IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert
Aktuelle IT-Themen vorgestellt und diskutiert, das ist der IT Manager Podcast! Wer in der IT arbeitet, auf den prasseln täglich neue Informationen ein, die fast nicht zu verarbeiten sind. Dies sorgt für Verwirrung! Wir helfen IT-Verantwortlichen, vom Azubi bis zum Management, die IT besser zu verstehen.
info_outline
Die Magie hinter ChatGPT: Wie KI unsere Kommunikation revolutioniert
09/01/2023
Die Magie hinter ChatGPT: Wie KI unsere Kommunikation revolutioniert
Herzlich willkommen zu einer brandneuen Episode, in der wir uns in die revolutionäre Welt der KI mit ChatGPT vertiefen. Von seinem Ursprung bis hin zu praktischen Anwendungen – wir decken alles ab. Zunächst führen wir dich durch die technischen Details, die ChatGPT so einzigartig machen. Danach sprechen wir über die ethischen Herausforderungen, die mit solch einer disruptiven Technologie einhergehen. Abschließend geben wir dir einen Einblick, wie ChatGPT im ITleague und ITgrow-Netzwerk, sowie in der KI LEAGUE zum Einsatz kommen könnte. Ob du nun ein KI-Neuling oder ein erfahrener Experte bist, diese Episode hat für jeden etwas zu bieten!
/episode/index/show/itmanager/id/27918297
info_outline
#2021-004 Interview mit Markus von Pescatore zu Förderungen von IT-Projekten
06/15/2021
#2021-004 Interview mit Markus von Pescatore zu Förderungen von IT-Projekten
Ingo Lücker: Herzlich willkommen, lieber Markus hier beim IT-Manager-Podcast. Schön, dass du zum Interview da bist und dass du Zeit hattest, dir das einrichten konntest. Stell doch mal so ein bisschen deine Person vor. Wo kommst du her? Was hast du ursprünglich mal gemacht? Was hat dich dann zum Thema Förderung eigentlich gebracht? #00:00:36-0# Markus von Pescatore: Ja, vielen Dank erst einmal für die Einladung für diesen Podcast. Ja, wo komme ich ursprünglich her? Du meinst beruflich natürlich. Also ich habe ursprünglich Betriebswirtschaftslehre studiert, bin also Diplom-Kaufmann in Richtung Controlling und Marketing, habe dann anschließend mit 19 mich selbstständig gemacht. Da hatte ich also, wie man es erkennen kann, noch nicht angefangen zu studieren. Dann habe ich mit Ende zwanzig alle meine Anteile, die ich von meinem Unternehmen hatte, verkauft, habe dann so ungefähr ein, anderthalb Jahre lang Pause gemacht, bin dann in einem Coaching-Unternehmen. Bei meinem Vater habe ich gestartet, das haben wir zusammen aufgebaut und in diesem Zuge kam dann halt die Thematik, dass ein Kunde auf mich zukam und meinte, dank des Coachings konnte ich jetzt mein Unternehmen weiter ausbauen. Ich kriege auf eine Investition von drei Millionen Euro dreißig Prozent als Zuschuss. Und dann hatte ich ihn gefragt, oh, interessant, wie lange wirst du denn brauchen, um das zurückzubezahlen? Und dann meint er, nee, nee, denn das ist ein nicht rückzahlbarer Zuschuss. Also das heißt, ich muss ihn nicht zurückbezahlen. Und dann dachte ich in dem Moment, oh, 900.000 Euro kriegt er vom Staat geschenkt, in Anführungsstriche, da musst du dich drum kümmern, Markus. Und so habe ich dann angefangen, Lehrgänge zu belegen. Habe gesehen, es gibt kein Studium dafür. Das gibt es erst neuerdings. Damals waren es nur Lehrgänge, habe eins nach dem anderen belegt und habe dann anschließend in 2017 ein Fördermittel Beratungsunternehmen in Erfurt gekauft. Das war für die Georg Gläve GmbH. Die besteht seit 1991. Von dem bin ich der Nachfolger. Und dann habe ich halt in Erfurt die Mitarbeiter gehabt. Die wollten aber in Rente gehen. Das waren nur noch zwei, die da waren und somit habe ich in Berlin neu gestartet. So ist das Ganze mal entstanden. #00:02:24-0# Ingo Lücker: Cool. Du sagst, da gibt es jetzt ein Studium zu dem Thema Förderung tatsächlich, oder? #00:02:30-0# Markus von Pescatore: Man kann jetzt Fördermittel, Manager oder sowas studieren. Ich glaube, es gibt einen Lehrgang mittlerweile. Es ist aber halt grundsätzlich eine Mischung aus, wie soll man sagen, Steuerberatung, BWL. Das heißt, es geht halt häufig um gewisse Fragen, die man sich stellt, wie in der Steuerberatung. Also wenn ich zum Beispiel ein Förderprojekt ansetzen möchte, muss ich gegebenenfalls etwas aktivieren in der Bilanz, damit es überhaupt gefördert werden kann. Und in dem Moment beschäftigen wir uns halt mit, ja, Bilanzen et cetera, was ist aktivierungsfähig und was nicht. Und dann sind wir quasi schon ähnlich wie eine Steuerberatung unterwegs. #00:03:08-0# Ingo Lücker: Naja, okay. Naja, sehr gut. Ja, das Förderungsthema ist natürlich ein total spannendes. Aber neben diesem Thema, wenn du nicht beruflich unterwegs bist, was gibt es denn da für Hobbys, auch wenn wir gerade in einer besonderen Situation sind? Welchen Hobbys frönst du sonst? #00:03:27-0# Markus von Pescatore: Ja, ich habe zwei Kinder, also habe ich immer viel zu tun. Die sind sechs und drei. Aber ansonsten, ich habe jahrelang American Football gespielt. Ich habe jahrelang Fußball und Basketball gespielt und ich interessiere mich in letzter Zeit verstärkt für Schach. #00:03:43-0# Ingo Lücker: Ja, sehr cool. Ja, das geht natürlich auch unter solchen Bedingungen. (lacht) #00:03:47-0# Markus von Pescatore: Das geht da runter. Es geht halt, unter solchen Bedingungen ist das Ganze entstanden, nach dem Motto „Welchen Sport kannst du noch machen?“ Und dann bin ich, ganz ehrlich, habe ich die Serie das „Damengambit“ gesehen. Und in dem Moment ging es dann los, als ich gesagt habe, okay, gut, wieso fängst du nicht selber mal wieder an zu spielen? Und in dem Sinne war es die einzige Möglichkeit, mit anderen wieder Kontakt aufzunehmen und zu sagen, lass mal eine Partie spielen. Und so ist das Ganze dann entstanden und seitdem habe ich mich mehr damit beschäftigt als jemals zuvor. #00:04:14-0# Ingo Lücker: Okay. Du hattest jetzt ja noch nicht die Möglichkeit zum Studium zu diesem Thema. Wie hast du dich oder wie hältst du dich dann auch auf dem Laufenden? Und woher bekommst du denn immer die aktuellsten Informationen? Ist das so ein ständiger Lernprozess, der eigentlich nie aufhört oder wie muss ich mir das vorstellen? #00:04:33-0# Markus von Pescatore: Genau so ist es. Also das heißt, man ist in ganz, ganz vielen Newslettern angemeldet. Man hat auch häufig Konferenzen, die man besuchen kann von den ganzen Investitionsbanken. Also das heißt, da geht es schon mal los, gibt einen Unterschied zwischen Kreditbanken, Investitionsbanken, Investmentbanken et cetera. Und das heißt, bei den Investitionsbanken, das gibt es bei jedem Bundesland. Es hat unterschiedliche Programme. Und da gehen wir dann regelmäßig zu Veranstaltungen. Dann müssen wir mit den Leuten, die da sind, sprechen und Lösungen finden und Themen besprechen. Und so kriegt man halt das den Input, was haben die gerade vor und was wird gemacht. Auf der anderen Seite lese ich mir zum Beispiel jedes Wahlprogramm durch. Nicht nur, um wählen zu gehen, sondern um auch zu sehen, was wird auf uns zukommen. Also wir werden ganz viel zum Thema Nachhaltigkeit und Energie bekommen, egal wer gewählt wird. Und so wissen wir halt, okay, wir sollten uns mit diesen Themen nochmal mehr auseinandersetzen. So holt man sich sein Knowhow. Oder so wie ich es auch gemacht habe. Man geht zu anderen Beratern und in dem Falle habe ich mir das Knowhow mit eingekauft. Naja. Aber man muss ja trotzdem lernen irgendwo. #00:05:48-0# Ingo Lücker: Jetzt sind wir ja hier beim IT-Manager-Podcast und Förderungen sind jetzt nicht direkt ein IT-Thema. Aber welche Schnittmengen gibt es hier denn eigentlich, wo, ja ich sage mal, Unternehmen davon profitieren können, gerade auch in ihrer IT zu investieren? #00:06:05-0# Markus von Pescatore: Ja, es gibt unterschiedliche Schnittmengen. Die eine Schnittmenge ist, dass ein Unternehmen sich IT-Dienstleistungen, zum Beispiel die Implementierung einer Cloud-Struktur, die IT-Sicherheit, die Schaffung von digitalen Geschäftsprozessen zum Beispiel über Formulare, über Genehmigungsprozesse, über, ich sage jetzt mal, das Handwerksunternehmen, das digitalisiert wird, vorher ist man rausgegangen und hat letztendlich auf einem Blatt Papier einen Auftrag gehabt, hat den abgearbeitet, hat ein Foto gemacht. Das war vielleicht auf einer SD-Karte jetzt, früher nicht, und so weiter und so fort. Und heute kann man quasi als Handwerker mit einem Laptop rausgehen, Fotos machen, diese direkt ablegen beim Unternehmen, man kann Prozesse direkt vom iPad oder von einem Surface, was auch immer, direkt starten. Und man verliert die Unterlagen nicht. Man kann digitale Projekt-Akten bei der Baustelle zum Beispiel haben, dass die Subunternehmer, die Bauherren, wer auch immer, drauf zugreifen kann. Man möchte also die Kommunikation zum Beispiel vereinfachen. Es ist schwierig, dass die Hardware gefördert wird. Es gibt die theoretische Möglichkeit. Ja, die gibt es. Aber das ist halt nicht so einfach. Es ist zum Beispiel die eine Schnittmenge, also die Dienstleistungen bei den Systemhäusern. Die zweite Möglichkeit, die es gibt, ist zum Beispiel, dass sogar Systemhäusern oder Software-Unternehmen die Herstellung von Software sich bezuschussen lassen können. Also Beispiel, ich habe hier ein Unternehmen in Berlin gerade. Das erweitert das Team um ungefähr zwanzig Mitarbeiter. Die wollen also ihre eigene Software ausbauen. Das heißt, die programmieren und machen zum Teil auch, ja, künstliche Intelligenz und programmieren Chatboxen und Ähnliches. Die haben so eine Community-Plattform, die sie betreiben und für das Einstellen der Mitarbeiter können sie einen Zuschuss bekommen und da wird es wieder kompliziert, ja, weil die dürfen halt zum Beispiel das zehnfache von den Sachausgaben, die sie haben, als Personalkosten ansetzen. Ist aber in Brandenburg schon wieder anders, da sind es nur das Fünffache und so muss man sich das angucken. Und das heißt, die Personalkosten werden zum Beispiel für einen Mitarbeiter zwischen 30 und 72.000 Euro, also genau genommen 24 und 72.000 in Berlin. In Brandenburg sind es wieder maximal 50.000. Jetzt siehst du schon, wie kompliziert sowas wird, dass dafür zwei Jahre pro Mitarbeiter angesetzt werden. Davon kriegt man dann so vielleicht dreißig Prozent zurück. Lange Rede, kurzer Sinn. Der investiert in ungefähr zwanzig Mitarbeiter und könnte oder kann Pi-mal dauernd eine Million als Zuschuss bekommen dafür, dass es Software programmiert. Warum ist das so in dem Falle? Weil bei Software-Unternehmen in der Regel die Sache Investition sehr gering sind. Das heißt ein Tisch, zwei PCs, drei Bildschirme, das ist jetzt nicht die Rieseninvestition gegenüber den Gehältern. Und deswegen kann man sagen, digitale Geschäftsmodelle, in welcher Form auch immer, sind in Zukunft mit Sicherheit interessant und gegebenenfalls förderfähig. Und die Dienstleistungen von IT-Systemhäusern, sei es wie gesagt die Cloud-Struktur oder, oder, ist genauso grundsätzlich momentan förderfähig. #00:09:24-0# Ingo Lücker: Ja, wenn wir hier von IT-Systemhäusern sprechen wir natürlich auch von IT-Dienstleistern, weil nicht mehr jedes IT-Unternehmen kategorisiert sich da sicherlich als IT-Systemhaus. Aber genau die passen da auf jeden Fall zu. Da gibt es sehr viele Schnittmengen dazu, gerade die von dir genannten IT-Dienstleistungen, IT-Sicherheit, digitale Geschäftsprozesse fördern zu lassen in den verschiedenen Bereichen. Welche sind denn so die wichtigsten Aspekte bezüglich Förderung, was Unternehmen beachten sollten? #00:09:53-0# Markus von Pescatore: Die wichtigsten Aspekte sind / Es gibt immer drei Aspekte, die beachtet werden müssen. Nummer eins ist: Ist das Unternehmen, das einen Zuschuss haben möchte, förderfähig? Nummer zwei ist: Ist der Berater, die Agentur, wer auch immer, die die Arbeit jetzt macht, ist das förderfähig? Also der Berater förderfähig? Und das dritte ist: Ist der Gegenstand des Fördervorhabens förderfähig? Das ist die Frage, ja? Ich habe vorhin noch vergessen zu erwähnen, dass zum Beispiel Automation und Webdesign zum Beispiel auch mit gefördert werden kann mittlerweile, eine Erstellung von Webshops et cetera bedeutet also, ein Unternehmen sagt: Ich möchte jetzt eine IT- Struktur oder einen Webshop bauen, der direkt ans Warenwirtschaftssystem angebunden ist und dieses Unternehmen geht jetzt zu einem ITler. Dann könnte es sein, dass entweder das Unternehmen nicht förderfähig ist. Warum? Es ist im falschen Bundesland, es ist in der falschen Branche, es ist vielleicht zu groß, der Jahresumsatz ist zu hoch, die Jahresbilanzsumme ist zu hoch. Es könnte aber auch sein, dass der Berater nicht autorisiert, zertifiziert ist oder dass der Gegenstand, das ist in dem Fall jetzt aber förderfähig, nicht förderfähig ist. Das ist machbar. Also zum Beispiel er will einen Kühlschrank kaufen. Dann wäre das jetzt in dem Moment nicht förderfähig. Bedeutet also, es gibt in der Fördermittelwelt gewisse Sachen, die man beachten muss. Darunter zählt zum Beispiel, dass man kleine und mittelständische Unternehmen fördern möchte und nicht Großkonzerne. Und deswegen wird ein kleines und mittelständisches Unternehmen in der Regel dadurch kategorisiert, dass es eine Anzahl von Mitarbeitern gibt, eine Anzahl oder eine Summe der Bilanzsumme, die erreicht werden darf oder des Jahresumsatzes, um eingestuft zu werden, ja? Also zum Beispiel null bis zehn Mitarbeiter ist ein Kleinstunternehmen. Zehn bis fünfzig Mitarbeiter ist ein Kleinunternehmen. Über 249 Mitarbeiter ist es ein Großunternehmen. Das heißt also, diese Schwellen hat man. Sobald man diese Anzahl überschritten hat, kann es sein, dass man keinen Zuschuss bekommt. Ansonsten würde alles passen. So kleinteilig muss man sich das manchmal angucken. #00:12:10-0# Ingo Lücker: Hört sich sehr komplex an und ich meine, es ist eine schöne Überleitung zu meiner nächsten Fragestellung auch. Warum sollte man denn eigentlich mit einem Beratungsunternehmen oder mit Experten wie euch zusammenarbeiten? Ich meine, die Komplexität dieses Themas zeigt es eigentlich. #00:12:27-0# Markus von Pescatore: Unter anderem, ja, man muss sich also angucken, habe ich überhaupt die Chance, ein Jahr Fördermittel zu bekommen? Also ich habe letztens einen Vortrag gehalten und dann hat sich jemand bei mir gemeldet und hat gesagt, bevor wir an die Honig-Töpfe rankommen, lass uns doch erst einmal gucken, meinte ich zu ihm, ob der überhaupt förderfähig ist. Und nach, ich sage jetzt mal, zwanzig Minuten sind wir zu dem Entschluss gekommen, ist er nicht. Und somit war halt die gesamte Arbeit, das gesamte Einholen von Angeboten, die gesamte Hoffnung, einen Zuschuss zu bekommen, der gesamte Aufwand, mit Beratern zu sprechen et cetera war dann in dem Moment eigentlich ad acta gelegt. Das heißt, er konnte dann ganz normal seinen Weg wählen, denn bei Förderungen ist es ja so, man muss in der Regel einen Plan einhalten. Man darf zum Beispiel nicht anfangen, bevor es eine Bewilligung gab. So das heißt also, man stellt zum Beispiel einen Antrag, dann wird dieser Antrag bewilligt. Wenn ich vorher gestartet habe, egal in welcher Form auch immer, ist das gesamte Projekt zum Beispiel nicht mehr förderfähig. Und so gibt es kleine Sachen, auf die man achten muss, die dazu führen können, dass ein Unternehmen den Zuschuss nicht bekommt. Und man muss auch eins sagen, es gibt halt, ich nenne es jetzt mal kleinere Projekte 20.000, 30.000 Euro. Es gibt aber bei den Großprojekten, wenn wir hier eine neue Halle oder Maschine zum Beispiel eine Förderung dafür einholen, dann kann es durchaus sein, dass während man eine neue Halle baut, feststellt, da ist ja noch ein Blindgänger vom Zweiten Weltkrieg und somit das gesamte Projektvorhaben, ja also die Kalkulation ist dann passé. Das heißt also, man muss sich in dem Moment damit auseinandersetzen, was machen wir denn jetzt? Ja, wir werden keine Zeiten einhalten können. Wir müssen jetzt eventuell evakuieren. Wir müssen jemanden kommen lassen. Wir haben mehrere Aufwendungen als gedacht und dann ist es gut, jemanden zu haben, der sich auskennt. Vereinfacht ausgedrückt, wenn ich eine Reise buche ins Ausland, und ich habe null Probleme, dann fällt das ja gar nicht auf. Aber in dem Moment, wo irgendein Flugzeug nicht fliegt, aus welchem Grund auch immer, geht der Stress los. Und das ist bei Fördermitteln genauso. #00:14:39-0# Ingo Lücker: Das heißt, ihr unterstützt ganz konkret auch bei Antragstellung. Das ist also mit einer der Hauptaspekte auch nicht nur dort zu beraten, sondern vor allen Dingen auch bei solchen Anträgen die Unternehmen zu unterstützen. #00:14:53-0# Markus von Pescatore: Wir unterstützen. Wir machen also die gesamte Antragsstellung, unterstützen wir bei der Bewilligung, dann geht der ganze Prozess eigentlich los. Also die ganze Arbeit, da unterstützen wir auch. Bei den Großprojekten ist Vergaberecht ein ganz, ganz großes Thema. Theoretisch ist es so, wenn du zum Beispiel eine Halle bauen möchtest und da kommt jetzt der Hallenbauer und möchte die Halle verkaufen und der Kunde kriegt den Zuschuss, dann muss man leider sagen, er muss jetzt ein Vergaberecht für diese Halle machen. Also muss also ein Auswahlverfahren nach einem Vergabeverfahren. Das ist gar nicht so einfach. Das heißt also, das Ganze betreuen wir und begleiten wir und das ist in der IT genauso. Und da drunter muss man sich dann vorstellen, dass es darum geht, dass der ITler die richtigen Rechnungen stellt, dass die Kontoauszüge so richtig sind, dass der Verwendungsnachweis richtig gemacht ist, vorweg überhaupt die Antragsstellung richtig ist et cetera. Ja, das begleiten wir von vorne bis zum Schluss. #00:15:47-0# Ingo Lücker: Super. Jetzt hattest du vorhin einen der Aspekte genannt, dass auch der Berater förderfähig sein muss. Ich weiß jetzt, es gibt bestimmte Förderungen wie „go-digital“. Da muss man tatsächlich für auch akkreditierte Partner sein. Auch bei solchen Akkreditierungen unterstützt ihr? #00:16:06-0# Markus von Pescatore: Ja, das machen wir. Der Hintergrund der Geschichte ist, und das hat mir bei der letzten Frage gehabt, wir sprechen hier immer von Steuergeldern. Das bedeutet also, der Staat sagt, und jetzt möchte ich niemandem zu nahetreten, tagsüber irgendwas anderes, abends ITler. Geht nicht, ja? Er möchte halt, dass wenn das Unternehmen sagt, ich möchte einen Zuschuss von zum Beispiel 15.000 Euro bekommen, nur Zuschuss, was bei fünfzig Prozent an einem Projekt Summe von 30.000 Euro ergibt. Wenn wir diese 15.000 Euro jetzt mehrmals rausgeben, dann möchten wir, dass das IT-Unternehmen ein vernünftiges IT-Unternehmen ist. Und das heißt, man muss dann zum Beispiel zu diesen Förderstellen gehen, einen Papierkram ausfüllen, wer bin ich? Was mache ich? Hier sind Referenzen. Damit ist nicht gemeint. Hier ist ein Logo, was ich mal betreut habe. Hier sind Bilanzen. Ihr könnt euch angucken. Mir geht es ganz gut. Ich kann das Unternehmen oder ich kann den Unternehmern helfen. Und deswegen möchte ich bei euch quasi akkreditiert werden. Und es gibt Förderstellen, da muss man akkreditiert sein und es gibt welche, da muss man es nicht. Aber daran erkennt man auch schon das Problem des Alltags, ein Unternehmen kommt auf mich zu und sagt, ich möchte ein Programm nutzen. Ich habe hier einen ITler. Markus, bitte macht das fertig. Und dann muss ich sagen, leider ist dein ITler nicht akkreditiert. Das Programm kannst du nicht nutzen. Also theoretisch schon. Da sind wir wieder bei dem Thema, das Beratungsunternehmen ist nicht akkreditiert. Das Unternehmen, was die Förderung haben möchte, das wäre förderfähig. Das Vorhaben ist förderfähig und somit funktioniert das wieder nicht. #00:17:44-0# Ingo Lücker: Okay, ja, gut zu wissen dort. Und einer der Fragen, die häufig auch in den letzten Monaten auf mich zugekommen ist, die ich so gar nicht beantworten konnte. Wie häufig kann man als Unternehmen eigentlich Förderungen in Anspruch nehmen? Also häufig gibt es ja so kleine Klauseln, die man dann mit einhaken muss. Und wenn ich jetzt so eine Förderung, meinetwegen wie „go-digital“ oder eine andere Förderung in Anspruch genommen, kann ich die mehrmals in Anspruch nehmen? Ist das nur einmalig? Können diese Dinge auch miteinander kombiniert werden? Wie muss ich mir das als Unternehmen vorstellen? #00:18:17-0# Markus von Pescatore: Also grundsätzlich können die gesamten Zuschüsse kombiniert werden. Das muss man sich so vorstellen, es gibt Fördertöpfe, die unterliegen der sogenannten De-minimis-Erklärung und manche nicht. De-minimis ist also die kleinen Beihilfen. Bedeutet, dass wir, wenn wir nicht gerade im Straßengüterverkehr tätig sind, 200.000 Euro als Zuschuss bekommen dürfen. Bedeutet, dass die Förderstellen sagen, wir wollen ja Unternehmen unterstützen und fördern. Ich komme gleich dazu, wie das Ganze mal entstanden ist. Aber wir wollen halt nicht ein Unternehmen extrem stark fördern gegenüber dem anderen. Das heißt, wir wollen eine Grenze von zum Beispiel 200.000 Euro einführen und das ist der Zuschuss, den er bekommen darf. So bedeutet, dass sobald diese 200.000 Euro erreicht sind in einem rollierenden System,...
/episode/index/show/itmanager/id/19481822
info_outline
#2021-003 Staatliche Förderungen - kostenloses Geld vom Staat
06/10/2021
#2021-003 Staatliche Förderungen - kostenloses Geld vom Staat
Willkommen beim IT-Manager Podcast. Aktuell IT-Themen vorgestellt und erklärt. Abonniere den IT-Manager Podcast über Apple, Spotify oder auf unserer Website. Folge uns bei YouTube, Facebook, Instagram oder Twitter. #00:00:18-1# Herzlich Willkommen beim IT-Manager Podcast. Mein Name ist Ingo Lücker, ich bin Gründer und Geschäftsführer der ITleague GmbH. Und ich freue mich, dass Sie wieder eingeschaltet haben. Ja, heute und auch natürlich in der nächsten Folge geht es um das Thema der staatlichen Förderungen. Staatliche Förderungen, das schwirrt immer so ein bisschen, ja, in der Gegend herum im Prinzip von Begrifflichkeiten her oder auch einfach nur Förderungen. Und diese staatlichen Förderungen gibt es natürlich in den verschiedensten Bereichen. Viele kennen das sicherlich schon aus den Förderungen für die, ja, Solarkraftanlagen und Solarpanels auf den Dächern, aber auch viele andere Dinge. Und staatliche Förderungen in der IT gibt es schon sehr lange, und im Moment nicht nur aufgrund von Corona natürlich auch die verschiedensten Fördertöpfe, die dort zur Verfügung stehen. Doch nicht jeder Unternehmer und nicht jedes Unternehmen setzt sich wirklich mit diesen Förderungen, ja, auseinander. Denn häufig geht es bei diesen Förderungen auch darum, dass man natürlich - ich sage mal - sich selber als Unternehmen so ein bisschen nackig machen muss, was die Unternehmenskennzahlen angeht, und natürlich auch, dass damit ein gewisser bürokratischer Aufwand verbunden ist, Projekte, die gefördert werden sollen, dass diese aufbereitet werden, dass diese entsprechend angefragt werden et cetera. Und deswegen ist es immer wieder so ein Punkt, mit dem sich Unternehmen und Unternehmer, ja, wenig auseinandersetzen. Wir möchten dazu ganz gerne ein bisschen mehr Aufklärungsarbeit leisten. Und, ja, die Besonderheiten von Förderungen ist vor allen Dingen, im ersten Stepp muss immer mal geklärt werden: Ist das Unternehmen denn überhaupt förderfähig? Also wie groß ist das Unternehmen? Wie viel Mitarbeiter beschäftigt es? Aber auch, welcher Umsatz wird erzielt? In welcher Branche ist ja auch das Unternehmen tätig? Und (lacht) vor allen Dingen natürlich auch, nicht zu vergessen: In welchem Bundesland ist das Unternehmen ansässig? Und hat das Unternehmen in den letzten Jahren schon mal Förderungen in Anspruch genommen? Und neben dem Aspekt, ob das Unternehmen förderfähig ist, ist dann auch immer noch der Part wichtig, ob das beratende Unternehmen förderfähig ist. Also für gewisse Fördertöpfe muss nämlich der Dienstleister, der dann ja im Prinzip das beim Unternehmen einrichtet, das Projekt oder die Dinge anliefert, selbst dafür akkreditiert sein. Und, ja, ohne so eine erfolgreiche Akkreditierung ist dann halt auch eine Förderung für bestimmte Fördertöpfe nicht möglich, ne? Ja, und neben diesen beiden Aspekten ist dann auch noch der Punkt des Fördervorhabens, zu klären, ob das förderfähig ist. Also sollen Dinge angeschafft werden? Geht es hier nur um Beratungsleistungen? Da muss halt sehr, sehr genau drauf geachtet werden. Und dass ist natürlich auch verschiedene Fördertöpfe gibt, also einmal die Bundesebene, die Landesebene und auch einige Spezialförderungen, manchmal sogar rein auf gezielte Städte bezogen. Ich freue mich sehr darüber, dass wir sehr viel detaillierter in dieses Thema einsteigen, wenn es für Sie denn spannend ist, dort mehr Details drüber zu erfahren. Wir haben dazu in unserer nächsten Folge den Markus von Pescatore von den Nuviu aus Berlin im Interview dazu, der uns viel detaillierter über die, ja, Dinge zu Förderungen - was ist wichtig, was ist zu beachten, und an wen kann man sich dann auch wenden, wenn man hierzu Hilfestellung benötigt - / Ich freue mich schon ganz riesig auf das Interview. Und, ja, wenn Sie Fragen dazu haben, dann kommen Sie gerne auf uns zu oder auf den Markus von Pescatore beziehungsweise hören Sie gerne auch in das Interview von uns beiden rein. Ich freue mich auf Sie. Bis dann. #00:04:05-8#
/episode/index/show/itmanager/id/19427120
info_outline
#2021-002 Microsoft Teams im Unternehmenseinsatz - Interview
05/07/2021
#2021-002 Microsoft Teams im Unternehmenseinsatz - Interview
Ingo Lücker: Herzlich Willkommen beim IT-Manager-Podcast. Mein Name ist Ingo Lücker und ich freue mich riesig darauf, dass ich heute Fabian Alfes von der connecT SYSTEMHAUS AG zu Gast habe im Interview zum Thema Microsoft Teams zum Einsatz in Unternehmen. Und ja, ich freue mich sehr auf das Interview. Somit starten wir direkt ein. #00:00:38-4# Ingo Lücker: Herzlich willkommen lieber Fabian. Ich freue mich sehr, dass du Zeit gefunden hast und hier uns heute für ein Interview auch zum IT-Manager-Podcast zur Verfügung stellst. Stell dich doch einmal den Hörern vor. Was hast du früher so gemacht? Wo kommst du her? Wie bist du jetzt in deinen Fachbereich eigentlich auch und zum Thema Microsoft Teams, worum es ja heute gekommen? Erzähl doch ein bisschen dazu. #00:01:02-8# Fabian Alfes: Ja, hallo Ingo. Erstmal danke schön, dass du mich eingeladen hast, dass ich dabei sein darf. Mein Name ist Fabian Alfes. Ich bin 29 Jahre alt und Senior IT Consulting bei der connecT SYSTEMHAUS AG. Ich bin bei uns verantwortlich für den Bereich Cloud und Kollaboration. Und dazu gehört dann eben auch ausdrücklich alles rund um Office 365 und damit auch Microsoft Teams dazu. Ich mache das Ganze seit fünf Jahren bei uns, habe vorher in Dortmund Informatik studiert und, ja, bin letztlich schon immer sehr technisch interessiert gewesen, habe mich in meiner Freizeit viel damit beschäftigt. So war eigentlich, sage ich mal, mal der Weg für mich da sehr vorbestimmt, dass es so in die Richtung gehen würde. Und ja, bin auch eigentlich von Anfang an, also seit ich im Beruf bin, auch vorher schon immer sehr interessiert an Microsoft-Lösungen gewesen und habe da eben das Glück, dass ich bei der Connect mich in dem Bereich immer weiterbilden durfte, habe viele Schulungen besuchen können. Und wenn man im Microsoft-Bereich unterwegs ist, dann kommt man natürlich auch am Thema Office 365 nicht vorbei. So ist das quasi ganz automatisch passiert und ja, ist aber mittlerweile letztlich auch mein Spezialgebiet geworden. #00:02:15-8# Ingo Lücker: Ja, cool. Hört sich klasse an. Wenn du neben den ganzen Themen, die du gerade genannt hast, den ganzen beruflichen Themen, wie sieht es denn da im Privaten aus? Ja, ist da überhaupt noch Zeit für Privates und für Hobbys? #00:02:29-3# Fabian Alfes: Doch definitiv. Also mir ist eigentlich Sport immer wichtig gewesen. Ich habe da ganz viele verschiedene Sachen ausprobiert, bin eine Zeit lang Bouldern gewesen. Das hatte ich neu für mich entdeckt. Das war dann natürlich zur Corona-Zeit jetzt im letzten Jahr alles ein bisschen schwieriger. Da habe ich eher versucht mich zu Hause fit zu halten. Aber genau, dann mit ein paar Kollegen tatsächlich angefangen zu Corona-Zeit nochmal Age of Empire zu spielen. Das ist ein Echtzeit-Strategiespiel. Das machen wir so einmal die Woche, treffen wir uns da abends und spielen eine Runde oder zwei. Genau, aber gerade zuletzt, ich bin vor Kurzem Vater geworden. Und deswegen geht jetzt gerade letztlich jede freie Minute irgendwo in die Familie. #00:03:09-7# Ingo Lücker: Ja, das ist ja eine ganz neue Welt dann zu Hause, ne? #00:03:13-3# Fabian Alfes: Ja, genau. #00:03:14-6# Ingo Lücker: Ja, cool. Ja, und an die eine oder andere Laufrunde mit dir kann ich mich ja noch gut erinnern an der Siegarena, von daher. #00:03:20-2# Fabian Alfes: Ja, genau. #00:03:21-7# Ingo Lücker: Sobald das Wetter wieder schöner wird, hat man da ja auch weniger Schweinehund, der dahinter hängt. #00:03:26-3# Fabian Alfes: Richtig. #00:03:27-3# Ingo Lücker: Sehr gut. Ja wie hältst du dich denn eigentlich auf dem Laufenden zu den aktuellen Themen, gerade was Microsoft Teams angeht? Woher bekommst du so deine Information als Experte, um da auf dem Laufenden zu bleiben? Weil ich bekomme ja auch mit, Teams entwickelt sich ja irgendwie ständig weiter. Ich meine, Updates gibt es für viele Anwendungen und Lösungen. Aber bei Teams kann man ja gefühlt im Wochentakt mit neuen Funktionen und Verbesserungen rechnen. Da ist natürlich immer spannend, wie hältst du dich da auf dem Laufenden, um da auch wirklich am Ball zu bleiben? #00:03:58-4# Fabian Alfes: Ja, also das mache ich einmal ganz klassisch letztlich über den Newsletter von Microsoft. Da wird man über anstehende Änderungen immer informiert, meist auch ein paar Monate im Voraus, dass man sich so ein bisschen drauf einstellen kann, vielleicht Schulungsmaterialien und so weiter daraufhin abstimmen kann. Natürlich in der heutigen Welt geht ganz viel auch über Social Media, wo man den entsprechenden Kanälen folgt, gerade auch den MVPs auf dem Bereich. Haben wir in Deutschland zum Beispiel den Alexander Eggers. Dem folge ich. Da ist man auch immer mal wieder im engeren Kontakt, kann man eine direkte Frage platzieren. Und ansonsten halt eben über diverse Schulungen, die ja auch letztlich laufend aktualisiert werden, kann man da ganz gut auf dem Laufenden bleiben. #00:04:44-9# Ingo Lücker: Ja, cool. Ja, Microsoft Teams ist ja heute unser Thema. Es ist ja durch Home-Office im Prinzip in den letzten Monaten und auch im letzten Jahr durch die Decke geschossen. Was meinst du, was war der Grund dafür? Warum ist gerade Microsoft Teams da so sehr von den Unternehmen ja genommen worden und wurde so sehr dafür genutzt, um mit den Mitarbeitern untereinander zu kommunizieren? #00:05:11-0# Fabian Alfes: Also Microsoft hat es den Unternehmen einmal sehr einfach gemacht. Microsoft hatte relativ schnell im letzten Jahr ja reagiert und Teams-Lizenzen erstmal sehr großzügig kostenlos zur Verfügung gestellt. Und so Unternehmen natürlich diese Entscheidung erstmal sehr einfach gemacht, das dann auszuprobieren. Ich denke, viele Unternehmen sind sowieso sehr in der Microsoft-Welt unterwegs, was die Server-Landschaft angeht, was irgendwie Outlook, Exchange und so weiter angeht. Deswegen ist, denke ich, da für viele Unternehmen der Schritt erstmal sehr naheliegend gewesen, auch da auf die Microsoft-Lösung zu setzen. Zum Anderem war natürlich im letzten Jahr einfach die Notwendigkeit da für die Unternehmen plötzlich, sage ich mal, irgendwie sehr viel mobiler zu arbeiten als es vorher notwendig war. Und das hat natürlich für Microsoft Teams einen sehr großen Aufwind erstmal bedeutet. #00:06:03-8# Ingo Lücker: Ja klar, verständlich auf jeden Fall. Für die Hörer, die sich unter Microsoft Teams jetzt noch nicht sowas vorstellen können, was ist Microsoft Teams denn eigentlich? Denn häufig wird es ja auch schnell mal mit Zoom und anderen Videokonferenzen in einem Satz oder in einem Bericht genannt. Doch Microsoft Teams ist ja dann doch deutlich mehr. Vielleicht kannst du da mal so einen kleinen Überblick dazu geben, was man sich unter Microsoft Teams vorstellen kann und was damit auch machbar ist. #00:06:36-7# Fabian Alfes: Genau, also der Einstieg für ganz viele in Teams ist ja genau das, was du beschrieben hast. Das ist irgendwie ein Tool. Da kann man mit chatten. Da kann man Videokonferenzen mit machen, innerhalb vom Unternehmen, auch mit Externen. Das ist so der erste Berührungspunkt und damit kratzt man aber genau wie du sagst letztlich an der Oberfläche von dem, was in Teams möglich ist. Also Teams ist letztlich das zentrale Kommunikations-, Kollaborationstool für Unternehmen. Die letztlich ja so die interne E-Mail letztlich überflüssig machen kann. Man kann sehr schön sich strukturieren in verschiedene Bereiche des Unternehmens, Prozesse integrieren. Es gibt von Drittanbietern unheimlich viele Apps, ich glaube, es sind mittlerweile über tausend Drittanbieteranwendungen, die sich in Teams integrieren lassen. Und ja, das Ganze geht halt bis zur Telefonie. Also ich kann letztlich meine Festnetztelefonie auch nach Microsoft Teams telefonieren und bin damit mit meinen Geräten überall flexibel auf meiner klassischen Festnetztelefonnummer erreichbar. #00:07:45-7# Ingo Lücker: Das hört sich sehr umfangreich an, tatsächlich auch was diese Funktion angeht. Und du hast gerade auch die Telefonie schon angesprochen. Das bedeutet, man hat dann tatsächlich auch die Möglichkeit aus Microsoft Teams heraus direkt zu telefonieren. Wie muss ich mir das vorstellen? Muss ich eine neue Telefonnummer haben oder wie muss ich mir das vorstellen, dass ich dann aus Teams heraus telefonieren kann tatsächlich über das normale Festnetz ja eigentlich, ne? #00:08:14-5# Fabian Alfes: Genau, da gibt es prinzipiell zwei Möglichkeiten für. Die eine Möglichkeit ist, dass letztlich Microsoft der Provider wird. Das heißt, ich mache am Ende des Tages eine Portierung meiner Rufnummer von der Telekom, Vodafone, was auch immer, zu Microsoft hin und zahle dann auch meine Minutenpreise an Microsoft. Der erstmal einfachere Weg, technisch nicht ganz so aufwendige, wäre der, dass ich letztlich meinen Telefonanbieter behalte und über einen SBC, über einen Session Border Controller die Rufnummern dann umleite in Microsoft Teams rein. Dann habe ich meinen Provider, an den ich meine Minutenpreise oder meine Flatrate bezahle. Und es klingelt aber dann eben am Ende des Tages mein Teams, sodass ich letztlich keine neue Telefonanlage brauche, aber in vielen Fällen einen zu Microsoft Teams kompatiblen Session Border Controller benötige. #00:09:11-6# Ingo Lücker: Habe ich dann dadurch auch den Vorteil tatsächlich, dass, wenn ich dann in so einem Telefonat über Teams bin, bin ich auch über anderem Wege in Teams gerade nicht mehr erreichbar? Das heißt, ich habe dann da tatsächlich auch den Status, dass ich eben gerade belegt bin, weil ich dann über eine andere Telefonieverbindung tatsächlich gerade besetzt bin? #00:09:29-2# Fabian Alfes: Genau. Der Teams-Status wechselt dann, am Telefon oder im Telefonat oder sowas heißt der Status. Genau, ist dann für die Kollegen auch sichtbar und in dem Moment bin ich dann auch quasi besetzt für weitere Anrufe. #00:09:41-9# Ingo Lücker: Cool. Und ist Teams tatsächlich nur eine Lösung, die in einem Unternehmen nur Verwendung findet, oder habe ich hier auch die Möglichkeit mit anderen Unternehmen unternehmensübergreifend zusammenzuarbeiten? Wie muss man sich das mit Teams vorstellen? #00:09:57-2# Fabian Alfes: Genau, sowohl als auch. Also es geht auch übergreifend. Natürlich gilt das auf jeden Fall erstmal für die Videomeetings, wo ich ja letztlich beliebige Gäste einladen kann. Die Gäste, die ich in Videomeetings einlade, die brauchen nicht mal selbst ein eigenes Teams. Die können also auch ganz anonym zum Beispiel über den Browser teilnehmen. Aber auch, wenn man jetzt, sage ich mal, die namensgebenden Teams und Kanäle innerhalb der Anwendung betrachtet, ist es auch da möglich, dass ich Gäste einlade und dort gemeinsam zusammen arbeite an Dokumenten, Kommunikation stattfindet. Es ist also sehr flexibel auch unternehmensübergreifend einsetzbar. #00:10:39-2# Ingo Lücker: Du hattest vorhin gesagt, Microsoft hat es ja den Unternehmen sehr einfach gemacht, weil Microsoft Teams vor allen Dingen im letzten Jahr kostenlos angeboten wurde und man es kostenlos nutzen kann. Gibt es eine Grundvoraussetzung, sowas wie, ich sage mal, Microsoft Exchange Online? Also es gibt ja immer noch Unternehmen, die haben ja auch ein Exchange noch lokal, also On Premise stehen. Wie sehen da die Voraussetzungen für die Unternehmen aus, dass die die Funktionalität von Microsoft Teams auch ja möglichst umfangreich nutzen können? #00:11:17-2# Fabian Alfes: Ja, also um, ich sage mal, das Ganze sinnvoll zu nutzen, ist es natürlich sinnvoll, dass man grundsätzlich in der Office-365-Welt schon mal drin ist. Darüber läuft eben die Benutzerverwaltung, die Lizenzierung läuft darüber ab. Und ich würde schon empfehlen, dass man auch den E-Mail-Server aus der Microsoft Welt hat, dass man also einen Exchange-Server betreibt. Es gibt ja auch weitere E-Mail-Server. Das geht trotzdem. Aber man verliert sehr viel Funktionalität und das macht das hier und da dann doch komplizierter als es sein müsste. Also ganz klare Empfehlung wäre, dass man einen Exchange-Server betreibt. Wenn man den selber in der eigenen Infrastruktur betreibt, dann würde ich zumindest empfehlen eine Hybridstellung herzurichten zwischen dem Exchange Online und dem eigenen Exchange. Das sorgt dafür, dass man eben auch die umfangreichen Kalenderfunktionen verwenden kann und letztlich am Ende wirklich alle Funktionen nutzen mit Teams. Und die beste Integration in die ganze Microsoft-Welt hat man, wenn man dann eben auch die Postfächer nach Exchange Online verschiebt. Dann gibt es nochmal ein paar Extras, beispielsweise die To-Do-App von Microsoft. Die hängt davon ab, dass auch das Postfach im Exchange Online liegt. Ich würde aber sagen, mit einem Exchange On Premise und einer Hybrid-Stellung kann man Teams schon sinnvoll einsetzen. #00:12:38-3# Ingo Lücker: Cool. Die Teams-Applikation selbst, wie muss ich mir das vorstellen? Ist das eine eigene Software auf dem Desktop? Kann ich die im Webbrowser nutzen? Wie sieht es auch mit mobilen Endgeräten aus? Gibt es da native Apps oder wie ist dort die Infrastruktur von Microsoft Teams aufgebaut? #00:12:58-7# Fabian Alfes: Teams ist erstmal eine klassische Anwendung, die installiert wird auf dem PC, auf dem Laptop beispielsweise, auch für Mac natürlich verfügbar und die sich auch dort im Hintergrund sehr eigenständig aktualisiert. Man ist eigentlich immer automatisch auf dem aktuellen Stand dort, du hattest ja eben auch angesprochen, da gibt es ja regelmäßig Updates, neue Funktionen. Da muss man sich als Anwender aber sehr wenig drum kümmern, dass man die auch bekommt. Und, genau, wenn das mal keine Option ist oder wenn man vielleicht auch als Gast nur beitreten will, dann ist es eben auch im Browser möglich, einfach über teams.microsoft.com. Da dann auswählen: Ich will die WebApp benutzen. Und dann hat man auch nahezu alle Funktionen einfach direkt im Webbrowser mit drin. Das ist auch sehr gut möglich, ist allerdings beschränkt, wenn ich mich jetzt nicht vertue, auf die Chromium-Browser, also entweder auf Chrom oder auf den Microsoft Edge Browser. Damit ist das möglich. Und für die mobilen Geräte, sei es jetzt iOS oder sei es Android, gibt es native Apps, die einen sehr guten Funktionsumfang haben. Nicht immer denselben, es ist manchmal die mobile App an der einen Stelle ein bisschen voraus, manchmal auch die klassische Desktop-App, die dann mehr Funktionen bietet, aber für den mobilen Einsatz auch auf dem Smartphone auf jeden Fall sehr gut geeignet. #00:14:20-6# Ingo Lücker: Ja, ich habe das gesehen. Im Chat ist teilweise in der mobilen Variante ist dann möglich sogar sowas wie Antworten oder sowas dann zu machen, was ich dann lange Zeit oder bisher immer noch nicht habe in der Desktop-Variante tatsächlich, genau. Jetzt setzen einige Unternehmen ja auch sowas ein wie Desktopvirtualisierung, um einfach dort auch die Struktur sicherer zu machen, besser aufzubauen. Ist Teams dort auch fähig für? Also kann Microsoft Teams in solche Umgebungen implementiert werden? #00:14:52-7# Fabian Alfes: Grundsätzlich ja. Dann wird es für den Admin, sage ich mal, ein bisschen aufwendiger. Muss man ein paar Details beachten bei der Installation, dass man die richtige Variante der Teams-App dann erwischt. Und dann gibt es eben Logistiken seitens Microsoft oder auch von, ich sage mal, Visualisierern wie (Sedris?) beispielsweise, die dann eine tiefgreifende Integration bieten, sodass auch Audio- und Videotelefonate innerhalb von so einer virtuellen Lösung dann möglich sind. Gibt es aber Einschränkungen hier und da. Also bei einer Videokonferenz beispielsweise ist es jetzt nicht möglich, dass man die sich dort bis zu sieben Mal/ Sieben Videos ist ja im Moment aktuell, die man sehen kann. Das geht dann zum Beispiel in der virtuellen Lösung nicht. Und es gibt hier und da immer mal eine Funktion, die nicht verfügbar ist. Aber ich sage mal, grundsätzlich, wenn man jetzt Teams ja irgendwie über Video hinaussieht als Kommunikationstool, wo ja viel auch vielleicht Dateien, Informationen ausgetauscht werden, viel auf Textbasis sich ausgetauscht wird, dann kann man das sehr uneingeschränkt auch in so einer virtuellen oder so in einer VDI-Lösung einsetzen. #00:16:06-1# Ingo Lücker: Ja, ist natürlich wichtig einfach auch zu wissen für viele Unternehmen, weil die IT-Sicherheit da ja auch einfach viel wichtiger wird, gerade bei den vielen Fällen, die man in der Vergangenheit auch so gesehen hat. Und wenn die Unternehmen jetzt mit Microsoft Teams direkt starten, und das habe ich ja auch schon bei einigen Projekten gesehen. Die sehen: Ah, ja super. Wir können Microsoft Teams nutzen, legen wir mal los. Ich haben mir hier so eine kleine Notiz gemacht. Was sind denn die wichtigsten Dinge, die bei einer Einführung zu beachten sein sollten? Und wie geht denn ihr auch von der Connect vielleicht bei solchen Projekten heran, um Unternehmen dort ja vielleicht auch den einen oder anderen „löschen und wieder von vorne“ ersparen zu können? #00:16:56-8# Fabian Alfes: Ja, also ich will nicht sagen, dass/ Ich will es nicht unbedingt als Problem bezeichnen, aber es ist prinzipiell erstmal sehr einfach Microsoft Teams einzuführen. Das ist technisch erstmal nicht so aufwendig. Ich muss am Ende des Tages ja nur die Anwendung verteilen und dann können meine Anwender loslegen. Und das führt in vielen Fällen natürlich zu erstmal einem großen Chaos. Erstmal, jeder hat irgendwie Berechtigungen dort Teams und Kanäle anzulegen. Und dem muss man als Admin dann im Nachgang erstmal wieder Herr werden. Gerade im letzten Jahr ist es natürlich so, dass nicht immer die Zeit war auf Grund der Corona-Situation sich da vorher einen großen Plan zu machen und eine Struktur auszuarbeiten und dann über Wochen oder Monate so ein Tool einzuführen, wie es im Idealfall nun mal wäre. Das heißt, ich würde sagen, wer jetzt so angefangen hat, wie ich es am Anfang skizziert habe, für den ist noch nicht alles verloren. Aber man sollte jetzt schon dann im Nachgang da nochmal Arbeit reinstecken, das Ganze im Nachgang zu organisieren und zu strukturieren. Also wir empfehlen grundsätzlich unseren Kunden, weil Teams eben nicht nur eine Anwendung ist wie jede andere, die einfach dazukommt, sondern Teams ändert erstmal sehr viel in der Art und Weise wie im Unternehmen kommuniziert wird, wie überhaupt gearbeitet wird. Es gibt letztlich eine große Veränderung in der Arbeitskultur, weil es am Ende halt doch eben etwas anderes ist wie sich E-Mails hin- und herzuschicken. Und deswegen finden wir bei Connect es sehr wichtig, diese Herausforderung eben vorher zu sehen, zu erklären und sich entsprechend darauf vorzubereiten. Also früh in die Planung einzusteigen, früh auch, ich sage mal, wichtige Mitarbeiter zu involvieren, sich Prozesse rauszupicken, die man in Teams vielleicht dann abmelden kann. Und so dann einfach einen erfolgreichen Start von Teams zu ermöglichen, wo man auch vorher die Gelegenheit hat den Mitarbeiter zu schulen. Das finde ich ganz wichtig. #00:19:00-2# Ingo Lücker: Damit nicht dann plötzlich die große Pingerei im Unternehmen losgeht: Sie wurden zu einem neuen Kanal eingeladen. Und keiner weiß was los ist und wofür das gedacht ist, ne? #00:19:12-1# Fabian Alfes: Genauso. Wir hatten tatsächlich Unternehmen, wo wir dann irgendwann die Notbremse ziehen mussten, wo wir quasi doch alles nochmal plattgemacht haben, was sich entwickelt hat, was sich verselbstständigt hat und wir dann nochmal, ich sage mal, neu angefangen...
/episode/index/show/itmanager/id/18942431
info_outline
#2021-001 Was ist Microsoft Teams?
04/28/2021
#2021-001 Was ist Microsoft Teams?
Herzlich Willkommen beim IT-Manager Podcast. Mein Name ist Ingo Lücker, ich bin Gründer und Geschäftsführer der ITleague GmbH und in unserer heutigen Folge geht es um Microsoft Teams. Was ist Microsoft Teams eigentlich? Ja, im Prinzip ist es eine Kollaborationsplattform mit der sehr sehr viel möglich ist. In Zeiten von Corona und dem Homeoffice wurde Microsoft Teams meistens immer in Verbindung mit Zoom und anderen Videokonferenzen auch erwähnt. Klar, Videoconferencing ist einer der Themen, die Microsoft Teams beherrscht. Aber es geht so viel mehr. Man kann damit Besprechungen natürlich durchführen, chatten untereinander, man kann dort auch reine Telefonie drüber betreiben und natürlich auch eine Zusammenarbeit an einem Ort. Und ja, ich gehe auf die einzelnen Dinge mal so ein bisschen ein. In unserem zweiten Teil der Folge wird es dann im Interview noch viel detaillierter gehen. Aber dazu später mehr. Jetzt möchte ich erstmal so ein bisschen auf die Themen eingehen, ja, was kann ich dann eigentlich damit tun? Also zum Beispiel ein Videoanruf mit einem anderen Teilnehmer oder aber auch einer Gruppe, ist nur ein Click entfernt. Und dazu brauche ich lediglich im Prinzip die Email-Adresse des Gegenübers und somit kann ich dann ohne Probleme auch einen Videocall zu ihm herstellen. Das Ganze natürlich über eine sichere Verbindung und diese kann gleichzeitig benutzt werden dafür, um auch mal Dateien zusammen zu teilen, an diesen gleichzeitig auch zu arbeiten oder neu zu erstellen. Und man kann in diesen Besprechungen auch jederzeit Notizen erstellen und ja diese Notizen auch später wieder abrufen, weil der Besprechungschat auch später immer wieder zur Verfügung steht. Ja und das Chatten selber, das ist natürlich unabhängig von den eigentlichen Besprechungen auch möglich. Also ich habe hier die Möglichkeit sowohl unternehmensintern, als auch mit externen Parteien einfach in einen Chat zu starten. Diese Chats kann ich auch ja umbenennen. Sodass ich die auch thematisch sortieren kann und mir organisieren kann. Ebenso kann ich zu einem Chat weitere Teilnehmer hinzufügen. Dort auch ganz klar bestimmen, wie viel sieht denn dann derjenige eigentlich auch von den Inhalten, die dort schon gechattet wurden. Und wie man es auch aus anderen messenger-Systemen kennt, kann ich hier natürlich auch das Ganze ein bisschen persönlicher gestalten, indem ich hier auch mal GIF-Sticker und Emojis verwende. All das ist natürlich im Chat ohne Probleme möglich. Bei den Videokonferenzen, auf die ich eben schon eingegangen sind, da können sich je nachdem, welche Plattform man verwendet, bis zu zehntausend Teilnehmer zusammenschalten. Und tatsächlich ein und denselben Content hören, sehen und auch dran arbeiten. Eine wirklich tolle Plattform, die auch ja endgeräteübergreifend sehr, sehr gut und seamless funktioniert. Egal, ob ich an einem Desktop bin oder ob ich das über meine mobilen Endgeräte aufrufe, überall habe ich einen idealen Einsatz von den Meetings. Ja und das Telefonieren, das hat der ein oder andere eventuell schon mitbekommen, das ist auch direkt über Microsoftteams möglich. Da will ich jetzt im Detail nicht drauf eingehen, weil da würde ich dann unserem Interview vorweggreifen, aber hier ist es möglich, dass ich tatsächlich einfach mein Microsoftteams als meine eigentliche Telefonie-Plattform nutze und dort natürlich auch Gruppenanrufe und sowas, wie eine Voicemail nutzen kann und auch eine Anrufweiterleitung, et cetera. Also das sind Dinge, die gehen sehr, sehr leicht und einfach auch alles aus der Cloud heraus. Ja und beim Thema Zusammenarbeiten ist es natürlich total stark, dass man die Dateien direkt in Microsoftteams ablegen kann, organisieren kann. Ich kann die in Echtzeit in den Anwendungen auch in den Office-Anwendungen von Word, PowerPoint und Excel direkt dran arbeiten. Ich sehe auch, wer daran arbeitet, kann Kommentare hinterlegen und somit natürlich auch hier viel interaktiver an gemeinsamen Ergebnissen arbeiten. Sie sehen, Microsoftteams ist da sehr, sehr vielschichtig aufgebaut und ja, das wichtigste ist sicherlich, dass man sich gerade bei der Einführung von Microsoft Teams in Unternehmen immer auch einen Spezialisten zur Seite nimmt, der einen bei der Einführung, bei der Organisation und Struktur und dem Aufbau unterstützt. Und hier will ich auch die Brücke schlagen zu unserer Folge, die dann in Kürze veröffentlicht wird, wo wir den IT-Spezialisten Fabian Alfes, von der connecT SYSTEMHAUS AG im Interview haben. Und ja, dort gehen wir auch mal im Detail darauf ein, warum denn Microsoft Teams eigentlich dann auch so durch die Decke gegangen ist und was man alles beachten muss, auch wenn man Microsoftteams einführen möchte im Unternehmen. Welche Voraussetzungen es dafür gibt und ja, wie auch die Nutzung mobil oder auch in einer Citrix-Umgebung aussieht. All das und mehr, werden wir dann im Interview miteinander besprechen. Also, wenn dich das Thema Microsoftteams interessiert, dann höre doch gerne auch in unser Interview rein, was in Kürze online gehen wird. Ja, ich wünsche dir noch einen wunderschönen Tag. Und freue mich schon auf die nächsten Folgen. Bis dann, dein Ingo. Ciao.
/episode/index/show/itmanager/id/18898907
info_outline
NEUES FORMAT - WILLKOMMEN ZURÜCK
04/27/2021
NEUES FORMAT - WILLKOMMEN ZURÜCK
Nach über einem Jahr Pause sind wir mit dem IT Manager Podcast mit einem neuen Format zurück. Die erste Folge veröffentlichten wir im April 2016 zum Thema IoT "Internet of things". Seitdem sind über 130 Folgen von uns recherchiert und publiziert worden. Nach ausgiebigem Feedback aus der Community haben wir an einem neuen Format gearbeitet. Da wir kontinuierlich zwischen 10.000-15.000 Aufrufe pro Monat haben, obwohl wir seit über einem Jahr keine neue Folge veröffentlicht haben, werden wir nun mit neuen Inhalten bereichern. Unsere Zielgruppe sind ganz klar die Geschäftskunden, also die sogenannten B2B-Kunden. Einige Beispiele für kommende Themen: Microsoft Teams in Unternehmen, staatliche Förderungen für IT-Projekte, Business Netzwerke wie der BNI, Zertifizierungen wie ISO9001 sowie ISO27001, Automatisierung und Dokumentenmanagement, digitale Unterschriften, Social Media Marketing, Cloud Telefonie und sehr viele IT-Security-Themen. Was interessiert Dich als Zuhörer in Zukunft? Oder bist Du selbst Experte und willst in Zukunft dabei sein? Wir freuen uns auf Deine Nachrichten unter [email protected]
/episode/index/show/itmanager/id/18881012
info_outline
#133 - Was ist eigentlich WIPS?
01/17/2020
#133 - Was ist eigentlich WIPS?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein WIPS?” Bevor ich Ihnen diese Frage beantworte, möchte ich kurz -der Verständlichkeit halber- auf die Begrifflichkeiten Intrusion Detection System und Intrusion Prevention System eingehen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) sind beides Bestandteile der Netzwerkinfrastruktur und dienen dazu den Datenverkehr in Netzwerken vor Gefahren bzw. Angriffen zu schützen. Das Intrusion Detection System, kurz IDS, ist dabei in der Lage, anhand bestimmter Muster Angriffe auf Computersysteme oder Netzwerke zu erkennen und Anwender oder Administratoren zu informieren. Das Intrusion-Prevention-Systeme, kurz IPS, hingegen geht einen Schritt weiter und ist in der Lage, Angriffe auf Netzwerke oder Computersysteme abzuwehren. Kommen wir zurück zu unserer Ausgangsfrage, was ist eigentlich ein WIPS? Die Abkürzung WIPS steht für Wireless Intrusion Prevention System. Und wie der Name schon vermuten lässt, handelt sich hierbei um ein System, dass Angriffe wie DoS-Attacken, Honeypots oder Man-in-the-Middle-Angriffe und nicht autorisierte Zugriffe durch beispielsweise Access Points auf ein WLAN detektiert und abwehrt. Dabei erfolgt die Steuerung des Wireless Intrusion Prevention Systems über eine zentrale Administrationsoberfläche. Die WIPS sind in der Regel so konfiguriert, dass sie bei erkannten Bedrohungen selbständig Abwehrmaßnahmen ergreifen und gleichzeitig einen vorher festgelegten Personenkreis alarmieren. Prinzipiell besteht ein Wireless Intrusion Prevention System aus drei Komponenten. Diese sind: Sensoren zur Überwachung des Netzwerks und des Funkspektrums ein Managementsystem zur Verwaltung und Bedienung des Wireless Intrusion Prevention Systems sowie zentrale Server für die Analyse und die Kommunikation mit den Sensoren Die einzelnen Komponenten können dabei entweder dediziert* ausgeführt oder in den vorhandenen WLAN-Geräten als zusätzliche Funktionen auf Softwarebasis integriert sein. Der Vorteil von Wireless Intrusion Prevention Systeme aus dedizierten Komponenten ist, dass sie sich als Overlay-System betreiben lassen. Das bedeutet, dass Anwender ein Drahtlosnetzwerk nicht verändern müssen. Außerdem sorgt die Separierung von Überwachung und produktivem Netz für ein höheres Schutzniveau. Schauen wir uns die Funktionsweise eines Wireless Intrusion Prevention Systems etwas genauer an. Für eine wirksame Erkennung und Abwehr von nicht autorisierten WLAN-Zugriffen oder falschen Access Points überwacht und analysiert ein Wireless Intrusion Prevention System, sowohl die Funkfrequenzen als auch die im WLAN ausgetauschten Daten. Sobald ein Wireless Intrusion Prevention System einen Rogue Access Point -sprich einen nicht autorisierten Zugriffspunkt- im WLAN Netzwerk identifiziert, verschickt es De-Autorisierungspakete an den nicht autorisierten Access Point und die mit ihm verbundenen Clients. Die De-Autorisierungspakete geben sich gegenseitig als Client oder Accesspoint aus und veranlassen die Kommunikationspartner die Verbindung zu trennen. Werden zudem verdächtige Aktivitäten auf bestimmten nicht vorgesehenen Funkkanälen festgestellt, werden diese durch verschiedene Maßnahmen gesperrt. Sie können sich das Ganze auch so vorstellen: Mal angenommen, sie sind Unternehmer und betreiben eine eigene Wireless LAN Infrastruktur, um Ihren Vertriebsmitarbeitern das mobile Arbeiten mit Laptop und SmartPad zu ermöglichen. Max Mustermann ist Angestellter in der Fertigung und möchte während der Arbeitszeit auch mit seinem Smartphone per WLAN surfen. Daher hat er seinen privaten Access Point mitgebracht, den er heimlich in das Firmennetz integriert hat. Dank Ihres implementierten Wireless Intrusion Prevention Systems, wird der Rogue Access Point im eigenen Netzwerk identifiziert und automatisch abgewehrt. Gleichzeitig werden die verantwortlichen Administratoren alarmiert. Neben diesem gerade genannten Beispiel gibt es noch folgende Anwendungsfälle und Szenarien, die für den Einsatz eines Wireless Intrusion Prevention System sprechen: Szenario 1: Datendiebstahl im Netzwerk Durch den Einsatz von WIPS kann der Netzwerk-Traffic vor Snooping plus Datendiebstahl geschützt und durch Angriffe verursachte Traffic-Störungen verhindert werden. ● Szenario 2: Gastnetzwerke Durch den Einsatz von WIPS, kann das produktive Büronetzwerk vom Gastnetzwerk separiert und somit geschützt werden. Den Gästen stellt man genau genommen ein separates Netzwerk zur Verfügung und verwendet dafür ein gemeinsam genutztes Passwort. ● Szenario 3: Netzwerk-Monitoring und -Untersuchungen: Durch den Einsatz von WIPS können Angriffsversuche erkannt werden, indem für diese eine Log-Datei geschrieben wird. Weiterhin benachrichtigen sie bei bestimmten Angriffsaktivitäten und loggen auch andere Ereignisse, die man später untersuchen kann. Dabei ist es irrelevant, ob diese geblockt wurden oder nicht. ● Szenario 4: Netzwerk- und Geräteklassifizierung und -identifikation: Durch den Einsatz von WIPS, werden alle Geräte, die auf das drahtlose Netzwerk zugreifen, geprüft ob sie die notwendigen Rechte haben. Eine weitere sinnvolle Funktion von WIPS ist, dass sie die Netzwerkarchitektur, alle drahtlosen Access Points und deren Standorte identifizieren können. ● Szenario 5: Richtlinienkonformität (Policy Compliance): Durch den Einsatz von WIPS wird sichergestellt, dass alle drahtlosen Geräte identifiziert werden, die den Compliance-Regularien nicht entsprechen. Welche Vorteile ergeben sich durch den Einsatz eines Wireless Intrusion Prevention Systems? Ein Wireless Intrusion Prevention Systems bietet Anwendern gleich mehrere Vorteile. Dazu zählen unter anderen zusätzlicher Schutz der WLAN-Infrastruktur automatische Erkennung von Bedrohungen des drahtlosen Netzwerks automatische Abwehr von diversen Angriffsmethoden Erkennung und Abwehr von Rogue Access Points und Rogue Clients Erkennung und Abwehr von Evil Twin Access Points Erkennung und Neutralisation von falsch konfigurierten Access Points Durchsetzung der WLAN-Policies BYOD-Absicherung, steht für Bring your own device automatische Alarmierung bei verdächtigen Aktivitäten Wir kommen nun zum Ende unsere heutigen Podcast. Zusammenfassend lässt sich sagen: Unternehmen müssen sich heutzutage gegen zahlreiche Bedrohungen und Angriffe wie DDoS-Attacken, Honeypots oder Man-in-the-Middle-Angriffe wappnen, die ihr WLAN betreffen können. Durch den Einsatz eines Wireless Intrusion Prevention Systems, können sie nicht nur bösartige Angriffe abwehren, sondern auch beispielsweise unbeabsichtigte Vorfälle verhindern, wie das versehentliche Anmelden an einem Netzwerk in der Umgebung, welches nicht zum Firmennetzwerk gehört. Dieses Szenario könnte zu einem schwerwiegendem Sicherheitsproblem führen, da die Datensicherheit in dem unbekannten und nicht vertrauenswürdigen Netzwerk nicht sichergestellt werden kann. Das sind nur ein paar wenige Beispiele, die die Notwendigkeit einer WLAN-Absicherung durch ein Wireless Intrusion Prevention Systems, unterstreichen. So liebe IT Profis, das wars auch schon für heute vom IT Manager Podcast, ich hoffe es hat Ihnen gefallen – wenn ja freue ich mich wie immer sehr über ein Like auf Facebook und eine fünf Sterne Bewertung bei iTunes. Nächste Woche Freitag gibt es dann natürlich wieder eine neue Folge des IT Manager Podcasts. Sie wollen selbst mal in einem Interview dabei sein? Oder eine Episode unterstützen? Dann schreiben Sie uns gerne eine E-Mail. Kontaktdaten finden Sie in unseren Show-Notes oder auf unserer Website. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12661634
info_outline
#132 - Was ist eigentlich eine Bandbreite?
01/10/2020
#132 - Was ist eigentlich eine Bandbreite?
Diese Folge wird unterstützt von Blinkist. Unter erhaltet ihr 25% auf das Jahresabo Blinkist Premium. Heute dreht sich alles um das Thema: „Was ist eigentlich eine Bandbreite?” Zunächst einmal müssen Sie wissen, dass der Begriff "Bandbreite" in zwei verschiedenen Kontexten verwendet werden kann: In digitalen Systemen wird der Begriff Bandbreite oft als Synonym für die Übertragungsgeschwindigkeit oder die Übertragungskapazität verwendet. Die synonyme Verwendung der Begriffe geht auf den Zusammenhang zwischen Bandbreiten und Übertragungsraten zurück. Die Bandbreite stellt einen wichtigen Faktor dar, wenn es darum geht, die Qualität und Geschwindigkeit eines Netzwerks zu bestimmen. Die kleinste Übertragungsrate ist das Bit, weshalb die Datenübertragungsrate häufig auch als Bitrate (Einheit Bit Pro Sekunde - Bit/s) bezeichnet wird. Da heutige Netzwerke jedoch in der Regel eine viel größere Bandbreite haben, die sich mit so einer kleinen Einheit nicht gut wiedergeben lassen, sind die Angaben Megabits pro Sekunde MBits , Gigabits pro Sekunde GBits oder Terabits pro Sekunde TBits geläufiger. Sie können sich die Bandbreite auch als Wasserfluss durch ein Rohr vorstellen. Dabei ist die Bandbreite die Geschwindigkeit, mit der das Wasser sprich die Daten bei verschiedenen Bedingungen durch das Rohr, als die Verbindung, fließt. Anstelle von Bits pro Sekunde misst man jetzt Liter pro Minute. Während größere Rohre mehr Wasser liefern, fließt durch kleinere Rohre eine geringere Menge. Somit stellt die Wassermenge, die potenziell durch das Rohr fließen kann, die maximale Bandbreite dar, während die Wassermenge, die gegenwärtig durch das Rohr fließt, die aktuelle Bandbreite wiedergibt. Allerdings stammt der Begriff Bandbreite ursprünglich aus den Bereichen Physik und Signaltechnik. Dort bezeichnet er eine Spanne innerhalb eines Frequenzbereichs. Diese Spanne, auch Frequenzbereich genannt, wird durch eine obere und untere Grenzfrequenz bestimmt, in dem ein Signal übertragen wird. Grundsätzlich besitzt jeder Übertragungskanal infolge seiner physikalischen Eigenschaften eine untere und eine obere Grenzfrequenz. Je größer die Bandbreite, desto mehr Informationen lassen sich pro Zeiteinheit übertragen. In analogen Systemen wie Telefon oder Radio, wird die Bandbreite in Hertz (Hz) bzw. in Kilohertz (KHz) oder Megahertz (MHz) gemessen. So weist beispielsweise ein analoges Telefon eine untere Grenzfrequenz von 300 Hz und eine obere Grenzfrequenz von 3400 Hz. Daraus ergibt sich die Bandbreite von 3100 Hz, was für eine Übermittlung von Sprachdaten völlig ausreicht. Aber wie viel Bandbreite ist eigentlich erforderlich? Die durchschnittliche Bandbreite eines Internetanschluss in Deutschland liegt derzeit bei etwa 15 Megabit pro Sekunde (Mbit/s). Über moderne VDSL oder Kabelanschluss-Zugänge lässt sich eine Bandbreite von bis zu einigen hundert Megabit pro Sekunde (Mbit/s) erzielen. An einem Glasfaser-Anschluss ist die mögliche Bandbreite noch einmal deutlich höher, auch mehr als 1 Gigabit pro Sekunde (Gbit/s) sind problemlos möglich. Welche Bandbreite für die die Bedürfnisse eines Nutzers sinnvoll ist, hängt grundsätzlich davon ab, wofür die Übertragungskanäle genutzt werden. Beispielsweise erfordern das Streamen von Filmen in HD-Qualität, HD-Videokonferenzen und Multiplayer-Online-Spiele in HD eine höhere Bandbreite als das Webbrowsen, Streamen von Musik oder das abrufen von E-Mails. Je nach Übertragungsmedium und Übertragungstechnologie existieren typische Bandbreiten. Diese sind bei analogen Systemen beispielsweise: analoge Telefonie mit 3.400 Hertz, Integrated Services Digital Network, kurz ISDN, mit circa 130 Kilohertz, 10-Megabit-Ethernet mit circa 30 Megahertz Asymmetric Digital Subscriber Line-Anschlüsse, kurz ADSL mit circa 1,1 Megahertz und in digitalen Systemen Integrated Services Digital Network, kurz ISDN mit 64 kbit/s je Kanal, Ethernet mit 10, 100 oder 1.000 Mbit/s, Die Weiterentwicklungen der Asymmetric Digital Subscriber Line-Anschlüsse, kurz ADSL2+ mit bis zu 25 Mbit/s im Download Kommen wir zur nächsten Frage: Warum wird eigentlich die Bandbreite gemessen und wie? Grundsätzlich ist eine Messung der Bandbreite dann nötig um sicherzustellen, dass kostenpflichtige Verbindungen auch das leisten, was sie versprechen. Das gilt für private Nutzer und Unternehmen gleichermaßen. Private Nutzer können mithilfe eines Online-Bandbreitentest herausfinden, ob der vom Internetdienstanbieter berechnete Anteil der Verbindung, tatsächlich genutzt werden kann. Unternehmen hingegen, können den Durchsatz zwischen Büros messen, die mit einer von der Telefongesellschaft geleasten Leitungsverbindung verbunden werden. Für gewöhnlich erfolgt die Messung der Bandbreite mithilfe von Software oder Firmware und einer Netzwerkschnittstelle. Zu den üblichen Hilfsprogrammen für die Bandbreitenmessung zählen der Test TCP kurz TTCP und der PRTG Netzwerk Monitor. Beim TTCP wird der Durchsatz in einem IP-Netzwerk zwischen zwei Hosts gemessen. Ein Host ist der Empfänger, der andere der Sender. Jede Seite zeigt die Anzahl der übertragenen Bytes und die Zeit an, die jedes Datenpaket für die Übertragung in einer Richtung braucht. Beim PRTG wird eine grafische Oberfläche und Diagramme zur Messung von Bandbreitentrends über längere Zeiträume bereitgestellt, wobei man den Datenverkehr zwischen unterschiedlichen Schnittstellen messen kann. In der Regel wird zur Messung der Bandbreite die gesamte Datenmenge gezählt, die während eines bestimmten Zeitraums gesendet und empfangen wurde. Die resultierenden Messgrößen werden dann als Zahl pro Sekunde ausgedrückt. Eine weitere Methode zur Messung der Bandbreite besteht darin, eine Datei oder mehrere Dateien bekannter Größe zu übertragen und zu messen, wie lange die Übertragung dauert. Das Ergebnis wird in Bit/s konvertiert, indem die Größe der Dateien durch die für die Übertragung erforderliche Zeit geteilt wird. Diese Methode wird in den meisten Tests der Internetgeschwindigkeit verwendet, um die Verbindungsgeschwindigkeit eines Computers mit dem Internet zu ermitteln. Allerdings ist an dieser Stelle erwähnenswert, dass in echten Netzwerken die Bandbreite mit der Zeit je nach Nutzungs- und Netzwerkbedingungen variiert. Infolgedessen sagt eine einzelne Bandbreitenmessung sehr wenig über die tatsächliche Bandbreitennutzung aus. Eine Reihe von Messungen kann nützlicher sein, wenn Durchschnittswerte oder Trends bestimmt werden sollen. Bevor wir nun zum Schluss unseres heutigen Podcast kommen, möchte ich noch ganz kurz auf den Unterschied Bandbreite und Durchsatz eingehen. Durchsatz und Bandbreite sind Begriffe, die die Fähigkeit eines Geräts zum Übertragen von Daten in einem Netzwerk beschreiben. Der Hauptunterschied zwischen Durchsatz und Bandbreite ist, das sich die Bandbreite auf die maximal mögliche Geschwindigkeit bezieht, mit der ein Gerät Daten übertragen kann, wohingegen der Durchsatz sich auf die tatsächliche Geschwindigkeit bezieht, mit der ein Gerät zu einem bestimmten Zeitpunkt Daten überträgt. So liebe IT Profis, das wars auch schon für heute vom IT Manager Podcast, ich hoffe es hat Ihnen gefallen – wenn ja freue ich mich wie immer sehr über ein Like auf Facebook und eine fünf Sterne Bewertung bei iTunes. Nächste Woche Freitag gibt es dann natürlich wieder eine neue Folge des IT Manager Podcasts. Sie wollen selbst mal in einem Interview dabei sein? Oder eine Episode unterstützen? Dann schreiben Sie uns gerne eine E-Mail. Kontaktdaten finden Sie in unseren Show-Notes oder auf unserer Website.
/episode/index/show/itmanager/id/12661274
info_outline
#131 - Weihnachtsgrüsse - IT Manager Podcast 2020
12/24/2019
#131 - Weihnachtsgrüsse - IT Manager Podcast 2020
Liebe IT-Profis, wir betreiben den IT Manager Podcast nun schon bereits seit über 3,5 Jahren. Mit mittlerweile über 130 Episoden haben wir bereits viele IT-Begriffe erklärt und konnten vielen Zuhörern damit eine stetige Weiterbildung ermöglichen. Wir würden gerne wissen, wie soll es in 2020 für Euch weitergehen? Wie oft hört ihr unseren Podcast? Soll es weiterhin einmal wöchentlich ein Episode geben? Welche Themen wünscht ihr Euch für die Zukunft? Macht mit bei unserer Umfrage auf unserer Website unter innovativeIT.de Eine schöne und besinnlich Weihnachtszeit wünsche ich. Wir sind dann ab nächstes Jahr wieder für Euch da. Euer Ingo Lücker
/episode/index/show/itmanager/id/12661211
info_outline
#130 - Was ist ein Wireless Access Point?
12/20/2019
#130 - Was ist ein Wireless Access Point?
Bei einem Wireless Access-Point, kurz WAP, handelt es sich vereinfacht ausgedrückt um eine Hardwarekomponente, die als Schnittstelle zwischen dem LAN- und dem WLAN-Netzwerk fungiert und mehreren Notebooks und anderen mobilen Endgeräte gleichzeitig den Zugriff auf Netzwerkressourcen und gegebenenfalls das Internet ermöglicht. Wireless Access Points kommen hauptsächlich bei kleineren bis großen Netzwerkinstallationen zum Einsatz. Sie dienen zur Verstärkung des Funksignals und vergrößern somit die Reichweite des WLAN-Signals im gesamten Netzwerk. Das ist insofern von Vorteil, wenn es Bereiche gibt, in denen man ein WLAN-Netzwerk nutzen möchte, die Signalstärke aber nicht ausreicht. Dabei gleicht ihre Arbeitsweise einem Switch oder eine Netzwerk-Bridge. Das bedeutet sie verbinden verschiedene Geräte auf hardwarenahem Niveau miteinander und vermeiden dabei einerseits Datenkollisionen durch Techniken wie CSMA/CA und überbrücken andererseits Unterschiede zwischen verschiedenen Übertragungsmedien. Wireless Access Points sind im OSI-Modell in der Sicherungsschicht sprich in der Schicht 2, dem Data Link Layer, angesiedelt. Sie arbeiten in der Regel nach dem Standard IEEE-802.11 und werden per sogenannter Service Set Identifier, kurz SSID, von den Geräten im Netzwerk identifiziert. Dabei wird die Funkverbindung bzw. die Kommunikation durch die Verschlüsselungsverfahren Wired Equivalent Privacy (WEP), Wi-Fi Protected Access oder Wi-Fi Protected Access 2. Wobei man erwähnen muss, dass die Vorgänger WPA und Wired Equivalent Privacy inzwischen als überholt und angreifbar gelten. Mittlerweile sind Wireless Access Points in vielfältigsten Ausführungen verfügbar. Neben spezialisierter Hardware gibt es auch Softwarelösungen, mit denen sich klassische Rechner zu einem Wireless Access Point umrüsten lassen. Außerdem lassen sich aktuelle Wireless Access Points über ein Set von verschiedenen Betriebsmodi, die unterschiedliche Infrastrukturen abbilden, unterscheiden: Hierunter zählen: Infrastruktur Modus, Ad-Hoc Modus, Client Modus, Ethernet Bridge Modus, Bridge Modus, Repeater Modus. Infrastruktur Modus Der Infrastruktur Modus wird auch Access Point Modus genannt. Er wird wiederum in drei mögliche Betriebsmodi unterteilt: Dazu zählt: das Basic Service Set, kurz BSS. Hier bedient ein einzelner Access Point alle drahtlos angebundenen Clients. Diese bilden dann ein autarkes Intranet. das Extended Service Set, kurz ESS. Hier lassen sich mehrere Access Points per Ethernet verbinden und mit einem identischen Netzwerknamen “Extended Service Set Identifier” versehen. Solche Infrastrukturen decken im Gegensatz zu einzelnen Wireless Access Points größere Fläche per Funk ab. Dabei werden die Clients automatisch zwischen den Access Points übergeben. Diesen Vorgang nennt man auch Roaming. Das Wireless Distribution System kurz WDS. Hier können mehreren Access Points derweil, drahtlos miteinander zu kommunizieren. Hier unterscheidet man zwischen Punkt-zu-Punkt-Verbindungen (Wireless Bridge) sowie Punkt-zu-Multipunkt-Verbindungen (Wireless Repeater). Ad-Hoc Modus Beim Ad-Hoc Modus sind alle beteiligten Geräte, egal ob es sich um die der Nutzer handelt oder ob es Access Points bzw. Router sind, gleichwertig. Von keinem Access Point werden "höherwertige" oder "zentrale" Aufgaben übernommen. Alle Access Points benutzen denselben Netzwerknamen und erhalten, wenn gewünscht, die gleichen Verschlüsselungseinstellungen. Da es keine zentrale Instanz gibt, sind die koordinierenden Funktionen von den jeweiligen Endgeräten zu übernehmen. Der Datentransfer erfolgt in diesem Modus über die Teilnehmer. Client Modus Der Client Modus ist eine Betriebsart, bei dem sich der im Client Modus betriebene Access Point gegenüber dem übergeordneten Access Point als Wireless Adapter verhält. Über einen solchen lassen sich Endgeräte in drahtlose Infrastrukturen einbinden, die lediglich über eine drahtgebundene Netzwerkschnittstelle verfügen. Ethernet Bridge Modus Der Modus Ethernet Bridge dient dazu, eine Verbindung zu drahtgebundenen Netzen herzustellen. Damit können mit einem Access Point verbundene Clients nicht nur untereinander kommunizieren, sondern auch auf eine per Kabel verfügbare Internetanbindung zugreifen. Bridge Modus Der Bridge Modus dient zur Verbindung von räumlich entfernten Netzwerken ohne Gebäudegrenzen. Die genutzten Access Points sind dann mit wetterfesten Außenantennen ausgerüstet, die Richt- und Rundstrahlcharakteristik aufweisen, um die Reichweite zu erhöhen. Zu berücksichtigen ist, dass zwischen den Gebäuden eine direkte Sichtverbindung besteht und die benutzten Access Points vom gleichen Hersteller sein sollten. Repeater Modus Beim Repeater Modus wird der Access Point als Repeater konfiguriert, um die Reichweite zwischen einem eingerichteten Access Point oder Router und dem Netzwerknutzer zu vergrößern. Als Repeater-Modus betrieben dient der Access Point nur der Weiterleitung von Daten. Kommen wir nun zu den Vor-und Nachteilen, die der Einsatz von Wireless Access Points bringt? Wireless Access Points bieten eine ganze Reihe von Vorteilen, die ich zum Teil bereits erwähnt habe: Dazu zählen: Mehr Benutzerzugriff – Ein gewöhnlicher WLAN-Router kann nur eine begrenzte Anzahl an Benutzerzugriffen unterstützen, während der Wireless Access Point in der Lage ist, sogar hunderten von Benutzern Zugriff zu gewähren. Außerdem hat er eine stärkere Fähigkeit, Signale zu senden und zu empfangen. Insbesondere in einem großen Bereich, der eine drahtlose Abdeckung benötigt, hat ein Wireless Access Point mehr Vorteile als ein drahtloser Router. Breitere Reichweite der Übertragung – ein Wireless Access Point kann weitere Entfernungen abdecken. Flexible Vernetzung – Ein Wireless Access Point hat eine Vielzahl von Modi zur Auswahl, die sehr flexibel sind. Die nennenswerten Nachteile von Wireless Access Points sind: Hohe Kosten – Denn je größer der Umfang des drahtlosen Unternehmensnetzwerks ist, desto mehr Wireless Access Points werden benötigt. Schlechte Stabilität –Denn anders als ein kabelgebundenes und geswitchtes Ethernet stellt die Luftschnittstelle ein vergleichsweise langsames, störanfälliges sowie geteiltes Medium dar. Zudem müssen sich die Clients die verfügbare Bandbreite teilen. Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte ich noch ganz kurz auf das Thema Sicherheit eingehen. Ein Wireless Access-Point stellt ein potenzielles Einfallstor dar. Um das Netzwerk vor dem Zugriff Unbefugter zu schützen, muss man darauf achten, dass der eingesetzte Wireless Access Point die aktuellen Sicherheitstechniken unterstützt. Außerdem lassen sich die Endgeräte mit dem WiFi-Protected Setup, kurz WPS, über das WLAN mit dem Router verbinden, ohne dass der Netzwerkschlüssel benötigt wird. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12349481
info_outline
#129 - Was bedeutet TPM?
12/13/2019
#129 - Was bedeutet TPM?
Die Abkürzung TPM steht für Trusted Platform Module. Es handelt sich hierbei um einen Mikrochip, der Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert, um die Plattformintegrität sicherzustellen. Sobald es auf einem System installiert ist, dient es zur sicheren Hinterlegung von Schlüsseln, Passwörtern und digitalen Zertifikaten, um eine Plattform-Validierung zu ermöglichen, eine zentrale Vertrauensbasis einzurichten und die Voraussetzungen für das Management von Anwender-Legitimationen zu schaffen. Außerdem lässt sich mit dem TPM verifizieren, dass an der Hardware keine Veränderungen vorgenommen wurden und am BIOS keine Manipulationen erfolgt sind. TPM-Chips werden grundsätzlich nach der TCG-Spezifikation entwickelt. Die TCG-Spezifikation basiert auf einem offenen herstellerneutralen Industriestandard, der durch die Trusted Computing Group, einer Non-Profit-Organisation von Firmen, für das Trusted Computing entwickelt, definiert und gefördert wird. Das TPM ist laut TCG-Spezifikation ein passives Modul. Das bedeutet, dass jede Aktion einer TPM-Komponente von außerhalb des TPM über eine entsprechende Schnittstelle angestoßen werden muss. Auf den ersten Blick ist es mit einer Chipkarte vergleichbar. Das heißt es enthält unter anderem logische Einheiten, Speicherbereiche und einen Ein-/Ausgabekanal. Der signifikante Unterschied besteht jedoch darin, dass ein TPM-Chip an eine Plattform bzw. ein System gebunden ist, wogegen eine Chipkarte in aller Regel einen einzigen Besitzer hat. Die Sicherheitsfunktionen, die die TPM-Module bieten, sind umfassend. Dazu zählen: Versiegelung, Auslagerung, Bescheinigung, Schutz für kryptografische Schlüssel und sicherer Zufallsgenerator. Mit der Verschlüsselung, die auch als Sealing bezeichnet wird, können Daten an das Gerät verbunden verschlüsselt werden. Die krypotgrafischen Schlüssel werden direkt im TPM Modul abgelegt. Damit wird die Sicherheitsfunktion 'Schutz für kryptografische Schlüssel' implementiert. Vor einem Hard- oder Softwareangriff sind die Schlüssel so sehr weitreichend geschützt. Durch die als Binding oder Wrapping bezeichnete Auslagerung lassen sich Schlüssel auf externe Speicher exportieren, wodurch die Zahl der Schlüssel bei TPMs nahezu unbegrenzt ist. Mittels Remote Attestation oder Bescheinigung sichert die Technik einer entfernten Partei Fähigkeiten und Zustand des Systems zu. Meist kommen dafür das Privacy CA (Trusted Third Party) Verfahren oder die Direct Anonymous Attestation zum Einsatz. Über das Sicherheitsfeature sicherer Zufallsgenerator garantiert Ihnen das TPM gemäß der TCG-Spezifikation einen zuverlässigen Zufallsgenerator bereitzustellen, der für eine sichere Verschlüsselung unabdingbar ist. Außerdem sind im Trusted Platform Module diverse Zertifikate und Schlüsselpaare enthalten, die zum einen die Korrektheit des Herstellungsprozesses bestätigen sollen und zum anderen das Modul eindeutig identifizieren und zum Verschlüsseln oder digitalen Signieren von Daten dienen. Endorsement Zertifikat — Dieses Zertifikat bestätigt die Echtheit des TPM. Genaugenommen wird sichergestellt, dass das TPM von einem autorisierten Hersteller bereitgestellt wurde. Das TPM wird in dem Zertifikat durch ein 2048 Bit langes Schlüsselpaar, dem sog. Endorsement Key, eindeutig repräsentiert. Dieses Schlüsselpaar wird entweder bei der Herstellung des TPM-Chips vom Hersteller erzeugt oder erst zu einem späteren Zeitpunkt im Chip gebildet. In beiden Fällen verlässt der Endorsement Key das Trusted Platform Module niemals. Der Endorsement Key wird verwendet, um sog. Attestation Identity Keys, kurz AIK zu erzeugen. Der Attestation Identity Key schützt das Gerät gegen unautorisierte Firmware und modifizierte Software. Dafür wird ein Hash kritischer Sektionen der Firmware oder der Software erstellt, bevor sie ausgeführt wird. Will sich das System mit einem Netzwerk verbinden, werden diese Hash-Werte zu einem Server geschickt, der sie mit gespeicherten, legitimen Daten abgleicht. Wurden Teile seit dem letzten Start modifiziert, schlägt die Überprüfung fehl und das jeweilige System erhält keinen Zugriff aufs Netzwerk. Platform Zertifikat — Das Plattform-Zertifikat wird vom Hersteller der Plattform — also etwa eines PCs, Laptops oder Mobiltelefons — ausgestellt. Es bestätigt, dass alle Plattform-Komponenten der TCG-Spezifikation genügen und dass die Plattform ein gültiges Trusted Platform Module enthält. Es wird also bescheinigt, dass das aktuelle System eine vertrauenswürdige Plattform darstellt. Conformance Zertifikat — Dieses Zertifikat bestätigt, dass das TPM-Design in der Plattform der TCG-Spezifikation genügt und das TPM korrekt implementiert ist. Validation Zertifikat — Dieses Zertifikat stellt für Komponenten oder Komponentengruppen wie beispielsweise Grafikkarten oder Eingabegeräte die Übereinstimmung und Korrektheit der Implementierung gegenüber der TCG-Spezifikation sicher. Die genannten Zertifikate dienen dem Nachweis der Vertrauenswürdigkeit des Computersystems im Auslieferungs- bzw. Herstellungszustand. Alle entsprechenden Schlüssel befinden sich an ausgezeichneten Speicherplätzen innerhalb des TPMs. Neben diesen Zertifikaten und Schlüsseln enthält jedes Trusted Platform Module einen eindeutigen Storage Root Key, kurz SRK. Der SRK dient zur Ableitung weiterer Schlüssel, so dass eine Schlüssel-Baumstruktur entsteht. Die Blätter dieses Baumes werden zur Verschlüsselung von Daten herangezogen. Der SRK wird erzeugt, sobald die Plattform durch ihren Eigentümer in Besitz genommen wird. Als weitere fundamentale Basiskomponenten des Trusted Platform Module sind die Roots of Trust zu nennen. Die Roots of Trust for Measuring Integrity Metrics (RTM) sind für das Messen und Aufzeichnen von bestimmten sicherheitsrelevanten Zuständen und das Protokollieren der Zustände im Trusted Platform Module verantwortlich. Durch die Roots of Trust wird sichergestellt, dass sich das Computersystem in einem vertrauenswürdigen Nachfolgezustand befindet, wenn eine das System verändernde Aktion ausgeführt wurde. In einem PC heißt die RTM auch CRTM. Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte ich kurz die wichtigsten Punkte noch einmal zusammenfassen. Mit einem Trusted Platform Modul können Sie ihre Geräte wie Mainboards von PCs, Notebooks und Mobiltelefone um grundlegende Sicherheitsfunktionen erweitern. Zusammen mit einem angepassten Betriebssystem und einer geeigneten Software erstellen Sie mit einem Trusted Platform Modul eine Trusted Computing Plattform. Diese ermöglicht eine weitreichende und umfangreich konfigurierbare Zugriffs- und Verwendungskontrolle, die typischerweise in Bereichen wie dem Lizenzschutz und dem Datenschutz genutzt wird. TPM-Chips stellen Ihnen verschiedene Sicherheitsfunktionen bereit um die Plattformintegrität zu gewährleisten. Kurzum: Auf ein TPM kann immer dann zurückgegriffen werden, wenn es gilt, sichere kryptografische Operationen durchzuführen und/oder ein sicheres Speichermedium bereitzustellen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12349445
info_outline
#128 - Was ist eigentlich ein Hotspot?
12/06/2019
#128 - Was ist eigentlich ein Hotspot?
Bevor ich Ihnen diese Frage beantworte, möchte ich ganz kurz auf zwei Begriffe eingehen, die häufig in Zusammenhang mit Hotspots genannt werden: WLAN und WiFi Die Abkürzung WLAN steht für Wireless Local Area Network und bedeutet zu Deutsch: Drahtloses lokales Netzwerk. Die Verbindung zum Internet erfolgt also drahtlos über einen sogenannten WLAN-Router. Der wesentliche Unterschied zu einem normalen LAN ist, dass das Endgerät beispielsweise ein Notebook nicht mit einem Kabel, sondern über ein Funksignal mit dem Internet verbunden ist. WLANs zeichnen sich durch ihre große Sendeleistung, Reichweite sowie ihrer hohen Datenübertragungsrate aus. WiFi hingegen steht für Wireless Fidelity und ist ein Kunstwort, das für den 802.11 Funk-Standard und dazu kompatible Geräte steht. Der Begriff WiFi wurde von einer Organisation namens Wi-Fi Alliance entwickelt, die Tests überwacht, die den nahtlosen Austausch zwischen Produkten zertifizieren. Ein Produkt, das die Tests besteht, erhält das Label "Wi-Fi certified" nach dem IEEE-802.11-Standard. Kehren wir nun zurück zu unserer Ausgangsfrage: Was ist eigentlich ein Hotspot? Ein Hotspot ist ein öffentlicher oder privater WLAN-Zugriffspunkt außerhalb des eigenen WLAN- Netzes. Öffentliche Hotspots, findet man mittlerweile an vielen öffentlichen Anlaufstellen wie Universitäten, Bibliotheken, Krankenhäusern, Flughäfen oder aber in Hotels, der Gastronomie und in Einkaufszentren. Während private WLAN-Zugänge nur von der Familie und vielleicht noch Gästen genutzt werden, sind Hotspots von vornherein auf eine öffentliche Nutzung angelegt. Man unterscheidet grundsätzlich zwischen gesicherten Netzwerken, auf die man ohne entsprechende Zugangsdaten keinen Zugriff hat, und ungesicherten Netzwerken, die für alle frei zugänglich sind. Beides hat seine Vor- und Nachteile. Ein gesichertes Netzwerk erfordert eine Authentifizierung mittels spezieller Zugangsdaten. Bei kostenpflichtigen Diensten ist eine Registrierung erforderlich, die ein wenig Zeit in Anspruch nimmt. Bei kostenfreiem WLAN, beispielsweise in Cafés oder Hotels, erhält man die Zugangsdaten meist auf Nachfrage. Hier genügt die Auswahl des entsprechenden Netzwerkes und die Eingabe der Zugangsdaten. Bei einem ungesicherten, unverschlüsselten Netzwerk erspart man sich dagegen die Zeit für Registrierung und Einrichtung und kann sofort lossurfen. Dafür ist man hier unerwünschten Spähangriffen leichter ausgeliefert. Wie funktioniert ein Hotspot-System? Grundsätzlich werden öffentliche Hotspots mit speziellen “Free WiFi” oder “Hotspot” Schildern oder Aufkleber gekennzeichnet. Sobald sich ein Nutzer in der Nähe eines öffentlichen WLAN-Hotspots befindet, muss er nur das WLAN seines Endgeräts aktivieren und nach “Verfügbare Netzwerke” suchen. Wird das WLAN des Anbieters angezeigt, kann er sich mit dem Netzwerk verbinden. Falls sich der Nutzer noch nicht authentifiziert hat, wird sein Web-Browser automatisch zunächst auf eine Anmeldeseite, ein sogenanntes Captive Portal, geleitet. Dort muss sich der Nutzer mittels Eingabe eines gültigen Prepaid- Codes oder Passwortes authentifizieren. Der eingegebene Prepaid- Code oder das Passwort wird anhand einer Datenbank, die im Internet oder lokal auf einem Hotspot-Router liegt, überprüft. Wenn der Code bzw. das Passwort mit den Informationen auf der Datenbank übereinstimmt wird der Benutzer freigeschaltet. Gleichzeitig wird ein Timer aktiviert der sicherstellt, dass der Zugang nach Ablauf der gebuchten Zeit endet und gesperrt wird. Allerdings ist es möglich, die Internet-Sitzung zwischenzeitlich zu unterbrechen. Meldet sich ein Nutzer ab, kann er sein nicht verbrauchtes Zeitguthaben später weiter nutzen. Einige Systeme bieten zudem die automatische Speicherung des Guthabens, falls der Benutzer vergisst, sich abzumelden. In der Regel sind auf Hotspots eine Benutzerisolierung konfiguriert. Das bedeutet, dass die Daten, die an einen anderen Benutzer des gleichen Hotspots gerichtet sind, nicht weitergeleitet werden und damit der gegenseitige Zugriff auf Netzwerkdienste von Geräten anderer Benutzer unterbunden wird. Allerdings bietet die Benutzerisolierung keinen Schutz gegen das Abhören eigener Daten, da diese von Cyberkriminellen mit sogenannten Sniffer-Programmen auch direkt empfangen werden können. Und da es bei der Nutzung öffentlicher Netzwerke keine absolute Sicherheit gibt, gilt jedoch die Grundregel bestenfalls überhaupt keine vertraulichen Daten über ein fremdes WLAN-Netz abzurufen. Will der Nutzer dennoch surfen, dann sollte er folgende Maßnahmen treffen: Nutzung eines Virtual Private Network (VPN): Durch die Nutzung eines VPN greift der Nutzer über einen verschlüsselten „Tunnel“ auf das Internet zu und verhindert so ein Abfangen von Daten durch einen Dritten. Deaktivierung der automatischen Anmeldung an bekannten WLAN-Hotspots: Durch die Deaktivierung der automatischen Anmeldung an bekannten Hotspots soll verhindert werden, dass Cyberkriminelle durch Benennung ihrer Hotspots nach gängigen Namen wie „Telekom“ oder „Free Wifi“ ein automatisches Einwählen von Nutzern erreichen, um dann deren Zugangsdaten abzugreifen oder den Datenverkehr mitzulesen. Grundsätzliche Deaktivierung der WLAN-Schnittstelle des Endgeräts – Aktivierung nur im Bedarfsfall: Deaktivierung der WLAN-Schnittstelle ist aus zwei verschiedenen Gründen eine wichtige Sicherheitsmaßnahme. Zum einen bietet ein ausgeschaltetes WLAN keine Angriffsfläche und zum anderen kann so das sog. WLAN-Tracking verhindert werden. Deaktivierung von Datei- und Verzeichnisfreigaben: Durch die Deaktivierung von Datei- und Verzeichnisfreigaben wird verhindert, dass das Gerät des Nutzers für andere sichtbar ist. Werden die genannten Maßnahmen zur Sicherung des eigenen Datenverkehrs getroffen, so bewegt man sich bereits deutlich sicherer durch öffentliche Netzstrukturen. Trotzdem sollte man sich im Einzelfall immer zweimal überlegen, ob man mit dem Abrufen und dem Transfer vertraulicher Daten nicht „warten“ kann, bis man sich in einer geschützten Netzwerkumgebung befindet. Bevor wir zum Schluss unseres heutigen Podcast kommen, möchte ich der Vollständigkeit halber noch kurz auf mobile Hotspots eingehen. Grundsätzlich hat es Vorteile, einen mobilen Hotspot einzurichten anstatt einen lokalen Hotspot zu nutzen. Denn lokale Hotspots, wie etwa in einem Café, sind häufig überlastet und haben zudem nur eine bestimmte Reichweite. Mit einem mobilen Hotspot ist man unabhängig von diesen Faktoren. Außerdem bietet ein mobiler Hotspot Sicherheit, da die Daten nicht über das Netzwerk eines öffentlichen lokalen Hotspots fließen, bei dem andere WLAN-Nutzer diese möglicherweise einsehen könnten. Es gibt mehrere Möglichkeiten, um einen mobilen Hotspot einzurichten. Mittels Smartphones: Als mobiler Hotspot baut das Smartphone eine Verbindung mit dem Internet auf und stellt diese anderen Geräten zur Verfügung. Dabei verbindet sich das Smartphone über das Mobilfunknetz mit einem oder mehreren internetfähigen Geräten, etwa Notebooks, PCs, Tablets und anderen Smartphones. Dieser Vorgang nennt sich Tethering. Mittels Mobile WLAN Router/MiFi Router: Hier handelt es sich um kleine Geräte, die sich mit dem mobilen Netz über 2G, 3G oder 4G verbinden und ein WLAN Netzwerk erstellen. Solche MiFi Router sind sehr praktisch, da sie es einem fast überall erlauben, schnell und unkompliziert ins Internet einzusteigen. Alles was man für mobiles Internet unterwegs braucht ist also eine SIM-Karte und einen MiFi Router (mobiler Wlan Router). Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12349409
info_outline
#127 - Was ist FTP?
11/29/2019
#127 - Was ist FTP?
Die Abkürzung FTP steht für File-Transfer-Protocol und ist die englische Bezeichnung für „Dateiübertragungsprotokoll”. Bei diesem Protokoll handelt es sich genauer gesagt um ein Netzwerkprotokoll, welches den Transfer von Daten zwischen einem Server und Client in einem IP-Netzwerk ermöglicht. Die ursprüngliche Spezifikation des File-Transfer-Protocol wurde am 16. April 1971 als veröffentlicht. RFC steht für Request for Comments und bezeichnet ein formelles Dokument der Internet Engineering Task Force. Im Oktober 1985 wurde mit die heute noch gültige Spezifikation des File Transfer Protocol eingeführt. Somit gilt das File-Transfer-Protocol als eines der ältesten Protokolle, die es im Zusammenhang mit dem Internet gibt. Das File-Transfer-Protocol dient primär dem Austausch von Dateien zwischen einem Client und einem Server oder der Übertragung zwischen zwei Servern. Hierbei sind mehrere Konstellationen denkbar: vom Server zum Client Client zum Server und von einem Server zu einem anderen Server. Hier spricht man in der Regel von einem Dateiaustausch mittels des File Exchange Protocols. Sobald eine FTP-Verbindung hergestellt worden ist, können FTP-User nicht nur Dateien hoch- und herunterladen, sondern auch neue Verzeichnisse anlegen, verändern, auslesen oder löschen. Außerdem können sie Dateien umbenennen, verschieben und löschen. Zudem ermöglicht das File Transfer Protocol die Berechtigungsverwaltung für Dateien. Sprich, man kann festlegen, ob gespeicherte Dateien nur vom Besitzer, von einer bestimmten Gruppe oder von der Öffentlichkeit gelesen, geändert oder ausgeführt werden dürfen. Aber lassen Sie mich die Dateiübertragung mittels des File Transfer Protokolls noch etwas näher erklären. Um einen FTP-Server zu erreichen, ist zunächst einmal der Verbindungsaufbau durch eine Benutzerauthentifizierung und einen FTP-Client notwendig. Beim FTP-Client handelt es sich um eine Software, die in den meisten Betriebssystemen standardmäßig integriert ist und welches das FTP-Protokoll zur Übertragung von Dateien nutzt. Ein FTP-Verbindungsaufbau sieht vor, dass das FTP zwei separate Verbindungen zwischen Client und Server herstellt. Eine Verbindung ist der Steuerkanal über den TCP-Port 21. Dieser Kanal dient ausschließlich zur Übertragung von FTP-Befehlen, auch Kommandos genannt und deren Antworten. Die zweite Verbindung ist der Datenkanal über den TCP-Port 20. Dieser Kanal dient ausschließlich zur Übertragung von Daten. Im ersten Schritt wird also der Steuerkanal vom FTP-Client zum FTP-Server aufgebaut. Steht der Steuerkanal werden sowohl Befehle des Clients zum Server gesendet als auch die Antworten des Servers zum Client übertragen. Im zweiten Schritt wird Datenverbindung vom FTP-Server zum FTP-Client initiiert, um die Daten auszutauschen, wie es in den Kommandos festgelegt wurde. Sobald die Dateiübertragungen abgeschlossen sind, werden die Verbindungen vom Benutzer oder vom Server (Timeout) beendet. Grundsätzlich gibt es zwei unterschiedliche Herangehensweisen, einen Datei-Transfer zwischen Client und Server zu initialisieren: den aktiven und den passiven Verbindungs-Modus. Beiden gemein ist, dass zuerst eine Steuerverbindung aufgebaut wird, über die FTP-Kommandos gesendet werden, und anschließend zum Datentransfer eine Datenverbindung aufgebaut wird. Der Unterschied liegt darin, wer diese Verbindungen aufbaut - Client oder Server. Im Detail läuft das folgendermaßen ab: Beim aktiven Verbindungsmodus reserviert der Client 2 TCP-Ports. Über den ersten Port baut er die Steuerverbindung zu Port 21 des Servers auf und teilt dem Server die 2. Port-Nummer mit, auf welchem der Client die Daten erwartet. Beim passiven Verbindungsmodus reserviert der Client 2 TCP-Ports zur eigenen Verwendung und baut über den ersten Port die Steuerverbindung zu Port 21 des Servers auf. Da eine passive Verbindung gewünscht ist, sendet der Client aus dem angesprochenen FTP-Befehlssatz das Kommando PASV. Damit weiß der Server: Eine passive Verbindung ist erwünscht, woraufhin er für sich einen TCP-Port für den Datentransfer reserviert und diesen Port dem Client mitteilt. Neben dem aktiven und dem passive Verbindungs-Modus kennt das FTP zwei verschiedene Übertragungsmodi: Den ASCII-Modus und den Binary-Modus, wobei sich die beiden Modi in der Art der Codierung unterscheiden. Der ASCII-Modus wird zur Übertragung von reinen Text-Dateien verwendet. Hier muss die Zeilenstruktur des Textes umcodiert werden. Bei diesem Vorgang wird der Zeichensatz dieser Datei an das Zielsystem angepasst. Der Binary-Modus hingegen überträgt die Dateien byteweise ohne die Daten zu ändern. Dieser Modus wird am häufigsten genutzt. Vorzugsweise natürlich bei Binär-Dateien. Außerdem bieten viele FTP-Server, vor allem Server von Universitäten ein sogenanntes Anonymous FTP an. Hier ist zum Einloggen neben den realen Benutzerkonten ein spezielles Benutzerkonto, typischerweise „anonymous“ und/oder „ftp“, vorgesehen, für das kein (oder ein beliebiges) Passwort angegeben werden muss. Früher gehörte es zum „guten Ton“, bei anonymem FTP seine eigene, gültige E-Mail-Adresse als Passwort anzugeben. Die meisten Webbrowser tun dies heute nicht mehr, da es aus Spamschutz-Gründen nicht zu empfehlen ist. Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte Ihnen kurz die Begriffe FTPS und SFTP erläutern und vor allem warum sie zum Einsatz kommen. Zunächst einmal müssen Sie wissen, obwohl ein -User zum FTP-Verbindungsaufbau stets ein Kennwort und Passwort eingeben muss, erfolgt die Übertragung von Dateien zwischen Client und Server immer unverschlüsselt. Das bedeutet, dass mit etwas Know-How und den richtigen Tools die gesamte Kommunikation einfach abgehört und auch verändert werden kann. Daher kann bei einer FTP-Verbindung kein Datenschutz oder und ein Schutz der Datenintegrität gewährleistet werden. Um die Sicherheitsprobleme des FTPs zu umgehen hat man nun zwei Möglichkeiten: den Einsatz von SFTP oder FTPS. FTPS erweitert das FTP-Protokoll um eine SSL-Verschlüsselung. Da FTPS aber auch unsichere Verbindungen auf FTP-Basis ermöglicht, ist es nicht unbedingt das sicherste Protokoll. Im Gegensatz dazu basiert SFTP auf einem neueren Protokoll: SSH (Secure Shell). Dabei werden sämtliche Verbindungen verschlüsselt über einen zuverlässigen Kanal übermittelt. Eine unverschlüsselte Verbindung ist mit SSH somit ausgeschlossen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12349385
info_outline
#126 - Was ist eigentlich ein Captcha?
11/22/2019
#126 - Was ist eigentlich ein Captcha?
Jeder kennt sie, niemand mag sie: CAPTCHAs. Vermutlich haben Sie auch des Öfteren Straßenschilder abgetippt, verzerrte und oftmals undefinierbare Ziffern wiedergegeben oder auch nur Tierbilder ausgewählt, um zu bezeugen, dass sie kein Roboter, sondern ein echter Webseitenbesucher mit Herz & Seele sind, richtig? Der Begriff “CAPTCHA” steht für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Frei übersetzt handelt es sich dabei also um einen „Test zur Unterscheidung zwischen Menschen und Computer“. CAPTCHAs dienen der IT-Sicherheit und werden oft als Sicherheitsmechanismus eingesetzt, um interaktive Webseiten vor Missbrauch zu schützen und automatische Eingaben oder Abfragen von Spam- und Click-Robotern (Bots) abzuwehren. Man findet sie heutzutage nahezu in allen Bereichen, in denen es menschliche Nutzer von Bots zu unterscheiden gilt. Das betrifft beispielsweise Anmeldeformulare für E-Mail-Services, Newsletter, Communities und soziale-Netzwerke, aber auch Online-Umfragen oder Web-Services wie Suchmaschinendienste. In der Regel handelt es sich bei CAPTCHAs meist um Challenge-Response-Tests, bei denen der Webseitenbesucher eine Aufgabe, die sogenannte Challenge, lösen und das entsprechende Ergebnis (Response) zurückschicken muss. Diese Art von Sicherheitsabfragen können menschliche Nutzer ohne weiteres bewältigen, während sie automatisierte Bots vor ein nahezu unlösbares Problem stellen. Welche Arten von CAPTCHAs gibt es heutzutage? Grundsätzlich lassen sich CAPTCHAS in text- und bildbasierte CAPTCHAs, Logik- und Frage-CAPTCHAs, Audio CAPTCHAs und Gamification CAPTCHAs unterteilen. Textbasierte CAPTCHAs: Sie ist die älteste Form der Human Verifikation. Textbasierte CAPTCHAs zeigen verzerrte Wörter, Buchstaben oder Zahlen mit zusätzlichen grafischen Elementen wie Linien, Bögen, Punkten oder Farbverläufen. Der Webseitenbesucher muss diese entziffern und ins Eingabefeld eintragen. Klassische Verfahren, die bei der Erstellung textbasierter CAPTCHAs zum Einsatz kommen, sind Gimpy, ez-Gimpy, Gimpy-r und Simard’s HIP. reCAPTCHA: Eine prominente Variante des klassischen Text-CAPTCHAs bietet Google mit reCAPTCHA an. Statt zufällige Lösungswörter zu generieren, bekommen Nutzer beispielsweise Straßennamen, Hausnummern, Verkehrs- und Ortsschilder sowie Fragmente eingescannter Textabschnitte angezeigt, die sie entziffern und über die Tastatur in ein Textfeld eingeben müssen. Bildbasierte CAPTCHAs zeigen mehrere Bilder an und fordern den User etwa dazu auf, sämtliche Bilder mit einer Ampel zu markieren. Die Anwendung fällt leichter und die Schutzwirkung gilt als relativ hoch. ● Audio-CAPTCHAs ermöglichen auch sehbehinderten Menschen einen Zugang zu catch-geschützten Bereichen einer Webanwendung. In der Regel werden text- oder bildbasierte Prüfverfahren mit sogenannten Audio-CAPTCHAs kombiniert. Oft wird dazu eine Schaltfläche implementiert, mit der Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abrufen – zum Beispiel eine kurze Zahlenfolge, die in ein dafür vorgesehenes Eingabefeld eingetippt wird. Logik-CAPTCHAs zeigen beispielsweise leichte Mathematik-Aufgaben, wie „Was ist die Summe aus 3+6?“. Die Aufgabe können aber auch Bots leicht lösen. Schwieriger ist eine Aufgabe wie „Berechne 3+6 und trage die ersten zwei Buchstaben der errechneten Ziffer ins Feld ein“. Hier wäre „ne“ der richtige CAPTCHA-Code. Gamification CAPTCHAs, sind mehr oder weniger unterhaltsame Minispiele, bei denen der Anwender beispielsweise Puzzleteile mit der Maus an die richtige Stelle rücken muss. Bevor wir zum Ende unseres heutigen Podcasts kommen, möchte ich noch ganz kurz auf die Frage eingehen: Gibt es alternative Lösungen zu CAPTCHAs? Obwohl CAPTCHAs zu den weitverbreitetsten Sicherheitsabfragen zur Erkennung von maschinellen Zugriffen zählen, gibt es auch alternative Sicherheitsmechanismen. Zu bekannten Alternativen gehören unter anderem: Black-Lists: Sobald Webseitenbetreiber vermehrt Spambeiträgen oder massenhafte, automatische Abfragen aus einer bestimmten Quelle verzeichnen, können sie die Black List, eine sogenannte Sperrliste nutzen, um alle Server oder IP-Adressen aufzuführen, die bei zukünftigen Abfragen blockiert werden sollen. Honeypots: Ein Honeypot ist ein für den Nutzer nicht sichtbares Formularfeld. Es stellt eine Falle für die Bots dar. Diese füllen in der Regel alle Formularfelder aus. Sie können nicht erkennen, dass das Honeypot-Feld für den Nutzer nicht sichtbar ist. Folglich wird es von Bots mit ausgefüllt. Der Nutzer hingegen sieht das Feld ja nicht und lässt es leer. Somit kann der übertragene Inhalt von der Webseite leicht als Spam erkannt werden. Content-Filter: Content-Filter bieten eine Möglichkeit, Kommentarspam auf Blogs, in Onlineshops oder Foren entgegenzuwirken. Auch diese arbeiten mit Black-Lists. Dabei definieren Webseitenbetreiber sogenannte „Hot Words“, Keywords die in erster Linie im Rahmen von Spam-Kommentaren vorkommen, um verdächtige Eingaben automatisch als computergeneriert zu identifizieren. Kommen Content-Filter zum Einsatz, steigt jedoch die Gefahr, dass auch Beiträge menschlicher Nutzer blockiert werden, sofern diese Keywords der Black-List enthalten. Serverseitige Filterung: Auf den meisten Webservern kommt eine Filter-Software zum Einsatz, die es ermöglicht, auffällige Interaktionen mit bestimmten Bereichen einer Website zu erkennen und so den Schaden durch Spam-Bots zu begrenzen. Zusammenfassend lässt sich sagen, CAPTCHAs können effektiv vor automatisierten und maschinell verbreiteten Spam-Nachrichten schützen. Obwohl die CAPTCHA-Technologie mit Einbußen in der Benutzerfreundlichkeit einhergeht und insbesondere Menschen mit Behinderungen oder Einschränkungen eine zusätzliche Barriere darstellt, ist sie für den Schutz einer Website oder eines Dienstes unverzichtbar. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12349361
info_outline
#125 - Was ist der Bitlocker?
11/15/2019
#125 - Was ist der Bitlocker?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein Bitlocker?” Bei BitLocker handelt es sich um eine Sicherheitsfunktion von Microsoft, die in bestimmten Versionen des Windows-Betriebssystems integriert ist und eine Verschlüsselung der Systemlaufwerke, Festplatten oder Wechseldatenträger ermöglicht. Dadurch bleiben die Daten bei Diebstahl oder beim physischen Entfernen einer Festplatte aus einem Rechner geschützt. Die BitLocker-Laufwerkverschlüsselung sorgt in erster Linie dafür, dass Nutzer Daten nur dann lesen oder schreiben können, wenn sie über das erforderliche Kennwort bzw. die entsprechenden Smartcard-Anmeldeinformationen verfügen oder aber ein Datenlaufwerk auf einem Computer verwenden, der mit Bitlocker geschützt wird und über die entsprechenden Schlüssel verfügt. Darüber hinaus können Nutzer mit der BitLocker-Verschlüsselung ihr System so konfigurieren, dass dieses nur dann gestartet werden kann, wenn die richtige PIN eingegeben oder eine Schlüsseldatei auf einem Wechseldatenträger bereitgestellt wird. Wie funktioniert die BitLocker-Verschlüsselung nun genau? Zunächst einmal müssen Sie wissen, die BitLocker-Verschlüsselung durch den Advanced Encryption Standard, kurz AES, erfolgt. Die Schlüssellänge beträgt dabei 128 oder 256 Bit. Außerdem setzt BitLocker für den Idealfall voraus, dass in dem System, dessen Laufwerke verschlüsselt werden sollen, eine Trusted Platform Module -Lösung integriert ist. Hierbei handelt es sich um einen Chip, der grundlegende Sicherheitsfunktionen zur Verfügung stellt. Zwar ist ein solcher TPM-Chip für die Aktivierung von BitLocker optimal, aber nicht zwingend erforderlich. Kehren wir nun zur Frage zurück, Wie funktioniert die BitLocker-Verschlüsselung nun genau? Um ein Systemlaufwerk verschlüsseln zu können, benötigt BitLocker grundsätzlich eine eigene Partition auf der Systemfestplatte. Auf dieser befinden sich dann alle notwendigen Daten, um den Rechner zu starten und die verschlüsselten Daten der Betriebssystem-Partition zu laden. Wird die Verschlüsselung aktiviert, erstellt Windows bei Bedarf diese Partition automatisch. Diese Systempartition greift dann vor jedem Starten des Betriebssystems auf den TPM-Chip zu, um sicherzustellen, dass die Hardware im Offlinezustand weder verändert noch manipuliert wurde. Sobald die Integrität des Systems durch das TPM-Chip sichergestellt wurde, entschlüsselt BitLocker die Systemfestplatte und das Betriebssystem kann endlich starten. Grundsätzlich lässt BitLocker lässt sich abhängig von der Ausstattung des Computers in fünf verschiedenen Varianten betreiben. Computer ohne Trusted Platform Module- Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker die Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann. Computer mit Trusted Platform Module- Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme. Trusted Platform Module und PIN - Bei dieser Variante müssen Anwender zusätzlich bei jedem Neustart des Computers eine PIN eingeben. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird. Recovery-Schlüssel - Diese Funktion wird benötigt, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen. Welche Windows-Versionen unterstützen die BitLocker-Verschlüsselung? Die Bitlocker-Verschlüsselung wird grundsätzlich nur von bestimmte Windows-Versionen unterstützt. Dazu zählen: die Ultimate- und Enterprise-Versionen von Windows Vista die Ultimate- und Enterprise-Versionen von Windows 7 die Pro- und Enterprise-Versionen von Windows 8 und Windows 8.1 die Pro- und Enterprise-Versionen von Windows 10 die Windows-Server-Versionen ab Windows Server 2008 In Windows 10 Home ist die Unterstützung der Verschlüsselung zwar grundsätzlich vorhanden aber nicht nutzbar. Bevor wir nun zum Ende unsere heutigen Podcasts kommen, möchte ich noch ganz kurz auf die Vor-und Nachteile der BitLocker-Verschlüsselung eingehen. Die BitLocker-Verschlüsselung bietet zahlreiche Vorteile. Dazu zählen: die Sicherheitsfunktion ist vollständig in das Windows-Betriebssystem integriert und einfach zu bedienen. die Bitlocker-Verschlüsselung verhindert, dass Festplatten aus einem Rechner entfernt und auf einem anderen Rechner eingelesen werden. Somit sind beim Diebstahl eines Rechners die Daten geschützt und für Unbefugte ohne Kenntnis des Schlüssels, der PIN oder dem Besitz der Schlüsseldatei nicht lesbar. die Vertrauliche Daten werden durch den Advanced Encryption Standard 128/256 gesichert der Login ist nur per Trusted Platform Module oder per Master – Key vom System möglich Neben bereits genannten Vorteilen birgt die BitLocker-Verschlüsselung auch Nachteile, wie die verzögerte Startzeit beim Booten die geringfügige erhöhte Auslastung des Systems und der Zugriffssperre, bei Verlust oder beim Vergessen des Login-Keys Zusammenfassend lässt sich sagen, dass man mit BitLocker sowohl eine effektive Datensicherung als auch Datenschutz gewährleisten kann. Auch wenn es einige Nachteile gibt, sollten Sie nicht vor einer BitLocker-Verschlüsselung abschrecken lassen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12035315
info_outline
#125 - Was ist eigentlich ein Ryuk?
11/08/2019
#125 - Was ist eigentlich ein Ryuk?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein Ryuk?” Bei Ryuk handelt es sich um einen neuen hochriskanten Verschlüsselungstrojaner, der gezielt große Unternehmen und staatliche Behörden angreift, um immens hohe Lösegelder für die Entschlüsselung verschlüsselter Datenbestände zu fordern. Der Verschlüsselungstrojaner Ryuk trat erstmals im August 2018 in Erscheinung und erwirtschaftete seitdem mindestens 705 Bitcoins Lösegeld – umgerechnet entspricht das derzeit 2,25 Millionen Euro. Aufgrund seiner Ähnlichkeit mit der Ransomware Hermes, gehen Sicherheitsexperten davon aus, dass beide Viren von der gleichen Hackergruppe entwickelt wurden und der Ursprung von Ryuk vermutlich in Russland liegt. Ryuk tritt häufig in Kombination mit anderen Schadprogrammen wie Emotet und TrickBot auf. Er wird als besonders gefährlich eingestuft, da er neben der Verschlüsselung geschäftskritischer Daten, sämtliche Sicherungskopien die er in einem System und/ oder Netzwerk findet löscht und dadurch die Datenwiederherstellung erschwert. Bevor es allerdings zu einer Infektion mit Ryuk kommt, öffnet der Trojaner Emotet seinen Mitstreitern die Tür zum Computersystem. Dabei installiert er sich in den meisten Fällen beim Öffnen eines infizierten E-Mail-Anhangs selbst und beginnt anschließend, das gesamte Computernetzwerk auszuspähen. Im nächsten Schritt lädt er den Banking-Trojaner TrickBot nach. Dieser sammelt Informationen und sorgt für Datenabfluss. Dabei greift er vor allem Kontozugangsdaten für Bankkonten ab und gewährt den Hintermännern somit Einblick in die finanzielle Situation eines Unternehmens. Zu guter Letzt hat dann die Ryuk-Ransomware ihren großen Auftritt. Wenn die Angreifer das Unternehmen als angemessen lukrativ für eine Lösegeldforderung einschätzen, lädt TrickBot schließlich die Verschlüsselungssoftware Ryuk herunter. Diese verschlüsselt vor allem geschäftskritische Datenbestände, welche bei der Auskundschaftung des Unternehmens als besonders wichtig eingestuft worden sind. Dabei nutzt sie die starken Verschlüsselungsalgorithmen RSA-4096 und AES-256. Darüber hinaus löscht sie im gleichen Zuge sämtliche Sicherungskopien, die sie finden kann. Eine weitere Besonderheit von der Ryuk-Ransomware ist, dass sie im Gegensatz zu ihren Artgenossen, die verschlüsselten Daten nicht umbenennt, sondern eine Textdatei namens ("RyukReadMe.txt") erzeugt. Dessen Kopie fügt sie jedem vorhandenen Ordner bei, sodass die Betroffenen mehrere einzigartige Schlüssel benötigen, sprich mehr Lösegeld zahlen müssen, um die Daten zu entschlüsseln. Im finalen Schritt fordert sie mittels einer Nachricht auf dem “Sperrbildschirm” die Betroffenen auf, das Lösegeld für die Entschlüsselung der Daten zu überweisen. Um hierbei die Spuren zu verwischen, werden die Zahlungen auf mehrere Bitcoin-Wallet aufgeteilt. Wie kann man sich nun vor solchen gefährlichen Ryuk-Angriffen schützen? Der beste Schutz gegen Ryuk-Angriffe ist, das man gar nicht erst mit infizierten Dokumenten und Dateien in Kontakt kommt und für ein rundum abgesichertes Unternehmensnetzwerk sorgt. Damit ein Unternehmensnetzwerk wirklich sicher ist, müssen Sie alle Komponenten innerhalb des Netzwerks sichern, aufeinander abstimmen und auf dem neuesten Stand halten. All dies erreichen sie unter anderem durch: ● Updates und Patches, die möglichst zeitnah nach Veröffentlichung installiert werden. Damit kann man bekannte Sicherheitslücken, Schwachstellen und mögliche Einfallstore in Betriebssystemen oder Anwendungen schließen. ● einer aktuellen Antiviren-Software, die viele Schädlinge erkennt, blockiert und beseitigt, so dass es gar nicht erst zu deren Ausführung kommt. ● einer richtig konfigurierten Firewall, die die Kommunikation zwischen Netzwerk und Internet überwacht. Sobald sie einen verdächtigen Datenfluss registriert, wird diese gemeldet und die Kommunikation geblockt. ● einen Spamfilter, der eine ganze Menge schädlicher E-Mails aussortiert, so dass diese gar nicht erst in einem E-Mail Postfach landen. Allerdings können Spamfilter im Falle von Emotet und Ryuk nicht ausreichend sein. Hier müssen alle Mitarbeiter im richtigen Umgang mit E-Mails samt E-Mail Anhängen geschult werden. ● regelmäßige Security-Awareness Trainings. Dadurch können sowohl Mitarbeiter, als auch die Geschäftsführung und alle Anwender in einem Unternehmensnetzwerk für potentielle Gefahren sensibilisiert und im Umgang mit diesen geschult werden. ● regelmäßige Backups, die im Falle eines Angriffs oder eines Ausfallszenarios einen Datenverlust minimieren. ● die Deaktivierung von Makros in Office-Dokumenten Kommt es allerdings doch zu einem Sicherheitsvorfall müssen Sie Ruhe bewahren und dürfen unter keinen Umständen voreilige Maßnahmen treffen, die womöglich die Situation noch verschlimmern oder für die Analyse wertvolle Spuren vernichten könnten. Melden Sie den Vorfall an das BSI. Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung gemäß Art. 33 DSGVO an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend. Darüber hinaus sollten sie eine Sprachregelung zum Vorfall formulieren und Ihre Mitarbeiter informieren. Im Fall einer Verschlüsselung von Daten sollten Sie grundsätzlich nicht auf die Erpressung eingehen und Lösegeld bezahlen. Stattdessen sollten die Daten nach einem Neuaufbau des Netzwerks aus Backups zurückgespielt werden. Bevor wir nun zum Schluss unseres heutigen Podcasts kommen, möchte ich noch einmal ganz kurz alle wichtigen und jüngsten Fakten über die Ransomware Ryuk zusammenfassen: Ryuk greift gezielt große Unternehmen und staatliche Behörden an, die erstens in der Lage sind hohe Lösegeldforderungen zu zahlen. Zweitens bereits mit den Schadprogrammen Emotet und TrickBot infiziert wurden. Vor dem Ausrollen von Ryuk führen die Hintermänner mithilfe der Standard-Tools der Windows-Befehlszeile eine Netzwerkerkundung durch. Die Hintermänner erreichen eine Lateral-Bewegung durch die Netzwerke der Betroffenen, indem sie die legitimen, gesammelten Anmeldeinformationen und Fernzugriffs-Tools wie RDP missbrauchen Um den Zugang aufrechtzuerhalten, erstellen die Cyberkriminellen Service-Benutzerkonten, die auch verwendet werden können, um auf Recovery-Bemühungen zu reagieren Sobald die Hintermänner Zugriff auf Konten mit erweiterten Rechten haben, deaktivieren bzw. entfernen Sie Sicherheitssoftware, Protokollierung und Backups Außerdem werden Batchskripts und Windows-Tools wie PsExec genutzt, um Ryuk über einzelne Maschinen hinweg einzusetzen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12035303
info_outline
#123 - Was ist eigentlich ein UEFI?
11/01/2019
#123 - Was ist eigentlich ein UEFI?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein UEFI?” Die Abkürzung UEFI steht für "Unified Extensible Firmware Interface", was auf Deutsch soviel wie „Einheitliche erweiterbare Firmware-Schnittstelle“. bedeutet. Das Unified Extensible Firmware Interface ist der Nachfolger des lange bewährten Basic Input/Output System. Da das 1981 veröffentlichte PC-BIOS den rasant verändernden Anforderungen moderner Hardware und Betriebssysteme nicht mehr gerecht wurde, entstand das erste EFI (Extensible Firmware Interface) unter der Anleitung und der Initiative von Intel. 2005 wurde das UEFI-Forum zur Weiterentwicklung von EFI, unter anderem durch Microsoft, Hewlett-Packard, AMD und anderer BIOS- & PC-Hersteller gegründet. Aus diesem Zusammenschluss entstand 2006 die erste UEFI-Version 2.0. Diese bildet wie auch das BIOS, die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem und das System nach dem Start dem Betriebssystem zu übergeben. Im Gegensatz zum BIOS stellt das UEFI ein eigenes kleines Betriebssystem dar, sodass sich Updates direkt über das UEFI laden und installieren lassen. BIOS-Updates dagegen, mussten früher heruntergeladen und aufwendig ins BIOS eingespielt werden. Außerdem umfasst die UEFI-Spezifikation eine API-Schnittstelle, um den Bootprozess und die Booteinträge von einem laufenden Betriebssystem aus konfigurieren zu können. Die Grundfunktionen des Unified Extensible Firmware Interfaces haben sich gegenüber dem Basic Input/Output System nicht wirklich verändert. Wie das BIOS wird auch UEFI bereits bei der Herstellung eines Rechners installiert. Es ist somit das erste Programm, das nach dem Einschalten ausgeführt wird. Dabei sorgt das Unified Extensible Firmware Interface für die Initialisierung der Hardware, die Überprüfung und Aktivierung der vorhandenen Hardwarekomponenten und das Starten des Betriebssystems. Im Gegensatz zum BIOS bietet das Unified Extensible Firmware Interface allerdings viele neue Funktionen und eröffnet zusätzliche Möglichkeiten. Beispielsweise ist es über eine grafische Benutzeroberfläche bedienbar und unterstützt hochauflösende Grafikkarten schon beim Bootvorgang. Außerdem ermöglicht es die Nutzung von Netzwerkkarten schon vor dem Start des Betriebssystems. Darüber hinaus ist das Unified Extensible Firmware Interface modular erweiterbar. Eine weitere wichtige und nennenswerte Funktion ist der so genannte Secure Boot. Der im Unified Extensible Firmware Interface implementierte Secure-Boot-Mechanismus soll sicherstellen, dass nur signierte, vertrauenswürdige Software oder Betriebssysteme auf die Hardware zugreifen können. Das bedeutet wiederum, dass die Ausführung von Schadsoftware wie Viren oder Trojanern und das Starten von unerwünschten Betriebssystemen durch die Secure-Boot-Funktion verhindert wird. Zur Realisierung dieser Funktion sind in der UEFI-Firmware Signatur-Datenbanken und ein Platform Key (PK) implementiert. Dadurch ist es möglich, Softwarecode vor der Ausführung zu überprüfen. Mal angenommen man möchte ein Betriebssystem starten. Wenn die digitale Signatur im UEFI nicht hinterlegt ist, wird dieser Vorgang durch den Secure-Boot-Mechanismus verhindert. Das gilt auch für das Booten von externen Medien wie USB-Sticks oder DVDs. Ein weiterer entscheidender Unterschied ist zwischen dem BIOS und dem UEFI ist, dass Festplatten und SSDs anders partitioniert werden. Während das BIOS mit MBR arbeitet, nutzt UEFI das GPT-Partitionsschema. So kann man statt 4 primären Partitionen bis zu 128 Partitionen einrichten und statt 2,2 TByte nun 3 TByte große Speichermedien verarbeiten. Ein weiterer Vorteil des UEFIs ist, dass die parallele Initialisierung der Hardware wie CPU, Arbeitsspeicher und Chipsatz den Bootvorgang beschleunigt. Im BIOS läuft dieser Vorgang seriell ab. Leider hat das Unified Extensible Firmware Interface auch einige nennenswerte Nachteile und konzeptionelle Schwächen: Zum einen benötigen viele Hardwarekomponenten nach wie vor zwei unterschiedliche Treiber, einen für das UEFI und einen für das eigentliche Betriebssystem. Zum anderen gilt das UEFI in kritischen Systemumgebungen als Sicherheitsrisiko. Es erzeugt zumindest eine theoretische Möglichkeit, beispielsweise unter Ausnutzung der UEFI-Netzwerkunterstützung, Daten vom Betriebssystem unbemerkt an Netzwerkressourcen zu senden oder von diesen zu empfangen. Zudem stellt der Netzwerkstack unterhalb des Betriebssystems ein erhöhtes Risiko für Manipulationen oder die Ausführung von Schadsoftware dar. Trojaner und Viren könnten bereits vor dem Start des Betriebssystems auf den Rechner gelangen, da die Sicherheitssoftware der Betriebssystemumgebung im UEFI nicht aktiv ist. Bevor wir nun zum Schluss unseres heutigen Podcast kommen, möchte ich noch auf die Frage eingehen, wie sieht es eigentlich mit der Kompatibilität zum BIOS aus? Das Unified Extensible Firmware Interface bietet einen speziellen Kompatibilitätsmodus, um ältere Betriebssysteme ohne UEFI-Kompatibilität zu unterstützen. Man nennt das Modul Compatibility Support Module (CSM). Dieses Modul bildet ein normales BIOS innerhalb des UEFIs nach. Damit können auch ältere Betriebssystem mit einem UEFI-Motherboard starten. Je nach Implementierung zeigen die Systeme unterschiedliches Verhalten. Einige prüfen zunächst, ob UEFI-kompatible Bootmedien vorhanden sind und versuchen anschließend darüber zu booten. Hat dies keinen Erfolg, wechseln sie in einen BIOS-kompatiblen Modus. Andere Systeme erlauben das direkte Umschalten zwischen dem Basic Input/Output System und dem Unified Extensible Firmware Interface. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12035276
info_outline
#122 - Was ist eigentlich eine API?
10/25/2019
#122 - Was ist eigentlich eine API?
Heute dreht sich alles um das Thema: „Was ist eigentlich eine API?” Der Begriff API stammt aus dem Englischen und ist die Kurzform von „Application-Programming-Interface". Frei ins Deutsche übersetzt bedeutet das, so viel wie „Schnittstelle zur Anwendungsprogrammierung“. Allerdings wird die API umgangssprachlich meistens als bezeichnet und ist für das moderne Programmieren unerlässlich. Generell dienen Programmierschnittstellen zur Kommunikation, zum Austausch sowie zur Weiterverarbeitung von Daten und Inhalten zwischen verschiedenen Geräten, Programmen, Websites oder Anbietern. So ermöglichen APIs zum Beispiel die Fernsteuerung der heimischen Heizung, indem sie die Temperaturwerte, die von einem Thermostat gemessenen wurden, über eine Cloud zum Smartphone des Endverbrauchers übermitteln. Im Gegensatz zu einer Benutzerschnittstelle kommunizieren die Anwendungen direkt miteinander und nicht der Menschen mit einem System. Mal angenommen ein Internetnutzer bestellt einen Fernseher im Webshop. Dann kommuniziert er nur über die Weboberfläche des Onlineshops. Das Shopsystem selbst kann über die Programmierschnittstelle die Kundenbonität erfragen, die Zahlung per Kreditkarte oder Paypal veranlassen, bei einer Versicherung eine Garantieverlängerung abschließen und einen Spediteur beauftragen. In anderen Unternehmensprozessen gewährleisten Programmierschnittstellen beispielsweise den Austausch sowie die Weiterverarbeitung von Daten und Inhalten zwischen Customer Relationship Management (CRM), Dokumentenmanagementsystem (DMS) und Enterprise-Resource-Planning (ERP) über die Cloud. Aber wie funktioniert die API nun genau? Die Programmierschnittstelle dient wie bereits erwähnt dazu, Soft- und Hardwarekomponenten wie Anwendungen, Festplatten oder Benutzeroberflächen zu verbinden, sprich mit einer API können zwei Anwendungen, die voneinander unabhängig sind, problemlos interagieren und Inhalte, Ressourcen und Daten austauschen. Die Übergabe von Daten und Befehlen erfolgt dabei strukturiert nach einer zuvor definierten Syntax*. Hierzu werden einzelne Programmteile, die spezifische Funktionen erfüllen, vom Rest des Programmes abgekapselt. Die Module kommunizieren untereinander lediglich über die festgelegte API. Dort werden ausschließlich die Daten übergeben, die für den weiteren Programmablauf benötigt werden. Die API definiert dabei, in welcher Form Daten vom Anwendungsmodul entgegengenommen und wieder zurückgegeben werden. Der eigentliche Programmablauf innerhalb des Moduls ist für die API unwichtig. Im Gegensatz zu einer Binärschnittstelle, kurz ABI, findet in der API die Programmanbindung rein auf der -Ebene statt. Zur Bereitstellung einer API gehört meist eine ausführliche elektronische oder aber eine papiergebundene Dokumentation, in der die einzelnen Schnittstellenfunktionen, der genauen Syntax und die möglichen Parameter aufgeführt sind. Grundsätzlich können Programmierschnittstellen in verschiedene Typen unterteilt werden: funktionsorientierte APIs, dateiorientierte APIs, objektorientierte APIs, protokollorientierte APIs und die RESTful-API-Schnittstelle. Funktionsorientierte APIs: Die funktionsorientierten Programmierschnittstellen reagieren nur auf Funktionen, wahlweise mit oder ohne Rückgabewert. Auf den Aufruf einer Funktion folgt die Ausgabe eines Referenzwertes (Handle). Dieser Wert dient zum Aufruf weiterer Funktionen, sind alle Funktionen verfügbar, wird das Handle geschlossen. Dateiorientierte APIs: Die dateiorientierten Programmierschnittstellen werden über die Befehle open, read, write und close angesprochen. Gesendete Daten werden mit write geschrieben, sollen Daten empfangen werden, sind diese mit dem read-Kommando einzulesen. Objektorientierte APIs: Die objektorientierten Programmierschnittstelle adressieren definierte Schnittstellen-Pointer, was diesem Schnittstellentyp gegenüber funktionsorientierten Schnittstellen eine erhöhte Flexibilität verleiht. Oft wird mit den Daten auch eine Typ- oder Klassen-Bibliothek übergeben. Protokollorientierte APIs: Die protokollorientierten Programmierschnittstellen befinden sich in keinerlei Abhängigkeit von Betriebssystem oder Hardware, allerdings ist das Übergabeprotokoll stets neu zu implementieren. Um diesen Vorgang zu erleichtern, werden protokollorientierte Schnittstellen im Regelfall von interface- oder funktionsorientierten Schnittstellen gekapselt. RESTful-API-Schnittstelle: Die RESTful-API-Schnittstelle stellt einen Sonderfall dar. Hierbei handelt es sich um eine Schnittstelle für Anfragen im HTTP-Format, der Datenzugriff erfolgt über GET-, PUT-, POST- und DELETE-Befehle. Programmierschnittstellen sind mittlerweile in vielen Bereichen unterschiedlichster Softwareanwendungen vorzufinden. Im Web-Umfeld kommen APIs häufig bei Online-Shops und Content-Management-Systemen zum Einsatz. Es können dadurch unterschiedliche Bezahldienstleister, Online-Marktplätze, Shop-Bewertungssysteme oder Versanddienstleister und weitere Services mit wenig Aufwand standardisiert an die verschiedenen Systeme angebunden werden. Beispielsweise existieren APIs zu Services wie: Wikipedia, Google Maps, Facebook, Twitter, PayPal, DHL etc. Bevor wir nun zum Ende unseres heutigen Podcasts kommen, möchte ich auf die Frage eingehen: Welche Vorteile ergeben sich nun durch die Verwendung von Programmierschnittstellen? Einer der vielen Vorteile ist es, die Entwicklung von Software zu vereinfachen, indem komplizierte und zeitaufwendige Aufgaben automatisiert werden. Das bedeutet, dass bestimmte Aufgaben, die mehrere Stunden in Anspruch nehmen, nun in wenigen Sekunden durchgeführt werden können. Zudem sind die angebundenen Programme weniger fehleranfällig und leichter wartbar, da modulare Programmcodes verwendet werden. Arbeiten einzelne Funktionen fehlerhaft, müssen lediglich die betroffenen Module und die an der API übergebenen Daten genauer geprüft werden. Ein weiterer Vorteil, dass sich aus einer sauber dokumentierten Programmierschnittstelle ergibt, ist die Möglichkeit der Auslagerung von Programmierarbeiten. Die Entwicklung einzelner Teilbereiche einer Software kann dank der Programmierschnittstelle mit geringem Aufwand an eine externe Softwareunternehmen oder freie Entwickler übertragen werden. Zudem können Drittanbieter selbst Funktionen für das System entwickeln. Dadurch steigert sich die Attraktivität und Flexibilität des Gesamtprodukts und es ergeben sich klare Wettbewerbsvorteile. Allerdings gibt es neben den genannten Vorteilen auch Nachteile: Um andere Anwendungen, Festplatten oder Benutzeroberflächen individuell anbinden zu können, braucht man Programmierkenntnisse. Hat man also keinen Entwickler im Unternehmen, muss man jemanden extern beauftragen. Außerdem benötigt das Entwickeln einer Anbindung Zeit. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/12035264
info_outline
#121 - Was ist ein VLAN?
10/25/2019
#121 - Was ist ein VLAN?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein VLAN?” Ein Virtual Local Area Network, kurz VLAN oder virtuelles LAN, ist ein virtuelles, rein logisches Netzwerk, welches auf einem physikalischen Netz basiert. Bevor wir uns aber der Ausgangsfrage widmen, möchte ich Ihnen kurz den Begriff LAN erläutern. Das physische Netzwerk, auch bekannt unter dem Begriff LAN oder Local Area Network, basiert heutzutage in den meisten Fällen auf einem oder mehreren Switches. Switches sind Geräte, die den Datenverkehr unter den Teilnehmern regeln. Hierfür werden alle Netzwerkkabel an einem Switch verbunden, um so die Kommunikation zwischen den Computern zu ermöglichen. Kehren wir nun zurück zu VLANs. Ein VLAN ist wie bereits erwähnt ein virtuelles, rein logisches Netzwerk, das auf einem physischen LAN aufsetzt und eine standortunabhängige Verbindung im gleichen LAN ermöglicht. Allerdings können VLANs nur mit Managed Switches etabliert werden. Sprich einem Switch der VLAN-fähig ist. Jedes virtuelle Netzwerk erhält dann eine Broadcast-Domäne über die ein Broadcast (Nachricht) versendet werden kann. Sobald ein Teilnehmer innerhalb des VLAN einen Broadcast sendet, erhalten nur alle Teilnehmer innerhalb dieses VLANs die Nachricht. Sprich der Broadcast wird nicht über die Grenzen des virtuellen Netzes weitergetragen. Grundsätzlich können VLANs auf zwei verschiedene Arten eingerichtet werden: portbasierte VLANs und Tagged VLANs. Je nach Typ steckt eine andere Technik dahinter. In vielen Fällen realisieren Netzwerkadministratoren ihre Installationen und Zuweisungen über eine Mischform dieser beiden Typen. Beim portbasierten VLAN wird jeder Netzteilnehmer über einen Port geleitet. Möchte man nun aus diesem einen physischen Netz zwei virtuelle Netze machen, weist man die entsprechenden Ports dem gewünschten virtuellen Netzwerk zu. Beim tagged VLAN funktioniert die Zuweisung zu VLANs dynamischer: Statt fest im Switch festgelegt, sorgt eine Markierung (Tag) im Frame des Nachrichtenpakets für die Zuordnung. Aus diesem Grund nennt man diese Technik analog zu den portbasierten Netzen auch framebasiert. In dem Tag steht die Information, in welchem VLAN man sich gerade befindet. Ein Switch kann so erkennen, in welchem Segment die Kommunikation stattfindet, und leitet die Nachricht dementsprechend weiter. Der Vorteil eines Tagged VLAN gegenüber eines portbasierten VLANs ist, das bei einer portbasierte VLAN-Verbindung, mindestens zwei Kabel zwischen den Switches verlegt werden müssen, da jedes VLAN seine eigene Verbindung braucht. Bei Tagged VLANs reicht ein Kabel, da die Verteilung über die Informationen des Frames funktioniert. Der Switch erkennt das korrekte VLAN und sendet es weiter an den entsprechenden zweiten Switch. Dort wird das Tag entfernt und das Paket an den korrekten Empfänger weitergeleitet. Bevor wir nun zum Schluss unserer heutigen Podcast kommen, möchte Ich kurz auf die Frage eingehen: Warum sollte man ein größeres LAN in mehrere kleine VLANs segmentieren? Der Einsatz von VLAN-Technologie hat gleich mehrere Vorteile: ● Erstens, die Flexibilität: Die Konfiguration findet rein auf der Basis einer Software statt und ist somit auf jedem Endgerät installierbar und hängt nicht vom Standort ab. Der Mitarbeiter kann somit auch bei wechselnden Arbeitsplätzen die Daten über das virtuelle Netzwerk erhalten. ● Zweitens, die Sicherheit: Die Broadcast-Domäne steht nur einer begrenzten Anzahl an Personen zur Verfügung und erreicht somit keine Personen für die die Informationen nicht gedacht sind. ● Drittens, die Performance: Nachrichten müssen nicht mehr das komplette Netzwerk durchlaufen. Die unnütze Belastung der Bandbreite minimiert sich somit. ● Viertens, die Ordnung: In einem LAN müssten alle Mitarbeiter bzw. deren Endgeräte verkabelt werden. Bei einem virtuellen Netz können mehrere Switches teilnehmen und die Verkabelung kann sinnvoller und ordentlicher erfolgen. ● und zuletzt der Preis: Ein Virtual Local Area Network ist die günstigere Alternative zu LANs, weil sie weniger Router benötigen und auch der hohe zeitliche Aufwand bei der Installation der parallelen Netze entfällt. Fazit: Sie sehen mithilfe von VLANs können IT-Verantwortliche ein bestehendes einzelnes physisches Netzwerk in mehrere logische virtualisierte Netzwerke unterteilen, um beispielsweise Hardwarekosten zu reduzieren, die unter anderem für den Kauf von Router anfallen, Hierarchien und Zugriffe besser kontrollieren oder aber die Sicherheit verbessern und sensible Daten schützen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11795798
info_outline
#120 - Was ist eigentlich ein MPLS?
10/18/2019
#120 - Was ist eigentlich ein MPLS?
Heute dreht sich alles um das Thema: „Was ist eigentlich ein MPLS?” Hinter der Abkürzung MPLS verbirgt sich der englische Begriff Multiprotocol Label Switching. Hierbei handelt es sich um eine Technologie, die in den späten 90 er Jahren entwickelt und eingeführt wurde, um eine schnelle Übertragungsrate von Sprachkommunikation und Datenkommunikation in einem Netzwerk zu gewährleisten. Die MPLS-Technologie beruht dabei auf einem Label-basierten Weiterleitungsmechanismus. Im Gegensatz zum klassischen Datentransfer erfolgt die Routenberechnung, sprich die Weiterleitungsentscheidung hier nur einmal. Und zwar beim Eingang in das Netzwerk. Dabei werden die IP-Datenpakete entsprechend ihrer Priorität mit sogenannten Labels versehen und über einen vordefinierten Pfad durch ein verbindungsloses IP-Netz vermittelt. Gleichzeitig wird den IP-Datenpaketen die erforderliche Bandbreite zugewiesen und der Vorrang vor weniger wichtigen Paketen eingeräumt. Aber bevor wir uns in Funktionsweise des MPLS-Multiprotocol Label Switching vertiefen, möchte ich Ihnen zunächst einmal die wichtigsten Bausteine des Multiprotocol Label Switching vorstellen. Der Ingress Label Edge Router, der Egress Label Edge Router, der Label Switch Router (LSR) sowie der Label Switched Path (LSP) Der Ingress Label Edge Router ist für die Klassifizierung der eingehenden Pakete zuständig. Anhand der Zieladresse definiert bzw. signalisiert er den Label Switch Path und erweitert den IP Header des Pakets um den MPLS Header/ das Label. Der Egress Label Edge Router ist für das Entfernen des MPLS Header/ Label zuständig. Der Label Switch Router wird auch als Transit/Core-Router bezeichnet. Dieser leitet die Pakete anhand des Labels weiter und tauscht das Label gegebenenfalls aus, da diese nur zwischen 2 Hops gilt. Der Label Switched Path, ist die Gesamtstrecke zwischen dem Ingress und Egress Label Edge Router. Über diese Ende-zu-Ende Strecke werden die Pakete weitergeleitet. Dabei können Label Switched Paths statisch oder dynamisch etabliert werden. Jetzt zurück zur Funktionsweise des Multiprotocol Label Switching. Also grundsätzlich setzt der Einsatz von MPLS in IP-Netzwerken eine logische und physische Infrastruktur voraus, die aus MPLS-fähigen Routern besteht. Dabei operiert das Label-Verfahren vorrangig innerhalb eines autonomen Systems (AS), sprich einer Ansammlung verschiedener IP-Netze, die als Einheit verwaltet werden und über mindestens ein gemeinsames Interior Gateway Protocol (IGP) verbunden sind. Bevor die einzelnen Pfade aufgebaut werden können, muss das verwendete IGP dafür sorgen, dass sich alle MPLS-Router untereinander erreichen können. Sobald nun ein IP-Datenpaket in diesem MPLS-Netzwerk verschickt wird, erhält es vom Ingress-Router einen zusätzlichen MPLS-Header vor dem IP-Header des Pakets angehängt. Auf dem Übertragungsweg tauschen die einzelnen involvierten Label Switch Router das Label durch eine angepasste Variante mit eigenen Verbindungsinformationen wie Latenz, Bandbreite und Ziel-Hop, aus. Am Ende des Pfades wird das Label vom Egress Label Edge Router wieder aus dem IP-Header entfernt. Sie können sich das ganze MPLS-Netz auch als eine Postfiliale vorstellen. Mal angenommen es ist Weihnachten und Sie möchte Pakete in der ganzen Welt verschicken. Sobald Sie die Pakete dem Postbeamten überreicht haben, versieht er sie mit unterschiedlich leuchtenden Länderkennzeichen. Der nächste Postbearbeiter, der für die Postsortierung zuständig ist, ordnet das Paket anhand dieses Kennzeichens der entsprechenden Poststelle des Empfängerland zu, ohne das er überhaupt die Adresse des Pakets genauer in Augenschein genommen hat. Genauso funktioniert es in einem MPLS-Netz: Dank dem Label-basierten Weiterleitungsmechanismus werden Routing-Systeme entlastet und verfügbare Bandbreiten der Weitverkehrsnetze besser ausgelastet. Außerdem lässt sich durch das Multiprotocol Label Switching die Dienstgüte (Quality of Service (kurz QoS) ) in bereitstellen und der Transport von Echtzeitdaten über paketbasierte Netze vereinfachen. Sie sehen das MPLS-Verfahren bietet zahlreiche Vorteile. Auch wenn die Vorzüge von MPLS insbesondere für Unternehmen und Einrichtungen mit verteilten Standorten interessant sind, bietet MPLS keine Immunität gegen Cyberangriffe. Das Attribut „privat“ steht in solchen Netzen nämlich nicht für Geheimhaltung und Verschlüsselung, sondern lediglich dafür, dass die verwendeten IP-Adressen nur intern erreichbar sind. Ohne zusätzliche Verschlüsselung werden sämtliche Informationen im Klartext übertragen. Daher gilt es neben der Verschlüsselung, sollten weitere Schutzmechanismen eingesetzt werden um die MPLS-fähigen Route gegen externe Zugriffe abzusichern Alles in allem kann man sagen, dass das Multiprotocol Label Switching Erstklassige Performance bietet, da die vordefinierten Pfade für sehr schnelle Übertragungsgeschwindigkeiten sorgen und nur geringen Schwankungen unterliegen. Außerdem gewährleisten VPNs auf Basis von Multiprotocol Label Switching den Internet Providern eine Menge Spielraum bei der Ressourcenverteilung, was sich auch für die Kunden auszahlt. So können ganz spezifische Leistungspakete vereinbart und die Netze jederzeit problemlos erweitert werden. Zudem können Provider dank der MPLS-Infrastruktur verschiedene Quality-of-Service-Stufen anbieten. Die gemietete Bandbreite ist dabei keineswegs statisch, sondern ebenfalls klassifizierbar. Auf diese Weise lassen sich die gewünschten Dienste wie zum Beispiel VoIP priorisieren, um eine stabile Übertragung zu garantieren. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11795780
info_outline
#119 - Sonderfolge: Ist jetzt eigentlich alles AI?
10/11/2019
#119 - Sonderfolge: Ist jetzt eigentlich alles AI?
I: Herzlich willkommen zum IT-Manager-Podcast. Heute geht es um das Thema „Ist jetzt eigentlich alles AI? Zwischen Hype, starker und schwacher AI“, und ich habe dazu als Gast Herrn Ulrich Kerzel von der IUBH Fernstudium im Interview. Herr Kerzel verantwortet die Professur für Data Science And Artificial Intelligence. Hallo Herr Kerzel, schön, dass Sie da sind. B: Guten Morgen, hallo, ich freue mich sehr, dabei zu sein. I: Lassen Sie die Hörer doch noch ein bisschen mehr über Ihre Person wissen. B: Ja, ursprünglich bin ich von Hause aus Physiker und komme eigentlich aus der Teilchenphysik und war auch sehr lange an internationalen Großforschungseinrichtungen wie zum Beispiel dem Fermilab in der Nähe von Chicago und dem CERN bei Genf in der Schweiz. Ich sage mal, in meiner Diplomarbeit beschäftigte ich mich damit, aus Daten Erkenntnisse zu gewinne und dies mit künstlicher Intelligenz zu tun. Das mache ich jetzt seit knapp zwanzig Jahren, und damals gab es noch keine so großen Pakete wie man sie heute kennt, wie TensorFlow von Google oder PyTorch von Facebook. Damals mussten wir das alles selber programmieren, und auch Grafikkarten gab es im Wesentlichen eigentlich so nicht, sodass wir auf ganz anderen Voraussetzungen aufsetzten. Und dann nach vielen Jahren der Wissenschaft bin ich in die Wirtschaft gewechselt zu Blue Yonder, die heute ein Teil von JDA ist. Und Schwerpunkt meiner Arbeit war zum einen die Leitung des Teams zur Weiterentwicklung von Machine-Learning-Algorithmen, und so hat man die Betreuung von Kundenprojekten, zum Beispiel der Automatisierung von Warenwirtschaft im Handel mit künstlicher Intelligenz. Und jetzt seit Herbst 2018 bin ich als Professor für Data Science und künstliche Intelligenz bei der IUBH. I: Ja, super, das Wort „künstliche Intelligenz“ hätte es mir auch deutlicher vereinfacht, das natürlich auszusprechen anstatt den englischen Begriff „AI“ dazu. Und in dieser Folge haben wir uns ja genau diesem Thema AI, der künstlichen Intelligenz, angenommen, da man gefühlt mittlerweile ja überall damit auch konfrontiert wird. Und daher auch die Frage ja zu unserer heutigen Folge: Ist jetzt eigentlich alles AI? Zwischen Hype, starker und schwacher AI. Ich bin gespannt auf Ihren Input dazu. B: Ja, vielen Dank. Also ich glaube, man sollte ein bisschen mal jenseits des Hypes schauen. Überall hört man ja von AI hier und künstlicher Intelligenz da, und auf der anderen Seite sieht man auch sehr spektakuläre Erfolge, die auch die Performanz von Menschen mindestens gleichziehen oder auch übertreffen. Da haben wir dann zum Beispiel vor einiger Zeit ein AlphaGo, bei dem eine Maschine auch den besten Go-Spieler geschlagen hat, und das war damals auch relativ überraschend, da Go sehr viel komplexer als Schach ist, wo man eigentlich damals nicht damit gerechnet hat, dass jetzt schon irgendwie menschliche Mitspieler von einer Maschine geschlagen werden können. Man hat schon gedacht, dass das irgendwann passiert, aber vielleicht nicht unbedingt jetzt schon. Und man hat auch festgestellt, dass in diesem Spiel die Maschine Spielzüge entwickelt hat, die traditionell Menschen so nicht gespielt haben. Und das Spiel gibt es ja schon seit mehreren Tausend Jahren. Und es gibt auch viele weitere große Erfolge von AI, zum Beispiel bei der Erkennung von Hautkrebs, wo die Leistung von dem System die Leistung von menschlichen Spitzendermatologen übertreffen. Auf der anderen Seite hört man jetzt aber auch so auf den Artificial Intelligence, AI, künstliche Intelligenz, dass sich ja schon irgendwo auch der Eindruck aufdrängt, dass das jetzt alles nur ein Hype ist. Es gibt sogar eine aktuelle Studie von den MMC Ventures, die haben sich ungefähr dreitausend AI-Start-ups in 13 europäischen Ländern mal genauer angeschaut, und die sind zu dem Schluss gekommen, dass vierzig Prozent gar keine AI da drinnen haben. Und dann ist natürlich die Frage: Was heißt das jetzt eigentlich alles? Und dann wird es schon ein bisschen schwammiger, weil wir eigentlich nicht so genau definiert haben, was AI eigentlich ist. I: Das kann ich sehr gut nachvollziehen. Wie kann man denn dieses besser definieren? B: Ja, wenn wir uns den Begriff der künstlichen Intelligenz einmal nähern wollen, ist das gar nicht so einfach zu sehen, was damit gemeint ist. Das hängt auch damit zusammen, dass wir uns selber schwer tun, den Begriff „Intelligenz“ zu definieren. Wir haben zwar eigentlich ein ganz gutes intuitives Verständnis davon, was intelligentes Verhalten ist oder was Intelligenz ist, aber bei der formellen Definition wird das dann schon schwieriger. Ich meine, wir können mal in den Duden schauen, und da steht drin, „Intelligenz ist die Fähigkeit des Menschen, abstrakt und vernünftig zu denken und daraus zweckvolles Handeln abzuleiten“. Das klingt jetzt alles ganz gut, aber so richtig konkret, was das heißen soll, daraus wird man nicht so ganz schlau. Aber man kann eines festhalten aus dieser Definition „zweckvolles Handeln abzuleiten“, das ist schon einmal ein sehr großes Merkmal. Und das heißt aber auch, dass dieses sinnvolle oder zweckvolle Handeln auf eine konkrete Situation bezogen ist. Wenn man sich jetzt den Bereich der künstlichen Intelligenz anschaut, dann unterscheidet man zwischen starker und schwacher oder anders allgemeiner oder spezifischer Intelligenz, das sind jeweils zwei synonyme Begriffe. Unter der starken oder allgemeinen künstlichen Intelligenz versteht man Systeme, die ganz allgemein selbst denken, also hier wäre das Ziel, ein System zu entwickeln, das quasi wie ein künstliches Wesen in der Umwelt zurechtkäme und leben könnte im Sinne, dass es mit uns interagieren könnte. Es könnte zum Beispiel sich mit uns unterhalten oder sich verhalten wie mein Mensch das tun würde. Man sollte jetzt aber nicht in die Falle tappen zu sagen, „Das müsste dann sich verhalten wie Mensch“, denn warum sollte sich eine künstliche Intelligenz a priori so verhalten wie wir Menschen? Auf der anderen Seite steht dann die schwache oder spezifische Intelligenz. Das sind Systeme, die in einem ganz konkreten Bereich ähnlich gut wie ein Mensch Entscheidungen treffen oder auch besser als ein Mensch Entscheidungen treffen. Und das ist zum Beispiel das, was wir bei dem Spiel Go oder bei Erkennung von Hautkrebs oder anderen Systemen gesehen haben. Und hier schließt sich dann auch wieder der Kreis zur Definition der Intelligenz, und da sind wir wieder bei der Ableitung von zweckvollem Handeln. Und dann ist auch hier eigentlich genau die Grenze zum Hype. In der Definition steht ja nichts von spezifischen Algorithmen oder Machine Learning, und vom Gefühl her denken wir heutzutage immer bei künstlicher Intelligenz daraus an große Machine Cluster, wie sie vielleicht bei Google oder bei Amazon stehen mit ganz großen Machine-Learning-Systemen, und wir denken zum Beispiel nicht an mathematische Optimierung wie Operations Research, das es ja auch schon seit langer Zeit sehr erfolgreich gibt. Auf der anderen Seite lässt sich natürlich auch aus einer ganz einfachen linearen Regression ein natürliches oder zweckmäßiges Handeln ableiten. Aber das ist nicht unbedingt das, was wir jetzt unter dem Begriff „Künstliche Intelligenz“ zusammenfassen würden. Und diese Schwammigkeit der Definition des Begriffs „Intelligenz“, die erlaubt es dann halt ganz Vielen, da diesen Deckmantel zu packen. Und dann muss man in der Tat schon sehr genau schauen, was denn damit gemeint ist. Da hilft es, den Begriff im Hype etwas aufzublähen, weil gar nicht so genau festgelegt ist, was jetzt Intelligenz ist. Aber eines ist sicher: Die Systeme entwickeln sich rasant weiter und auch jenseits eines Hypes werden fast täglich neue Erfolge errungen, die sich erst durch die große Kombination aus riesigen Datenmengen und Machine Learning möglich wären. Hier stehen wir eigentlich erst am Anfang der ganzen Entwicklung. I: Das kann ich durchaus nachvollziehen, und in vielen Bereichen sollte man tatsächlich jetzt mehr hinterfragen, wenn jemand sagt, sie beschäftigen sich mit künstlicher Intelligenz oder haben Komponenten von künstlicher Intelligenz in ihre Systeme eingebaut, dass man tatsächlich mal hinterfragt, was bedeutet es denn konkret, und damit natürlich dann auch ein bisschen besseren Hintergrund darüber bekommt. Gibt es denn spezielle Tipps, ja, für unsere Zuhörer, was diese Dinge angeht, was sie dann in Zukunft besser machen sollten? B: (lachend) Ich glaube, wenn man jetzt bewertet, was andere Firmen oder Forscher tun mit künstlicher Intelligenz, lohnt es sich, eine gesunde Skepsis mitzubringen und einfach mal zu hinterfragen, was denn eigentlich genau gemacht wird. Wenn die nur schreiben, „Hier wird künstliche Intelligenz verwendet“, kann man durchaus mal nachfragen, „Und was heißt das jetzt? Und wo wird sie verwendet, und was soll diese AI jetzt tun? Oder was macht sie anders als man das beispielsweise mit einer mathematischen Optimierung machen würde?“ Abgesehen davon gibt es natürlich auch sehr grundlegende Forschungsarbeiten zur allgemeinen künstlichen Intelligenz. Ob und wann das passieren wird, das kann man jetzt, glaube ich, gar nicht absehen. Das heißt was wir in der Praxis sehen, ist die schwache oder spezifische künstliche Intelligenz, und da kann man auch genau fragen, wo denn diese Intelligenz stecken soll. I: Ja. Und haben Sie eine konkrete Empfehlung, wenn sich unsere Zuhörer ja deutlich detaillierter mit diesem Thema AI, also auch künstliche Intelligenz, im Prinzip beschäftigen wollen und da tiefer einsteigen wollen, weil sie das für ihre zukünftige Arbeit auch verwenden wollen? Was können die da am sinnvollsten machen? B: Also, wer da richtig tief einsteigen möchte, dem würde ich empfehlen, unsere Kurse im Fernstudium ab nächstem Frühjahr, ab nächstem Februar zu besuchen, da bieten wir auf Bachelor- und auf Master-Niveau jeweils Studiengänge in Data Science und Artificial Intelligence an. Das sind eigentlich ideale Weiterbildungsmaßnahmen, die jeder ergreifen kann, um sich tief in die Systeme einzuarbeiten, auch in dieses Feld einzusteigen. I: Und die gibt es dann im Bachelor- und Master-Niveau? Oder in welchen Bereichen gibt es die? B: Genau. Die fangen im Bachelor Data Science an, das ist die Grundlage für die späteren Master-Studiengänge. Im Bachelor bieten wir Data Science an als Grundlage für die beiden weiteren, und im Master kommen dann spezialisiert Master Data Science und Master Artificial Intelligence, je nachdem, in welche Richtung man jetzt gehen möchte. I: Super. Falls das für Sie als Zuhörer interessant sein sollte: Wir werden natürlich die Links zu diesen Studiengängen in die Shownotes mit einbringen, dann haben Sie es ein bisschen einfacher, da direkt drauf zuzugreifen. Was mich und auch sicherlich die Zuhörer noch interessieren würde: Haben Sie gute Buchempfehlungen zum Thema AI? B: Ja, da ändert sich natürlich gerade alles rasant, also fast jedes Buch, was man so sagen möchte, was jetzt rauskommt, hat ja mindestens zwei Jahre Vorlaufzeit und ist schon quasi gar nicht mehr dem aktuellen Markt hinterher. Ich glaube aber, was man empfehlen könnte, ist der Klassiker, sage ich mal, von . Das ist ein Lehrbuch, das in sehr vielen Universitätsstudiengängen eingesetzt wird, und gibt einen großen Überblick über die Hintergründe von Artificial Intelligenz und künstlicher Intelligenz. Und ein anderes Buch, was eher nicht technisch ist, das finde ich auch sehr lesenswert, das ist von . Das beschäftigt sich eigentlich sehr allgemeinpopulärwissenschaftlich mit der Frage, welchen Einfluss AI eigentlich auf unser Leben hat, und insbesondere dadurch, wie Algorithmen einen Bias entwickeln können, da es ja aus den Daten lernt, die wir einem solchen Algorithmus, einer solchen künstlichen Intelligenz geben und welchen Einfluss das auf unser Leben hat. Das ist eigentlich ganz spannend zu lesen, wie man abseits von rein technischen Fragestellungen dann sieht, welche Konsequenzen sich eigentlich daraus ergeben auf unser Leben. I: Da bin ich ja schon gespannt, welches der Bücher ich dann in meine Buchliste mit aufnehmen werde, vermutlich eher die nicht so technische Variante (lachend) für mich, aber ich glaube, es gibt genug Hörer, die tatsächlich dort auch so einen Deep Dive tatsächlich machen möchten, und je nachdem, ob Studiengang oder nicht, tatsächlich mal tiefer in das ganze Thema AI auch eintauchen wollen. Auch diese Buchempfehlung werden wir mit in die Shownotes mit reinnehmen. Und ich hatte mit Herrn Kerzel im Vorfeld gesprochen, auch die Kontaktdaten von ihm, seine E-Mail-Adresse, nehmen wir mit auf, sodass Sie natürlich jederzeit in der Lage sind, auch wenn Rückfragen hier gerade zu diesem Thema und den Studiengängen ist, gerne an ihn diese Rückfragen zu richten. Ja, vielen Dank an Sie, Herr Kerzel, für dieses tolle Interview. B: Ja, herzlichen Dank, es hat mich sehr gefreut, bei Ihnen zu sein. I: Und an Sie, liebe Zuhörer, ja, vielen Dank fürs Zuhören natürlich, und schalten Sie gerne wieder ein, wir freuen uns wieder auf Sie am nächsten Freitag, wenn unsere Episode wieder online geht. Vielen Dank fürs Zuhören und bis zum nächsten Mal, Ihr Ingo Lücker, tschüss! Kontakt: Ulrich Kerzel, Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11544017
info_outline
#118 - Was ist ein BIOS?
10/04/2019
#118 - Was ist ein BIOS?
Die Abkürzung BIOS steht für “basic input/output system”, zu Deutsch “Basis Ein-/Ausgabe-System”. Hierbei handelt es sich um die Firmware -also die grundlegendste Software sprich dem Ur-Ladeprogramm- die jeder Computer besitzt, um überhaupt zu starten. Jedes Gerät, sei es ein Drucker oder eine Spiegelreflexkamera, hat eine solche Firmware. Im Gegensatz zu Computern, wo die Firmware eher unsichtbar im Hintergrund arbeitet, bedient man beispielsweise eine Kamera direkt über die Firmware. Die Geschichte des BIOS beginnt mit dem ersten IBM-PC. Als IBM und Microsoft die Hardware und Software, also das Betriebssystem, unabhängig voneinander entwickelten, kam die Frage auf, wie das Betriebssystem auf die Hardware zugreifen kann. Als Antwort wurde eine Schnittstelle zwischen der Hardware und dem Betriebssystem geschaffen: das BIOS. Das “Mini-Betriebssystem” läuft dabei natürlich nicht auf der Festplatte oder dem Arbeitsspeicher, sondern im ROM-Speicher der Hauptplatine, sprich dem Motherboard. Dabei kann der Speicherchip auf der Hauptplatine entweder gesockelt (sprich er kann ausgetauscht werden) oder fest verlötet sein, wie es bei vielen Notebooks der Fall. Allerdings hat das BIOS heute nicht mehr die gleiche Bedeutung, wie zu Anfangszeiten. Moderne Betriebssysteme nutzen nur noch wenige BIOS-Funktionen. Häufig wird die Hardware eines Computers mit eigenen Treibern angesprochen. Das bedeutet jedoch nicht, dass man auf das BIOS verzichten kann. Damit komme ich zum nächsten Punkt. Was passiert, wenn ich den Startknopf meines Computers betätige? Wie funktioniert das BIOS eigentlich? Also, sobald Sie den Startknopf Ihres Computers oder Laptops betätigen, wird im selben Moment die Firmware, also das BIOS, geladen. Es beginnt direkt mit einem Selbsttest, dem Power On Self Test, kurz POST. Dabei werden die grundlegenden Funktionen und Komponenten des Computers überprüft, die zum Starten des eigentlichen Betriebssystems benötigt werden wie zum Beispiel der Prozessor, die Speicher, der Interrupt-Controller, die DMA, usw. Anschließend erfolgt die Prüfung aller Hardware-Erweiterungen auf den Erweiterungskarten, wie zum Beispiel die Grafikkarte. Wenn all diese Komponenten problemlos arbeiten, werden die entsprechenden Laufwerke vom BIOS aktiviert, damit das eigentliche Betriebssystem eines Computers hochfahren kann. Allerdings können dabei auch Fehler auftreten. In diesem Fall werden alle Fehler auf dem Bildschirm angezeigt oder aber, wenn die Bildschirmausgabe nicht möglich ist, durch eine unterschiedliche Anzahl von Pieptönen signalisiert. Neben dem schnellen Überprüfen der Laufwerke dient das BIOS auch dazu, einzelne PC-Komponenten wie die CPU anzusteuern und diese zu verändern. Beispielsweise kann man so, bei neueren Prozessoren im BIOS einstellen, ob die Übertaktung der CPU -das sogenannte Overclocking- zur Optimierung der Systemleistung, eingeschaltet werden soll oder nicht. Ein weiterer wichtiger Bereich des BIOS ist der Boot-Sektor. Hier kann man als Benutzer manuell festlegen, in welcher Reihenfolge Festplatten und Laufwerke beim Hochfahren des PCs gestartet werden sollen. Normalerweise sind die einzelnen Laufwerke und Festplatten so geschaltet, dass zuerst die Festplatte startet, auf der sich das Betriebssystem befindet und andere Komponenten wie zum Beispiel ein DVD-Laufwerk erst an zweiter Stelle angesteuert werden. Es gibt aber Situationen, in denen es notwendig ist, die Boot-Reihenfolge zu ändern. Mal angenommen Sie möchten ein neues Betriebssystem von einer DVD auf einen Computer aufspielen. Dann müssen Sie auf jeden Fall die Boot-Reihenfolge ändern, damit beim Starten zuerst das DVD-Laufwerk geladen wird und nicht die Start-Festplatte. Ebenso kann das Verändern der Boot-Reihenfolge sinnvoll sein, wenn sich eine Festplatte nicht starten lässt oder man zwei verschiedene Betriebssysteme auf zwei Festplatten hat. Darüber hinaus kann das BIOS als Kontrollinstrument fungieren, welches darauf achtet, wie hoch die Temperatur der CPU ist oder wie viel Strom verbraucht wird und dergleichen. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11541356
info_outline
#117 - Was versteckt sich hinter WebAuthn?”
09/27/2019
#117 - Was versteckt sich hinter WebAuthn?”
Hinter der Abkürzung WebAuthn verbirgt sich der Begriff Web Authentication. Hierbei handelt es sich um einen veröffentlichten Webstandard für eine Programmierschnittstelle -auch bekannt unter dem Begriff Application-Programming-Interface, kurz API - die zur Authentifizierung von Usern im Web dient und anstelle von Passwörtern auf dem Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Darüber hinaus soll die WebAuthn-API die Kommunikation zwischen einer Webseite und einem Sicherheitsgerät einem sogenannten Token erleichtern und die Anmeldeverfahren im Internet sicherer und komfortabler machen. Die WebAuthn ist eine Kernkomponente des FIDO2-Projektes. Im März 2019 wurde sie vom World-Wide-Web-Consortium (W3C), dem Standardisierungsgremium für das Internet, und der Fast IDentity Online-Allianz, kurz FIDO-Allianz, zu einem offiziellen Webstandard erklärt. Die WebAuthn-API kann sowohl im Browser als auch auf Webplattform-Infrastrukturen integriert werden. Durch den Einsatz der WebAuthn-API können Webseitenbetreiber ihren Benutzern alternativ zum klassischen Passwort-Login, die Registrierung und Authentifizierung mittels „Authenticator“ anbieten. Bei einem “Authenticator” kann es sich dabei um einen Hardware-Security-Token handeln, wie zum Beispiel einem FIDO-USB-Sicherheitsschlüssel, der mit einem Computer verbunden wird oder aber um ein Smartphone, an dem man sich durch biometrische Informationen identifiziert wie zum Beispiel durch den Fingerabdruck, Gesichts- oder Iris-Scan. Bei WebAuthn haben User zudem die Möglichkeit, verschiedene Authenticatoren gleichzeitig für ihr Online-Konto zu registrieren. Dadurch wird für sie die Kontoverwaltung und -wiederherstellung wesentlich komfortabler. Beispielsweise kann sich ein User mit einem Fingerabdruckscanner bei mobilen Anwendungen auf seinem Mobilgerät anmelden und parallel dazu einen Hardware-Security-Token registrieren. Falls das ursprüngliche Gerät aktualisiert, verloren, gestohlen oder kompromittiert wurde, lässt sich so der Zugriff auf das Online-Konto schnell wiederherstellen Aber lassen Sie mich die Funktionsweise der Web Authentication noch etwas näher erklären. Zunächst einmal müssen Sie wissen, dass bei einer WebAuthn-Kommunikation grundsätzlich drei “Parteien” beteiligt sind: Der Authenticator, der Server und der JavaScript-Client -auch bekannt als Web App. Mal angenommen, ein User möchte sich auf einer Webseite die eine WebAuthn-API benutzt registrieren: Zu aller Erst bietet ihm die API mehrere Authentifizierungsmethoden an. Der User kann zwischen externen Hardware-Security-Token oder biometrische Authentifizierungsmethoden, wie dem Iris-Scan, der Gesichtserkennung oder dem Fingerabdruck wählen. Sobald er die gewünschte Authentifizierungsmethode ausgesucht hat, muss er seinen “Authenticator” einmalig registrieren. Bei diesem Prozess erzeugt der Server zunächst eine Challenge (Herausforderung) und sendet sie samt Login-Daten zum JavaScript-Client im Browser des Nutzers. Diese weist das Endgerät an, den neuen Authenticator zu registrieren. Anschließend generiert der “Authenticator” ein individuelles Schlüsselpaar. Der Privat Key wird auf dem Endgerät gespeichert und der Public Key wird gemeinsam mit der Credential-ID und der Signatur der Challenge an den Server übermittelt. Der Server verifiziert die Informationen und hinterlegt sie in einer Datenbank. Beim erneuten Login übermittelt der Server erneut eine Challenge. Diese wird vom Browser zusammen mit der Domain an den Authenticator weitergereicht. Nach der Bestätigung durch den Benutzer, beispielsweise durch einen Fingerabdruck-Scan wird die digitale Signatur zurück an den Server gesendet und der erfolgreiche Login erfolgt. Sie sehen, mit WebAuthn profitieren sowohl die Webentwickler als auch die User. Denn: die Web Authentication ermöglicht starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Webseite oder Webanwendung. Gleichzeitig minimiert sie damit das Risiko, dass User zum Opfer gefährlicher Man-in-the-Middle-Angriffe und Passwortdiebstahl durch Phishing oder Keylogging werden. Außerdem erleichtert WebAuthn die Bereitstellung sicherer Webanwendungen mit einer Auswahl an stärkeren Authentifizierungsmethoden. Auf diese Weise wird die Abhängigkeit von schwachen Passwörtern verringert. Darüber hinaus bietet WebAuthn den Benutzern die Möglichkeit, verschiedene Authenticatoren für ihr Konto zu registrieren, um die Kontoverwaltung und -wiederherstellung komfortabler zu gestalten. Bevor wir zum Ende unseres Podcasts kommen, lassen Sie mich noch einmal kurz die wichtigsten Merkmale der Web Authentication zusammenfassen: Erstens, für jeden Webservice ist ein eigener, eindeutiger Account vorhanden. Sprich, es lassen sich nicht mehr gleiche Zugangsdaten zur Anmeldung an unterschiedlichen Webservices verwenden. Zweitens, die Zugangsfaktoren wie biometrische Informationen verlassen niemals das Endgerät eines Users Drittens, die Anwender können sich mithilfe eines Hardware-Tokens, einem Smartphone oder biometrischen Merkmalen wie beispielsweise einem Fingerabdruck, Gesichtserkennung oder Iris Scan anmelden. Viertens, für die Anmeldung sind keine Passwörter notwendig. Dadurch ist diese Authentifizierungsmethode resistent gegen Man-in-the-Middle-Angriffe und verhindert den Passwortdiebstahl durch Phishing. Fünftens, WebAuthn wird inzwischen von Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari unterstützt. Ebenso ist die Integration auf Webseiten über den Aufruf der WebAuthn-API möglich. Fazit: Die Web Authentication ist ein Meilenstein in der Geschichte der Internetsicherheit. Sie ist der erste globale Standard für eine sichere Web-Authentifizierung und ebnet somit den Weg in eine Welt der benutzerfreundlichen, hochsicheren und passwortfreien Authentifizierung. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11541347
info_outline
#116 - Was ist eigentlich Libra?
09/20/2019
#116 - Was ist eigentlich Libra?
Seit einigen Wochen sorgt Facebook´s geheimnisvolle Libra für helle Aufregung. Doch was verbirgt sich hinter Libra? Libra ist eine geplante Digitalwährung von Facebook, die in der ersten Jahreshälfte 2020 auf den Markt kommen soll. Sie wurde als sogenannter „Stablecoin“ konzipiert. Das bedeutet, dass die Währung an einen Währungskorb traditioneller Währungen wie US-Dollar oder Euro, sowie stabiler Vermögenswerte, darunter kurzfristig fällige Staatsanleihen gebunden ist. Dadurch lässt sich eine allzu große Volatilität, sprich Wertschwankungen, vermeiden. Eines der Hauptziele von Libra ist es, denjenigen, die kein Bankkonto haben, den Zugang zu mehr finanziellen Instrumenten und Ressourcen zu ermöglichen. Außerdem soll die neue Währung Zahlungswege vereinfachen, schneller machen sowie Sicherheit und Stabilität schaffen. Das Libra-Ökosystem wird durch die Organisation Libra Association, mit Hauptsitz in Genf, betrieben und kontrolliert. Zu den 28 Gründungsmitgliedern gehören unter anderen Facebook Inc., Spotify, Paypal, Vodafone, eBay, Visa, Mastercard, Stripe, Lyft, Uber, Coinbase und Kiva. Zusätzlich hat Facebook die Tochterfirma Calibra gegründet, die ein gleichnamiges Wallet – also eine digitale Geldbörse – für die Währung entwickeln und diese in WhatsApp und Facebook Messenger integrieren soll. Wie funktioniert Facebook’s Libra? Libra ist eine Kryptowährung, die auf der Blockchain-Technologie basiert. Mal angenommen wir geben ein Libra aus. Dann wird auf der Libra-Blockchain eine Transaktion ausgeführt. Die Blockchain ist wie eine Art Buchführung, auf der gespeichert wird, wie viele Libras ausgegeben wurden und an wen bzw. an welche Adresse. Allerdings findet diese Buchführung nicht in einem Computer statt, sondern auf vielen gleichzeitig. Allerdings ist die Libra-Blockchain, im Gegensatz zu anderen Kryptowährungen wie beispielsweise Bitcoin, nur Mitgliedern der Libra Association und eventuell der Aufsichtsbehörden zugänglich. Anders formuliert, bei Libra kann nicht jeder am Netzwerk teilhaben, sondern nur diejenigen die zugelassen wurden. Wer Mitglied werden will, muss 10 Mio. USD haben, eine bestimmte Größe von Rechenkapazitäten auf Servern mitbringen und noch andere Auflagen erfüllen, insbesondere die Reichweite bzw. die Relevanz für Zahlungen haben. Zunächst sollen jedoch nur bis zu 100 Mitglieder aufgenommen werden. Kommen wir nun zur nächsten wichtigen Frage: Wie kann man Libra nutzen? Um Libra nutzen zu können, benötigen Sie zunächst eine digitale Geldbörse, die sogenannte Calibra Wallet. Sobald Ihnen die Wallet zur Verfügung steht, können sie mit klassischen Währungen wie Dollar, Euro oder Yen bei autorisierten Tauschbörsen Libras kaufen und anschließend mit ihnen bezahlen. Laut Facebook können Verbraucher den Libra für Zahlungen innerhalb des Netzwerks und in Online-Shops nutzen. Zu den ersten Akzeptanzstellen dürften die Mitglieder der Libra Association gehören wie zum Beispiel. eBay, Spotify und Uber. Last but not Least: Welche Vorteile haben Verbraucher überhaupt, wenn sie Libra einsetzen und welche Risiken müssen sie beim Einsatz beachten? Nun, in erster Linie richtet sich Libra vor allem an Menschen, die über Ländergrenzen hinweg Geld überweisen wollen. Libra bietet kostengünstige Peer-to-Peer-Geldtransfers in beliebiger Höhe und über jede Entfernung. Ein anderes Anwendungsszenario ist beispielsweise die schnelle Überweisung von Geld unter Freunden, etwa beim Aufteilen einer Rechnung. Außerdem bringt es ein Netzwerk und damit Stabilität mit. Möglicherweise lässt sich Libra sogar für die Buchführung verwenden. Darüber hinaus bietet Libra ein stabiles Instrument zur Wertaufbewahrung mit geringen Risiken aus Wechselkursschwankungen des Reservekorbs (wenn auch ohne Zinsen). Trotz dieser Vorteile gehen Inhaber von Libras eine Reihe von Risiken ein: Erstens die Wertsicherung des Libra basiert auf einem Währungskorb. Entsprechend hat der Inhaber des Libra ein Wechselkursrisiko, das um so größer ist, je geringer die Gewichtung seiner Heimatwährung im Währungskorb des Libra ist. Liegt z. B. der Anteil des Euro im Währungskorb 30 %, so erwirbt der Anleger in Libra aus dem Euroraum faktisch 30 % Euro und 70 % Fremdwährung. Zweitens, der Inhaber von Libras hat keinen direkten Anspruch auf Auszahlung in etablierten Währungen. Es gibt stattdessen einen Währungshandel zwischen Libra und anderen Währungen. Drittens, die Reserven werden nicht in Bargeld oder Sichteinlagen gehalten, sondern in festverzinslichen Anleihen. Im Fall eines Bankansturms, wenn viele Anleger gleichzeitig aus dem Libra aussteigen wollen und die Reserve hierzu genutzt werden soll, ist diese nicht sofort liquide und der Verkauf ist mit einem Wertverlust verbunden. Fazit: Libra ist eine spannende Innovation am globalen Finanzmarkt und mittelfristig sicherlich auch eine weitere Zahlungsmöglichkeit – nicht mehr und nicht weniger. Jedoch wird Libra in erster Linie nicht für die gut versorgten Menschen hierzulande entwickelt, sondern für viele Millionen Menschen in den Entwicklungsländern, die zwar ein Smartphone sowie Internetzugang, aber kein Bankkonto besitzen. Für diese Menschen kann Libra ein echter “Game-Changer” sein. Allerdings hängt der Erfolg von Libra davon ab, ob es der Libra Association gelingen wird, erfolgreich mit den Regulatoren, den Zentralbanken und dem bestehenden Finanzsystem zusammenzuarbeiten. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11541332
info_outline
#115 - Was steckt hinter FIDO und FIDO2?
09/13/2019
#115 - Was steckt hinter FIDO und FIDO2?
Die Abkürzung FIDO steht für Fast IDentity Online und ermöglicht, vereinfacht formuliert, eine starke und sichere Authentifizierung im Internet- und das ganz ohne Passwörter. Wie sie bereits wissen, gilt die Kombination von Benutzername und Passwort längst nicht mehr als der heilige Gral, wenn es um die sichere Authentifizierung im Internet geht. So wurde 2013 die FIDO-Allianz gegründet. Die gemeinnützige Organisation hat das Ziel gemeinsam mit vielen verschiedenen Unternehmen, offene und lizenzfreie Standards für die weltweite Authentifizierung im Internet zu entwickeln und so die Online-Sicherheit signifikant zu erhöhen. Um dieses Ziel zu erreichen, hat die FIDO-Allianz bis 2014 zwei lizenzfreie Standards entwickelt, die unter den Namen U2F und UAF bekannt sind. U2F ist die Abkürzung für universeller zweiter Faktor. Der Standard beschreibt eine allgemeine Zwei-Faktor-Authentifizierung. Das bedeutet, dass man mit U2F bereits existierendes Verfahren zur Benutzerauthentifizierung mit einem zusätzlichen Faktor absichert. Diese Erweiterung kann z.B. die Benutzung eines Tokens beispielsweise ein USB-Stick sein, welches Informationen beinhaltet die die Authentifizierung erst ermöglichen. Der zweite Standard ist UAF, was für universelles Rahmenwerk zur Authentifizierung steht. Der Standard beschreibt, wie man sich im Internet ohne Passwort authentifiziert. Hierzu können biometrische Verfahren zum Einsatz kommen, sodass ein Benutzer aufgefordert wird sich z.B. per Fingerabdruck an einem Gerät zu authentifizieren. Das Besondere an diesem Verfahren ist, dass der Fingerabdruck nicht an den Server weitergeleitet wird, sondern nur zu einer lokalen Authentifizierung beiträgt, sprich der Nutzer authentifiziert sich nur gegenüber einem lokalen Gerät, einem sogenannten FIDO Authenticator. Das kann beispielsweise ein Smartphone sein. Nach der lokalen Authentifizierung wird von dem Gerät die asymmetrische Kryptographie verwendet, um den Benutzer am Server authentifizieren zu können. Mit dem FIDO2 Projekt wurden die beiden FIDO-Standards U2F und UAF weiterentwickelt. FIDO2 besteht aus einer Web-Authentifizierungsspezifikation, bekannt als WebAuthn, welches für die Browser-Server-Kommunikation zuständig ist und das entsprechende Client-to-Authenticator-Protokoll, kurz CTAP-Protokoll, welches die Browser-Authenticator-Kommunikation definiert. Der neue FIDO2-Standard ersetzt das herkömmliche Passwort und führt folgende Sicherheitslevel für die Authentifizierung ein: Die Ein-Faktor-Authentifizierung: Hier wird das Passwort durch den Besitz des Authenticators ersetzt. Die Zwei Faktor Authentifizierung: Hier wird das Passwort durch den Authenticator und die Kenntnis über eine PIN, die zuvor im Authenticator gesetzt wurde, ersetzt. Die Ergänzung zu den bisherigen Standards besteht darin, dass mit FIDO2 nicht nur der Besitz des Authenticators, sondern durch die Verwendung eines PIN für den Token auch Wissen nachweisbar ist und damit gänzlich auf Passwörter verzichtet werden kann. Wie funktioniert der Authentifizierungsprozess nun genau? Den Authentifizierungsprozess übernimmt ein Challenge-Response-Verfahren, wobei der Browser bei Authentifizierung an Webseiten die Rolle eines Relays übernimmt. Im Detail verhält sich das wie folgt: Die Webseite sendet eine Challenge an den Client-Browser, dieser leitet die Challenge mit weiteren Daten an den Authenticator weiter. Der Authenticator fragt die bei der Registrierung zuvor eingerichtete Zugangsberechtigung (privater Schlüssel) ab und überprüft Wissen des Benutzers (PIN). Sind diese Schritte erfolgreich, erzeugt er eine digitale Signatur der Challenge und übergibt diese an den Browser. Der Browser reicht die signierte Challenge an die Webseite weiter, welche die Signatur überprüft und bei erfolgreicher Verifizierung den Client authentifiziert Der Vorteil von der FIDO- Authentifizierung ist, dass sie auf die fortschrittlichere Challenge-Response Technik setzen, bei der das geteilte Geheimnis (der Private-Key) den Authenticator nicht verlässt und damit nicht übertragen werden muss. Dies hat vor allem beim Kompromittieren eines Endgeräts beträchtliche Vorteile, da Malware wie Keylogger keine Chance bekommen, Informationen abzugreifen, die eine Authentifizierung bei einem Dienst ermöglichen. Auf der anderen Seite muss man für den Fall eines Authenticator-Verlusts wichtige Vorkehrungen treffen: Entweder man richtet mehrere Authenticatoren ein, um sich im Falle eines Verlustes nicht auszusperren oder man muss auf Restore Codes zurückgreifen. Ein letztes Wort zum Schluss: In einer Zeit, in der sich die Online-Sicherheitslage drastisch verschlechtert, wird die Erfindung und Einführung von offenen Authentifizierungsstandards immer wichtiger. Geräte, die mit FIDO und FIDO2 kompatibel sind, bieten das Höchstmaß an Schutz vor Phishing- und Man-in-the-Middle-Angriffen. Mittlerweile haben mehrere große Webbrowser, darunter Chrome, Firefox und Microsoft Edge, die Standards bereits implementiert. Android und Windows 10 verfügen außerdem über integrierte Unterstützung für die FIDO-Authentifizierung. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11223635
info_outline
#114 - Was ist eigentlich GrandCrab?
09/06/2019
#114 - Was ist eigentlich GrandCrab?
Bei GandCrab handelt es sich um einen Verschlüsselungstrojaner- und er ist mittlerweile die am weitesten verbreitete Ransomware der Welt. Die GandCrab-Ransomware-Familie trat im Januar 2018 zum ersten Mal in Erscheinung. Die gefährliche Ransomware arbeitet nach einem „Affiliate-Modell“: Das bedeutet, dass die GrandCrab- Entwickler die Ransomware interessierten Kunden als „Ransomware-as-a-Service“ zur Verfügung stellen und dafür einen Teil des Gewinns erhalten. Die beliebte Ransomware-Familie wird mittlerweile über unterschiedliche Wege verbreitet. Zu den häufigsten Angriffsvektoren gehören Spam-E-Mails, Exploit-Kits und zugehörige Malware-Kampagnen. Doch in den meisten Fällen versteckt sich GrandCrab in gefälschten Bewerbungsanschreiben, denen eine verschlüsselte Archivdatei (etwa .rar oder .zip) und eine als angebliche .pdf-Datei getarnte .exe-Datei beigefügt ist. Den Empfängern wird dann das zum Öffnen der Archivdatei nötige Passwort im Text der E-Mail oder einer ebenfalls beigefügten .txt-Datei mitgeteilt Ähnlich wie beim Vorgänger GoldenEye, der im Jahr 2016 nach ganz ähnlichem Prinzip agierte, geben sich die Angreifer als Jobsuchende aus. Doch während die Bewerbungsanschreiben bei GoldenEye noch massenhaft Rechtschreib- und Grammatikfehler aufwiesen, sieht dies bei GandCrab ganz anders aus: Die E-Mails sind tadellos und lassen keine Annahme zum Betrug zu. Wie auch schon bei GoldenEye, werden bei GrandCrab-Angriffen die Empfänger dazu verleitet, das gefälschte Bewerbungsanschreiben im Anhang zu öffnen. Dabei handelt es sich in der Regel um eine .doc, sprich eine veraltete Word-Datei. Sobald die Empfänger das Dokument öffnen, erscheint ein täuschend echter Hinweis im Microsoft Office Design. Darin werden die Empfänger aufgefordert, den Kompatibilitätsmodus zu aktivieren, da es sich bei diesem vermeintlichen Dokument um ein veraltetes Format handelt. Sobald die Empfänger dieser Aufforderung nachkommen, wird die Ausführung von Makros zugelassen und mithilfe von Windows-Bordmitteln die eigentliche Ransomware von einer zuvor gekaperten Webseite heruntergeladen und ausgeführt. GrandCrab wiederum verschlüsselt die Festplatte und ersetzt den Desktop-Hintergrund mit einem Bild der Lösegeldforderung. Im vergangenen Jahr übertraf GrandCrab andere Ransomware-Varianten in ihrer Popularität und Viralität. Einige GandCrab-Nutzer begannen Unternehmen über exponierte Remote-Desktop-Protocol-Instanzen anzugreifen oder sich direkt mit gestohlenen Domänen-Anmeldeinformationen anzumelden. Nach der Authentifizierung auf einem kompromittierten PC führten die Angreifer die Ransomware manuell aus und wiesen sie an, sich über ein ganzes Netzwerk zu verteilen. Sobald das Netzwerk infiltriert war, beseitigten sie ihre Spuren und kontaktieren die Betroffenen mit einem Entschlüsselungsangebot. Schon damals veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik eine Warnung. Darin heißt es: Ransomware ist und bleibt eine ernstzunehmende Bedrohung. Das Vorgehen der Cyber-Kriminellen im aktuellen Fall zeigt zudem, dass technische Gegenmaßnahmen konsequent und durchdacht umgesetzt werden müssen. Sensibilisierungsmaßnahmen für Mitarbeiterinnen und Mitarbeiter sollten außerdem zum Standardfortbildungsprogramm in Unternehmen gehören, insbesondere dort, wo auch E-Mails von unbekannten Absendern mit unbekannten Dateianhängen geöffnet werden müssen, wie es in Personalabteilungen der Fall ist. Viele Unternehmen leiden unter dem Fachkräftemangel und freuen sich über jede Bewerbung, die sie erhalten. Dies sollte jedoch nicht zu Nachlässigkeiten bei der Cyber-Sicherheit führen." Bevor wir nun zum Ende unsere heutigen Podcasts kommen, möchte ich Ihnen noch einige Tipps zum Schutz vor Ransomware mit auf den Weg geben: Implementieren Sie eine Sicherheitslösung mit mehrschichtiger Anti-Ransomware-Abwehr, um eine GrandCrab- Infektion sowie andere Malware-Infektionen zu verhindern. Sichern Sie Ihre Daten regelmäßig Vermeiden Sie das Öffnen von E-Mail-Anhängen unbekannter E-Mails Und im Falle einer gelungenen Infektion, sollten Sie den Forderungen der Angreifer auf keiner Weise nachkommen. Sichern Sie stattdessen die verschlüsselten Informationen und verständigen Sie die Polizei. Kontakt: Ingo Lücker, [email protected]
/episode/index/show/itmanager/id/11138321
info_outline
#113 - Was ist eigentlich ein TAP?
08/30/2019
#113 - Was ist eigentlich ein TAP?
Kontakt: Ingo Lücker, Die Abkürzung TAP steht für Test Access Point (auch als Testzugangspunkt bezeichnet) Hierbei handelt es sich um ein Hardwaregerät, dass an einer bestimmten Stelle im Netzwerk installiert wird, um den Datentraffic zu überwachen. Test Access Points wurden entwickelt, um den gesamten Datenverkehr transparent, schnell und ohne Beeinträchtigung einer aktiven Netzwerkleitung bereitzustellen sowie verschiedene Monitoring Anwendungen und Analysezwecken durchführen zu können. Warum braucht man einen Netzwerk-TAP? Grundsätzlich gibt es viele verschiedene Methoden, um Zugang zum Netzwerk zu erhalten. Mittels eines SPAN-Ports in einem Switch oder eines in-line Anschlusses eines Überwachungsgeräts in einem Netzwerk. Allerdings sind beide dieser Methoden mit Risiken verbunden. SPAN-Ports sind oft die preiswerteste Lösung. Allerdings werden bei einer Überlastung häufig Pakete verworfen, noch bevor die Daten das Überwachungstool erreichen. Außerdem besteht das Risiko, dass einige der Fehlerpakete, die Probleme verursachen könnten, verloren gehen. Wenn diese Daten niemals an das Überwachungstool gesendet werden, weil sie verworfen wurden, ist es unmöglich Fehler aufzudecken und damit zu beheben. Beim in-line Anschluss, muss das Netzwerk jedes Mal unterbrochen werden, wenn Updates erforderlich sind oder das Tool neu gestartet werden muss. Genauso fällt bei einem Ausfall des Überwachungstools auch das Netzwerk aus. Alle diese Probleme können durch die Verwendung eines Test Access Points gelöst werden. Wenn man einen Test Access Point verwendet, hat man die Garantie, dass jedes Paket aus dem Netzwerk auch an das Überwachungstool gesendet wird. Das liegt daran, dass diese Geräte niemals überlaufen. Somit übertragen sie wirklich jedes Paket, insbesondere die wichtigen Fehlerpakete, die ein SPAN-Port möglicherweise verwirft. Wie funktioniert das Ganze nun genau? Grundsätzlich wird der Test Access Point einmalig, zwischen zwei Netzwerkgeräten installiert. Typischerweise besteht ein Test Access Point aus vier Ports: einem Port A, einem Port B und zwei Überwachungsports. Die Ports A und B sammeln den Verkehr aus dem Netzwerk und die Überwachungsports senden eine Kopie dieses Traffics an ein angeschlossenes Überwachungsgerät. Üblicherweise wird ein TAP zwischen zwei Punkten im Netzwerk platziert. Das Netzwerkkabel zwischen den Punkten A und B wird durch ein Kabelpaar ersetzt, das dann an den TAP angeschlossen wird. Der Traffic wird passiv durch den TAP geleitet, ohne dass das Netzwerk davon weiß. Das ermöglicht es dem TAP eine Kopie des Traffics zu erstellen, die an den Überwachungsport gesendet wird, um von einem weiteren Tool verwendet zu werden, ohne dass sich etwas am Fluss des Netzwerkverkehrs ändert. Welche Arten von Netzwerk TAPs gibt es? Es gibt verschiedene Ausführungen von Netzwerk Test Access Points, um unterschiedliche Funktionalitäten zu erreichen, die der Struktur und den Bedürfnissen Ihres Netzwerkes entsprechen. Breakout TAP: Breakout TAPs sind die einfachste Form von Test Access Points. Er besteht aus vier Ports: zwei Input-Ports und zwei Output-Ports. Die zwei Input-Ports sammeln dabei jeweils den Verkehr aus dem Netzwerk. Dann sendet der Breakout TAP eine Kopie dieses Traffics hinaus an die Überwachungsports. Das macht es möglich eine Kopie des Traffics aus einem einzelnen Netzwerksegment zu überwachen und/oder zu analysieren, ohne das Netzwerk zu stören. Aggregator TAPs: Mithilfe eines Aggregator TAPs kann man, den Netzwerkverkehr von mehreren Netzwerksegmenten nehmen und alle Informationen an einem einzigen Überwachungsport aggregieren. Dadurch ist es möglich, den gesamten Netzwerkverkehr mit nur einem verwendeten Überwachungstool zu sehen. Regenerator TAPs: Regenerator TAPs hingegen erlauben es den Verkehr aus einem Netzwerksegment zu nehmen und ihn an mehrere Überwachungstools zu senden. Das gibt uns die Möglichkeit einen einzigen Verkehrsstrom an eine Reihe verschiedener Überwachungstools zu senden, die jeweils unterschiedlichen Zwecken dienen, während der Traffic nur einmal aus dem Netzwerk entnommen wird. Dann gibt es noch den Bypass TAPs Der Bypass TAPs (auch bekannt als Bypass Switche) ermöglicht es, ein Netzwerktool "virtuell in-line" zu platzieren. Diese TAPs werden verwendet, wo Überwachungstools zur Erreichung von Effektivität in-line im Netzwerk platziert werden müssen. Welche Vorteile ergeben sich nun aus der Nutzung von Test Access Points? Nun ja: Zum einen können Sie selber bestimmen, wo Sie die Daten abgreifen möchten. Dadurch können sie die Qualität des Messergebnisses maßgeblich beeinflussen und verbessern. Zum anderen arbeiten Netzwerk-Test Access Points auf dem OSI Layer 1 und besitzen keine MAC-Adresse. Daher sind sie im Netzwerk unsichtbar und können demnach auch von keinem Angreifer erkannt werden. Dies ist gerade in der Netzwerk Forensik und im Sicherheitsbereich unabdingbar. Ferner sind Netzwerk-Test Access Points so aufgebaut, dass sie widerstandsfähig und transparent sind, um die Auswirkungen auf den Produktionsdatenverkehr zu minimieren oder zu eliminieren. Darüber hinaus verfügen Test Access Points über eine zusätzliche “fail-open” Technologie, die die Datenleitung auch bei einer Stromunterbrechung durchschaltet. Dadurch arbeitet der Netzwerk Test Access Point wie eine Kabelbrücke und schützt dabei alle Produktivnetze vor einem Ausfall. Ein letztes Wort zum Schluss: Test Access Points bieten einen verlustfreien und zuverlässigen Mitschnitt von Netzwerkdaten, unabhängig davon wo das Netzwerk oder das Netzwerkgerät überwacht werden soll.
/episode/index/show/itmanager/id/10889259
info_outline
#112 - Was ist eigentlich ein DRaaS?
08/23/2019
#112 - Was ist eigentlich ein DRaaS?
Kontakt: Ingo Lücker, Die Abkürzung DRaaS steht für Disaster Recovery as a Service. Und wie der Name schon vermuten lässt, handelt es sich hierbei um Services aus der Cloud, mit denen sich bei einem Notfall oder einer Störung IT-Services, IT-Strukturen oder Daten wiederherstellen lassen. Die Störungen können dabei auf unterschiedliche Art verursacht werden, wie zum Beispiel durch Naturkatastrophen, Hardware- und Systemausfällen, Bedienungsfehlern oder Hackerangriffen. Das Ziel einer Disaster Recovery ist es, die negativen Auswirkungen für ein Unternehmen so gering wie möglich zu halten. Beim Disaster Recovery as a Service-Modell (DRaaS-Modell) stellen Anbieter Speicherplatz, Backup Services, virtuelle IT-Strukturen oder virtuelle Server als Cloud-Dienstleistung zur Verfügung, um Notfälle jeglicher Art abzusichern, ohne dass man selbst zusätzliche Hard- und Software in einem eigenen Rechenzentrum bereitstellen muss. Nach der Störungsbehebung lassen sich alle Daten und Anwendungen problemlos auf den unternehmenseigenen Server wiederherstellen. Vor der Implementierung einer Disaster Recovery as a Service-Lösung schließen der Kunden und der Provider ein Service-Level-Agreement ab. Dieser Service-Level-Agreement beinhaltet neben den Services auch einen Disaster Recovery Plan. Dieser enthält alle Maßnahmen, Verfahren und Vorgaben aufgeführt, die in einem Störungsfall zum Tragen kommen. Außerdem sind Meldewege, Eskalationsstufen und Definitionen der Verantwortlichkeiten im Katastrophenfall Bestandteil eines jeden Disaster Recovery Plans. Die Abrechnung der Disaster Recovery Services erfolgen entweder mit einem, im Vorfeld definierten, Pauschalbetrag oder nach nutzungsabhängigem Verbrauch. Denkbar wären hier zum Beispiel Volumen der turnusgemäß kopierten Daten oder die Anzahl der wiederhergestellten Daten. Vorteile von DRaaS Es gibt gute Gründe warum man -meiner Meinung nach- Disaster Recovery as a Service Lösungen in Erwägung ziehen sollen: Erstens die Geschwindigkeit:I Im Gegensatz zu klassischen Disaster Recovery Lösungen stellen Disaster Recovery as a Service Lösungen eine viel schnellere, automatisierte und zuverlässige Recovery-Maßnahme zur Verfügung. Zweitens niedrigere Kosten und verbesserte Zuverlässigkeit Disaster Recovery as a Service Lösungen ermöglichen die Senkung von Betriebskosten. Das kommt vor allem kleineren und mittleren Unternehmen zugute die selbst nur wenig Know-how und Ressourcen für eigene Notfallmaßnahmen und -strukturen besitzen. Außerdem verbessern Disaster Recovery as a Service Lösungen die Zuverlässigkeit. 3. Drittens die verbesserte Verwaltung Durch den Einsatz von Disaster Recovery as a Service-Lösungen verringert sich der administrative Aufwand. Das bedeutet, dass sich Administratoren mit Aufgaben beschäftigen können, die mehr geschäftlichen Erfolg versprechen. 4. Viertens die nahtlose Redundanz und Skalierbarkeit Disaster Recovery as a Service-Lösungen verschaffen Administratoren ein gewisses Sicherheitsgefühl. Denn Disaster Recovery as a Service-Lösungen decken alle offenen und beunruhigenden Punkte ab. Allerdings muss man an dieser Stelle auch sagen, das Disaster Recovery as a Service auch gewissen Nachteile mit sich bringen. Da wäre zum Einen, Der Kontrollverlust: Wie bei jeder Cloud-Lösung gibt ein Unternehmen die direkte Kontrolle über den Prozess bzw. die unternehmenskritischen Daten an einen Drittanbieter ab. Da sich die Disaster Recovery-Rechenzentren nicht im firmeneigenen Netzwerk befinden und die Verbindungen in jedem Fall über das Internet verlaufen, muss man sich auf die Bandbreite und Latenzzeiten der öffentlichen Infrastruktur verlassen. Ein weiterer nennenswerter Punkt ist in diesem Zusammenhang der Standort der Rechenzentren. Die Unternehmen müssen dem Anbieter glauben, dass die Daten nur auf Servern im deutschen Rechtsraum gespeichert werden. Daher ist es für Unternehmen mit Standorten nur innerhalb Deutschlands ratsam, ausschließlich Anbieter zu wählen, die garantieren können, dass sie die Daten ausschließlich in deutschen Rechenzentren gespeichert haben. Last but not least. Hier sind fünf Fragen, die Sie sich vor der Wahl einer Disaster Recovery as a Service-Lösungen stellen sollten Wie viele und welche Art von Daten müssen Sie sichern, und wie schnell? Welche internen Ressourcen haben Sie für die Implementierung einer DRaaS-Lösung? Kann der Anbieter die fehlenden Ressourcen kompensieren? Wie umfangreich muss der Support sein? Welche Datensätze müssen Sie in Zukunft sichern, die aktuell noch nicht gesichert werden müssen? Wie hoch ist Ihr Budget? Mein Fazit: Wenn sie keine ausreichenden internen Ressourcen für eine zuverlässige Disaster Recovery haben, sollten sie diese Funktion als Service einkaufen. Denn eine Disaster Recovery-Lösung von einem Drittanbieter ist in jedem Fall besser als überhaupt keine zu haben.
/episode/index/show/itmanager/id/10880763
info_outline
#111 - Was versteht man unter Virtual Reality?
08/16/2019
#111 - Was versteht man unter Virtual Reality?
Kontakt: Thomas Hampel, [email protected] Virtual Reality ist in aller Munde – und das nicht ohne Grund. Doch bevor ich Ihnen die Ausgangsfrage beantworte, möchte ich Ihnen zuallererst die Begriffe “Virtual” und “Reality” erläutern. Der Begriff "virtual" zu deutsch virtuell hat seinen Ursprung im Französischen und bedeutet "scheinbar vorhanden". Im technologischen Umfeld wird dieser Begriff schon länger verwendet, um etwas zu beschreiben, das zwar nicht physisch, jedoch in seiner Funktionalität oder Wirkung vorhanden ist, wie zum Beispiel ein virtuelles Laufwerk. Wie die meisten von Ihnen wissen, ist ein virtuelles Laufwerk, eine funktionelle Nachbildung eines CD-Laufwerks inklusive eines Datenträgers, welches zwar nicht als Hardware existiert, aber aus Anwendersicht genauso wie ein physisches Laufwerk funktioniert. Der Begriff “Reality” zu deutsch Realität hingegen bezeichnet im allgemeinen Sprachgebrauch alles, was keine Illusion ist, sprich es steht für die „Wirklichkeit” die man mit all seinen Sinneseindrücken erleben kann. Kommen wir also zurück zu der Ausgangsfrage: „Was ist eigentlich Virtual Reality?“ Die virtuelle Realität ist die Darstellung und gleichzeitige Wahrnehmung einer künstlich erschaffenen Welt. Durch die Kombination von unterschiedlichen Sinneseindrücken wie Bild und Ton entsteht das Gefühl von einer neuer Realität und Wirklichkeit. Man nennt diesen Effekt auch Immersion. Das bedeutet, dass man als Nutzer in eine computergenerierte, interaktive und virtuelle Umgebung eintaucht und Raum und Zeit der wirklichen Welt vergisst. Das wichtigste bei der ganzen Sache ist allerdings die Ausrüstung. Damit Nutzer eine virtuelle Realität wahrnehmen können, benötigen sie in erster Linie eine Virtual-Reality-Brille, kurz VR Brille,., die mithilfe zweier Displays und besonderen Linsen eine nicht existierende Realität direkt vor den Augen simuliert und ein Gerät, das die entsprechenden Bilder erzeugen kann, wie zum Beispiel eine Konsole oder einen PC. Um die virtuelle Realität nicht nur mit den Augen sondern allen Sinneszellen wahrnehmen zu können, werden neben VR-Brillen, Datenhandschuhe, Kopfhörer, Surround-Sound Systeme und Geruchssimulatoren eingesetzt. Virtual Reality ist längst nicht mehr auf die Spielewelt beschränkt, sondern wird überall dort eingesetzt wo virtuelle Unterstützung Probleme lösen.Zu dem Dinge vereinfachen, Kosten einsparen, Menschen heilen, schützen,besser ausbilden oder einfach nur faszinierende Erlebnisse bieten kann, wie bei einem virtuellen Panorama/360 Grad Rundgang durch verschiedene Objekte wie beispielsweise Häuser, Büroräume oder Restaurants und Hotels. Virtual Reality spielt vor allem in der Medizin eine große Rolle. Hier können mit Hilfe der Technologie beispielsweise Phobien behandelt werden, indem der Patient Situationen ausgesetzt wird, vor denen er panische Angst hat, ohne ihn wirklich zu gefährden. Oder der Patient -vor allem Kinder-kann sich ganz wie zu Hause fühlen, obwohl er im Krankenhaus ist, indem das eigene Schlafzimmer virtuell dargestellt wird. Ein weiteres Anwendungsbeispiel ist der Einsatz bei Planungen von Infrastrukturmaßnahmen, die das Landschaftsbild verändern. Die Umwelt kann so nachgebildet werden, dass die Bürger nicht nur sehen, sondern erleben können, was sich durch ein Vorhaben verändert. Zu sehen sind: der genaue Standort und ggf. Alternativen die Umgebung mit der existierenden Bebauung, dem Verkehrsnetz und den Sehenswürdigkeiten zur Orientierung Straßen mit fließendem Verkehr, einstellbar nach Tageszeit (auf Basis von Verkehrszählungen oder Prognosen) Ein weiteres Anwendungsbeispiel das zunehmend zu Vermarktungszwecken eingesetzt wird, ist die virtuelle Begehung von Räumlichkeiten. Dem Nutzer wird so die Möglichkeit gewährt ein Objekt von Zuhause aus zu "besichtigen". Zahlreiche Geschäfte und Hotels setzen mittlerweile solche Touren zu Werbezwecken ein und sind beispielsweise auf Google Street View zu finden. Weitere Einsatzgebiete der Virtual Reality sind unter anderem in der Architektur und Bauwesen Luft und Raumfahrt Energie-und Umwelttechnik Tourismus Kunst, Kultur und Museen VR-Games Die Vorteile der Virtual Reality liegen klar auf der Hand. Durch die neue mediale Erlebniswelt, die ein unmittelbares Erleben mit allen Sinneseindrücken verspricht, bietet sie allen Unternehmen eine große Chance neue Märkte und Zielgruppen zu erschließen. Bevor wir zum Ende unseres heutigen Podcasts kommen, möchte ich kurz erwähnen, das Sie nähere Informationen zu virtuellen Rundgängen und auf unserer Webseite finden können.
/episode/index/show/itmanager/id/10889257
info_outline
#0110 - Was ist ein Application Whitelisting?
08/09/2019
#0110 - Was ist ein Application Whitelisting?
Kontakt: Ingo Lücker, Heute dreht sich alles um das Thema: „Was ist eigentlich Application Whitelisting?“ Beim Application Whitelisting handelt es sich um ein Verfahren, mit dem man die Ausführung nicht autorisierter oder schädlichen Applikationen auf einem IT-System oder in einem Netzwerk verhindert. Das erreicht man, indem man eine Positivliste, die sogenannten Whitelist erstellt. Auf dieser Whitelist werden alle Anwendungen aufgeführt, die auf einem Gerät oder einem System laufen dürfen. Sprich, solange eine Anwendung nicht explizit in der Whitelist eingetragen ist, ist jegliche Kommunikation oder Interaktion über diese Anwendung untersagt. Grundsätzlich bestehen Whitelisting-Produkte aus zwei Komponenten: Die erste Komponente ist ein Softwaremodul, der sogenannte Agent. Dieser wird auf allen Systemen installiert, die von der Whitelisting-Lösung geschützt werden sollen. Nach der Installation fängt der Agent alle Startversuche ab und prüft die betreffende Applikation anhand der Whitelist, ob diese in der Whitelist aufgeführt ist oder nicht. Um hier eine fälschungssichere Authentifizierung zu gewährleisten, setzt man ein Hash-Verfahren ein. Bei diesem Verfahren werden Prüfsumme ermittelt und miteinander verglichen. Beim Whitelisting generiert der Agent aus den Binärdaten der zu startenden Anwendungen einen Hash, sprich eine Prüfsumme. Diese Prüfsumme wird mit der Prüfsumme auf der Whitelist verglichen. Ist die Anwendung mit der dazugehörigen Prüfsumme nicht auf der Whitelist gelistet, wird die Ausführung der Software verweigert. Die zweite Komponente ist eine Software, die zum Ausstellen von Anwendungs- und Richtlinien-Zertifikaten (sogenannten App-Certs) zuständig ist. App-Certs sind elektronische Ausweise für Software und Anwendungen. Sie analysieren, welche Komponenten zu welchen vertrauenswürdigen Applikationen gehören und ordnen diese entsprechend zu. Außerdem kann man mit ihnen Sicherheitsregeln definieren, die die Whitelisting-Software auf den zu schützenden Systemen anwenden soll. Wo lassen sich nun Application-Whitelisting Produkte konkret einsetzen? Application-Whitelisting Produkte kommen in den unterschiedlichsten Bereichen der IT zum Einsatz. Zu den möglichen Einsatzszenarien zählen unter anderem: Firewalls werden oftmals über eine Whitelist konfiguriert. So können nur die definierten und in der Whitelist aufgeführten Kommunikationsziele über die Firewall hinweg kommunizieren, alle anderen Verbindungswünsche werden unterbunden. Ebenso kann Application-Whitelisting beim Endgeräteschutz eingesetzt werden. Hier können Endgeräte lediglich die Applikationen ausführen, die in der Whitelist aufgelistet sind. Ein weiteres Anwendungsgebiet des Application- Whitelistings ist der Jugendschutz. Über die Whitelist lässt sich ein Internetzugang so konfigurieren, dass für bestimmte User nur die in der Liste geführten Ziele aufrufbar sind. Auch E-Mail-Systeme können über eine Whitelist gesteuert werden. So können nur E-Mails von vertrauenswürdigen Absendern empfangen werden. Allerdings werden die zuvor genannten Einsatzszenarien in der Praxis von unterschiedlichen Seiten kritisiert. Beispielsweise erfordert das Application Whitelisting die Pflege von Datensätzen. Das bedeutet, die Whitelist muss dynamisch sein. In Anbetracht der Vielzahl von Programmen, Apps, Betriebssystemen und Servern kann sich die Verwaltung von Application Whitelists als schwierig erweisen. Der Aufwand lohnt sich hauptsächlich für Anbieter von Antivirenprogramme, Firewalls und weiteren Sicherheitsprogrammen. Nichtsdestotrotz kann Application Whitelisting bei folgenden Aspekten helfen: Schutz vor Schadsoftware wie Viren, Trojanern oder Ransomware, dem Schutz vor noch unbekannter Schadsoftware (Zero-Day-Exploits), dem Schutz vor Schadsoftware, die über vorhandene Sicherheitslücken eingedrungen ist und Schutz vor DLL-Injection Angriffen sowie Schutz vor Angriffen durch eigenes Personal im internen Netz Wir kommen nun zum Ende unseres Podcasts. Alles in allem kann man sagen, dass mit Application-Whitelisting-Lösung Ihre Systeme und Netzwerke nicht mehr mit Schadsoftware infiziert oder durch eigenes Personal angegriffen werden können. Die daraus resultierenden Schäden entfallen und auch aufwändige Neuinstallationen sind dann Schnee von gestern. Außerdem erfüllen Sie durch den Einsatz von Whitelisting-Produkten die gesetzlichen Anforderungen. Kurzum: Application Whitelisting reduziert Ausfälle, erhöht die Stabilität und Produktivität.
/episode/index/show/itmanager/id/10652702