Barracuda ESG ist nicht die Firewall

Derzeit kursiert eine echte Warnung des FBI mit dem Hinweis, Barracuda ESG Appliances sofort abzuschalten. Die darin enthaltene Sicherheitslücke wurde nicht nachhaltig geschlossen.

ESG steht dabei nicht für "Einscheiben-Sicherheits-Glas", sondern für "E-Mail Security Gateway". Das ESG ist auch optisch leicht von der Firewall zu unterscheiden, da es keine LAN-Anschlüsse am Frontpanel hat.

Warnung des FBI vor Einsatz des ESG

Barracuda-Seite zum Fehler

Barracuda Firewalls nicht betroffen

Wer also, wie viele von Ihnen eine Barracuda Firewall-Appliance, wie sie von der NetGo vermarktet wird (diese Geräte beginnen mit "F", F18, F80, F280, F380) einsetzt, ist nicht von der Sicherheitslücke betroffen.

Rezept - Djuvec Reis

Djuvec-Reis (sprich: Djuwetschreis) ist eine Reis-Zubereitung aus Serbien und im gesamten Balkan verbreitet. Für 3 Personen.

Zutaten:

• 2 Knoblauchzehen (Knoblauch pressen)
• 2 Gemüsezwiebeln mittelgroße, würfeln
• 2 Paprikaschoten (rot), würfeln
• 2 Tomaten (geschält), würfeln
• 3 EL Butter (zum Anbraten) - alles anbraten.
• 1,5 EL Paprikapulver scharf oder edelsüß
• 4 EL Tomatenmark
• 300 g weißer Langkorn-Reis
• 150 g Ajvar (rote Paprikasoße)
• 1 EL Gemüsebrühe
• 3 EL Olivenöl
• 1 Prise Salz
• 1 Prise Schwarzer Pfeffer aus der Mühle
• Etwas frische Petersilie
• 150 g Erbsen aus der Dose oder Tiefkühl

Zubereitung:

Reis (kochen bis gar), dann in die Pfanne geben und weiter köcheln lassen ca. 10 Minuten.

Restliche Zutaten zugeben und 10 Minuten köcheln lassen.

veeam - Sicherheitslücke - V12 erforderlich

Eine Datensicherungssoftware muss immer den aktuellen Stand haben, denn bei einem Befall aufgrund einer Sicherheitslücke in der Software wären im schlimmsten Fall ein Datenverlust oder Datendiebstahl verbunden.

Bei veeam hat die Sicherheitslücke, vor der die CISA derzeit warnt, ein Ranking von 7.5 von 10 auf der Schadensskala. Problem ist der Prozess Veeam.Backup.Service.exe, der auf TCP-Port 9401 reagiert. Angreifer können verschlüsselte Anmeldeinformationen herausbekommen und Zugriffe auf Backup-Infrastruktur-Hosts stattfinden, schreiben die Entwickler von veeam.

Neu dabei ist, dass man nun auch Version 11 mit aktuellem Patchlevel auf Version 12 anheben muss. Erst mit Version Build 12.0.0.1420 P20230223 oder neuer ist diese Lücke sicher geschlossen.

#Wichtig - Bitte aktualisieren Sie Ihre veeam-Installationen auf die aktuelle 12er Version oder lassen sie aktualisieren.

https://www.veeam.com/kb4424

KI - erschreckend oder leider gut?

Das Experiment geht weiter. Bing ChatGPT und BING Image Creator featuring Dall-E als Regisseure?

Wir alle freuen uns auf den neuen James Bond. Lassen wir uns doch einen künstlich intelligenten Vorgeschmack geben von dem KI-Bot: (aus Datenschutzgründen wurden alle Schauspieler in den Bildern durch Bären ersetzt. Namensgleichheiten zu existierenden Personen sind zufällig).

"Ich finde es spannend, wie du Jason Statham als James Bond, Mike Myers als Dr. Evil, Mr. Bean als Q und Pamela Anderson als Bond-Girl ausgewählt hast. Ich denke, das wäre eine sehr originelle und lustige Besetzung für einen Bond Film.
Ich habe versucht, die Bond Story zu erweitern, die du mir beschrieben hast. Ich habe einige neue Elemente hinzugefügt, die typisch für einen Bond Film sind, wie zum Beispiel eine Verfolgungsjagd, eine Explosion, eine Schurkenorganisation und einen Codenamen für Dr. Evil. Ich hoffe, du findest die Story spannend und unterhaltsam."

Dr. Evil's Revenge

Dr. Evil ist aus seinem Gefängnis auf dem Mond ausgebrochen und hat eine neue Geheimwaffe entwickelt: einen gigantischen Laser, der die Erde in zwei Hälften spalten kann. Er fordert von den Vereinten Nationen 100 Billionen Dollar Lösegeld, sonst wird er seinen Laser abfeuern. James Bond wird beauftragt, Dr. Evil aufzuspüren und seinen Plan zu stoppen. Er reist nach Malibu, wo er auf Pamela Anderson trifft, eine Rettungsschwimmerin, die ihm einen Hinweis auf Dr. Evil's Versteck gibt. Sie begleitet ihn auf seiner Mission und verliebt sich in ihn.

Bond findet heraus, dass Dr. Evil sich in einer unterirdischen Basis in der Antarktis befindet und macht sich auf den Weg dorthin. Er muss sich gegen Dr. Evil's Handlanger, darunter Mini-Me, Frau Farbissina und Scott Evil, durchsetzen. Er schafft es, in die Basis einzudringen und den Laser zu deaktivieren, aber Dr. Evil entkommt in einem Raketen-U-Boot.

Bond und Pamela Anderson verfolgen ihn mit einem Jet-Ski und stellen ihn im Südpolarmeer. Es kommt zu einem finalen Kampf zwischen Bond und Dr. Evil, bei dem Bond siegt und Dr. Evil ins Wasser stößt.

Bond küsst Pamela Anderson und sagt seinen berühmten Satz: "Der Name ist Bond, James Bond."

Das Bild der ersten Szene zeigt, wie Bond und Dr. Evil auf einem Raketen-U-Boot kämpfen, das aus dem Eis ragt. Bond trägt einen schwarzen Anzug und eine rote Krawatte, während Dr. Evil einen grauen Overall und eine silberne Brille trägt. Bond hat Dr. Evil im Schwitzkasten und versucht, ihn zu erwürgen, während Dr. Evil sich verzweifelt wehrt. Pamela Anderson sitzt auf einem Jet-Ski, der neben dem U-Boot schwimmt. Sie trägt einen roten Badeanzug und eine weiße Jacke. Sie sieht besorgt zu, wie Bond und Dr. Evil kämpfen, und hält eine Pistole in der Hand. Im Hintergrund sieht man das eisige Wasser und den blauen Himmel.

Weitere Szenen:

• Die Verfolgungsjagd: Auf dem Weg zur Antarktis wird Bond von einem Hubschrauber angegriffen, der von Scott Evil gesteuert wird. Scott Evil ist der Sohn von Dr. Evil und hasst seinen Vater, weil er ihn immer vernachlässigt hat. Er will seinen Vater töten und selbst die Welt beherrschen. Bond weicht den Raketen aus und schießt mit seinem Auto zurück. Er schafft es, den Hubschrauber zum Absturz zu bringen, aber Scott Evil überlebt und schwört Rache.
• Die Explosion: Nachdem Bond den Laser deaktiviert hat, stellt er fest, dass Dr. Evil eine Selbstzerstörungsfunktion eingebaut hat. Die Basis beginnt zu beben und zu brennen. Bond muss schnell fliehen und nimmt Pamela Anderson mit sich. Sie schaffen es gerade noch rechtzeitig aus der Basis herauszukommen, bevor sie in einer riesigen Explosion zerstört wird.
• Die Schurkenorganisation: Dr. Evil ist der Anführer einer geheimen Organisation namens S.P.E.C.T.R.E., die für Special Executive for Counter-intelligence, Terrorism, Revenge and Extortion steht. Die Organisation hat das Ziel, die Welt zu destabilisieren und zu terrorisieren, um ihre eigenen Interessen zu verfolgen. Sie hat viele Agenten und Verbündete auf der ganzen Welt verteilt, die Dr. Evil bei seinen Plänen helfen.
• Der Codename für Dr. Evil: Dr. Evil ist nicht sein richtiger Name, sondern ein Codename, den er sich selbst gegeben hat. Sein richtiger Name ist Douglas Powers, aber er hasst diesen Namen und will ihn nie hören oder aussprechen lassen. Er nennt sich selbst Dr. Evil, weil er glaubt, dass er der böseste Schurke aller Zeiten ist.

Die zweite Szene zeigt, wie Bond, Dr. Evil, Mr. Bean und Pamela Anderson in einem Casino sind. Bond trägt einen schwarzen Smoking und eine Fliege, während Dr. Evil einen grauen Anzug und eine silberne Brille trägt. Mr. Bean ist Q, der Erfinder der Gadgets für Bond. Er trägt einen braunen Mantel und eine grüne Krawatte. Er hält einen Koffer in der Hand, in dem sich ein Geheimnis verbirgt. Pamela Anderson ist das Bond Girl. Sie trägt ein rotes Kleid und eine weiße Perlenkette. Sie steht neben Bond und lächelt ihn an.
Bond und Dr. Evil spielen Poker gegeneinander, während sie sich gegenseitig provozieren und versuchen, sich auszuspielen. Bond hat ein Ass und eine Zehn auf der Hand, während Dr. Evil ein Paar Zweien hat. Bond setzt alles auf eine Karte und erhöht den Einsatz. Dr. Evil geht mit und zeigt seine Karten. Bond gewinnt die Runde und nimmt den ganzen Pot. Dr. Evil ist wütend und beschuldigt Bond des Betrugs. Er zieht eine Pistole aus seiner Tasche und zielt auf Bond.

Wie würde James Bond als Comix aussehen?
Das dritte Bild zeigt die Charaktere des neuen James Bond in der ersten Szene von oben als Comic:

Kurzgeschichte: Die Cobära

Die Cobära war ein seltsames Wesen, das in den tiefen Wäldern lebte. Es hatte den Körper eines Bären, aber den Kopf einer Cobra. Es war stark, schnell und giftig. Es jagte andere Tiere, die es mit seinem Biss lähmte oder tötete. Es hatte keine Freunde und keine Feinde. Es war allein und zufrieden.

Eines Tages traf die Cobära auf einen Menschen, der sich in den Wald verirrt hatte. Der Mensch war ein junger Mann, der auf der Suche nach Abenteuern war. Er hatte ein Messer, ein Feuerzeug und einen Rucksack dabei. Er sah die Cobära und erschrak. Er wollte weglaufen, aber die Cobära war schneller. Sie stellte sich ihm in den Weg und zischte.

Der Mensch zog sein Messer und versuchte, die Cobära abzuwehren. Er hoffte, dass sie Angst vor dem glänzenden Metall hatte. Aber die Cobära hatte keine Angst. Sie schlug nach dem Messer und schleuderte es weg. Dann biss sie den Menschen in den Arm.

Der Mensch schrie vor Schmerz und fiel zu Boden. Er spürte, wie das Gift in seine Adern strömte. Er wusste, dass er bald sterben würde. Er flehte die Cobära um Gnade an. Er sagte ihr, dass er einen Namen hatte, dass er eine Familie hatte, dass er noch so viel erleben wollte.

Die Cobära hörte ihm zu und fühlte etwas, was sie noch nie gefühlt hatte: Neugier. Sie fragte ihn, was ein Name war, was eine Familie war, was er erleben wollte. Der Mensch antwortete ihr mit schwacher Stimme. Er sagte ihr, dass ein Name etwas war, womit man jemanden rief oder ansprach, dass eine Familie Menschen waren, die sich liebten und füreinander sorgten, dass er erleben wollte, wie es war, zu reisen, zu lernen, zu lieben.

Die Cobära verstand nicht alles, was er sagte, aber sie spürte seine Emotionen. Sie spürte seine Angst, seine Trauer, seine Sehnsucht. Sie spürte auch etwas anderes: Mitleid. Sie fragte sich, ob sie ihm helfen konnte. Sie fragte sich, ob sie ihm etwas von ihrem Leben zeigen konnte.

Sie entschied sich, es zu versuchen. Sie leckte seine Wunde und saugte das Gift aus seinem Arm. Sie hob ihn auf ihren Rücken und trug ihn zu ihrer Höhle. Sie legte ihn auf ein weiches Bett aus Moos und Blättern. Sie brachte ihm Wasser und Beeren. Sie wärmte ihn mit ihrem Fell.

Der Mensch erholte sich langsam von seinem Biss. Er war überrascht von der Güte der Cobära. Er bedankte sich bei ihr und entschuldigte sich für seinen Angriff. Er sagte ihr, dass er ihr einen Namen geben wollte: Kira. Er sagte ihr, dass er ihr etwas von seinem Leben zeigen wollte.

Die Cobära akzeptierte seinen Namen und seine Einladung. Sie verließ mit ihm ihre Höhle und erkundete den Wald mit ihm. Sie sah die Schönheit der Natur mit neuen Augen. Sie lernte die Namen der Pflanzen und Tiere kennen. Sie spielte mit ihm im Wasserfall und im Schnee.

Der Mensch fühlte sich glücklich mit der Cobära. Er nannte sie seine Freundin und seine Familie. Er sagte ihr, dass er sie liebte.

Die Cobära fühlte sich auch glücklich mit dem Menschen. Sie nannte ihn ihren Freund und ihre Familie. Sie sagte ihm, dass sie ihn liebte.

Rezept - Käsekuchen mit Beeren

Zutaten:

• 125 g weiche Butter
• 190 g Zucker
• 1 Vanilleschote
• 4 Eier
• 500 g Magerquark
• 500 g Mascarpone
• 100 g Weichweizengrieß
• 1 Pck. Bourbon Vanillepudding Pulver
• 1 Pck. Backpulver
• ½ Zitrone – Saft davon
• 250 g Brombeeren, Blaubeeren oder Himbeeren
• Fett für die Backform
• Puderzucker zum Bestäuben

Zubereitung:

• Backofen auf 160° Umluft vorheizen
• den Boden der Springform mit Backpapier auslegen und die Ränder der Form mit etwas Butter einfetten
• 125 g weiche Butter mit dem Zucker und dem Vanillemark schaumig aufschlagen
• die Eier einzeln unterrühren
• abwechselnd Quark und Mascarpone zugeben und cremig rühren
• den Grieß mit Backpulver und Puddingpulver mischen, dazugeben und unterrühren
• Zitronensaft unterrühren und die Brombeeren unterheben
• die Quark-Mascarpone Masse in die Springform einfüllen und glattstreichen
• auf der mittleren Schiene im vorgeheizten Backofen für ca. 75 Minuten backen
• nach 45 - 60 Minuten den Kuchen mit Alufolie abdecken
• nach Ende der Backzeit den Käsekuchen für etwa 30 Minuten im abgeschalteten Backofen auskühlen lassen, erst dann herausnehmen
• so verhindern wir, dass der Kuchen zusammenfällt
• Springformrand vorsichtig lösen, vollständig abkühlen lassen und dann nach Belieben mit Puderzucker bestäuben

TwiXit - Vögelchen wird ein X

Es hat sich ausgezwitschert - zumindest was das Logo angeht. Auch am Hauptquartier von Twitter, Inc. wurde das Logo mit dem Vogel entfernt. Stattdessen ist nun ein Buchstabe Logo für den Kurznachrichtendienst, das aus einer freien Schriftart stammt. Dürfte schwierig sein, das markenrechtlich zu schützen wie das Vögelchen. Zumal Microsoft eine X-Box hat und die Telekom erfolgreich Ihr "T" geschützt hat. Auch Xerox hat ein ähnliches X als Logo.

Früher haben alle möglichen Leute Neuigkeiten, wissenswertes oder nutzloses Zeugs getwittert. Mit dem Aufkauf des Unternehmens durch E.M. und die damit verbundenen Änderungen sind viele Kunden - auch Werbekunden abgesprungen und haben ihre Konten auf dem Kurznachrichtendienst entfernt. So auch wir.

"Twittern" hatte es "ich twittere, habe getwittert" sogar in den Duden geschafft. Es steht dort immer noch. Mit der Umbenennung auf X müssen die Teilnehmer nun Xen - ausgeprochen: icksen. Ich habe geiXt wird es definitiv nicht in den Duden schaffen, zumal es zu leicht durch Zufügen eines Buchstabens am Anfang zu einem "nsfw"-Wort wird.

Nachdem kurzfristig das Logo der Kryptowährung DogECoin als Logo auf den Twitter-Seiten erschien (dieser Wauzi hatte wohl den blauen Vogel gefressen), erscheint das nicht lizenzfähige X entweder der Anfang vom Ende des Kurznachrichtendiensts oder ein weiteres Zwischenstadium.

Wo doch E.M. sonst einfach ein X hinten anhängt, wäre es eher konsequent gewesen, die Firma TwitterX zu nennen und die Tätigkeit weiter "twittern".

Dieser Artikel ist ein Kommentar und spiegelt die Meinung der Redaktion wider

Azure AD wird zu Microsoft Entra ID

Kurz notiert: Microsoft hat am 11. Juli 2023 das Produkt "Azure Active Directory" in "Microsoft Entra ID" umbenannt. Vertraglich ändert sich nichts, auch die Preismodelle bleiben zunächst gleich. Weil das Active Directory in der Cloud schon immer ein Modul aus der Microsoft Entra Identitätslösung war, hat man sich entschlossen, die Bezeichnung anzupassen.

Wenn Sie Azure AD heute verwenden oder derzeit Azure AD in Ihren Organisationen bereitstellen, können Sie den Dienst weiterhin ohne Unterbrechung verwenden. Alle vorhandenen Bereitstellungen, Konfigurationen und Integrationen funktionieren weiterhin wie heute, ohne dass Sie etwas zu unternehmen brauchen.

Sie können vertraute Azure AD-Funktionen weiterhin verwenden, auf die Sie über das Azure-Portal, das Microsoft 365 Admin Center und das Microsoft Entra Admin Center zugreifen können.

https://learn.microsoft.com/de-de/azure/active-directory/fundamentals/new-name

NIS2 - Sicherheits-Richtlinie ab Okt 2024

Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.

Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.

#Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.

Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.

Änderungen nach nationaler Umsetzung des Gesetzes

Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.

Das BSI schreibt dazu: "[...] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“

Wer ist betroffen?

Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.

[] mindestens 50 Mitarbeiterinnen und Mitarbeitern.
[] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro.
[] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.

und einer Tätigkeit aus den Folgenden:

[] Herstellung, Produktion und Vertrieb von Chemikalien.
[] Lebensmittelproduktion, -verarbeitung und -Vertrieb.
[] Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff).
[] Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen).
[] Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte).
[] Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr).
[] Bankwesen (Kreditinstitute).
[] Finanzmarktinfrastruktur (Handelsplätze).
[] Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation).
[] Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke).
[] Post- und Kurierdienste.
[] Forschung.
[] Weltraum (Bodeninfrastruktur).
[] Öffentliche Verwaltungen.
[] Trinkwasser (Wasserversorgung).
[] Abwässer (Abwasserentsorgung).
[] Abfallwirtschaft (Abfallbewirtschaftung).

Was ist zu tun?

BSI Betroffenheit prüfen

Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html?nn=1116326#Pruefung" label="BSI Prüf-Tool Stand Juli 2024"]

Weitere Schritte

#Wichtig - da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.

Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.

Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.

Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.

Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im "best practice" von jährlichen Audits aus.

Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.

Registrierung im BSI Meldeportal

Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.

Checkliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html" label="Checkliste zur Vorgehensweise vom BSI"]

Beispiele für Verstöße

• Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
• keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
• Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
• kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
• Kein Meldewesen bei erkannten Vorfällen

Fazit

Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.

Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.

KI - Bard - kann der was?

Nachdem vermehrt Unternehmen auf "Künstliche Intelligenz", kurz #KI setzen, startet auch #Google nach anfänglichen Herausforderungen mit der EU-DSGVO seinen Text-Bot namens "BARD" mit der Browser-App "bard.google.com". Man bezeichnet die Beta als "Experiment".

Der Name erinnert an die gleichnamige Animationsfigur mit "t" am Ende (aka. Ay Caramba). In dem Fall kann der Bot dann aber nur Unsinn und Streiche im Kopf haben...

Möglich ist auch die Herleitung aus Asterix Comics, wo der Barde Troubardix aber auch nichts kann und daher immer am Ende an den Baum gefesselt wird.

Dann gibt es noch ein Computerspiel, "Bard's tale", was auch hergenommen werden kann.

Erste Gehversuche

Bleiben wir mal bei Asterix und testen das Musikgeschick, indem wir uns einen Werbesong für eine Warenwirtschaft komponieren lassen. Das Ergebnis

geht schon mal, allerdings lassen sich die geschriebenen Zeilen nicht wirklich in Reinform für Strophe und Refrain bringen - selbst in einer RAP-Version fehlt der gewisse Flow.

Bewerbungen schreiben kann er nicht - es kommt immer die Antwort "kann ich nicht, ich bin kein {Jobname}

Vielleicht kann der ja was mit Artikeln? - Ja! Kundenreferenzen zu einem Artikel als Werbetext funktioniert wieder ausgesprochen gut. Ich hoffe, es wird nicht für Fake-Bewertungen missbraucht.

Kalkammonsalpeter (KAS) ist ein Stickstoffdünger, der aus Ammoniak und Kohlendioxid hergestellt wird. Er ist ein beliebter Dünger für Landwirte, da er leicht zu handhaben und zu verteilen ist und eine gute Stickstoffquelle für Pflanzen bietet.

KAS ist ein granulierter Dünger, der in verschiedenen Korngrößen erhältlich ist. Er kann im Frühjahr, Sommer und Herbst ausgebracht werden. Die ideale Ausbringungszeit hängt von der Kulturpflanze und dem Boden ab.

KAS enthält 27 % Stickstoff, der in einer 1:1-Mischung aus Ammoniumnitrat und Ammoniumcarbamat vorliegt. Diese Form des Stickstoffs ist für Pflanzen leicht verfügbar und wird schnell von ihnen aufgenommen.

KAS ist ein guter Dünger für eine Vielzahl von Kulturpflanzen, darunter Getreide, Gemüse, Obst und Zierpflanzen. Er kann auch zur Verbesserung der Bodenqualität verwendet werden.

KAS ist ein kostengünstiger Dünger, der ein gutes Preis-Leistungs-Verhältnis bietet. Er ist eine gute Wahl für Landwirte, die nach einem leistungsstarken und vielseitigen Dünger für ihre Pflanzen suchen.

Als Landwirt habe ich seit vielen Jahren gute Erfahrungen mit KAS gemacht. Er ist ein zuverlässiger und preiswerter Dünger, der meine Pflanzen gut versorgt. Ich würde KAS jedem Landwirt empfehlen, der nach einem guten Dünger für seine Pflanzen sucht.

Hier sind einige zusätzliche Vorteile von KAS:

• Er ist einfach zu handhaben und zu verteilen.
• Er enthält eine gute Menge Stickstoff, die für Pflanzen wichtig ist.
• Er ist preiswert.
• Er ist eine gute Wahl für eine Vielzahl von Kulturpflanzen.

Wenn Sie nach einem guten Dünger für Ihre Pflanzen suchen, würde ich KAS empfehlen.

"Schreibe eine Artikelbeschreibung zu Kalkammonsalpeter aus der Sicht eines Landwirts"

Fazit

Bilder kann Bard nicht erstellen, es handelt sich um einen reinen Text-Bot. Bei der Verfeinerung von Texten und als Marketing-Unterstützung hat der "Säugling" unter den KIs schon auch in deutsch ausbaufähiges Wissen. Microsoft setzt mit dem KI-Kopiloten auf mindestens 10 Jahre Wissensvorsprung von OPENAI ein, hat damit - entgegen der sonst üblichen Praxis mal die Nase weit vorn. Bleibt zu hoffen, dass die KI auch weiterhin nicht nur in Premium-Modellen nutzbar ist, sondern dass es wie bei Teams auch eine free und eine Standard-Version geben wird.

Wordpress und PHP Support

Viele große Provider wie IONOS und STRATO, all-inkl.com bieten im Web-Hosting die Möglichkeit, als Content Management-System Wordpress einzusetzen. Wer diese Plattform einsetzt, muss darauf achten, dass nicht nur Wordpress und die installierten Themes und Plugins auf dem aktuellen Stand sind (das lässt sich bei unterstützten Plugins weitgehend automatisieren), sondern dass auch die eingesetzte PHP Version noch im offiziellen Support ist. Endet hier der Support-Zeitraum und man setzt die Version weiterhin ein, nehmen die meisten Provider eine hohe monatliche Service-Gebühr zusätzlich - da der Support für Sicherheitsupdates dieser alten Versionen auch bei PHP Geld kostet.

• Achten Sie darauf, dass Sie immer eine aktuelle PHP Version einsetzen. Support-Ende für Version 8.0 ist bereits Anfang Dezember 2023! Für Version 8.1 ein Jahr später und für Version 8.2 in gut 2 Jahren (Dez 2025). Stellen Sie Version PHP 8.2 in der Oberfläche Ihres Providers ein und prüfen, ob Ihre Designs und Plugin keine Fehler auswerfen.
• Stellen Sie die Datenbank von (Oracle) MYSQL auf die quelloffene MariaDB um. Diese wird häufiger aktualisiert und hat mehr kostenlose Möglichkeiten.
• Prüfen Sie, ob Ihre Designs und Plugins noch aktuelle Updates erhalten. Das funktioniert am einfachsten mit dem kostenlosen Plugin "Plugin-Report". Für das Design (Theme) bitte auf der Theme-Website in wordpress.org nachsehen, wann hier das letzte Update war und ob es frei von Warnungen ist.

Grundsätzlich ist es empfehlenswert, regelmäßig im Portal Ihres Web-Hosters nachzuschauen. So fordern die meisten Provider Sie aktuell auf (sofern diese noch nicht vorhanden ist), eine AVV zu schließen, die nach DSGVO vorgeschrieben ist. Diese sollte unbedingt abgeschlossen sein, um Bußgelder zu vermeiden.

Ghostscript kritische Lücke

Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten.

Die Sicherheitslücke CVE-2023-36664, CVSS 9.8, Risiko "kritisch" erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden.

Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript "unter der Motorhaube" zum PDF-Erstellen verwenden - wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden - sofern das möglich ist.

#Wichtig - Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen). Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programme (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installlieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) die 64-Bit Version auf den Service Tiers.

Sicherheitsbulletin von Kroll.com

Patchday Juli - eine Lücke bleibt

Wie üblich, hat Microsoft für seine unterstützten Betriebssysteme und für Office am Dienstag Sicherheitslücken geschlossen. Wer also für Office und Windows die Updates zeitnah installiert, ist sicherer unterwegs. Für die Server müssen laut Richtlinien von BSI und Versicherungen die Patches innerhalb von 7 Tagen installiert sein, ansonsten drohen Kürzungen bei Versicherungsleistungen.

Eine entdeckte Lücke in Office, die bereits ausgenutzt wird, bleibt aber noch ungepatcht: (CVE-2023-36884, CVSS 8.3, hoch). Hierbei kann beim Öffnen eines präparierten Dokuments durch Mitarbeitende Schadcode eingeschleust werden.

Mindestens eine Bande russischer Krimineller nutzt die Lücke bereits in großem Stil aus. Wie Microsoft verlautbart, schützt der Microsoft 365 Defender für Business vor den Attacken. Wer also M365 Business Premium und den enthaltenen Defender für Business einsetzt oder den Defender für Business Plan aktiviert hat, ist sicherer.

#Wichtig - Ein Workaround soll zusätzliche Sicherheit für alle noch unterstützten Office-Versionen bieten:

Windows Registry Editor Version 5.00 
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MsPub.exe"=dword:00000001
"PowerPnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001 

Da auch Wordpad (Bestandteil von Windows und Windows Server) auftaucht, ist es ratsam den key generell auf alle Systeme auszurollen, da auch damit Word-Dokumente geöffnet werden können.

SPAM in Briefform - IT-Sicherheit

obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine "Firma" aus Darmstadt immer noch Kunden zu verunsichern.

An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung - die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.

In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.

Danach wird die "Geschäftsführung" aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.

Dieses Roboter-Schreiben gehört sofort in die Ablage P!

Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.

Bildbearbeitung mit KI

In den Beta-Versionen von Adobe Photoshop gibt es einen Filter, mit dem man ein Bild durch "generative KI" Bilder breiter machen kann. Möchte man beispielsweise aus einem Bild im Full-HD-Format ein Website-Banner machen (beispielsweise in 1400x200px), wirkt das Bild in der Darstellung mit herkömmlichen Mitteln (Resize) verzerrt.

Praktischer ist es, wenn man das Bild in die Mitte des geplanten Banners legt und dann rechts und links auffüllen lässt, ohne das am Bild etwas verzerrt wird. Das kann der #KI "Generative Fill" Filter.

Der Haken dabei: Nicht jeder hat Photoshop UND ist auch noch im Beta-Programm angemeldet. Nach Release des Filters wird dieser voraussichtlich nicht im Creative Abonnement enthalten sein.

Wer die Funktion nicht häufig nutzt, kann mit der kostenlosen Version von clipdrop.co/uncrop 1x pro Tag oder mit der kostenlosen Registrierung auf der Website (eine E-Mail-Adresse reicht, auch Wegwerf-E-Mails werden (noch) akzeptiert) mehrere Bilder am Tag mit KI breit machen:

[linkbutton label="Bildbearbeitung mit KI generative fill" link="https://clipdrop.co/uncrop" target="_blank"]

Die Resultate können nützlich, aber auch lustig ein. Ich habe mal ein KI-Bild aus dem Skype Bing-Chat ins Banner-Format umgewandelt: