Angesichts des Totalausfalls bei der Deutschen Bahn nach einer Störung des Bahnfunks plädieren Sicherheitspolitiker für einen Ausschluss chinesischer Komponenten von kritischer Infrastruktur. „Es ist ein grundsätzliches Problem in Deutschland, dass wir im Bereich kritischer Infrastruktur große Abhängigkeiten von chinesischen Komponenten haben und bereits jetzt viele chinesische Komponenten verbaut sind“, sagte der CDU-Politiker Roderich Kiesewetter der Augsburger Allgemeinen.

Er halte „ein Verbot des Ein- und Verbaus von Komponenten aller chinesischen Hersteller in kritische Infrastruktur und sicherheitsrelevante Infrastruktur für überfällig“. Dabei gehe es nicht um einzelne Hersteller, sondern um die „grundsätzliche Nicht-Vertrauenswürdigkeit von Staaten wie China“.

Ähnlich äußerte sich der Grünen-Politiker Konstantin von Notz. „Dass in den Systemen der Deutschen Bahn bis heute zahlreiche Komponenten auch aus Ländern zum Einsatz kommen, die unsere kritischen Infrastrukturen gezielt ausspionieren und immer wieder auch sabotieren, ist ein Zustand, an dem schnellstmöglich etwas geändert werden muss“, sagte er der Zeitung.

Bahn schließt Cyberangriff aus

Wegen einer Störung des Bahnfunks musste die Deutsche Bahn am Dienstag den gesamten Zugverkehr anhalten. Tausende Fahrgäste steckten fest, weil Leitstellen und Lokführer plötzlich nicht mehr miteinander über Funk kommunizieren konnten.

Dass die Bahn den Zugverkehr unabhängig vom Wetter komplett stoppen muss, ist äußerst ungewöhnlich. Bei der Wartung einer Kernkomponente des Bahnfunks GSM-R sei ein Fehler aufgetreten, hatte der Chef der Bahn-Infrastrukturgesellschaft DB InfraGo, Philipp Nagl, gesagt. Einen Cyberangriff schloss die Bahn allerdings aus.

Anfang des Jahres hatte bereits die EU-Kommission mit einem Gesetzesvorschlag die Initiative ergriffen, um umstrittene Anbieter von Netzwerktechnik künftig in Deutschland und anderen EU-Staaten verbieten zu können. Bei dem Vorschlag dürfte es insbesondere um chinesische Technologiefirmen wie Huawei und ZTE gehen. Netzbetreiber haben das Vorhaben scharf kritisiert.

Hintergrund ist die Sorge vor Sabotage und Spionage durch Drittstaaten. In dem Entwurf der Kommission werden weder Unternehmen noch Länder genannt. Seit Jahren nachdrücklich wiederholte Empfehlungen der Europäischen Kommission an die EU-Länder, Technik von Huawei und ZTE aus Sicherheitsgründen nicht in ihren Mobilfunknetzen zu verwenden, könnten dadurch verpflichtend werden. Aus Sicht der Behörde schließen bislang zu wenig Länder die beiden Hersteller beim Betrieb von 5G-Mobilfunknetzen aus.

(mho)

Zur Prüfung von IP-Adressen gibt es in der Klasse System.Net.IPAddress schon seit .NET Framework 2.0 die statische Methode TryParse(), die eine IP-Adresse aus einer Zeichenkette extrahiert.

Seit .NET Core 2.1 ist die Extraktion auch aus dem Typ ReadOnlySpan möglich. Der Rückgabewert ist ein bool-Wert und die extrahierte IP-Adresse wird in Form einer Instanz der Klasse IPAddress als out-Parameter geliefert. Wenn man nur prüfen will, ob die IP-Adresse stimmt, schreibt man IPAddress.TryParse(eingabe, out _).

In .NET 10.0 bietet Microsoft nun in der statischen Methode IsValid() eine weitere Prüfungsvariante mit weniger internem Aufwand. Folgender Code vergleicht IsValid() mit TryParse():

/// 

/// IsValid mit ReadOnlySpan oder ReadOnlySpan als Alternative zu IPAddress.TryParse(span, out _)
/// 
public void Run()
{
 CUI.Demo("IPAddress.IsValid()");

 string IP1 = "192.168.1.0"; // gültige IPv4-Adresse
 CUI.H2(IP1);

 // --- Alt
 var valid1 = IPAddress.TryParse(IP1, out _);
 Console.WriteLine("TryParse: " + valid1); // true

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP1)); // true

 string IP2 = "192.168.256.1"; // ungültige IPv4-Adresse
 CUI.H2(IP2);

 // --- Alt
 var valid2 = IPAddress.TryParse(IP2, out _);
 Console.WriteLine("TryParse: " + valid2); // false

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP2)); // false
}

Dafür kehrt Microsoft nun einfach eine bisher interne Methode TargetHostNameHelper.IsValidAddress() nach außen, wie sich dem Issue auf GitHub entnehmen lässt.

(rme)

Der Weg in die Cloud ist für viele Unternehmen längst entschieden – und für die meisten führt er zu Microsoft 365. Das zeigt sich nicht nur in Statistiken, sondern in der gelebten Praxis.

In den vergangenen Jahren habe ich mit Dutzenden IT-Teams im deutschsprachigen Raum gesprochen, die genau diesen Weg gegangen sind: raus aus dem eigenen Serverraum, hinein in Microsoft 365 und Azure. Der Trend ist längst messbar. Laut Bitkom nutzen 90 Prozent der Unternehmen in Deutschland bereits Cloud-Anwendungen, nach 81 Prozent im Vorjahr. Diese Zahl allein verrät allerdings noch nichts über Microsoft.

Doch bei den Produktivitäts- und Kollaborations-Suiten teilen sich faktisch nur zwei Produkte den Markt: Microsoft 365 und Google Workspace. Mit dem Ende des Supports für Exchange Server 2016 und 2019 trennen sich viele Unternehmen von einer lokalen Exchange-Instanz. Für sie ist Microsoft 365 der naheliegende Hafen – und der Weg dorthin kürzer als jeder andere. Selbstverständlich gibt es neben M365 und Google Workspace auch weitere Optionen: einen europäischen Hoster, einen Hybrid-Betrieb mit verbleibender On-Prem-Komponente oder eine private Cloud. Jede dieser Optionen hat im richtigen Kontext ihre Berechtigung.

Der operative Befreiungsschlag

Der offensichtlichste Vorteil ist: Microsoft betreibt nicht nur Exchange Online, sondern auch SharePoint Online, MS Teams und so viel mehr für mich. Patch-Management, Storage-Erweiterung, Datenbankreparaturen, kumulative Updates – all das verschwindet aus meinem Arbeitsalltag. Was bleibt, ist Konfiguration und Governance. Also das, was wirklich Wirkung hat.

Hinzu kommt die Sicherheit: Microsoft hat 20 Milliarden US-Dollar über fünf Jahre für Cybersecurity zugesagt, und die Secure Future Initiative bündelt seit 2023 die Governance bis hinauf ins CEO-Office. Defender XDR, Entra Conditional Access, Purview, Sentinel – ein Stack, den selbst gut aufgestellte Mittelständler in Eigenregie nie stemmen könnten.

Geteilte Verantwortung

Doch Cloud heißt nicht automatisch „sicher“. Das Shared-Responsibility-Modell verlangt, dass Identitäten, Geräte und Daten weiterhin vom Kunden geschützt werden. Conditional Access, erzwungene MFA, Privileged Identity Management: Das ist Pflichtprogramm, nicht Beigabe. Microsoft liefert den Stack. Scharf schalten muss ihn der Administrator.

Warum also ausgerechnet Microsoft – und nicht Google Workspace oder ein Hybrid-Modell? Ehrlich gesagt: Für manche Konstellationen sind genau diese die bessere Wahl. Google Workspace spielt im reinen Web-Betrieb und in Echtzeit-Kollaborationen seine Stärken aus und lässt sich schlank administrieren. Europäische Anbieter und souveräne Clouds liegen dort vorn, wo Datenresidenz und Unabhängigkeit vom US-Recht das oberste Kriterium sind. Und ein Hybrid-Betrieb bleibt sinnvoll, solange einzelne Workloads oder Compliance-Vorgaben den Betrieb auf eigener Hardware verlangen.

Plattformtiefe entscheidet

Microsoft ist also nicht alternativlos. Aber in den meisten Fällen ist Microsoft 365 die erste Wahl – immer dann, wenn Plattformtiefe zählt: Identität, Collaboration, Security und Compliance greifen hier in einem einzigen Stack ineinander. Gerade für Mittelstand und gehobenes Enterprise ist das der pragmatischste Weg: weniger Schnittstellen, weniger Reibung, mehr Kontrolle.

Spielen auch Sie mit dem Gedanken, Microsoft 365 aus Ihrem Unternehmen zu verbannen? Einiges spricht dafür – und auch einiges dagegen. Die neue iX zeigt, was die Alternativen besser können und wo Microsoft 365 der Primus bleibt. Erhältlich ist das Juli-Heft ab sofort im heise shop.

(sfe)