Du darfst nicht rein

Kostensenkung geht eigentlich überall gleich. Man standardisiert die Abläufe und reduziert die Ausnahmen. Je mehr Ausnahmen und Spezialfälle, desto aufwendiger und teurer. Trotzdem gibt’s in der IT den ungebrochenen Trend zum BYOD (eigenes Gerät im Unternehmen nutzen) bei gleichzeitigen Fragezeichen warum die IT eigentlich soviel kostet und manchmal so kompliziert ist. Als Benutzer einer Lösung möchte ich von überall her zugreifen und alles tun können. Immer mehr gibt’s auch „Schatten IT„. Wenn die IT was ablehnt mache ich selber was um ein unmittelbares Problem zu lösen. Keine Filesharing-Möglichkeit mit externen? Dropbox und gut ist. Mal unabhängig davon, dass Schatten IT nicht wirklich verwaltet wird, sind solche selber genutzten Cloud-Dienst leider auch oft das Einfallstor für Viren und Ransomware. Wenn also eine interne Lösung für ein bestimmtes Thema fehlt, dann muss man sich als Nutzer einbringen und schauen dass auch die Finanzierung sicher gestellt wird. Weil wenn man BYOD unterstützen will braucht es immer auch das Budget dazu.

Heute geht es aber nicht um Kosten sondern um ‚Conditional Access‘. Das ist Teil von Microsoft Azure und soll eben helfen, die Zugriffe zu definieren. Ein wichtiges neues Marketing-Schlagwort dabei ist ‚Zero Trust‚. Jede Verbindung wird als unsicher angeschaut bis das Gegenteil bewiesen ist.

Wer? Was? Woher? Womit?

Wann kommt ‚Conditional Access‚ zum Einsatz? Bei Zugriff auf Azure und M365 Anwendungen sowie allen Apps die damit zu tun haben und zwar erst NACH der Anmeldung. Man weiss zu diesem Zeitpunkt bereits WER den Zugriff möchte. Jetzt wird noch festgelegt WAS für eine Art Zugriff man erlauben möchte. Das hat nicht direkt mit klassicher Berechtigung zu tun. Dort erhält man z.B. einen Zugriff auf Finanz-Daten wenn man in der FINANZ Gruppe ist. ‚Conditional Access‚ kann auch Gruppen nutzen aber geht weit darüber hinaus.

  • Was kommt für ein Gerät daher? Ist es z.B. ein Windows System oder Linux?
  • Ist es ein bekanntes Gerät, dass vom Unternehmen verwaltet wird oder ein unbekanntes?
  • Von woher erfolgt der Zugriff? Von welchen Standorten aus darf ich zugreifen?
  • Wie greife ich zu? Nutze ich eine App? Wenn ja welche? Ist es ein Zugriff über den Web-Browser?
  • Bin ich in den richtigen Zugriffsgruppen? Habe ich Adminrechte oder nicht?

Je nachdem was bei der Prüfung des Gerätes festgestellt wird, kann definiert werden ob:

  • Der Zugriff abgelehnt wird
  • Der Zugriff gewährt wird
  • Der Zugriff gewährt wird aber mit zusätzlichen Auflagen (MFA)
Kein Zugriff

Was sind den nun typische Anwendungsbeispiele:

  • Der Zugriff auf Finanzdaten soll aus bestimmten Ländern nicht erlaubt werden
  • Administratoren sollen bei jedem Zugriff einen zweiten Faktor für die Anmeldung nutzen (MFA)
  • Ein Zugriff soll nur über zugelassene und geprüfte Apps erfolgen

Conditional Access ist nicht für jeden das richtige, denn erstens mal kostet es ja nach Verwendung und benötigt Azure Lizenzen (P1 / P2). Für kleine Unternehmen gibt es ‚Security Defaults‘ und ‚MFA‘. Es dürfte daher eher an grössere Unternehmen gerichtet sein, die eben BYOD nur kontrolliert zulassen wollen. Zwar ist es sehr einfach ‚Conditional Access Policies‘ aufzusetzen aber wen es nicht richtig gemacht wird, kann ich damit auch viel Unheil anrichten.

Falsch eingerichtetes ‚Conditional Acess‘?

In diesem kurzen aber spannenden Video wird es noch genauer erklärt:

https://www.microsoft.com/en-us/videoplayer/embed/RE4MwZs?postJsllMsg=true

  • Diese Website unterstützen? Hier gibt’s das T-Shirt

M365 Sicherheit erhöhen mit MFA

Was ist M365?

M365 ist der Ueberbegriff von Microsoft für die Office Cloud-Dienste inklusive e-mail, OneDrive, Teams und vieles mehr. Und das alles erreichbar mit nur einem Passwort. Und zwar von überall auf der Welt. Ganz schön mutig! Interessanterweise empfiehlt sogar Microsoft die Passwörter nicht mehr so oft zu ändern, denn oft ändern heisst vergessen oder aufschreiben. Also besser ein sicheres Passwort, dass wenig geändert wird. Aber noch besser ist ein Passwort, dass ich gar nicht kenne und darum auch nicht weitergeben kann.

Was ist MFA?

Schon mehrfach habe ich bei ClickCoach das Thema MFA (Multi-Faktor Authentifizierung) angesprochen. Du verwendest einen zweiten Faktor neben dem Passwort um sicher zu stellen, dass die eigene Identität im Netz nicht einfach so gestohlen und weiter verwendet werden kann. Das Mobiltelefon bietet sich an, denn das hat heute fast jeder. Damit keiner ausgeschlossen wird können aber auch Telefonanrufe als zweite Methode hinterlegt werden.

Warum wird diese einfache Massnahme (MFA) nicht viel mehr angewendet?

„Historisch bedingt“ wird oft als Argument vorgebracht warum wichtige Dienste über das Internet heute immer noch mit einer einfachen Kombination aus Benutzername und Passwort von überall auf der Welt erreicht werden können. Warum ist es manchmal so schwierig die Sicherheit in Unternehmen (oder auch zu Hause) zu erhöhen? Ja, Passwörter sind bequem und wir haben uns daran gewöhnt. Aber was ist noch bequemer als Passwörter? Keine Passwörter!

Passwörter werden oft auf Postit Zellte geschrieben….

Wie nutze ich M365 mit MFA auf einfache Art?

Wie immer gehe ich vom einfachsten Fall aus, das heisst die Identität wird vollständig in der Cloud verwaltet. Es gibt diverse Spielarten bei denen ich die Authentisierung nicht in der Cloud sondern bei mir in der Firma („On Premise“) durchführe. Auf die Unterschiede gehe ich in späteren Beiträgen noch ein.

Bei neuen ‚Tenants‘, d.h. wenn ich mich ganz neu registriere bei M365 gibt es die Möglichkeit „Security Defaults“ zu nutzen. Das würde ich auf jeden Fall empfehlen, denn dann ist MFA einfach von Anfang an da und es muss nicht später dazu geschaltet werden. Die Security Defaults lassen sich auch im Nachhinein aktivieren und zwar hier:

  • https://portal.azure.com
  • Anmelden mit dem Admin Konto für deinen Tenant (es braucht ‚Global Admin‘ oder vergleichbare Rechte)
  • „Azure Active Directory“ anklicken
  • Dann ‚Properties‘ wählen
  • Dann ganz unten im Menü auf den Link ‚Manage Security Defaults‘ klicken
  • Jetzt lassen sich die ‚Security Defaults‘ ein- oder ausschalten.
  • Die Security Defaults beinhalten unter anderem MFA für alle M365 User

Was wären denn Gründe die Security Defaults nicht zu nutzen?

Die Sicherheit kann noch detaillierter konfiguriert werden mit zusätzlichen Kriterien. Das nennt sich ‚Conditional Access‘ und ist zu den Security Defaults nicht kompatibel. In diesem Fall müsste ich die Defaults zuerst ausschalten.

Die genauen Unterschiede und Details werden hier erklärt:

Security Defaults in Azure AD

Achtung: Die ‚Security Defaults‘ sind bei fast allen Abos schon kostenlos dabei während „Conditional Access“ mit Mehrkosten (Azure AD P1 Lizenz oder vergleichbar) verbunden ist.

Im nächsten Beitrag schreibe ich weiteres zu „Conditional Access“. Einen Vorgeschmack darauf findet ihr schon mal hier:

Was ist Conditional Access (Microsoft)

MFA und M365 – Better together

Aber wieso brauche ich jetzt immer noch ein Passwort?

Ihr habt’s gemerkt. MFA ersetzt das Passwort bei dieser Konfiguration gar nicht sondern ergänzt es. Tatsächlich kann es aber auch so konfiguriert werden, dass das Passwort nicht eingegeben werden muss. Wenn ich eine M365 Website öffne, schickt Microsoft eine Anfrage an mein Mobiltelefon und ich muss die Anmeldung nur noch in der App bestätigen. Wie das geht werde ich in einem späteren Beitrag erklären.

Habt ihr Fragen zu MFA oder M365 oder eigene Erfahrungen damit gemacht? Schreibt mir über den Vorschlaghammer. Das T-Shirt zur Website sollte natürlich auch nicht unerwähnt bleiben.

Schlaue Säugetiere nutzen MFA

Wenn’s irgendwo weh tut

MFA ist wie Wallwurzsalbe. Es hilft in den meisten Fällen, aber nicht immer. Und es stinkt manchmal gewaltig.

Wie ist das gemeint? Wenn es für die Anmeldung einen zweiten Faktor (MFA) wie z.B. ein SMS Code oder eine Bestätigung durch eine App auf dem Telefon braucht, dann kann eine Person, die per Zufall oder mit Absicht an Dein Passwort gelangt ist (z.B. über eine hinterhältige Phishing Attacke) nichts damit anfangen. Nach Eingabe des geklauten Passwortes bleibt der Angreifer erfolglos weil er die Anmeldung nicht bestätigen kann. MFA hilft.

Ueberfluss führt zu Verdruss

Jetzt kann MFA aber auch mühsam sein. Stell Dir vor, Du müsstest Dich jeden morgen im Büro mit Wallwurzsalbe einstreichen bevor Du Dich am System anmelden darfst. Kein schöner Gedanke, zumindest für die meisten von uns. Mit der Zeit würdest Du Wallwurz-Salbe so richtig hassen und alles tun um die Prozedur zu umgehen. Sicherheit, die der Benutzer nicht akzeptiert weil zu umständlich ist falsche Sicherheit.

Hmmmm…. Wäre es denn nicht möglich den zweiten Faktor wegzulassen wenn ich mich von einem bekannten Ort anmelde? Gerade Büro-Standorte haben ja oft definierte IP Adressen, die sich nicht gross ändern. Die gute Nachricht: Es geht, zumindest mit Office 365. Das nennt sich ‚Trusted Locations‘.

Vo genau hier möchte ich mich sorgendrei anmelden, bitte!

Was sind die Voraussetzungen für MFA mit Trusted Locations?

  • Ich gehe davon aus, dass Du Adminrechte (Global Admin) auf Deinen eigenen M365 Account (Tenant) hast. Falls der Tenant nicht durch Dich verwaltet wird, kannst Du den Admin auf die Möglichkeit der ‚Trusted Locations‘ hinweisen und ihn bitten das einzurichten.
  • MFA kan pro User eingeschaltet werden oder für alle. Ich gehe im Beispiel vom ersten Fall aus.
  • Um ‚Trusted Locations‘ zu nutzen muss ich als erstes eine Liste der externen IP Adressen machen, die ich im Einsatz habe. Tipp: Wenn’s keine Dokumentation gibt helfen Websiten wie whatismyip.com weiter.

Wie gehe ich vor um MFA mit Trusted Locations einzurichten?

  • Ins Office 365 Admin Center einloggen (admin.microsoft.com)
  • Auf ‚Users‘ und dann ‚Active Users‘
  • Den User für den MFA eingeschaltet werden soll auswählen
  • Unten rechts bei den Eigenschaften auf ‚Manage Multi-Factor Authentication‘
  • Im nächsten Bildschirm, den User nochmals auswählen und falls MFA noch nicht aktiv ist ‚Enable‘
  • Der neu für MFA aktivierte User muss sich beim nächsten Anmelden einmalig für MFA registrieren. Das heisst er muss den zweiten Faktor einrichten, die Mobilnummer angeben etc.
  • Unter ‚Service Settings‘ kann auf der gleichen Seite für MFA im allgemeinen festgelegt werden was als zweiter Faktor zum Einsatz kommen kann. Möglich sind unter anderem:
    • Automatisierter Rückruf auf die registrierte Nummer
    • SMS Nachricht mit Code an die registrierte Nummer
    • Mobile App Bestätigung (mit der Microsoft Authenticator App)
    • Hardware Token
  • Ebenfalls auf dieser Seite findet sich die Einstellung ‚Trusted IPs‘ sowie die Option ‚Skip MFA for requests from…‘. Hier muss die externe IP Deines Standortes eingetragen sein, damit Du nicht jedes Mal Deine Anmeldung bestätigen musst.

Was ist der Effekt von Trusted Locations?

  • Auf Deinem Haupt-PC im Büro musst Du wie bisher nur Benutzername und Passwort eingeben. Evtl. nicht mal das, je nachdem wie die Anmeldung für M365 konfiguriert ist und welche Methode verwendet wird (SSO).
  • Auf allen anderen Geräten, im Internet-Café, auf dem Laptop in den Ferien, auf dem Hausboot wird ein zweiter Faktor verlangt und ohne kann nicht angemeldet werden.
  • Das beinhaltet dann auch den Hacker in Russland oder den Phishing Unhold aus Fernost. Mit Deinem Passwort kann er nichts anfangen.
Wenn’s irgendwo weh tut

Kann ich noch mehr tun?

  • Die beschriebene Methode ist ‚Quick and Dirty‘ und skaliert nicht wirklich. Hast Du mehrere Standorte oder komplexere Anforderungen gibt es die sogenannten ‚Conditional Access Policies‘ bei denen Du viel genauer festlegen kannst wann MFA zur Anwendung kommt. An welchen Standorten, mit welchen Geräten etc.
  • Zusätzlich lassen sich noch Sicherheitsoptionen nutzen, die zum Beispiel automatisch ein Neusetzen des Passwortes verlangen, wenn ein Loginversuch von einem nicht bekannten Ort festgestellt wird. Darüber ein andermal mehr.

Es bleibt mir euch eine geruhsame Weihnachszeit zu wünschen und vielleicht liegt ja beim einen oder anderen ein M365 Abo unter dem Baum. Auch eine Expresslieferung des bekannten und beliebten ClickCoach T-Shirts würde noch zum Festtag unter dem Baum liegen. Oder dann halt eine Tube Wallwurz-Salbe.

Weihnachten rollt an

Passwortsalat fertig

Ich hatte im letzten Beitrag darüber gesprochen, wie wir zentral verwaltete Identitäten wie Azure AD nutzen können um verschiedene Cloud-Services zu integrieren um uns so sicherer im Internet zu bewegen.

Nehmen wir für dieses Beispiel zwei bekannte und beliebte Cloud Dienste:

  • M365 (für Mail, Office etc.)
  • Zoom (für Video Conferencing etc.)

Was ist der bisherige Ansatz?

Bunt zussammengewürfelt – ein bisschen Login überall

Zwei separate Logins (oder drei, oder vier, oder fünf…). Ein Salat eben.

  • Will ich Mail lesen, logge ich mich bei M365 ein mit meinem Microsoft Login (Azure AD).
  • Will ich Zoom Konferenzen machen, logge ich mich bei Zoom ein mit meinem Zoom Login.
  • Wenn ich das eine oder andere Passwort vergesse, nutze ich dann halt die Option ‚Passwort Reset‘. Aber es bleibt schön getrennt. Geht gut. Aber: Skaliert nicht wirklich weil ich pro Dienst ein Passwort habe. Mit unterschiedlichen Sicherheits-Standards. Es kann auch gut sein, dass ein User überall das gleiche Passwort einträgt damit er’s einfacher hat. Wir wissen es nicht. Die Nutzung des gleichen Passwortes für verschiedene dezentrale Systeme ist auf jeden Fall ein sicherheitstechnischer Albtraum.

Was wollen wir nun errreichen?

  • Neu möchten wir, dass die M365 / Azure AD Identität auch gleich den Zugriff auf Zoom gewährt.
  • Zoom prüft jetzt nur noch ob die Identität von M365 auch vorhanden und berechtigt ist.
  • Sobald sich der User bei Azure angemeldet hat (und dort in der richtigen Rollengruppe ist) geht es zurück zu Zoom. Für den Nutzer ist das komplett transparent.
  • Wir trennen Authentisierung (M365 / Azure AD) von Autorisierung (Zoom).
  • M365 / Azure AD ist der Identitätsanbieter (Identity Provider)
  • Zoom ist ein Dienstanbieter (Service Provider)
Aus x mach 1 – SSO für Cloud Dienste

Was ist jetzt eigentlich der grosse Vorteil an diesem Ansatz?

  • Die beiden Firmen (in diesem Fall Zoom und Microsoft) müssen gar nichts sonst miteinander zu tun haben. Es müssen nur die entsprechenden Standards (SAML2.0) unterstützt werden.
  • Wenn ich im Azure AD die Zwei-Faktor Authentisierung aktiviert habe, gilt die automatisch für alle eingebunden Dienste. Ein einziger Sicherheits-Standard mit zentraler Verwaltung statt verteilte Systeme mit unbekannten Standards!
  • Wenn ich Passwort Self-Service für Azure AD aufgesetzt habe, kann ich es auch für die eingebundenen Dienste nutzen, denn es gibt ja nur noch ein Passwort.

Die groben Schritte der Integration sind folgende:

  • Auf Azure Portal anmelden
  • Dann zu ‚Azure Active Directory‘ und ‚Enterprise Applications‘ wechseln
  • Auf ‚New Application‘ klicken
  • Jetzt öffnet sich ein Suchfenster. Wenn eine Applikation hier zu finden ist, dann kann sie für die Anmeldung mit Azure AD konfiguriert werden. Die Liste ist bereits sehr umfangreich.
Adobe, Dropbox, Webex und noch viel mehr – alles lässt isch für SSO integrieren
  • Wir suchen nach ‚Zoom‘, wählen es aus und klicken ‚Create‘. Nach der Erstellung können die Details des Dienstes konfiguriert werden.
  • Ein wichtiger Punkt ist die Zuteilung der Benutzer. Es müssen ja nicht alle Zoom nutzen. Ueber ‚Users and Groups‘ regeln wir, welche User aus Azure AD ins Zoom dürfen und noch wichtiger, mit welcher Rolle. Azure AD wird beim Anmelden diese Information an Zoom weitergeben.
  • Tipp: Pro unterschiedlicher Rolle eine Gruppe machen. Die kostenlose Basisrolle kann breit gestreut werden, die kostenpflichtigen Rollen müssen beantragt werden.
  • Als nächstes muss die Single-Sign On Methode ausgewählt und konfiguriert werden. Wir wählen SAML2.0, das ist quasi der Gold Standard denn alle unterstützen sollten.
  • Die im Azure Portal unter Single Sign-On aufgeführten Details müssen nun im Zoom Admin Portal unter ‚Advanced‘ einmalig unter ‚SSO‘ ergänzt werden (Zoom bietet SSO mit Azure ‚kostenlos‘ ab Firmen mit 10 zahlenden Usern an…)
Einmalig im Zoom Portal einstellen als Admin – Single-SignOn

Nach der Aktivierung werden die Zoom User für die Anmeldung auf die Azure AD Seite umgeleitet. Es braucht kein separates Zoom Passwort mehr!

Die gleiche Methode kann übrigens auch genutzt werden um eigene Applikationen anzubinden, die nicht zwingend in der Cloud stehen müssen. Dazu mehr in einem späteren Beitrag.

  • Hat Dir der Beitrag gefallen? Unterstütze den Blog durch den Kauf des genialen T-Shirts.
  • Du hast Fragen an den Coach? Ideen für neue Beiträge? Nutze den Hammer um Dich mitzuteilen.

Mein Schatzzzzz….

Wir haben alle viele Passwörter und Usernamen für jeden Sinn oder Unsinn in der Cloud. Wirklich alle Anbieter von Apps wollen, dass Du ein Login erstellst am liebsten natürlich ein kompliziertes mit Buchstaben und Zahlen, dass nicht leicht zu erraten ist. Wenn Du Glück hast, kannst Du Dich sogar mit der eigenen e-mail Adresse anmelden. Dazu kommt nun der verbreitete Sicherheits-Trend auch für simple Dienste bereits 2-Faktor Authentisierung zu hinterlegen. Was bedeutet das praktisch für eine Privatperson, die sich in der Cloud bewegt? Du musst Dich mehrmals am Tag irgendwo anmelden. Ohne eine Passwortdatenbank wie Lastpass geht es nicht, denn niemand kann sich so viele Passwörter merken. Natürlich könnte man geneigt sein mit Mustern zu arbeiten oder immer das gleiche Passwort zu benutzen aber das ist ein sicherheitstechnischer Totalschaden.

Wäre es nicht schön man hätte ein Login, frei nach Tolkien? Ein Passwort um sie alle zu binden? Mein Schatzzz…

Welcher Schlüssel passt zu welchem Schloss?

Wir unterscheiden zwischen:

  • Authentisierung (wer bin ich?)
  • Authorisierung (was darf ich?)

Die Identitäten können dabei getrennt von den Berechtigungen verwaltet werden. Warum ist das ein Vorteil? Hacker greifen immer das schwächste Glied in der Kette an und versuchen dann von dort aus auf weitere „Assets“ zuzugreifen. Verwende ich das gleiche Passwort bei der Website des Schachclubs wie bei Amazon muss der Hacker nur die Login Datenbank Deinens Schachclubs angreifen und er hat das Passwort um in Deinem Namen Online Käufe zu tätigen.

Wenn wir nun aber eine zentrale Stelle haben, die professionell Identitäten verwaltet und schützt, dann ist es besser dieser Stelle die Verwaltung der Identitäten zu überlassen. Der Hacker muss immer die gleiche Stelle angreifen, egal ob er den Schachclub oder den Online Shop im Visier hat.

Eine Identiät um sie alle zu binden?

Wichtig ist, dass für diese zentrale Identität dann auch wirklich ein sicheres Passwort und noch wichtiger 2-Faktor Authentisierung verwendet wird. Um das besser zu verstehen, stellen wir uns folgende Frage: Wie weiss ich als Internet Nutzer, dass ein gehacktes Passwort von mir am anderen Ende der Welt gerade für einen nicht autorisierten Login genutzt wurde? Ohne 2-Faktor Authentisierung -> GAR NICHT.

Das Azure Login ist bereits die zentrale Identität für alle Microsoft Services (Azure, M365…) kann aber auch für weitere Dienste wie Zoom, Dropbox etc. genutzt werden. Im nächsten Beitrag zeige ich konkret auf wie die Microsoft Azure Identität als Login für andere Internet Dienste genutzt werden kann.

Richtig schützen, statt Passwortsalat
  • Verwende den Der Vorschlagshammer um eigene Ideen einzubringen
  • Kauf Dir das T-Shirt und wir investieren jeden Franken wieder in die Website 🙂

Windows 11 Testfahrer gesucht

Es war an der Ignite 2015 als Microsoft Entwickler das geflügelte Wort vom letzten Windows erstmals ins Gespräch brachten. Gemeint war natürlich Windows 10, das damals kurz vor dem Release stand. Es hat immerhin 6 Jahre gedauert bis nun (Ueberraschung!) doch wieder ein „neues“ Windows auf den Markt gekommen ist und zwar kurz vor dem Start des Weinachtsgeschäftes. Dass für das neue Windows 11 die Hardwareanforderungen wieder in die Höhe geschraubt wurden, wird sicher die PC Verkäufe ankurbeln, so zumindest die Hoffnung in Redmond.

Fuss auf’s Gas: Windows 11 startet durch

Nun ist aber die berechtige Frage: Lohnt sich das überhaupt? Das lässt sich nur schwer beurteilen, denn dazu müsste man sich mal jenseits des Hypes für eine halbe Stunde oder mehr an ein Windows 11 System setzen können um sich selber ein Urteil zu bilden.

Und genau das werden wir heute tun! Wie? Mit Microsoft Azure. Das ist das Cloud Angebot der Microsoft. Und das beste: Das wird nichts kosten! Danach hast Du die Entscheidungsgrundlage ob Windows 11 was für Dich ist oder eben doch nicht.

Schritt 1 – Ein Azure Konto eröffnen

  • Oeffne die Seite https://portal.azure.com
  • Wenn Du bereits ein M365 (Office 365) Konto hast, kannst Du Dich direkt anmelden (sonst ein neues Konto erstellen)
  • Wenn Du Dich noch nie bei Azure angemeldet hast, bekommst Du 200 Dollar Guthaben um eine Testfahrt zu machen. Das Guthaben ist 30 Tage gültig, danach kannst Du bei Bedarf auf ein „Pay-As-You-Go“ Abo wechseln.
30 Tage kostenlos
Das Testabo kann jederzeit umgewandelt werden

Schritt 2 – Eine „Windows 11 Virtual Machine“ erstellen

  • Nach dem Du Dein kostenlosen Konto bekommen hast, kannst Du gleich loslegen und eine Window 11 VM erstellen über „Create a resource“
Klick auf ‚Create a resource“ und los geht’s
  • In der nachfolgenden Freitextsuche nach Windows 11 suchen und auswählen
  • Am besten ist es ‚Start with a pre-set configuration‘ zu wählen, dann werden viele Voreinstellungen bereits für Dich gewählt
  • Das gewählte System hat einen Einfluss auf die Kosten (im Moment ja noch kostenlos…) aber für unsere Zwecke genügt ‚Dev/Test‘, da wir ja einfach mal einen Blick auf das neue Windows 11 GUI erhaschen wollen
  • Es werden nun viele Dinge abgefragt aber für Azure macht für Dich die richtigen Voreinstellungen die Du nur bestätigen musst, bist auf einige Ausnahmen
  • Was muss zwingend selber bestimmt werden?
    • Der NAME des Systems
    • Der BENUTZERNAME des Administrators
    • Ein sicheres PASSWORT für die Verbindung
  • Ebenfalls wichtig, ist es den Port 3389 für RDP Verbindungen von extern zu erlauben, sonst kannst Du später nicht mit dem System verbinden. Das passiert aber automatisch, auch wenn eine Sicherheitswarnung darauf hinweist, dass dies nur Testwecke verwendet werden soll. Und testen ist ja das was Du tun möchtest.
  • Zuletzt auf ‚Create‘ klicken und dann dauert’s ein paar Minuten bis das System in Azure fertig aufgesetzt ist.

Schritt 3 – Verbinden und testen

  • Du kannst entweder direkt nach der Erstellung mit ‚Go to Resource‘ zur VM gehen oder im Azure Menü auf ‚VM‘ gehen und dort Dein neues System anklicken
  • RDP (Remote Desktop Protocol) ist ein Standardprotokoll von Windows, dass auf jedem Windows PC läuft. Unter Linux könntest Du z.B. ‚Remmina‘ als RDP Client verwenden. Bist Du mit Windows unterwegs dann wähle:
    • ‚Connect‘
    • ‚RDP‘
    • Download ‚RDP‘ file
  • Durch Doppelklicken auf das heruntergeladene RDP File wird direkt eine Verbindung zum Azure Datacenter und zu Deinem Test-System aufgebaut.
  • Melde Dich mit den bei der Erstellung angegeben Anmeldedaten (Benutzername des Adminusers, Passwort des Adminusers) an
Windows 11 – das Windows nach dem letzten Windows

Fazit

Du bist jetzt auf Deinem persönlichen Windows 11 Testsystem in einem entfernten Azure Datacenter irgendwo auf der Welt eingeloggt und kannst Dir das GUI und die Features ansehen. Bitte alle Microsoft Lizenzvorgaben beachten und die VM nach dem Test wieder löschen.

Was sind Deine Eindrücke vom neuen System? Teile Dein Feedback in der Kommentarfunktion oder über den Vorschlaghammer

Gedanken zum Tausendsassa

Man muss nicht immer alles selber machen

Ein Tausendsassa ist ein Universalgenie, ein Alleskönner. In einer perfekten Welt wären wir alle Tausendsassas und hätten unbegrenzte Zeit und Möglichkeiten. Wenn wir ein Möbel brauchen, gehen wir mit der Axt in den Wald, fällen einen stattlichen Baum und schreinern daraus einen edlen Stuhl oder Tisch. Wahrscheinlicher ist aber, dass wir zu IKEA gehen und dort ein halbfertiges Produkt kaufen, dass wir dann selber zusammenbauen damit es dann hoffentlich ungefähr so aussieht wie im Prospekt. Oder wir beauftragen einen Handwerker unser Traummöbel zu schreinern und fixfertig zur Haustür zu liefern.

Ein Tausendsassa bei der Arbeit

Ebenso verhält es sich bei der IT. Schauen wir uns das ganze am Beispiel einer Website an. Wir können einen Rechner aus Einzelteilen zusammen bauen unter unseren Schreibtisch stellen, selber das Betriebsystem installieren und einen Webserver und darauf eine Website betreiben. Was haben der Möbelbau und IT gemeinsam? Es braucht viel Zeit und Knowhow um alles selber zu machen. Wenn man das hat, kann man teilweise Kosten sparen. Es kommt aber der Punkt wo selber machen teurer ist als delegieren, vor allem wenn man anfängt die eigene Arbeitszeit mitzurechnen. Und der Tag hat bekanntlich nur 24 Stunden. Es gibt aber wie beim Möbelbau verschiedene Abstufungen von selber machen bis komplett auslagern.

Cloud Dienste können Zeit und Nerven sparen

IaaS – Infrastructure as a Service

Du brauchst keine eigenen Server zu kaufen und kein Rechenzentrum zu betreiben sondern nutzt nur die fixfertig zur Verfügung gestellte Infrastruktur und installierst dort deine eigenen virtuellen Rechner. Bezahlt wird nur was aktiv genutzt wird. Für das Installieren von Updates etc. ist man aber weiterhin selber verantwortlich.

PaaS – Platform as a Service

Du möchtest dich nicht um Server Betriebsysteme / Datenbanken etc. kümmern sondern nur deine Applikation programmieren. Du kaufst dir dazu beim Betreiber eine fertige ‚Platform‘, mit Webserver, Datenbank etc. in die du dich nur noch einklinkst. Das im Unterschied zu IaaS wo du die SQL Datenbank noch selber installieren musst. Du bist bei PaaS für die Applikation verantwortlich und nur für die Applikation und kannst dich auf’s Wesentliche konzentrieren. Auch das ist ein ‚Pay-as-you-Go‘ Modell.

SaaS – Software as a Service

Du willst dich um gar nichts kümmern sondern nur eine Standard-Softwarelösung nutzen, die dir alle Funktionen die du brauchst zur Verfügung stellt. Du kannst zwar einige Einstellungen machen aber im Wesentlichen bist du nur ‚Konsument‘ der Software. Bei dieser Lösung kommt in der Regel ein Abomodell zum Tragen.

Gemeinsamkeiten

Alle drei Modelle haben den Vorteil, dass keine Vorinvestitionen getätigt werden müssen und dass die Kapazität je nach Bedarf herauf- und heruntergefahren werden kann. Dein Unternehmen muss expandieren? M365 Lizenzen zuschalten und gut ist. Du machst einen Sonderverkauf in deinem Webshop an Weihnachten und brauchst mehr Rechenleistung? Ein paar Klicks im Azureportal und schon ist das Thema erledigt.

Microsoft Azure und das darauf basierende M365 bieten all diese Optionen, die auch kombiniert werden können.Natürlich hat das alles seinen Preis, den auch Microsoft muss seine Investitionen wieder zurückholen. Aber es dürfte einiges preiswerter sein, alls selber ein Rechenzentrum zu betreiben.

Die Rechenzentren der Cloud Anbieter sind auf der ganzen Welt verteilt

Ressourcen

  • Azure Portal – Ein Testabo ist in wenigen Minuten abgeschlossen. Neuanmeldungen erhalten einen Startkredit, damit alles ohne Kostenfolge ausprobiert werden kann.
  • Preisrechner – Was wäre wenn? Mit wenigen Klicks kann man sich ein Bild davon machen, was es pro Monat kostet einen oder mehrere Systeme in der Cloud zu betreiben.
  • M365 für zu Hause oder M365 für das Büro. Office kaufen ist vorbei, lieber mietet man sich ein und bekommt so auch kostenlos die neuen Versionen.

Weiteres

Gibt es denn auch Nachteile wenn man die Kontrolle teilweise oder ganz an einen Cloud Provider abgibt? Die Entwicklung bei Cloud Lösungen der grossen Anbieter ist extrem dynamisch, laufend kommen neue Anwendungen dazu aber es werden auch Anwendungen oder Features abgekündigt. Als ‚Consumer‘ kann man dann wenig Einfluss nehmen und muss sich dem Hersteller anpassen. Man sollte sich daher auch schon frühzeitig überlegen was zu tun ist ,wenn ein Anbieter seinen Betrieb einstellt oder ein Produkt nicht mehr anbietet. Komme ich noch an meine Daten?

Das ist der erste Teil einer mehrteiligen Serie über Cloud Services. Die weiteren Themen werde ich auf Grund von eurem Feedback wählen.

Was sind eure Fragen zu Cloud Diensten? Meldet euch über den Vorschlagshammer oder schreibt direkt Kommentare zum Beitrag.

Clever mit Smart

Seit einigen Wochen kurve ich von Zeit zu Zeit mit einem (gemieteten) Elektromobil herum. Warum? Weil praktisches Wissen besser ist als jeder theoretische Diskurs und ich mir selber ein Bild darüber machen wollte wie Alltags-tauglich E-Mobile Stand 2021 sind.

Klein aber fein

Es beginnt bei der Wahl des Fahrzeuges. Ich habe mich dabei für den kleinen aber schmucken Smart EQ entschieden weil ich als Stadtmensch ein Fahrzeug benötige, dass überall parkieren kann und keinen grossen Wendekreis hat. Die Reichweite ist absolut zweitrangig. Die Anschaffungskosten mache ich hier auch nicht zum Thema denn diese gleichen sich mit der Zeit an. In einigen europäischen Ländern dürfen in einigen Jahren per Gesetzgeber keine Verbrennungsmotoren für Neuwagen zugelassen werden. Unterdessen gibt es ein e-auto Modell von Dacia zum Schnäppchenpreis.

Apropo Reichweite. Ja, der Smart EQ hat nur eine theoretische Reichweite von ca. 140 km, was für eine Elektroauto eher an der unteren Grenze ist. Danach muss er wieder an die Elektro-Zapfsäule. Viele kaufen sich ja heute ein Hybrid-Fahrzeuge um möglichst unabhängig zu sein. Das verteuert das Auto weil es braucht ja dann zwei Antriebsarten und ist wohl mehr so eine Uebergangslösung bis die Zweifel betreffend Reichweite ausgeräumt sind, bzw. bis das Netz der Elektro-Tankstellen gross genug ist. Das ist so ähnlich wie wenn man eine Docking Station für IPhone mit 5 verschiedenen Steckern kauft. Meistens braucht man nur den einen, aber sicher ist sicher….

Persönlich habe ich mein „Experiment“ mit einer gesunden Portion Skepis gestartet. Zwar kann man zu Hause laden wenn man eine entsprechende Ladestation hat installieren lassen aber was wenn man unterwegs ist? Passen die Stecker der Ladestationen? Findet man genug Ladestationen und am richtigen Ort?

Quo Vadis? Zur Tankstelle für e-Autos.

Diese Befürchtungen stellten sich all unbegründet heraus. Zusammen mit dem Smart erhielt ich einen Chip, der mit allen Ladestationen kompatibel ist. Auf dem Smartphone installierte ich mir die App zur Elektro-Tankstellensuche und dann fährt man einfach hin, steckt das mitgeführte Spezialkabel ein und hält den Chip an die e-Säule. Abbuchung des Betrages direkt ab Kreditkarte. Das Tankstellennetz ist recht dicht und zum Teil an Orten wo man es nicht erwarten würde. Der Stecker scheint zumindest innerhalb Europa standardisiert und passt immer. Praktisch, dass viele Einkaufszentren diese direkt in der Parkgarage zur Verfügung stellen, so dass man während dem Wocheneinkauf das Auto aufladen kann. Freude machen auch die Kosten. Ein Smart ist für wenige Fränkli nach 40 Minuten wieder vollgeladen.

Leider geht die Batterieleistung des Smart stark zurück wenn man die Klima-Anlage oder die Heizung einschaltet. Ich habe darum im Sommer eher die Fenster aufgemacht um Reichweite zu sparen! Vielleicht unnötig aber so kann man sich unnötige Tankfahrten sparen.

Das ist hier übrigens kein klassischer Autotest, sondern in erster Linie wollte ich herausfinden wie praktisch oder unpraktisch ein solches Fahrzeug im Alltag ist. Fahrfreude entsteht auf jeden Fall denn der elektrische Smart ist zügig in der Beschleunigung und durch seine Grösse sehr wendig. Ich spreche hier immer von der 2-Plätzer Version. Hinten passt noch gut der Einkauf rein. Für längere Fahrten (+100 km) über Land oder auf der Autobahn nehme ich weiterhin den Benziner aber in der Stadt mit all den Restriktionen und fahrberuhigten engen Strassen ist der Smart unschlagbar.

Hier geht’s zur Steckdose…

Teilweise werden e-Tankstellen auf den Autobahnen speziell ausgeschildert. Sie sind auch nicht unbedingt auf bestehenden Raststätten zu finden. Folgende Ladestandorte habe ich vorgefunden:

  • Shopping Center.
    • Der Vorteil: Man kann während den Einkaufen aufladen.
  • Bestehende Raststätten auf Autobahnen:
    • Bietet sich an weil man ja dann vielleicht gerne einen Kaffe trinkt während man wartet und die Infrastruktur ist schon da.
  • Autobahnparkplätze ohne bestehende Tankstelle:
    • Seltsam eigentlich weil das e-Tanken ja 40 Minuten oder mehr dauern kann und nur rumsitzen ohne Kaffee oder Sandwich? Man hofft, dass dann auch Kioske oder so eröffnet werden.
  • zu Hause:
    • Am Abend anschliessen, am morgen wegfahren. Kostet aber einmalig mindestens 500 CHF für die Ladestation + Installationskosten des Elektrikers. Muss mit der Gemeinde abgesprochen werden und ist an vielen Orten bewilligungspflichtig.
Sparpotenzial: Hoch

Wie schon erwähnt hat das e-Auto grosse Kostenvorteile:

  • Volltanken: viel günstiger!
  • Motorfahrzeug-Gebühren: Vom Gesetzgeber erlassen! (in Zürich auf jeden Fall)
  • Service: Ein e-auto hat viel weniger Teile, die gewartet werden müssen. Die Service-Intervalle sind höher und es kostet weniger.

Knacknuss dürfte die Batterie sein, denn wenn die defekt ist oder nicht mehr sauber lädt dann kann es zünftig teuer werden. Darum kann es Sinn machen die Batterie entweder zu mieten oder ein Auto mit Batterie-Garantie zu kaufen. Oder gleich das ganze Auto zu mieten mit allem inklusive (Service-Kosten etc.)

An dieser Stelle möchte ich wieder an ein paar Möglichkeiten erinnern wie treue und neue Blogleser mit ClickCoach in Kontakt treten können:

  • Der Vorschlagshammer: Mache Vorschläge für neue Beiträge oder stelle Fragen an den Coach.
  • Merchandising: Kaufe ein exklusives ClickCoach T-Shirt und unterstütze damit unsere vielfältige Berichterstattung. Und sieh dabei noch gut aus!

Natürlich könnt ihr auch direkt Beiträge kommentieren. Was sind eure Erfahrungen mit e-Mobilität?

Der Frosch und die Technik

Vertrauen ist gut, Kontrolle ist ok aber nicht übertreiben

Technik sollte in erstere Line dazu da sein, den Alltag der Menschen zu verbessern und zu vereinfachen. Immer mehr wird Technik aber zur Kontrolle und Ueberwachung eingesetzt.

Der ElekTrick: Früher undenkbar aber heute Standard

Technik verändert die Welt immer auf die eine oder andere Weise. Teils bewusst und teils unbewusst. Unbewusst für die, die mit der Technik aufgewachsen sind und sich keine Welt ohne bestimmte Errungenschaften vorstellen können. Bewusst für diejenigen, die noch die „gute alte Zeit“ (oder wie immer man das nennen will) erlebt haben. Wir kennen das auch aus Filmklassikern wie „Back to the Future“ (1985) oder „Hot Tub Timemachine“ (2010) die das Prinzip in die Extreme treiben. Wenn sich Michael J. Fox eine „Pepsi ohne“ bestellt, weiss niemand aus den 50ern was das ist. Wenn die Zeitreisenden in „Hot Tub“ sich Online verabreden wollen treffen sie nur auf fragende Gesichter…. Im neu verfilmten „Catweazle“ (2021) macht ein Zauberer aus dem Mittelalter den ElekTrick und es ist bizarr und darum auch witzig. Wie haben die Menschen überhaupt ohne Strom gelebt? Unvorstellbar!

Zeirreisen, ein ewiger Menschheits-Traum?

Dabei muss man gar nicht so weit zurückgehen um Kulturwandel durch Technik zu verstehen. Stellen wir uns vor, Corona wäre ca. 1980 ausgebrochen. Eine Diskussion über digitale Zertifikate auf dem Handy hätte sich erübrigt weil nicht realisierbar. Die aktuellen Ansteckungszahlen wären zudem nicht täglich veröffentlicht worden, da Computer und Handys damals noch nicht so allgegenwärtig waren. Um zu verstehen was das bedeutet, schauen wir uns die Tschernobyl- Reaktorkatastrophe an. Es gelang der UdSSR anfänglich das ganze unter dem Deckel zu halten, solange bis der Wind die Radioaktivität in den Westen trug. Oder wenn Krieg im Irak ausbricht verfolgt man das heute nicht mehr auf CNN sondern auf Instragram etc. in Echtzeit. Bilder aus Afghanistan errreichen uns jetzt ohne Zeitverzögerung.

Wenn nun vielleicht auch bald in der Schweiz digitale Zertifikate für Restaurantbesuche eingeführt werden, tönt das vielleicht auf den ersten Blick sehr vernünftig. Die Technik ist da, warum nicht? Wer könnte schon gegen das Allgemeingut „Gesundheit“ sein. Früher hätte man das jetzt einfach in sein Imfbüchlein eingetragen aber hier kommt sofort das Argument der Kontrolle von Fälschungen etc. Man wünscht sich diese absolute Sicherheit, dass nicht etwa jemand durch die Maschen schlüpft.

Engmaschig muss es sein, ohne Ausnahmen?

Früher wurde in der Schweiz noch über „Fichen“ diskutiert (siehe auch der geniale Film „Moskau einfach„), das waren noch ganz klassische Papier-Dossiers in denen die Aktivitäten von nicht genehmen Politikern überwacht und aufgeschrieben wurden aus Furcht vor einer vermeintlichen Unterwanderung durch Moskau. Im modernene China geht das heute schon einen Riesen-Schritt weiter, denn wenn die Polizei ein Bild hat von einem „Verdächtigen“ dann kann er über allgegengewärtige Kameras jederzeit gefunden werden dank den Forschritten bei der Gesichtserkennungs-Software. Zudem gibt es eine Punkteskala auf denen soziales Verhalten registriert wird. Wer auf der sozialen Punkteskala zu weit nach unten rutscht, der bekommt Probleme überall.

Nun kann man dies gut oder schlecht finden. Im Westen wird zum Beispiel Videoüberwachung teilweise recht kritisch gesehen obwohl man damit nachweislich Vandalismus verhindern kann. Die soziale Punkteskala braucht es bei uns auch nicht aber wehe dem der etwas unüberlegtes auf Social Media postet. Wir stellen uns jetzt aber kurz vor, die technischen Möglichkeiten von heute wären schon vor 20 Jahren da gewesen. Hätte die DDR sich so schnell und kampflos aufgelöst wenn ihr ein digital hochgerüsteter Ueberwachungsstaat zur Verfügung gestanden hätte?

Strahlende Zukunft dank Ueberwachungs-Technik

Ich bin übrigens kein Technik-Skeptiker, im Gegenteil. Man stellt aber fest wie selektiv die Wahrnehmung ist. Als Hundebesitzer braucht mein Vierbeiner für Reisen einen EU Pass. Dieser ist völlig analog und etwa so fälschungssicher wie ein Küchensieb wasserdicht ist. Warum dann aber an anderer Stelle diese enorme Technik-Gläubigkeit? Mal was zum Nachdenken.

Der Titel des Beitrages kommt von der Metapher über den Frosch, der zuerst im kalten und dann immer wärmer werdenden Wasser sitzt und zu spät erkennt, dass er nicht mehr aus eigener Kraft den Kochtopf verlassen kann. Wenn wir technische Lösungen bejubeln, die uns im Alltag einschränken dann verhalten wir uns ähnlich wie dieser Frosch.

Sei kein Frosch – Hinterfrage Technik

Feuer im IT Dach

IT Sicherheit geht uns alle an

Wenn Nachrichten aus der IT Welt in die Alltags-News Welt überschwappen dann steigt das öffentliche Interesse. Es gibt unterdessen eine ganze Armada von beobachtenden Gremien, die Sicherheitslücken melden und eindringlich warnen. Zu recht, wie viele Attacken der letzten Zeit zeigen. Ist eine Lücke erstmal publik schalten sich darum immer schneller die Gralshüter der Sicherheit innerhalb und ausserhalb der Unternehmen ins Geschehen ein. Jeder ist jetzt ein IT Experte und weiss was zu tun ist. Das ist gut, weil so IT Sicherheit auf die Agenda kommt. Es ist aber auch schlecht weil Alarm-Stimmung und Aktivismus zum Normalzustand erhoben wird. Unter Druck sind noch nie besonders intelligente Konzepte entstanden.

Nach dem Brand ist vor dem Brand

Folgendes sollte man nicht vergessen:

  • Software wird von Menschen gemacht. Menschen haben Fehler, also hat auch Software Fehler. Perfekte Software gibt es nicht. Perfekte Menschen auch nicht.
  • Auch die Software, die angeblich eine Sicherheitslücke schliesst kann Fehler haben. Manchmal kommt dann kurz darauf nochmal ein Update für das Update…
  • Das Einspielen eines nicht getesteten Updates ist auch ein Betriebsrisiko
Immer schneller dreht sich die Update Spirale…

Es stossen nun also hier zwei Welten aufeinander, die nur vermeintlich gegensätzliche Interessen haben.

Die Sicherheits-Verantwortlichen:

  • Die Sicherheits-Verantwortlichen hören von einer Lücke in Software X
  • Sie wollen jetzt auf möglichst jedem System wo Software X installiert ist sofort die Sicherheitslücke schliessen auch wenn das bedeutet ein System mitten am Tag zu stoppen.

Die Betriebs-Verantwortlichen:

  • Der Betriebs-Verantwortlichen hören von einem Update, dass Lücken in der Software X beheben soll
  • Ist Software X in der bei mir installierten Konstellation betroffen? Ein System in einer isolierten Netzwerkzone muss nicht betroffen sein.
  • Wurde das Sicherheits-Update ausreichend getestet?

Eigentlich wollen beide das selbe:

  • Den stabilen Betrieb des Sytems erhalten und Reputations- oder finanziellen Schaden vom Unternehmen abwenden.
  • Grössere Betriebe haben für Updates vorgesehene Prozeduren und Zeitfenster.
  • Für kritische Updates werden dann aber diese Prozeduren oft abgekürzt oder ganz über den Haufen geworfen.
Sicherheits-Verantworliche und Betriebs-Verantwortliche. Sie wollen das Gleiche!

Die Sicherheits-Updates sind ein Nebenschauplatz. Sicherheits-Verantwortliche fokussieren sich oft zu sehr auf eine Feuerlöscher-Rolle statt die grundlegenden Probleme anzugehen. Warum ist das so? Oft sind diese grundlegenden Aenderungen unbequem. Man muss Rechte einschränken und wegnehmen oder Zugriffe verstärken (2-Faktor Authentisierung). Solche Massnahmen sind bei den Benutzern aber unbeliebt und werden oft nur murrend akzeptiert. Bewährte Abläufe dauern länger oder müssen neu gedacht werden. Es lässt sich so kein Blumentopf gewinnen, im Gegenteil. Mit der Feuerlöscher-Rolle hat man aber das Ohr der Verantwortlichen, denn es wird ja aktiv was gemacht und es werden drohende Attacken verhindert.

Löschst Du noch oder denkst Du schon?

Sicherheit ist auch eine Organisationsfrage. Geschäftsführer und CEO’s sollten sich nicht damit begnügen einen IT Sicherheits-Verantwortlichen einzusetzen und sich nach jeder verhinderten Attacke auf die Schulter zu klopfen. Sie müssen aktiv eine Bereitschaft innerhalb des Unternehmens fördern, dass sich jeder für Sicherheit verantwortlich fühlt und auch Verständnis für weniger populäre Massnahmen aufbringt wie Einschränkungen von Web-Inhalten oder komplizierte Anmelde-Verfahren. Sicherheitsmassnahmen werden oft von der IT eingeführt und betrieben aber das geht nicht gegen den Willen des Managements. Wenn Sicherheit als Arbeits-Behinderung gesehen wird, dann muss das Management energisch Gegensteuer geben. Sonst ist Feuer im Dach.

Und Sicherheit ist auch teuer. Wo es früher reichte, ein paar Antivirus Lizenzen zu kaufen braucht es jetzt eben auch mehr ausgebildetes Personal und spezialisierte Software sowie Testumgebungen für das Einspielen von Updates etc.

Wer sich nur auf die Feuerlöscher-Rolle beschränkt und keine langfristige Sicherheit-Strategie hat, spielt im wahrsten Sinne des Wortes mit dem Feuer.