Die Cloud wird als magischer Sammelbegriff für eigentlich alle «IT-(Dienst-)Leistungen, die aus der Steckdose kommen» verwendet. Entscheidungen zu treffen, alleine weil etwas unter einem magischen, evt. sogar gehypten, Sammelbegriff subsumiert werden kann, ist gefährlich. Im analogen, aber ganz besonders auch im digitalen Leben. Sehen wir uns das mal etwas genauer an.
IT-Probleme löst man nicht mit der Cloud. Schon gar nicht automatisch
Ein Entscheid wie «wir gehen jetzt in die Cloud» bedarf einiger Vorarbeit. Und die ist im wahrsten Sinne Arbeit. Und nicht in einem Satz in einer Geschäftsleitungssitzung abgehandelt. Das sind, in dieser Reihenfolge:
- Verstehe und vereinfache deine Geschäftsprozesse
- Standardisiere und automatisiere deine IT
- Überlege erst dann, was der Schritt in die Cloud bedeutet
Was heisst das konkret?
Wir haben gesehen: Die Cloud mag vielleicht eine Komponente einer Verbesserung der IT-Prozesse in einer Firma sein. Doch alleine — oder gar automatisch — löst die Cloud keine Probleme. Hier also nochmals die wichtigsten Schritte für Freude mit den IT-Prozessen kurz zusammengefasst:
Schritt 1: Verstehe und vereinfache deine Geschäftsprozesse
Ohne gute, aber trotzdem flexible Geschäftsprozesse, funktioniert kein Geschäft. Weder mit noch ohne IT.
- Es gilt zuerst die Geschäftsprozesse zu verstehen.
- Und dann diese so weit zu vereinfachen, dass sie für alle einfach verständlich sind. Und alle damit leben können.
- Das bedeutet insbesondere, auf Varianten, Schleifchen, Türmchen und Erkerchen zu verzichten, nur weil irgend jemand das schon immer so gemacht hat bzw. schöner findet.
- Das bedeutet auch, eingespielte Geschäftsprozesse zu überdenken und allfälligerweise zu korrigieren.
- Das bedeutet aber insbesondere nicht, dass alle Sonderfälle dann auch in die IT-Lösung einfliessen sollten. Für die Abhandlung von seltenen und Sonderfällen sollten aber die Mitarbeiter:innen die Möglichkeit haben, die Vorgaben des Systems zu übergehen und diese Entscheidung im Vier-Augen-Prinzip absegnen zu lassen und zu dokumentieren.
Schritt 2: Standardisiere und automatisiere deine IT
Sobald die Geschäftsprozesse definiert sind, kann die IT darauf angepasst werden. Standardisierung und Automatisierung sind schon bei den Kernprozessen jedes Betriebs wichtig; bei den IT-Prozessen sind sie aber noch viel essenzieller.
- Wer Technologie-Entscheidungen trifft, muss die Technologie zumindest grob verstehen. Und die Implikationen seiner Entscheidungen einschätzen können.
- Die Basis solcher Technologie-Entscheide sollte eine unternehmensweite IT-Strategie sein, die auf Kenntnis der realen Infrastruktur aufgebaut sein sollte. (Also nicht aufgrund einer Hoffnung, wie die eigene Infrastruktur aufgebaut sein sollte.)
- Softwareentwicklung, -anpassung und IT-Betrieb sollten den aktuellen «best practices» entsprechen.
- Dazu müssen u.U. Prozesse angepasst werden.
- Das sollte man tun, bevor man versucht, diese Systeme in die Cloud zu verschieben: Ein mangelhafter Dienst verliert seine Mängel nicht „automatisch“, indem er in die Cloud verschoben wird.
- Einen komplex vernetzten Dienst in die Cloud zu verschieben, ist eine nicht zu unterschätzende Aufgabe. Insbesondere, wenn er nachher weiterhin hinter Firewalls o.ä. geschützt sein soll.
- Mangelhafte Dienste in der Cloud ergeben nicht die erhofften Vorteile, vielleicht sogar Nachteile.
- Und vielleicht stellt sich im Laufe der Anpassung an die «best practices» heraus, dass ein Wechsel in die Cloud mehr Aufwand und Nachteile bringt, als die nun gut laufende Anwendung selbst weiterhin auf eigener Hardware zu betreiben.
- Jede Software, braucht kontinuierliche Pflege (Tests, Sicherheitsüberprüfungen, Aktualisierungen, …; in der Cloud dann manchmal sogar mehr als zuvor).
- Falls mehrere Server genutzt werden, egal ob in eigenen Räumlichkeiten oder in der Cloud:
- Der IT-Betrieb muss standardisiert sein, um Kosten zu sparen und Fehler zu vermeiden. Je heterogener das Setup ist, desto teurer wird es. Das gilt auch für die Nutzung mehrerer Clouds gleichzeitig.
- Der IT-Betrieb muss automatisiert sein, aus denselben Gründen. Dazu müssen Server automatisiert eingerichtet werden, beliebig neu gestartet werden können und ihre Statusinformationen zentral visualisiert werden.
Schritt 3: Evaluiere den Schritt in die Cloud
- «Die Cloud» ist nicht ein homogenes Feld: Da gibt es unterschiedliche Abstraktionsstufen (und damit Fertigungstiefen) in denen unterschiedliche Komponenten kombiniert werden.
- «Die Cloud» ist damit eine Wertschöpfungskette. Jede Stufe in dieser Wertschöpfungskette basiert darauf, dass der Cloudanbieter seine Skaleneffekte nutzen kann.
- Wenn man diese Skaleneffekte selbst nutzen kann — z.B. weil man eine genügend grosse Quantität davon bezieht —, muss man sich überlegen, ob man das Produkt nicht selber günstiger und passgenauer anbieten kann:
- Die Cloudanbieter basieren zumindest teilweise auf denselben Open-Source-Lösungen, die man auch selbst einsetzen kann.
- Sie müssen aber einen Dienst erbringen, der viel allgemeiner ist, als das was man selbst nutzen will; weil die anderen Kundinnen oft ganz andere Anforderungen haben.
- Auch eine Cloudlösung ist nicht «plug and play»; auch sie muss man an die eigenen Bedürfnisse anpassen. Diese Kosten gehen oft vergessen.
- Falls man grössere Mengen «Cloud» einkaufen will, sollte man seine Bedürfnisse vorher möglichst klar formulieren und dann die Möglichkeiten vergleichen.
- Wer mit dem Schritt «in die Cloud» Geld sparen will, muss möglichst viele alten Zöpfe abschneiden. Vorher.
IT zu betreiben ist nicht einfach. Wenig standardisierte oder automatisierte IT zu betreiben ist noch viel schwieriger. Zu glauben, wenig standardisierte oder automatisierte IT werde alleine durch den Schritt in die Cloud magisch aufgeräumt, ist leichtgläubig. Die eigene IT zu standardisieren und automatisieren ist Aufwand. Und der fällt durch den einfachen Transfer derselben Software in die Cloud (oft als «Lift and Shift» bezeichnet) nicht weg. Kennenlernen der eigenen IT und ihrer Abhängigkeiten, Standardisieren und Automatisieren muss der erste Schritt sein.
Und danach kann man über den Schritt in die Cloud nachdenken. Nicht davor.
Und jetzt bitte noch etwas detaillierter?
«Wo genau geht es in die Cloud? Ein Wegweiser durch den Dschungel» habe ich bei DNIP veröffentlicht. Viel Spass!
Aktuelles zu IT-Sicherheit
- Können KI-Systeme Artikel klauen?
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen - Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. - Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein… Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz weiterlesen - Was verraten KI-Chatbots?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen - Sicherheit versteckt sich gerne
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. - Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. - Chatkontrolle, die Schweiz und unsere Freiheit
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? - Cloudspeicher sind nicht (immer) für die Ewigkeit
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. - IT sind nicht nur Kosten
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach. - CrowdStrike, die Dritte
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen - Unnützes Wissen zu CrowdStrike
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen - Marcel pendelt zwischem Spam und Scam
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen. - Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen - «CrowdStrike»: Ausfälle verstehen und vermeiden
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen - Auch du, mein Sohn Firefox
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten. - «Voting Village»-Transkript
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen. - «QualityLand» sagt die Gegenwart voraus und erklärt sie
Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung. - 50 Jahre «unentdeckbare Sicherheitslücke»
Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen - Stimmbeteiligung erhöhen ohne eVoting
Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen - 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»
Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen - Mutmassungen über «Jia Tan»: Spuren eines Hackers
Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte. - Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht. - Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können. - Endet die Zeit im Jahr 2038?
Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein. - Wie zählt ein Computer?
Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer. - Spamwelle zu Weihnachten?
Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant.… Spamwelle zu Weihnachten? weiterlesen - «5 Minuten für mehr Datenschutz»: Tracking vermeiden
«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz vieler Fortschritte helfen Gesetze da bisher nur Ansatzweise. «Eigenverantwortung» ist also wieder einmal angesagt… - 2FA verschwindet in der Cloud
Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt. - IT-Sicherheit ≠ Bürostuhl
Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob… IT-Sicherheit ≠ Bürostuhl weiterlesen - 📹 Cloud: Technologie für Datenschutz?
Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe und Schlussfolgerungen.
Schreibe einen Kommentar