Michael: Hallo und herzlich willkommen zum Talk Microsoft 365. Mein Name ist Michael und diese Woche haben wir erneut eine Aufzeichnung von der M365 Summit Veranstaltung im September. haben wir einen spannenden Gast, nämlich Raphael Köllner, der sich ganz intensiv mit dem Thema AI, Security, aber auch Compliance dem AI Cloud Act auseinandergesetzt hat. wir freuen uns, dass wir mit ihm ungefähr eine Stunde darüber reden durften, was das alles die jeweiligen Welten bedeutet und wie man das Ganze dann auch, ich sag mal, sicher betrachten sollte. damit wünsche ich euch ganz, ganz viel Spaß in der Episode und wir sehen uns hören uns bei der nächsten. Ciao! Untertitelung. Hallo und herzlich willkommen zum Talk Microsoft 365. Mein Name ist Michael und ich begrüße ganz herzlich den Thorsten. Thorsten: Hello. Michael: Und dem jungen Mann, dem ich hier gerade fast ins Gesicht gefasst hätte, falls ihr das Video guckt, begrüße ich ebenfalls Ihr seht ihn schon, aber für alle, die den Podcast hören, das möchte ich noch ganz kurz hinaus zögern, denn wir sind auf dem M365 Summit und nutzen gerade die Möglichkeit, dass wir dort unseren Podcast aufnehmen können. Also es ist auch diesmal keine Livestream-Sendung, aber eine Sendung, auf die wir uns sehr gefreut haben, weil wir einen Gast dabei haben, den wir schon lange nicht mehr dabei hatten Hatten. Thorsten: Aber wir hatten dich schon mal dabei. Michael: Ja, offensichtlich weißt du es nicht mehr. Und du, stell dich doch mal vor, wer bist du denn? Raphael: Hallo. Ich wusste, dass ich schon mal hier war, aber nicht mehr wann. Das kriegen wir aber noch geklärt hoffentlich in dieser Stunde. Ja, mein Name ist Raphael Kölner Vielen Dank für die Einladung Heute ganz in Form eines Konzerndatenschützers hier und gar nicht als Berater und Co., aber Konzerndatenschützer, MVP, Region Direktor und auch im Microsoft-U-Feld so ein bisschen unterwegs. So ein bisschen. So ein bisschen. Vor allen Dingen in den Themen. Das nervt nee, das stört. Warum müssen wir denn darüber reden? Ach nee, komm noch nicht damit jetzt schon wieder. Ernsthaft, ja. Frag oder heute Morgen in der Session, wie viele von den IT-Lehrern haben sich eigentlich mal die Produktterms angeguckt? Hä, was ist das? Also so kann man es beschreiben. Michael: Okay, du bist ja inzwischen, ich weiß gar nicht ob das der letzte Stand auch schon war, du bist Geschäftsführer der Köln Service GmbH, du korrigierst mich, wenn ich was falsch sage. Raphael: Mittlerweile Gruppe, ja. Okay, das ist Michael: ein gutes Finanzmodell Wir kennen Raphael: uns ja aus. Michael: Genau, und ansonsten bist du noch Microsoft. Du bist Microsoft MVP, Microsoft Regional Director und quasi auf jeder Konferenz anzutreffen, die es im Microsoft-Kontext, fast jeder, sagen wir auf vielen, zu Themen, du hast es gerade eben schon gesagt, Datenschutz, Security, Raphael: Compliance Michael: Und in jüngster Zeit das alles noch gepaart mit AI. Das Raphael: richtig auch, ja. Da kommen wir nicht mehr drüber hinweg. Ich hatte überlegt AI oder doch virtuelle Realitäten, Mesh und Datenschutz. Aber irgendwie entscheidet man sich immer für AI. Diese Session kriege ich nirgendwo platziert, warum auch immer. Wir wollen mehr Mesh. Nee, okay, das Publikum das hier sitzt, grinst und lacht auch nur, kommen so Second-Life-Vibes raus. Also bitte, ich war Michael: vor kurzem Moderator bei Metaverse One bei Thorsten: einem Michael: ganzen Event rund um Mesh nicht ist das Thema Mesh Thorsten: ein Thema, sondern gibt es dort auch datenschutzrechtliche Aspekte? Raphael: Ja, gibt es. Wow. Und das Thema, ich sag mal, etwas weg von Mesh, gibt es auch andere Technologien in dem Bereich, ist das Thema schon ganz heiß. Weil gerade, ich sag mal, in Verbänden oder auch in vielen Unternehmungen man halt über die virtuelle Realität Menschen näher zusammenbringen kann. Also du hast Leute aus Australien aus China, aus den USA, nicht in einem Teams-Meeting wo keine Kamera an ist, sondern... In virtuellen Realitäten, wo man zusammen etwas tun kann. Mittlerweile bis zu 50 Leute, mittlerweile mit Gästen in Mesh jetzt, aber es gibt auch andere Technologien, wo das alles noch so ein bisschen fescher, schöner ist. Ich habe gelesen, auch ein Newscenter Thorsten: ankündigt demnächst mit Meta-Wars Genau genau, genau, deswegen sage ich Raphael: ja, genau in diese Meta-Richtung. Es gibt auch ein paar andere Systeme die man selber bauen kann, auch Open Source, wo das einfach doch schon genutzt wird. Aber Datenschutz ist super mega spannend, weil... Spannend weil gefährlich Gefährlich auch, ja, aber solche Fragen sofort sind wie... Ist eigentlich dieser Avatar, den ich da gebaut habe, ein personenbezogenes Datum. Geltend für Raphael: diesen Avatar, wo ich ein Gesicht mir erstelle, ist das eigentlich meine Person in der virtuellen Realität also eine Abbildung meiner Person. Also es ist schon so gut dass es ein Bild meiner Person ist und dann bin ich im Kunst-Urheberrecht, wo auch die Abbildung und die Nutzung dieses Bildes handelt. Und dann wird es noch so spannender. Ich hatte letztens eine tolle Frage dazu. Hören Sie mal, Herr Kölner. Und unsere Mitarbeiter haben sich da so ein Avatar gebaut, der wechselt jetzt aber das Unternehmen und wird den gerne mitnehmen. Ja geil. Ich hab drauf gewartet. Fantastisch ja, weil er nimmt ja auch die Zertifizierung in LinkedIn mit und den Gabelstapler-Führerschein, den er noch nebenbei gemacht hat. Dann wird er sein Avatar, da hat er so viele Stunden Arbeitszeit reingesteckt den auch gerne mitnehmen in sein nächstes Unternehmen. Man könnte ja einfach ihm ein anderes T-Shirt anziehen mit einem anderen Logo aber er hätte ja so viel Arbeit reingesteckt, den würde er gerne mitnehmen. Und als wir dann verweigert haben... Michael: Ist das nicht eigentlich schon wieder Firmeneigentum wenn du das während der Arbeitszeit Richtig, richtig, Raphael: aber wenn es ja Person ist, dann dürfte man ihm das schon machen, weil wir kamen dann auf die Idee zu sagen, nee, kriegt er nicht, weil... Wie willst du das jetzt sauber extrahieren und importieren? Und ja, das geht mittlerweile alles irgendwie, aber muss ja nicht unbedingt sein. Und dann kam der Herr, deswegen kam es dann zu mir, auf diese tolle Idee, doch eine Datenschutzanfrage zu stellen auf Übertragbarkeit von personenbezogenen Daten, nämlich diesen Avatar in Codeform. Und dann mussten wir uns ein bisschen was überlegen, wie wir ihm vielleicht doch nicht den Avatar geben, aber wir können in einem Screenshot machen. Und eigentlich ist das der Tag 32 gewesen, der Account war gelöscht und wir haben den einfach nicht mehr. Und wir hoffen jetzt einfach mal, dass da kein Schadensersatz oder sonst irgendwas noch kommt, weil wir den virtuellen Avatar, der nur im Rahmen eines Pocks gemacht wurde, dass wir den jetzt einfach nicht mehr rausgeben oder einfach nochmal baut. Also das ist gar nicht so einfach. In die tiefen Welten schon reinbringen mit auch so spannenden Sachen wie, woran erkenne ich eigentlich, nehmen wir den Mesh-Avatar, woran erkenne ich eigentlich, dass die Person, die jetzt da vor dem Rechner sitzt, wirklich die ist, für die sie sich ausgibt. Also wer Raphael: hat das nicht schon mal beim Ausprobieren gemacht, ist aufgestanden, hat sich was zu trinken geholt und die im Meeting hat mal weitergeredet, du bist wiedergekommen, ja alles klar und hast es gehört, ja ja klar. Also das ist halt auch so was, wo es auf meiner Sicht so ein bisschen auch an der Enterprise-Readiness sozusagen dieser Produkte oft scheitert, weil ist das jetzt wirklich die Person da drin? Also wir reden noch nicht über die Fakes aber das ist schon ziemlich gut. Das ist glaube ich noch nicht die Thorsten: Funktion, dass ich mich vor die Kamera stellen kann und der das dann quasi abscannt und mich virtuell bildet dann irgendwie. Gibt Kein Raphael: Zertifikat kein gar nichts. Ich habe das auch mal vorgeschlagen Aber US-amerikanische Sicht ist natürlich immer gewesen, nö, warum? Also das ist doch klar, weil der ist ja dem Account zugeordnet und so. Und dann habe ich gesagt, ja, aber nö man würde, genau. Ja, ja genau sowas. Also die Sache ist, technisch ist es möglich. Also wir haben sogar in der Microsoft-Welt Dezentrale Identitäten. Thorsten: Wie geil wär das? Dann hast du so ein rotes X über deinem Avatar hängen, es ist ein Self-Signed Certificate und wir können dieser Identität nicht vertrauen. Raphael: Warum nicht? Also nimmst mal ganz ehrlich, warum nicht? Wir werden dieses Thema mit KI aber noch bekommen. Thorsten: Ich Raphael: sage nur Voicebots, wenn ich uns mal so angucke. Das Thema Voicebots ist nichts Neues ist das, was es schon gibt. Sprachgesteuerte, mittlerweile KI-gesteuerte. Wenn ich irgendwo anrufe und wieso soll ich nicht bei jemandem mit Teams anrufen und dann ist da halt ein gesteuerter Avatar, der mir Antworten gibt, wo KI dahinter liegt. Warum nicht? Mit Stimmlage von Raphael Kölner. Thorsten: Willkommen beim Datenschutzverantwortlichen. Zum Beispiel, genau. Thorsten Fickern, dem Teams-Experten oder Michael Plättner dem Viva-Experten. Die Sache ist, Raphael: es laufen seit letztem Jahr, Oktober meine ich oder November, Die testen ja schon, ich glaube, bei RTL, dass quasi die Moderatoren durch Avatare und Virtual Resultaten ersetzt werden und quasi auch mit der gleichen Stimmlage und so weiter, dass wenn zum Beispiel ein Notfall passiert, die Sendung weiterläuft, auch wenn die Person nicht mehr da ist. Und wir sehen es ja, wer war schon bei ABBA in London? Keiner, ich auch nicht. Aber das soll laut meiner Bekannten ziemlich realistisch sein, wie dort die Personen tanzen und die Musik läuft. Da sind wir nicht weit weg. Die Frage ist halt nur… Wollen wir das auch? Und wird das in Kombination mit KI wiederkommen? Und dann gibt es dazu natürlich mittlerweile, ich habe zu diesem Mesh-Thema, weil ich wirklich vorbereitet hatte mal, es gibt mittlerweile so 30 Aufsätze dazu, auch sehr bisschen Literatur. In der Datentotskonferenz letzte Woche gab es, glaube ich, einen Vortrag auch dazu. Also es ist noch nicht ganz vom Tisch. Aber es ist natürlich mit KI, wo wir im Moment irgendwie 25.000 Aufsätze in drei Monaten haben gefühlt also nicht in der Zahl, aber so wirklich in der Masse ist das natürlich ein kleineres Randthema Wann habt ihr das letzte virtuelle Meeting gemacht? Den virtuellen Mesh-Podcast? Noch gar nicht. Wir werden sehen, wie weit das Thema da durchgeht. Aber da ansonsten finde ich auch super spannend. Hört Thorsten: sich so, also alleine auf die Idee zu kommen, zu sagen, ich bin jetzt Mitarbeiter, habe mir einen Avatar erstellt, das hat mich x Stunden gekostet und ich möchte das ganz gerne jetzt eben Genau Mega anstrengend habe ich auch die Zeiten für fakturiert irgendwie. Es war ja alles, keine Ahnung. Und jetzt habe ich darauf Anspruch, dieses Ding mitzunehmen zu exportieren in die nächste Company, ohne überhaupt zu wissen, ob sie Microsoft einsetzen, ob sie Microsoft Teams einsetzen, ob Mesh überhaupt dabei ist. Mega. Nehmen wir Old Space. Ach Raphael: nee, das ist auch schon dicht. Thorsten: Würde das technisch also ich wusste gar nicht, dass es überhaupt geht. Geht technisch aus Teams zu exportieren und den dann in anderen Naja aus Teams direkt nicht, aber du kommst Raphael: schon an den Avatar ran. Die Problematik ist halt eben, so kompatibel ist es jetzt nicht, ihn überall zu spielen. Das heißt, Du musst schon in die jeweiligen anderen Systeme konvertieren. Deswegen die meisten auch MVP-Kollegen die sich mit diesen ganzen Thematiken Mesh und Co. beschäftigen, die bauen dann wirklich für die jeweilige Technologie. Also so kompatibel ist das alles nicht. Auch wenn es da wieder Bestrebungen gibt, das kompatibler zu machen. Das ist das, was Microsoft ja mit Xbox und Playstation Co. gemacht hat. Was jetzt mit Microsoft Mesh und Meta passiert, was unsere Innenminister und Co. gerne hätte für Alle Messenger, also mit Streamer Signal, WhatsApp, alle untereinander Internet, die mir schreiben kann, bin ich auch nicht der riesen Fan von, weil es gibt sehr Sicherheitsmethodiken, warum das eben nicht sinnvoll ist, dass ich meine Streamer-Nachrichten nach WhatsApp und WhatsApp nach Streamer schicke. Es Gründe warum ich WhatsApp unter Umständen verlassen habe und auf eine Thorsten: andere Plattform gegangen bin. Dann doch Raphael: lieber bei Signal bin und nicht bei Telegram. Irgendwo aus Indien gehostet. Weiß der Geier wo. Ja krass. Gut kommt immer drauf an, was man will. 500 Dollar für ein Unternehmenshack kriegst du schneller bei Telegram als bei Signal. Okay. Michael: Okay, ich möchte gar nicht wissen, woher du das... Raphael: Es hat alles Hintergründe. Ja, das ist der Grund, warum ich gar nicht... Irgendwann machen wir ein Comedy-Programm daraus, dann hören wir auf mit den Sessions. Sondern wir machen nur noch lustige Dinge, wie heute Morgen. Ich habe so ein Bild gefunden, das habe ich heute Morgen noch extra in die Session eingebaut. Aus Datenschutzgründen maximal vier Leute dürfen den Raum betreten. Und wenn sie krank sind, nur mit Maske. Offiziell so ein Schildchen an so einer Tür mit schon, hat schon jemand aus der Datenschutzbubble drüber kommentiert, Datenschutzgesetze aus der Horrorwelt oder so. Ja, gibt es und da findet man jede Menge von. Und eigentlich, ich habe früher, als ich Student war, mal so Vorlesungen gemacht. So 24-Stunden-Bildungen hieß das, auch so ein Community-Ding, wo wir dann 24 Stunden lang Vorlesungen aus verschiedenen, nicht Rechtsbildungen, sondern wirklich Chemie Physik und Biologie gemacht haben, ob wir sowas nicht mal so machen und dann wirklich mit so wirklich lustigen Dingen aus der IT-Welt, wie schließen Sie doch mal das Fenster, der Kunde steht auf, macht das Fenster, so ja, jetzt es nicht mehr so kalt hier, bis hin eben zu solchen Datenschutz-Sachen. Das Problem ist immer da, also... Das sind auch mal Ideen. Wir entwickeln in diesem Podcast immer Ideen Ich finde das lustig Michael: Wir haben nicht umsonst schon mehrfach mit dem Christoph über Moments of Lackfass gesprochen. Das hat seinen Ursprung und wir werden auch tatsächlich bei einem Event sowas einreichen. Also das wird's. Faszinierend. Als Panel-Diskussion. Ja, tatsächlich so in der Richtung. Wir wissen nur noch nicht die Länge, ob es zwei Stunden ausreichend sind oder ob wir gleich für vier Stunden einreichen. Ja, Raphael: vier Stunden würde ich machen. Ich würde mitmachen, wer meinen LinkedIn verfolgt hat. So eine Frage, was kann ich, was war das, beim Arzt und im Teams-Meeting parallel sagen oder so, gibt sehr viele lustige Antworten Nee, es war beim Sex und dem Team-Sweeting, Entschuldigung. Stimmt der Sex war es Genau es war doch schon anzüglicherig mit sehr vielen lustigen Antworten wenn es mir schlecht geht, kann man sich das auch screenshotten als Buch drucken und sonstiges, ich glaube die Leute haben das freigegeben indem sie es sich öffentlich gepostet haben. Das Internet vergisst nie, das hatten wir gerade auch schon Irgendwann drucken wir das auch mal, das T-Shirt, ein, zwei von den Sprüchen, das war jedenfalls nicht schlecht. So, hörst du mich noch? Kommst du noch dazu oder so? Also es waren schon ein paar lustige Dinge dabei. So, IT und auch Datenschutz muss ja nicht humorlos sein. Michael: Nee, das habe ich ja auch schon grundsätzlich festgestellt. Wann immer ich irgendwo mit dir in einem Gespräch bin, egal ob aufgezeichnet oder nicht, dann erkenne ich, dass dieses für mich gefühlte trockene Thema Security, Compliance durchaus auch seine guten, witzigen Seiten haben kann. Und wir hatten beim Decode.ai-Podcast ja schon mal über den EU-Cloud-Act gesprochen. Damals war der noch relativ frisch Damals das ist zwei Monate her. Ja in der IT-Welt ist das ja… Thorsten: Damals das ist ja im letzten Jahrtausend. Gefühlt Ach jetzt kommt, Jungs Ja ja okay. Raphael: Zeitsprünge. Michael: Hast du das Gefühl, jetzt wo der so ein bisschen dran ist und wir wissen noch nicht, ob das jetzt nächste Woche rausgeht, also jetzt nicht nach dem Motto es wird gerade diskutiert darüber, ob man noch Paragraph XY irgendwie erweitert oder ne, sondern hast du das Gefühl, dass das irgendwie einen tatsächlichen Impact gehabt hat, dass das irgendwo etwas verändert hat? Im Bereich AI? Vielleicht können wir noch mal kurz was es Raphael: ist. Ich erkenne mal, was es ist. Dann eine Neuerung von gestern die ich wieder da sehr lustig finde und dann beantworte ich deine Frage. Worum geht es? Die EU war diesmal wirklich schnell, im Gegensatz auch zu DSGVO und Co. Man hat eine Verordnung geschaffen, die den Umgang mit KI in der Europäischen Union regelt. Punkt. Mit Einklassifizierung, beispielsweise Hochrisiko-KI, auch KI-Systeme die nicht… In Europa stattfinden dürfen und nicht umgesetzt werden dürfen und viele Regelungen drumherum, wie Transparenz regeln, alle diese Dinge. Also es ist schon ganz spannend, sollte man sich auf jeden Fall angucken wenn man sich mit KI beschäftigt aber auch viele, und das haben wir in den Podcasts und mehr erzähle ich nicht, dann muss man sich den wirklich anhören. Ich gerade sagen, du kannst es nicht so zuerzählen wenn du den ganzen Podcast von einer Stunde in zwei Minuten zusammenfassen kannst. Das ist nur der Hint so ein bisschen spoilern um sich den Podcast nochmal Ja gut, das ist eine gute Nummer. Wäre jetzt, Genauso die sache eben sich genau anzuschauen was muss ich eigentlich tun und was umsetzen und so mittlerweile sehe ich dass viele nutzungsbedingungen von opel blut und co solche regelung schon in sich drin haben also spoiler darüber haben wir im podcast aber mehr geredet wer da mehr wissen will so dann jetzt konzentrieren wir Michael: hatten in dem podcast sehr viel wert auf den eu cloud gelegt Richtig. Es gibt ja auch für China und für US, wenn ich es richtig im Kopf habe. Raphael: Die nicht alle gleich heißen aber alle Regelungen beinhalten und wo wir gesagt haben, so jetzt spoilern wir das nochmal das zweite Mal, wo wir darüber überlegt hatten und auch gestritten, welche... Welche ökonomische System- und Herangehensweise UKI sich eigentlich durchsetzt am Ende. Ist es das indische, das chinesische Abschottende, nur das, was in China passiert, da darf man frei sein, oder das europäische mit Grenzregelungen, wo man doch was tun kann, oder eher andere sehr freie, Gibige Systeme und Regelungen. Michael: Hast du das Gefühl, dass die Unternehmen sich versuchen in alle Richtungen irgendwie anzupassen oder schon eher die westlichen Systeme mehr an dem EU und westlichen? Es ist Raphael: eher westliche Systeme mit einem Auge zu. Also dass man nicht ganz so streng mit den ganzen Sachen umgeht Aber nach außen hin doch das alles einhält, so. Okay. Dass in der Realität das nicht ganz so aussieht so. Genau, dann zu der Neuerung von heute Morgen. Fantastisch wir haben auch in den Podcasts überschrieben, eigentlich die Aufsichtsbehörde sein soll für den AI-Act. Interessiert uns ja alle hoch brennend weil ... ... wer prüft uns, wer kontrolliert das eigentlich? Und wir hatten in den Podcasts noch gesagt, naja, ... ... die Landesdatenschützer und das BSI bringt sich in Stellung. Die wirklich lustigste Sache, ... was heißt lustig eigentlich vielleicht auch dramatisch Für mich aber sehr spannend war, gestern hat sich die Bundesnetzagentur in Position gebracht. Die Bundesnetzagentur möchte auch gerne Aufsichtsbehörde werden und hat das auch gestern einfach festgestellt, dass sie jetzt die Aufsichtsbehörde sind und diese Diskussion doch jetzt mal enden sollten. Ja wenn zwei sich streiten freut Genau, freut sich der Dritte. Dazu muss man sagen, die Bundesnetzagentur Die kennt man vielleicht, weil sie die Frequenzen für den Mobilfunk verhökert würde ich schon sagen, verlost und solche Sachen. Nach Michael: dem neuesten Skandal kommt das eher in Richtung nicht ganz sauber ausgeschrieben, glaube ich verkauft. Ja, verkauft Raphael: genau, ausgeschrieben und verkauft aber eben auch mit vielen anderen Dingen. Ganz interessant dabei ist Ist ein Chat-Messenger, ist das schon Telefonie oder nicht? Alle solche Dinge. Aber nein, die möchten gerne AI-Akt-Aufsichtsbehörde sein oder haben es gestern festgestellt oder vorgestern auch, dass sie jetzt dafür zustimmen. Also sehr, sehr spannend. So Raphael: kann man auch machen Bewegung im Markt. Bewegung im Markt der Aufsichtsbehörden nenne ich es immer. Es ist ein... Wie sagt man bei uns? Moving Target. Wir wissen noch nicht, wer kontrolliert, aber irgendeine Kontrolle wird kommen. Und das führt mich zur Antwort zu deiner Frage. Wir wissen nicht, was kommt, aber irgendeine Kontrolle wird kommen. Also ganz konkret, wir können diese ganze Regulatur nicht mit Augen zu machen ... ja, begegnen, sondern wir müssen was tun, um uns zumindest vorbereitend daran zu halten. Aber das Schöne ist eben, dass die meisten KI-Produkte, die es am Markt gibt von den großen Cloud-Anbietern ... Leider hat sich einer verabschiedet komme ich gleich zu, doch diese Reglatoren mit aufgenommen haben. Also in den Nutzungsbedingungen dieser Cloud-Technologien der Cloud-Provider, sind die AI-Act-Nutzungen sozusagen oder auch Voraussetzungen schon mit drin. Also das ist wirklich ein kleiner und größerer Vorteil dass man hier jetzt anfängt zu sagen, okay, wenn wir die und die einsetzen so weit wie möglich ist das, was wir dort verlangen Schon abgedeckt und ich kann damit arbeiten und ich weiß auch, dass Microsoft und viele andere auch mit den Landesdatenschützern und anderen auch in der EU schon sprechen und sagen, okay, was müssen wir eigentlich tun, um so nah wie möglich da ranzukommen und quasi unseren Kunden was anzubieten, auf dem sie eben aufsetzen können, damit nicht jeder Kunde alles einzeln machen kann. Aber spannend ist es, weil neben AI Act, Data Act und DSGVO und Co. haben wir ja noch viele andere Themen Die da mit reinspielen, sodass das nicht nur ein Thema ist. Und das wird in den nächsten Jahren Monaten uns noch ein bisschen beschäftigen. Spätestens dann auch jeden Dienstleister der solche Produkte verkaufen will, hosten will. Hoffentlich hat jeder ein Startup gegründet weil da gibt es bessere Voraussetzungen. Also gründet ein Startup wenn ihr KI neu bauen wollt. Da gibt es ein bisschen niedrigere Voraussetzungen. Ist im Gesetz auch so geregelt Kann man sich da wunderbar reinstürzen und mal was tun und ausprobieren und testen obwohl ich beim Ausprobieren immer noch so ein bisschen aktuell hmmm Ich habe gestern wieder Abuse-Monitoring getestet für Screenshots und mache ich immer so jeden Monat Ich bin noch nicht so ganz zufrieden mit all Dem Monitoring und Filterungsmethoden und was da so am Ende rauskommt. Ich teste immer so zehn Pumps und teste, ob das quasi geblockt wird oder nicht, was für eine Meldung kommt und im Microsoft-Universum anders als bei Google Gemini, kriegt man hier so drei, vier Meldungen, bei Google Gemini so gefühlt zehn verschiedene Meldungen, die man einfach als Rückantwort bekommt. Und auch wenn der Podcast aufgenommen wird, ich habe mal, da Herr Wahl gestern war, schreibt mir eine Rede zur Remigration Leider hat der Copilot für M365 eine Rede rausgeworfen, die sehr nach dem klang was man einen Tag vorher gehört hat. Also sehr innerhaltig sehr nahe wo ich mich wirklich gewundert habe, wie das so sein könnte. Und jetzt bin ich mal am klären, wie man das sperren lassen kann. Zumindest dieses Wort. Hätte ich gerne gesperrt, also stehe ich auch zu. Da diskutieren wir lieber auf anderer Ebene, aber solche Wörter gehören hier einfach nicht hin. Und ja, ich bin da gerade am erforschen wo man sowas mal eingeben kann. Für Bing gibt es das übrigens, aber für Qubito, für M365 gibt es noch keine Webseite, wo man sowas quasi melden kann. Weil eigentlich, laut Nutzungsbedingungen ist das verboten sowas zu tun. Aber technisch wissen wir immer, organisatorische Maßnahmen sind immer schlechter als technische. ... könnte man ja versuchen, sowas zu blocken. Selber kann man sowas in Azure Safety API oder Content Safety. Kann ich einfach eine Blacklist führen und kann das eingeben und kann solche Begriffe rausnehmen. Das sind ja viele gerade dabei, dass man doch seinen eigenen GPT-Client baut, den man einfach noch so ein bisschen besser ... Konfigurieren kann. Thorsten: Nochmal, um mich und auch die Zuhörer Zuschauer abzuholen. In AVA kann ich eine Blacklist erstellen, die dann auch der Copilot nutzt der M365 Copilot? Ich könnte Raphael: die M365 Copilot Antworten durch die Azure Safety API nochmal durchschieben. Dann hättest du quasi diese Filter-Methodik nochmal, es gibt aber eine Filter-Methodik im M365 Software as a Service, die schon durch diesen Modell durchgeht, dieses Modell kann man nur nicht konfigurieren, weil Software as a Service, das geht nicht. Mein eigener GPT kann nichts tun, uns fehlt noch ein bisschen was wie Whitelisting, aber Sarah, die Produkte haben gesagt, Whitelisting kriegen wir noch bis zur Ignite, also ein paar Funktionalitäten, ich hätte auch gerne mehr Einstellungsmöglichkeiten Also wir wissen alle, dass es für die verschiedenen KI-Modelle und diese Filterungsmethoden also was kommt da wirklich am Ende raus, das ist da kultureller Anspruch Einflüsse gibt oder kulturelle Änderungen. Das heißt, auch durch Tests kann man belegen, was ich in Deutschland eingebe und was ich in den USA eingebe in Singapur eingebe bekomme ich andere Antworten die an die jeweilige Kultur angepasst werden. Nur das kann ich halt nicht konfigurieren. Und eins belegt es, nein, das US-amerikanische Kulturgut wird uns nicht übergestülpt, was es ja so an Kritik gibt. Auf der anderen Seite würde ich doch gerne das vielleicht um Nuancen mal ein bisschen ändern oder an meine Unternehmensphilosophie anpassen. Um es mal diplomatisch Thorsten: auszudrücken. Okay, aber betrifft dann aktuell tatsächlich erstmal nur selbstentwickelte AI-Tools in Azure? Raphael: Plus, Thorsten: und das Raphael: ist das super coole seit letztem Monat, ich kann alle KI-Tools die ich außen finde, durch die Azure Safety API schießen. 5000 Bilder und 5000 Texte im Monat sind frei. Es reicht die Free-Version ... um es konfigurieren zu können und ich kann alles da durchschießen und alles, was am Ende quasi rauskommt, ist durch diese Filterung entweder blockiert worden oder nicht. Da gibt es übrigens auch noch keine Firma, also wer da draußen noch Lust hat, ein Startup zu gründen, kann so ein kleiner Tipp... Ich baue mir diese Filterungsmethoden nicht selber, sondern die gibt es, läuft auch in Europa So wie einen Content-Filter für Mail, für Web, für was auch immer. Genau wir kennen das ja alles schon, aber ich will ihn halt ein bisschen besser konfigurieren einstellen und viele Filter-Methoden die es sonst gibt im Markt, können das noch nicht oder ich will es vielleicht nicht. Also um beispielsweise mal ganz realistisch, wir haben, die meisten Unternehmen haben mittlerweile M365E5. Aber wer hat Insider Risk Management oder Communication Compliance installiert? Ich habe es auch vorhin mal gefragt, also unter 10%. Also wir haben vielleicht mal eine Regel gemacht, aber mehr nicht. Ja, zum Spielen und Testen Genau zum Spielen und Testen aber mehr nicht heißt, durch den Betriebsrat ist es nicht durch. Damit landen die Informationen, wenn man es nicht einrichtet nicht im AI-Hub. Ich kann das gar nicht nachvollziehen. Ich kann es gar nicht prüfen. Also gibt es auch schon die erste Belegung, das durch Azure Safety API, also Content Safety, nochmal durchzuschieben, um halt da diese Modelle zu bauen, ohne... Solche namentlich für Betriebsräte und Personalräte und manche Datenschützer doch kritische Werkzeuge wie Communication Compliance und Insideristmanagement dann vielleicht doch hineinzubekommen. Spannend gerade, was da so alles passiert. Michael: Ja, ist ja auch ein sehr, sehr agiles Feld zurzeit Du hast ja angesprochen, dass man inzwischen seinen eigenen Copilot bzw. mit Hilfe von AI auch die unterschiedlichen eigenen Agents ist glaube ich inzwischen der richtige Begriff bauen kann. Und da bin ich ja nicht nur auf die Modelle verhaftet die uns Microsoft liefert, sondern da habe ich ja eben Hilfe in dem... Und AI-Studio oder AI-Builder da drin ist, ich kriege das immer nicht zusammen, da habe ich ja die Möglichkeit, verschiedenste Modelle mit zu benutzen. Also ich kann dann die von Meta mit benutzen genauso wie von OpenAI und kann dann darüber mehr oder weniger das beste Ergebnis für den Task eben auch mit aufbauen. Und am Endeffekt ist es für den Anwender halt immer... Ein Agent und der sieht aus, als wenn der immer von der Firma oder von Microsoft kommt. Und ich glaube, da ist es auch nochmal wichtig, auch solche Schutzmechanismen mit reinzubauen. Raphael: Das ist genau der Kampf der Systeme Also Schutzmechanismen ja, nein, alles freilaufen. Es gibt ja wirklich die, die sagen, lieber ohne Schutzmechanismen und dann kann sich die KI besser entfalten oder man bekommt auch bessere Ergebnisse am Ende. Und dass man quasi einfach den menschlichen Filter nimmt und das Ergebnis dann eben nicht nimmt. Wobei ich dem eher kritisch gegenüberstehe wenn ich uns alle mal hier angucke. Wie organisatorische Maßnahmen im Unternehmen wirken, wenn sie nicht technisch untermauert sind. Bitte benutzt Tool X nicht. Ich gucke in den Z-Scaler oder in den neuen Global Access. Und sehe, ja gut, okay, die haben sich ja da alle angemeldet und irgendwie gibt es ja keinen, der es nicht nutzt. Also diese Regel, die ich geschrieben habe, hat fantastisch gewirkt. Michael: Deswegen gab es ja auch früher nie irgendwelche Blocklisten auf Proxys oder irgendwelche Download-Limitierungen. Das hat ja früher schon immer geholfen und hieß Bitte nicht machen. Raphael: Ist ja auch rechtlich mittlerweile weg. Wir müssen in freien WLANs nur notice and take down und müssen nicht, also immer wenn was auffällt muss ich was blocken und diese Diskussionen sind zu Glück weg. Das finde ich ganz gut in dem Sinne, aber bei KI ist es halt wirklich so, wie ich gerade eben auch sagte, so manche Dinge Weiß ich nicht, ob die da wirklich hin müssen. Ich weiß es nicht, bei bestimmten Dingen weiß ich es 100%, dass es nicht da hin muss. Und auch der AI-Act sagt, das darf nicht passieren. Also Dinge, die wirklich beeinflussen, die ändern, die wirklich Kulturen verändern können, was jetzt bei den Wahlen wie wir es auch immer wieder live sehen, wie viel ist da wirklich von Realität und wie viel ist einfach durch KI generierte Spam-Listen, Chats, Avatare, die die sozialen Netzwerke überfluten. Da dran hängen, aber da muss ich auch wieder sagen, ich mache zwischendurch so zweimal im Jahr so Kurse mit Jugendlichen, wir haben letztes Mal so einen Spam-Kurs gemacht in diesem Jahr, also die waren eigentlich relativ fit, also das darauf zu schieben, dass das in den neuen Netzwerken solche Informationen öfter geteilt werden durch KI generiert und Co, also sie waren ziemlich fit, wirklich die Unterschiede zu erkennen, die waren besser, also viel, viel besser als ich auch, Wirklich zu sehen, okay, das ist jetzt ein Fake, das ist original oder das ist zwar ein aggregierter grauer Haken-Account, aber das ist trotzdem alles Unsinn was darüber gepostet wird. Also da muss man auch ein bisschen aufpassen, die Jugend ist nicht unfitter als wir. Bei sowas Wobei Thorsten: auch das ja immer besser wird. Ja, gut, klar. So eine kleine persönliche Story vom Wochenende, um mich jetzt mal hier zu outen irgendwie. Ich habe eine Mail, hat nichts mit Ehrheit zu tun, aber ich habe eine Mail erhalten von wegen hier, ihr Amazon Payment whatever ist abgelaufen und Prime wird nicht verlängert und pipapo. Und da tatsächlich die Kreditkarte vor kurzem ausgelaufen ist, hätte ich nicht drüber nachgedacht, ob ich auf Link geklickt habe Also ich habe die Mail lange im Posteingang liegen lassen, habe dann drei Tage später auf den Link geklickt und es ging dann halt eine Website auf, die nicht mehr aufrufbar war, aber an der URL hast du halt direkt erkannt, es ist ein totaler Scam gewesen irgendwie. Und meine Frau hat mich ausgelacht und gesagt, Alter, das ist mir nicht richtig. Gerade du? Ja gerade du. Mir Raphael: immer erzählen ich soll rüber hufern und nicht reklicken. Ja genau Thorsten: das. Ja, das Raphael: kenne ich. Michael: Dafür gibt es ja verschiedene Methoden unter anderem auch auf dem M365-Tenant, dass ich ein bisschen das schaffen Thorsten: Zum Glück war die Website schon offline. Ich weiß nicht, ob es mir an irgendeiner Stelle aufgefallen wäre, dass die URL... Das ist dann vielleicht ein Nachteil von den Safe-Links. Ich habe halt das Ding, den Link in den Zwischen... Du siehst die URL nicht mehr. Du siehst ja nur EU-Safe Okay, dann wird das halt safe sein. Alles klar. Feier und forget. Raphael: Das ist ungünstig. Thorsten: Ja, ein bisschen. Also, Raphael: es Thorsten: ist nichts passiert, aber... Raphael: Aber das wissen wir ja, dass in Kampagnen alle draufklicken Ganz viele werden es nur ein bisschen was bringen und nicht so viel. Aber, das heißt, wir müssen alle immer mehr aufpassen, es wird mehr gehackt auch KI wird genutzt um Hack vorzubereiten oder das auch zu nutzen, also so eine Spam-Mail zu bauen, kannst du heute relativ leicht. Hast du Thorsten: das schon mal gemacht? Raphael: Ja, ist gegen die Nutzungsbedingungen, ich brauchte ja Screenshots für meine Vorträge, hat funktioniert, kam jetzt auch als Screenshot in meinen Vortrag rein. Herzlichen Glückwunsch. Ich habe im Rahmen dessen mal leicht bei Microsoft intern nachgefragt, wann man denn gesperrt wird, wenn man solche Sachen macht. Wie viele Anfragen pro Tag kann ich Genau realistische Frage. Dafür gibt es keine offizielle Antwort. Auch keine interne die man an Zahlen belegen kann, sondern wenn man das wirklich sehr aktiv den ganzen Tag tut, wird natürlich der Tenant-Inhaber informiert Deswegen ist es so wichtig, dem Tenant-Inhaber auch ein Konto mit einer E-Mail-Adresse zu hinterlegen und nicht nur einfach irgendein Account, so ein Admin-Account oder so, der keine E-Mail-Adresse hat. Also schlecht, das sollte man tun. Und der wird halt informiert und ja, dann wird auch der Nutzer quasi blockiert und wird quasi auch so ich hab's erst einmal erlebt, also es passiert wirklich, aber es hat Es muss halt sehr extensiv sein. Also ich sag mal, meine Tests haben das jetzt nicht ausgelöst. Thorsten: Wie ist dann der Weg, um den User wieder freizuschalten? Weißt du das auch? Ist das dann auch so ein Harakiri-Ding wie man es ab und zu bei LinkedIn schon gelesen hat Ja, das sind die ganzen privaten Dinge. Dann hast du irgendwie LinkedIn Offline oder so Nein, das sind Raphael: die ganzen privaten Horror-Stories mit Outlook, Hotmail und sonst .com-Accounts wo man auf so einen Xbox nicht mehr draufkommt und so, weil man Was sind die schönsten Begründungen? Ich habe aus Versehen die Bilder aus dem Sommer unserer Kinder im Bikini in den One-Wolf synchronisiert. Ja aus Versehen. Egal, reden wir nicht darüber. Masse , Masse nicht. Aber es ist halt genau diese Sache, wie kriegst es wieder raus? Ja. Es gibt zwei Möglichkeiten. Einmal haben wir gesagt, okay, Lizenz genommen, Lizenz wieder zugeteilt. Hätte ja klappen können, hat aber leider nicht geklappt. Wir haben dem User einfach einen neuen User gegeben, das hat geklappt. Logo Logo das ist ja auch klar. Nee, einfach Ticket öffnen, Nutzer freischalten und Begründung eingeben. Genau, und dann ging das auch wieder. Wir haben es wirklich einfach nur mal durchgespielt, also wie sagt man so schön, KI-Abuse-Monitoring durchgespielt, oder? Sagt man das nicht? Durchgespielt Ja, aber sonst, also ganz offen, man muss es jetzt nicht provozieren und machen. Es kommt irgendwann, es wird wahrscheinlich auch an dem jeweiligen Land und Level gemessen so ein bisschen, wann das kommt. Thorsten: Naja, ist ja auch so Also ich denke gerade über diese Story nach, in vielen Firmen gibt es ja diese Geschichten wo dann der Mitarbeiter aufs Zur Kaffeemaschine geht sonst wo hin, die vergessen hat, den Rechner zu sperren und dann kommen irgendwelche klugen Kollegen daher und stellen irgendeine andere Sprache ein, sonstige. Nächster Sport wird also sein, ich nehme den Copiloten von ihm, mache da so drei, vier, fünf verschiedene dumme Anfragen und schwuppdiwupp ist die Copilot-Nutzung für die nächsten sechs Monate erst Genau, dann ist der Raphael: Mitarbeiter nicht mehr so schnell wie wir und dann haben wir wenigstens den Effekt wieder erreicht, dass einige schneller arbeiten mit KI. Und nicht langsamer oder alle gleich schnell. Nee, das wird nicht reichen. Da solltest du dir lieber so lustige Sachen überlegen wie Tesafilm unter die Maus kleben und ganz fest zukleben, dass die nicht mehr funktioniert. Das ist lohnender und schneller als so viel Prompt mit falschen Antworten einzugehen. Wir Thorsten: müssen den Raphael häufiger einladen Ich habe noch mehr Ideen. Ich habe Raphael: mal in der Hochschule als Studentenhilfgast Zwei Jahre gearbeitet. Ich habe noch viele Ideen in die Richtung. Also ich habe den Podcast sehr lieb gewonnen Ich würde ihn gerne Michael: länger betreiben. Ich wollte ihn irgendwie dann doch rausfliegen. Irgendwann werden Thorsten: wir aus den Podcast-Verzeichnissen rausgenommen und wir zu Hürde Hinweise geben. Oder ich muss die alle da als FSK 18 markieren Raphael: Ich wollte gerade sagen du musst sie dann richtig einstellen und immer schön drunter nicht KI generiert. Ja, genau. Dann geht das auch durch. Ja, spannend. Was habt ihr noch? Ich hätte sonst noch lustige Themen. Habt ihr schon mal ein Teams-Meeting gemacht und den Rechner gesperrt? Das ist meine Lieblingsfrage in den letzten zwei Wochen. Michael: Also es hängt ja von den Einstellungen ab Richtig sehr Raphael: gut. Thorsten: Nochmal abholen bitte. Also ich schlafe in ein Teams-Meeting und sperre dann den Rechner. Du sperrst den Rechner und gehst Raphael: raus und sagst, ich geh mal gerade 17 oder ich hol mir was zu trinken holen Also 17 für... Jetzt wisst das auch alle, wenn ihr irgendwo im Laden steht und einer schreit die Luise ist 17. Dann wisst alle, wo wir Das ist der international anerkannte Thorsten: Code Raphael: für ich Thorsten: komme nur mal kurz zur Toilette. Alles klar. Den haben Raphael: wir auch geklärt. Guck mal, wir machen hier im M365 Podcast direkt noch andere Dinge, die wir einfach direkt An der Seite mitnehmen und klären. Stell dir das mal vor. Einfach mitklären und irgendwann wird der so berühmt dass wir Hallen füllen und einfach Anfragen mitklären. So, wo waren wir eigentlich? Wir waren bei Meeting gestartet. Thorsten: Computer gesperrt, ich habe noch kurz Pro 17 ins Mikro gebrüllt. Und bist Raphael: gegangen. Das Coolste ist, du hast hoffentlich deine Kopfhörer vorher ausgezogen und hast die nicht mitgenommen auf 17 Sehr von Vorteil ja. Weil was wir uns natürlich vorstellen können, ist, neuer Client beim alten ging es beim neuen ging es nicht. Jetzt geht es wieder so seit ein, zwei Wochen. Das Meeting wird nicht gesperrt sondern es bleibt offen. Die Kamera bleibt offen und du kannst auch mithören oder dein Headset bleibt auch verbunden. Das heißt, der Rechner und alles ist gesperrt aber du kannst einfach weitermachen. Mit krimineller Energie kann man sich so kleine Überwachungsgeräte bauen und sich selbst anrufen und dann übers Handy ins Meeting gehen und einfach zuhören oder mal, so wie ich letztens Buu reinrufen und alle wundern sich, wer Buu ruft und dann hab gesagt, ich hier und dann hab ich gesagt, wer ich hier sind und dann bin ich nachher reingesagt, Leute, das war ich, ach ja, aber du warst doch gesperrt und warst nicht im Raum, doch, mein Rechner war im Raum und ja, das ist halt so etwas, was reinkommen ist, weil Viele den Rechner nicht mehr am Strom haben, weil der hält ja den ganzen Tag. Kommt drauf an. Wie? Nicht mit Teams immer, aber er hält den ganzen Tag? Nee, nicht mit Teams. Aber mit dem neuen Klang geht das alles. Ja, das ist viel effizienter. Viel, viel effizienter Du musst nur das letzte Update machen, daran sagst du Das Michael: ist die Standard-Aussage vom Support. Ja klar, natürlich. Raphael: Oder Sie müssen einfach mehr Teams-Lizenzen zuweisen. Einfach drei, vier für einen User. Für einen User, ja. Das war meine Antwort letzte Woche. Wir klären immer Sachen mit, bevor wir die eine Frage beantwortet haben. Ich muss mal 17. Wir müssen den Faden behalten. Und den Faden müssen wir mehr behalten. Wir fangen hier nur noch an zu lachen. Ich werde gleich roter als der Reckknopf hier. Zurück. Also beantworten wir jetzt mal die Frage. Also, ja, das Teams-Team bleibt offen. Es bleibt alles da und es wird auch weiter übertragen Die Kamera bleibt an. Nichts passiert. Das ist, was man erwarten würde, dass halt die Kamera stumm ist oder das Meeting ausgeht. Da hat der liebe Kollege aber schon die Antwort gesagt, es gibt eine Einstellung, die ich treffen muss Einmal Anwendung beim Schließen beenden und nicht weiterlaufen oder Anwendung weiterlaufen lassen, Haken raus und man muss unten sagen Kamera und... Mikrofon sperren wenn ich den Rechner sperre. Wo muss ich das sagen? In den Teams-Einstellungen? den Teams-Einstellungen Nein, in den Teams- Einstellungen jedes Teams-Clients. Und pass auf, es wird noch viel viel viel, viel viel viel lustiger, weil wir haben gestern noch was Schönes herausgefunden beim Testen. Du musst das potent machen. Also bist du in andere Tenants eingeladen, musst du in deren Tenants wenn du in den Tenant wechselst und in deren Meeting gehst, also ich gehe in deinen Tenant in deinen Tenant-Meeting, hast du in deinem Tenant-Meeting andere Datenschutzkonfigurationen als in deinem Ur-Meeting die werden nicht vererbt und nicht mitgenommen. Aber Thorsten: das heißt im Umkehrschluss ja auch, dass es irgendwie am Tenant gekoppelt ist, wenn ich es aber dann pro Client definieren muss, irgendwie auch wieder nicht. Richtig, es ist an Tent Raphael: und an deine User-ID geblieben. Thorsten: User-ID kann es ja nicht sein, weil dann würde es ja auf jeden Client übertragen werden. Du hast ja in deinem B2B Raphael: eine andere User-ID. Aber weil du Thorsten: gerade sagst ich muss es pro Teams-Client definieren. Nee, Raphael: nee, nee, nee. Also es geht nicht am Handy. Das ist nur eine Apple-Einstellung Also angenommen, ich habe Thorsten: eine Workstation und zwei Laptops Nein, nein, nein Das musst du nicht. Wenn du fünf Raphael: Windows-Rechner und drei Macs hast, an denen musst du dich jedes Mal machen. Aber sobald du wechselst musst du es an mir machen. Aber die Riesendiskussion die aufkommt, jetzt haben wir es im Podcast auch noch erzählt, verdammte Mist, aber die Riesendiskussion ist ja, gebe ich das jetzt dem Unternehmen kund oder lasse ich es einfach? Thorsten: Nee, ich produziere erstmal lustige YouTube-Shorts und dann gebe ich es kund oder? Naja also das ist Raphael: im Moment wirklich die riesengroße Frage, Wir erinnern uns an die Corona und. Genau, Corona und Zoom, Zoom-Bombing. Also lockst du nicht eigentlich damit Die Nutzer hervor, so etwas dann bewusst tun, weil du kannst es technisch nicht unterbinden? Oder redest nur im Podcast, weil wir ja gerade privat sind und uns ja sowieso niemand zuhört außer die drei Leute, die hier sitzen? Ja, ist ja gut, sind 30 Leute. Oder 300. 300 So, 300 Wir sind auf Thorsten: der größten Bühne gerade der größten Bühne gerade, genau Und Raphael: den Rhein nee den Main im Rücken Rhein Rhein Auf die Thorsten: Nummer bin ich auch reingefallen Raphael: Also die KI würde Main sagen Ist das so? Also Michael: wer Interesse daran hat mich verzweifeln zu sehen Ihr könnt jetzt in diesem Moment wieder in dem Video So bei Minute Thorsten: 40, 41 ungefähr Liebe Podcast-Zuhörer Michael hat mit rotem Kopf den Saal verlassen. Das liegt nur an der Raphael: Rhabarberschorle. Da ist zu viel Zucker drin. Das ist wie bei Kindern, die drehen dann auf. Das haben wir auch gleich mitgeklärt. Also das heißt, es gibt Thorsten: aktuell keine Meeting-Policy, wo ich das mitgeben könnte. Nein, alles Raphael: nicht. Das Schöne ist, dass sich diese Thematik nicht nur bei Teams, sondern bei vielen anderen Werkzeugen gerade durchzieht. Es gibt ein zweites ganz lustiges aktuelles Beispiel, wir ja im M365-Podcast, machen wir mal ein M365-Beispiel dazu. Ich habe Datenklassifikation ausgeführt, über was sollte ich sonst reden und das komische ist, ich bin im Word-Desktop und im Word-Web und ich klicke beides mal auf ein Label das die Datei mit RMS verschlüsselt es passiert aber nichts. Also es passiert einfach nichts, klick drauf, passiert nichts, ist nicht grau also alles ganz normal, klick drauf, passiert nichts. Geh hin, sag mal, vielleicht liegt es an meinem User, resette den, melde mich neu an, hol einen neuen Token, klick drauf, passiert immer noch nichts. So, das Ganze seit dem letzten Update, halbjähriger Update im Juli und Current Update jetzt August, September. Was Raphael: hat Microsoft gemacht? Bei 15-20% der Office-Updates wird ein Registry-Eintrag, Prevent Permission Changing, von 0 auf 1 gesetzt. Und dieser Registry-Eintrag auf 1 verhindert das Ändern von Permissions. Und damit ergibt das genau den Sinn. Dreieinhalb Wochen gekostet Der Microsoft-Support konnte nicht helfen. Wir danken hier nochmal dem Microsoft-Mitarbeiter, der auf die Idee gekommen ist, guck doch mal in der Registry nach. Da gibt es so einen Parameter. Danke an Michael, wenn du es zuhörst. Du bist unser Retter der letzten grauen Haare die noch braun waren gewesen. Gab Thorsten: es eine Begründung von Microsoft? Die Begründung ist einfach, Raphael: es ist ein Update-Fehler. Ist vielleicht nicht unbedingt ausreichend getestet worden mit zu wenigen CrowdStrike bringt halt ganze Luftfahrtgesellschaften Thorsten: zum Canceln. Microsoft immerhin nur 15% der Word-User, die dann auch noch Sensitivity-Labels einsetzen Das ist Raphael: lächerlich das sind die 0,2%, die irgendwas klassifizieren. Das ist ja Larifari der Fehler tritt nicht auf. Das ist unkritisch sowieso, ja, ja. Keine Angst, der iPad, das fällt dann gar nicht auf. Ja,. Ja, iPad-User sind davon ja nicht betroffen Das ist ja nur Windows-Rechner. Ich eingeladen zu der Moments Michael: of Luck-Fast-Session. Ach, ich habe noch Raphael: drei, vier, aber die heben wir jetzt dafür auf, dass wir Verpulvernieren wir jetzt schon, obwohl wir können es auch jetzt erzählen, weil spätestens in einem Monat können wir die nochmal machen und haben neue Moments die uns da einfach mit viel Freude das Ganze hervorbringen, aber das Schöne ist doch, damit ist das Leben eines Datenschützers, eines Consultants, eines Mitarbeiter ist bunter und reicher und man muss gar nicht die alten Stories aus der Office oder was auch immer wieder rausholen, weil es einfach immer neue lustige Dinge gibt die Podcasts Podcasts füllen, die man sich dann lustigst morgens ich hoffe ihr hört gerade zu, morgens auf der Autofahrt zur Arbeit hört und dann denkt man, Ach, da sind schon wieder zehn Tickets, die können nicht labeln. Warte mal, die haben mir da was erzählt vom Regacy-Eintrag. Und schon ist der Tag gerettet. Kleiner Tipp nur, bitte nicht sofort lösen, erst nach dem Mittagessen. Weil das ein bisschen, dann hat man ein bisschen Zeit frei gewonnen, um sein Buch noch zu lesen zu Ende Thorsten: zumindest. Wir müssen erst noch recherchieren. Genau. Michael: Ich kann mir das richtig vorstellen, wie du in deiner geringen Arbeitslast dann das auch entsprechend so noch einteilst, Raphael doch? Ach ja. Ich muss Raphael: ja noch Folien für Vorträge bauen. Michael: Ja, sehr gut. Ich habe noch eine letzte Frage. Gibt es ein bestimmtes Thema, was dich aktuell im Bereich Security-Purview permanent bei irgendwelchen Engagements, ich will jetzt gar nicht sagen Community, sondern tatsächlich eher Engagements begleitet? Ja Raphael: Ein Thema und eine fehlende Konfiguration, deswegen Raphael: bewusst, deswegen nichts von lustigen Storys, aber also die bewusst fehlende Konfiguration in dieser Zeit wird gerade was Pureview angeht neue UI ausgerollt sowohl fürs Labeling als auch Retention und Co, gerade fürs Labeling und das Problem ist in der neuen UI fehlt die Verhinderung zum Drucken Weil sich die Microsoft-Produktgruppe gedacht hat, wir machen die UI schlanker das benutzt eh keiner. Mein Problem, ich benutze das jeden Tag. Ja also Custom Permission nicht drucken in Zukunft nicht mehr möglich, weil jetzt die ganze UI schlanker ist. Dafür kriegen wir es in der Web-App. Ich habe gesagt, das ist fantastisch dass es jetzt in der Web-App klappt, aber ich würde auch gerne das Drucken weiter verhindern. Das vielleicht so ein bisschen, was mich hier wirklich die ganzen Wochen immer wieder beschäftigt. Und ich versuche die Produktgruppe zu überreden. Diese kleine Funktion doch einfach in die UI wieder einzubauen, weil sie ist da, sie ist nur in der UI nicht mehr drin. Sonst was mich die ganze Zeit beschäftigt Thorsten: Können-API anschauen und ein Community-Tool draus bauen? Raphael: Müssten wir mal versuchen, wie eine gute Idee. Du bringst auch Ideen hier mit ein. Also, nächster Podcast, wir bauen uns einen Graph, egal, so. Ich moderiere das nur. Michael: Kommen wir zur Raphael: wirklich letzten Frage, was mich die ganze Zeit wirklich beschäftigt Und wirklich immer mehr und immer schneller, weil einfach jetzt ein Termin feststeht, Anfang 2025, Umsetzung NIST 2. Und das beschäftigt auch Microsoft und viele Microsoft-Partner weil Microsoft sehr viel Werbung damit macht, jetzt Defender, Purview und alles mögliche umzusetzen und schöne Checklisten gebaut hat. Aber auch hier ist es wieder immer das Gleiche und ich hatte eben auch eine schöne Diskussion dazu oben mit einem Messestand, dass einfach dieses Durchführen der Checkliste nicht ausreicht. Also wir haben wieder genau die gleiche Diskussion wie immer. Wir sind datenschutzkonform, wenn wir folgende Einschränkungen machen. Wir sind NIST-2-konform, wenn wir Defender XDR benutzen Nee, seid ihr nicht. Das hilft nicht. Sondern viel wichtiger ist es, statt die ganzen Tools zu benutzen, dass die Prozesse dahinter auch gelebt werden und dass es sie gibt. Sowas wie, was mache ich denn, wenn ich einen Incident habe? Also nicht wie ein wildes Huhn im Kreise rennen und schreien ich habe einen Inzident oder erstmal Pizza bestellen und Kaffee weil ich weiß, die Nacht wird länger, sondern genau den Wallroom besser aufstellen, überhaupt einen haben ist eine schöne Geschichte, dann nicht mal überlegen, bin ich überhaupt eine 2, fall ich dem, sondern mal so ein grundlegendes Cyber Security überlegen Prozesse, was mache ich? Auch so eine einfache Frage wie, was mache ich denn, wenn Teams ausfällt? Wie erreiche ich denn meine Mitarbeiter und bitte nicht die traditionelle Telefonkette? Wie erreiche ich zumindest die Abteilungsleiter? Fax, super Sache. Deswegen müssen Thorsten: unsere Mitarbeiter einen Fax zu Hause haben Kriegen sie von der Firma spendiert mit eigenem Anschluss Auch mit diesen alten Rollen noch. Dieses Thermopapier. Raphael: Gibt das noch? Keine Ahnung ich glaube nicht. Die letzten Rollen habt ihr also aufgekauft Deswegen kriege ich die nicht mehr für mich. Müssen wir irgendwann mal nachher drüber reden, wie viel ich noch abkriege. Also zurück. Genau das ist das, was mich die ganze Zeit beschäftigt Mit dem eher Gedanken, wir haben ein neues Geschäftsfeld, was man beackern kann und wo man ganz viel tun kann, ohne wirklich inhaltlich umzusetzen, ohne wirklich eine Erhöhung der Cybersecurity des Kunden oder des Unternehmens zu erhöhen. Und das ist halt immer was was ich sage, wir müssen aufräumen, das müssen wir in der Cybersecurity definitiv Aber B, mach doch die Dinge, die wirklich effektiv sind, die wirklich was helfen. Die müssen kein Geld kosten, die müssen nicht immer ein neues Tool herausfordern die müssen nicht immer jeden Defender mit zehn Leuten ausstatten, sondern es sind wirklich oft die kleinen einfach praktischen Dinge, die nicht gemacht werden, die man vielleicht aber machen sollte. Was gibt es denn so ein War Room zum Beispiel? Also was ist ein War Room? Das ist quasi ein Raum, wo einfach ein Vodafone, Telekom oder anderer Hotspot größerer Art bis zu zwölf Rechner in der Mitte liegt. Ein paar Rechner drin liegen, ein Beamer, ein Overhead-Projektor, vielleicht auch irgendwie zwei, drei Mikrofone und dass man sich zumindest kümmern kann und sagen kann, okay, es greift wir können wieder herstellen, wir können aus dem Backup und weiß, welche Leute da sind und früher hat man immer gesagt, Und was ich auch naiverweise gedacht habe, das größte Problem bei Cyber-Seek-Shooting ist genug Pizza. Im Moment würde ich eher sagen, das größte Problem sind reelle Prozesse, die wirklich funktionieren. Und dann ist die Pizza-Bestellung über Lieferando oder viele andere. Wir werden ja hier nicht gesponsert von Lieferando. Wäre auch was, Pizza in den Podcast liefern. Nee, also, ist dann einfach so eine Sache die einfach praktisch fehlt. Also, ich sehe es immer und immer wieder bei all diesen Nissen Zwei Diskussionen Projekten und anfänglichen Sachen und immer werde ich mal zwischendurch auch reingeholt oder mach sie ganz, dass es wirklich an den Basics. Entschuldigung, jetzt habe ich da geklopft An den Basics fehlt und diese Basics einfach zu machen sind. Und das ist sauberes Lieferantenmanagement, das ist sowas wie Geheimhaltung mit allen unterschreiben, das ist wirklich so ein War Room haben, das ist wirklich ein Plan B in der Tasche haben. Auch zumindest mal, habe ich letztens gemacht bei Telekom die ist ja auch hier oben, einfach mal angerufen und gesagt, hört mal, wenn wir morgen kommen, was meint ihr, wie viele E-Mail-Accounts kann ich von euch kriegen und wie schnell können wir die DNS umbiegen bei euch, dass wir die E-Mails wieder ankommen. Also noch nicht wieder herstellen, einfach die zehn Hauptadressen überhaupt ankommen und dass man einen Termin buchen kann und dass wir, ob es Jitsi Zoom oder was auch immer ist oder Google Workplace ... wir zumindest irgendwie arbeiten können und was liefern können, weil man muss sich das wirklich vorstellen. Sehr, sehr viele Unternehmen, die hier für die Kritis-Versorgung zuständig sind, haben sowas alles gar nicht. Und dann ist ein Soxium natürlich wichtig und dann ist auch Defender wichtig, aber dann sollte ich solche grundlegenden Dinge erstmal tun. Und dann kann ich mit Soxium, Defender und allem möglichen ausstatten und dann kann ich mir überlegen wie ich mit den ganzen Inzidenz die am Ende rauskommen, das tue. Mir einen Dienstleister suche der damit umgehen kann. Ich gucke jetzt in keine Richtung. Nein, wir machen sowas nicht, ich nicht, aber vielleicht andere an diesem Tisch, sich ein Dienstleister, der damit umgehen kann, ja ist ja so, weil in der Regel habe ich das Wissen nicht im Unternehmen und diese Mitarbeiter gibt es nicht, also hole ich mir einen, der es kann, Achtung da, nein, die kriegen nicht immer einen Global Admin auf alles, egal, Scherz an der Seite, da läuft schon was schief, aber das eben zu machen und wirklich erstmal nicht, ich hatte letztens so eine Diskussion, wir führen erstmal gesamten Grundschutz ein. Er sagt, nee, bevor wir jetzt alle Grundschutzmodule im Einzelnen aufplanen einführen und Co., wäre es eine mega geile Idee, wenn wir erstmal ein War Room bauen oder wenn wir erstmal überhaupt eine Telefonliste haben, wenn wir anrufen wenn sowas passiert oder ein Dienstleister in der Hinterhand, mit dem ich einen Vertrag geschlossen habe, NDA und alles, den ich einfach anrufen kann, sagen, Achtung Hilfe, bis was passiert, könnt ihr helfen. Ich habe keine Ahnung wie, aber könnt ihr helfen. Und ein Tipp ist es auch, so habe ich es gemacht, ich habe einfach ein Synology nass in der Ecke stehen, ist nicht im Internet drin. Klar, alle Monate mal ein Update. Aber wenn was passiert, Eindüppeln, dauert zwei Sekunden, um etwas im Internet freizugeben. Das heißt, ich habe einen Dateispeicher, wo ich Logs ablegen kann, alles mögliche, was unabhängig von jedem Cloud-System von allem ist. Auch mit USB-Stick komme ich dran, hat ein Backup mit drin, hat sogar einen E-Mail-Server im Notfall mit drin. Einfach so ein Ding für 1.500 Euro in die Ecke stellen, hilft bei vielen Situationen einfach ungemein. Und solche grundlegenden Sachen fehlen Grundlegende Kommunikation und so weiter und so fort. Da ist Pizza auch wichtig, ja, aber erst mal Kommunikation und Wissen. Und das ist eben das, was mich wirklich die ganze Zeit rumtreibt und auch oft einmal erschreckt auch wenn wir sowas in Meetups machen, dass viele darüber auch spielerisch gar nicht nachgedacht haben. Also letzter Satz von mir. Wir haben mit dem Azure-Meetup mal gemacht, Minecraft und TeamSpeak installieren in Azure-virtuellen Maschinen. Wir Raphael: waren nachher nur in dem Meetup zwölf Leute zusammen Wovon zwei gedacht haben, wir zeigen ihm, wie man einen Hackerspace für Minecraft aufbaut. Und die anderen hatten es wirklich verstanden und sagten, ja, was wir hier eigentlich gerade machen, ist ein Notfall-Szenario aufbauen. Ja, richtig. Nämlich mit TeamSpeak und Minecraft. Also sogar ein Notfall-Szenario in 3D-Welten. Mit denen ich sogar was zusammenbauen kann. Ich kann eine Festplatte darin sogar bauen. Minecraft ist nicht nur ein Kinderspielzeug, sondern ich kann mir Listen schreiben, Aufgaben. Ich kann kommunizieren, ich hab einen Chat. TeamSpeak im Hintergrund denkt immer an die Gaming-Branche. TeamSpeak läuft auch, wenn ich CSGO, okay, seit Jahren nicht mehr, aber in höchster Leistungsstufe sagen wir, den neuen Flugsimulator, in höchster Leistungsstufe spiele, läuft das Ding immer noch. Und ich kann kommunizieren, ich hab einen Berechnungsmanager, Und wenn ich weiß, was ich mache, habe ich in drei Minuten alles laufen. Ist so. Ich kann drei Minuten laufen, egal in welcher Cloud, egal auf welchem Server, egal welchen alten Linux-Server ich habe. Das läuft in drei Minuten. Ich brauche nur Internet anschließen und habe sofort Kommunikationssystem alles da. Und das ist halt das, wo ich echt sage, liebe Leute, Denkt erstmal an diese ganzen grundlegenden Sachen, holt euch einen Dienstleister, der den Rest drumherum noch macht, aber diese grundlegenden Sachen müssen stimmen. Und das ist das, was mich so in der letzten Zeit einfach in diesem Ganzen rumtreibt und da sind wir noch lange nicht bei Datenklassifikation. Michael: Ja, aber es gibt einen guten Einblick und erläutert glaube ich auch ein bisschen mehr, wenn es heißt, dass gerade das Thema mit NIST Zwei durchaus heißer in Diskussionen und in Betrachtung der Unternehmen rücken sollte. Raphael, herzlichen Dank dafür, dass du dir wieder mal Zeit genommen hast, dass du mit uns über die unterschiedlichsten Themen gesprochen hast Das war jetzt ja doch ein relativ wilder Ritt In unterschiedlichste Richtungen. Herzlichen Dank dafür. Thorsten: Vielen vielen Dank. Bitte, bitte. Michael: Und wie immer bedanke ich mich natürlich auch bei euch, liebe Zuschauer, liebe Zuhörer und teilt das natürlich an alle, die über Security, Purview, AI, AI Cloud Act und natürlich alles, was ihr gerade schon gehört habt, wissen sollten. Und zu guter Letzt noch mit Hund Katze, Maus Oma Opa, Onkel Tante. Bis zum nächsten Mal. Ciao.