Sonderhefte

Monolithen, Modulithen und Microservices | Methodisches Vorgehen bei Evolutionärer Architektur | Legacy-Systeme modernisieren | Architektur mit LLMs entwerfen 

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 7,90 Euro. Methoden und PatternsModule, Modulithen, Microservices oder Self-contained Systems – ein guter Teil der Überlegungen von Softwarearchitektinnen und -architekten befasst sich mit dem gekonnten Schnitt eines Projekts in sinnvolle Untereinheiten, sei es in der Neuplanung oder der Aufarbeitung von Legacy-Altlasten. Hinzu kommen Fragen des API-, Event- und Evolutionsmanagements sowie neuerdings: Wie beteiligt sich die künstliche Intelligenz an der Arbeit?Soziotechnische SystemeSoftwarearchitektinnen und -architekten sind in ständigem Austausch mit anderen Menschen. Die verschiedenen Stakeholder verfolgen ihre eigenen Interessen und wollen auf Augenhöhe eingebunden sein. Neben einer guten Kommunikationsfähigkeit helfen dabei Techniken, die die Gestaltung eines Softwareprojekts strukturieren, wie Event Storming oder Collaborative Modeling.QualitätsmanagementDokumentation, Security und Qualitätssicherung sind sie bei Architektinnen und Architekten nicht sonderlich beliebt. Diese Aufgaben lenken von der eigentlichen Arbeit ab und werden oft im Nachgang als Pflichterfüllung behandelt. Grund dafür sind allerdings meist aufgeblähte und strukturlose Prozesse, nicht das Thema an sich. Setzen die Projektbeteiligten effiziente Strategien und Tools ein, reduziert sich der Aufwand auf ein Minimum.Architektur und GesellschaftSoftwarearchitektur wirkt nicht nur nach innen, im Projekt oder Unternehmen, sondern auch nach außen in die Gesellschaft – und kann dort helfen, aktuelle Herausforderungen zu bewältigen: Mit der richtigen Team-Motivation und einer geschickten Ressourcenkonfiguration lassen sich CO2-Emissionen und Energiekosten sparen. Ein Quereinsteigerprogramm bekämpft den Fachkräftemangel, und mehr Diversität führt in Teams zu besseren Ergebnissen.Methoden und Patterns8 Modularisierung mit Komponenten12 Evolutionäre Architektur18 Microservices, Monolithen und Modulithen22 Refactoring mit Mikado-Methode28 Softwareevolution mit Nachhaltigkeit38 Microservices in einem Webprojekt44 Vom Legacy-Monolithen zum Self-contained System48 Domain-driven Transformation54 LLMs in der Softwarearchitektur58 Multi-Tenant-Architektur62 Federated-API-ModellSoziotechnische Systeme68 Softwarearchitektur: Ein soziotechnisches System72 Organisation im Griff dank Team Topologies76 Collaborative Modeling schafft Verständnis96 Kommunikation mit den StakeholdernQualitätsmanagement102 Qualität messen und kommunizieren106 Kompakte Architekturdokumentation mit Canvas110 Risikoanalyse mit leichtgewichtigen Architektur-Reviews116 Schlüssel und Zertifikate in der Architektur122 Security by Design für Software mit KI-Komponenten126 Pragmatische ArchitekturdokumentationArchitektur und Gesellschaft132 Green Coding – nachhaltige Software für eine grünere Zukunft140 Wie Quereinsteiger und erste Projekte zusammenfinden144 Frauen in Tech-Teams: Divers läuft es besser150 Green Scrum – Planet Erde als StakeholderRubriken3 Editorial139 Impressum

Mit dem Superbundle sparen Sie über 12 Euro! Komplett im Set: gedrucktes Heft + digitale Ausgabe. Enthalten im Angebot ist auch das Buch "Basiswissen für Softwarearchitekten (5. Auflg.)" vom dpunkt-Verlag im Wert von 34,90 Euro. Zum Buch: Basiswissen für Softwarearchitekten. In 5., überarbeiteter und aktualisierter Auflage, September 2023. Softwarearchitektur bildet einen wesentlichen Erfolgsfaktor für Softwareprojekte. Sie stellt im Sinne einer systematischen Konstruktion sicher, dass Qualitätsanforderungen wie beispielsweise Erweiterbarkeit, Flexibilität, Performance oder Time-to-Market erfüllt werden können.Dieses Buch vermittelt das notwendige Wissen und die Fähigkeiten, um eine problemadäquate Softwarearchitektur für Systeme zu entwerfen.Es behandelt:wichtige Begriffe und Konzepte der Softwarearchitektur,grundlegende Techniken und Methoden für den Entwurf und die Entwicklung,die Beschreibung und Kommunikation sowie Qualitätssicherung von Softwarearchitekturen,die Rolle, die Aufgaben und die Arbeitsumgebung von Softwarearchitektinnen und Softwarearchitekten sowieKategorien und Entscheidungskriterien für die Auswahl konkreter Werkzeuge.Diese 5., überarbeitete und aktualisierte Auflage wurde um neue Themen wie Architecture Decision Records erweitert und im Bereich der Prinzipien und Heuristiken sowie der Randbedingungen und Einflussfaktoren vertieft. Praxisnahe Beispiele, Exkurse, Lernkontrollen, Beispiel- Prüfungsaufgaben und ein Glossar helfen dabei, das Gelernte zu festigen.Das Buch orientiert sich am Lehrplan zum »Certified Professional for Software Architecture – Foundation Level« (CPSA-F), Version 2023.1, des International Software Architecture Qualification Board (iSAQB) und eignet sich daher nicht nur bestens zur Prüfungsvorbereitung, sondern dient gleichzeitig als kompaktes Grundlagenwerk zu diesen Themen in der Praxis und an Hochschulen.Leseprobe 1 (PDF-Link)Leseprobe 2 (PDF-Link) Zum Heft: Methoden und PatternsModule, Modulithen, Microservices oder Self-contained Systems – ein guter Teil der Überlegungen von Softwarearchitektinnen und -architekten befasst sich mit dem gekonnten Schnitt eines Projekts in sinnvolle Untereinheiten, sei es in der Neuplanung oder der Aufarbeitung von Legacy-Altlasten. Hinzu kommen Fragen des API-, Event- und Evolutionsmanagements sowie neuerdings: Wie beteiligt sich die künstliche Intelligenz an der Arbeit?Soziotechnische SystemeSoftwarearchitektinnen und -architekten sind in ständigem Austausch mit anderen Menschen. Die verschiedenen Stakeholder verfolgen ihre eigenen Interessen und wollen auf Augenhöhe eingebunden sein. Neben einer guten Kommunikationsfähigkeit helfen dabei Techniken, die die Gestaltung eines Softwareprojekts strukturieren, wie Event Storming oder Collaborative Modeling.QualitätsmanagementDokumentation, Security und Qualitätssicherung sind sie bei Architektinnen und Architekten nicht sonderlich beliebt. Diese Aufgaben lenken von der eigentlichen Arbeit ab und werden oft im Nachgang als Pflichterfüllung behandelt. Grund dafür sind allerdings meist aufgeblähte und strukturlose Prozesse, nicht das Thema an sich. Setzen die Projektbeteiligten effiziente Strategien und Tools ein, reduziert sich der Aufwand auf ein Minimum.Architektur und GesellschaftSoftwarearchitektur wirkt nicht nur nach innen, im Projekt oder Unternehmen, sondern auch nach außen in die Gesellschaft – und kann dort helfen, aktuelle Herausforderungen zu bewältigen: Mit der richtigen Team-Motivation und einer geschickten Ressourcenkonfiguration lassen sich CO2-Emissionen und Energiekosten sparen. Ein Quereinsteigerprogramm bekämpft den Fachkräftemangel, und mehr Diversität führt in Teams zu besseren Ergebnissen.Methoden und Patterns8 Modularisierung mit Komponenten12 Evolutionäre Architektur18 Microservices, Monolithen und Modulithen22 Refactoring mit Mikado-Methode28 Softwareevolution mit Nachhaltigkeit38 Microservices in einem Webprojekt44 Vom Legacy-Monolithen zum Self-contained System48 Domain-driven Transformation54 LLMs in der Softwarearchitektur58 Multi-Tenant-Architektur62 Federated-API-ModellSoziotechnische Systeme68 Softwarearchitektur: Ein soziotechnisches System72 Organisation im Griff dank Team Topologies76 Collaborative Modeling schafft Verständnis96 Kommunikation mit den StakeholdernQualitätsmanagement102 Qualität messen und kommunizieren106 Kompakte Architekturdokumentation mit Canvas110 Risikoanalyse mit leichtgewichtigen Architektur-Reviews116 Schlüssel und Zertifikate in der Architektur122 Security by Design für Software mit KI-Komponenten126 Pragmatische ArchitekturdokumentationArchitektur und Gesellschaft132 Green Coding – nachhaltige Software für eine grünere Zukunft140 Wie Quereinsteiger und erste Projekte zusammenfinden144 Frauen in Tech-Teams: Divers läuft es besser150 Green Scrum – Planet Erde als StakeholderRubriken3 Editorial139 Impressum

Wie Cyberkriminelle agieren: Die häufigsten Angriffsarten | Angriffe erkennen mit Logs, EDR und SIEM |  Notfallplan: Vorbereitet sein für den Ernstfall

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von über 10 Euro. Aktuelle BedrohungslageIn den letzten Jahren ist die Anzahl und Schwere der Cyberangriffe stetig gestiegen. Vor allem von Ransomware sind nicht nur große Unternehmen, sondern auch zunehmend KMU, Forschungseinrichtungen oder Kommunen betroffen. Das Augenmerk potenzieller Opfer sollte deshalb nicht mehr nur auf Schutzmaßnahmen liegen, sondern sich auch auf die Vorbereitung und die Reaktion auf den Ernstfall richten.Angriffe und DetektionWer seine IT schützen und seine Organisation vor Angriffen bewahren will, muss wissen, welche Angriffsarten es gibt und welche Techniken und Taktiken die Kriminellen dafür einsetzen. Essenziell ist außerdem, Cyberangriffe so schnell wie möglich zu erkennen, damit Experten und Sicherheitssysteme die Notbremse ziehen und den Schaden noch eingrenzen können.Incident ResponseWurde eine Organisation erfolgreich angegriffen, bricht über alle Betroffenen eine Katastrophe herein. Wichtig ist jetzt, handlungsfähig zu bleiben – zu wissen, was als Erstes zu tun und was unbedingt zu lassen ist. Unentbehrlich ist auch ein kompetenter Dienstleister, der durch die schlimme Zeit begleitet. Behördliche Anlaufstellen, die es in allen Bundesländern gibt, sind weitere gute Adressen und können unterstützen.Technische ReaktionNach einem Sicherheitsvorfall gilt es, Ausmaß und Ursache des Schadens zu bestimmen. Eine vollständige Datenanalyse kostet aber oft zu viel Zeit – die Priorisierung mithilfe einer Triage ist daher das Mittel der Wahl. Informationen aus dem MITRE-ATT&CK-Framework helfen dabei, schnell auf forensische Artefakte zu stoßen. Werkzeuge wie Velociraptor durchsuchen Systeme effizient nach Angriffsspuren.Organisatorische ReaktionWird ein Unternehmen erfolgreich angegriffen, ist die Wahrscheinlichkeit hoch, dass Daten nicht nur verschlüsselt, sondern auch abgezogen werden und in falsche Hände gelangen. Jetzt ist zum einen eine gute und transparente Kommunikation nötig, zum anderen sind rechtliche Anforderungen zu erfüllen – von Meldepflichten nach DSGVO über Datenschutzaspekte bei technischen Untersuchungen bis hin zur Frage der Rechtmäßigkeit von Lösegeldzahlungen.Wiederherstellung und NachbereitungDie Wiederherstellung und das Neuaufsetzen von Systemen sind wesentlich, um den Geschäftsbetrieb nach einem Angriff zu gewährleisten. Es braucht Klarheit im Business Continuity Management, Unternehmen sollten die nötigen Prozesse daher bereits im Vorfeld üben. Eine gute Vorbereitung kann zum Beispiel das Active Directory retten und spart wertvolle Ausfallzeit. Nach einem Angriff gilt es, aus der Krise zu lernen, um resilienter gegen kommende Angriffe zu werden.VorbereitungIncident-Response-Dienstleister und Sicherheitsexperten weisen unermüdlich darauf hin, dass Vorbereitung das A und O für einen glimpflichen Verlauf eines Cyberangriffs ist. Wer gut gerüstet ist, kann schneller, mit weniger Aufwand und vor allem weniger Kosten den Weg zurück in die Normalität des Geschäftsalltags finden. Es gibt vieles, das man vorbeugend umsetzen kann: vom Notfallplan über regelmäßig durchgeführte Krisenübungen bis hin zu einem verschlüsselungsresistenten Backup.Aktuelle Bedrohungslage8 EinführungAngriffe und Detektion16 Angriffsarten22 AngriffserkennungIncident ResponseBeispielfälle32 Erstreaktion38 IR-Dienstleister43 Kommunale IT46 Ransomwareattacke50 Angriff auf Landau Media: „Das war die größte Krise unseres Unternehmens“52 Business-Impact-Analyse als Erfolgsfaktor53 Behördliche Ermittlungen56 IR-Standards62 AnlaufstellenTechnische Reaktion66 Triage74 Velociraptor großflächig einsetzen80 Cloud-Forensik86 macOS-SicherheitOrganisatorische Reaktion92 Krisenkommunikation96 Datenverlust101 Recht106 KrisenmanagementWiederherstellung und Nachbereitung112 Active Directory119 Vorfall aufarbeiten123 Belastung durch CyberkrisenVorbereitung128 Vorbeugende Maßnahmen134 Notfallplanung138 Notfallübungen144 „Train as you fight“ in Cyberkrisenübungen147 Datensicherung154 Notfallumgebung158 CyberversicherungenRubriken3 Editorial143 Impressum

Mit dem Superbundle sparen Sie über 17 Euro. Komplett im Set: gedrucktes Heft + digitale Ausgabe. Enthalten im Angebot ist auch das Buch "KRITIS. Anforderungen, Pflichten, Nachweisprüfung" vom Rheinwerk-Verlag im Wert von 69,90 Euro. Zum Buch: KRITIS. Anforderungen, Pflichten, Nachweisprüfung (April 2024)Seit dem ersten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz oder kurz IT-SiG im Jahr 2015 wird der Schutz kritischer Infrastrukturen ernster genommen denn je. Wer gegen Sorgfaltspflichten verstößt oder Vorfälle in der IT-Sicherheit nicht meldet, kann sich empfindliche Strafen einhandeln.  In diesem Leitfaden erfahren Sie, was Ihre Pflichten als Betreiber einer kritischen Infrastruktur sind, was Sie in der Nachweisprüfung erwartet und wie Sie sich ideal darauf vorbereiten. Auditoren hilft dieses Handbuch mit Infos zur zusätzlichen Prüfverfahrenskompetenz und Anleitungen zur eigenständigen Durchführung von KRITIS-Audits.Jacqueline Naumann begleitet Sie durch die Verordnungen und Orientierungshilfen des BSIs und erklärt praxisnah, was hinter den Anforderungen steckt.1. Der Schutz kritischer InfrastrukturenTransportwesen, Wasserwerke, Krankenhäuser, Energieversorger – gehört auch Ihre IT zur kritischen Infrastruktur? Dann gilt es, sich jetzt über gesetzliche Nachweispflichten zu informieren.2. Die Nachweisprüfung in der PraxisWie bereiten Sie sich ideal auf die Nachweisprüfung vor und wie kommen Sie Ihren Pflichten als Betreiber nach? Worauf wird im Audit geachtet und wie bearbeiten Sie die Prüfung nach? Mit diesem Ratgeber erfahren Sie, worauf Sie besonders achten müssen.3. Prüfverfahrenskompetenz nach dem BSIGGute Prüfer sind rar gesät. Wenn Sie selbst die erforderliche Prüfverfahrenskompetenz erwerben wollen, bilden Sie sich mit diesem Fachbuch in den relevanten Gesetzen und Prozessen weiter und bereiten sich für die Eignungsprüfung vor.Aus dem Inhalt:Die KritisverordnungDie IT-SicherheitskatalogeDie Unterstützung und Orientierungshilfen durch das BSIVorgaben für die NachweisprüfungIhre Pflichten als KRITIS-BetreiberEinen Branchenspezifischen Sicherheitsstandard (B3S) erstellenPlanung der Nachweisprüfung durch den BetreiberVorarbeiten für die Nachweisprüfung durch PrüferDie Nachweisprüfung durchführenPrüfung der eingereichten Nachweise durch das BSIAus der Praxis: Untersuchung zu Umfang und Komplexität der NachweisprüfungZusätzliche Prüfverfahrenskompetenz nach dem BSIGLeseprobe (PDF-Link) Zum Heft: Aktuelle BedrohungslageIn den letzten Jahren ist die Anzahl und Schwere der Cyberangriffe stetig gestiegen. Vor allem von Ransomware sind nicht nur große Unternehmen, sondern auch zunehmend KMU, Forschungseinrichtungen oder Kommunen betroffen. Das Augenmerk potenzieller Opfer sollte deshalb nicht mehr nur auf Schutzmaßnahmen liegen, sondern sich auch auf die Vorbereitung und die Reaktion auf den Ernstfall richten.Angriffe und DetektionWer seine IT schützen und seine Organisation vor Angriffen bewahren will, muss wissen, welche Angriffsarten es gibt und welche Techniken und Taktiken die Kriminellen dafür einsetzen. Essenziell ist außerdem, Cyberangriffe so schnell wie möglich zu erkennen, damit Experten und Sicherheitssysteme die Notbremse ziehen und den Schaden noch eingrenzen können.Incident ResponseWurde eine Organisation erfolgreich angegriffen, bricht über alle Betroffenen eine Katastrophe herein. Wichtig ist jetzt, handlungsfähig zu bleiben – zu wissen, was als Erstes zu tun und was unbedingt zu lassen ist. Unentbehrlich ist auch ein kompetenter Dienstleister, der durch die schlimme Zeit begleitet. Behördliche Anlaufstellen, die es in allen Bundesländern gibt, sind weitere gute Adressen und können unterstützen.Technische ReaktionNach einem Sicherheitsvorfall gilt es, Ausmaß und Ursache des Schadens zu bestimmen. Eine vollständige Datenanalyse kostet aber oft zu viel Zeit – die Priorisierung mithilfe einer Triage ist daher das Mittel der Wahl. Informationen aus dem MITRE-ATT&CK-Framework helfen dabei, schnell auf forensische Artefakte zu stoßen. Werkzeuge wie Velociraptor durchsuchen Systeme effizient nach Angriffsspuren.Organisatorische ReaktionWird ein Unternehmen erfolgreich angegriffen, ist die Wahrscheinlichkeit hoch, dass Daten nicht nur verschlüsselt, sondern auch abgezogen werden und in falsche Hände gelangen. Jetzt ist zum einen eine gute und transparente Kommunikation nötig, zum anderen sind rechtliche Anforderungen zu erfüllen – von Meldepflichten nach DSGVO über Datenschutzaspekte bei technischen Untersuchungen bis hin zur Frage der Rechtmäßigkeit von Lösegeldzahlungen.Wiederherstellung und NachbereitungDie Wiederherstellung und das Neuaufsetzen von Systemen sind wesentlich, um den Geschäftsbetrieb nach einem Angriff zu gewährleisten. Es braucht Klarheit im Business Continuity Management, Unternehmen sollten die nötigen Prozesse daher bereits im Vorfeld üben. Eine gute Vorbereitung kann zum Beispiel das Active Directory retten und spart wertvolle Ausfallzeit. Nach einem Angriff gilt es, aus der Krise zu lernen, um resilienter gegen kommende Angriffe zu werden.VorbereitungIncident-Response-Dienstleister und Sicherheitsexperten weisen unermüdlich darauf hin, dass Vorbereitung das A und O für einen glimpflichen Verlauf eines Cyberangriffs ist. Wer gut gerüstet ist, kann schneller, mit weniger Aufwand und vor allem weniger Kosten den Weg zurück in die Normalität des Geschäftsalltags finden. Es gibt vieles, das man vorbeugend umsetzen kann: vom Notfallplan über regelmäßig durchgeführte Krisenübungen bis hin zu einem verschlüsselungsresistenten Backup.Aktuelle Bedrohungslage8 EinführungAngriffe und Detektion16 Angriffsarten22 AngriffserkennungIncident ResponseBeispielfälle32 Erstreaktion38 IR-Dienstleister43 Kommunale IT46 Ransomwareattacke50 Angriff auf Landau Media: „Das war die größte Krise unseres Unternehmens“52 Business-Impact-Analyse als Erfolgsfaktor53 Behördliche Ermittlungen56 IR-Standards62 AnlaufstellenTechnische Reaktion66 Triage74 Velociraptor großflächig einsetzen80 Cloud-Forensik86 macOS-SicherheitOrganisatorische Reaktion92 Krisenkommunikation96 Datenverlust101 Recht106 KrisenmanagementWiederherstellung und Nachbereitung112 Active Directory119 Vorfall aufarbeiten123 Belastung durch CyberkrisenVorbereitung128 Vorbeugende Maßnahmen134 Notfallplanung138 Notfallübungen144 „Train as you fight“ in Cyberkrisenübungen147 Datensicherung154 Notfallumgebung158 CyberversicherungenRubriken3 Editorial143 Impressum

• Platform Engineering
• DevOps
• Debugging im Produktivsystem

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 7,90 Euro. Highlights Platform Engineering Platform Engineering ist eine neue Art, DevOps zu betrachten. Es soll Entwicklungs- und Betriebsteams technisch dabei unterstützen, der wachsenden Komplexität Herr zu werden. Dabei weitet Platform Engineering den Blick über die Entwickler-Community aus und bezieht Unternehmensbelange wie Infrastruktur und Sicherheit mit ein. (Seite 7) Developer Experience Die containerisierte Anwendungsentwicklung und -bereitstellung hat mit Docker und Kubernetes eine rasante Entwicklung erfahren. Development- und Betriebsteams profitieren von mehr Autonomie, sehen sich aber auch mit zusätzlichen Aufgaben und einer spürbar höheren (kognitiven) Last konfrontiert – darunter leidet die Produktivität. Cloud-native Ansätze mit einer abgestimmten Mischung aus frei wählbaren Tools und unterstützenden Managed Services sollen Entwicklungsteams die notwendige Freiheit für effizienteres Arbeiten verschaffen. (Seite 55) Observability und Security Anders als das auf die Infrastruktur fokussierte Monitoring im klassischen IT-Betrieb nimmt Observability auch Softwareentwickler in die Pflicht, ihre eigenen Anwendungen im Blick zu behalten. Aufbauend auf Logs, Metriken und Traces stehen zahlreiche Tools bereit, um Engpässe in der CI/CD-Pipeline rechtzeitig erkennen und zu beseitigen, aber auch sicherheitsrelevante Probleme zu lösen. (Seite 85) Prozesse und Organisation DevOps bringt Softwareentwicklungs- (Dev) und Betriebsteams (Ops) mit dem Ziel zusammen, die Bereitstellung von Anwendungen zu optimieren und deren Qualität sicherzustellen. Dabei gewinnt die umfassende Kostenkontrolle im Cloud-Native-Zeitalter immer mehr an Bedeutung – auch im Hinblick auf Nachhaltigkeit bei der Auswahl geeigneter Cloud-Dienste. (Seite 123) Platform Engineering 8 Softwarebereitstellung: Platform Engineering gegen Komplexität 18 Internal Developer Platform: Mehr Autonomie und Verantwortung 26 Automatisierung: Selbstständige Softwareagenten 30 Deklarativ provisionieren: Crossplane hebt GitOps in die Multi-Cloud 36 Crossplane in der Praxis: IaC in AWS und Azure 44 OpenGitOps: Es geht auch ohne Kubernetes 50 Infrastructure-as-Code: Modular arbeiten mit Terraform und OpenTofu Developer Experience 56 Verteilte Anwendungen: Cloud-native Vielfalt für mehr Resilienz 64 App in die Cloud: Java-EE-Anwendung mit AWS umziehen 68 Schwere Entscheidung: Managed Kubernetes oder Managed Development? 72 Serverless Computing: Kein Server, kein Stress 80 Container im IoT und Edge-Computing: Podman macht's möglich Observability und Security 86 Eine Frage der Einstellung: Observability braucht mehr als Tools 90 Verstopfung lösen: Effiziente CI/CD-Pipelines gewährleisten 98 Debugging im Produktivsystem: Chaos Engineering mit eBPF-Tools 107 Supply Chain Security: Risiken erkennen und beheben 112 Schwachstellen vermeiden: Sichere APIs entwerfen, entwickeln und betreiben Prozesse und Organisation 124 DevOps: Mehr Qualität, schneller ausliefern und Kosten senken 128 Kein Geld verschwenden: Gezieltes Kostenmanagement in der Cloud 133 KI aus der Cloud: Angebote im Preis-Leistungsvergleich Machine-Learning-Instanzen von AWS 140 Azure Compute für KI und ML 147 Google Cloud ML Engines 150 Database-as-a-Service: Mit Benchmarking zum optimalen, kostengünstigen Dienst Rubriken 3 Editorial 90 Impressum

Mit dieser aktualisierten und erweiterten Neuauflage des iX kompakt zur AD-Sicherheit können Sie sich dringend benötigtes Fachwissen zum Schutz vor Ransomware aneignen.

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 16,00 Euro. Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Azure AD / Entra ID Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 162) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten 72 Zertifikatsmissbrauch PetitPotam und weitere Wege, die Kontrolle über das Active Directory zu übernehmen Abwehrstrategien 84 Enterprise Access Model Active Directory mit dem Schichtenmodell schützen 90 Priviligierte Zugriffe besonders absichern 96 Priviligierte AD-Zugriffe managen 102 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 108 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 115 Incident Response und Forensik Angreifer durch Logs enttarnen 121 Deception Wie Angreifer in die Falle gelockt werden 129 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 136 IT-Grundschutz Active Directory grundschutzkonform absichern 145 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 154 IT-Forensik Angriffsspuren analysieren Azure AD 162 Grundlagen Das Azure Active Directory (Entra ID) und Azure-Dienste 168 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 178 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 185 Zugriffsmanagement Azure Active Directory und Zero Trust 191 Forensik und Logging Angriffe auf Azure Active Directory entdecken und nachvollziehen 197 Threat Hunting Angriffe auf Microsoft 365 aufspüren Sonstiges 3 Editorial 181 Impressum 181 Inserentenverzeichnis iX-Workshops rund um das (A)AD iX veranstaltet in regelmäßigen Abständen Online-Workshops zu Active Directory und Entra ID (Azure AD). Sie richten sich an Administratorinnen und Administratoren, IT-Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. In dem Workshop „Angriffsziel lokales Active Directory: effiziente Absicherung“ erfahren Sie an zwei Tagen, welche Techniken Angreifer einsetzen und welche Fehlkonfigurationen und Schwachstellen sie dabei ausnutzen. Sie lernen die wichtigsten Härtungsmaßnahmen und Werkzeuge sowie Maßnahmen zum Erkennen und Abwehren von Angriffen kennen. Der zweitägige Workshop „Angriffe auf und Absicherung von Entra ID (Azure Active Directory)“ zeigt, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen und man die AAD-Umgebung und Azure-Dienste effektiv absichert. Außerdem erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können. Die beiden Sicherheitsschulungen halten je nach Termin Frank Ully, der viele Artikel zu diesem Sonderheft beigetragen hat, oder sein Kollege Tim Mittermeier. Beide beschäftigen sich schwerpunktmäßig mit Pentesting und offensiver Sicherheit. Alle Termine finden Sie über ix.de/zqvy.

Mit dem Superbundle sparen Sie 27,99 Euro.Komplett im Set: gedrucktes Heft + digitale Ausgabe. Enthalten im Angebot ist auch das Buch "Ransomware und Cyber-Erpressung“ vom dpunkt-Verlag im Wert von 44,90 Euro. Zum Buch: Das Praxishandbuch für IT- und Systemverantwortliche. Deutsche Erstauflage aus September 2023.Dieses Buch ist der ultimative praktische Leitfaden, um eine Ransomware-Erpressung, ein Denial-of-Service und andere Formen der Cyber-Erpressung zu überleben.Anhand ihrer eigenen, bisher unveröffentlichten Fallbibliothek zeigen die Cybersicherheitsexperten Sherri Davidoff, Matt Durrin und Karen E. Sprenger Ihnen, wie Sie schneller reagieren, den Schaden minimieren, effizienter ermitteln, die Wiederherstellung beschleunigen ... und von vornherein verhindern, dass so etwas überhaupt erst passiert.Bewährte Checklisten helfen Ihnen und Ihren Sicherheitsteams dabei, während des gesamten Lebenszyklus schnell und effektiv zusammenzuarbeiten. Sie lernen Folgendes:Verschiedene Formen von Cyber-Erpressung und deren Entwicklung verstehenBedrohungen identifizieren, Angriffe eindämmen und »Patient Zero« ausfindig machenLösegeldverhandlungen erfolgreich führen und, wenn nötig, Lösegeldforderungen sicher bezahlenDas Risiko von Datenverlust und Neuinfektion verringernEin ganzheitliches Cybersicherheitsprogramm aufbauen, das Ihr Risiko, gehackt zu werden, minimiertDieser Leitfaden ist von unmittelbarem Nutzen für alle, die mit Prävention, Reaktion, Planung oder Richtlinien zu tun haben, insbesondere CIOs, CISOs, Sicherheitsexperten, Administratoren, Verhandlungsführer, Führungskräfte und Ermittler.Vorwort | Inhalt | Leseprobe (PDF-Links) Zum iX-Special: Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Azure AD / Entra ID Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 162) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten 72 Zertifikatsmissbrauch PetitPotam und weitere Wege, die Kontrolle über das Active Directory zu übernehmen Abwehrstrategien 84 Enterprise Access Model Active Directory mit dem Schichtenmodell schützen 90 Priviligierte Zugriffe besonders absichern 96 Priviligierte AD-Zugriffe managen 102 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 108 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 115 Incident Response und Forensik Angreifer durch Logs enttarnen 121 Deception Wie Angreifer in die Falle gelockt werden 129 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 136 IT-Grundschutz Active Directory grundschutzkonform absichern 145 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 154 IT-Forensik Angriffsspuren analysieren Azure AD 162 Grundlagen Das Azure Active Directory (Entra ID) und Azure-Dienste 168 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 178 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 185 Zugriffsmanagement Azure Active Directory und Zero Trust 191 Forensik und Logging Angriffe auf Azure Active Directory entdecken und nachvollziehen 197 Threat Hunting Angriffe auf Microsoft 365 aufspüren Sonstiges 3 Editorial 181 Impressum 181 Inserentenverzeichnis iX-Workshops rund um das (A)AD iX veranstaltet in regelmäßigen Abständen Online-Workshops zu Active Directory und Entra ID (Azure AD). Sie richten sich an Administratorinnen und Administratoren, IT-Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. In dem Workshop „Angriffsziel lokales Active Directory: effiziente Absicherung“ erfahren Sie an zwei Tagen, welche Techniken Angreifer einsetzen und welche Fehlkonfigurationen und Schwachstellen sie dabei ausnutzen. Sie lernen die wichtigsten Härtungsmaßnahmen und Werkzeuge sowie Maßnahmen zum Erkennen und Abwehren von Angriffen kennen. Der zweitägige Workshop „Angriffe auf und Absicherung von Entra ID (Azure Active Directory)“ zeigt, wie Angreifer Fehlkonfigurationen der Microsoft-Cloud sowie fehlende Härtungsmaßnahmen ausnutzen und man die AAD-Umgebung und Azure-Dienste effektiv absichert. Außerdem erfahren Sie, wie Sie Angriffe auf Ihre Entra-ID-Umgebung durch Logging und Monitoring erkennen können. Die beiden Sicherheitsschulungen halten je nach Termin Frank Ully, der viele Artikel zu diesem Sonderheft beigetragen hat, oder sein Kollege Tim Mittermeier. Beide beschäftigen sich schwerpunktmäßig mit Pentesting und offensiver Sicherheit. Alle Termine finden Sie über ix.de/zqvy.

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 8,90 Euro. ►►► Die Themen des Sonderhefts im Überblick Basics KI-Modelle verschleiern ihre Funktionsweise gerne durch viele Abstraktionsschichten. Ein Blick hinter die Magie von ChatGPT und Stable Diffusion hilft, große KI-Modelle sinnvoll einzusetzen. Wir zeigen, wie spezielle KI-Hardware das Training beschleunigt, und gehen der Frage nach, wie die Qualität der Trainingsdaten die Fairness der Modelle beeinflusst. (Seite 7) Werkzeuge Python hat sich als die Programmiersprache der KI etabliert. Die Frameworks scikit-learn und PyTorch unterstützen Entwickler vom Einstieg bis zum professionellen Einsatz. Jupyter-Notebooks und ihre Alternativen aus der Cloud helfen beim Auswerten der Daten und beim Experimentieren mit Modellen. Aber wo kriegt man Trainingsdaten her? Wir weisen den Weg zu den wichtigsten öffentlichen Quellen. (Seite 49) Modelle einsetzen Für viele Einsatzzwecke gibt es bereits geeignete Modelle. Mit der Transformers-Bibliothek von Hugging Face lassen sie sich nutzen. Der neuste Trend bei Chatbots ist das Verknüpfen verschiedener Sprachmodelle. Mit dem Framework LangChain kann man KI-Agenten automatisieren und mit eigenen Daten füttern. Das Ergebnis von Dialogsystemen ist dabei vor allem von der Nutzereingabe – dem Prompt – abhängig. Geschicktes Prompting ist keine Glückssache. (Seite 85) KI selbst entwickeln KI-Modelle müssen nicht gleich alle Texte des Internets kennen oder Probleme wie den Klimawandel angehen können. Mit wenig Aufwand lassen sich eigene Modelle zum Experimentieren und zum Erfüllen kleiner Aufgaben erstellen. Das reicht von der neuronalen Suche in der Dokumentensammlung über das Erkennen von Emotionen in Selfies bis zum Klassifizieren der eigenen Musiksammlung mit einem KI-Modell. Wer mit Algorithmen und Modellen noch nicht so vertraut ist, lässt sich diese von AutoML-Werkzeugen vorschlagen. (Seite 105) Recht und Gesellschaft Beim Thema KI stehen Entwickler, Anwender und Gesetzgeber noch vor juristischen Herausforderungen. Wie und wo das Urheberrecht gilt, ist umstritten und die DSGVO ist beim Umgang mit Trainingsdaten möglicherweise ein Stolperstein. Kommende Richtlinien wie AI Act und Data Act gilt es jetzt schon mitzudenken. Dabei können KI-Governance-Frameworks Unternehmen Orientierung liefern. Zwei Interviews am Ende des Hefts ordnen den aktuellen gesellschaftlichen und technischen Stand ein und versuchen sich an einem Blick in die Zukunft. (Seite 127) Basics 8 Large Language Models Sprachmodelle verstehen und einsetzen 16 Generative KI Stable Diffusion seziert 20 KI-Beschleuniger So funktionieren KI-Chips 28 Hardware GPUs für das KI-Training 34 Bias und Fairness Warum KI oft unfair ist und was dagegen hilft 40 Datenqualität Data-centric AI: Wie Datenqualität Fairness beeinflusst Werkzeuge 50 Machine-Learning-Frameworks Einstieg in PyTorch 58 ML-UI Notebook-Umgebungen für Machine Learning 66 Data Science Mit scikit-learn Modelle erstellen 72 Datenquellen Offene Datenquellen für ML-Projekte 80 Algorithmen Assoziationsanalyse: Wer mit wem? Modelle anwenden 86 KI-Modell-Datenbanken Hugging Face – Zentrale für KI-Modelle 90 Modelle verketten Große Sprachmodelle mit LangChain verketten 98 Knowledge Destillation Große KI-Modelle mit Destillation eindampfen 102 Generative KI Das Einmaleins des Prompt Engineering KI selbst entwickeln 106 Dense Passage Retrieval Maschinen auf Text abrichten 110 MLOps Musikklassifikation mit eigenen Modellen 116 Bilderkennung Emotionen erkennen mit Deep Learning 122 AutoML AutoML mit Microsofts ML.NET Model Builder Recht und Gesellschaft 128 Rechtsrahmen KI im Spannungsfeld der Regulierung 132 Urheberrecht Kampf um das Urheberrecht 140 DSGVO KI versus Datenschutz 144 KI-Governance Vertrauenswürdige KI organisatorisch umsetzen 148 Ausblick Open-Source-Modelle können aufholen 150 Die Zukunft der KI – ohne Körper keine Intelligenz

Mit diesem iX-Sonderheft Künstliche Intelligenz wirft die Redaktion einen unvoreingenommenen und ehrlichen Blick hinter die Technik der großen KI-Modelle. Thema sind neben nach wie vor wichtigen Tools, Frameworks und Methoden natürlich auch die Rohstoffe des Machine Learnings - die Daten.

Dieses Sonderheft ist im iX-Jahresabonnement enthalten.

Mit dem Superbundle sparen Sie 14,90 Euro.Komplett im Set: gedrucktes Heft + digitale Ausgabe. Enthalten im Angebot ist auch das Buch "Natural Language Processing mit Transformern“ vom Dpunkt Verlag im Wert von 46,90 Euro. ►►► Zum Buch:Natural Language Processing mit Transformern in Erstauflage aus Februar 2023Dieses Praxisbuch zeigt Data Scientists und Programmierer*innen, wie sie NLP-Modelle mit Hugging Face Transformers, einer Python-basierten Deep-Learning-Bibliothek, trainieren und skalieren. Transformer liefern hervorragende Ergebnisse bei der maschinellen Sprachverarbeitung und haben sich in den letzten Jahren zur vorherrschenden Architektur im Natural Language Processing entwickelt.Erstellen, debuggen und optimieren Sie Transformer-Modelle für zentrale NLP-Aufgaben wie Textklassifizierung, Named Entity Recognition oder Question AnsweringLernen Sie, wie Transformer für sprachenübergreifendes Transfer Learning verwendet werdenWenden Sie Transformer auf reale Anwendungsfälle an, bei denen nur auf wenige gelabelte Daten zurückgegriffen werden kannOptimieren Sie Transformer-Modelle für das Deployment mit Techniken wie Distillation, Pruning und QuantisierungTrainieren Sie Transformer von Grund auf und lernen Sie, wie sie auf mehreren GPUs und verteilten Umgebungen skalieren►►► Zum iX-Sonderheft:Mit diesem Sonderheft Künstliche Intelligenz wirft die Redaktion einen unvoreingenommenen und ehrlichen Blick hinter die Technik der großen KI-Modelle. Thema sind neben nach wie vor wichtigen Tools, Frameworks und Methoden natürlich auch die Rohstoffe des Machine Learnings - die Daten. Basics KI-Modelle verschleiern ihre Funktionsweise gerne durch viele Abstraktionsschichten. Ein Blick hinter die Magie von ChatGPT und Stable Diffusion hilft, große KI-Modelle sinnvoll einzusetzen. Wir zeigen, wie spezielle KI-Hardware das Training beschleunigt, und gehen der Frage nach, wie die Qualität der Trainingsdaten die Fairness der Modelle beeinflusst. (Seite 7) Werkzeuge Python hat sich als die Programmiersprache der KI etabliert. Die Frameworks scikit-learn und PyTorch unterstützen Entwickler vom Einstieg bis zum professionellen Einsatz. Jupyter-Notebooks und ihre Alternativen aus der Cloud helfen beim Auswerten der Daten und beim Experimentieren mit Modellen. Aber wo kriegt man Trainingsdaten her? Wir weisen den Weg zu den wichtigsten öffentlichen Quellen. (Seite 49) Modelle einsetzen Für viele Einsatzzwecke gibt es bereits geeignete Modelle. Mit der Transformers-Bibliothek von Hugging Face lassen sie sich nutzen. Der neuste Trend bei Chatbots ist das Verknüpfen verschiedener Sprachmodelle. Mit dem Framework LangChain kann man KI-Agenten automatisieren und mit eigenen Daten füttern. Das Ergebnis von Dialogsystemen ist dabei vor allem von der Nutzereingabe – dem Prompt – abhängig. Geschicktes Prompting ist keine Glückssache. (Seite 85) KI selbst entwickeln KI-Modelle müssen nicht gleich alle Texte des Internets kennen oder Probleme wie den Klimawandel angehen können. Mit wenig Aufwand lassen sich eigene Modelle zum Experimentieren und zum Erfüllen kleiner Aufgaben erstellen. Das reicht von der neuronalen Suche in der Dokumentensammlung über das Erkennen von Emotionen in Selfies bis zum Klassifizieren der eigenen Musiksammlung mit einem KI-Modell. Wer mit Algorithmen und Modellen noch nicht so vertraut ist, lässt sich diese von AutoML-Werkzeugen vorschlagen. (Seite 105) Recht und Gesellschaft Beim Thema KI stehen Entwickler, Anwender und Gesetzgeber noch vor juristischen Herausforderungen. Wie und wo das Urheberrecht gilt, ist umstritten und die DSGVO ist beim Umgang mit Trainingsdaten möglicherweise ein Stolperstein. Kommende Richtlinien wie AI Act und Data Act gilt es jetzt schon mitzudenken. Dabei können KI-Governance-Frameworks Unternehmen Orientierung liefern. Zwei Interviews am Ende des Hefts ordnen den aktuellen gesellschaftlichen und technischen Stand ein und versuchen sich an einem Blick in die Zukunft. (Seite 127) Basics 8 Large Language Models Sprachmodelle verstehen und einsetzen 16 Generative KI Stable Diffusion seziert 20 KI-Beschleuniger So funktionieren KI-Chips 28 Hardware GPUs für das KI-Training 34 Bias und Fairness Warum KI oft unfair ist und was dagegen hilft 40 Datenqualität Data-centric AI: Wie Datenqualität Fairness beeinflusst Werkzeuge 50 Machine-Learning-Frameworks Einstieg in PyTorch 58 ML-UI Notebook-Umgebungen für Machine Learning 66 Data Science Mit scikit-learn Modelle erstellen 72 Datenquellen Offene Datenquellen für ML-Projekte 80 Algorithmen Assoziationsanalyse: Wer mit wem? Modelle anwenden 86 KI-Modell-Datenbanken Hugging Face – Zentrale für KI-Modelle 90 Modelle verketten Große Sprachmodelle mit LangChain verketten 98 Knowledge Destillation Große KI-Modelle mit Destillation eindampfen 102 Generative KI Das Einmaleins des Prompt Engineering KI selbst entwickeln 106 Dense Passage Retrieval Maschinen auf Text abrichten 110 MLOps Musikklassifikation mit eigenen Modellen 116 Bilderkennung Emotionen erkennen mit Deep Learning 122 AutoML AutoML mit Microsofts ML.NET Model Builder Recht und Gesellschaft 128 Rechtsrahmen KI im Spannungsfeld der Regulierung 132 Urheberrecht Kampf um das Urheberrecht 140 DSGVO KI versus Datenschutz 144 KI-Governance Vertrauenswürdige KI organisatorisch umsetzen 148 Ausblick Open-Source-Modelle können aufholen 150 Die Zukunft der KI – ohne Körper keine Intelligenz

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 7,90 Euro. Inhalt iX Developer 2022 "Programmiersprachen – Next Generation" TypeScript 8 Typsicher und komfortabel 16 Wartungsarmer Code mit dem Typsystem 22 JavaScript in typsicher: TypeScript im Web-Framework 26 Programmieren statt Konfigurieren: Infrastructure as Code 32 Design bis API: TypeScripts Compiler verstehen und einsetzen 39 Tiefer Blick in das Typsystem Kotlin 46 Einstieg in Kotlin: Klassischer Ansatz – neu gedacht 52 Effizienter entwickeln mit Kotlin 58 Eine Sprache vereint zwei Welten: funktional und objektorientiert 64 Native Apps entwickeln mit Kotlin Multiplatform Mobile 69 Jetpack Compose: ein Blick auf Androids UI-Technik Rust 74 Memory Management: Speichermanagement in Rust 78 Blick auf die asynchrone Programmierung 83 Tokio als asynchrone Laufzeitumgebung 88 Makros in Rust: Einführung in ein unverzichtbares Werkzeug Go 94 Entwickeln für verteilte Systeme 99 Mit Go sicher in die Cloud 104 Interfaces: reine Typ-Sache 108 Go Generics – Das karge Leben ist vorbei mit generischen Typen 115 Concurrency – Nebenläufigkeit leicht gemacht 120 Kryptografie in Go Sprachenvielfalt 126 Einstieg in Microsofts Quantensprache Q# 132 Java 17: LTS-Release rundet wichtige Sprachfeatures ab 136 C++20-Konzepte (Teil 1): Robusterer generischer Code mit Konzepten 140 C++20-Konzepte (Teil 2): Neue Wege mit Konzepten 146 Vite.js: Rasantes JavaScript-Build-Tool 152 App-Entwicklung mit Flutter 3 Sonstiges

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit einer Ersparnis von 12,99 Euro. Im Set enthalten ist das Buch "Rust" vom dpunkt Verlag im Wert von 32,90 €. Zum Buch: Grundlagen und fortgeschrittene Techniken. Dieses Buch vermittelt Anwendungsentwicklern Theorie und Praxis der Sprache Rust und zeigt, wo sie gewinnbringend in neuen Projekten verwendet und wie sie sich in bestehende Projekte gut integrieren lässt.Es illustriert alle Inhalte mit zahlreichen Rust-Beispielen. Nach einer Einführung in die Grundlagen, Nebenläufigkeit und das Testen mit Rust kommt der praktische Teil.Anhand einer Webapplikation und ihrer Aufteilung in Microservices werden die Vorteile und Eigenheiten der Sprache Rust anschaulich vermittelt. Systemnahe Programmierung, die Kommunikation mit Sprachen wie Java, aber auch die Verwendung von WebAssembly werden ebenfalls betrachtet.Nach der Lektüre dieses Buchs können Sie produktiv in Rust programmieren und haben neben den Grundlagen ein gutes Verständnis für typische Anwendungsbereiche der Sprache wie WebAssembly, Systemnahe Programmierung oder Einbindung in bestehende Umgebungen über Language Bindings.Zum Heft: TypeScript8 Typsicher und komfortabel16 Wartungsarmer Code mit dem Typsystem22 JavaScript in typsicher: TypeScript im Web-Framework26 Programmieren statt Konfigurieren: Infrastructure as Code32 Design bis API: TypeScripts Compiler verstehen und einsetzen39 Tiefer Blick in das TypsystemKotlin46 Einstieg in Kotlin: Klassischer Ansatz – neu gedacht52 Effizienter entwickeln mit Kotlin58 Eine Sprache vereint zwei Welten: funktional und objektorientiert64 Native Apps entwickeln mit Kotlin Multiplatform Mobile69 Jetpack Compose: ein Blick auf Androids UI-TechnikRust74 Memory Management: Speichermanagement in Rust78 Blick auf die asynchrone Programmierung83 Tokio als asynchrone Laufzeitumgebung88 Makros in Rust: Einführung in ein unverzichtbares WerkzeugGo94 Entwickeln für verteilte Systeme99 Mit Go sicher in die Cloud104 Interfaces: reine Typ-Sache108 Go Generics – Das karge Leben ist vorbei mit generischen Typen115 Concurrency – Nebenläufigkeit leicht gemacht120 Kryptografie in GoSprachenvielfalt126 Einstieg in Microsofts Quantensprache Q#132 Java 17: LTS-Release rundet wichtige Sprachfeatures ab136 C++20-Konzepte (Teil 1): Robusterer generischer Code mit Konzepten140 C++20-Konzepte (Teil 2): Neue Wege mit Konzepten146 Vite.js: Rasantes JavaScript-Build-Tool152 App-Entwicklung mit Flutter 3Sonstiges

Die Welt der Softwareentwicklung ist im steten Wandel. Vier Sprachen haben aus unserer Sicht gute Chancen, die nächste Generation zu bilden. iX Developer zeigt Stärken, Schwächen und Anwendungsgebiete dieser Programmiersprachen.

Energieeffiziente Rechenzentren, umweltgerechte RZ-Infrastruktur und die CO₂-Emissionen der eigenen Cloud-Nutzung visualisieren sind nur einige der interessanten Themen der neuen iX Special.

Das neue Sonderheft der iX-Redaktion zum kritischen Thema "Sicheres Active Directory" versammelt alle in iX erschienenen themenbezogenen Artikel der letzten Monate in aktualisierter überarbeiteter Form in einem Heft.

Das neue Sonderheft der iX-Redaktion zum kritischen Thema "Sicheres Active Directory" versammelt alle in iX erschienenen themenbezogenen Artikel der letzten Monate in aktualisierter überarbeiteter Form in einem Heft.Komplett im Set: gedrucktes Heft + digitale Ausgabe + Fachbuch zur Microsoft-Zertifizierung mit 17,99 Euro Ersparnis!"Das Heft behandelt die Sicherheit von Active Directory, der zentralen Komponente von typischen On-Premises-Netzwerken, sowie von Azure Active Directory, dem Identitätsdienst bei Microsofts Cloud. Beschrieben werden Grundlagen, das Vorgehen von Eindringlingen – und wie man Angriffe verhindert, erkennt und untersucht. Es eignet sich damit sehr gut für Administratoren und Sicherheitsverantwortliche, die Microsoft-Produkte lokal oder in der Cloud nutzen. Mit diesem Wissen können sie Ransomware und andere Angriffe abwehren."- Frank Ully, Head of Research bei der Oneconsult AG, München, leitet zahlreiche iX-Workshops zur Active-Directory-Sicherheit und ist Autor vieler wichtiger Artikel dieses SonderheftsDer komplette Inhalt im Überblick:Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Abwehrstrategien Es gibt viele Ansätze, das AD vor Angreifern zu schützen. Die Bandbreite reicht von präventiven Maßnahmen mit Windows-Bordmitteln und Drittanbietertools über Sicherheitsaudits bis hin zu grundlegenden Sicherheitsvorkehrungen, etwa nach IT-Grundschutz. Gelingt den Kriminellen trotzdem der Zugriff, muss der Angriff so schnell wie möglich entdeckt, forensisch aufbereitet und analysiert werden. (Seite 79) Azure AD Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 135) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten und festsetzen 72 NTML-Schwachstelle PetitPotam und weitere Wege, die Kontrolle über das AD zu übernehmen Abwehrstrategien 80 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 86 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 93 Incident Response und Forensik Angreifer durch Logs enttarnen 99 Deception Wie Angreifer in die Falle gelockt werden 107 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 114 IT-Grundschutz Active Directory grundschutzkonform absichern 121 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 128 IT-Forensik Angriffsspuren analysieren Azure AD 136 Grundlagen Das Azure Active Directory und Azure-Dienste 142 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 152 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 159 Zugriffsmanagement Azure Active Directory und Zero Trust 165 Forensik und Logging Angriffe auf das Azure AD entdecken und nachvollziehen Sonstiges 3 Editorial 155 Impressum 155 Inserentenverzeichnis-> Infos zum Fachbuch im Superbundle:Microsoft 365 Mobilität und Sicherheit, ISBN 9783864908958, Einzelpreis EUR 49,90Original Microsoft Prüfungstraining MS-101: mit dem Original zum Erfolg!Bereiten Sie sich auf die Microsoft-Prüfung MS-101 vor und zeigen Sie, dass Sie die erforderlichen Fähigkeiten und Kenntnisse für die Verwaltung von Mobilität und Sicherheit in Microsoft 365 sowie die damit verbundenen Verwaltungsaufgaben in der Praxis beherrschen. Dieses Prüfungstraining wurde für erfahrene IT-Profis entwickelt und konzentriert sich auf das kritische Denken und den Scharfsinn bei der Entscheidungsfindung, die für den Erfolg auf der Ebene des Microsoft Certified Expert (MCE) erforderlich sind.Die Microsoft-Zertifizierung:Das Bestehen dieser Prüfung und der Prüfung MS-100 sowie der Erwerb einer Microsoft 365 Workload-Administrator-Zertifizierung oder der MCSE-Productivity-Zertifizierung erfüllt Ihre Anforderungen für die Zertifizierung zu Microsoft 365 Certified: Enterprise Administrator Expert. Damit weisen Sie nach, dass Sie in der Lage sind, Microsoft 365-Dienste zu bewerten, zu planen, zu migrieren, bereitzustellen und zu verwalten.Inhalt (PDF-Link)Leseprobe, Kapitel 1 (PDF-Link)

Das neue Sonderheft der iX-Redaktion zum kritischen Thema "Sicheres Active Directory" versammelt alle in iX erschienenen themenbezogenen Artikel der letzten Monate in aktualisierter überarbeiteter Form in einem Heft.Komplett im Set: gedrucktes Heft + digitale Ausgabe mit 11,99 Euro Ersparnis!"Das Heft behandelt die Sicherheit von Active Directory, der zentralen Komponente von typischen On-Premises-Netzwerken, sowie von Azure Active Directory, dem Identitätsdienst bei Microsofts Cloud. Beschrieben werden Grundlagen, das Vorgehen von Eindringlingen – und wie man Angriffe verhindert, erkennt und untersucht. Es eignet sich damit sehr gut für Administratoren und Sicherheitsverantwortliche, die Microsoft-Produkte lokal oder in der Cloud nutzen. Mit diesem Wissen können sie Ransomware und andere Angriffe abwehren."- Frank Ully, Head of Research bei der Oneconsult AG, München, leitet zahlreiche iX-Workshops zur Active-Directory-Sicherheit und ist Autor vieler wichtiger Artikel dieses SonderheftsDer komplette Inhalt im Überblick:Grundlagen Microsofts Active Directory ist der am meisten genutzte Verzeichnisdienst weltweit – kein Wunder, lassen sich damit die Ressourcen eines Unternehmens äußerst komfortabel verwalten. Das macht das AD aber auch zu einem beliebten Angriffsziel. Wer verstehen will, wie Cyberkriminelle den zentralen Dienst angreifen und wie man ihn absichert, muss wissen, wie das AD grundlegend funktioniert. (Seite 7) Angriffsszenarien Durch Fehler bei der Konfiguration, mangelnde Härtung oder zu großzügige Rechtevergabe im Active Directory entstehen Einfallstore für Angriffe. Cyberkriminellen kann es dann gelingen, das gesamte AD zu übernehmen, um ihre kriminellen Ziele zu verfolgen. Nur wer weiß, wie die Kriminellen vorgehen und wie die verbreiteten Angriffe funktionieren, kann sich davor schützen. (Seite 41) Abwehrstrategien Es gibt viele Ansätze, das AD vor Angreifern zu schützen. Die Bandbreite reicht von präventiven Maßnahmen mit Windows-Bordmitteln und Drittanbietertools über Sicherheitsaudits bis hin zu grundlegenden Sicherheitsvorkehrungen, etwa nach IT-Grundschutz. Gelingt den Kriminellen trotzdem der Zugriff, muss der Angriff so schnell wie möglich entdeckt, forensisch aufbereitet und analysiert werden. (Seite 79) Azure AD Wenn Unternehmen Microsoft 365 oder andere Dienste aus der Azure-Cloud einsetzen, nutzen sie den Cloud-Identitätsdienst Azure AD – vielleicht ohne sich dessen überhaupt bewusst zu sein. Wie beim On-Premises Active Directory können auch hier mangelnde Härtung und Fehlkonfigurationen dazu führen, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren – und schlimmstenfalls darüber Zugriff auf das lokale AD erlangen. (Seite 135) Grundlagen 8 Ressourcenmanagement Komfortable IT-Schaltzentrale mit Schwachpunkten 16 Strukturüberblick Ein Verzeichnisdienst für alle(s) 24 Informationsbeschaffung Was jeder Domänenbenutzer alles sieht 32 Wissenspool Ausgewählte Quellen und Werkzeuge zur Sicherheit von Active Directory 36 Wörterverzeichnis Das Active-Directory-Glossar Angriffsszenarien 42 Passwörter und Hashes Wie Angreifer die Domäne kompromittieren 49 Berechtigungen Wie Angreifer sich im Active Directory Zugriff verschaffen 56 Rechtevergabe Wie Angreifer Tickets, Delegierung und Trusts missbrauchen 64 Inter-Forest und Persistenz Wie Angreifer sich über einen AD-Forest hinaus ausbreiten und festsetzen 72 NTML-Schwachstelle PetitPotam und weitere Wege, die Kontrolle über das AD zu übernehmen Abwehrstrategien 80 Gruppenrichtlinien und mehr Wie Administratoren ihr Active Directory absichern 86 Selbstaudits AD-Härtungsmaßnahmen jenseits von Group Policies 93 Incident Response und Forensik Angreifer durch Logs enttarnen 99 Deception Wie Angreifer in die Falle gelockt werden 107 Zugangsdaten Passwortsicherheit (nicht nur) im Active Directory 114 IT-Grundschutz Active Directory grundschutzkonform absichern 121 Marktübersicht Tools für die Absicherung von Microsofts Active Directory 128 IT-Forensik Angriffsspuren analysieren Azure AD 136 Grundlagen Das Azure Active Directory und Azure-Dienste 142 Angriffsvektoren Angriffe auf das Azure Active Directory und auf Azure-Dienste 152 Schutzmaßnahmen Azure Active Directory und Azure-Dienste absichern 159 Zugriffsmanagement Azure Active Directory und Zero Trust 165 Forensik und Logging Angriffe auf das Azure AD entdecken und nachvollziehen Sonstiges 3 Editorial 155 Impressum 155 Inserentenverzeichnis

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit 7,90 Euro Ersparnis!Web-Application-Security8 Die OWASP Top Ten 202112 Penetrationstests von Webanwendungen16 OAuth 2.1 – das SicherheitsupdateProgrammiersprachen22 Sicherheitsneuerungen in Java26 C++-Sicherheitsfallen und ihre Abwehr31 Programmanalyse für C/C++ im Detail38 Sicheres Programmieren mit RustCloud-Security44 Kontext als Schlüssel zur sicheren Cloud48 Serverless-Security52 Identity und Access Management mit Keycloak59 Confidential Computing im Überblick64 Container hinter Schloss und Riegel68 Cloud-Compliance mit dem Open Policy AgentKryptografie74 Kryptografie als Grundlage sicherer Software78 Umgang mit kryptografischen Verfahren86 Implementierung quantensicherer KryptografieQualitätssicherung92 Schutz der Schnittstellen: OWASP API Security Top 1096 Ein kritischer Blick auf statische Codeanalyse-Verfahren102 Automatisierte Softwaretests mit Fuzzing106 Privacy by Design: Vorsicht ist besser als Nachsicht112 Sichere Softwareentwicklung nach dem „Security by Design“-Prinzip116 Versteckte Risiken beim Kompilieren von Embedded SoftwareDevSecOps122 Grundlagen DevSecOps126 Marktübersicht DevSecOps-Tools132 Sichere Software entwickeln mit OWASP SAMM138 Das Reifegradmodell Security Belts im Blick144 Shift Left – Secure by Design und agile Entwicklung150 Vollständiges Erfassen von Softwarelieferketten

Entwickeln Sie mit dieser Sonderausgabe Ihre Security-Superkräfte für alle Bereiche der Softwareentwicklung - von der ersten Codezeile an.

Komplett im Set: gedrucktes Heft + digitale Ausgabe mit 7,90 Euro Ersparnis! Wie man zeitfressende Routinejobs automatisieren kann, Infos über Admin-Berufe und wieder jede Menge Praxistipps für's Rechenzentrum finden Sie in diesem iX-Sonderheft. Admin-Berufe10 Ins ArbeitslebenAus- und Fortbildungswege in der IT14 KarriereErwartungen an IT-Administratoren18 PraxisSystemadministration im Wandel24 NetzmanagementNetzadmins heute und morgen28 DatenbankenNeue Herausforderungen für DB-Admins31 ArbeitsrechtUmgang mit zweifelhaften ArbeitsanweisungenEinstieg in die Automatisierung36 StrategieDas automatisierte RZ – Wunsch und Wirklichkeit42 BordmittelBasisdienste zur RZ-Automatisierung verknüpfen48 WerkzeugeOpen-Source-Tools fürs KonfigurationsmanagementSystemmanagement58 MonitoringLogging dynamisieren mit Elastic Stack64 ArchitekturüberblickAnsible-Tutorial, Teil 1: Custom Inventories70 DatenzusammenführungAnsible-Tutorial, Teil 2: Variables, Facts und Debugging76 HandhabungAnsible-Tutorial, Teil 3: Module und Collections83 FrontendHost Lifecycle Management mit Foreman und Ansible88 TestautomatisierungPuppet-Module im Griff95 Multi-CloudInfrastrukturen handhaben mit Terraform100 CloudsPulumi: Infrastructure as Code mit SprachwahlNetzkonfiguration104 HeterogenitätHerstellerübergreifende Netzwerkautomatisierung mit Python108 IntegrationMit Napalm, NetBox und SaltStack die Verwaltung automatisieren113 VerwaltungKonfigurationsmanagement von aktiven Netzwerkkomponenten mit Ansible118 GUINetzwerkautomatisierung mit dem Ansible-Zusatz AWX124 MonitoringInfrastruktur automatisiert überwachen mit Icinga und PuppetGitOps132 GrundlagenDie neue Stufe des automatisierten IT-Betriebs139 MarktübersichtWerkzeuge und Agenten im Vergleich147 PraxisMit ArgoCD und Tekton zur eigenen Umgebung151 ErfahrungsberichtKubernetes dynamisiert157 AnwendungCeph-Verwaltung automatisiertSonstiges3 Editorial137 Impressum137 Inserentenverzeichnis