iX-Magazin

Wer kennt es nicht? Man möchte einem Netzwerkproblem auf den Grund gehen. tcpdump ist gut und schön, aber unhandlich. Beherzt tippt man was zusammen und legt aus Versehen den Grundstein für eines der beliebtesten Protokollanalyse-Werkzeuge. So geschehen mit Wireshark, das Gerald Combs nun seit 1998 pflegt. Herzstück von des Tools ist die Dissection Engine, die Pakete auseinander nimmt und anhand von verschiedenen Protokollen analysiert. Die Protokolle stammen aus der Community: aktuell sind es etwa 3000 verschiedene, die Paketinhalte mithilfe von 300.000 Anzeigefiltern darstellen. Zum Release von Version 4.4.0 konnte der selbst erklärte Netzwerk-Nerd und rasende iX-Reporter Benjamin Pfister Gerald interviewen. Hier ein Auszug: ❓ Wo sehen Sie aktuell Schwierigkeiten bei der Analyse auf Paketebene? ❗ Es gibt zwei große Herausforderungen: Die eine ist, dass der interessante Verkehr immer weniger zugänglich ist. Wir hosten immer mehr in der Cloud. Aber wie erfasst man den Datenverkehr aus diesen unzugänglichen Umgebungen heraus? Hinzu kommt die Verschlüsselung: Sie macht unsere Arbeit schwieriger, aber ist auch wichtig und nützlich. Ich bin froh, dass es sie gibt, aber gleichzeitig ist das eine Aufgabe, der wir uns stellen müssen. Was geht also in diesem undurchsichtigen Blob von Bytes vor? Wir müssen uns irgendwie damit arrangieren, diese Daten zu entschlüsseln. Dazu gibt es unterschiedliche Methoden. Aber es erschwert am Ende den Arbeitsablauf für Protokollanalytiker. Dabei scheint heutzutage jeder alles in JSON über HTTPS zu packen, anstatt separate Protokolle zu nutzen. ❓ Wenn wir uns also diese Probleme ansehen, was sind dann Ihre nächsten Pläne mit Wireshark? ❗ Wir orientieren uns an den Anforderungen der Nutzer: Am Beispiel der TLS-Entschlüsselung für HTTPS sieht man das sehr gut. Das wird meistens durch eine SSL-Schlüsselprotokolldatei gehandhabt. Sie können eine Verschlüsselungsbibliothek einschalten, die die privaten Schlüssel für eine Sitzung protokolliert – ein manueller Prozess. Aber mit der Zeit werden wir Wege finden, um diesen Prozess zu vereinfachen. Eine weitere Anforderung bei Wireshark ist es, mit den modernen Datenraten Schritt zu halten, die mit der Zeit immer höher werden. Ich denke oft, dass wir unsere Grenzen erreicht haben, wenn es darum geht, eine Liste von Paketen zur gleichen Zeit anzuschauen. Doch dann arbeiten wieder Leute daran und fügen mehr Funktionen hinzu, mit denen man diese großen Datenmengen betrachten kann. Unsere Community ist am Ende viel schlauer als ich, und kommt mit diesen erstaunlichen Lösungen für verschiedene Probleme und das Projekt wächst und wächst. Das ganze Interview findest Du auf heise online: 🔗 https://heise.de/-9856785 #iXMagazin #Wireshark #OpenSource #Netzwerkanalyse

📅 Vom 11. bis 14. November 2024 präsentiert das iSAQB® in Kooperation mit dem iX-Magazin das Software iSAQB® Software Architecture Gathering in Berlin. Die Teilnehmenden erwarten mehr als 40 Keynotes 🎙️, Sessions und Workshops 💻 mit über 40 national und international renommierten Sprecher*innen 🌍 aus der Softwarearchitektur-Szene. Die Konferenz ist Treffpunkt und Wissensplattform 🧠 für alle, die in IT-Projekten an Lösungsstrukturen arbeiten 🛠️: in erster Linie Softwarearchitekt*innen, Entwickler*innen und Qualitätssichernde. 🚀 Alle Informationen zum Programm und zu den Tickets gibt es hier: https://lnkd.in/dV9tVvg #SAG2024 #SoftwareArchitecture #iSAQB #iXMagazin

Du hast immer noch kein Ticket für die S2N❓ Dann ist heute deine letzte Chance, dir noch eins zum Early-Bird-Preis von 499€ statt 599€ zu sichern❗ ➡️ Sichere dir jetzt dein Ticket: https://lnkd.in/e7DM2f-9 #S2N #EarlyBird #Rabatt #LastCall

Dass NIS2 kommt, dürfte jede und jeder Sicherheitsverantwortliche mitgekriegt haben. Dass NIS2 zahlreiche, auch mittelständische Unternehmen betrifft und keineswegs nur kritische Infrastrukturen, auch. ❓ Aber wer genau ist betroffen? Was konkret fordern NIS2 und das deutsche NIS2-Umsetzungsgesetz? Welche Maßnahmen sind erforderlich und welche Fristen gelten dabei? Was bedeutet NIS2 für IT-Dienstleister und Lieferanten? Da gibt es noch viel Unsicherheit. Deshalb veranstalten das iX Magazin und die SIGS DATACOM GmbH im November eine eintägige Onlinekonferenz, in der renommierte IT-Recht- und Security-Spezialist:innen diese und viele weiteren Fragen beantworten. Freut euch auf Manuel 'HonkHase' Atug, Sabine Griebsch, Tobias Janecke, Prof. Dr. Dennis-Kenji Kipker und Ulrich Plate, auf kompaktes Know-how an einem Tag und auf viel Raum für eure Fragen. Zum Event am 5. November: "NIS2 – was jetzt zu tun ist" geht es hier: 🔗 https://heise.de/s/WxoeY #iXMagazin #ITSecurity #NIS2 #KRITIS #ITRecht

Als IT-Freelancer kann man in Deutschland selbstbestimmt arbeiten und gut verdienen. Oder stimmt das gar nicht? Sind die bürokratischen Hürden so hoch, dass man besser gleich ans Auswandern denkt? Viele IT-Freiberufler konnten in den letzten zwölf Monaten ihre Stundensätze steigern, dem Fachkräftemangel sei Dank. Aber die Kundenakquise wird schwieriger und der Wettbewerb härter. Zudem drohen bürokratische Hürden – und das Schreckgespenst der Einstufung als scheinselbstständig. Aber dieses Risiko lässt sich verringern: „Grundlage jeder Prüfung durch die Deutsche Rentenversicherung (DRV) sind die Vereinbarungen zwischen Auftraggeber und Freelancer sowie die von der DRV abgefragten Informationen zu den konkreten Umständen der Tätigkeit. Somit lässt sich das Risiko der Scheinselbstständigkeit beziehungsweise der Sozialversicherungspflicht zum einen durch entsprechend klare, für die Selbständigkeit sprechende Formulierungen reduzieren. Ich empfehle in diesem Zusammenhang in der Form keine „klassischen“ Verträge, sondern AGB und Bestellung.“ rät etwa der Rechtsanwalt Dr. Benno Grunewald in der neuen iX. Weiterhin bespricht die Titelreihe der Ausgabe 09/2024 die Hürden beim Schritt in die Selbstständigkeit, die aktuelle Verdienstlage und die Auswirkungen der Konjunkturschwäche. 📚 Außerdem im Heft: NIS2 trifft auch die Kleinen NIS2, ein Thema nur für große Unternehmen? Falsch – NIS2 betrifft auch alle DNS-Betreiber und Domain-Registrare, unabhängig von der Unternehmensgröße. iX erläutert, was das in der Praxis bedeutet. Automatisierung mit PowerShell Mit PowerShell lassen sich vor allem in Microsoft-Umgebungen IT-Prozesse im Unternehmen effizient automatisieren. Das Beispiel Personalverwaltung zeigt das richtige Vorgehen und mögliche Fallstricke. Sicherheitsrisiko RADIUS Die Blast-RADIUS-Lücke hat erneut gezeigt, dass das RADIUS-Protokoll zum Anmelden im Netz schon lange nicht mehr modernen Sicherheitsstandards genügt. Administratoren sollten ihre Netze absichern – und am besten gleich auf das neuere RadSec-Protokoll umsteigen. Der AI Act ist da Die KI-Verordnung der EU mit ihrem risikobasierten Ansatz ist am 1. August in Kraft getreten. Sie enthält komplizierte Kriterien zur Beurteilung von KI-Systemen. Auf Anbieter und Betreiber von Hochrisiko-KI kommen viele Pflichten zu – wenn auch nicht sofort. Rust fürs Frontend Rust-Code lässt sich einfach in Web-Assembly kompilieren und somit in Webanwendungen integrieren. Das GUI kann man dabei entweder in JavaScript schreiben, als HTML-Elemente in den Rust-Code einbetten oder über eine GUI-Bibliothek für Rust erstellen. Ein Überblick über alle Themen findet sich im Inhaltsverzeichnis 🔗 https://heise.de/s/L1P1w #iXMagazin #Freelancer #Scheinselbstständigkeit #NIS2 #Powershell

Zwar reicht der Energiehunger von KI-Modellen noch nicht an den absurden Bedarf von Bitcoin heran, doch Öko-Engel sind die aktuellen LLMs trotzdem nicht. Meta wagt Prognosen, was sich die künftige Modellgeneration an Strom genehmigen wird. Doch die dürften weit untertrieben sein. In der Runde zu Metas letzten Quartalszahlen hat Mark Zuckerberg den möglichen Rechen- und damit Energiebedarf von Llama 4 prognostiziert. Im Editorial der iX 09/2024 hat iX-Redakteurin Susanne Nolte die Zahlen grob überschlagen – Einmal die offiziellen Angaben von Meta und die mögliche Dunkelziffer: „Zehnmal mehr Rechenleistung als sein Vorgänger soll Llama 4 brauchen. Dieser Vorgänger Llama 3.1 soll mit seinen 405 Milliarden Parametern 39,3 Millionen GPU-Stunden auf Nvidias H100-80GByte fürs Training benötigt haben, macht bei einer TDP von 700 W gut 27,5 GWh und 11 390 Tonnen CO₂-Äquivalent (CO₂e). Leider beziehen sich Metas Zahlen nur auf die GPUs. Eine ältere Studie zum 176 Milliarden Parameter umfassenden Modell BLOOM nimmt ein Verhältnis von 1 : 2 für GPUs zu den restlichen Servern an, macht gut 80 GWh und 34 000 t CO₂e. Das Gleiche rechnen wir noch mal für Storage, Netz, Kühlung und Leistungsverluste der Stromversorgung drauf, macht gut 160 GWh – ungefähr zwei Drittel dessen, was Deutschlands Kraftwerke in einer Stunde produzieren – und 68 000 t CO₂e. Ach ja, war nicht in der letzten iX über Googles Umweltbericht zu lesen, dass der Scope 1 und 2, also der eigentliche Energieverbrauch, nur 25 Prozent des Fußabdrucks eines Cloud-RZs ausmacht, und der Scope 3, die vor- und nachgelagerte Wertschöpfungskette, mit 75 Prozent zu Buche schlägt? Also das Ganze mal 4, das wären 272 000 t CO₂e. Und mit Llama 4 das Ganze mal 10, also 2,7 Millionen t CO₂e.“ ❓ Ist dieser große Aufwand das Ergebnis wert? Aktuelle LLMs können viel und besonders in der Hand von Domänenexperten helfen sie durch Zeitersparnis und erstaunliche Ergebnisse. Allerdings punkten die zuletzt erschienenen Systeme eher durch große Kontextfenster und geringere API-Gebühren, als mit einem echten Zugewinn an Fähigkeiten. GPT4o, Llama 3 405B, Claude 3.5 Sonnet und jüngst Grok-2 liegen in den gängigen Benchmarks meist nur ein bis zwei Prozentpunkte auseinander – in einigen Spezialfällen mag die Abweichung größer sein. Einen echten Qualitätssprung gibt es nicht, Halluzinationen der Modelle verhindert man besser mit RAG, als einem nackten, neuen Modell. Doch was denkst Du? Ist mit Skalieren noch viel zu holen, oder muss sich die Modellarchitektur grundlegend verändern? Welche spannenden Ansätze dafür sind Dir zuletzt begegnet? Das ganze Editorial findest Du schon jetzt auf heise online: 🔗 https://heise.de/-9835352 #iXMagazin #KI #LLM #CO2 #Energieverbrauch

NIS2, das ist doch nur ein Thema für große Unternehmen. Denkt man immer. Kritische Infrastruktur, Energieversorger, Banken und so. Mindestens 50 Mitarbeiter und 10 Mio. € Jahresumsatz, das steht so in der Richtlinie. Bloß gibt es eine fette Ausnahme: DNS-Dienstenanbieter und Registrare von Top-Level-Domains fallen immer unter NIS2, egal, wie klein sie sind. Und das heißt: Jede kleine Werbeagentur, die für ihre Kunden den Webshop betreibt und die DNS-Dienste miterledigt, muss die NIS2-Anforderungen und -Pflichten erfüllen. Und die haben es in sich, denn NIS2 fordert Maßnahmen aus verschiedenen Bereichen: - Risikomanagementstrategien - Incident Response - Geschäftskontinuität und Krisenmanagement - Sicherheit der Lieferkette - Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen - Strategien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits- und Risikomanagementmaßnahmen - grundlegende Praktiken der Cyberhygiene und Sicherheitsschulungen - Kryptografie - Personalsicherheit - Zugangskontrollen - Asset-Management - Umweltsicherheit und physische Sicherheit Klingt nach einem ganz schön großen Brocken für ein Kleinunternehmen. Ist es auch. Ulrich Plate, Leiter der Kompetenzgruppe Kritische Infrastruktur des Verbands der Internetwirtschaft eco e. V., erklärt in seinem Artikel für iX, dass kleine Unternehmen die NIS2-Anforderungen kaum erfüllen können – und warum diese Sonderbehandlung für DNS eigentlich gar nicht nötig ist. Zum h+-Artikel geht es hier: 🔗 https://heise.de/s/MeePk #iXMagazin #NIS2 #DNS #TLD #ITSecurity

Arbeitest Du gern an der Shell? Dann solltest Du Dir Alternativen zu den klassischen Kommandos ansehen.  Nicht nur gestandene Server-Administratoren lieben die Kommandozeile. Auch die tägliche Arbeit mit Linux und MacOS geht am Shellprompt oft schneller und effektiver von der Hand. Wer es dabei moderner und komfortabler haben will, sollte sich Alternativen zu ls, du, grep und Konsorten anschauen. Davon gibt es erstaunlich viele, denn in der Rust-Community ist eine regelrechte Bewegung entstanden, die klassischen Werkzeuge neu zu interpretieren. Die Alternativen kommen mit Funktionen, die sich Admins schon seit Jahren wünschen und bieten oft echten Mehrwert. Es ist aber nicht so einfach, die passenden zu finden. iX-Autor Martin Gerhard Loschwitz hat sich einen Überblick verschafft.  In Interviews berichten Sebastian Thiel und Daniel Hofstetter, zwei Entwickler dieser Tools darüber, was sie motiviert. 📚 Außerdem im Heft: Das verdienen Softwareentwickler in Deutschland Entwickler sind nach wie vor gefragt. In unserer Gehaltsübersicht zeigen wir, was sie in unterschiedlichen Bundesländern und verschiedenen Branchen verdienen können. Testgetriebenes Prompt Engineering Prompt-Entwicklung für große Sprachmodelle zu automatisieren, das gelingt mit dem schlanken Framework promptfoo. Entwickler arbeiten mit dem CLI-Tool wie mit den bekannten Unit-Test-Werkzeugen und können es auch im CI/CD-Prozess nutzen. Jakarta EE 11 Seit dem Übergang von Java EE zu Jakarta EE hat sich die Plattform nur langsam weiterentwickelt. Die vor Kurzem erschienene Version 11 wartet jedoch mit interessanten Neuerungen auf, insbesondere auf der Persistenzschicht. Firewall für APIs Wer eine API öffentlich ins Internet stellt, darf bei der Sicherheit nicht sparen. Spezielle API-Firewalls prüfen Anfragen und Antworten auf legitime Inhalte und tragen so zum Sicherheitskonzept bei. Alle Themen findest Du wie immer im Inhaltsverzeichnis: 🔗 https://heise.de/s/gOObp #iXMagazin #Rust #Linux

KI-Programmierassistenten sorgen angeblich für schlechteren Code. Aber liegt es vielleicht an den Entwicklern? Coding-Assistenten versprechen, zu den beliebtesten und effektivsten KI-Anwendungen zu werden. Aber vor allem sollen sie Programmierern nervige Routineaufgaben abnehmen, damit die sich auf die wirklich wichtigen Dinge konzentrieren können. Im Interview zur neuen iX 07/2024 erklärt Alexander Schatten, Senior Researcher bei SBA-Research, worauf Softwareentwickler in der Praxis achten müssen: ❔ Was können die KI-Assistenten denn besonders gut programmieren? ❗ Sie helfen einerseits bei relativ einfachem Boilerplate-Code, können aber auch – in der Hand von kompetenten Programmierern – helfen, den Einstieg in neue Problemstellungen prototypisch zu erleichtern. Sehr hilfreich kann auch die Unterstützung von qualitätssichernden Maßnahmen sein. KI kann etwa beim Schreiben von Tests oder Dokumentation helfen. Auch beim Einarbeiten in Code-Teile, die man nicht kennt, kann unterstützt werden: „Erkläre mir diese Methode / diese Regular-Expression“. Hier ist aber immer zu ergänzen, dass diese Erklärungen keinesfalls fehlerfrei sind. Eine entsprechende Kompetenz in der Beurteilung der KI-Aussagen muss immer gegeben sein. ❔ An welchen Stellen schwächeln sie denn – oder versagen komplett? ❗ Im Augenblick ist es kaum möglich, größere Code-Basen oder fachliche Seiteneffekte zu überblicken. Das könnte sich aber mit technischen Verbesserungen verändern. Das Kernproblem liegt eher darin, dass man bei größeren Eingriffen durch die KI das Vertrauen haben muss, dass diese korrekt erfolgen. Eine hinreichende Prüfung der Konsequenzen, wenn die KI zum Beispiel ein großes Refactoring durchführen würde, ist nicht mehr leicht möglich. Geht dies aber schnell und einfach, ist die Verlockung groß, es trotz des damit verbundenen Risikos zu tun. ❔ Also müssen Softwareentwickler nicht um ihren Job fürchten? ❗ Ich weiß nicht, ob sie nicht langfristig um ihren Job fürchten müssen. Kurz- und mittelfristig scheint es mir so zu sein, dass die KI-Tools eine ähnliche Auswirkung haben, wie andere komplexe Tools im Software-Lifecycle: Die kompetenten Programmierer werden ermächtigt und besser in ihrer Arbeit, aber die mittel- oder schlecht-qualifizierten leisten – stark vereinfacht ausgedrückt – eher noch schlechtere Arbeit. Wird KI im Unternehmen strategisch falsch eingesetzt, so hilft KI nur, diese Fehler noch schneller und in größerem Umfang zu machen. Das ganze Interview findest Du auf heise online: 🔗 https://heise.de/-9782203 Mehr zum Thema Software entwickeln mit KI verrät die Titelstrecke der iX 07/2024 - hier geht es zum Inhaltsverzeichnis: 🔗 https://heise.de/s/PZZ4E #iXMagazin #KI #Programmieren #Softwareentwicklung #ITInfrastruktur

Zum Sicherheitsvorfall bei Teamviewer hat Christopher Kunz den aktuellen Stand in einem kurzen Video zusammengefasst. 🙏 Das ist natürlich auch für die iX-Leserschaft hochrelevant.