Ein Facebook User kippt Privacy Shield – und jetzt?

Privacy Shield bezeichnet die (Selbst-)Verpflichtung zur Einhaltung von Datenschutzstandards in den USA, die dem europäischen Datenschutzrecht genügen (Stichwort DSGVO). Unter diesem Schutzschirm konnten europäische Unternehmen DSGVO-konform Daten an Auftragsverarbeiter mit Sitz in den USA weitergeben, die sich nach EU-US Privacy Shield zertifiziert hatten.

Schutzschild zerschlagen

Kürzlich ist diese Praxis vom EuGH für ungültig erklärt worden (“Schrems II”-Urteil vom 16. Juli 2020). Max Schrems, österreichischer Jurist und Datenschutzaktivist hatte mit seiner Klage vor dem EuGH schon für das Kippen des Privacy Shield Vorgängers, dem Safe-Harbor-Abkommen, gesorgt. Hintergrund ist die Praxis von Facebook, auch die Daten europäischer Nutzer nicht an seinem Standort in Irland oder andernorts auf europäischem Boden zu verarbeiten, sondern allesamt auch ungefragt in die USA zu transferieren. Diese Praxis für seine personenbezogenen Daten nahm Schrems zum Anlass seiner Klage. Spätestens seit den Enthüllungen von Edward Snowden ist bekannt, dass US-Unternehmen sich nicht an die Zusicherungen von Privacy Shield halten oder halten können, wenn US-Geheimdienste (und ihre Partner) etwas wissen wollen. Es gibt sogar konkrete US-Gesetze, die eine Massenüberwachung vorschreiben (z.B. FISA 702 und EO 12.333). Dies steht in vollkommenem Gegensatz zur europäischen Datenschutzgrundverordnung DSGVO.

Was nun?

Wer IT-Dienste in seinem Unternehmen nutzt, hat mit hoher Wahrscheinlichkeit Berührungspunkte zu dieser Problemstellung. Es fängt schon bei der öffentlichen Website an: welche Dienste werden genutzt, welche Fonts, welche Cookies von welchen Anbietern übertragen Informationen der Besucher in die USA? Haben Sie sich mal die Liste von Diensten und Cookies angeschaut, die Sie beim Besuch einer Website akzeptieren sollen?

Ihre eigene oder auch andere Websites können Sie mit Blacklight scannen, um einen Eindruck zu bekommen. Als kommerzieller Dienst bietet Cookiebot noch Mehrwerte. Dieser Artikel von Cookiebot diente auch als eine der Quellen für diesen Beitrag.

Für den Geschäftsbetrieb noch kritischer sind aber SaaS Dienste wie Office 365, Salesforce und viele andere, die heute omnipräsent auch in europäischen Unternehmen sind. Was gilt es hier nun zu beachten?

SaaS weiter nutzen

Stellen Sie vor allem sicher, dass Sie die von den Anbietern fast immer bereitgestellten “Standardvertragsklauseln” abgeschlossen haben. Damit gehen Kunden eine direkte Vertragsbeziehung mit dem Anbieter ein, in der der Anbieter den Datenschutz zusichert. Diese Praxis wurde vom EuGH ebenfalls geprüft und für weiterhin geeignet befunden, ein adäquates Datenschutzniveau zu gewährleisten. Wohlgemerkt: der Mechanismus ist in Ordnung – die Standardvertragsklauseln einiger Anbieter müssen und werden inhaltlich voraussichtlich kurzfristig nachgebessert werden.

Bei Office 365 sollten Sie in jedem Fall darauf achten, dass der Datenspeicherort für Ihre Organisation auf Europa oder sogar Deutschland festgelegt ist:

Risiken bewerten

Datenschutzbeauftragte neigen dazu, auf “Nummer sicher” zu gehen und lieber von der Nutzung abzuraten. Diese Haltung sollte differenziert hinterfragt und diskutiert werden. Neben den nicht ganz klar greifbaren Risiken, Dienste weiter zu nutzen auch unter vorübergehend nicht vollkommen belastbaren Standardvertragsklauseln, sind die Risiken, sich ganz akut in Teilen handlungsunfähig zu machen, wahrscheinlich größer.

Haftung

Wir können keine rechtliche Beratung zu diesem Thema anbieten, sondern stellen diese Informationen als Hinweise und Tipps zur Verfügung. Eine juristisch fundiertere Analyse – und natürlich auch Angebote zur Beratung – finden Sie zum Beispiel bei der audatis in Herford und Potsdam.

10 von 10 Punkten auf der Gefährdungsskala: Windows Server bedroht

Ein Patch steht seit August bereit, Exploit Code ist seit September im Umlauf. Was ist passiert und wie groß ist die Bedrohung wirklich?

Szenario

Ein Angreifer muss netzwerktechnisch einen Windows Domain Controller (Versionen von 2008 R2 bis zur aktuellen 2004 sind betroffen) erreichen, um das Netlogon Remote Protocol (MS-NRPC) ansprechen zu können. In der Regel wird er also im internen Netz sein oder eine verbockte Firewall Policy vorfinden müssen. Dann aber kann er sich ohne Anmeldung hochstufen (Elevation of Privilege, CVE-2020-1472 bei Microsoft).

Panik?

Sorge scheint vor allem die US amerikanische CISA (Cybersecurity and Infrastructure Security Agency) zu haben. Sie hat die Admins der US-Regierung verpflichtet, innerhalb von vier Tagen alle ihre Server zu patchen. Da wir bereits Ende September haben, sollten gründlich betriebene Systeme den Patch bereits sowieso erhalten haben, aber wir wissen ja, wie das ist…

Laut heise online erwartet die CISA für heute einen Report der Admins über die Windows-Server-Situation. Den bekommen wir vermutlich nicht zu sehen, wäre aber interessant.

Outlook Mobile: Microsoft sendet Mitteilungen an Outlook-User

Microsoft aktualisiert die Ankündigung „Benachrichtigung über Outlook Mobile in Outlook“ (MC207028) und erweitert das Gebiet auch auf Europa.

Seit dem 12. August 2020 informiert Microsoft an Outlook Benutzer, die noch kein Outlook Mobile nutzen, darüber das es Outlook auch für iOS und Android gibt.

Außerdem befindet sich in dieser Benachrichtigung ein Link, über den sich der Nutzer komfortabel die Outlook Mobile App für Android oder iOS Herunterladen können bzw. wird hier auf die entsprechende App Stores der beiden Plattformen verwiesen.

Wird diese Benachrichtigung geschlossen oder der Benutzer installiert sich Outlook Mobile, erscheint keine erneute Benachrichtigung.
Jedoch kann die Benachrichtigung auch zentral administrativ über ein entsprechendes cmdlet in Powershell deaktiviert werden.

Sollten Sie diese Nachrichten bei Ihnen und ihren Nutzern nicht wünschen, können wir sie dabei gerne unterstützen.

Wenden Sie sich daher gerne vertrauensvoll an uns.

Microsoft SharePoint. Ein Einblick in Site Designs und Site Scripts.

Mit Microsoft Office 365 und SharePoint-Online hat Microsoft eine neue Möglichkeit zur Anpassung von neuen und bestehenden Seiten eingeführt: Site-Designs und Site Scripts.

Zunächst stellt sich die Frage, was genau sind Site Designs und was sind Site Scripts?

Site Designs und Site Scripts dienen zur Bereitstellung und Anpassung von neuen oder bestehenden modern Sites im SharePoint Online. Mit ihnen können Sie gewährleisten, dass Seiten, die Sie oder Ihre User erstellen, einem einheitlichen Schema entsprechen.

Site Scripts lassen sich als definierter Satz von Aktionen beschreiben, die bei Zuordnung zu einer Seite ausgeführt werden. Sie sind damit Microsofts Ansatz, die Templates aus den On-Premises-Zeiten abzulösen. Mit diesen Aktionen kann man beispielsweise Listen und Bibliotheken zu Seiten hinzufügen oder eine Theme sowie ein Seitenlogo setzen.

„Microsoft SharePoint. Ein Einblick in Site Designs und Site Scripts.“ weiterlesen

Microsoft MVP Award für Nils Kaczenski

Am Mittwoch, dem 1. Juli 2020 war wieder „F5-Tag“ für unseren Consulting-Leiter Nils Kaczenski. An diesem Tag nämlich gibt Microsoft jährlich die Preisträger seiner „MVP Awards“ bekannt. Die Auszeichnungs-Mail trifft nach deutscher Zeit am Nachmittag ein, und die Nominierten drücken dann gespannt die „Aktualisieren“-Taste ihres Mailclients. Und tatsächlich: Erneut hat Nils Kaczenski die Auszeichnung von Microsoft erhalten – in seinem Fall zum 17. Mal in Folge seit 2003.

Mit dem Titel „Most Valuable Professional“ zeichnet der Softwarehersteller internationale Teilnehmer der IT-Community aus, die ehrenamtlich und engagiert Fragen zu Microsoft-Produkten beantworten und Probleme lösen. „Der Geist der Community ist wirklich einzigartig“, merkt Nils an. „Ob Neuling oder alter Hase, ob Standardfrage oder exotisches Problem – man hilft sich gegenseitig und alle lernen voneinander.“ „Microsoft MVP Award für Nils Kaczenski“ weiterlesen

vSphere 7 bringt umfassende Neuerungen

VMware hat am 02.04.2020 vSphere 7 angekündigt und nun veröffentlicht, und bezeichnet es selbst als größte Innovation seit der Einführung des Hypervisors vSphere ESXi (siehe VMware-Blogpost).

vSphere 7 enthält zahlreiche Neuerungen wie den vSphere Lifecycle Manager, vCenter Server Profile, Versionierung von VM-Vorlagen und Verbesserungen von DRS und vMotion.

Kubernetes- und Containersupport

Außerdem wurde mit vSphere 7 die Kubernetes-Infrastruktur direkt in den ESXi-Kernel integriert. Die Ausführung von Containern wird nun nativ unterstützt. vSphere 7 mit Kubernetes ist als Teil der VMware Cloud Foundation erhältlich.

Abschneiden alter Zöpfe

Dem Rotstift zum Opfer gefallen sind dafür beispielsweise der Support eines externen PSC, der auf Flash basierende vSphere Web Client, sowie der Betrieb des vCenters auf einem Windows Server.

Schaffen neuer Möglichkeiten

Neue Features im Überblick

  • vSphere Lifecycle Manager ersetzt den VMware Update Manager für Upgrade und Patch Management
  • vCenter Server Update Planner für Kompatibilitäts- und Interoperabilitäts-Checks bei Upgrades des vCenter Servers
  • vCenter Server Profile um eine Baseline der aktuellen Konfiguration festzulegen oder die Konfiguration mehrerer vCenter zu vereinfachen
  • Content Library als zentrales Management von Vorlagen virtueller Maschinen, virtueller Appliances und ISO Images
  • DRS Überarbeitung hinsichtlich eines Workload-zentrierten Designs, weg vom Host-Balancing Ansatz
  • vMotion Verbesserung der Performance, besonders in Hinsicht auf Datenbanken und unternehmens-kritische Anwendungen
  • vSphere Trust Authority zur Absicherung sensibler Workloads durch Remote-Beglaubigung
  • Föderierte Identitäten mit ADFS für sichere Authentifizierung und vereinfachte Benutzerverwaltung

Editionen und Lizenzierung

vSphere 7 ist wie gewohnt in den Editionen Standard und Enterprise Plus erschienen. Erhältlich sind außerdem die bekannten Acceleration-, ROBO- und Essentials-Kits. Weggefallen sind die Platinum Editionen.
Eine unscheinbare aber wichtige Neuerung gibt es bei der Lizenzierung:

Zwar ist die Lizenz weiterhin sockelbasiert, allerdings zukünftig auf 32 Cores begrenzt. Dies bedeutet wiederum, dass mehr als eine Lizenz pro CPU benötigt wird, wenn diese über mehr als 32 Kerne verfügt. Für Klein- und Kleinstkunden dürfte diese Neuerung in der Lizenzierung wenig Auswirkungen haben, in größeren Rechenzentren verteilt sich die Lizenzierung künftig allerdings anders, sodass u.U. mehr als eine Lizenz je Sockel erworben werden muss.

Sie wünschen weitere Informationen oder Beratung in diesem oder angrenzenden Themen? Sprechen Sie uns gerne an! Wir stehen mit Rat und Tat zur Seite und unterstützen Ihr Business – Ihre Kernkompetenz – mit unserer Kernkompetenz, der IT.

Weiterführende Informationen zum Thema Servervirtualisierung gibt es hier.

VMware VCSA stellt den Dienst ein

In der Vergangenheit kam es bei einzelnen VMware-Implementierungen zu Problemen mit der VCSA. Diese stellte die Dienste ein und war nicht mehr erreichbar. Ist es nicht eine Wohltat, wenn man morgens die URL des vSphere Web Clients aufruft und mit folgender Meldung begrüßt wird?

vcsa_1

Achtung!

Bevor irgendwelche Arbeiten an der VMware vCenter Server Appliance durchgeführt werden, sollte unbedingt ein Snapshot erstellt werden.

Was ist da los?

Ein Blick auf die Shell der vCSA zeigt, dass einige Dienste nicht gestartet sind.

service-control –status

vcsa_2

Ein manuelles Starten schlägt fehl.

service-control –start –all

vcsa_3

Ein kurzer Blick in die Suchmaschine der Wahl zeigt: Die Ursache hierfür kann vielfältig sein, beispielsweise ein abgelaufenes root-Kennwort oder aber abgelaufene Zertifikate.

Die Vorgehensweisen zu diesen beiden Fehlerbehebungen werden nachfolgend skizziert:

Root-Kennwort abgelaufen?

Auch wenn das root-Kennwort abgelaufen ist, ist ein Login auf der Shell per Web Konsole oder VMRC noch möglich.

Mit chage -l root kann die Gültigkeit des Passworts geprüft werden.

vcsa_4

Ist das der Fall, ändert man das Passwort mittels passwd root

vcsa_5

Anschließend kann noch einmal die Passwortgültigkeit geprüft werden.

vcsa_6

Zertifikate abgelaufen?

Um die Gültigkeit der Zertifikate zu prüfen, lässt man sich zuerst mit /usr/lib/vmware-vmafd/bin/vecs-cli store list den Inhalt des Zertifikat Stores anzeigen.

vcsa_7

Der Inhalt eines bestimmten Zertifikates kann per /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store NAME_DES_ZERTIFIKATES –text angezeigt werden.

vcsa_8

Das aktuelle Datum der vCSA kann mittels date geprüft werden.

vcsa_9

Durch zurückstellen des Datums auf einen Wert, an dem die Zertifikate noch gültig waren, lassen sich die Dienste wieder starten. Hier in diesem Fall mit date -s ‘2020-06-01 10:00:00’

vcsa_10

Achtung!

Um eine Aktualisierung der Zeit zu verhindern, muss in der VMware vCenter Server Appliance Web-Konsole die Zeitsynchronisierung deaktiviert sein.

vcsa_11

Die Web Konsole erreicht man im Browser unter https://IP-oder-Name-der -VCSA:5480/

Anschließend lassen sich die Dienste per service-control –start –all starten. Alternativ kann auch die Appliance neu gestartet werden.

Das eingebaute Zertifikat-Manager Tool, das auf der Shell mittels /usr/lib/vmware-vmca/bin/certificate-manager aufgerufen werden kann lief auf einen Fehler beim Erneuern des MACHINE_SSL_CERT-Zertifikates und führte ein Rollback durch.

Auch im Administrationsberiech des vSphere Web Clients ließ sich in diesem Fall das MACHINE_SSL_CERT-Zertifikat nicht erneuern.

vcsa_12

In der Webkonsole des Platform Service Controllers gibt es ebenfalls einen Bereich für das Zertifikatsmanagement. Darüber ließen sich schlussendlich alle Zertifikate erneuern.

Handelt es sich um eine embedded Installation erreicht man den PSC im Browser unter https://IP-oder-Name-der-VCSA/psc

vcsa_13
vcsa_14

Die zu erneuernden Zertifikate auswählen und Erneuern anklicken.

Ein weiteres Zertifikat gibt es im Bereich der SSO Konfiguration. Das STS Signing Zertifikat lässt sich über keine der Webkonsolen erneuern, da es sich um ein internes VMware Zertifikat handelt und normalerweise nicht ausgetauscht werden soll.

vcsa_15

Da es ebenfalls abgelaufen war, muss dennoch ein neues Zertifikat generiert und dem Java key store hinzugefügt werden.

Eine sehr detaillierte Anleitung gibt es dazu in den VMware Docs:

Generieren des Zertifikats: Generate a New STS Signing Certificate on the Appliance
Einspielen des Zertifikats: Refresh the Security Token Service Certificate

Abschließend sollte die vCSA unbedingt neu gestartet werden.

Sie benötigen Unterstützung oder Beratung in solchen oder anderen Themen? Wir unterstützen Sie gerne.

“Windows 10 sicher im Unternehmen”: Material zum heise-Webinar

Am 29. April 2020 hat unser Consulting-Leiter Nils Kaczenski für den heise-Verlag ein sehr erfolgreiches Webinar gehalten: “Windows 10 sicher im Unternehmen” war der Titel, der über 120 Teilnehmer anzog. Das Feedback des Publikums war hervorragend, viele interessierte Fragen der Zuhörer konnten noch im Webinar beantwortet werden.

image

In dem Webinar hat Nils Kaczenski zahlreiche Themen und Techniken vorgestellt. Die Teilnehmer äußerten großes Interesse, sich näher damit zu beschäftigen. Sie finden daher hier eine umfangreiche Materialliste zu allen besprochenen Themen sowie einige weiterführende Links.

Download “Materialliste Windows 10 sicher im Unternehmen” mw-Materialliste-Windows-10-sicher-im-Unternehmen.pdf – 556-mal heruntergeladen – 135 kB

Gern beraten wir Sie zur Sicherheit in Windows-Umgebungen – nutzen Sie dafür unser Kontaktformular.

SecIT – aber online: “Windows 10 sicher im Unternehmen” als Webinar

Der heise-Verlag bietet seinem Publikum eine hochwertige Alternative zu der Fachmesse “SecIT 2020”, die Ende März hätte stattfinden sollen. In Kooperation mit den Referent*innen führt der Veranstalter die redaktionellen Seminare aus dem Messe-Programm jetzt online durch. In den nächsten Wochen werden alle Interessierten Gelegenheit haben, die Sessions als Webinare zu nutzen.

image

Auch das stark nachgefragte Seminar “Windows 10 sicher im Unternehmen” mit unserem Consulting-Leiter Nils Kaczenski findet auf diesem Wege statt. Am 29. April 2020 ab 10:00 Uhr stellen wir dort die modernen Sicherheitstechniken vor, die das aktuelle Client-Windows mitbringt. Aus der Seminarbeschreibung:

Windows 10 ist modern, leistungsfähig – und umstritten. Wie setzt man es im Unternehmens-Netzwerk sicher ein? Welche Security-Funktionen bringt es mit? Reichen die Bordmittel aus oder benötigt man auf jeden Fall noch Werkzeuge von Drittanbietern?

Das Webinar beleuchtet den aktuellen “State of Windows 10” mit besonderem Fokus auf mittelständischen Unternehmen. Neben wichtigen Sicherheitsfunktionen spielen auch der Datenschutz und Empfehlungen des BSI eine Rolle. Abschließend weiten wir den Blick auf das Netzwerk: Welche administrativen Konstrukte versprechen in Zeiten von Emotet und Advanced Persistent Threats ein angemessenes Schutzniveau?

Details und Anmeldung:

[Windows 10 sicher im Unternehmen]
https://www.heise-events.de/webinare/windows_10