[English]Schwere Vorwürfe von Sicherheitsanbieter Tenable an Microsoft. So soll eine kritische Schwachstelle in Azure Active Directory (AAD, neuerdings EntraID) seit März 2023 bekannt sein, bisher aber nicht gepatcht worden sein. Der CEO von Sicherheitsanbieter Tenable, Amit Yoran, kritisiert Microsofts Umgang mit Sicherheitslücken scharf. Über 40 Prozent aller besonders akuten Schwachstellen der vergangenen Jahre stehen im Zusammenhang mit Produkten von Microsoft. Das kommt für Redmond zur Unzeit, wirft der Hack der Microsoft Azure-Dienste durch die mutmaßlich chinesische Gruppe Storm-0558 doch schon Wellen genug. Ergänzung: Die Azure-Schwachstelle wurde laut Microsoft gepatcht.
Der Hack der Microsoft Azure-Dienste durch die mutmaßlich chinesische Gruppe Storm-0558, ermöglicht durch einen gestohlenen privaten MSA-Schlüssel, könnte ein Weckruf im Hinblick auf das „Cyberrisiko Microsoft“ werden. In den USA hat sich in den vergangenen Stunden die CISA (Cybersecurity and Infrastructure Security Agency) mit der hohen Anzahl an besonders riskanten Sicherheitslücken in Microsoft-Produkten befasst (siehe diesen Artikel auf Bleeping Computer).
Tenable deckt neue Azure-Schwachstelle auf
Im März 2023 untersuchte ein Mitglied des Forschungsteams von Tenable die Azure-Plattform von Microsoft und die damit verbundenen Dienste. Der Forscher entdeckte eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglichen würde, auf mandantenübergreifende Anwendungen (cross-tenant applications) und sensible Daten, wie etwa Authentifizierungsgeheimnisse, zuzugreifen. Das heißt, dass in Azure keine Tenant-Isolierung erfolgte, eigentlich der Todesstoß für einen Cloud-Anbieter. Das Ganze wurde von Tenable im Blog-Beitrag Unauthorized Access to Cross-Tenant Applications in a Microsoft Azure Service veröffentlicht, weil das Ganze ungefixt ist, gibt es aber keine Details.
Interessant ist die Timeline, die besagt, dass Microsoft am 30. März 2023 durch Tenable über die schwere Sicherheitslücke informiert wurde. In einer Meldung, die mir von Tenable direkt zuging, um zu unterstreichen, wie kritisch das Ganze ist, heißt es, dass das Team sehr schnell die Authentifizierungsgeheimnisse einer Bank entdeckte. Natürlich wurde die Bank informiert, die dann sofort Microsoft benachrichtigte.
Bildlich gesprochen: Da war die Hütte lichterloh am Brennen – und das Ganze erinnert mich an den im Juli 2023 bekannt gewordenen Hack von Exchange Online-Konten durch die Hacker von Storm-0558 (siehe China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt). Inzwischen hat sich der Fall ja zum Sicherheitsdesaster für die Microsoft Cloud entwickelt, wie ich im Beitrag GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten erläutert habe.
Nun könnte man annehmen, dass Microsoft das von Tenable berichtete Sicherheitsproblem umgehend behebt. Denn über die Schwachstelle können Angreifer in die Netzwerke und (Azure-) Dienste diverser Kunden eindringen. Dazu schreibt Tenable, dass es mehr als 90 Tage gedauert habe, um die Schwachstelle wenigstens teilweise zu beheben – allerdings nur für neu in Microsoft Azure als Dienst geladene Anwendungen.
Das bedeutet, dass die erwähnte Bank auch heute noch gefährdet ist, mehr als 120 Tage nachdem Tenable das Problem gemeldet hat. Dies gilt ebenso für alle anderen Unternehmen, die den Dienst vor der Behebung des Problems in Betrieb genommen hatten. Soweit bekannt ist, wissen diese Unternehmen immer noch nicht, dass sie gefährdet sind und können daher keine fundierten Entscheidungen über entsprechende Kontrollen und andere risikomindernde Maßnahmen treffen.
Microsoft gibt an, das Problem bis Ende September 2023 beheben zu wollen, also vier Monate, nachdem Tenable es gemeldet hatte. Tenable bezeichnet das als grob unverantwortlich, wenn nicht gar grob fahrlässig. Tenable weiß über das Problem Bescheid, Microsoft weiß über das Problem Bescheid – und die Angreifer hoffentlich nicht, schreibt Tenable in einer Stellungnahme, die mir vorliegt. Der Sicherheitsanbieter will am 28. September 2023 weitere Details zur Schwachstelle veröffentlichen.
Tenable CEO kritisiert Microsofts Umgang mit Sicherheitslücken
Inzwischen kritisiert Amit Yoran, Chairman und Chief Executive Officer (CEO) bei Tenable, Microsoft für sein Verhalten in ungewöhnlicher Schärfe (da scheint das Fass zum Überlaufen gebracht worden zu sein). In einem Statement mit dem Titel „Microsoft und Cybersicherheit … Schlimmer als befürchtet“ wirft der Tenable CEO Microsoft mangelnde Transparenz vor und bezieht sich auf Sicherheitsverletzungen, unverantwortliche Sicherheitspraktiken und Schwachstellen. Die setze alle Kunden Risiken aus, über die diese absichtlich im Unklaren gelassen werden.
Die Schwurbelei Microsofts im Zusammenhang mit dem Storm-0558 Hack ist bestes Beispiel. Ich hatte ja in mehreren Blog-Beiträgen über das Thema berichtet (siehe Artikel am Beitragsende) und angedeutet, dass Redmond versucht, sein kolossales Versagen in einer Textwand zu verstecken.
Amit Yoran weist in seiner mir vorliegenden Stellungnahme auch auf den Brief von US-Senator Ron Wyden hin, den er an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium und die Federal Trade Commission (FTC) geschickt hat. Ich habe diesen Brief und die darin aufgeworfenen brisanten Erkenntnisse im Blog-Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 angesprochen. Ron Wyden fordert die Adressaten des Briefs auf, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken, die chinesische Spionage gegen die US-Regierung ermöglicht haben, zur Rechenschaft zu ziehen. Den Daten von Google Project Zero zufolge waren Microsoft-Produkte für insgesamt 42,5 Prozent aller seit 2014 entdeckten Zero-Days verantwortlich.
Yoran schreibt, dass Cloud-Provider sich lange für das Modell der „geteilten Verantwortung“ eingesetzt hätten. Dieses Modell sieht der Tenable CEO unwiederbringlich gebrochen, wenn ein Cloud-Provider seine Kunden nicht unverzüglich über aufgetretene/bekannt gewordene Probleme informiert, und diese nicht transparent behebt.
Und dann bringt Amit Yoran einen Sachverhalt auf den Tisch, den ich hier im Blog in diversen Beiträgen auch schon mal einflechte. Kunden von Microsoft bekommen „Vertrauen Sie uns einfach“ zu hören, aber was sie zurückbekommen, ist sehr wenig Transparenz und eine Kultur der absichtlichen Verschleierung.
Ergänzung: Inzwischen schlägt die Kritik des Tenable CEO auch in US-Medien Kritik – ich verweise auf diesen Kommentar von 1ST1, der auf einige Artikel verlinkt (danke dafür).
Zeit für eine Microsoft Exit
Abschließend fragt der Tenable CEO: „Wie kann ein CISO, der Vorstand oder das Führungsteam glauben, dass Microsoft angesichts der Fakten und des derzeitigen Verhaltens das Richtige tun wird? Microsofts Erfolgsbilanz setzt uns alle Risiken aus – und es ist noch schlimmer, als wir dachten.“ Das ist ein vernichtendes Urteil für Microsoft als Cloud- und Softwareanbieter.
Aktuell sehe ich ein Unternehmen, dessen Mitarbeiter heillos überfordert sind, wenn es um Qualitätssicherung und Sicherheit geht. Gepaart wird dies durch ein frei drehendes Marketing, sowie eine Führungsmannschaft, die angesichts des Börsenkurses vor Kraft kaum laufen kann. Dabei steht das Gebilde auf tönernen Füßen, wenn man die Entwicklung der letzten Jahre verfolgt.
Microsofts CEO, Satya Nadella, hat meiner Meinung nach sein Unternehmen mit der Forderung „Mobile first, Cloud First“, den seit 2014 mehrfach durchgeführten Entlassungen, sowie weiteren Maßnahmen wie Verwendung von Open Source heillos überfordert. Während Amazon, Facebook, Google und eine Reihe anderer US-Tech-Giganten seit Beginn auf Open Source (z.B. Linux als Betriebssystem) setzen, habe ich das Gefühl, dass bei Microsoft die vorhandenen „On-Premises“-Produkte „für die Azure Cloud“ ertüchtigt wurden. Das Marketing ist stark darin, Kunden mit einem „Feuerwerk an vermeintlichen Neuerungen“ zu traktieren und dann über Abo-Verträge für Cloud-Dienste in Abhängigkeiten zu zwingen.
Und die armen Entwickler sowie Supporter kommen mit den immer neuen Schlenkern nicht mehr hinterher. Während vorne die Marktschreier die neuesten AI-Innovationen a la CoPilot lauthals preisen, geht im Hinterkopf gerade die Sicherheit über Bord. Bricht nun die „Götterdämmerung für Microsoft“ an? Keine Ahnung, die Abhängigkeiten werden einen schnellen Exit von diesem Anbieter verhindern. Ich habe aber das Gefühl, dass sich zumindest aktuell etwas zusammen braut, was sich zum Sturm entwickeln könnte. Microsoft scheint einfach aus alten Fehlern nichts gelernt zu haben – und ich denke, die Kartellbehörden und auch die US-Regierung hat langsam die „Nase von den leeren Versprechen“ der US-Tech-Giganten voll und wird diese mittelfristig regulieren. Aber vielleicht bin ich auch zu optimistisch, und es passiert einfach nichts, bis das System „IT mit Monokultur“ kollabiert. Wie seht ihr das so?
Schwachstelle doch noch gepatcht
Ergänzung: Die Kritik hat ziemliche Wellen geschlagen, so dass Microsoft die Azure-Schwachstelle gemäß dieser Verlautbarung vom 4. August 2023 vorzeitig doch noch gepatcht hat: Microsoft issued an initial fix on 4 June 2023 to mitigate this issue for a majority of customers. Ich habe das Thema im Beitrag Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt nochmals mit einigen Informationen zur Schwachstelle und deren Beseitigung (die waren von Tenable noch nicht öffentlich gemacht worden) aufgegriffen.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Und weiter keine Informationen in der Tagespresse.
Was zum Henker ist da los?
Gruß
Das muss ein nicht (so) technisch affiner Redakteur erstmal durchdringen.
Du bist falsch – mir wird doch immer vorgeworfen, das ich Bildzeitungs-Niveau hätte – speziell, wenn ich über MS rante. Ergo sind wir „Tagespress“ ;-).
Der Signatur-Schlüssel könnte beim Solarwinds-Hack entwendet worden sein.
Exakt diesen Verdacht hab ich auch schon eine ganze Weile, passt auch zeitlich:
Solarwinds Ende 2020 —> Gültigkeit des MS-Keys bis 2021.
Und sollte dem wirklich so sein…dann hat keiner gepeilt das die MS-Cloud seit über 2 Jahren komplett kompromittiert war^^
Edit sagt: oder noch länger, vllt. 3 Jahre?
https://www.borncity.com/blog/2023/04/29/solarwinds-hack-in-2020-das-us-justizministerium-wusste-6-monate-vorher-bescheid/
War das Ablaufdatum nicht eh egal, da leider leider ein kleiner Bug verhinderte, dass dieses unter „gewissen“ Umständen geprüft wurde? (non-englisch?)
Das ist schon alles sehr seltsam.
Versteh ich das richtig das im Grunde ein Kunde auf die Daten eines andern zugreifen kann weil die Systeme nicht ausreichend abgeschottet sind?
Wenn er diesen General-Key hätte…
Ich hätte es so verstanden das das unabhängig von Generalkeys möglich wär – das das eine zusätzliche Sicherheitslücke ist die seit Anfang April bekannt und bis Ende September gepatcht sein soll.
Nein, du musstest schon etwas hacken können und es funktionierte so wohl auch nur bis Juni.
https://blog.sygnia.co/guarding-the-bridge-new-attack-vectors-in-azure-ad-connect
Das ist aber jetzt wohl erschwert und im September soll die Lücke ganz zu sein.
*** Nein, du musstest schon etwas hacken können und es funktionierte so wohl auch nur bis Juni. ***
Das beantwortet alles meine Frage nicht.
Hängt die Bekanntwerdung mit von Generalsschlüsseln mit den Vorwürfen von Tenable zusammen oder nicht?
Wenn ja, wäre die Aufregung jetzt quatsch: es ist klar das mit Masterkeys jedes System angegriffen werden kann.
Ja. Das ist so.
Du kannst bei deinem Cloud-Nachbarn an der Wand lauschen und von seinem Fenster seine frischen Bretzeln clauen(r)(tm).
Als diese maligne Clouderitis(c)(TM) noch neu war brachte ein neuer deutscher Anbieter den Gag, das jeder Kunde den Netzwerk-Traffic anderer Kunden in seinem Rack belauschen konnte…
Das fiel sehr schnell auf.
Das ist aber 2 …3 Jahrzehnte her und wurde sofort, transparent, behoben. Den Anbieter gibt es immer noch.
Bei MS sehe ich das nicht.
Der Markt wird’s regeln!
Welcher Markt bei einem Defakto-Monopol?
MS probiert halt ob er aussitzen kann.
Und, ja, kann er wie man sieht.
Die Software wird eh „as is as“ und ohne jede Gewährleistung oder Produkthaftung verkauft, ja meist wird sogar die Eignung für einen bestimmten Zweck ausgeschlossen.
Man zeige mir den Politiker der die Chuzpe hat den ganzen IT-Grosskonzernen endlich den Tarif zu erklären. Produktehaftung einführen, alles nach und nach von C auf Rust umprogrammieren lassen mit klaren Deadlines, das betrifft dann Apple und Microsoft und viele andere gleichermassen.
Hier in Europa sollten wir generell gaaaanz gaaaanz leise sein und nicht meckern, wir hätten alle Voraussetzungen unsere viel zu grossen Abhängigkeiten in Sachen IT von China und den USA zu eliminieren – nur tun wir es nicht.
Das Zeug ist kein C.
Das ist irgendwie C# oder etwas.
Anders würden die niemals all diese Fehler hinbekommen.
Rust als Lösung aller Probleme? Glaube ich nicht.
Rust löst nicht alle Probleme, aber ganz viele Anfängerfehler, die statistisch in den letzten 30 Jahren zu etwa 70% aller Sicherheitsprobleme geführt haben, werden schlicht verunmöglicht. Zudem wird die Programmierung von Nebenläufigkeit vereinfacht, Stichwort Race Conditions. Der CTO von Microsoft Azure, Mark Russinovich, forderte schon vor bald einem Jahr in einem vielbeachteten Tweet KEINE neuen Projekte mehr mit C/C++ zu beginnen. Die NSA sieht das inzwischen genau so. Nun muss die Politik den Druck massiv erhöhen und die Hersteller dazu zwingen sämtlichen C/C++ Code zu eliminieren.
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3215760/nsa-releases-guidance-on-how-to-protect-against-software-memory-safety-issues/
„Das ist irgendwie C# oder etwas.“
Man merkt, dass Du richtig Ahnung hast…
Ich befürchte, das muss erst kollabieren.
Mit einem Knall, der so laut ist, dass da niemand mehr drüber weg hören kann.
Die vor langer Zeit getroffenen Entscheidungen haben heute zu Abhängigkeiten geführt, die einfach zu groß sind.
Überall höre ich, dass z.B. das Supportende von Exchange on prem ein riesiges Problem auslöst. Und mangels ausreichend Mitarbeitern mit passendem Wissen (jahrzehntelang nur MS-zentriert eingestellt), traut sich irgendwie keiner was anderes zu machen, als das zu Microsoft in die Cloud zu migrieren.
Selbst wenn klare Ansagen von Aufsichtsbehörden existieren, genau das nicht zu tun.
Wenn man keinen gangbaren Weg sieht und die eigene Handlungsfähigkeit für nicht ausreichend für andere Lösungen hält, dann ist das schnell eine Frage der Existenz.
Wer sich aktuell mal Stellenanzeigen anschaut, wird auch bemerken, wie omnipräsent die Suche nach passenden Leuten für die MS-Clouddienste ist.
Ich befürchte deshalb, dass die vielen einzelnen, kleinen Ängste vor dem Kollabieren eigener Geschäfts- und Organisationsmodelle uns zu dem Punkt bringen werden, wo es im Großen kollabiert und dann halt richtig scheppert.
Ich glaube aber auch, dass die Strategie, jetzt kein individuelles Scheitern zu riskieren, weil man dann seinen Job los ist, auch funktionieren wird. Denn wenn es groß für alle knallt, dann steht man nicht mehr so offen im Fokus und kann sich da vielleicht auch rausmogeln als Manager und/oder IT-Entscheider
Die Anreize in unserem System sind imho einfach falsch. Alles ist angstgetrieben. Innovationsgeist oder Aufbruchsmotivation sind eher randständig. Du kannst in fast allen Organisationen nur durch Fehler verlieren, nicht aber durch mutige Entscheidungen etwas Nennenswertes gewinnen.
Du stehst dann vor der Wahl, zu tun was alle machen und damit wenig Risiko zu gehen oder einen anderen Weg einschlagen und auf volles, eigenes Risiko arbeiten. Mit der Aussicht: geht es schief, bist du raus – klappt es, wird man dir dein Projekt vielleicht verzeihen. Mehr nicht. Also nur und ausschließlich Kampf gegen den Verlsut von etwas. Keine Positiv-Motivation.
So sehr wird es nicht knallen, das glaube ich wiederum nicht. Denn damit müssten ja die Entscheider in den Firmen und Behörden ihre eigene Entscheidung in Frage stellen. Das wird sicher nicht passieren, aber kleine Schritte zurück zu OnPrem kann ich mir vorstellen. Man wird sensible Daten vielleicht nicht mehr in die Cloud legen. Bei uns ist das schon immer der Fall, auch Exchange und Sharepoint läuft on Prem. Aber man wird wahrscheinlich Druck auf MS aufbauen, um die Sicherheit zu verbessern, man wird unabhängige Audits fordern.
Du könntest Recht haben. Vielleicht knistert es nur, weil die Tagesspresse das lieber ignoriert oder als uninteressantes technisches Zeug einstuft.
Wie jetzt. :)
So Textwände, wie Microsoft sie jetzt aufstellt, sind ganz erfolgreich beim Flachhalten von Aufregern. Die erschlagen den Laien ziemlich und sind plausibel genug, um das Bild begrenzter Probleme zu zeichnen, die man bestens im Griff hat.
Das Supportende für Exchange 2016/2019 OnPrem ist im Oktober 2025, also noch mehr als 2 Jahre hin.
Und im 2. Halbjahr 2025 soll Exchange vNext erscheinen.
Microsoft hat schon angedeutet, das man wahrscheinlich das Supportende von Exchange 2016/2019 verschieben will, damit genug Zeit für die Migration auf Exchange vNext da ist.
Und nach derzeitigem Stand soll Exchange vNext auch als OnPrem erscheinen.
Und das vNext soll sich nach derzeitigen Ankündigungen auch einfach über Exchange 2019 drüber installieren lassen, eine Migration ist nicht nötig.
Es gibt also absolut gar keinen Grund, jetzt wegen des angekündigten Supportendes von Exchange in Panik auszubrechen.
Größere Organisationen beginnen meist Jahre vorher mit der Migration. Von der Planung über Mittel und Personal.
Das Rollout zum Schluss ist da zeitlich betrachtet nur ein Wimpernschlag.
Genau jetzt läuft das an extrem vielen Stellen gerade an und zum Jahreswechsel laufen die Projekte mit Sicherheit schon bei den allermeisten.
In einer kleinen, recht flexiblen Organisation mag man das bis Anfang 25 oder gae länger aussitzen können. Wenn da Aufsichtsräte oder -gremien existieren, dann wollen die heute schon die Antworten für die Risiken von 2026. Da bist du jetzt mit der Antwort, wie es weiter geht schon durch oder stehst unter Beschuss.
Ich bin mit auch sehr sicher, dass Microsoft das weiß und entsprechend die Kommunikation vage genug hält, um weiteren Druck in die Cloud aufzubauen.
Wir haben übrugens schon vor zwei Jahren in übergeordneten Gremien die Diskussion mit Microsoft geführt. Und die erste Panik brach ob der Abwimmelei schon damals aus. Also auf der Chefetage.
„Ab in die Cloud“ steht nur auf „hold“, weil wir überzeugen konnten, dass wir auch erst nächstes Jahr anfangen können und das mit vorhandenem Personal schaffen.
Zu was anderem konnten wir nicht überzeugen. Kein Interesse, einfach abgelehnt, kommt nicht in Frage. Jedenfalls abgewürgt, bevor es inhaltlich hätte werden können.
Wenn nächstes Jahr keine klaren Ansagen zu on prem als neue Version oder langem Support existieren, dann wird das richtig lustig.
Dann noch zu was anderem zu schwenken, falls die Cloud verbrannt ist, wird dann arg en
Tja so ist das wenn Vorstände und Aufsichtsräte auf alle hören nur nicht auf die Unternehmenseigenen Experten (oder besser Professionals) die man genau dafür bezahlt.
Nur wenn man den eigenen Leuten nicht vertraut – warum hat man die dann angestellt? Warum bezahlt man jemanden zu dem man kein Vertrauen hat? Das werde ich nie verstehen.
/signed
„Nur wenn man den eigenen Leuten nicht vertraut – warum hat man die dann angestellt? Warum bezahlt man jemanden zu dem man kein Vertrauen hat?“
Das Vertrauen ist einfach begrenzt. Kein Entscheider wird seinen Kopf in die Hand von jemandem legen, der dann jederzeit die Firma verlassen kann. Dann stünde er alleine da, mit dem Kopf unterm Arm.
Ob die eigenen ITler überhaupt eine so wichtige Rolle spielen sollten, erkennt man auch am Gehalt, das ihnen angeboten wurde.
In den meisten Buden, im öffentlichen Dienst sowieso, liegt die Bezahlung so niedrig, wie es der Markt eben hergibt.
Gestern noch versucht, dem möglichst wenig Geld zu zahlen und heute die eigene Existenz in seine Hände legen? Never… :)
Das macht Beraterbuden, besonders die Großen, so attraktiv. Die werden dann noch da sein und auf die kann man dann zeigen.
Und die großen Beraterbuden singen fast alle das selbe Lied: Microsoft, Cloud.
Einmal mit Geld winken und Du hast auch ein Rechtsgutachten in der Hand: Microsoft, Cloud, absolut super!
Die EU-Kommission ist gefühlt und wohl auch real auch auf deren Seite.
Also safe ein „no lose“.
Auf der anderen Seite stehen ein paar Nerds und zahnlose Behörden, deren obere (fachfremde) Stellen selbst öffentlich mit denen hadern. Und vielleicht deine ITler.
Alle Instanzen auf Deinen Ebenen als Manager singen Lieder, die sie nicht von „kleinlichen“, technischen Fakten beeinflusst sehen. Die sind der Meinung, ein „größeres Bild“ zu sehen, in dem die Wichtungen der „technischen Niederungen nur Randbemerkungen“ sind.
Die zitierten Stellen habe ich genau so auch schon zu hören bekommen.
Man sollte sich darüber im Klaren sein, dass die Zeiten des Firmen-IT-Gurus, dem man das Wohl der Firma anvertraut, weitläufig vorbei sind.
IT ist Service und soll halt machen, was die Geschäftsleitung will. Und dann hat da auch sicher zu sein und zusammen zu passen, was halt fachfremd bestimmt wird.
Ja zum Glück gibt es Berater Firmen und Wirtschaftsprüfer wie EY wenn wir die nicht hätte könnten ja sowas wie Wirecard passieren. Dank den großen Beraterfirmen kommt so was zum Glück nicht vor.
Ist mir schon alles klar. Nervt trotzdem. Diese großen Beraterfirmen sind die ersten denen der Scheiß um die Ohren fliegen muss. Aber Berater schulden ja keinen Erfolg sind ja keine Werkverträge was?
Ein Beispiel sei die Fusion der Postbank-IT (die sehr gut war, hörte ich mal) in die IT der Mutter, die der Deutschen Bank.
Ich lass neulich, das die seit 15 Jahren daran gearbeitet haben
Und trotzdem hat es in der Endphase undinner noch geklemmt und geknalt, wie wir aus der Presse erfahren haben.
Und der Umstieg aus Exchange wird genauso rumpeln. Da hat MS sicher vorgesorgt,nicht nur in dem den Admins Grundlagen fehlen.
BTW:
Wer Probleme mit der Postbank hat sollte diese
unbedingt bei der BaFin melden. Die reden immer von nur 583 Beschwerden. Das kann nicht alles sein,bei 17 Millionen Verträgen.
Die meisten Kunden werden mit den Füßen abgestimmt haben. Schlechten Service bekomme ich überall, billiger.
Naja, die Migration von Exchange auf eine neuere Version ist kein Hexenwerk.
Habe das jetzt schon mehrmals gemacht.
Wenn man sich an bestimmte Routinen und Regeln hält, dann geht das rel. problemlos und schmerzfrei, auch ohne irgendwelche Downtimes.
Auch in sehr sehr großen Organisationen.
Ich sehe da keinen Bedarf an Jahren von Planung.
Es ging darum von Exchange und Microsoft wegzukommen.
Wohin eigentlich?
Das Problem ist doch das fette Defakto-Monopol, das MS einen gewaltigen Schlendrian erlaubt ohne das die Kunden weglaufen (können).
Auch natürlich die unglaubliche Komplexität und alle Altlasten.
Es ist (bisher) noch keiner entlassen worden, weil er Microsoft Produkte eingesetzt hat…
Furcht als Treiber, das kann auf Dauer nicht gut gehen…
„Angst war noch nie ein guter Ratgeber.“
Und:
„Not macht erfinderisch.“
„Die Hoffnung stirbt
zuletzt“
Hallo Günter,
Es müsste statt „AAD, neuerdings IntraID“ – „AAD, neuerdings Entra ID“ heißen.
Ansonsten, weiter so mit Deiner guten Berichterstattung.
Gruß Peter
Danke, Du hast Recht, ist korrigiert.
Das ist wohl der verzweifelte Versuch ein schlechtes Produkt aus der Presse zu bekommen: Umbenennen
Außerdem vermeidet man damit gleich den bezug auf die übel beleumundete Cloud.
Es kommt auf die erste Prägung an.
Und die ist schlecht wenn etwas mit „Azure“ anfängt.
Das Marketing von MS ist echt gut und schnell!