Category: "Seminare"

Speaking at SQLBits 2014: PreCon on In-Memory OLTP and Security session

Sprecher auf der SQLBits 2014 zu In-Memory OLTP und Sicherheit

(DE)
Nachdem ich letztes Jahr das erste Mal als Teilnehmer auf der SQLBits-Konferenz in England war, darf ich dieses Jahr nicht nur eine Session halten, sondern sogar auch einen der begehrten „Training Days“ im PreCon-Stil!

(EN)
After having attended the SQLBits Conference in the UK last year for the first time, I became not only one of the lucky people to hold a session, but also to give one of the much sought after “Training days” in PreCon-style!

 SQLBits

 

Niko Neugebauer und ich geben am 17. Juli die ganztägige Veranstaltung „In-Memory Technologies in SQL Server 2014: CCI & XTP“.

Niko wird seine Erfahrung mit den neuen Clustered ColumnStore Indexen teilen und ich werde die neue In-Memory OLTP Engine XTP detailliert vorstellen.

Niko Neugebauer and I will be delivering the full day presentation „In-Memory Technologies in SQL Server 2014: CCI & XTP“ on July 17th.

Niko will share his experience with the new Clusterd ColumnStore Indexes and I will present the all new In-Memory Engine XTP in detail.

 

In this full-day session MVP Niko Neugebauer and MCM Andreas Wolter are going to take you onto a journey to In-Memory in SQL Server 2014 which contains two features of great impact on how databases perform and are designed: The improved Columnstore Indexes: Clustered, Updatable, they change the way BI & Datawarehouse Systems will be designed & used. On the OLTP other side, the XTP engine (Codename “Hekaton”) brings huge performance improvements for OLTP workloads.

 

- Diesen Ganztages-Vortrag haben wir bereits in ähnlicher Form auf dem Deutschen Launch Event für den SQL Server 2014 gehalten.

Das ist eine überaus große Ehre für uns, zumal dort seit Jahren einige echte Gurus ihres Fachs auftreten. So befinden wir uns dieses Jahr in der Illustren Gesellschaft von Brent Ozar, Brian Knight, Jennifer Stirrup, Dejan Sarka, Marco Russo, Adam Jorgensen und John Welch, Itzik Ben-Gan, Allan Hirt, Dave Ballantyne und David Morrison und Simon Sabin!

 

Am Freitag, den 18., halte ich dann meine bekannte Security Session: „“SQL Attack…ed” – SQL Server under attack: SQL Injection“.

Der Samstag ist übrigens „Community day“ mit kostenloser Teilnahme – die Plätze werden wie für alle Tage aber schnell weg sein. Also nicht zu lange warten.
Hier geht’s zur vollständigen Agenda.

- We presented this full day session already in similar shape at the German Launch Event for SQL Server 2014.

This is a huge honor for us, especially since some of the real Gurus of their subject have been presenting there for years. So this year we are finding ourselves in the illustrious company of Brent Ozar, Brian Knight, Jennifer Stirrup, Dejan Sarka, Marco Russo, Adam Jorgensen and John Welch, Itzik Ben-Gan, Allan Hirt, Dave Ballantyne and David Morrison and Simon Sabin!

 

On Friday the 18th, I will then give my well-known Security Session: „“SQL Attack…ed” – SQL Server under attack: SQL Injection”.

Saturday, by the way, is “Community day” with attendance free of charge– the seats are going to be taken quickly though, as for all days, so do not wait too long.
Here you can find the complete agenda.

 

Cu at SQLBits,

 

Andreas

 

Spezialrabattaktionen: 22% zum Jubiläumsjahr der PASS Deutschland e.V für Sicherheits- XEvent Tracing, sowie SQL Server 2014 Seminare + 10% Microsoft TechNet Aktion für alle

Damit auch alle, die vor 2 Wochen nicht auf der SQL Konferenz in Darmstadt (www.sqlkonferenz.de) waren, oder nicht regelmäßig bei TechNet vorbeischauen, eine Chance haben, poste ich es hier einmal öffentlich:

1)       Zum Jubiläumsjahr der PASS Deutschland e.V erhalten alle Mitglieder den „Jubiläums-Rabatt“ von 22 Prozent (!) auf die folgenden SQL Server Master-Classes:

birthday-cake

(SES) SQL Server Security Essentials für Entwickler & Administratoren – am 3. April 2014 in Düsseldorf
- Dieses Seminar ist für alle Einsteiger geeignet, die hier alle Grundlagen für die Sicherheitsverwaltung & Architektur von SQL Server erlernen.

(SIA) Securityworkshop for SQL Server Administrators (advanced) – 4. April 2014 in Düsseldorf
- In diesem Workshop werden sicherheitsrelevante Internas der Authentifizierung, das Konzept der Contained Databases, Daten- & Backupverschlüsselung mit Transparent Data Encryption (TDE) bis hin zu Überwachungstechniken in SQL Server erlernt.

(XE1) Einsteiger-Workshop Tracing mit Extended Events in SQL Server - am 7. März 2014 in Frankfurt am Main
- Das Grundlagentraining für alle, die den Nachfolger von SQL Trace & Profiler von Grund auf beherrschen möchten.

(XE3) FastTrack to Tracing with Extended Events for SQL Server - am 1. April 2014 in Frankfurt am Main
- Für Einsteiger, die die Funktionalitäten und Einsatzmöglichkeiten der Extended Events von A-Z an einem verlängerten Tag kennenlernen möchten.

(UP2014) Aktualisierung der Kenntnisse von SQL Server 2012 auf SQL Server 2014 - am 15. Mai 2014 in Frankfurt am Main
- Der neue SQL Server 2014 steht vor der Tür. Von Buffer-Pool Erweiterungen bis zu In-Memory OLTP enthält dieser viele wichtige neue Technologien, die an diesem Tag praxisnah kennengelernt werden.

(XTC) Workshop In-Memory OLTP & ColumnStore - New Storage Engines in SQL Server 2014 - am 16. Mai 2014 in Frankfurt am Main
- An diesem eintägigen Workshop werden die neuen und verbesserten In-Memory Technologien XTP für extrem performantes OLTP und Clustered Columnstore Indexes für DataWarehousing in aller Tiefe praktisch kennengelernt.

Und das ist der Gutschein-Code (exklusiv für Mitglieder der PASS Deutschland e.V.):
10PASSDE2014 *1 *2

Tipp: jeder kann sich jederzeit noch schnell und kostenlos(!) als Mitglied bei der PASS Deutschland e.V. anmelden – Details dazu auf der Webseite der PASS: www.sqlpass.de/Mitgliedschaft/Mitgliedwerdenistkostenlos.aspx

 

2)       Außerdem freue ich mich, noch auf eine andere Aktion, und zwar in Zusammenarbeit mit der  Microsoft Technet IT Pro Academy hinweisen zu können. Für ausgewählte Seminare gibt es einen speziellen Rabattcode *1, der hier über die TechNet-Seite zu finden ist: technet.microsoft.com/de-de/bb291022?it_product=sql-server&it_topic=zertifizieren, für 10% auf weitere Seminare:


(PAT) Workshop Performance und Analyse, Techniken & -Tools
- 17./18. März 201

(SHA) Workshop Hochverfügbarkeit für SQL Server - 6./7. Mai 2014


*1  Rabatt-Codes können nicht mit anderen Codes kombiniert werden
*2 Dieser Code ist gültig bei Verwendung bis zum bis 30.4.2014


Und hier findet Ihr die Gesamtübersicht der SQL Server Master-Classes und Links zur Anmeldung:
www.sarpedonqualitylab.com/SQL_Master-Classes.htm



Viel Spaß beim Lernen wünscht

Der Andreas

 

Microsoft Certified Solutions Master Data Platform (SQL Server 2012)
Microsoft Certified Master SQL Server 2008
Microsoft Certified Trainer

Security Session „SQL Attack..ed“ – Attack scenarios on SQL Server ("Hacking SQL Server")

 

Vortrag SQL Server Sicherheit „SQL Attack..ed“ – Angriffszenarien auf SQL Server („SQL Server Hacken“)

(DE)

Auf dem diesjährigen SQLSaturday in Deutschland habe ich wieder einmal einen meiner Sicherheitsvorträge gehalten, in denen ich mich auf „Angriff“ konzentriere. Für mich eine gute Gelegenheit, mich wieder einmal intensiv mit SQL Server Sicherheit und einigen Penetrationstest-Tools auseinanderzusetzen, und SQL Server auf Fallstricke in Sachen Sicherheitskonfiguration zu untersuchen. Am Ende hatte ich eine lange Liste an möglichen Demonstrationen, worunter auch eine von mir frisch entwickelte DoS-Attacke via SQL Injection zählt (zumindest habe ich nirgends einen Hinweis auf eine Beschreibung dieser Art Angriff gefunden oder auf meine Nachfragen erhalten), sowie eine „privilege elevation“(Privilegienerweiterung)-Attacke, die in dieser Form auch noch unbekannt zu sein scheint. – Alles jedoch unter Ausnutzung von angepassten Einstellungen, und keine Schwächen in der Engine(!).

 

Da es speziell zu SQL Server kaum nennenswerte Sessions in Deutschland zu diesem Thema gibt (selbst auf den Summits in den USA war ich damit meist recht allein unterwegs), und mir das Thema in dieser Tiefe natürlich auch besonders Spaß macht, habe ich mich entschieden, hier meine möglichen Themen zu sammeln. Ich werde sie nicht nur auf weiteren kommenden Konferenzen in Europa oder USA präsentieren, sondern auch den Regionalgruppen der deutschen PASS anzubieten – die sich hier sozusagen im „Menü“ bedienen können :-)


An einem Abend schafft man vermutlich maximal ein Drittel der möglichen Themen. – Und damit wälze ich nun die Qual der Wahl auf die Kollegen RGVs ab ;-)

(EN)

At this year’s SQLSaturday in Germany I have shown one of my sessions again, in which I concentrate on “attack”. For me a great opportunity to dive deep into SQL Server Security and several penetration-test-tool, and to explore SQL Server for pitfalls and security configuration. At the end I had a long list of possible demonstrations. Among them a just recently developed DoS-attack via SQL Injection (at least I did not find any clue on a description for this kind of attack anywhere or got an answer on my inquiries), as well as a “privilege elevation”, which in this form seems to be quite unknown as well. – Everything is just done by exploiting customized settings and not by weaknesses in the engine (!).

 

Since there are barely any nameable sessions on this topic specifically for SQL Server in Germany (even at the Summits in the US I tended to be quite alone with my sessions on security), and I enjoy this topic in this a lot, I have decided to collect all possible topics here.
I will not only present them on upcoming conferences in Europe or the US, but also I am offering these to the regional chapter leaders in Germany  – “serve yourself” - style :-)

Session Beschreibung:

SQL Server kann als "secure by default" gelten, aber da das am häufigsten erfolgreich angegriffene Ziel die Daten, die in der Datenbank liegen, sind, möchte ich in dieser Session für das Thema sensibilisieren.
Die meisten der ausgenutzten Schwachstellen in einer SQL Server Umgebung sind auf Miss-konfiguration, schwache Sicherheitseinstellungen oder ungenügende Programmierpraktiken zurückzuführen.

In dieser rein Demo-basierten Session werden verschiedene Angriffsszenarien auf verschiedenen Ebenen gezeigt. Auf speziellen Wunsch auch einige Advanced SQL-Injection Beispiele. Des Weiteren zeige ich, wie eine „privilege elevation“ aufgrund einer nicht unüblichen Einstellung möglich ist und die Ausnutzung von Rechten mit einem Datenbank-Rootkit durch einen "Insider".

In dieser Art Vortrag gebe ich natürlich keine Anleitung "wie man hackt", sondern ich beleuchte häufige Schwachstellen - "Was kann unter welchen Umständen passieren".

(Fast) keine Folien: Demos Demos Demos

Session Description:

SQL Server is considered "secure by default", but one of the most often successfully attacked targets is the data that resides in a Database Server.
Most of the exploited weaknesses in a SQL Server environment are due to misconfiguration weak security settings or inadequate coding practices.

In this purely demo-based security session, I am showing several attack scenarios on different layers. Due to special request this includes some special SQL Injection types. Furthermore I show how an evaluation of privileges attack is possible due to a not uncommon configuration as well as an “insider-exploit” with a database root kit.

Note that in this kind of session I do not give instructions on “how to hack” but rather I am highlighting common weaknesses - “what can happen and under which circumstances”.

(Almost) no slides: just Demos Demos Demos

                                                 Inhalte // Contents

(Web)Application Layer

  • Mein Formular und die WAF lassen nichts durch – oder doch?
    • Standard SQL Injection
    • Blind / Error-based /Time-based SQL Injection, Encoding Injection
    • 2nd Order SQL Injection
    • Privilege Escalation über SQL Injection und trustworthy
    • Automatisierte Attacken mit Tools, weitere „Features“ (sqlmap,...)
    • “Der Fall der nicht-terminierbaren Transaktion“ -  DoS Attack über SQL Injection (von mir "erfunden" für den SQLSaturday Germany 2013)

(Web)Application Layer

  • My form and the WAF don’t let anything pass through – or do they?
    • Standard SQL Injection
    • Blind / Error-based /Time-based SQL Injection, Encoding Injection
    • 2nd Order SQL Injection
    • Privilege Escalation via SQL Injection and trustworthy
    • automated attacks using tools, further “features” (sqlmap,...)
    • “case of the unkillable transaction” - DoS Attack via SQL Injection ("invented" by me for SQLSaturday Germany 2013)

 

Table names

Innerhalb des Netzwerk

  • Aufklärung: Erkennen von SQL Server Instanzen
  • SQL Authentifizierung
    • Beobachten von SQL Traffic (Login + Select)
  • Automatisierte brute-Force Attacke gegen sa-Passwörter

Inside the Network

  • Reconnaissance: Detecting SQL Server Instances
  • SQL authentication
    • Watching SQL Traffic (Login + Select)
  • Automated brute-Force Attack against sa-passwords

Network Monitor Capture TDS frame

Network Monitor TDS frame capture

Server & Datenbank-Ebene – Angriffe von Innen, Teil 1: der böse Consultant

  • SQL Authentifizierung
    • Cracken von Passwörtern – möglich? Wie?
    • Auslesen von Passwörtern aus dem Arbeitsspeicher
  • Was ein Consultant so hinterlassen kann
    • Automatisierte Einrichtung eines SQL Server Rootkits
  • „Wenn der Gast die Party wechselt“

Server & database-Level – attacks from inside, Part 1: evil Consultant

  • SQL authentication
    • Cracking Passwords – possible? How?
    • Reading passwords from memory
  • What a Consultant may leave behind
    • Automated install of a SQL Server rootkit
  • „When the guest switches the party“

Server & Datenbank-Ebene – Angriffe von Innen, Teil 2: der böse Entwickler

  • „Kenne Deine Rechte“
    • "Transfer-Schema Attack"
      – erstmalig gezeigt auf dem PASS Summit 2010 in Seattle :-)
  • „Alles meins“ – oder nicht?
    • Datenbankbesitzverkettung
    • Db_owner unterschätzt & ausgenutzt
    • Schema-ownership-chaining

Server & database-Level – attacks from inside, Part 2: evil Developer

  • „Know your rights“
    • "Transfer-Schema Attack"
      – first shown at PASS Summit 2010 in Seattle :-)
  • „Everything belongs to me“ – does it?
    • Database-ownership-chaining
    • Db_owner underestimated & exploited
    • Schema-ownership-chaining

 

Recent Security Reports:

PASS Essential "SQL Server 2012 Datenbank-Sicherheit, Best Practices & Fallstricke"

Security Workshops, 2014:


enjoy
and until soon - in your regional chapter, in your company, at a SQL Server Master-Class or at some conference - just say hello if you see me

 

Andreas

Upcoming Conferences 2013 – die nächsten SQL Server Konferenzen dieses Jahr

Das Jahr 2013 dürfte das bislang am meisten mit Konferenzen durchsetzte Jahr für mich sein. Das liegt nicht zuletzt an den SQLSaturdays, die mittlerweile fest in der SQL Server-Welt etabliert sind, und mit ihrem kostenlosen aber dennoch, durch viele bekannte Experten, hochwertigen Charakter immer mehr Interessenten anziehen.

So ist dann auch die nächste Konferenz diesen Sommer in Deutschland der SQLSaturday #230 am 13.Juli in St. Augustin bei Bonn – der 2. deutsche SQLSaturday!

- Diesmal darf ich wieder einmal mein Spezialgebiet, Sicherheit, aufgreifen. In der Session „SQL Server under Attack – Angriffsszenarien“ gehe ich SQL Server an den Kragen und zeige auch einige unbekanntere Schwachpunkte, aus denen hoffentlich hervorgeht, warum „Best Practices“ das Mindeste sein sollten.

- Letztes Jahr hatte ich in Unterschleißheim bei München auf dem SQLSaturday #170 die Extended Events als Nachfolger von SQL Trace & Profiler vorgestellt („Tracing with SQL Server 2012 Extended Events“ )

Außerdem gibt es dieses Mal sogar eine Precon mit 3 parallelen Workshop-Tracks. Wer sich noch nicht mit dem Nachfolger von SQL Trace/Profiler auseinandergesetzt hat, bekommt in der Session „From SQL Traces to Extended Events. The next big switch.“ einen Überblick über die bisherigen Monitoring Tools wie SQL Trace und Event Notifications, bis hin zu einem halben Tag input in Sachen Extended Events! Mehr dazu hier: http://sqlsaturday230.eventbrite.de


Am 24. September findet in Mainz die BASTA mit dem SQLday statt.

- Dort spreche ich - wer hätte das gedacht -  auch über Sicherheit. Diesmal vor allem für Entwickler: Security Essentials und Best Practices für SQL-Server-Entwickler

 

Im Oktober (15.-18.10.) folgt der Höhepunkt mit dem PASS Summit 2013, dieses Jahr in Charlotte, NC USA, der größten SQL Server Konferenz überhaupt, wo ich die wiederholte Ehre, als einziger deutscher Sprecher auftreten zu dürfen, habe. (einen gewissen Stolz hierüber will ich gar nicht leugnen)

UPDATE: Wie ich gerade erfahren habe, sind meine Kollegen Oliver Engels und Julian Breunung von der PASS RG Rhein/Main nachträglich als Sprecher eingeladen! Superb! - Der alljährliche "Steak-Abend" mit den deutschen Kollegen ist gewiss. :-)

Und zwar mit dem Thema: From Locks to No Locks – Concurrency in SQL Server

- Mit einer kleinen Variante dieses Vortrages war ich dieses Jahr bereits in mehreren deutschen Regionalgruppen auf “Rundtour”.

 

Vorankündigung:
Die nächste Runde der SQL Server Master-Classes mit spannenden ein- bis zweit-tägigen intensiven Trainings & Workshops mit Themen von Extended Events über Indexing bis Hochverfügbarkeit plane ich für November 2013.

Stay tuned unter: www.sarpedonqualitylab.com/SQL_Master-Classes.htm

 

Vom 3. -5. Dezember bin ich dann auch wieder auf dem PASS Camp im Lufthansa Conference Center in Seeheim bei Darmstadt.

Das Besondere an diesem Event, das rein von der deutschen PASS e.V. veranstaltet wird, ist sein „Hands-On“-Konzept. D.h. alle Themen beinhalten praktische Übungen, die von den Sprechern begleitet werden. Im Gegensatz zu den amerikanischen „Workshops“ also kein „lecture-only“. Ein absoluter Tipp für SQL Server Profis und solchen, die tiefer in die Materie eintauchen möchten.

Mit dem
SQLzaterdag #221 in Veenedal/Holland: „Tracing with Extended Events. – Adios Profiler


dem
SQLSaturday #196 in Kopenhagen/Dänemark, ebenfalls mit „Tracing with Extended Events. - Adios Profiler

und den Frankfurter Datenbanktagen, bei denen ich in buchstäblich letzter Minute mit dem Thema Hochverfügbarkeitstechniken in SQL Server 2013 eingesprungen bin (mehr dazu hier: Conferences 2013: Frankfurter Datenbanktage und einige “Oracle-Momente”)
sind das – bislang - 8 Konferenzen + eine PreCon, auf denen ich dieses Jahr als Sprecher aufgetreten sein werde. (!)

– Bislang? - Vielleicht schaffe ich ja noch die SQLRally Nordic, die dieses Jahr vom 4.-6. November in Stockholm stattfindet :-). Mein Eindruck der SQL Rally letztes Jahr - mit dem Thema Sicherheit in SQL Server dabei - war jedenfalls überaus positiv. (Upcoming Conferences 2012: PASS SQLSaturday in Munich, SQLCon in Mainz, PASS SQLRally in Copenhagen, PASS Summit in Seattle, PASS Camp in Darmstadt)

Ich würde mich freuen, einige meiner Leser auf der einen oder anderen Konferenz anzutreffen – einfach „Hallo“ sagen ;-)

CU in St. Augustin, Mainz, Charlotte USA, Seeheim, oder auf einem Regionalgruppentreffen

 

- Ach ja, und nächste Woche, vom 25. bis zum 28. Juni bin ich auf der TechEd Europe in Madrid am Microsoft-Stand anzutreffen.


Andreas

 

Umfrage zur Zertifizierung Microsoft Certified Master (MCM) / Solutions Master (MCSM), Trainingsmöglichkeiten und Interview

Diesmal geht es in meinem Blog weniger technisch zu:

Ich habe vor kurzem bei XING eine kleine Umfrage durchführen lassen, um einmal zu erfahren, warum es weltweit, aber auch insbesondere im Deutschen Raum so wenige MCMs gibt. - Speziell außerhalb von Microsoft-Angestellten selber schwankt die Anzahl je nach Produkt zwischen 0 und 6.

UPDATE 31.8.13: Das MCM/MCA Programm wird mit dem 1.10.13 eingestellt - Zertifizierungen sind damit nicht mehr möglich! - Mehr dazu hier: Microsoft Certified Master & Architect (MCM & MCA) – Das Ende der Advanced Certification. – Und ein geplanter Neubeginn?

Die offiziellen Zahlen für Deutschland Ende Mai 2013 wie folgt - vornean die Gesamtzahl, in Klammern die Anzahl der MCMs davon, die nicht direkt für Microsoft arbeiten:

0 (0) Windows Advanced Infrastructure (hier gibt es gleich keine MCMs in Deutschland, aber weltweit auch nur 16)
5 (4) Windows Server Directory
9 (3) SQL Server                         
9 (6) SharePoint
7 (4) Microsoft Office Communications Server and Lync Server 2010
12 (5) Microsoft Exchange Server

(Quelle: www.microsoft.com/learning/en/us/mcm-certification.aspx - Hinweis, diese Quelle erhebt keinen Anspruch auf Vollständigkeit, ist aber die beste, die es gibt und kann daher gut für einen Vergleich herangezogen werden. Des weiteren möchte ich mich schon vorsorglich dafür entschuldigen, falls der Link nicht funktioniert: Diese Liste ist in den letzten 18 Monaten bereits 2 mal umgezogen, und nicht immer bekomme ich das schnell genug mit um den Link zu updaten. Für Hinweise bin ich dankbar.)

  • seit Beginn der Umfrage sind 2 MCMs für SQL Server 2008 dazugekommen, das sind 28%, kurz vor Erscheinen der Prüfung zum MCSM 2012 :-)
  • Das heißt, dass ich nun nach einem Jahr nicht mehr der einzige von Microsoft unabhängige MCM für SQL Server in Deutschland bin, sondern "nur" noch der Erste. :-)

Was sind nun die Gründe für diese geringe Anzahl?

Ganz abgesehen davon, das mit Sicherheit die gestellten Ansprüche ein Grund sind, sind bei der Umfrage folgende Antworten Zusammengekommen:

 UmfrageErgebnisse Microsoft-Certified-Master MCM_MCSM

- Es hatten sich 54 Teilnehmer an der Umfrage beteiligt. (Die Umfrage ist nun geschlossen, da mehr als 30 Tage bei Xing nicht möglich sind: www.xing.com/app/newsfeed?op=poll_detail;id=9673)

Nun kann man dort sicherlich vieles vermuten, und ich erhebe auch nicht den Anspruch einer wissenschaftlich fundierten Analyse. Aber einige Dinge fallen doch sehr ins Auge, darum möchte ich die einzelnen Punkte frei aus meiner (persönlichen) Sicht kommentieren.

1) 59% - Zeitlicher Aufwand

- hier wäre natürlich eine Aufteilung in WAS den zeitlichen Aufwand denn ausmacht interessant gewesen. Aber eigentlich können es nur 2 Dinge sein: Die Prüfung selber. – mit 5,5 Stunden ist die Lab in der Tat zeitaufwändiger als alle anderen Prüfungen. Aber kann das so viel ausmachen?
Bleibt: Die Vorbereitung, also das Lernen der Stoffe, die man vielleicht noch nicht in hinreichender Tiefe beherrscht. Interessanterweise ist Punkt 3 (erforderliches Know-How) dafür offenbar gar nicht das Problem. …

2) 54% - Zu teuer (Prüfung)

- zugegeben, die Prüfung ist nicht „billig““.
(Für das Erreichen dieser Zertifizierung sind ja 2 Prüfungen notwendig. Ein „Knowledge-Exam“, und ein „Lab-Exam“. Die Kosten liegen bei dem ersteren bei 367,- Euro. Das Lab-Exam ist das teurere, mit 2000 USD, was z. Z. rund 1550 EUR entspricht. Damit liegen die gesamt-Prüfungskosten also unter 2000 Euro. :-) )
PS: Möglicherweise ist das bei den Nicht-SQL Zertifizierungen etwas anders. Dabei sind mir Details nicht bekannt.

Insofern also die Frage unter Experten (Nicht Generalisten, da gelten sicherlich andere Regeln): können 2000 Euro so abschreckend viel sein?
Um mal aus dem Nähkästchen zu plaudern, was ich in meine Fortbildung investiere:
Ich bin jedes Jahr in den USA auf der großen SQL Server Konferenz. Ich bin zwar bekanntermaßen dort i.d.R. als Sprecher geladen, aber natürlich sind die Reisekosten nicht unerheblich. Den sogenannten „Verdienstausfall“ spreche ich jetzt nicht weiter an, denn das gilt für jegliche Fortbildung. Und ohne Fortbildung bleibt man stehen. - Das muss man sich einfach Wert sein.
Dazu kommen mindestens 2-3 weiteren Konferenzen, die dann noch so in Europa stattfinden und wo ich auch spreche. Für Vorträge muss man sich vorbereiten und im Zweifelsfall auch lernen. Selbiges gilt, wenn ich Schulungen gebe, ganz gleich welcher Art. Da kommen also schon einige tausend Euro zusammen.

Aber wie gesagt, diese Zertifizierung spricht auch eher Experten an, und da gehe ich davon aus, das das keine Summe ist, für die man lange sparen muss. Und wenn doch, dann wäre das eine Gelegenheit, einen höheren Stundensatz zu verhandeln, denn wer mehr weiß, ist im Zweifelsfall auch effizienter und spart seinem Kunden am Ende Zeit und Geld :)
Und spätestens bei wirklich komplexen Problemen geht man entweder an Microsoft CSS, oder eben einen unabhängigen MCM.

Aber das ist nur meine persönliche Einstellung dazu. Da die Prüfung kein Schnäppchen ist, ist ein kurzer Familienurlaub anstelle doch ein Argument.

3) 17% - Zu breites Know-How erforderlich

- so ist das letztlich auch gedacht :-)
Obwohl diese Zahl schon fast verdächtig gering erscheint, wenn man sich dann mal die Durchfallquote von 80% bei der Lab zum MCM ansieht. Aber "Durchfallen" tun ja immer die anderen, oder diverse Umstände sind schuld. ;-)
Nun zu Denjenigen, die hier ehrlich geantwortet haben:

- Mehr auf das Thema „Know-How“ gehe ich noch unter den Punkten 8 und 9 ein.
Hier nur so viel: diese Zertifizierung ist naturgemäß nicht für jeden, z.B. Generalisten geeignet. -
Ein guter Hinweis, ob man auf dem richtigen Pfad ist, sollte das Knowledge-Examen geben, welches im Multiple-choice Format aufgebaut ist, und einen Vorgeschmack auf die Komplexität der Lab geben kann. Wenn dieses
zu meistern schon eine Herausforderung ist, dann macht das Lab-Examen kurzfristig noch wenig Sinn, denn das ist dann nochmal ein gutes Stück angezogen und sollte selber nicht als Übung herhalten. Das Knowledge-Examen selbst im ersten Anlauf zu bestehen, sagt noch gar Nichts. Sorry, liebe Kollegen ;-). – Die echte Praxis macht den Unterschied. Dann kann man auch beide relativ flink bestehen. :-)

4) 48% - Kein finanzieller Nutzen

- Das kann man gelten lassen, da man seinen Stundensatz nicht unbedingt mal eben anheben kann und sollte. Die Frage ist vielleicht: sollte das DER Grund sein für die Zertifizierung?

Für mich persönlich ist eine Zertifizierung vielmehr ein guter Grund, sich Zeit nehmen zu müssen, sich also zu disziplinieren, um Dinge zu lernen, die man bisher entweder gar nicht kannte, oder noch nicht benötigt hat. Immer mit dem Zweck, am Ende aus einer möglichst großen Bandbreite an Techniken schöpfen zu können, wieder ein wenig mehr zu wissen. Vorwärtskommen also.

Ich möchte an dieser Stelle auch einmal darauf hinweisen, dass die meisten MCMs direkt von Microsoft kommen, und dort auf Firmenkosten geschult werden. Das hängt sicherlich nicht mit den Consulting-Preisen zusammen, sondern schlicht und einfach mit den für Ihre Arbeit nötigen tiefen Kenntnissen der Materie - wie man sie als MCM eben erwiesenermaßen hat.

5) 30% - Kein Anwendungsbedarf für das erforderliche Know-How

- Ja, auch das kann ein Grund sein. Wenn man vornehmlich in relativ langfristigen Projekten arbeitet, oder auch schlicht keine sonderlich anspruchsvolle / komplexe Umgebung zu verwalten hat, wird man weder das breite Wissen schon erworben haben (können), noch es jemals benötigen.
Es ist auch nicht jedermanns Sache, sich den größten Teil der Zeit mit komplexen oder tiefer liegenden Problemen herumzuschlagen (Ok, meine schon - schuldig im Sinne der Anklage :-) )

6) 17% - Fehlendes Trainingsangebot

- Das ist ein von offenbar wenigen als wichtig erachteter Punkt. Dennoch eine kurze Ausführung:
Was für Schulungen gibt es für den Erwerb des MCTS/MCITP, neu MCSA/MCSE?
Es gibt die sogenannten MOC-Kurse, in der Vergangenheit zu Recht wegen fehlendem Praxisbezug und auch Fehlerhaftigkeit bemängelt. Um einen solchen zu geben, muss man im Wesentlichen ein MCT (Microsoft Certified Trainer) sein, und auch auf dem Produkt, also z.B. SQL Server ITPro -Level zertifiziert sein. (Das sich viele nicht an diesen Mindeststandard gehalten haben, hat meines Erachtens viel zu dem schlechten Ruf der MOC-Kurse beigetragen – am Ende musste man auch wissen, welcher Schulungsanbieter welche Trainer einsetzt)
Dann gab es schon immer ein mannigfaltiges Schulungsangebot auf dem freien Markt. Denn letztlich ist für das Bestehen der Microsoft-Examen nur das Know-How erforderlich, nicht der Nachweis einer bestimmten Schulung (wie es beispielsweise bei Informatica der Fall ist)

Wie ist das nun beim MCM/MCSM?
Nun, auch da kommt es letztlich nur auf das Know-How an. Zwar ist die Durchfallquote bei der Lab mit 80% sehr hoch, aber schon beim zweiten Versuch schaffen es rund 50% - das weiß ich aus Gesprächen mit den damaligen Manager des Master-Programmes.

UPDATE: Seit Juni 2013 sind nun für sämtliche MCSM-Zertifizierungen keine Trainings mehr erforderlich. (Link zu Technet-Blog-Post) Bisher galt das ja nur für SQL Server - für Sharepoint z.B. musste man zwingend nach Redmond, wie ich auch erst später erfahren habe.

Und welches Trainingsangebot gibt es nun also, wenn man sich in einzelnen Technologien noch verbessern möchte? Zu Beginn bot Microsoft Schulungen direkt auf dem Campus an. Aufgrund von Qualitätsproblemen (! – Ja, richtig gehört. Brent Ozar schreibt hierüber recht anschaulich in seinem Blog Post: www.brentozar.com/archive/2010/04/sql-mcm-now-bad-stuff/ ) wurde das dann jedoch ausgelagert und letztlich darf jeder Schulungen mit dem Ziel „Master“ durchführen. (Aktuell sickern Informationen durch, dass es eine Neuauflage von Bootcamps in Redmond geben wird)
In den USA gibt es derzeit 2 mir bekannte Anbieter (SQLSkills: www.sqlskills.com und SQL Internals: www.sqlserverinternals.com )
Da Paul Randall von SQLSkills der ehemaliger Leiter des Microsoft-internen Vorläufers des SQL Server Master-Programms ist, und durch seine Arbeit an DBCC CHECKDB über detailliertes Know-How und internes Wissen über die Engine verfügt, habe ich mir selber alle 4 Wochen Training bei Redmond mit ihm gegönnt (In allen Bereiche von SQL Server Internas, Performance und Tuning, Hochverfügbarkeit, Disaster Recovery, und Programmierung von Geospatial über Service Broker bis Security). Einfach, um auch noch das letzte an Know-How erlangen zu können, welches sich nicht über Blogs und Bücher erlangen lässt. – Bei solchen Trainings lernt man eben auch, was man vorher noch nicht wusste, wonach man überhaupt suchen könnte, und Dinge, die in keinem Blog stehen.
- Leider ist aber konzeptbedingt das meiste inhaltlich Nichts, was man als MCITPro/MCSE nicht ohnehin schon wissen sollte.

War das notwendig für die Prüfungen? – Nein, absolut nicht. Das ist nur persönlicher Ehrgeiz und Anspruch – sowie einfach Spaß am Lernen und Wissen erlangen :-)
Dazu kommt natürlich auch das Networking mit den Kollegen in den USA. Für mich war das also das Richtige zu tun, zumal ich mich auch keinem gegenüber wegen der Zeit rechtfertigen muss :-)

Wie sieht es in Deutschland aus?
Hier bietet Microsoft natürlich auch nichts an.
Ich darf aber auf mein eigenes Trainingsangebot hinweisen. Als MCT und MCM führe ich seit diesem Frühjahr die SQL Server Master-Classes durch. Die erste Runde (Extended Events sogar 2mal) wird im Juni beendet sein. Die nächsten Termine werden im Moment für den Oktober 2013 geplant.
Für alle, die mehr wissen wollen („Hach, diese Doppeldeutigkeit“ :-D): www.sarpedonqualitylab.com/SQL_Master-Classes.htm

Ansonsten sind mir persönlich keine offizielle "Master-Trainings" bekannt außer in Bulgarien. Dort gibt es meines Wissens noch eine ähnliche Seminarreihe, geleitet von einer dortigen MCM-Kollegin.

7) 4% - Zertifizierung mir unbekannt

- Puh, immerhin in den IT Foren ist der MCM also doch gut bekannt. :-)

8) 35% - Zertifizierung meinen Kunden unbekannt

- Ja, das ist klar so, dass dieser Titel noch nicht den Bekanntheitsgrad hat, wie er ihn verdient hat. (Die geringe Zahl der Stimmen würde ich übrigens auch mit hier als Hinweis führen - denn ich habe sie sehr breit in den XING-Foren gepostet) Von einem Bekanntheitsgrad wie des seit über einem Jahrzehnt etablierten MVP ist der MCM weit entfernt. Dabei ist der MVP auch kein Zertifikat sondern ein Award. (Es findet also kein Examen statt. - mvp.microsoft.com) . Die neuerliche Umbenennung zum MCSM (…Solutions Master) wird sicherlich auch wenig helfen.

Und noch etwas möchte ich erwähnen, wie mir aus Gesprächen mit Paul Randall, der die Prüfung mit entwickelt hat, bewusst wurde: Der MCM ist nicht zuletzt deswegen erschaffen worden, um eine Zertifizierung anbieten zu können, welche sich nicht durch unlautere Methoden leichter beschaffen lässt.

- Siehe die Inflation von MCSE’s (dem alten Microsoft Certified System Engineer) aber letztlich auch von MCTS und MCITP, erzeugt durch Boot Camp Angebote, wo schnell viel auswendig gelernt wurde, um genau auf die Prüfungsfragen vorbereitet zu sein – oder durch die sogenannten „Braindumps“  – anstelle wirklich praktisches Wissen zu erlangen, wofür es keine Abkürzungen gibt, sondern Jahrelange Erfahrung. Darunter haben die Zertifizierungen so gelitten, das ein bloßes Zertifikat heute doch eher wenig bedeutet, bis man herausgefunden hat, was der Bewerber wirklich kann.

Die Prüfungen zum MCM sind genau deswegen zum einen so teuer und komplex, um die Weitergabe von Prüfungsinterna zu verhindern, und zum anderen eben auch so aufgebaut, das man sie nur mit echter Praxiserfahrung bestehen kann. - Und wenn diese Gewissheit, auf geprüfte praktische Erfahrung im Lösen von komplexen Problemen verweisen zu können kein guter Grund sind, dies seinen Kunden zu erklären.. :-)

- Es ist eben nicht als Prüfung gedacht, an welcher man sich austesten kann und sollte, um zu üben, sondern nach 2 spätestens Versuchen sollte sie zu bestehen sein – ansonsten braucht man vielleicht einfach noch ein paar Jährchen und komplexere Aufgaben („O-Ton“). Deswegen auch die verhältnismäßig langen Fristen für ein Retake. - In letzter Zeit sind auch diese Fristen von 3 Monaten auf 30 Tage herabgesetzt worden, was das mehrfache Wiederholen nach Fehlversuchen natürlich wesentlich vereinfacht. Ich persönlich stehe dem eher kritisch gegenüber, aber natürlich ist eine absolute Nischenzertifizierung auch nicht erstrebenswert.

Das „sich abheben“ ist eher ein Side-Effekt. Entscheidender ist der Nachweis/Beweis, den die bisherigen Zertifizierungen leider nicht erfüllen konnten.

(Hierin ist eine versteckte Aufforderung zum Handeln zu sehen.. :-))

9) 7% - Unrealistische Prüfungsthemen

- ich nehme mal an hiermit ist eher Punkt 3 oder Punkt 5 gemeint. („Zu breites Know-How erforderlich“, „Kein Anwendungsbedarf für das erforderliche Know-How“)
Ich kann jedenfalls versichern, dass sämtliche Aufgaben sehr wohl praxisrelevant sind. Mehr ins Detail möchte ich hier nicht gehen, bevor ich mich Verplappere ;-)
- Aber wenn jemand der für das MCM Programm das hier lesen sollte: Es dürfte auch noch ein Stück mehr sein, sowohl Breite, als auch durchaus Komplexität :-D

10) 2% - Leider (noch) nicht bestanden (Alles anonym :-) )

-  Immerhin einer der Stimmabgebenden hat sich die Prüfung auch selber angesehen. Ich hoffe, es fühlen sich bald noch weitere dazu ermutigt.

An dieser Stelle nochmal vielen Dank an alle Teilnehmer der Umfrage.

Hier geht es zu einer kleinen Diskussion, die sich zu dem Poll bei XING entwickelt hat. (Dieser Link ist jedoch nicht öffentlich. Dafür ist eine Xing- sowie Gruppenmitgliedschaft erforderlich.):

www.xing.com/net/pri23e6c8x/mcertified/fragen-und-antworten-q-a-139524/umfrage-zur-zertifizierung-als-microsoft-certified-master-solutions-master-44173596/

Auf sqlpodcast.de/index.php/2013/05/24/003-microsoft-certified-master/ wurde kürzlich auch ein Interview veröffentlicht, in welchem ich persönlich auf einige Aspekte der Zertifizierung zum MCM eingehe.

  • Inhalte:
    Microsoft-Zertifizierungen und Lernangebot
    Warum Zertifizierungen Sinn machen – und wann für wen oder für wen auch nicht
    Was den MCM die Prüfung zum MCM von den anderen „Breitenzertifizierungen“ unterscheidet
    Das Maestro-Programm (Das Gegenstück zum MCM für die BI-Suite des SQL Server) und seine ungewisse Zukunft.

Ein weiteres Interview mit mir, durchgeführt im März 2013 auf den Frankfurter Datenbanktagen, möchte ich meinen Lesern auch nicht vorenthalten: www.frankfurter-datenbanktage.de/index.php/interview-mit-andreas-wolter

Zum Schluss möchte ich noch festhalten, das wir als SQL Server Spezialisten, die Vorteile unserer Community, speziell der PASS (www.sqlpass.de) gar nicht genug betonen kann. Damit stehen wir unter allen Produktgruppen bei Microsoft wirklich stark heraus.

 


UPDATE 25.8.2013
Ich möchte an dieser Stelle auf einen sehr interessanten Thread auf dem Blog des italienischen Kollegen Marco Russo verweisen.
sqlblog.com/blogs/marco_russo/archive/2013/08/22/ssas-maestro-and-mcm-bi-mca-bi-mcsm-bi-make-your-voice-heard-ssas-mcsm-sqlserver.aspx
Insbesondere die Kommentare von Robert Davis (dem ehemaligen Leiter des MCM Programms) und Jen Underwood (die das SSAS Maestro Programm unter sich hatte) geben tiefe Einblicke in die Komplexität und den Support des MCSM und BI Maestro Programms.


Schöne Grüße und vielleicht sieht man sich auf einer der nächsten Konferenzen.


Als da wären:
SQLSaturday, St. Augustin, D 13.7.2013 inkl. PreCon am 12.7.,
SQLCon, Mainz, D 24.9.2013,
PASS Summit, Charlotte, USA 15.-18-10-2013
PASS Camp, Darmstadt, D 3.-5-12.2013


Andreas

MCM SQL Server

1 2 3