Nun bin ich seit einem Jahr bei meinem neuen Arbeitgeber und für mich ein guter Zeitpunkt, um das ganze mal in Ruhe zu betrachten und das Jahr zu bewerten. Am 01.02.2011 starte ich bei der qmo-it einen neuen Abschnitt in meiner Arbeitswelt. Ich war schon etwas aufgeregt, denn immerhin befasst sich die qmo-it mit Cloud, Managend Services und jeder Menge Business Development. Aber wie heißt es so schön: “Man wächst mit jeder Aufgabe”. Meine primäre Aufgabe ist nach wie vor der Enterprise Security Bereich. Damit aber nicht genug. Mein Chef hat immer einen Pfeil im Köcher und wies mir weitere interessante Gebiete zu. Dazu komme ich später noch. Was mich besonders freut ist der Teamgeist und das super Klima, welches in der qmo-it herrscht. Nach kurzem Kennenlernen, war man sofort in der Familie aufgenommen und mit im Team. Kommunikation, Innovation und freies Denken sind nur kleine Teile dessen, was meinem Chef sehr am Herzen liegen. Team-Meetings werden auf eine “etwas andere Art” durchgeführt und dienen neben dem Informationsaustausch vor allem der Kommunikation und dem Teamgeist. Es gibt kein Meeting bei dem nicht das ganze Team herzlich lacht, denn bei der qmo-it kommt auch der Spaß nicht zu kurz.

Nun aber auch ein paar Worte zu der eigentlichen Arbeit. Kurz gesagt: WOW! Schnell durfte ich mich in neue Technologien einarbeiten, innovative Ideen weiterentwickeln und mich auf meine neue Aufgabe, die Architektur in der IT, vorbereiten. Ebenso darf ich meine Leidenschaft der Live Sessions und Vorträge voll und ganz ausleben und meinem Motto treu bleiben: Rock ´n Roll auf der Bühne. Auch bei der qmo-it bin ich die “Rampensau”. Wer kennt nicht den IT-Kasper mit den orangenen Haaren

Mittlerweilen habe ich den Sprung vom Senior Consultant zum Senior IT-Architekten vollendet, leite große Projekte und habe ein klasse Team. Dadurch habe ich die Aufgabe bekommen Strategie, Managementberatung und IT-Architektur für das Jahr 2018 zu planen und umzusetzen. Habe ich den Schritt zur qmo-it bereut? Nein, definitiv nicht. Nicht einen Tag, auch wenn es mal unbequem und nicht optimal war. ja, auch ich meckere mal, aber hier ist es auch höchstem Niveau… Aufgeben zählt nicht und ist und war auch noch nie meine Art. In diesem einen Jahr durfte ich so viel neues lernen, Ideen umsetzen, mich persönlich weiterentwickeln und habe dabei richtig viel Spaß bei der Arbeit. Mein persönliches Highlight ist mein Coach in der Firma. Thomas Novotny, Firmengründer und einer meiner Chefs, hat sich meiner angenommen und hilft mir mein Potential zu erkennen und voll zu nutzen.

Ich kann mich nur bei meinen ganzen Kollegen bedanken! Ich freue mich auf viele erfolgreiche Jahre und bin gespannt was die weiteren Jahre für mich parat haben.

Frohes Neues Jahr wünsche ich euch. Ich kann mit Freude zwei gute Nachrichten verkünden. Zum Einen wurde ich für weiteres Jahr mit dem Titel MVP Enterprise Security geehrt. Mittlerweilen blicke ich auf sieben erfolgreiche Jahre in der Community zurück. In Laufe der Zeit hat sich viel getan, die Community hat sich stark verändert, aber genau das ist es, was den Reiz an der Sache ausmacht. Ich möchte mich bei meinen MVP Leads und allen Leuten bedanken, die mir diesen Titel ermöglicht haben. Im Februar geht es dann zusammen mit Lars Keller zum MVP Summit, auf  das ich mich schon richtig freue.

Die zweite gute Nachricht ist, dass ich seit heute Senior IT Architekt bin und immer weiter das reine operative Geschäft verlasse. Mit großer Freude sehe ich viele interessante Aufgaben auf mich zukommen und ich freue mich darauf an der Vision der qmo-it aktiv teilhaben zu dürfen. Für mich ein großer Schritt der mich deutlich überrascht hat

Somit kann 2012 nur ein richtig gutes Jahr werden.

Wie schnell man überrascht werden kann, wenn man ein bisschen Urlaub genießt. Mein Chef ruft mich an und teilte mir mit, dass ich am nächsten Dienstag den 18.10.2011 nach Kopenhagen zur
VM World fliegen werden. Sicher kommt sofort die Frage warum man mich als Microsoft affiner Mensch dort hinschickt.

Ganz einfach. Als leitender IT Architekt für Virtualisierung und Cloud Services habe ich die Gelegenheit bekommen, mich dort über die neuesten Techniken und Technologien zum Thema VDI und Cloud zu informieren. Ich hoffe, dass mein Terminkalender genau so aufgeht wie ich es bisher geplant habe. Ein weiterer Bericht folgen dann hinterher, mehr darf ich noch nicht verraten. Sicher kann ich dort sehr gute Kontakte für meine weiteren Projekte knüpfen. Der Termin passt für mein aktuelles Projekt wie die Faust auf´s Auge und ich kann den Vergleich zu Microsofts Remote Desktop Services durchführen.

Dienstag früh geht es mit dem Flieger nach Kopenhagen und dann abends wieder zurück. Frische Infos für das Projekt sind immer hilfreich!

Danke an meinen Chef! 

Acer verzögert das Android Update und weiterhin gibt es keine native Office Lösung. Damit man das Tab im Büroalltag einsetzbar ist, muss man nun Applikationen Remote nutzen. Klassisch fällt nun meist die Wahl auf Citrix ICA oder Microsoft RDP. Bei RDP kein Problem, kurz den 2X Client installiert und schon geht es los. ICA hingegen, weigert sich vehement eine Anwendung zu starten. Der Citrix Revicer wird zwar in den Speicher geladen, aber mehr passiert leider nicht. Solltet Ihr über eine VDI Struktur als Alternative nachdenken, dann funktioniert auch nur Microsoft oder VM-Ware. Hoffentlich liefert Citrix schnell ein Update.

In Teil 1 habe ich beschrieben, wie man Daten innerhalb der Cloud sichert. In diesem Artikel möchte ich auf ein etwas komplizierteres Thema eingehen. Email Verschlüsselung ist nicht nur ein Thema für eine Cloud basierte Email Kommunikation, aber hierbei ist der Stellenwert noch höher. Wie immer zählen für mich bei solchen Lösungen Transparenz, Plattformunabhängigkeit und Standards. Zur sicheren Email Kommunikation setzte ich dabei immer auf den PGP Standard, um genau zu sein OpenPGP. Infos zum PGP Verfahren findet ihr hier: PGP - Verfahren 

Plattform unabhängig wird man wenn man ein Gateway im Drop-in Modus verwendet, bei dem der Datenstrom über das Gateway abgewickelt wird und dort Ver- und entschlüsselt wird. Bei bis zu 500 Usern reicht dafür auch ein Gateway mit nur 1 netzwerkkarte aus. Wie immer gilt die Grundregel, dass bei Cloud basierten Systemen das Key-Management innerhalb des eigenen Unternehmen bleibt und nur Verschlüsselte Daten transportiert werden. Die meisten Gateway haben noch keine direkte Verbindung zum Verzeichnisdienst können aber eine CSV Datei der User mit der eindeutigen Zuordnung der Emailadresse importieren. Entscheidend ist die Reihenfolge der Felder beim Export der Daten.

Wenn man klassisches PGP nutzen will, dann ist die Verschlüsselung immer Anwender bezogen und durch ein eindeutig zugeordnetes Schlüsselpaar gesichert. Soll eine domänenbasierte End-to-End Verschlüsselung realisiert werden, so benötigt man auf  beiden Seiten ein Gateway, da sonst immer nur eine Absenderadresse verwendet wird, was häufig zur Einstufung als SPAM führt. Regelbasiert muss man nun definieren, wie und wann die Verschlüsselung angewendet wird.

• Immer für einen User gültig – Alle Emails werden automatisch verschlüsselt
• Abhängig von der Zieldomäne – Nur Email an eine Zieldomäne werden verschlüsselt.
• Abhängig von der Zieladresse – Nur Email an einen bestimmen Empfänger werden verschlüsselt
• Abhängig von definierten Schlagwörtern – Wenn z.B. das Wort “Vertraulich” im Betreff gefunden wird, dann wird die Email automatisch verschlüsselt

Drop-in Modus ist mit wenigen Schritten zu realisieren:

1. Die zu managende Domäne eintragen (Eigene Domäne)
2. Den Server angeben über den die Mails dann versendet werden (relaying)
3. Sende Connector im Email Server auf Smarthost umstellen (PGP Gateway)

Nun wird der gesamte Email Datenstrom über das PGP Gateway umgelenkt und regelbasiert verschlüsselt. Auf dem Client muss keine zusätzliche Software installiert werden. Es muss keine Anpassung im Email Client vorgenommen werden, was den Einsatz aller Geräte ermöglicht (Smartphone, Slate PC, verschiedene Betriebssysteme). Eine kleine Ausnahme ist hier der Email Zugriff über eine Weboberfläche. Um diesen Zugriff zu sichern, muss neben der Email Verschlüsselung auch der Transport der Email abgesichert werden (TLS – Transport Layer Security). Im Gateway wird die URL für dem Web-Zugriff umgelenkt wodurch die Email nicht entschlüsselt wird, sondern komplett verschlüsselt zum Empfänger transportiert wird und dort als Anhang in einer Email bereitgestellt wird. Öffnet man diese Email, dann fordert das System zur Eingabe des Kennworts auf. Erst danach kann die Email im Klartext gelesen werden.

Antwortet man auf eine mit PGP verschlüsselte Email, dann wird diese Antwort automatisch verschlüsselt und gesichert übertragen. Für Cloud Dienste sollte man das Gateway so konfigurieren, dass selbst interne Emails verschlüsselt werden und der Transportweg auch gesichert ist. 

Neben der PGP Verschlüsselung kann auch eine interne (oder externe) PKI eingebunden werden, schneller und einfacher geht es mit dem sicheren PGP Standard. OpenPGP ist 100% Kompatibel zu den kommerziellen PGP Versionen. Selbstverständlich ist das PGP Schlüsselpaar verschlüsselt auf dem Gateway gespeichert. Hat ein Benutzer bereits ein altes Schlüsselpaar, dann kann man diese über Import Schnittstellen einem Konto zuordnen, um bereits verschlüsselte Email weiterhin lesen zu können. Systembackups sind verschlüsselt und nur über das Gateway lesbar.

Bei der Auswahl des Cloud Providers ist darauf zu achten, dass man Zugriff auf die Konfiguration über den Sendeconnector bekommt, damit der Drop-in Modus konfiguriert werden kann. Die Email Datenbank sollte auch einem verschlüsselten Laufwerk liegen, welches in Teil 1 beschrieben worden ist.

Für Fragen stehe ich gerne zur Verfügung

Viel Spaß

Frank

Immer wieder wird mir die gleiche Frage gestellt, wenn ein Kunde sich über die Möglichkeiten der Cloud-Nutzung im Unternehmen informiert.

Wie kann ich meine Daten schützen, wenn diese gar nicht mehr auf meinen Festplatten gespeichert sind?

Na ganz einfach: Transparente Datenverschlüsselung!

Selbstverständlich kommt nun die Frage: Was ist das und wie funktioniert so was?

Unter einer transparenten Datenverschlüsselung versteht man ein System, welches für den Anwender nahezu unsichtbar die Daten ver- und entschlüsselt, wenn er diese Speichert oder liest. Damit nicht genug, denn der Transportweg zum Zielspeicher sollte selbstverständlich auch verschlüsselt sein (TLS, Transport Layer Security). Weiterhin muss diese Lösung problemlos in einer virtuellen Desktop Infrastruktur (VDI) und Terminal Server Umgebung funktionieren. Gleiches gilt auch für den nativen Support von 64-Bit Architekturen.

Hat man ein solches Konzept geplant, kommt meist die interne Anforderung, dass man Daten so schützen kann das selbst die eigenen Administratoren keinen Zugriff erhalten können. Betriebsräte, Firmenärzte, Personalabteilung, Forschung und Entwicklung und das Management haben immer diese Anforderung, welche bei Nichterfüllung ein No-Go für das ganze Projekt sind.

Die Forderung der Gewaltentrennung macht den Einsatz von EFS (Encryptet File System) somit unmöglich, weil der Administrator als Recovery Agent immer in der Lage ist an die Daten zu kommen.

Hierzu wird eine separate Software genutzt, welche Rollen und Gruppen basiert die Verschlüsselung individuell für den Anwender sicherstellt. Auf dem Client PC oder oder in der virtuellen Umgebung wird eine Clientsoftware installiert, die eine eigene Authentifizierung nutzt. Achtung, Single Sign on (SSO), ist hier ein schweres Sicherheitsrisiko, weil ein Administrator ein Konto einfach übernehmen könnte und somit wieder Zugriff auf die Daten erhält! SSO NIEMALS aktivieren!!!!!

Die Software stellt Personenbezogene Zertifikate aus, kann aber auch vorhandene Zertifizierungsstellen einbinden. Sollte der Anwender sein Kennwort vergessen, dann kann nur er persönlich ein neues Kennwort anfordern, weil dieses aus seinem Profil heraus initiiert werden muss. Über ein 4-Augen Prinzip wird das neue Kennwort erzeugt und dem Anwender zur Verfügung gestellt. Hierbei handelt es sich um ein Einmal Kennwort, dass sofort nach Eingabe geändert werden muss. Sämtliche Vorgänge werden Revisionssicher in einer verschlüsselten Datenbank protokolliert um Missbrauch zu unterbinden.

Ist die Lösung implementiert, dann können die Daten beim Cloud-Provider von einem Rechenzentrum zum Anderen wandern ohne das man Angst haben muss das diese gelesen werden oder verloren gehen. Das Keymanagement bleibt immer in der eigenen Hoheit genau wie das Gateway zur Verschlüsselung der Daten. Alles was hinter dem Gateway passiert ist dann nur noch Kauderwelsch, sollte der Datenstrom über eine Man in the Middle Attacke abgehört werden.

Für Fragen stehe ich gerne zur Verfügung

Frank

Enterprise Security

In meinem letzten Artikel hatte ich ja bereits erwähnt, dass es nativ nur schwer möglich ist einen Business Einsatz für das Acer Iconia zu finden. Ich habe zumindest eine relativ bequeme Möglichkeit gefunden, wie man damit arbeiten kann. Man nutzt das Tab als Viewer für eine VDI Struktur oder per RDP. Auf dem Marktplatz wird der 2X Client kostenfrei angeboten, mit dem man Windows basierte RDP Session öffnen kann und dann ganz normal auf dem Windows Client arbeiten. Alternativ bietet der Client auch 2X Verbindungen an, um auch mit Linux basierten Clients arbeiten kann. Die Konfiguration ist denkbar einfach.

• Hostname oder IP
• Port
• Anmeldename
• Passwort
• Konsole  (optional)
• Name der Verbindung

Schon hat man die Verbindung gespeichert und kann ganz normal arbeiten. Tastatur und Maus werden per overlay eingeblendet und mit allen Funktionen unterstützt. Die ganze Lösung ist für LAN basierte Verbindungen ausgelegt und ist sehr stabil und sehr performant.

Richtig klasse wird es mit der WYSE Pocket Cloud! Der Hammer, mehr kann man da nicht sagen. Danke an Frank Schiewe für den genialen Tipp!!! Über den Markplatz lädt man die Pocket Cloud für Android runter. Für das zu kontaktierende System (PC oder Mac) lädt man das Wyse Pocket Cloud Companion runter. Nun benötigt man nur noch einen Gmail Account, um die beiden Komponenten zu konfigurieren. Nach erfolgreichem Login stellt die Android Pocket Cloud über das Internet eine Verbindung zu dem Companion her und man kann zwischen RDP und VNC auswählen. Auch diese Lösung glänzt durch Performance und Stabilität. Die gewünschte Verbindung muss aus dem Internet erreichbar sein, sonst geht es natürlich auch nur per LAN.

!!!!! Wichtiger Hinweis !!!!!

Wenn man seinen Router öffnet und einen Port ins Internet stellt, dann muss dieser je nach Hardware speziell gesichert werden! Niemals sollte eine RDP Verbindung ungeschützt direkt im Internet ansprechbar sein!

Seit Samstag den 02.07.2011 bin ich stolzer Besitzer eines Acer Iconia Tab A500. Auf dem Gerät ist Android 3.0.1 installiert. Nach kurzer Startphase, mussten nur schnell ein paar landesspezifische Daten eingegeben werden und schon war das Pad bereit. Sofort wurde mein privates WLAN gefunden, welches mit n-Standard betrieben wird. Sofort nach Internetzugang wurde durch Acer ein System Update eingespielt.

Um den Markplatz von Android nutzen zu können benötigt man ein Gmail Konto, welches ich problemlos über den Markplatz erstellen konnte. Danach hat man die frei Auswahl an Apps. Das Angebot ist echt bombastisch. Für jeden Zweck findet man eine Vielzahl an Apps und die meisten sogar kostenfrei! Probehalber habe ich mir die Apps installiert die ich von meinem iPod und meinem Windows Phone 7 kenne und die Qualität ist bei allen Systemen gleich.

Auf dem Tab ist als Browser selbstverständlich Google Chrome installiert. Der Browser ist echt flott, wenn man bedenkt, dass in dem Tab nur ein 1 GHz Prozessor seine Arbeit verrichtet. Wenn man eine Browsersession hat, in der Z.B. Fotos oder Chat Fenster eingeblendet werden, dann zeigen sich dennoch Schwächen. Das neue Fenster fängt stark an zu flackern und macht wirklich keinen Spaß. Ansonsten habe ich nichts gefunden, was nicht wirklich funktioniert. Sollte ein Plug-In fehlen, dann kann man das aus dem Marktplatz nachinstallieren und schon ist es ok. Das Scrollen und das Umschalten zwischen den Browser-Tabs funktioniert sehr flüssig. Hervorragend funktioniert die Pivot Funktion des Tabs in alle Richtungen und das Zoom mit Multi-Touch reagiert sehr schnell. Wenn man einige Seiten zoomt, dann kann man auch über die leichte Ungenauigkeit des Tabs hinwegsehen, das es bei kleinen Icons manchmal hat (oder meine Finger sind einfach zu groß).

Als Grafikchip ist ein Nvidia verbaut, der für HD Filme mit 720p vollkommen ausreichend ist, damit Filme ruckelfrei abgespielt werden. Acer liefert einige Spiele mit, die auch im HD Modus super flüssig laufen und mit sattem Sound wirklich Spaß machen. Gesteuert wird das mitgelieferte Need for Speed mit dem G-Sensor. Dabei kommt echtes Lenkrad Feeling auf. Bisher fehlt mir aber ein Office Paket, damit ich wirklich zufrieden wär. Bisher gibt es nur rudimentäre Ansätze die nicht wirklich gut sind. Ok, dafür habe ich mir das Pad auch nicht geholt, aber für einen Test wär es schon schön gewesen, auch mal ein Word Dokument zu verfassen und nicht nur zu betrachten (über Documents to Go).

Klasse finde ich, dass das Pad eine USB Schnittstelle und einen HDMI Anschluss hat und sich somit ganz deutlich vom Apple iPad abhebt. Über die USB Schnittstelle kann man nicht nur Daten wie Bilder und Musik abrufen, sondern auch Daten direkt auf das Pad kopieren. Zum Installieren von Apps ist es auch ok, da würde ich aber lieber direkt den Markplatz nutzen, das ist einfach bequemer. Über einen Kartenslot kann man das System erweitern. Mit bis zu 64 GByte microSDHC Karten kann man somit den internen Speicher aufrüsten und dieser steht sofort zur Verfügung.

Das glänzende Display ist für den Außenbetrieb bei starker Sonne nicht wirklich gut, aber in der Wohnung sehr brillant in der Wiedergabe von Bildern und Filmen. Damit man immer den sauberen Durchblick hat, legt Acer ein Microfasertuch dazu, um die vielen Fingerspuren verschwinden zu lassen.

Somit bleibt für mich als Feedback nur zu sagen, dass das Pad eine sehr gute Alternative zum iPad ist und sich für mich voll gelohnt hat. Acer hat zum 11.07 das Update 3.1 für Android angekündigt, welches dann einige Macken ausbügeln soll. Ich bin gespannt und werde sicher wieder berichten.

Richtig gelesen! Ich wollte es auch nicht glauben, das es ja per Gesetz verboten ist Port-Scans, Ausspionieren, Fingerprints oder Penetration Tests durchzuführen (§202a und 303b – Ausspionieren und Sabotage). Was aber nun wenn man immer wieder angegriffen wird oder auf einer Plattform im Internet beleidigt wird? Wie reagiert man auf rechtswidrige Inhalte oder Missbrauch von geistigen Eigentum?

Zuerst isoliert man die Plattform indem man Soziale Netzwerke und Suchmaschinen per einstweiliger Verfügung zwingt die Inhalte zu löschen und die Suchergebnisse filtert. Sollte man nun immer noch unter den Angriffen leiden und den Verursacher nicht identifizieren können, dann muss man sich selbst schützen.  Mit der Beweislage tritt man nun an die Staatsanwaltschaft ran und erklärt die Situation und wie man sich selbst verteidigen kann.

Hierzu zählt die Methodik die per Gesetzt (§§ 202a, 303b) eindeutig verboten sind! Nach Sicherung der Schwachstellen (Ausspionieren) kann man nun z.B. mit einem Exploit einen gezielten Angriff starten und den Übertäter auch die letzte Plattform zerstören. Selbstverständlich muss die gesamte Aktion dokumentiert werden und forensisch gesichert sein. Ich würde hier sogar einen Filmbeweis auf ein WORM Medium empfehlen.

!!!!!WICHTIGER HINWEIS!!!!!

Das hier beschriebene Verfahren ist KEIN Freibrief um nun Alles und Jeden mit möglichen Attacken anzugreifen. NEIN, hier geht es um eine konzentrierte, abgestimmte und im Vorfeld genehmigte Aktion gegen einen dedizierten Angreifer. Man muss einen spezialisierten Anwalt haben, der dieses verfahren kennt und bei den entsprechenden Stellen platziert. Erst damit wird die Aktion legal, weil man den Zustand der Selbstverteidigung nachweisen muss! Dann zählt: Hacking is not a crime!

Es ist nicht zur Nachahmung gedacht und ich übernehme keine Verantwortung, falls nun doch Jemand versucht illegaler Weise die benannten Aktion durchzuführen.

Wieder eine frohe Kunde. Ich habe erfolgreich eine weitere Zertifizierung geschafft. Ich darf mich ganz offiziell mit folgenden Titel schmücken:

HP AIS ProCurve Networking 2010

Nach einem 4 tägigen Lehrgang kommt man direkt die Prüfung bei HP ablegen.

Themen waren

Netzwerkdesign,

Konfiguration,

Management,

Routing,

VLAN,

Spanning Tree

WLAN