Ready Blog Austria : Security

Identity 2.0 oder "Was passierte mit Sxipper?"

Ready Blog Austria — Fri, 06 Nov 2009 08:31:17 GMT

Nein, nicht Skippy! Sxipper, das beinahe genauso wie das Buschkänguruh (was für ein Wort!) ausgesprochen wird. Warum ich das wissen will? Weil ich gerade über einen Blogpost von ANDERSdenken-Hannes gestolpert bin, in dem er darüber räsonniert, was eine gute Präsentation können muss. Empfehlenswert, zweifellos - aber auch darüber soll es hier nicht gehen: Nicht um die Kunst der Reduktion, nicht um einprägsame Bilder, nicht um ppt-Checklisten, sondern um die Art und Weise, wie wir uns im Netz bewegen und dabei unsere Identität bewahren.

Ich lese also den Beitrag von Hannes Treichl und stolpere am Ende über einen Link, der mich anspringt: "Lesetipp" heißt es hier: "243 Folien in 10 Minuten von Dick Hard." Abgesehen davon, dass dieser Mann "Hardt" heißt, also mit "dt" am Ende, und dass mich dieser Hinweis mein cooles Image kostet, ist seine Keynote über Identity 2.0 - obwohl bereits mit der Patina der Jahreszahl 2006 überzogen - nicht nur präsentationstechnisch, sondern auch inhaltlich höchst anregend.

Gut: nach 243 Folien in 10 Minuten hat jeder Kopfweh, aber das nimmt man gerne in Kauf, wenn man danach etwas gelernt hat.

Ich war jedenfalls so begeistert, dass ich nach etwa 30 Minuten den Namen Dick Hardt "googelte" bzw. "bingte". Mal sehen, was aus dem Vorreiter der Identity Management Szene geworden ist, dachte ich mir. Und was ich sah, überraschte und beruhigte gleichzeitig. Und lässt mich weiterhin an die Macht des Guten glauben. Nein! - nicht, was Sie denken. Nicht, weil Dick Hardt jetzt bei Microsoft und dadurch alles besser ist! Sondern, weil ich das Interview mit ihm gelesen hab e, indem er seine Entscheidung begründet.

Und: weil es den Identity 2.0 Blog immer noch gibt. Was aus Sxipper und Skippy geworden ist, ist natürlich eine andere Geschichte.

posted by Wolfgang Tonninger

Wirksamer Spamschutz ohne zusätzliche Infrastruktur

Ready Blog Austria — Mon, 27 Jul 2009 14:31:57 GMT

Man hört es immer wieder: Spamflutungen sind allgegenwärtiges Zeichen eines Klimawandels in der IT, gegen die nicht nur Unternehmen, sondern auch die neuen Social Media Plattformen wie Twitter, Facebook und co zu kämpfen haben.

Die Firma AluKönigStahl ist demnach in Österreich kein Einzelfall. „Bis zu 15.000 Spams fanden sich täglich in den rund 200 Mailboxen der Mitarbeiter“, erinnert sich Prokurist Franz Mantler an die für die IT-Leitung unerträgliche Situation: "Heute sind es 95% weniger und damit in einer Größenordnung, die uns keine Kopfzerbrechen mehr bereitet."

Beeindruckend an dieser Referenz ist erstens, wie zügig sie umgesetzt wurde und zweitens, weil sie (zusammen mit der mii ag) beinahe völlig ohne zusätzliche Investitionen in die Infrastruktur ausgekommen ist - einfach, indem die Standardfeatures des Exchange Server 2007 und Microsoft Forefront intelligent und mit viel Fingerspitzengefühl genutzt und an die spezifische Situation des Unternehmens angepasst wurden. „Denn mit technischen Maßnahmen allein lässt sich keine Spamflut in den Griff bekommen,“ betont Wolfgang Bures, der für die Projektumsetzung bei mii zuständig war: “Für die Feinjustierung sind Erfahrungswerte mindestens ebenso wichtig!“

Das zeigt aber auch, dass viele IT-Probleme letztendlich Deployment-Probleme sind, die man sehr kostengünstig dadurch in den Griff bekommen kann, indem man die bereits vorhandenen Potenziale ausschöpft und IT besser, präziser und effizienter einsetzt.

posted by Wolfgang Tonninger

Was passiert mit unseren Kreditkarteninformationen?

Ready Blog Austria — Thu, 23 Jul 2009 14:29:49 GMT

Payment Card Industry (PCI) Data Security Standard (DSS) ist heute DER Sicherheitsstandard, wenn es um die Verarbeitung und Speicherung von Kreditkarteninformationen geht. Ein Standard, der von allen Unternehmen eingehalten werden muss, die in irgendeiner Weise am Transaktionsprozess beteiligt sind - metaphernkonform mit der „Kette und ihrem schwächsten Glied“.

Florian Sailer hat nun im Zuge seiner Master Thesis an der Donauuniversität Krems die Sicherheitstechnologien der Microsoft Serverplattform dahingehend evaluiert, inwieweit sie die schlanke und kostengünstige Umsetzung einer PCI DSS-konformen Kreditkartenumgebung unterstützen.

Dabei wurden konkret die Windows Server 2008 Enterprise Features, Funktionen und Sicherheitseinstellungen den Detailanforderungen und Anweisungen aus PCI DSS gegenübergestellt. Mit dem Ergebnis, dass Windows Server 2008 zusammen mit Active Directory eine homogene und zugleich flexible IT-Landschaft für Server zur Verfügung stellt, die als Fundament „zur Bereitstellung eines Payment-Service eingesetzt und hinsichtlich PCI DSS optimal erweitert werden kann.“

Bemerkenswert dabei ist, dass Florian Sailer angesichts der Komplexität des Themas zu dem - nur auf den ersten Blick überraschenden - Schluss kommt, dass „mit Technologie alleine keine konforme Umsetzung aller zwölf Anforderungen bewerkstelligt werden (kann)“ und dazu – neben zusätzlicher Hard- und Software – auch „neue Methoden entwickelt und eingeführt werden müssen.“

Interessant für uns war auch der kurze Ausflug in den Bereich Virtualisierung und die Rolle von Hyper-V. Dabei zeigte sich, dass das Budget- und Ressourcen-schonende Konzept der Bereitstellung kompletter Systeme als virtuelle Instanzen auf einem Hyper-V Server „auch auf PCI DSS Kreditkartenumgebungen angewendet werden kann.“ Mit dem zusätzlichen Vorteil, „dass alle erforderlichen Funktionen als virtuelle Server zur Laufzeit gespeichert und ausgetauscht werden können. Bei Ausfall eines Systems ist umgehend eine neue Instanz mit dem letzten funktionierenden Backup startbar und damit ständige Verfügbarkeit gewährleistet (Teil der Anforderung 12.9.1).“

Für alle, die sich näher mit dieser Thematik beschäftigen wollen, hat Florian Sailer seine Arbeit im Web für alle Freunde des ReadyBlog und alle an der Thematik Interessierten unter diesem LINK bereitgestellt.

posted by Wolfgang Tonninger

Von Profigangs und Möchtegern-Spammern

Ready Blog Austria — Thu, 09 Jul 2009 09:58:13 GMT

Die neue Studie von Microsoft Research über die Geschäftspraktiken der Schattenökonomie räumt mit dem Mythos auf, dass auf dieser Seite der Wirtschaft nur "Muss-Geschäfte" warten. "Die Ökonomie des Untergrunds wird oft als kriminelles Utopia des schnellen Geldes dargestellt, wo auch gänzlich Unbedarfte alles für Phishing Nötige erwerben, Hosting-Services anmieten und ihre Dienste dann über IRC-Kanäle profitabel vermarkten könnten. Dieses Bild hält einer Überprüfung jedoch nicht stand", schreiben Cormac Herley und Dinei Florencio in ihrem Forschungsbericht: "A Profitless Endeavor: Phishing as Tragedy of the Commons" (pdf-Datei).

Herley und Florencio zeichnen dagegen das Bild eines dualen Marktes (einem sogenannten Lemon Market), "in dem Newcomer" - also solche, die bei diesem kriminellen Spiel mitmischen wollen - "systematisch abgezockt werden."

Besonders interessant liest sich dieser Bericht - über den in der Futurezone ein halbes Jahr! nach Heise Online berichtet wird -, wenn es darum geht, die technische Infrastruktur zu beschreiben, die die Basis für Cyberkriminalität dieser Art bildet. Denn diese besteht in den meisten Fällen aus einem losen Netz von rund um die Welt gekaperten und ferngesteuerten Rechnern, die als Spamverteiler für Pishing-Raubzüge oder ähnliches genutzt werden. Gemeinsam ist all diesen Zombie-Rechnern, dass sie auf einem schlecht abgesicherten Betriebssystem laufen und die Besitzer zumeist keine Ahnung vom "Nebenjob" ihrer Rechner haben.

In einer Zeit, in der Mailstörungen beinahe zum Alltag gehören, Google einen Spam-Zuwachs von 52% bezeichnet und auch die nicht immer honore Twitter-Gemeinde den Abzockern in den eigenen Reihen beinahe hilflos gegenübersteht, ist diese Art Schattenwirtschaft im Netz zur hässlichen Normalität geworden.

Was in diesem Zusammenhang versöhnlich stimmt, ist, dass die Ergebnisse der Microsoft Studie zumindest mit dem Mythos aufräumen, dass sich mit Pishing mit wenig Aufwand viel Geld verdienen lässt: "Statt als einen einfachen Weg zum Reichtum, sehen sie Pishing als Tätigkeit für Geringqualifizierte, die wenig Einkommen abwirft" (Heise Online).

posted by Wolfgang Tonninger

… und morgen kommt der Weihnachtsmann!

Ready Blog Austria — Mon, 22 Jun 2009 12:58:00 GMT

Bei uns heißt das Christkind! Egal. Jedenfalls gibt’s im Security-Bereich schon morgen eine „schöne Bescherung“: was Neues für alle. Und morgen dürfen wir auch sagen, wie es heißen wird.

Und weil es schwer ist, über etwas zu reden, das noch keinen Namen hat, nennen wir es solange „Morro“. Morro bietet Basissicherheit für alle und kostet nix. Das ist doch cool, oder? Eine Consumer-Lösung von Microsoft im Security-Bereich Echtzeitschutz (real-time protection) gegen Viren, Spyware und andere Schadsoftware, die gratis angeboten wird.

Bleibt die Frage, wie differenziert sich diese Lösung, von den bereits existierenden Security-Lösungen von Microsoft die unter dem Namen Forefront bekannt sind.

Business Ready Security auf microsoft.com versucht es zu erklären und hilft, die Unterschiede zu verstehen.

Unsere Welt wird immer komplexer, die Angriffe in unseren Netzwerken immer trickreicher.

Darum kommt in den nächsten Monaten auch Verstärkung in der Business-Schiene unserer Security-Technologien in Form von neuen Versionen. Das Spektrum des Updates reicht von komplett NEU (Forefront “Stirling”), “fine tuned” bis zu “complete makeover” (Threat Management Gateway und Unified Access Gateway).

Mit dem Forefront-Portfolio können Sie den Herausforderungen im Security-Bereich in Ihrer Geschäftswelt entgegentreten und ruhiger schlafen. Zuhause hilft in Zukunft Morro und morgen wissen wir auch wie es heißen wird.

posted by Hans Berndl

typische IT-Fehler - 9 von 20

Ready Blog Austria — Wed, 15 Oct 2008 12:38:00 GMT

In der aktuellen Computerwoche findet sich eine interessante Auflistung von 20 typischen Fehlern, welche die IT-Sicherheit gefährden und unnötige Kosten verursachen. Keine Angst, ich verschone Sie mit einer allzu langen Liste. Stattdessen greife ich 9 davon heraus, die mir besonders hervorhebenswert erscheinen: Sie fragen: "Warum nicht 10?" Weil ich gegen solche Aufstockungen bin - nur um der runden Zahl willen:

1. Die rigorose Abschaffung von Legacy-Systemen - ist nicht immer zielführend und mitunter recht riskant. Deshalb ist es oft besser ein älteres System, das verlässlich läuft, zu integrieren, anstatt es zu ersetzen. Mehr zur Modernisierung von Legacy-Systemen finden sie hier.

2. Unzureichende Security-Schulungen - bedeuten ein erhöhtes Sicherheitsrisiko. Denn was nutzen die besten Vorsätze und Maßnahmen der IT-Administratoren, wenn die User am Front-End keine Ahnung davon haben, was eine durchgehende Sicherheitskultur jedem einzelnen Anwender abverlangt.

3. Unersetzliche Mitarbeiter - sind entbehrlich und durch ihre mangelnde Bereitschaft, ihr Hoheitswissen zu teilen, ein Risiko für das Unternehmen. Abhilfe schaffen Teamarbeit und Anreize, kritisches Wissen mit anderen zu teilen.

4. Zu viele Eigenentwicklungen - verschwenden wertvolle Ressourcen. Beschränken Sie die eigene Anwendungsentwicklung auf Projekte, die zu klaren Wettbewerbsvorteilen führen.

5. Die Vernachlässigung der mobilen Sicherheit - kann bedrohliche Folgen haben. An den Firewalls vorbeigeschleuste Laptops als Malware-Überträger, verlorene Devices als Verbreiter von Firmengeheimnissen, lasche Authentifizierung von Mitarbeitern beim Remote-Zugriff: die Szenarien sind bekannt, aber vermeidbar.

6. Isolierte Compliance-Maßnahmen - statt ganzheitlicher Compliance-Strategien, die eine weitgehend automatisierte und damit leistbare Einhaltung von Compliance-Forderungen ermöglichen.

7. Mangelnde Skalierbarkeit - der Dauerbrenner darf natürlich hier nicht fehlen.

8. Verzicht auf Virtualisierung - und auf die Konsolidierung der bestehenden IT-Landschaft, obwohl heutzutage fast alle Hard- und Softwaresysteme VM-fähig sind (Virtual Machine). Die größten Hürden laut Centracon-Umfrage: mangelndes Know-how und (damit verbunden) mangelnde Perspektiven.

9. Schmalbrüstige Green-IT-Konzepte - die sich auf das Rechenzentrum und den Serverbetrieb beschränken und dabei übersehen, dass sich auch beim Kauf von Komponenten und selbst im Softwarebereich (durch SOA, Cloud und Co) Energie einsparen lässt.

posted by Wolfgang Tonninger

Windows in the Cloud

Ready Blog Austria — Tue, 07 Oct 2008 10:42:00 GMT

Vor gut einer Woche sorgte Amazon CTO Werner Vogel für einen Paukenschlag in der IT-Welt, indem er verkündete, dass noch diesen Herbst Microsoft Windows Server und SQL Server auf der Elastic Compute Cloud (EC2) von Amazon - die bislang Unix- und Linux-basierten Systemen vorbehalten war - als Web-Service für Unternehmen und Entwickler verfügbar gemacht werden.

Amazon zufolge bietet EC2 mit Windows Server und SQL Server die ideale Umgebung für "ASP.NET Web Sites, High Performance Computing Clusters, Media Transcoding Solutions und jede Menge Windows-basierter Anwendungen."

Beinahe gleichzeitig kündigte Steve Ballmer in London an, dass Microsoft noch im Oktober das neue "Cloud Operating System" auf der großen Microsoft Entwicklerkonferenz vorstellen wird.

Es sieht also so aus, als nähme der Geist des CLOUD COMPUTING, der in der IT-Branche seit einiger Zeit umgeht, langsam Gestalt an - auch weil die Technologie - allen voran die Virtualisierungstechnologie - mittlerweile imstande ist, mit diesem großen Gedanken Schritt zu halten.

Damit jedoch Cloud Computing vom Modebegriff zur echten Alternative wird, müssen die Bedenken, die "in Bezug auf Sicherheit, Verfügbarkeit, Kapazitäten und Servicequalität" bestehen ernst genommen und seriös diskutiert werden. Besonders interessiert sind natürlich auch viele hellhörig gewordenen Anwender - allen voran Nicholas Carr -, wie sich dieses technologische Angebot auf die Lizenzierungsformen von Microsoft Software auswirken wird.

Aufzuhalten scheint die Entwicklung von pulsierenden Infrastrukturen, die den Anwender als Wolke oder was auch immer begleiten, jedenfalls nicht mehr. Denn der Cloud Computing Reality Check hat laut John Foley bereits stattgefunden: "One CIO said he increased network capacity by a factor of five when he moved some of his company's IT workload into Amazon's Elastic Compute Cloud. That's not a rule of thumb for everyone, but it's a good example of what one company had to do."

Pikanterweise soll es laut Gartner Group (und IT-Times) gerade das schon in die Jahre gekommene E-Mail sein, das Cloud Computing zu einem Boom verhelfen wird: Wie es heißt, wird die Zahl der kommerziellen Email-Arbeitsplätze, die auf Cloud Computing-Modellen basieren, von einem Prozent im Jahr 2007 auf 20 Prozent bis zum Jahr 2012 steigen.

Mehr über Cloud Computing und die Rolle von "Microsoft in the New Software Economy" findet man im ausgezeichneten Interview, das Ann Winblad mit Microsoft CEO Steve Ballmer (siehe Foto oben) im Rahmen einer Veranstaltung des renommierten Churchill Club am 25. September 2008 führte. Hier geht es zum Video und hier gibt es - für Video-Müde - das Transkript des Interviews.

Ach ja, und am 23. Oktober gibt es in Wien den Virtualization Day 2008, wo Sie sich Ihr Virtualisierungsupdate holen können. Nicht versäumen!

posted by Wolfgang Tonninger

Serverplanung: wie gross, wie schnell, wie sicher?

Ready Blog Austria — Thu, 29 May 2008 12:05:00 GMT

Nehmen wir an, Sie gehen einkaufen und haben nicht unbegrenzt Geld in der Tasche. Sie meinen, das sei Ihnen zu wenig realistisch? Ok, aber nehmen wir nur einmal an. Was passiert? Sie werden überlegen, wie Sie mit dem, was Sie haben, möglichst viele Ihrer Wünsche möglichst gut befriedigen können. Der zweite Teil ist wichtig: auch "möglichst gut"! Denn Sie wissen sehr genau, dass am Ende der Frust steht, wenn man sich alle Wünsche ungeachtet der Qualität der Produkte/Lösungen erfüllt.

Bei Ihrer IT ist es ähnlich. Es hat keinen Sinn, alles zu haben, wenn die Qualität nicht stimmt. Da ist es schon besser, irgendwo klein aber fein anzufangen - mit dem Wissen, dass man das Setting jederzeit erweitern kann. Ein Fernseher, der sich mit keinem Videorekorder und keinem Notebook verträgt, wird heute nicht recht glücklich machen. Und wenn das Bild dann auch noch unscharf ist oder flimmert, sollte man besser ein Buch lesen - egal wie verlockend das Programm ist.

Deshalb möchte ich Ihnen den neuen System Center Capacity Planner ans Herz legen, auf den mich Christian Decker in seinem Blog aufmerksam gemacht hat. Er kann einfach, schnell und kostenlos installiert werden und gibt Ihnen Antworten auf die Frage, wie groß Ihr neuer Exchange oder SharePoint Server sein soll. Oder wieviel Plattenplatz Sie einplanen und auf welche Netzwerk-Topologie Sie setzen sollten. Wieviel Ausfallsicherheit Ihr System verlangt oder wieviel Server Sie für Ihr Operation Management benötigen.

Schauen Sie sich dieses Tool an. Ihre IT wird es Ihnen mit Skalierbarkeit danken! Ihr Chef wird zufrieden sein, weil Sie intelligent mit dem IT-Budget umgehen. Und Sie selbst werden sich auch besser, weil kreativer fühlen: weil Sie die Beschränkung als Herausforderung angenommen haben.

posted by Wolfgang Tonninger

Schadsoftware - ein weltweites Problem

Ready Blog Austria — Tue, 29 Apr 2008 11:28:12 GMT

Hier noch ein Nachtrag zum aktuellen Microsoft Security Intelligence Report, den wir neulich im Zusammenhang mit Forefront "Stirling" streiften. Er enthält auch eine "Weltkarte der infizierten Rechner", die ich Ihnen nicht vorenthalten will. Sie visualisiert die Erfolge im weltweiten Einsatz des Microsoft "Tools zum Entfernen bösartiger Software" (zeigt also keine Schadstoff-Verteilung, sondern Details zur Schadsoftware-Beseitigung).

Doch aufgepasst: Das Microsoft Malicious Software Removal Tool (kurz: MRST), das seit 2005 auf dem Markt ist, ist weder ein Antivirus-Programm, noch zur automatischen Abwehr von Angriffen auf den PC geeignet. Es wurde vielmehr dafür konzipiert, einen mit gängiger Malware infizierten Windows-PC zu säubern und damit bestehende Antivirus-, Firewall- und Sicherheits-Lösungen zu ergänzen.

Eine zweite Warnung bezieht sich auf die Interpretation dieser Weltkarte. Denn die grünen Bereiche, sind hier - entgegen der gewohnten Lesart - die Zonen, wo mehr als 500 Säuberungen pro Gerät (MSRT Executions per Computers Cleaned) notwendig waren, während es in den dunkelrot gefärbten Zonen weniger als 50 sind. Österreich liegt wie so oft im Mittelfeld - bei 200-300 Löschvorgängen pro betroffenem Computer.

posted by Wolfgang Tonninger

Forefront "STIRLING" am Horizont

Ready Blog Austria — Wed, 23 Apr 2008 10:18:33 GMT

Anfang April war es soweit. Bei der RSA-Konferenz 2008 in San Francisco wurden erste Informationen zur nächsten Forefront-Generation mit dem Codenamen "Stirling" (zusammen mit einer Betaversion) verfügbar. Sie soll Mitte 2009 auf den Markt kommen und die Bereiche Client Security, Server Security und Edge Security in einer ganz neuen Art und Weise zusammen denken. Das ist auch deshalb erwähnenswert, weil das Sicherheits- und Zugriffsthema in dynamischen IT-Umgebungen immer komplexer wird und damit immer auch eine ständige Herausforderung für IT-Management und Controlling darstellt.

Dazu Ryan Hamlin (im Bild), GM der Access & Security Division für Server & Tools bei Microsoft. “Microsoft is focused on reducing that burden for customers. By taking an integrated solutions approach that combines IT security, identity and access with systems management capabilities at the foundational level, and by delivering innovative products like Forefront ‘Stirling,’ we are providing dynamic protection and response capabilities that help customers secure their business while also saving time and reducing costs.”

Der zentrale Bestandteil dieser neuen Technologie heißt DYNAMIC RESPONSE - eine Komponente, die nicht nur die Verteilung und Nutzung von Sicherheitsinformationen über unterschiedlichste Infrastruktur-Ebenen vereinfachen, sondern auch automatische Prozesse zur Abwehr von Bedrohungen auslösen wird. Bedrohungen, die laut Microsoft Security Intelligence Report immer zahl- und variantenreicher werden und a la longue nur durch integrative Verfahren bzw. Echtzeit-Reaktionsmuster in den Griff zu bekommen sind.

Eine (engl.) Demo zu Forefront "Stirling" gibt es übrigens hier!

posted by Wolfgang Tonninger

Ist IT nun Chefsache oder nicht?

Ready Blog Austria — Wed, 05 Mar 2008 12:47:00 GMT

Unter dem Motto "IT ist Chefsache" geht am 6. März der E-Day in der Wiener Hofburg zum insgesamt neunten Mal über die Bühne. Das wäre nicht weiter pikant, gäbe es da nicht eine von der Wirtschaftskammer in Auftrag gegeben Studie, derzufolge ein Drittel der österreichischen Führungskräfte keine Ahnung hat, wie hoch die IT-Investitionen in ihrem Unternehmen sind und nur jeder fünfte CEO (22 Prozent) bei IT-Entscheidungen involviert ist.

Als Hauptgrund dafür ortet WKÖ-Generalsekretärin Anna Maria Hochhauser überholte Zugangs- und Denkweisen, die "IT immer noch zu sehr technisch und nicht strategisch beurteilen." Das unterstreicht auch die Diskrepanz in der Bewertung, nach der zwar nur ein Viertel (26,2 Prozent) - der 618 befragten Führungskräfte in Unternehmen mit mehr als 10 Mitarbeitern - IT zur Chefsache erklären, gleichzeitig aber mehr als die Hälfte (53 Prozent) meinen, IT sei ein essenzieller Bestandteil des Unternehmens und sogar 91,7 Prozent sich zu dem Lippenbekenntnis hinreißen lassen, dass IT ein wichtiger Bestandteil des Unternehmens ist.

Dramatisch wird diese Distanz zwischen CEO und CIO, - Führungskraft und IT-Verantwortlichen, der in Österreich oft immer noch nicht Teil des Managements ist - beim Thema Sicherheit. Hier gaben 31% der befragten Führungskräfte an, dass in ihrem Unternehmen Datenverluste angefallen seien, die ihrem Unternehmen sehr geschadet haben. Spät wird oft erst klar, welche Unternehmenswerte heutzutage in elektronischen Daten stecken: Strategische Konzepte, Transaktionsdaten, Kundenprofilierungsdaten, Produktions- und Logistikabläufe, Buchhaltungsdaten und - last but not least - jede Menge nur teilstrukturiert vorliegender Ideen.

Vor diesem Hintergrund wird die Sinnhaftigkeit des E-Days wohl auch daran gemessen werden müssen, inwieweit sich CEOs und CIOs bei der Veranstaltung näher kommen.

Hoffen lässt der abschließende NET-WORK Executive Talk um 18 Uhr, für den Mark Hall (Foto), General Manager des CIO Executive Council, gewonnen werden konnte. Was er über das CIO Executive Council sagt, hat auch für diesen Abend seine Gültigkeit: "CIOs are continuously hammered by the demands of regulation, competition, staffing deficiencies and other challenges, making it exceedingly important for us to come together as a global entity and leverage our collective experience and knowledge."

posted by Wolfgang Tonninger

Liebe Oracle-Administratoren: bitte unbedingt Patches einspielen!

Ready Blog Austria — Thu, 31 Jan 2008 21:20:14 GMT

Gerade habe ich einen Artikel in der Computerwoche gelesen, der mich höchst nachdenklich stimmt. Eine Studie unter Oracle-DBAs (Details siehe Artikel) förderte schockierende Ergebnisse zutage:

Über zwei Drittel der Oracle DBAs haben noch nie ein Critical Patch Update (CPU) von Oracle eingespielt!
Nur 10% haben die letzte Patch-Sammlung von Oracle installiert.

Natürlich gibt es dafür gute Gründe - solche Patches bedeuten einen großen Testaufwand und in weiterer Folge beträchtliche Downtime. Davor schrecken viele Unternehmen verständlicherweise zurück. Und setzen ihre Infrastruktur teilweise wissentlich sehr ernst zu nehmenden Sicherheitsrisiken aus.

In Zusammenhang mit einer anderen Studie wird das Ausmaß der Misere offensichtlich (siehe Tabelle unten). Im Gegensatz zu SQL Server 2005 gibt es bei den Oracle-Pendants nämlich recht viele Sicherheits-Schwachstellen, die zu patchen wären...

Quelle: Enterprise Strategy Group, Microsoft SQL Server Runs the Security Table, Nov. 2006

posted by Martin Zimmermann

Windows Server 2008 - Er kommt ...

Ready Blog Austria — Mon, 29 Oct 2007 13:00:00 GMT

... und ist Chef-Sache, klar wenn eine neue Version des wichtigsten und besten Server-Betriebssystem auf den Markt kommt :) interessiert das natürlich jeden.

Die Säulen auf denen der neue Windows Server steht sind:

Web
Virtualisierung
Sicherheit
Solides Fundament

Web steht an erster Stelle, ist für manche vielleicht überrraschend, jedoch dieser Bereich war einer der Schwerpunktthemen für die Entwicklung der neuen Version. Wieviel Vertrauen und Zuversicht wir in den neuen Windows Server haben, untersteichen wir selber mit dem Einsatz von Windows Server 2008 BETA 3 für alle unsere Front-End-Server, die unsere kleine aber feine Webseite www.microsoft.com betreiben.

Wenn Sie mehr über den IIS7 - so heißt der neue "Web"-Server - erfahren wollen und dann vielleicht noch im Bereich Hosting tätig sind, darf ich sie auf 2 Informationsquellen hinweisen:

Der Blog meines lieben Kollegen Gerwald Oberleitner zum Themenkreis: Hosting und Telekomminikation
Ein spezielle IIS7 Veranstaltung bei Microsoft Österreich in Jänner 2008, dazu in einem späteren Beitrag mehr ;)

Virtualisierung - ein Markttrend, der schon lange von Microsoft verfolgt wird. Und der jetzt von Gartner mit einer Versionsnummer versehen wurde (Virtualization 2.0), was Wolfgang Tonninger in seinem Beitrag über die Gartner Hypes für 2008 monierte. Anyway: Virtualisierung goes Mainstream - das zeigt auch der Umstand, dass wir diese Technologie in den Windows Server 2008 integrieren und sie in der nahen Zukunft damit allen in der 64bit-Version des Servers zur Verfügung stellen.

Sicherheit - ohne einen Fokus auf Sicherheit verlässt kein neues Produkt unsere Entwicklungsabteilungen, seit vor mehr als 5 Jahren Security von Bill Gates zur Prio 1 erklärt und TWC (Trust Worthy Computing) verkündet wurde, arbeitet jeder im Unternehmen an diesem Thema. Für die Neuauflage des Windows Servers hat der Fokus auf Sicherheit unter anderem eine Funktion gebracht, die sich Network Access Protection (NAP) nennt. Diese ermöglicht es dem leidgeprüften Administrator den Zugang zum Unternehmens-Netzwerk mittels Richtlinien (policies) zu steuern.

Solides Fundament - beschreibt alle Funktionen, die sie von einem Server erwarten dürfen. Und Sie werden diesbezüglich nicht enttäuscht: mit mehr als 18 Server-Rollen werden diese granular angeboten und bleiben damit übersichtlich und verwaltbar.

Wann ist es soweit, wann kommt er?
Ein wenig Geduld ist noch notwendig, aber in der Zwischenzeit - bis zum
27. Februar 2008 - wo in Los Angeles, in kleiner Runde mit einer paar tausend Interessierten und ein paar hochrangigen Microsofties wird der Windows Server 2008 und 2 weitere Produkte aus dem 2008 Portfolio gelaunched. SQL Server 2008 und Visual Studio 2008 sind ebenfalls live on stage.

Stay tuned, und vergessen Sie nicht CollectIT der rote Faden durchs Launch-Jahr und die dazugehörigen "virtuellen Sticker". Hier wieder ein neuer für Ihre Sammlung :)

posted by Hans Berndl

Laptop verloren ... Finderlohn!

Ready Blog Austria — Tue, 09 Oct 2007 17:00:00 GMT

Michael Kalbe zitiert in seinem Blog eine vom Ponemon Institute durchgeführte Studie ("Confidential Data at Risc") , nach der in 81% der befragten Unternehmen im Laufe der letzten 12 Monate mindestens ein Laptopcomputer mit sensiblen oder vertraulichen Geschäftsinformationen "verloren gegangen" ist.

81% - unglaublich! Mir wird schwarz vor den Augen - bin ich doch auch jemand, der es gewohnt ist, sein halbes Büro durch die Welt zu tragen. Ungepanzert!

Wenn es Ihnen ähnlich geht, dann sorgen Sie dafür, dass sich der Sicherheitsexperte in Ihrem Unternehmen die Analyse zu Gemüte führt, die das Microsoft Data Encryption Toolkit for Mobile PCs bietet. Es gibt nicht nur einen Überblick über die gängigen Risikoszenarien. Es zeigt auch, wie Server- und Client-Sicherheit zusammenhängen, Sicherheitsrichtlinien dynamisch implementiert und die neuesten Technologien zur Dateiverschlüsselung (EFS) und zur Laufwerksverschlüsselung (BitLocker) kombiniert werden können. Das alles natürlich auch mit dem WOW-Effekt ;-)

Don´t miss it!

posted by Wolfgang Tonninger

hackerS @ microsoft

Ready Blog Austria — Wed, 29 Aug 2007 16:44:00 GMT

Es gibt einen neuen Blog, nicht uns - ja, wir sind auch neu. Trotzdem möchte ich auf einen anderen Blog verweisen, der sicher sehr interessant wird. Es gibt erst einen Beitrag, der erklärt was sich auf diesem Blog so tun wird und der verspricht doch einiges. Sie werden dort ungewöhnliche Inhalten finden, wenn man bedenkt das es sich dabei um einen offiziellen Microsoft Blog handelt, egal... schauen Sie vorbei und merken Sie sich ihn vor ;) hackers @ microsoft

Da uns, in unserem blog, Sicherheit und Softwarequalität sehr am Herzen liegen, werden Sie den einen oder anderen "Zwinkerer" in diese Richtung hier finden. Wir können nicht zu jedem Thema etwas schreiben, haben aber immer unseren Spannungsbogen im Auge und schauen über den Tellerrand und bloggen über Themen von Arbeitswelt bis Lebenswert.

posted by Hans Berndl