Security 360° - das bedeutet Sicherheit aus der Rundum-Perspektive. Microsoft bietet Ihnen auf dieser Veranstaltung einen umfassenden Überblick zum Thema „Sicherheit in der Softwareentwicklung“ - für Entwickler, Projektleiter, Architekten und Entwicklungsleiter.
Der Fokus liegt dabei auf den Grundlagen der Entwicklung sicherer Software. Die Vorträge der Veranstaltung geben handverlesene Erfahrungen weiter, die direkten Praxisbezug haben. Track 1 richtet sich dabei an Softwareentwickler und besteht aus vier aufeinander aufbauenden Vorträgen. Rechtliche Grundlagen und Einsichten in den Sicherheits-Entwicklungsprozess von Microsoft sind Thema des Track 2 für Architekten und Projektleiter. Im Track 3 stehen Fragestellungen für Entwicklungsleiter im Fokus: Wie führe ich das Thema richtig ein? Welche Möglichkeiten gibt es, das geistige Eigentum des eigenen Produkts zu schützen?
Die Termine:
• München, 26. Mai 2008
• Frankfurt/Hanau, 28. Mai 2008
• Düsseldorf, 30. Mai 2008
Weitere Informationen, eine detaillierte Agenda sowie die Möglichkeit zur Anmeldung (Early-Bird-Preis: 125,- EUR bis 25.04.2008) finden Sie unter: http://www.securitytour.de/
cu
//.<
Der amerikanisch-deutsche Computerforscher Joseph Weizenbaum ist tot. Der 85 Jahre alte Wissenschaftler starb am Mittwoch nach schwerer Krankheit in Berlin, wie seine Familie der Deutschen Presse-Agentur dpa bestätigte. Weizenbaum war einer der weltweit bekanntesten Kritiker eines bedenkenlosen Computereinsatzes.
Ich hatte 1996 die Gelegenheit Joseph Weizenbaum im Rahmen einer Akademische Runde kennen zu lernen und mit Ihm zu diskutieren. An diese sehr interessante und nun einmalige Erfahrung erinnere ich mich gerne zurück...
cu
//.<
Was ist Sinn und Zweck dieses Portals? In erster Linie soll es Teilnehmern eine Hilfestellung sein die Informationsflut, die an so einer Konferenz anfällt, auch im Nachhinein einfacher zu verarbeiten. Neben Neuigkeiten werden hier nach Produktkategorien sortiert, die Themen des Launch 2008 durch Dokumentation, Artikel, Webcasts und Videos vertieft. Sozusagen ein Nachschlagewerk der Konferenz. Auch für alle Interessant die nicht auf dem Launch dabei sein können, um sich in die verschiedenen Themengebiete einzuarbeiten.
http://www.microsoft.com/germany/msdn/launch2008/default.mspx
(Danke an Dariusz für diesen Eintrag!)
cu
//.<
Community-Initiativen rund um den Launch 2008
Mit Fachbeiträgen, Veranstaltungen und Aktionen vor Ort begleiten eine Reihe von Microsoft-Communities die Launchveranstaltung „ready.for.take.off“, die vom 19. bis 21. Februar in Frankfurt/M. die Markteinführung von Visual Studio 2008, Windows Server 2008 und SQL Server 2008 einläutet. Einen Überblick über die Launch-Angebote bietet der Microsoft Community Guide.
Communities verlosen Eintrittskarten für das Microsoft Launch Event 2008
Tickets für die Microsoft-Veranstaltung „ready.for.take.off“ (Frankfurt/M., 19. – 21.2.2008) gibt’s derzeit bei den Web-Communities www.vbarchiv.net, www.mcseboard.de & www.insidesql.org zu gewinnen; außerdem werden der Flight Simulator X und Fingerprint Reader verlost. Wer teilnehmen will, muss vier Fragen zum Launch und den dort im Mittelpunkt stehenden Produkten richtig beantworten. Das Gewinnspiel läuft noch bis 3. Februar.
cu
//.<
Der Countdown läuft – bis zur Produkteinführung von Microsoft Windows Server 2008, SQL Server 2008, Visual Studio 2008 und der Deutschen SharePoint Konferenz 2008. Nur noch bis zum 15.12.2007 profitieren Sie von den Early-Bird-Konditionen: Sparen Sie 200€ bei Anmeldung für das Power- oder Main-Package!
Alle Infos zu der Veranstaltung, den Produkten, den Software Give-Aways etc finden Sie hier.
cu
//.<
Auf XING haben wir diese Woche die offizielle Gruppe zur Launchveranstaltung von Microsoft Windows Server 2008, SQL Server 2008 und Visual Studio 2008 sowie der Deutschen SharePoint Konferenz ins Leben gerufen. Hier haben Sie die Möglichkeit, Ideen und Erfahrungen miteinander auszutauschen sowie alte Kontakte wiederzubeleben und neue zu knüpfen. Treffen Sie andere Teilnehmer schon im Vorfeld, finden Sie Antworten auf gängige Fragen rund um die Veranstaltung, oder treten Sie in Kontakt zu Referenten und Experten, die in Frankfurt live auf der Bühne stehen.
Am besten gleich mal reinschauen!
cu
//.<
Mit neuen Technologien arbeiten? Klingt einerseits immer spannend, andererseits aber auch nach einem gewissen Risiko. Kann eigentlich Microsoft dabei helfen? Mit dem IT Pro Momentum-Programm: Ja!
Warum sollte man eigentlich neue Technologien frühzeitig einführen?
Neue Technologien verfügen in der Regel über viele neue bzw. auch merklich verbesserte Funktionalitäten. In vielen Fällen helfen sie ganz konkrete Probleme zu lösen, manchmal auch nur Dinge einfacher und schneller zu erledigen, als in der Vergangenheit.
Warum gibt es dann ein Risiko?
Dazu müsste man wahrscheinlich erst einmal definieren, welches Risiko hier gemeint ist. Offensichtlich sind dabei zwei Bereiche mit einigen Unbekannten:
- Wir reden über neue Technologien - daher sind allgemeine Erfahrungen und Wissen nicht wirklich breit gestreut (sonst wäre es vermutlich ja nicht mehr neu)
- Gelegentlich verfügen neue Produkte noch über die eine oder andere "Kinderkrankheit", bei Software gemeinhin "Bug" genannt. Trotz eines umfangreichen Betatests kann so etwas immer passieren. Der Vorteil heute ist aber, dass der Prozess der Softwareupdates mittlerweile sehr gut funktioniert und damit erkannte Fehler schnell behoben werden können.
Kann Microsoft dabei helfen?
Genau dafür wurde das IT-Pro Momentum-Programm aus der Taufe gehoben. Auf Einladung bekommt man Zugriff auf das Projektportal. Dort kann man dann Projekte profilieren und hat damit Zugang zu Informationen, den Produkten bis hin zu Anfragen zur Produktunterstützung (PSS Support).
Dieses Programm richtet sich eher an kleinere Unternehmen und auch Partner, die keine dedizierte und geregelte Betreuung durch Microsoft erfahren, da für die "Großen" noch verschiedene andere Programme wie TAP und RDP verfügbar sind.
Lohnt sich das für mich?
Das hängt zum Teil davon ab, wie viele Fragen man positiv beantworten kann:
- Interessiert an neuen und neuesten Microsoft Technologien?
- Unterstützung bei der Evaluierung der verschiedenen Produkte und ihrer Funktionen ist erwünscht bzw. willkommen?
- Keine Scheu, den Test der Produkte und der beabsichtigten Lösung (im Labor) schon mit Beta Produkten durchzuführen?
- Über Erfahrungen zu berichten und Feedback zu Fehlern aber auch Produkteigenschaften zu geben ist eher eine Freude als eine Last?
Was bekommt man denn als Teilnehmer?
Das hängt davon ab, in welcher Projekt-phase man gerade ist. Die Grafik beschreibt das wohl am besten:
- Phase Evaluation
Man bekommt den Zugriff auf technische Inhalte und die Foren - Phase Planung
Man bekommt ein einjähriges TechNet Plus Direkt-Abo und den Zugriff auf die installierbaren Bits. - Phase Pilotierung
Man bekommt die Möglichkeit Anfragen an den Microsoft Produkt Support zu stellen. Auch hier gilt die zeitliche Grenze von maximal einem Jahr. Dadurch lassen sich auftauchende Probleme schnell lösen. - Phase Deployment
Das Projekt ist sozusagen abgeschlossen. Und hier kommt unser Nutzen...
Was hat Microsoft davon?
Im wesentlichen zwei Dinge. Ersten wollen wir von Ihnen und Ihren Projekte hören: Erfahrungen, die Sie gemacht haben, die anderen vielleicht ebenfalls helfen können - für den einen oder anderen vielleicht durchaus auch interessant, da dies die eigene Erfahrung und Kompetenz dokumentiert. Und zweitens haben wir auf diese Weise erfolgreiche Projekte, wo Kunden aus neuen Produkte realen Nutzen ziehen!
Wer jetzt befürchtet, Probleme mit Presse- und Rechtsabteilung zu bekommen, dem kann ich versichern, dass es uns nicht darum geht, die Firmennamen zu veröffentlichen, sondern die Story und die Erfahrungen verfügbar zu machen.
Wie gehts weiter?
Zwei Fragen haben Sie vermutlich jetzt noch:
- Welche Produkte und Technologien werden unterstützt?
- Wie kann man daran teilnehmen?
Die Antwort auf die erste Frage ist einfach:
Server OS
- Windows Server 2008
- Active Directory Domain Services
- Servervirtualisierung mit Hyper-V
- Neue Netzwerktechnologien
Kontakt
Ralf Schnell
Datenbank
Kontakt
Steffen Krause
Sicherheit
- ForeFront
- Forefront Client Security
- Forefront Server Security
- Forefront Edge Security
- Internet Security and Acceleration (ISA) Server 2006
- Intelligent Application Gateway 2007 (IAG)
- Windows Server 2008
- Network Access Protection (NAP)
- Windows Vista
- Secure Deployment (BitLocker)
Kontakt
Daniel Melanchthon
Spezielle Server
Kontakt
Steffen Krause
Webserver
- Sharepoint Server 2007 und Windows Server 2008
- Internet Information Server (IIS) 7
- Office Sharepoint Server 2007
Kontakt
Steffen Krause (Sharepoint)
Ralf Schnell (IIS)
System Management
- System Center Produkte
- System Center Essentials
- System Center Configuration Manager
- System Center Operations Manager
- Windows Server 2008
Kontakt
Michael Korp (System Center)
Ralf Schnell (Windows Server 2008)
Die Antwort auf die zweite Frage auch: Wir nehmen jede Bewerbung entgegen und entscheiden intern über die Aufnahme in das Programm. Da aber immer wieder Projekte beendet werden, können auch immer wieder neue Projekte starten - es gibt also immer wieder neue Chancen.
cu
//.<
Während in Deutschland der Winter Einzug hält, sitze ich im warmen CCIB (centre convencions internacional barcelona) und bereite mich auf eine anstrengende Woche vor. Ab Morgen werden hier ~5500 Konferenzteilnehmer Ihren Wissensdurst stillen. Für alle die leider nicht hier sein können, gibt es wie im letzten Jahr die Möglichkeit zumindestens "virtuell" dabei zu sein. Einfach auf das neben stehende Logo clicken und via "The Virtual side" informiert bleiben.
Einzig das Wetter lässt sich noch nicht "virtualisieren"...
cu
//.<
Leider war es mir vergönnt dabei zu sein, vermutlich bin ich da nicht der einzige? Was "wir" alles verpasst haben, kann man jetzt "nachlesen", nach"hören" und nach"sehen" auf der speziell eingerichteten Nachleseseite.
cu
//.<
Die letzten Wochen war ich fast ausnahmslos damit beschäftigt die Agenda für unseren großen Launch-Event im Februar 2008 zusammenzustellen. Als sogenannter "Content Owner" bin ich für die gesamten Inhalte (also auch für die Agenda), dieser hoffentlich spannenden 3 Tages Konferenz, verantwortlich:
Der Countdown läuft – bis zur Produkteinführung von Microsoft Windows Server 2008, SQL Server 2008, Visual Studio 2008 und der Deutschen SharePoint Konferenz 2008!
>> 19. – 21. Februar 2008 in Frankfurt am Main <<
Melden Sie sich am besten gleich an und erleben Sie mit einem Ticket zwei hochkarätige Veranstaltungen, auf denen Sie nicht nur die neuesten Microsoft-Produkte kennenlernen, sondern auch hochwertige Softwareprodukte* erhalten.
* Bei der Software handelt es sich um vollwertige Versionen, die exklusiv für Sie als Teilnehmer der Veranstaltung bestimmt sind. Die Produkte sind mit dem Hinweis "Not for Resale" / "Nicht zum Wiederverkauf" versehen.
Ich freue mich Sie im Februar in Frankfurt begrüssen zu dürfen, und wenn Sie schon mal da sind: "IT-Sicherheit Bestandsaufnahme, warum ist es überhaupt soweit gekommen?" lautet der Titel meiner Session... 
cu
//.<
Mit der exorbitanten Zunahme an Laptops ist auch die Anzahl verloren gegangener oder gestohlener Laptops entsprechend gestiegen. Die Laptopsicherheit ist damit für die meisten mittelständischen und großen Unternehmen zu einem ernsthaften Problem geworden. Laut einer vom Ponemon Institute durchgeführten Studie („Confidential Data at Risk“) haben 81 % der 484 Umfrageteilnehmer angegeben, dass in ihren Unternehmen im Laufe der letzten 12 Monate mindestens ein Laptopcomputer mit sensiblen oder vertraulichen Geschäftsinformationen "verloren gegangen" ist. Schon die Kosten für ein Ersatzgerät sind beträchtlich, die direkten und indirekten Kosten, die durch die Sicherheitseinbußen infolge eines gestohlenen Computers entstehen, auf dessen Festplatte wichtige oder sensible Daten gespeichert sind, können aber wesentlich höher sein.
Im Leitfaden, Microsoft Data Encryption Toolkit for Mobile PCs - Sicherheitsanalyse, finden Sie detaillierte Informationen zu den verschiedenen Sicherheitsstufen, die mit BitLocker und EFS erzielt werden können. Die Windows Vista™-Editionen Enterprise und Ultimate unterstützen sämtliche der in diesem Leitfaden beschriebenen Sicherheitsfunktionen. Viele Funktionen sind auch in Microsoft Windows® XP verfügbar. Je nach angewendeten Funktionen und Konfigurationen sind verschiedene Sicherheitsstufen möglich. In den sichersten Konfigurationen müsste ein böswilliger Angreifer für die Entschlüsselung der Daten auf der Festplatte massive Ressourcen aufwenden.
Die Sicherheitsanalyse gibt Ihnen einen Überblick darüber, wie Ihnen die Funktionen in Windows Vista und Windows XP bei der Minderung spezifischer Sicherheitsrisiken in Ihrem Unternehmen helfen. Darüber hinaus ist Ihnen dieser Leitfaden bei Folgendem behilflich:
- Identifizieren der wichtigsten Bedrohungen und Risiken in Ihrer Umgebung
- Verstehen, wie spezifische Risiken und Bedrohungen mithilfe von BitLocker und/oder EFS gemindert werden können
- Vorbereitung auf die Abwehr von Sicherheitsbedrohungen, vor denen BitLocker oder EFS keinen Schutz bieten
- Verstehen ausgewählter Sicherheitsfunktionen und Verfahren in Windows Vista
Die im Leitfaden erörterten Sicherheitsfunktionen wurden unter Verwendung von Standardtechnologien entwickelt. So sind z. B. die Microsoft-Implementierungen der für BitLocker und EFS verwendeten kryptografischen Algorithmen nach dem Federal Information Processing Standard (FIPS) 140-1 zertifiziert.
Kapitel 1: Risikobesprechung: In diesem Kapitel erhalten Sie einen Überblick über die Sicherheitsbedrohungen, die mit BitLocker und EFS abgewehrt werden können. Darüber hinaus enthält dieses Kapitel eine Erläuterung der Szenarios, die im übrigen Teil dieser Sicherheitsanalyse verwendet wurden, um der Besprechung der Risiken und Vorteile einen konkreteren Rahmen zu geben.
Kapitel 2: BitLocker-Laufwerkverschlüsselung: Dieses Kapitel beschäftigt sich hauptsächlich mit der in Windows Vista neu eingeführten BitLocker-Laufwerkverschlüsselung. Es wird beschrieben, wie Sie mithilfe von BitLocker die in Kapitel 1 beschriebenen spezifischen Sicherheitsbedrohungen abwehren können. Darüber hinaus enthält das Kapitel Konfigurationsbeispiele, die Sie als Ausgangspunkt für die Entwicklung einer eigenen robusten BitLocker-Implementierung für Ihr Unternehmen verwenden können.
Kapitel 3: Verschlüsselndes Dateisystem (EFS): In diesem Kapitel wird beschrieben, wie das verschlüsselnde Dateisystem (EFS) funktioniert und wie Sie mithilfe von EFS die spezifischen Bedrohungen in Ihrer Umgebung bekämpfen können.
Kapitel 4: BitLocker und EFS zusammen: In diesem Kapitel wird gezeigt, wie Sie BitLocker und EFS miteinander kombinieren können, um so für eine noch wirksamere Abwehr von Gefahren zu sorgen.
Kapitel 5: Auswahl der richtigen Lösung: In diesem Kapitel finden Sie Informationen und Hilfsmittel dazu, wie Sie die geeignete Kombination aus Funktionen und Konfigurationselementen für Ihr konkretes Unternehmen finden können.
cu
//.<
UpDate: Die Links waren im Orginalartikel leider nicht gültig. Danke an T.C. aus Bonn!
Wieder einmal offenbaren sich Sandkastenmanieren in der IT, "die anderen sind schuld": What happened on August 16.
Gab es nicht erst kürzlich einen ähnlichen Fall? Man zeigt nicht mit dem Finger auf andere Leute, war die dazugehörige Feststellung meines Kollegen. Erschreckend finde ich, dass die Presse in beiden Fällen ohne hinterfragen den Unsinn einfach übernimmt. Schlagzeile ist heutzutage eben wichtiger als Inhalt.
Beim Lesen der unterschiedlichen Artikel zum Thema, stelle ich mir unweigerlich ein paar Fragen:
- Sicherheitsupdates von Microsoft gibt es jeden 2ten Dienstag im Monat, warum ausgerechnet jetzt erst tauchen Probleme bei Skype auf?
- Die UpDates bereits am Dienstag freigegeben, warum trat das Problem dann am Donnerstag auf?
- Wenn nun wirklich die vorhersehbaren Sicherheitsupdates die Ursache gewesen sein sollen, warum war Skype nicht darauf vorbereitet? Der Patchday wurde ja nicht erst diesen Monat ins Leben gerufen und ist somit auch nicht wirklich ein überraschendes Ereignis.
Doch es gibt auch objektivere Berichterstattung, wie beispielsweise in der Computerwoche: "Offen bleibt allerdings, warum der Bug, der wohl bereits länger vorhanden war, erst jetzt so massive Auswirkungen hatte. Zudem stellt sich die Frage, warum Skype erst am Donnerstag crashte? Patch-Day war bei Microsoft nämlich bereits am Dienstag, so dass wohl die meisten Windows Rechner die Fixes per automatischem Update am Mittwoch einspielten."
Wenn man den Artikel dann noch zu ende liest, gibt es weitere interessante Informationen: "Zu einem ähnlichen Ergebnis kamen vor rund einem Jahr auch zwei EADS-Mitarbeiter, als sie versuchten, den Skype-Code zu analysieren. Sie kamen zu dem Schluss, dass die Client-Software eine Blackbox sei und kaum die Durchsetzung einer vernünftigen Security-Policy erlaube. Beim europäischen Kernforschungszentrum Cern, das als Geburtsstätte des modernen WWW gilt, ist die Skype-Nutzung sogar offiziell verboten."
Schön finde ich in diesem Zusammenhang auch die Analogie mit den Wiener Wasserwerken, die ein Kollege aus Österreich aufstellt.
In diesem Sinne 
cu
//.<
UpDate: Vielleicht war aber doch alles ganz anders http://it.slashdot.org/it/07/08/18/2233219.shtml ? Zumindest rückt die Stellungnahme von Skype die Tatsachen ins rechte Licht...
Auf meinen Blogeintrag "Herausforderung gesucht?" habe ich sehr viele interessante Rückmeldungen bekommen, Danke für Ihr Interesse!
Seit August haben wir nun den "Neuen" an Board. Ralf hat sich bereits bestens eingelebt und schon die ersten Webcasts übernommen:
Windows Server 2008 (Teil 1)
Installation (Level 200)
Windows Server 2008 (Teil 2)
Administration (Level 200)
Wer Ihn und den Windows Server 2008 also näher kennenlernen will... 
Mehr über & von Ralf finden Sie hier.
cu
//.<
Für telefonische Auskünfte rund um MSDN und andere Microsoft-Entwicklerthemen steht ab sofort die MSDN Hotline Online Deutschland zur Verfügung: Montags bis Freitags in der Zeit von 10 bis 17 Uhr (außer an bundeseinheitlichen Feiertagen). Jeder Anruf ist kostenlos!
Jetzt informieren und ausprobieren: http://www.msdn-online.de/Hotline
cu
//.<
Es gibt sie leider immer noch, die Berichte wie man angeblich ein WLAN richtig absichert:
So bitte nicht!
Insbesondere "Netzwerkzugang einschränken" und "Netzwerk unsichtbar machen" sind Empfehlungen, bei denen sich meine Nackenhaare aufstellen und mir mal wieder bewusst wird wie gefährlich ein gesundes Halbwissen ist:
Netzwerkzugang einschränken (filtern von MAC-Adressen)
Die MAC-Adressenfilterung (Media Access Control) klingt theoretisch großartig. Jedes Netzwerkgerät auf der Welt hat eine eindeutige MAC-Adresse. Man könnte also meinen, dass Sie die Möglichkeit eines unbefugten Eindringens in Ihr Netzwerk dadurch eliminieren könnten, dass Sie die MAC-Adressen beschränken, die eine Verbindung mit Ihrem drahtlosen Netzwerk herstellen können. Das funktioniert aber leider nicht. Das Problem besteht darin, dass die MAC-Adresse zusammen mit dem Header jedes Pakets versendet wird, außerhalb jeder Verschlüsselung. Analyseprogramme für Pakete sind überall erhältlich, ebenso wie MAC-Spoofing-Anwendungen (welche das fälschen von MAC-Adressen ermöglichen). Zusätzlich ist diese Vorgehensweise sehr aufwändig für den Administrator, da jedes neue Gerät, das eine Verbindung mit dem Netzwerk herstellen möchte, vom Systemadministrator in den Zugriffspunkt eingegeben werden muss. Sparen Sie sich diese Mühe und vergessen Sie einfach diese Funktion, die keinen Nutzen, geschweige denn eine Erhühung der Sicherheit bringt!
Netzwerk unsichtbar machen (SSID verbergen)
Die SSID (Service Set Identifier) eines Zugriffspunkts ist nicht mehr als ein Name. Sie war nie als Kennwort gedacht, wurde aber dazu gemacht, indem einige Benutzer das Senden der SSID deaktiviert haben, in der Meinung, dass das Netzwerk dadurch sicherer würde. Das ist ganz und gar falsch. Jedes Mal, wenn sich ein Client mit einem Zugriffspunkt verbindet, wird die SSID in der Zuordnungsmeldung angezeigt im Klartext bedeutet das, sichtbar für jeden, der mit einem Sniffer den drahtlosen Datenverkehr absucht. Sie können also genauso gut die SSID senden lassen. Die konfigurationsfreie Verbindung von Windows® XP fordert es, die Norm 802.11 schreibt es vor und die von uns empfohlene gute Methode der drahtlosen Sicherheit bewirkt, dass es keine Rolle spielt, ob die SSID sichtbar ist.
Wie sie Ihr WLAN richtig absichern lesen sie hier:
cu
//.<