Zehn hartnäckige Cloud Mythen

Halloween ist bereits wieder vorbei aber nehmen wir doch diesen in der Neuzeit eher amerikanisch angehauchten Brauch als Anlass um über die hartnäckigsten Mythen im Zusammenhang mit der Cloud Nutzung zu sprechen. Einige davon sind tatsächlich gruselig!

In meinem früheren Beitrag Gedanken zum Tausendsassa habe ich die Unterschiede zwischen PaaS,IaaS und SaaS erklärt. Eine Cloud Strategie definiert für alle drei Bereiche ob und wie das Unternehmen vorgehen will. Doch warum ist es so schwierig, sich unvoreingenommen mit diesen Themen zu beschäftigen? Jedes Unternehmen sollte eine Cloud Strategie haben aber oft scheitert es daran, dass kein gemeinsames Verständnis über Cloud vorhanden ist.

Mythos 1 – Es braucht keine IT Fachleute im Betrieb mehr

Falsch. Es braucht immer noch IT Fachleute aber diese müssen ihre Kenntnisse um Cloud Themen erweitern. Die Cloud betreibt sich nicht von alleine. Die IT Abteilung wird zur Schnittstelle zwischen dem Nutzer und dem Cloud Anbieter und muss die Angebote auch überwachen. Auch die Migration von Daten und Diensten in die Cloud ist eine Herkules-Aufgabe, die ein fähiges IT Team braucht oder einen externen Dienstleister.

Mythos 2 – Die IT Löhne sinken weil die Cloud nicht mehr so komplex ist

Brauche ich nur noch IT Supporter, die Tickets an den externen Provider weiterleiten? Kann ich meine Engineering Abteilung einsparen? Nein. Zwar muss ich teilweise keine eigenen Server mehr betreiben aber viele der Lösungen, die z.B. in M365 angeboten werden sich hochkomplex. Nur wer bei den Features und Möglichkeiten den Ueberblick behält und die Zusammenhänge versteht kann der Firma einen echten Mehrwert bieten. IT Engineering findet nicht nur hinter der Firewall statt.

Der IT Fachmann – das unbekannte Wesen

Mythos 3 – Cloud Fachkräfte gibt es wie Sand am Meer

Tatsächlich, viele Firmen haben bereits eine Cloud Strategie formuliert oder sind schon im Begriff zu M365 und anderen Services zu migrieren. Es gibt aber gar nicht so viele Cloud Bewerber wie es Cloud Jobs gibt. Jeder möchte Cloud Engineer sein, weil hier der Bär steppt aber nicht jeder hat schon das nötige Wissen aufgebaut. Die Ausbildung erfolgt dann oft am Arbeitsplatz nach dem Try and Error Modell. Gute Cloud Fachkräfte mit Fachwissen sind aber eher dünn gesät. Auch externe Dienstleister suchen stets neue Fachkräfte um Cloud Projekte bei den Kunden umzusetzen.

Mythos 4 – Schon bald kann ich meine Server abstellen

Falsch. Eine Migration auf M365 bedeutet, dass über längere Zeit ein komplexer Hybrid Betrieb aufrecht erhalten werden muss weil man die eigenen Server ja nicht einfach von heute auf morgen abstellen kann. Während dieser Zeit müssen sowohl die bestehenden Server und Systeme im eigenen Server-Raum als auch die Cloud Systeme verwaltet werden. Schlimmer noch, es gibt viele Schnittstellen zwischen den Systemen, so dass diese ebenfalls noch überwacht werden müssen. Komplexität und Kosten steigen währen der Uebergangszeit an und die kann sich über mehrere Jahre hinziehen.

Mythos 5 – Ich kann für jedes Thema ein eigenes Cloud Produkt wählen

Jein. Natürlich kann man z.B. Dropbox nehmen für File Transfer, Amazon Cloud für Server Hosting, Azure als Identity Provider und sich überall das Beste herauspicken. Sind die Systeme dann erstmal im Haus kann man sich ja dann immer noch um die Schnittstellen kümmern und schauen wie die verschiedenen Provider zusammenarbeiten… Die verwenden ja alle Standards, oder? Eine solche Strategie ist ein enormer Aufwand weil es zu jedem Cloud Provider internes oder externes Fachwissen braucht. Es macht also Sinn möglichst viele Synergien zu nutzen und seine Kräfte nicht aufzusplitten. Da die meisten Cloud Lösungen pro User bezahlt werden müssen, kann eine Multi-Vendor Strategie auch sehr schnell sehr teuer werden.

Cloud Rezepte sind gefragt

Mythos 6 – Ich kann die Cloud einfach verbieten

Auch das ist leider nicht so. Cloud ist Alltag und die Benutzer kennen die Produkte von zu Hause oder von Bekannten und Kollegen. Ohne eigene Cloud Strategie entsteht eine Schatten IT, die sich nur noch schwer kontrollieren lässt. Der Geist kommt aus der Flasche ob man will oder nicht. Entweder kontrolliert oder unkontrolliert.

Mythos 7 – Das mit der Cloud ist nicht eilig, alles zu seiner Zeit

Es lässt sich bei allen Herstellern ein klarer Trend zu Cloud Lösungen feststellen. Selbst dort wo es möglich ist eine neue Software wie Microsoft Exchange noch im eigenen Server-Raum zu betreiben muss beim direkten Vergleich festgestellt werden, dass das Produkt nicht gleichwertig ist wie die Cloud Lösung. Zudem ist die Entwicklung im Cloud Bereich viel schneller, so dass neue Funktionen immer zuerst dort verfügbar sind. Frei nach Gorbatschow: „Wer zu spät kommt, den bestraft das Leben“. Wer keine Cloud Strategie formuliert und umsetzt, der verliert schneller als im lieb ist den Anschluss.

Mythos 8 – Das wichtigste ist die Sicherheit

Sicherheit ist wichtig. Ganz klar muss beim Aufbau einer Cloud Strategie das Thema Sicherheit weit oben auf der Liste stehen. Wann und wo brauche ich 2-Faktor Authentisierung um mich an meiner Cloud Lösung anzumelden? Welche Arten von Authentisierung unterstützt meine gewählte Cloud Lösung? Wo sind meine Daten gespeichert? Wer hat alles Zugriff auf diese Daten? Diese Liste ist nicht abschliessend und Sicherheit sollte auch bei Cloud Lösungen regelmässig überprüft werden. Aber bei all diesen Punkten darf nicht vergessen werden, dass es sich zum Beispiel bei M365 um eine Collaboration Lösung handelt. Es muss also möglich sein auch mit externen Inhalte zu teilen. Die Benutzbarkeit einer Lösung hat einen direkten Einfluss auf die Akzeptanz. Darum bei aller Sicherheit bitte niemals die Benutzbarkeit der Lösung vergessen und auch den Input der Nutzer abholen. Die Cloud ist kein Selbstzweck der IT.

Kopf in den Sand, hilft auch bei Cloud Themen nicht

Mythos 9 – Ich behalte die Kontrolle

Cloud Lösungen entwickeln sich ständig. Neue Features werden aufgeschaltet, bestehende Optionen werden angepasst oder teilweise auch wieder abgekündigt. Der Cloud Anbieter hat die Kontrolle darüber was er anbietet und wie. Leider ist es unterdessen üblich eher kurze Uebergangszeiten anzubieten wenn ein Feature abgeschaltet oder geändert wird. Es liegt dann an der internen IT den Ueberblick zu behalten und Aenderungen zu planen und zu kommunizieren.

Mythos 10 – Vorsicht bei Microsoft

Dieser Mythos dürfte noch aus den 80er und 90er Jahren stammen als man bei Microsoft vor allem mit sich selbst beschäftigt war und in vielen Bereichen eine sehr dominante Marktstellung hatte. Tatsächlich hat sich Microsoft in den letzten Jahren extrem gewandelt und arbeitet aktiv daran seine Cloud Angebote so offen wie möglich zu gestalten auch für Drittanbieter und die Konkurrenz. Früher ging es vor allem um PC Verkäufe aber heute will man M365 und Cloud Abos abschliessen und wiederkehrende Services verkaufen. Da passt eine Windows-only Strategie nicht mehr und wäre kommerziell auch unsinnig. Auf Microsoft Azure kann man problemlos auch Linux laufen lassen. Unter Windows kann man unterdessen Linux Scripts ausführen und Powershell läuft auch mit Linux um nur ein paar Beispiele zu nennen.

Hat dein Arbeitgeber oder deine Firma schon eine Cloud Strategie? Welche Mythen hast du selbst bei Diskussionen über Cloud Themen schon erlebt? Nimm an der Diskussion teil: Der Vorschlagshammer ist eine gute und einfach Möglichkeit um mit uns in Kontakt zu treten oder Wünsche für neue Beiträge einzubringen.

Und natürlich gibt es auch die Möglichkeit, das legendäre T-Shirt zu erwerben!

Im nächsten Beitrag sehen wir uns an wir wir Schatten IT erkennen und steuern können mit Microsoft Defender für Cloud Apps.

Cloud Sicherheit einfach verbessern

Jede Firma ob gross oder klein hat schützenswerte Daten und Assets. Viele tun sich schwer mit dem Gedanken einen Teil ihrer Dienste oder Daten in die Cloud auszulagern. Bei Banken, Versicherungen oder auch im Gesundheitswesen gibt es sehr starke regulatorische Vorgaben auf was zu achten ist. Die IT muss die Sicherheit gewährleisten und auch immer wieder beweisen. Nicht nur weil es regelmässige Audits gibt sondern gerade auch weil eine ausgenutzte Sicherheitslücke nicht nur schlechte Werbung ist sondern auch im Extremfall zur Einstellung der Geschäftstätigkeit führen kann. Beispiele dafür gibt es genug.

M365 Secure Score

Aber was ist mit Firmen, die nicht diesen regulatorischen Anforderungen unterstehen? Gerade kleinere Firmen können sich keine eigenen Security Profis leisten und sind darauf angewiesen vom Cloud Anbieter die richtigen Tools und Einstellungen zu erhalten für eine sichere, kontrollierte Umgebung. Bei M365 gibt es hier das vorbildliche Security Portal und dort dann auch den Secure Score.

Warum geht es bei Secure Score? Es gibt so viele Einstellungsmöglichkeiten in der Cloud, dass man als Neuling oft überfordert ist und nicht weiss wo man anfangen soll. Der Secure Score hilft folgende Fragen zu beantworten:

  • Wie steht es um meine M365 Sicherheit und wie kann ich sie verbessern?
  • Welche Sicherheitslösungen sind in meiner M365 Lizenz enthalten?
  • Kann ich durch den Zukauf von M365 oder Azure Lizenzen meine Sicherheit gezielt verbessern?
  • Welche Aenderungen an den M365 Sicherheitseinstellungen bringen die grösste Verbesserung?
  • Wie hat sich die Sicherheit meiner M365 Umgebung verbessert / verschlechtert?
  • Wie stehe ich sicherheitstechnisch im Vergleich zu anderen M365 Kunden da?
M365 Secure Score – Das ist ja einfach!

Es ist zwar so, dass Microsoft bei neuen M365 Tenants jeweils die ‚Security Defaults‚ aktiviert. Dadurch sind einige zwingende Sicherheitsfeatures bereits automatisch voreingestellt:

  • Alle Benutzer müssen sich innerhalb von 14 Tagen für MFA registrieren
  • Benutzer mit administrativen Rechten müssen bei jeder Anmeldung MFA benutzen
  • Standard User müssen sich in bestimmten Fällen mit MFA anmelden (Beispiel: Der Anmeldestandort wechselt)
  • Die Benutzung des Azure Portals oder Azure Powershell / CLI benötigt auch immer MFA
  • Aeltere Clients (z.B. Office 2010) oder unsichere Protokolle (z.B. IMAP) sind gesperrt

Diese Voreinstellungen sind sehr gut und machen es Angreifern schwieriger sich Zutritt zu den Daten und Assets der Firma zu verschaffen. Aber mit Secure Score gibt es die Möglichkeit noch einiges mehr zu machen. Auch ist zu erwähnen, dass sich die Security Defaults nicht mit Conditional Access vertragen. Mit Conditional Access und Intune kann ich noch viel exakter einstellen welche Zugriffe erlaubt sind und welche Sicherheitsfeatures je nachdem zum Zug kommen. Mehr zum Thema findest du in diesem Beitrag.

Wie würde ich aber nun vorgehen um meinen Secure Score zu verbessern?

  • Als Administrator am M365 Security Portal anmelden
  • Auf Secure Score klicken für die Detailansicht
  • Aus der Uebersicht in die Recommended Actions wechseln
  • Sortiere die Aenderungen nach der Prozentzahl, dann siehst du welche Aenderung die Sicherheit am meisten verbessert
  • Klicke auf eine Aenderung um Details zu sehen
  • Für jeden Punkt wird erklärt was es bedeutet und wo aber auch wie die Aenderung gemacht werden muss

Abschliessend lässt sich sagen, dass es nicht darum geht einen möglichst hohen Score zu haben sondern die sinnvollen Massnahmen umzusetzen. Cloud Provider können Vorschläge machen aber der Entscheid welche Risiken akzeptabel sind liegt bei dir. Secure Score hilft dir dabei!

Eine Erinnerung an wichtige Ressourcen bei Clickcoach:

Bis zum nächsten Mal!

Tipps zur IT Hersteller Zertifizierung

Stelle dir folgende Situation bei einem IT Job Interview vor:

  • Interviewer HR: Sie haben also zwei Abschlüsse in Psychologie und Finanzen… Das ist sehr beeindruckend.
  • Kandidat: Danke! Der Finanzabschluss ist übrgens von Harvard!
  • Interviewer IT: Wie würden Sie bei einer Cisco Firewall einen Port öffnen?
  • Kandidat: Ich trinke grundsätzlich keinen Alkohol.

Ok, das ist etwas übertrieben aber grundsätzlich sind höhere Fachabschlüsse bei IT Jobs nicht ein Hauptkriterium. Firmen suchen Mitarbeitende, die einen Mehrwert bringen und nicht zuerst monatelang ausgebildet werden müssen. Dabei wird einerseits der Lebenslauf und die bisherige Erfahrung angeschaut aber wie soll man als Neueinsteiger Fachwissen beweisen? Wie soll jemand der langjährige Berufserfahrung hat aufzeigen, dass er sich weitergebildet hat?

Tipps zur Cloud Zertifizierung

Eine Antwort ist sicher: Hersteller-Zertifizierung

Hätte der Kandidat eine CCNA (Cisco) Zertifizierung gemacht, wäre die Frage leicht zu beanworten gewesen. Ich möchte nun nicht über die Qualität und Art der Hersteller-Zertifizierung im Allgemeinen sprechen. Man kann diese gut oder schlecht finden aber schlussendlich bestimmt immer der Markt was gefragt ist. Das wirklich spannende an den Zertifizierungen der grossen Hersteller (Microsoft, Oracle, Cisco, Amazon…): Sie haben weltweit Bestand und es entsteht ein ‚Level Playing Field‘. Man kann das fast überall auf der Welt machen und der Inhalt und die Form ist immer gleich. So wie ein Big Mac nach bestimmten Kriterien hergestellt wird, so weicht auch die Zertifizierung nicht von der Formel ab. Evtl. auch weil viele Technikfirmen eben aus den USA kommen? Egal. So wie das gelbe M den Laden immer voll hat, so wird die Hersteller-Zertifizierung immer wichtig sein im IT Umfeld. Aber wo fängt man an und wie kommt man zum Ziel?

IT Hersteller Zertifizierung

Hier sind meine 10 Tipps zur Hersteller-Zertifizierung

  • Tipp 1: Nicht ins Blaue hinaus lernen

Es macht keinen Sinn etwas zu lernen, was man nicht aktiv brauchen kann. Nur was einen Alltagsbezug hat, bleibt auch hängen. Also nicht für SQL lernen wenn man mit Exchange arbeitet. Welche Zertifizierung hat einen Bezug zur aktuellen Tätigkeit?

  • Microsoft hat seine Zertifizierung auf Rollen statt Produkte umgestellt.
  • Tipp 2: Es muss nicht immer ein Kurs sein

Zertifizierungen können teuer sein, müssen aber nicht. Wer für alles einen 5-tägigen Trainerkurs besucht wird sehr lange brauchen um sein Ziel zu erreichen. Darum lieber punktuell Kurse besuchen wenn man es wirklich nicht versteht und sonst ergänzend Bücher lesen etc. Wenn Kurs, dann kann es auch mal ein online Kurs sein oder es gibt oft eine 2-tägige Kompaktversion statt einem 5-Tage Seminar.

  • Digicomp bietet in der Schweiz sehr gute IT Kurse an in vielen Städten
  • Pluralsight ist einer von vielen guten Online Kurs Anbietern
  • Tipp 3: Roadmap beachten

Die Roadmaps der Zertifizierungen sind wichtig, weil die Hersteller doch immer mal wieder gerne neue Lernpfade aufschalten. Wenn dort steht, dass eine Zertifizierung bald ersetzt wird, dann besser warten und nicht weiterlernen. Manchmal kann man auch höhere Zertifizierungen erreichen wenn wann bestimmte Produkt-Zertifizierungen kombiniert.

Hier findest du die aktuelle Microsoft Roadmap

  • Tipp 4: Literatur beachten

Es gibt neben der offiziellen Kursbücher sehr viel Online Material und viele Bücher zu bestimmten Themen, die gerade populär sind. Manchmal gibt es aber auch sehr wenige Bücher oder gar keine, wenn der Bedarf (noch) nicht da ist. Was ist neben den offiziellen Lern-Inhalten an Informationen vorhanden? Wer seine Zeit nicht gerne mit Pionierarbeit und Dokumentensuche verbringt, nimmt lieber ein Thema, dass bereits einen grösseren Nutzerkreis interessiert. Tipp: Immer nach der Prüfungsnummer suchen.

  • Tipp 5: Vorbereiten

Am Schluss einer Zertifizierung steht immer eine Prüfung. Diese Prüfungen können oft wiederholt werden aber das macht keinen Spass. Ziel sollte immer sein, beim ersten Mal zu bestehen. Und das geht nur mit guter Vorbereitung. Es gibt Testprüfungen von renommierten Anbietern, die einem helfen die Zertifizierungsanforderungen besser zu verstehen. Erst wenn man das Gefühl hat vorbereitet zu sein, sollte man sich für die richtige Prüfung anmelden.

  • MeasureUp bietet Vorbereitungskurse für viele Microsoft Tests an
Ueberwinde Hürden – Lerne richtig
  • Tipp 6: Zeitplan machen

Nicht alles was man lernt ist super-spannend. Es liegt in der Natur der Sache, dass auch obskures Wissen abgefragt wird. Das kennen wir ja aus der Schule…. Ohne Zeitplan kann das dazu führen, dass man das Lernen vor sich her schiebt und nicht fertig wird. Gib dir selbst eine Deadline bis wann du bereit sein willst und überprüfe deinen Fortschritt.

  • Nutze eine Todo oder Planner App
  • Tipp 7: Bleib dran

Du hast es geschafft, die Hersteller-Zertifizierung gehört dir und du hast die Prüfung bestanden. Sofort am nächsten Tag solltest du dir überlegen was als nächstes auf dem Programm steht. Du musst nicht sofort beginnen, es ist ok sich Pausen zu gönnen nach einem Erfolg aber du solltest schon eine Strategie haben wie es weitergeht.

  • Sofort nach der Prüfung nochmal die Roadmap anschauen
  • Tipp 8: Nicht auf Lorbeeren ausruhen

Zertifizierungen sind harte Arbeit aber es gibt eine Kehrseite. Sie haben meistens ein Ablaufdatum. Entweder braucht es auf Grund der Vorstellungen des Herstellers eine Rezertifizierung oder was noch schlimmer ist, dass Produkt ist gar nicht mehr relevant. Eine Novell Netware Zertifizierung galt früher als Gold Standard und heute wissen gar nicht mehr alle IT Leute was Novell für Produkte hergestellt hat. Den Markt in Auge behalten und evtl. auf mehrere Pferde setzen.

  • Die Geschichte von Novell findest du hier
  • Tipp 9: Keine Abkürzungen nehmen

Verlockend ist es, sich aus dem Graubereich des Internets sogenannte ‚Fragenkataloge‘ aus vermeintlich echten Prüfungen herunterzuladen und die Antworten auswendig zu lernen. Eine Qualitätskontrolle exisitiert nicht und sowohl Fragen als auch Antworten können falsch oder frei erfunden sein. Ausserdem wird der Fragenpool immer wieder geändert. Und mit auswendig lernen bleibt sowieso nichts hängen und man diskreditiert die ganze Hersteller Zertifizierung wenn der Eindruck entsteht man könnte diese einfach so bekommen.

  • Tipp 10: Kostenlose Ressourcen nutzen

Man muss heute nicht mehr ein umfangreiches und teures Testnetzwerk aufbauen um eine Demo Umgebung nutzen zu können. Zum Beispiel kann man sich einen M365 oder Azure Test Tenant anlegen und alle Optionen im Detail probieren. Gleichzeitig bietet Microsoft eine umfangreiche Dokumentation und Ressourcen zum Lernen an. Also: Bevor du viel Geld ausgibst, schaue doch mal ob das gleiche nicht vom Hersteller schon kostenlos verfügbar ist.

Auf jeden Fall ein sehr spannendes Thema und wir von ClickCoach bleiben dran.

Du darfst nicht rein

Kostensenkung geht eigentlich überall gleich. Man standardisiert die Abläufe und reduziert die Ausnahmen. Je mehr Ausnahmen und Spezialfälle, desto aufwendiger und teurer. Trotzdem gibt’s in der IT den ungebrochenen Trend zum BYOD (eigenes Gerät im Unternehmen nutzen) bei gleichzeitigen Fragezeichen warum die IT eigentlich soviel kostet und manchmal so kompliziert ist. Als Benutzer einer Lösung möchte ich von überall her zugreifen und alles tun können. Immer mehr gibt’s auch „Schatten IT„. Wenn die IT was ablehnt mache ich selber was um ein unmittelbares Problem zu lösen. Keine Filesharing-Möglichkeit mit externen? Dropbox und gut ist. Mal unabhängig davon, dass Schatten IT nicht wirklich verwaltet wird, sind solche selber genutzten Cloud-Dienst leider auch oft das Einfallstor für Viren und Ransomware. Wenn also eine interne Lösung für ein bestimmtes Thema fehlt, dann muss man sich als Nutzer einbringen und schauen dass auch die Finanzierung sicher gestellt wird. Weil wenn man BYOD unterstützen will braucht es immer auch das Budget dazu.

Heute geht es aber nicht um Kosten sondern um ‚Conditional Access‘. Das ist Teil von Microsoft Azure und soll eben helfen, die Zugriffe zu definieren. Ein wichtiges neues Marketing-Schlagwort dabei ist ‚Zero Trust‚. Jede Verbindung wird als unsicher angeschaut bis das Gegenteil bewiesen ist.

Wer? Was? Woher? Womit?

Wann kommt ‚Conditional Access‚ zum Einsatz? Bei Zugriff auf Azure und M365 Anwendungen sowie allen Apps die damit zu tun haben und zwar erst NACH der Anmeldung. Man weiss zu diesem Zeitpunkt bereits WER den Zugriff möchte. Jetzt wird noch festgelegt WAS für eine Art Zugriff man erlauben möchte. Das hat nicht direkt mit klassicher Berechtigung zu tun. Dort erhält man z.B. einen Zugriff auf Finanz-Daten wenn man in der FINANZ Gruppe ist. ‚Conditional Access‚ kann auch Gruppen nutzen aber geht weit darüber hinaus.

  • Was kommt für ein Gerät daher? Ist es z.B. ein Windows System oder Linux?
  • Ist es ein bekanntes Gerät, dass vom Unternehmen verwaltet wird oder ein unbekanntes?
  • Von woher erfolgt der Zugriff? Von welchen Standorten aus darf ich zugreifen?
  • Wie greife ich zu? Nutze ich eine App? Wenn ja welche? Ist es ein Zugriff über den Web-Browser?
  • Bin ich in den richtigen Zugriffsgruppen? Habe ich Adminrechte oder nicht?

Je nachdem was bei der Prüfung des Gerätes festgestellt wird, kann definiert werden ob:

  • Der Zugriff abgelehnt wird
  • Der Zugriff gewährt wird
  • Der Zugriff gewährt wird aber mit zusätzlichen Auflagen (MFA)
Kein Zugriff

Was sind den nun typische Anwendungsbeispiele:

  • Der Zugriff auf Finanzdaten soll aus bestimmten Ländern nicht erlaubt werden
  • Administratoren sollen bei jedem Zugriff einen zweiten Faktor für die Anmeldung nutzen (MFA)
  • Ein Zugriff soll nur über zugelassene und geprüfte Apps erfolgen

Conditional Access ist nicht für jeden das richtige, denn erstens mal kostet es ja nach Verwendung und benötigt Azure Lizenzen (P1 / P2). Für kleine Unternehmen gibt es ‚Security Defaults‘ und ‚MFA‘. Es dürfte daher eher an grössere Unternehmen gerichtet sein, die eben BYOD nur kontrolliert zulassen wollen. Zwar ist es sehr einfach ‚Conditional Access Policies‘ aufzusetzen aber wen es nicht richtig gemacht wird, kann ich damit auch viel Unheil anrichten.

Falsch eingerichtetes ‚Conditional Acess‘?

In diesem kurzen aber spannenden Video wird es noch genauer erklärt:

https://www.microsoft.com/en-us/videoplayer/embed/RE4MwZs?postJsllMsg=true

  • Diese Website unterstützen? Hier gibt’s das T-Shirt

M365 Sicherheit erhöhen mit MFA

Was ist M365?

M365 ist der Ueberbegriff von Microsoft für die Office Cloud-Dienste inklusive e-mail, OneDrive, Teams und vieles mehr. Und das alles erreichbar mit nur einem Passwort. Und zwar von überall auf der Welt. Ganz schön mutig! Interessanterweise empfiehlt sogar Microsoft die Passwörter nicht mehr so oft zu ändern, denn oft ändern heisst vergessen oder aufschreiben. Also besser ein sicheres Passwort, dass wenig geändert wird. Aber noch besser ist ein Passwort, dass ich gar nicht kenne und darum auch nicht weitergeben kann.

Was ist MFA?

Schon mehrfach habe ich bei ClickCoach das Thema MFA (Multi-Faktor Authentifizierung) angesprochen. Du verwendest einen zweiten Faktor neben dem Passwort um sicher zu stellen, dass die eigene Identität im Netz nicht einfach so gestohlen und weiter verwendet werden kann. Das Mobiltelefon bietet sich an, denn das hat heute fast jeder. Damit keiner ausgeschlossen wird können aber auch Telefonanrufe als zweite Methode hinterlegt werden.

Warum wird diese einfache Massnahme (MFA) nicht viel mehr angewendet?

„Historisch bedingt“ wird oft als Argument vorgebracht warum wichtige Dienste über das Internet heute immer noch mit einer einfachen Kombination aus Benutzername und Passwort von überall auf der Welt erreicht werden können. Warum ist es manchmal so schwierig die Sicherheit in Unternehmen (oder auch zu Hause) zu erhöhen? Ja, Passwörter sind bequem und wir haben uns daran gewöhnt. Aber was ist noch bequemer als Passwörter? Keine Passwörter!

Passwörter werden oft auf Postit Zellte geschrieben….

Wie nutze ich M365 mit MFA auf einfache Art?

Wie immer gehe ich vom einfachsten Fall aus, das heisst die Identität wird vollständig in der Cloud verwaltet. Es gibt diverse Spielarten bei denen ich die Authentisierung nicht in der Cloud sondern bei mir in der Firma („On Premise“) durchführe. Auf die Unterschiede gehe ich in späteren Beiträgen noch ein.

Bei neuen ‚Tenants‘, d.h. wenn ich mich ganz neu registriere bei M365 gibt es die Möglichkeit „Security Defaults“ zu nutzen. Das würde ich auf jeden Fall empfehlen, denn dann ist MFA einfach von Anfang an da und es muss nicht später dazu geschaltet werden. Die Security Defaults lassen sich auch im Nachhinein aktivieren und zwar hier:

  • https://portal.azure.com
  • Anmelden mit dem Admin Konto für deinen Tenant (es braucht ‚Global Admin‘ oder vergleichbare Rechte)
  • „Azure Active Directory“ anklicken
  • Dann ‚Properties‘ wählen
  • Dann ganz unten im Menü auf den Link ‚Manage Security Defaults‘ klicken
  • Jetzt lassen sich die ‚Security Defaults‘ ein- oder ausschalten.
  • Die Security Defaults beinhalten unter anderem MFA für alle M365 User

Was wären denn Gründe die Security Defaults nicht zu nutzen?

Die Sicherheit kann noch detaillierter konfiguriert werden mit zusätzlichen Kriterien. Das nennt sich ‚Conditional Access‘ und ist zu den Security Defaults nicht kompatibel. In diesem Fall müsste ich die Defaults zuerst ausschalten.

Die genauen Unterschiede und Details werden hier erklärt:

Security Defaults in Azure AD

Achtung: Die ‚Security Defaults‘ sind bei fast allen Abos schon kostenlos dabei während „Conditional Access“ mit Mehrkosten (Azure AD P1 Lizenz oder vergleichbar) verbunden ist.

Im nächsten Beitrag schreibe ich weiteres zu „Conditional Access“. Einen Vorgeschmack darauf findet ihr schon mal hier:

Was ist Conditional Access (Microsoft)

MFA und M365 – Better together

Aber wieso brauche ich jetzt immer noch ein Passwort?

Ihr habt’s gemerkt. MFA ersetzt das Passwort bei dieser Konfiguration gar nicht sondern ergänzt es. Tatsächlich kann es aber auch so konfiguriert werden, dass das Passwort nicht eingegeben werden muss. Wenn ich eine M365 Website öffne, schickt Microsoft eine Anfrage an mein Mobiltelefon und ich muss die Anmeldung nur noch in der App bestätigen. Wie das geht werde ich in einem späteren Beitrag erklären.

Habt ihr Fragen zu MFA oder M365 oder eigene Erfahrungen damit gemacht? Schreibt mir über den Vorschlaghammer. Das T-Shirt zur Website sollte natürlich auch nicht unerwähnt bleiben.

Schlaue Säugetiere nutzen MFA

Wenn’s irgendwo weh tut

MFA ist wie Wallwurzsalbe. Es hilft in den meisten Fällen, aber nicht immer. Und es stinkt manchmal gewaltig.

Wie ist das gemeint? Wenn es für die Anmeldung einen zweiten Faktor (MFA) wie z.B. ein SMS Code oder eine Bestätigung durch eine App auf dem Telefon braucht, dann kann eine Person, die per Zufall oder mit Absicht an Dein Passwort gelangt ist (z.B. über eine hinterhältige Phishing Attacke) nichts damit anfangen. Nach Eingabe des geklauten Passwortes bleibt der Angreifer erfolglos weil er die Anmeldung nicht bestätigen kann. MFA hilft.

Ueberfluss führt zu Verdruss

Jetzt kann MFA aber auch mühsam sein. Stell Dir vor, Du müsstest Dich jeden morgen im Büro mit Wallwurzsalbe einstreichen bevor Du Dich am System anmelden darfst. Kein schöner Gedanke, zumindest für die meisten von uns. Mit der Zeit würdest Du Wallwurz-Salbe so richtig hassen und alles tun um die Prozedur zu umgehen. Sicherheit, die der Benutzer nicht akzeptiert weil zu umständlich ist falsche Sicherheit.

Hmmmm…. Wäre es denn nicht möglich den zweiten Faktor wegzulassen wenn ich mich von einem bekannten Ort anmelde? Gerade Büro-Standorte haben ja oft definierte IP Adressen, die sich nicht gross ändern. Die gute Nachricht: Es geht, zumindest mit Office 365. Das nennt sich ‚Trusted Locations‘.

Vo genau hier möchte ich mich sorgendrei anmelden, bitte!

Was sind die Voraussetzungen für MFA mit Trusted Locations?

  • Ich gehe davon aus, dass Du Adminrechte (Global Admin) auf Deinen eigenen M365 Account (Tenant) hast. Falls der Tenant nicht durch Dich verwaltet wird, kannst Du den Admin auf die Möglichkeit der ‚Trusted Locations‘ hinweisen und ihn bitten das einzurichten.
  • MFA kan pro User eingeschaltet werden oder für alle. Ich gehe im Beispiel vom ersten Fall aus.
  • Um ‚Trusted Locations‘ zu nutzen muss ich als erstes eine Liste der externen IP Adressen machen, die ich im Einsatz habe. Tipp: Wenn’s keine Dokumentation gibt helfen Websiten wie whatismyip.com weiter.

Wie gehe ich vor um MFA mit Trusted Locations einzurichten?

  • Ins Office 365 Admin Center einloggen (admin.microsoft.com)
  • Auf ‚Users‘ und dann ‚Active Users‘
  • Den User für den MFA eingeschaltet werden soll auswählen
  • Unten rechts bei den Eigenschaften auf ‚Manage Multi-Factor Authentication‘
  • Im nächsten Bildschirm, den User nochmals auswählen und falls MFA noch nicht aktiv ist ‚Enable‘
  • Der neu für MFA aktivierte User muss sich beim nächsten Anmelden einmalig für MFA registrieren. Das heisst er muss den zweiten Faktor einrichten, die Mobilnummer angeben etc.
  • Unter ‚Service Settings‘ kann auf der gleichen Seite für MFA im allgemeinen festgelegt werden was als zweiter Faktor zum Einsatz kommen kann. Möglich sind unter anderem:
    • Automatisierter Rückruf auf die registrierte Nummer
    • SMS Nachricht mit Code an die registrierte Nummer
    • Mobile App Bestätigung (mit der Microsoft Authenticator App)
    • Hardware Token
  • Ebenfalls auf dieser Seite findet sich die Einstellung ‚Trusted IPs‘ sowie die Option ‚Skip MFA for requests from…‘. Hier muss die externe IP Deines Standortes eingetragen sein, damit Du nicht jedes Mal Deine Anmeldung bestätigen musst.

Was ist der Effekt von Trusted Locations?

  • Auf Deinem Haupt-PC im Büro musst Du wie bisher nur Benutzername und Passwort eingeben. Evtl. nicht mal das, je nachdem wie die Anmeldung für M365 konfiguriert ist und welche Methode verwendet wird (SSO).
  • Auf allen anderen Geräten, im Internet-Café, auf dem Laptop in den Ferien, auf dem Hausboot wird ein zweiter Faktor verlangt und ohne kann nicht angemeldet werden.
  • Das beinhaltet dann auch den Hacker in Russland oder den Phishing Unhold aus Fernost. Mit Deinem Passwort kann er nichts anfangen.
Wenn’s irgendwo weh tut

Kann ich noch mehr tun?

  • Die beschriebene Methode ist ‚Quick and Dirty‘ und skaliert nicht wirklich. Hast Du mehrere Standorte oder komplexere Anforderungen gibt es die sogenannten ‚Conditional Access Policies‘ bei denen Du viel genauer festlegen kannst wann MFA zur Anwendung kommt. An welchen Standorten, mit welchen Geräten etc.
  • Zusätzlich lassen sich noch Sicherheitsoptionen nutzen, die zum Beispiel automatisch ein Neusetzen des Passwortes verlangen, wenn ein Loginversuch von einem nicht bekannten Ort festgestellt wird. Darüber ein andermal mehr.

Es bleibt mir euch eine geruhsame Weihnachszeit zu wünschen und vielleicht liegt ja beim einen oder anderen ein M365 Abo unter dem Baum. Auch eine Expresslieferung des bekannten und beliebten ClickCoach T-Shirts würde noch zum Festtag unter dem Baum liegen. Oder dann halt eine Tube Wallwurz-Salbe.

Weihnachten rollt an

Passwortsalat fertig

Ich hatte im letzten Beitrag darüber gesprochen, wie wir zentral verwaltete Identitäten wie Azure AD nutzen können um verschiedene Cloud-Services zu integrieren um uns so sicherer im Internet zu bewegen.

Nehmen wir für dieses Beispiel zwei bekannte und beliebte Cloud Dienste:

  • M365 (für Mail, Office etc.)
  • Zoom (für Video Conferencing etc.)

Was ist der bisherige Ansatz?

Bunt zussammengewürfelt – ein bisschen Login überall

Zwei separate Logins (oder drei, oder vier, oder fünf…). Ein Salat eben.

  • Will ich Mail lesen, logge ich mich bei M365 ein mit meinem Microsoft Login (Azure AD).
  • Will ich Zoom Konferenzen machen, logge ich mich bei Zoom ein mit meinem Zoom Login.
  • Wenn ich das eine oder andere Passwort vergesse, nutze ich dann halt die Option ‚Passwort Reset‘. Aber es bleibt schön getrennt. Geht gut. Aber: Skaliert nicht wirklich weil ich pro Dienst ein Passwort habe. Mit unterschiedlichen Sicherheits-Standards. Es kann auch gut sein, dass ein User überall das gleiche Passwort einträgt damit er’s einfacher hat. Wir wissen es nicht. Die Nutzung des gleichen Passwortes für verschiedene dezentrale Systeme ist auf jeden Fall ein sicherheitstechnischer Albtraum.

Was wollen wir nun errreichen?

  • Neu möchten wir, dass die M365 / Azure AD Identität auch gleich den Zugriff auf Zoom gewährt.
  • Zoom prüft jetzt nur noch ob die Identität von M365 auch vorhanden und berechtigt ist.
  • Sobald sich der User bei Azure angemeldet hat (und dort in der richtigen Rollengruppe ist) geht es zurück zu Zoom. Für den Nutzer ist das komplett transparent.
  • Wir trennen Authentisierung (M365 / Azure AD) von Autorisierung (Zoom).
  • M365 / Azure AD ist der Identitätsanbieter (Identity Provider)
  • Zoom ist ein Dienstanbieter (Service Provider)
Aus x mach 1 – SSO für Cloud Dienste

Was ist jetzt eigentlich der grosse Vorteil an diesem Ansatz?

  • Die beiden Firmen (in diesem Fall Zoom und Microsoft) müssen gar nichts sonst miteinander zu tun haben. Es müssen nur die entsprechenden Standards (SAML2.0) unterstützt werden.
  • Wenn ich im Azure AD die Zwei-Faktor Authentisierung aktiviert habe, gilt die automatisch für alle eingebunden Dienste. Ein einziger Sicherheits-Standard mit zentraler Verwaltung statt verteilte Systeme mit unbekannten Standards!
  • Wenn ich Passwort Self-Service für Azure AD aufgesetzt habe, kann ich es auch für die eingebundenen Dienste nutzen, denn es gibt ja nur noch ein Passwort.

Die groben Schritte der Integration sind folgende:

  • Auf Azure Portal anmelden
  • Dann zu ‚Azure Active Directory‘ und ‚Enterprise Applications‘ wechseln
  • Auf ‚New Application‘ klicken
  • Jetzt öffnet sich ein Suchfenster. Wenn eine Applikation hier zu finden ist, dann kann sie für die Anmeldung mit Azure AD konfiguriert werden. Die Liste ist bereits sehr umfangreich.
Adobe, Dropbox, Webex und noch viel mehr – alles lässt isch für SSO integrieren
  • Wir suchen nach ‚Zoom‘, wählen es aus und klicken ‚Create‘. Nach der Erstellung können die Details des Dienstes konfiguriert werden.
  • Ein wichtiger Punkt ist die Zuteilung der Benutzer. Es müssen ja nicht alle Zoom nutzen. Ueber ‚Users and Groups‘ regeln wir, welche User aus Azure AD ins Zoom dürfen und noch wichtiger, mit welcher Rolle. Azure AD wird beim Anmelden diese Information an Zoom weitergeben.
  • Tipp: Pro unterschiedlicher Rolle eine Gruppe machen. Die kostenlose Basisrolle kann breit gestreut werden, die kostenpflichtigen Rollen müssen beantragt werden.
  • Als nächstes muss die Single-Sign On Methode ausgewählt und konfiguriert werden. Wir wählen SAML2.0, das ist quasi der Gold Standard denn alle unterstützen sollten.
  • Die im Azure Portal unter Single Sign-On aufgeführten Details müssen nun im Zoom Admin Portal unter ‚Advanced‘ einmalig unter ‚SSO‘ ergänzt werden (Zoom bietet SSO mit Azure ‚kostenlos‘ ab Firmen mit 10 zahlenden Usern an…)
Einmalig im Zoom Portal einstellen als Admin – Single-SignOn

Nach der Aktivierung werden die Zoom User für die Anmeldung auf die Azure AD Seite umgeleitet. Es braucht kein separates Zoom Passwort mehr!

Die gleiche Methode kann übrigens auch genutzt werden um eigene Applikationen anzubinden, die nicht zwingend in der Cloud stehen müssen. Dazu mehr in einem späteren Beitrag.

  • Hat Dir der Beitrag gefallen? Unterstütze den Blog durch den Kauf des genialen T-Shirts.
  • Du hast Fragen an den Coach? Ideen für neue Beiträge? Nutze den Hammer um Dich mitzuteilen.

Mein Schatzzzzz….

Wir haben alle viele Passwörter und Usernamen für jeden Sinn oder Unsinn in der Cloud. Wirklich alle Anbieter von Apps wollen, dass Du ein Login erstellst am liebsten natürlich ein kompliziertes mit Buchstaben und Zahlen, dass nicht leicht zu erraten ist. Wenn Du Glück hast, kannst Du Dich sogar mit der eigenen e-mail Adresse anmelden. Dazu kommt nun der verbreitete Sicherheits-Trend auch für simple Dienste bereits 2-Faktor Authentisierung zu hinterlegen. Was bedeutet das praktisch für eine Privatperson, die sich in der Cloud bewegt? Du musst Dich mehrmals am Tag irgendwo anmelden. Ohne eine Passwortdatenbank wie Lastpass geht es nicht, denn niemand kann sich so viele Passwörter merken. Natürlich könnte man geneigt sein mit Mustern zu arbeiten oder immer das gleiche Passwort zu benutzen aber das ist ein sicherheitstechnischer Totalschaden.

Wäre es nicht schön man hätte ein Login, frei nach Tolkien? Ein Passwort um sie alle zu binden? Mein Schatzzz…

Welcher Schlüssel passt zu welchem Schloss?

Wir unterscheiden zwischen:

  • Authentisierung (wer bin ich?)
  • Authorisierung (was darf ich?)

Die Identitäten können dabei getrennt von den Berechtigungen verwaltet werden. Warum ist das ein Vorteil? Hacker greifen immer das schwächste Glied in der Kette an und versuchen dann von dort aus auf weitere „Assets“ zuzugreifen. Verwende ich das gleiche Passwort bei der Website des Schachclubs wie bei Amazon muss der Hacker nur die Login Datenbank Deinens Schachclubs angreifen und er hat das Passwort um in Deinem Namen Online Käufe zu tätigen.

Wenn wir nun aber eine zentrale Stelle haben, die professionell Identitäten verwaltet und schützt, dann ist es besser dieser Stelle die Verwaltung der Identitäten zu überlassen. Der Hacker muss immer die gleiche Stelle angreifen, egal ob er den Schachclub oder den Online Shop im Visier hat.

Eine Identiät um sie alle zu binden?

Wichtig ist, dass für diese zentrale Identität dann auch wirklich ein sicheres Passwort und noch wichtiger 2-Faktor Authentisierung verwendet wird. Um das besser zu verstehen, stellen wir uns folgende Frage: Wie weiss ich als Internet Nutzer, dass ein gehacktes Passwort von mir am anderen Ende der Welt gerade für einen nicht autorisierten Login genutzt wurde? Ohne 2-Faktor Authentisierung -> GAR NICHT.

Das Azure Login ist bereits die zentrale Identität für alle Microsoft Services (Azure, M365…) kann aber auch für weitere Dienste wie Zoom, Dropbox etc. genutzt werden. Im nächsten Beitrag zeige ich konkret auf wie die Microsoft Azure Identität als Login für andere Internet Dienste genutzt werden kann.

Richtig schützen, statt Passwortsalat
  • Verwende den Der Vorschlagshammer um eigene Ideen einzubringen
  • Kauf Dir das T-Shirt und wir investieren jeden Franken wieder in die Website 🙂

Windows 11 Testfahrer gesucht

Es war an der Ignite 2015 als Microsoft Entwickler das geflügelte Wort vom letzten Windows erstmals ins Gespräch brachten. Gemeint war natürlich Windows 10, das damals kurz vor dem Release stand. Es hat immerhin 6 Jahre gedauert bis nun (Ueberraschung!) doch wieder ein „neues“ Windows auf den Markt gekommen ist und zwar kurz vor dem Start des Weinachtsgeschäftes. Dass für das neue Windows 11 die Hardwareanforderungen wieder in die Höhe geschraubt wurden, wird sicher die PC Verkäufe ankurbeln, so zumindest die Hoffnung in Redmond.

Fuss auf’s Gas: Windows 11 startet durch

Nun ist aber die berechtige Frage: Lohnt sich das überhaupt? Das lässt sich nur schwer beurteilen, denn dazu müsste man sich mal jenseits des Hypes für eine halbe Stunde oder mehr an ein Windows 11 System setzen können um sich selber ein Urteil zu bilden.

Und genau das werden wir heute tun! Wie? Mit Microsoft Azure. Das ist das Cloud Angebot der Microsoft. Und das beste: Das wird nichts kosten! Danach hast Du die Entscheidungsgrundlage ob Windows 11 was für Dich ist oder eben doch nicht.

Schritt 1 – Ein Azure Konto eröffnen

  • Oeffne die Seite https://portal.azure.com
  • Wenn Du bereits ein M365 (Office 365) Konto hast, kannst Du Dich direkt anmelden (sonst ein neues Konto erstellen)
  • Wenn Du Dich noch nie bei Azure angemeldet hast, bekommst Du 200 Dollar Guthaben um eine Testfahrt zu machen. Das Guthaben ist 30 Tage gültig, danach kannst Du bei Bedarf auf ein „Pay-As-You-Go“ Abo wechseln.
30 Tage kostenlos
Das Testabo kann jederzeit umgewandelt werden

Schritt 2 – Eine „Windows 11 Virtual Machine“ erstellen

  • Nach dem Du Dein kostenlosen Konto bekommen hast, kannst Du gleich loslegen und eine Window 11 VM erstellen über „Create a resource“
Klick auf ‚Create a resource“ und los geht’s
  • In der nachfolgenden Freitextsuche nach Windows 11 suchen und auswählen
  • Am besten ist es ‚Start with a pre-set configuration‘ zu wählen, dann werden viele Voreinstellungen bereits für Dich gewählt
  • Das gewählte System hat einen Einfluss auf die Kosten (im Moment ja noch kostenlos…) aber für unsere Zwecke genügt ‚Dev/Test‘, da wir ja einfach mal einen Blick auf das neue Windows 11 GUI erhaschen wollen
  • Es werden nun viele Dinge abgefragt aber für Azure macht für Dich die richtigen Voreinstellungen die Du nur bestätigen musst, bist auf einige Ausnahmen
  • Was muss zwingend selber bestimmt werden?
    • Der NAME des Systems
    • Der BENUTZERNAME des Administrators
    • Ein sicheres PASSWORT für die Verbindung
  • Ebenfalls wichtig, ist es den Port 3389 für RDP Verbindungen von extern zu erlauben, sonst kannst Du später nicht mit dem System verbinden. Das passiert aber automatisch, auch wenn eine Sicherheitswarnung darauf hinweist, dass dies nur Testwecke verwendet werden soll. Und testen ist ja das was Du tun möchtest.
  • Zuletzt auf ‚Create‘ klicken und dann dauert’s ein paar Minuten bis das System in Azure fertig aufgesetzt ist.

Schritt 3 – Verbinden und testen

  • Du kannst entweder direkt nach der Erstellung mit ‚Go to Resource‘ zur VM gehen oder im Azure Menü auf ‚VM‘ gehen und dort Dein neues System anklicken
  • RDP (Remote Desktop Protocol) ist ein Standardprotokoll von Windows, dass auf jedem Windows PC läuft. Unter Linux könntest Du z.B. ‚Remmina‘ als RDP Client verwenden. Bist Du mit Windows unterwegs dann wähle:
    • ‚Connect‘
    • ‚RDP‘
    • Download ‚RDP‘ file
  • Durch Doppelklicken auf das heruntergeladene RDP File wird direkt eine Verbindung zum Azure Datacenter und zu Deinem Test-System aufgebaut.
  • Melde Dich mit den bei der Erstellung angegeben Anmeldedaten (Benutzername des Adminusers, Passwort des Adminusers) an
Windows 11 – das Windows nach dem letzten Windows

Fazit

Du bist jetzt auf Deinem persönlichen Windows 11 Testsystem in einem entfernten Azure Datacenter irgendwo auf der Welt eingeloggt und kannst Dir das GUI und die Features ansehen. Bitte alle Microsoft Lizenzvorgaben beachten und die VM nach dem Test wieder löschen.

Was sind Deine Eindrücke vom neuen System? Teile Dein Feedback in der Kommentarfunktion oder über den Vorschlaghammer

Gedanken zum Tausendsassa

Man muss nicht immer alles selber machen

Ein Tausendsassa ist ein Universalgenie, ein Alleskönner. In einer perfekten Welt wären wir alle Tausendsassas und hätten unbegrenzte Zeit und Möglichkeiten. Wenn wir ein Möbel brauchen, gehen wir mit der Axt in den Wald, fällen einen stattlichen Baum und schreinern daraus einen edlen Stuhl oder Tisch. Wahrscheinlicher ist aber, dass wir zu IKEA gehen und dort ein halbfertiges Produkt kaufen, dass wir dann selber zusammenbauen damit es dann hoffentlich ungefähr so aussieht wie im Prospekt. Oder wir beauftragen einen Handwerker unser Traummöbel zu schreinern und fixfertig zur Haustür zu liefern.

Ein Tausendsassa bei der Arbeit

Ebenso verhält es sich bei der IT. Schauen wir uns das ganze am Beispiel einer Website an. Wir können einen Rechner aus Einzelteilen zusammen bauen unter unseren Schreibtisch stellen, selber das Betriebsystem installieren und einen Webserver und darauf eine Website betreiben. Was haben der Möbelbau und IT gemeinsam? Es braucht viel Zeit und Knowhow um alles selber zu machen. Wenn man das hat, kann man teilweise Kosten sparen. Es kommt aber der Punkt wo selber machen teurer ist als delegieren, vor allem wenn man anfängt die eigene Arbeitszeit mitzurechnen. Und der Tag hat bekanntlich nur 24 Stunden. Es gibt aber wie beim Möbelbau verschiedene Abstufungen von selber machen bis komplett auslagern.

Cloud Dienste können Zeit und Nerven sparen

IaaS – Infrastructure as a Service

Du brauchst keine eigenen Server zu kaufen und kein Rechenzentrum zu betreiben sondern nutzt nur die fixfertig zur Verfügung gestellte Infrastruktur und installierst dort deine eigenen virtuellen Rechner. Bezahlt wird nur was aktiv genutzt wird. Für das Installieren von Updates etc. ist man aber weiterhin selber verantwortlich.

PaaS – Platform as a Service

Du möchtest dich nicht um Server Betriebsysteme / Datenbanken etc. kümmern sondern nur deine Applikation programmieren. Du kaufst dir dazu beim Betreiber eine fertige ‚Platform‘, mit Webserver, Datenbank etc. in die du dich nur noch einklinkst. Das im Unterschied zu IaaS wo du die SQL Datenbank noch selber installieren musst. Du bist bei PaaS für die Applikation verantwortlich und nur für die Applikation und kannst dich auf’s Wesentliche konzentrieren. Auch das ist ein ‚Pay-as-you-Go‘ Modell.

SaaS – Software as a Service

Du willst dich um gar nichts kümmern sondern nur eine Standard-Softwarelösung nutzen, die dir alle Funktionen die du brauchst zur Verfügung stellt. Du kannst zwar einige Einstellungen machen aber im Wesentlichen bist du nur ‚Konsument‘ der Software. Bei dieser Lösung kommt in der Regel ein Abomodell zum Tragen.

Gemeinsamkeiten

Alle drei Modelle haben den Vorteil, dass keine Vorinvestitionen getätigt werden müssen und dass die Kapazität je nach Bedarf herauf- und heruntergefahren werden kann. Dein Unternehmen muss expandieren? M365 Lizenzen zuschalten und gut ist. Du machst einen Sonderverkauf in deinem Webshop an Weihnachten und brauchst mehr Rechenleistung? Ein paar Klicks im Azureportal und schon ist das Thema erledigt.

Microsoft Azure und das darauf basierende M365 bieten all diese Optionen, die auch kombiniert werden können.Natürlich hat das alles seinen Preis, den auch Microsoft muss seine Investitionen wieder zurückholen. Aber es dürfte einiges preiswerter sein, alls selber ein Rechenzentrum zu betreiben.

Die Rechenzentren der Cloud Anbieter sind auf der ganzen Welt verteilt

Ressourcen

  • Azure Portal – Ein Testabo ist in wenigen Minuten abgeschlossen. Neuanmeldungen erhalten einen Startkredit, damit alles ohne Kostenfolge ausprobiert werden kann.
  • Preisrechner – Was wäre wenn? Mit wenigen Klicks kann man sich ein Bild davon machen, was es pro Monat kostet einen oder mehrere Systeme in der Cloud zu betreiben.
  • M365 für zu Hause oder M365 für das Büro. Office kaufen ist vorbei, lieber mietet man sich ein und bekommt so auch kostenlos die neuen Versionen.

Weiteres

Gibt es denn auch Nachteile wenn man die Kontrolle teilweise oder ganz an einen Cloud Provider abgibt? Die Entwicklung bei Cloud Lösungen der grossen Anbieter ist extrem dynamisch, laufend kommen neue Anwendungen dazu aber es werden auch Anwendungen oder Features abgekündigt. Als ‚Consumer‘ kann man dann wenig Einfluss nehmen und muss sich dem Hersteller anpassen. Man sollte sich daher auch schon frühzeitig überlegen was zu tun ist ,wenn ein Anbieter seinen Betrieb einstellt oder ein Produkt nicht mehr anbietet. Komme ich noch an meine Daten?

Das ist der erste Teil einer mehrteiligen Serie über Cloud Services. Die weiteren Themen werde ich auf Grund von eurem Feedback wählen.

Was sind eure Fragen zu Cloud Diensten? Meldet euch über den Vorschlagshammer oder schreibt direkt Kommentare zum Beitrag.