCS Artikel auf den Microsoft-Seiten springt beim Aufruf aus deutschsprachigen Regionen die automatische Übersetzung an und führt zu kuriosen Ergebnissen:
Pizzabox (5), Miniturm (6), Turm (7), Notizbuch (10), Hand gehalten (11), Alles in One (13), Unternotizbuch (14), Platz sparen (15), Mittagessen box (16), Hauptsystem-Gehäuse (17), Buserweiterungs-Chassis (20), Versiegelter PC (24), Tablette (30), Cabrio (31), Trennbar (32)
Mein Lieblings-Gehäuse ist die Mittagessen box, bei schönem Wetter nehme ich natürlich das Cabrio. Wer umweltgerecht unterwegs sein möchte, nimmt das Buserweiterungs-Chassis mit 9-Euro Ticket. und zum Schach spielen Turm oder Mini-Turm. Derzeit arbeite ich allerdings mit einem „Alles in o(h)ne“. Sicher im Internet unterwegs ist man nur mit einem „versiegelten PC“.
Seit etwa einer Woche liefert Microsoft neue, animierte 3D-Emojis in Teams aus. Seit längerem lassen sich mit Windows 10 über die Tastenkombination Windows&Punkt Emojis und andere Symbole in E-Mails und andere Anwendungen einfügen.
Neu ist, dass die „FluentUI Design Icons“ unter einer MIT-License (diese ist Open-Souce und hat keine Einschränkungen hinsichtlich der Nutzung, Veränderung oder Verwendung) freigegeben sind.
Beispiele aus den über 3.000 Symbolen
Es handelt sich um etwa 3.100 Symbole aus allen Bereichen. Dazu zählen nicht nur zahlreiche Emojis und Gesten, sondern auch Symbole aus dem Alltag, die beispielsweise Artikel in einer Internetseite aufwerten bzw. strukturierter lesbar gestalten können. Die Bilder liegen im 256×256 Pixel PNG Format vor.
Wer also die Clipart verwenden möchte, kann dies gern tun.
Github Ressource. Über Code/Download kann die Clipart heruntergeladen werden.
Der diesjährige August #Patchday von Microsoft verdient besondere Aufmerksamkeit. So wurden am Dienstagabend unter anderem zwei kritische #Sicherheitslücken geschlossen, die als 0-Day-Lücken bezeichnet werden.
Zero-Day-Lücken sind Sicherheitslücken, die schon im Internet von Kriminellen genutzt werden, um Kontrolle über angegriffene Systeme zu bekommen oder Datendiebstahl zu begehen. Dazu müssen sie nicht einmal die Firewall überwinden. Vielfach reicht es aus, auf einer (gehackten) Website Schadcode zu hinterlegen, die der ahnungslose IT-User „ansurft“.
Nur Firewalls der aktuellen Generation mit Advanced Thread protection und SSL-Interception schützen weitgehend davor – aber nur, wenn Sie die Methoden kennen – was bei 0-Day-Lücken nicht immer der Fall ist.
Kontrollieren Sie bitte, dass zeitnah auf Windows 10 (Windows 11 ist auch betroffen, sollte aber, wenn Sie unserer Empfehlung folgen, nicht im Einsatz sein) und den Windows Servern installiert sein. Die Toleranzzeit für Versicherungen beträgt normalerweise 7 Tage (ab Patchday, 2. Dienstag im Monat, 19:00 ME(S)T).
Edge nervt mit Standardbrowser-Popups
wer Google Chrome für Enterprise als Standardbrowser einsetzt (wie empfohlen) und Microsoft Edge als „Ersatzbrowser“ und zur Absicherung des Betriebssystems wird sich sicherlich schon geärgert haben, dass Edge andauernd ein Popup oben einblendet, das empfiehlt, Edge zum Standard-Browser zu machen.
Nein, Microsoft – wenn ich einmal NEIN ankreuze, möchte ich nicht mit jedem Browser-Update wieder diese Meldung haben.
Zum Glück gibt es Abhilfe:
edge://flags/#edge-show-feature-recommendations
Dieser Schalter kann auf „disabled“ gesetzt werden und schon ist (hoffentlich dauerhaft) Schluss mit den „Edge zum Standard machen“ Popups.
Zusätzlich sollte die folgende Gruppenrichtlinie aktiviert bzw. der Registry Schlüssel gesetzt werden:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000001
"DefaultBrowserSettingEnabled"=dword:00000000
Ich wünsche mit auch einen solchen Schalter für die Teams Free Version und für Onedrive in der kostenlosen Version – denke aber der wird dort nicht kommen 😛
BSI-Werkzeug gegen Telemetrie
Jedes Windows System telefoniert, wenn das nicht bei der Installation, im Assistenten bei der ersten Anmeldung oder per Gruppenrichtlinie verhindert wird, nach Hause. Da das Zuhause in den vereinigten Staaten liegt, könnten die gesammelten Informationen aus datenschutzrechtlichen Gründen kritisch sein. Zu Telemetrie-Daten zählt nicht nur der Standort, sondern auch eine eindeutige ID des Endgerätes, Version, Patchlevel, mitunter sogar Nutzungsverhalten, Fehlerprotokolle und viele Statistik-Daten, die nicht übertragen werden sollten.
Wer das verhindern möchte (Admins oder auch die Anwender am Gerät), bekommt nun Unterstützung vom Bundesamt für Sicherheit und Informationstechnik (kurz: BSI).
Auf den Webseiten wird auch die Benutzung erklärt. Wenn Sie das Ganze über die Windows Einstellungen abschalten möchten, finden Sie es unter: Wählen Sie das Menü Start aus, wählen Sie dann Einstellungen > Datenschutz aus. Betrachten Sie ALLE Untermenüs und wählen die von Ihnen gewünschten Einstellungen aus (Empfehlung so viel wie nötig und sie es zu Ihrem Komfort gebrauchen, so wenig wie möglich).
Lenovo UEFI Firmware-Lücken nicht in Thinkpads
Wieder einmal haben Sicherheitsforscher in zahlreichen lenovo Notebook-Modellen kritische Sicherheitslücken entdeckt, die durch Firmware-Updates des Herstellers geschlossen wurden.
Die gute Nachricht. Im geschäftlichen Umfeld setzen wir ausschließlich Notebooks der „ThinkPad“ Serien ein, die nicht nur bessere Verarbeitung und Robustheit aufweisen, sondern auch wertige Chipsätze und im Wesentlichen gut verarbeiteter Firmware. Zwar kann bei einem Firmware-Update auch hier was schief laufen – dafür gibt es aber die Zaubertaste, die so manchen Technikereinsatz/Mainboardtausch überflüssig macht.
Fazit
Wer Thinkpads (oder Thincentre Tiny) Geräte einsetzt, braucht keine Sicherheitslücken zu schließen und ist von den Lücken nicht betroffen. Wer dennoch die Consumer-Serie (ThinkBook und „Yoga ohne Thinkpad“ einsetzt, kann im folgenden Artikel lesen, was zu tun ist
Mit dem Juni 2022 kumulativen Update für alle derzeit unterstützten Windows Server ab Version 2012 R2 aktiviert Microsoft DCOM Server-Sicherheitsfeatures, die die Kommunikation mit Servern, die am Ende der Laufzeit (EOL) für Sicherheitsupdates sind oder ein bereits im Juni 2021! veröffentlichtes Update NICHT installiert haben.
Betroffene Server können beispielsweise von der Datensicherungssoftware nicht mehr erreicht werden, sind also nicht mehr gesichert. Auch Monitoring-Programme können diese Server nicht mehr überwachen. Mehrere andere Programme können die Server nicht mehr erreichen, weil nur eine gesicherte DCOM Kommunikation erlaubt ist.
Workaround währt nicht lange
Derzeit kann man über eine Gruppenrichtlinie für die Server ab 2012 R2 die Kommunikation zwar wieder einschalten, mit dem Patchday im März 2023 wird aber auch dieser Schalter abgestellt. Wie der Workaround funktioniert, ist im verknüpften Microsoft Artikel beschrieben
Nachhaltige Lösung
Wer noch Windows Server 2008 R2 einsetzt, sollte sich Gedanken über die darauf installierte Software machen und diese Produkte ablösen. Auch die Laufzeit von 2008 R2 in der Azure Cloud (und im ESU-Modell) ist mit Ende 2023 fest.
Zum Modernisieren können Server in Microsoft Azure als Mietmodell eingesetzt werden oder neue Hardware mit OEM-Betriebssystem-Lizenzen beschafft werden. In jedem Fall sollten Sie sich kurzfristig von nicht mehr unterstützten Servern trennen und mittelfristig auch von Server 2012 R2 Instanzen. Im letzteren Fall ist die Azure Cloud eine Möglichkeit, zumindest Server 2012 R2 länger als bis September 2023 einzusetzen, falls unbedingt notwendig.
Fazit
Schaffen Sie Windows Server 2008 R2 Systeme ab und modernisieren diese durch Neuinstallation in Azure oder Neubeschaffung On-Premises.
Sorgen Sie bei allen Servern ab 2012 R2 für monatlich aktuelle Updates. Versicherungen kürzen die Leistung im Schadenfall, wenn die Patches nicht monatsaktuell (mit Toleranzzeit von einer Woche) installiert sind.
Übergangsweise können Sie auf den Servern den Registry-Schlüssel setzen. Das verschafft Ihnen Zeit, zu modernisieren
Microsoft-Artikel KB5004442 zu den Sicherheitsänderungen
Der aktuelle Build 2022-07-10 von #OpenAudit Classic kann nun die PB Softwareliste über das Admin-Menü importieren und vergleicht installierte Software-Versionen mit der importierten Dateiversion. So lässt sich prüfen, ob die installierte Basis einen mit der importierten Datei aktuellen Stand hat. In der Softwareliste werden alte Versionen rot gekennzeichnet, ist die Version auf dem importierten Stand: grün.
Eine Spalte mit Beschreibungen zu in der importierten Liste gefundenen Produkte, sowie eine Lizenzart-Spalte wurden in der Softwareliste ergänzt. Die Spalten der Hardwareübersicht wurden umsortiert, so dass zuerst die logischen Cores (z.B. einer VM oder eines Azure virtuellen Servers) angezeigt werden, dann Prozessortyp und cpu Sockets und physikalische Cores (vcpu).
OpenAudit Classic neuer Build 2022-07-10
BSI Tipps nicht nur vor dem Urlaub
In einem aktuellen Twitter-Post gibt das Bundesamt für #Sicherheit in der Informationstechnik, kurz #BSI Tipps zur Vorbereitung der digitalen und social Umgebung vor dem Urlaub:
Zitat: „Überprüft die Privatsphäre-Einstellungen eurer Social-Media-Accounts Schaltet Standortinformationen nur ein, wenn ihr sie braucht Macht ein Backup eurer Daten und speichert eine Kopie auf einem externen Datenträger Schützt elektronische Geräte mit einem sicheren Passwort oder PIN-Code Installiert alle Updates auf euren Geräten“
Diese Empfehlungen kann man nicht nur vor den Ferien beherzigen, sondern grundsätzlich. Da es eher selten vorkommt oder unerwünscht ist, den Laptop mit in den Urlaub zu nehmen und das „Dienstabteil“ im Handy geschlossen/inaktiv sein sollte, werden dienstliche Telefone bei erlaubter privater Nutzung gern verwendet.
Gerade hier sollte die Sicherheit auch ganz oben angesiedelt sein. Denn obwohl in den meisten Fällen die Datenbereiche strikt getrennt sind, ist dennoch die Hardware bei einem Angriff kompromittiert und private Daten verloren.
Für Ihre Mitarbeitenden hat die Redaktion ein kleines Quiz zur Selbsteinschätzung vorbereitet. Hier können sie sich selbst testen, wie gut und sicher sie mit dem Thema umgehehen.
Dynamics 365 BC ab V17 - Chromium Bug
Im Chromium-Projekt, auf dem der empfohlene Browser für gevis ERP | BC (auf Basis von Microsoft Dynamics Business Central ab Version 17): „Google #Chrome für Enterprise“, sowie Microsoft New #Edge aufbauen, ist mit „Stable Release“ Version 103 ein Fehler in der Interpretation von CSS-Dateien (CSS-Rendering) programmiert worden. Damit erscheinen „Schiebeschalter-Elemente“ in Masken im Browser an den falschen Stellen oder sind gar nicht sichtbar.
Das Microsoft Dynamics 365 BC Team hat in seinem BLOG einen Workaround beschrieben:
Gehen Sie dazu mit adminstrativen Rechten auf alle Service Tier Server (NSTx) und öffnen jeweils den Pfad (für „Instance setzen Sie z. B. „bc-180-client-prod“ oder „bc-170-client-test“ – je nach eingesetzter BC Version):
Im Editor öffnen >
"C:\inetpub\wwwroot\“Instance“\wwwroot\Resources\desktopPreview.css"
Beispiel >
"C:\inetpub\wwwroot\BC180-Client-Prod\wwwroot\Resources"
und folgenden Eintrag entfernen (dann vorher die Datei sichern) oder auskommentieren (/* davor und */ dahinter) >
/* .booleancontrol-toggle-switch-container .edit-container .input-wrapper{display:inline-flex;align-items:center;min-height:28px} */
Obwohl Firefox den Fehler nicht hat, ist es nicht zu empfehlen, übergangsweise Firefox als Standardbrowser zu deklarieren. Auch deshalb keine gute Idee, weil s.dok Archiv und s.scan einen Chromium-basierten Browser voraussetzen und mit Firefox das Archiv nicht funktioniert. Immerhin ist der Fehler im Projekt erkannt und ist bereits in der jetzigen „Canary“ Betaversion der beiden Browser Edge und Chrome behoben.
Es ist zu erwarten, das frühestens mit Release 104, spätestens mit Release 105 der Fehler behoben sein wird und dann die Änderung in der CSS-Datei rückgängig gemacht werden kann.
Mit dem optionalen Juli-Update erhöht sich der Update-Zähler der Windows 10 Version auf 1865. Zusätzlich gibt Microsoft damit bekannt, dass im Herbst einige aktualisierte Funktionen (welche das sind, ist noch nicht bekannt) auch in Windows 10 implementiert werden.
Windows 10 mit 19045 Enabler
Das Ganze ist wieder ein „kleines“ Update, das bedeutet neben den monatlichen #Sicherheitsupdates und den Fehlerkorrekturen zwei Wochen danach wird es zum September oder Oktober Patchday wieder ein „Enablement-Package“ geben, dass die dann enthaltenen neuen Funktionen freischaltet und den „Build“ von 19044 auf 19045 anhebt. Diese Maßnahme muss Microsoft machen (das Build-anheben), weil der jeweils aktuelle Build immer nur 18 Monate Support hat und man ältere Versionen von Windows 10 – die man nicht aktualisiert hat – nicht mehr einsetzt.
Der Betriebssystemkern bleibt beim Stand von September 2019 (Codename: Vibranium – wie im Marvel Comic), die volle Versionsangabe ist damit: 19041.1.amd64fre.vb_release.191206-1406/1806.
Wer die 19045 jetzt schon einschalten möchte (damit die Funktionen bei Auslieferung im Patchzyklus automatisch aktiviert werden mit dem .msu Paket „windows10.0-kb5015684-x64-1945enabler.msu“ aus der Microsoft Knowledgebase bei Microsoft tun.
Alternativ kann dies mit der folgenden Befehlsfolge ab Build 1826 (in einer administrativen Powershell oder Eingabeaufforderung) geschehen. Dazu muss es jedesmal nach einem Update die 1826 durch den aktuellen Build angepasst werden.
Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .
In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.
Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.
Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.
Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.
Lenovo und die Zaubertaste
beim Einspielen eines #Firmware Updates kann es passieren, dass das UEFI/BIOS betroffene Geräte einfach abschaltet (und nicht wieder einschaltet). So hat bei mir das über die lenovo vantage app installierte, kritische „Thunderbolt Firmware Update“ die USB-C-Stecker abgeschaltet (obwohl keine Fehlermeldung zu sehen war). Nach dem Neustart wurde das #lenovo Thinkpad weder aufgeladen, noch funktionierten die USB-C-Anschlüsse. Auch der HDMI-Ausgang war davon betroffen.
Die Auswirkung ist wie bei dem Problem mit „NVM wear-out“ einer alten Firmware, die nach 6 bis 12 Monaten den 8 GB Flash-Speicher im Gerät gehimmelt hat. Das Besondere daran: Das Yoga X13 Gen1 hat nie die fehlerhafte Thunderbolt-Firmware gehabt, die den Speicher schrottet!
Es meldete sich die lenovo Hotline Düsseldorf und nachdem ich dem Techniker die Anamnese (Fehlerbeschreibung) durchgegeben habe, meinte er, das Problem lässt sich ohne Hardwaretausch lösen.
Der Zauberknopf
Macht man das Thinkpad stromlos (Netzteil entfernen) und dreht es um, ist oberhalb der mittleren Schraub auf der linken Seite ein Loch, in das eine SIM-Nadel oder eine kleine Büroklammer passt. Bein Einführen fühlt man, dass ein Mikroschalter ausgelöst wird.
Die Büroklammer nun über 30 Sekunden lang bei gedrücktem Mikroschalter so halten.
USB-C Netzteil am hinteren Port (Thunderbolt-Ladeport) anschließen. Wenn die orangefarbene LED leuchtet, wurde das Mainboard „resetted“.
Es gehen dabei keine Daten verloren, nur abgeschaltete Komponenten werden wieder aktiviert.
Alles funktioniert nun wieder, das Thinkpad lädt und die Thunderbolt-Schnittstellen nebst Dockingstation verbinden sich wieder.
Fazit
Diese wirksame Funktion einer „Selbstheilung“ sollte viel besser bekannt gemacht werden. Wer also auf ein Problem mit seinem Thinkpad stößt, kann gefahrlos erst diese Reset-Methode versuchen. Ist das Problem danach noch persistent, kann immer noch die Hardware getauscht werden.
Sicherheitslücken und Workarounds
Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Searchdienst Lücke noch weiter besteht, ist weiter offen. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen – wie unten beschreiben – abgeschaltet zu lassen. Die Search Lücke ließe sich mit einigem Aufwand immer noch nutzen, ist aber von der Risiko-Klassifizierung geringer.
In #Windows (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche eine kritische #Sicherheitslücke im „MSDTC Handler“ – das ist die Funktion, die Hilfe und Problembehandlung ausführt. Durch geschicktes Manipulieren kann ein Angreifer Code ausführen und somit Malware aus dem Internet ausführen. Wir hatten darüber berichtet. Ist Microsoft Office in einer Kaufversion (2013-2021) installiert, gibt es kein administratives Mittel, die Lücke effektiv zu stopfen.
Allerdings kann man (auch über eine Gruppenrichtlinie) Registrierungsschlüssel setzen (bzw. hier entfernen). Gestern kam eine weiter Lücke dazu, die sich auf den URL-Handler: „ms-search“ bezieht.
Ich selbst kenne keinen, der diese beiden Funktionen in Windows aktiv nutzt, daher habe ich die Schlüssel vorher nicht gesichert, sondern sie einfach entfernt. Das funktioniert wie folgt (bei Risiken und Nebenwirkungen sind Sie natürlich selbst verantwortlich):
Die Gruppenrichtlinie zum Abschalten des Problembehandlungsassistenten ist: Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Problembehandlung und Diagnose/Skriptdiagnose/Problembehandlung: Zugriff und Ausführung von Problembehandlungs-Assistenten durch Benutzer zulassen -> Deaktivieren
Risiko-Beurteilung Office Kaufversionen
Dass Microsoft die Strategie „Cloud only“ forciert, weiß man seit längerem. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der #Risiko Einstufung mit einem deutlich höheren Risiko behaftet:
Microsoft #Office365 erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall – Patches außer der Reihe. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnah
Es gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen. So lassen sich Makros und die generelle Ausführung von unsignierten Quellen und Codes abschalten
Die Kaufversionen 2013, 2016, 2019, 2022 erhalten Sicherheitsupdates nur noch für 5 Jahre, danach müssen diese Versionen neu erworben werden (Ausnahme: Volumenlizenzen mit Software-Assurance)
Aktuell gibt es in allen #Windows Versionen eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko hoch). Öffnen Mitarbeitende eine Word-Datei mit einer der Kauf-Versionen, lässt sich diese Schwachstelle nutzen, um im schlimmsten Fall Bereiche des Firmennetzwerks, die im Schreibzugriff liegen, zu verschlüsseln.
Wie auch schon bei #Hafnium sind die aktuellen Miet-Versionen von Microsoft 365, aka. Office 365 durch die Richtlinie geschützt. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem „Trittbrett“ Word keine Chance.
Fazit
Im Rahmen einer Risiko-Einschätzung sind die Miet-Versionen von Office bzw. die Onlinedienste von Microsoft signifikant sicherer, da die Kaufversionen weder über wirksame Gruppenrichtlinien verfügen, noch zeitnah aktualisiert werden können. Auch wenn ein Office 2021 Home & Business auf den ersten Blick sehr günstig erscheint, zahlt man mit hohem Risiko einer Schadprogramm-Infektion. Verbunden mit all den enthaltenen (Online-Diensten) und Sicherheits- und Compliance Funktionen ist die Mietvariante immer zukunftsweisender. Dabei hebt sich insbesondere vom Preis-Leistungsverhältnis der Microsoft 365 Business Premium Plan hervor: https://m365maps.com/Microsoft%20365%20Business%20Premium.htm
.net Update: Programme starten nicht mehr
Mit den #Microsoft Sicherheitsupdates für das .net-Framework schaltet Microsoft im Rahmen von #Sicherheitslücken einige ältere Funktionen ab. Nach der Installation von KB5012643 starten einige .NET Framework 3.5 Anwendungen nicht mehr. Ursache sind die von den Anwendungs-Herstellern genutzte Funktionen: Windows Communication Foundation (WCF) und Windows Workflow (WWF).
Workaround
Wenn Sie von dem Fehler betroffen sind, melden Sie sich mit administrativen Rechten an den betroffenen Rechnern oder Terminalservern an und führen in der administrativen Befehlszeile oder Powershell die folgenden Kommandos aus:
Mit etwas Glück starten dann die Programme wieder. Wenden Sie sich an den Hersteller/Programmierer der Software zwecks Update zu einer Version, die diese Komponenten nicht mehr nutzt. Es ist zu befürchten, dass Microsoft die Funktionen mit dem nächsten .net monatlichen Update erneut entfernt.
Exchange online: Basic Auth wird eingestellt
Ab 01. Oktober 2022 beginnt Microsoft damit, die sogenannte Basic Authentication – Authentifizierung an #Exchange online abzuschalten. Damit ist der Zugang zu dem Online-Dienst mit alten, nicht mehr unterstützten Outlook Programmen nicht mehr möglich. Neuere Outlook Versionen bzw. Outlook aus dem #Microsoft365 Plan sollten durch den Administrator umgestellt werden, dass sie nur noch das neue Verfahren zulassen (Gruppenrichtlinie).
Im Zuge der Analyse stellen wir immer wieder fest, dass mit zu trivialen und nicht geheimen Kennwörtern der Zugang zu den Mailboxen ermöglicht wird. Ist Ihr Unternehmen (aka. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.
Zusätzlich sollte (obwohl keine regelmäßige Änderung von Kennworten vorgeschrieben noch sinnvoll ist), EINMAL eine Grundsicherheit der Kennwörter hergestellt werden, um Datenverlust, Hackbarkeit, Verstöße gegen die DSGVO und sogar strafrechtliche Konsequenzen zu vermeiden.
Microsoft wird die Basic Authentication mit einem Sicherheitsupdate auch für die On-Premises Exchange Server entfernen. Wenn Sie den Exchange-Server noch im Hause betreiben, ist der Umstieg in die Online-Variante bereits jetzt umso sinnvoller.
Nachdem #Microsoft sein Lizenzmodell vereinfacht hat und nun auch Lösung für Kunden kleiner 50 Mitarbeiter anbietet, ist es insbesondere in Azure Cloud (IaaS) Szenarien naheliegend, auch einen verwaltbaren #Virenschutz, der in die Plattform integriert ist, zu nutzen. Diese Erweiterung der Sicherheit, die auf dem kostenlosen Virenschutz von Windows 10 und ab Server 2016 aufsetzt, ist in vielen Tests von Fachpublikationen sehr gut beurteilt worden und liefert wenig Nebenwirkungen zu den Serverdiensten und ausgeführter Standardsoftware.
Microsoft 365 Pläne für Clients / AVD
Hinzu kommt der Fakt, dass im „Microsoft 365 Business Premium“ Plan der Endpoint #Defender erweiterte und verwaltbare Virenschutz bereits enthalten ist.
Theken- und Kassen-Mitarbeiter im Azure Virtual Desktop benötigen dann nur einen Windows E3-Plan und den Windows Defender für Business Plan.
Soll dazu nur ein Exchange Postfach im Webbrowser genutzt werden (kein Office, kein Outlook): E3-Plan, Exchange Online Plan 1, Windows Defender für Business
Pläne für Azure Server
Zur Absicherung der Server: Microsoft Defender für Server-Plan 1 (wenn Sie den Virenschutz selbst verwalten, aber die erweiterten Reporting Funktionen nicht nutzen können)
Microsoft Defender für Server-Plan 2 setzen wir nur voraus, wenn Sie uns mit dem Verwalten der Antivirus-Lösung beauftragen oder selbst in der Lage sind, die erweiterten Reportings und Verfahren zu nutzen.
Voraussetzungen
Absichern lassen sich alle Client-Betriebssysteme mit Windows 10 (Pro), Azure Virtual Desktop Pools, Windows Server mit Version 2016, 2019 und 2021.
Sind ältere Betriebssyteme wie Windows 8.1 oder Windows Server 2012 R2 im Einsatz, lässt sich der Virenschutz nicht verwenden. Da aber letztgenannte bald keine Sicherheits-Updates mehr bekommen, ist es ohnehin sinnvoll, auf Windows 10 / Server 2022 zu gehen.
Für Windows 11 und Azure Virtual Desktop auf Windows 11 Basis ist zwar der Virenschutz buchbar und nutzbar, derzeit raten aber alle uns bekannten Software- vom Einsatz ab und Hardware-Hersteller bieten an, wie Windows 11 Pro Lizenz, die mit dem Gerät erworben wurde, mit Windows 10 Pro zu nutzen. Im Azure Virtual Desktop gibt es Sicherheitsupdates für Windows 10 ohnehin bis 2030!
Wenn man an einem Endgerät mit fest eingestellter IP-Adresse sitzt oder mit einem Server per RDP-Konsole verbunden ist, wird es schwierig, herauszufinden, welcher der DHCP-Server im Netzwerk verantwortlich ist. In #OpenAudit Classic, speziell in der NMAP-Software gibt es ein Script, das ein vorgegebenes Netzwerk nach DHCP-Servern absucht. Öffnen Sie dazu die Open-Audit-Konsole und wechseln in dem Pfad, in dem #NMAP installiert ist. Führen Sie dann den folgenden Befehl aus (dabei das eigene Netzwerk, das Sie mit IPCONFIG herausfinden können, angeben:
NMap durchsucht das ganze Netzwerk, ob DHCP-Server vorhanden sind. Steht unter einer IP: dhcps:open, haben Sie den Server in Ihrem Netzwerk gefunden.
Mit echo %logonserver% bekommt man dann noch den Domain Controller heraus, über den man sich angemeldet hat, das gefilterte Domain Controller Suchkommando für NMAP lautet:
man könnte auch sagen: das war ein „MUSK HAVE“ für ihn. 🙂 Gestern kam allerdings ein Leitartikel in der Tageszeitung: „Was wird aus Musks Twitter?“. Da unser Gehirn automatisch korrigiert, liest es in den meisten Fällen „Was wird aus Murks Twitter?“.
E-Mail Nachricht bei neuen Beiträgen
Eine weitere Möglichkeit neben den RSS-Kanälen, über neue Aktivitäten in diesem Blog informiert zu werden, ist die E-Mail-Benachrichtigung:
Immer, wenn ein neuer Beitrag erscheint, können Sie eine E-Mail-Benachrichtigung erhalten. Geben Sie dazu Ihre E-Mail-Adresse unten ein. Danach erhalten Sie eine Antwort-E-Mail an die angegebene Adresse. Erst nach Bestätigen der Mailantwort (double opt-in) bekommen Sie die Benachrichtigungen. Die E-Mail-Benachrichtigung ist kostenlos und jederzeit wieder abbestellbar. Details siehe Datenschutzerklärung unter „Newsletter“.
Windows Versionen Zeitleiste
die folgende Zeitachse zeigt die Historie der verschiedenen #Windows Client- und #Server – Versionen und von Office Kaufversionen, deren Erscheinungsdatum, Codenamen und das #endoflife (eol) Support-Ende. Rot hinterlegt die unbeliebten Windows-Versionen:
Im Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt lenovo drei kritische Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren.
Gute Nachricht: sieht man die Liste durch, tauchen dort keine „Thinkpad“ Modelle auf. Bei den uns bekannten Modellen findet die App „Lenovo vantage“ auch kein Update. Sollten Sie dennoch die Consumer-Serie von Lenovo im Einsatz haben und Ihre Geräte auf der Liste wiederfinden, aktualisieren Sie zeitnah das BIOS/UEFI.
Wenn Sie Thinkpads wie das Thinkpad Yoga X13 oder Thinkcentre Modelle wie das Tiny M70Q einsetzen, ist es dennoch empfehlenswert, über die Vantage App die jeweils aktuellste UEFI-Version und Intel IME Firmware Updates installiert zu haben. Eine „Aktualisierungen-Suche“ in der App schafft Ihnen Klarheit.
Sicherheitslücke in 7-ZIP
wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 kritische #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:
Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:
echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q
Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der „nach Hause telefoniert“, und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.
Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei
7-Zip 21.07
DAS Ultrabook für den Außendienst
Wer im Außendienst arbeitet, braucht ein robustes und zuverlässiges Gerät, das gleichzeitig handlich und leicht ist. Außerdem gibt es mittlerweile viele Funktionen, bei denen ein Stift und ein mit den Fingern bedienbarer Bildschirm hilfreich ist. Diese Funktionen in Verbindung mit moderaten Preisen (gegenüber den Topmodellen der Thinkpad Yoga X1-Serie) verbindet #lenovo mit den X13 Modellen.
Ganz neu ist das Yoga X13 der zweiten Generation. Gegenüber Generation 1 sind marginale Unterschiede vorhanden. So ist statt des 10G ein Prozessor der 11. Generation eingebaut.
Mein Vorgänger-Ultrabook, das Thinkpad Yoga 460 hatte zwar mit 14 Zoll ein 0,7 Zoll größeres Display, war aber auch rund 300g schwerer und in den Grundmaßen und der Bauhöhe deutlich größer. Statt des Magnesium Titan Composit-Gehäuses des 460 kommt beim X13 ein Carbongehäuse zum Einsatz. Außerdem ist die Tastatur in einer Mulde und wird nicht mehr mechanisch beim Zuklappen versenkt. Diese Mechanik kann also schon mal nicht mehr zu Tastaturausfällen führen. Leider sind die Tasten flacher als beim Vorgänger und der bekannt gute Druckpunkt geht damit verloren. Das LED-Touch-Display hat eine höhere candela-Zahl, ist also kontrastreicher. Leider hat man auf die Entspiegelung verzichtet, die das 460 noch hatte. Mit gleichzeitig brillianterem Bild sieht man leider nun jeden Fingerabdruck und ein Bildschirmputztuch sollte mitgeführt werden.
Beim Kauf der Geräts muss man sich bereits für den gewünschten Arbeitsspeicher entscheiden, da der Arbeitsspeicher fest auf das Mainbord gelötet ist. 8/16 und 32 GB RAM sind möglich. Power-User sollten 16 oder 32 GB RAM nehmen. Bei der Auswahl der NVMe-SSD-Speicher kann man nachträglich noch umrüsten, da das SSD-Modul gesteckt ist.
SSD und Akku lassen sich also mit etwas Fachverstand nach Lösen der 8 Schrauben und entfernen des Deckels tauschen. Glücklicherweise ist der Akku nicht verklebt. Einen Schnell-Wechselakku indes gibt es nicht.
Homeoffice: Für die Erweiterung gibt es Zubehör von lenovo, aber auch Targus Dockinglösungen mit Thunderbolt USB-C Stecker und supplied Power lassen sich anbinden. Ich habe recht gute Erfahrungen mit der „Raidsonic Icy Box IB-DK2245AC“ Dockinglösung gemacht. Neben den zwei Bildschirmen der Dockinglösung lässt sich dann zusätzlich über den integrierten HDMI-Anschluss im Ultrabook ein dritter Bildschirm anschließen. Klappt man das 13,3 Zoll Display mit auf, sind also vier! Bildschirme in Betrieb.
Braucht man unterwegs einen VGA- oder DVI-Anschluss (z. B. um alte Projektoren anzuschließen), ist ein optionaler Adapter sinnvoll: HDMI-auf-VGA oder HDMI auf DVI-I. Eine Adaption auf einen Displayport-Adapter funktioniert hingegen nicht (benötigt einen teuren Adapter mit Elektronik). Der Mini-Display-Port-Adapter der Vorgänger wurde leider entfernt.
Das X13 hat 2x USB 3.1 Typ-A Buchse, 1x Typ-C-Buchse für das Netzteil oder die Docking Lösung, 1x Thunderbolt-lenovo-Stecker. Letztgenannter ist ein normaler Typ-C-Anschluss. Im gleichen Stecker liegt aber der LAN-Anschluss zum Anbinden von verkabelten Netzwerken mit optionalem lenovo Network adapter. Das bedeutet, eine Intel-Netzwerkkarte ist auf dem Mainboard integriert, der RJ45-Adapter ist aber optional. Hat man ihn eingesteckt, blockiert er gleichzeitig den zweiten Typ C-Anschluss, obwohl dieser nicht genutzt wird dafür.
während das FBI seit 2018 die US-Behörden anweist, keine Antivirus-Software des mittlerweile mit Firmensitz in Großbritannien operierenden Unternehmens Kaspersky Labs, Ltd. einzusetzen, kommt im neuen „Werbefilm von Kaspersky und Lexus“ die Software quasi überall zum Einsatz.
Gemeint ist der aktuelle „Blockbuster“ von Roland Emmerich „Moonfall“. In den letzten Jahren finanzieren viele Filmstudios ihre Produktionen durch „Produktplatzierungen“. Offensichtlich sind die #Kaspersky Labs, Ltd. neben Lexus die Hauptsponsoren des Film. Automarken und Chronographen-Hersteller waren bisher die am meisten genutzten Marken in Kinofilmen. Bekannt für diese Art von „Schleichwerbung“ sind „Aston Martin“, zeitweise auch „BMW“ und die Uhrenmarke „Omega“ in James Bond Filmen und Mercedes-Benz in „Men in Black“. Dass in Moonfall beide Marken aber große Teile der Kinoleinwand einnehmen, ist neu.
Aus Marketing-Sicht für Kaspersky ein schöner Effekt, denn im Film schaffen sie es nicht nur auf großformatige LED-Werbetafeln, sondern auch die Gerätschaften (hier: Space Shuttle Endeavour) sind mit Kaspersky Software abgesichert. Und das trotz Verbot des FBI, denn die #NASA ist schließlich eine amerikanische Behörde. Im Rest der Welt und für alles, was keine US-Behörde ist, darf Kaspersky weiterhin vermarktet werden. Die aktuelle Empfehlung des Bundesamts für Sicherheit in der Informationstechnik ist kein Verbot.
Java: Spring4Shell Sicherheitslücke
vor einigen Tagen wurde im #Java Basierten Spring Framework eine kritische #Sicherheitslücke#Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.
Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.
Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen
2.
Was kann ich tun?
Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen
3.
Wo bekomme ich den Patch her?
Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software
4. Wann bin ich von der Lücke betroffen?
Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt
Umgang mit Java
Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden – wenn nicht: entfernen!
Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen – oder stellen die Produkte ein. „Ein Leben ohne JAVA ist möglich und nicht sinnlos“.
Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”
DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server
Unser Partner d.velop hat außerplanmäßig sein Software-Portfolio einer vollständigen Sicherheitsprüfung unterzogen und dabei eine Schwachstelle identifiziert, über welche wir hier informieren wollen. Der d.3 Server ist beim #s.dok Archiv im Einsatz.
Betroffen von der Schwachstelle sind die Versionen “ d.3 Server 8.1.0.67 und älter“ (also auch die Versionen 6.x, 7.x oder 8.0.x), sowie die Versionen „Current 2022.Q1 Patch 02“ und älter.
Details zur Schwachstelle:
Ein Angreifer mit einer gültigen Benutzersitzung kann…
– über eine „Remote-Code-Execution“-Schwachstelle der API das System potenziell unter seine Kontrolle zu bringen. Bewertung: 9.9 (Critical) – über eine „SQL-Injection“-Schwachstelle der API Zugriff auf die d.velop documents-Datenbank erhalten. Bewertung: 9.9 (Critical) – durch eine nicht ausreichende Rechte-Prüfung der API Zugriff auf Dokumenteigenschaften aller Dokumente erhalten. Bewertung: 6.5 (Medium) – durch eine nicht ausreichende Rechte-Prüfung über mehrere miteinander kombinierte API-Aufrufe Zugriff auf alle Dokumente im System erhalten. Bewertung: 5.3 (Medium)
Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop allerdings als sehr hoch: Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar: D.h. nur ein Angreifer aus Ihrem Netz wäre in der Lage diese Sicherheitslücke auszunutzen.
Die Sicherheitslücke wurde im Rahmen einer internen Überprüfung entdeckt und nicht von Dritten an d.velop gemeldet. D.velop hat bisher auch keine Ausnutzung der Schwachstellen bei Kunden beobachtet.
Da diese Lücke aber grundsätzlich einen un-autorisierten Zugriff auf die Daten im d.3-System ermöglichen könnte, empfehlen auch wir dieses Fehlverhalten abzustellen. Für Fragen und Rückmeldungen zu diesem Sachverhalt oder einer Update Beratung wenden Sie sich bitte über das Extranet an den Support. Bitte geben Sie in der Betreffzeile die Kennung „s.dok: DV-SEC-2022-02“ an.
Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.
Update vom 04.11.2024 –BC25 Änderungen: Für die Übergabe von Daten an Office wird von den Kaufversionen nur noch Office 2021 (LTSC) unterstützt. Microsoft 365 ist dank Abo-Modell immer unterstützt. Windows Server 2019 wird auch nicht mehr unterstützt, nur noch Windows Server 2022, SQL-Server ab 2019, Office: 2021, Exchange Server: 2019.
In den „Business Central Requirements“ ab Version 23 erwähnt Microsoft Windows 11 als Client-Plattform. Dies ist weder eine Empfehlung noch Freigabe.
Für Business Central der Versionen 15-25 (Client = Google Chrome für Enterprise) gelten die Betriebssystem-Anforderungen des Browsers – Microsoft erwähnt Windows 11 nicht.
Für die älteren Versionen von Dynamics NAV Classic und RTC bis BC 140 (alle Versionen mit Client-Anwendung) wird Microsoft keine Windows 11 Kompatibilität mehr ausweisen.
Seit Juni 2024 wird mit neuer PC-Hardware Windows 11 Pro Version 24H2 ausgeliefert. PCs, die die Hardware-Voraussetzungen erfüllen (mindestens Intel Core-I Prozessor der 8. Generation, TPM 2.0 Chip, Secure Boot und weitere…) sollten zum Erhalt weiterer Sicherheitsupdates nach dem 15. Oktober 2025 vorher neu installiert (mit Windows 11 Pro 24H2) oder ersetzt werden.
Fazit: Windows 11 ab 24H2 neu installieren, wenn die Hardware das zulässt und keine gevis Client Anwendung installiert ist, ansonsten bis zum Support-Ende bei Windows 10 Pro – #Win10 bleiben. #endoflife
Wie Sie das kostenlose Upgrade-Angebot von Microsoft auf Windows 11 unterdrücken, erfahren Sie hier.
Browser
Gleichermaßen gilt weiterhin unsere Empfehlung für Google #Chrome für Enterprise als Standard-Browser und zur Nutzung für #gevis ERP | BC und gevis ERP | SaaS und gevis VEO. Den Microsoft Edge für Enterprise installieren Sie bitte NICHT als Standardbrowser, aber zur Absicherung der Betriebssysteme.
Hintergrund: Das Arbeitsspeichermanagement in Google Chrome ist entscheidend besser als beim Edge. Chrome verbraucht bis zu 50% weniger Arbeitsspeicher für gleiche Tätigkeiten. Dennoch sollte mit der Anzahl der gleichzeitig geöffneten Tabs sparsam umgegangen werden.
Azure Virtual Desktops
In den Azure Virtual Desktops besteht bis Oktober 2028 keine Notwendigkeit, auf Windows 11 Business umzustellen.
Microsoft erwähnt keine Betriebssystemvoraussetzungen in ihrem Artikel, in der Praxis sind derzeit aber mehr AVD auf Windows 10 Basis im Einsatz als mit Windows 11.
Da die Unterstützung für Sicherheits-Patches für Windows 10 bis 25. Oktober 2025 gewährt wird, in Azure Virtual Desktop-Umgebungen und im Erweiterten Support sogar bis Oktober 2028 und viele Hersteller das Downgrade bei neuen Systemen auf Windows 10 Pro erlauben, kann für Azure Virtual Desktop Umgebungen weiterhin Windows 10 Pro eingesetzt werden.
Server und Terminalserver (On-Prem)
Die in der Praxis eingesetzten Server-Betriebssysteme ergeben sich aus den System Requirements.
gevis classic Versionen (NAV2009R2)
Für den Classic Client gibt es und wird es keine „Freigabe“ von Microsoft geben. Für den Einsatz auf Endgeräten im lokalen Netzwerkbetrieb empfehlen wir Windows 10 Pro. Unter Windows 11 Pro gibt es Einschränkungen und Funktionsstörungen.
Im Terminalbetrieb ist die empfohlene Server-Version Windows Server 2016, es sind aber auch Fälle von 2019 bekannt in Kundenumgebungen. Für Azure Virtual Desktops (Nachfolger der Terminalserver in Azure) sollte der Pool mit Windows 10 eingerichtet werden.
SQL-Server (Runtime mit Maintenance) für Classic On-Premises ist maximal Version 2019, die Minimum-Version sollte aus Update-Gründen 2014 sein im Umlauf, für den Einsatz in Azure Cloud Migrations-Szenarien wird ebenfalls ein Azure Server 2019 eingesetzt und die Lizenzen gemietet.
Microsoft Office 201x (On-Prem) oder Microsoft 365
Es sind Fälle im Kundenkreis bekannt, wo Microsoft 365 Business Premium in Verbindung mit gevis Classic eingesetzt wird. Dabei ist entscheidend, NICHT das neue Outlook, sondern Outlook classic zu verwenden. Bei den Office Kaufversionen sind lokale Installationen von Office 2016 und 2019 bekannt. Generell gilt – in Verbindung mit gevis Classic und RTC gelten alle Szenarien auf eigenes Risiko – eine Aktualisierung von gevis auf „One Version“ (ab BC21 oder SaaS) ist ratsam.
Skeye.allegro MDE Geräte dürfen aus Sicherheitsgründen nur noch offline betrieben werden, da diese nur mit einem 32-Bit -Terminalserver funktionieren.
NAV 2009 R2 Windows no compatibility für neuere Windows Server
Microsoft Blog
Rechtshinweis:aus Haftungsgründen werden wir keine Empfehlung für diese Plattform aussprechen, sondern nur Best-Practice Erfahrungen abbilden. Der Einsatz erfolgt grundsätzlich auf eigenes Risiko.
Sicherheitslücke in Bibliothek ZLIB
Eine weitere, in vielen weit verbreiteten Programmen und Werkzeugen eingesetzte Bibliothek hat eine jahrzehntelang unbekannte #Sicherheitslücke. Mit der aktuellen Version 1.2.12 von #ZLIB wurde sie am 27.3.2022 geschlossen. Da im Projekt aber nur der Quellcode bereit gestellt wurde, sind die Hersteller und Open-Source-Projekte gefordert, neue Versionen zu liefern. Sobald diese Updates zur Verfügung stehen, sollten Sie Ihre Programme und „Tools“ auf den aktuellen Stand bringen oder nicht mehr genutzte, alte Produkte entfernen.
Betroffene Produkte sind (die Liste erhebt keinen Anspruch auf Vollständigkeit):
7-Zip, Versionen älter 21.07 (Version 21.07 hat keine zlib.dll mehr)
Internet Explorer (wird ab 15. Juni entfernt aus Windows 10, kann aber bereits jetzt deinstalliert werden, sollte ab Server 2019 auch an Servern deinstalliert werden)
Microsoft (Office) 365 (zlibwapi.dll 1.2.11) (auch im M365 Apps Update 2103 enthalten – Microsoft prüft)
Apache Webserver 2.x (1.2.11)
NMap Netzwerkscanner (zlibwapi.dll wie beim Office 1.2.11)
Microsoft .net Framework 4.5 (1.2.11) > Neuere Versionen verfügbar
Filezilla FTP Client (1.2.11)
OBS Studio (1.2.11) – Videobearbeitung > Update 27.2.4 schließt die Lücke
CISCO Anyconnect VPN Client (1.2.2.0) > Lücke laut CVS Artikel erst ab Version 1.2.2.2)
PDF24 PDF (keine Version erkennbar) > Version 10.0.7.1 oder neuer einsetzen, alte Versionen deinstallieren
Audacity (1.2.11)
Fazit
Ungenutzte, alte Softwareprodukte von Ihren Systemen entfernen. Warten, bis Hersteller neue Versionen (mit Stand ab 27.03.2022) herausbringen. Betroffene Softwarepakete aktualisieren.
Nachdem der Erfolg von Windows 11 auf der Strecke geblieben ist (derzeit gehen die Umstellungszahlen von #Win11 zugunsten Windows 10 22H1 zurück), hat Microsoft entschieden, die Version mit dem Update 22H2 (das im Sommer erscheint) in Windows 12 umzubenennen. Dies äußerte Leading Product Evangelist Vincent Waters, der die Windows Entwicklung in Redmond leitet, gegenüber der Redaktion.
Zahlen vom März 2022: Windows 10 21H2 (19044): Zuwachs 28,5 % (+7,5% gegenüber Februar), Windows 11: Zuwachs nur noch 19,4 % (-6,5% gegenüber Februar)
Nach riesigen Protestwellen der Anwender und Unternehmen werden Funktionen von Windows 10 in Version 12 wieder aktiviert. So hat man (wie in den aktuellen Insider-Versionen derzeit zu erkennen), die zweite Ebene aus den Kontext-Menüs wieder entfernt. Die von Windows 10 bekannte Kontext-Menü Ebene ist also wieder nach einem Mausklick erreichbar.
Auch das Startmenü mit den Live-Kacheln lässt sich in den Einstellungen wieder aktivieren (siehe Screenshot der Preview).
Weitere Funktionen von Win12 sind:
Direct X 12
.net Framework Desktop Engine 6.03
Neue Designs von Windows 11
abgerundete Ecken
Customizing virtueller Desktops mit verschiedenen Akzentfarben
Touch-Optimierte Funktionen von Windows 11
[liveumfrage id=4]
Bisher sind die Insider-Previews noch in englisch. Mitte des Jahres gibt es deutsche Languagepacks
Herkunft: Heinrich IV. soll an einem 1. April im 17. Jahrhundert eine Einladung zu einem Treffen von einem Mädchen aus dem einfachen Volk erhalten haben. Der König soll die Einladung angenommen haben und zu einem abgelegenen Lustschlösschen gereist sein. Dort wartete aber keine künftige Geliebte – sondern der eigene Hofstaat samt Heinrichs Ehefrau.
Mit der zweiten Novelle des Signaturgesetzes (SigG) wurde die Verpflichtung, die Herkunftskette einer Rechnung nachzuweisen, umformuliert. Demnach muss der Nachweis vom Rechnungsaussteller nachwievor erbracht werden, das Werkzeug dafür muss aber keine „qualifizierte Signatur“ sein.
Einige von Ihnen haben bisher weiter Ausgangsrechnungen per E-Mail signiert, um auf der Kundenseite diese Rechnungen klar von Fake-E-Mails und Phishing-E-Mails abzugrenzen. Die Anderen müssen bei einer Steuerprüfung ihrer Kunden von Hand zahlreiche Ausgangsrechnungen dem Prüfer bereitstellen.
Aufgrund gestiegener Energiepreise haben wir Sie bereits informiert, dass wir den Online-Dienst „Digitale Signatur“ #Digisig zum 30. Juni 2022 einstellen. Damit keine Fehlermeldungen auftreten, müssen Sie rechtzeitig die E-Mail-Einstellungen für alle Belege vom Typ: Rechnung, Gutschrift, Sam-Rg, Sam-GS, sowie individuelle Berichte in Ihrer Umgebung prüfen, dass die Einstellung zum digital Signieren entfernt wird. Die beiden folgenden Bildschirmfotos zeigen, wo die Einstellungen vorzunehmen sind:
Digisig-Mailserver entfernen„Digital signieren“ bei allen Berichten abschalten, wo die Checkbox angekreuzt ist.
Bitte achten Sie darauf, Ihre Mail-Betreffs und Mail-Text Textbausteine anzupassen, dass im Text nicht mehr der Satz steht „Die Rechnung wurde digital signiert“ und auch kein Verweis mehr auf den Download zum Secsigner erfolgt.
Rechner: Download-Speed
Mit diesem #Werkzeug können Sie errechnen, wie lange es dauert, um bei bestimmter Leitungs-Bandbreite eine Datei hoch- oder herunterzuladen. Die Upload-Werte bei asymmetrischen Leitungen stehen in Klammern (*U). Berechnen Sie die #Übertragungszeit für Ihre Datensicherung z.B. nach #Azure in die Cloud.
HP-Drucker – kritische Sicherheitslücken
#HP (Hewlett-Packard) warnt vor kritischen #Sicherheitslücken in über 200 seiner Drucker der Marken #HP und Samsung. Angreifer können mit diesen Lücken Schadprogramme auf den Druckern installieren. Das funktioniert normalerweise nur im lokalen Netzwerk. Da aber dies der Haupt Angriffsvektor ist, sollte umgehen die aktuelle Firmware auf den Druckern installiert werden.
Ein typischer Angriff funktioniert so: Ein Mitarbeiter wird in E-Mails unter einem Vorwand dazu aufgefordert, einen Link auszuführen. Dieser lädt mit Benutzerrechten die erste Software herunter. Diese wiederum durchsucht das lokale Netzwerk nach „Opfergeräten“ mit Sicherheitslücken und installiert dort einen weiteren Download (das Schadprogramm). Auf dem Drucker wird dann das Schadprogramm ausgeführt und verschlüsselt beispielsweise andere Geräte im Netzwerk.
Alternativ schalten Sie bitte in der Druckeroberfläche unter Netzwerk / Erweitert das LLMNR Protokoll aus.
Steht kein Firmwareupdate für Ihr Modell zur Verfügung, empfiehlt es sich, ebenfalls die Cloudprint Funktionen des Druckers über die HP Smart App abzuschalten. Damit kann der Drucker über das Internet erreicht werden und Ausdrucke über eine e-Mail an den Drucker initiiert werden.
HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)
HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)
OpenAudit Classic Hard-/Software-Inventar App
Mit der quelloffenen Software „OpenAudit Classic“ lassen sich Hard- und Software inventarisieren. Täglich um 11:00 Uhr laufen dabei Aufgaben, die Windows Server und -Endgeräte mit Ihrer kompletten Hardware, sowie installierter Softwarekomponenten automatisiert erfassen. In einem zweiten Scan werden mit NMAP Informationen (Hardware) über nicht Windows Geräte (Drucker, Kameras, TV-Geräte, Managed Switches) und andere IP-Geräte erfasst.
Die Oberfläche ist dabei eine lokale Webseite auf dem OpenAudit-Server, die über Port 4443 mit self-signed SSL-Zertifikat erreicht wird. Bei Bedarf kann sie zusätzlich mit einem Kennwort abgesichert werden.
#OpenAudit Classic inventarisiert nun auch „Windows apps“, die aus dem Microsoft Store installiert wurden (von allen lokalen Benutzern). Zusätzlich werden die im Benutzer-Kontext installierten Programme gelistet, wenn der Scan-User identisch ist (z.B. beim Clientseitigen Scan). Hintergrund: Wenn ein Nutzer sich über den Microsoft Store Windows Apps im Startbereich installiert, können diese nun inventarisiert werden und erscheinen in einer neuen Tabelle von #OpenAudit unter Software/Modern Apps.
Man kann die Version sehen und auf welchen Maschinen die Apps installiert sind. Zusätzlich lässt sich erkennen, ob die Endgeräte Legacy/BIOS oder UEFI gesteuert sind. Ein Bitlockerstatus lässt sich ebenfalls abfragen. Es existieren zahlreiche Auswertungen, die sich mit leichten PHP Kenntnissen erweitern lassen.
Ein weiteres Feature ist der Ordner „softwarelogos“. Legt man hier PNG-Dateien in 16×16 Pixel ab, die den Namen der Software tragen (Die ersten Zeichen bis zum Leerzeichen im Namen, z.B. microsoft.png), werden alle Softwareprodukte, die namentlich so beginnen, im Software-Register und den Softwareauflistungen mit dem Logo versehen.
#Erfreulich – Mi der aktuellen Distribution kommen die aktuellsten „stable“ Versionen von Apache, MariaDB, PHP, PHPMyadmin zum Einsatz. Eine integrierte WordPress Instanz lässt sich bei Bedarf aktivieren und als Intranet nutzen.
Die aktuelle Version erfordert das Entfernen der vorhandenen Installation und eine Neuinstallation, da die Datenbank von Oracle MySQL Community auf MariaDB Community 10.4 umgestellt wurde. Sichern Sie sich zuvor die Datei „pc-list-file.txt“ aus dem scripts Unterordner. Danach muss wieder neu inventarisiert werden. Ist dafür bereits eine Aufgabe im Windows Taskplaner vorhanden, die Aufgabe bearbeiten und die Zugangsdaten des Admin-Benutzers neu eingeben.
Download und Quellcodes
Wir haben Open-Audit als installierbare Version im Downloadbereich. Die Quellcodes sind auf Github abgelegt:
Di. 17. Sep. 2024 14:41 vor 12 Monaten178 MB 4s@300MBit1,9K
Quelloffene Software, die auf einem Windows Server installiert 1x pro Tag alle Hard- und Software inventarisiert. Enthält die aktuellen Versionen von Apache, PHP, MySQL (MariaDB 10.11 LTS), PHPMyadmin und NMap/NPCap, sowie die benötigten Visual-C++ Runtimes. Kann für WordPress Intranets genutzt…
Quellcodes, Changelog und Projekt Repository sind auf Github abgelegt:
Systemvoraussetzungen: Windows Server 2016/2019/2022 oder neuer bzw. Windows 10/11 Pro oder Enterprise (auf Server 2012 R2 oder älter lässt sich NMAP zwar teilweise verwenden, da diese Betriebssysteme aber keine Sicherheitsupdates mehr erhalten, ist davon abzuraten). Die Installation erfolgt über das Entpacken und Installieren des heruntergeladenen Setup-Pakets. Sollte nach der Aktualisierung der Visual-C++ Runtimes ein Neustart des Servers vorgeschlagen werden, ist dieser nicht nötig. Mit „Nein“ antworten und das Setup erneut starten.
Nach der Installation die Oberfläche aufrufen und unter Administrator/IP-Liste erzeugen – Netzwerkliste aller Standortnetze im Format 192.688.1.0/24,172.26.12.0/24 eintragen. (oder erst nur das Hauptstellen-Netz). Die Subnetze zum Nachtragen bekommt man dann unter Sonstige Geräte/Printers IPv4 unter Port. Danach dann alle Netze beim IP-Listen Erzeuger eintragen. (Die durch das Programm erzeugte pc-list-file.txt enthält alle IP-Adressen aller Netzwerke, die OpenAudit Classic erfassen soll. Sie kann auch mit Excel befüllt werden, indem Sie in Zelle A1 z. B. 192.168.1.1 schreiben und dann nach unten bis Zeile 254 ausfüllen. Ab Spalte A255 beginnt dann das zweite Netz (einer Zweigstelle): 192.168.2.1. Wieder bis 254 ausfüllen. Am Ende markieren Sie den kompletten ausgefüllten Inhalt der Spalte A und kopieren ihn in die auf dem OpenAudit Classic Server Desktop liegende pc-list-file.txt Textdatei)
Rufen Sie nun die Windows Aufgabenplanung auf und öffnen unter Aufgabenplanungsbibliothek den Task: „openaudit scan täglich“ und ggf. den NMAP-Scan-Task (für non-Windows Geräte). In beiden Task die Domäne auf Ihre Domäne einstellen und einen Domain-Admin verwenden (z. B. IHREDOMAIN.LOCAL\Administrator).
Für den #NMAP Task müssen Sie im Verzeichnis: „c:/programme (x86)/xampplite/htdocs/openaudit/scripts“ die Datei audit.config in der unteren Hälfte im NMAP-Bereich anpassen und das IP-Netz Ihrer Hauptstelle eintragen (also erste Zeile: 192.168.1. – in der Zeile darunter: 192.168.001.
Der manuelle Start der Tasks lautet in der Open-Audit Konsole:
cscript audit.vbs oder optional cscript audit.vbs 192.168.1.23 [username] [passwort]
cscript nmap.vbs oder optional csctipt audit.vbs 154 (=IP-Endnummer des Geräts)
Offline- und Clientside Scans
Manchmal sind PCs so konfiguriert, dass sie nicht vom OpenAudit Classic Server erreicht und somit inventarisiert werden können (PULL-Verfahren). Außerdem sind möglicherweise Geräte außerhalb der Domäne vorhanden, die in das Inventar sollen. In diesen Fällen gibt es zwei Möglichkeiten, diese dennoch in die Datenbank zu übernehmen. Das PUSH-Verfahren sendet die Daten direkt vom Desktop des Clients an den Server (OA Clientside Scan) oder erstellt eine Textdatei auf dem Rechner, die dann über die OpenAudit Classic Oberfläche importiert werden kann. Anleitungen (howto) sind im jeweiligen Unterordner abgelegt. Laden Sie dazu die ZIP-Datei herunter und entpacken Sie.
Bevor Sie eine der enthaltenen Methoden verwenden, können Sie noch das Öffnen der Windows-Firewall versuchen:
Wechseln Sie am OpenAudit Classic Server in der Verzeichnis „C:/Program Files (x86)/xampplite/htdocs/openaudit/scripts“
Kopieren Sie die Datei 00-kunde-firewall-win10-open-oa.cmd auf jeden PC (z.B. auf den Desktop) und führen sie „als Administrator ausführen“ aus
Öffnen Sie am Server die „Openaudit Classic Konsole“ und führen einen Testscan aus: CSCRIPT AUDIT.VBS {IP-Adresse des Client-Rechners}
Möglicherweise funktioniert der serverseitige Scan nun und der PC ist nun in der Liste. Wenn nicht, wechseln Sie am OpenAudit Classic Server in das Verzeichnis in den Unterordner offline-scan oder oa-clientside-scan und verfahren Sie wie in der jeweiligen howto beschrieben:
Di. 17. Sep. 2024 14:41 vor 12 Monaten3 MB 0s@300MBit1,1K
Manchmal sind PCs so konfiguriert, dass sie nicht vom OpenAudit Classic Server erreicht und somit inventarisiert werden können (PULL-Verfahren). Außerdem sind möglicherweise Geräte außerhalb der Domäne vorhanden, die in das Inventar sollen. In diesen Fällen gibt es zwei Möglichkeiten, diese…
Alternativ finden Sie die Ordnerstruktur aus dem Download auf Ihrem OpenAudit Classic Server unter: C:/Program Files (x86)/xampplite/htdocs/openaudit/all-tools-scripts/
Methode 1: mit Setup (Unterordner OA-Clientside-Scan)
aus dem Unterordner OA-CLIENTSIDE-SCAN die „openaudit-clientscan-setup.exe“ ausführen und auf dem zu erfassenden PC installieren (erfordert Adminrechte)
Die Datei „audit.config“ mit dem Editor öffnen und in der Zeile audit_host=“http://openaudit:888″ statt „openaudit“ den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens „openaudit“)
In die Windows Aufgabenplanung, die Aufgabe „Openaudit-Clientside-Scan“ bearbeiten und und einen administrativen Benutzer auswählen zur Ausführung
oder Methode 2 (von Hand):
Den Inhalt des Unterordners OA-CLIENTSIDE-SCAN auf den Rechner kopieren (z.B. auf den Desktop)
Die Datei „audit.config“ mit dem Editor öffnen und in der Zeile audit_host=“http://openaudit:888″ statt „openaudit“ den Servernamen oder die IP-Adresse des OpenAudit Classic Servers eintragen (alternativ: Für den Openaudit-Server im DNS-Server einen (A) Alias Eintrag erzeugen namens „openaudit“)
Die Aufgabe „openaudit-clientscan.xml“ in die Windows Aufgabenplanung importieren und einen administrativen Benutzer auswählen zur Ausführung (sie startet täglich um 11:00 Uhr liefert an den OpenAudit Classic Server ab)
oder OFFLINE-SCAN (nur falls Clientdside-Scans nicht funktionieren)
Den Inhalt des Ordners: offline-scan vom Openauditserver auf einen Speicherstick kopieren.
„offline.cmd“ vom Speicherstick ausführen –> //pcname//.txt entsteht auf dem Stick.
//pcname//.txt von C:/ mit dem Editor vom Stick öffnen und Inhalt in die Zwischenablage kopieren.
Die OpenAudit Classic Oberfläche im Browser aufrufen https://openauditserver:4443/openaudit.
Menü „Admin“ / „Add system“ aufrufen.
Den Inhalt der Zwischenablage in das Eingabefeld dort einfügen und „Save/Speichern“ drücken.
Tipps & Tricks
Kleine #FAQ dazu: Wenn die UAC an der Server-Konsole aktiv ist, wird dort die OA-Konsole im non-elevated-rights Modus gestartet. Soll der Bitlockerstatus der Notebooks dokumentiert werden, muss die Konsole „als Administrator“ ausgeführt werden, bevor der cscript audit.vbs Lauf gestartet wird. Wenn Sie die OpenAudit Classic Console mit elevated rights als Verknüpfung anlegen möchten, erstellen Sie die folgende Verknüpfung:
Manchmal sind die Windows Rechner so konfiguriert (insbesondere, wenn sie nicht in der Domäne sind, manchmal aber auch in der Domäne), dass sie keinen WMI Remote-Zugriff zulassen. Die Lösung muss auf den Zielrechnern ausgeführt werden:
Rechte Maustaste auf Arbeitsplatz, Verwalten
Unter Benutzer den lokalen Administrator aktivieren und ihm das Kennwort des Domänen-Admins geben, der am OA Clasic Server das Inventar erstellt.
Dienste&Anwendungen / WMI-Steuerung (rechte Maustaste, Eigenschaften)
Reiter Sicherheit / Root anklicken
Button Sicherheit drücken
Lokalen (oder einen Domain Admin) hinzufügen
Erweitert anklicken, Doppelklick auf den gewählten Administrator
anwenden auf: "Dieser und untergordnete Namespaces" wählen
Alles ankreuzen (Berechtigungen nur für... Haken aber nicht setzen)
Viermal auf OK klicken, bis alle Dialoge zu sind
Computerverwaltung schließen
veeam Sicherheitsupdate erforderlich
Insbesondere wegen der aktuellen weltpolitischen Lage erfordert die Sicherheitsbetrachtung und das Schließen von Sicherheitslücken besondere Beachtung. Wer die Software „veeam Backup & Recovery“ einsetzt und einen aktiven Wartungsvertrag hat, sollte schnellstens auf die aktuelle Version aktualisieren. Hintergrund ist eine kritische Sicherheitslücke im Produkt, die Angreifern aus dem lokalen Netzwerk volle Kontrolle über den veeam Server ermöglicht. Bekanntlich funktionieren die meisten Angriffe mit Schadsoftware durch das Klicken eines Mitarbeitenden auf einen Link. Danach erfolgt im Hintergrund ein Download einer Software, die mit Benutzerrechten ausgeführt wird und im lokalen Netzwerk gezielt nach Produkten mit Sicherheitslücken sucht. Erlangt es über eine solche Lücke administrative Rechte, ist das Ausmaß des zu erwartenden Schadens signifikant höher als ohne. Die empfohlene Version erhöht sich dadurch auf build 11.0.1.1261 P20220302
Artikel aus der veeam Knowledge Base zu den Lücken mit Downloadlinks: kb4288, kb4289 und kb4290
veeam Software – Supportseiten
Sicherheitsbetrachtung Kaspersky Antivirus
hören Sie den Artikel auch gern als Podcast
viele von Ihnen haben die #Kaspersky#Virenschutz Produkte (managed und unmanaged) im Einsatz. Einige von Ihnen fragen sich, wie sicher die Verwendung der Software ist und ob es Alternativen gibt. Am Ende müssen Sie die Entscheidung für sich selbst treffen. Die folgenden Fakten, die wir für Sie zusammengestellt haben, sollen Ihnen diese Risiko-Analyse erleichtern.
{Update August 2023: Links hinzugefügt. Die Einschätzung bleibt unverändert}
Umfrage
Umfrage: Derzeit wird konträr darüber diskutiert. Wie ist Ihre Meinung dazu?
Ihre Auswahl bitte
ich migriere nach Ablauf der Subscription
28
ich entferne alles und stelle sofort auf anderes Produkt um
4
ich vertraue weiterhin der Kaspersky Antivirus Lösung
Kaspersky labs, Ltd. ist ein Unternehmen mit Hauptsitz in Großbritannien, mit Tochtergesellschaften in vielen EU-Staaten- auch in Deutschland. Für die deutschen Erlöse ist die Deutschland-Tochter verantwortlich. Erlöse fließen über die EBERTLANG Distribution GmbH auf ein deutsches Konto
Software-Updates werden nur über Server in der Schweiz freigegeben über über Server außerhalb Russlands verteilt. Dies ist im Rahmen der ISO-Zertifizierung und SOC2 überprüft worden
Quellcodes der Antivirus-Programme können in der Schweiz eingesehen werden, die Lösung ist ISO-zertifiziert
Die Lösung verträgt sich technisch optimal mit vielen Softwareprodukten
alte Betriebssysteme wie Windows 7 und Server 2008 R2 können (noch) abgesichert werden
Administration und Alarmierung erfolgen zentral für Sie
Die Warnung des BSI von März war politisch motiviert, da die angeführte Begründung für ALLE Virenscanner gilt
Es ist eine Warnung, keine Untersagung der Nutzung des Virenscanners
Nachteile: 5
Die Firma Kaspersky beschäftigt aktuell und wird auch zukünftig Entwickler auf russischem Staatsgebiet beschäftigen
Die Software hat, wie jeder andere Virenscanner auch, Root-Rechte auf jedem Zielsystem. Das bedeutet grundsätzlich eine höhere Wirksamkeit
Der Firmengründer und CEO der Holding „Kaspersky Labs. Ltd.“ mit Sitz in Großbritannien, Eugen Kaspersky, wohnt in Russland
Das BSI warnt (Stand 15.März 2022) derzeit vor dem Einsatz von Kaspersky Antivirus.
in den USA gibt es (Stand Juli 2024) ein Vertriebs-Verbot für neue Versionen und Subscriptions, Aktualisierungen dürfen dort nicht mehr ausgeliefert werden
Alternativen
Microsoft bietet (ganz aktuell) im Rahmen der Microsoft 365 Mietpläne mittlerweile einen managebaren Virenschutz auch für kleinere Unternehmen an Microsoft Defender für Business. Lizenzen sind für die Clients mit Microsoft 365 Business Premium Plänen inkludiert. Eine Umstellung von Kaspersky ist möglich, es können keine alten Betriebssysteme abgesichert werden.
Die Schutzwirkung ist vergleichbar mit den Kaspersky Produkten. Daher haben wir Support- und Produktmanagement aufgebaut, um Sie professionell bei einer Migration auf die Microsoft Defender für Business und Azure Defender Lösung unterstützen können. So lange laufen die meisten Kaspersky-Subscriptions.
Wenn Sie in Eigenverantwortung auf eine andere Drittanbieter-Antivirus Lösung umstellen möchten, gelten die folgenden Anregungen:
Leistungsumfang und Schutzwirkung müssen mindestens auf dem Level angesiedelt sein wie bei Kaspersky
Nebenwirkungen mit der auf den Servern und Clients betriebene Software sollten vermieden werden (insbesondere im Hinblick auf Performance und Datenintegrität)
Der Anbieter sollte Ihr vollstes Vertrauen genießen. Manche Anbieter haben Ihren Firmensitz bzw. die Dachgesellschaften in Ländern wie der Slowakei, Rumänien, Slowenien, Pakistan, wo andere Datenschutzgesetze gelten, als in der EU.
Die Vertragsbeziehung sollte immer mit einer deutschen Tochtergesellschaft des Herstellers erfolgen.
Server, von denen die Daten/Signaturen verteilt werden, sollten innerhalb der EU oder in einem neutralen Land stehen (Schweiz).
Kein Support durch die GWS: Systemkoordinierende sind für Drittanbieter-Produkte in voller Eigenverantwortung
Fazit
Die Einstufung der amerikanischen FCC (Telekommunikations-Regulierer) wie auch die BSI-Warnung von März 2022 vor dem Einsatz von Kaspersky geben als Begründung Risiken an, die für nahezu jede Antivirus-Software gelten. Entgegen beiden Artikeln hat die Kaspersky Dachgesellschaft „Kaspersky labs, Ltd.“ den Sitz in Großbritannien, nicht in Russland. Kaspersky ist einer der Weltmarktführer, daher wird das Risiko entsprechend hoch bewertet. Das Bundesamt rät ausdrücklich davon ab, den Virenschutz abzuschalten oder zu verschlechtern.
Im Moment sprechen viele Vorteile zunächst für den Weiterbetrieb von Kaspersky Antivirus. Der aufgezeigten Risiken sollte sich jede Führungskraft bewusst sein. Schlagartig auf einen anderen Virenschutz umzustellen, verschlechtert jedoch die Schutzwirkung für Altsysteme. In den von uns durchgeführten Risiko-Analysen nach BSI-Standard wird das allgemein gestiegene Risiko von Cyber-Sicherheits-Produkten bewertet. Dabei ist irrelevant, von welchem Hersteller der Virenschutz ist.
Wir sprechen uns damit aktuell weder für noch gegen Kaspersky Antivirensoftware aus. Mittelfristig – etwa bei Ablauf der Subscription – regen wir an, nach jeweils im Einzelfall zu erfolgender Risiko- und Vorteils- /Nachteilsabwägung, auf das integrierte Microsoft Produkt umzustellen. Dazu müssen alte Betriebssysteme modernisiert sein.
Kurzfristig empfehlen wir: Investieren Sie in Mitarbeiter-Awareness-Schulungen, um das Risiko für Angriffe zu verringern und kontrollieren Sie laufend die Berichte und Aktualität Ihres Virenschutzes und der Firewall-Infrastruktur. Erfahren Sie mehr hierzu in einem eigenen Artikel hier im Portal.
Pressemeldungen
Für Interessierte: Pressereview und Maßnahmen, die Kaspersky Labs zur Absicherung im Rahmen der SOC2-Zertifizierung der Software eingebaut hat:
Einige Kunden sind verunsichert aufgrund der Aufforderung einer Versicherung die aktuelle Virenschutzlösung bekannt zu geben. Die Konsequenz, sofern es sich um eine Lösung des Herstellers Kaspersky handelt, ist die Erhöhung der Selbstbeteiligung und die Aufforderung die Lösung zu ersetzen.
Viele andere Versicherungen sehen „im Rahmen und Umfang der Verträge die Nutzung von Kaspersky aktuell nicht als Gefahrerhöhung an“. Falls Sie betroffen sein sollten, lassen Sie Ihre Situation durch einen Fachanwalt individuell prüfen.
Windows 11 Spam verhindern
obwohl zahlreiche Partner und auch Microsoft-Abteilungen die Verwendung von Windows 11 nicht freigeben, verwendet Microsoft nun sogar in den Windows 10 Enterprise-Versionen das „Wichtige Updates verfügbar“ Symbol in der Taskleiste mit einem blauen Punkt, um Benutzer aufzufordern, auf #Win11 zu aktualisieren. Selbst wenn man mit der rechten Maustaste darauf klickt, kann man die Meldung nicht vollständig abstellen, sondern „später erinnern“.
Bei einigen Systemen erscheint auch ein Vollbild-Hinweise nach der Anmeldung und bevor der Desktop freigegeben wird.
Geht man danach in die Systemsteuerung, Updates und Sicherheit, Windows Update, wird erneut mit einem prominent platzierten Banner Windows 11 beworben. Auch hier kann man nur „vorerst noch nicht“ auswählen.
Domänen Admins können diese Meldungen (falls die GPO noch funktioniert) diese Meldung verhindern (die GPOs müssen dazu mindestens die ADMX-Templates von September 2021 haben):
Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Windows Update
> Windows Update für Unternehmen"
Im Schlüssel "Zielversion des Funktionsupdates auswählen"
Dort muss der Wert für das Produkt: „Windows 10“ enthalten und die Version auf „21H2“ gesetzt werden. Sollte Microsoft für Windows 10 doch eine 22H2 Version herausbringen (19045.x), ist dieser Wert zu setzen.
Hier noch der passende Registrierungsschlüssel (statt der GPO):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"TargetReleaseVersionInfo"="21H1"
SQL-Server 2012 Supportende Mitte 2022
Viele von Ihnen setzen in Verbindung mit gevis ERP | BC, gevis ERP | NAV und gevis Classic die sogenannte ISV-Runtime des Microsoft SQL-Servers ein. Mit einer jährlich zu verlängernden „Maintenance“ (Wartung) wird Ihnen das Recht gewährt, auf eine neuere Version vom SQL-Server zu aktualisieren. Darüber ist, solange Sie nur unsere Produkte (gevis, s.dok, BI1, NAV Lohn) auf diesen SQL-Servern einsetzen) die Lizenz deutlich günstiger als ein vollwertiger SQL-Server Standard.
Ab Mitte Juli 2022 gibt es keine Sicherheits-Updates mehr für #SQL Server 2012. #Sicherheitslücken sind damit vorprogrammiert.
Die Notwendigkeit, ein SQL-Versions-Upgrade auszuführen, tritt immer dann ein, wenn das Supportende des installierten Produkts abläuft oder eine neue gevis Version/Architektur eingesetzt wird (wie im Rahmen einer gevis ERP | BC Migration). Das Upgrade ist immer genau auf die Version mit dem kumulative Upgrade möglich, die von der verwendeten NAV-Version unterstützt wird.
So kann man mit Dynamics NAV 2017 maximal auf SQL-Server 2017 mit einem der ersten kumulativen Updates (CU) aktualisieren, nicht auf SQL-Server 2019. Zusätzlich gibt es eine Abhängigkeit zum verwendeten Server-Windows-Betriebssystem. Alte SQL-Server Versionen können nicht auf Windows Servern der Version 2019 oder 2022 installiert werden.
Handlungsbedarf
Stellen Sie Ihre gevis Version fest und die darunterliegende Version von Microsoft Dynamics NAV bzw. Microsoft Dynamics 365 Business Central.
Ermitteln Sie im SQL-Server Management Studio die Version Ihres SQL-Servers (z.B. 12.0.2034.21234)
Dokumentieren Sie die Windows-Version Ihres SQL-Servers (und der NSTs/Batchserver)
Prüfen Sie, ob Sie die SQL-Server Maintenance immer verlängert haben und aktuell ein Wartungsvertrag vorliegt.
Wenn eine aktive SQL-Server-Maintenance und die Umgebungsbedingungen dies erlauben, können Sie die Durchführung des Upgrades unter Einlieferung der oben genannten Ergebnisse bei uns beauftragen. Wir berechnen dann nur die Dienstleistung-Stunden, die wir per Fernwartung für das Durchführen der Aktualisierung benötigen, zum jeweils gültigen Stundensatz.
Liegt keine aktive Maintenance vor, müssen Sie zusätzlich die SQL-Server Lizenzen leider neu lizensieren (oder im Rahmen einer Cloud-Migration in Microsoft Azure anmieten). Auch hier bieten wir Ihnen die SQL-ISV-Runtime Lizenzen gern an.
Ihr Ansprechpartner für die Angebote ist Andreas Lübke.
IT-Sicherheit – erhöhtes Risiko von Cyberangriffen
derzeit verweisen Verbände auf ein Schreiben vom Verfassungsschutz Baden-Württemberg: „Warnung Kritischer Infrastrukturen vor dem Hintergrund der aktuellen Entwicklungen im Ukrainekonflikt“, in dem der Verfasser #Bedrohungen auflistet und Handlungsempfehlungen gibt.
Grundsätzlich ist festzustellen, dass die Zielgruppe des Schreibens nicht das klassische Handelsunternehmen ist, sondern die zur kritischen Infrastruktur gehörenden Energieversorger, Krankenhäuser, IT-Rechenzentren, Behörden und Verwaltungen.
Dennoch gelten die im Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI Standard 200-1) für die aktuelle weltpolitische Lage genau wie vor dem Krieg. Einzig das Risiko, angegriffen zu werden ist deutlich erhöht. Die Grundsätze der verwendeten Angriffsmethoden und die Maßnahmen, sich dagegen zu schützen, sind auch die gleichen wie vorher (DDOS-Angriffe, Verschlüsselungstrojaner und Ransomware). Das höchste Risiko besteht dabei durch die Mitarbeitenden. Organisatorische Maßnahmen können durch technische Aktualität ergänzt werden, es wird immer ein Restrisiko bleiben.
Ist Ihr Systemkoordinator zertifiziert und die Ausbildung nicht älter als 2 Jahre?
Unternehmen, die Systemkoordinierende zertifiziert haben, kennen aus der Schulung und Zertifizierung, welche Pflichtaufgaben selbst oder durch externe Dienstleister übernommen werden müssen.
Kunden ohne zertifizierte Syskos (oder wo die Zertifizierung älter ist als 2 Jahre) sollten eine Nachschulung beauftragen oder müssen sich das Wissen selbst aneignen. Dabei unterstützen die Inhalte des technischen und IT-Sicherheits-GWS BLOG (aka. Sysko-Portal oder tech-nachrichten.de).
Beispiele für Handlungsempfehlungen und Must-Haves (nach BSI-Grundschutz)
IT-Infrastruktur: Sind alle Router, Firewalls, Switches, Kameras, Server, IRMC, USVs, NAS-Geräte, Drucker und andere Geräte mit einer aktuellen Hersteller-Firmware ausgestattet?
Firewall: Setzen Sie eine Firewall der aktuellen Generation mit SSL-Interception, Advanced Threat Protection, Content-Analyse auf den gesamten ein- und ausgehenden Traffic, zwei integrierten Gateway Virenscannern ein?
Software: Microsoft Windows: Sind alle Server und Endgeräte mit Microsoft Windows Betriebssystemen auf dem aktuellen Stand (Sicherheitslevel vom letzten Patchtag)
Software: Linux: Wenn Sie Linux-Server einsetzen – wird eine aktuell unterstützte LTS Variante eingesetzt (z.B. Ubuntu 18.04) mit allen Sicherheitspatches?
Software: Anwendungen: Haben alle Anwendungen die aktuellen Sicherheitspatches? (Beispiele: Acrobat Reader, 7-ZIP, BGInfo, RDCMAN, Notepad++, weitere Tools
Software: Browser: Setzen Sie ausschließlich Google Chrome für Enterprise in der aktuellen Version und Microsoft Edge für Enterprise, beide mit aktivierten Gruppen-Richtlinien ein, mit Google Chrome für Enterprise als Standardbrowser (schnellere Aktualisierung gegen Sicherheitslücken)
Organisation, physischer Zugriff und Datenschutz: Sind alle Mitarbeiter im Umgang mit der IT insbesondere mit den Gefahren und aktuellen Bedrohungen geschult, Zugriffe eingeschränkt und dokumentiert?
IT-Sicherheit: und sie klicken doch
weil viele Spam Filter und Mitarbeiter, die immer noch gern alles anklicken englische E-Mails löschen, sind seit einiger Zeit Mails mit #Schadsoftware Schaltfläche auf deutsch im Umlauf. Diese drohen dem Empfänger mit fürchterlichen Folgen, wenn er nicht auf den Link klickt. Ein besonders schlechtes Beispiel wird zwar von guten SPAM-Filtern kassiert, aber dennoch dazu führen, das ein geringer Prozentsatz auf den Link klickt:
Schlechte Spam-Mail. Die englische Formulierung wurde durch einen schlechten Übersetzer 1:1 übersetzt. They are not so „heavy on the wire“ wearing a sleep-on-train!
Erinnert mich stark an das albanische, manuelle Virus aus den Anfängen der 90er Jahre. Die SPAM-Mails vermeintlicher Banken haben meist keine Rechtschreib-Fehler, allen gemeinsam ist aber, dass eine E-Mail mit einem Link darin verschickt wurde. Ein Beispiel:
Bis auf den KuDNenservice und dass man nur die Spk Langen im Logo zeigt weitgehend fehlerfrei
Maßnahmen dagegen
Verwenden Sie eine Firewall der aktuellen Generation mit Content-Filtering, SSL-Interception und Advanced Threat Protection
Blockieren Sie unerwünschte Inhalte/Inhaltstypen auf Basis von Content Filtering
Verwenden Sie eine Microsoft 365 Office-Variante und sperren per Gruppenrichtlinie die Ausführung von Makros (
Achtung: bei den Kauf-Versionen wie Office 2021 Home & Business ist das nicht möglich!)
Verwenden Sie einen aktuellen und zentral verwalteten Virenschutz wie Azure Defender oder Windows Defender mit Advanced Security Package und Intune zur Verwaltung
Schulen Sie Ihre Mitarbeiter regelmäßig, weder auf Links in einer E-Mail zu klicken, noch Anhänge zu öffnen. Mittlerweile gibt es sichere Methoden, Excel und Word-Dateien bereitzustellen. Auch PDF-Anhänge sind mit Vorsicht zu genießen
BSI Maßnahmenkatalog Ransomware
Das Bundesamt für Sicherheit in der Informationstechnik, kurz #BSI hat einen neuen Maßnahmenkatalog zum präventiven Schutz gegen Verschlüsselungs-Trojaner veröffentlicht. Das Dokument ist als Ergänzung zum BSI-Grundschutz zu verstehen und ersetzt diesen nicht.
Wer einen Microsoft 365 Plan hat, kann entweder aus Office (Sharepoint) oder aus #Teams heraus sehr einfach Umfragen erstellen. Wir gehen heute kurz auf die simple Möglichkeit ein, das aus Teams heraus zu tun:
Das Praktische dabei: Man muss nicht erst mühsam die Umfrage in einem Formular ausfüllen, um sie zu erstellen, sondern lädt stattdessen die Forms App in das Gespräch oder den Kanal ein:
@Forms Frage? Antwort 1, Antwort 2, Antwort 3, Antwort 4
Beispiel: @Forms Wie hoch ist der Eiffelturm? 124m, 182m, 334m, 500m
Schickt man die Zeile ab in der Chateingabezeile, wird sofort die Umfrage erstellt und erscheint im Kanal bzw. im Chat für die anderen Teilnehmer. Alternativ kann man den Link (über das … Menü, Rechte Maustaste) kopieren und an andere Mitarbeiter der Organisation bzw. Personen, die auf den Chat zugriff haben, weitergeben.
Voraussetzung, damit das funktioniert: Über die Teamsleiste oben im Chat das PLUS Symbol drücken und nach FORMS suchen. FORMS auswählen und speichern. Nun ist Forms Teilnehmer im Chat und die Umfrage kann wie oben beschrieben über den Erstell-String gestartet werden.
So kann man sich die wichtigsten Umfragen nicht nur im Sharepoint anlegen (und dann aufrufen über die GUI), sondern über Einspeisung Textzeile beispielsweise Schulungsfeedback im Kanal platzieren.
Hinweis: Bei den Umfrage-Apps wird auch Polly von polly.io angeboten. Diese App lässt es zu, genauso Umfragen zu erstellen. Allerdings lässt der kostenlose Plan nur maximal 25 Umfrage-Antworten pro Monat zu. Die Forms-App von Microsoft hingegen lässt sich im Rahmen der Microsoft 365 Pläne kostenlos nutzen. Die M365 Pläne bekommen Sie hier.
Alles hat ein Ende – Internet Explorer
Mit dem Patchday am 15. Juni 2022 entfernt Microsoft im Rahmen des kumulativen Updates den Internet Explorer aus Windows 10 und 11 und (vermutlich auch) aus Windows Server 2016-22. Als Alternative wird seit etwa 2019 der neue Microsoft Edge Browser (für Windows 10) verteilt. Dieser basiert auf dem Chromium Projekt, das auch Google Chrome benutzt. Der neue Edge, auch als Edge on Chromium bezeichnet, enthält in der Enterprise-Version Gruppenrichtlinien und die Möglichkeit – falls einzelne Internet- oder Intranet-Seiten dies erfordern – einen IE-Kompatibilitätsmodus zu starten.
Internet Explorer 11 Microsoft Edge App (nur Windows 8-10)
Microsoft Edge on Chromium
Microsoft Browser-Konsolidierung
Handlungsempfehlung
Sowohl Google Chrome, als auch Microsoft Edge sind als Enterprise-Versionen kostenlos erhältlich, für die es Gruppenrichtlinienpakete zur zentralen Administration gibt. Die Installationspakete sind MSI, die sich dann an die Endgeräte ausrollen lassen.
Weil selbst die Microsoft Dynamics 365 Division Google Chrome als Browser-Client für Business Central empfiehlt, Google im Chromium Projekt über 20 Jahre Erfahrung hat und kritische Sicherheits-Updates schneller ausgeliefert werden, sollte derzeit „Google Chrome für Enterprise“ per Gruppenrichtlinie als Standard-Browser definiert werden.
Microsoft Edge für Enterprise (aka. Edge on Chromium) bitte ebenfalls installieren und per Gruppenrichtlinie NICHT zum Standardbrowser machen. Dieser Browser dient zum Aufrufen von Seiten im Internet-Explorer Modus und entfernt den alten Edge, der bereits jetzt Sicherheitslücken hat.
Checkliste Browser-Umstellung
Google Chrome für Enterprise (64-Bit) herunterladen (das angebotene Bundle enthält die Gruppenrichtlinien): Google Chrome Enterprise
Microsoft Edge für Enterprise (64-Bit) herunterladen (die Gruppenrichtlinien sind ein separater Download rechts neben dem Download-Knopf): Microsoft Edge Enterprise
Beide Gruppenrichtlinien Pakete in den Central Store Ihres Active Directory kopieren
Zwei Gruppenrichtlininen-Vorlagen erstellen und die gewünschten Einstellungen vornehmen (z. B. Chrome als Standard-Browser, Edge nicht)
Installationspakete auf allen Endgeräten installieren oder an alle verteilen. Zielobjekte sind sowohl alle Server (ab Server 2012 R2), als auch alle Windows Client-Betriebssysteme (Windows 10)
Ändere Dein Passwort – Tag
Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag „Ändere Dein Passwort“. Nachdem schon vor Jahren durch Studien mehrerer Universitäten belegt wurde, dass der Zwang, seine Kennwörter regelmäßig zu ändern genau das Gegenteil bewirkt – nämlich unsichere #Kennwörter, muss das Motto des Tages modernisiert werden.
Aktuell wäre „Sichere Authentifizierung“ ein zeitgemäßes Motto.
Hintergrund
Der Passwortwechsel-Zwang führt im Regelfall bei einem 7-Stelligen Passwort dazu, dass am Ende eine zweistellige Zahl hochgezählt wird und der Hacker nur noch ein fünfstelliges Passwort „knacken“ muss.
Sicherer sind die folgenden Ratschläge:
Verwenden Sie für jede unterschiedliche Anmeldung (Internet-Seiten, Domain-Login, Smartphone, Apps-Login) ein anderes Kennwort
Erzeugen Sie diese Kennwörter entweder mit einem Kennwort-Generator (im Keepass ist auch einer enthalten) oder nach einer Formel wie Anfangsbuchstaben eines Satzes, den nur Sie kennen und der Sonderzeichen und Zahlen enthält
Benutzer-Kennwörter sollten mindestens 7 Zeichen, Groß- und Kleinschreibung und ein Sonderzeichen bestehen. Optimalerweise enthält es auch Leerzeichen
Andmin-Kennwörter liegen zwischen 8 und 10 Zeichen und unterliegen ebenfalls den Komplexitätsformeln.
Speichern Sie diese Kennwörter in einem Kennwort-Safe, der auch ohne Internet funktioniert und das Öffnen seines Kennwort-Safes Zwei-Faktor-Authentifizierung unterstützt (Keepass Pro Passwort Safe ist eine sichere Open-Source-Software mit lokalem, verschlüsseltem Safe für Windows, android und apple ios)
Verwenden Sie, wenn Anbieter dies bereitstellen, die 2FA auch für Internet-Anmeldungen. Microsoft und Google unterstützen das beispielsweise für seine Online-Dienste
Bei allen Seiten, die Geld bewegen (Banken, Sparkassen und andere Finanzdienstleister) ist 2FA mittlerweile Pflicht. Sie können meist per SMS-Token oder mit einer App den Freischaltcode bekommen zum Durchführen einer Transaktion oder nur zum Anmelden. Die App-Variante ist dabei meist günstiger, weil einige Institute bis zu 30ct pro SMS berechnen
Cloud Readiness Check | SaaS only
Dieser Cloud Readiness Check lite (SaaS only) ist speziell für die Anforderung von kleinen Kunden mit maximal einem Standort gedacht und analysiert die Voraussetzungen für die Einführung von gevis als SaaS Lösung (Browser-Anwendung ohne Server) in der Cloud. Dabei können Vorschläge für eine Optimierung der vor Ort betriebenen Prozesse entstehen. Die Leistungen den vollumfänglichen Cloud #Readiness Checks Azure sind gekürzt. Die Durchführung findet ausschließlich remote per Fernwartung statt.
Das Fundament für ein zukunftsfähiges IT-Konzept bildet der Cloud readyness check | SaaS only.
Seminarinhalte
Dieses Strategiepapier zeigt Ihnen anhand der ermittelten Infrastruktur detailliert auf, inwieweit Sie Cloud-fähig sind in welche Richtung Sie Ihre IT-Strategie und -Umgebung ausrichten können: IST Aufnahme * eingesetzte Software / Schnittstellen (auch 3. Hersteller). * eingesetzte Betriebssysteme (Server / Client). * Internet-Anbindung (max. 1 Standort). Anforderungsaufnahme * Zugriffskonzept (Thin Clients / Windows PCs). * Datenhaltung (lokaler Fileserver oder OneDrive for Business). * Druckermanagement. Konzepterstellung * Migrations- bzw. Anbindungskonzept SaaS.
Zielgruppe
Systemkoordinatoren
Voraussetzungen
kleine Umgebung, die Warenwirtschaft muss als SaaS-Lösung angebunden werden
Zeitrahmen
Dauer : ca. 2 Tage Interview mit Sysko: am ersten Tag 13:00 bis 17:00 Uhr.
Bemerkungen
Analyse Hard/Software für SaaS-Cloud-Erweiterung, #Schulung.
Checklisten
Remotekonzept (via Fernwartung) Fernwartung via Managed vpn betriebsbereit, ansonsten erfolgt Zugriff auf den Sysko-Bildschirm über Teams administrativer Zugriff auf Server Notebook oder PC mit Headset/Mikrofon für Teams Interview
Preisinformation (Remote)
2.880 € zzgl. MwSt Festpreis, der die Ist-Analyse, Erstellung des Konzepts, Detail-Unterlagen und vorbereitende Maßnahmen einschließt
Auch moderne Web-Interfaces bekommen immer wieder mal Übersetzungen in Landessprache spendiert. Während einige Oberflächen von #Microsoft wie die modernisierte Exchange online Admin-Oberfläche noch englisch sind, hat Microsoft an der Übersetzung im Azure Preisrechner gearbeitet:
Microsoft Fenster oder Linux – das ist hier die Frage
Ich bleibe bis 2025 erstmal Fan von Fenster 10 Enterprise (im LangZeit WartungsKanal) 😉
s.dok (d.3 ECM) jetzt patchen
Sicherheitsupdates gibt es nicht nur wegen LOG4J. Während bei Microsoft am 2. Dienstag im Monat Patchday ist und der Chrome-Browser für Enterprise tagaktuell Sicherheitslücken schließt, hat unser Partner d.velop eine Sicherheitslücke informiert.
Handlungsbedarf für Sie?
Unser Partner d.velop hat im Rahmen einer internen Überprüfung eine potenzielle Sicherheitslücke in einer Komponente von d.3ecm identifiziert, wodurch unter Umständen unberechtigte Zugriffe auf Daten in Ihrem s.dok-System erfolgen könnten. Die Lücke wird von d.velop als kritisch eingestuft. Betroffen sind d.3ecm Versionen ab d.3ecm Current 2020.07 (8.02).
Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop als sehr hoch. Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar. Da diese Sicherheitslücke aber potenziell zu einem Datenschutzvorfall führen könnte empfehlen auch wir, dieses Fehlverhalten unmittelbar abzustellen.
Was müssen Sie tun?
Prüfen Sie bitte, welche d.3ecm Version installiert ist und ob diese Version von der Sicherheitslücke betroffen ist:
1. Melden Sie sich mit Windows-Remotedesktop am d.3-Server an.
2. Öffnen Sie auf dem d.3-Server den „d.velop logfile viewer“ (d.3 logview).
3. Suchen Sie im Log mit STRG+F nach dem Begriff „server-version:“
Beispiel für d.3ecm Current 2020.07: server-version: Current 2020.07 (08.02.00.R38)
Welche Versionen sind betroffen?
Current
server-version im LogViewer
Current 2020.07
08.02.00.R38
Current 2020.08
08.02.00.R39
Current 2020.09
08.02.00.R40
Current 2020.10
08.02.00.R41
Current 2020.11
08.02.00.R42
Current 2020.12
08.02.00.R43
Current 2020.13
08.02.00.R44
Current 2021.Q1
08.02.00.R45
Current 2021.Q2 Preview 01
08.02.00.R46
Current 2021.Q2 Preview 02
8.3.0
Current 2021.Q2
8.3.1
Current 2021.Q2 Patch 01
8.3.2
Current 2021.Q2 Patch 02
8.3.3
Current 2021.Q3 Preview 01
8.4.0
Current 2021.Q3 Preview 02
8.5.0
Current 2021.Q3 Preview 03
8.6.0
Current 2021.Q3 Preview 04
8.7.0
Current 2021.Q3
8.7.1
Current 2021.Q3 Patch 01
8.7.2
Current 2021.Q3 Patch 02
8.7.3
Current 2021.Q3 Patch 03
8.7.4
Current 2021.Q4 Preview 01
8.8.0
Current 2021.Q4 Preview 02
8.9.0
Current 2021.Q4 Preview 02 Patch 01
8.9.1
Current 2021.Q4 Preview 03
8.10.1
Current 2021.Q4
8.11.0
Current 2021.Q4 Patch 01
8.11.1
Current 2021.Q4 Patch 02
8.11.2
Current 2021.Q4 Patch 03
8.11.2
Current 2022.Q1 Preview 01
8.12.0
Current 2022.Q1 Preview 02
8.13.0
Current 2022.Q1 Preview 03
8.14.0
Setzen Sie eine der o.a. Versionen ein Installieren Sie bitte den Patch „SECURITY PATCH Current 2020.07 – 2022.Q1 Preview 03“
Ungültige-Download-ID.
Installation des Sicherheitsupdates
1. Melden Sie sich mit Windows-Remotedesktop (mstsc /admin) an Ihrem s.dok-Server an.
2. Laden Sie das Update über die o.a. Verknüpfungen herunter
3. Führen Sie die im Paket enthaltene EXE-Datei aus und folgen den Anweisungen:
Um die Installation für Sie so einfach wie möglich zu gestalten, reicht die alleinige Ausführung des Sicherheitspatches aus. Sie brauchen vorher keine Programme oder Dienste zu beenden oder nach der Installation ein Skript auszuführen. Eine Sicherung Ihrer Daten ist vor der Installation nicht erforderlich. Der Sicherheitspatch wurde so gestaltet, dass nur wenige Komponenten ausgetauscht werden. Nach Abschluss der Installation wird Ihnen ein Dialog angezeigt, der Ihnen mitteilt, ob die Installation erfolgreich war. Falls Sie nicht sicher sind, ob Ihr d.velop documents-System bereits gepatcht wurde, führen Sie die Installation ein weiteres Mal aus. Eine wiederholte Ausführung ist unkritisch.
Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.
Für Fragen und Rückmeldungen zu diesem Sachverhalt oder wenn Sie Unterstützung benötigen, erstellen Sie bitte einen Support-Vorgang über das Extranet.
Reboot Januar-Fehler gepatcht
Mit dem #Januar-Patch hatte Microsoft #Reboot Schleifen in die Domänencontroller ab Server 2012 R2 eingebaut und auch L2TP-VPNs (die sehr selten sind) ließen sich nicht mehr aufbauen. Nun gibt es Patches für die Patches, die ab sofort im Windows Update Katalog installiert werden können:
Die Patches liegen damit im Rahmen der Karenzzeit zum Installieren nach BSI-Grundschutz und sollten umgehend angewendet werden.
Reboot tut nicht gut – Januar-Fehler
Mit dem Patchday von Januar hat Microsoft einige Sicherheitslücken zu gut geschlossen – das Installieren des kumulativen Patches für bei allen Server-Betriebssystemen (2012 R2 bis 2022) zu erneuten Problemen.
Diesmal starten Domänen-Controller in einer Endlosschleife neu, sobald sich jemand anmeldet. Hyper-V-Hosts mögen nach dem Update in einigen Fallen gar nicht mehr starten.
Bei Windows (8.1 – 11) Clients wird, wenn man ein L2TP-VPN einsetzt (kommt eher selten vor) die Verbindung auch nicht aufbaubar sein.
Microsoft hat gestern den Patch zurückgerufen. Wer ihn aber schon auf den genannten Funktionstypen installiert hat, wird einigen Aufwand haben, ihn wieder los zu werden. (WU-Dienst stoppen, Softwaredistribution Ordner leeren, deinstallieren, Reboot). Auch wenn zu erwarten ist, dass Microsoft kurzfristig einen Patch zum Patch herausbringen wird, raten wir, den installieren Knopf auf Domänen-Controllern und HV-Hosts NICHT zu drücken.
Die Karenzzeit, in der Updates eingespielt werden müssen (Richtwert für Versicherungen) liegt bei Patchday + 7 Tage. Dadurch, dass Microsoft in diesem Fall das Update komplett zurückgezogen hat, gehen wir davon aus, dass die Zeitrechnung, bis wann das installiert werden muss, mit dem erneuten Rollout des Patch vom Patch beginnen wird.
Fazit: Die Januar-Patches auf Domänen-Controllern und Hyper-V-Hosts solange nicht installieren, bis Microsoft einen Fix ausliefert.
vodafone aktualisiert Kabelboxen
Mitte Dezember 2021 informierte #vodafone (Business, Nachfolger von Unitymedia) Ihre Kabel-Kunden, dass nun endlich für die #Fritz!Box 6490 (die weiße mit Unitymedia Logo) das Firmware-Update 7.29 bereitgestellt wird. Die Bereitstellung erfolgte heute.
Zum Installieren musste man wie immer den Stromstecker für mindestens 30 Sekunden von der Box entfernen. Nach dem Neustart der Box hat diese das Update gezogen und mit einem erneuten Reboot installiert.
Version 7.29 bringt langersehnte QoS Funktionalität, die sich im Homeoffice positiv auswirkt. Viel wichtiger ist, dass einige Sicherheitslücken geschlossen und die Performance verbessert wurden. Dazu kommen einige Fehlerbehebungen. Das komplette Changelog wird angezeigt, wenn man nach dem Update auf der Startseite der Box oben rechts auf die Versionsnummer 7.29 klickt.
Für die freien Boxen (keine Mietprodukte) gibt es das Update schon mehrere Monate, für gängige Repeater wurde im Dezember Version 7.29 ausgeliefert.
Exchange (On-Prem) 2022 Fehler
Weil die #Exchange Server 2013/16/19-Versionen einen Fehler haben, der verhindert dass ab 1.1.2022 E-Mails versendet werden, hat Microsoft einen Notfall-Patch in Form einer Anleitung, was zu tun ist, um den Fehler zu beheben.
Beim Exchange 365 (online) tritt dieser Fehler nicht auf. Wer also noch einen Exchange Server 20xx im eigenen Hause oder bei einem Dienstleister betreibt, muss handeln, um wieder E-Mails zu versenden/empfangen zu können.
Microsoft Anleitung und Script, um den Fehler zu beheben
(Silvester) Einen guten Rutsch ins neue Jahr! Ich wünsche dir einen tollen Start ins neue Jahr!
Ihre Redaktion
(Heute ist: Freitag 5. September 2025, 36. Kw)
An diesem Tag Mittwoch 31. Dez. 2025
Sprichwort1600 vor 426 Jahren Deutschland DE Je mehr Gesetz je weniger Recht. gemeinfrei
Sprichwort1600 vor 426 Jahren Deutschland DE Alles Gute kommt von oben. gemeinfrei
Nationalfeiertag2016 vor 10 Jahren Osttimor TL Gedenktag für Nicolau Lobato Todestag des ehemaligen Präsidenten und Widerstandsführer
Namenstag1566 vor 460 Jahren Deutschland DE Melanie Silvester Konzil von Trient (1545 bis 1563) Rituale Romanum sakramentale Feier nach Römischen Ritus der katholischen Kirche
Fest1582 vor 444 Jahren Vatikanstadt VA Silvester traditionell und säkularisierter Begriff für die Feiern zur Jahreswende siehe Neujahr
Bauernregel1653 vor 373 Jahren Deutschland DE Silvesternacht düster oder klar sagt an ein gutes Jahr. Mauritius Knauer der hundertjährige Kalender
Bauernregel1653 vor 373 Jahren Deutschland DE Ists an Silvester hell und klar ist am nächsten Tag Neujahr. Mauritius Knauer der hundertjährige Kalender
Bauernregel1653 vor 373 Jahren Deutschland DE Silvester wenig Wind und Morgensonn gibt viel Hoffnung auf Wein und Korn. Mauritius Knauer der hundertjährige Kalender
Bauernregel1653 vor 373 Jahren Deutschland DE Wenns Silvester stürmt und schneit ist Neujahr nicht mehr weit. Mauritius Knauer der hundertjährige Kalender
Bauernregel1653 vor 373 Jahren Deutschland DE Silvesterwind und warme Sonn verdirbt die Hoffnung auf Wein und Korn. Mauritius Knauer der hundertjährige Kalender
🤣 Spruchmix Jung gefreit früh/spät ich sage Dir was Du bist.
ORIG1: Jung gefreit früh/spät bereut. ORIG2: Sage mir mit wem Du umgehst und ich sage Dir was Du bist.
🤣 Spruchmix Besser einäugig als Gold im Mund.
ORIG1: Besser einäugig als blind. ORIG2: Morgenstund hat Gold im Mund.
🤣 Spruchmix Übermut kommt vor dem die Jungen und die Alten.
ORIG1: Übermut kommt vor dem Fall. ORIG2: Versprechen und nicht halten tun die Jungen und die Alten.
In Servern und Serverdiensten, die auf der Programmiersprache #JAVA basieren (nicht Javascript!), gibt es eine Bibliothek namens #LOG4J zum Protokollieren von Informationen. Manche Software-Produkte verwenden diese Bibliothek. Ist diese Bibliothek nicht auf dem neusten Stand (betrifft Versionen 2.0 bis 2.16), können Angreifer Kontrolle über den darunter liegenden Server erlangen. Betroffen sind somit Linux-, Unix- und Windows Server – sofern Sie einen JAVA-basierten Serverdienst mit der Bibliothek nutzen. [Anm d. Red.] Grundsätzlich haben auch alte LOG4J-Bibliotheken Version 1.x Sicherheitslücken. Das Bundesamt (BSI) stuft diese alten Versionen aber als geringes Risiko ein.
Zwei Beispiele: Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit der aktuellen Version sind die Lücken geschlossen. Firmware- bzw. Software-Updates sind unbedingt erforderlich. Als JAVA-Runtime kann das kostenlose Adoptium Temurin eingesetzt werden.
Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.
Handlungsbedarf
Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.
Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).
Scan-Tool (nur für Windows)
Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit nicht Log4J in Hardwaregeräten oder Linux-Systemen) gibt es auf GitHub ein Befehlszeilen Werkzeug, das man auf jedem Windows-Server oder PC, auf denen JAVA installiert ist, ausführen muss. Es sucht (nur die angegebenen Laufwerke) nach anfälligen Bibliotheken und schreibt einen Bericht darüber. Die Java-Komponente aktualisieren oder entfernen (wenn die Software sie nicht benötigt), muss man immer noch:
Eine Beschreibung wie man das Werkzeug nutzt und der direkte Download sind hier beschrieben. An der administrativen Befehlszeile oder Powershell ist dann: Log4j2-scan c:\–fix auszuführen und das Ergebnis auszuwerten.
Die gängigen Tools finden auch alte (Version 1.x) Bibliotheken von LOG4J. Im Regelfall eignet es sich, solche unbenutzten JAR-Dateien zu isolieren und wenn keine Nebenwirkungen auftreten, dann zeitverzögert zu entsorgen. Lässt sich eine genutzte Software (die diese Bibliotheken und JAVA benötigt) nicht mehr nutzen, wenden Sie sich bitte an den jeweiligen Software-Hersteller.
Ein Leben ohne JAVA ist möglich (und nicht sinnlos)
Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.
Produktmatrix und Status
Produkt
enthält unsicheres LOG4J 2.x
Empfehlung
w.safe Firewall
Nein
abschalten und durch Managed | Firewall ersetzen, Supportende der ubuntu Version erreicht, nur 1Gen Firewall
Blackbox alt
Nein
durch Managed | VPN Access ersetzen, da Supportende der ubuntu Version erreicht
Managed | Firewall und Managed | vpn Access
Nein
neue 2. Generation Firewall und Blackbox mit Azure Cloud Option
Seccommerce Secsigner Server und Komponenten
Nein
verwendet JAVA (Adoptium), Logging ist aber anders gelöst
Uqibiti Controller Firmware/Software
Ja
Update verfügbar. Version auf 6.5.55 aktualisieren, ab dieser Version keine Gefährdung mehr. Mit dem 55er Update wurde auch die in LOG4J 2.15 entdeckte zweite Lücke niedrigen Grades geschlossen.
Problem noch nicht gelöst, kritische Komponente enthalten, Die ServerView-Suite, wenn Sie auf Ihren Server installiert ist, sowie die dazugehörige JAVA Plattform deinstallieren! PDF Advisory von FTS
Fujitsu RAID Manager
Ja
Auch wenn laut Fujitsu eine nicht betroffene Version eingesetzt wird: Deinstallieren, sowie die alten JAVA-Versionen unter Windows, die diese Software mit sich führt. Die RAID Konfiguration lässt sich auch im UEFI/BIOS des Servers verändern.
s.dok d.3 Presentation Server
Nein
JAVA wird verwendet, LOG4J laut d.velop nur wenn individuelle Webdienste dies nutzen und mitbringen. Wir haben keine solchen Webdienste im Einsatz in s.dok.*
d.velop documents (d.3ecm) ab Version 2020.07
Nein
Betrifft nicht direkt log4j, ist aber eine andere Sicherheitslücke, über die der Hersteller informiert. Patch verfügbar von d.3, Das Risiko eines Angriffs wird als sehr niedrig vom Hersteller eingestuft, der Patch sollte aber installiert werden.
Der Multishop ist von der aktuellen Bedrohung nicht betroffen. Präventiv wurden zusätzliche Schutz-Maßnahmen durch unseren Hosting-Partner ergriffen. Darüber hinaus wird die aktuelle Bedrohungslage überwacht. Der Dienst „Elasticsearch“, wurde entsprechend der Empfehlungen der Elastic-Entwickler, abgesichert.
Syntellect CT-Connect CTI (end of life)
Ja
Noch vorhandene Installationen auf (alten) Servern sollten ebenso wie alte JAVA-Versionen gelöscht werden, da diese Middleware sowohl JAVA, als auch die Bibliothek verwendet. Diese Middleware war bei der GWS Telefonsteuerung in den 2000ern im Einsatz.Hierbei ist nur die Serverkomponente, nicht der Client betroffen. Mittlerweile gibt es das Unternehmen nicht mehr. Als Nachfolge-Middleware kommen CATS und CATSpro von Spuentrup Software zum Einsatz.
s.tel und s.tel Pro bzw. CATS und CATSpro
Nein
Keine Versionen der CATS – Software nutzen das Modul Log4J. Die CATS Server sind somit generell nicht betroffen. Java-Code wird nur in CATS/3 Servern eingesetzt, wenn sie auf der TAPI Schnittstelle aufsetzen. Auch hier wird Log4J nicht verwendet.
w.shop, w.info, Managed|Transfer
Nein
Sofern in den Server-Komponenten das LOG4J Modul von uns entdeckt wurde, ist es entweder nicht von den Sicherheitslücken betroffen oder wurde zeitnah auf aktuelle Versionen, die nicht von der Lücke betroffen sind, aktualisiert, bzw. die betreffende JAVA-Klasse entfernt
Statements und Maßnahmen zu bekannten Produkten. *) Im Zweifelsfall, wenn eines der Tools eine nicht von der Log4Shell benannten Lücke auflistet, sollte die .JAR Datei verschoben und, wenn keine Nebenwirkungen auftreten, entfernt werden.
Eine weitere Sammlung von Softwareprodukten und Hersteller-Erklärungen ist auf Gist zu finden. Allerdings unterscheidet die Liste nicht, ob das Produkt ein verwundbares LOG4J enthält oder nicht. Wenn Sie die von Ihnen verwendeten Produkte in der Liste durchklicken, erfahren Sie, ob Ihre Produkte betroffen sind oder gar kein LOG4J enthalten.
Gestern im ntv Ratgeber Technik: Glasfaser war vorgestern. Die neue Variante „Gasfaser“ ist deutlich günstiger und senkt den CO2-Ausstoß um nahezu 70%. Das funktioniert nur, weil das verwendete Gas „Xeon“ nicht verbrannt wird, sondern in den Intel-Fabriken zu Fasern verpresst und dann die Daten mit 2-facher Luftgeschwindigkeit überträgt (600 MilliBit pro Sekunde). Im „Ludicrous“ mode oder mit XEON Gold Gas sogar doppelt so schnell. Da wird Internet zur wahren Freude und man tut was Gutes für die Umwelt:
Original Screenshot aus dem TV-Stream. Nachrichtensprecherin aus Datenschutzgründen verpixelt
Vermutlich hat der Mediendesigner, der das Stock Foto im Hintergrund gebastelt hat, nur ein „l“ vergessen. Peinlich ist das aber trotzdem und gehört daher in die Sammlung der Kuriositäten. Schade, dass kein erster April ist.
Print Nightmare außerplanmäßiges Update
Nachdem mit dem November-Patch zu den bestehenden #Print-Nightmare Fehlern noch Kerberos Authentifizierungsprobleme an Domänen-Controllern auftraten, hat #Microsoft nun einen außerplanmäßigen Patch bereitgestellt. Dieser wird allerdings nicht automatisch an alle Endgeräte und Server verteilt, sondern muss von den Admins von Hand installiert werden. Damit sollen auch bei installiertem November-Patch diese beiden Probleme gelöst sein.
Bemerkenswert ist, dass es auch ein Update für den seit Januar 2020 nicht mehr unterstützten Server 2008 R2 gibt. Davon ungeachtet sollten Sie jedoch diese alten Server möglichst schnell migrieren – am Besten nach #Azure, wo derzeit Windows Server 2019 verbreitet ist. Aufgrund der Lizensierung per Miete, können zukünftig aber (Inplace-Upgrade) ohne Lizenzen neu kaufen zu müssen, Server auf Windows Server 2022 oder neuer gebracht werden – sollte dies eine Software benötigen.
Office 365 – Bedienoberfläche anders
Mit #Office aus #Microsoft365 Plänen ist man stets auf dem aktuellen Stand der Software – auf Wunsch sogar monatlich. Im sogenannten „Current Channel“ hat Microsoft im November 2021 die Benutzeroberfläche „aufgehübscht“ und dabei verändert.
Neues Office Layout mit runden Ecken und anderer Schnellstartleiste
Im Bild sieht man schon die von mir gemachten Einstellungen. Wer bisher die Schnellstartleiste benutzt hat, wird diese als eigene Zeile mit Textbeschriftungen UNTER dem Menüband wiederfinden. Zudem ist das Menüband auf zwei Zeilen reduziert. Für den schnellen Zugriff auf Menüpunkte ist es einfacher, Menüband eiogeblendet und die Schnellstartsymbole wie bisher oben links zu haben (ohne Textbeschriftung in eigener Zeile). Über das Kontextmenü der neuen Schnellstartleiste kann man das einstellen. Leider bleibt der Bereich „Automatisches Speichern ( O)“ immer eingeschaltet und kostet wertvollen Platz in der Leiste. Bisher habe ich noch keine Möglichkeit gefunden, diesen Bereich auszublenden.
so sieht die Schnellstartleiste neu aus. Ändern kann man das über das gelb markierte Menü
Während Access und Publisher und auch OneNote das neue Layout erben, sind Visio und Project noch auf dem „alten“ Stand der optischen Darstellung. Hier sind auch die Schnellstartleiste oben und die Ecken nicht rund.
Update vom 04.12.2021: Derzeit rollt Microsoft das neue Design testweise auch auf die neusten Kaufversionen (Office 2021) aus. Es bleibt aber abzuwarten, ob das offiziell für alle Versionen kommt oder den Abo-Modellen vorbehalten bleibt. Bekanntlich gibt es ja keine Funktions-Updates für die Kauf-Versionen und man kann auch mit denen nicht am Insider-Programm teilnehmen.
Wir verwenden nur 1st-Party-Cookies, die von dieser Webseite ausgestellt werden und technisch notwendig sind. Wenn Sie Komfort-Cookies zulassen, dürfen wir auch Cookies setzen, die Ihren Komfort erhöhen und Präferenzen speichern. Welche Art von Cookies das sind, entnehmen Sie bitte:: DatenschutzImpressum
(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren.
)
(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)
