Kategorie: IT

close up student hand using pencil for doing text exam after fin

Neuigkeiten vom IHK-Prüfungsausschuss

IHK Prüfungsausschuss

Um auch zukünftig für die Fachkräftesicherung in unserer Region zu sorgen, sucht der IHK-Prüfungsausschuss ständig nach neuen Mitstreitern. Diese Mitglieder sollten ein umfassende Fachkenntnisse und pädagogischem Geschick mit sich bringen.

Bisher im IHK-Prüfungsausschuss

Harald Rossol ist mittlerweile schon seit zwei Monaten im IHK-Prüfungsausschuss Bremen tätig. Er wird in den Bereichen der Fachinformatik und Anwendungsentwicklung 407 eingesetzt und hat bereits zusammen mit den Kollegen vom Ausschuss die ersten Prüflinge geprüft.

Harald Rossol ist für den Prüfungsausschuss der Handelskammer Bremen in der Zeit vom 09.05.2022 bis zum 31.08.2024 angesetzt.

Veränderungen im IHK-Prüfungsausschuss 

Der Prüfungsausschuss wählt ein Mitglied zum Vorsitzenden und ein Mitglied zu dessen Stellvertreter. Dabei gilt aber, dass beide Organe verschiedenen Mitgliedergruppen angehören müssen. Damit der Prüfungsausschuss beschlussfähig ist, müssen mindestens zwei Drittel der Mitglieder mitwirken. Die Mehrheit der abgegebenen Stimmen wählt dann den Vorsitzenden und dessen Stellvertreter.

Harald Rossol wurde gewählt und ist nun IHK-Prüfungsausschussvorsitzender. Er ist Vorsitzender für den Bereich der Anwendungsentwicklung geworden. Durch seinen neuen Posten kommen natürlich auch neue Aufgaben hinzu.

Was macht ein Vorsitzender im Prüfungsausschuss?

Die Vorsitzenden leiten den IHK-Prüfungsausschuss, sie übernehmen also die Verantwortung für die Organisation und den Arbeitsablauf innerhalb des Ausschusses. Sie sind außerdem für eine reibungslose Zusammenarbeit zuständig.

Herr Rossol ist durch seine weitreichenden Fachkenntnisse und seiner langjährigen Erfahrung im Bereich der IT perfekt für den Vorsitz im Prüfungsausschuss geeignet. Das belegt auch sein vielfach ausgezeichnetes IT-Dienstleistungsunternehmen b.r.m., welches in Sachen IT-Sicherheit und Green IT Vorreiter ist.

Information and communications technology with downtown Los Angeles

ICT Trends 2022

Im Zeitalter der Digitalisierung und Automatisierungen sind immer neue ICT Trends in der Arbeitswelt vorhanden. Zum Jahresende präsentieren Marktforscher, Berater und andere Experten ihre Einschätzungen zu den Trends.

ICT Trends 2022

Was ist ein ICT Trend?

Ein ICT Trend beschreibt eine Tendenz in der Informations- und Kommunikationstechnologie. Dadurch entstehen technische Lücken, neue Möglichkeiten, aber auch Herausforderungen. Da jeder neue oder alte Trend sich auf die Arbeitswelt auswirkt und auch auf die aktuellen Gegebenheiten reagieren muss, kann es schnell zu Veränderungen kommen.

Durch die Corona Pandemie wurde zum Beispiel ein deutlicher Anstieg des hybriden Arbeitens und der digitalen Meetings festgestellt. Dieser Wandel fordert neue Geschäftsmodelle und Technologien, die aber durch Lieferengpässe sehr eingeschränkt waren.

Das Homeoffice und die virtuellen Meetings haben im Zuge des Lockdowns die IT-Branche sehr beansprucht und überrollt. Dadurch war das Thema IT-Sicherheit und Datenschutz anfangs eine Katastrophe mit weitreichenden Folgen.

Der Fachkräftemangel ist seit vielen Jahren auch ein Bestand der ICT Trends. Dadurch streben viele Unternehmen eine Optimierung ihrer Prozesse und weitreichende Automatisierungen ihrer Tätigkeiten an.

Der Einsatz von Cloudinfrastrukturen und deren Services soll laut Experten weiter ansteigen. Diese sind besonders durch die Ersparnisse und ihrer Flexibilität für Unternehmen attraktiv. Darüber hinaus bieten die hybriden Cloud-Strategien eine vielversprechende Lösung an. Sie sind eine Kombination aus einer Serviceanwendung (SaaS) und On-Premise-Rechenzentren. So kann der Datenschutz und die Sicherheit eines exponentiell ansteigenden Datenwachstums gewährleistet werden.

Außerdem ist eine Demokratisierung der Technologie zu verzeichnen. Das Wissen und die Fähigkeiten werden durch die Hightech-Plattformen zugänglicher. Prozessautomatisierungen und Open-Source-KI Anwendungen bringen Personen dazu, ihre Sichtweise und ihr Fachwissen einzubinden und daraufhin Lösungen zu entwickeln. Die Demokratisierung schafft also Basisinnovationen in der gesamten Organisation, die praktisch und kulturell unterstützen.


Harald Rossol in den IHK-Prüfungsausschuss Bremen berufen

Der IHK-Prüfungsausschuss der Industrie- und Handelskammer Bremen stellt die Prüfungen in der Aus- und Fortbildung. Doch was ist das genau, welche Aufgaben haben die Prüfer und wie wird man überhaupt Prüfer?

IHK-Prüfungsausschuss

Die IHK für Bremen und Bremerhaven ist behördenübergeordnet und unabhängig für die Organisation, die Begleitung sowie die Beurteilung von Abschlussprüfungen in der Aus- und Fortbildung der Industrie- und Handelskammerberufen zuständig. Dabei geht es nicht nur um theoretische, sondern auch um praktische Ausbildungsteile, die sowohl schriftlich als auch mündlich abzuschließen sind.

Für die verschiedenen Ausbildungen gibt es Prüfungsausschüsse. Die Mitglieder des IHK-Prüfungsausschusses sind nicht Mitglieder der Industrie- und Handelskammer. Neue Mitstreiter werden aber nicht nur als Prüfer, sondern auch als zusätzliche Experten oder als Ersatz für ausscheidende Prüfer gesucht.

Aufgaben eines Prüfers

Die Aufgaben eines Prüfers werden zusammen mit einem Team aus Berufsschullehrern, Arbeitgeber- und Arbeitnehmerbeauftragten bewältigt. Zu den Aufgaben gehört das Erstellen, das Korrigieren und das Begutachten von Prüfungsaufgaben, -arbeiten. Darüber hinaus werden Arbeitsproben, Präsentationen sowie Dokumentationen bewertet.

Wie wird man Prüfer im IHK-Prüfungsausschuss?

Um für eine Berufung in einen Prüfungsausschuss in Frage zu kommen, sind einige Voraussetzungen zu erfüllen. Eine hinreichende Fachkompetenz im Beruf und ein pädagogisches Gespür sind für den Prüfer fundamental. Außerdem sollte ein gewisses Urteilsvermögen und ein Verantwortungsbewusstsein vorhanden sein. Der Prüfer darf nicht älter als 65 Jahre sein, sollte aber menschliche Reife mitbringen.

Der Inhaber und Geschäftsführer des Bremer IT-Dienstleisters b.r.m., Harald Rossol, wurde von der Handelskammer Bremen als Prüfer in den Prüfungsausschuss berufen. Herr Rossol ist mit seiner ausgezeichneten Erfahrung in dieser Branche für den Prüfungsausschuss Fachinformatiker für Anwendungsentwicklung bis August 2024 tätig.

Urkunde Berufung IHK Handelskammer Bremen Bremerhaven Harald Rossol ordetnliches Mitglied Arbeitgeber Fachinformatik Anwendungsentwicklung
Berufungsurkunde IHK-Prüfungsausschuss: Harald Rossol

Two business people working together on it project. Brainstorm concept. Hi-tech hologram. Multiexposure.

Rückblick 2021: Unsicherheit in der IT-Security

Rückblick 2021 IT-Security b.r.m. brm

Viele Unternehmen und Organisationen hatten nicht nur durch die Corona Pandemie erhebliche Probleme, sondern auch bei der IT-Security. 2021 war kein gutes Jahr für die IT-Security, da es erhebliche Sicherheitslücken aufzeigte und die Cyberübergriffe auf Unternehmen stark anstiegen, unser Rückblick 2021:

Entwicklung der Cyberkriminalität

Im Jahr 2021 war ein deutlicher Anstieg der Cyberangriffe auf Unternehmen und Organisationen zu verzeichnen. Dieser Trend nimmt seit 2020 deutlich zu. Laut einer Studie von der Internetseite Check Point Research stieg die Anzahl von Cyberangriffen auf Organisationen aller Art um 40%.

Die Pandemie sorgte bei IT-Dienstleistern durch die notwendige Arbeitsflexibilisierung für einen enormen Zeitdruck. Zusätzlich traten Hackerattacken deutlich öfter auf und wurden gleichzeitig immer raffinierter. Die Hacker waren oft schneller als die Abwehrmaßnahmen dagegen. Ein massives Problem in der IT-Security war der sogenannte Zero-Day.

Zero-Day-Lücke als große Gefahr

Die IT-Systeme entwickeln sich ständig weiter und die Softwares sind dadurch meist schnell veraltet. Neue Patches bringen die Geräte auf den neusten Stand und schließen alte Sicherheitslücken.

Doch dieser sogenannter Zero-Day (null Tag) umfasste vier Sicherheitsmängel bei Microsoft Exchange Servern, welche durch einen fehlerhaften Programmier-Code von den Entwicklern versehentlich implementiert wurde. Das gab der Hackergruppe Hafnium die Möglichkeit tausende Exchange Server zu infiltrieren und zu scannen. Da aber bisher nicht geklärt werden konnte, ob eine „Backdoor“ (Hintertür) installiert wurde, kann man die Konsequenzen für die Zukunft noch nicht festlegen.

Was lernt man daraus?

Auf einen Zero-Day kann man sich nicht einstellen, da sie überall und unentdeckt vorkommen können. Man kann sich aber regelgerecht an den Datenschutz gemäß DSGVO halten. Hierfür gibt es zwei Versionen: privacy by design und privacy by default. Letzteres beschreibt Einstellungen, welche standardmäßig datenschutzfreundlich sind. Privacy by design beschreibt die Datenschutzvorgänge, welche am besten eingehalten werden, wenn diese bei der Erarbeitung bereits technisch integriert wurden. Quasi eine doppelt verschlossene Tür.

Dafür ist allerdings eine zuverlässige IT-Sicherheitspolitik Voraussetzung. Diese setzt nicht nur auf progressive Technik, sondern auch auf eine entsprechende Firewall. IT-Security definiert sich durch kontinuierliche Updates und qualitative Bekämpfungen der Sicherheitslücken.

Rückblick 2021: IT-Security ist in der IT-Branche ein sehr dominantes Thema und ist mit einem ständigen Bestreben nach Qualität verbunden. Neben der Prozessdigitalisierung ist auch die Erhöhung der Geschwindigkeit des Datenmanagements sowie das Entwickeln digitaler Produkte eine Herausforderung für die zukünftige IT.

lightbulb with small tree and money stack on soil in nature suns

Postwachstum & Green-IT – b.r.m. in der Ressourceneffizienz Veranstaltungsreihe der Thega

Postwachtum & Green-IT – b.r.m. in der Ressourceneffizienz Veranstaltungsreihe der Thega in Thüringen

 

Postwachstum & Green-IT – b.r.m. in der Ressourceneffizienz Veranstaltungsreihe der Thega. Im Rahmen der „Qualifizierung Ressourceneffizienz“ bietet die Thega aus Thüringen Weiterbildungen für Berater an. Dies erfolgt im mit Unterstützung der Landesinitiative Ressourcenschonung durch das Thüringer Umweltministerium. Im nunmehr dritten Block der Reihe werden Praxisbeispiele besprochen und es ist uns eine besondere Freude, dass Herr Harald Rossol die b.r.m. und das ausgezeichnete Green-IT Rechenzentrum präsentieren kann.

Qualifizierung für Ressourceneffizienz durch die Thega

Durch das Thüringer Förderprogramm GREEN Invest können sich KMU in Ressourceneffizienz-Maßnahmen fördern lassen. Dabei wird die Beratung selbst ebenfalls unterstützt. Die kontinuierliche Weiterbildung von Fachkundigen zum Thema Ressourceneffizienz steht in der Veranstaltungsrehe der Thega im Vordergrund. Dabei wird besonders auf die Methoden und Instrumente zur Analyse und Steigerung der Ressourceneffizienz in Produktionsprozessen eingegangen. Über insgesamt 6 Tage werden Theorie und Praxis besprochen. Am 27.04.2022 kommen unterschiedliche Beispiele zum Thema Ressourceneffizienz aus der Praxis dazu, darunter auch das Green-IT Rechenzentrum der b.r.m.

Energie- und Ressourceneffizenz im Rechenzentren – Green-IT

Umwelt und IT muss und sollte nicht getrennt voneinander gedacht werden. Immer noch werden die Energiekosten der IT-Systeme nicht separat erfasst und können daher nicht optimiert werden.

Im Fokus neuer IT-Systeme steht die Energieeffizienz bei gleichbleibend hoher Qualität und Sicherheit. Wir haben ein kostengünstiges Betriebskonzept entwickelt, mit dem mehr als 60% Energie eingespart werden kann – mit marktüblicher Software und Serverkomponenten.

b.r.m. ist ein Pionier der Green-IT und hat das Zertifikat ‚Blauer Engel für energieeffiziente Rechenzentren ‘ – in Zusammenarbeit mit dem Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit und mit dem Umweltbundesamt – mitentwickelt. Unser energieeffizientes Rechenzentrum ist mit seinem integrierten Managementsystem nach ‚ecostep ‘ seit 2005 für Qualität, Umwelt und Arbeitsschutz zertifiziert ist. Im gleichen Atemzug ist auch der Verein blühfläche.de e.V. zu nennen, der sich für den Erhalt und Aufbau von Blühflächen und –streifen in Norddeutschland einsetzt.

Postwachstum führt zu nachhaltigen Unternehmen

Diese und weitere Unternehmungen stehen unter dem Begriff Postwachstum synonym für den effizienten Einsatz von Ressourcen und den schonenden Umgang damit. Das Postwachstum & Green-IT bei der Veranstaltungsreihe zur Ressourceneffizienz der Thega auch durch b.r.m. vertreten wird ist uns natülrich eine besondere Freude. Hinter dem alternativen Wirtschaftsmodell “Postwachstumsökonomie” steckt die Grundidee, dass die Wirtschaft auch ohne Wachstum funktionieren soll. Der aktuelle Wettkampf in der Wirtschaft, bei dem es nur noch um Schneller, Höher und Weiter geht, lässt die natürlichen Ressourcen dahinschwinden.

Bereits 1972 wurde vom “Club of Rome” vor den Folgen des ungebremsten Wirtschaftswachstums gewarnt. Der Weg zum Postwachstum kann schon mit kleinen Schritten beginnen. Beispielsweise kann die Reduzierung des Outputs zu einer Verbesserung der Qualität führen. Bestimmte Produkte und Dienstleistungen sollten weniger angeboten werden, dafür aber in höherer Qualität. 

Dieses Thema wurde auch unlängst im Magazin Impulse besprochen, in dessen Artikel. Auch b.r.m. als Beispiel angeführt wird. Interessierte Leser finden diese Artikel hier.

IT-Dienstleistungen und IT-Security – Richtige Partner zur Hand

Moderne IT-Dienstleistungen sind in einer digitaler werdenden Welt gefragter denn je, ganz genauso wie eine Anspruchshaltung an solide IT-Security. Neben einer qualitativen und zügigen Bearbeitung anstehender Aufgaben durch effektive Dienstleister, ist der Bereich der Sicherheit von Daten und Netzwerken, kurzum IT-Security, ein noch oft unterschätzter Teilbereich.

IT Security Dienstleister b.r.m. brm

Wie durch unseren kompetenten Partner Sonicwall im neusten Jahresbericht festgestellt, nehmen die Cyber-Angriffe durch Ransomware und Encrypted Threats deutlich zu. Gerade die Angriffe durch Ransomware sind um 105% zum Vorjahr angestiegen und sogar um 232% gegenüber dem Vergleich zum Jahr 2019.

Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Thorsten Brendel, verfügen wir auch über umfassende Expertise im Bereich IT-Security und auch DSGVO. Gemeinsam mit unseren Partnern haben wir die Konzepte, um auch ihre Sicherheit auf dem aktuellen Stand zu halten.

Ransomware – Geld oder Rechner?

Die Methode, durch eine Blockade des Rechners ein ‚Lösegeld‘ (engl.: ‚ransom‘) zu erpressen, hat in den letzten Jahren erheblich zugenommen. Der Nutzer eines Rechners sieht auf dem Monitor dann nur noch die ‚Lösegeldforderung‘ der Angreifer. Das besonders Perfide daran: Geht das Opfer auf die Forderung ein, bleibt sein Rechner in der Regel trotzdem blockiert. Man kann sich also nur höchst selten ‚freikaufen‘.

‚Ransomware‘ befällt längst nicht mehr nur ein einziges Betriebssystem. Ob Linux, Mac-OS oder Windows, alle Nutzer sind von dieser digitalen Form des Straßenraubs betroffen. Längst auch geistern im DarkNet viele Bauanleitungen für Ransomware herum, die sogenannten ‚CrimeWare-Kits‘. Eine ‚Ransomware‘ verschlüsselt dann zumeist nicht den gesamten Rechner, sondern vor allem jene Daten, die dem Nutzer wichtig sind, also bspw. den Ordner ‚Eigene Dokumente‘ unter Windows.

Der Schutz gegen Ransomware gleicht dem gegen andere Viren oder Trojaner. Ein Nutzer erhält bspw. eine Mail mit dem Anhang einer unbezahlten Rechnung, mit einer Strafandrohung des Bundeskriminalamtes, oder mit angeblichen Nutzungsverstößen der GEMA. Wer einen solchen Anhang öffnet, hat dann den Erpressern den ‚Hausschlüssel‘ selbst in die Hand gedrückt.

Man sollte daher NIEMALS einen Mail-Anhang öffnen, der nicht aus einer absolut vertrauenswürdigen Quelle stammt. GEMA wie BKA nutzen übrigens noch immer die gute alte Briefpost. Ferner ist es wichtig, alle relevanten Daten regelmäßig auf externen Datenträgern zu sichern, weil sie so für die Erpresser unerreichbar bleiben. Browser können durch installierte Anwendungen wie ‚NoScript‘ vor der Ausführung von Java-Befehlen geschützt werden, auch Werbeblocker bieten einen erhöhten Schutz.

Firewall: Mauern überwinden

Einen ‚Port‘ – zumindest aber ein Bullauge – muss ein Programm immer dann öffnen, wenn seine erzeugten Inhalte auch auf anderen Monitoren weltweit sichtbar sein sollen. Wie beispielsweise im Fall einer Homepage. Dort, wo etwas aus einem solchen ‚Port‘ oder ‚Hafen‘ in die virtuelle Welt auslaufen kann, dort kann natürlich auch etwas einlaufen. Daher wurden, um einen Rechner vor unerwünschten Zugriffen aus dem Netz heraus zu schützen, die ‚Firewalls‘ oder ‚Brandschutzmauern‘ geschaffen. Diese Sicherheitsprogramme sorgen dafür, dass nach festgelegten Regeln nur erwünschte Gäste in den heimatlichen Hafen gelangen. In der Regel muss jeder Zugriff zwei solcher Schutzmauern überwinden: die erste beim Provider, die zweite dann beim Client auf dem Netzwerkrechner.

Privacy by Design – IT-Security als ganzheitliches Konzept

Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).

‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz und auch die IT-Security muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.

‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen.
Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.

Für die Interessierten Leser finden Sie den kompletten Cyber Thread Report 2022 unseres Partners Sonicwall hier.

b.r.m. Sonicwall Partner

Zertifiziertes Managementsystem EcoStep 5.1 bei b.r.m.

Zertifikat Managementsystem EcoStep 5.1 IT-Service Bremen b.r.m.
Zertifikat Managementsystem EcoStep 5.1 IT-Service Bremen b.r.m.

Zertifiziertes Managementsystem EcoStep: Erneut wurde b.r.m. nach den Maßgaben des Managementsystems EcoStep 5.1 für kleine und mittlere Unternehmen zertifiziert. Beginnend mit 2008 ist dies nun das 15. und 16. Jahr in Folge, dass b.r.m. für seine Betriebsabläufe und Prozesse auszeichnen lässt. Für alle Managementsysteme steht im Fokus, dass Aufgaben und Tätigkeiten mit den Zielvorgaben in Einklang sind und den betrieblichen Ablauf reibungsfrei gestalten.

EcoStep ist eine praxisorientierte Alternative zu den herkömmlichen ISO-Normen. In einem System vereint bedient es sich der aus KMU Sicht wichtigsten Normforderungen der folgenden Standards:

  • DIN EN ISO 9001:2015 Qualitätsmanagement
  • DIN EN ISO 14001:2015 Umweltmanagement
  • DIN ISO 45001:2018 Arbeits- und Gesundheitsschutz

Mithilfe der drei Aspekte (Qualität, Umwelt- und Arbeitsschutz) werden verschiedene Prozessbeschreibungen ermöglicht, die von Wertschöpfungsprozessen über Führungsprozesse reichen. Auch Entwicklungsprozesse und andere unterstützende Abläufe werden hierbei erfasst.

Durch das Managementsystem EcoStep werden Potentiale zur Kostensenkung aufgedeckt, Controlling- und Kennzahlensysteme zur Unterstützung der Führung implementiert und die Rechtssicherheit erhöht. Kontinuierliche Verbesserung steht hier mit an vorderster Stelle. Nicht nur das Zertifizierungsaudit für die Vergabe der Zertifizierung ist hierbei von bedeutung, sondern die durchgängige Kette interner Anpassungen und Nachrichtung bestehender Prozesse auf die neuen , sich ändernden Umstände des Geschäftsalltages.

Unser Dank gilt der großartigen Zusammenarbeit mit der Zertifizierungsstelle GUTcert . Herr Markus Rossol von b.r.m. hat das Audit mit Herrn Hauke Kreutzfeld von GUTcert durchgeführt.

Die resultierenden Verbesserungspotentiale werden laufend ausgeschöpft und wir freuen uns schon auf die kommenden 2 Jahre, nach deren Ablauf es dann auch wieder lauten wird: zertifiziertes Managementsystem nach EcoStep.

Unser komplettes Zertifikat können Sie hier einsehen.

Coputer internet cyber security background. Cyber crime vector illustration. digital lock

IT-Rückblick 2021: IT-Sicherheit, Zero-Day und Hafnium

IT IT-Service IT-Security Bremen b.r.m. brm

In unserer Serie „IT-Rückblick 2021“ beschäftigen wir uns mit den interessantesten und gefährlichsten IT-Sicherheitslücken des letzten Jahres, heute: Zero-Day und Hafnium. 2021 war kein gutes Jahr für die IT-Sicherheit und zeigt einmal mehr, dass man IT-Security als stetigen Prozess sehen muss. Die Verteidigung gegen Angreifer muss durchgehend aufgefrischt werden, sonst verrottet Sie wie eine alte unbemannte Burgmauer.

Der Alptraum schlechthin: Zero-Day und IT-Sicherheit

Gegen bekannte Sicherheitslücken gehen die Hersteller einer Software meist sehr schnell vor oder haben das Problem bereits erkannt. Ein entsprechender Patch schließt die Sicherheitslücke und das Programm kann zunächst weiter eingesetzt werden. Gerade aus diesem Grund ist es wichtig, moderne IT-Systeme auf dem neuesten Stand zu haben und zu halten. Kontinuierliche Verbesserung ist hier der Schlüssel für einen stabilen und sicheren Betrieb der IT-Systeme.

Ein massives Problem entsteht aber gerade durch einen sogenannten „Zero-Day“. Der englische Begriff geht dabei darauf ein, dass die hier ausgenutzte Sicherheitslücke seit null Tagen (zero days) bekannt ist, zumindest dem Hersteller und der Öffentlichkeit. Daher gibt es keinen Patch oder eine Übergangslösung, um diese Lücke zu schließen. Sie war schlicht nicht bekannt. Der weltweit aufsehenerregendste Fall eines Zero-Day-Exploits ist sicherlich Stuxnet. Hier wurden gleich mehrere Zero-Day Schwachstellen genutzt, um Produktionsanlagen zu stören und unerwartete Befehle auszuführen.

Zero Day und Hafnium, was geschah?

Anfang März wurden insgesamt 4 relevante Sicherheitsmängel, also “Zero-Days” bei Microsoft Exchange Servern festgestellt. Diese wurden mutmaßlich von der Hackergruppe Hafnium genutzt um systematisch tausende von Exchange Servern zu scannen und zu infiltrieren. Da es nach Recherchen darum ging, eine „Backdoor“ (Hintertür) in die Systeme einzubauen kann nicht abschließend geklärt werden, wie stark sich diese Sicherheitslücke in Zukunft noch auswirken wird.

Microsoft reagierte nach einigen Einschätzungen zwar langsamer als gewünscht, aber die ausgenutzten Sicherheitslücken sind geschlossen worden. Durch mehrere Sicherheitspatches wurde sichergestellt, dass der Zero-Day-Exploit nun nicht mehr nutzbar ist.

Richtige IT-Sicherheit heißt Kontinuität

Richtige, also zuverlässige IT-Sicherheit, ist ein Wunsch und Versprechen aller mit IT-Systemen betrauter Personen. Neben der zum Standard gehörenden Technik, wie einer Firewall, sind aber auch konzeptionell einige Punkte zu beachten. Das magische Dreieck aus Kosten, Zeit und Qualität gilt natürlich auch für diesen Bereich professionellen Handelns. So ist gerade in Hinblick auf den Zeitfaktor sofort ersichtlich, dass es keinen absoluten Zustand der Sicherheit in einem dynamischen System geben kann. Bei einem Zero-Day-Exploit ist die Zeitkomponente derart verzerrt, dass eine korrekte (qualitative) Bekämpfung sofort hohe Ressourcenverbräuche generiert. Eine gute IT-Sicherheitspolitik setzt daher auf kontinuierliche Verbesserung und Anpassung an ein dynamisches Bedrohungsumfeld. Systeme dürfen nicht unbetreut betrieben werden. Erst in Aktion zu treten, wenn etwas nicht mehr funktioniert führt unweigerlich zur Katastrophe. Effektives und effizientes Handeln zeichnet sich durch Kontinuität aus. Lesen Sie hierzu auch die Stellungnahme von Dirk Arendt von Trend Micro.

Drohnen und der U-Space Service Provider b.r.m. | Frühlingsanfang summt in der Luft

Drohnen U-Space Service Provider b.r.m.
Drohnen U-Space Service Provider b.r.m.

Mit dem 20. März beginnt der Frühling im meteorologischen Sinne. Alsbald werden nun auch die Vögel, Bienen und anderen Insekten beginnen unsere Luft zu durchstreifen, aber nicht nur diese. Drohnen oder UAVs (unmanned aerial vehicle) sind schon ein Teil des Luftraumes geworden und das nicht nur als Hobby begeisterter RC-Enthusiasten, sondern auch für den U-Space Service Provider b.r.m. .

Die EASA arbeitet seit geraumer Zeit an den Grundpfeilern um EU-weit die zivilie Drohnenluftfahrt in koordinierte Bahnen zu lenken. Dafür wird die Einrichtung eines neuen Luftraumes, dem sogenannten U-Space vorbereitet. Neben anderen Lufträumen (wie z.B. Golf) soll der U-Space eine Koexistenz zwischen bemannter und unbemannter Luftfahrt ermöglichen.

U-Space – Raum für Drohnen

Ein eigener Luftraum nur für Drohnen ist ein schwieriges Unterfangen. Alle Luftfahrzeuge müssen schließlich landen und starten und gerade über Ballungsgebieten muss natürlich jedwede Kollisionsgefahr frühzeitig vermieden werden. Daher ist der U-Space in der aktuellen Konzeption darauf ausgelegt die anderen bemannten Luftfahrtteilnehmer so wenig wie möglich zu belasten. Die Drohnen sollen im eingerichteten U-Space sich bei einem entsprechenden U-Space Service Provider (USSP) anmelden und erhalten dadurch Angaben, zu Verkehrsinformationen und weiteren Diensten die für einen sicheren Betrieb notwendig sind. Um auch die transponderfreien Flugteilnehmer zu erfassen befindet sich die EASA gerade in der Findungsphase. Unter dem Begriff iConspicuity sollen bestehende Technologien, wie ADS oder Mobile, genutzt werden um jeden Flugteilnehmer zu einer Auffälligkeit (=conspicuity) zu machen. Mit diesen Informationen kann dann eine gefährliche Annäherung im Vorhinein vermieden werden.

Was ist ein U-Space Service Provider?

An der Schnittstelle zwischen unbemannter und bemannter Raumfahrt kommt der USSP (U-Space Service Provider) zum Einsatz. Dieser wird verschiedene Dienste zur Verfügung stellen um es Drohnenoperatoren zu ermöglichen sicher durch den U-Space zu navigieren. Die Kernaufgaben werden dabei die Bearbeitung der „Flight Authorisation“ sein, sowie „strategic de-confliction“. Die “strategic de-confliction” stellt sicher, dass der eingereichte Flugplan auf Konflikte im Luftraum geprüft wird.

Hierfür wird es natürlich einen Dienst zum Registrieren der Drohnen geben, sodass sowohl der USSP und auch Behörden auf den Status des UAV zugreifen können. Neben den relevanten Verkehrsinformationen wird auch überlegt welche weiteren Dienste und etwaige Dienstleistungen für die Drohnen-Operatoren sinnvoll sind.

Ausblick 2022 – Was uns erwartet

Noch in diesem Halbjahr will die EASA Regelungen treffen, wie die Sichtbarmachung „iConspicuity“ der bemannten Luftfahrzeuge sinnvoll durchgeführt werden kann, ohne zusätzliches Equipment oder gar eine Transponderpflicht einzuführen. Der dauerhaften Einrichtung des U-Space wären wir dann schon ein gutes Stück näher und der zivile Drohnenverkehr schon greifbarer.

In der Zwischenzeit wird auf dem Flugplatz Oldenburg-Hatten das Testzentrum UAS/ UAV weiter ausgebaut. Schauen Sie sich unser aktuelles Projekt VTOL EGM an und besuchen Sie auch die Seite unseres Projektpartners Optoprecision.

IT-Rückblick 2021: ProxyShell

In unserem IT-Rückblick für das Jahr 2021 dürfen die Sicherheitsrisiken bei Exchange-Servern – auch bekannt unter dem Stichwort “Proxyshell” – nicht fehlen. In diesem Blogbeitrag beschreiben wir, was es mit der ProxyShell-Schwachstelle auf sich hat und wie sich Unternehmen vor plötzlichen Sicherheitsrisiken schützen können.

Im Herbst 2021 wurde als Folge einer enormen Angriffswelle auf ungepatchte Exchange-Server (on-premise) der Versionen 2013 bis 2019 die sogenannte ProxyShell-Schwachstelle bekannt. Das Computer Emergency Response Team der Bundesverwaltung (kurz CERT-Bund) hat am einen Tag später eine offizielle Sicherheitswarnung veröffentlicht. Glücklicherweise konnte die Sicherheitslücke durch einen neuen und kurzfristig veröffentlichten Patch schnell geschlossen werden. Fragwürdig ist jedoch, warum jener Patch erst nach Bekanntwerden der Schwachstelle veröffentlicht wurde. Bereits im Jahr 2011 warnten Sicherheitsforscher vor einer Schwachstelle auf Exchange-Servern, die angeblich remote gehackt werden könnten, indem mehrere Sicherheitslücken ausgenutzt würden. Darüber hinaus darf man sich nicht auf schnelle Lösungen für digitale Sicherheitsrisiken verlassen – im Falle von ProxyShell wurden innerhalb von 48 Stunden knapp 2000 Server als angreifbar identifiziert. Besonders riskant: sollte der eigene Server infiziert worden sein, würde auch ein nachträglicher Patch nicht mehr helfen. In jedem Fall sollte der Exchange-Server auf jegliche Angriffsmuster hin überprüft werden.

Exchange-Server ist der E-Mail- und Groupware-Server-Service von Microsoft. Mit einem Exchange-Server können Unternehmen ihren E-Mailverkehr und weitere Aufgaben über eine zentrale Schnittstelle organisieren. Im Gegensatz zu den bekannten E-Mailanbietern für Privatpersonen kann ein Exchange-Server komplett losgelöst von ausländischen oder fremden Servern installiert und genutzt werden. Auch aufgrund der in Deutschland geltenden hohen Datenschutzvorgaben ist eine solche “eigene” Lösung für Unternehmen interessant.

Wir von der b.r.m. Technologie- und Managementberatung sind der verlässliche, kompetente und regionale IT-Service-Dienstleister für Unternehmen in Bremen und Umgebung. Bei uns können Sie sich darauf verlassen, dass höchste Sicherheitsstandards eingehalten werden, Ihre Systeme stets auf dem neuesten und sichersten Stand sind und Sie gleichzeitig die Vorteile von energieschonender Green-IT nutzen. Kontaktieren Sie uns für weitere Informationen gerne.