Viele Grüße und ganz herzlichen Dank an den Vorstand des FMI e.V. für die freundliche Einladung!

es tut mir leid, wenn Ihr am 28.12.2009 ein wenig Infos zu FileDirector haben wollt, aber ich muss leider unseren kleinen Server in ein neues Rechenzentrum schubsen . documentjoe.de ist auf Reisen! Der Hyper-V Server wird heruntergefahren und unser documentjoe.de geparkt, ist dann spätestens nach 24h wieder verfügbar. Ich rechne aber mit deutlich kürzerer Zeit.

Bis dahin wünscht Euch joe erst einmal ein frohes Fest, vielleicht viel Spaß mit Euren Lieben!

Euer Joe

Auch in der Jackentasche ist die Wolke unbemerkt schon längst angekommen, denn Telefonieren lässt sich mit der Wolke auch. Android ist bei vielen schon ein Begleiter, kaufbar bei vielen Netzanbietern und schon in vielen Geräten dabei, unter anderem dem HTC Hero oder dem gerade auf dem Markt angekommenen Motorola Milestone. Die Denke ist nicht neu, denn der T-Mo Sidekick ist schon länger auf dem Markt, doch die ersten Gehversuche sind nicht ohne Stolpersteine. Während die Server zuletzt unter Gedächtnisschwund leideten, wussten die T-Mobile Kunden in Amerika wohl oder übel den gesamten Inhalt ihrer Geräte im Jenseits. Denn gespeichert wird auf den Geräten nichts, alles befindet sich in der Wolke.

So geht man dann auch hierzulande erst noch behutsam mit der Abgabe von Daten in die Wolke um. Viele deutsche Unternehmen zögern, auf das neue Pferd zu setzen. Wie sicher sind meine Daten, wer verwendet sie neben mir? Kann ich auch noch in 10 Jahren auf die Inhalte zugreifen? Gerade wenn man den Pfad der Spaßapplikationen verlässt ist die Wolke zukunftssicher für das Unternehmen?

Ganz klar, ja! Es gibt auch kleine Wolken. Und vor allem beständige, wesentlich sichere. ASP Modelle sind in Deutschland zwar jung, dennoch bietet eine immer größer werdende Zahl an ASP Anbietern Exchange-, CRM- und ERP- Lösungen über das Netz an. Die Vorteile liegen dabei auf der Hand. Die internen Kosten bei der Bereitstellung und bei den Lizenzen sinken deutlich, der ASP- Anbieter bringt alles gleich mit: Administration, Backup, Hilfe, Service& Support.

Und gerade hier kann FileDirector punkten, z.B. wenn die interne Infrastruktur noch nicht bereit ist um FileDirector zu integrieren, um eine größere Bandbreite zur Verfügung zu stellen, um Geld zu sparen oder auch nur um ein Backupsystem via Replikation dezentral zu hosten. Viele Features von FileDirector können jetzt schon in der Wolke genutzt werden. Das immer und überall sicher auf die Dokumente zugreifen ist für FileDirector aufgrund seiner Architektur ein Kinderspiel. Übrigens, Microsoft bietet mit Windows Azure ab 2010 die nächste Stufe von „Cloud-Computing“. Vielleicht finden dort auch bald einige FileDirector Systeme in den Instanzen von Azure platz?

FileDirector ist schon längst in der Wolke und für den Anwender/ Kunden vielleicht eine kostengünstigere und sichere Alternative als die klassische, lokale Installation eines Dokumentenmanagementsystems.

Würzburg, Sonntag bis Mittwoch
Um Würzburg herum ist die Funkausbeute von T-Mo außerhalb des Hotelbunkers absolut supi, im Hotelzimmer in “Veitshöchheim” allerdings katastrophal. Naja, das Hotel hat ja “kostenloses Internet”. Oder auch nicht. Die Fritzbox des Hotels funktionierte am ersten Abend nicht – auf Nachfrage in der Rezeption wurde mitgeteilt dass der Techniker wohl morgen erst kommen würde. Ich verkniff mir das “ich krieg keine IP, der DHCP streikt- startet das blöde Ding doch einfach neu” am ersten Abend und steckte die T-Mo mit Edge in’s Notebook. Am zweiten Abend hatten Sie denn wohl schon so verfahren, dann bekam ich auch raus warum die Fritzbox am Sonntag gestreikt hatte:

Also wechsle ich von T-Mo Edge zum Kabelnetzwerk im Hotel und beginne zu arbeiten. Allerdings nur kurz, denn nach 10 Sekunden bricht der Tunnel zusammen. Konsole auf, was ist da los? Mein MacBook kündigte “unübliche” Requests aus dem lokalen Netzwerk an. Ich war jetzt schon genervt, gab’ ja kein Frühstück auf dem Zimmer.

Naja, wenn die Clients da schon alle so unhöflich sind, schaust Du Dir ja das Netzwerk auch an. Nessus & Wireshark gestartet und was geht? Neben der anderen Hotelgäste – Auch ein freundlicher Rechner und dessen Nachbar fragten unhöflich auf dem beim Mac nicht vorhandenen RPC-Port an. Das blöde Ding der Rezeption, der ungepatchte Hotelserver (ich will nicht mal ansatzweise “erahnen”, was da wohl drauf ist) und weitere Clients der verbundenen Hotelgäste kommunizierten laut untereinander und versuchten meinen Mac mit in’s Streitgespräch einzubinden. Irgendwie war mir bei dem Netz wohl unwohl, ich startete ‘ne VM im bridged Mode, startete ein paar tools von einer warlinux distri, startete ‘nen bind, “fake’te” (wie schreibt man das in denglisch?) mit ‘ner virtuellen eth die mac auf die vom Gateway, quatschte ein klein wenig Blödsinn und brüllte danach ein paar dhcp-offers, wartete kurz ab, hing mich in den Verkehr und wollte mal so höflich abklären, was die da so für’n Problem mit mir haben.

Mir wurde speiübel. Ich verteilte kurz noch wieder das alte Gateway an das Proletariat und zog mich raus. Die IRC Anfragen auf einen gottseidank nicht mehr existenten Server bei Comcast drehten mir – nebst anderen Obszönitäten wie tausender smtp sessions und so’n Torrentblödsinn – meinen McDonaldsplastikkram fast schon im Magen um (Roomservice war ja bei Komfort-Zimmer nich’ drin, weder Frühstück noch Abendessen). Kein Wunder, dass die arme Fritzbox kollabierte. Ich möchte nicht wissen wo meine Kreditkartendaten von booking.com jetzt auch noch auftauchen. Naja, die Sparkasse tauscht ja eh jetzt wegen der Kreditkartengeschichte in Spanien – dann hat sich das ja auch – Link.

Sch**** nochmal. Ich IDIOT! Ein offener “Hotspot” namens “anette”, angeschlossen an Kabeldeutschland, der war die ganze Zeit schon da. Auch gestern schon. Mannomann, wie kann ich nur so dämlich sein. 20 MBit. Raus aus dem verseuchten Netz, Tunnel zu meiner Appliance auf, endlich Ruhe.

Straubing, Mittwoch bis Donnerstag
Heute morgen ausgecheckt, raus aus dem Bunker ohne Roomservice für Bustouristen. Sagst Du denen im Hotel da was? Ich glaube nicht, das kapieren die eh nicht. Ab auf die Bahn – habe übrigens einen Höhenschlag hinten rechts stelle ich fest. Würzburg -> Straubing, Sieben? Ach nö – lieber doch ab auf die Drei. Strecke kennst Du im Schlaf. Vergessen Navi zu nutzen, leicht heftige Bremse in einer Kurve schon nach 40 Kilometern, Stauende. Unfall dreier LKW, Aufräumarbeiten. Da war es schon wieder, das “joe – Du IDIOT!”. Du willst doch um 15 Uhr bei Gerhard sein. Und Du hast kurz vorher noch in Würzburg über die Drei gesprochen. Mannomann!

Im Radio hörst Du interessiert, was der Elite-Crew mit dem BKA so passiert ist. Ich kommentier’ das mal nicht.

Einchecken, so um 19 Uhr in’s Hotel. Die freundliche Dame weist auf das kostenlose Internet hin, schreibt die Nummer meines WiFi Pass des Hotspot Ticketings auf den Hotelmeldeschein. Stutzig? Ab zu einem erstklassigen Geschäftsessen (Danke Dir, Dirk! Erstesahne – Location, so lässt sich entspannt sprechen!). Das coole ASAM in Straubing verlangte leider im Spätbucherkurs das doppelte des Üblichen für die Nacht, das war weit über meinem Budget. Leider komme ich woanders unter. Cooles Zimmer, muss man schon sagen.

Ausgepackt, runter mit den Klamotten, Notebook an, eingeloggt. Keine AGB, keine Infos. Kurz OWA, SSL-Fehler. Was? Egal. Hirn aus. Nächster Gedanke – Checken was wirklich mit Elite ist. Gulli angesurft und:

Kalter, blanker Hass!

IPSec geht nicht. 1723? Mist. Lieber nicht. Schon zu spät. Da war es schon wieder, das “joe – Du IDIOT!” Wieder mal nicht nachgedacht. Leute, so geht das nicht. Raus da. Keinen Bock mehr. Stick rein, HSDPA an. RDP zur Appliance und zum AD. Kennwörter ändern. Gottseidank hab’ ich den T-Mo 1Gen XL iphone Tarif.

Chinesische Verhältnisse. Gott zum Gruss, Zensursula.

Sicherheit & Übersicht
… Es wird übersichtlicher in den Sicherheitsverwaltungen. OneClick Editing mit anschließender Warnung, ebenso können Effektive Berechtigungen angezeigt werden, das ist hilfreich sofern der Anwender Mitglied von mehr als einer bezogenen Sicherheitsgruppe ist:

BSP: One-Click-Security-Administration

Prozessmanagement: ODBC & Interaktive Verzweigungen
… Um einige Features ist das Prozessmanagement erweitert worden. Abhängig von Entscheidungen kann das Prozessmanagement ODBC sprechen. Ebenso bekommen die Anwender mehr Freiheiten, so dass möglichst gar keine Indizierungen mehr von Hand geändert werden müssen – Die Interaktive Verzweigung:

BSP: Die Anwenderbox zur Entscheidung

BSP: Die Definition der Verzweigung

PostIndexing
Scannen bedeutet nicht indizieren… Gescannte Dokumente können an spezifische Anwender zur Nachindizierung und Überprüfung gesendet werden. Der entsprechende Empfänger oder die Empfängergruppen können sich das Nachindizieren teilen. Die Dokumente zum Nachindizieren werden in der Empfangsbox angezeigt, der Anwender kann über neue empfangene Dokumente benachrichtigt werden…

BSP: Anwenderauswahl für die Nachbearbeitung im EM

ODBC Quellenauswahl mit “ODBCConnectionstring”
Sollten vorallem Anmeldekennungen an eine ODBC-Quelle übergeben werden, war das früher nur umständlich über das Editieren der web.config möglich. Jetzt können die Anmeldeoptionen zusätzlich zu diversen Parametern im ODBC Quellensetup im Enterprisemanager gesetzt werden:

BSP: Connectionstring im Enterprise Manager

Fulltext mit Positionsinformationen
Ja doch, ja – Es kommt in der 2.0.1… Mit einem “grünen Textmarker” werden die gefundenen Wörter auch im Papierdokument hervorgehoben… Hatten wir glaube ich schon – weis der Teufel warum Spielberg das für die 2.0.1 aufgehoben hat. Naja, wohl ein Musthave und dringender “Nachholer”…

Freiform – Stammdatennachbearbeitung
… Nabil hatte noch einen “Guten”, hab’ ich ganz vergessen. Die Durch das Freiformtool antrainierten Daten können jetzt von berechtigten Personen nachbearbeitet werden – Ich glaube, das habt Ihr Euch auch sehr gewünscht:

… Und noch viel mehr, z.B. neue Features im Codeless Connector, E-Series Integration, viele Vorschläge von Euch – und und und. Wie immer gilt: Releasenotes lesen, da erfahrt Ihr alles in Eurem FileDirector… Meine Vorfreude ist riesig, das wird wieder einmal ein Spitzenrelease!

ich bin für Euch wieder unterwegs! Nach einem wunderbaren Workshop in Hamburg könnt Ihr mich Mittwoch und Donnerstag auf der B2D Dialogmesse in der Veltins-Arena (Schalke) auf dem Stand von Metzner (Booth H16) erwischen und ein wenig mehr über die Themen DMS, Compliance und IT-Sicherheit erfahren. Mehr Informationen über die B2D bekommt Ihr hier: Link

Ich freue mich auf Euch!

Vorsicht! Hier geht es einmal nicht um die digitale Signatur von Dokumenten (das können wir auch), sondern es geht um sichere Kommunikation. Mit SSL kann man schon mal eine Menge machen. Es hilft ungemein. Ich werde mal versuchen, die Thematik mit einfachen Mitteln ein wenig näher zu bringen.
Manchen Administratoren ist SSL auch ein Dorn im Auge, denn SSL ermöglicht den Anwendern nahezu unprotokolliert aus dem Firmennetz hinauszukommen, um zB. Banküberweisungen zu machen, oder auch sonstigen Unfug.
Die Anwender wissen also, dass die Verbindung von A nach B verschlüsselt ist und bekommen das auch angezeigt. Meist durch das „Schloss- Symbol“ in der Fußzeile oder in und neben der Adressleiste im Internetexplorer. Ohne zu tief in die Details eingehen zu müssen, wissen wir also dass beim „surfen mit dem Schloss“ uns erstmal keiner über die Schulter gucken kann (es sei denn unsere Kiste ist verseucht, aber das schließe ich mal aus…).

SSL hat noch mehr Vorteile, doch immer der Reihe nach.
Zunächst erstmal müssen wir es schaffen, dass der Client (Surfer/ Anwendungsbenutzer) dem Server (Webseitenanbieter/ Anwendungsanbieter) vertraut. Das geht mit Hilfe eines Zertifikates. Wie heißt es so schön? „Garantiert die Identität eines Remotecomputers“. Ein Zertifikat kann man also nicht nur für die Signatur eines Dokumentes verwenden, sondern um sich als garantiert echter Webserver auszuweisen. Ich pappe dem Webserver also eine Briefmarke oben „drauf“. Allerdings kann ich nicht irgendeine Briefmarke draufpappen, es sollte schon so eine sein, welcher die Anwender auch vertrauen (Vertrauensstellung…) können. Üblicherweise kann ich mich an einen Diensteanbieter (Stammzertifizierungsstelle) wenden. Davon gibt es eine Menge: Geotrust, Verisign, etrust …; das ist in etwa so wie mit dem Straßenverkehrsamt und dem Autokennzeichen. Das kostet zunächst mal Geld. Um so ein Kennzeichen zu bekommen muss man sich ja auch ausweisen (Personalausweis, Handelsregisterauszug…). Aber: Alle Polizisten vertrauen Flensburg und so kommt es, dass wir eine zentrale Stammzertifizierungsstelle haben. Mit so einem Verkehrszeichen darf ich dann also rumfahren und werde ich geblitzt, dann vertraut mir auch der doofe Fotoapparat in sofern, als dass er weis dass ich sozusagen „ich“ bin und nicht jemand anders. So funktioniert das auch mit den Webseiten und den Zertifikaten.

Trustcenter, “Pfade”…
Aber, man kann das Spiel noch ein wenig weiter spielen. Wenn Sie in Ihrem Internetexplorer einmal auf „Zertifikat anzeigen klicken“ und dann auf Zertifizierungspfad, stellen Sie doch einen längeren Weg der Vertrauensstellung fest. Man kann das in etwa mit den regionalen Straßenverkehrsämtern vergleichen. Im Auftrag des Kraftfahrtbundesamtes stellen die nämlich die Kennzeichen aus. Also vertraut das Kraftfahrtbundesamt dem Straßenverkehrsamt Duisburg, dieses wiederum mir und so bekomme ich mein Kennzeichen für mein Auto. Bei digitalen Zertifikaten geht das noch ein Stück weiter, denn fast jedes große Unternehmen besitzt selbst ein sogenanntes Trustcenter welches wiederrum Zertifikate ausgibt (Zertifikate können unterschiedliche Zwecke haben, im Moment sprechen wir über die Identität eines Remotecomputers).
Es ist in etwa so wie wenn Helmut Meier Familie Müller vertraut, dann tut es Sohnemann Meier ebenso, oder Papa sagt – Mercedes ist cool, dann findet Sohnemann das auch. Ein richtiger Pfad also.

… so sieht das aus, wenn eine Vertrauensstellung im Straßenverkehr funktioniert:

Da bei unserer internen Verkehrsbehörde (Rosi) bescheid gewusst wird, dass ich das war, darf ich die zwanzig Euro wohl denn auch blechen… Trotzdem erinnere ich mich sehr gerne an dieses Foto.

…Fälschen von Kennzeichen möglich?
Aber ein KFZ- Kennzeichen kann ich ja fälschen, wie kann ich da sicher sein, dass ein SSL- Zertifikat echt ist? Niemals! Wir müssen vertrauen. Windows vertraut per default mehreren Trustcentern. Rauskriegen, wem Ihr vertraut könnt Ihr, wenn Ihr in der Kommandozeile „certmgr.msc“ eingebt und Euch in die „vertrauenswürdigen Stammzertifizierungsstellen“ bewegt. Das sind sozusagen die Kraftfahrtbundesämter, denen Windows vertraut.
Missbrauch möglich? Ja klar! Allerdings schützen wir uns in der deutschen Gesetzgebung in etwa so: „fälsche ich ein Autokennzeichen, so begehe ich eine Urkundenfälschung“. Oder so ähnlich. Da mir das aber im Internet nix bringt, da wir bei einer Verfolgung von Straftätern meist leer ausgehen, müssen wir schon technische Algorithmen mit einbauen. Es ist in etwa so wie mit einem Fingerabdruck, den wir da mit einbauen. Dieser muss dann aber auch zum „Remotecomputer“ also der Webseite passen. Wichtig ist also hier der „FQDN“ („fully qualified domain name“) also www.dasistmeinewebsite.de, das darf nicht abweichen! Ist hier ein Fehler in der URL, dann sagt mir mein Browser oder meine Applikation, dass da was nicht stimmt, oder derjenige der da sagt er sei jemand ist überhaupt nicht dieser jemand. Dann verweigert der Browser (die Applikation) typischerweise erstmal die Fortführung der Applikation und meldet dieses. Gleichso ist es mit dem Datum und der Uhrzeit (siehe Ablaufdatum eines Zertifikats). Übrigens: Weicht die Uhrzeit vom Server mehr als 5 Minuten von der des Clients ab, so gibt es ebenfalls eine Fehlermeldung. Dann gibt es noch Sperrlisten, sollte also ein Trustcenter mitteilen, das ein darunterliegendes Trustcenter oder ein Remotecomputer nicht mehr vertrauenswürdig ist (im Sinne von „hat gekündigt“ oder „bezahlt nicht“ oder „wurde gehackt“) dann ist es ebenfalls vorbei mit der Vertrauensstellung. Dennoch, traue ich auch dem Trustcenter von www.dasLstmeinewebsLte.de, kann mich das System nicht vor evtl. Phishing Atacken schützen.

Also geht es erst einmal nicht um die „Verschlüsselung“, sondern um die Identität! Und das gibt mir den Vorteil, dass jemand anders nicht sagen kann, er wäre John Lose. Da fällt mir gerade ein, dass mein Personalausweis abgelaufen ist, ach du liebe Güte!

Verschlüsselung
Dann, sofern wir wissen dass jemand wirklich jemand ist, dann geben wir auch unseren Benutzernamen und unser Kennwort preis. Hier haben wir den großen Vorteil, dass mir keiner meine EC Karte aus dem Portemonnaie mopsen kann. Jetzt wo wir beide schon auf einem sicheren Kanal funken, werden wir uns über einen gültigen Schlüssel unterhalten, der unser Gespräch verschlüsselt. (Phase 1 und Phase 4 der Verschlüsselung; Phase 2 und 3 werden verwendet, sofern der Server auch vom Anwender einen „Personalausweis sehen will).

Schutz vor dem Lauschangriff
Dann kann mir zunächst mal keiner die Sitzung „mopsen“ oder unerlaubt zuhören („session hijacking“/ „man in the middle“) zumindest wird es relativ schwer. Ich habe ebenso den Vorteil, dass mein Gespräch nicht verändert wird von Leuten die sonst immer meinen was anderes sagen zu müssen oder irgendwelche Gerüchte verbreiten, wie zB. Proxies und so’n Gestrüpp. Die wissen zwar, dass wir miteinander sprechen aber zuhören wird relativ schwierig, den Inhalt sehen sie also nicht.

Was bringt mir das im DMS?
Da FileDirector auch http spricht, kann er dieselbe Verschlüsselung und die gleichen Authentifizierungsmechanismen verwenden. Es kann also niemand anders vorgeben, mein FileDirector Server zu sein. Ebenso kann mir niemand zuhören oder die Daten verändern, sofern sie von A nach B transportiert werden. Ich habe kein Problem mit Proxys oder Anwendungsfiltern, die mich nerven könnten oder irgendwelchen Spielkindern, die wissen wollen was Onkel Joe mit seinem Server spricht. Das geht nämlich nur uns zwei was an.

SSL ist also eine ziemlich coole Sache, sofern man sie mal verstanden hat.

Tipps:
Übrigens, man kann es auch ein wenig „kostengünstiger“ haben, mit einer eigenen „Stammzertifizierungsstelle“, reicht vollkommen aus. Oder ganz billig: mal eben mit dem selfssl script (iisreskit); doch Vorsicht beim selfssl script: Hier ist der Server seine eigene Stammzertifizierungsstelle.
Wenn Ihr wissen wollt, wie TLS oder SSL wirklich funktioniert, so schlagt doch einfach mal auf wikipedia nach!

Links:
Windows PKI: http://technet.microsoft.com/en-us/library/bb735132.aspx
Trustcenter bei Tecchannel: http://www.tecchannel.de/sicherheit/grundlagen/402017/index10.html
SSL/ TLS bei Wikipedia: http://de.wikipedia.org/wiki/Transport_Layer_Security
Selfssl/ ISS RESKIT: http://www.msxfaq.de/tools/selfssl.htm