Arndt Dibi

Der Koblenzer Mammutprozess gegen mutmaßliche Rechtsradikale vom „Aktionsbüro Mittelrhein“ muss fortgesetzt werden. Nach fast fünf Jahren Prozessdauer und 337 Verhandlungstagen hatte die Staatsschutzkammer des Landgerichts im Mai das Verfahren eingestellt, weil der Vorsitzende Richter in Rente ging und ein Ersatzrichter nicht zur Verfügung stand. Das Oberlandesgericht Koblenz sieht jedoch keinen Grund, dass der Prozess gegen ursprünglich 26, zuletzt 17 Angeklagte einfach so endet. Das Verfahren sei vor einer anderen Strafkammer fortzusetzen, ordnen die Richter in einem heute bekanntgegebenen Beschluss an.

Die Koblenzer Staatschutzkammer hatte die endgültige Einstellung vorrangig mit „überlanger Verfahrensdauer“ begründet. Verbunden damit waren schwere Vorwürfe gegen die Verteidiger. Diese hätten das Gericht mit 500 Befangenheitsanträgen, mehr als 240 Beweisanträgen und 400 Anträgen zum Verfahrensablauf bombardiert. Die Richter am Oberlandesgericht Koblenz sehen darin jedoch kein Fehlverhalten. Es gehöre zu den Rechten von Angeklagten und Verteidigern, „strafprozessuale Rechte besonders häufig oder in großem Umfang in Anspruch zu nehmen“. Die anwaltliche Berufsausübung unterliege grundsätzlich „der freien und unreglementierten Selbstbestimmung des Einzelnen“.

Insoweit attestiert das Gericht der Staatschutzkammer einen grundsätzlichen Denkfehler. Eine überlange Verfahrensdauer könne nur dann zu einer Einstellung des Verfahrens führen, wenn der Zeitverlust auf Versäumnissen der Justiz beruhe, etwa bei schleppenden Ermittlungen, vertrödeltem Verhandlungsbeginn und zu wenigen Verhandlungstagen in der Woche. Hier sei die monierte Verzögerung aber durch die legitime Verteidigungsstrategie der Angeklagten entstanden und somit nicht im Einflussbereich der Justiz.

Das Landgericht hatte auch moniert, dass einige Verteidiger mitunter skurrile Auftritte hinlegten. So bestieg ein Anwalt einmal einen Tisch, um von dort aus zu sprechen. Abgesehen davon, dass sich die zeitliche Verzögerung hieraus in Grenzen gehalten hat, erlaubt der „Kampf ums Recht“ nach Meinung des OLG Koblenz einem Verteidiger nicht nur die Benutzung starker, eindringlicher Ausdrücke, sondern auch ein Verhalten, das von anderen Verfahrensbeteiligten als stilwidrig, ungehörig oder als Verstoß gegen den „guten Ton“ und das Takt- und Anstandsgefühl empfunden werde.

Es sei auch kein Versäumnis der Justizbehörden, dass der Vorsitzende Richter die Altersgrenze erreicht habe. Das Rentenalter sei in Rheinland-Pfalz gesetzlich geregelt und somit bindend. Während ich den vorstehenden Begründungen als Anwalt wenig überraschend zustimme, ist die Argumentation des Oberlandesgerichts in diesem Punkt doch dürftig.

Zu Beginn des Verfahren im Jahre 2012 war schon abzusehen, dass der Prozess mit 26 Angeklagten und 52 Verteidigern sowie einer mehr als tausendseitigen Anklageschrift Jahre dauern würde. Es wurde aber nur ein Ersatzrichter hinzugezogen, und das, obwohl der Vorsitzende Richter gar nicht der erste Rentenanwärter war. Vielmehr ging schon ein beisitzender Richter knapp zwei Jahre nach Prozessbeginn in den Ruhestand. Der einzige Ersatzrichter war also schon frühzeitig fest „verplant“.

Es wäre also von vornherein erforderlich gewesen, zumindest zwei Ersatzrichter einzusetzen, zumal Richter ja nicht nur in Rente gehen, sondern auch mal erkranken oder gar sterben können. Genau darin ist nach meiner Meinung ein greifbares Versäumnis der Justiz zu sehen. Die mangelhafte Prozessplanung führt aber nun dazu, dass fünf Jahre lang ohne Ergebnis verhandelt wurde, obwohl sich die Beweisaufnahme in dem Verfahren an sich dem Ende zuneigte. Man könnte darin also schon einen Verstoß gegen den Anspruch jedes Beschuldigten auf ein zügiges Verfahren sehen.

Es wird sicher interessant, wie das nun zuständige Gericht das Verfahren angeht. Dass die Ehrenrunde so umfangreich ausfällt wie der erste Durchlauf, ist insbesondere auch dem Steuerzahler nicht zu wünschen. 20 bis 25 Millionen Euro dürfte das Verfahren schon bisher gekostet haben. Ein Aberwitz vor dem Hintergrund, dass den Angeklagten fast durchgehend nur kleinere Straftaten zur Last gelegt werden, über die normalerweise das Amtsgericht an einem Verhandlungstag entscheiden würde.

Grotesk aufgeblasen wurde das Verfahren letztlich nur, weil interessierte Kreise im Aktionsbüro Mittelrhein partout eine kriminelle Vereinigung sehen wollten. Das war nach meiner Meinung weniger der Faktenlage geschuldet, sondern mehr dem Umstand, dass die Innenbehörden des Bundes und der Länder im Jahr 2012 dringend Fahndungserfolge präsentieren wollten – um vom eigenen Versagen im NSU-Komplex abzulenken (Aktenzeichen 2 Ws 406 – 419/17).

When you create a new Office 365 Group using the Microsoft Graph using app-only tokens, the Group will not have an owner – which is expected as you are creating the group as an application.

After the creation of the group you need to explicitly add an owner, and make sure you also add the same person as a member.

Summarized steps:

1. Create the group
2. Add a person as owner
3. Add the person in 2) as a member

We’re very happy to announce support for Hybrid Modern Authentication (HMA) with the next set of cumulative updates (CU) for Exchange 2013 and Exchange 2016, that’s CU8 for Exchange Server 2016, and CU19 for Exchange Server 2013.

What is HMA?

HMA (not HAM, which Word keeps trying to correct it to for me) provides users the ability to access on-premises application using authorization tokens obtained from the cloud. For Exchange (that’s why you’re here right?), this means on-premises mailbox users get the ability to use these tokens (OAuth tokens specifically) for authentication to on-premises Exchange. Sounds thrilling I know, but what exactly are these tokens? And how do users get hold of them?

Rather than repeat many things here, I’m going to suggest you take a break and read the How Hybrid Authentication Really Works post, and if you really want to help boost my YouTube viewing numbers, watch this Ignite session recording too. They will respectively give you a pretty solid grounding in OAuth concepts and to help you understand what HMA is really all about.

See how much space we saved in this post by sending you somewhere else?

If you ignored my advice, the tl’dr version is this: HMA enables Outlook to obtain Access and Refresh OAuth tokens from Azure AD (either directly for password hash sync or Pass-Through Auth identities, or from their own STS for federated identities) and Exchange on-premises will accept them and provide mailbox access.

How users get those tokens, what they have to provide for credentials, is entirely up to you and the capabilities of the identity provider (iDP) – it could be simple username and password, or certificates, or phone auth, or fingerprints, blood, eyeball scanning, the ability to recite poetry, whatever your iDP can do.

Note that the user’s identity has to be present in AAD for this to work, and there is some configuration required that the Exchange Hybrid Configuration Wizard does for us. That’s why we put the H in HMA, you need to be configured Hybrid with Exchange Online for this feature.

It’s also worth knowing that HMA shares many of the same technology as the upcoming Outlook mobile support for Exchange on-premises with Microsoft Enterprise Mobility + Security feature, which as you’ll see from the blog post also requires Hybrid be in place. Once you have that figured out you’ll be able to benefit from both these features with very little additional work.

How Does HMA Work?

The video linked above goes into detail, but I’ll share some details here for anyone without the time to watch it.

Here’s a diagram that explains HMA when the identity is federated.

I think that picture is pretty clear, I spent a lot of time making it pretty clear so I don’t think I need to add much to it other than to say, if it’s not clear, you might want to try reading it again.

Why Should I Enable HMA?

Great question. There are a few good reasons, but mainly this is a security thing.

HMA should be considered ‘more secure’ than the authentication methods previously available in Exchange. That’s a nebulous statement if there ever was one (I could have said it’s more ‘Modern’ but I know you weren’t going to fall for that) but there are a few good arguments as to why that’s true.

When you enable HMA you are essentially outsourcing user authentication to your iDP, Exchange becomes the consumer of the resulting authorization tokens. You can enforce whatever authentication the iDP can do, rather than teach Exchange how to handle things like text messaged based MFA, blood analysis or retina scanning. If your iDP can do that, Exchange can consume the result. Exchange doesn’t care how you authenticated, only that you did, and came away with a token it can consume.

So it’s clearly ‘more secure’ if you choose to enforce authentication types or requirements stronger than those that come free with Exchange, but even if you stick to usernames and passwords it’s also more secure as passwords are no longer being sent from client to server once the user is authenticated (though of course that depends on whether you are using Basic, NTLM or Kerberos). It’s all token based, the tokens have specific lifetimes, and are for specific applications and endpoints.

One other interesting and important benefit to all this is that your auth flow is now exactly the same for both your cloud and on-premises users. Any MFA or Conditional Access policies you have configured are applied the same, regardless of the mailbox location. It’s simpler to stay secure.

HMA also results in an improved user experience as there will be less authentication prompts. Once the user logs in once to AAD they can access any app that uses AAD tokens – that’s anything in O365 and even Skype for Business on-premises configured for HMA (read more about Skype for Business’s HMA support here).

And don’t forget there’s the fact it’s more ‘Modern’. It’s newer and we put the word Modern on it. So it must be better, or at the very least, newer. Excellent, moving on.

Will It Cost Me?

Not if you just want to use free Azure ID’s or Federated identities and do MFA at your iDP. If you want to take advantage of advanced Azure features, then yes, you’ll have to pay for those. But to set this up the tenant admin needs only an Exchange and an Azure license assigned, to run the tools and enable the config.

What do I need to enable HMA?

There are some pre-requisites.

1. The following Identity configurations with AAD are supported
   1. Federated Identity with AAD with any on-premises STS supported by Office 365
   2. Password Hash Synchronization
   3. Pass Through Authentication
2. In all cases, the entire on-premises directory must be synchronized to AAD, and all domains used for logon must be included in the sync configuration.
3. Exchange Server
   1. All servers must be Exchange 2013 (CU19+) and/or Exchange 2016 (CU8+)
   2. No Exchange 2010 in the environment
   3. MAPI over HTTP enabled. It is usually enabled or True for new installs of Exchange 2013 Service Pack 1 and above.
   4. OAuth must be enabled on all Virtual Directories used by Outlook (/AutoDiscover, /EWS, /Mapi, /OAB)
   5. In the event your environment utilizes a proxy server infrastructure to allow servers to connect to the Internet, be sure all Exchange servers have the proxy server defined in the InternetWebProxy property.
4. You must use clients that support ADAL (the client-side library that allows the client to work with OAuth tokens) to use the Modern Auth enabled features. Outlook 2013 requires the EnableADAL registry key be set, Outlook 2016 has this key set by default, Outlook 2016 for Mac works as it is, support for Outlook mobile (iOS and Android) is coming.
5. Ensure AAD Connect between on-premises AD and the O365 tenant has the “Exchange hybrid deployment” setting enabled in the Optional Features settings of Azure AD Connect.
6. Ensure SSL offloading is not being used between the load balancer and Exchange servers.
7. Ensure all user networks can reach AAD efficiently.

Let’s pick a few of those apart.

No Exchange 2010 in the environment. That’s right, if you have E2010 you can’t enable HMA. Why? Because worst case is everyone with a mailbox on E2010 will be cut off from email. You don’t want that. It’s because OAuth happens anonymously upon initial connection. We send the user to AAD to get authenticated before we know where their mailbox is – and if that mailbox is on E2010, when they return with a token we’ll refuse to proxy from E2013/16 to E2010. Game over. Please insert coins.

So we have drawn a line here and are stating no support for E2010, and the HCW won’t let you enable OAuth if E2010 exists. Don’t try and make it work, remember that scene from Ghostbusters, the whole crossing the streams thing? It’ll be like that, but worse.

Next, MAPI/HTTP – you need to be using MAPI/HTTP not RPC/HTTP (Outlook Anywhere). This feature only works with MAPI/HTTP, and anyway, it’s time to get off RPC/HTTP. That’s very old code and as you might know we ended support for its use in O365, so it would be good to switch. It just works.

Then there’s the ‘everyone should be in AAD’ thing. That’s because when you enable HMA, it’s Org wide. It affects every user connecting to Exchange. So, all users trying to access Exchange from a client that support Modern Auth will be sent to AAD. If you only have some users represented in AAD, only those users will be able to auth. The rest will come find you at lunch and make your life a misery. Unless you like misery, I wouldn’t recommend that route.

Needing clients that support Modern Auth clearly, makes sense. And you need to make sure all the Exchange VDirs have OAuth enabled on them. Sounds obvious, and they are enabled by default, but some admins like to tinker… so it’s worth checking, and I’ll explain how later.

SSL offloading works by terminating the SSL/TLS encryption on the load balancer and transmitting the request as HTTP. In the context of OAuth, using SSL offloading has implications because if the audience claim value specifies a HTTPS record, then when Exchange receives the decrypted request over HTTP, the request is considered not valid. By removing SSL offloading, Exchange will not fail the OAuth session due to a change in the audience claim value.

Lastly, the ensuring all user networks can reach AAD comment. This change affects all connectivity from supported clients to Exchange, internal and external. When a user tries to connect to Exchange, whether that server is 10 feet away under the new guys desk or in a datacenter on the other side of the planet the HMA flow will kick in. If the user doesn’t have a valid token the traffic will include a trip to AAD. If you are one of those customers with complex networking in place, consider that.

How do I Enable HMA?

You’ve checked the pre-reqs, and you think you’re good to go. You can do a lot of this up front without impacting clients, I’ll point out where clients begin to see changes, so you can be prepared.

We do recommend trying HMA in your test or lab environment if you can before doing it in production. You are changing auth, it’s something you need to be careful doing, as cutting everyone off from email is never a good thing.

Here’s what to do. First, we have some Azure Active Directory Configuration to do.

You need to register all the URL’s a client might use to connect to on-premises Exchange in AAD, so that AAD can issue tokens for those endpoints. This includes all internal and external namespaces, as AAD will become the default auth method for all connections, internal and external. Here’s a tip – look at the SSL certificates you have on Exchange and make sure all those names are considered for inclusion.

Run the following cmdlets to gather the URL’s you need to add/verify are in AAD.

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-OABVirtualDirectory | FL server,*url*>

Now you need to ensure all URL’s clients may connect to are listed as https service principal names (SPN’s):

1. 1. Connect to your AAD tenant using these instructions.
   2. For Exchange-related URL’s, execute the following command (note the AppId ends …02):

      Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames

      The output will look similar to the following:

      [PS] C:\WINDOWS\system32> Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
      https://autodiscover.contoso.com/
      https://mail.contoso.com/
      00000002-0000-0ff1-ce00-000000000000/*.outlook.com
      00000002-0000-0ff1-ce00-000000000000/outlook.com
      00000002-0000-0ff1-ce00-000000000000/mail.office365.com
      00000002-0000-0ff1-ce00-000000000000/outlook.office365.com
      00000002-0000-0ff1-ce00-000000000000/contoso.com
      00000002-0000-0ff1-ce00-000000000000/autodiscover.contoso.com
      00000002-0000-0ff1-ce00-000000000000/contoso.mail.onmicrosoft.com
      00000002-0000-0ff1-ce00-000000000000/autodiscover.contoso.mail.onmicrosoft.com
      00000002-0000-0ff1-ce00-000000000000/mail.contoso.com
      00000002-0000-0ff1-ce00-000000000000

   3. If you do not already have your internal and external MAPI/HTTP, EWS, OAB and AutoDiscover https records listed (i.e., https://mail.contoso.com and https://mail.corp.contoso.com), add them using the following command (replacing the fully qualified domain names with the correct namespaces and/or deleting the appropriate addition line if one of the records already exists):

      $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
      $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
      $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
      Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

   4. Repeat step 2 and verify the records were added. We’re looking for https://namespace entries for all the URL’s, not <span class="consoletext"00000002-0000-0ff1-ce00-000000000000/namespace entries.

For example,

[PS] C:\WINDOWS\system32> Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
https://autodiscover.contoso.com/
https://mail.contoso.com/
https://mail.corp.contoso.com/
https://owa.contoso.com/
00000002-0000-0ff1-ce00-000000000000/*.outlook.com
00000002-0000-0ff1-ce00-000000000000/outlook.com
00000002-0000-0ff1-ce00-000000000000/mail.office365.com
00000002-0000-0ff1-ce00-000000000000/outlook.office365.com
00000002-0000-0ff1-ce00-000000000000/contoso.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.contoso.com
00000002-0000-0ff1-ce00-000000000000/contoso.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.contoso.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/mail.contoso.com
00000002-0000-0ff1-ce00-000000000000

Then we need to validate the EvoSts authentication provider is present using the Exchange Management Shell (this is created by the Hybrid Configuration Wizard):

Get-AuthServer | where {$_.Name -eq "EvoSts"}

If it is not present, please download and execute the latest version of the Hybrid Configuration Wizard. Note that this authentication provider is not created if Exchange 2010 (this includes Edge Transport servers) is detected in the environment.

Now let’s make sure OAuth is properly enabled in Exchange on all the right virtual directories Outlook might use.

Run the following cmdlets (and a tip, don’t use -ADPropertiesOnly as that sometimes tells little white lies, try it and see if you don’t believe me)

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

You are looking to make sure OAuth is enabled on each of these VDirs, it will look something like this (and the key things to look at are highlighted);

[PS] C:\Windows\system32>Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

[PS] C:\Windows\system32> Get-WebServicesVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalNLBBypassUrl :
InternalUrl : https://mail.contoso.com/EWS/Exchange.asmx
ExternalUrl : https://mail.contoso.com/EWS/Exchange.asmx
CertificateAuthentication :
InternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
ExternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
LiveIdNegotiateAuthentication :
WSSecurityAuthentication : True
LiveIdBasicAuthentication : False
BasicAuthentication : False
DigestAuthentication : False
WindowsAuthentication : True
OAuthAuthentication : True
AdfsAuthentication : False

[PS] C:\Windows\system32> Get-OabVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/OAB
ExternalUrl : https://mail.contoso.com/OAB
BasicAuthentication : False
WindowsAuthentication : True
OAuthAuthentication : True
InternalAuthenticationMethods : {WindowsIntegrated, OAuth}
ExternalAuthenticationMethods : {WindowsIntegrated, OAuth}

[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory | fl server,*auth*
Server : EX1
InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity, OAuth}
ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity, OAuth}
LiveIdNegotiateAuthentication : False
WSSecurityAuthentication : True
LiveIdBasicAuthentication : False
BasicAuthentication : True
DigestAuthentication : False
WindowsAuthentication : True
OAuthAuthentication : True
AdfsAuthentication : False

Once you have checked these over, you might need to add OAuth here and there. It’s important to make sure all the servers are consistent, there’s really nothing harder to troubleshoot than when one server out of ten is wrong…

(Top Nerd Note: I hope you know why we didn’t include *url* in the Get-AutodiscoverVirtualDirectory cmdlet? Answers in the comments section if you do. There are no prizes to be won!)

If you need to add an Auth method, here’s a tip. For all except /Mapi, just set the -OAuthAuthentication property to $True. Done.

But for /Mapi you need add it explicitly, and not using some fancy @Add PowerShell thing you learned in some online course or from that smart guy in the office who tells everyone he doesn’t use ECP as it’s for kids and dogs. Because I've learned too that sometimes that doesn’t always work the way it should.

If you needed to add OAuth to all the Mapi Vdirs in the org, do it like this;

Get-MapiVirtualDirectory | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, OAuth, Negotiate

Up to this point no clients should have been impacted (unless you messed the Vdir auth up, and if you did, you should only have been adding OAuth, not taking others away…you know that now don’t you). So next we start to impact clients – so this is the bit you want to do out of normal business hours. For career reasons.

So, make sure you validate the following:

1. Make sure you have completed the steps above in the Azure AD Configuration section. All the SPN’s you need should be in there.
2. Make sure OAuth is enabled on all virtual directories used by Outlook.
3. Make sure your clients are up to date and HMA capable by validating you have the minimal version as defined in our supportability requirements.
4. Make sure you have communicated what you are doing.
5. Set the EvoSts authentication provider as the default provider (this step affects Outlook 2016 for Mac and native EAS clients that support OAuth right away):

   Set-AuthServer EvoSTS -IsDefaultAuthorizationEndpoint $true

6. Enable the OAuth client feature for Windows Outlook:

   Set-OrganizationConfig -OAuth2ClientProfileEnabled $True

That’s it. All the prep you did means it comes down to two cmdlets. Wield the power wisely.

How do I Know I’m Using HMA?

After HMA is enabled, the next time a client needs to authenticate it will use the new auth flow. Just turning on HMA may not immediately trigger a re-auth for any client.

To test that HMA is working after you have enabled it, restart Outlook. The client should switch to use the Modern Auth flow.

You should see an ADAL generated auth dialog, from Office 365. Once you enter the username you might be redirected to your on-premises IDP, like ADFS (and might not see anything at all if Integrated auth is configured), or you might need to enter a password. You might have to do MFA, it depends on how much stuff you’ve set up in AAD already.

Once you get connected (and I hope you do), check Outlook’s Connection Status dialog (Ctrl-Right Click the Outlook tray icon) you will see the word Bearer in the Authn column – which is the sign that it’s using HMA.

Well done you. Check everyone else is ok before heading home though, eh?

Something Went Wrong. How do I Troubleshoot HMA?

Ah, you’re reading this section. It’s panic time, right? I was thinking of not publishing this section until next year, just for giggles. Mine, not yours. But I didn’t. Here’s what to think about if stuff isn’t working like I said it would.

Firstly, make sure you did ALL the steps above, not some, not just the ones you understood. We’ve all seen it, 10 steps to make something work, and someone picks the steps they do like it’s a buffet.

If you’re sure you’ve done them all, let’s troubleshoot this together.

If you need to simply turn this back off then just run the last two cmdlets we ran again, but setting them to False this time. You might need to run IISReset on Exchange more than once, we cache settings all over the place for performance reasons, but those two will put you back to where you were if all hope is lost (hopefully you still have a chance to capture a trace as detailed in a moment before you do this, as it will help identity what went wrong).

If you aren’t reverting the settings just yet, you clearly want to troubleshoot this a bit.

First thing is – is the client seeing any kind of pop up warning dialog? Are they seeing any certificate errors? Trust or name mismatches, that sort of thing? Anything like that will stop this flow in its tracks. The clients don’t need anything more than trusting the endpoints they need to talk to – Exchange, AAD (login.windows.net and login.microsoftonline.com) and ADFS or your iDP of choice if in use. If they trust the issuer of the certs securing those sites, great. If you have some kind of name translation thing going on somewhere, that might cause a warning, or worse, a silent failure.

Here’s an example of this I saw recently. Exchange was published using Web Application Proxy (WAP). You can do that, but only in pass-through mode. The publishing rule for AutoDiscover in this case was using autodiscover.contoso.com to the outside world, but the WAP publishing rule was set up to forward that traffic to mail.contoso.com on the inside. That causes this to fail, as Outlook heads to AAD to get a token for the resource called https://autodiscover.contoso.com and it does. Then it hands that to WAP, who then forwards to Exchange using the https://mail.contoso.com target URI – the uri used in the token isn’t equal to the uri used by WAP… kaboom. So, don’t do that. But I’ll show you later how an error like that shows up and can be discovered.

Assuming certificates are good, we need to get deeper. We need to trace the traffic. The tool I prefer to use for this is Fiddler, but there are others out there that can be used.

Now, Fiddler or the like can capture everything that happens between client and server – and I mean everything. If you are doing Basic auth, Fiddler will capture those creds. So, don’t run a Fiddler trace capturing everything going on and share it with your buddies or Microsoft. We don’t want your password. Use a test account or learn enough about Fiddler to delete the passwords.

I’ll leave it to the Telerik people who create Fiddler to tell you how to install and really use their tool, but I’ll share these few snippets I’ve learned, and how I use it to debug HMA.

Once installed and with the Fiddler root certs in the trusted root store (Fiddler acts as a man-in-the-middle proxy) it will capture traffic from whatever clients you choose. You need to enable HTTPS decryption (Tools, Options, HTTPS), as all our traffic is encased in TLS.

If you have ADFS you can either choose to configure Fiddler to Skip Decryption for the ADFS url, if you don’t want to see what happens at ADFS, but if you do, you will have to relax the security stance of ADFS a bit to allow the traffic to be properly captured. Only do this while capturing the traffic for debug purposes, then reset it back. Start with bypassing decryption for the iDP first, come back to this if you suspect that is the issue.

To set level of extended protection for authentication supported by the federation server to none (off)

Set-AdfsProperties -extendedprotectiontokencheck none

Then to set it back to the default once you have the capture:

Set-AdfsProperties -extendedprotectiontokencheck Allow

Read more about all that clever ADFSstuff here.

Now you run the capture. Start Fiddler first, then start Outlook. I suggest closing all other apps and browsers, so as not to muddy the Fiddling waters. Keep an eye on Fiddler and Outlook, try and log in using Outlook, or repro the issue, then stop tracing (F12).

Now we shall try to figure out what’s going on. I prefer the view where I have the traffic listed in the left hand pane, then on the right the top section is the request, and hte lower right in the response. But you do whatever works for you. But Fiddler shows each frame, then splits each into the Request, and the Response. That’s how you need to orient yourself.

So the flow you’ll see will be something like this;

Client connects to Exchange, sending an empty ‘Bearer‘ header. This is the hint to tell Exchange it can do OAuth but does not yet have a token. If it sends Bearer and a string of gobbledygook, that’s your token.

Here are two examples of this. The header section to look at is Security. This is using Fiddler’s Header view. Do you see how the Security header says just Bearer on the left, but shows Bearer + Token on the right.

Exchange responds with (lower pane of the same packet in Fiddler, raw view), here’s where you can get a token (link to AAD).

If you scroll all the way to the right you’ll see the authorization_uri (AAD)

Normally, Outlook goes to that location, does Auth, gets a token, comes back to Exchange, and then tries to connect using Bearer + Token as above. If it’s accepted, it’s 200’s and beers all round and we’re done.

Where could it go wrong?

Client Failure

Firstly, the client doesn’t send the empty Bearer header. That means isn’t even trying to do Bearer. This could be a few things.

It could be that you are testing with Outlook 2010 which doesn’t support Bearer (so stop trying and upgrade).

Maybe you are using Outlook 2013 but forgot to set the EnableADAL reg keys set? See the link below for those.

But what if this is Outlook 2016, which has EnableADAL set by default and it is still not sending the Header…. Huh?

Most likely cause, someone has been tinkering around in the registry or with GPO’s to set registry keys. I knew a guy who edited the registry once and three days later crashed his car. So, do not tell me you were not warned.

You need to make sure keys are set as per https://support.office.com/en-us/article/Enable-Modern-Authentication-for-Office-2013-on-Windows-devices-7dc1c01a-090f-4971-9677-f1b192d6c910

Outlook2016 for Mac can also have MA disabled (though it’s enabled by default). You can set it back to the default by running this from Terminal:

defaults write com.microsoft.Outlook DisableModernAuth -bool NO

That’s how we deal with the client not sending the Header. Check again and see the Header in all its Header glory.

Auth_URI Failures

Next thing that might happen is the server doesn’t respond with the authorization-uri, or it’s the wrong one.

If there’s no authorization_uri at all then the EvoSts AuthServer does not have IsDefaultAuthorizationEndpoint set to $true. Recheck you ran

Set-AuthServer EvoSts -IsDefaultAuthorizationEndpoint $true

If it comes back, but with some other value than expected, make sure the right AuthServer is set as default, we only support you using AAD for this flow. If you think setting this to your on-premises ADFS endpoint will make this work without AAD… you’re wrong, as you discovered when you tried. If you are thinking of trying it, don’t bother. That’s an Exchange 2019 thing. Oh, did I just let that out of the bag?

If HMA is enabled at the org level, but connections still don’t elicit the authorization_uri you expect it’s likely OAuth isn’t enabled on the Virtual Directory Outlook is trying to connect to. You need to simply make sure you have OAuth enabled on all VDirs, on all servers. Go back to the How Do I Enable section and check those VDirs again.

Now, sometimes that all comes back ok but the client still doesn’t take the bait. If so, check for the following in the response;

HTTP/1.1 401 Unauthorized
Content-Length: 0
Server: Microsoft-IIS/8.5 Microsoft-HTTPAPI/2.0
request-id: a8e9dfb4-cb06-4b18-80a0-b110220177e1
Www-Authenticate: Negotiate
Www-Authenticate: NTLM
Www-Authenticate: Basic realm="autodiscover.contoso.com"
X-FEServer: CONTOSOEX16
x-ms-diagnostics: 4000000;reason="Flighting is not enabled for domain 'gregt@contoso.com'.";error_category="oauth_not_available"
X-Powered-By: ASP.NET
WWW-Authenticate: Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@f31f3647-5d87-4b69-a0b6-73f62aeab14c", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Date: Thu, 13 Jul 2017 18:22:13 GMT
Proxy-Support: Session-Based-Authentication

Now this response is interesting because it says, go get a token (www-authenticate), but in x-ms-diagnostics it says, no, don’t. Is Exchange unsure?

This means OAuth is enabled, but not for Outlook for Windows. So, you ran one of the two commands above (or you ran them both but not enough time has passed for them to kick in)

Verify that the OAuth2ClientProfileEnabled property is set to $true by checking;

(Get-OrganizationConfig).OAuth2ClientProfileEnabled

Other Failures

We have a token, we know OAuth is enabled at the Org level in Exchange, we know all the Vdirs are good. But it still won’t connect. Dang, what now?

Now you’ll have to start to dig into server responses more closely, and start looking for things that look like errors. The errors you’ll see are usually in plain English, though of course that doesn’t mean they make sense. But here are some examples.

Missing SPNs

Client goes to AAD to get a token and get this:

Location: urn:ietf:wg:oauth:2.0:oob?error=invalid_resource&error_description=AADSTS50001%3a+The+application+named+https%3a%2f%2fmail.contoso.com%2f+was+not+found+in+the+tenant+named+contoso.com.++This+can+happen+if+the+application+has+not+been+installed+by+the+administrator+of+the+tenant+or+consented+to+by+any+user+in+the+tenant.++You+might+have+sent+your+authentication+request+to+the+wrong+tenant.%0d%0aTrace+ID%3a+cf03a6bd-610b-47d5-bf0b-90e59d0e0100%0d%0aCorrelation+ID%3a+87a777b4-fb7b-4d22-a82b-b97fcc2c67d4%0d%0aTimestamp%3a+2017-11-17+23%3a31%3a02Z

Name Mismatches

Here’s one I mentioned earlier. There’s some device between client and server changing the names being used. Tokens are issued for specific uri’s, so when you change the names…

HTTP/1.1 401 Unauthorized
Content-Length: 0
WWW-Authenticate: Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@8da56bec-0d27-4cac-ab06-52ee2c40ea22,00000004-0000-0ff1-ce00-000000000000@contoso.com,00000003-0000-0ff1-ce00-000000000000@8da56bec-0d27-4cac-ab06-52ee2c40ea22", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
Server: Microsoft-IIS/8.5 Microsoft-HTTPAPI/2.0
request-id: 5fdfec03-2389-42b9-bab9-c787a49d09ca
Www-Authenticate: Negotiate
Www-Authenticate: NTLM
Www-Authenticate: Basic realm="mail.contoso.com"
X-FEServer: RGBMSX02
x-ms-diagnostics: 2000003;reason="The hostname component of the audience claim value 'https://autodiscover.contoso.com' is invalid";error_category="invalid_resource"
X-Powered-By: ASP.NET
Date: Thu, 16 Nov 2017 20:37:48 GMT

SSL Offloading

As mentioned in the previous section, tokens are issued for a specific uri and that value includes the protocol value ("https://"). When the load balancer offloads the SSL, the request Exchange will receives comes in via HTTP, resulting in a claim mismatch due to the protocol value being "http://":

Content-Length →0
Date →Thu, 30 Nov 2017 07:52:52 GMT
Server →Microsoft-IIS/8.5
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-FEServer →RGBMSX02
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Who’s This?

Perhaps you ignored my advice about syncing all your users to AAD?

HTTP/1.1 401 Unauthorized
Cache-Control: private
Server: Microsoft-IIS/7.5
request-id: 63b3e26c-e7fe-4c4e-a0fb-26feddcb1a33
Set-Cookie: ClientId=E9459F787DAA4FA880A70B0941F02AC3; expires=Wed, 25-Oct-2017 11:59:16 GMT; path=/; HttpOnly
X-CalculatedBETarget: ex1.contoso.com
WWW-Authenticate: Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@cc2e9d54-565d-4b36-b7f0-9866c19f9b17"
x-ms-diagnostics: 2000005;reason="The user specified by the user-context in the token does not exist.";error_category="invalid_user"
X-AspNet-Version: 4.0.30319
WWW-Authenticate: Basic realm="mail.contoso.com"
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
X-FEServer: E15
Date: Tue, 25 Oct 2016 11:59:16 GMT
Content-Length: 0

Password Changed?

When the user changes their password they must re-authenticate to get a new Refresh/Access token pair.

HTTP/1.1 400 Bad Request
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: application/json; charset=utf-8
Expires: -1
Server: Microsoft-IIS/8.5
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
x-ms-request-id: f840b3e7-8740-4698-b252-d759825e0300
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
Set-Cookie: esctx=AQABAAAAAABHh4kmS_aKT5XrjzxRAtHz3lyJfwgypqTMzLvXD-deUmtaub0aqU_17uPZe3xCZbgKz8Ws99KNxVJSM0AglTVLUEtzTz8y8wTTavHlEG6on2cOjXqRtbgr2DLezsw_OZ7JP4M42qZfMd1mR0BlTLWI3dSllBFpS9Epvh5Yi0Of5eQkOHL7x97IDk_o1EWB7lEgAA; domain=.login.windows.net; path=/; secure; HttpOnly
Set-Cookie: x-ms-gateway-slice=008; path=/; secure; HttpOnly
Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
X-Powered-By: ASP.NET
Date: Thu, 16 Nov 2017 20:36:16 GMT
Content-Length: 605
{"error":"invalid_grant","error_description":"AADSTS50173: The provided grant has expired due to it being revoked. The user might have changed or reset their password. The grant was issued on '2017-10-28T17:20:13.2960000Z' and the TokensValidFrom date for this user is '2017-11-16T20:27:45.0000000Z'\r\nTrace ID: f840b3e7-8740-4698-b252-d759825e0300\r\nCorrelation ID: f3fc8b2f-7cf1-4ce8-b34d-5dd41aba0a02\r\nTimestamp: 2017-11-16 20:36:16Z","error_codes":[50173],"timestamp":"2017-11-16 20:36:16Z","trace_id":"f840b3e7-8740-4698-b252-d759825e0300","correlation_id":"f3fc8b2f-7cf1-4ce8-b34d-5dd41aba0a02"}

Unicorn Rampage?

When a Unicorn Rampage has taken place and all tokens are invalidated you’ll see this.

HTTP/1.1 400 Bad Unicorn
Cache-Control: no-cache, no-store, not-bloody-safe
Pragma: no-cache
Content-Type: application/json; charset=utf-8
Expires: -1
Server: Microsoft-IIS/8.5
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
x-ms-request-id: f840b3e7-8740-4698-b252-d759825e0300
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
Set-Cookie: esctx=AQABAAAAAABHh4kmS_aKT5XrjzxRAtHz3lyJfwgypqTMzLvXD-deUmtaub0aqU_17uPZe3xCZbgKz8Ws99KNxVJSM0AglTVLUEtzTz8y8wTTavHlEG6on2cOjXqRtbgr2DLezsw_OZ7JP4M42qZfMd1mR0BlTLWI3dSllBFpS9Epvh5Yi0Of5eQkOHL7x97IDk_o1EWB7lEgAA; domain=.login.windows.net; path=/; secure; HttpOnly
Set-Cookie: x-ms-gateway-slice=008; path=/; secure; HttpOnly
Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
X-Powered-By: ASP.NET
Date: Thu, 16 Nov 2017 20:36:16 GMT
Content-Length: 605
{"error":"unicorn_rampage","error_description":"The Unicorns are on a rampage. It’s time go home” '2017-11-16T20:27:45.0000000Z'\r\nTrace ID: f840b3e7-8740-4698-b252-d759825e0300\r\nCorrelation ID: f3fc8b2f-7cf1-4ce8-b34d-5dd41aba0a02\r\nTimestamp: 2017-11-16 20:36:16Z","error_codes":[50173],"timestamp":"2017-11-16 20:36:16Z","trace_id":"f840b3e7-8740-4698-b252-d759825e0300","correlation_id":"f3fc8b2f-7cf1-4ce8-b34d-5dd41aba0a02"}

And so on. You can see there are a few things that can go wrong, but Fiddler is your friend, so use it to debug and look closely and often the answer is staring you right there in the face.

Viewing Tokens

Lastly, and just for fun, if you want to see what an actual, real life Access token looks like, I’ll show you how… calm down, it’s not that exciting.

In Fiddler, in the Request (upper pane), where you see Header + Value (begins ey…), you can right click the value and choose Send to Text Wizard, and set Transform to ‘From Base64’. Or you can copy the entire value and use a web site such as https://jwt.io to transform them into a readable format like this.

{
"aud": "https://autodiscover.contoso.com/",
"iss": "https://sts.windows.net/f31f3647-5d87-4b69-a0b6-73f62aeab14c/",
"acr": "1",
"aio": "ASQA2/8DAAAAn27t2aiyI+heHYucfj0pMmQhcEEYkgRP6+2ox9akUsM=",
"amr": [
"pwd"
],
"appid": "d3590ed6-52b3-4102-aeff-aad2292ab01c",
"appidacr": "0",
"e_exp": 262800,
"enfpolids": [],
"family_name": "Taylor",
"given_name": "Greg",
"ipaddr": “100.100.100.100",
"name": "Greg Taylor (sounds like a cool guy)",
"oid": "7f199a96-50b1-4675-9db0-57b362c5d564",
"onprem_sid": "S-1-5-21-2366433183-230171048-1893555995-1654",
"platf": "3",
"puid": "1003BFFD9ACA40EE",
"scp": "Calendars.ReadWrite Contacts.ReadWrite Files.ReadWrite.All Group.ReadWrite.All Mail.ReadWrite Mail.Send Privilege.ELT Signals-Internal.Read Signals-Internal.ReadWrite Tags.ReadWrite user_impersonation",
"sub": "32Q7MW8A7kNX5dPed4_XkHP4YwuC6rA8yBwnoROnSlU",
"tid": "f31f3647-5d87-4b69-a0b6-73f62aeab14c",
"unique_name": "GregT@contoso.com",
"upn": "GregT@contoso.com",
"ver": "1.0"
}

Fun times, eh? I was just relieved to see my enfpolids claim was empty when I saw that line, that sounds quite worrying and something I was going to ask my doctor about.

Summary

We’ve covered why HMA is great, why it’s more secure, how to get ready for it and how to enable it. And even how to troubleshoot it.

Like all changes it requires careful planning and execution, and particularly when messing with auth, be super careful, please. If people can’t connect, that’s bad.

We’ve been running like this for months inside Microsoft, and we too missed an SPN when we first did it, so it can happen. But if you take your time and do it right, stronger, better and heck, a more Modern auth can be yours.

Good luck

 

Greg Taylor
Principal PM Manager
Office 365 Customer Experience

Mit der Whiteboard-App hat Microsoft eine Anwendung als Windows-10-Vorschau freigegeben, die vor allem Stift-Nutzer interessieren wird. Mit der App lässt sich gemeinsam arbeiten. Zusätzlich wird die App auch für Surface-Hub-Nutzer interessant. (Microsoft, Office-Suite)

Dieser Verzicht bedeutet zwangsläufig den Rückfall des Landes in die Armut des Mittelalters, weil nicht nur hier, sondern weltweit der Zugewinn an Wohlstand eindeutig an die Nutzung fossiler Brennstoffe gekoppelt ist. Dadurch verfügbare billige Energie ist die unbedingte Voraussetzung dafür. Es gilt uneingeschränkt: Je mehr Wohlstand sich entwickelt, desto mehr CO2 wird emittiert.

Und weil weder die Entwicklungsländer, noch die Schwellenländer, mit ihren armen Milliarden-Bevölkerungen, noch die meisten Industrieländer, diesem deutschen Wohlstandsvernichtungspfad folgen, ungeachtet aller heiligen Schwüre bei Klimakonferenzen, wie zuletzt der in Bonn, steigen die Emissionen weiter und weiter.

Wenn Deutschland also seinen Wohlstandsvernichtungsweg weiter begeht, werden wir zwar alles verlieren, die CO2 Emissionen trotzdem aber steigen und auf das Klima – selbst wenn man der alarmistischen Wahnidee folgt- hätte das keinerlei Einfluss.

Der Maschinenbau Student Jan Pieter Studt hat diese Situation in einem kurzen einprägsamen Video thematisiert.

Video von Jan Pieter Studt: Wieviel CO2 ist in der Luft, wieviel davon ist menschgemacht, wieviel davon steuert Deutschland bei? Das Video rückt die Verhältnisse gerade!

Comments

Editor’s note 12/13/2017:
Forrester also recognized Microsoft OneDrive as a leader in The Forrester Wave: Enterprise File Sync and Share Platforms—Hybrid, Q4 2017. To read the full announcement, visit the Microsoft Tech Community.

Today, Forrester published their Wave report for Cloud Enterprise File Sync and Share, placing Microsoft OneDrive in the “Leaders” position. In addition to being positioned as a Leader, Microsoft was ranked highest in current offering and tied for second in strategy.

The Forrester report stated that “Microsoft offers comprehensive collaboration” and OneDrive “delivers workplace productivity, file sharing, and content management capabilities that are increasingly powered by cognitive content services.” Forrester also made note of our adoption and deployment service, citing that “Microsoft helps clients migrate from on-premises systems with its FastTrack program; eligible customers can move files at no cost.”

This recognition demonstrates our commitment to our customers by ensuring that OneDrive provides the best file sharing and collaboration capabilities, including:

• Best with Office 365—OneDrive is included with your Office 365 subscription and is the only solution that enables you to edit and co-author Office documents across browser, mobile, and desktop apps—along with intelligent discovery and insights powered by the Microsoft Graph.
• Support for a broad range of file types—OneDrive can store any file type and, in addition to Office files, now can view over 270 file types, including Adobe Photoshop (PSD), Illustrator (AI), Acrobat (PDF), as well as video, 3D formats, and DICOM images.
• Security and IT confidence—OneDrive leverages Microsoft security capabilities such as Data Loss Prevention (DLP), eDiscovery, Customer Key (BYOK), and data retention controls with consistent management across Office 365.
• Deployment flexibility—Customers can choose their deployment model—cloud, hybrid, or on-premises. Customers moving to the cloud can leverage no-cost Microsoft FastTrack deployment, adoption, and migration services.
• Cloud leadership and compliance—With 100+ global datacenters and Microsoft’s global network edge—combined with compliance standards, including ISO 27001, AICPA SOC 1/2/3, FISMA, FedRAMP, FERPA, EU Model Clauses, and contractual commitments to the GDPR—we offer customers trusted enterprise-grade compliance and security.

Beyond today’s great news from Forrester, at Microsoft Ignite, the OneDrive team shared over 100 new features delivered in the past year, including: Files On-Demand, secure external sharing without an MSA, file preview support for over 270 different file types, and updates to our highly rated mobile applications (4+ stars on both iOS and Android).

Every day more and more customers like Accenture, Lowe’s, Rackspace, and DBS turn to OneDrive for secure file sharing and collaboration from anywhere, on any device. To learn more about how OneDrive can help you do more, visit our website.

Get your own complimentary copy of The Forrester Wave: Enterprise File Sync and Share Platforms—Cloud Solutions, Q4 2017 report here.

—The OneDrive team

The post Microsoft OneDrive recognized as a Forrester Wave Leader in Enterprise File Sync and Share appeared first on Office Blogs.

Eigentlich ist es ganz einfach: Wer in eine Stau-Situation kommt, positioniert sein Auto so, dass eine Rettungsgasse zwischen der Spur ganz links und der daneben befindlichen entsteht. So können Helfer wie Polizei, Krankenwagen und Feuerwehr erheblich schneller durch den Stau fahren und mehrere Minuten früher an einem möglichen Unfallort sein, um den unmittelbar betroffenen Menschen zu helfen. In der Praxis ist es mit der Rettungsgasse allerdings oft nicht weit her, viele Autofahrer haben das Prinzip noch immer nicht verstanden oder tragen zumindest noch immer nicht regelmäßig korrekt dazu bei.

Um den Rettern und Helfern auf dem Weg zu einem Unfall künftig unter die Arme greifen zu können, wird bei der BMW Group gemeinsam mit der bayerischen Polizei an einer Rettungsgassen-App gearbeitet. Zwei Teams aus den Bereichen Location-Based-Services und Integrale Sicherheit  haben die App entwickelt, die BMW-Fahrer künftig rechtzeitig auf das sofortige Bilden einer Rettungsgasse aufmerksam machen soll. Die entsprechende Warnung wird mit Hilfe von BMW ConnectedDrive in die Fahrzeuge gesendet und taucht nur dann auf, wenn sich tatsächlich Polizei, Krankenwagen oder Feuerwehr von hinten nähern und auf die Rettungsgasse angewiesen sind.

Bis zur Einführung der BMW Rettungsgassen App gilt natürlich auch weiterhin, was der gesunde Menschenverstand ohnehin vorschreibt: Wann immer es sinnvoll sein könnte, sollte man in Stausituationen eine Rettungsgasse bilden! Denn wer im Stau steht und durch sein eigenes Fehlverhalten das Entstehen einer Rettungsgasse verhindert und damit den Einsatz von Rettungskräften behindert, muss mit einer Strafe in Höhe von mindestens 200 Euro rechnen. Je nach Schwere des Falls können auch bis zu 320 Euro und ein Monat Fahrverbot fällig werden. Die drastisch erhöhten Strafen sind eine Reaktion darauf, dass Polizei und Notärzte immer wieder von uneinsichtigen Autofahrern behindert wurden und dadurch erst unnötig spät am Unfallort helfen konnten.

Konrad Hübner (Leiter des Softwareentwickler-Teams der BMW Rettungsgassen-App): “Sollte es zu einem Unfall kommen, so dass eine Rettungsgasse dringend benötigt wird, sendet die Polizei über eine Verbindung zum BMW ConnectedDrive System eine Information an BMW. Fährt nun ein BMW-Fahrzeug mit der Rettungsgassen-App in den betroffenen Stau hinein, wird im Navi des Fahrzeugs ein Aufruf zur Bildung der Rettungsgasse angezeigt.
Trotz der Pflicht halten viele Autofahrer keine Rettungsgasse frei, was für Einsatzkräfte beispielsweise diesen Sommer zu einem großen Problem geworden ist.”

Robert Martinez v. Bülow (Leiter Konzepte Integrale Sicherheit): “Ein intelligenter Algorithmus überprüft, dass der Hinweis an den Fahrer wirklich nur dann erscheint, wenn sich das Fahrzeug genau in Unfallnähe und auch in Fahrtrichtung des Unfalls befindet.”

Die Zufriedenheit mit dem Vorgesetzten hat in Deutschland stark abgenommen. Vor allem zwischen Patriarchen und Millennials kracht es gewaltig.

Die Online-Plattform Kununu hat mehr als 300.000 Arbeitgeberbewertungen der vergangenen zwölf Monaten analysiert und kommt zu einem Ergebnis, das aufhorchen lässt: Das Vorgesetztenverhalten schneidet darin unverhältnismäßig schlecht ab. „Von den 13 Kategorien, die abgefragt werden, sind in den zurückliegenden zwölf Monaten lediglich die Dimensionen Karriere und Weiterbildung sowie Kommunikation noch schlechter bewertet worden“, sagt Johannes Prüller, Sprecher des Arbeitgeberbewertungsportals. Jeder dritte Arbeitnehmer im deutschsprachigen Raum würde seinen Arbeitgeber nicht weiterempfehlen.

„In deutschen Unternehmen wird noch zu häufig von oben nach unten regiert.“

Die Unzufriedenheit mit Vorgesetzten steigt konstant in den vergangenen Jahren. Grund seien unter anderem fundamental unterschiedliche Erwartungshaltungen der Generationen. „Geht es nach den Mitarbeitern, wird in deutschen Unternehmen noch zu häufig von oben nach unten regiert“, so die Bilanz von Kununu. Arbeitnehmer hadern mit einer Kultur, die aus ihrer Sicht auf hierarchischen Vorgaben und strikter Kontrolle beruht. Stattdessen wünschen sie sich einen höheren Grad an Selbstbestimmung. Die Unzufriedenheit sei aber auch ein Indiz dafür, dass viele Betriebe mit der Digitalisierung nicht so gut zurechtkommen wie erhofft.

Dabei gibt es durchaus regionale Unterschiede, aber auch zufriedenere und unzufriedenere Branchen. So teilen sich die Metropolen Berlin und Hamburg den ersten Platz. Am Ende des Rankings sind Thüringen und Sachsen-Anhalt zu finden. Zudem schneidet die Consulting- und Internet-Branche am besten ab, während in der Landwirtschaft, im Handwerk und der Textilindustrie die schlechtesten Noten auftauchen. Also Sektoren, in denen vornehmlich noch traditionelle bis stark verkrustete Strukturen vorherrschen. Viele Aspekte der neuen Arbeit, wie flexible Arbeitszeiten, lassen sich hier nur schwer installieren.

Dabei sind genau das die Dinge, die junge Arbeitnehmer heute schätzen. Höchstmöglich selbstbestimmt und flexibel arbeiten zu können ist oft mehr wert als hohe Gehälter oder ein eigener Dienstwagen. Vor allem Konzerne sollten, angesichts eines anhaltenden Fachkräftemangels, entsprechend auf die Bedürfnisse eingehen. Deutsche Vorzeigebranchen wie der Automobilsektor und die Industrie liegen beim Vorgesetztenverhalten laut Kununu nur im Mittelfeld. Auch hier könnte mit flachen Hierarchien, Mitbestimmungsverfahren sowie flexibleren Arbeitszeitmodellen einiges gewonnen werden.

Übrigens, Officevibe wertet regelmäßig den riesigen Datenschatz seiner gleichnamigen HR-Software aus. Jetzt gibt es Erkenntnisse über die zehn wichtigsten Faktoren für zufriedene Mitarbeiter. Lies auch: Diese Mega-Studie verrät, was Mitarbeiter wirklich glücklich macht

Aldi startet eine Verkaufsoffensive und bietet ab 7. Dezember gleich mehrere Hardware-Produkte zum Aktionspreis an. Wir verraten, bei welchem Gerät sich der Kauf lohnt.

Rechnet man die Zuckermenge, die in unseren Lebensmitteln steckt, in Zuckerwürfel um, sind diese plötzlich nicht mehr so verlockend. Das zeigt ein spanischer Fotograf.

Wer 2018 ein Oberklasse-Smartphone kauft, wird darin oft einen Snapdragon 845 finden. Qualcomm hat den Chip so optimiert, dass er viele Neuerungen integriert, ohne größer zu werden. Zu verdanken ist das der Architektur, denn die Fertigung ist fast gleich. Ein Bericht von Marc Sauter (Snapdragon, Smartphone)

Vodafone ordnet mit der Analogabschaltung alle Senderplätze neu. Danach soll mit Docsis 3.1 1 GBit pro Sekunde angeboten werden. Der Prozess beginnt im kommenden Monat. (Vodafone, Telekommunikation)

Apple hat High Sierra alias MacOS 10.13 auf eine neue Version aktualisiert, einige Fehler behoben und Verbesserungen hinzugefügt. Zudem beseitigt Apple in der Vorversion von MacOS sowie dem letzten OS X zahlreiche sicherheitsrelevante Fehler. (MacOS 10.13 High Sierra, Apple)

Während iPhone 7 sowie iPad Pro 9.7 und neuere Geräte bereits im November mit einem Patch gegen den Angriff auf das vielverwendete WPA2-Protokoll versehen wurden, werden ältere Geräte erst mit iOS 11.2 abgesichert.

Ein halbes Jahr nach seinem Ausscheiden aus der Politik wechselt der frühere Ministerpräsident Schleswig-Holsteins in die Wirtschaft. Er wird für DHL in Brüssel arbeiten.

Beim Thema 3D-Druck denken viele Menschen noch immer an eine Technik, die erst in einigen Jahren wirklich Relevanz erlangen wird. Richtig ist dabei mit Sicherheit, dass die Potenziale der Technik noch längst nicht ausgeschöpft sind und sie die Chance hat, unser Einkaufs- und Konsumverhalten in einigen Punkten dramatisch zu verändern. Mit zunehmender Verbreitung könnten 3D-Drucker zum Beispiel dafür sorgen, dass so mancher Weg zum Baumarkt überflüssig wird oder das dringend benötigte Ersatzteil einfach innerhalb kurzer Zeit selbst gedruckt wird, anstatt auf eine Lieferung zu warten.

Dass 3D-Druck auch heute schon eine Rolle im Serienautomobilbau spielt, dürfte vielen Menschen hingegen kaum bewusst sein. Bei der BMW Group wird seit Jahren mit der Technik gearbeitet, weil sie noch eine weitere große Stärke hat: Mit dem additiven Fertigungsverfahren lassen sich Schicht für Schicht Bauteile formen, die man auf keinem anderen Weg in vergleichbarer Qualität herstellen könnte. So ermöglicht 3D-Druck an einigen Stellen Lösungen, die sich mit konventionellen Methoden nicht darstellen ließen.

Ein weiteres Beispiel dafür wird ab sofort im BMW i8 Roadster verbaut: Die aus Aluminium bestehenden Teile, die für die Verbindung von Verdeckmechanik und Karosserie sorgen, stammen aus dem 3D-Drucker. Die topologieoptimierten Verstrebungen können so in einer geometrischen Form erzeugt werden, die mit klassichen Gießverfahren nicht darstellbar wäre. So sind die kleinen Aluminium-Teile ein spannendes Beispiel für intelligenten Leichtbau, der erst durch innovative Fertigungsverfahren möglich wird.

Die Aluminium-Bauteile aus dem 3D-Drucker passen somit perfekt zum restlichen Konzept des BMW i8 Roadster, der generell ein Beispiel für Innovationskraft und Freude am Leichtbau darstellt. Mit seiner Fahrgastzelle aus Carbon und dem spannenden Plug-in-Hybrid-Antrieb steht er für eine Idee, die sich vom klassischen Sportwagen-Konzept der letzten Jahrzehnte löst und die Idee eines Fahrspaß-Autos in eine deutlich zeitgemäßere Form bringt.

Der Berliner Senat hält es für legal, dass die Verfassungsschutzbehörde ihren Dokumentenbestand künftig mit einem Programm zur biometrischen Gesichtserkennung durchforstet. Von Stefan Krempl (Biometrie, Internet)

„…ein sehr schöner, sehr verständlicher Text. Er entwickelt sich von Kapitel zu Kapitel bestens und geradezu spannend!“ Prof. Dr. Josef H. Reichholf, Autor zahlreicher Bücher über Natur, Ökologie, Evolution usw., Siegmund-Freud-Preisträger der Deutschen Akademie für Sprache und Dichtung 2007.

Damit ist von Prof. Reichholf eigentlich fast alles gesagt. Es fehlt nur noch der Zusatz „…ein sehr schöner, sehr verständlicher, hoch interessanter Text.

Das Grundprinzip der Emergenz wird vom Autor folgendermaßen beschrieben: Aus mehr oder weniger vielen einfachen oder auch komplexeren Elementen entstehen aufgrund der Wechselwirkungen zwischen ihnen spontan in selbstorganisierten Prozessen Systeme. Die Systeme haben – verglichen mit den Elementen – gänzlich neue, meist komplexere Strukturen, Eigenschaften und Fähigkeiten. Die Prozesse sind dabei die Verursacher, die Systeme ihre Ergebnisse. Die emergenten Prozesse sorgen auf diese Weise von selbst dafür, dass die Komplexität in der Welt im Laufe der Zeit ständig wächst.

Auch zwischen unterschiedlichen emergenten Prozessen und Systemen gibt es Wechselwirkungen, sei es zwischen Prozessen unterschiedlicher Ebenen oder unterschiedlicher Regionen der Welt. Sie können die Ursache von Katastrophen sein. Aber auch Katastrophen können nach Schumpeter „schöpferisch“ sein. Die Treiber der emergenten Prozesse sind das Streben nach minimaler Energie und – in abgeschlossenen Systemen – nach maximaler Entropie. In vielen Fällen werden die Prozesse durch die Rückkopplungen autokatalytischer Prozessschritte angetrieben. Unsere Welt befindet sich deshalb niemals in einem Zustand eines statischen Gleichgewichts, wie es manchmal den Anschein hat, sondern immer in einer dynamischen Entwicklung oder einem stabilen Ungleichgewicht. Die Stabilität der Ungleichgewichte ist eine Folge der Rückkopplungen in den Systemen. Rückkopplungen führen zu nichtlinearem Verhalten der Prozesse und – abhängig von der Art der Rückkopplung – zu explosivem und besonders stabilen Verhalten.

Nichtlineare Prozesse zeigen ein Verhalten, dass man deterministische Chaos nennt: Winzige Änderungen am Prozessbeginn, an der Schwelle zur Selbstorganisation, im sog. kritischen Zustand, können zu großen, nicht vorhersagbaren Änderungen im weiteren Verlauf führen. Trotzdem sind Ursache und Wirkung dabei immer kausal miteinander verbunden. Man kann nichtlineare Prozesse und Systeme deshalb bestenfalls näherungsweise modellieren und im Computer simulieren. Oft kann man sie aber auch nur empirisch durch Beobachtungen und Messungen erforschen.

Ein Beispiel ist das Klima: Es wird von nichtlinearen selbstorganisierten Prozessen beherrscht. Das wird oft durch die bekannte Metapher von dem Schmetterling beschrieben, der anderswo einen Wirbelsturm auslösen kann. Die Ergebnisse von Klimasimulationen sind wegen des deterministischen Chaos der Klimaprozesse sehr schwierig zu reproduzieren und zu interpretieren.

In der unbelebten und der belebten Natur gibt es eine große Vielfalt emergenter Prozesse. Einfache Abläufe, wie man sie aus der Mechanik oder der Elektrotechnik kennt, sind eine Ausnahme. Der Nobelpreisträger Ilja Prigogine meinte deshalb: „Wenn es in der Welt irgendwo Einfachheit gibt, dann … nur in den idealisierten makroskopischen Darstellungen. … Wenn immer wir von solchen Modellen ins Große oder Kleine gehen, hört diese Einfachheit auf; …“ Entsprechend groß ist die Vielfalt der unterschiedlichen Bezeichnungen für die Emergenz in den unterschiedlichen wissenschaftlichen Fachgebieten: Selbstorganisation, Komplexitätstheorie, Evolution, Symbiose, Synergetik, Holismus, Spontane Sozialordnung, Unsichtbare Hand des Marktes usw. Diese heute oft weit voneinander entfernten Spezialgebiete der wissenschaftlichen Forschung hat der Autor unter dem Aspekt der emergenten Selbstorganisation zu einer ganzheitlichen Sicht geordnet. Er will damit zeigen, dass die Emergenz als durchgängiges Prinzip eine Brücke schlägt zwischen der unbelebten und der belebten Natur, und die materielle Welt mit der Welt des Geistes verbidet, “… making emergence the most fundamental principle in the universe”.

In der der westlichen Welt und in vielen anderen Ländern hat in den letzten Jahrhunderten das Wissen der Menschen über die Natur und ihre Gesetze erheblich zugenommen, und als Folge davon die Möglichkeiten der Technik, der Medizin, der inklusiven Sozialordnungen sowie der allgemeine Wohlstand. Damit verbunden auch die Fähigkeit, Ideologien und Pseudowissenschaften kritisch zu betrachten. „Wissen ist Macht“, es fördert die Selbständigkeit und verleiht die Fähigkeit, kritisch zu denken. Leider hat die Entwicklung von Ethik und Moral mit der Entwicklung der Technik nicht Schritt gehalten. Die o.g. naturwissenschaftlichen Erkenntnisse der letzten Jahrzehnte im Bereich der Evolution und der menschlichen Sozialsysteme, die inzwischen auch die Geisteswissenschaften beeinflussen, können helfen, diesen Rückstand von Ethik und Moral wieder aufzuholen.

Es ist flüssig geschrieben, und deswegen gut zu lesen. Einfache Kost ist es aber nicht, schmackhafte, lohnende Kost jedoch allemal.

Die Kraft der Naturgesetze – Emergenz und kollektive Fähigkeiten durch spontane Selbstorganisation, zweite Auflage, Verlag tredition 2015.

Wo und in welcher Branche kann man mit welcher Ausbildung besonders gute Gehälter erzielen? Das Netzwerk Linkedin stellt hierfür einen Gehaltsvergleich für die nächsten Gehaltsverhandlungen bereit.

Linkedin bietet ab sofort einen Gehaltsvergleich an, der sowohl den deutschen Markt präsentiert als auch internationale Vergleichzahlen nennt. Die Funktion ist für alle Mitglieder des Netzwerks verfügbar und liefert anonymiserte Gehaltsinformationen. In Beziehung gesetzt werden die Daten in Hinsicht auf Branche, Region, Position und Ausbildung. So erhalten sowohl Arbeitnehmer als auch Arbeitgeber in Echtzeit einen Überblick bezüglich Gehaltsunterschieden und -aussichten. Dabei stellt der Linkedin-Gehaltsvergleich nicht nur Branchen gegenüber, sondern ermittelt auch innerhalb einer Branche die finanziell attraktivsten Berufe. So verdienen in der IT zum Beispiel SAP-Berater oder Datenanalysten jährlich gut 13.000 Euro mehr als beispielsweise Webentwickler.

Gehaltsvergleich: Linkedin versucht hartnäckig, dein Gehalt zu erfahren

Linkedin-Mitglieder mit regulären Mitgliedschaften werden gebeten, ihr Gehalt anzugeben, um Zugriff auf die Gehaltsinformationen von anderen Nutzern zu erhalten. Wer nach verschiedenen Gehältern sucht, erhält den entsprechenden Nag-Screen von Anfang an relativ penetrant. Linkedin tut sich hier keinen Gefallen, weil Nutzer, die sich zunächst einmal informieren wollen und nicht gleich zur Preisgabe des eigenen Verdiensts bereit sind, zur Not lieber ein fiktives Gehalt angeben oder sich ein Fake-Profil anlegen, als sich in die Karten schauen zu lassen. Verständlich ist, dass das Unternehmen so mit sanftem Druck seine Datensammlung zu vervollständigen sucht, die Nutzer werden hier aber gegebenenfalls mit den Füßen abstimmen.

Die Daten, die Linkedin liefert, sind aktuell für den deutschen Markt erwartungsgemäß noch eher lückenhaft, da die Fallzahl noch nicht so hoch ist. Für eine bestimmte Berufsbezeichnung erhält der Nutzer ein Durchschnittsgehalt, das er als Argument für die Gehaltsverhandlungen nutzen kann. Gleichzeitig zeigt das Tool, an welchen Standorten das Einkommen für eine Position besonders hoch ist. Während Software-Ingenieure in Frankfurt und Hamburg beispielsweise das gleiche verdienen, bekommen sie in Berlin durchschnittlich 3.000 Euro im Jahr mehr. Für Projektmanager ist dafür Frankfurt am Main mit durchschnittlich 4.000 Euro zusätzlich das beste Pflaster. Interessierten Mitgliedern werden die Stellen angezeigt, die am entsprechenden Standort gerade auf eine Neubesetzung warten.

Gehaltsvergleich zeigt, welche Zusatzqualifikationen sich für dich lohnen

Dabei ist die Bezahlung oft auch stark branchenabhängig. Auf Linkedin können zum Beispiel Vertriebsmitarbeiter in der IT-Branche überprüfen, ob sie in der Fertigungsindustrie mehr Geld verdienen würden. Eine wichtige Rolle spielt auch die Unternehmensgröße: Große Konzerne zahlen bekanntermaßen oft besser als kleine Startups. Interessant ist aber auf jeden Fall das zu erwartende Gehalt für eine bestimmte Position und die Information, mit welcher Zusatzqualifikation es sich voraussichtlich steigern lässt. Linkedin hatte hierzu vor drei Monaten eine entsprechende Untersuchung vorgestellt, die für den deutschen Markt gesuchte Hard- und Soft-Skills aufzählte.

Schwierig bleibt allerdings die Vergleichbarkeit zwischen den Positionen und groß der Gehaltsunterschied bei bestimmten Abschlüssen: Produktmanager, Projektleiter, Programmierer – all das sind Berufsbezeichnungen, die eine extrem große Spanne je nach Abschluss, Fähigkeiten und Umfang des Aufgabengebietes zulassen. Linkedin zeigt aber immerhin, in welchen Jobs sich ein Master oder MBA auszahlt und wo ein Bachelor-Abschluss ausreicht, um Karriere zu machen. Schwierig ist auch die Aufteilung zwischen Grundgehältern und Boni in vielen Berufszweigen. Gerade bei Projektmanagern oder Vertriebsmitarbeitern macht der Bereich der Boni einen Anteil von 20 bis 30 Prozent aus.

Die bei Linkedin zur Verfügung stehenden Informationen können sich schon in der nächsten Gehaltsverhandlung positiv auswirken. Außerdem können sie unterstützen, bewusste Entscheidungen für Aus- und Weiterbildungen zu treffen, um neue Kenntnisse und Fähigkeiten zu erwerben oder auszubauen, die laut dem Linkedin-Gehaltsvergleich ein höheres Gehalt mit sich bringen. „Heutzutage verändern sich die Anforderungen an die benötigten Fähigkeiten für viele Berufe rasant“, so Barbara Wittmann, Direktorin für den Bereich Rekrutierungslösungen und Mitglied der Geschäftsleitung von Linkedin für die DACH-Region. „Neben den Informationen darüber, welche Kompetenzen sie brauchen, um ihre Karriere voranzutreiben, stehen unseren Mitgliedern auch verschiedene Möglichkeiten bereit, sich diese anzueignen, zum Beispiel mit den über 2.000 deutschsprachigen und 10.000 internationalen Video-Kursen auf Linkedin Learning oder über unsere Blogbeiträge, in denen Führungskräfte ihr Branchenwissen teilen.“

Das könnte dich auch interessieren:

• Linkedin-Studie: Mit diesen Skills klappt’s mit deiner Karriere auch in zehn Jahren
• Linkedin-Gründer: Das ist das Geheimnis eines schlagkräftigen Teams

Apples Baupläne in Irland wollen nicht vorankommen: Zwei Anlieger im irischen Atherny klagen erneut gegen iTunes-Rechen-Zentrum.

Die einzige Lösung, sagen sie, ist die Befreiung der Welt von fossilen Brennstoffen – Kohle, Erdgas und Öl – die als Pfeiler der modernen Gesellschaft dienen. Nur schnelles, entscheidendes globales Handeln kann die schlimmsten Auswirkungen des vom Menschen verursachten Klimawandels abwenden. Internationale Gremien wie die Vereinten Nationen warnen, wir haben nur noch Jahrzehnte Zeit dafür – oder noch weniger!

Natürlich ist die menschliche Zivilisation bislang nicht zusammengebrochen, trotz jahrzehntelanger Voraussagen, dass uns nur noch wenige Jahre bleiben, um eine Katastrophe abzuwenden. Vor zehn Jahren hatten die Vereinten Nationen vorhergesagt, dass wir „nur noch acht Jahre Zeit hätten, um einen gefährlichen weltweiten durchschnittlichen Anstieg von 2 ° C oder mehr zu vermeiden“.

Diese gescheiterte Vorhersage hat die UN und andere jedoch nicht davon abgehalten, weiterhin apokalyptische Wahrsagungen zu treffen.

Um fast drei Jahrzehnte schrecklicher Vorhersagen zu feiern, hat die Daily Caller News Foundation diese Liste von einigen der schlimmsten Prophezeiungen des Jüngsten Gerichts zusammengestellt, die von Wissenschaftlern, Aktivisten und Politikern gemacht wurden:

 

1. Wiederholte Apokalyptische Warnungen

Eine Gruppe von 1.700 Wissenschaftlern und Experten unterzeichnete vor 25 Jahren einen Brief, der vor einem massiven ökologischen und gesellschaftlichen Zusammenbruch warnte, wenn nichts unternommen würde, um Überbevölkerung, Umweltverschmutzung und letztlich die kapitalistische Gesellschaft, in der wir heute leben, einzudämmen.

Die Union of Concerned Scientists [~ betroffenen Wissenschaftler, von was betroffen? Der Übersetzer] veröffentlichte Anfang des Jahres einen zweiten Brief , in dem sie erneut vor den schlimmen Folgen der globalen Erwärmung und anderer angeblicher ökologischer Missstände warnte. Die Gruppe, die jetzt 15.000 zählt, warnt: „Bald wird es zu spät sein, um von unserem zum Scheitern verurteiltem Pfad abzuweichen, die Zeit läuft ab. … die Experten sagen, dass das Bild viel, viel schlimmer ist als 1992, und dass sich fast alle der damals identifizierten Probleme einfach verschärft haben.“

„Wir müssen in unserem täglichen Leben und in unseren regierenden Institutionen erkennen, dass die Erde mit ihrem ganzen Leben unser einziges Zuhause ist“, warnten die Wissenschaftler und Experten.

Es ist eine erschreckende Warnung – wenn Sie die Tatsache ignorieren, dass keine ihrer Warnungen seit 1992 eintrafen.

Die Nachricht aktualisiert eine ursprüngliche Warnung der Union of Concerned Scientists, die vor 25 Jahren von 1.700 Unterschriften unterstützt wurde. Aber die Experten sagen, dass das Bild viel, viel schlimmer ist als 1992, und dass sich fast alle der damals identifizierten Probleme einfach verschärft haben.

 

2. Der Planet wird bis zum Ende des Jahrhunderts „unbewohnbar“ sein

Der Autor des New York Magazine, David Wallace-Wells, veröffentlichte einen Artikel mit 7.000-Wörtern, in dem er behauptet, die globale Erwärmung könnte die Erde bis zum Ende dieses Jahrhunderts „unbewohnbar“ machen.

Der Artikel von Wallace-Wells warnte vor Schrecken, wie „Hitze-Tod“, „Klima-Plagen“, „Dauerhafter wirtschaftlicher Zusammenbruch“ und „Vergiftete Ozeane“.

„Ohne eine signifikante Änderung der Art und Weise, wie Milliarden von Menschen ihr Leben führen, werden Teile der Erde wahrscheinlich kurz vor dem Ende dieses Jahrhunderts nahezu unbewohnbar und andere schrecklich unwirtlich werden“, schrieb Wallace-Wells.

 

3. Die von Prinz Charles gesetzte Frist zur Rettung vor der globalen Erderwärmung ist abgelaufen … und nichts ist passiert

Prince Charles hat im Juli 2009 gewarnt, dass die Menschheit nur noch 96 Monate Zeit hat, um die Welt vor „dem unwiederbringlichem Zusammenbruch des Klima- und Ökosystems und allem, was dazu gehört zu retten.“ Diese Frist ist verstrichen, und der Prinz hat kein Update veröffentlicht, bis wann die Weltgerettet werden muss.

Die kürzlich veröffentlichten „Paradise Papers“ zeigen, dass die von Charles unterstützen, britischen Abgeordneten sich für eine Politik einsetzen, die seiner Investition in einem Bermuda-Unternehmen zugutekommt, das nachhaltige Forstwirtschaft betreibt. Also, das ist es.

 

4. ‚Eisapokalypse‘ jetzt

Der alarmistische Schriftsteller und Meteorologe Eric Holthaus behauptete, die vom Menschen verursachte globale Erwärmung würde die „Eisapokalypse“ [Ist bereits auf Eike übersetzt] auslösen, „All dies könnte sich in nur 20 bis 50 Jahren abspielen – viel zu schnell, als dass sich die Menschheit anpassen könnte“, schrieb Holthaus, der für seine alarmierenden Artikel über die vom Menschen verursachte Erwärmung bekannt ist – „Überschwemmungen an Küstenstädten und Hunderten Millionen von Klimaflüchtlingen“. Klingt schrecklich, aber seine Schlussfolgerungen sind nicht wirklich gesichert.

„Ich denke, dass seine Aussagen zu pessimistisch sind: er überschätzt die Möglichkeit einer Katastrophe. Zu bald, zu sicher“  schrieb Tamsin Edwards, ein Wissenschaftler, der die Antarktis studiert, in The Guardian über Holthaus‘s Artikel.

 

5. „2015 ist effektive die letzte Möglichkeit“, die katastrophale Erwärmung zu stoppen

Die sich im Vatikan getroffenen Regierungschefs der Welt gaben eine Erklärung heraus , in der es hieß, „2015 sei effektive die letzte Gelegenheit gewesen, Arrangements auszuhandeln, um die vom Menschen verursachte Erwärmung unter 2 Grad [Celsius] halten“.

Papst Franziskus will sich für die Erderwärmung in die Waagschale werfen und wird voraussichtlich eine Enzyklika herausgeben, die im Grunde dasselbe sagt. Francis wiederholte, dass 2015 die letzte Chance ist, die massive Erwärmung aufzuhalten.

Aber was er wirklich sagen sollte, ist, dass die UN-Konferenz in diesem Jahr die „letzte“ Chance ist, einen Deal zur Eindämmung der globalen Erwärmung abzuschließen … seit letztem Jahr, als die UN im Grunde das Gleiche schon über den Klimagipfel 2014 sagte.

 

6. Frankreichs Außenminister sagte, dass wir nur noch „500 Tage“ haben, um das „Klima-Chaos“ zu stoppen

Als Laurent Fabius sich am 13. Mai 2014 mit Außenminister John Kerry traf, um über Weltprobleme zu sprechen, sagte er: „Wir haben 500 Tage, um das Klima-Chaos zu vermeiden.“

Ironischerweise hatte die UN zurzeit von Fabius ‚Kommentierung einen Klimagipfel geplant, der im Dezember 2015 in Paris stattfinden sollte – etwa 565 Tage nach seinen Ausführungen. Sieht aus, dass die UN 65 Tage zu spät ist, um die Welt zu retten.

 

7. Der ehemalige Präsident Barack Obama ist unsere letzte Chance, die globale Erwärmung zu stoppen

Als Obama während des Wahlkampfes versprach, „den Anstieg der Ozeane zu verlangsamen“, haben ihn einige Umweltschützer vielleicht wörtlich genommen.

Der Präsident der United Nations Foundation, Tim Wirth, erklärte Climatewire im Jahr 2012, dass Obamas zweite Amtszeit das „letzte Fenster der Gelegenheit“ sei, um Maßnahmen zur Begrenzung der Verwendung fossiler Brennstoffe zu ergreifen. Wirth sagte, es sei „die letzte Chance, dass wir etwas erreichen, bevor [die Welt sich] 2 Grad Celsius nähert“ und fügte hinzu, wenn wir „es jetzt nicht tun, verwandeln wir die Welt zu einem ganz anderen Ort.“

Kurz davor, warnte in 2009  der Leiter des National Aeronautics and Space Administration Goddard Space Flight Center, James Hansen, Obama habe „nur vier Jahre, um die Erde zu retten“.

 

8. Erinnern Sie sich daran, als wir nur „Stunden“ hatten, um die globale Erwärmung zu stoppen?

2009 trafen sich die Staats- und Regierungschefs in Kopenhagen, Dänemark, um einen weiteren Klimavertrag auszukaspern. Im selben Jahr schrieb der Chef der kanadischen Grünen, dass es nur noch „Stunden“ gebe, um die Erderwärmung zu stoppen.

„Wir haben Stunden zu handeln, um einen Tsunami in Zeitlupe zu verhindern, der die Zivilisation zerstören könnte, wie wir sie kennen“, schrieb Elizabeth May, die Vorsitzende der Grünen in Kanada, im Jahr 2009. „Die Erde hat eine lange Zeit. Die Menschheit tut es nicht. Wir müssen dringend handeln. Wir haben keine Jahrzehnte mehr; Wir haben Stunden. Wir markieren das am Samstag in der Earth Hour. “

 

9. Großbritanniens Premierminister Gordon Brown sagte, dass es nur noch 50 Tage gebe, um die Erde zu retten

Das Jahr 2009 war eine schlechte Zeit für die Prognosen der globalen Erwärmung. In diesem Jahr warnte Brown, es gebe nur „50 Tage, um die Welt vor der globalen Erwärmung zu retten“, berichtete die BBC. Laut Brown gab es „keinen Plan B.“

Brown ist seitdem aus dem Amt gejagt worden.

 

10. Der oberste Klimaforscher der UN sagte, dass wir 2007 nur vier Jahre hätten, um die Welt zu retten

Rajendra Pachauri, der ehemalige Vorsitzende des IPCC  sagte 2007 : „Wenn es vor 2012 keine Maßnahmen gibt, ist das zu spät. Was wir in den nächsten zwei bis drei Jahren tun, bestimmt unsere Zukunft. Das ist der entscheidende Moment „.

Nun, es ist 2015 und es wurde kein neuer UN-Klimavertrag vorgestellt. Das einzige, was sich seitdem geändert hat, ist, dass Pachauri Anfang dieses Jahres gezwungen wurde, zurückzutreten, auf Grund der Anklagen, er habe mehrere weibliche Mitarbeiter sexuell belästigt.

 

11. Umweltschützer warnten 2002, die Welt habe nur ein Jahrzehnt, um grün zu werden

Der Umweltschützer George Monbiot schrieb im britischen Guardian, dass innerhalb von nur 10 Jahren die Welt vor einer Wahl stehen wird: Ackerbau ernährt weiterhin die Tiere der Welt oder ernährt weiterhin die Menschen der Welt. Es kann nicht beides tun. “

Weltweit waren 2002 rund 930 Millionen Menschen laut UN-Daten unterernährt. Bis 2014 schrumpfte diese Zahl auf 805 Millionen. Sorry, Monbiot.

 

12. Apokalypse durch Globale Erwärmung, 1980er Edition

Die UN behauptete bereits in den späten 1980er Jahren, dass die Welt nur ein Jahrzehnt Zeit hätte, um die globale Erwärmung zu lösen oder sich den Konsequenzen zu stellen.

Die San Jose Mercury News berichtete am 30. Juni 1989, dass ein „leitender Umweltbeauftragter bei den Vereinten Nationen, Noel Brown, sagt, dass ganze Nationen durch einen Anstieg des Meeresspiegels von der Erdoberfläche gelöscht werden könnten, wenn bis zum Jahr 2000 die globale Erwärmung nicht rückgängig gemacht wird.“

Diese Vorhersage hat sich schon vor 15 Jahren nicht bewahrheitet, aber die UN tönt auch heute noch den gleichen Alarm.

 

Erschienen auf The Daily Caller am 25.11.2017

Übersetzt durch Andreas Demmig

http://dailycaller.com/2017/11/25/after-30-years-alarmists-are-still-predicting-a-global-warming-apocalypse/

 

Tabelle nach obiger Aufzählung

Alarmist	Von	Zeitraum Jahre	In	Ereignis
Concerned scientists	1992	25	2017	Ökosysteme zusammengebrochen
David Wallace-Wells New York Magazine	2017		2100	Hungersnot, wirtschaftlicher Zusammenbruch, eine Sonne, die uns kocht
Prince Charles	2009	8	2017	unwiederbringlicher Zusammenbruch des Klima- und Ökosystems
Eric Holthaus	2017	20 – 50	2037 – 2067	Überschwemmungen an Küstenstädten und Hunderten Millionen von Klimaflüchtlingen
Regierungschefs im Vatikan	2015		2015	Letzte Chance etwas zu tun (vertiefte geistliche Betrachtung).
Frankreichs Außenminister Laurent Fabius	2014	500 Tage	Okt. 2015	Klima-Chaos
Präsident der United Nations Foundation	2012	4	2016	2 Grad -Ziel zu erreichen
James Hansen	2009	4	2013	Die Erde zu retten
Elisabeth May, Grüne in Kanada	2009	Nur Stunden	2009	Erderwärmung
Großbritanniens Premierminister Gordon Brown	2009	50 Tage	2009	Erderwärmung
Rajendra Pachauri	2007		2012	Keine Zukunft mehr
Umweltschützer George Monbiot	2002	10 Jahre	2012	Keine Nahrung mehr
UN	1989	10 Jahre	1999	Meeresspiegel, Überschwemmungen

Verizon will bereits im kommenden Jahr 5G als Fixed Wireless Access für rund ein Drittel der Breitbandhaushalte bereitstellen. Die Nutzer bekommen Gigabit-Datenraten. (5G, Technologie)

Die Konsequenz aus dem Staatsdoping: Die Russen dürfen nur unter neutraler Fahne bei Olympia antreten. Das ist typische IOC-Scheinhärte. Längst stehen Hintertüren offen.

Im Zuge des gestrigen Qualcomm-Events auf Hawaii wurden die ersten beiden Windows 10 ARM-Geräte offiziell vorgestellt, nämlich das ASUS NovaGo und das HP Envy x2. Beide Geräte werden vom Qualcomm Snapdragon 835-Prozessor betrieben, bieten LTE-Konnektivität und konnten während des Events von einigen Medienvertretern begutachtet werden, die ihre Eindrücke auch in Videos festgehalten haben.

Surface Klon – Nicht so richtig

Darin ist einerseits zu sehen, dass das HP Envy x2 nicht so sehr ein Surface-Klon ist, wie bislang angenommen. Der Kickstand ist nämlich nicht in der Tablet-Einheit verbaut, wie es beispielsweise beim Surface Pro der Fall ist, sondern im Tastatur-Cover. Hierbei handelt es sich allerdings nicht um diese „Origami“-Lösung, die man vom HP Pavilion x2 oder vom iPad Pro kennt, sondern um ein gänzlich neues Konzept, das wir in dieser Form noch nicht gesehen haben. Der Kickstand in der Tastatur verfügt nämlich über ein Scharnier, das mehrere Neigungswinkel erlaubt deutlich stabiler scheint als andere Cover dieser Art. Es ist erfreulich, dass sich HP hierzu Gedanken gemacht hat und sich etwas Besseres einfallen ließ, wenn das Tablet schon keinen Kickstand besitzt.

„Fühlt sich an wie ein Windows-Computer“

Das HP Envy x2 kommt mit Windows 10 S, jedoch ist das Upgrade auf Windows 10 Pro möglich. Das Upgrade von Windows 10 S auf Windows 10 Pro wird auch bis September 2018 kostenlos möglich sein.

Die Medienkollegen vor Ort meinten allerdings, dass sich das HP Envy x2 anfühlt wie ein echter Windows-Computer und die einfachen Anwendungen, wie Edge, Paint 3D und andere Apps, laufen darauf auch reibungslos.

Rein äußerlich ist das HP Envy x2 mit einer Tiefe von 6,9 Millimetern außerordentlich dünn und wirkt auch durchaus hochwertig. Dank des vergleichsweise geringen Gewichts von höchstens 700 Gramm ist das 12-Tablet auch in einer Hand leicht zu halten. Als überraschend gut empfanden die Journalisten die Tastatur des Geräts, welche einen langen Tastenhub und eine Hintergrundbeleuchtung bietet.

HP Envy x2 – Vorläufiges Fazit

Die Hands-On Videos der anwesenden Journalisten sind insgesamt überaus positiv, wenn auch kaum die großen Versprechungen von Microsoft und Qualcomm ausgetestet werden konnten. Hier geht es vor allem um die Behauptungen rund um die Akkulaufzeit von 20 Stunden, die ständige Internetverbindung der Geräte, das Aufwachen aus dem Standby binnen einer Sekunde und auch die Möglichkeit, traditionelle x86 Desktop-Programme dank Emulation auszuführen. Es ist eine neue Kategorie an Geräten mit anderen Preisen und vor allem mit einem Fokus auf andere Bedürfnisse als bisher und das macht sie schwer vergleichbar, wenn man die Stärken nur aus Marketing-Folien des Herstellers kennt und die Schwächen noch nicht testen konnte.

Die Windows 10 ARM-Geräte und dazu zählt eben auch das neue HP Envy x2 sind für Nutzer gedacht, die unterwegs nicht die Leistung für Photoshop und Co. benötigen, sondern eher wert legen auf eine längere Akkulaufzeit und ständige LTE-Konnektivität bei alltäglichen Arbeiten mit dem Browser und Office.

Der Beitrag HP Envy x2 – Erste Stimmen zum Windows 10 ARM-Detachable erschien zuerst auf WindowsArea.de.

Egal wer die nächste Bundesregierung stellt – sie sollte der Mittelschicht den Hauskauf erleichtern. Wie sich das realisieren lässt, zeigen zum Beispiel die Niederländer.

Nach einer längeren Betaphase mit zahlenden Entwicklern hat Apple das Smartwatch-Betriebssystem WatchOS 4.2 freigegeben. Die wichtigste Neuerung ist Apple Pay Cash, doch davon haben Nutzer in Deutschland wegen der Blockade des Zahlungsdienstes nichts. (Apple Watch, Apple)

Der Streit zwischen Google und Amazon eskaliert: YouTube soll künftig nicht mehr auf dem Fire-TV-Stick und dem smarten Abspielsystem Echo Show laufen.