Wir beraten und gestalten Marken

Das Rollfeld-Tagebuch

rollfeld bros. digital agentur logo
Netzwelt

Was ist ERP (Enterprise Resource Planning)

Zukünftig wird mit Überwachungssoftware geprüft, ob Microsoftkunden den „Verhaltenskodex“ des Unternehmens einhalten. Nach den neuen Geschäftsbedingungen können den Nutzern bei „Fehlverhalten“ die Zugänge zu ihren Daten gesperrt werden.

weiter lesen »
rollfeld bros. digital agentur logo
Krass

Microsofts Totalversagen und wer dafür schuldig ist

NETZWELT Microsofts Totalversagen und wer dafür schuldig ist (die Chinesen … na klar!) Wie schon zu befürchten war: „Die Chinesen“, mit denen Microsoft von ihrem eigenen Totalversagen abzulenken versuchen, haben ja neulich fies und gemein aus einem regulären Endanwender-Schlüssel einen Admin-Schlüssel gebastelt, die Schufte! Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist. Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur… wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht. This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft’s MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications. Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen. Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf „die Chinesen“ zeigen. Abstoßend, sowas. Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher* Hätte uns doch nur vorher jemand gewarnt!!1! Quelle: blog.fefe.de Microsofts gestohlener Schlüssel mächtiger als vermutet Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud. … Es handelt sich bei dem gestohlenen Schlüssel um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst, also eine Art Telefonbuch der jeweils bekannten Cloud-Nutzer. Und nach Wiz-Erkenntnissen konnte man mit diesem Signing Key Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer: „The compromised key was trusted to sign any OpenID v2.0 access token for personal accounts and mixed-audience (multi-tenant or personal account) AAD applications.“ Sprich: Auch in von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Storm-Trooper demnach einfach reinspazieren können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein „Login with Microsoft“ ermöglichten. Das wäre der Größte Anzunehmende Unfall (GAU) für einen großen Identitäts-Provider, der Microsoft gerne sein möchte. Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, sodass jetzt keine weiteren Zugriffe damit möglich sein sollten. Aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Doch wie macht man das? Den vollständigen Artikel gibt es hier … Quelle: heise.de

weiter lesen »
rollfeld bros. digital agentur logo
Krass

Kann man Nach-Hause-Telefonier-Software mit Telemetrie-Wohnsitz in der Cloud als deutsche Behörde datenschutzkonform einsetzen oder nicht?

NETZWELT Kann man Nach-Hause-Telefonier-Software mit Telemetrie-Wohnsitz in der Cloud als deutsche Behörde datenschutzkonform einsetzen oder nicht? Es geht um den Antrag auf Überlassung eines Rechtsgutachtens zur Datenschutzkonformität von Microsoft Office365 vom 12.11.2022 und 20.12.2022. „Ich spoiler mal das Offensichtliche: Nein. Kann man nicht. Nichtsdestotrotz haben die Bundesländer ein Gutachten in Auftrag gegeben. In der Hoffnung, offensichtlich, dass der Gutachter high, besoffen und blind ist. Und von Microsoft bezahlt, denn selbst ein Blinder sieht, dass das nicht geht. Und wie lief das Gutachten? Fragdenstaat wollte da mal reingucken, und das wurde ihnen verweigert. Der Antrag ist nach 8 6 a) IFG NRW abzulehnen, da das Bekanntwerden des Rechtsgutachtens die Beziehungen zu anderen Bundesländern beeinträchtigen würde. Wait … what?!? Die ALD hat einer Herausgabe zu recht widersprochen. Es handelt sich nämlich um ein internes Arbeitspapier der ALD, das der gemeinsamen Erarbeitung und Umsetzung einheitlicher Verhandlungsbedingungen dient. Ja! Richtig gelesen! Das ist klar illegal, also hoffen sich damit den Preis senken zu können. Hey Microsoft, wir bezahlen euch und die amerikanischen Geheimdienste doch schon mit dem illegalen Zugriff auf alle Daten unserer Bevölkerung, die wir hier ohne sie zu fragen ans Messer liefern!1!! Da könnt ihr doch sicher den Kaufpreis etwas senken? Schlagt das doch einfach auf die Wartungskosten drauf, die zahlt bei uns ein anderer Topf. Immer dran denken: Diese Leute sind von uns Steuerzahlern bezahlte Dienstleister, deren Auftrag es ist, sich an Recht und Gesetz zu halten. Wie kriminell müssen die noch werden, bevor man die einfach mal alle rausschmeißt?“ Quelle: blog.fefe.de Die Zurückweisung wurde wie folgt begründet: Eine Veröffentlichung des Gutachtens in diesem laufenden Verhandlungsprozess würde das Verwaltungsverfahren in mehrfacher Hinsicht ganz erheblich beeinträchtigen. So beschreibt das Gutachten detailliert, welche Maßnahmen als Mindest-Anforderungen für eine Vereinbarkeit der MS-Produkte und ihrer Nutzung mit der DSGVO gesehen werden und welche Anforderungen eher als optionale Maßnahmen wünschenswert wären. Erhielte Microsoft Kenntnis von der genauen Abgrenzung, welche Maßnahmen für eine Vereinbarkeit der MS-Produkte und ihre Nutzung mit der DSGVO als zwingend und welche nur als optionale Maßnahmen angesehen werden, würde dies die Verhandlungsposition des Bundes in zukünftigen Verhandlungen über die Konditionenverträge sowie der Verhandlungspositionen der Länder im Hinblick auf die datenschutzrechtlichen Anforderungen im Rahmen zukünftiger Beschaffungen von Lizenzen unter den Konditionenverträgen erheblich schwächen. Eine Zugänglichmachung des Gutachtens an Microsoft widerspräche damit einem wesentlichen Zweck der Einholung des Gutachtens. Dieser war und ist gerade die Bündelung und Stärkung der Interessen wie auch der Verhandlungspositionen der Bundesländer im Hinblick gegenüber Microsoft und den jeweiligen  Handelsvertragspartnern. Quelle: fragdenstaat.de

weiter lesen »