CIO Briefing 01/23

CIOBRIEFING

2023 wird das Jahr der KI-getriebenen Cloud 003

Datenintegrität: Übung macht den Meister 008 Private 5G und Wi-Fi 6 für betriebs kri ti sche Einsatzfelder 012

Ohne Kooperation geht nichts 016 Sollten Unternehmen Microsoft 365 nutzen oder nicht? 021 Neues in Nextcloud 25: KI, Interface, Photos 2.0, Talk, Mail 025

Serverersatz: NAS-Systeme von Synology für KMU 029 Das „Problem Endgerät“

im Griff 032 AWS-Chef Selipsky ruft die Parole „Zero-ETL“ aus 036 8 gefährliche Fehl konfigu rationen in Azure 041

JANUAR

Schneller, höher, weiter 2023 wird das Jahr der KI-getriebenen Cloud

13.12.2022 VON FILIPE MARTINS UND ANNA KOBYLINSKA

Wann immer über die breitere Wirtschaft dunkle Wolken herziehen, scheint die Cloud umso stärker zu wachsen und zu innovieren. Führende Cloud-Anbieter wollen vor allem die Konnektivität beschleunigen und KI/ML-Arbeitslasten auf die Sprünge helfen. Das kommende Jahr 2023 verspricht daher, sehr interessant zu werden.

Wo konventionelle Hardware beim Cloud Computing an Grenzen stößt, beschleunigen cloud-optimierte Chips und Speichersysteme die Rechenleistung.

Immer mehr Unternehmen wollen mit ihrer IT in die Cloud umziehen, um ihre Kosten zu senken und mit neuer Agilität bei den Kunden zu punkten. „Die Cloud-Migration ist nicht aufzuhalten“, beobachtet Sid Nag, Vice President Analyst bei Gartner. Er und seine Kollegen befassen sich mit aktuellen Trends rund um das Cloud Computing und kamen neulich zu dem Schluss, dass die Unternehmen nicht mehr zögern wollen. Die Würfel sind gefallen. Die Pandemie hat den Umzug vieler Organisationen in die Cloud deutlich vorverschoben; wer auf den Geschmack des flexiblen Bereitstellungsmodells erst einmal gekommen ist, möchte offenbar bald noch mehr davon. Im Jahre 2022 haben Unternehmen rund 490 Milliarden US-Dollar für die Cloud ausgegeben, schätzt Gartner. Diese stolze Summe ist rund 18,8 Prozent höher als 2021. Im kommenden Jahr (2023) soll sich das Wachstum sogar noch beschleunigen.

Im Laufe des Jahres 2023 wollen Unternehmen knapp über 100 Milliarden US-Dollar über den bisherigen Rekordwert hinaus für

CIO BRIEFING

ihre Cloud-Dienste ausgeben. Damit beschleunigt sich das Wachstum auf beachtliche 20,7 Prozent gegenüber dem laufenden Jahr (2022). Das schnellste Wachstum erwarten die Analysten im Segment IaaS (Infrastructure-as-a-Service): Im kommenden Jahr 2023 dürfte dieses Segment um astronomische 29,8 Prozent zulegen.

Gartner führt dieses robuste Wachstum vorrangig nicht auf die Anziehungskraft oder technische Überlegenheit der Cloud zurück, sondern vielmehr auf die Konjunktur. „Der aktuelle Inflationsdruck und die makroökonomischen Bedingungen haben einen Push- und Pull-Effekt auf die Cloud-Ausgaben“ der Endbenutzer, erklärt Nag von Gartner. Doch Cloud-Ausgaben könnten auch fallen, sollte die übrige Wirtschaft einen GAU erleben, warnen die Analysten zwischen den Zeilen.

Wer gewinnt, wer verliert?

Das Cloud-Wachstum kommt im Übrigen nicht allen Cloud-Plattformen gleichermaßen zugute. AWS zieht anscheinend gerade den Kürzeren. Azure und Google Cloud sägen nach und nach an der Dominanz von AWS, nicht ohne beachtlichen Erfolg. AWS brachte es im vergangenen Jahr (2021) auf einen globalen Marktanteil von gerade einmal 38,9 Prozent, weit unter dem Durchschnitt der vergangenen Jahre. Microsoft konnte mit 21,1 Prozent die Position von Azure massiv ausbauen. Google Cloud ist nur noch das Schlusslicht der Top-Vier: mit 7,1 Prozent hinter Alibaba mit 9,5 Prozent.

Der Trend ist jedoch eindeutig: weg von anderen Bereitstellungsmodellen, hin in die Cloud. Laut Gartner dürften bis zum Jahre 2025 mehr als acht von zehn aller Organisationen (85 %, um genau zu sein) als „Cloud-first“ bezeichnet werden können. Die Cloud dürfte zu diesem Zeitpunkt rund die Hälfte der jährlichen Ausgaben von Großunternehmen verschlingen. Dank ihrer „Flexibilität, Elastizität und Skalierbarkeit“ werde die Cloud auch in Zukunft „ein Stützpfeiler der Sicherheit und Innovation“ sein und auch „in unsicheren Zeiten“ Wachstum fördern.

Immer mehr KI und ML

Die digitaltransformierte Wirtschaft wird immer stärker durch KI/ ML angetrieben. Kognitive Arbeitslasten wachsen dementsprechend ins Uferlose. Immer mehr Unternehmen nutzen KI/ML für ihr operatives Geschäft. Die Cloud-Hyperscaler gingen da schon vor Jahren mit gutem Beispiel voran. Ob es darum geht, ihre Serverräume intelligent zu kühlen, intelligente Cyber-Abwehr für die Daten ihrer Kunden zu gewährleisten oder die Kapazitätsauslastung vorherzusagen: Maschinelles Lernen hat es in sich.

JANUAR

Doch KI/ML ist leistungshungrig und dadurch potenziell langsam und ganz sicher nicht billig. Das verstärkte Aufkommen kognitiver Arbeitslasten braucht nicht nur eine ausreichende Menge an Trainingsdaten, sondern auch entsprechend viel „Puste“. Künstliche Intelligenz und Maschinelles Lernen brauchen auch in der Cloud leistungsstarke Hardwarebeschleuniger: GPUs, FPGAs und demnächst vielleicht sogar Quantenchips.

CIO BRIEFING

SEITE 5

Wohl oder übel mussten sich die führenden Cloud-Anbieter etwas einfallen lassen, um die Anwendungsleistung anspruchsvoller kognitiver Arbeitslasten zu beschleunigen.

Die Ära Cloud-nativer KI-Beschleuniger hat begonnen

Das verstärkte Aufkommen von KI und ML bedeutet in der Praxis einen explodierenden Bedarf an erschwinglicher Rechenleistung für anspruchsvolle Workloads. Google hat es vorgemacht. Der Cloud-Riese hat mehrere anwendungsspezifische Chips entwickelt, um kognitive Arbeitslasten in der Cloud zu beschleunigen. Das Portfolio umfasst inzwischen die VCU (Video Coding Unit)

Argos für das Encoding von Videos auf YouTube, die TUP (Tensor Processing Unit), einen GPC-eigenen ASIC für KI-Arbeitslasten und den Sicherheitschip Titan.

Kürzlich hat sich Google mit Intel zusammengeschlossen, um gemeinsam einen Netzwerk-Chip zu entwickeln, der hochperformante und sichere Hyper-Konnektivität ermöglichen soll. Der E2000, Codename Mount Evans, soll sich als Netzwerkbeschleuniger für latenzkritische Bare-Metal-Instanzen in der GoogleCloud einbringen und dadurch Intels Xeon-Prozessoren der vierten Generation (Sapphire Rapids) um einen Teil ihrer Aufgaben entlasten.

Googles Chip wird Datenpakete für die Übertragung via Netzwerk aufbereiten. Diese Aufgabe müssten sonst eben sündhaft teure CPUs bewältigen, was dann zu Lasten der verfügbaren Leistung für die primären Berechnungen fällt. Cloud Computing steht und fällt bekannterweise mit leistungsstarker Konnektivität. Der E2000 verbessert sowohl die Leistung als auch die Sicherheit von „cloudifizierten“ Arbeitslasten. Er bietet nämlich eine Isolation des Netzwerkverkehrs auf Systemen mit gemeinsam genutzten Rechenressourcen. Der E2000 soll zuerst in einer C3 VM Einzug halten.

Intel hat in den vergangenen paar Jahren viel Boden verloren und will ihn jetzt in der Cloud zurückerobern. Der Chip-Riese hat hierzu gerade noch im August 2022 seinen ersten GPU-Beschleuniger vorgestellt, die Data Center GPU Flex Series, für Medienverarbeitung und -bereitstellung, visuelle KI-Inferenz, Cloud-Gaming und

CIO BRIEFING

Desktop-Virtualisierung. All diese Innovationen kommen im Endeffekt Cloud-Nutzern zugute.

Noch „tiefer“ lernen in einer „denkenden“ Cloud

Der Einzug von Hardwarebeschleunigern in die Public Cloud spiegelt sich in dem verstärkten Aufkommen von Cloud-Diensten, die sich auf kognitive Anwendungen spezialisieren. Lambda, ein Startup aus dem kalifornischen San Francisco (nicht zu verwechseln mit dem gleichnamigen AWS-Dienst), bietet eine GPU-Cloud namens Lambda Labs.

Der Softwarestack umfasst gängige KI/ML-Frameworks wie TensorFlow und PyTorch und bietet eine Anbindung an Jupyter. Unternehmen und Datenwissenschaftler können hier ihre KI/MLAnwendungen um bis zu 73 Prozent günstiger ausführen als auf AWS, Azure oder GPC.

Mehr Compute-Leistung für weniger Cloud-Geld

Die führenden Public-Cloud-Anbieter haben es auch schon verstanden: Cloud-Nutzer wollen mehr Compute-Leistung für weniger Geld. Sie suchen nach erschwinglichen Alternativen zu Intel Xeon und AMD Epyc. Beide CPU-Familien vertreten die energiehungrige x86er CISC-Architektur. Die besten Aussichten für eine cloud-optimierte Alternative bietet die RISC-basierte ARM-Architektur.

Amazons Sparte Annapurna Labs hat für AWS die Graviton-Familie von Server-Chips auf der Basis von ARM entwickelt. Das günstige Preisleistungsverhältnis dieser „spartanischen“ Chips hat Amazon ermöglicht, die Preise für eine Vielzahl der Managed-Services von AWS zu senken – an sich eine gute Sache.

Microsoft blieb den Azure-Nutzern nicht lange schuldig und hat im Jahre 2022 ARM-basierte VMs mit der CPU Ampere Altra von Ampere Computing vorgestellt. Auch diese Chips basieren auf der ARM-Architektur. Sie adressieren arbeitsspeicherintensive Workloads und sollen eine um 50 Prozent verbesserte Leistung im Vergleich zu Intels x86-Architektur ermöglichen.

Ob die Cloud-Hyperscaler diese Einsparungen tatsächlich an die Cloud-Nutzer weitergeben? Mal hoffen.

Big Memory: Compute-Instanzen mit persistentem Arbeitsspeicher

Ein breites Spektrum moderner, datenlastiger Workloads überfordert herkömmliche Systemarchitekturen völlig. Benötigt wird eine neuartige Speichertechnologie mit einem Leistungsprofil,

welches DRAM und persistentes SCM (Storage Class Memory) um Längen schlägt. In Anlehnung an Big Data ist hierbei von „Big Memory“ die Rede.

MemVerge, ein Anbieter von In-Memory-Computing, will mit seiner Big Memory Machine eine eben solche Lösung für Intels persistenten Arbeitsspeicher Optane geschaffen haben. Das Unternehmen schickt sich jetzt an, die Technologie als eine CloudBereitstellung anzubieten. Bei der Big Memory Machine handelt es sich im Grunde genommen um eine Softwareschicht, die auf mehreren Servern einen gemeinsamen Speicherpool einrichtet. Sie schafft eine Abstraktionsebene nach dem Vorbild der Art und Weise, wie VMware die Rechenleistung, die Konnektivität und den Datenspeicher virtualisiert.

Big Memory Machine bringt zwei entscheidende Vorteile mit sich. Erstens schafft sie die nötigen Voraussetzungen für zustandsbehaftetes Cloud-Bursting. Zweitens erlaubt sie die Ausführung von temporären Server-Instanzen (zum Beispiel AWS Spot-Instanzen) mit persistentem Arbeitsspeicher. Im Falle von Dienstunterbrechungen haben Cloud-Nutzer erstmals keinen Datenverlust mehr zu befürchten.

Big Memory von MemVerge macht sich intern die sogenannten AppCapsules zu Nutze, eine Art der Anwendungscontainerisierung mit Kubernetes und ZeroIO-Snapshots. AppCapsules können so die Portabilität von On-Premises-Arbeitslasten in die Cloud und zwischen verschiedenen Cloud-Umgebungen ohne Datenverluste gewährleisten. Das Beste daran: Big Memory Cloud ist interoperabel mit den großen öffentlichen Clouds AWS, Microsoft Azure und Google Cloud. Die innovative Cloud-Lösung setzt auf der jeweiligen Cloud-Plattform auf und bedarf nicht einmal einer gesonderten Integration.

SEITE 8

Schutz und Wiederherstellung gespeicherter Daten

Datenintegrität: Übung macht den Meister

16.12.2022

Der Siegeszug von Cloud-Diensten führt zu immer komplexeren hybriden IT-Umgebungen, und eine stets wachsende Anzahl von Cyberattacken versucht, diese Komplexität auszunutzen. Während IT-Abteilungen sich in der Vergangenheit darauf beschränken konnten, ihre lokale Infrastruktur nach einem Cyberangriff wiederherzustellen, um Cyberresilienz zu erreichen, müssen sie heute eine viel weitreichendere Infrastruktur schützen, die sich nicht vollständig in ihrer Kontrolle befindet.

Dutzende von SaaS-Anwendungen und mehrere Cloud-Anbieter fallen ebenso in ihren Zuständigkeitsbereich wie die lokale Infrastruktur und die Endgeräte der Mitarbeiter.

Richtig für den Ernstfall trainieren Technologien wie umfassende Sicherheitssysteme, hochverfügbare Cloud-Dienste und robuste Lösungen für die Datensicherung und -wiederherstellung helfen Unternehmen, ihre Daten zu schützen. Doch sie garantieren noch keinen reibungslosen Betrieb. Trotz intuitiver Schnittstellen und Automatisierungsfunktionen kann die Verwendung dieser Technologien kompliziert sein. Es bedarf praktischer Übung, um für den Fall der Fälle gewappnet zu sein. IT-Teams, die hingegen den Einsatz dieser Technologie nicht in simulierten Schadensszenarien trainiert haben, werden im Ernstfall für die Wiederherstellung ihrer Umgebungen viel

CIO BRIEFING

mehr Zeit benötigen oder gar an der Aufgabe scheitern. Das liegt zum einen daran, dass viele Unternehmen ihr Krisentraining noch immer so gestalten, als liefen alle betroffenen Anwendungen im eigenen Rechenzentrum, oder zum anderen daran, dass sie eine Naturkatastrophe als die größtmögliche Bedrohung für die eigenen Daten erachten.

Bei einer Datenintegritätsübung simuliert ein Unternehmen, wie es seine Lösungen zum Datenschutz, zur Datenwiederherstellung und andere Technologien einsetzen würde, um die Integrität seiner IT-Umgebung nach einem Datenverlust wiederherzustellen. Um solche Übungen ordnungsgemäß durchzuführen, sollten Unternehmen:

� ein Datenschutzteam aufbauen, dem alle Verantwortlichen angehören, die sich mit der Bewältigung von Datenausfällen befassen,

� dieses Team mit einer Vielzahl unterschiedlicher Bedrohungsszenarien konfrontieren,

� eine Unternehmenskultur schaffen, in der die Datenintegrität einen hohen Stellenwert besitzt, damit sowohl das Datenschutzteam als auch das gesamte Unternehmen verstehen, warum sie viel Zeit und andere Ressourcen in diese Übungen investieren sollten.

Mittels solcher Übungen sammeln Unternehmen wertvolle Erfahrungen und lernen, die eigenen Kapazitäten bei der Verhinderung von Angriffen beziehungsweise im Falle einer Wiederherstellung besser einzuschätzen. Wiederholte Tests erzielen außerdem einen Trainingseffekt, sodass im Falle eines tatsächlichen Datenausfalls alle Beteiligten effizient und effektiv reagieren können.

Aufbau eines Datenschutzteams

Kommt es zu einer Situation, bei der Daten in Mitleidenschaft gezogen werden, sind die Mitglieder der IT-Abteilung nicht die einzigen, die in der Folge mit Einschränkungen zu kämpfen haben. Handelt es sich dabei etwa um eine Cyberattacke, muss beispielsweise die Rechtsabteilung die Kunden informieren, sofern sensible Daten bei dem Angriff offengelegt wurden. Andernfalls kann einem Unternehmen eine empfindliche Geldstrafe drohen. Die Personalabteilung ist ferner dafür verantwortlich, die Mitarbeiter (und möglicherweise Partnerunternehmen) über die Auswirkungen der Krisensituation zu informieren. Die Datensicherheitsexperten der IT-Abteilung benötigen die Unterstützung derjenigen im IT-Team, die für SaaS-Anwendungen, Cloud-Dienste, die Infra -

CIO BRIEFING

10

struktur vor Ort und andere Aspekte der von der Katastrophe betroffenen Umgebung zuständig sind, um diese wieder in Betrieb zu nehmen.

Daher sollte das Datenschutzteam neben der IT auch Verantwortliche aus den Bereichen Recht, Personal und dem Betrieb sowie alle anderen Beteiligten beinhalten, die im Fall der Fälle eine wichtige Rolle spielen würden. Gleichzeitig müssen die Verantwortlichkeiten geklärt werden, sprich, jedem Mitglied muss ein bestimmter Aufgabenbereich zugewiesen werden. Erst dann sollten Unternehmen mit den umfassenden Trainings für den Fall einer Krisensituation beginnen.

Das Datenschutzteam mit einer Vielzahl von Übungen trainieren

Wenn es tatsächlich zu einem Worst-Case-Szenario kommt, bei dem Daten zerstört oder beschädigt werden oder der Zugriff darauf massiv eingeschränkt wird, ist es unwahrscheinlich, dass die für die Datensicherheit Verantwortlichen den Zeitpunkt oder die Art der Katastrophe im Voraus kennen. Daher sollten Unternehmen ihre Testläufe für verschiedene Wochentage und zu unterschiedlichen Uhrzeiten ansetzen, damit sich keine Routinen einschleichen und der Testzeitpunkt für das Team stets eine Überraschung bleibt. Da es sich hier jedoch immer um eine Übung handelt, sollte im Sinne des reibungslosen Betriebsablaufs vermieden werden, die Tests an Tagen mit hoher Arbeitsbelastung abzuhalten, etwa dem Quartalsende.

Die Art der Übungen sollte zudem variieren, damit die Teammitglieder ihre Reaktion auf verschiedene Arten von Krisen trainieren können, die unterschiedliche Aspekte der Datenumgebungen ihres Unternehmens betreffen. Eine Übung kann eine Naturkatastrophe simulieren, die ein Rechenzentrum beschädigt, einen Ransomware-Angriff oder von einem gekündigten Mitarbeiter ausgehen, der bei seinem Ausscheiden Unternehmensdaten mutwillig löscht. Durch unterschiedliche Übungsszenarien und Testzeitpunkte werden die bestehenden Prozesse und Technologien der Organisation zur Behebung und Wiederherstellung von Datenausfällen wie bei einem echten Notfall beansprucht.

Der Überraschungseffekt fordert die Fähigkeiten der Teams heraus und liefert Erkenntnisse zum tatsächlichen Leistungsstand im Krisenfall. Solche Übungen zeigen auch, ob angesichts stetig wachsender Datenmengen Schwachstellen oder Verwundbarkeiten in bestimmten Anwendungen, Infrastrukturen sowie anderen Teilen der IT-Umgebung zutage treten.

JANUAR

Eine Unternehmenskultur schaffen, die Wert auf Datenintegrität legt

CIO BRIEFING

SEITE 11

Die Sicherheitsverantwortlichen werden im Unternehmen wahrscheinlich auf Widerstand gegen die Durchführung von Datenintegritätsübungen stoßen. Denn die Arbeit im Datenschutzteam und die Durchführung von Datenintegritätsübungen kostet die Mitarbeiter Zeit, die ihnen nicht für ihre täglichen Aufgaben zur Verfügung steht.

Aus diesem Grund ist es wichtig, eine Unternehmenskultur zu schaffen, welche die Datenintegrität als eine wesentliche Unternehmensstrategie betrachtet, die für den wirtschaftlichen Erfolg von grundlegender Bedeutung ist. Die Verantwortlichen müssen sich im Klaren darüber sein, dass die im Fall der Fälle aufzuwendende Zeit, um unvorbereitet eine Cyberattacke einzudämmen und die Schäden zu beheben, den Testaufwand deutlich übersteigt.

Den Fokus auf Datenintegrität setzen

Datenumgebungen dienen heutzutage nicht nur als das sprichwörtliche Nervensystem für den Geschäftsbetrieb der meisten Unternehmen. Diese Umgebungen liefern auch die benötigten Daten, um etwa das Kundenverhalten vorherzusagen, die betriebliche Effizienz zu steigern, die Unternehmensstrategie festzulegen und somit die Geschäftsergebnisse zu verbessern.

Deshalb sollten Unternehmen ihre IT-Resilienz mit mindestens einer Datenintegritätsübung testen. Vielleicht stellt sich dabei heraus, dass das eigene Unternehmen bereits über alle erforderlichen Fähigkeiten, Prozesse und Technologien verfügt, um essenzielle Daten vor jeder Bedrohung zu schützen. Wahrscheinlicher ist jedoch, dass die Übung zeigt, in welchen Abteilungen und Prozessen es dringenden Nachholbedarf gibt und wo aufgerüstet werden muss, damit diese Probleme behoben werden, bevor es zu einem echten Notfall kommt.

JANUAR

s funkt in der Fabrik – Kabellos ins IIoT

Private 5G und Wi-Fi 6 für betriebs kri ti sche Einsatzfelder

03.08.2022 Von Tilman Taubert

Drahtlose Netzwerke, Breitbandtechnologien und das Internet der Dinge (IoT) verändern die Industrie nachhaltig. Durch 5G, Wi-Fi 6 und Co. kann die Betriebstechnologie (OT) endlich tiefgreifend digitalisiert werden.

Die eine optimale Funktechnologie für industrielle Anwendungen gibt es nicht – im Idealfall ergänzen sich 5G, Wi-Fi 6(E), LoRaWAN und anderen Techniken hier individuell.

Eine Studie von GSMA Intelligence aus dem Jahr 2021 sagt voraus, dass sich die Zahl der Industriellen IoT-Verbindungen (IIOT) in Unternehmen bis 2030 vervierfacht. Durch die Konvergenz von IT- und OT-Abläufen können Unternehmen zukünftig erhebliche Produktivitäts- und Effizienzsteigerungen realisieren – wenn sie jetzt die richten Infrastruktur-Entscheidungen treffen.

Funk als Baustein für die Smart Factory

In der Vergangenheit war Funktechnologie in industriellen Umgebungen auf weniger kritische Sensoranwendungen und die Verbindung von IT-Systemen beschränkt. Mit der Digitalisierung industrieller Abläufe, Hybrid Work und der zunehmenden Mobilität von Anwendungen steigt aktuell jedoch der Bedarf an durchsatzstarken und skalierbaren Funklösungen massiv an. Diese haben sich weiterentwickelt und unterstützen heute bandbreitenintensive Anwendungen für die Mitarbeiterproduktivität, zuverlässige Mobilität für kritische Anlagen und eine verstärkte Datenerfassung aus allen Bereichen der Fabrik.

JANUAR

2022

CIO BRIEFING

SEITE 13

Wo es auf immer schnellere Lieferfähigkeit ankommt, werden Produktionsprozesse künftig maximal digitalisiert. Nur dann lassen sich Prozesse in einer Smart Factory in Echtzeit überwachen, steuern und gegebenenfalls nachjustieren. Dafür sind flächendeckend drahtlose Verbindungen, eine höhere Netzwerkstärke und -ausfallsicherheit sowie zuverlässige Zero Trust Security erforderlich. Die Anforderungen an ein unterstützendes Funk-basiertes Netzwerk sind nicht unerheblich. Es muss eine zuverlässige Kommunikation mit geringer Latenz und hohem Durchsatz sicherstellen und eine deutlich höhere Gerätedichte unterstützen.

Doch nicht jeder Use Case benötigt den Einsatz von drahtlosen Netzen. Befindet sich beispielsweise eine Maschine an einem festen Platz in der Fabrik, bleibt die kabelgebundene Vernetzung meist die optimale Lösung. Allerdings werden selbst in der Automobilproduktion Fließbänder zunehmend aufgelöst. So stellen erste Unternehmen bereits auf eine flexible und mobile Fertigung um, in der Produkte selbstständig den Weg zum nächsten Arbeitsschritt finden. Unternehmen, die diesen Schritt gehen, profitieren von drahtlos vernetzten Komponenten wie mobilen Robotern oder fahrerlosen Transportsystemen (FTS). Damit sie zur richtigen Zeit am richtigen Ort sind, müssen sie zuverlässig und sicher mit dem Backbone-Netzwerk verbunden sein.

Das Beste aus allen Welten für mehr Dynamik

Bislang war dafür Wi-Fi meist das Mittel der Wahl. Diese bewährte Technologie lässt sich mit vergleichsweise wenig Aufwand und Kosten installieren. Für die meisten Anwendungsfälle im Büro, aber auch auf dem Shop Floor reichen auch die Bandbreite, Latenz und Reichweite aus. Die neue Version Wi-Fi 6 hat dabei die maximal erreichbaren Werte nochmal erhöht: Wi-Fi 6 und 6E von Anbietern wie Cisco bieten etwa eine bis zu dreimal höhere Bandbreite – das ist bis zu fünfmal schneller als Wi-Fi 4.

Allerdings stehen noch weitere Funk-Technologien bereit, wie Private 5G, Cisco Ultra-Reliable Wireless Backhaul (CURWB, ehemals Fluidmesh) oder LoRaWAN. Die verschiedenen Technologien besitzen jeweils spezifische Stärken. Entsprechend bietet sich in manchen Einsatzszenarien Wi-Fi an, in anderen Private 5G, in wieder anderen CURWB. Unternehmen können von den Vorteilen all dieser Lösungen profitieren, wenn sie eine übergreifende Netzwerk-Architektur installieren, die alle Technologien integriert. Diese stellt derzeit nur Cisco zur Verfügung. Dabei ist die Kombination verschiedener Funktechnologien zur Integration von Echtzeit-Anwendungen im OT-Bereich mit weniger zeitkritischen IT-Anwendungen von besonderer Bedeutung.

JANUAR 2022

CIO BRIEFING

SEITE 14

In latenzempfindlichen betriebskritischen Anwendungen finden Private-5G-Ansätze (P5G) ihr Einsatzfeld. Branchen, wie Versorgungs- oder Industrieunternehmen ziehen ein privates 5G-Netzwerk in Betracht, um ihren wachsenden Bedarf an Bandbreite, Verfügbarkeit und Transparenz zu decken. Diese Unternehmen müssen ein Gleichgewicht zwischen den Vorteilen eines privaten 5G-Netzwerks und den Kosten für den Kauf, den Betrieb und die Wartung eines solchen Netzwerks finden. Denn in den meisten Fällen gehört der Betrieb eines privaten 5G-Netzes nicht zum Kerngeschäft und ist technisch anspruchsvoll. Unternehmen ziehen es daher vor, umfangreiche Ressourcenverpflichtungen für Nicht-Kernfunktionen zu minimieren. Um diese Anforderung zu lösen, wird Cisco Private 5G als Service bereitgestellt und von spezialisierten Partnern kundenindividuell implementiert. Ein weiterer Vorteil: Ein solches Private-5G-Netz lässt sich nahtlos in bestehende WiFi 5/6/6E Funk- und kabelgebundene Netzwerke integrieren.

Mit dieser Architektur können Industrieunternehmen jede gewünschte Funktechnologie für die jeweiligen Prozesse nutzen und diese zentral über eine Oberfläche verwalten. Die Technologien selbst funktionieren sowohl autonom als auch im Netzwerk integriert. Zum Beispiel müssen autonome mobile Roboter (AMR) in der Lage sein, sofort anzuhalten, wenn eine Person ihren Weg kreuzt. Für diesen Fall dürfen sie nicht von einem zentralen Netzwerk abhängen, da die Übertragung und Bearbeitung der Daten zu lange dauern. Um Unfällen vorzubeugen, übernehmen lokale Systeme die Aufgaben im Bereich der physischen Sicherheit. Gleichzeitig lassen sich die mobilen Komponenten durch die passende Infrastruktur performant und zuverlässig mit dem Backbone-Netz verbinden. Dies ermöglicht eine zentrale Steuerung, etwa um Fahrtwege kurzfristig zu ändern oder neue Aufträge automatisch einzuspeisen.

(K)eine Frage der Sicherheit

Eine zunehmend wichtige Rolle für den Einsatz von Funktechnologien im industriellen Umfeld spielt das Thema IT-Sicherheit. Aktuelle Security-Mechanismen lassen sich in Wi-Fi 6 und 5G gleichermaßen integrieren. 5G bietet den höchsten eingebauten Sicherheitsstandard durch gegenseitige Authentifizierungen. Auf der Funkschnittstelle sind die Verschlüsselungen ähnlich. Cisco nutzt für seine Wi-Fi-6-Lösungen beispielsweise WPA3-Verschlüsselung in Verbindung mit einem neuen ASIC. Zudem lassen sich über so genannte Frequenz-Fingerprints nicht autorisierte Geräte und Sensoren erkennen, selbst wenn sie gestohlene Zugangsdaten oder gefälschte MAC-Adressen verwenden.

JANUAR

Fazit

CIO BRIEFING

SEITE 15

In der smarten Fabrik von morgen werden Funktechnologien einen entscheidenden Anteil haben, Abläufe zu flexibilisieren und zu digitalisieren. Über mobile Systeme ändern Industrieunternehmen schnell ihre Produktionsprozesse, bauen Fertigungsketten agil auf und wieder ab oder verkürzen die Umschlagszeiten. Mit der Mischung aus verschiedenen funkbasierten Netzwerktechnologien erhöhen sie parallel den Automatisierungsgrad und ihre Zukunftsfähigkeit. Dabei sind Security und Safety von Anfang an integriert.

SEITE 16

Smart Cities

Ohne Kooperation geht nichts

19.12.2022 VON LIC.RER.PUBL. ARIANE RÜDIGER

Offene Daten und KI haben das Potenzial, viele interessante Smart-City-Projekte zu ermöglichen. Doch oft fehlt es an den kooperativen Strukturen zwischen Stakeholdern, die dafür unabdingbar sind. Deshalb kommt das Thema langsamer voran als erwünscht.

Die intelligente Stadt spukt schon seit mindestens fünfzehn Jahren durch die einschlägigen Gazetten. Doch die wenigsten Menschen hierzulande werden den Eindruck haben, in einer Smart City zu leben. Dabei steht Deutschland wohl gar nicht so schlecht da. Das jedenfalls berichtete Ulf Hüther, Director Smart City Europe bei der G2K Group, anlässlich eines Roundtables, der von Axis Communications veranstaltet wurde. Axis produziert unter anderem Netzwerkkameras und ist daher in viele Smart-City-Projekte involviert, deren Ziel etwa die Absicherung städtischer Räume ist. Hüther war gerade von der Smart City Convention in Barcelona zurückgekehrt. Dort sei der deutsche Stand durch diverse interessante Projektpräsentationen aufgefallen. Insbesondere im Bereich Verkehr gebe es viele Möglichkeiten, durch intelligente Zusammenführung diverser Datenquellen etwas zum Guten zu bewegen.

Viele Möglichkeiten der Verkehrssteuerung

Ein Beispiel: Angenommen, die von öffentlichen Verkehrsträgern und von Straßenverkehrsteilnehmern (Auto, Fahrrad, E-Roller

JANUAR

CIO BRIEFING

SEITE 17

etc.) erzeugten Daten würden intelligent zusammengeführt und per intelligenter Verarbeitung in individuelle Meldungen umgesetzt. Dann ließen sich Fahrer beispielsweise per App zu freien Parkplätzen hin oder um Staus herumführen. Auch ein Hinweis, zu einem bestimmten Termin besser mit öffentlichen Verkehrsmitteln ein Ziel anzusteuern, wäre so denkbar oder der Kauf des Park-and-Ride-Tickets direkt in der App auf dem Smartphone. Doch die Realität sieht anders aus. Beispielsweise erschweren föderale und organisatorische Zuständigkeitsgrenzen derartige Projekte. Es ist schwer, die meist vielen Beteiligten unter einen Hut zu bringen. „Aber niemand will für jede Stadt eine eigene App“, sagt Dr. Michael Gerz, Leiter der Abteilung „Informationstechnik für Führungssysteme“ (ITF) am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Oft fehle es schon an Standards, um das gleiche Verständnis von Daten sicherzustellen. Es braucht beispielsweise ein einheitliches Format, in dem Parkplätze beschrieben sind. Zertifizierungen und Normen sollten hier wie in der Hard- und Softwaretechnik weiterhelfen.

Wirtschaftliche Interessen hemmen den Modal Split

Zudem konkurrieren die einzelnen Verkehrsträger meist miteinander statt zu kooperieren, so Dietmar Bethke, Leiter Neue Technologien und Smart City bei der comNet GmbH. Bethke: „Dabei geht es oft ganz einfach um Geld.“ Auch die Flächen sind in der Stadt knapp. Das Versagen zeigt sich in noch immer steigenden Kohlendioxid-Ausstößen im Verkehrssektor.

Auf der Strecke bleibt bislang der erwünschte Modal Split, sprich: die Nutzung des jeweils am besten geeigneten Verkehrsträgers, und das wäre zumindest innerstädtisch oft nicht das Auto. Damit sich das ändert, bedürfe es, so Jochen Sauer, Architect & Engineering Manager bei Axis Communications mit Fokus auf Smart Building und Smart City, auch geeigneter Impulse an die und durch die Politik.

Projekte sterben an Budgetmangel

Dazu kommt, dass interessante Projektideen „häufig schon im Keim erstickt“ (Hüther) werden, beispielsweise, weil niemand ihnen ein Budget zuweist oder die Aufklärung über Ziele und Vorgehen nach außen organisiert. Laut Bethke müsse auch die Bürgerbeteiligung deutlich verbessert werden.

Ziel müsse es sein, so Hüther, wie die Wirtschaft in offenen Plattformen anstatt in Datensilos zu denken, an die sich neue Beteiligte einfach anbinden und in die neue Daten einfach eingebracht

CIO BRIEFING

SEITE 18

werden können. So lassen sich beispielsweise intelligente Algorithmen auf den vorhandenen, gemeinsam verwalteten Datenpool anwenden oder neue Apps kreieren.

An den Daten liegt es meist nicht Oft seien Unmengen an bislang ungenutzten, aber frei verfügbaren Daten vorhanden. Eine selten genutzte Quelle seien beispielsweise Urlaubs- oder Reisefotos auf Social Media. Auch in den Datenarchiven der Städte schlummert so mancher ungenutzte Schatz, dessen Wert sich erst dann offenbart, wenn findige Entwickler sich eine entsprechende App ausdenken.

Wichtig sei dafür allerdings, dass die DSGVO eingehalten wird. Der Schlüssel zu einer datenschutzkonformen Nutzung sei hier die Zweckbindung der Daten. Fällt der genannte Zweck weg, müssen sie gelöscht werden. Sauer: „Die Daten unserer Netzwerkkameras werden deswegen zum Beispiel an einer Tankstelle, es sei denn es gab einen Zwischenfall, höchstens drei Tage gespeichert und müssen dann gelöscht werden.“

Prävention in Almere

Trotz all dieser Schwierigkeiten gibt es eine Reihe von Projekten und Ideen, die sich nach vorn wagen. Oft amortisieren sich entsprechende Projekte auch schnell.

Im niederländischen Almere verödete die Innenstadt, gleichzeitig war die Kriminalität hoch. Hier half unter anderem ein auf intelligenten Datenauswertungen basierendes Beleuchtungsmanagement mit anderen als den üblichen Lichtspektren. Dazu kommt der Einsatz intelligenter Videotechnik und akustischer Sensoren.

Die Kameras bewegen sich dahin, wo aggressive Stimmen, vulgo Geschrei, zu hören ist. Die Bilder wandern zur Polizei, die sofort in Aktion treten kann, bevor kleinere Auseinandersetzungen zu Schlägereien eskalieren können. Die Aufenthaltsqualität in der Innenstadt hat sich dadurch erhöht, die dortigen Restaurants sind wieder voller.

Intelligentes Covid-Management

Am Deutschen Forschungszentrum für Künstliche Intelligenz lief während der Corona-Pandemie ein Forschungsprojekt, das sich mit alternativen Partyorten Jugendlicher befasste. Denn weil Bars, Discos und Restaurants geschlossen waren, feierten sie einfach anderswo.

Durch Interviews mit Bürgern der betroffenen Mittelstadt und andere, offen verfügbare Daten gelang eine Modellierung. Mit ihr ließ sich besser vorhersagen, wo wahrscheinlich die nächste Feier stattfinden sollte, um nicht genehmigte Versammlungen in einem frühen Stadium aufzulösen.

Reallabor Gelsenkirchen

Besonders die 265.000-Einwohner-Stadt Gelsenkirchen bemüht sich derzeit unter anderem durch ein Reallabor, neue Ideen für die Smart City zu entwickeln und umzusetzen. Ein Gelsenkirchener Projekt ist „Dragon“. Dabei geht es um die Besuchersicherheit bei Großveranstaltungen.

Ein weiteres will bessere lokale Wetterdaten erarbeiten und nutzen. „Es gibt keine einzige Wetterstation des Deutschen Wetterdienstes hier. Deshalb bauen wir vor Ort derzeit ein Netz von derzeit 30, später bis zu 60 lokalen Wetterstationen auf“, berichtet Bethke. Dadurch erführe man in kleinem Raster, wie das lokale Wetter sich gestaltet, wo es zum Beispiel bei Hitzewellen so heiß wird, dass die Gesundheit gefährdet wird.

Umweltsensitive Verkehrssteuerung

Ein Ziel ist eine umweltsensitive Verkehrssteuerung. Bethke: „Dabei kommt es keinesfalls nur auf Digitales an. Entscheidend ist das Zusammenwirken von Menschen und Strukturen.“ Aber natürlich könnten bequem nutzbare Apps helfen, den städtischen Alltag zu bereichern. Bethke: „Dabei braucht man die Freiheit, dass auch einmal etwas nicht funktioniert.“

Gerade Wetterdaten seien hier sehr vielfältig nutzbar. Beispielsweise für ein nachhaltiges Verkehrsmanagement, für die Korrelation mit Daten über Bodenfeuchte und Grundwasserstand oder für die Sicherheit.

Intelligentes Gebäudemanagement: Fehlanzeige

Bislang völlig unzureichend beackert ist das Feld des intelligenten Gebäudemanagements. Darauf wies Moderator Prof. Dr. Clemens Gause, Geschäftsführer beim Verband für Sicherheitstechnik e. V. (VfS) hin. Zwar verbringen Menschen rund 80 Prozent ihrer Zeit in Gebäuden. Dennoch findet meist keine sinnvolle Datenintegration und -analyse für die verhaltensangepasste Gebäudesteuerung statt. Hier und auch beim Management des Stadtraums könnten laut Hüther in Zukunft digitale Zwillinge helfen. Mit ihnen lassen sich beispielsweise Bauvorhaben im Vorhinein auf ihre Auswirkungen prüfen.

Ohne langfristigen Support (LTS, Long Term Support) über zehn bis fünfzehn Jahre sowie automatisiertes Geräte- und Sensormanagement dürften sich mittelfristig Smart-City-Projekte als aufwendig und teuer erweisen – beispielsweise wegen der Obsoleszenz von Hard- und Software oder anderweitigem Reparatur-

CIO BRIEFING

bedarf. Sauer dazu: „Wir entwickeln unser System-on-Chip aus Qualitätsgründen vollständig inhouse.“

Allerdings, so betonte Gause, habe sich hier bei den Komponenten-Zulieferern aus China schon viel verändert. „Früher war die Qualität der Komponenten teils problematisch, doch das hat sich durch Qualitätsoffensiven beispielsweise des deutschen TÜV, aber auch unzufriedene chinesische Inlandskunden verändert.“

JANUAR

Datenschutz

bei Office 365

Sollten Unternehmen Microsoft 365 nutzen oder nicht?

02.12.2022 VON DIPL.-PHYS. OLIVER SCHONSCHEK

Die Datenschutzkonferenz (DSK) hat eine neue Bewertung zur Nutzung von Microsoft 365 veröffentlicht, die öffentliche wie auch nicht-öffentliche Anwender betrifft. Nicht nur Schulen und Behörden, auch Unternehmen sollten jetzt prüfen, wie sie die Office-Lösung aus der Cloud datenschutzgerecht einsetzen können. Wir geben einen aktuellen Überblick.

Der Branchenverband Bitkom e. V. hat das Borderstep Institut mit der Untersuchung des deutschen Rechenzentrumsmarkts beauftragt. Die Marktstudie weist Wachstum, Standortfragen und Umweltansprüche aus.

Es ist eine viel beachtete Festlegung, die die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, kürzlich veröffentlicht hat. Kein Wunder, geht es doch um die Frage, ob man nach EU-Recht Microsoft 365 datenschutzrechtskonform betreiben kann.

Die Entscheidung der Datenschutzaufsichtsbehörden richtet sich nicht etwa an Microsoft, wie man vielleicht vermuten könnte, sondern an die Nutzenden von Microsoft 365, an die Behörden, an die Schulen und an die Unternehmen.

Entsprechend sollten sich die öffentlichen und nicht-öffentlichen Stellen, die die Microsoft Office – Lösung nutzen, genau damit befassen und nicht etwa nur Microsoft. Die Datenschutz-Grundverordnung (DSGVO) enthält Vorgaben für Verantwortliche und Auftragsverarbeiter.

So müssen die Verantwortlichen (und damit zum Beispiel die Unternehmen) nachweisen können, dass ihre Nutzung von Microsoft

CIO BRIEFING

365 dem EU-Datenschutz genüge tut. Das ist insbesondere nur dann möglich, wenn Unternehmen nur mit solchen Auftragsverarbeitern zusammen arbeiten, die nachweisen können, dass die personenbezogenen Daten der Auftraggeber datenschutzkonform verarbeitet werden.

Ob dieser Nachweis bei der Nutzung von Microsoft 365 erbracht werden kann, dazu haben sich nun die Aufsichtsbehörden zu Wort gemeldet.

Was die Prüfung der Verträge von Microsoft ergeben hat Für die Nutzung von Microsoft 365 gibt es Verträge, die auch Aussagen zu den Datenschutzmaßnahmen enthalten, die Microsoft ergreift. Hierzu hat Microsoft auch einen „Datenschutznachtrag vom 15. September 2022“ erstellt, der Teil der Verträge wird. Genau diesen Nachtrag haben sich nun die Aufsichtsbehörden sehr genau angesehen.

Auf Basis des Berichts der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ stellt die DSK fest, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“

Ohne diesen Nachweis aber kann ein Unternehmen die Vorgaben der DSGVO für Auftragsverarbeitung nicht einhalten. Die DSK macht deutlich: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Was Aufsichtsbehörden nun sagen

Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz, erklärte dazu: „Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“

Der Landesdatenschutzbeauftragte erklärte die Situation so: Die Verantwortlichen müssen nach DSGVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eige -

CIO BRIEFING

nen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht.

Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nicht anweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten, ein Verstoß gegen die DSGVO. Hinzu kommen die Fragen der Datenübermittlung in die USA, so Dr. Hasse.

Bei der aktuellen Veröffentlichung der DSK handelt es sich also um keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365, sondern um eine Bewertung der vorliegenden Datenschutzbestimmungen als Teil der Verträge zur Nutzung von Microsoft 365. Es müssen also weitere Fragen erörtert werden.

Man kann aus Sicht der Aufsichtsbehörden Stand Ende November 2022 sagen: Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Für die Datenschützer steht außer Frage, dass weitere Regelungen und Maßnahmen erforderlich sind, um einen datenschutzkonformen Betrieb von Microsoft 365 zu erreichen.

Wie Microsoft das Prüfungsergebnis kommentiert Microsoft sieht die datenschutzrechtliche Situation anders: „Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Die eigene Position erläutert Microsoft so: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen. Wir sind auch der Meinung, dass der Bericht der DSK wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden.“

JANUAR 2022

CIO BRIEFING

SEITE 24

Zur Transparenz bei der Datenverarbeitung sagte Microsoft: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen.“ Und weiter: „Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“

Es bleibt also spannend, wie die weiteren Bewertungen der Datenschutz aufsichtsbehörden aussehen werden und welche Möglichkeiten gefunden werden, um die bemängelten Punkte auszuräumen.

Als Unternehmen sollte man hier unbedingt „am Ball bleiben“, denn die Verantwortung für den Datenschutz liegt nicht nur bei Microsoft, sondern eben bei den Verantwortlichen in den Unternehmen, wie auch in den Behörden und in und Schulen. Sie müssen entscheiden, ob sie Microsoft 365 (weiterhin) nutzen oder nicht.

SEITE 25

Major Release legt Fokus auf Nutzerfreundlichkeit

Neues in Nextcloud 25: KI, Interface, Photos 2.0, Talk, Mail

12.12.2022 VON THOMAS JOOS

Nextcloud ist mittlerweile die wichtigste Lösung für Teamarbeit, wenn es darum geht eine Private-Cloud-Umgebung auf Basis von Open Source aufzubauen. In der neuen Version 25 wollen die Entwickler vor allem die Usability voranbringen und die Bedienung erleichtern.

Unternehmen, Organisationen, Vereine, aber auch Privatpersonen und Familien kommen kaum um Nextcloud herum, wenn es darum geht eine private Collaboration-Cloud aufzubauen, die über umfassende Möglichkeiten verfügen soll. Mit der neuen Version 25 bieten die Nextcloud-Entwickler vor allem eine verbesserte Oberfläche, in welcher die Usability im Vordergrund steht. Die einzelnen Bedienelemente sind freundlicher und runder gestaltet. Dazu kommt auch eine Runderneuerung der Desktop-Apps und der mobilen Anwendungen. Die Apps für Android und iOS unterstützen neue Widgets.

Mehr Usability und Personalisierung mit Nextcloud 25

Außerdem bietet die neue Version mehr Möglichkeiten für die einzelnen Benutzer, um die Bedienung der Cloud an die eigenen Anforderungen anpassen zu können. Jeder Benutzer der Cloud kann seine Oberfläche und die Funktionen selbst auswählen und ist damit nicht mehr auf die zentralen Vorgaben von Administratoren angewiesen. Hintergründe lassen sich personalisieren und

CIO BRIEFING

stehen jetzt nicht nur im Dashboard zur Verfügung, sondern auch an allen anderen Stellen in Nextcloud.

Über das Benutzerbild und dann „Persönliche Einstellungen“ lässt sich die Oberfläche individuell einrichten. Das gilt auch für die Barrierefreiheit, wofür Nextcloud 25 ebenfalls viele Anpassungen zur Verfügung stellt. Die aktuelle Version unterstützt das Vorlesen des Bildschirminhalts und kommt mit einem hellen und einem dunklen Modus, was für Menschen mit Sehproblemen sehr hilfreich ist. Die Einstellungen dazu sind in den Optionen jedes Benutzers über den neuen Menüpunkt „Erscheinungsbild und Barrierefreiheit“ anpassbar.

Neue Foto-App mit Alben, Freigaben und mehr Funktionen Deutlich verbessert ist jetzt Nextcloud Photos. Hier lassen sich zentral alle Fotos, Videos und Multimediadateien umfassend verwalten und auch mit anderen Benutzern teilen. Außerdem ist hier der Zugriff auf geteilte Alben von anderen Benutzern möglich. Die Ansicht der Photos-App wurde modernisiert und an aktuelle, moderne Oberflächen angepasst. Die Leistung für die Darstellung der Bilder und der kompletten Ansicht wurde deutlich erhöht. Mit Nextcloud 25 können Anwender auch eigene Alben über die Schaltfläche „Hinzufügen“ erstellen und mit anderen Benutzern teilen. Beim Markieren von Bildern und Videos kann mit „Zum Album hinzufügen“ ein Album ausgewählt werden, das bereits existiert, oder Benutzer erstellen gleich ein neues Album. Die Alben sind über den Menüpunkt „Alben“ in einer gesammelten Ansicht zu finden. In der Foto-Ansicht eines Albums kann dieses mit anderen Benutzern geteilt werden. Hier zeigt Nextcloud 25 alle lokal angelegten Benutzer an, ermöglicht aber auch das Erstellen eines öffentlichen Links zum Teilen von Alben.

Neuer Bestandteil von Nextcloud 25 ist zudem ein Foto-Editor, mit dem die einfache Bearbeitung von Bildern direkt im Browser vorgenommen werden kann. Der Editor kann Bilder auch schneiden, Text hinzufügen und Filter hinzufügen.

Künstliche Intelligenz in Nextcloud 25

Mit der neuen Version bauen die Entwickler die KI-Funktionen aus. Die Photos-App ist zum Beispiel mittels KI in der Lage, Objekte und Personen automatisch zu erkennen und ist in der Lage, die Bilder entsprechend zu sortieren und zu filtern. In diesem Zusammenhang kann die Fotos-App Tags bzw. Schlagworte zuweisen, nach denen Anwender auch suchen können. Die dadurch sortierten Fotos sind über den Menüpunkt „Schlagworte“ in der Fotos-App zu finden.

JANUAR

Gefundene Personen zeigt die Foto-App bei „Personen“ an und ordnet die Bilder aus den Sammlungen automatisiert über die Schlagworte der Ansicht hinzu. Erkennt Nextcloud 25 eine Person, können in einer Sammlung über „Personen“ zum Beispiel alle Fotos dieser Person gebündelt angezeigt werden.

Verbesserungen in Nextcloud Talk

CIO BRIEFING

SEITE 27

Bezüglich der Kommunikation ist Nextcloud Talk die wichtigste Anwendung. In der neuen Version von Talk zeigt die Chat-Lösung eine Vorschau an, wenn Anwender Links oder Dokumente versenden. Das macht die Übersicht effektiver und es ist gleich zu sehen, um was es bei einer Nachricht geht.

Verlinken Anwender Videos, zum Beispiel zu YouTube, blendet Talk auch gleich einen Player ein, mit dem das Video direkt in Talk abgespielt werden kann. Mit dem Büroklammer-Symbol können Objekte direkt in den Chat angehängt werden. Mit Nextcloud 25 ist es an dieser Stelle auch möglich, Umfragen zu erstellen.

Parallel dazu lassen sich Dokumente direkt im Chat erstellen. Die hier erstellten Dokumente sind für alle Benutzer im Chat zugreifbar und können gemeinsam bearbeitet werden. Dazu kommen erweiterte Moderator-Einstellungen. Nextcloud 25 ermöglicht verschiedene Moderator-Einstellungen und für jeden Chat kann ein eigener Moderator erstellt werden. Moderatoren steuern wiederum die Rechte der Teilnehmer und legen fest, welche Dokumente die einzelnen Anwender im Chat teilen dürfen. Auch Mikrofon- und Kameraeinstellungen der Teilnehmer können hier gesteuert werden.

Bessere Mail-Anwendung in Nextcloud 25

Der in Nextcloud integrierte Mail-Client wurde ebenfalls überarbeitet und deutlich verbessert. Wie in Outlook können jetzt auch im Mail-Client von Nextcloud Einladungen angenommen und Termine direkt in den Kalender eingetragen werden. Die Antworten auf Anfragen speichert der Mail-Client direkt in der App. Erhalten Anwender Dateianhänge können sie diese mit dem integrierten Viewer betrachten. Zudem können automatische Antworten und ein Abwesenheitsassistent aktiviert werden.

Beim Aufrufen der App lässt sich Nextcloud Mail auch über einen kleinen Assistenten einrichten, was die Anbindung vereinfacht. Die meisten Servernamen kann Nextcloud Mail automatisch auflösen, es sind aber auch manuelle Einstellungen möglich. In der Mail-App können außerdem jederzeit weitere Mailkonten hinzugefügt werden.

JANUAR 2022

Die Kontakte-App haben die Entwickler in Nextcloud 25 ebenfalls überarbeitet. Diese bietet jetzt hierarchische Ansichten, um in einem Unternehmen oder einer Organisation die Zusammenhänge der Kontakte und die Hierarchien zu erkennen – wer mit wem zusammenarbeitet oder wer in der gleichen Abteilung sitzt.

CIO BRIEFING

SEITE 28

SEITE 29

Datenspeicherung, Backup, AD-Domänencontroller, DNS-Server und mehr

Serverersatz: NAS-Systeme von Synology für KMU

19.12.2022 VON THOMAS JOOS

NAS-Systeme von Synology werden über das Betriebssystem DiskStation Manager (DSM) gesteuert. Dieses erlaubt aber weit mehr als die Speicherung von Daten, sodass ein NAS auch als Ersatz für einen Server zum Einsatz kommen kann. Dieser Beitrag zeigt die Möglichkeiten.

NAS-Systeme von Synology bieten dank des Betriebssystems DiskStation Manager (DSM) und einer sehr aktiven Community zahlreiche Einsatzgebiete, die vor allem für KMU sinnvoll einsetzbar sind. Neben dem Betrieb als Datenspeicher kann ein Synology NAS auch als vollwertiger Domänencontroller zum Active Directory genutzt werden, als Appliance zur Sicherung von Daten auf externe Festplatten oder andere NAS-Systeme oder als DHCPServer, Webserver und vieles weitere mehr. Mit der App „Universal Search“, die aus dem Paketzentrum bei Synology auf den NASSystemen mit DSM installiert werden kann, lassen sich übrigens einzelne Ordner indexieren. Das hat den Vorteil, dass die Dateien in der Weboberfläche schneller gefunden werden können.

Das Paketzentrum, DSM und Linux sind für Synology-NAS-Systeme wichtig

Ermöglicht wird das über das „Paketzentrum“, das in der Weboberfläche des DSM zur Verfügung steht. Neben Paketen, die Sy -

CIO BRIEFING

30

nology zur Verfügung steht, sind hier auch haufenweise Pakete für Unternehmen und kleine Büros verfügbar. In vielen Unternehmen kann ein NAS von Synology bedenkenlos einen kleinen Server ersetzen. Wir haben diese Möglichkeiten auch bereits im Beitrag „Synology-NAS-Systeme für kleine Netzwerke nutzen“ behandelt.

Da das Betriebssystem von Synology mit der Bezeichnung DiskStation Manager (DSM) auf Linux basiert, können Entwickler mit etwas Erfahrung in Linux durchaus problemlos eigene Anwendungen/Pakete entwickeln. Um eigene Pakete zu entwickeln, stellt Synology eine Entwicklungsplattform zur Verfügung. Für die Entwicklung von Anwendungen für Synology-NAS-Systeme muss zunächst eine Anmeldung erfolgen. Mehr dazu zeigen wir im Beitrag „Mit dem Synology SDK Anwendungen für KMU entwickeln“. Bei Xpenology handelt es sich um eine frei verfügbare Portierung des Synology-NAS-Systems mit der Bezeichnung DiskStation Manager (DSM). Mit dem System können Anwender auf eigener Hardware ein NAS-System aufbauen, das wie ein NAS-System von Synology gesteuert wird. Auch die verfügbaren Pakete für Synology-NAS-Systeme lassen sich in Xpenology nutzen. Auch die aktuelle DSM-7.0-Version ist als Xpenology-Version bereits verfügbar. Wir haben dieses System im Beitrag „Xpenology – NASBetriebssystem für eigene Hardware nutzen“ ausführlicher behandelt.

Neue NAS-Systeme von Synology 2022 und 2023

Eine neue Lösung, die auch mehr Daten speichern kann, ist die DiskStation DS1522+. Wem kleinere Ausgaben von SynologyNAS-Systemen ausreichen, der kann auch auf die neuen NAS-Systeme von Synology warten. Das Modell DS723+ setzt auf einen AMD-Embedded-Ryzen-R1600-Prozessor, genauso wie DS1522+, nur mit zwei anstatt mit fünf Schächten. Erwartet wird auch das NAS-System DS223, während das 4-Bay-NAS DS923+ jüngst bereits gelauncht wurde. Beim Kauf eines neuen NAS sollte darauf geachtet werden, wie lange dieses noch im Support ist und ob Pakete wie der Directory Server oder auch Microsoft 365 Active Backup und MailPlus Server unterstützt werden, wenn diese zum Einsatz kommen sollen.

Synology-NAS-Systeme bieten zahlreiche Zusatzfunktionen und eine webbasierte Verwaltung

Die Verwaltung von Synology-NAS-Systemen erfolgt über den Webbrowser. Dazu stellt DSM eine übersichtliche Weboberfläche zur Verfügung, mit der zusätzliche Pakete, aber auch die Syste -

CIO BRIEFING

SEITE 31

meinstellungen zentral verwaltet werden können, bequem über das Netzwerk. Über das Paketzentrum lassen sich zusätzliche Pakete installieren, in den meisten Fällen ohne Kosten und weitere Lizenzierung. Die Verwaltung eines Synology-NAS-Systems mit DSM 7.x erläutern wir umfassend im Beitrag „Synology DSM 7: Problembehebung und erste Schritte“.

Active-Directory-Domänencontroller mit Synology-NAS und DSM umsetzen

Es ist zum Beispiel möglich, aus dem NAS-System einen Domänencontroller für Active Directory zu erstellen, inklusive Gruppenrichtlinien und der Möglichkeit, auf Standardtools zur Verwaltung von Active Directory zu setzen. Das Paket dazu steht aber nicht auf allen NAS-Systemen von Synology zur Verfügung. Eine Liste der kompatiblen Geräte ist auf der Synology-Seite zu finden. Zusammen mit dem Dienst kann das NAS-System auch als DNSServer zum Einsatz kommen. In dieses Active Directory können Sie anschließend Windows- und Linux-Clients genauso aufnehmen wie Macs.

E-Mail-Server oder Anbindung an Microsoft 365 mit einem Synology-NAS

Es ist außerdem möglich, auf einem Synology-NAS-System einen eigenen E-Mail-Server zu betreiben. Dazu installieren Sie auf dem NAS das Paket Synology MailPlus Server (https://www.synology. com/de-de/dsm/feature/mailplus). Auch dieser Dienst steht kostenlos zur Verfügung und kann über das Paketzentrum installiert werden. Die Verwaltung des Mail-Servers erfolgt über die Weboberfläche im DSM. Für den Server gibt es auch einen Virenschutz, der ebenfalls über das Paketzentrum installiert werden kann. Unternehmen, die auf Microsoft 365 setzen, können das SynologyNAS auch als dringend notwendige Backup-Lösung für Microsoft 365 nutzen. Warum ein Backup für Microsoft 365 notwendig ist, können Sie im Beitrag „Backup für Microsoft 365: unverzichtbar“ nachlesen. Bei vielen Synology-NAS-Systemen ist auch ein Paket verfügbar, mit dem Unternehmen kostenlos ein Backup von Microsoft 365 auf dem NAS-System durchführen können.

Mehr zu „Synology Active Backup for Microsoft 365“ ist im Beitrag „Backup für Microsoft 365: unverzichtbar – Teil 2“ zu finden. Im Beitrag „NAS-Daten mit privater Cloud nutzen“ beschreiben wir noch, wie sich ein Synology-NAS-System mit verschiedenen Cloud-Diensten synchronisieren lässt, zum Beispiel Dropbox, Microsoft OneDrive, Microsoft Azure oder Microsoft SharePoint Online. Details hierzu bietet der Beitrag „Synology-NAS mit CloudSpeichern synchronisieren“.

Unified Endpoint Management (UEM) im Fokus Das „Problem Endgerät“ im Griff

25.07.2022 VON THOMAS BÄR

Trends wie BYOD und Homeoffice sowie das damit verbundene hybride und mobile Arbeiten bieten viele Vorteile, doch IT-Verantwortlichen und Administratoren bereiten sie allzu oft auch Kopfschmerzen: Denn dort soll man alles im Griff behalten, aber für die Überwachung und Betreuung der wachsenden Anzahl an Endgeräten sind die traditionellen Werkzeuge für das Client-Management in der Regel nicht besonders gut geeignet. Kann das Unified Endpoint Management (UEM) die Lösung für die Probleme bei der Verwaltung der Endgeräte sein?

Auch wenn in früheren Zeiten „alles besser“ gewesen sein soll: Wer schon länger im Bereich der IT tätig ist, wird sicher bestätigen können, dass Administratoren und Systembetreuer auch damals schon darüber geklagt haben, wie schwierig es doch sei, die Nutzer und ihre lokalen Client-Systeme im Griff zu behalten. Die IT-Profis waren spätestens mit dem Ende der GroßrechnerÄra (und ihren „dummen Terminals“) mit dem Problem konfrontiert, dass die Nutzer immer mehr Endgeräte immer individueller einsetzen konnten. Es entwickelte sich eine Art von Werkzeugen, die heute in der Regel unter dem allgemeinen Begriff „Client Management Tools“ (CMT) zusammengefasst werden.

Früher wurde auch der Begriff PC-Lifecycle Management für diese Disziplin der Systembetreuung verwendet. Dabei umfasst schon dieser Begriff mehr als nur das reine, „klassische“ ClientManagement. In jenen früheren Zeiten bezog sich diese Verwaltungstätigkeit zudem fast ausschließlich auf die Verwaltung und

Betreuung von Desktop-Computern und Laptops, die dabei in der Regel direkt in den Räumen des Unternehmens zu finden waren. Als das nicht mehr ausreichte, tauchten dann zunächst Lösungen aus der Kategorie MDM (Mobile Device Management) und dann EMM (Enterprise Mobility Management) auf. Beide Werkzeugkategorien haben den Anspruch, die Verwaltungsmöglichkeiten auf die vielen neuen und zumeist auch mobilen Endgeräte auszuweiten.

MDM-Lösungen waren der erste Schritt in diese Richtung und ermöglichten es den IT-Profis in den Firmen, die von den Anwendern im Netzwerk eingesetzten eigenen BYOD-Geräte zu überwachen, zu verwalten und auch abzusichern. Die EMM-Suiten waren dann der nächste logische Schritt. Diese beinhalten in der Regel ebenfalls alle Fähigkeiten der MDM-Produkte zur Verwaltung und Betreuung mobiler Endgeräte, doch gehen sie noch einen Schritt weiter: Sie bieten zudem die Verwaltung von Anwendungen – was häufig auch unter dem Begriff Mobile Application Management (MAM) zusammengefasst wird – sowie unter anderem auch das Sicherheitsmanagement von digitalen Zertifikaten oder Identity- und Access-Management mit Techniken wie Single Sign On (SSO).

UEM: Eine Lösung, sie alle zu kontrollieren Das vermehrte Auftreten von IoT-Endgeräten auch in den Unternehmensnetzwerken war dann nicht zuletzt ein entscheidender Faktor, der einen nächsten Schritt bei der Verwaltung und Betreuung der Endgeräte notwendig machte: Mit UEM (Unified Endpoint Management) wurde eine Gruppe von Lösungen geschaffen, in der im Idealfall die Features und Möglichkeiten sowohl von EMM, MAM als auch von MDM als Teilmengen enthalten sind. Die Administratoren sollen damit einen einheitlichen Blick auf alle Endgeräte bekommen und diese dann aus einer Konsole heraus verwalten und schützen können. Die meisten modernen UEM-Softwarelösungen versuchen das Management der Endgeräte auch durch den Einsatz einer einheitlichen CloudKonsole zu vereinfachen und vereinheitlichen. Ging es bei den Anfängen der Endgeräteverwaltung mit CMT hauptsächlich um die allgemeine Verwaltung von Desktops und mobilen Rechnern wie Notebooks, so liegt ein ganz wichtiger Schwerpunkt bei UEM auch darauf, auf allen Endgeräten die gleiche möglichst umfassende Sicherheit zu erreichen.

Die IT-Umgebungen, die heute in fast allen Unternehmen zum Einsatz kommen, unterscheiden sich fundamental von denen, die noch bis vor wenigen Jahren eingesetzt und von den Experten der IT-Abteilungen betreut wurden. Diese Aufgaben werden

CIO BRIEFING

unter anderem von den folgenden, sehr wichtigen Charakteristiken definiert:

�� Unabhängigkeit vom Standort,

�� Unabhängigkeit vom Anbieter/Hersteller (vendor-agnostic),

�� Anwender im Zentrum und

�� Automatisierung.

IT-Abteilungen, die von diesen Vorgaben ausgehen, können dann ganz unterschiedliche Komponenten definieren, die ein modernes Management für die Endgeräte-Verwaltung repräsentieren. Darum wird es auch kaum eine UEM-Lösung geben, die für alle Unternehmen und Einsatzzwecke gleichermaßen geeignet ist. So stellt dann diese Auflistung auch nur eine Möglichkeit dar, die wichtigen Komponenten einer UEM-Strategie festzulegen.

Secure Unified Endpoint Management (SUEM)

Es dürfte für IT-Profis in Unternehmen keine Frage sein, dass die Sicherheit der Endgeräte ebenfalls ein entscheidender Faktor ist, wenn es um deren Verwaltung geht. Dabei verfügen die meisten Unternehmen über eine große Zahl an Endgeräten, die ihre Mitarbeiter einsetzen. Ganz unerheblich, ob es sich dabei um firmeneigene Geräte handelt, die den Nutzern zur Verfügung gestellt werden, oder um private Endgeräte, die im Rahmen einer BYOD-Vereinbarung zum Einsatz kommen. Nicht zuletzt durch diese Entwicklung, die vielfach auch unter dem Schlagwort „Digitalisierung“ stattfindet, wird die Verwaltung und Betreuung dieser Endgeräte zu einer immer umfangreicheren und komplexeren Aufgabe.

Die Sicherheitsspezialisten des Unternehmens McAfee haben bereits im Jahr 2017 feststellen können, dass in einem durchschnittlichen Unternehmen bis zu 464 eigene Anwendungen zum Einsatz kommen. Das bedeutet für die IT-Abteilung, dass sie die Endgeräte ihrer Nutzer und das was sich darauf in Form von Software befindet, sowohl verwalten als auch absichern müssen. Für diese Art von Managementaufgaben hat unter anderem das Unternehmen Matrix42 den Begriff vom Secure Endpoint Management (SUEM) geprägt. Dabei heben die Spezialisten aus Frankfurt ganz besonders hervor, dass Unternehmen durch eine solche Strategie eine deutliche Effizienzsteigerung erreichen können.

SUEM zielt dabei darauf ab, bisher getrennte Systeme wie beispielsweise Client-Management, Mobile Device Management, Inventarisierung und Asset Management zusammen mit der Endpoint Security in einer Lösung und Konsole zusammenzufassen.

CIO BRIEFING

Gerade für Unternehmen, die sich bisher noch nicht intensiv mit dem UEM-Thema befasst haben, ist es zunächst vielleicht nicht so klar, dass ein UEM-System immer zu den sicherheitskritischen Bereichen der eigenen IT-Landschaft gehört. Aber ein solches UEMSystem muss schon grundsätzlich über höchste administrative Berechtigungen auf die zu verwalteten Endpoints verfügen, um den entsprechenden Aufgaben gerecht zu werden. Zudem besitzt diese Lösung in der Regel auch den direkten Zugriff auf verbundene Verzeichnisdienste wie etwa Active Directory.

UEM: Der Markt und seine Protangonisten

Die Analysten von Gartner und Forrester sind sich bei der Bewertung des UEM-Markts einig: Sie setzen für ihre „Magic Quadrants“ jeweils Microsoft und VMware als führende Anbieter für diese Art der Lösung ein. Gefolgt – und auch hier scheinen sich die Analysten einig zu sein – von IBM und Ivanti. Dabei muss allerdings erwähnt werden, dass Ivanti wie so viele große Anbieter von Business-Software hier von einer Akquisition profitiert: Mit der Übernahme von MobileIron im Jahr 2020 hat sich das amerikanische Softwareunternehmen aus Utah einen der profiliertesten Anbieter von Unified-Endpoint-Management-Lösungen mit Schwerpunkt auf Mobilgeräten ins eigene Haus geholt. Eine Maßnahme, von der Ivanti augenscheinlich noch heute profitiert. Somit kann das Unternehmen mit seinen Produkten heute die Möglichkeit anbieten, alle Betriebssysteme von Microsoft und Apple sowie die Google-Betriebssysteme und Linux-Distributionen zu verwalten. Auch Server-Systeme, Android Open Source Project Geräte (AOSP) und Wearables fallen darunter.

Die Gartner-Analysten prognostizierten zudem im August 2021 im Report zu ihrem „Magic Quadrant for Unified Endpoint Management Tools“, dass mehr als die Hälfte der Unternehmen bis zum Jahr 2024 in ihren Netzwerken eine einheitliche Konsole sowohl für das Endpoint-Management als auch für die Sicherheitsaufgaben eingeführt haben werden. Das wäre eine signifikante Steigerung zum Jahr 2020, in dem diese Daten erhoben wurden. Damals besaßen laut Gartner weniger als fünf Prozent der Firmen eine solche Lösung und Konsole.

Nachbericht re:Invent 2022

AWS-Chef Selipsky ruft die Parole „Zero-ETL“ aus

12.12.2022

Auf der Anwenderkonferenz re:Invent 2022 hat Amazon Web Services (AWS) der ETL-Integrationsmethode den Kampf angesagt und eine Reihe von Datenbank-Integrationen vorgestellt. Generell wird die Skalierbarkeit und Leistung der Datastores erhöht, das ML-Tool Amazon SageMaker verarbeitet nun auch Geodaten. Im IoT-Bereich stellte AWS vier Neuheiten vor.

„Integration mit ETL ist wie ein schwarzes Loch“, zitierte CEO Adam Selipsky einen seiner Kunden. Um diese Misere zu beenden, gab er die Parole „Zero ETL“ aus und verkündete die Integration zwischen verschiedenen Amazon-Datenbanken sowie mit Apache Spark. „Amazon Athena for Apache Spark“ eigne sich besonders für komplexe Analysen, wobei die Abfragedauer unter einer Sekunde liegen soll.

Zudem stellte der CEO „Amazon Redshift Integration for Apache Spark“ und „Amazon Athena for Apache Spark” vor und kündigte eine Kooperation zwischen Amazon Aurora und Amazon Redshift an. Die Abfragen sollen fast in Echtzeit ablaufen und ermöglichen die Anwendung von ML-Modellen auf Transaktionsdaten.

Die Preview für Amazon Aurora MySQL 3 mit Kompatibilität zu MySQL 8.0 steht in der Region USA Ost (Nord-Virginia) bereit. Aurora lasse sich ebenso wie OpenSearch Serverless betreiben, um Ressourcen zu sparen und die Latenzzeit zu verringern. Der Ser-

CIO BRIEFING

SEITE

verless-Betrieb ist schon seit 2018 für Amazon Aurora verfügbar, für Amazon OpenSearch jetzt als Preview.

Apache Spark läuft mit Amazon EMR, Amazon Redshift und Amazon Athena bis zu dreimal schneller als mit Open Source Software. Diese Integration sei auch für Amazon SageMaker und AWS Glue zugänglich. Mit Amazon DataZone sollen Kunden die sogenannte Schatten-IT bekämpfen können, indem sie die Governance-Funktionen dieses Dienstes nutzen. Amazon DataZone ist ein Datenverwaltungsdienst, um Daten zu katalogisieren, zu erkunden, zu teilen und mehr, die nicht nur aus Amazon stammen können, sondern auch aus Data Warehouses von Snowflake oder aus einer Datenbank von Tableau.

Dieser Service ist nicht zu verwechseln mit dem neuen Dienst AWS Clean Rooms, der es erlaubt, im Hinblick auf die Integration von Datenbeständen ganz bestimmte Segmente eines Datenbestandes zwischen zwei Dateneignern, etwa zwischen Vertrieb und Marketing, miteinander zu teilen.

Um die Datenqualität zu erhöhen, zu messen und beizubehalten, bietet AWS in Kürze den Service „AWS Glue Data Quality“ an. Der Aufwand, der mit der Sicherstellung von Datenqualität verbunden sein kann, soll damit von Tagen auf Stunden reduziert werden. Dabei unterscheidet AWS Glue Data Quality den Einsatz bei ruhenden Daten und Daten in einer Pipeline. Das ServerlessTool schlägt individuell angepasste Regeln vor und lässt sich bis in den Petabyte-Bereich skalieren. Um den Gedanken der Zero-ETLIntegration zu stützen, gibt es nun auch „AWS Glue for Apache Spark“, „AWS Glue for Ray“ und „AWS Glue for Python Shell“.

Skalierung

Als zweites „Schlachtfeld“ nannte Selipsky das Thema Skalierung. Jetzt skaliere Amazon Athena bis auf 128 Terabyte pro Cluster. Amazon Redshift skaliere bis zu Exabytes, Amazon DocumentDB skaliere bis zu 64 TiB pro Cluster, doch mit dem neuen Service DocumentDB Elastic Clusters sei die Kapazität auf Millionen von Lese-/Schreibanfragen und Petabytes an Speicher erweitert worden. Als Kunden nannte der CEO Netflix, die Expedia Group und Philips.

Machine Learning

Machine Learning (ML) spielt für Amazon QuickSight eine zunehmende Rolle. In AWS QuickSight Q ermöglicht ML nicht nur eine Interpretation gesprochener Sprache (NLP), sondern jetzt auch Forecasting und „Warum“-Fragen. Beide Leistungsmerkmale sind

bereits verfügbar. Neu sind zudem paginierte Reports in Amazon QuickSight Paginated Reports und neue API-Fähigkeiten: Diese ermöglichten „programmatisches Erstellen und Verwalten von Dashboards in Amazon QuickSight und das Beschleunigen der Migration in die Cloud“.

Auf großen Applaus stieß die Ankündigung, in Amazon SageMaker, dem umfangreichen Framework für ML und KI, nun auch Geodaten für visuelle Vorhersagen zu verarbeiten und vortrainierte neuronale Netze damit arbeiten zu lassen. Der Kunde BMW, mit dem Amazon eine gemeinsame Plattform für Automotive IT erstellt hat, stellte in einer Demonstration vor, wie sich dieses Feature in der Praxis nutzen ließe. Da sich durch den Klimawandel auch die Niederschlagsmengen erhöhten, wäre es vorteilhaft für einen Fahrer, im Voraus darüber informiert zu werden, mit welchen Gefahren er aufgrund von überfluteten Straßen zu rechnen habe.

Damit sich auch Tausende von ML-Modellen zuverlässig und effizient verwalten lassen, bietet AWS nun „ML Governance with AWS SageMaker“ an. Das erleichtere nicht nur die Überwachung und Dokumentation der Modelle, sondern erlaube auch deren Optimierung beim Einsatz.

Eine Anwendung von ML-Modellen soll künftig auch auf allen Gebieten des Gesundheitswesens, der Biowissenschaften und der Genomik möglich sein. Dazu bietet Amazon jetzt die Cloud-Anwendung Amazon Omics an. Damit soll die personalisierte Pflege eines Patienten ebenso realisierbar sein wie beschleunigte Forschung, HIPAA-konformer Datenschutz und die Analyse von Petabytes an Erhebungsdaten, etwa aus einem Amazon HealthLake.

Zuverlässigkeit & Security

Ohne Kundenvertrauen gibt es kein Cloud Computing und um dieses Vertrauen zu rechtfertigen, sollen die Sicherheitsmechanismen ausgebaut werden. Dabei will Selipsky sein Versprechen der Datensouveränität berücksichtigen, sodass lokale Gesetze und Rechtsfragen zur Geltung kommen. Das Schlüsselmanagement für die Verschlüsselung lässt sich nun mit External Key Store (XKS) an Dienstleister auslagern. Die Telekom-Tochter T-Systems hat kürzlich einen entsprechenden Dienst in ihr Paket „Data Protection as a Service“ aufgenommen.

Die Datenbank Amazon Redshift verfügt jetzt über eine MultiAZ-Fähigkeit, was bedeutet, dass Nutzer ihre Cluster über mehrere Availability Zones hinweg betreiben können, um besser gegen

CIO BRIEFING

SEITE

Ausfälle geschützt zu sein. Ebenfalls neu sind die „Trusted Language Extensions for PostgreSQL“, einer mit einigen AWS-Datenbanken kompatiblen Open-Source-Datenbank.

IoT

Eine erhebliche Beschleunigung beim Start sollen AWS-LambdaFunktionen erfahren, wenn sie die neue Funktionalität Lambda SnapStart nutzen. Das kommt auch IoT-Apps zugute. Die auf Firecracker basierende Funktion soll für 90 Prozent weniger „Kaltstarts“ sorgen. Diese können bis zu zehn Sekunden lang sein, wenn die INIT-Phase der App auf ein Framework wie Spring Boot, Quarkus oder Micronaut angewiesen ist, schreibt AWS-Evangelist

Jeff Barr dazu. Der Chefblogger führt einige anschauliche Codebeispiele dazu auf.

AWS IoT Core, ein verwalteter Cloud-Service, präsentiert mit AWS IoT Core Device Location eine neue Funktion, die es Kunden ermöglicht, IoT-Geräte anhand ihrer Standortdaten (etwa Breiten- und Längengrad) zu überwachen und zu verwalten. Mit AWS IoT Core Device Location können Kunden Geschäftsprozesse optimieren, Wartungsarbeiten vereinfachen und automatisieren und neue Geschäftsanwendungsfälle erschließen.

Mit der neuen Device-Location-Funktion können Kunden die geeignete Ortungstechnologie wie das Cloud-unterstützte globale Satellitennavigationssystem (GNSS), WLAN und das Mobilfunknetz wählen, die ihren geschäftlichen und technischen Anforderungen entspricht, ohne auf die stromintensive GPS-Hardware angewiesen zu sein. Kunden in vielen Branchen können den Ortungsdienst nutzen: Logistik, Städte, Gesundheitswesen, Automobile, Fertigung usw. Das Feature erlaubt die Fernüberwachung von Geräten und Maschinen, ohne sie zu verändern. Der neue Service ist u. a. in der Region Frankfurt verfügbar.

AWS IoT TwinMaker

AWS IoT TwinMaker erleichtert die Erstellung digitaler Zwillinge von realen Systemen wie Gebäuden, Fabriken, industrieller Ausrüstung und Produktionslinien. Der Amazon-Athena-Datenkonnektor für AWS IoT TwinMaker ist jetzt für alle Kunden verfügbar. Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse von Daten im Amazon Simple Storage Service (Amazon S3) mit Standard-SQL erleichtert. Mit dem Amazon Athena-Datenkonnektor können Kunden ihre tabellarischen Daten aus dem Amazon-Athena-Datenspeicher mit AWS IoT TwinMaker verbinden und ihren digitalen Zwillingen Kontext und diskrete Informationen hinzufügen.

CIO BRIEFING

Mit der Einführung von TwinMaker Knowledge Graph können Kunden nun ihre digitalen Zwillinge abfragen, Daten aus unterschiedlichen Datenquellen kontextualisieren und tiefere Einblicke in ihre realen Systeme gewinnen. Dadurch können Kunden bei der Durchführung von Funktionen wie der Ursachenanalyse Zeit sparen und fundiertere Geschäftsentscheidungen treffen.

Für AWS IoT Core und AWS IoT Core Device Advisor steht das MQTT-5-Protokoll zur Verfügung. „MQTT5 ist ein aktualisierter Standard für die Kommunikation von Gerät zu Gerät, der gegenüber der vorherigen MQTT-Version 3.1.1 erhebliche Funktionsverbesserungen bereithält“”, heißt es seitens AWS.

MQTT 5

MQTT 5 enthält neue Nachrichten-Header, die eine schnellere Verarbeitung von Nachrichten ermöglichen, ohne dass der Nachrichteninhalt dekodiert werden muss, gemeinsame Abonnements, die einen Lastausgleich für den Nachrichtenempfang ermöglichen, das Ablaufen von Nachrichten und Sitzungen, um bessere Timeouts zu ermöglichen, und Anforderungs-/AntwortThemen, die es den Abonnenten von Nachrichten ermöglichen, dem Absender den Empfang einer Nachricht zu bestätigen.

SEITE 41

Sicherheitslücken durch Fehler in der Konfiguration von Microsoft Azure

8 gefährliche Fehlkonfigurationen in Azure

13.12.2022 VON THOMAS JOOS

In Azure gibt es verschiedene Einstellungen, durch die gravierende Sicherheitslücken entstehen können. Wir zeigen in diesem Beitrag acht gefährliche Optionen, bei denen Admins sehr sorgfältig vorgehen sollten und erklären, wie Microsoft Defender für Cloud hilft Sicherheitslücken zu vermeiden.

(©sdecoret - stock.adobe.com)

Microsoft Azure bietet für die verschiedenen Ressourcen zahlreiche Optionen, mit denen sich die Umgebung umfassend anpassen lässt. Wer hier falsche Entscheidungen trifft öffnet gravierende Sicherheitslücken, gegen die Sicherheitstools in den meisten Fällen nicht helfen, da diese die Option als manuell gesetzt akzeptieren. Wir zeigen nachfolgend acht gravierende Lücken, die Admins verhindern können.

Fehler 1: Externe Benutzerkonten in Azure AD anlegen und nicht mehr entfernen

Mit der Einladung von externen Benutzern ist es möglich Zugang zu Ressourcen zu schaffen, die im Azure-Abonnement zur Verfügung stehen. Allerdings sollten diese Konten mit bedacht angelegt werden, denn diese können auch im Fokus von Hackern und Malware stehen und es ermöglichen die Ressourcen in einem

Abonnement anzugreifen. Gastkonten und auch externe Konten sollten in jedem Fall nach der Verwendung wieder entfernt werden. Im Abonnement sollten sich nur die maximal notwendigen externen Konten und Gastkonten vorhanden sein. Die Verwaltung erfolgt in der Verwaltung von Azure AD bei „Benutzer“. Microsoft zeigt die Vorgehensweise auf einer eigenen Hilfeseite zu dem Thema.

Fehler 2: Benutzerdefinierte Rollen geben Benutzern mehr Rechte als sie brauchen

In den Einstellungen von Abonnements stehen in Microsoft Azure auch Funktionen zur Verfügung, mit denen sich Rechte für Ressourcen und zur Verwaltung des ganzen Abonnements verteilen lassen. Die kritischen Einstellungen dazu sind bei „Zugriffssteuerung (IAM)“ zu finden. Hier lassen sich alle vorhandenen Rollen anzeigen und neue Rollen erstellen. Bei falscher Zuordnung erhalten Anwender Zugriff auf Einstellungen, die sehr kritisch für die Umgebung sind. Microsoft geht auf der Seite „Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen über das Azure-Portal“ (https://learn.microsoft.com/de-de/azure/rolebased-access-control/custom-roles-portal) auf das Thema ein. Generell sollte es möglichst vermieden werden hier neue Rollen zu erstellen. Nur bei absoluten Ausnahmen macht das Sinn.

Fehler 3: Öffentliche Ports für Azure-VMs öffnen

Bei der Erstellung von Azure-VMs ist es möglich Zugriff aus dem Internet direkt auf den jeweiligen Server zu nehmen. Dadurch kann der Server direkt von Hackern und Malware angegriffen werden. Öffentliche Ports sollten nur in Ausnahmefällen für Azure-VMs aktiviert werden und auch nur dann, wenn der Zugriff zusätzlich abgesichert ist. Hier sollte parallel Microsoft Defender for Cloud zum Einsatz kommen und zusätzliche Sicherheitseinstellungen bezüglich der Firewall. Microsoft empfiehlt beim Öffnen von öffentlichen Ports ebenfalls Regeln, um den externen Zugriff auf eine bestimmten IP-Bereich einzuschränken.

Fehler 4: DenyAllIinBound und DenyAllOutBound bei Netzwerksicherheitsgruppen löschen oder falsch konfigurieren

Netzwerksicherheitsgruppen (Network Security Groups, NSG) sind eine wichtige Basis für die Zugriffssteuerung auf Instanzen von Containern, VMs und anderen Ressourcen. Der komplette Netzwerkverkehr der zugewiesenen Ressourcen läuft über die Netzwerksicherheitsgruppen. Beim Anlegen sollte sichergestellt

sein, dass die beiden Gruppen „DenyAllinBound“ und „DenyAllOutBound“ aktiv sind und damit der komplette Zugriff blockiert wird, für den es keine Zulassungsregeln gibt. Oft werden diese Regeln gelöscht oder nicht aktiviert.

Wichtig ist an dieser Stelle, dass nicht versehentlich die Einstellungen bei Port, Protokoll, Quelle und Zieladresse von „Alle“ auf einen anderen Wer geändert werden. Bei „Aktion“ muss an dieser Stelle „Deny“ stehen. Ist hier „Allow“ zu sehen, blockiert die NSG keinerlei Zugriffe mehr. Es kann sinnvoll sein bei der Verwaltung der Regeln über „Eingangssicherheitsregeln“ und „Ausgangssicherheitsregeln“ mit „Standardregeln ausblenden“ nach der Überprüfung der Standardregeln, diese aus der Ansicht auszublenden, damit nicht versehentliche die Regeln gelöscht oder geändert werden.

Fehler 5: Azure Kubernetes Services und andere Dienste nicht mit RBAC konfigurieren

In Azure haben viele Dienste ein eigenes Rechtemodell, das auf Azure AD basiert, sich aber getrennt von anderen Diensten im Abonnement konfigurieren lassen. Auch bei Azure Kubernetes Services (AKS) lassen sich bei „Zugriff“ das RBAC-Modell konfigurieren. Generell ist es hier meistens sinnvoll die Option „Azure AD-Authentifizierung mit Azure RBAC zu verwenden“ oder „Azure AD-Authentifizierung mit Kubernetes RBAC“. Es ist meistens nicht sinnvoll auf „Lokale Konten mit Kubernetes RBAC“ zu setzen, da hier nicht Azure AD zum Einsatz kommt und die Rechteverwaltung nur in Kubernetes abläuft.

Fehler 6: Die falsche Version von Kubernetes in Azure Kubernetes Services einsetzen

Dazu kommt noch die richtige Auswahl der passenden Kubernetes-Version. Hier sollte auf möglichst die aktuellste Version gesetzt werden, um alle verfügbaren Sicherheitspatches auf dem System vorzufinden. Generell sollte bei der eingesetzten Version darauf geachtet werden, dass keine Sicherheitslücken vorhanden sind. Wer hier auf eine ältere Kubernetes-Version setzt, weil die Apps in den Containern keine neuere Version unterstützen, geht ein unnötiges Sicherheitsrisiko ein.

Fehler 7: Fehlerhafte Authentifizierung für Azure Storage Accounts

Bei der Erstellung von Storage Accounts sollte möglichst nicht

JANUAR

CIO BRIEFING

SEITE 44

„Öffentlichen Blobzugriff aktivieren“ gesetzt sein. Dadurch sind anonyme Zugriffe auf den Speicher möglich. Das ist natürlich nicht ideal. Außerdem sollte die Option „Standardmäßig Azure Active Directory-Autorisierung im Azure-Portal“ gesetzt sein, damit der Zugriff über Azure AD gesteuert wird. Bei TLS-Mindestversion sollte hier keinesfalls eine Version unterhalb von 1.2 zum Einsatz kommen. Dazu kommt die Einstellung „Zulässiger Bereich für Kopiervorgänge“. Hier sollte möglichst nicht „Aus einem beliebigen Speicherkonto“ genutzt werden, sondern besser „Von Speicherkonten im selben Azure AD-Mandanten“ oder „Von Speicherkonten mit privatem Endpunkt zum selben virtuellen Netzwerk“.

Fehler 8: Microsoft Defender für die Cloud-Empfehlungen ignorieren

Im Azure-Portal sind bei „Microsoft Defender für Cloud“ über „Empfehlungen“ Sicherheitstipps zu finden, um fehlerhafte Konfigurationen für Ressourcen zu verhindern oder sogar zu ändern. Es ist ein Fehler diese Empfehlungen nicht zu lesen und entsprechend zu handeln. Für jede Empfehlung kann „Ablehnen“ oder „Erzwingen“ gesetzt werden. Mit „Deny“ lässt sich verhindern, dass fehlerhaft konfigurierte Ressourcen überhaupt erst erstellt werden und „Erzwingen“ korrigiert Fehler bei der Erstellung.

Technology-Update für IT-Manager

IMPRESSUM

Vogel IT-Medien GmbH

Max-Josef-Metzger-Straße 21

86157 Augsburg

Tel.: +49 (0) 821-2177-0

Fax: +49 (0) 821-2177-150

Email: zentrale@vogel.de

Internet: www.vogel.de

Handelsregister Augsburg

HRB 1 19 43

USt-DI: DE 127502716

Geschäftsführung: Werner Nieberle, Günter Schürger

Inhaltlich Verantwortliche gemäß § 55 Absatz 2 RStV: Nico Litzel, Elke Witmer-Goßner, Ulrike Ostler, Stephan Augsten, Andreas Donner, Peter Schmitz, Dr. Jürgen Ehneß (Anschrift siehe Verlag)

Vogel IT-Medien

Die Vogel IT-Medien GmbH, Augsburg, ist eine 100prozentige Tochtergesellschaft der Vogel Communications Group, Würzburg. Seit 1991 gibt der Verlag Fachmedien für Entscheider heraus, die mit der Produktion, der Beschaffung oder dem Einsatz von Informationstechnologie beruflich befasst sind. Dabei bietet er neben Print- und OnlineMedien auch ein breites Veranstaltungsportfolio an. Die wichtigsten Angebote des Verlages sind: IT-BUSINESS, eGovernment Computing, BigData-Insider, CloudComputing-Insider, DataCenter-Insider, Dev-Insider, IP-Insider, Security-Insider, Storage-Insider.

Vogel Communications Group

Das Fachmedienhaus Vogel Communications Group ist einer der führenden deutschen Fachinformationsanbieter mit rund 100 Fachzeitschriften und 60 Webseiten sowie zahlreichen internationalen Aktivitäten. Hauptsitz ist Würzburg. Die Print- und Online-Medien bedienen vor allem die Branchen Industrie, Automobil, Informationstechnologie und Recht/Wirtschaft/Steuern.

www.bigdata-insider.de/cio

www.dev-insider.de/cio

www.cloudcomputing-insider.de/cio

www.ip-insider.de/cio

www.security-insider.de/cio

www.datacenter-insider.de/cio

www.storage-insider.de/cio