Windows Server Virtual Machine Licensing

Die Lizenzierung in Windows Server 2019 erfolgt nicht auf Basis der CPUs, wie in Vorgängerversionen bis Windows Server 2012 R2, sondern auf Basis der CPU-Kerne. Das wurde bereits mit Windows Server 2016 geändert. In Hyper-V werden wiederum bei virtuellen Servern die logischen Prozessoren lizenziert, da diese das Pendant zu den physischen Prozessorkernen darstellen. 

Setzen Unternehmen also Server mit mehreren Prozessoren ein, ist pro Kern-Paar jeder CPU eine Lizenz notwendig, egal welche Edition im Einsatz ist.

Lizenzen von Windows Server 2016/2019 sind direkt auf die physische Hardware gebunden. Jede Lizenz deckt zwei physische Prozessorkerne ab. Sie dürfen mit der Standard Edition außerdem bis zu zwei virtuelle Server oder Hyper-V-Container auf dem lizenzierten Host betreiben. Beim Einsatz der Datacenter Edition dürfen Sie so viele virtuelle Server und Hyper-V-Container auf dem Host betreiben, wie die Hardware hergibt.  Welche Edition Sie einsetzen, müssen Sie also ausrechnen.

Hier spielen natürlich auch Faktoren wie Storage Spaces Direct und Storage Replica eine Rolle, genauso wie Shielded-VMs und Funktionen für hyperkonvergente Netzwerke. Alle Unterscheide der Editionen sind auf der Seite https://blogs.technet.microsoft.com/ausoemteam/2018/10/13/windows-server-2019-editions-comparison/ zu finden.

Voraussetzungen für die Verwendung des Offline-Domänenbeitritts

Nur Benutzer, die über die Rechte verfügen Computer einer Domäne hinzuzufügen, können Djoin für den Offline-Beitritt nutzen. Dazu müssen Sie entweder über Domänenadminrechte verfügen, oder ein Administrator muss die entsprechenden Rechte delegieren.

Die Rechte, um Computer in eine Domäne aufzunehmen, können Sie über Gruppenrichtlinien setzen. Bearbeiten Sie dazu unter „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten“ den Wert „Hinzufügen von Arbeitsstationen zur Domäne“. Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.

Der Offline-Domänenbeitritt erfolgt über das Tool Djoin in der Eingabeaufforderung auf einem Computer unter Windows 7/8/8.1, Windows 10 oder Windows Server 2008 R2/2012/2012 R2 oder Windows Server 2016/2019, der bereits Mitglied der Domäne ist.

Warum die Welt nicht wirklich vernetzt ist – noch nicht.

Auch wenn es so aussieht, als würden wir in einer vollständig verbundenen Welt leben, sind wir es nicht. Und da das Internet der Dinge die Anzahl und den Umfang der angeschlossenen Geräte drastisch erweitert, bietet das traditionelle Modell der Kommunikationsverbindung nicht mehr die Flexibilität und Autonomie, die die Verwaltung von länderübergreifenden IoT-Projekten erfordert. Eigentlich benötigen Unternehmen ein einziges, globales Mobilfunknetz – oder zumindest eines, dass nahtlos erscheint.

Doch die Realität sieht anders aus: Das Internet der Dinge steckt noch in den Kinderschuhen. Im Moment ist die Konnektivität oft auf die Vertragsgefüge der Carrier beschränkt. Wenn AT&T beispielsweise nicht in einer bestimmten Region aktiv ist, haben AT&T-fähige Geräte eine zunächst einmal eine Verbindungsproblematik. Mit einer globalen IoT-Plattform können Geräte – unabhängig vom Standort – zu einem möglichst niedrigen Preis ständig verbunden bleiben oder für eine bestmögliche Konnektivität ständig verbunden werden.

Die Datennutzung nimmt sehr schnell zu, und die meisten Mobilfunkbetreiber können ihre Netze nicht im gleichen Tempo bereitstellen. Dadurch ergeben sich Möglichkeiten für Unternehmen, ihre eigenen globalen Konnektivitätsnetzwerke aufzubauen. Ein globaler Anbieter von virtuellen Netzwerken kann in allen wichtigen Jurisdiktionen tätig sein, in denen die meisten Mobilfunkbetreiber nicht erreichbar sind, wodurch ein wirklich globaler und flächendeckender Zugang zu Konnektivitätsdienstleistungen erst möglich wird.

Globale Auswirkungen

Das Internet der Dinge bietet Einblicke und erhellt Situationen, die bisher verborgen lagen: Transparenz und Einblicke in Aktivitäten vom verbesserten Flottenmanagement für Nutzfahrzeuge über den effizienten Betrieb von Fluggesellschaften bis hin zur verbesserten medizinischen Versorgung und vernetzten Fahrzeugen. Die Erschließung des Potenzials des Internet der Dinge (IoT) ist heute ein Schlüsselelement in digitalen Transformationsprogrammen für Unternehmen.

Nehmen wir ein Beispiel aus der Logistik: Sie geben ein Paket an DHL oder FedEx weiter und es landet an der Lieferadresse. Während es möglich ist, online einzusehen, wann und wo es angenommen wurde, ob es in einem Versanddepot liegt und ob es auf dem Weg zum Ziel ist, ist das nur ein Teil der Geschichte. Mit einem global vernetzten Netzwerk können verschiedene Sensoren, die den Standort des Pakets übermitteln, genau sagen, wo sich das Paket auf seiner Reise befindet und welche Umweltbedingungen während der Fahrt herrschen. Dadurch ergeben sich neue Geschäftsmöglichkeiten, etwa bei verderblichen Waren.

Jetzt können Unternehmen aus den Bereichen Logistik und Spedition sicherstellen, dass ihre Fahrer immer mit dem Heimatstandort verbunden sind. Und Manager können mit der Analysesoftware die wichtigsten Leistungsaspekte ihrer Flotten weltweit und zu jeder Zeit verfolgen und analysieren. Dies hat derivative Effekte wie niedrigere Versicherungsprämien und eine bessere Verfügbarkeit der Wartungsdaten.

So unterstützt beispielsweise die thailändische DRVR Unternehmen in Europa und Asien bei der Disposition von Fahrzeugen und senkt die Kraftstoffkosten. Die angeschlossenen Sensoren von DRVR können erkennen, ob die Tür eines Fahrzeugs für einen bestimmten Zeitraum offen war oder ob sich eine bestimmte Position außerhalb der zulässigen Grenzen befindet. Die Herausforderung besteht darin, dass es in den Gebieten, in denen die Kunden von DRVR unterwegs sind, mehrere lokale Mobilfunkanbieter gibt. Bisher ist der einzige Weg, auf Daten in all diesen Regionen zuzugreifen, ein Vertrag mit jedem Mobilfunkbetreiber in jeder Region. Das wäre teuer und ein operativer Alptraum. Mit einem globalen Netzwerk, das grenzüberschreitende Verbindungen bietet, wäre das kein Problem.

Ein weiteres Beispiel ist die Luftfahrtindustrie. Die Mitarbeiter benötigen eine Konnektivitätsplattform, die ein besseres Kundenerlebnis bietet, während sie den Betrieb in länderübergreifenden Einsätzen koordiniert. Unsere MOVE-Plattform hilft beispielsweise einer im Mittleren Osten ansässigen, global operierenden Fluggesellschaft, sicherzustellen, dass ihr Betrieb in jedem Teil der Welt funktionsfähig ist. Wir bieten lokale Mobilfunkbetreiberverbindungen und Betreiber-unabhängige Roaming-Kostenverwaltung und Signalstärke. Diese Vereinbarung hilft der Fluggesellschaft, die beste Servicequalität auf allen Kontinenten, auf denen ihre Flotten tätig sind, zu gewährleisten.

Die Automobilindustrie ist eines der besten, aber auch anspruchsvollsten Beispiele für das Potenzial eines globalen Netzwerks. Die Fähigkeit eines Fahrzeugs, sich mit der Außenwelt zu verbinden, verbessert ohne Zweifel das Fahrer- und Passagiererlebnis und bietet spannende neue Möglichkeiten für Dienstleistungen. Automobilhersteller, Versicherungen und Telematikanbieter haben ein großes Interesse an den Leistungsdaten eines Fahrzeugs, mit denen sie Aspekte des eigenen Betriebs und der Instandhaltung optimieren, Infotainment-Dienste der nächsten Generation mit zusätzlicher Sicherheit und immer größeren Mehrwert für den Fahrzeughalter bieten können.

Dennoch: Neue vernetzte Fahrzeuglösungen, insbesondere solche in der Anfangsphase, sind komplex und entstehen aus einer fragmentierten Kombination des Know-hows unterschiedlicher Anbieter. Die Herausforderung für den Automobilhersteller besteht darin, Anwendungsfälle zu entwickeln, die den Bedürfnissen seiner Kunden am besten entsprechen und diese mit höchster Effizienz und geringster Komplexität erfolgreich umzusetzen. Mit einer globalen, einheitlichen Integrationsplattform wie Tata Communications MOVE wird der Zugang zu 600 Mobilfunknetzen in 200 Ländern der Welt ermöglicht. Damit ist sichergestellt, dass die für „angeschlossene“ Geräte lebenswichtige Kommunikationsverbindung immer unter Kontrolle ist, während die Möglichkeit des Providerwechsels nicht mehr die logistischen und operativen Auswirkungen hat, die sie bisher hatte.

Zuletzt bietet das Internet der Dinge auch im Gesundheitswesen Vorteile mit sich. So können, je nach Konfiguration, alle Beteiligten (etwa Ärzte, Patienten und Mitarbeiter) Zugang zu den Daten und Anwendungen erlangen, die sie benötigen, wo und wann immer sie gebraucht werden. Dies ermöglicht es der ganzen Branche, einheitliche Standards in der Patientenversorgung aufrechtzuerhalten und auch neue Dienstleistungen, etwa die Telemedizin, auszuloten, die eine wichtige und wirtschaftliche Möglichkeit ist, Patienten in abgelegenen Gebieten und bevölkerungsärmeren Ländern zu erreichen.

Gerade können wir erleben, wie die vernetzte Gesundheitsversorgung in Asien zum Leben erwacht. Ein aktuelles Beispiel ist TaiDoc Technology, ein Hersteller von hochwertigen Medizinprodukten zur Verbesserung der Gesundheit und Lebensqualität der Menschen, der ein globales Netzwerk nutzt, um die Reichweite seiner Geräte auf Länder wie China, Thailand und die USA auszudehnen.

Hier ist das Fazit: Um ihr volles Potenzial auszuschöpfen, benötigen IoT-Geräte eine wirklich grenzenlose, sichere und skalierbare Konnektivität, die die Erfassung, Bewegung und Verwaltung von Informationen weltweit ermöglicht. Während die Mobilfunkverbindung eine effektive Grundlage für IoT-Dienste ist, sind die heutigen Mobilfunknetze von Natur aus lokal. Wir müssen ein globales Ökosystem der Konnektivität aufbauen, um die Einführung des IoT durch Unternehmen weltweit voranzutreiben.

Sichern von Active Directory-Zertifikatdiensten

Wählen Sie im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole die Option Alle Aufgaben/Zertifizierungsstelle sichern. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können.

Auf der nächsten Seite des Assistenten wählen Sie aus, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend vergeben Sie ein Kennwort für die Sicherung, damit niemand Zugriff auf die Daten erhält. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

Zertifizierungsstellenverwaltung delegieren

Verwaltungsrollen können an verschiedene Personen in einer Organisation verteilt werden. Die rollenbasierte Verwaltung wird von Unternehmenszertifizierungsstellen und eigenständigen Zertifizierungsstellen unterstützt.

Klicken Sie auf der Registerkarte Zertifikatverwaltungen auf Zertifikatverwaltungen einschränken, und überprüfen Sie, ob der Name der Gruppe oder des Benutzers angezeigt wird. Klicken Sie unter Zertifikatvorlagen auf Hinzufügen und wählen Sie die Vorlage für die Zertifikate aus, die von diesem Benutzer oder dieser Gruppe verwaltet werden sollen. Über Berechtigungen konfigurieren Sie die Rechte auf die einzelnen Gruppen. In Windows Server 2019 sind Zertifikatvorlagen enthalten, die unterschiedliche Registrierungs-Agenttypen aktivieren.

Die Einstellungen für diese Agents werden auf der Registerkarte Registrierungs-Agents durchgeführt. Klicken Sie im Bereich Registrierungs-Agents auf Hinzufügen und geben Sie die Namen des Benutzers oder der Gruppen ein.

Auf der Registerkarte Überwachung werden die zu überwachenden Ereignisse ausgewählt. Die generellen Optionen der Überwachungsrichtlinie können in Gruppenrichtlinie unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien eingestellt werden. Die Ereignisse werden im Überwachungsprotokoll der Ereignisanzeige festgehalten.

 

Alluxio – Open Source Memory Speed Virtual Distributed Storage

Das System wird unter der Apache 2.0-Lizenz bereitgestellt. Es gibt daher eine kostenlose Community Edition. Im Fokus des Systems steht die Anbindung von Big-Data-Lösungen, wie zum Beispiel Hadoop oder anderen Systemen, die große Datenmengen verarbeiten müssen. Dazu verbindet sich die Lösung, mit der Daten verarbeitet werden, mit Alluxio. An Alluxio sind wiederum die verschiedenen Datenquellen angebunden. Alluxio kann diese Daten aus verschiedenen Quellen anschließend für die jeweilige Anwendung bereitstellen.

Alluxio unterstützt zahlreiche Storage-Systeme. Diese müssen nicht unbedingt mit HDFS betrieben werden. Auch Amazon S3 oder Swift werden uneingeschränkt unterstützt. Neben der Anbindung von lokalen Dateisystemen, die Daten für Alluxio zur Verfügung stellen, können parallel auch Clouddienste angebunden werden.

Alluxio hilft dabei Probleme bei der Extraktion von Daten zu lösen. Dazu stellt das Tool eine Brücke zwischen Anwendungen und Speichersystemen bereit, auf denen Daten gespeichert sind. Alluxio vereinfacht die Vorgehensweise für den Datenzugriff und unterstützt Anwendungen dabei unabhängig von Format und Standort auf Daten zuzugreifen.

In vielen Unternehmen wird die Objektspeicherung als wichige Datenquelle für Datenanalyseanwendungen wie Spark, Presto, Hadoop oder Machine Learning/AI-Workloads wie Tensorflow genutzt. Bei der Objektspeicherung kann es sich um Clouddienste wie AWS S3, Azure Blob Storage, Google Cloud Storage, Aliyun OSS, Tencent COS oder um lokale Objektspeicher wie Ceph oder Swift handeln.

Wie wird Cloud Computing grün?

Diese Frage diskutierte das Borderstep Impact Forum am 21. Mai 2019 im Harnack-Haus in Berlin in fünf Fachforen und einer Podiumsdiskussion. Auf dem Panel debattierten Rita Schwarzelühr-Sutter, Parlamentarische Staatssekretärin im BMU, Per Thoeresson, Botschafter von Schweden, Dr. Bela Waldhauser, CEO von Telehouse Deutschland und Dr. Jens Struckmeier, Gründer und CTO von Cloud&Heat Technologies.

In ihrer Keynote analysierte Rita Schwarzelühr-Sutter positive und negative Auswirkungen der Digitalisierung. „Digitalisierung ist der Schlüssel für eine nachhaltige Entwicklung, doch ist es wichtig, dass wir es in der Hand haben, in welche Richtung es geht.“

Per Thoeresson, Botschafter von Schweden, unterstrich in seinem Redebeitrag, dass Schweden bereits seit 1991 eine Steuer auf den Ausstoß von Kohlendioxid erhebt. Die Bürgerinnen und Bürger unterstützen das. Mehr noch – Nachhaltigkeit als Ausgangspunkt jeden Regierungshandelns ist sogar in der schwedischen Verfassung festgeschrieben. Doch im Alleingang kann auch ein vorbildlich aufgestellter Staat wenig erreichen. „Nur die Zusammenarbeit innerhalb Europas ermöglicht eine wirklich smarte Digitalisierung.“

Das Fachforum „Rechenzentren: Die energieeffiziente Basis der Digitalisierung?“, das u.a. vom Netzwerk energieeffiziente Rechenzentren organisiert wurde, befasste sich mit aktuellen Trends wie Edge Computing, Industrie 4.0 und Blockchain. Es wurde vorgestellt, wie eine Gaming-Plattform als Management-Tool für das Rechenzentrum genutzt werden kann und welche Potenziale in einer verteilten Edge-Lösung für mehr Nachhaltigkeit bestehen.

Going Global: IndustryStock BarCamps in China

IndustryStock und das Wirtschaftsministerium der Provinz Hebei hatten eingeladen und jeweils über 100 Gäste aus China, Deutschland, Polen, Tschechien, Holland, Italien, Schweden und Frankreich waren zu den zwei Veranstaltungen am 19. Mai 2019 nach Langfang gekommen.

Ursprünglich als klassische BarCamps geplant, wollten es die chinesischen Kollegen dann doch etwas traditioneller. Das sollte dem Interesse aller Beteiligten allerdings in keiner Weise schaden.

Im Rahmen der zielgruppenadäquaten Vorträge wurden natürlich auch die Industrie-Plattform IndustryStock und die neue Sensor-Plattform diribo der Initiatoren dieser Veranstaltung vorgestellt. Präsentator Silvio Haase (IndustryStock- und diribo-CMO) moderierte im Anschluss auch gleich noch die Podiumsdiskussion mit chinesischen und deutschen Gästen, die auf ein außerordentlich interessiertes Publikum traf.

Auf dem Podium diskutierten Shuguo Hu, Hebei Development and Reform Commission, Jing Wang, HBIS Group, Liang Chen, TradeAider, Kristin Wenk, WFBB und Matthias Ploechl, BioenergieBeratungBornim.

Höhepunkt der zweiten Veranstaltung war die offizielle Freischaltung der neuen Kooperationsplattform von IndustryStock. Gemeinsam mit Jing An, Stellvertetender Generaldirektor des Wirtschaftsministeriums der Provinz Hebei, leitete Silvio Haase den Countdown ein. Die Kooperationsplattform (www.industrystock.com/en/cooperation) ist eine aktive Anwendung, die passende Partner in aller Welt automatisiert matchen kann – egal ob es um Sales-, Technologie-, Forschungskooperationen oder Kauf und Beteiligungen geht.

Durch beide Veranstaltungen führte der Abteilungsleiter der Investitionsagentur Hebei, Jiang Qian, der unter anderem sagte, die neue Kooperationsplattform von IndustryStock ist auch für Hebei eine große Chance, ausländische Investoren zu gewinnen und zu fördern sowie die richtigen Partner zusammenzubringen.

Hebei
Die Provinz Hebei ist mehr als doppelt so groß wie Österreich, hat 70 Millionen Einwohner und umschließt Peking, die Hauptstadt Chinas. Hebei erfreut sich aufgrund der folgenden drei Fakten zunehmender Bedeutung: Die wirtschaftliche Entwicklung in Peking, Tianjin und Hebei werden staatlich koordiniert und gefördert. Mit der Xiong’an New Area entsteht ein ähnliches Wirtschaftsgebiet wie Shenzhen und Shanghai Pudong. Im Jahr 2022 werden die Olympischen Winterspiele in Peking und Hebei stattfinden.

IndustryStock
IndustryStock ist eine vom Deutschen Medien Verlag betriebene, weltweit agierende B2B-Plattform für Industrieunternehmen. Der geschäftliche Fokus der Plattform liegt darauf, Unternehmen aus aller Welt datengetrieben zu matchen, also auf digitalen Wegen neue Absatzmärkte zu erschließen.

Basis dafür ist die intelligente Nutzung von Daten wie zum Beispiel des Suchverhaltens von Fachbesuchern aus aller Welt sowie der Daten von mehr als 350.000 Unternehmen und 3,2 Mio. Industrieprodukten, die nach 100.000 Keywords klassifiziert und in 16 Sprachen abrufbar sind.

So wird die Plattform für Einkäufer in Industrieunternehmen zu einer weltweiten Spezialsuchmaschine, mit der gezielt neue Lieferanten und Geschäftspartner gesucht und gefunden werden. Verkäufer, Unternehmer und Manager nutzen zusätzliche IndustryStock-Tools als Platform-as-a-Service zur Digitalisierung von Sales- und Marketing-Prozessen.

Die Internationalität erschöpft sich nicht in der Mehrsprachigkeit. In Polen vermarktet der Industriefachverlag ELAMED IndustryStock.pl und in Tschechien Business Media CZ Industrystock.cz. Der Business-Verlag TPI ist im spanischen Sprachraum Partner und betreibt IndustryStock.es. In China zeichnet Gongji Network Technology für industrystock.cn und industrystock.hk verantwortlich. Das Netzwerk wächst weiter.

 

Offlinedefragmentation der Active Directory-Datenbank

Bevor Sie eine Offlinedefragmentation durchführen, sollten Sie eine Sicherung des Systemstatus Ihres Active Directory durchführen. Wie bei der Offlinedefragmentation von Exchange wird zunächst die Datenbank kopiert, dann offline defragmentiert und anschließend zurückkopiert. Stellen Sie daher sicher, dass sich auf dem Datenträger, auf dem Sie die Offlinedefragmentation durchführen, genügend Speicherplatz frei ist. Um eine Offlinedefragmentation durchzuführen, gehen Sie folgendermaßen vor:

  1. Starten Sie den Server im Verzeichnisdienst-Wiederherstellungsmodus
  2. Öffnen Sie eine Eingabeaufforderung und starten Sie Ntdsutil.
  3. Geben Sie anschließend den Befehl activate instance ntds
  4. Geben Sie den Befehl files ein, um zur file maintenance zu gelangen.
  5. Geben Sie den Befehl compact to <Laufwerk:\Ordner> Wählen Sie als Verzeichnis einen beliebigen Ordner auf der Festplatte aus. Ntdsutil kopiert die Datenbankdatei in diesen Ordner und defragmentiert sie.
  6. Wenn keine Fehlermeldungen während der Offlinedefragmentation auftreten, können Sie die Datei dit aus dem Ordner, in welchen sie defragmentiert wurde, zurück in den Datenbankpfad der produktiven Datenbank kopieren. Diesen Vorgang führt Ntdsutil nicht automatisch aus, Sie müssen die Datei manuell kopieren. Sichern Sie die alte Version der ntds.dit aus dem produktiven Datenbankordner. Verschieben Sie die defragmentierte Datei in den produktiven Ordner der Datenbank und überschreiben Sie die alte Version.
  7. Geben Sie in der file maintenance von Ntdsutil den Befehl integrity ein, um die Integrität der Datenbank festzustellen.
  8. Wenn die Integrität der neuen Datenbank sichergestellt ist, können Sie den Domänencontroller ganz normal neu starten. Sollten Fehler auftreten, kopieren Sie die zuvor gesicherte Originalversion zurück und führen Sie einen erneuten Integritätstest durch. Ist der Test diesmal erfolgreich abgeschlossen, versuchen Sie erneut eine Offlinedefragmentation und starten Sie den Test erneut. Sie sollten den Domänencontroller erst in den normalen Modus starten, wenn sichergestellt ist, dass die Datenbank auch konsistent ist.

Vorbereitungen für ein Linux-RAID

Linux unterstützt mehr Software-RAIDs als Windows und macOS. Welches RAID-System Sie nutzen können, hängt meistens von der Anzahl an Festplatten ab, die auf dem System zur Verfügung stehen. Folgende RAID-Systeme stehen zur Verfügung:

RAID 0 – Auch in Linux gibt es die Möglichkeit Software-RAIDs auf Basis der Zusammenfassung von mindestens zwei Datenträger zu einem gemeinsamen Datenträger zu erstellen.

RAID 1 – Festplattenspiegelung mit mindestens zwei Datenträger.

RAID 4 – Funktioniert ähnlich zu RAID 5. Allerdings werden die Paritätsdaten auf einer eigenen Festplatte gespeichert. Daher sind hier mindestens 4 Datenträger notwendig. Der Verlust eines Datenträgers kann kompensiert werden.

RAID 5 – Hier werden drei Festplatten benötigt. Im Gegensatz zu RAID 4 werden die Paritätsdaten auf den drei Festplatten verteilt. Der Verlust von einem Datenträger kann kompensiert werden.

RAID 6 – Mindestens 6 Festplatten sind notwendig. Der Verlust von zwei Festplatten kann kompensiert werden.

RAID 10 – Hier werden die Geschwindigkeitsvorteilte von RAID 0 mit der Datenspiegelung von RAID 1 kombiniert. Es sind mindestens 4 Festplatten notwendig.

In fünf Schritten zu Sicherheit und Stabilität in Kritischen Infrastrukturen

Das Mai 2018 in zweiter Fassung veröffentlichte Whitepaper »Anforderungen an sichere Steuerungs- und Telekommunikationssysteme« übersetzt die Highlevel-Forderungen aus dem deutschen IT-Sicherheitsgesetz und dem »Österreichische Programm zum Schutz Kritischer Infrastrukturen« (APCIP) in technische Anforderungen. Trotz des vergleichsmäßig hohen Detailgrades, auf den sich der deutsche Bundesverband der Energie- und Wasserwirtschaft (BDEW) und Österreichs Energie (OE) geeinigt haben, bleiben die Maßnahmen vage in der konkreten Umsetzung.

Das Whitepaper beschreibt auf 80 Seiten und in acht Maßnahmengruppen, wie die Prozess- und Netzleittechnik (PNLT) von Energie-, Wasserwirtschafts- und Öl/Gas-Unternehmen vor Störungen geschützt werden soll. Die Gruppen umfassen:

  1. Allgemeine Anforderungen (Sichere Systemarchitektur, definierte Verwaltungsprozesse, Sicherstellung der Datensicherheit und -integrität)
  2. Projektorganisation (Ansprechpartner, Tests, Datenspeicherung und -übertragung, Übergabeprozesse)
  3. Basissystem (Systemhärtung, Schadsoftware-Schutz, Authentifizierung, Virtualisierung)
  4. Netzwerk und Kommunikation (Protokolle, Segmentierung, Fernzugänge, Dokumentation)
  5. Anwendung (Rollen, Authentifizierung, Autorisierung, Umgang mit Webapplikationen, Integritätsprüfung, Logging)
  6. Entwicklung (Standards, Freigabe, Integrität)
  7. Wartung (Updates, Konfigurations- und Change Management, Sicherheitslücken)
  8. Datensicherung und Notfallplanung (Backup, Wiederanlauf)

Am Tagesgeschäft vorbei gedacht

Die Maßnahmengruppen des Whitepapers folgen damit der Architektur und Struktur der PNLT. Das Whitepaper verfehlt damit jedoch die Day-to-Day-Workflows und Zusammenhänge zwischen einzelnen Maßnahmen. Die Prozess- und Organisationslogik der IT/OT-Sicherheit wird nicht abgebildet. Insbesondere fehlt die Eingliederung in die etablierten Managementsysteme (wie QMS oder ISMS), die der Logik des kontinuierlichen Verbesserungsprozesses (Plan, Do, Check, Act) folgen. In der IEC 62443 wird dies zumindest in Teilen mit der Beschreibung der Risikoanalyse begonnen. In der Schweiz orientiert sich das »Handbuch Grundschutz für «Operational Technology» in der Stromversorgung« des VSE explizit am US-amerikanischen NIST-Standard. Dieser bricht die Cybersicherheit in Kritischen Infrastrukturen auf fünf logische Ebenen eines Defense-In-Depth-Konzepts herunter, die in einem Verbesserungsprozess münden:

  1. Identifizieren (Identify)
  2. Schützen (Protect)
  3. Erkennen (Detect)
  4. Reagieren (Respond)
  5. Wiederherstellen (Recover)

Der kontinuierliche Verbesserungsprozess für die Verfügbarkeit und Sicherheit der Steuerungsnetze hängt maßgeblich von der Transparenz und Sichtbarkeit durch eine Monitoring- und Anomalieerkennungslösung ab (Quelle: Rhebo)
Abb. 1: Der kontinuierliche Verbesserungsprozess für die Verfügbarkeit und Sicherheit der Steuerungsnetze hängt maßgeblich von der Transparenz und Sichtbarkeit durch eine Monitoring- und Anomalieerkennungslösung ab (Quelle: Rhebo)

BDEW-Whitepaper im Prozesskontext

Es ergibt daher Sinn, die Anforderungen des BDEW-/OE-Whitepapers auf die fünf Schritte des NIST-Frameworks zu beziehen.

Schritt 1: Identifizieren

Hinter dem Identifizieren verbergen sich alle Aspekte einer detaillierten Risikoanalyse. Der erste Schritt ist hierbei die Herstellung vollständiger Transparenz in Bezug auf:

  • Netzwerkstruktur
  • Komponenten, ihre Eigenschaften, Prozesse und Services
  • Bestehende Sicherheitslücken
  • Kommunikationsverbindungen (intern und mit externen Netzen)
  • Kommunikationsverhalten der einzelnen Komponenten
  • Kommunikationsprotokolle
  • Kommunikationsinhalte
  • Unterliegende Prozesse

Letztlich verbirgt sich hierunter vor allem die Maßnahmengruppe 4 »Netzwerk und Kommunikation«. Aber auch Aspekte der Gruppen »Allgemeine Anforderungen« (bestehende Sicherheits- und Monitoringstrukturen, Verwaltungsprozesse), »Projektorganisation« (Verantwortliche) und »Wartung« (Updates, Konfigurationen, Sicherheitslücken) fallen hierunter.

Grundsätzlich geht es darum, eine ganzheitliche Istanalyse der PNLT, organisatorischen Struktur und Gefährdungslage durchzuführen. Sie bildet die Basis, um festzulegen, worüber überhaupt gesprochen werden muss. Damit die nachfolgenden Schritte der Sicherung weder im Gießkannenprinzip ausgeführt werden, noch zu kurz gedacht werden, muss zwingend vollständige Transparenz hergestellt werden. Technologisch sollte hierbei über diesen Zeitraum der Istanalyse hinaus gedacht werden, denn auch im laufenden Betrieb der Sicherung, Erkennung und Reaktion steht und fällt die Handlungsfähigkeit der Verantwortlichen mit der Transparenz.

Im ersten Schritt müssen allen Komponenten, deren Verbindungen und die Verbindungsqualität analysiert werden. Rechts oben wird der Gesamtqualitäts-Score für das jeweilige Netzwerk auf einer Skala von 0-10 errechnet (Quelle: Rhebo Industrial Protector)
Abb. 2: Im ersten Schritt müssen allen Komponenten, deren Verbindungen und die Verbindungsqualität analysiert werden. Rechts oben wird der Gesamtqualitäts-Score für das jeweilige Netzwerk auf einer Skala von 0-10 errechnet (Quelle: Rhebo Industrial Protector)

Die Istanalyse ist auch nicht nur relevant, um die eigene PNLT besser zu verstehen. Sie offenbart in der Regel auch bestehende Engpässe, Gefährdungen und Fehlerzustände. In Stabilitäts- und Sicherheitsaudits, die wir regelmäßig in Kritischen Infrastrukturen im Rahmen der Erst- und Wiederholungsanalyse durchführen, finden sich im Schnitt rund 22 Gefährdungskategorien, die bislang den Verantwortlichen unbekannt waren. Die Analyse erfolgt hierbei mittels der industriellen Anomalieerkennung Rhebo Industrial Protector, die jegliche Kommunikation und Komponenteneigenschaften innerhalb der PNLT bis auf Inhaltsebene analysiert.

Schritte 2 und 3: Sichern und Erkennen

Diese Systemlösung bildet im Anschluss des Schrittes »Identifizieren« als Monitoring- und Detektionswerkzeug auch das Rückgrat der Sicherung der PNLT und des Erkennens von Störungen. Hierbei lernt die Anomalieerkennung das zu erwartende Verhaltensmuster der PNLT und analysiert die Kommunikation im Normalbetrieb auf Abweichungen (Anomalien). Wie vielfältig diese Anomalien ausfallen können, skizziert ein im März 2019 von der Allianz für Cyber-Sicherheit des BSI veröffentlichte Empfehlung zu Monitoring und Anomalieerkennung in industriellen Netzen. Die Anomalien werden in Echtzeit gemeldet und für die forensische Analyse inklusive der Rohdaten gespeichert.

Die Anomalieerkennung meldet jede abweichende Kommunikation im Steuerungsnetz und weist dieser eine Risikobewertung zu (1). Weiterhin können Details mit Handlungsempfehlungen abgerufen (2) und die Anomaliemeldung für die forensische Analyse als PCAP herunterladen werden (3). (Quelle: Rhebo)
Abb. 3: Die Anomalieerkennung meldet jede abweichende Kommunikation im Steuerungsnetz und weist dieser eine Risikobewertung zu (1). Weiterhin können Details mit Handlungsempfehlungen nachgeschaut werden (2) und die Anomaliemeldung für die forensische Analyse als PCAP herunterladen werden (3). (Quelle: Rhebo Industrial Protector)

Bei der Sicherung kommen hierbei die bekannten Mechanismen wie Segmentierung, Rollenkonzepte, Authentifizierung, Autorisierung, Prüfung der Datensicherheit und -integrität, Veränderungsmanagement, aktive Schadsoftware-Werkzeuge zum Einsatz. Diese sind im BDEW-/OE-Whitepaper über fast alle Kategorien verteilt. Im Sinne des Defense-in-Depth-Ansatzes, nach dem »Es gibt keine 100 prozentige Sicherheit.« die Basis aller Erkenntnis ist, übernimmt die Anomalieerkennung hier die Instanz eines durchgängigen Überwachungs-, Analyse- und Frühwarnsystems. Der Schutz der PNLT geht somit Hand in Hand mit der Fähigkeit, jedwede Veränderung zu detektieren. Denn nur was gesehen wird, kann auch abgewehrt werden. Das ist umso wichtiger in Infrastrukturen, die aus pragmatischen Gründen nicht auf Fernzugänge oder Webapplikationen verzichten können. Veränderungen betreffen hierbei nicht nur Vorfälle, die eindeutig als Sicherheitsgefährdung identifiziert werden können. Insbesondere wird auf die Fähigkeit hingewiesen, Vorgänge zu erkennen, die nicht durch die gängigen Blacklisting- oder Whitelisting-Konzepte abgedeckt werden. Diese Anomalien oder Abweichungen vom zu erwartenden Netzverhalten bergen bei täglich rund 400.000 neuen Schadprogrammen die eigentliche Gefahr.

Schritte 4 und 5: Reagieren und wiederherstellen

Diese Schritte werden im BDEW-/OE-Whitepaper nur sehr abstrakt behandelt, auch wenn sie im Tagesgeschäft die eigentliche Herausforderung darstellen. Über alle Kategorien wird auf die Notwendigkeit einer Notfallkonzeption verwiesen, konkrete Ansätze hierfür fehlen jedoch auch im eigentlichen Kapitel »Datensicherung und Notfallplanung«.

Eine sinnvolle Reaktion auf einen Vorfall im Sinne der Abwehr sowie internen und externen Kommunikation kann nur erfolgen, wenn alle Daten zum jeweiligen Vorfall vorliegen. Dazu gehören sowohl Details zu den Kommunikationsinhalten als auch Informationen zum Verlauf und den beteiligten Komponenten und Systemen. Die notwendige Vorfallsanalyse ist letztlich nur so gut, wie die Vorfallsdaten vollständig sind. Entsprechend hängen sowohl Effektivität der Reaktion als auch die Geschwindigkeit der Wiederherstellung und die kontinuierliche Verbesserung zur Steigerung der Resilienz maßgeblich von einer stichhaltigen und schnellen Analyse ab. Nicht zuletzt ist die Fähigkeit zur Analyse und Dokumentation auch für die Meldepflicht maßgeblich.

Verantwortliche in Kritischen Infrastrukturen sollten deshalb Überwachungssysteme auch danach bewerten, ob diese die Reaktion auf Vorfälle und die Wiederherstellung unterstützen. Dazu gehören:

  • Detailspeicherung von Anomalien mit Metadaten und Rohdaten;
  • Speicherung in universellem Format (z. B. PCAP), um Daten leicht teilen und programmunabhängig analysieren zu können;
  • universelle Schnittstellen (REST-API, Syslog u.a.) zur schnellen, verlustfreien Weiterleitung an andere Sicherheitssysteme (z. B. aktiv blockende Firewalls oder SIEM)
  • automatisierte Weiterleitungsregeln zur Unterstützung der unternehmensinternen Prozesse.

Auch diese Anforderungen können von einigen industriellen Anomalieerkennungen vollumfänglich abgebildet werden.

In Steuerungsnetzen kann es zu plötzlichen und schleichenden Störungen (Stillstand oder Blackout) sowie Effizienzverlusten kommen. Eine Monitoring- und Anomalieerkennungslösung minimiert die Wahrscheinlichkeit des Auftretens und unterstützt umgehend bei der Wiederherstellung (Quelle: Rhebo)
Abb. 4: In Steuerungsnetzen kann es zu plötzlichen und schleichenden Störungen (Stillstand oder Blackout) sowie Effizienzverlusten kommen. Eine Monitoring- und Anomalieerkennungslösung minimiert die Wahrscheinlichkeit des Auftretens und unterstützt umgehend bei der Wiederherstellung (Quelle: Rhebo)

Fazit

Wer das BDEW-/OE-Whitepaper umsetzen möchte, sollte auch weitere Empfehlungen (z. B. des VSE und des BSI) berücksichtigen, um gezielt und strukturiert die Anforderungen umsetzen zu können. Grundsätzlich sollte das Konzept der Defense-in-Depth verfolgt werden. Zu dieser gehört neben aktiven Absicherungswerkzeugen (Firewalls, Virenscanner, Datendioden) auch eine passive Monitoringkomponente in Form einer industriellen Anomalieerkennung. Die Chief Information Security Officers und IT-Leiter Kritischer Infrastrukturen erhalten die bislang fehlende Sichtbarkeit in ihre Netzwerke, ein proaktives Frühwarnsystem und schaffen eine fundierte Basis für das übergeordnete Netzwerk-Monitoring und die forensische Datenanalyse. Damit können sie ihre Prozess- und Netzleittechnik effektiv gegen Störungen wie Cyberattacken, Manipulation aber auch technische Fehlerzustände schützen und die Versorgungssicherheit gewährleisten.