Firefox aktiviert DoH für Anwender in den USA

Die Entwickler von Firefox setzen trotz aller Kritik ihren eingeschlagenen Weg fort und aktivieren für Benutzer in den USA DNS over HTTPS (DoH) über die DNS Server von Cloudflare. Daher ist es nur eine Frage der Zeit, bis dies auch für die anderen Benutzer außerhalb der USA aktiviert wird.

Es ist schlichtweg nur arrogant sich anmaßen zu wollen, welchen DNS ein Anwender zu verwenden hat, die vom Administrator im Betriebssystem nicht ohne Grund vorgegebene DNS Server zu ignorieren und dann noch alle DNS Anfragen an eine US Cloud zu schicken. Als Rechtfertigung wird das Argument der Sicherheit bemüht, wobei man sich schon fragen muss, was dies mit “Sicherheit” zu tun hat, wenn ein Anbieter alle Anfragen frei Haus geliefert bekommt und DNS Abfragen somit nicht mehr wie vorgesehen funktionieren?

Unabhängig davon hat sich eine Applikation nicht herauszunehmen eigenmächtig zu entscheiden, welcher DNS verwendet werden soll. Dies ist einzig und alleine eine Sache des Betriebssystems – Punkt! Dem ist auch nichts weiter hinzuzufügen.

Am meisten stört mich, dass die Entwickler von Firefox die im vollen Umfang berechtigte Kritik, wie zum Beispiel Split-DNS Szenarien, die im Umfeld von Unternehmensnetzwerken absolut üblich sind oder DNS Security Filter als Teil der Sicherheitsstrategie von Unternehmen an sich abprallen lassen und nicht einlenken wollen. Da ist es auch wenig hilfreich, dass mit Group Policies oder NXDOMAIN Antworten auf bestimmte Domains das “neue Feature” temporär deaktiviert werden kann. Es wird sich einfach herausgenommen, den Administratoren unnötige zusätzliche Arbeit aufzubürden und die ohnehin schon komplexen Umgebungen mit eigenmächtigen Eingriffen in den DNS noch komplizierter zu gestalten. DoH an sich ist nicht das Problem, sondern nur das Verhalten von Firefox bzw. dessen Entwicklern selbst. Ein Anwender müsste normal aktiv “Ja” sagen, dass er all seine DNS Anfragen (Profiling Daten) zu Cloudflare in den USA schicken möchte und nicht die Entwickler dies bestimmen zu lassen. Ob dieses mit der DSGVO vereinbar ist, bezweifle ich doch sehr stark.

Da alle Kritik ganz offensichtlich nichts nützt, hat man in Zukunft dank Firefox noch zusätzliche Arbeit die angeboteten Abschaltmechanismen zu implementieren in der Hoffnung, dass diese für die Anwender von Firefox greifen. Sollte das nicht funktionieren, dann freuen sich mich sicherheit die Support Teams, dass sie auch mal wieder was zu tun haben – danke Firefox, ganz großes Kino!

Google bzw. die Entwickler von Chrome verstehen diese Problematik bzw. haben die Kritik ernst genommen und ihre DoH Umsetzung anders gestaltet. Chrome prüft, ob der angegeben DNS Server DoH unterstützt und schaltet dann auf das DoH Protokoll um. Der große Unterschied ist, dass der DNS gefragt wird, der vom Administrator vorgegeben ist. Der Client verhält sich damit genauso, wie es die Vorgabe ist, damit auch alle internen Zugriffe bzw. Intranet Systeme wie gewohnt angesprochen werden können, vor allen Dingen, ohne zusätzliche Arbeit für die Administratoren!

Grundsätzlich muss die Frage erlaubt sein, was will man mit einer Applikation die sich eigenmächtig über Einstellungen hinwegsetzt, die für einen reibungslosen Betrieb notwendig sind? Oder anders, was will man mit einer Applikation mit der man zusätzliche Arbeit hat, damit diese wieder “normal” funktioniert?

DNS ist und bleibt Sache des Betriebssystems und ist nicht die Aufgabe einer Anwendung, man muss sich nur das Chaos vorstellen, wenn in Zukunft noch mehr Anwendungen ihren eigenen DNS nutzen und jeder Softwarehersteller einen Vertrag mit dem von ihm bevorzugten Partner schließt – viel Spass beim Debug.

Damit manövriert sich Firefox vor lauter eigener Arroganz es besser wissen zu wollen als andere, von ganz alleine immer mehr ins Abseits. Es ist ja nicht so, als gebe es als Browser nur Firefox, im Gegenteil, die Versionen vor Quantum waren wirklich unterirdisch und Firefox hatte immer weniger Anteile bei den Browsern. Zwar habe ich persönlich trotzdem zu dieser Zeit an Firefox festgehalten, was auch ein wenig mit meiner damals2 vorliebe für Netscape zu tun haben dürfte. Bei den aktuellen Entwicklung und dem Verhalten wird sich das Thema Firefox tendenziell erledigen.

Zu diesem Schluss dürften wahrscheinlich noch ein paar mehr kommen und Firefox als Browser aus den Unternehmen zu verbannen. Dazu passend bekommt der Edge Browser von Microsoft den Chromium Unterbau bzw. schickt sich Google an, die Benutzung von Chrome für Administratoren sehr leicht administrierbar zu gestalten. Damit dürfte Firefox der absoluten Monokultur mit Chrome bzw. Chromium den letzten Schubs gegeben haben um diese auf die Zielgerade zu bringen. Da hat man mal richtig gut nachgedacht wie man Administratoren für sich gewinnt und ein Produkt schafft, welches auf die Wünsche der Nutzer bzw. der Administratoren eingeht. Alleine durch die Support Teams wird die Abwahl von Firefox ganz schnell von statten gehen, es müssen sich nach der Einführung von DoH im Firefox nur die Supportfälle häufen, dann kommt ganz schnell die Antwort von den Teams; Firefox wird nicht supportet, nur Chrome, Edge oder Safari. Damit ist dann eher mehr als weniger das Ende im Unternehmen von Firefox besiegelt. Gerade jetzt, wo das BSI im Dokument für Mindeststandard bei Browsern Firefox ein sehr gutes Ergebnis ausstellt, in Zukunft Daten ungefragt an eine US Cloud schicken zu wollen, ist salopp gesagt besonders dämlich. Dies wäre die Gelegenheit gewesen in den europäischen und insbesondere durch das BSI in den deutschen Unternehmen präsenter zu werden. So wird dies aber nicht funktionieren und dies hat auch Auswirkung auf den privaten Bereich, der Anwender nutzt das, was er gewohnt ist. Aber wenn dies das Ziel der Firefox Entwickler war, dann kann man nur sagen: Mission erfüllt.

In der Hoffnung, dass die Einsicht bei den Entwicklern doch noch einsetzt und es verstanden wird, dass es keine gute Idee, wenn Anwendungen eigenmächtig über den DNS entscheiden und auch das senden aller DNS Anfragen an Cloudflare als Resolver….

Warum Updates wichtig sind

Der Einsatz aktueller und gewarteter Software ist einer der Garanten für den sicheren Betrieb einer IT Infrastruktur. Daher ist es zwingend notwendig, dass Updates regelmäßig und zeitnah installiert werden müssen. Dies gehört mit zu den primären Aufgaben der Verantwortlichen einer IT Anlage. Es hat sich immer wieder gezeigt, dass erfolgreiche Cyber Attacken genau diese und vor allem bekannte Schwachstellen ausgenutzt haben, weil die Verantwortlichen es versäumt haben die zur Verfügung stehenden Updates zu installieren.

Es zieht sich wie ein roter Faden durch die einschlägigen Meldungen von erfolgreichen Cyber Attacken. Die Angreifer sind durch Schwachstellen eingedrungen, für die es schon längst Aktualisierung gab. Hier muss man sich die Frage stellen, warum passiert dies immer wieder und warum wird aus den Fehlern anderer nicht gelernt? Offensichtlich ist darauf die Antwort noch nicht gefunden, denn sonst würde es diese Meldungen ja nicht in der hohen Zahl immer noch geben. Aber gerade deshalb möchten wir das Thema hier im Blog wieder einmal aufgreifen, um zum einen zu sensibilisieren und zum anderen wieder es in den Fokus zu rücken.

Dies gilt auch im Besonderen im Hinblick auf die in naher Zukunft auslaufenden Betriebssysteme Windows 7 und Server 2008R2 von Microsoft. Für die allermeisten Kunden endet im Januar der Support für diese Systeme und es gibt ab diesem Zeitpunkt keine weiteren Sicherheitsupdates Seitens Microsoft. Alle danach auftretenden Sicherheitslücke werden nicht mehr geschlossen und können somit beliebig von Angreifern ausgenutzt werden. Auch wenn hier das Beispiel explizit Systeme von Microsoft nennt, so gilt dies uneingeschränkt für alle anderen Systeme und Applikationen deren Support ebenfalls nicht mehr zur Verfügung steht. Unabhängig vom Gesetzgeber durch das IT Sicherheitsgesetz oder die DSGVO sollte es für jeden Betreiber selbstverständlich sein, einen entsprechend abgesicherten Betrieb zu gewährleisten, der mindestens dem „Stand der Technik“ genügt und zum Stand der Technik gehören eben auch die zur Verfügung stehenden Aktualisierungen zu installieren. Dabei spielt es auch gar keine Rolle, ob die Systeme oder Dienste aus dem Internet zu erreichen sind oder nicht. Zwar ist hier das Risiko leicht höher, aber das Risiko für interne Systeme ist so hoch, dass es so gut wie keine Rolle spielt. Es gibt für die Angreifer so viele Angriffsvektoren, auch interne Systeme zu erreichen, dass alleine deren Aufzählung den Rahmen des Beitrags sprengen würde. Aus diesem Grund kann man pauschal die Aussage treffen, dass wenn ein System in irgendeiner Form vernetzt ist und es nicht durch zusätzliche Maßnahmen anderweitig geschützt wurde, ist es alleine durch die Vernetzung grundsätzlich angreifbar ist.

Das Thema Updates bezieht sich natürlich nicht nur auf das Betriebssystem selbst, sondern auf jede auf dem System vorhandene Anwendung in welcher Form auch immer. Schlichtweg alles kann durch einen Angreifer ausgenutzt werden, da reicht es schon verwaiste Helper Tools auf dem System zu haben, wie Heise unlängst berichtete. Diese entstehen durch deinstallierte Programme, die aber nicht richtig hinter sich aufräumen und Teile der Installation zurücklassen, die dann ausgenutzt werden. Bei diesen Helper-Dateien greift die Aktualisierung nicht mehr, da die dazugehörende Anwendung ja schon längst deinstalliert wurde und sich somit auch nicht mehr aktualisiert. Die so zum Teil mehrere Jahre alten Überbleibsel enthalten auch die Sicherheitslücken, die in der ganzen Zeit bekannt geworden sind. Wie schon gesagt, Angriffsvektoren gibt es in unbegrenzter Zahl. Aber zurück zum Thema Updates.

Damit Updates die Systeme auch wirklich absichern ist es wichtig zu wissen, was denn alles auf ihnen aktualisiert werden muss. Daher sind Updates nicht nur eine rein technische, sondern auch ganz besonders eine organisatorische Frage – Stichworte sind hier Inventarisierung und Dokumentation. Nur wer ein ganzheitliches Updatekonzept bzw. Updatemanagement betreibt hat gute Chancen seine IT Infrastruktur auf einem aktuellen Stand zu halten. Zur Unterstützung der organisatorischen Seite gibt es auf Seiten der Technik entsprechende Systeme. Eines davon sind Vulnerability Scanner, mit denen sich die Systeme auf Schwachstellen hin prüfen lassen. Eine solche Überprüfung erachten wir als zwingend notwendig, um damit mindestens zwei Dingen umzusetzen; erstens zu überprüfen, ob denn auch die Updates entsprechend installiert worden sind und zweitens, einen Nachweis zu führen, dass das notwendige Patch- und Updatemanagement regelmäßig stattfindet.

Das die Aufgaben, der Betrieb einer IT Anlage nach dem „Stand der Technik“ zu betreiben einfach ist, hat auch niemand behauptet. Es gehört mit zu den großen Herausforderungen in der IT und es wird umso komplexer, je mehr Systeme, Anwendungen und Dienste ineinandergreifen. Trotzdem bleibt die Aktualisierung der Komponenten alternativlos, um potentiellen Angreifern nicht unnötig Angriffsfläche bereitzustellen.

Worüber man sich allerdings durch die immer größere Komplexität schon Gedanken machen sollte, ist, wie man dem Ganzen entgegenwirkt. Dazu gehört das Loslassen der 90’er Jahre IT, wie die Abkehr von lokal installierten Anwendungen, wenn es dazu passende Alternativen gibt. Jede Anwendung, die lokal nicht existiert muss auch nicht gewartet werden. Jede Anwendung die zentral bereitgestellt wird, muss auch nur dort aktualisiert werden. Zu diesen Überlegungen gehören auf Seiten des Datacenters auch solche Dinge, dass Applikationen losgelöst vom Betriebssystem bereitgestellt werden. Technologien wie Container helfen hier massiv den Problemen eines Betriebssystemwechsels entgegenzutreten. Wie einst die Virtualisierung die Betriebssysteme von der Hardware losgelöst haben, lösen Container die Applikation vom Betriebssystem. Dies alles macht es natürlich viel einfacher die Infrastruktur auf einem aktuellen Stand zu halten, da die Komplexität der Abhängigkeiten sinkt. Dies hat einen positiven Einfluss auf die Gesamtkomplexität der Infrastruktur und als Synergieeffekt gestalten sich die notwendigen Updateprozesse zudem einfacher. Sicherheit in der IT ist ein Prozess und kein statisches Gebilde, dieser Prozess ist hoch dynamisch und muss daher ständig an die sich ändernden Rahmenbedingungen angepasst werden. Dazu gehört ebenso ein angepasstes und dynamisches Patch- und Updatemanagement, wie auch das hinterfragen von ehemaligen Designentscheidungen. Auch wenn zum damaligen Zeitpunkt die Entscheidung richtig war, muss sie dies unter den aktuellen Bedingungen nicht mehr zwangsläufig immer noch sein und sollte daher neu bewertet werden. Bis aber die Änderungen greifen und die neuen Wege einer modernen durch die “Cloud” inspirierten IT beschritten werden, bleibt nur das kontinuierliche und regelmäßige installieren der zur Verfügung stehenden Updates. Es gibt keinen sicheren Betrieb ohne entsprechende Aktualisierungen für vernetzte Systeme. Andere Maßnahmen für Systeme ohne Support oder auf denen Updates nicht zeitnah installiert werden können oder dürfen, zögern die notwendige Aktualisierung nur heraus. Denn für diese gilt ebenfalls, dass wenn die drumherum gebauten Mechanismen nicht greifen, stehen den Angreifern die Sicherheitslücken komplett zur Verfügung und dies kann verheerende Folgen haben.

Patchen, Patchen, Patchen und nochmals Patchen und zwar ganzheitlich, wie zum Beispiel die jüngsten Updates für Funktastaturen.

Security in der Cloud

Angesichts der Tatsache, dass immer mehr Anwendungen und somit auch deren Daten in der Cloud abgelegt werden, stellt sich immer dringlicher die Frage nach der Sicherheit für Applikationen und vor allem die der Daten selbst. Bei Applikationen die mittels einer Public Cloud zur Verfügung gestellt, greifen die herkömmlichen Maßnahmen zur Absicherung nicht mehr und im besten Fall sind diese nur unzureichend. Daher braucht diese Art der Bereitstellung von Services auch eine andere IT Security. Aus diesem Grund muss ein Umdenken stattfinden und es müssen neue Methoden einzug in die Aufgaben und Arbeitsweisen der Administratoren halten um sich gegen die Cloud abzielende Cyber Attacken zu wehren.

Dass das Cloud Computing in seinen Grundsätzen völlig anders funktioniert, sollte jedem klar sein, der dieses benutzt. Das Cloud Computing bildet nur das gewohnte Verständnis eines Rechenzentrums abstrahiert ab und das noch wesentlich Abstrakter, als es zum Beispiel VMware & Co tun. Dienste und andere Ressourcen sind nicht mehr zwingend einzelnen Rechenzentren oder gar Systemen und Segmenten zugeordnet, was sich ganz deutlich im Serverless Computing, wie zum Beispiel bei den Containern zeigt. Daten liegen in Regionen bzw. über diese Verteilt und diese Regionen existieren nur als Definition der Cloud Anbieter selbst. Von außen betrachtet sieht es wie ein “normales” Rechenzentrum aus, in dem die Systeme und Daten sich befinden, nur ist es genau das in Wirklichkeit nicht. Diese eigene kleine virtuelle Welt der Systeme und Daten ist eben genau dass, eine virtuelle Umgebung, die der Anbieter als solche so darstellt, die aber nicht so funktioniert, wie man es vielleicht von der eigenen vSphere Umgebung kennt. Grundsätzlich ist es natürlich richtig, es so darzustellen, wie sollte man sonst eine für die IT Abteilung administrierbare Welt der Wirklichkeit erschaffen und daher ist es auf keinen Fall falsch diese Art der Darstellung zu wählen. Um aber ein Verständnis der daraus resultieren Anforderungen für die Sicherheit zu bekommen, ist es wichtig zu wissen, dass man zwar das herkömmliche sieht, aber es unter dieser Abstraktionsebene völlig anders ist, was auch genau der Grund dafür ist, dass herkömmliche Ansätze zur IT Sicherheit in der Cloud eben nicht genauso funktionieren. Wer sich dessen Bewusst ist, muss also bei der IT Sicherheit in der Cloud neue Wege gehen und andere Lösungen finden um seine dort betriebenen Applikationen und Daten entsprechend abzusichern. Als erstes muss einem klar sein, dass der Anbieter den Betrieb der Instanzen sicherstellt und sich natürlich darum kümmert, dass seine Infrastruktur sowohl einen zuverlässigen als auch einen, im Sinne der IT Sicherheit, sicheren Betrieb bereitstellt. Aber dann hört es auch schon mehr oder weniger auf, danach liegt wieder alles beim Kunden, genauso wie im eigenen Datacenter. Der Betreiber einer Instanz muss sich um dessen Sicherheit selbst kümmern und auf diesem Hintergrund beginnt das Thema der IT Sicherheit in der Cloud.

Diese Absicherung fängt schon bei der Speicherung der Daten an. Hier ist es ganz besonders wichtig von Anfang an auf Verschlüsselung zu setzen, denn man ist in der Cloud nicht unbedingt alleine auf der Physik darunter. Im Zweifel ist immer davon auszugehen, dass ein anderer “Kunde” sich nicht so verhält wie man es sich wünschen würde. Daher ist es sehr wichtig, dass die Daten verschlüsselt abgelegt werden. Die Cloud Anbieter haben entsprechendes im Portfolio. Hier muss man dann entscheiden, ob man dem Anbieter vertraut, und dessen Verwaltung der Schlüssel nutzt oder ob man am besten in Colocations eigene Systeme zur Verwaltung der Schlüssel betreibt. In diesem Fall ist der Cloud Anbieter nicht im Besitz der Schlüssel selbst. Das ist schon mal die erste Entscheidung die es zu treffen gilt.

Eine weitere Entscheidung ist die, wie man die Zugriffe auf die Ressourcen absichern möchte. Hier gibt es so zu sagen zwei Ebenen, die Netzwerkebene und die Ebene des Benutzers. Es gibt nicht ohne Grund von allen Enterprise Anbietern entsprechende Cloud Versionen ihrer Firewalls, mit den gleichen Funktionen, mit denen man auch seine On Premises Anwendungen schützt. Weiter geht es dann mit der Absicherung des Zugriffs selbst. Als einen der häufigsten Vertreter ist hier https zu nennen, mit all den Fallstricken, die es auch bei dessen Absicherung gibt. Dann gibt es da noch die Ebene der Anwender selbst, hier gilt es sicherzustellen, dass man den Zugriff auch nur den gewünschten Anwendern gewehrt, Identity Management, Multi-Faktor-Authentifizierung, Access Management, um nur wenige zu nennen. Die Anforderungen an die IT Sicherheit in der Cloud sind ähnlich aber eben nicht gleich oder identisch mit denen einer Colocation oder On Premises. Daher ist es wichtig, die Sicherheit in der Cloud neu zu überdenken und zu verstehen, dass eine Cloud eben anders ist.

Die Funktionen in der Cloud sind da, die Hersteller haben entsprechende Produkte in ihren Portfolios, die nicht nur die Default Security Produkte umfassen, sondern auch spezielle Systeme um Anomalien in der eigenen Cloud Instanz zu erkennen und um dann auch entsprechend handeln zu können.

Als Betreiber ist man in der Verantwortung und kein anderer und schon gar nicht der Cloud Anbieter selbst, denn wer eine Instanz betreibt muss sich auch um die Sicherheit kümmern. Das ist eine der Herausforderungen die der Weg in die Cloud für uns bereit hält. Dieser Beitrag soll nicht als Anti-Cloud verstanden werden, sondern will den Anstoß geben, sich dem Thema IT Sicherheit in der Cloud anzunehmen und helfen den Blick für die Unterschiede zum Gewohnten zu schärfen. Grundsätzlich ist ja der Weg in die Cloud nicht per se schlecht, es gilt die richtigen Fragen zu stellen und die Optionen objektiv zu bewerten, mit allem was dazugehört und dazu zählt im Besonderen die Sicherheit der Daten und Anwendungen.

Wie immer, wenn Sie Fragen zum Thema haben, sprechen Sie uns an.

 

Crypto Wars – mal wieder

Nach dem das Innenministerium unter Horst Seehofer mal wieder gegen Verschlüsselung vorzugehen will, sind es dieses mal die Messenger, die ins Visier genommen werden sollen. Die Ende-zu-Ende Verschlüsselung stört den Minister. Zwar wurde zwischenzeitlich wieder etwas zurückgerudert, aber ob das Thema wirklich vom Tisch ist weiterhin fraglich und somit ist es wichtig es auch weiterhin im Fokus zu behalten. Nachgedacht worden ist nicht wirklich, denn es stellt sich wieder die gleiche Frage, wie bei all den Diskussionen, bei denen es um die Schwächung oder die Aushebelung von Verschlüsselung geht: Wie dumm muss man eigentlich sein, anzunehmen, dass wenn man Verschlüsselung absichtlich schwächt oder entfernt, dass dies nicht auch durch Dritte, wie Cyber Kriminelle oder Nachrichtendienste andere Staaten ausgenutzt wird?!

Grundsätzlich ist jede Form von absichtlicher Schwächung oder Beeinträchtigung bei Verschlüsselungstechnologien als grob fahrlässig und als eine Gefahr für die nationale Sicherheit des Landes einzustufen. Es ist absurd und abenteuerlich wie das Innenministerium hier agiert. Offensichtlich wird dort auch nicht verstanden, was Ende-zu-Ende Verschlüsselung ist und warum es wichtig ist, dass bei einer einem solchen Verfahren der Anbieter selbst keine Inhalte von der Kommunikation sieht, sondern nur die beiden Kommunikationspartner sicher und vertraulich miteinander kommunizieren können. Aber es reicht scheinbar nicht, dass unsere IT Infrastrukturen tagtäglich massiven Cyber Angriffen ausgesetzt sind, muss nun das Innenministerium dem noch eins drauf setzen und wieder mal einen Angriff auf Verschlüsselungstechnologie starten. Die Aufgabe des Innenministerium wäre eigentlich doch genau das Gegenteil, die Bürger, die Einrichtungen, die Unternehmen und die Infrastruktur des Landes insbesondere gegen Cyberangriffe zu schützen. Der Weg muss ein deutliches Mehr an Verschlüsselung sein und nicht weniger. In der digitalen Agenda sollte Deutschland zum Verschlüsselungs Standort Nummer Eins werden, mit solchen Ideen werden wir eher zur Lachnummer in der Welt. Auf den einzelnen bezogen ist dies nicht weniger als ein staatlicher Angriff auf seine Privatsphäre, seine Bürgerrechte und seine und die allgemeine IT Sicherheit als solches. Es ist einfach nur unglaublich, wie ignorant das von Horst Seehofer geführte Innenministerium hier vorgeht und die seit Jahren und nun wieder aktuell von Experten vorgebrachten Warnungen und aufgezeigten Gefahren absichtlich ignoriert und somit selbst eine Gefahr für die IT SIcherheit in Deutschland wird. Es mag ja sein, dass sich auch Kriminelle durch Verschlüsselung den Verfolgungsbehörden entziehen wollen, aber dies ist der Preis den wir alle gerne bezahlen sollten, damit unsere digitale Souveränität nicht gefährdet, unsere Daten und Kommunikation vor Dritten sicher ist. Wer hier leichtfertig das ganze Land mit all seinen Bürgern in eine solche Gefahr bringen will, hat zum einen rein gar nichts von der digitalen Welt verstanden und ist somit im Grunde genommen, man muss es leider sagen, völlig fehl am Platz.

In einer Welt, in denen es Staaten nur noch um ihren eigenen Vorteil ohne Rücksicht auf andere geht und ohne Rücksicht auf die eigenen Bürger Handelskriege vom Zaun gebrochen werden ist es doch nur noch eine Frage der Zeit bis Daten ebenso in Geiselhaft zur Erpressung von Zugeständnissen für den eigenen Vorteil genutzt werden. Das ist ja nicht neu, seit Snowden ist es ja sogar bewiesen, wie hier agiert wird, in den meisten Fällen geht es um wirtschaftliche Vorteile und um nichts anderes. Das bedeutet im Umkehrschluss, dass die eigenen digitale Souveränität so gut wie möglich geschützt werden muss und nicht überlegungen des Gegenteils angestellt werden sollten. Daten als solches gewinnen immer mehr an wirtschaftlicher Bedeutung und wer nicht in der Lage ist, seine Daten und die eigene Kommunikation zu schützen, wird gegen rücksichtslos handelnden Akteuren verlieren. Das jüngste Beispiel sind hier die angeblichen Cyber Attacken gegen den Iran, ob bewiesen oder nicht, solche Angriffe haben, siehe Stuxnet und werden weiter stattfinden.  Daher ist es völlig realitätsfremd und blauäugig alleine schon laut darüber nachzudenken, jedwede Verschlüsselung zu schwächen und damit Tür und Tor für die Angriffe Dritter zu öffnen. Eine freie und rechtsstaatliche Gesellschaft ist gerade prädestiniert dafür den Weg einer durch Kryptografie gesicherten Kommunikation und geschützten Daten in einer digitalisierten Welt aufzuzeigen. Wer die digitale Agenda ernst nimmt, sollte alles in seiner Macht stehende tun unser Land hier voranzubringen, denn in vielen anderen Technologien der Digitalisierung sind es andere die uns weit voraus sind. Im Grunde genommen geht es bei dies allem um noch viel mehr, hier geht es um Grundrechte und die IT Sicherheit eines ganzen Landes als solches. Wer nicht in der Lage ist, vertraulich zu kommunizieren, kann auch keine vertraulichen Informationen austauschen und wer nicht in der Lage ist Informationen vor Dritten geschützt durch Kryptografie zu speichern oder zu verarbeiten ist vollkommen schutzlos in der digitalen Welt mit all ihren Cyber Angriffen. Aber wenn dass das Ziel ist, die Bürger ohne geeigneten Schutz den allgegenwärtigen Gefahren der digitalen Welt auszusetzen, macht ein solcher Kurs auf jeden Fall Sinn, zwar nicht für die eigenen Bürger aber für alle anderen, da es ja geradezu eine Einladung an alle Cyber Kriminellen, Wirtschaftsspionage & Co. ist. Wahrscheinlich können sie das Lachen über so ein dummes Verhalten gar nicht mehr zurückhalten. Eigentlich weiß man gar nicht recht, was man zu so wenig Kompetenz der Verantwortlichen in der eigenen Regierung schreiben soll, mit einer Weitsicht von der Tape bis zur Wand.

salutec wechselt zu Nextcloud

Nach der langjährigen Nutzung von Seafile haben wir zu Nextcloud als Plattform für den Austausch von Daten gewechselt. Die Nextcloud Applikation ist neuer, moderner und aktueller, wohingegen Seafile leicht in die Jahre gekommen ist und es Nextcloud als offiziellen Container gibt. Trotzdem ist Seafile eine nach wie vor gute Wahl, wenn nur der Austausch von Dateien benötigt wird.

Technologisch ist das auf Python basierende Seafile mit seinen getrennten Diensten gut aufgebaut und bot zu seiner Zeit ein durchdachtes Update Konzept. Jedoch ist jedes Produkt ohne eine entsprechende und erkennbare Weiterentwicklung irgendwann überholt, vor allem dann, wenn es alternative Plattformen gibt die ebenfalls OpenSource sind und auch selbst betrieben werden können. Einer dieser Alternativen ist Nextcloud, eine moderne Webapplikation mit modularem Konzept und als offizielles Docker Image erhältlich. Durch die Container Basis rückt das Update Konzept etwas in den Hintergrund, da dieses durch die Container Images übernommen wird. Ein offizielles Docker Image fehlt bei Seafile bis heute, was sich somit auf die flexibilität der Basis im Datacenter auswirkt.

Unabhängig von der Plattform sollte sich jeder, der Daten mit anderen austauscht Gedanken machen, wie dies entsprechend sicher gestaltet werden kann. Ob man dazu öffentliche Cloud Dienste einsetzen möchte oder nicht, muss jeder für sich selbst entscheiden, zumal es entsprechenden Alternativen zu den großen Cloud Anbietern gibt. Anwendungen wie ftp sind Grundsätzlich keine Option mehr und es ist wirklich an der Zeit, dass ftp endlich verschwindet. Zu beginn des für die Allgemeinheit aufkommenden Internets mag ftp das schnellere Protokoll gewesen sein, aber diese Zeiten sind schon lange vorbei, http ist “das” Protokoll im Internet, natürlich mit der passenden Verschlüsselung die ftp gänzlich fehlt. Unabhängig den Versuchen ftp durch ftps abzusichern, haben sich die Datenaustauschplattformen auf Basis von https etabliert und die Anwender sind es gewohnt damit umzugehen. Eine Applikation muss heute im Browser funktionieren und da ftp überholt ist, schmeißen die Browserhersteller das Protokoll auch in den zukünftigen Versionen raus. Die aktuellen Versionen der Browser sind wohl die letzten, die ftp noch unterstützen. Es ist also ratsam, sich der aktuellen Zeit anzupassen und auf moderne und entsprechend sicher verschlüsselte Technik zu setzen. Eigentlich sollte es schon mit dem BDSG normal sein, Daten verschlüsselt zu übertragen und spätestens mit der DSGVO selbstverständlich geworden sein. Aber da gibt es immer noch ein paar unbelehrbare Betreiber, denen selbst STARTTLS beim MTA noch fremd ist, obwohl es das schon seit mehr als 10 Jahren gibt – aber das ist ein anderes Thema.

Unsere Wahl für den Einsatz der Nextcloud hatte mehrere Gründe. Wie schon erwähnt, war das zur Verfügung stehen eines offiziellen Container Images ein sehr wichtiger Punkt bei der Auswahl der Lösung, wie auch der neueste technische Stand der Anwendung mit ihrem Modulkonzept. Aber auch die Basis auf OpenSource, die Einhaltung der DSGVO und es selbst hosten zu können, brachten entsprechende Pluspunkte bei der Entscheidung. Weiter kam hinzu, dass einige Kollegen Nextcloud im privaten Bereich selbst einsetzen und somit sich entsprechend positiv dazu geäußert haben. Da wir selbst über Datacenterressourcen am Standort Frankfurt zur Verfügung, war es für uns nicht weiter aufwändig die Applikation in Eigenregie online zu bringen. Vom Start weg zeigte sich die Nextcloud Anwendung im Container als zuverlässig und schnell. Die Wartbarkeit dieser Lösung durch die Container Images ist sehr gut und ermöglicht eine Abstraktions zum Betriebssystem selbst. Als Reverse Proxy, wie beim Seafile auch, kommt wieder Nginx zum Einsatz. So ist die Anwendung vom darunterliegenden Betriebssystem losgelöst und macht dieses einfach austauschbar, weil es es keine Abhängigkeit mehr gibt. Die Applikation läuft so, wie es die Entwickler vorgesehen haben, ohne dass das Basisbetriebssysteme bestimmte Voraussetzungen erfüllen muss. Es braucht lediglich die Services um Container laufen zu lassen. Die Einfachheit der Umgebung in Kombination mit den Container Images ermöglicht eine per Script zu steuernde Reproduzierbarkeit der Installation und somit auch eine vollständige Automation.

Nextcloud selbst ist klar strukturiert und bietet eine Vielzahl an Möglichkeiten die Anwendungen an die verschiedenen Wünsche an den eigenen Betrieb anzupassen. Diese Flexibilität wird nicht zuletzt durch das Modulkonzept erreicht. Die Verwaltung ist intuitiv und gut strukturiert, was wiederum die Administration sehr vereinfacht. Grundsätzlich lässt sich die Nextcloud sehr einfach an die eigenen Bedürfnisse anpassen.

Als Fazit lässt sich festhalten, wer eine Plattform für den Datenaustausch sucht, die noch die eine oder andere Möglichkeit an zusätzlichen Funktionen bieten soll, sollte sich Nextcloud auf jeden Fall genauer ansehen. Wer schlicht Dateien austauschen möchte und nicht unbedingt auf Container setzt ist auch mit Seafile gut unterwegs. Die Webapplikation Nextcloud hingegen ist so zu sagen “state of the art”.

 

Zukunftstechnologie Container

Container sind kein Hype oder ein Spielzeug für Nerds, sondern schon längere Zeit ein ernstzunehmendes Thema für reale Workloads und ein Kernelement bei der Automatisierung. So gesehen sind Container für vieles die Zukunft in der IT. Der Betrieb von virtuellen Maschinen (VM) auf einem klassischen Hypervisor ist doch schon längst , wenn auch immer noch eine sehr wichtige, Legacy IT.

Die klassische Virtualisierung wird auch noch weiterhin einen hohen Stellenwert in den Datacentern haben. Dabei spielt es keine Rolle, ob in der Cloud, der Colocation oder On Premises, trotzdem ist es Stand heute eine Legacy IT Technologie, die selbst bei mittelständische Unternehmen schon seit mehr als 15 Jahren im Einsatz ist. Dies wird nicht zuletzt auch daran deutlich, dass die Innovationen bei den Hypervisoren in den letzten Jahren überschaubar geworden sind. Die Technologie ist ausgereift und zuverlässig, aber das sind Container auch. Die Basis für den Betrieb von Containern gibt es ebenfalls schon etwas länger und wurde in 2013 mit Docker populär. Docker hat es geschafft, das Benutzen von Containern so zu verpacken, dass dies für eine breitere Gruppe von Anwendern möglich wurde. Aus dem anfänglichen Hype wurde eine stetige Weiterentwicklung die in eine Zukunftstechnologie mündete und an diesem Punkt sind wir jetzt. Container schicken sich nicht an, die klassischen virtuellen Maschinen oder gar die Technologie der Hypervisor beerben oder gänzlich ablösen zu wollen, aber viele Workloads die bis jetzt als einzelne VM betrieben wurden, werden durch die Container Technologie abgelöst.

Denkt man an die Anfänge der Virtualisierung zurück, ging es um Effizienz und bessere Administrierbarkeit, einfacheres Backup und der Unabhängigkeit von der Hardware, die durch den Hypervisor abstrahiert wird. Die Virtualisierung war für einen großen Innovationsschub und für eine effiziente Nutzung der physikalischen Ressourcen verantwortlich und hat ein großes Ökosystem um sich herum geschaffen. So langsam zeigen sich aber auch die Grenzen dieser Technologie und dabei sind Effizienz, Skalierbarkeit, Portabilität und Automation ist nur einige davon. Selbst kleinere Unternehmen betrieben eine Vielzahl von VM’s in ihren Datacentern. Es ist ja auch grundsätzlich richtig verschiedene Workloads voneinander zu trennen. Damit ist man aber jetzt direkt beim Thema Effizienz, denn mit immer mehr VM’s die jeweils ein eigenes vollwertiges Betriebssystem benötigen, steigt auch der Overhead im Verhältnis zum Workload und den Daten. Hat man nur VM’s ist dieser Weg alternativlos um die Workloads mit ihren verschiedenen Anforderungen zu trennen. Ein Beispiel hierfür sind mehrer PHP Versionen die die Entwicklung parallel benötigt.

Genau hier setzt die Technologie der Container an, sie ist effizient, skalierbar, portabel, flexibel, einfach und lässt sich zudem sehr gut automatisieren. Container virtualisieren nicht die Hardware, wie beim Hypervisor mit seinem VM’s, sondern virtualisieren auf der Ebene des Betriebssystems. Das macht sie schlanker, lässt sie schneller starten und auch nur einen Bruchteil der Ressourcen verbrauchen. Das wird u.a. auch mit dem Multi-Layer Dateisystemen erreicht, die die Technologie der Container mitbringt und die Wiederverwendbarkeit von Images in verschiedenen Containern. Damit sind Container der nächste logische Schritt in der Entwicklung der IT. Das die Technologie der Container funktioniert hat zum Beispiel Google schon längst bewiesen. Google schreibt selbst, dass bei ihnen von Gmail bis YouTube oder die Suche alles in Containern läuft. Jetzt hat nicht jedes Unternehmen eine IT wie Google und darum geht es auch gar nicht. Es zeigt aber auf jeden Fall, dass es für Container keine Grenzen gibt und diese auch für sehr große Workloads geschaffen sind. Für die allermeisten Nutzer von Containern dürften aber Themen wie die einfachere Umsetzung und das Ausrollen von neuen Anwendungen oder Projekten im Vordergrund stehen. Natürlich spielt nicht zuletzt der Umstand der immer wichtigeren Webanwendungen den Containern so zu sagen in die Hände. Bei den mobilen Geräten sind es die Apps und auf dem Desktop ist es der Browser als Schnittstelle zum Anwender, auf den Servern läuft die Webanwendung und das tut sie heute sehr oft im Container. Die omnipräsente Digitalisierung und “die” Cloud basiert mit Sicherheit nicht auf klassischen Client/Server Anwendungen der Vergangenheit und wohl eher auf modernen Applikationen.

Um es noch einmal aufzugreifen, Container haben nicht den Anspruch den Hypervisor oder VM’s obsolet zu machen, im Gegenteil, in vielen Fällen werden die Container auf einem virtuellen Host betrieben. Der Betrieb von virtuellen Container Hosts dürfte für die meisten IT Abteilungen der aktuell sinnvollste Weg zu sein, entsprechende Plattformen für die Entwickler und den Betrieb von Container bereitzustellen. Nur wenige IT Abteilungen werden den Bedarf an physikalischen Farmen für den Betrieb von Containern haben. Dies kann sich zwar in Zukunft einmal ändern, dass im Datacenter aus Gründen der Leistung oder anderer Anforderungen eine physikalische Trennung zwischen den Technologien stattfindet, um so die Workloads je nach Technologie auf der einen oder anderen Farm zu betreiben. Um aber heute einen Einstieg in die Technologie zu bekommen, bietet es sich geradezu an die vorhandenen Ressourcen des VM-Umgebung zu nutzen. Damit wird es natürlich sehr einfach Container zu verwenden, ohne dafür zusätzliche Infrastruktur anzuschaffen. Container bilden für eine Vielzahl von Anwendungsfällen den bessere und effizientere Ansatz und genau so sollte man diese Technologie auch verwenden. Vor allem auch in der Zusammenarbeit mit den Anwendungsentwicklern und ihnen so die Möglichkeit zu geben ihre Anwendungen lokal zu entwickeln und diese dann unter identischen Rahmenbedingungen im Datacenter zu betreiben. Die Verwendung von Container bedeutet aber auch ein Umdenken, nicht nur, weil Container keine VM’s sind und sie daher auch anders verwendet werden müssen, sondern auch, wie in Zukunft Anwendungen ausgerollt und entwickelt werden. Durch den Einsatz von Containern werden die Abläufe schneller, die Wege kürzer und das Deployment einfacher. Es kostet zwar etwas Zeit, sich mit dem Thema zu beschäftigen, aber diese zu Beginn investierte Zeit steht in keinem Verhältnis zu den Vorteilen und der ganz neuen Effizienz durch diese Technologie. Diese Technologie basiert auf vielen Dingen der OpenSource Community und so mancher wird sich vielleicht scheuen, hier nicht auf einen gewohnten Hersteller Support zurückgreifen zu können. Wer dies möchte und auch bei dem Betrieb von Containern auf kommerziellen Support zurückgreifen will, kann dies auch tun. Einer der Marktführer ist Redhat in diesem Bereich mit verschiedenen Plattformen für entsprechende Lösungen. Es gibt auch Lösungen von VMware & Co., Optionen stehen also auch hier zur Verfügung. Bei Fragen zum Thema Container Infrastruktur stehen wir wie gewohnt über die üblichen Kontaktwege zur Verfügung.

[Update]
VMware als auch Microsoft Azure sehen das Potential in den Containern und integrieren Red Hat OpenShift in ihre Umgebungen. Dazu gibt es einen Blog Artikel im vSphere-Blog von VMware und auf Golem zur Verbindung von Red Hat und Azure. Zu Red Hat und deren Produktportfolio und hier insbesondere zum Thema Container Lösungen wird es einen eigenen Beitrag hier im Blog geben.

DoH – DNS over https

Das Vorhaben von Firefox und Chrome in Zukunft die DNS Anfragen an den lokalen Resolvern vorbei per https über wenige zentralen Dienste abzuwickeln birgt mehrere Gefahren und Probleme, die noch nicht beantwortet sind. Bis jetzt gibt es nur wenige Vorteile und auch hier nur in öffentlichen Netzen.

In öffentlichen Netzen und teilweise mit viel gutem Willen im privaten Bereich gibt es aus Sicht des Datenschutzes ein paar Argumente, die für DoH sprechen. Jedoch gerade beim Thema Datenschutz muss aber auch die Frage gestellt werden, was machen die wenigen Resolver, die Stand jetzt von den großen Internet Konzernen betrieben werden, mit all den Anwenderdaten, die sie per DoH zusätzlich bekommen? Es ist zwar jetzt der Weg vom Browser zum Resolver verschlüsselt und kann zum Beispiel durch den Provider nicht eingesehen werden, aber im Gegenzug wissen dafür aber dann US Konzerne welche DNS Anfrage man gesendet hat. Wo jetzt da der Vorteil liegen soll erschließt sich mir irgendwie nicht. Die Frage ist auch im Privaten einfach, habe ich mehr Vertrauen zu Google, Cloudflare & Co. oder zu meinem Provider wie zum Beispiel der Telekom? Was ist mit den Diensten im Heimnetzwerk, die durch den lokalen Router, wie die Fritz!Box, aufgelöst werden? Auch hier wirft die Änderungen im DNS Verhalten der Browser mehr Probleme als Nutzen für den einzelnen Anwender auf. Denn viele Anwender die automatisch ihren Browser aktualisieren und diese Funktion sich automatisch ab einer kommenden Version einschaltet, wird den Zusammenhang der dann auftretenden Probleme im Heimnetz ab diesem Zeitpunkt wirklich vor Probleme stellen.

In Bezug auf Firmennetzwerke halte ich die Idee der Browser Entwickler salopp gesagt für Schwachsinn. Die DNS Dienste in Firmennetzwerken sind ein filigranes und empfindliches Gebilde, welche über die Jahre entsprechend gewachsen ist. Teilweise gibt es dort hochkomplexe Split-DNS Konfigurationen, die das Funktionieren der internen und externen Dienste für den Anwender garantieren und jetzt nehmen sich die Entwickler der Browser heraus es bestimmen zu wollen welcher DNS Resolver ein Browser fragen soll und sich nicht an den im IP Stack zugewiesenen zu halten?! Sorry, die haben den Knall nicht mehr gehört und absolut keine Ahnung wie Firmennetzwerke funktionieren. Alleine sich anmaßen zu wollen diese Entscheidung für die Welt zu treffen zeigt nur zu deutlich, dass die Entwickler nicht wirklich wissen was sie da tun und welche Konsequenzen dies hat. Offensichtlich sehen sie die Tragweite ihrer Entscheidung überhaupt nicht und somit haben sie absolut keine Ahnung wie Netzwerke und DNS in Unternehmen funktionieren.

Ich halte überhaupt nichts davon, dass andere eine solche Entscheidung über die Köpfe von Anwendern und vor allen von Administratoren in Firmennetzwerken hinweg treffen, die sich nicht einmal der wirklichen Konsequenzen ihrer Entscheidung bewusst sind. Denn wären sie sich der Konsequenzen bewusst, dann würden sie den Anwendern oder den Administratoren diese Option nur anbieten und jeder entscheidet für sich selbst ob er nun doch einen Resolver der Internetriesen oder den Resolver nimmt, der ihm die Antworten liefert, damit seine Dienste weiter funktionieren. Aus meiner Sicht entbehrt dies nicht einer gewissen Arroganz gegenüber den Anwendern und Administratoren es besser wissen zu wollen. An dieser Stelle möchte ich noch einen weitere Punkt anmerken, wenn in Zukunft dann jeder Entwickler einer App oder Anwendung nach seinem Gutdünken sich einen Resolver am Betriebssystem vorbei auswählt, wird es für die Verantwortlichen und vor allem für die Support Teams immer schwieriger die IT am Laufen zu halten. Jeder stöhnt über die zu große Komplexität der IT Infrastruktur und jetzt setzt man mit DoH noch eins oben drauf, was so gut wie nicht kontrollierbar ist – da muss man sich ernsthaft fragen, was in deren Köpfen vorgeht bzw. in welcher Realitätsblase sie sich befinden?!

Auch lasse ich das Argument der Sicherheit nicht gelten, denn gerade in Firmennetzwerken ist die Überprüfung der DNS Anfragen der Clients auf gefährliche Hosts ein wichtiger Baustein in den Cyber Security Maßnahmen eines Unternehmens und genau dieser Schutz soll jetzt fremdbestimmt umgangen werden?! Dass kann es ja wohl nicht sein. Es ist absolut unmöglich und realitätsfremd, was sich die Entwickler der Browser und in Zukunft wohl noch andere Apps und Anwendungen hier herausnehmen und bestimmen zu wollen. Dabei will ich ihre Ziele das Internet sicherer zu machen gar nicht in Abrede stellen, aber dies ist definitiv der falsche Weg und wenn nur ein wenig mehr darüber nachgedacht wird, begreift man dies auch, dass es so definitiv nicht geht.

Sollte es dennoch gemacht werden und die Funktion DoH automatisch aktiviert werden, dann ist dies eine Steilvorlage für die Unternehmen wieder auf den IE bzw. den Edge Browser (demnächst auf Chromium Basis) zu wechseln und wieder Firefox und Chrome aus den Netzen der Unternehmen zu verbannen. Ob die Anwender in diesem Fall wieder mit einem besseren bzw. einem besser abgesicherten Browser unterwegs sind, ist die Frage und was in diesem Fall wirklich in Sachen Cyber Security insgesamt gewonnen wurde dann auch.

Das Fazit muss aus meiner Sicht Stand heute sein, die Finger davon zu lassen und nicht noch neue Probleme schaffen, für die es noch keine Lösung gibt. Chrome und Firefox sind sehr gute Browser, die ich auch gerne benutze aber dieses Vorhaben halte ich ohne die passenden Lösungen für die offenen Fragen und die Probleme in Heim als auch Firmen Netzwerken für grundlegend falsch. DoH ist eine schöne Idee aber nicht bis zu Ende gedacht oder ist nur für eine bestimmte Anwendergruppe mit Vorteilen für die Internet Konzerne gedacht und der Rest der Anwender und Administratoren ist den Entwicklern schlichtweg egal, wobei wir dann wieder bei der Arroganz sind. Schöne Ideen alleine nützen halt nichts, wenn man eben nicht das große Ganze sieht und was die Realität und Notwendigkeiten betrifft, die in den Netzwerken zu Hause und vor allem auch in den Unternehmen bestehen.

Automation in der IT als Ausweg

Die Aufgaben einer IT Abteilung werden immer umfangreicher und komplexer, trotzdem müssen Kosten eingespart, die Effizienz erhöht werden und zusätzliches Personal steht auch nicht zur Verfügung. Auf der anderen Seite wird erwartet, dass die Infrastruktur jederzeit verfügbar ist und das Tagesgeschäft ebenfalls zeitnah abgewickelt wird. Dazu kommen noch die Anforderungen an die Cyber Security, die bei der aktuellen und zu erwartenden Bedrohungslage sehr hoch sind. Ein Blick in den Lagebericht des BSI genügt, dass hier jedem klar wird, wie wichtig der Schutz vor Cyber Attacken ist. Damit eine IT Abteilung die Anforderungen und Erwartungen, die in sie gesetzt werden erfüllen kann, braucht es neue Ansätze und einer davon ist Automation.
Diese neuen Ansätze zu finden ist für sehr viele IT Abteilungen ein fast unmöglicher Spagat, denn sie sind so im Tagesgeschäft gefangen, dass keine Zeit mehr bleibt sich Gedanken um neue und bessere Wege zu machen, Ideen zu verfolgen oder eine langfristige IT Strategie zu planen. Ganz zu schweigen davon, eine Vision zu entwickeln, wie sich die IT noch mehr in die Wertschöpfungskette einbringen kann und so das ganze Unternehmen durch das vorhandene Potential in den anderen Fachabteilungen gemeinsam auf ein ganz neues Level zu heben. Dafür ist einfach keine Zeit und somit bleibt das vorhandene Potential völlig ungenutzt liegen. Dabei wäre es so wichtig, dass Unternehmen bei der Digitalisierung aktiv mit dabei sind und nicht den anderen dabei zuschaut, wie sie nicht nur vorbei, sondern immer weiter weg ziehen. Daher wird es Zeit einige Dinge grundsätzlich und wertfrei zu hinterfragen. Ganz wichtig dabei, hier geht es nicht um Fingerpointing, denn in der Vergangenheit ist nicht unbedingt etwas falsch gemacht worden, die Dinge haben sich nunmal so entwickelt und man muss sich entsprechend anpassen. Dass einzig wichtige dafür ist, es muss die Bereitschaft zur Veränderungen vorhanden sein. Denn die muss geben, um sich den neuen Rahmenbedingungen zu stellen.
Um das zu tun, braucht es aber Zeit, die Stand heute nicht da ist und genau hier kommt die Automation ins Spiel. Dinge zu automatisieren ist fast schon so alt, wie die IT selbst. Vielleicht ist es durch die bunten Oberflächen etwas aus den Augen verloren worden, aber die Funktionen sind nach wie vor vorhanden: Batch-Dateien unter Windows, Shell-Skripte bei den unixoiden Betriebssystemen usw., neu hingegen sind so Dinge wie RestAPI’s, JSON, MQTT oder WebHooks. In der unixoiden und der Netzwerk Welt war es schon immer so und daran hat sich bis heute nichts geändert, administrative Arbeiten werden per CLI erledigt. Die Windows Welt hat in den vergangenen Jahren ganz massiv mit der PowerShell den gleichen Weg eingeschlagen und setzt nun konsequenterweise auch auf OpenSSH für den Remote Zugriff. Damit steht alles zur Verfügung um die Routineaufgaben automatisiert und zentral gesteuert zu erledigen und sich somit die notwendige Zeit für Neues zu verschaffen. Das dafür aus unserer Sicht richtige Werkzeug ist Ansible und das sowohl in der freien und in der kostenpflichtigen Variante. Ansible bietet viele Vorteile und kann vor allem mit sehr vielen Systemen direkt umgehen, denn es gibt eine riesige Anzahl zur Verfügung stehender Module für alle möglichen Bereiche der IT. Dazu gehören eben nicht nur die Server und deren Applikationen, sondern auch der ganze Bereich Netzwerk, Storage und Virtualisierung. Gibt es für eine Anforderung kein Modul, dann schreibt man es eben selbst, den geht nicht, gibt es nicht. Somit gibt es keine Grenzen für den Einsatz von Ansible und das sogar noch über den schon sehr großen Tellerrand der Automation hinaus.
Denn jetzt wird es interessant, tritt man einen Schritt zurück und betrachtet das große Ganze fügt sich alles zusammen: User Experience, Helpdesk, Routineaufgaben, DevOps, Cyber Security, Verfügbarkeit und Effizienz. Es greift alles ineinander und das herstellerübergreifend durch die neuen Schnittstellen und der Automation selbst. Diese Verzahnung macht aber nicht an den Grenzen der IT Abteilungen halt, sondern lässt sich auch auf das Unternehmen ausdehnen. Moderne System bieten Schnittstellen in Form von API’s, mit denen sich auf einfache Weise eine Verzahnung und somit eine Automation einrichten lässt.
Um es besser zu verdeutlichen ein paar einfache Beispiele aus den Optionen für die IT:
Wartungsarbeiten wie das Patchen der Serversysteme und der Anwendungen gehören zu den wichtigsten Aufgaben einer IT im Kampf gegen Cyber Attacken. Ist eine Umgebung schon ein klein wenig größer, dann fordert dies entsprechend viel Zeit zur Durchführung der Wartungsarbeiten. Diese Arbeiten lassen sich aber hervorragend mit Ansible und dessen Playbooks automatisieren. Dabei führt Ansible nicht nur einfach zeitgesteuert irgendwelche Scripte aus, sondern kann die Rückgabewerte entsprechend auswerten, dementsprechend reagieren und auch somit notwendige Neustarts durchführen. Durch die Integration in ein Monitoring System schaltet Ansible vor den Patches die Notifications ab oder setzt den entsprechenden Maintenance Mode. Im Anschluss werden die Notifications wieder aktiviert bzw. für alle Hosts mit Problemen, bei denen die Installation zum Beispiel nicht erfolgreich war, wird ein Ticket durch Ansible geöffnet und die Administratoren können es sich ansehen. Bei diesem Szenario gibt es einen Verbund aus Monitoring, Ansible und Ticket System.
Ansible kann aber auch zur Unterstützung des 1st Level Support genutzt werden. Dies kann zum Beispiel der Fall sein, dass der Support sehr einfach einen VPN Tunnel neu initiieren kann, in dem er über ein Portal oder direkt aus dem Prozess in einem Ticket dieses per Ansible gesteuert an das entsprechende Gateway gibt. Dabei kann dann Ansible dem Support noch eine entsprechende Statusinformation zum Tunnel als direktes Feedback geben. Bei man eine solche automatisierte Unterstützung entsprechend aus, so können schon sehr viele Dinge direkt vom 1st Level Support erledigt werden und müssen nicht in die nächste Ebene. Damit werden Tickets schneller bearbeitet und die User Experience steigt.
Ein mehr oder weniger lästiges Thema bei den Netzwerkadministratoren ist die regelmäßige Sicherung der ‘running configs’ und genau dabei kann Ansible sehr gut und sogar ‘out of the box’ unterstützen. Durch die Module für so gut wie alle möglichen Netzwerkkomponenten kann man dies vollständig automatisieren. In der aktuellen FortiOS Version 6.0 und dies noch in Kombination mit dem FortiManager und FortiAnalyzer steht eine komplette API zur Steuerung der Systeme zur Verfügung. Diese Option in Kombination mit Ansible stellt den Administratoren ein solch mächtiges Werkzeug zur Verfügung, was durch die flexibilität der Playbooks keine Wünsche mehr offen lässt.
Diese Möglichkeiten gelten auch für alle großen und kleinen Clouds und dabei spielt es gar keine Rolle, ob Public oder Private, VMware, OpenStack oder Docker & Co. alles lässt sich automatisieren und zentral steuern. Komplette Deployments bis hin zur Individualisierung der Servicekonfigurationen, es gibt keine Grenzen.
Aber eine Warnung vorweg, Ansible beinhaltet für Administratoren ein hohes Suchtpotential, denn die Ideen kommen mit zunehmender Nutzung der Plattform für die Administration und es zeigt sich das große Potential, welches in Ansible steckt. Vor allem auch, weil es weit über die klassische IT hinausgeht und man viele Bereich mit einbinden kann, die für bestimmte Dinge eine Automation benötigen.
Durch die Automation kann man sich nun die Zeit verschaffen, die IT wieder voranzubringen, Visionen zu entwickeln und die Aufgaben der Digitalisierung aktiv im eigenen Unternehmen gestalten. Seine Zeit mit Routineaufgaben und Turnschuhadministration zu verbringen ist alles andere als zeitgemäß. Gerade auch deshalb, weil es Werkzeuge wie Ansible gibt. Hinter Ansible steht Redhat und somit auch entsprechender Support in der kommerziellen Version. Um mit Ansible etwas zu spielen und auch darüber hinaus, reicht die OpenSource Version aus. Wenn man aber mehr machen möchte und vor allem dann, wenn es um Dinge wie die Integration in das große Ganze geht, dann sollte man zur kostenpflichtigen Version greifen. Die Kosten einer Automation sind relativ, denn diesen stehen den weitaus höheren personellen Kosten gegenüber, die sich einsparen und somit für sinnvoller Tätigkeiten nutzen lassen.

Absicherung unternehmenskritischer Webapplikationen

Webapplikationen gewinnen für Unternehmen immer mehr an Bedeutung und sind zunehmend als unternehmenskritisch einzustufen. In Zukunft wird sich dies noch mehr steigern, da immer mehr Applikationen, die herkömmlich einen lokal installierten Client erforderten, als Webapplikationen und somit als zentraler Dienst zur Verfügung gestellt werden. Da diese Art der Bereitstellung deutliche Vorteile gegenüber traditionellen Client/Server Anwendungen bieten, wird sich dieser Trend weiter fortsetzen. Durch diese Änderung in der Applikationslandschaft müssen auch die Sicherheitsmechanismen entsprechend angepasst werden.

Der breite Einsatz von Webapplikationen verändert viele Bereiche in der IT und macht somit eine neue Bewertung der geänderten Situation erforderlich. Es ist keine Frage, ob sich die Webapplikationen durchsetzen werden oder nicht, sondern nur, wann es denn so weit sein wird. Als Verantwortlicher im Bereich der Client Infrastruktur oder des End User Computing ergeben sich gleich mehrere Vorteile, wenn lokal installierte Applikationen auf dem Client nicht mehr benötigt werden. Die Aufwände für das Ausrollen der Anwendung und deren stetige Aktualisierung werden schlagartig obsolet und es ist nur noch eine Konzentration auf das Betriebssystem und den Browser notwendig, der für den Zugriff auf die Webapplikation benötigt wird. Da Microsoft mit ihrem Edge Browser einen neuen Weg eingeschlagen hat und in Zukunft die Chromium-Engine verwendet, ist es vorstellbar, dass ein Windows System „out of the box“ direkt vom Benutzer verwendet werden kann, ohne, dass die IT noch eine große Menge an zusätzlichen Installationspakete auf das System ausbringen muss. Dies alles spart sehr viel Zeit und macht auch einen Client schlanker und zugleich dadurch auch sicherer, da er weniger Angriffsfläche für Cyber Attacken bietet. Denn gerade Software von Drittanbietern, wie Adobe Acrobat oder Reader, Oracle Java, 7-zip & Co. sind oft Einfallstore für Schadcode. Denk man hier aber nur etwas weiter, so öffnet sich die Tür für eine andere Art von Clients, die vielleicht gar nicht mehr auf Windows basieren, was BYOD Szenarien einfacher möglich macht oder auch von Apps für mobiler Device mehr als nur ein kleiner Spalt, gegenüber denjenigen Clients, die eine IT normalerweise bereitstellt und die zugleich den Nachteil haben, dass mit ihnen viele neue Konzepte einfach nicht umsetzbar sind. Läuft die Applikation im Browser sind auch lokal auf dem System keine Daten im herkömmlichen Sinne mehr gespeichert. Dies spielt wieder weit in das Thema IT Sicherheit und Datenschutz respektive DSGVO mit hinein, vor allen auch deshalb, weil es mit Webapplikationen sehr einfach zu protokollieren ist, wer wann auf welche Daten wie zugegriffen hat. Sollte es einen für die DSGVO relevanten Datenabfluss geben, lässt es sich ebenfalls viel einfacher nachvollziehen, welche Daten betroffen sind und welchen Umfang der Vorfall hatte. Damit ist man direkt im Thema DSGVO und Meldepflichten angekommen, was für sehr viele eine sehr große Herausforderung darstellt. Um nun wieder die Kurve Richtung Absicherung zu bekommen, spielt das Thema Remote oder VPN Zugang zum Unternehmen eine wichtige Rolle. Ein vollwertiges VPN mit einer Netzwerkkopplung zwischen einem externen Client und dem Unternehmensnetzwerk ist viel schwieriger abzusichern und somit komplexer und fehleranfälliger gegenüber einer einzelnen Applikationsverbindung. Mit einem VPN in Form einer Netzwerkkopplung öffnet man das Unternehmensnetzwerk gezwungenermaßen in Richtung des Clients. Oft hat man hier als Verantwortlicher auch keine große Wahl, da der Client entsprechende Verbindungen zum AD benötigt und die lokal installierten Anwendungen dann direkt mit den Serversystemen und Datenbanken kommunizieren müssen. Bei einer Webapplikation hingegen benötigt man nur https und ggf. http für den Redirect. Die Verschlüsselung eines VPN’s und einer https-Verbindung basiert schlussendlich auf der gleichen Basis von AES Verschlüsselung, elliptischen Kurven und Prüfsummen. Daher ist die Diskussion welcher Zugang der sicherere ist, ebenfalls obsolet und vor allem dann, wenn statt IPSec ein SSLVPN zum Einsatz kommt. Der Mehrwert bei der Absicherung kommt auch bei der Serverumgebung zum Tragen. Hier lässt sich durch die klaren Strukturen von Applikationsservern, ggf. einer Middelware, den Datenbankservern und den Frontend Systemen, wie Reverse Proxies usw. ein sehr einfaches und zugleich sehr effektives Regelwerk mit Firewalls erstellen um die jeweiligen Systeme entsprechend vor unerwünschten Zugriffen zu schützen. Bei einer klassischen Client/Server Umgebung muss der Zugriff auf die Server von jedem Client aus erlaubt sein, damit die Anwendung funktioniert. Gegenüber der Webapplikation ist diese Angriffsfläche so zu sagen eher riesig, statt minimal. Ein gutes Beispiel hierfür sind Datenbankserver, die immer wieder von massiven Sicherheitsproblemen betroffen sind. Da die Datenbank mehr oder weniger von jedem Client direkt angesprochen werden kann, müsste diese sofort aktualisiert werden, was aber in den meisten Fällen im normalen Betrieb überhaupt nicht möglich ist. Bei einer Webapplikation hingegen hat ein normaler Client gar keinen direkten Zugriff auf die Datenbank und diese ist somit durch einen Client gar nicht erst angreifbar. Dies verschafft der IT Zeit ein entsprechendes Wartungsfenster für die Aktualisierung zu planen ohne die Sicherheit der Daten so massiv zu gefährden, als hätte jeder die Möglichkeit nun diese Sicherheitslücke auszunutzen. Das Thema der Webapplikationen hält daher viele Synergieeffekte bereit, die die vermeintlichen Nachteile dieser Art der Applikationsbereitstellung überwiegen. Denn häufig hört man das Argument, dass man um Arbeiten zu können online sein muss. Aber wenn man hier ganz ehrlich ist, dann ist dies doch der Normalzustand und für den Remote Zugriff gibt es sowieso keine andere Option. Dies gilt auch für die Zusammenarbeit mit Kunden und Partnern, ohne online zu sein, ist hier ebenfalls nichts mehr möglich. Noch nicht mal mehr telefonieren, da der SIP Trunk auch auf einer Kommunikation per IP-Protokoll basiert.

Unternehmen, die diesen Weg der Applikationsbereitstellung weitergehen, müssen sich Gedanken machen, wie man die so über das Internet bereitgestellte Applikationen entsprechend absichert. Vielen ist es wahrscheinlich gar nicht bewusst, aber diese Art Anwendungen bereitzustellen, wird von den meisten seit mehr als zehn Jahren schon gemacht – Outlook-Web-Access oder jetzt Outlook-Web-App (OWA), Outlook Anywhere und ActiveSync wird per https über das Internet für die Mitarbeiter bereitgestellt, damit diese mit ihren mobilen Geräten Zugriff auf ihre Mails, Kontakte und Kalender haben. Dabei spielt es gar keine Rolle ob der Exchange in Eigenregie oder in der Public Cloud läuft, der Weg dorthin ist immer https und somit ist es eine Webapplikation. Die Vorteile von überall an seine Mails, Termine und Aufgaben zu kommen, will keiner mehr abgeben und daher ist es nur eine Frage der Zeit, bis die anderen Anwendungen ebenfalls nur noch auf diesem Weg genutzt werden. Aber dieser Weg benötigt eine für den Betrieb ausreichende Sicherheit und eine entsprechende Absicherung der Anwendung selbst. Die gute Nachricht ist, dass es auf dem IT Markt Produkte gibt, die genau dazu in der Lage sind. Es steht alles zur Verfügung, man muss die vorhandenen Produkte nur entsprechend einsetzen. Wer Applikationen so bereitstellt, muss Systeme wie Web Application Firewalls (WAF), Application Delivery Controller (ADC), Intrusion Prevention System (IPS) sowie Reverse Proxies und Load Balancer ebenso selbstverständlich einsetzen wie Firewalls zur Absicherung der Netzwerksegmente. Grundsätzlich gehört aber auch ein Netzwerk- und Segmentierungskonzept mit dazu, dass die verschieden Systeme zu deren Schutz in unterschiedlichen Bereiche (Zonen) passend aufteilt. Ein solches Konzept muss auch die zukünftige Skalierbarkeit der Applikation berücksichtigen. Ein gutes Beispiel für eine solche Eigendynamik sind Intranet Lösungen oder Plattformen für den Austausch von Dateien. Häufig beginnen solche Projekte mit einer kleinen Anfrage aus einer Fachabteilung für die Bereitstellung entsprechender Webapplikationen im Rahmen eines Kundenprojektes oder für die Zusammenarbeit mit einem Partner. Bei allen Beteiligten zeigen sich sehr schnell die Vorteile von diesen Anwendungen und deren einfache Erreichbarkeit ohne aufwendiges bereitstellen von VPN Zugängen für interne und externe Benutzer. Es dauert dann meist nicht lange, bis die Eigendynamik ins Spiel kommt und immer mehr Abteilungen und externe Benutzer die Anwendungen verwenden bis schlussendlich das komplette Unternehmen dies tut. Spätestens zu diesem Zeitpunkt werden die Anwendungen dann unternehmenskritisch, denn bei einem Ausfall hat dies einen direkten Einfluss auf die Produktivität. Daher ist es sehr ratsam von Anfang an auf die Skalierbarkeit der jeweiligen Anwendung zu achten, weil es auf einmal für die IT Abteilung sehr schnell gehen kann, diese Anwendungen einer größeren Anzahl von Anwendern für das parallele Arbeiten auf diesen Systemen bereitstellen zu müssen. Designfehler von Quick’n Dirty Installationen lassen sich später nur mit großem Aufwand wieder beheben, meist es ist eine komplette Restrukturierung der Applikation mit aufwendiger Übernahme der vorhandenen Daten. Vor allem bietet ein durchdachtes Design von Anfang an überhaupt erst die Möglichkeit Webapplikationen entsprechend abgesichert bereitzustellen. Bei selbst entwickelten Applikationen müssen alle Abteilungen, wie Software Entwicklung, Netzwerk, IT Sicherheit, Serversysteme, Infrastruktur usw. von Anfang an zusammenarbeiten. Es ist sehr wichtig, dass Trennungen zwischen Frontend, Backend, Datenbanken usw. existieren und auch neuen Möglichkeiten wie Microservices und Container berücksichtigt werden. Der Einsatz von Reverse Proxy Diensten bzw. ADC’s in Kombination mit Schutz vor DoS Angriffen auf die Applikation sowie einer WAF und einem IPS ist mehr oder weniger Pflicht für den Betrieb von Webapplikationen die öffentlich erreichbar sind und auch sein müssen, damit die ganzen Vorteile auch zum Tragen kommen. Diese öffentliche Erreichbarkeit führt dann direkt zum nächsten Schritt der Absicherung. Wie authentifiziert man zuverlässig seine Benutzer und wie schützt man sich gegen den Missbrauch und Brute Force Attacken. Hier bieten sich SAML bzw. Single Sign On (SSO) Anmeldung auf Basis einer Zwei-Faktor-Authentifizierung (2FA) an. Aber auch hier gibt es geeignete Dienste und Produkte, die nur eingesetzt werden müssen. Der Einsatz einer 2FA für die eigenen Mitarbeiter ist noch relativ einfach umzusetzen, da man es hier einfacher hat eine entsprechende Lösung umzusetzen. Etwas schwieriger wird es bei externen Benutzern, die aber auch Zugriff auf die Anwendungen haben müssen. Hier sollte man sich entsprechende Gedanken machen, wie es auch für die externen Benutzer praktikabel ist, sich mit einer 2FA anmelden zu können. Vor allem sollte einem hier Bewusst sein, dass u.U. der externe Mitarbeiter mehr als nur einen Account mit einer 2FA hat. Demzufolge ist der Einsatz von Hardware Token oft schwierig. Einfacher ist es die 2FA ggf. mit einer App für das Mobiltelefon bereitzustellen, hier muss jedoch geklärt werden, ob der Mitarbeiter diese überhaupt auf sein Dienstgerät installieren darf. Eine Absprache mit der jeweiligen IT kann viel dazu beitragen, schnell eine Lösung herbeizuführen. Hat man diese Probleme alle erfolgreich gelöst, sind noch ein paar Punkte offen, die es zu bedenken gilt. Dazu gehören das Monitoring und die Anomalie Erkennung und ein entsprechendes Update Konzept für die Server, die Anwendungskomponenten und die Sicherheitssysteme selbst. Eine solche Anwendung steht exponiert im Internet zur Verfügung, was sie ja auch sein muss, denn sonst hätten die Benutzer ja keinen Zugriff auf diese. Demzufolge ist die Anwendung des ganz normalen Wahnsinns im Internet ausgesetzt. Wer sich im Vorfeld entsprechende Gedanken gemacht hat und seine Anwendung(en) passend bereitstellt, der profitiert von allen Vorteilen, der Webapplikationen und hat sogar deutlich weniger Probleme und Nachteile der klassischen Client/Server Anwendungen, denn als deren Entwicklung begann, hat keiner an eine Bereitstellung über das Internet gedacht. Alles was heute für diese Anwendungen implementiert wird, ist so zu sagen eine Krücke um es überhaupt möglich zu machen. Die Zukunft gehört den Webapplikationen und den RestAPI’s.

Bei Fragen zu Thema stehen wir wie gewohnt zur Verfügung.

 

Ausblick auf 2019

Die Glaskugel ist frisch poliert und lässt anscheinend einen ausreichend klaren Blick auf das kommende IT Jahr zu. In der Hoffnung, dass die Glaskugel nicht von Spectre & Co. betroffen ist, sollte der Blick völlig ungetrübt sein, wenn nicht, sind es eben nur alternative Fakten, aber daran ist die Welt ja auch mittlerweile mehr als nur gewöhnt.
Das Thema Cyber Security wird uns allen in 2019 erhalten bleiben, nur die Möglichkeiten zur Abwehr haben sich verbessert. Der nächste Schritt ist hier VMware NSX, diese Technologie erlaubt den IT Abteilungen ihre virtuellen Server endlich auf Ebene des Hypervisors gegeneinander abzuschotten und sogar mit AppDefence ungewöhnliches Verhalten einer VM zu erkennen. Dazu kommen noch all die NGFW/UTM Funktionen, die man vom Perimeter kennt, da viele der Firewall Hersteller sich mit entsprechenden virtuellen Instanzen in NSX über Schnittstellen von VMware mit in den Datenstrom einklinken können. Das Aufrüsten auf Seiten der IT Abteilungen ist auch dringend nötig, denn die Angreifer verbessern ihr Vorgehen stetig und daher ist ein Nachlegen in Sachen Cyber Security und auch bei der Forensik wichtiger denn je. Natürlich ist es ein Wettrüsten wie in den vergangenen Jahren auch und wer sich nicht schnell genug bewegt hat schon verloren. Die weiteren Themen sind Netzwerksegmentierung und hier allen voran in der OT in Kombination mit NSX, gefolgt von Sandboxing und im Besonderen das Monitoring bzw. auch SIEM Lösungen sind sehr wichtig im Kampf gegen die Angriffe, die von allen Seiten auf die eigene IT Infrastruktur einprasseln. Seit der zweiten Jahreshälfte des vergangenen Jahres sind Angriffe mit dem konkreten Ziel in die Systeme einzubrechen deutlich gestiegen. Diese Angriffe unterscheiden sich von denen der stetig vorbeikommenden Bots oder Script Kiddies, die nach offenen Ports suchen und dann nach verwundbaren Services suchen. Allen IT Verantwortlichen, den das nicht bewusst ist, sollten dringend über eine SIEM Lösung nachdenken oder zumindest für die Firewall Systeme ein zentrales Logging, welches die so gesammelten Daten entsprechend aufbereitet. Die Technologien sind da und stehen zur Verfügung, sie müssen nur eingesetzt werden. Die Themen Analyse, Verhaltenserkennung, Monitoring und das Auffinden von Anomalien werden die Themen im Bereich Cyber Security in 2019. Endlich wieder sehen, was denn wirklich passiert, so wie damals als die NextGen Firewalls aufgekommen sind und die IT Abteilungen wieder sehen konnten, was sich für Applikationen hinter dem Web Traffic verbarg.
Eine recht dunkle Stelle beim Blick in die Glaskugel ist beim Thema Patch-Management für das kommende Jahr 2019 zu finden. Die Ursache hier ist nicht das Fehlen von Patches, die somit nicht zur Verfügung stehen würden, sondern eher, dass diese nicht zeitnah auf allen Systemen installiert werden. Ein mangelndes Patch-Management ist das Schlaraffenland für Cyber Angriffe, denn die meisten der Angriffe sind nur durch das Fehlen von Patches für bekannte Sicherheitslücken so erfolgreich, dass Angreifer keine große Mühe haben in die Systeme einzudringen. Das Patch-Management ist eine der wichtigsten Grundpfeiler im IT Sicherheitsmanagement und gehört somit zu den wichtigsten Aufgaben in 2019 die zwingend und kontinuierlich umgesetzt werden müssen. Dazu gehört auch das regelmäßige Prüfen auf Schwachstellen, um zum einen das regelmäßige Patchen zu überprüfen und somit es gleichzeitig auch zu dokumentieren, dass es (endlich) stattfindet. Zum anderen neu Installierte Software zu finden, die sonst vergessen wird mit Updates zu versorgen. Daher gehören die beiden Themen Patch-Management und Verwundbarkeitsanalyse untrennbar zusammen. Es ist eine lästige Fleißarbeit, aber so immens wichtig für die Sicherheit der IT Umgebung als Ganzes, dass dieses für 2019 ganz weit oben auf der Liste stehen muss. Vor allem auch deshalb, weil jetzt noch Systeme in Betrieb sind, die immer noch nicht gegen WannaCry/EternalBlue/DoublePulsar gesichert wurden – es ist eigentlich unglaublich, denn Microsoft hat sogar nochmal Patches für XP und Server 2003 zur Verfügung gestellt. Erst Ende letzten Jahres hat ein Cyberangriff mit Namen Emotet wieder für Schäden in Millionenhöhe gesorgt, der genau wieder diese Sicherheitslücken ausgenutzt hat, obwohl es ja Patches gab und vor allem gab es in den vergangenen Jahren ausreichend Beispiele in denen Schadsoftware sich diese Lücke zu Nutze gemacht hat. Aber offensichtlich haben nur sehr wenige Lehren aus den damals schon Schäden im Bereich von mehreren Millionen gezogen. Demzufolge ist das das nächste Thema für 2019, diese Altlasten endlich abzuschalten oder durch Mikrosegmentierung passend abzusichern, wenn man dann nicht patchen will oder kann. Wobei man nun wieder beim Thema NSX ist, damit man einen Schutz um diese Systeme ziehen kann oder andere davon abhalten, diese zu erreichen. Zu diesem Themenkomplex gehört auch die Segmentierung des Netzwerks in der Physik wozu auch Firewalls im transparenten Modus gehören. Diese lassen sich sehr einfach vor diesen verwundbaren Systemen platzieren um diese entsprechend zu schützen und dies ohne die Netzwerktopologie ändern zu müssen. So gesehen gibt es keine Ausreden millionenschwere Produktionssysteme oder Anlagen mit Systemen zu schützen die nur wenige tausend Euro kosten. Analog gilt dies für die Office IT uneingeschränkt, durch ein entsprechendes Multilayer Konzept diese bestmöglich vor Cyberangriffen zu schützen oder zumindest die Auswirkung einer solchen Attacke nur auf einen begrenzten Bereich zu beschränken, weil es eine effektive Abschottung der verschiedenen Segmente gibt.
Der Einsatz von Containern wird sich auch in 2019 immer weiter ausbreiten. Dies war schon in 2018 zu erkennen und in 2019 wird sich dieser Trend weiter verstärken. Es hat etwas Zeit benötigt, bis sich die Container als das was sie sind bzw. als das was sie nicht sind im Denken der IT Abteilungen verankert hat. Container sind eben keine VM’s oder VM-lite und dürfen daher auch nicht wie VM’s behandelt werden. Aber so langsam ist das Verstehen, was Container sind, angekommen und nun möchten die IT Abteilungen daraus auch ihre Vorteile ziehen. Daher steht wie schon in 2018, auch in 2019 das Thema Container weit oben. Nicht zuletzt, weil u.a. Redhat massiv in diese Technologie investiert und fertige Produkte für ihre Kunden bereithält. Das Thema Container und Cloud passt so gesehen noch viel besser zusammen als traditionelle VM’s, die immer noch zu groß sind, für die Bandbreiten zum Internet, die vielen Unternehmen aktuell noch zur Verfügung stehen. Da das Handhaben von Containern bei geringeren Bandbreiten einfacher ist, eröffnen Container für viele schon jetzt den Weg in die Hybrid Cloud, der mit den viel zu großen VM’s technisch völlig unmöglich und bedingt durch die mangelnde Bandbreite versperrt ist.
Da wir jetzt beim Thema Cloud für 2019 angekommen sind, darf es natürlich nicht fehlen zu sagen, dass auch in diesem Jahr, die wie auch immer geartete Cloud ein Thema sein wird. Primär sehen wir die Private- und in Teilen die Hybrid-Cloud als Option für die allermeisten unsere Kunden. Es ist auch in 2019 nicht vorstellbar, egal wie visionär man die Dinge sehen will, vollständig mit der einen IT in die Public-Cloud zu wechseln. Dazu muss man kein Prophet sein, um eine solche Aussage zu treffen. Alleine das Problem der viel zu geringen Bandbreite ist schon das K.O.-Kriterium schlechthin. Dazu kommen dann für die Unternehmen noch all die rechtlichen Fragen, die geklärt werden müssen. Zudem muss die Frage für die Unternehmen mit einer lokalen Produktion, die von der IT abhängig ist, geklärt werden, wie die notwendige Redundanz der Anbindung zur Verfügung gestellt werden kann. Daher wird sich die Public-Cloud auch in 2019 nicht wirklich bei den Unternehmen durchsetzen. Eine Private-Cloud mit dem ein oder anderen Dienst bei einem der großen Anbieter, der diese Private-Cloud dann zur Hybrid-Cloud macht, kann man sich aber durchaus vorstellen und hier kommen dann die Container wieder in’s Spiel, die dann wiederum durch ihre leichte Portierbarkeit, auch bei weniger Bandbreite einen solchen Weg möglich machen. Der Einsatz der Cloud wird sich in 2019 steigern, aber nicht in einer Absolutheit wie sich das AWS, GCP oder Azure in ihren Whitepapers vorstellen.
Denkt man an den Einsatz einer Cloud kommt man um das Thema EdgeComputing nicht herum. Insbesondere dann, wenn es darum geht dezentrale Produktionsumgebungen oder Remote und Branche Offices entsprechend anzubinden. Auch beim Thema EdgeComputing sind zwei Punkte besonders wichtig: Cyber Security und Betriebssicherheit in Punkto Verfügbar- und Zuverlässigkeit. Wir als salutec haben uns natürlich zu dem Thema schon unsere Gedanken gemacht und werden in 2019 entsprechende Lösungen für solche Szenarien vorstellen, die wir für unsere Kunden entwickelt haben.
Das Thema Kommunikation wird in 2019 auch weiter in der Liste der wichtigen Themen nach oben rücken. Sei es durch die vielen Probleme von der nur halb durchdachten Einführung von S/MIME & Co. oder auch durch die Tatsache, dass die jüngeren Mitarbeitergenerationen eMail als den mehr oder weniger obsoleten Dino der digitalen Kommunikation ansehen und die Verwendung von Messenger bevorzugen. Grundsätzlich ist dies auch so, eMail ist so zu sagen ein Relikt aus den 80’er Jahren und hat sich im Grundsatz nicht verändert. Die Funktion ist immer noch die gleiche mit all den Vorteilen eines dezentralen Dienstes, der auf offenen Standards basiert, aber auch mit all den Schwächen, die daraus resultieren. Die Zeit arbeitet nicht für die eMail, daher sollten sich die Unternehmen, die noch keinen Messenger ihren Anwendern anbieten dringend Gedanken machen und daher ist die moderne Kommunikation ein wichtiges Thema in 2019. Wenn gleich die eMail als solches, natürlich nicht verschwinden wird. Nach wie vor ist eMail noch eine wichtige Business Anwendung – ihre Tage aber als primäres Medium zur Kommunikation sind gezählt.
Ein weiteres Thema in 2019 wird sein, wie man große Datenmengen zuverlässig für lange Zeit speichert und auch zur Verfügung stellt. Zu diesen Datenmengen gehört ebenso das Backup bzw. bei vielen das Backup to Disk. Aber es wird auch immer wichtiger diese Daten sicher extern zu speichern und damit ggf. gleichzeitig entsprechenden Auflagen zu erfüllen zu können. Daher sehen wir das Thema Datenspeicherung weit oben auf der Agenda für 2019 stehen. Sei es mit entsprechenden Dedup-Appliances oder entsprechender ScaleOut Lösungen im Storage-Bereich für unstrukturierte Daten. Hier sind es Themen wie Distributed Filesystem, Object Store, S3 & Co. mit möglichen Produkten wie Xcellis, InfiniBox, Redhat Storage Server, ZFS Storages oder Ceph und GlusterFS aus der OpenSource Welt für diejenigen mit entsprechenden Know How in diesen Bereichen. Gerade für die riesige Menge an unstrukturierten Daten und die noch kommenden Datenmengen der (Industrial) IoT bzw. Industrie 4.0 Systeme wird das Thema Storage in 2019 sehr wichtig werden.
Das Thema Anwendungssoftware wird in 2019 wieder ein weiteres Kapitel aufschlagen. Denn der Browser wird immer mehr zum Mittel der Wahl, wenn es darum geht Software bereitzustellen. Viele die in den vergangenen Jahren vielleicht noch nicht mutig genug waren, gehen aber jetzt diesem Schritt. Vor allem die Akzeptanz bei den Anwendern wird nicht zuletzt durch die jüngeren Mitarbeitergenerationen und dem gewohnten aus dem privaten Bereich immer höher. Auch aus Sicht der IT Abteilungen macht alles andere kaum noch wirklich Sinn. Lokal installierte Anwendungen sind für die allermeisten Fälle völlig obsolet. Natürlich gibt es nach wie vor entsprechende und auch begründete Ausnahmen – aber für alles andere sind die Argumente doch nur vorgeschoben. Daher sehen wir in 2019 einen großen Schritt in Sachen Anwendungen, die nur noch im Browser laufen bzw. wo der Anwender selbst nur noch einen Browser benötigt und dank HTML5 problemlos (s)einen virtuellen Desktop bedient. Ähnliches gilt für Software zur Zusammenarbeit, diese Plattformen haben sich von dem Status “nice to have” zu unternehmenskritischen Applikationen entwickelt. Aus dieser Entwicklung ergeben sich auch völlig neue Möglichkeiten in Sachen BYOD bzw. Kostenersparnis bei den Endgeräten und dieses vor allem im Bereich der Administration.
Unabhängig von allen hier aufgezählten Themen für 2019 ist eines das allerwichtigste Thema in der kommenden Zeit: Die Reduktion der Komplexität aktueller IT Infrastrukturen. Der immer größeren Komplexität Einhalt zu gebieten, wird die ganz große Herausforderung werden. Eine moderne IT mit der Konzentration auf das Wesentliche, wieder allem eine klare Struktur zu verleihen und dies auf Basis eines schnörkellosen Designs – aber das ist ja schon seit jeher unser Ding. Daher freuen wir uns auf alle neuen Projekte, die wir gemeinsam und partnerschaftlich mit unseren Kunden in diesem Jahr umsetzen werden. Gemeinsam und erfolgreich neue Ziele erreichen, weil es Spaß macht im Team zusammenzuarbeiten.
Allen ein frohes, glückliches und erfolgreiches neues Jahr.