IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert

Herzlich willkommen zu einer brandneuen Episode, in der wir uns in die revolutionäre Welt der KI mit ChatGPT vertiefen. Von seinem Ursprung bis hin zu praktischen Anwendungen – wir decken alles ab. Zunächst führen wir dich durch die technischen Details, die ChatGPT so einzigartig machen. Danach sprechen wir über die ethischen Herausforderungen, die mit solch einer disruptiven Technologie einhergehen. Abschließend geben wir dir einen Einblick, wie ChatGPT im ITleague und ITgrow-Netzwerk, sowie in der KI LEAGUE zum Einsatz kommen könnte. Ob du nun ein KI-Neuling oder ein erfahrener Experte bist, diese Episode hat für jeden etwas zu bieten!

Ingo Lücker: Herzlich willkommen, lieber Markus hier beim IT-Manager-Podcast. Schön, dass du zum Interview da bist und dass du Zeit hattest, dir das einrichten konntest. Stell doch mal so ein bisschen deine Person vor. Wo kommst du her? Was hast du ursprünglich mal gemacht? Was hat dich dann zum Thema Förderung eigentlich gebracht? #00:00:36-0#

Markus von Pescatore: Ja, vielen Dank erst einmal für die Einladung für diesen Podcast. Ja, wo komme ich ursprünglich her? Du meinst beruflich natürlich. Also ich habe ursprünglich Betriebswirtschaftslehre studiert, bin also Diplom-Kaufmann in Richtung Controlling und Marketing, habe dann anschließend mit 19 mich selbstständig gemacht. Da hatte ich also, wie man es erkennen kann, noch nicht angefangen zu studieren. Dann habe ich mit Ende zwanzig alle meine Anteile, die ich von meinem Unternehmen hatte, verkauft, habe dann so ungefähr ein, anderthalb Jahre lang Pause gemacht, bin dann in einem Coaching-Unternehmen. Bei meinem Vater habe ich gestartet, das haben wir zusammen aufgebaut und in diesem Zuge kam dann halt die Thematik, dass ein Kunde auf mich zukam und meinte, dank des Coachings konnte ich jetzt mein Unternehmen weiter ausbauen. Ich kriege auf eine Investition von drei Millionen Euro dreißig Prozent als Zuschuss. Und dann hatte ich ihn gefragt, oh, interessant, wie lange wirst du denn brauchen, um das zurückzubezahlen? Und dann meint er, nee, nee, denn das ist ein nicht rückzahlbarer Zuschuss. Also das heißt, ich muss ihn nicht zurückbezahlen. Und dann dachte ich in dem Moment, oh, 900.000 Euro kriegt er vom Staat geschenkt, in Anführungsstriche, da musst du dich drum kümmern, Markus. Und so habe ich dann angefangen, Lehrgänge zu belegen. Habe gesehen, es gibt kein Studium dafür. Das gibt es erst neuerdings. Damals waren es nur Lehrgänge, habe eins nach dem anderen belegt und habe dann anschließend in 2017 ein Fördermittel Beratungsunternehmen in Erfurt gekauft. Das war für die Georg Gläve GmbH. Die besteht seit 1991. Von dem bin ich der Nachfolger. Und dann habe ich halt in Erfurt die Mitarbeiter gehabt. Die wollten aber in Rente gehen. Das waren nur noch zwei, die da waren und somit habe ich in Berlin neu gestartet. So ist das Ganze mal entstanden. #00:02:24-0#

Ingo Lücker: Cool. Du sagst, da gibt es jetzt ein Studium zu dem Thema Förderung tatsächlich, oder? #00:02:30-0#

Markus von Pescatore: Man kann jetzt Fördermittel, Manager oder sowas studieren. Ich glaube, es gibt einen Lehrgang mittlerweile. Es ist aber halt grundsätzlich eine Mischung aus, wie soll man sagen, Steuerberatung, BWL. Das heißt, es geht halt häufig um gewisse Fragen, die man sich stellt, wie in der Steuerberatung. Also wenn ich zum Beispiel ein Förderprojekt ansetzen möchte, muss ich gegebenenfalls etwas aktivieren in der Bilanz, damit es überhaupt gefördert werden kann. Und in dem Moment beschäftigen wir uns halt mit, ja, Bilanzen et cetera, was ist aktivierungsfähig und was nicht. Und dann sind wir quasi schon ähnlich wie eine Steuerberatung unterwegs. #00:03:08-0#

Ingo Lücker: Naja, okay. Naja, sehr gut. Ja, das Förderungsthema ist natürlich ein total spannendes. Aber neben diesem Thema, wenn du nicht beruflich unterwegs bist, was gibt es denn da für Hobbys, auch wenn wir gerade in einer besonderen Situation sind? Welchen Hobbys frönst du sonst? #00:03:27-0#

Markus von Pescatore: Ja, ich habe zwei Kinder, also habe ich immer viel zu tun. Die sind sechs und drei. Aber ansonsten, ich habe jahrelang American Football gespielt. Ich habe jahrelang Fußball und Basketball gespielt und ich interessiere mich in letzter Zeit verstärkt für Schach. #00:03:43-0#

Ingo Lücker: Ja, sehr cool. Ja, das geht natürlich auch unter solchen Bedingungen. (lacht) #00:03:47-0#

Markus von Pescatore: Das geht da runter. Es geht halt, unter solchen Bedingungen ist das Ganze entstanden, nach dem Motto „Welchen Sport kannst du noch machen?“ Und dann bin ich, ganz ehrlich, habe ich die Serie das „Damengambit“ gesehen. Und in dem Moment ging es dann los, als ich gesagt habe, okay, gut, wieso fängst du nicht selber mal wieder an zu spielen? Und in dem Sinne war es die einzige Möglichkeit, mit anderen wieder Kontakt aufzunehmen und zu sagen, lass mal eine Partie spielen. Und so ist das Ganze dann entstanden und seitdem habe ich mich mehr damit beschäftigt als jemals zuvor. #00:04:14-0#

Ingo Lücker: Okay. Du hattest jetzt ja noch nicht die Möglichkeit zum Studium zu diesem Thema. Wie hast du dich oder wie hältst du dich dann auch auf dem Laufenden? Und woher bekommst du denn immer die aktuellsten Informationen? Ist das so ein ständiger Lernprozess, der eigentlich nie aufhört oder wie muss ich mir das vorstellen? #00:04:33-0#

Markus von Pescatore: Genau so ist es. Also das heißt, man ist in ganz, ganz vielen Newslettern angemeldet. Man hat auch häufig Konferenzen, die man besuchen kann von den ganzen Investitionsbanken. Also das heißt, da geht es schon mal los, gibt einen Unterschied zwischen Kreditbanken, Investitionsbanken, Investmentbanken et cetera. Und das heißt, bei den Investitionsbanken, das gibt es bei jedem Bundesland. Es hat unterschiedliche Programme. Und da gehen wir dann regelmäßig zu Veranstaltungen. Dann müssen wir mit den Leuten, die da sind, sprechen und Lösungen finden und Themen besprechen. Und so kriegt man halt das den Input, was haben die gerade vor und was wird gemacht. Auf der anderen Seite lese ich mir zum Beispiel jedes Wahlprogramm durch. Nicht nur, um wählen zu gehen, sondern um auch zu sehen, was wird auf uns zukommen. Also wir werden ganz viel zum Thema Nachhaltigkeit und Energie bekommen, egal wer gewählt wird. Und so wissen wir halt, okay, wir sollten uns mit diesen Themen nochmal mehr auseinandersetzen. So holt man sich sein Knowhow. Oder so wie ich es auch gemacht habe. Man geht zu anderen Beratern und in dem Falle habe ich mir das Knowhow mit eingekauft. Naja. Aber man muss ja trotzdem lernen irgendwo. #00:05:48-0#

Ingo Lücker: Jetzt sind wir ja hier beim IT-Manager-Podcast und Förderungen sind jetzt nicht direkt ein IT-Thema. Aber welche Schnittmengen gibt es hier denn eigentlich, wo, ja ich sage mal, Unternehmen davon profitieren können, gerade auch in ihrer IT zu investieren? #00:06:05-0#

Markus von Pescatore: Ja, es gibt unterschiedliche Schnittmengen. Die eine Schnittmenge ist, dass ein Unternehmen sich IT-Dienstleistungen, zum Beispiel die Implementierung einer Cloud-Struktur, die IT-Sicherheit, die Schaffung von digitalen Geschäftsprozessen zum Beispiel über Formulare, über Genehmigungsprozesse, über, ich sage jetzt mal, das Handwerksunternehmen, das digitalisiert wird, vorher ist man rausgegangen und hat letztendlich auf einem Blatt Papier einen Auftrag gehabt, hat den abgearbeitet, hat ein Foto gemacht. Das war vielleicht auf einer SD-Karte jetzt, früher nicht, und so weiter und so fort. Und heute kann man quasi als Handwerker mit einem Laptop rausgehen, Fotos machen, diese direkt ablegen beim Unternehmen, man kann Prozesse direkt vom iPad oder von einem Surface, was auch immer, direkt starten. Und man verliert die Unterlagen nicht. Man kann digitale Projekt-Akten bei der Baustelle zum Beispiel haben, dass die Subunternehmer, die Bauherren, wer auch immer, drauf zugreifen kann. Man möchte also die Kommunikation zum Beispiel vereinfachen. Es ist schwierig, dass die Hardware gefördert wird. Es gibt die theoretische Möglichkeit. Ja, die gibt es. Aber das ist halt nicht so einfach. Es ist zum Beispiel die eine Schnittmenge, also die Dienstleistungen bei den Systemhäusern. Die zweite Möglichkeit, die es gibt, ist zum Beispiel, dass sogar Systemhäusern oder Software-Unternehmen die Herstellung von Software sich bezuschussen lassen können. Also Beispiel, ich habe hier ein Unternehmen in Berlin gerade. Das erweitert das Team um ungefähr zwanzig Mitarbeiter. Die wollen also ihre eigene Software ausbauen. Das heißt, die programmieren und machen zum Teil auch, ja, künstliche Intelligenz und programmieren Chatboxen und Ähnliches. Die haben so eine Community-Plattform, die sie betreiben und für das Einstellen der Mitarbeiter können sie einen Zuschuss bekommen und da wird es wieder kompliziert, ja, weil die dürfen halt zum Beispiel das zehnfache von den Sachausgaben, die sie haben, als Personalkosten ansetzen. Ist aber in Brandenburg schon wieder anders, da sind es nur das Fünffache und so muss man sich das angucken. Und das heißt, die Personalkosten werden zum Beispiel für einen Mitarbeiter zwischen 30 und 72.000 Euro, also genau genommen 24 und 72.000 in Berlin. In Brandenburg sind es wieder maximal 50.000. Jetzt siehst du schon, wie kompliziert sowas wird, dass dafür zwei Jahre pro Mitarbeiter angesetzt werden. Davon kriegt man dann so vielleicht dreißig Prozent zurück. Lange Rede, kurzer Sinn. Der investiert in ungefähr zwanzig Mitarbeiter und könnte oder kann Pi-mal dauernd eine Million als Zuschuss bekommen dafür, dass es Software programmiert. Warum ist das so in dem Falle? Weil bei Software-Unternehmen in der Regel die Sache Investition sehr gering sind. Das heißt ein Tisch, zwei PCs, drei Bildschirme, das ist jetzt nicht die Rieseninvestition gegenüber den Gehältern. Und deswegen kann man sagen, digitale Geschäftsmodelle, in welcher Form auch immer, sind in Zukunft mit Sicherheit interessant und gegebenenfalls förderfähig. Und die Dienstleistungen von IT-Systemhäusern, sei es wie gesagt die Cloud-Struktur oder, oder, ist genauso grundsätzlich momentan förderfähig. #00:09:24-0#

Ingo Lücker: Ja, wenn wir hier von IT-Systemhäusern sprechen wir natürlich auch von IT-Dienstleistern, weil nicht mehr jedes IT-Unternehmen kategorisiert sich da sicherlich als IT-Systemhaus. Aber genau die passen da auf jeden Fall zu. Da gibt es sehr viele Schnittmengen dazu, gerade die von dir genannten IT-Dienstleistungen, IT-Sicherheit, digitale Geschäftsprozesse fördern zu lassen in den verschiedenen Bereichen. Welche sind denn so die wichtigsten Aspekte bezüglich Förderung, was Unternehmen beachten sollten? #00:09:53-0#

Markus von Pescatore: Die wichtigsten Aspekte sind / Es gibt immer drei Aspekte, die beachtet werden müssen. Nummer eins ist: Ist das Unternehmen, das einen Zuschuss haben möchte, förderfähig? Nummer zwei ist: Ist der Berater, die Agentur, wer auch immer, die die Arbeit jetzt macht, ist das förderfähig? Also der Berater förderfähig? Und das dritte ist: Ist der Gegenstand des Fördervorhabens förderfähig? Das ist die Frage, ja? Ich habe vorhin noch vergessen zu erwähnen, dass zum Beispiel Automation und Webdesign zum Beispiel auch mit gefördert werden kann mittlerweile, eine Erstellung von Webshops et cetera bedeutet also, ein Unternehmen sagt: Ich möchte jetzt eine IT- Struktur oder einen Webshop bauen, der direkt ans Warenwirtschaftssystem angebunden ist und dieses Unternehmen geht jetzt zu einem ITler. Dann könnte es sein, dass entweder das Unternehmen nicht förderfähig ist. Warum? Es ist im falschen Bundesland, es ist in der falschen Branche, es ist vielleicht zu groß, der Jahresumsatz ist zu hoch, die Jahresbilanzsumme ist zu hoch. Es könnte aber auch sein, dass der Berater nicht autorisiert, zertifiziert ist oder dass der Gegenstand, das ist in dem Fall jetzt aber förderfähig, nicht förderfähig ist. Das ist machbar. Also zum Beispiel er will einen Kühlschrank kaufen. Dann wäre das jetzt in dem Moment nicht förderfähig. Bedeutet also, es gibt in der Fördermittelwelt gewisse Sachen, die man beachten muss. Darunter zählt zum Beispiel, dass man kleine und mittelständische Unternehmen fördern möchte und nicht Großkonzerne. Und deswegen wird ein kleines und mittelständisches Unternehmen in der Regel dadurch kategorisiert, dass es eine Anzahl von Mitarbeitern gibt, eine Anzahl oder eine Summe der Bilanzsumme, die erreicht werden darf oder des Jahresumsatzes, um eingestuft zu werden, ja? Also zum Beispiel null bis zehn Mitarbeiter ist ein Kleinstunternehmen. Zehn bis fünfzig Mitarbeiter ist ein Kleinunternehmen. Über 249 Mitarbeiter ist es ein Großunternehmen. Das heißt also, diese Schwellen hat man. Sobald man diese Anzahl überschritten hat, kann es sein, dass man keinen Zuschuss bekommt. Ansonsten würde alles passen. So kleinteilig muss man sich das manchmal angucken. #00:12:10-0#

Ingo Lücker: Hört sich sehr komplex an und ich meine, es ist eine schöne Überleitung zu meiner nächsten Fragestellung auch. Warum sollte man denn eigentlich mit einem Beratungsunternehmen oder mit Experten wie euch zusammenarbeiten? Ich meine, die Komplexität dieses Themas zeigt es eigentlich. #00:12:27-0#

Markus von Pescatore: Unter anderem, ja, man muss sich also angucken, habe ich überhaupt die Chance, ein Jahr Fördermittel zu bekommen? Also ich habe letztens einen Vortrag gehalten und dann hat sich jemand bei mir gemeldet und hat gesagt, bevor wir an die Honig-Töpfe rankommen, lass uns doch erst einmal gucken, meinte ich zu ihm, ob der überhaupt förderfähig ist. Und nach, ich sage jetzt mal, zwanzig Minuten sind wir zu dem Entschluss gekommen, ist er nicht. Und somit war halt die gesamte Arbeit, das gesamte Einholen von Angeboten, die gesamte Hoffnung, einen Zuschuss zu bekommen, der gesamte Aufwand, mit Beratern zu sprechen et cetera war dann in dem Moment eigentlich ad acta gelegt. Das heißt, er konnte dann ganz normal seinen Weg wählen, denn bei Förderungen ist es ja so, man muss in der Regel einen Plan einhalten. Man darf zum Beispiel nicht anfangen, bevor es eine Bewilligung gab. So das heißt also, man stellt zum Beispiel einen Antrag, dann wird dieser Antrag bewilligt. Wenn ich vorher gestartet habe, egal in welcher Form auch immer, ist das gesamte Projekt zum Beispiel nicht mehr förderfähig. Und so gibt es kleine Sachen, auf die man achten muss, die dazu führen können, dass ein Unternehmen den Zuschuss nicht bekommt. Und man muss auch eins sagen, es gibt halt, ich nenne es jetzt mal kleinere Projekte 20.000, 30.000 Euro. Es gibt aber bei den Großprojekten, wenn wir hier eine neue Halle oder Maschine zum Beispiel eine Förderung dafür einholen, dann kann es durchaus sein, dass während man eine neue Halle baut, feststellt, da ist ja noch ein Blindgänger vom Zweiten Weltkrieg und somit das gesamte Projektvorhaben, ja also die Kalkulation ist dann passé. Das heißt also, man muss sich in dem Moment damit auseinandersetzen, was machen wir denn jetzt? Ja, wir werden keine Zeiten einhalten können. Wir müssen jetzt eventuell evakuieren. Wir müssen jemanden kommen lassen. Wir haben mehrere Aufwendungen als gedacht und dann ist es gut, jemanden zu haben, der sich auskennt. Vereinfacht ausgedrückt, wenn ich eine Reise buche ins Ausland, und ich habe null Probleme, dann fällt das ja gar nicht auf. Aber in dem Moment, wo irgendein Flugzeug nicht fliegt, aus welchem Grund auch immer, geht der Stress los. Und das ist bei Fördermitteln genauso. #00:14:39-0#

Ingo Lücker: Das heißt, ihr unterstützt ganz konkret auch bei Antragstellung. Das ist also mit einer der Hauptaspekte auch nicht nur dort zu beraten, sondern vor allen Dingen auch bei solchen Anträgen die Unternehmen zu unterstützen. #00:14:53-0#

Markus von Pescatore: Wir unterstützen. Wir machen also die gesamte Antragsstellung, unterstützen wir bei der Bewilligung, dann geht der ganze Prozess eigentlich los. Also die ganze Arbeit, da unterstützen wir auch. Bei den Großprojekten ist Vergaberecht ein ganz, ganz großes Thema. Theoretisch ist es so, wenn du zum Beispiel eine Halle bauen möchtest und da kommt jetzt der Hallenbauer und möchte die Halle verkaufen und der Kunde kriegt den Zuschuss, dann muss man leider sagen, er muss jetzt ein Vergaberecht für diese Halle machen. Also muss also ein Auswahlverfahren nach einem Vergabeverfahren. Das ist gar nicht so einfach. Das heißt also, das Ganze betreuen wir und begleiten wir und das ist in der IT genauso. Und da drunter muss man sich dann vorstellen, dass es darum geht, dass der ITler die richtigen Rechnungen stellt, dass die Kontoauszüge so richtig sind, dass der Verwendungsnachweis richtig gemacht ist, vorweg überhaupt die Antragsstellung richtig ist et cetera. Ja, das begleiten wir von vorne bis zum Schluss. #00:15:47-0#

Ingo Lücker: Super. Jetzt hattest du vorhin einen der Aspekte genannt, dass auch der Berater förderfähig sein muss. Ich weiß jetzt, es gibt bestimmte Förderungen wie „go-digital“. Da muss man tatsächlich für auch akkreditierte Partner sein. Auch bei solchen Akkreditierungen unterstützt ihr? #00:16:06-0#

Markus von Pescatore: Ja, das machen wir. Der Hintergrund der Geschichte ist, und das hat mir bei der letzten Frage gehabt, wir sprechen hier immer von Steuergeldern. Das bedeutet also, der Staat sagt, und jetzt möchte ich niemandem zu nahetreten, tagsüber irgendwas anderes, abends ITler. Geht nicht, ja? Er möchte halt, dass wenn das Unternehmen sagt, ich möchte einen Zuschuss von zum Beispiel 15.000 Euro bekommen, nur Zuschuss, was bei fünfzig Prozent an einem Projekt Summe von 30.000 Euro ergibt. Wenn wir diese 15.000 Euro jetzt mehrmals rausgeben, dann möchten wir, dass das IT-Unternehmen ein vernünftiges IT-Unternehmen ist. Und das heißt, man muss dann zum Beispiel zu diesen Förderstellen gehen, einen Papierkram ausfüllen, wer bin ich? Was mache ich? Hier sind Referenzen. Damit ist nicht gemeint. Hier ist ein Logo, was ich mal betreut habe. Hier sind Bilanzen. Ihr könnt euch angucken. Mir geht es ganz gut. Ich kann das Unternehmen oder ich kann den Unternehmern helfen. Und deswegen möchte ich bei euch quasi akkreditiert werden. Und es gibt Förderstellen, da muss man akkreditiert sein und es gibt welche, da muss man es nicht. Aber daran erkennt man auch schon das Problem des Alltags, ein Unternehmen kommt auf mich zu und sagt, ich möchte ein Programm nutzen. Ich habe hier einen ITler. Markus, bitte macht das fertig. Und dann muss ich sagen, leider ist dein ITler nicht akkreditiert. Das Programm kannst du nicht nutzen. Also theoretisch schon. Da sind wir wieder bei dem Thema, das Beratungsunternehmen ist nicht akkreditiert. Das Unternehmen, was die Förderung haben möchte, das wäre förderfähig. Das Vorhaben ist förderfähig und somit funktioniert das wieder nicht. #00:17:44-0#

Ingo Lücker: Okay, ja, gut zu wissen dort. Und einer der Fragen, die häufig auch in den letzten Monaten auf mich zugekommen ist, die ich so gar nicht beantworten konnte. Wie häufig kann man als Unternehmen eigentlich Förderungen in Anspruch nehmen? Also häufig gibt es ja so kleine Klauseln, die man dann mit einhaken muss. Und wenn ich jetzt so eine Förderung, meinetwegen wie „go-digital“ oder eine andere Förderung in Anspruch genommen, kann ich die mehrmals in Anspruch nehmen? Ist das nur einmalig? Können diese Dinge auch miteinander kombiniert werden? Wie muss ich mir das als Unternehmen vorstellen? #00:18:17-0#

Markus von Pescatore: Also grundsätzlich können die gesamten Zuschüsse kombiniert werden. Das muss man sich so vorstellen, es gibt Fördertöpfe, die unterliegen der sogenannten De-minimis-Erklärung und manche nicht. De-minimis ist also die kleinen Beihilfen. Bedeutet, dass wir, wenn wir nicht gerade im Straßengüterverkehr tätig sind, 200.000 Euro als Zuschuss bekommen dürfen. Bedeutet, dass die Förderstellen sagen, wir wollen ja Unternehmen unterstützen und fördern. Ich komme gleich dazu, wie das Ganze mal entstanden ist. Aber wir wollen halt nicht ein Unternehmen extrem stark fördern gegenüber dem anderen. Das heißt, wir wollen eine Grenze von zum Beispiel 200.000 Euro einführen und das ist der Zuschuss, den er bekommen darf. So bedeutet, dass sobald diese 200.000 Euro erreicht sind in einem rollierenden System, also das geht alle zwei, drei Jahre nochmal neu los, dann kann man wieder andere Sachen beantragen, kann man unterschiedliche Förderung beantragen. Deswegen gibt es manchmal so einen Beihilfe-Wert, der genannt wird, der eingetragen werden muss, damit die nämlich sehen können, bei einer Antragstellung haben wir diese 200.000 Euro erreicht. Es gibt aber Fördertöpfe, wie zum Beispiel beim Bau von Hallen und Maschinen, da unterliegt man nicht der De-minimis- Regelung, da kann man durchaus zwei, drei, vier, fünf, zehn Millionen als Zuschuss bekommen. Da gibt es diese Grenze von 200.000 Euro nicht. Und das heißt also, du hast vorhin „go-digital“ genannt. Man kann bei gewissen Förderstellen häufig mehrere Anträge stellen. Man hat aber eine Höchstsumme. Also man darf zum Beispiel bei „go-digital“ 16.500 Euro maximal Zuschuss bekommen. Wenn ich also ein Projekt habe von, sagen wir, 5.000 Euro, und ich kriege 2.500 wieder, dann habe ich nicht 16.500 verwendet, dann kann ich noch mehr Anträge stellen. Jetzt sieht man aber wieder, wie wichtig es ist, jemanden wie einen Berater zu haben, der sich da drin auskennt. Der würde nämlich sagen, wenn das jetzt jemand vorhat, würde ich sagen, pass auf, stand jetzt wird Ende des Jahres der Topf beendet, du hast keine Zeit mehr, zwei Anträge zu stellen. Du musst dich jetzt entscheiden. Mach einen oder keinen, weil es ansonsten nicht mehr machbar sein wird. Er wird es von der Zeit her nicht schaffen. Man kann auch Projekte in unterschiedlichen Förderstellen unterkriegen. Also es gibt ja mehr als „go-digital“. Und wenn man sagt, das eine Projekt ist zum Beispiel die Einrichtung von Homeoffice, dann kann man das unter einem Projekt unterbringen. Und das andere Projekt ist meinetwegen die automatisierte Geschäftsprozesse, die erstellt werden müssen mit den Formularen et cetera. Dann ist das ein zweites Projekt, was unter einem anderen Fördertopf förderfähig ist. Auf der anderen Seite muss man sagen, es gibt auch viele Beratungstöpfe. Das heißt, in der Regel wird ja ein IT-Mitarbeiter erst oder ein IT-Berater erst einmal ja klären müssen mit dem Unternehmen, was möchtest du hier überhaupt haben? Und das heißt, wir müssen eine Differenzierung unter Beratung und Implementierung machen. Das heißt, in der Regel kann man erst einen Beratungstopf zum Beispiel nutzen und danach einen Implementierungstopf. Solange das sauber dokumentiert wird, gibt es eigentlich kein Problem, ja? Das Ganze entsteht dadurch, ganz kurz nur, ist, wie kann man sich eine Förderung vorstellen? Das ist ja mal eine Frage, wie ist das Ganze entstanden? Weil das gibt es schon seit dem Zweiten Weltkrieg, also nach dem Zweiten Weltkrieg. Und man muss sich das so vorstellen. Vereinfacht ausgedrückt sage ich immer, stellt euch vor, da ist ein Politiker und er trommelt auf der Brust, sagt Uga Uga. Ich möchte die Welt verändern. Dann möchte ich dazu zum Beispiel Maßnahmen treffen. Und diese Maßnahmen würden wir nicht machen, es sei denn, es wird finanziell unterstützt. Beispiel, wir sind jetzt, keine Ahnung wie viele Jahrzehnte, mit Benziner gefahren oder Diesel und jetzt möchte, und dieser Unterhaltung möchte ich dann nicht beitragen, ob es sinnvoll ist oder nicht, jetzt möchte man auf jeden Fall Elektroautos an den Mann bringen. So, bedeutet, die meisten würden es jetzt nicht machen. Warum nicht? Weil wir nicht genügend Infrastruktur haben. Also wir haben nicht Ladesäulen, die Autos fahren nicht lang genug et cetera. Man möchte das aber unbedingt haben. Also wird es zum Beispiel mit einem Zuschuss des Staates des Bundes letztendlich begünstigt. Und das heißt, es wird halt attraktiv, Finanzielles zu machen. Und siehe da, die Leute fangen an, sowas zu machen. Und das ist eigentlich Sinn und Zweck der Geschichte von Förderungen. Man möchte gewisse Maßnahmen, die man von der Gesellschaft erwartet, dadurch pushen. Deswegen wird definitiv in Richtung Elektromobilität, in Richtung Energie, in Richtung Photovoltaik, in Richtung Nachhaltigkeit wird es definitiv in Zukunft mehr geben. Warum? Weil das politisch gewollt ist. #00:23:04-0#

Ingo Lücker: Auf jeden Fall ein sehr, sehr spannendes Thema und auch wie vorhin von mir schon gedacht, sehr komplex. Ich möchte nicht sagen kompliziert, aber sehr komplex. Sicherlich auch, sich über die ganzen Dinge immer auf dem Laufenden zu halten und immer up to date zu sein. Auch wie lange welches Programm geht und so weiter. Aber da ist man ja bei euch in guten Händen. Wenn ein Unternehmen so eine Förderung vorhat, dann kann man ihm da eigentlich nur die Empfehlung geben, er sollte dort auf seinen IT-Dienstleister vor allen Dingen, gerade wenn es IT-Themen sind, zugehen und fragen auch tatsächlich, ob diese Projekte dann gefördert werden können und ob der IT-Dienstleister dazu unterstützen kann. IT-Dienstleister selber, die dazu Hilfe benötigen, die können sich direkt an euch wenden auch? #00:23:51-0#

Markus von Pescatore: Die können sich direkt an uns wenden. Das ist kein Problem. Gerne darf ich aber Werbung machen, nuviu.de. Sonst muss es rausschneiden. Grundsätzlich ist es so, dass wir natürlich einen erhöhten Andrang seit Corona haben. Man muss fast sagen, vor Corona war es so, dass vor allem in den neuen Bundesländern war Förderung sehr bekannt. Da gab es auch einige, die gesagt haben, ohne einen Zuschuss mache ich dieses Vorhaben nicht. Was ich persönlich, für nicht gut halte, heißt aber nicht, dass sie das alle gemacht haben. Bitte nicht falsch verstehen, es waren Vereinzelte. In den alten Bundesländern war das häufig so, dass man erklären musste, es gibt Förderungen, das ist auch legal und das darf man alles machen. Da war noch so ein bisschen, ich habe das nicht nötig. Und dank Corona, kann man in Anführungsstriche sagen, ist die Hemmschwelle auf null gefallen. Und das heißt, jeder möchte gerne einen Zuschuss bekommen. Und auf der anderen Seite ist es so, dass es für das IT-Unternehmen durchaus relevant ist, ob man dem Kunden sagt, hey, bei uns bekommst du das und kostet dich dann 30.000, 15.000, ist auf jeden Fall ein Verkaufsargument. #00:25:00-0#

Ingo Lücker: Ja, das auf jeden Fall. Und ich finde es immer, es ist wichtig für alle anderen Unternehmen zu wissen, dass es diese Förderungen gibt, dass es diese großen Töpfe da gibt und dass man auf jeden Fall abklären sollte, was dort möglich ist, ja? Selbst wenn man es dann nachher nicht in Anspruch nimmt. Du hast eben schon die Webseite genannt nuviu.de. Also N U V I U Punkt D E. Ansonsten wie können Unternehmen, die dazu Hilfestellung benötigen, sich an euch wenden? Welche Telefonnummer, E-Mail-Adresse macht dort Sinn? #00:25:31-0#

Markus von Pescatore: Telefonnummer? Wenn ich ehrlich bin, weiß ich jetzt gerade die eigene nicht auswendig. Interessant aber wahr. #00:25:37-0#

Ingo Lücker: Die von der Homepage. #00:25:38-0#

Markus von Pescatore: Die von der Homepage einfach nutzen, ja. #00:25:40-0#

Ingo Lücker: Also 030948520761 und sonst per E-Mail dann an info@nuviu.de. #00:25:50-0#

Markus von Pescatore: Genau nuviu kommt von New View mit ein bisschen Slang. Deswegen nuviu.de. #00:25:57-0#

Ingo Lücker: (Lacht) Ja, sehr gut. Perfekt. Ja Markus, total interessant und spannend. Und ich danke dir hier für die Zeit, für das Interview. #00:26:08-0#

Markus von Pescatore: Gerne. #00:26:09-0#

Ingo Lücker: Und würde mich natürlich freuen, wenn das ein oder andere Unternehmen da ja auch auf euch zukommt, wenn die Hilfestellungen benötigen. #00:26:15-0#

Markus von Pescatore: Gerne. Ich würde sonst noch auf eine Frage, die mir häufig gestellt wird, eingehen wollen. #00:26:18-0#

Ingo Lücker: Sehr gerne. #00:26:20-0#

Markus von Pescatore: Und zwar die Frage: Wenn ich eine Bewilligung bekomme, kann ich mit der Bewilligung mit dem Zuschuss dann rechnen? Wird ja häufig gerne auch gestellt. Und das bedeutet, in der Regel ist es so, wenn ich eine Bewilligung habe, wird dieses Geld für mich hintenrum freigeschaufelt. Das heißt also, man muss nicht nur darauf achten bei Förderungen, wann Beginn und Ende ist der Fördertöpfe, wann sowas enden kann. Deswegen gibt es übrigens keine Software. Häufig werde ich gefragt, gibt es nicht eine Software, wo ich meine Daten eingeben kann, mein Vorhaben eingeben kann und dann spuckt die mir aus, ob das förderfähig ist oder nicht. Weil eins der Themen ist, wie viel Geld gibt es noch im Topf? Und das hat man zum Beispiel bei den Soforthilfen gesehen, wie wichtig das war, dass man gesagt hat Ja, grundsätzlich ist eine Hilfe da, aber wenn es nicht da ist, das Geld, dann ist es halt nicht da. Und es gibt halt viele Töpfe, die funktionieren nach dem Windhund-Prinzip. Das heißt also, wer zuerst kommt, mahlt zuerst. Wenn ich aber eine Bewilligung habe, heißt es, dass intern das Geld für mich dafür beiseitegelegt wurde. Und es bedeutet, dass dieser Zuschuss, der da ist, in der Regel ausgezahlt wird, es sei denn, ich mache jetzt keine IT-Struktur, die ich bauen wollte, sondern ich mache jetzt Kühlschrank kaufen, sondern das heißt, ich muss ja nachweisen, was habe ich da gemacht. Das muss man einfach wissen, dass viele denken, sobald der Antrag bewilligt ist, ist die Arbeit ja erledigt. Nein, dann geht die Arbeit erst los. Das bedeutet, ich muss die gesamte Arbeit, die gemacht wird, dokumentieren. So was machen wir, ja. Und das heißt also, man muss dann angeben, was war mit dem Vorhaben geplant und was haben wir erreicht. Und wenn das kongruent ist, also übereinstimmend ist, dann wird letztendlich der Zuschuss bezahlt, aber man kann davon ausgehen, wenn man eine Bewilligung hat, dass dieses Geld für einen beiseitegelegt wird. Kann ich mehr Geld bekommen, als mir bewilligt wurde? Nach dem Motto, ich habe ein Projekt für 15.000 angegeben und es hat dann nachher doch 17.000 gekostet. Nein, kann ich in der Regel nicht. Muss man eher mittendrin kommunizieren und vielleicht kriegt man da ein bisschen mehr. In der Regel aber nicht. Andersherum ist es machbar. Ich habe für 15.000 beantragt und ich habe nur 13.000 genutzt. Dann ist das in der Regel kein Problem. In der Regel kein Problem. Wenn ich sage, ich beantrage zwei Millionen und nutze nachher nur 200.000, dann wird das ein Problem. Aber deswegen ist es wichtig, dass man sowas nochmal weiß. Wichtig ist einfach nur, zu erklären, die Bewilligung heißt nicht, die Arbeit ist getan. Das ist der große Unterschied zu Finanzierung. Wenn ich zur Bank gehe und einen Businessplan schreibe und den abgebe und der Bänker sagt: Du kriegst dein Geld, hier ist dein Kreditvertrag, ich unterschreibe den, dann brauche ich in der Regel, wenn es ein ganz normaler Bankvertrag ist, brauche ich ja keinen Verwendungsnachweis, muss also nicht nachweisen, was ich dafür gekauft habe. Bei Förderung schon. Das Ganze zählt übrigens auch für die ganzen KfW-Anträge und so weiter. Sobald ich ein Darlehen habe und angeben will, was ich damit machen möchte, muss ich nachher nachweisen, was ich damit gemacht habe. Das ist einfach wichtig zu wissen. Das heißt also, die Arbeit geht häufig damit los, dass die Bewilligung da ist. Die ist dann nicht beendet, sondern da geht eigentlich die Grundarbeit los. Und wenn man so Großprojekte hat, dann geht da die wirklich große Arbeit erst los. Aber man muss zum Beispiel für Personalkostenzuschüsse muss man mit der Lohnbuchhaltung sprechen, dann muss man Mittelabrufe machen, dann muss man es darstellen. Was ist, wenn ich Personal einstellen wollte, es aber nicht eingestellt habe? Wie kann ich das nachweisen, dass ich einen Mitarbeiter haben wollte? Also das sind Fragen, die dann kommen, bei der ich einfach sagen kann, wenn man alleine unterwegs ist, das wäre so, als würde ich mit der wenigen Ahnung, die ich habe, sagen: Ich möchte eine IT-Struktur aufbauen. Es funktioniert halt einfach nicht, ja? Habe ich auch schon mal versucht. Hat nicht geklappt. (beide lachen) Also ja natürlich. Also kann ich sagen, seitdem mache ich sowas auch nicht mehr. Also ich gehe dann immer mittlerweile, ich bin ja selber Unternehmer zu Leuten, bei denen ich weiß, die wissen das und das kostet mich halt Geld. Aber ich kriege dafür ein vernünftiges Ergebnis und dann, wenn ich halt alles selber machen möchte in meinem Leben, habe ich das Problem. Ich habe gar nicht so viel Zeit in meinem Leben, um alles zu lernen, was ich später nutzen möchte. Und deswegen gehe ich dann zu Leuten, die es können, gib denen Geld und krieg dafür ein vernünftiges Ergebnis. #00:30:44-0#

Ingo Lücker: Naja. Cool, das war noch ein ganz, ganz wichtiger Aspekt. Vielen Dank, dass du den noch ergänzt hast, denn das ist natürlich auch immer wichtig zu beachten bei solchen Themen auf jeden Fall. Cool. Ja dann vielen Dank, lieber Markus. Und dann hoffe ich, dass wir uns schon bald wiedersehen. #00:31:01-0#

Markus von Pescatore: Gerne. Ebenso viele Grüße nach unten und freue mich von IT League immer gerne zu hören. #00:31:07-0#

Ingo Lücker: Ja, sehr gerne. Bis bald. Tschüss. #00:31:10-0#

Markus von Pescatore: Tschüss. #00:31:11-0#

Willkommen beim IT-Manager Podcast. Aktuell IT-Themen vorgestellt und erklärt. Abonniere den IT-Manager Podcast über Apple, Spotify oder auf unserer Website. Folge uns bei YouTube, Facebook, Instagram oder Twitter. #00:00:18-1#

Herzlich Willkommen beim IT-Manager Podcast. Mein Name ist Ingo Lücker, ich bin Gründer und Geschäftsführer der ITleague GmbH. Und ich freue mich, dass Sie wieder eingeschaltet haben. Ja, heute und auch natürlich in der nächsten Folge geht es um das Thema der staatlichen Förderungen. Staatliche Förderungen, das schwirrt immer so ein bisschen, ja, in der Gegend herum im Prinzip von Begrifflichkeiten her oder auch einfach nur Förderungen. Und diese staatlichen Förderungen gibt es natürlich in den verschiedensten Bereichen. Viele kennen das sicherlich schon aus den Förderungen für die, ja, Solarkraftanlagen und Solarpanels auf den Dächern, aber auch viele andere Dinge. Und staatliche Förderungen in der IT gibt es schon sehr lange, und im Moment nicht nur aufgrund von Corona natürlich auch die verschiedensten Fördertöpfe, die dort zur Verfügung stehen. Doch nicht jeder Unternehmer und nicht jedes Unternehmen setzt sich wirklich mit diesen Förderungen, ja, auseinander. Denn häufig geht es bei diesen Förderungen auch darum, dass man natürlich - ich sage mal - sich selber als Unternehmen so ein bisschen nackig machen muss, was die Unternehmenskennzahlen angeht, und natürlich auch, dass damit ein gewisser bürokratischer Aufwand verbunden ist, Projekte, die gefördert werden sollen, dass diese aufbereitet werden, dass diese entsprechend angefragt werden et cetera. Und deswegen ist es immer wieder so ein Punkt, mit dem sich Unternehmen und Unternehmer, ja, wenig auseinandersetzen. Wir möchten dazu ganz gerne ein bisschen mehr Aufklärungsarbeit leisten. Und, ja, die Besonderheiten von Förderungen ist vor allen Dingen, im ersten Stepp muss immer mal geklärt werden: Ist das Unternehmen denn überhaupt förderfähig? Also wie groß ist das Unternehmen? Wie viel Mitarbeiter beschäftigt es? Aber auch, welcher Umsatz wird erzielt? In welcher Branche ist ja auch das Unternehmen tätig? Und (lacht) vor allen Dingen natürlich auch, nicht zu vergessen: In welchem Bundesland ist das Unternehmen ansässig? Und hat das Unternehmen in den letzten Jahren schon mal Förderungen in Anspruch genommen? Und neben dem Aspekt, ob das Unternehmen förderfähig ist, ist dann auch immer noch der Part wichtig, ob das beratende Unternehmen förderfähig ist. Also für gewisse Fördertöpfe muss nämlich der Dienstleister, der dann ja im Prinzip das beim Unternehmen einrichtet, das Projekt oder die Dinge anliefert, selbst dafür akkreditiert sein. Und, ja, ohne so eine erfolgreiche Akkreditierung ist dann halt auch eine Förderung für bestimmte Fördertöpfe nicht möglich, ne? Ja, und neben diesen beiden Aspekten ist dann auch noch der Punkt des Fördervorhabens, zu klären, ob das förderfähig ist. Also sollen Dinge angeschafft werden? Geht es hier nur um Beratungsleistungen? Da muss halt sehr, sehr genau drauf geachtet werden. Und dass ist natürlich auch verschiedene Fördertöpfe gibt, also einmal die Bundesebene, die Landesebene und auch einige Spezialförderungen, manchmal sogar rein auf gezielte Städte bezogen. Ich freue mich sehr darüber, dass wir sehr viel detaillierter in dieses Thema einsteigen, wenn es für Sie denn spannend ist, dort mehr Details drüber zu erfahren. Wir haben dazu in unserer nächsten Folge den Markus von Pescatore von den Nuviu aus Berlin im Interview dazu, der uns viel detaillierter über die, ja, Dinge zu Förderungen - was ist wichtig, was ist zu beachten, und an wen kann man sich dann auch wenden, wenn man hierzu Hilfestellung benötigt - / Ich freue mich schon ganz riesig auf das Interview. Und, ja, wenn Sie Fragen dazu haben, dann kommen Sie gerne auf uns zu oder auf den Markus von Pescatore beziehungsweise hören Sie gerne auch in das Interview von uns beiden rein. Ich freue mich auf Sie. Bis dann. #00:04:05-8# 

Ingo Lücker: Herzlich Willkommen beim IT-Manager-Podcast. Mein Name ist Ingo Lücker und ich freue mich riesig darauf, dass ich heute Fabian Alfes von der connecT SYSTEMHAUS AG zu Gast habe im Interview zum Thema Microsoft Teams zum Einsatz in Unternehmen. Und ja, ich freue mich sehr auf das Interview. Somit starten wir direkt ein. #00:00:38-4# 

Ingo Lücker: Herzlich willkommen lieber Fabian. Ich freue mich sehr, dass du Zeit gefunden hast und hier uns heute für ein Interview auch zum IT-Manager-Podcast zur Verfügung stellst. Stell dich doch einmal den Hörern vor. Was hast du früher so gemacht? Wo kommst du her? Wie bist du jetzt in deinen Fachbereich eigentlich auch und zum Thema Microsoft Teams, worum es ja heute gekommen? Erzähl doch ein bisschen dazu. #00:01:02-8# 

Fabian Alfes: Ja, hallo Ingo. Erstmal danke schön, dass du mich eingeladen hast, dass ich dabei sein darf. Mein Name ist Fabian Alfes. Ich bin 29 Jahre alt und Senior IT Consulting bei der connecT SYSTEMHAUS AG. Ich bin bei uns verantwortlich für den Bereich Cloud und Kollaboration. Und dazu gehört dann eben auch ausdrücklich alles rund um Office 365 und damit auch Microsoft Teams dazu. Ich mache das Ganze seit fünf Jahren bei uns, habe vorher in Dortmund Informatik studiert und, ja, bin letztlich schon immer sehr technisch interessiert gewesen, habe mich in meiner Freizeit viel damit beschäftigt. So war eigentlich, sage ich mal, mal der Weg für mich da sehr vorbestimmt, dass es so in die Richtung gehen würde. Und ja, bin auch eigentlich von Anfang an, also seit ich im Beruf bin, auch vorher schon immer sehr interessiert an Microsoft-Lösungen gewesen und habe da eben das Glück, dass ich bei der Connect mich in dem Bereich immer weiterbilden durfte, habe viele Schulungen besuchen können. Und wenn man im Microsoft-Bereich unterwegs ist, dann kommt man natürlich auch am Thema Office 365 nicht vorbei. So ist das quasi ganz automatisch passiert und ja, ist aber mittlerweile letztlich auch mein Spezialgebiet geworden. #00:02:15-8# 

Ingo Lücker: Ja, cool. Hört sich klasse an. Wenn du neben den ganzen Themen, die du gerade genannt hast, den ganzen beruflichen Themen, wie sieht es denn da im Privaten aus? Ja, ist da überhaupt noch Zeit für Privates und für Hobbys? #00:02:29-3# 

Fabian Alfes: Doch definitiv. Also mir ist eigentlich Sport immer wichtig gewesen. Ich habe da ganz viele verschiedene Sachen ausprobiert, bin eine Zeit lang Bouldern gewesen. Das hatte ich neu für mich entdeckt. Das war dann natürlich zur Corona-Zeit jetzt im letzten Jahr alles ein bisschen schwieriger. Da habe ich eher versucht mich zu Hause fit zu halten. Aber genau, dann mit ein paar Kollegen tatsächlich angefangen zu Corona-Zeit nochmal Age of Empire zu spielen. Das ist ein Echtzeit-Strategiespiel. Das machen wir so einmal die Woche, treffen wir uns da abends und spielen eine Runde oder zwei. Genau, aber gerade zuletzt, ich bin vor Kurzem Vater geworden. Und deswegen geht jetzt gerade letztlich jede freie Minute irgendwo in die Familie. #00:03:09-7# 

Ingo Lücker: Ja, das ist ja eine ganz neue Welt dann zu Hause, ne? #00:03:13-3# 

Fabian Alfes: Ja, genau. #00:03:14-6# 

Ingo Lücker: Ja, cool. Ja, und an die eine oder andere Laufrunde mit dir kann ich mich ja noch gut erinnern an der Siegarena, von daher. #00:03:20-2# 

Fabian Alfes: Ja, genau. #00:03:21-7# 

Ingo Lücker: Sobald das Wetter wieder schöner wird, hat man da ja auch weniger Schweinehund, der dahinter hängt. #00:03:26-3# 

Fabian Alfes: Richtig. #00:03:27-3# 

Ingo Lücker: Sehr gut. Ja wie hältst du dich denn eigentlich auf dem Laufenden zu den aktuellen Themen, gerade was Microsoft Teams angeht? Woher bekommst du so deine Information als Experte, um da auf dem Laufenden zu bleiben? Weil ich bekomme ja auch mit, Teams entwickelt sich ja irgendwie ständig weiter. Ich meine, Updates gibt es für viele Anwendungen und Lösungen. Aber bei Teams kann man ja gefühlt im Wochentakt mit neuen Funktionen und Verbesserungen rechnen. Da ist natürlich immer spannend, wie hältst du dich da auf dem Laufenden, um da auch wirklich am Ball zu bleiben? #00:03:58-4# 

Fabian Alfes: Ja, also das mache ich einmal ganz klassisch letztlich über den Newsletter von Microsoft. Da wird man über anstehende Änderungen immer informiert, meist auch ein paar Monate im Voraus, dass man sich so ein bisschen drauf einstellen kann, vielleicht Schulungsmaterialien und so weiter daraufhin abstimmen kann. Natürlich in der heutigen Welt geht ganz viel auch über Social Media, wo man den entsprechenden Kanälen folgt, gerade auch den MVPs auf dem Bereich. Haben wir in Deutschland zum Beispiel den Alexander Eggers. Dem folge ich. Da ist man auch immer mal wieder im engeren Kontakt, kann man eine direkte Frage platzieren. Und ansonsten halt eben über diverse Schulungen, die ja auch letztlich laufend aktualisiert werden, kann man da ganz gut auf dem Laufenden bleiben. #00:04:44-9# 

Ingo Lücker: Ja, cool. Ja, Microsoft Teams ist ja heute unser Thema. Es ist ja durch Home-Office im Prinzip in den letzten Monaten und auch im letzten Jahr durch die Decke geschossen. Was meinst du, was war der Grund dafür? Warum ist gerade Microsoft Teams da so sehr von den Unternehmen ja genommen worden und wurde so sehr dafür genutzt, um mit den Mitarbeitern untereinander zu kommunizieren? #00:05:11-0# 

Fabian Alfes: Also Microsoft hat es den Unternehmen einmal sehr einfach gemacht. Microsoft hatte relativ schnell im letzten Jahr ja reagiert und Teams-Lizenzen erstmal sehr großzügig kostenlos zur Verfügung gestellt. Und so Unternehmen natürlich diese Entscheidung erstmal sehr einfach gemacht, das dann auszuprobieren. Ich denke, viele Unternehmen sind sowieso sehr in der Microsoft-Welt unterwegs, was die Server-Landschaft angeht, was irgendwie Outlook, Exchange und so weiter angeht. Deswegen ist, denke ich, da für viele Unternehmen der Schritt erstmal sehr naheliegend gewesen, auch da auf die Microsoft-Lösung zu setzen. Zum Anderem war natürlich im letzten Jahr einfach die Notwendigkeit da für die Unternehmen plötzlich, sage ich mal, irgendwie sehr viel mobiler zu arbeiten als es vorher notwendig war. Und das hat natürlich für Microsoft Teams einen sehr großen Aufwind erstmal bedeutet. #00:06:03-8# 

Ingo Lücker: Ja klar, verständlich auf jeden Fall. Für die Hörer, die sich unter Microsoft Teams jetzt noch nicht sowas vorstellen können, was ist Microsoft Teams denn eigentlich? Denn häufig wird es ja auch schnell mal mit Zoom und anderen Videokonferenzen in einem Satz oder in einem Bericht genannt. Doch Microsoft Teams ist ja dann doch deutlich mehr. Vielleicht kannst du da mal so einen kleinen Überblick dazu geben, was man sich unter Microsoft Teams vorstellen kann und was damit auch machbar ist. #00:06:36-7# 

Fabian Alfes: Genau, also der Einstieg für ganz viele in Teams ist ja genau das, was du beschrieben hast. Das ist irgendwie ein Tool. Da kann man mit chatten. Da kann man Videokonferenzen mit machen, innerhalb vom Unternehmen, auch mit Externen. Das ist so der erste Berührungspunkt und damit kratzt man aber genau wie du sagst letztlich an der Oberfläche von dem, was in Teams möglich ist. Also Teams ist letztlich das zentrale Kommunikations-, Kollaborationstool für Unternehmen. Die letztlich ja so die interne E-Mail letztlich überflüssig machen kann. Man kann sehr schön sich strukturieren in verschiedene Bereiche des Unternehmens, Prozesse integrieren. Es gibt von Drittanbietern unheimlich viele Apps, ich glaube, es sind mittlerweile über tausend Drittanbieteranwendungen, die sich in Teams integrieren lassen. Und ja, das Ganze geht halt bis zur Telefonie. Also ich kann letztlich meine Festnetztelefonie auch nach Microsoft Teams telefonieren und bin damit mit meinen Geräten überall flexibel auf meiner klassischen Festnetztelefonnummer erreichbar. #00:07:45-7# 

Ingo Lücker: Das hört sich sehr umfangreich an, tatsächlich auch was diese Funktion angeht. Und du hast gerade auch die Telefonie schon angesprochen. Das bedeutet, man hat dann tatsächlich auch die Möglichkeit aus Microsoft Teams heraus direkt zu telefonieren. Wie muss ich mir das vorstellen? Muss ich eine neue Telefonnummer haben oder wie muss ich mir das vorstellen, dass ich dann aus Teams heraus telefonieren kann tatsächlich über das normale Festnetz ja eigentlich, ne? #00:08:14-5# 

Fabian Alfes: Genau, da gibt es prinzipiell zwei Möglichkeiten für. Die eine Möglichkeit ist, dass letztlich Microsoft der Provider wird. Das heißt, ich mache am Ende des Tages eine Portierung meiner Rufnummer von der Telekom, Vodafone, was auch immer, zu Microsoft hin und zahle dann auch meine Minutenpreise an Microsoft. Der erstmal einfachere Weg, technisch nicht ganz so aufwendige, wäre der, dass ich letztlich meinen Telefonanbieter behalte und über einen SBC, über einen Session Border Controller die Rufnummern dann umleite in Microsoft Teams rein. Dann habe ich meinen Provider, an den ich meine Minutenpreise oder meine Flatrate bezahle. Und es klingelt aber dann eben am Ende des Tages mein Teams, sodass ich letztlich keine neue Telefonanlage brauche, aber in vielen Fällen einen zu Microsoft Teams kompatiblen Session Border Controller benötige. #00:09:11-6# 

Ingo Lücker: Habe ich dann dadurch auch den Vorteil tatsächlich, dass, wenn ich dann in so einem Telefonat über Teams bin, bin ich auch über anderem Wege in Teams gerade nicht mehr erreichbar? Das heißt, ich habe dann da tatsächlich auch den Status, dass ich eben gerade belegt bin, weil ich dann über eine andere Telefonieverbindung tatsächlich gerade besetzt bin? #00:09:29-2# 

Fabian Alfes: Genau. Der Teams-Status wechselt dann, am Telefon oder im Telefonat oder sowas heißt der Status. Genau, ist dann für die Kollegen auch sichtbar und in dem Moment bin ich dann auch quasi besetzt für weitere Anrufe. #00:09:41-9# 

Ingo Lücker: Cool. Und ist Teams tatsächlich nur eine Lösung, die in einem Unternehmen nur Verwendung findet, oder habe ich hier auch die Möglichkeit mit anderen Unternehmen unternehmensübergreifend zusammenzuarbeiten? Wie muss man sich das mit Teams vorstellen? #00:09:57-2# 

Fabian Alfes: Genau, sowohl als auch. Also es geht auch übergreifend. Natürlich gilt das auf jeden Fall erstmal für die Videomeetings, wo ich ja letztlich beliebige Gäste einladen kann. Die Gäste, die ich in Videomeetings einlade, die brauchen nicht mal selbst ein eigenes Teams. Die können also auch ganz anonym zum Beispiel über den Browser teilnehmen. Aber auch, wenn man jetzt, sage ich mal, die namensgebenden Teams und Kanäle innerhalb der Anwendung betrachtet, ist es auch da möglich, dass ich Gäste einlade und dort gemeinsam zusammen arbeite an Dokumenten, Kommunikation stattfindet. Es ist also sehr flexibel auch unternehmensübergreifend einsetzbar. #00:10:39-2# 

Ingo Lücker: Du hattest vorhin gesagt, Microsoft hat es ja den Unternehmen sehr einfach gemacht, weil Microsoft Teams vor allen Dingen im letzten Jahr kostenlos angeboten wurde und man es kostenlos nutzen kann. Gibt es eine Grundvoraussetzung, sowas wie, ich sage mal, Microsoft Exchange Online? Also es gibt ja immer noch Unternehmen, die haben ja auch ein Exchange noch lokal, also On Premise stehen. Wie sehen da die Voraussetzungen für die Unternehmen aus, dass die die Funktionalität von Microsoft Teams auch ja möglichst umfangreich nutzen können? #00:11:17-2# 

Fabian Alfes: Ja, also um, ich sage mal, das Ganze sinnvoll zu nutzen, ist es natürlich sinnvoll, dass man grundsätzlich in der Office-365-Welt schon mal drin ist. Darüber läuft eben die Benutzerverwaltung, die Lizenzierung läuft darüber ab. Und ich würde schon empfehlen, dass man auch den E-Mail-Server aus der Microsoft Welt hat, dass man also einen Exchange-Server betreibt. Es gibt ja auch weitere E-Mail-Server. Das geht trotzdem. Aber man verliert sehr viel Funktionalität und das macht das hier und da dann doch komplizierter als es sein müsste. Also ganz klare Empfehlung wäre, dass man einen Exchange-Server betreibt. Wenn man den selber in der eigenen Infrastruktur betreibt, dann würde ich zumindest empfehlen eine Hybridstellung herzurichten zwischen dem Exchange Online und dem eigenen Exchange. Das sorgt dafür, dass man eben auch die umfangreichen Kalenderfunktionen verwenden kann und letztlich am Ende wirklich alle Funktionen nutzen mit Teams. Und die beste Integration in die ganze Microsoft-Welt hat man, wenn man dann eben auch die Postfächer nach Exchange Online verschiebt. Dann gibt es nochmal ein paar Extras, beispielsweise die To-Do-App von Microsoft. Die hängt davon ab, dass auch das Postfach im Exchange Online liegt. Ich würde aber sagen, mit einem Exchange On Premise und einer Hybrid-Stellung kann man Teams schon sinnvoll einsetzen. #00:12:38-3# 

Ingo Lücker: Cool. Die Teams-Applikation selbst, wie muss ich mir das vorstellen? Ist das eine eigene Software auf dem Desktop? Kann ich die im Webbrowser nutzen? Wie sieht es auch mit mobilen Endgeräten aus? Gibt es da native Apps oder wie ist dort die Infrastruktur von Microsoft Teams aufgebaut? #00:12:58-7# 

Fabian Alfes: Teams ist erstmal eine klassische Anwendung, die installiert wird auf dem PC, auf dem Laptop beispielsweise, auch für Mac natürlich verfügbar und die sich auch dort im Hintergrund sehr eigenständig aktualisiert. Man ist eigentlich immer automatisch auf dem aktuellen Stand dort, du hattest ja eben auch angesprochen, da gibt es ja regelmäßig Updates, neue Funktionen. Da muss man sich als Anwender aber sehr wenig drum kümmern, dass man die auch bekommt. Und, genau, wenn das mal keine Option ist oder wenn man vielleicht auch als Gast nur beitreten will, dann ist es eben auch im Browser möglich, einfach über teams.microsoft.com. Da dann auswählen: Ich will die WebApp benutzen. Und dann hat man auch nahezu alle Funktionen einfach direkt im Webbrowser mit drin. Das ist auch sehr gut möglich, ist allerdings beschränkt, wenn ich mich jetzt nicht vertue, auf die Chromium-Browser, also entweder auf Chrom oder auf den Microsoft Edge Browser. Damit ist das möglich. Und für die mobilen Geräte, sei es jetzt iOS oder sei es Android, gibt es native Apps, die einen sehr guten Funktionsumfang haben. Nicht immer denselben, es ist manchmal die mobile App an der einen Stelle ein bisschen voraus, manchmal auch die klassische Desktop-App, die dann mehr Funktionen bietet, aber für den mobilen Einsatz auch auf dem Smartphone auf jeden Fall sehr gut geeignet. #00:14:20-6# 

Ingo Lücker: Ja, ich habe das gesehen. Im Chat ist teilweise in der mobilen Variante ist dann möglich sogar sowas wie Antworten oder sowas dann zu machen, was ich dann lange Zeit oder bisher immer noch nicht habe in der Desktop-Variante tatsächlich, genau. Jetzt setzen einige Unternehmen ja auch sowas ein wie Desktopvirtualisierung, um einfach dort auch die Struktur sicherer zu machen, besser aufzubauen. Ist Teams dort auch fähig für? Also kann Microsoft Teams in solche Umgebungen implementiert werden? #00:14:52-7# 

Fabian Alfes: Grundsätzlich ja. Dann wird es für den Admin, sage ich mal, ein bisschen aufwendiger. Muss man ein paar Details beachten bei der Installation, dass man die richtige Variante der Teams-App dann erwischt. Und dann gibt es eben Logistiken seitens Microsoft oder auch von, ich sage mal, Visualisierern wie (Sedris?) beispielsweise, die dann eine tiefgreifende Integration bieten, sodass auch Audio- und Videotelefonate innerhalb von so einer virtuellen Lösung dann möglich sind. Gibt es aber Einschränkungen hier und da. Also bei einer Videokonferenz beispielsweise ist es jetzt nicht möglich, dass man die sich dort bis zu sieben Mal/ Sieben Videos ist ja im Moment aktuell, die man sehen kann. Das geht dann zum Beispiel in der virtuellen Lösung nicht. Und es gibt hier und da immer mal eine Funktion, die nicht verfügbar ist. Aber ich sage mal, grundsätzlich, wenn man jetzt Teams ja irgendwie über Video hinaussieht als Kommunikationstool, wo ja viel auch vielleicht Dateien, Informationen ausgetauscht werden, viel auf Textbasis sich ausgetauscht wird, dann kann man das sehr uneingeschränkt auch in so einer virtuellen oder so in einer VDI-Lösung einsetzen. #00:16:06-1# 

Ingo Lücker: Ja, ist natürlich wichtig einfach auch zu wissen für viele Unternehmen, weil die IT-Sicherheit da ja auch einfach viel wichtiger wird, gerade bei den vielen Fällen, die man in der Vergangenheit auch so gesehen hat. Und wenn die Unternehmen jetzt mit Microsoft Teams direkt starten, und das habe ich ja auch schon bei einigen Projekten gesehen. Die sehen: Ah, ja super. Wir können Microsoft Teams nutzen, legen wir mal los. Ich haben mir hier so eine kleine Notiz gemacht. Was sind denn die wichtigsten Dinge, die bei einer Einführung zu beachten sein sollten? Und wie geht denn ihr auch von der Connect vielleicht bei solchen Projekten heran, um Unternehmen dort ja vielleicht auch den einen oder anderen „löschen und wieder von vorne“ ersparen zu können? #00:16:56-8# 

Fabian Alfes: Ja, also ich will nicht sagen, dass/ Ich will es nicht unbedingt als Problem bezeichnen, aber es ist prinzipiell erstmal sehr einfach Microsoft Teams einzuführen. Das ist technisch erstmal nicht so aufwendig. Ich muss am Ende des Tages ja nur die Anwendung verteilen und dann können meine Anwender loslegen. Und das führt in vielen Fällen natürlich zu erstmal einem großen Chaos. Erstmal, jeder hat irgendwie Berechtigungen dort Teams und Kanäle anzulegen. Und dem muss man als Admin dann im Nachgang erstmal wieder Herr werden. Gerade im letzten Jahr ist es natürlich so, dass nicht immer die Zeit war auf Grund der Corona-Situation sich da vorher einen großen Plan zu machen und eine Struktur auszuarbeiten und dann über Wochen oder Monate so ein Tool einzuführen, wie es im Idealfall nun mal wäre. Das heißt, ich würde sagen, wer jetzt so angefangen hat, wie ich es am Anfang skizziert habe, für den ist noch nicht alles verloren. Aber man sollte jetzt schon dann im Nachgang da nochmal Arbeit reinstecken, das Ganze im Nachgang zu organisieren und zu strukturieren. Also wir empfehlen grundsätzlich unseren Kunden, weil Teams eben nicht nur eine Anwendung ist wie jede andere, die einfach dazukommt, sondern Teams ändert erstmal sehr viel in der Art und Weise wie im Unternehmen kommuniziert wird, wie überhaupt gearbeitet wird. Es gibt letztlich eine große Veränderung in der Arbeitskultur, weil es am Ende halt doch eben etwas anderes ist wie sich E-Mails hin- und herzuschicken. Und deswegen finden wir bei Connect es sehr wichtig, diese Herausforderung eben vorher zu sehen, zu erklären und sich entsprechend darauf vorzubereiten. Also früh in die Planung einzusteigen, früh auch, ich sage mal, wichtige Mitarbeiter zu involvieren, sich Prozesse rauszupicken, die man in Teams vielleicht dann abmelden kann. Und so dann einfach einen erfolgreichen Start von Teams zu ermöglichen, wo man auch vorher die Gelegenheit hat den Mitarbeiter zu schulen. Das finde ich ganz wichtig. #00:19:00-2# 

Ingo Lücker: Damit nicht dann plötzlich die große Pingerei im Unternehmen losgeht: Sie wurden zu einem neuen Kanal eingeladen. Und keiner weiß was los ist und wofür das gedacht ist, ne? #00:19:12-1# 

Fabian Alfes: Genauso. Wir hatten tatsächlich Unternehmen, wo wir dann irgendwann die Notbremse ziehen mussten, wo wir quasi doch alles nochmal plattgemacht haben, was sich entwickelt hat, was sich verselbstständigt hat und wir dann nochmal, ich sage mal, neu angefangen haben auf einer soliden Basis. Aber genau, insofern, ja, es macht natürlich Sinn sich im Vorfeld da viele Gedanken zu machen. Wer jetzt aber im letzten Jahr angefangen hat erstmal, ich sage mal, ein bisschen Hals über Kopf auf Grund der Situation geschuldet: Den können wir noch retten. #00:19:43-4# 

Ingo Lücker: Sehr gut. Dann sind sie dann bei euch auch in guten Händen, also von daher/ Und das ist sicherlich auch zum Abschluss das Wichtigste. An wen können sich denn Unternehmen, die da Hilfestellungen zu benötigen zum Thema Microsoft Teams bei der Einführung oder aber auch sich generell einfach mal mit jemandem austauschen wollen. Was wird benötigt? Was ist sinnvoll? An wen können Sie sich am besten wenden, um bei euch Kontakt aufzunehmen? #00:20:12-6# 

Fabian Alfes: Die können sich gerne direkt auch an mich wenden. Vielleicht kannst du irgendwie Kontaktdaten in die Shownotes am Ende packen. Und, genau, dann können wir da gucken. Was ist der Status Quo? Was ist das Ziel? Und da können wir dann unterstützen. #00:20:29-2# 

Ingo Lücker: Super. Wunderbar. Nehmen wir das gerne mit auf. Das Unternehmen der connecT SYSTEMHAUS AG ist unter der Domain: www.cnag.de, also C, N, A, G Punkt DE zu erreichen und da findet man dann ja auch ohne Probleme den Kontakt ja zu dir. Aber wir nehmen das natürlich in die Shownotes dort auch mit auf. Also auch deine E-Mail-Adresse können wir dann dort ja mit angeben, also alfes@cnag.de. // Und, #00:20:58-5#

Fabian Alfes: Genau. // #00:20:58-5#

I: ja super, ich glaube, das hat den Zuhörern einen guten Überblick darüber gegeben, was man von Microsoft Teams eigentlich erwarten kann und was man auch beachten sollte sicherlich. Und damit hat das viele ein Stück weitergebracht dahingehend auch diese Zusammenarbeit und die Kollaboration für die Zukunft nutzen zu können. Vielen Dank lieber Fabian für das Interview hier im IT-Manager-Podcast und ich freue mich schon auf die nächste Laufrunde mit dir. Vielleicht dann ja mal mit dem Nachwuchs. #00:21:32-3# 

Fabian Alfes: Ja, das könnte noch einen Moment dauern. Aber genau, auch dir vielen Dank, dass ich dabei sein durfte. Alles Gute! #00:21:37-8# 

Ingo Lücker: Super. Bis dann. Tschüss! #00:21:41-5#

Herzlich Willkommen beim IT-Manager Podcast. Mein Name ist Ingo Lücker, ich bin Gründer und Geschäftsführer der ITleague GmbH und in unserer heutigen Folge geht es um Microsoft Teams. Was ist Microsoft Teams eigentlich? Ja, im Prinzip ist es eine Kollaborationsplattform mit der sehr sehr viel möglich ist. In Zeiten von Corona und dem Homeoffice wurde Microsoft Teams meistens immer in Verbindung mit Zoom und anderen Videokonferenzen auch erwähnt. Klar, Videoconferencing ist einer der Themen, die Microsoft Teams beherrscht. Aber es geht so viel mehr. Man kann damit Besprechungen natürlich durchführen, chatten untereinander, man kann dort auch reine Telefonie drüber betreiben und natürlich auch eine Zusammenarbeit an einem Ort. Und ja, ich gehe auf die einzelnen Dinge mal so ein bisschen ein. In unserem zweiten Teil der Folge wird es dann im Interview noch viel detaillierter gehen. Aber dazu später mehr. Jetzt möchte ich erstmal so ein bisschen auf die Themen eingehen, ja, was kann ich dann eigentlich damit tun? Also zum Beispiel ein Videoanruf mit einem anderen Teilnehmer oder aber auch einer Gruppe, ist nur ein Click entfernt. Und dazu brauche ich lediglich im Prinzip die Email-Adresse des Gegenübers und somit kann ich dann ohne Probleme auch einen Videocall zu ihm herstellen. Das Ganze natürlich über eine sichere Verbindung und diese kann gleichzeitig benutzt werden dafür, um auch mal Dateien zusammen zu teilen, an diesen gleichzeitig auch zu arbeiten oder neu zu erstellen. Und man kann in diesen Besprechungen auch jederzeit Notizen erstellen und ja diese Notizen auch später wieder abrufen, weil der Besprechungschat auch später immer wieder zur Verfügung steht. Ja und das Chatten selber, das ist natürlich unabhängig von den eigentlichen Besprechungen auch möglich. Also ich habe hier die Möglichkeit sowohl unternehmensintern, als auch mit externen Parteien einfach in einen Chat zu starten. Diese Chats kann ich auch ja umbenennen. Sodass ich die auch thematisch sortieren kann und mir organisieren kann. Ebenso kann ich zu einem Chat weitere Teilnehmer hinzufügen. Dort auch ganz klar bestimmen, wie viel sieht denn dann derjenige eigentlich auch von den Inhalten, die dort schon gechattet wurden. Und wie man es auch aus anderen messenger-Systemen kennt, kann ich hier natürlich auch das Ganze ein bisschen persönlicher gestalten, indem ich hier auch mal GIF-Sticker und Emojis verwende. All das ist natürlich im Chat ohne Probleme möglich. Bei den Videokonferenzen, auf die ich eben schon eingegangen sind, da können sich je nachdem, welche Plattform man verwendet, bis zu zehntausend Teilnehmer zusammenschalten. Und tatsächlich ein und denselben Content hören, sehen und auch dran arbeiten. Eine wirklich tolle Plattform, die auch ja endgeräteübergreifend sehr, sehr gut und seamless funktioniert. Egal, ob ich an einem Desktop bin oder ob ich das über meine mobilen Endgeräte aufrufe, überall habe ich einen idealen Einsatz von den Meetings. Ja und das Telefonieren, das hat der ein oder andere eventuell schon mitbekommen, das ist auch direkt über Microsoftteams möglich. Da will ich jetzt im Detail nicht drauf eingehen, weil da würde ich dann unserem Interview vorweggreifen, aber hier ist es möglich, dass ich tatsächlich einfach mein Microsoftteams als meine eigentliche Telefonie-Plattform nutze und dort natürlich auch Gruppenanrufe und sowas, wie eine Voicemail nutzen kann und auch eine Anrufweiterleitung, et cetera. Also das sind Dinge, die gehen sehr, sehr leicht und einfach auch alles aus der Cloud heraus. Ja und beim Thema Zusammenarbeiten ist es natürlich total stark, dass man die Dateien direkt in Microsoftteams ablegen kann, organisieren kann. Ich kann die in Echtzeit in den Anwendungen auch in den Office-Anwendungen von Word, PowerPoint und Excel direkt dran arbeiten. Ich sehe auch, wer daran arbeitet, kann Kommentare hinterlegen und somit natürlich auch hier viel interaktiver an gemeinsamen Ergebnissen arbeiten. Sie sehen, Microsoftteams ist da sehr, sehr vielschichtig aufgebaut und ja, das wichtigste ist sicherlich, dass man sich gerade bei der Einführung von Microsoft Teams in Unternehmen immer auch einen Spezialisten zur Seite nimmt, der einen bei der Einführung, bei der Organisation und Struktur und dem Aufbau unterstützt.

Und hier will ich auch die Brücke schlagen zu unserer Folge, die dann in Kürze veröffentlicht wird, wo wir den IT-Spezialisten Fabian Alfes, von der connecT SYSTEMHAUS AG im Interview haben.

Und ja, dort gehen wir auch mal im Detail darauf ein, warum denn Microsoft Teams eigentlich dann auch so durch die Decke gegangen ist und was man alles beachten muss, auch wenn man Microsoftteams einführen möchte im Unternehmen. Welche Voraussetzungen es dafür gibt und ja, wie auch die Nutzung mobil oder auch in einer Citrix-Umgebung aussieht. All das und mehr, werden wir dann im Interview miteinander besprechen. Also, wenn dich das Thema Microsoftteams interessiert, dann höre doch gerne auch in unser Interview rein, was in Kürze online gehen wird. Ja, ich wünsche dir noch einen wunderschönen Tag. Und freue mich schon auf die nächsten Folgen.

Bis dann, dein Ingo. Ciao.

Nach über einem Jahr Pause sind wir mit dem IT Manager Podcast mit einem neuen Format zurück. Die erste Folge veröffentlichten wir im April 2016 zum Thema IoT "Internet of things". Seitdem sind über 130 Folgen von uns recherchiert und publiziert worden. Nach ausgiebigem Feedback aus der Community haben wir an einem neuen Format gearbeitet. Da wir kontinuierlich zwischen 10.000-15.000 Aufrufe pro Monat haben, obwohl wir seit über einem Jahr keine neue Folge veröffentlicht haben, werden wir nun mit neuen Inhalten bereichern. Unsere Zielgruppe sind ganz klar die Geschäftskunden, also die sogenannten B2B-Kunden. Einige Beispiele für kommende Themen: Microsoft Teams in Unternehmen, staatliche Förderungen für IT-Projekte, Business Netzwerke wie der BNI, Zertifizierungen wie ISO9001 sowie ISO27001, Automatisierung und Dokumentenmanagement, digitale Unterschriften, Social Media Marketing, Cloud Telefonie und sehr viele IT-Security-Themen. 

Was interessiert Dich als Zuhörer in Zukunft? Oder bist Du selbst Experte und willst in Zukunft dabei sein?

Wir freuen uns auf Deine Nachrichten unter podcast@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein WIPS?” 

Bevor ich Ihnen diese Frage beantworte, möchte ich kurz -der Verständlichkeit halber- auf die Begrifflichkeiten Intrusion Detection System und Intrusion Prevention System eingehen.

Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) sind beides Bestandteile der Netzwerkinfrastruktur und dienen dazu den Datenverkehr in Netzwerken vor Gefahren bzw. Angriffen zu schützen.

• Das Intrusion Detection System, kurz IDS, ist dabei in der Lage, anhand bestimmter Muster Angriffe auf Computersysteme oder Netzwerke zu erkennen und Anwender oder Administratoren zu informieren.
• Das Intrusion-Prevention-Systeme, kurz IPS, hingegen geht einen Schritt weiter und ist in der Lage, Angriffe auf Netzwerke oder Computersysteme abzuwehren.

Kommen wir zurück zu unserer Ausgangsfrage, was ist eigentlich ein WIPS?

Die Abkürzung WIPS steht für Wireless Intrusion Prevention System. Und wie der Name schon vermuten lässt, handelt sich hierbei um ein System, dass Angriffe wie DoS-Attacken, Honeypots oder Man-in-the-Middle-Angriffe und nicht autorisierte Zugriffe durch beispielsweise Access Points auf ein WLAN detektiert und abwehrt.

Dabei erfolgt die Steuerung des Wireless Intrusion Prevention Systems über eine zentrale Administrationsoberfläche. Die WIPS sind in der Regel so konfiguriert, dass sie bei erkannten Bedrohungen selbständig Abwehrmaßnahmen ergreifen und gleichzeitig einen vorher festgelegten Personenkreis alarmieren.

Prinzipiell besteht ein Wireless Intrusion Prevention System aus drei Komponenten. Diese sind:

• Sensoren zur Überwachung des Netzwerks und des Funkspektrums
• ein Managementsystem zur Verwaltung und Bedienung des Wireless Intrusion Prevention Systems

sowie

• zentrale Server für die Analyse und die Kommunikation mit den Sensoren

Die einzelnen Komponenten können dabei entweder dediziert* ausgeführt oder in den vorhandenen WLAN-Geräten als zusätzliche Funktionen auf Softwarebasis integriert sein.

Der Vorteil von Wireless Intrusion Prevention Systeme aus dedizierten Komponenten ist, dass sie sich als Overlay-System betreiben lassen. Das bedeutet, dass Anwender ein Drahtlosnetzwerk nicht verändern müssen. Außerdem sorgt die Separierung von Überwachung und produktivem Netz für ein höheres Schutzniveau.

Schauen wir uns die Funktionsweise eines Wireless Intrusion Prevention Systems etwas genauer an.

Für eine wirksame Erkennung und Abwehr von nicht autorisierten WLAN-Zugriffen oder falschen Access Points überwacht und analysiert ein Wireless Intrusion Prevention System, sowohl die Funkfrequenzen als auch die im WLAN ausgetauschten Daten.

Sobald ein Wireless Intrusion Prevention System einen Rogue Access Point -sprich einen nicht autorisierten Zugriffspunkt- im WLAN Netzwerk identifiziert, verschickt es De-Autorisierungspakete an den nicht autorisierten Access Point und die mit ihm verbundenen Clients. Die De-Autorisierungspakete geben sich gegenseitig als Client oder Accesspoint aus und veranlassen die Kommunikationspartner die Verbindung zu trennen. Werden zudem verdächtige Aktivitäten auf bestimmten nicht vorgesehenen Funkkanälen festgestellt, werden diese durch verschiedene Maßnahmen gesperrt.

Sie können sich das Ganze auch so vorstellen:

Mal angenommen, sie sind Unternehmer und betreiben eine eigene Wireless LAN Infrastruktur, um Ihren Vertriebsmitarbeitern das mobile Arbeiten mit Laptop und SmartPad zu ermöglichen. Max Mustermann ist Angestellter in der Fertigung und möchte während der Arbeitszeit auch mit seinem Smartphone per WLAN surfen. Daher hat er seinen privaten Access Point mitgebracht, den er heimlich in das Firmennetz integriert hat. Dank Ihres implementierten Wireless Intrusion Prevention Systems, wird der Rogue Access Point im eigenen Netzwerk identifiziert und automatisch abgewehrt. Gleichzeitig werden die verantwortlichen Administratoren alarmiert.

Neben diesem gerade genannten Beispiel gibt es noch folgende Anwendungsfälle und Szenarien, die für den Einsatz eines Wireless Intrusion Prevention System sprechen:

• Szenario 1: Datendiebstahl im Netzwerk

Durch den Einsatz von WIPS kann der Netzwerk-Traffic vor Snooping plus Datendiebstahl geschützt und durch Angriffe verursachte Traffic-Störungen verhindert werden.

●       Szenario 2: Gastnetzwerke

Durch den Einsatz von WIPS, kann das produktive Büronetzwerk vom Gastnetzwerk separiert und somit geschützt werden. Den Gästen stellt man genau genommen ein separates Netzwerk zur Verfügung und verwendet dafür ein gemeinsam genutztes Passwort.

●       Szenario 3: Netzwerk-Monitoring und -Untersuchungen:

Durch den Einsatz von WIPS können Angriffsversuche erkannt werden, indem für diese eine Log-Datei geschrieben wird. Weiterhin benachrichtigen sie bei bestimmten Angriffsaktivitäten und loggen auch andere Ereignisse, die man später untersuchen kann. Dabei ist es irrelevant, ob diese geblockt wurden oder nicht.

●       Szenario 4: Netzwerk- und Geräteklassifizierung und -identifikation:

Durch den Einsatz von WIPS, werden alle Geräte, die auf das drahtlose Netzwerk zugreifen, geprüft ob sie die notwendigen Rechte haben. Eine weitere sinnvolle Funktion von WIPS ist, dass sie die Netzwerkarchitektur, alle drahtlosen Access Points und deren Standorte identifizieren können.

●       Szenario 5: Richtlinienkonformität (Policy Compliance):

Durch den Einsatz von WIPS wird sichergestellt, dass alle drahtlosen Geräte identifiziert werden, die den Compliance-Regularien nicht entsprechen.

Welche Vorteile ergeben sich durch den Einsatz eines Wireless Intrusion Prevention Systems?

Ein Wireless Intrusion Prevention Systems bietet Anwendern gleich mehrere Vorteile. Dazu zählen unter anderen

• zusätzlicher Schutz der WLAN-Infrastruktur
• automatische Erkennung von Bedrohungen des drahtlosen Netzwerks
• automatische Abwehr von diversen Angriffsmethoden
• Erkennung und Abwehr von Rogue Access Points und Rogue Clients
• Erkennung und Abwehr von Evil Twin Access Points
• Erkennung und Neutralisation von falsch konfigurierten Access Points
• Durchsetzung der WLAN-Policies
• BYOD-Absicherung, steht für Bring your own device
• automatische Alarmierung bei verdächtigen Aktivitäten

Wir kommen nun zum Ende unsere heutigen Podcast.

Zusammenfassend lässt sich sagen: Unternehmen müssen sich heutzutage gegen zahlreiche Bedrohungen und Angriffe wie DDoS-Attacken, Honeypots oder Man-in-the-Middle-Angriffe wappnen, die ihr WLAN betreffen können. Durch den Einsatz eines Wireless Intrusion Prevention Systems, können sie nicht nur bösartige Angriffe abwehren, sondern auch beispielsweise unbeabsichtigte Vorfälle verhindern, wie das versehentliche Anmelden an einem Netzwerk in der Umgebung, welches nicht zum Firmennetzwerk gehört. Dieses Szenario könnte zu einem schwerwiegendem Sicherheitsproblem führen, da die Datensicherheit in dem unbekannten und nicht vertrauenswürdigen Netzwerk nicht sichergestellt werden kann. Das sind nur ein paar wenige Beispiele, die die Notwendigkeit einer WLAN-Absicherung durch ein Wireless Intrusion Prevention Systems, unterstreichen.

So liebe IT Profis, das wars auch schon für heute vom IT Manager Podcast, ich hoffe es hat Ihnen gefallen – wenn ja freue ich mich wie immer sehr über ein Like auf Facebook und eine fünf Sterne Bewertung bei iTunes.

Nächste Woche Freitag gibt es dann natürlich wieder eine neue Folge des IT Manager Podcasts.

Sie wollen selbst mal in einem Interview dabei sein? Oder eine Episode unterstützen? Dann schreiben Sie uns gerne eine E-Mail. Kontaktdaten finden Sie in unseren Show-Notes oder auf unserer Website.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Diese Folge wird unterstützt von Blinkist. Unter blinkist.de/itmanager erhaltet ihr 25% auf das Jahresabo Blinkist Premium.

Heute dreht sich alles um das Thema: „Was ist eigentlich eine Bandbreite?” 

Zunächst einmal müssen Sie wissen, dass der Begriff "Bandbreite" in zwei verschiedenen Kontexten verwendet werden kann:

In digitalen Systemen wird der Begriff Bandbreite oft als Synonym für die Übertragungsgeschwindigkeit oder die Übertragungskapazität verwendet. Die synonyme Verwendung der Begriffe geht auf den Zusammenhang zwischen Bandbreiten und Übertragungsraten zurück. Die Bandbreite stellt einen wichtigen Faktor dar, wenn es darum geht, die Qualität und Geschwindigkeit eines Netzwerks zu bestimmen.

Die kleinste Übertragungsrate ist das Bit, weshalb die Datenübertragungsrate häufig auch als Bitrate (Einheit Bit Pro Sekunde - Bit/s) bezeichnet wird. Da heutige Netzwerke jedoch in der Regel eine viel größere Bandbreite haben, die sich mit so einer kleinen Einheit nicht gut wiedergeben lassen, sind die Angaben Megabits pro Sekunde MBits , Gigabits pro Sekunde GBits oder Terabits pro Sekunde TBits geläufiger.

Sie können sich die Bandbreite auch als Wasserfluss durch ein Rohr vorstellen. Dabei ist die Bandbreite die Geschwindigkeit, mit der das Wasser sprich die Daten bei verschiedenen Bedingungen durch das Rohr, als die Verbindung, fließt. Anstelle von Bits pro Sekunde misst man jetzt Liter pro Minute. Während größere Rohre mehr Wasser liefern, fließt durch kleinere Rohre eine geringere Menge. Somit stellt die Wassermenge, die potenziell durch das Rohr fließen kann, die maximale Bandbreite dar, während die Wassermenge, die gegenwärtig durch das Rohr fließt, die aktuelle Bandbreite wiedergibt.

Allerdings stammt der Begriff Bandbreite ursprünglich aus den Bereichen Physik und Signaltechnik. Dort bezeichnet er eine Spanne innerhalb eines Frequenzbereichs. Diese Spanne, auch Frequenzbereich genannt, wird durch eine obere und untere Grenzfrequenz bestimmt, in dem ein Signal übertragen wird.

Grundsätzlich besitzt jeder Übertragungskanal infolge seiner physikalischen Eigenschaften eine untere und eine obere Grenzfrequenz. Je größer die Bandbreite, desto mehr Informationen lassen sich pro Zeiteinheit übertragen.

In analogen Systemen wie Telefon oder Radio, wird die Bandbreite in Hertz (Hz) bzw. in Kilohertz (KHz) oder Megahertz (MHz) gemessen. So weist beispielsweise ein analoges Telefon eine untere Grenzfrequenz von 300 Hz und eine obere Grenzfrequenz von 3400 Hz. Daraus ergibt sich die Bandbreite von 3100 Hz, was für eine Übermittlung von Sprachdaten völlig ausreicht.

Aber wie viel Bandbreite ist eigentlich erforderlich?

Die durchschnittliche Bandbreite eines Internetanschluss in Deutschland liegt derzeit bei etwa 15 Megabit pro Sekunde (Mbit/s). Über moderne VDSL oder Kabelanschluss-Zugänge lässt sich eine Bandbreite von bis zu einigen hundert Megabit pro Sekunde (Mbit/s) erzielen. An einem Glasfaser-Anschluss ist die mögliche Bandbreite noch einmal deutlich höher, auch mehr als 1 Gigabit pro Sekunde (Gbit/s) sind problemlos möglich.

Welche Bandbreite für die die Bedürfnisse eines Nutzers sinnvoll ist, hängt grundsätzlich davon ab, wofür die Übertragungskanäle genutzt werden.

Beispielsweise erfordern das Streamen von Filmen in HD-Qualität, HD-Videokonferenzen und Multiplayer-Online-Spiele in HD eine höhere Bandbreite als das Webbrowsen, Streamen von Musik oder das abrufen von E-Mails.

Je nach Übertragungsmedium und Übertragungstechnologie existieren typische Bandbreiten.

Diese sind bei analogen Systemen beispielsweise:

• analoge Telefonie mit 3.400 Hertz,
• Integrated Services Digital Network, kurz ISDN, mit circa 130 Kilohertz,
• 10-Megabit-Ethernet mit circa 30 Megahertz
• Asymmetric Digital Subscriber Line-Anschlüsse, kurz ADSL mit circa 1,1 Megahertz

und in digitalen Systemen

• Integrated Services Digital Network, kurz ISDN mit 64 kbit/s je Kanal,
• Ethernet mit 10, 100 oder 1.000 Mbit/s,
• Die Weiterentwicklungen der Asymmetric Digital Subscriber Line-Anschlüsse, kurz ADSL2+ mit bis zu 25 Mbit/s im Download

Kommen wir zur nächsten Frage: Warum wird eigentlich die Bandbreite gemessen und wie?

Grundsätzlich ist eine Messung der Bandbreite dann nötig um sicherzustellen, dass kostenpflichtige Verbindungen auch das leisten, was sie versprechen. Das gilt für private Nutzer und Unternehmen gleichermaßen. Private Nutzer können mithilfe eines Online-Bandbreitentest herausfinden, ob der vom Internetdienstanbieter berechnete Anteil der Verbindung, tatsächlich genutzt werden kann. Unternehmen hingegen, können den Durchsatz zwischen Büros messen, die mit einer von der Telefongesellschaft geleasten Leitungsverbindung verbunden werden.

Für gewöhnlich erfolgt die Messung der Bandbreite mithilfe von Software oder Firmware und einer Netzwerkschnittstelle. Zu den üblichen Hilfsprogrammen für die Bandbreitenmessung zählen der Test TCP kurz TTCP und der PRTG Netzwerk Monitor.

• Beim TTCP wird der Durchsatz in einem IP-Netzwerk zwischen zwei Hosts gemessen. Ein Host ist der Empfänger, der andere der Sender. Jede Seite zeigt die Anzahl der übertragenen Bytes und die Zeit an, die jedes Datenpaket für die Übertragung in einer Richtung braucht.
• Beim PRTG wird eine grafische Oberfläche und Diagramme zur Messung von Bandbreitentrends über längere Zeiträume bereitgestellt, wobei man den Datenverkehr zwischen unterschiedlichen Schnittstellen messen kann.

In der Regel wird zur Messung der Bandbreite die gesamte Datenmenge gezählt, die während eines bestimmten Zeitraums gesendet und empfangen wurde. Die resultierenden Messgrößen werden dann als Zahl pro Sekunde ausgedrückt.

Eine weitere Methode zur Messung der Bandbreite besteht darin, eine Datei oder mehrere Dateien bekannter Größe zu übertragen und zu messen, wie lange die Übertragung dauert. Das Ergebnis wird in Bit/s konvertiert, indem die Größe der Dateien durch die für die Übertragung erforderliche Zeit geteilt wird. Diese Methode wird in den meisten Tests der Internetgeschwindigkeit verwendet, um die Verbindungsgeschwindigkeit eines Computers mit dem Internet zu ermitteln.

Allerdings ist an dieser Stelle erwähnenswert, dass in echten Netzwerken die Bandbreite mit der Zeit je nach Nutzungs- und Netzwerkbedingungen variiert. Infolgedessen sagt eine einzelne Bandbreitenmessung sehr wenig über die tatsächliche Bandbreitennutzung aus. Eine Reihe von Messungen kann nützlicher sein, wenn Durchschnittswerte oder Trends bestimmt werden sollen.

Bevor wir nun zum Schluss unseres heutigen Podcast kommen, möchte ich noch ganz kurz auf den Unterschied Bandbreite und Durchsatz eingehen.

Durchsatz und Bandbreite sind Begriffe, die die Fähigkeit eines Geräts zum Übertragen von Daten in einem Netzwerk beschreiben. Der Hauptunterschied zwischen Durchsatz und Bandbreite ist, das sich die Bandbreite auf die maximal mögliche Geschwindigkeit bezieht, mit der ein Gerät Daten übertragen kann, wohingegen der Durchsatz sich auf die tatsächliche Geschwindigkeit bezieht, mit der ein Gerät zu einem bestimmten Zeitpunkt Daten überträgt.

So liebe IT Profis, das wars auch schon für heute vom IT Manager Podcast, ich hoffe es hat Ihnen gefallen – wenn ja freue ich mich wie immer sehr über ein Like auf Facebook und eine fünf Sterne Bewertung bei iTunes.

Nächste Woche Freitag gibt es dann natürlich wieder eine neue Folge des IT Manager Podcasts.

Sie wollen selbst mal in einem Interview dabei sein? Oder eine Episode unterstützen? Dann schreiben Sie uns gerne eine E-Mail. Kontaktdaten finden Sie in unseren Show-Notes oder auf unserer Website.

Liebe IT-Profis,

wir betreiben den IT Manager Podcast nun schon bereits seit über 3,5 Jahren. Mit mittlerweile über 130 Episoden haben wir bereits viele IT-Begriffe erklärt und konnten vielen Zuhörern damit eine stetige Weiterbildung ermöglichen.

Wir würden gerne wissen, wie soll es in 2020 für Euch weitergehen? Wie oft hört ihr unseren Podcast? Soll es weiterhin einmal wöchentlich ein Episode geben? Welche Themen wünscht ihr Euch für die Zukunft?

Macht mit bei unserer Umfrage auf unserer Website unter innovativeIT.de

Eine schöne und besinnlich Weihnachtszeit wünsche ich. Wir sind dann ab nächstes Jahr wieder für Euch da.

Euer Ingo Lücker

Bei einem Wireless Access-Point, kurz WAP, handelt es sich vereinfacht ausgedrückt um eine Hardwarekomponente, die als Schnittstelle zwischen dem LAN- und dem WLAN-Netzwerk fungiert und mehreren Notebooks und anderen mobilen Endgeräte gleichzeitig den Zugriff auf Netzwerkressourcen und gegebenenfalls das Internet ermöglicht.

Wireless Access Points kommen hauptsächlich bei kleineren bis großen Netzwerkinstallationen zum Einsatz. Sie dienen zur Verstärkung des Funksignals und vergrößern somit die Reichweite des WLAN-Signals im gesamten Netzwerk. Das ist insofern von Vorteil, wenn es Bereiche gibt, in denen man ein WLAN-Netzwerk nutzen möchte, die Signalstärke aber nicht ausreicht.

Dabei gleicht ihre Arbeitsweise einem Switch oder eine Netzwerk-Bridge. Das bedeutet sie verbinden verschiedene Geräte auf hardwarenahem Niveau miteinander und vermeiden dabei einerseits Datenkollisionen durch Techniken wie CSMA/CA und überbrücken andererseits Unterschiede zwischen verschiedenen Übertragungsmedien.

Wireless Access Points sind im OSI-Modell in der Sicherungsschicht sprich in der Schicht 2, dem Data Link Layer, angesiedelt. Sie arbeiten in der Regel nach dem Standard IEEE-802.11 und werden per sogenannter Service Set Identifier, kurz SSID, von den Geräten im Netzwerk identifiziert. Dabei wird die Funkverbindung bzw. die Kommunikation durch die Verschlüsselungsverfahren Wired Equivalent Privacy (WEP), Wi-Fi Protected Access oder Wi-Fi Protected Access 2. Wobei man erwähnen muss, dass die Vorgänger WPA und Wired Equivalent Privacy inzwischen als überholt und angreifbar gelten.

Mittlerweile sind Wireless Access Points in vielfältigsten Ausführungen verfügbar. Neben spezialisierter Hardware gibt es auch Softwarelösungen, mit denen sich klassische Rechner zu einem Wireless Access Point umrüsten lassen.

Außerdem lassen sich aktuelle Wireless Access Points über ein Set von verschiedenen Betriebsmodi, die unterschiedliche Infrastrukturen abbilden, unterscheiden:

Hierunter zählen: Infrastruktur Modus, Ad-Hoc Modus, Client Modus, Ethernet Bridge Modus, Bridge Modus, Repeater Modus.

• Infrastruktur Modus
  • Der Infrastruktur Modus wird auch Access Point Modus genannt. Er wird wiederum in drei mögliche Betriebsmodi unterteilt:

Dazu zählt:

• das Basic Service Set, kurz BSS. Hier bedient ein einzelner Access Point alle drahtlos angebundenen Clients. Diese bilden dann ein autarkes Intranet.
• das Extended Service Set, kurz ESS. Hier lassen sich mehrere Access Points per Ethernet verbinden und mit einem identischen Netzwerknamen “Extended Service Set Identifier” versehen. Solche Infrastrukturen decken im Gegensatz zu einzelnen Wireless Access Points größere Fläche per Funk ab. Dabei werden die Clients automatisch zwischen den Access Points übergeben. Diesen Vorgang nennt man auch Roaming.
• Das Wireless Distribution System kurz WDS. Hier können mehreren Access Points derweil, drahtlos miteinander zu kommunizieren. Hier unterscheidet man zwischen Punkt-zu-Punkt-Verbindungen (Wireless Bridge) sowie Punkt-zu-Multipunkt-Verbindungen (Wireless Repeater).

• Ad-Hoc Modus
  • Beim Ad-Hoc Modus sind alle beteiligten Geräte, egal ob es sich um die der Nutzer handelt oder ob es Access Points bzw. Router sind, gleichwertig. Von keinem Access Point werden "höherwertige" oder "zentrale" Aufgaben übernommen. Alle Access Points benutzen denselben Netzwerknamen und erhalten, wenn gewünscht, die gleichen Verschlüsselungseinstellungen. Da es keine zentrale Instanz gibt, sind die koordinierenden Funktionen von den jeweiligen Endgeräten zu übernehmen. Der Datentransfer erfolgt in diesem Modus über die Teilnehmer.
• Client Modus
  • Der Client Modus ist eine Betriebsart, bei dem sich der im Client Modus betriebene Access Point gegenüber dem übergeordneten Access Point als Wireless Adapter verhält. Über einen solchen lassen sich Endgeräte in drahtlose Infrastrukturen einbinden, die lediglich über eine drahtgebundene Netzwerkschnittstelle verfügen.
• Ethernet Bridge Modus
  • Der Modus Ethernet Bridge dient dazu, eine Verbindung zu drahtgebundenen Netzen herzustellen. Damit können mit einem Access Point verbundene Clients nicht nur untereinander kommunizieren, sondern auch auf eine per Kabel verfügbare Internetanbindung zugreifen.
• Bridge Modus
  • Der Bridge Modus dient zur Verbindung von räumlich entfernten Netzwerken ohne Gebäudegrenzen. Die genutzten Access Points sind dann mit wetterfesten Außenantennen ausgerüstet, die Richt- und Rundstrahlcharakteristik aufweisen, um die Reichweite zu erhöhen. Zu berücksichtigen ist, dass zwischen den Gebäuden eine direkte Sichtverbindung besteht und die benutzten Access Points vom gleichen Hersteller sein sollten.
• Repeater Modus
  • Beim Repeater Modus wird der Access Point als Repeater konfiguriert, um die Reichweite zwischen einem eingerichteten Access Point oder Router und dem Netzwerknutzer zu vergrößern. Als Repeater-Modus betrieben dient der Access Point nur der Weiterleitung von Daten.

Kommen wir nun zu den Vor-und Nachteilen, die der Einsatz von Wireless Access Points bringt?

Wireless Access Points bieten eine ganze Reihe von Vorteilen, die ich zum Teil bereits erwähnt habe:

Dazu zählen:

• Mehr Benutzerzugriff – Ein gewöhnlicher WLAN-Router kann nur eine begrenzte Anzahl an Benutzerzugriffen unterstützen, während der Wireless Access Point in der Lage ist, sogar hunderten von Benutzern Zugriff zu gewähren. Außerdem hat er eine stärkere Fähigkeit, Signale zu senden und zu empfangen. Insbesondere in einem großen Bereich, der eine drahtlose Abdeckung benötigt, hat ein Wireless Access Point mehr Vorteile als ein drahtloser Router.
• Breitere Reichweite der Übertragung – ein Wireless Access Point kann weitere Entfernungen abdecken.
• Flexible Vernetzung – Ein Wireless Access Point hat eine Vielzahl von Modi zur Auswahl, die sehr flexibel sind.

Die nennenswerten Nachteile von Wireless Access Points sind:

• Hohe Kosten – Denn je größer der Umfang des drahtlosen Unternehmensnetzwerks ist, desto mehr Wireless Access Points werden benötigt.
• Schlechte Stabilität –Denn anders als ein kabelgebundenes und geswitchtes Ethernet stellt die Luftschnittstelle ein vergleichsweise langsames, störanfälliges sowie geteiltes Medium dar. Zudem müssen sich die Clients die verfügbare Bandbreite teilen.

Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte ich noch ganz kurz auf das Thema Sicherheit eingehen.

Ein Wireless Access-Point stellt ein potenzielles Einfallstor dar. Um das Netzwerk vor dem Zugriff Unbefugter zu schützen, muss man darauf achten, dass der eingesetzte Wireless Access Point die aktuellen Sicherheitstechniken unterstützt. Außerdem lassen sich die Endgeräte mit dem WiFi-Protected Setup, kurz WPS, über das WLAN mit dem Router verbinden, ohne dass der Netzwerkschlüssel benötigt wird.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Die Abkürzung TPM steht für Trusted Platform Module. Es handelt sich hierbei um einen Mikrochip, der Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert, um die Plattformintegrität sicherzustellen. Sobald es auf einem System installiert ist, dient es zur sicheren Hinterlegung von Schlüsseln, Passwörtern und digitalen Zertifikaten, um eine Plattform-Validierung zu ermöglichen, eine zentrale Vertrauensbasis einzurichten und die Voraussetzungen für das Management von Anwender-Legitimationen zu schaffen. Außerdem lässt sich mit dem TPM verifizieren, dass an der Hardware keine Veränderungen vorgenommen wurden und am BIOS keine Manipulationen erfolgt sind.

TPM-Chips werden grundsätzlich nach der TCG-Spezifikation entwickelt. Die TCG-Spezifikation basiert auf einem offenen herstellerneutralen Industriestandard, der durch die Trusted Computing Group, einer Non-Profit-Organisation von Firmen, für das Trusted Computing entwickelt, definiert und gefördert wird.

Das TPM ist laut TCG-Spezifikation ein passives Modul. Das bedeutet, dass jede Aktion einer TPM-Komponente von außerhalb des TPM über eine entsprechende Schnittstelle angestoßen werden muss. Auf den ersten Blick ist es mit einer Chipkarte vergleichbar. Das heißt es enthält unter anderem logische Einheiten, Speicherbereiche und einen Ein-/Ausgabekanal. Der signifikante Unterschied besteht jedoch darin, dass ein TPM-Chip an eine Plattform bzw. ein System gebunden ist, wogegen eine Chipkarte in aller Regel einen einzigen Besitzer hat.

Die Sicherheitsfunktionen, die die TPM-Module bieten, sind umfassend. Dazu zählen:

Versiegelung, Auslagerung, Bescheinigung, Schutz für kryptografische Schlüssel und sicherer Zufallsgenerator.

• Mit der Verschlüsselung, die auch als Sealing bezeichnet wird, können Daten an das Gerät verbunden verschlüsselt werden. Die krypotgrafischen Schlüssel werden direkt im TPM Modul abgelegt. Damit wird die Sicherheitsfunktion 'Schutz für kryptografische Schlüssel' implementiert. Vor einem Hard- oder Softwareangriff sind die Schlüssel so sehr weitreichend geschützt.
• Durch die als Binding oder Wrapping bezeichnete Auslagerung lassen sich Schlüssel auf externe Speicher exportieren, wodurch die Zahl der Schlüssel bei TPMs nahezu unbegrenzt ist.
• Mittels Remote Attestation oder Bescheinigung sichert die Technik einer entfernten Partei Fähigkeiten und Zustand des Systems zu. Meist kommen dafür das Privacy CA (Trusted Third Party) Verfahren oder die Direct Anonymous Attestation zum Einsatz.
• Über das Sicherheitsfeature sicherer Zufallsgenerator garantiert Ihnen das TPM gemäß der TCG-Spezifikation einen zuverlässigen Zufallsgenerator bereitzustellen, der für eine sichere Verschlüsselung unabdingbar ist.

Außerdem sind im Trusted Platform Module diverse Zertifikate und Schlüsselpaare enthalten, die zum einen die Korrektheit des Herstellungsprozesses bestätigen sollen und zum anderen das Modul eindeutig identifizieren und zum Verschlüsseln oder digitalen Signieren von Daten dienen.

• Endorsement Zertifikat — Dieses Zertifikat bestätigt die Echtheit des TPM. Genaugenommen wird sichergestellt, dass das TPM von einem autorisierten Hersteller bereitgestellt wurde. Das TPM wird in dem Zertifikat durch ein 2048 Bit langes Schlüsselpaar, dem sog. Endorsement Key, eindeutig repräsentiert.
  • Dieses Schlüsselpaar wird entweder bei der Herstellung des TPM-Chips vom Hersteller erzeugt oder erst zu einem späteren Zeitpunkt im Chip gebildet. In beiden Fällen verlässt der Endorsement Key das Trusted Platform Module niemals. Der Endorsement Key wird verwendet, um sog. Attestation Identity Keys, kurz AIK zu erzeugen.
  • Der Attestation Identity Key schützt das Gerät gegen unautorisierte Firmware und modifizierte Software. Dafür wird ein Hash kritischer Sektionen der Firmware oder der Software erstellt, bevor sie ausgeführt wird. Will sich das System mit einem Netzwerk verbinden, werden diese Hash-Werte zu einem Server geschickt, der sie mit gespeicherten, legitimen Daten abgleicht. Wurden Teile seit dem letzten Start modifiziert, schlägt die Überprüfung fehl und das jeweilige System erhält keinen Zugriff aufs Netzwerk.

2. Platform Zertifikat — Das Plattform-Zertifikat wird vom Hersteller der Plattform — also etwa eines PCs, Laptops oder Mobiltelefons — ausgestellt. Es bestätigt, dass alle Plattform-Komponenten der TCG-Spezifikation genügen und dass die Plattform ein gültiges Trusted Platform Module enthält. Es wird also bescheinigt, dass das aktuelle System eine vertrauenswürdige Plattform darstellt.
3. Conformance Zertifikat — Dieses Zertifikat bestätigt, dass das TPM-Design in der Plattform der TCG-Spezifikation genügt und das TPM korrekt implementiert ist.
4. Validation Zertifikat — Dieses Zertifikat stellt für Komponenten oder Komponentengruppen wie beispielsweise Grafikkarten oder Eingabegeräte die Übereinstimmung und Korrektheit der Implementierung gegenüber der TCG-Spezifikation sicher.

Die genannten Zertifikate dienen dem Nachweis der Vertrauenswürdigkeit des Computersystems im Auslieferungs- bzw. Herstellungszustand. Alle entsprechenden Schlüssel befinden sich an ausgezeichneten Speicherplätzen innerhalb des TPMs.

Neben diesen Zertifikaten und Schlüsseln enthält jedes Trusted Platform Module einen eindeutigen Storage Root Key, kurz SRK.

• Der SRK dient zur Ableitung weiterer Schlüssel, so dass eine Schlüssel-Baumstruktur entsteht. Die Blätter dieses Baumes werden zur Verschlüsselung von Daten herangezogen. Der SRK wird erzeugt, sobald die Plattform durch ihren Eigentümer in Besitz genommen wird.

Als weitere fundamentale Basiskomponenten des Trusted Platform Module sind die Roots of Trust zu nennen.

• Die Roots of Trust for Measuring Integrity Metrics (RTM) sind für das Messen und Aufzeichnen von bestimmten sicherheitsrelevanten Zuständen und das Protokollieren der Zustände im Trusted Platform Module verantwortlich. Durch die Roots of Trust wird sichergestellt, dass sich das Computersystem in einem vertrauenswürdigen Nachfolgezustand befindet, wenn eine das System verändernde Aktion ausgeführt wurde. In einem PC heißt die RTM auch CRTM.

Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte ich kurz die wichtigsten Punkte noch einmal zusammenfassen.

Mit einem Trusted Platform Modul können Sie ihre Geräte wie Mainboards von PCs, Notebooks und Mobiltelefone um grundlegende Sicherheitsfunktionen erweitern.  Zusammen mit einem angepassten Betriebssystem und einer geeigneten Software erstellen Sie mit einem Trusted Platform Modul eine Trusted Computing Plattform. Diese ermöglicht eine weitreichende und umfangreich konfigurierbare Zugriffs- und Verwendungskontrolle, die typischerweise in Bereichen wie dem Lizenzschutz und dem Datenschutz genutzt wird. TPM-Chips stellen Ihnen verschiedene Sicherheitsfunktionen bereit um die Plattformintegrität zu gewährleisten.

Kurzum: Auf ein TPM kann immer dann zurückgegriffen werden, wenn es gilt, sichere kryptografische Operationen durchzuführen und/oder ein sicheres Speichermedium bereitzustellen.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Bevor ich Ihnen diese Frage beantworte, möchte ich ganz kurz auf zwei Begriffe eingehen, die häufig in Zusammenhang mit Hotspots genannt werden: WLAN und WiFi

Die Abkürzung WLAN steht für Wireless Local Area Network und bedeutet zu Deutsch: Drahtloses lokales Netzwerk. Die Verbindung zum Internet erfolgt also drahtlos über einen sogenannten WLAN-Router. Der wesentliche Unterschied zu einem normalen LAN ist, dass das Endgerät beispielsweise ein Notebook nicht mit einem Kabel, sondern über ein Funksignal mit dem Internet verbunden ist. WLANs zeichnen sich durch ihre große Sendeleistung, Reichweite sowie ihrer hohen Datenübertragungsrate aus.

WiFi hingegen steht für Wireless Fidelity und ist ein Kunstwort, das für den 802.11 Funk-Standard und dazu kompatible Geräte steht. Der Begriff WiFi wurde von einer Organisation namens Wi-Fi Alliance entwickelt, die Tests überwacht, die den nahtlosen Austausch zwischen Produkten zertifizieren. Ein Produkt, das die Tests besteht, erhält das Label "Wi-Fi certified" nach dem IEEE-802.11-Standard.

Kehren wir nun zurück zu unserer Ausgangsfrage: Was ist eigentlich ein Hotspot?

Ein Hotspot ist ein öffentlicher oder privater WLAN-Zugriffspunkt außerhalb des eigenen WLAN- Netzes. Öffentliche Hotspots, findet man mittlerweile an vielen öffentlichen Anlaufstellen wie Universitäten, Bibliotheken, Krankenhäusern, Flughäfen oder aber in Hotels, der Gastronomie und in Einkaufszentren. Während private WLAN-Zugänge nur von der Familie und vielleicht noch Gästen genutzt werden, sind Hotspots von vornherein auf eine öffentliche Nutzung angelegt.

Man unterscheidet grundsätzlich zwischen gesicherten Netzwerken, auf die man ohne entsprechende Zugangsdaten keinen Zugriff hat, und ungesicherten Netzwerken, die für alle frei zugänglich sind. Beides hat seine Vor- und Nachteile.

• Ein gesichertes Netzwerk erfordert eine Authentifizierung mittels spezieller Zugangsdaten. Bei kostenpflichtigen Diensten ist eine Registrierung erforderlich, die ein wenig Zeit in Anspruch nimmt. Bei kostenfreiem WLAN, beispielsweise in Cafés oder Hotels, erhält man die Zugangsdaten meist auf Nachfrage. Hier genügt die Auswahl des entsprechenden Netzwerkes und die Eingabe der Zugangsdaten.
• Bei einem ungesicherten, unverschlüsselten Netzwerk erspart man sich dagegen die Zeit für Registrierung und Einrichtung und kann sofort lossurfen. Dafür ist man hier unerwünschten Spähangriffen leichter ausgeliefert.

Wie funktioniert ein Hotspot-System?

Grundsätzlich werden öffentliche Hotspots mit speziellen “Free WiFi” oder “Hotspot” Schildern oder Aufkleber gekennzeichnet.

Sobald sich ein Nutzer in der Nähe eines öffentlichen WLAN-Hotspots befindet, muss er nur das WLAN seines Endgeräts aktivieren und nach “Verfügbare Netzwerke” suchen. Wird das WLAN des Anbieters angezeigt, kann er sich mit dem Netzwerk verbinden. Falls sich der Nutzer noch nicht authentifiziert hat, wird sein Web-Browser automatisch zunächst auf eine Anmeldeseite, ein sogenanntes Captive Portal, geleitet. Dort muss sich der Nutzer mittels Eingabe eines gültigen Prepaid- Codes oder Passwortes authentifizieren. Der eingegebene Prepaid- Code oder das Passwort wird anhand einer Datenbank, die im Internet oder lokal auf einem Hotspot-Router liegt, überprüft. Wenn der Code bzw. das Passwort mit den Informationen auf der Datenbank übereinstimmt wird der Benutzer freigeschaltet. Gleichzeitig wird ein Timer aktiviert der sicherstellt, dass der Zugang nach Ablauf der gebuchten Zeit endet und gesperrt wird. Allerdings ist es möglich, die Internet-Sitzung zwischenzeitlich zu unterbrechen. Meldet sich ein Nutzer ab, kann er sein nicht verbrauchtes Zeitguthaben später weiter nutzen. Einige Systeme bieten zudem die automatische Speicherung des Guthabens, falls der Benutzer vergisst, sich abzumelden.

In der Regel sind auf Hotspots eine Benutzerisolierung konfiguriert. Das bedeutet, dass die Daten, die an einen anderen Benutzer des gleichen Hotspots gerichtet sind, nicht weitergeleitet werden und damit der gegenseitige Zugriff auf Netzwerkdienste von Geräten anderer Benutzer unterbunden wird. Allerdings bietet die Benutzerisolierung keinen Schutz gegen das Abhören eigener Daten, da diese von Cyberkriminellen mit sogenannten Sniffer-Programmen auch direkt empfangen werden können.

Und da es bei der Nutzung öffentlicher Netzwerke keine absolute Sicherheit gibt, gilt jedoch die Grundregel bestenfalls überhaupt keine vertraulichen Daten über ein fremdes WLAN-Netz abzurufen. Will der Nutzer dennoch surfen, dann sollte er folgende Maßnahmen treffen:

• Nutzung eines Virtual Private Network (VPN):
  • Durch die Nutzung eines VPN greift der Nutzer über einen verschlüsselten „Tunnel“ auf das Internet zu und verhindert so ein Abfangen von Daten durch einen Dritten.
• Deaktivierung der automatischen Anmeldung an bekannten WLAN-Hotspots:
  • Durch die Deaktivierung der automatischen Anmeldung an bekannten Hotspots soll verhindert werden, dass Cyberkriminelle durch Benennung ihrer Hotspots nach gängigen Namen wie „Telekom“ oder „Free Wifi“ ein automatisches Einwählen von Nutzern erreichen, um dann deren Zugangsdaten abzugreifen oder den Datenverkehr mitzulesen.
• Grundsätzliche Deaktivierung der WLAN-Schnittstelle des Endgeräts – Aktivierung nur im Bedarfsfall:
  • Deaktivierung der WLAN-Schnittstelle ist aus zwei verschiedenen Gründen eine wichtige Sicherheitsmaßnahme. Zum einen bietet ein ausgeschaltetes WLAN keine Angriffsfläche und zum anderen kann so das sog. WLAN-Tracking verhindert werden.
• Deaktivierung von Datei- und Verzeichnisfreigaben:
  • Durch die Deaktivierung von Datei- und Verzeichnisfreigaben wird verhindert, dass das Gerät des Nutzers für andere sichtbar ist.

Werden die genannten Maßnahmen zur Sicherung des eigenen Datenverkehrs getroffen, so bewegt man sich bereits deutlich sicherer durch öffentliche Netzstrukturen. Trotzdem sollte man sich im Einzelfall immer zweimal überlegen, ob man mit dem Abrufen und dem Transfer vertraulicher Daten nicht „warten“ kann, bis man sich in einer geschützten Netzwerkumgebung befindet.

Bevor wir zum Schluss unseres heutigen Podcast kommen, möchte ich der Vollständigkeit halber noch kurz auf mobile Hotspots eingehen.

Grundsätzlich hat es Vorteile, einen mobilen Hotspot einzurichten anstatt einen lokalen Hotspot zu nutzen. Denn lokale Hotspots, wie etwa in einem Café, sind häufig überlastet und haben zudem nur eine bestimmte Reichweite. Mit einem mobilen Hotspot ist man unabhängig von diesen Faktoren. Außerdem bietet ein mobiler Hotspot Sicherheit, da die Daten nicht über das Netzwerk eines öffentlichen lokalen Hotspots fließen, bei dem andere WLAN-Nutzer diese möglicherweise einsehen könnten.

Es gibt mehrere Möglichkeiten, um einen mobilen Hotspot einzurichten.

1. Mittels Smartphones: Als mobiler Hotspot baut das Smartphone eine Verbindung mit dem Internet auf und stellt diese anderen Geräten zur Verfügung. Dabei verbindet sich das Smartphone über das Mobilfunknetz mit einem oder mehreren internetfähigen Geräten, etwa Notebooks, PCs, Tablets und anderen Smartphones. Dieser Vorgang nennt sich Tethering.
2. Mittels Mobile WLAN Router/MiFi Router: Hier handelt es sich um kleine Geräte, die sich mit dem mobilen Netz über 2G, 3G oder 4G verbinden und ein WLAN Netzwerk erstellen. Solche MiFi Router sind sehr praktisch, da sie es einem fast überall erlauben, schnell und unkompliziert ins Internet einzusteigen. Alles was man für mobiles Internet unterwegs braucht ist also eine SIM-Karte und einen MiFi Router (mobiler Wlan Router).

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Die Abkürzung FTP steht für File-Transfer-Protocol und ist die englische Bezeichnung für „Dateiübertragungsprotokoll”. Bei diesem Protokoll handelt es sich genauer gesagt um ein Netzwerkprotokoll, welches den Transfer von Daten zwischen einem Server und Client in einem IP-Netzwerk ermöglicht.

Die ursprüngliche Spezifikation des File-Transfer-Protocol wurde am 16. April 1971 als RFC 114 veröffentlicht. RFC steht für Request for Comments und bezeichnet ein formelles Dokument der Internet Engineering Task Force. Im Oktober 1985 wurde mit RFC 959 die heute noch gültige Spezifikation des File Transfer Protocol eingeführt. Somit gilt das File-Transfer-Protocol als eines der ältesten Protokolle, die es im Zusammenhang mit dem Internet gibt. 

Das File-Transfer-Protocol dient primär dem Austausch von Dateien zwischen einem Client und einem Server oder der Übertragung zwischen zwei Servern. Hierbei sind mehrere Konstellationen denkbar:

• vom Server zum Client
• Client zum Server

und

• von einem Server zu einem anderen Server. Hier spricht man in der Regel von einem Dateiaustausch mittels des File Exchange Protocols.

Sobald eine FTP-Verbindung hergestellt worden ist, können FTP-User nicht nur Dateien hoch- und herunterladen, sondern auch neue Verzeichnisse anlegen, verändern, auslesen oder löschen. Außerdem können sie Dateien umbenennen, verschieben und löschen. Zudem ermöglicht das File Transfer Protocol die Berechtigungsverwaltung für Dateien. Sprich, man kann festlegen, ob gespeicherte Dateien nur vom Besitzer, von einer bestimmten Gruppe oder von der Öffentlichkeit gelesen, geändert oder ausgeführt werden dürfen.

Aber lassen Sie mich die Dateiübertragung mittels des File Transfer Protokolls noch etwas näher erklären.

Um einen FTP-Server zu erreichen, ist zunächst einmal der Verbindungsaufbau durch eine Benutzerauthentifizierung und einen FTP-Client notwendig. Beim FTP-Client handelt es sich um eine Software, die in den meisten Betriebssystemen standardmäßig integriert ist und welches das FTP-Protokoll zur Übertragung von Dateien nutzt.

Ein FTP-Verbindungsaufbau sieht vor, dass das FTP zwei separate Verbindungen zwischen Client und Server herstellt. Eine Verbindung ist der Steuerkanal über den TCP-Port 21. Dieser Kanal dient ausschließlich zur Übertragung von FTP-Befehlen, auch Kommandos genannt und deren Antworten. Die zweite Verbindung ist der Datenkanal über den TCP-Port 20. Dieser Kanal dient ausschließlich zur Übertragung von Daten.

Im ersten Schritt wird also der Steuerkanal vom FTP-Client zum FTP-Server aufgebaut. Steht der Steuerkanal werden sowohl Befehle des Clients zum Server gesendet als auch die Antworten des Servers zum Client übertragen. Im zweiten Schritt wird Datenverbindung vom FTP-Server zum FTP-Client initiiert, um die Daten auszutauschen, wie es in den Kommandos festgelegt wurde. Sobald die Dateiübertragungen abgeschlossen sind, werden die Verbindungen vom Benutzer oder vom Server (Timeout) beendet.

Grundsätzlich gibt es zwei unterschiedliche Herangehensweisen, einen Datei-Transfer zwischen Client und Server zu initialisieren: den aktiven und den passiven Verbindungs-Modus.

Beiden gemein ist, dass zuerst eine Steuerverbindung aufgebaut wird, über die FTP-Kommandos gesendet werden, und anschließend zum Datentransfer eine Datenverbindung aufgebaut wird.

Der Unterschied liegt darin, wer diese Verbindungen aufbaut - Client oder Server. Im Detail läuft das folgendermaßen ab:

• Beim aktiven Verbindungsmodus reserviert der Client 2 TCP-Ports. Über den ersten Port baut er die Steuerverbindung zu Port 21 des Servers auf und teilt dem Server die 2. Port-Nummer mit, auf welchem der Client die Daten erwartet.
• Beim passiven Verbindungsmodus reserviert der Client 2 TCP-Ports zur eigenen Verwendung und baut über den ersten Port die Steuerverbindung zu Port 21 des Servers auf. Da eine passive Verbindung gewünscht ist, sendet der Client aus dem angesprochenen FTP-Befehlssatz das Kommando PASV. Damit weiß der Server: Eine passive Verbindung ist erwünscht, woraufhin er für sich einen TCP-Port für den Datentransfer reserviert und diesen Port dem Client mitteilt.

Neben dem aktiven und dem passive Verbindungs-Modus kennt das FTP zwei verschiedene Übertragungsmodi: Den ASCII-Modus und den Binary-Modus, wobei sich die beiden Modi in der Art der Codierung unterscheiden.

• Der ASCII-Modus wird zur Übertragung von reinen Text-Dateien verwendet. Hier muss die Zeilenstruktur des Textes umcodiert werden. Bei diesem Vorgang wird der Zeichensatz dieser Datei an das Zielsystem angepasst.
• Der Binary-Modus hingegen überträgt die Dateien byteweise ohne die Daten zu ändern. Dieser Modus wird am häufigsten genutzt. Vorzugsweise natürlich bei Binär-Dateien.

Außerdem bieten viele FTP-Server, vor allem Server von Universitäten ein sogenanntes Anonymous FTP an. Hier ist zum Einloggen neben den realen Benutzerkonten ein spezielles Benutzerkonto, typischerweise „anonymous“ und/oder „ftp“, vorgesehen, für das kein (oder ein beliebiges) Passwort angegeben werden muss. Früher gehörte es zum „guten Ton“, bei anonymem FTP seine eigene, gültige E-Mail-Adresse als Passwort anzugeben. Die meisten Webbrowser tun dies heute nicht mehr, da es aus Spamschutz-Gründen nicht zu empfehlen ist.

Bevor wir nun zum Ende unseres heutigen Podcast kommen, möchte Ihnen kurz die Begriffe FTPS und SFTP erläutern und vor allem warum sie zum Einsatz kommen.

Zunächst einmal müssen Sie wissen, obwohl ein -User zum FTP-Verbindungsaufbau stets ein Kennwort und Passwort eingeben muss, erfolgt die Übertragung von Dateien zwischen Client und Server immer unverschlüsselt. Das bedeutet, dass mit etwas Know-How und den richtigen Tools die gesamte Kommunikation einfach abgehört und auch verändert werden kann. Daher kann bei einer FTP-Verbindung kein Datenschutz oder und ein Schutz der Datenintegrität gewährleistet werden.

Um die Sicherheitsprobleme des FTPs zu umgehen hat man nun zwei Möglichkeiten: den Einsatz von SFTP oder FTPS.

• FTPS erweitert das FTP-Protokoll um eine SSL-Verschlüsselung. Da FTPS aber auch unsichere Verbindungen auf FTP-Basis ermöglicht, ist es nicht unbedingt das sicherste Protokoll.
• Im Gegensatz dazu basiert SFTP auf einem neueren Protokoll: SSH (Secure Shell). Dabei werden sämtliche Verbindungen verschlüsselt über einen zuverlässigen Kanal übermittelt. Eine unverschlüsselte Verbindung ist mit SSH somit ausgeschlossen.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Jeder kennt sie, niemand mag sie: CAPTCHAs. Vermutlich haben Sie auch des Öfteren Straßenschilder abgetippt, verzerrte und oftmals undefinierbare Ziffern wiedergegeben oder auch nur Tierbilder ausgewählt, um zu bezeugen, dass sie kein Roboter, sondern ein echter Webseitenbesucher mit Herz & Seele sind, richtig?

Der Begriff “CAPTCHA” steht für “Completely Automated Public Turing test to tell Computers and Humans Apart”. Frei übersetzt handelt es sich dabei also um einen „Test zur Unterscheidung zwischen Menschen und Computer“.

CAPTCHAs dienen der IT-Sicherheit und werden oft als Sicherheitsmechanismus eingesetzt, um interaktive Webseiten vor Missbrauch zu schützen und automatische Eingaben oder Abfragen von Spam- und Click-Robotern (Bots) abzuwehren. Man findet sie heutzutage nahezu in allen Bereichen, in denen es menschliche Nutzer von Bots zu unterscheiden gilt. Das betrifft beispielsweise Anmeldeformulare für E-Mail-Services, Newsletter, Communities und soziale-Netzwerke, aber auch Online-Umfragen oder Web-Services wie Suchmaschinendienste.

In der Regel handelt es sich bei CAPTCHAs meist um Challenge-Response-Tests, bei denen der Webseitenbesucher eine Aufgabe, die sogenannte Challenge, lösen und das entsprechende Ergebnis (Response) zurückschicken muss. Diese Art von Sicherheitsabfragen können menschliche Nutzer ohne weiteres bewältigen, während sie automatisierte Bots vor ein nahezu unlösbares Problem stellen.

Welche Arten von CAPTCHAs gibt es heutzutage?

Grundsätzlich lassen sich CAPTCHAS in text- und bildbasierte CAPTCHAs, Logik- und Frage-CAPTCHAs, Audio CAPTCHAs und Gamification CAPTCHAs unterteilen.

• Textbasierte CAPTCHAs: Sie ist die älteste Form der Human Verifikation. Textbasierte CAPTCHAs zeigen verzerrte Wörter, Buchstaben oder Zahlen mit zusätzlichen grafischen Elementen wie Linien, Bögen, Punkten oder Farbverläufen. Der Webseitenbesucher muss diese entziffern und ins Eingabefeld eintragen. Klassische Verfahren, die bei der Erstellung textbasierter CAPTCHAs zum Einsatz kommen, sind Gimpy, ez-Gimpy, Gimpy-r und Simard’s HIP.
  • reCAPTCHA: Eine prominente Variante des klassischen Text-CAPTCHAs bietet Google mit reCAPTCHA an. Statt zufällige Lösungswörter zu generieren, bekommen Nutzer beispielsweise Straßennamen, Hausnummern, Verkehrs- und Ortsschilder sowie Fragmente eingescannter Textabschnitte angezeigt, die sie entziffern und über die Tastatur in ein Textfeld eingeben müssen.

• Bildbasierte CAPTCHAs zeigen mehrere Bilder an und fordern den User etwa dazu auf, sämtliche Bilder mit einer Ampel zu markieren. Die Anwendung fällt leichter und die Schutzwirkung gilt als relativ hoch.

●       Audio-CAPTCHAs ermöglichen auch sehbehinderten Menschen einen Zugang zu catch-geschützten Bereichen einer Webanwendung. In der Regel werden text- oder bildbasierte Prüfverfahren mit sogenannten Audio-CAPTCHAs kombiniert. Oft wird dazu eine Schaltfläche implementiert, mit der Nutzer bei Bedarf ersatzweise eine Audio-Aufnahme abrufen – zum Beispiel eine kurze Zahlenfolge, die in ein dafür vorgesehenes Eingabefeld eingetippt wird.

• Logik-CAPTCHAs zeigen beispielsweise leichte Mathematik-Aufgaben, wie „Was ist die Summe aus 3+6?“. Die Aufgabe können aber auch Bots leicht lösen. Schwieriger ist eine Aufgabe wie „Berechne 3+6 und trage die ersten zwei Buchstaben der errechneten Ziffer ins Feld ein“. Hier wäre „ne“ der richtige CAPTCHA-Code.
• Gamification CAPTCHAs, sind mehr oder weniger unterhaltsame Minispiele, bei denen der Anwender beispielsweise Puzzleteile mit der Maus an die richtige Stelle rücken muss.

Bevor wir zum Ende unseres heutigen Podcasts kommen, möchte ich noch ganz kurz auf die Frage eingehen: Gibt es alternative Lösungen zu CAPTCHAs?

Obwohl CAPTCHAs zu den weitverbreitetsten Sicherheitsabfragen zur Erkennung von maschinellen Zugriffen zählen, gibt es auch alternative Sicherheitsmechanismen.

Zu bekannten Alternativen gehören unter anderem:

• Black-Lists: Sobald Webseitenbetreiber vermehrt Spambeiträgen oder massenhafte, automatische Abfragen aus einer bestimmten Quelle verzeichnen, können sie die Black List, eine sogenannte Sperrliste nutzen, um alle Server oder IP-Adressen aufzuführen, die bei zukünftigen Abfragen blockiert werden sollen.
• Honeypots: Ein Honeypot ist ein für den Nutzer nicht sichtbares Formularfeld. Es stellt eine Falle für die Bots dar. Diese füllen in der Regel alle Formularfelder aus. Sie können nicht erkennen, dass das Honeypot-Feld für den Nutzer nicht sichtbar ist. Folglich wird es von Bots mit ausgefüllt. Der Nutzer hingegen sieht das Feld ja nicht und lässt es leer. Somit kann der übertragene Inhalt von der Webseite leicht als Spam erkannt werden.
• Content-Filter: Content-Filter bieten eine Möglichkeit, Kommentarspam auf Blogs, in Onlineshops oder Foren entgegenzuwirken. Auch diese arbeiten mit Black-Lists. Dabei definieren Webseitenbetreiber sogenannte „Hot Words“, Keywords die in erster Linie im Rahmen von Spam-Kommentaren vorkommen, um verdächtige Eingaben automatisch als computergeneriert zu identifizieren. Kommen Content-Filter zum Einsatz, steigt jedoch die Gefahr, dass auch Beiträge menschlicher Nutzer blockiert werden, sofern diese Keywords der Black-List enthalten.
• Serverseitige Filterung: Auf den meisten Webservern kommt eine Filter-Software zum Einsatz, die es ermöglicht, auffällige Interaktionen mit bestimmten Bereichen einer Website zu erkennen und so den Schaden durch Spam-Bots zu begrenzen.

Zusammenfassend lässt sich sagen, CAPTCHAs können effektiv vor automatisierten und maschinell verbreiteten Spam-Nachrichten schützen. Obwohl die CAPTCHA-Technologie mit Einbußen in der Benutzerfreundlichkeit einhergeht und insbesondere Menschen mit Behinderungen oder Einschränkungen eine zusätzliche Barriere darstellt, ist sie für den Schutz einer Website oder eines Dienstes unverzichtbar.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein Bitlocker?” 

Bei BitLocker handelt es sich um eine Sicherheitsfunktion von Microsoft, die in bestimmten Versionen des Windows-Betriebssystems integriert ist und eine Verschlüsselung der Systemlaufwerke, Festplatten oder Wechseldatenträger ermöglicht. Dadurch bleiben die Daten bei Diebstahl oder beim physischen Entfernen einer Festplatte aus einem Rechner geschützt.

Die BitLocker-Laufwerkverschlüsselung sorgt in erster Linie dafür, dass Nutzer Daten nur dann lesen oder schreiben können, wenn sie über das erforderliche Kennwort bzw. die entsprechenden Smartcard-Anmeldeinformationen verfügen oder aber ein Datenlaufwerk auf einem Computer verwenden, der mit Bitlocker geschützt wird und über die entsprechenden Schlüssel verfügt. Darüber hinaus können Nutzer mit der BitLocker-Verschlüsselung ihr System so konfigurieren, dass dieses nur dann gestartet werden kann, wenn die richtige PIN eingegeben oder eine Schlüsseldatei auf einem Wechseldatenträger bereitgestellt wird.

Wie funktioniert die BitLocker-Verschlüsselung nun genau?

Zunächst einmal müssen Sie wissen, die BitLocker-Verschlüsselung durch den Advanced Encryption Standard, kurz AES, erfolgt. Die Schlüssellänge beträgt dabei 128 oder 256 Bit.

Außerdem setzt BitLocker für den Idealfall voraus, dass in dem System, dessen Laufwerke verschlüsselt werden sollen, eine Trusted Platform Module -Lösung integriert ist. Hierbei handelt es sich um einen Chip, der grundlegende Sicherheitsfunktionen zur Verfügung stellt. Zwar ist ein solcher TPM-Chip für die Aktivierung von BitLocker optimal, aber nicht zwingend erforderlich.

Kehren wir nun zur Frage zurück, Wie funktioniert die BitLocker-Verschlüsselung nun genau?

Um ein Systemlaufwerk verschlüsseln zu können, benötigt BitLocker grundsätzlich eine eigene Partition auf der Systemfestplatte. Auf dieser befinden sich dann alle notwendigen Daten, um den Rechner zu starten und die verschlüsselten Daten der Betriebssystem-Partition zu laden. Wird die Verschlüsselung aktiviert, erstellt Windows bei Bedarf diese Partition automatisch.

Diese Systempartition greift dann vor jedem Starten des Betriebssystems auf den TPM-Chip zu, um sicherzustellen, dass die Hardware im Offlinezustand weder verändert noch manipuliert wurde.

Sobald die Integrität des Systems durch das TPM-Chip sichergestellt wurde, entschlüsselt BitLocker die Systemfestplatte und das Betriebssystem kann endlich starten.

Grundsätzlich lässt BitLocker lässt sich abhängig von der Ausstattung des Computers in fünf verschiedenen Varianten betreiben.

1. Computer ohne Trusted Platform Module- Wenn im Computer kein TPM-Chip integriert ist, speichert BitLocker die Daten auf einem USB-Stick. Dieser muss mit dem Computer verbunden sein, damit BitLocker booten kann.
2. Computer mit Trusted Platform Module- Hier entschlüsselt BitLocker die Daten mit der im TPM gespeicherten Prüfsumme.
3. Trusted Platform Module und PIN - Bei dieser Variante müssen Anwender zusätzlich bei jedem Neustart des Computers eine PIN eingeben.
4. TPM und Startschlüssel - Statt der PIN verwendet der Computer einen Startschlüssel, der von einem USB-Stick bezogen wird.
5. Recovery-Schlüssel - Diese Funktion wird benötigt, wenn sich die Hardware des Computers ändert oder Anwender ihre PIN nicht mehr kennen.

Welche Windows-Versionen unterstützen die BitLocker-Verschlüsselung?

Die Bitlocker-Verschlüsselung wird grundsätzlich nur von bestimmte Windows-Versionen unterstützt. Dazu zählen:

• die Ultimate- und Enterprise-Versionen von Windows Vista
• die Ultimate- und Enterprise-Versionen von Windows 7
• die Pro- und Enterprise-Versionen von Windows 8 und Windows 8.1
• die Pro- und Enterprise-Versionen von Windows 10
• die Windows-Server-Versionen ab Windows Server 2008
• In Windows 10 Home ist die Unterstützung der Verschlüsselung zwar grundsätzlich vorhanden aber nicht nutzbar.

Bevor wir nun zum Ende unsere heutigen Podcasts kommen, möchte ich noch ganz kurz auf die Vor-und Nachteile der BitLocker-Verschlüsselung eingehen.

Die BitLocker-Verschlüsselung bietet zahlreiche Vorteile. Dazu zählen:

1. die Sicherheitsfunktion ist vollständig in das Windows-Betriebssystem integriert und einfach zu bedienen.
2. die Bitlocker-Verschlüsselung verhindert, dass Festplatten aus einem Rechner entfernt und auf einem anderen Rechner eingelesen werden. Somit sind beim Diebstahl eines Rechners die Daten geschützt und für Unbefugte ohne Kenntnis des Schlüssels, der PIN oder dem Besitz der Schlüsseldatei nicht lesbar.
3. die Vertrauliche Daten werden durch den Advanced Encryption Standard 128/256 gesichert
4. der Login ist nur per Trusted Platform Module oder per Master – Key vom System möglich

Neben bereits genannten Vorteilen birgt die BitLocker-Verschlüsselung auch Nachteile, wie

1. die verzögerte Startzeit beim Booten
2. die geringfügige erhöhte Auslastung des Systems und
3. der Zugriffssperre, bei Verlust oder beim Vergessen des Login-Keys

Zusammenfassend lässt sich sagen, dass man mit BitLocker sowohl eine effektive Datensicherung als auch Datenschutz gewährleisten kann. Auch wenn es einige Nachteile gibt, sollten Sie nicht vor einer BitLocker-Verschlüsselung abschrecken lassen. 

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein Ryuk?” 

Bei Ryuk handelt es sich um einen neuen hochriskanten Verschlüsselungstrojaner, der gezielt große Unternehmen und staatliche Behörden angreift, um immens hohe Lösegelder für die Entschlüsselung verschlüsselter Datenbestände zu fordern.

Der Verschlüsselungstrojaner Ryuk trat erstmals im August 2018 in Erscheinung und erwirtschaftete seitdem mindestens 705 Bitcoins Lösegeld – umgerechnet entspricht das derzeit 2,25 Millionen Euro. Aufgrund seiner Ähnlichkeit mit der Ransomware Hermes, gehen Sicherheitsexperten davon aus, dass beide Viren von der gleichen Hackergruppe entwickelt wurden und der Ursprung von Ryuk vermutlich in Russland liegt.

Ryuk tritt häufig in Kombination mit anderen Schadprogrammen wie Emotet und TrickBot auf. Er wird als besonders gefährlich eingestuft, da er neben der Verschlüsselung geschäftskritischer Daten, sämtliche Sicherungskopien die er in einem System und/ oder Netzwerk findet löscht und dadurch die Datenwiederherstellung erschwert.

Bevor es allerdings zu einer Infektion mit Ryuk kommt, öffnet der Trojaner Emotet seinen Mitstreitern die Tür zum Computersystem. Dabei installiert er sich in den meisten Fällen beim Öffnen eines infizierten E-Mail-Anhangs selbst und beginnt anschließend, das gesamte Computernetzwerk auszuspähen.

Im nächsten Schritt lädt er den Banking-Trojaner TrickBot nach. Dieser sammelt Informationen und sorgt für Datenabfluss. Dabei greift er vor allem Kontozugangsdaten für Bankkonten ab und gewährt den Hintermännern somit Einblick in die finanzielle Situation eines Unternehmens.

Zu guter Letzt hat dann die Ryuk-Ransomware ihren großen Auftritt. Wenn die Angreifer das Unternehmen als angemessen lukrativ für eine Lösegeldforderung einschätzen, lädt TrickBot schließlich die Verschlüsselungssoftware Ryuk herunter. Diese verschlüsselt vor allem geschäftskritische Datenbestände, welche bei der Auskundschaftung des Unternehmens als besonders wichtig eingestuft worden sind. Dabei nutzt sie die starken Verschlüsselungsalgorithmen RSA-4096 und AES-256. Darüber hinaus löscht sie im gleichen Zuge sämtliche Sicherungskopien, die sie finden kann.

Eine weitere Besonderheit von der Ryuk-Ransomware ist, dass sie im Gegensatz zu ihren Artgenossen, die verschlüsselten Daten nicht umbenennt, sondern eine Textdatei namens ("RyukReadMe.txt") erzeugt. Dessen Kopie fügt sie jedem vorhandenen Ordner bei, sodass die Betroffenen mehrere einzigartige Schlüssel benötigen, sprich mehr Lösegeld zahlen müssen, um die Daten zu entschlüsseln.

Im finalen Schritt fordert sie mittels einer Nachricht auf dem “Sperrbildschirm” die Betroffenen auf, das Lösegeld für die Entschlüsselung der Daten zu überweisen. Um hierbei die Spuren zu verwischen, werden die Zahlungen auf mehrere Bitcoin-Wallet aufgeteilt.

Wie kann man sich nun vor solchen gefährlichen Ryuk-Angriffen schützen?

Der beste Schutz gegen Ryuk-Angriffe ist, das man gar nicht erst mit infizierten Dokumenten und Dateien in Kontakt kommt und für ein rundum abgesichertes Unternehmensnetzwerk sorgt.

Damit ein Unternehmensnetzwerk wirklich sicher ist, müssen Sie alle Komponenten innerhalb des Netzwerks sichern, aufeinander abstimmen und auf dem neuesten Stand halten. All dies erreichen sie unter anderem durch:

Bevor wir nun zum Schluss unseres heutigen Podcasts kommen, möchte ich noch einmal ganz kurz alle wichtigen und jüngsten Fakten über die Ransomware Ryuk zusammenfassen:             

• Ryuk greift gezielt große Unternehmen und staatliche Behörden an, die erstens in der Lage sind hohe Lösegeldforderungen zu zahlen. Zweitens bereits mit den Schadprogrammen Emotet und TrickBot infiziert wurden.
• Vor dem Ausrollen von Ryuk führen die Hintermänner mithilfe der Standard-Tools der Windows-Befehlszeile eine Netzwerkerkundung durch.
• Die Hintermänner erreichen eine Lateral-Bewegung durch die Netzwerke der Betroffenen, indem sie die legitimen, gesammelten Anmeldeinformationen und Fernzugriffs-Tools wie RDP missbrauchen
• Um den Zugang aufrechtzuerhalten, erstellen die Cyberkriminellen Service-Benutzerkonten, die auch verwendet werden können, um auf Recovery-Bemühungen zu reagieren
• Sobald die Hintermänner Zugriff auf Konten mit erweiterten Rechten haben, deaktivieren bzw. entfernen Sie Sicherheitssoftware, Protokollierung und Backups
• Außerdem werden Batchskripts und Windows-Tools wie PsExec genutzt,  um Ryuk über einzelne Maschinen hinweg einzusetzen.                 

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein UEFI?” 

Die Abkürzung UEFI steht für "Unified Extensible Firmware Interface", was auf Deutsch soviel wie „Einheitliche erweiterbare Firmware-Schnittstelle“. bedeutet.

Das Unified Extensible Firmware Interface ist der Nachfolger des lange bewährten Basic Input/Output System. Da das 1981 veröffentlichte PC-BIOS den rasant verändernden Anforderungen moderner Hardware und Betriebssysteme nicht mehr gerecht wurde, entstand das erste EFI (Extensible Firmware Interface) unter der Anleitung und der Initiative von Intel.

2005 wurde das UEFI-Forum zur Weiterentwicklung von EFI, unter anderem durch Microsoft, Hewlett-Packard, AMD und anderer BIOS- & PC-Hersteller gegründet. Aus diesem Zusammenschluss entstand 2006 die erste UEFI-Version 2.0.

Diese bildet wie auch das BIOS, die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem und das System nach dem Start dem Betriebssystem zu übergeben.

Im Gegensatz zum BIOS stellt das UEFI ein eigenes kleines Betriebssystem dar, sodass sich Updates direkt über das UEFI laden und installieren lassen. BIOS-Updates dagegen, mussten früher heruntergeladen und aufwendig ins BIOS eingespielt werden. Außerdem umfasst die UEFI-Spezifikation eine API-Schnittstelle, um den Bootprozess und die Booteinträge von einem laufenden Betriebssystem aus konfigurieren zu können.

Die Grundfunktionen des Unified Extensible Firmware Interfaces haben sich gegenüber dem Basic Input/Output System nicht wirklich verändert.

Wie das BIOS wird auch UEFI bereits bei der Herstellung eines Rechners installiert. Es ist somit das erste Programm, das nach dem Einschalten ausgeführt wird. Dabei sorgt das Unified Extensible Firmware Interface für die Initialisierung der Hardware, die Überprüfung und Aktivierung der vorhandenen Hardwarekomponenten und das Starten des Betriebssystems.

Im Gegensatz zum BIOS bietet das Unified Extensible Firmware Interface allerdings viele neue Funktionen und eröffnet zusätzliche Möglichkeiten. Beispielsweise ist es über eine grafische Benutzeroberfläche bedienbar und unterstützt hochauflösende Grafikkarten schon beim Bootvorgang. Außerdem ermöglicht es die Nutzung von Netzwerkkarten schon vor dem Start des Betriebssystems. Darüber hinaus ist das Unified Extensible Firmware Interface modular erweiterbar.

Eine weitere wichtige und nennenswerte Funktion ist der so genannte Secure Boot.

Der im Unified Extensible Firmware Interface implementierte Secure-Boot-Mechanismus soll sicherstellen, dass nur signierte, vertrauenswürdige Software oder Betriebssysteme auf die Hardware zugreifen können. Das bedeutet wiederum, dass die Ausführung von Schadsoftware wie Viren oder Trojanern und das Starten von unerwünschten Betriebssystemen durch die Secure-Boot-Funktion verhindert wird.

Zur Realisierung dieser Funktion sind in der UEFI-Firmware Signatur-Datenbanken und ein Platform Key (PK) implementiert. Dadurch ist es möglich, Softwarecode vor der Ausführung zu überprüfen. Mal angenommen man möchte ein Betriebssystem starten. Wenn die digitale Signatur im UEFI nicht hinterlegt ist, wird dieser Vorgang durch den Secure-Boot-Mechanismus verhindert. Das gilt auch für das Booten von externen Medien wie USB-Sticks oder DVDs.

Ein weiterer entscheidender Unterschied ist zwischen dem BIOS und dem UEFI ist, dass Festplatten und SSDs anders partitioniert werden. Während das BIOS mit MBR arbeitet, nutzt UEFI das GPT-Partitionsschema. So kann man statt 4 primären Partitionen bis zu 128 Partitionen einrichten und statt 2,2 TByte nun 3 TByte große Speichermedien verarbeiten.

Ein weiterer Vorteil des UEFIs ist, dass die parallele Initialisierung der Hardware wie CPU, Arbeitsspeicher und Chipsatz den Bootvorgang beschleunigt. Im BIOS läuft dieser Vorgang seriell ab.

Leider hat das Unified Extensible Firmware Interface auch einige nennenswerte Nachteile und konzeptionelle Schwächen:

Zum einen benötigen viele Hardwarekomponenten nach wie vor zwei unterschiedliche Treiber, einen für das UEFI und einen für das eigentliche Betriebssystem.

Zum anderen gilt das UEFI in kritischen Systemumgebungen als Sicherheitsrisiko. Es erzeugt zumindest eine theoretische Möglichkeit, beispielsweise unter Ausnutzung der UEFI-Netzwerkunterstützung, Daten vom Betriebssystem unbemerkt an Netzwerkressourcen zu senden oder von diesen zu empfangen. Zudem stellt der Netzwerkstack unterhalb des Betriebssystems ein erhöhtes Risiko für Manipulationen oder die Ausführung von Schadsoftware dar. Trojaner und Viren könnten bereits vor dem Start des Betriebssystems auf den Rechner gelangen, da die Sicherheitssoftware der Betriebssystemumgebung im UEFI nicht aktiv ist.

Bevor wir nun zum Schluss unseres heutigen Podcast kommen, möchte ich noch auf die Frage eingehen, wie sieht es eigentlich mit der Kompatibilität zum BIOS aus?

Das Unified Extensible Firmware Interface bietet einen speziellen Kompatibilitätsmodus, um ältere Betriebssysteme ohne UEFI-Kompatibilität zu unterstützen. Man nennt das Modul Compatibility Support Module (CSM). Dieses Modul bildet ein normales BIOS innerhalb des UEFIs nach. Damit können auch ältere Betriebssystem mit einem UEFI-Motherboard starten. Je nach Implementierung zeigen die Systeme unterschiedliches Verhalten. Einige prüfen zunächst, ob UEFI-kompatible Bootmedien vorhanden sind und versuchen anschließend darüber zu booten. Hat dies keinen Erfolg, wechseln sie in einen BIOS-kompatiblen Modus. Andere Systeme erlauben das direkte Umschalten zwischen dem Basic Input/Output System und dem Unified Extensible Firmware Interface.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich eine API?”

Der Begriff API stammt aus dem Englischen und ist die Kurzform von „Application-Programming-Interface". Frei ins Deutsche übersetzt bedeutet das, so viel wie „Schnittstelle zur Anwendungsprogrammierung“. Allerdings wird die API umgangssprachlich meistens als Programmierschnittstelle bezeichnet und ist für das moderne Programmieren unerlässlich.

Generell dienen Programmierschnittstellen zur Kommunikation, zum Austausch sowie zur Weiterverarbeitung von Daten und Inhalten zwischen verschiedenen Geräten, Programmen, Websites oder Anbietern. So ermöglichen APIs zum Beispiel die Fernsteuerung der heimischen Heizung, indem sie die Temperaturwerte, die von einem Thermostat gemessenen wurden, über eine Cloud zum Smartphone des Endverbrauchers übermitteln.

Im Gegensatz zu einer Benutzerschnittstelle kommunizieren die Anwendungen direkt miteinander und nicht der Menschen mit einem System. Mal angenommen ein Internetnutzer bestellt einen Fernseher im Webshop. Dann kommuniziert er nur über die Weboberfläche des Onlineshops. Das Shopsystem selbst kann über die Programmierschnittstelle die Kundenbonität erfragen, die Zahlung per Kreditkarte oder Paypal veranlassen, bei einer Versicherung eine Garantieverlängerung abschließen und einen Spediteur beauftragen.

In anderen Unternehmensprozessen gewährleisten Programmierschnittstellen beispielsweise den Austausch sowie die Weiterverarbeitung von Daten und Inhalten zwischen Customer Relationship Management (CRM), Dokumentenmanagementsystem (DMS) und Enterprise-Resource-Planning (ERP) über die Cloud.

Aber wie funktioniert die API nun genau?

Die Programmierschnittstelle dient wie bereits erwähnt dazu, Soft- und Hardwarekomponenten wie Anwendungen, Festplatten oder Benutzeroberflächen zu verbinden, sprich mit einer API können zwei Anwendungen, die voneinander unabhängig sind, problemlos interagieren und Inhalte, Ressourcen und Daten austauschen. Die Übergabe von Daten und Befehlen erfolgt dabei strukturiert nach einer zuvor definierten Syntax*.

Hierzu werden einzelne Programmteile, die spezifische Funktionen erfüllen, vom Rest des Programmes abgekapselt. Die Module kommunizieren untereinander lediglich über die festgelegte API. Dort werden ausschließlich die Daten übergeben, die für den weiteren Programmablauf benötigt werden. Die API definiert dabei, in welcher Form Daten vom Anwendungsmodul entgegengenommen und wieder zurückgegeben werden. Der eigentliche Programmablauf innerhalb des Moduls ist für die API unwichtig.

Im Gegensatz zu einer Binärschnittstelle, kurz ABI, findet in der API die Programmanbindung rein auf der Quelltext-Ebene statt. Zur Bereitstellung einer API gehört meist eine ausführliche elektronische oder aber eine papiergebundene Dokumentation, in der die einzelnen Schnittstellenfunktionen, der genauen Syntax und die möglichen Parameter aufgeführt sind.

Grundsätzlich können Programmierschnittstellen in verschiedene Typen unterteilt werden: funktionsorientierte APIs, dateiorientierte APIs, objektorientierte APIs, protokollorientierte APIs und die RESTful-API-Schnittstelle.

• Funktionsorientierte APIs: Die funktionsorientierten Programmierschnittstellen reagieren nur auf Funktionen, wahlweise mit oder ohne Rückgabewert. Auf den Aufruf einer Funktion folgt die Ausgabe eines Referenzwertes (Handle). Dieser Wert dient zum Aufruf weiterer Funktionen, sind alle Funktionen verfügbar, wird das Handle geschlossen.
• Dateiorientierte APIs: Die dateiorientierten Programmierschnittstellen werden über die Befehle open, read, write und close angesprochen. Gesendete Daten werden mit write geschrieben, sollen Daten empfangen werden, sind diese mit dem read-Kommando einzulesen.
• Objektorientierte APIs: Die objektorientierten Programmierschnittstelle adressieren definierte Schnittstellen-Pointer, was diesem Schnittstellentyp gegenüber funktionsorientierten Schnittstellen eine erhöhte Flexibilität verleiht. Oft wird mit den Daten auch eine Typ- oder Klassen-Bibliothek übergeben.
• Protokollorientierte APIs: Die protokollorientierten Programmierschnittstellen befinden sich in keinerlei Abhängigkeit von Betriebssystem oder Hardware, allerdings ist das Übergabeprotokoll stets neu zu implementieren. Um diesen Vorgang zu erleichtern, werden protokollorientierte Schnittstellen im Regelfall von interface- oder funktionsorientierten Schnittstellen gekapselt.
• RESTful-API-Schnittstelle: Die RESTful-API-Schnittstelle stellt einen Sonderfall dar. Hierbei handelt es sich um eine Schnittstelle für Anfragen im HTTP-Format, der Datenzugriff erfolgt über GET-, PUT-, POST- und DELETE-Befehle.

Programmierschnittstellen sind mittlerweile in vielen Bereichen unterschiedlichster Softwareanwendungen vorzufinden. Im Web-Umfeld kommen APIs häufig bei Online-Shops und Content-Management-Systemen zum Einsatz. Es können dadurch unterschiedliche Bezahldienstleister, Online-Marktplätze, Shop-Bewertungssysteme oder Versanddienstleister und weitere Services mit wenig Aufwand standardisiert an die verschiedenen Systeme angebunden werden. Beispielsweise existieren APIs zu Services wie: Wikipedia, Google Maps, Facebook, Twitter, PayPal, DHL etc.

Bevor wir nun zum Ende unseres heutigen Podcasts kommen, möchte ich auf die Frage eingehen: Welche Vorteile ergeben sich nun durch die Verwendung von Programmierschnittstellen?

Einer der vielen Vorteile ist es, die Entwicklung von Software zu vereinfachen, indem komplizierte und zeitaufwendige Aufgaben automatisiert werden. Das bedeutet, dass bestimmte Aufgaben, die mehrere Stunden in Anspruch nehmen, nun in wenigen Sekunden durchgeführt werden können. Zudem sind die angebundenen Programme weniger fehleranfällig und leichter wartbar, da modulare Programmcodes verwendet werden. Arbeiten einzelne Funktionen fehlerhaft, müssen lediglich die betroffenen Module und die an der API übergebenen Daten genauer geprüft werden.

Ein weiterer Vorteil, dass sich aus einer sauber dokumentierten Programmierschnittstelle ergibt, ist die Möglichkeit der Auslagerung von Programmierarbeiten. Die Entwicklung einzelner Teilbereiche einer Software kann dank der Programmierschnittstelle mit geringem Aufwand an eine externe Softwareunternehmen oder freie Entwickler übertragen werden.

Zudem können Drittanbieter selbst Funktionen für das System entwickeln. Dadurch steigert sich die Attraktivität und Flexibilität des Gesamtprodukts und es ergeben sich klare Wettbewerbsvorteile.

Allerdings gibt es neben den genannten Vorteilen auch Nachteile: Um andere Anwendungen, Festplatten oder Benutzeroberflächen individuell anbinden zu können, braucht man Programmierkenntnisse. Hat man also keinen Entwickler im Unternehmen, muss man jemanden extern beauftragen. Außerdem benötigt das Entwickeln einer Anbindung Zeit.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein VLAN?”

Ein Virtual Local Area Network, kurz VLAN oder virtuelles LAN, ist ein virtuelles, rein logisches Netzwerk, welches auf einem physikalischen Netz basiert.

Bevor wir uns aber der Ausgangsfrage widmen, möchte ich Ihnen kurz den Begriff LAN erläutern.

Das physische Netzwerk, auch bekannt unter dem Begriff LAN oder Local Area Network, basiert heutzutage in den meisten Fällen auf einem oder mehreren Switches. Switches sind Geräte,  die den Datenverkehr unter den Teilnehmern regeln. Hierfür werden alle Netzwerkkabel an einem Switch verbunden, um so die Kommunikation zwischen den Computern zu ermöglichen.

Kehren wir nun zurück zu VLANs.

Ein VLAN ist wie bereits erwähnt ein virtuelles, rein logisches Netzwerk, das auf einem physischen LAN aufsetzt und eine standortunabhängige Verbindung im gleichen LAN ermöglicht.

Allerdings können VLANs nur mit Managed Switches etabliert werden. Sprich einem Switch der VLAN-fähig ist. Jedes virtuelle Netzwerk erhält dann eine Broadcast-Domäne über die ein Broadcast (Nachricht) versendet werden kann.

Sobald ein Teilnehmer innerhalb des VLAN einen Broadcast sendet, erhalten nur alle Teilnehmer innerhalb dieses VLANs die Nachricht. Sprich der Broadcast wird nicht über die Grenzen des virtuellen Netzes weitergetragen.

Grundsätzlich können VLANs auf zwei verschiedene Arten eingerichtet werden: portbasierte VLANs und Tagged VLANs.  

Je nach Typ steckt eine andere Technik dahinter. In vielen Fällen realisieren Netzwerkadministratoren ihre Installationen und Zuweisungen über eine Mischform dieser beiden Typen.

• Beim portbasierten VLAN wird jeder Netzteilnehmer über einen Port geleitet. Möchte man nun aus diesem einen physischen Netz zwei virtuelle Netze machen, weist man die entsprechenden Ports dem gewünschten virtuellen Netzwerk zu.
• Beim tagged VLAN funktioniert die Zuweisung zu VLANs dynamischer: Statt fest im Switch festgelegt, sorgt eine Markierung (Tag) im Frame des Nachrichtenpakets für die Zuordnung. Aus diesem Grund nennt man diese Technik analog zu den portbasierten Netzen auch framebasiert. In dem Tag steht die Information, in welchem VLAN man sich gerade befindet. Ein Switch kann so erkennen, in welchem Segment die Kommunikation stattfindet, und leitet die Nachricht dementsprechend weiter.

Der Vorteil eines Tagged VLAN gegenüber eines portbasierten VLANs ist, das bei einer portbasierte VLAN-Verbindung,  mindestens zwei Kabel zwischen den Switches verlegt werden müssen, da jedes VLAN seine eigene Verbindung braucht. Bei Tagged VLANs reicht ein Kabel, da die Verteilung über die Informationen des Frames funktioniert. Der Switch erkennt das korrekte VLAN und sendet es weiter an den entsprechenden zweiten Switch. Dort wird das Tag entfernt und das Paket an den korrekten Empfänger weitergeleitet.

Bevor wir nun zum Schluss unserer heutigen Podcast kommen, möchte Ich kurz auf die Frage eingehen: Warum sollte man ein größeres LAN in mehrere kleine VLANs segmentieren?

Der Einsatz von VLAN-Technologie hat gleich mehrere Vorteile:

●       Erstens, die Flexibilität: Die Konfiguration findet rein auf der Basis einer Software statt und ist somit auf jedem Endgerät installierbar und hängt nicht vom Standort ab. Der Mitarbeiter kann somit auch bei wechselnden Arbeitsplätzen die Daten über das virtuelle Netzwerk erhalten.

●       Zweitens, die Sicherheit: Die Broadcast-Domäne steht nur einer begrenzten Anzahl an Personen zur Verfügung und erreicht somit keine Personen für die die Informationen nicht gedacht sind.

●       Drittens, die Performance: Nachrichten müssen nicht mehr das komplette Netzwerk durchlaufen. Die unnütze Belastung der Bandbreite minimiert sich somit.

●       Viertens, die Ordnung: In einem LAN müssten alle Mitarbeiter bzw. deren Endgeräte verkabelt werden. Bei einem virtuellen Netz können mehrere Switches teilnehmen und die Verkabelung kann sinnvoller und ordentlicher erfolgen.

●       und zuletzt der Preis: Ein Virtual Local Area Network ist die günstigere Alternative zu LANs, weil sie weniger Router benötigen und auch der hohe zeitliche Aufwand bei der Installation der parallelen Netze entfällt.

Fazit: Sie sehen mithilfe von VLANs können IT-Verantwortliche ein bestehendes einzelnes physisches Netzwerk in mehrere logische virtualisierte Netzwerke unterteilen, um beispielsweise Hardwarekosten zu reduzieren, die unter anderem für den Kauf von Router anfallen, Hierarchien und Zugriffe besser kontrollieren oder aber die Sicherheit verbessern und sensible Daten schützen.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de

Heute dreht sich alles um das Thema: „Was ist eigentlich ein MPLS?” 

Hinter der Abkürzung MPLS verbirgt sich der englische Begriff Multiprotocol Label Switching.

Hierbei handelt es sich um eine Technologie, die in den späten 90 er Jahren entwickelt und eingeführt wurde, um eine schnelle Übertragungsrate von Sprachkommunikation und Datenkommunikation in einem Netzwerk zu gewährleisten.

Die MPLS-Technologie beruht dabei auf einem Label-basierten Weiterleitungsmechanismus. Im Gegensatz zum klassischen Datentransfer erfolgt die Routenberechnung, sprich die Weiterleitungsentscheidung hier nur einmal. Und zwar beim Eingang in das Netzwerk. Dabei werden die IP-Datenpakete entsprechend ihrer Priorität mit sogenannten Labels versehen und über einen vordefinierten Pfad durch ein verbindungsloses IP-Netz vermittelt. Gleichzeitig wird den IP-Datenpaketen die erforderliche Bandbreite zugewiesen und der Vorrang vor weniger wichtigen Paketen eingeräumt.

Aber bevor wir uns in Funktionsweise des MPLS-Multiprotocol Label Switching vertiefen, möchte ich Ihnen zunächst einmal die wichtigsten Bausteine des Multiprotocol Label Switching vorstellen.

Der Ingress Label Edge Router, der Egress Label Edge Router, der Label Switch Router (LSR) sowie der Label Switched Path (LSP)

• Der Ingress Label Edge Router ist für die Klassifizierung der eingehenden Pakete zuständig. Anhand der Zieladresse definiert bzw. signalisiert er den Label Switch Path und erweitert den IP Header des Pakets um den MPLS Header/ das Label.
• Der Egress Label Edge Router ist für das Entfernen des MPLS Header/ Label zuständig.
• Der Label Switch Router wird auch als Transit/Core-Router bezeichnet. Dieser leitet die Pakete anhand des Labels weiter und tauscht das Label gegebenenfalls aus, da diese nur zwischen 2 Hops gilt.
• Der Label Switched Path, ist die Gesamtstrecke zwischen dem Ingress und Egress Label Edge Router. Über diese Ende-zu-Ende Strecke werden die Pakete weitergeleitet. Dabei können Label Switched Paths statisch oder dynamisch etabliert werden.

Jetzt zurück zur Funktionsweise des Multiprotocol Label Switching.

Also grundsätzlich setzt der Einsatz von MPLS in IP-Netzwerken eine logische und physische Infrastruktur voraus, die aus MPLS-fähigen Routern besteht. Dabei operiert das Label-Verfahren vorrangig innerhalb eines autonomen Systems (AS), sprich einer Ansammlung verschiedener IP-Netze, die als Einheit verwaltet werden und über mindestens ein gemeinsames Interior Gateway Protocol (IGP) verbunden sind.

Bevor die einzelnen Pfade aufgebaut werden können, muss das verwendete IGP dafür sorgen, dass sich alle MPLS-Router untereinander erreichen können.

Sobald nun ein IP-Datenpaket in diesem MPLS-Netzwerk verschickt wird, erhält es vom Ingress-Router einen zusätzlichen MPLS-Header vor dem IP-Header des Pakets angehängt. Auf dem Übertragungsweg tauschen die einzelnen involvierten Label Switch Router das Label durch eine angepasste Variante mit eigenen Verbindungsinformationen wie Latenz, Bandbreite und Ziel-Hop, aus. Am Ende des Pfades wird das Label vom Egress Label Edge Router wieder aus dem IP-Header entfernt.

Sie können sich das ganze MPLS-Netz auch als eine Postfiliale vorstellen. Mal angenommen es ist Weihnachten und Sie möchte Pakete in der ganzen Welt verschicken. Sobald Sie die Pakete dem Postbeamten überreicht haben, versieht er sie mit unterschiedlich leuchtenden Länderkennzeichen. Der nächste Postbearbeiter, der für die Postsortierung zuständig ist, ordnet das Paket anhand dieses Kennzeichens der entsprechenden Poststelle des Empfängerland zu, ohne das er überhaupt die Adresse des Pakets genauer in Augenschein genommen hat. Genauso funktioniert es in einem MPLS-Netz:

Dank dem Label-basierten Weiterleitungsmechanismus werden Routing-Systeme entlastet und verfügbare Bandbreiten der Weitverkehrsnetze besser ausgelastet. Außerdem lässt sich durch das Multiprotocol Label Switching die Dienstgüte (Quality of Service (kurz QoS) ) in IP-Netzen bereitstellen und der Transport von Echtzeitdaten über paketbasierte Netze vereinfachen.

Sie sehen das MPLS-Verfahren bietet zahlreiche Vorteile.

Auch wenn die Vorzüge von MPLS insbesondere für Unternehmen und Einrichtungen mit verteilten Standorten interessant sind, bietet MPLS keine Immunität gegen Cyberangriffe. Das Attribut „privat“ steht in solchen Netzen nämlich nicht für Geheimhaltung und Verschlüsselung, sondern lediglich dafür, dass die verwendeten IP-Adressen nur intern erreichbar sind. Ohne zusätzliche Verschlüsselung werden sämtliche Informationen im Klartext übertragen. Daher gilt es neben der Verschlüsselung, sollten weitere Schutzmechanismen eingesetzt werden um die MPLS-fähigen Route gegen externe Zugriffe abzusichern

Alles in allem kann man sagen, dass das Multiprotocol Label Switching

• Erstklassige Performance bietet, da die vordefinierten Pfade für sehr schnelle Übertragungsgeschwindigkeiten sorgen und nur geringen Schwankungen unterliegen.
• Außerdem gewährleisten VPNs auf Basis von Multiprotocol Label Switching den Internet Providern eine Menge Spielraum bei der Ressourcenverteilung, was sich auch für die Kunden auszahlt. So können ganz spezifische Leistungspakete vereinbart und die Netze jederzeit problemlos erweitert werden.
• Zudem können Provider dank der MPLS-Infrastruktur verschiedene Quality-of-Service-Stufen anbieten. Die gemietete Bandbreite ist dabei keineswegs statisch, sondern ebenfalls klassifizierbar. Auf diese Weise lassen sich die gewünschten Dienste wie zum Beispiel VoIP priorisieren, um eine stabile Übertragung zu garantieren.

Kontakt: Ingo Lücker, ingo.luecker@itleague.de