DER NETZWERK INSIDER – Ausgabe März 2024
No more Death by Online Presentation
von Steffen Moll
„Stell dir vor, du nimmst an einer Online-Präsentation teil. Draußen strahlt die Sonne, dein Schreibtisch biegt sich unter dem Berg an Aufgaben und dein E-Mail-Postfach quillt über. Und dann ist da diese Präsentation: inhaltlich irrelevant … eine Person, die monoton von Folien abliest, ohne einen Funken Interaktion oder Engagement. Und du wünschst dir, es gäbe einen Straftatbestand mit dem Namen: „Aktive Zuhörer-Sterbehilfe“.
Kennst du das? Diese Momente, in denen du dir wünschst, es gäbe eine bessere, spannendere Art, Informationen online zu vermitteln? Die gute Nachricht: Die gibt es. Doch zunächst stellt sich die Frage: Warum scheitern Online-Präsentationen so oft?
Sichere Kommunikationsprotokolle in der Gebäude-automation – im Fokus: BACnet Secure Connect
von Dr. Andreas Kaup
Die Gebäudeautomation wird immer wichtiger und ist für einen effizienten Gebäudebetrieb unerlässlich. Tatsächlich wird die Gebäudeautomation für eine Vielzahl von Nichtwohngebäuden durch das Gebäudeenergiegesetz (GEG) bis Ende 2024 sogar verpflichtend [1]. In der GEG-Novelle von Oktober 2023 wurden in §71a erstmals Anforderungen an die Nutzung einer Gebäudeautomation definiert. Für eine effiziente Gebäudeautomation muss Kommunikation zwischen allen Systemen der Gebäudeautomatisierung und -steuerung stattfinden. Um diese Kommunikation gewerke- und herstellerübergreifend zu ermöglichen, wurden im Laufe der Zeit GA-Kommunikationsprotokolle entwickelt und auch normativ definiert. Eines der weitverbreitetsten Kommunikationsprotokolle ist BACnet. Für diesen Standard wurde die neue Protokollversion BACnet Secure Connect (SC) entwickelt, welche im Vergleich zu vorherigen Versionen eine sicherere Netzwerkkommunikation ermöglicht.
Schadensersatz und Bußgelder wegen Datenschutzverletzungen
Wichtige Gerichtsurteile des Europäischen Gerichtshofs
von Sabine Sobola
Die Datenschutzgrundverordnung (DSGVO) wurde im Mai 2018 verabschiedet und wird seitdem von Behörden und Unternehmen mehr oder weniger gut umgesetzt. Dabei spielt immer wieder die Frage nach Bußgeldern der Aufsichtsbehörden und Schadensersatzforderungen von betroffenen Personen eine zentrale Rolle. Fast 6 Jahre nach Geltungsbeginn der DSGVO sind mittlerweile einige Urteile des Europäischen Gerichtshofs zu beiden Themenkomplexen gefällt worden, die einige Fragen dazu beantworten. Bereits an dieser Stelle muss jedoch ebenfalls festgehalten werden, dass viele Themen immer noch offen sind, insbesondere die Frage nach der angemessenen Bußgeld- bzw.- Schadensersatzhöhe.
Unternehmens-IT nach dem Modell Internet und große Clouds
von Dr. Behrooz Moayeri
Eine Unternehmens-IT, die nach den Modellen Internet, Clouds und Providernetze konzipiert ist, kann große Vorteile hinsichtlich Robustheit bieten. Sowohl beim Routing als auch bei Standort-Redundanz gibt es von den großen Providern und Cloud-Betreibern einiges zu lernen.
Der Bootloader als Sicherheitslücke
von Dr. Markus Ermes
Vor wenigen Tagen wurde eine Sicherheitslücke in einem weit verbreiteten Bootloader für Linux bekannt. Diese lässt sich interessanterweise auch remote ausnutzen. Aber Moment mal: Wofür braucht ein Bootloader einen Netzzugriff?
In diesem Standpunkt sollen kurz der Bootloader, sein Ursprung und die Funktionen dargestellt werden, die zu der Sicherheitslücke geführt haben, sowie die Sicherheitslücke selbst.
Herausforderungen einer Projektleiterin
mit Leonie Herden sprach Christiane Zweipfennig
Nur eine effiziente Projektleitung bringt Projekte erfolgreich ins Ziel. Projektleiter sind für die operative Planung und Steuerung des Projekts verantwortlich. Sie sind der organisatorische und kommunikative Dreh- und Angelpunkt des Projektes und kümmern sich um die Einhaltung von Terminen und Deadlines, das Erreichen von Etappenzielen, die Einhaltung des Kostenrahmens und die Qualitätssicherung der Arbeit.
Unternehmens-IT nach dem Modell Internet und große Clouds
In der letzten Insider-Ausgabe des Jahres 2023 ging ich auf folgende Netztrends ein, die aus meiner Sicht zu den wichtigsten im Jahr 2024 gehören:
- Ausfallsicherheit nicht nur mittels Hardware-Redundanz, sondern durch Segmentierung und damit Verkleinerung von Fehlerdomänen, sowie Einfachheit des Netzdesigns
- Vorausschauende Wireless-Planung
- Externe Anbindung aller Standorte über Glasfasern
Im Folgenden möchte ich auf den Zusammenhang des erstgenannten Themas mit den zunehmenden Verfügbarkeitsanforderungen an die IT von Unternehmen eingehen. Ich möchte darlegen, was man beim Aufbau und der Weiterentwicklung einer Unternehmens-IT vom Modell Internet sowie dem Modell großer Clouds lernen kann. Mir ist bewusst, dass ebenfalls die Betreiber großer Clouds nur mit Wasser kochen. Auch in großen Clouds der sogenannten Hyperscaler wie Microsoft kommt es zu schmerzhaften Ausfällen. Meine persönliche Erfahrung ist jedoch, dass die Verfügbarkeit großer Clouds höher ist als die durchschnittliche Verfügbarkeit der von den Unternehmen für den eigenen Bedarf betriebenen IT-Infrastruktur. Deshalb bin ich der Meinung, dass eine Unternehmens-IT nach dem Modell Internet sowie dem Modell großer Clouds für die meisten Unternehmen wesentliche Verbesserungen insbesondere hinsichtlich der Robustheit und Ausfallsicherheit bedeuten kann.
Das Modell Internet
In meinem oben genannten Beitrag im Insider 12/2023 bin ich auf das Modell Internet näher eingegangen. Ich habe darauf hingewiesen, dass ein wie das Internet als Verbund verschiedener Fehlerdomänen gestaltetes Netz robuster ist als eine einzelne Fehlerdomäne mit mehr Abhängigkeiten zwischen den Komponenten. Das Internet lebt davon, dass die verschiedenen Autonomen Systeme (AS) auch Fehlerdomänen in dem Sinne sind, dass ein Fehler, Problem oder Ausfall selten mehr als ein AS betrifft.
Der lose Verbund Internet besteht auf Routing-Ebene aus verschiedenen AS, die mittels Border Gateway Protocol (BGP), speziell eBGP (mit „e“ für „exterior“, d.h. AS-übergreifend) Erreichbarkeitsinformationen austauschen. eBGP hat sich als extrem robust erwiesen. Das zum Beispiel bei Multi-Protocol Label Switching (MPLS) oft genutzte interior BGP (iBGP, innerhalb eines AS) hat etwas mehr Abhängigkeiten zwischen Komponenten als das eBGP. Will man zum Beispiel, dass in einem AS alle BGP-Router dieselben Routing-Informationen haben, setzt man häufig sogenannte Route Reflectors (RR) ein, die als Drehscheibe für BGP-Updates fungieren. Man muss auch an RR-Redundanz denken.
Robustheit auf reiner IP-Ebene ist jedoch nicht das einzige Erfolgsrezept im weltweiten Internet. Ein weiteres äußerst robustes Internet-Gebilde ist das weltweite Domain Name System (DNS). Wir sind mittlerweile von der Namensauflösung mittels DNS genauso abhängig wie von der IP-Konnektivität. Das weltweite DNS hat sich wie das weltweite IP-Routing ebenfalls als sehr ausfallsicher erwiesen. Auch beim DNS gilt das Prinzip der verteilten administrativen Hoheiten. DNS ist als hierarchischer Baum aufgebaut. Auf höheren Ebenen gibt es sogenannte Delegationen zu den Subdomänen. Die DNS-Datenbasis ist auf sogenannte Zonen verteilt, auf die die DNS-Domänenstruktur abbildbar ist. Da jede Zone einer eigenen administrativen Hoheit unterliegt, wirken sich DNS-Probleme selten zonenübergreifend aus.
DNS ist nicht nur selbst hochverfügbar aufgebaut, sondern kann dazu genutzt werden, Dienste und Applikationen auf verschiedene Rechenzentren (RZ) zu verteilen und somit höchst ausfallsicher zu betreiben.
Hochverfügbarkeit mittels DNS
Die Betreiber großer Clouds nutzen DNS für Standort-Redundanz und Hochverfügbarkeit. Weltweite Clouds wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure bestehen aus verschiedenen Regionen im Sinne von Metropolitan Area Networks (MAN) mit mehreren RZ (genannt Availability Zones, AZ) pro MAN (Region). Auf oberster Ebene, d.h. zwischen den Regionen, sind die Abhängigkeiten minimiert. Cloud-Regionen arbeiten weitgehend unabhängig voneinander. Dies bedeutet, dass eine Applikation, die sich auf verschiedene Regionen abstützt, d.h. Ressourcen verschiedener Regionen alternativ nutzen kann, sehr ausfallsicher ist.
Das Hauptwerkzeug für die Umschaltung von einer Region auf die andere ist DNS. Ein Global Server Load Balancer (GSLB) kann eine DNS-Zone beherbergen (für die Zone „autoritativ“ sein, d.h. die DNS-Zoneninformation hosten). Der GSLB kann Ressourcen, die eine bestimmte Applikation in einer Region nutzt, überwachen. Fallen diese Ressourcen aus, kann der GSLB die Antworten auf DNS-Anfragen ändern. Beispiel: Wenn www.comconsult.com GSLB nutzt, wird die DNS-Anfrage nach der IP-Adresse des Webservers vom GSLB beantwortet. Dieser kann die für den Webserver bereitstehenden Ressourcen in einem RZ in Frankfurt und einem RZ in Berlin überwachen. Der GSLB kann im Normalfall eine IP-Adresse in Frankfurt als Adresse des Webservers mitteilen. Ist diese IP-Adresse nicht erreichbar, merkt das der GSLB und beantwortet DNS-Anfragen mit einer IP-Adresse in Berlin. Dabei kann die ganze Ressourcen-Gruppe in Berlin auf einer völlig anderen technischen Basis aufgebaut sein als die Ressourcen-Gruppe in Frankfurt. Solange die auf dem oder über den Webserver abrufbaren Daten zwischen Frankfurt und Berlin repliziert sind, bekommen die Benutzer von einem Schwenk von Frankfurt nach Berlin nichts mit, außer vielleicht einer kleinen Unterbrechung und möglicherweise etwas längeren Antwortzeiten.
Bei unserer Sonderveranstaltung Netze werde ich näher auf die Hochverfügbarkeit von DNS eingehen.
Vorausschauende Vergabe von IP-Adressen
Vielleicht wissen Sie, dass Microsoft bereits in 2011 für 7,5 Millionen Dollar 666.000 IPv4-Adressen aus der Konkursmasse von Nortel gekauft hat. Das war ein Schnäppchen. Heute ist eine öffentliche IPv4-Adresse ein Vielfaches von 9 Dollar wert. Es ist inzwischen jedem klar, wofür Microsoft IP-Adressen braucht, nämlich für Dienste und Applikationen in den Public Clouds. Nicht alle Applikationen und nicht alle potentiellen Kunden von Cloud-Betreibern können bereits IPv6 nutzen. Daher besteht nach wie vor großer Bedarf an IPv4-Adressen.
Öffentliche IPv4-Adressen sind praktisch restlos vergriffen. Wenn Unternehmen eigene, providerunabhängige IPv4-Adressen benötigen, zum Beispiel um unabhängig von der Infrastruktur eines einzelnen Providers im Internet Dienste für die Öffentlichkeit bereitzustellen, müssen sie in den meisten Fällen die öffentlichen Adressen über den freien Markt besorgen.
Nun ist eine Unternehmens-IT selten für die Öffentlichkeit da, sondern für eine geschlossene Gesellschaft. Die meisten Unternehmen kommen mit den als privaten Adressraum definierten Adressbereichen 10/8, 172.16/12 und 192.168/16 aus. Trotzdem sind die Zeiten großzügiger Zuweisungen von IPv4-Adressen endgültig vorbei. Gerade wenn hierarchische Strukturen mit verschiedenen RZ-Regionen, großen Campus-Bereichen oder gar einer aus verschiedenen Firmen bestehenden Gruppe mit IPv4-Adressen zu versorgen sind, muss man die Adressvergabe vorausschauend planen. Auch darauf gehe ich auf der Sonderveranstaltung Netze der ComConsult Akademie ein.
Von großen Providern lernen
Die verschiedenen AS im Internet werden von Netz-Providern betrieben. Insbesondere große Provider wie die Deutsche Telekom haben jahrzehntelange Erfahrungen beim Betrieb großer IT-Infrastrukturen. Auch von diesen Erfahrungen können die Planer und Betreiber von Unternehmens-IT lernen. Daher freue ich mich auf den Vortrag der Deutschen Telekom bei unserer Sonderveranstaltung Netze mit folgendem Inhalt:
- Was aus Telekom-Sicht in 2024 ansteht
- Software Defined Network
- Software-Defined Security
- Erkenntnisse nach über 30.000 Standort-Modernisierungen
- „Lessons Learned“ für eine robuste Netzstrategie
Und natürlich freue ich mich auf Ihren Besuch. An dieser Stelle dürfen die anderen Highlights der Veranstaltung nicht unerwähnt bleiben:
- Netze für smarte Gebäude
- Software-Updates für kritische Netzkomponenten
- KI-Nutzung für Netzmanagement
- Vortrag aus dem Hause des führenden Firewall-Herstellers Fortinet
- Campus Fabrics
- Stromversorgung für eine digitalisierte Welt
- IT-Verkabelung für Mietobjekte
- Preiswerte Kabelmessgeräte
- Wireless-Trends
- Vortrag des deutschen Herstellers LANCOM
- Sicherheitswerkzeuge
- Neueste Trends bei der IT-Ausstattung am Arbeitsplatz