- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Standardprozess statt Update-Projekt


Entscheidung für Windows 10: The Day After
In zahlreichen Unternehmen ist man noch zurückhaltend und zögert den Umstieg auf die aktuelle Windows-Version nach wie vor hinaus



Von Horst Droege, Chief Product Architect bei Matrix42

Viele Unternehmen zögern noch, von Windows 7 oder 8/8.1 auf das aktuelle Windows 10 umzusteigen. Denn Microsoft hat ihr Release-Konzept geändert und bringt nun halbjährlich Updates heraus. So befürchten IT-Leiter, künftig von Update-Projekten überrollt zu werden. Doch angesichts des angekündigten Support-Endes für Windows 7 im Jahr 2020 ist ein Umstieg unvermeidlich. Dieser Beitrag erläutert, wie eine IT-Organisation verfahren sollte, sobald die Würfel zugunsten von Windows 10 gefallen sind – und warum man für den "Tag danach" auf Prozesse statt auf die LTSB-Version (Long-Term Servicing Branch) setzen sollte.

Anfang des Jahres war zu lesen, dass der Anteil von Windows 10 unter den Windows-Anwendern in Deutschland bereits die 50-Prozent-Marke überschritten hatte: Sein Marktanteil lag Ende 2017 laut StatCounter bei 51,3 Prozent. Diese hohe Marktdurchdringung speist sich aber vorrangig aus dem Consumer-Segment: In zahlreichen Unternehmen ist man noch zurückhaltend und zögert den Umstieg auf die aktuelle Windows-Version nach wie vor hinaus.

Moderne Release-Zyklen
Denn zusammen mit Windows 10 hatte man in Redmond auch die Release-Politik modernisiert: In Anlehnung an agile Softwareentwicklung kündigte das Softwarehaus eine kontinuierliche Aktualisierung nach dem "Rolling Releases"-Prinzip an: "Windows-as-a-Service" ist das Ziel. Jeweils im Frühjahr und im Herbst ("semiannual channel", also "halbjährlicher Kanal" genannt) gibt es seither Updates für die Windows-10-Varianten Home, Pro, Enterprise sowie – für den Bildungssektor – Education. Diese können nicht nur Bugfixes, sondern auch neue Funktionen enthalten. So sollen die Anwender laufend von funktionalen Neuerungen und Sicherheitsupdates profitieren.

Im Release-Track Current Branch (CB), gedacht für Privatanwender wie auch Unternehmen, lädt Windows dabei Updates automatisch herunter und installiert sie. Mit der Variante "Windows Update for Business" können Administratoren Security Patches zu Testzwecken um bis zu 30 Tage aufschieben, Feature Upgrades um maximal 365 Tage. Lediglich der Release-Zweig "Long-Term Servicing Branch" (LTSB) behält das vertraute Zwei- bis Drei-Jahres-Intervall zwischen Betriebssystem-Iterationen bei.

Der halbjährliche Erneuerungsrhythmus soll, geht es nach Microsoft, in den Unternehmen für Planbarkeit sorgen. Dennoch blieben bislang viele IT-Organisationen misstrauisch, hat man doch den Aufwand des unternehmensweiten Umstiegs auf Windows 7 oder Windows 8/8.1 noch gut in Erinnerung. Die Befürchtung: Aufgrund der stark verkürzten OS-Update-Zyklen könnte man künftig permanent mit der Aktualisierung der Client-Systeme zu kämpfen haben.

LTSB meist keine Option
Manch ein IT-Leiter liebäugelt deshalb mit der Idee, einfach alle Clients auf Windows 10 LTSB zu migrieren – dann, so die Hoffnung, könnten die Update-Projekte so ablaufen wie gehabt. Von dieser Vorgehensweise ist jedoch abzuraten: Der Ansatz führt in die Sackgasse!

Denn Microsoft hat LTSB lediglich für solche Endpunkte vorgesehen, deren Software-Image dauerhaft praktisch unverändert bleibt, also zum Beispiel Kassensysteme oder Steuerungsrechner an Produktionsstraßen. Als Release-Option für Office-Rechner hingegen ist LTSB nicht gedacht – und das macht sich früher oder später bemerkbar.

So verfügt die LTSB-Variante zum Beispiel nicht über den modernen, schlanken Edge Browser, den Microsoft zusammen mit Windows 10 vorgestellt hatte. Dies könnte man als Detail abtun – es ist aber ein Indiz dafür, dass der LTSB-Kanal jederzeit von Neuerungen der Windows-Client-Welt abgeschnitten werden kann. Dadurch ist zum Beispiel nicht garantiert, dass auch die nächste LTSB-Version noch mit Microsoft Office 365 zusammenarbeitet.

Prozess statt Projekt
Wenn also das Verharren auf Vertrautem mittels LTSB kein gangbarer Weg ist, wie sollte sich eine IT-Abteilung dann auf "The Day After" vorbereiten? Wichtig ist es hier vor allem, den Modernisierungsschritt in Microsofts Release-Politik auf Organisationsseite nachzuvollziehen: Die IT-Abteilung muss sich vom Projekt OS-Migration verabschieden und es durch einen "Prozess OS-Migration" ersetzen. Sie muss ein standardisiertes Verfahren etablieren, um die halbjährliche Aktualisierung des Client-Betriebssystems zu stemmen – wenn es sein muss, mittels mehrerer Rollout-Wellen schnell und doch unternehmensweit. Das individuelle Projekt muss zu einem Satz Standardaufgaben werden, die das Client-Management-Team "nach Schema F" abarbeiten kann.

Auf organisatorischer Ebene bietet sich für das Change- und Release-Management eine Orientierung an den Standardprozessen des Service Management Frameworks ITIL an, alternativ der Rückgriff auf das Microsoft Operations Framework (MOF). Auch für Cobit-erfahrene IT-Organisationen (Cobit: Control Objects for IT and Related Technology) sollte der Übergang zu einem Standard-OS-Migrationsprozess ein Leichtes sein. Ergänzend ist auf technischer Ebene Softwareunterstützung gefragt, um die geplanten Prozesse möglichst hochgradig automatisiert umsetzen zu können.

Unified-Endpoint-Management
Den Goldstandard für eine solche Automation regelmäßiger OS-Aktualisierungen stellen heutzutage sogenannten UEM-Lösungen dar (Unified-Endpoint-Management). "Unified" dürfen sich Endpoint-Management-Werkzeuge nennen, wenn sie in der Lage sind, die zentrale Verwaltung und Kontrolle für traditionelle Clients (PCs, Notebooks) ebenso zu ermöglichen wie für moderne mobile Endgeräte (Smartphones und Tablets mit iOS oder Android).

Wichtig ist eine solche, die Gerätegattungen überspannende Verwaltungsfunktionalität aus einem einheitlichen Dashboard heraus, um eine Ent-Dopplung der Management-Tools zu vermeiden. Zudem gibt es immer mehr moderne Geräte wie etwa Microsofts Surface Pro, die bestehende Grenzen zwischen den traditionellen Gerätegattungen sprengen. Derlei Hybridgeräte dürften künftig zunehmend Alltag werden, nicht zuletzt dank der mit Windows 10 eingeführten Verwaltung über den modernen Mobility Management Layer und den "Universal Apps", die sich je nach Gerät oder Vorliebe per Touch oder per Tastatur und Maus bedienen lassen.

Moderne UEM-Lösungen basieren auf einer Workflow Engine. Mit ihr kann die IT-Organisation Abläufe definieren, die das UEM-Werkzeug dann automatisiert abarbeitet. Im Idealfall erlaubt eine UEM-Lösung wie etwa Matrix42 Unified Endpoint Management eine programmierungsfreie Erstellung und Anpassung von Workflows über ein intuitives grafisches Interface. Damit könnte letztlich sogar ein Mitarbeiter einer Fachabteilung erforderliche Workflows selbst festlegen, ohne dafür die Hilfe der IT-Abteilung in Anspruch nehmen zu müssen.

Reprovisionierung
Eine State-of-the-Art -UEM-Lösung unterstützt für die OS-Migration nicht nur Wipe and Load, also das Löschen neu beschaffter Geräte mit anschließendem Aufspielen unternehmenseigener Software-Images. Ebenso muss es eine In-Place-Migration unterstützen, also das Upgrade von Windows 7 oder Windows 8/8.1 oder einer älteren Windows 10 Version unter Beibehaltung der Applikationen und Einstellungen. Nicht minder wichtig ist Support für das von Microsoft nun neu eingeführte Verfahren der Reprovisionierung.

Hierbei wird ein neu beschafftes Endgerät gleich beim Hersteller oder Lieferanten für das Kundenunternehmen registriert. So kann es der Vertriebspartner zum Endanwender liefern. Dieser muss dann lediglich einige wenige Eckdaten wie die Landessprache und seine Firmen-E-Mail-Adresse eingeben; dann wird das neue Endgerät automatisch von vorinstallierter unnötiger Software (Bloatware) befreit und mit der für seine Anwenderrolle vorgesehenen Software bespielt (reprovisioniert).

Des Weiteren muss eine moderne UEM-Lösung auf die heute üblichen Self-Service-Prozesse ausgelegt sein: Sobald das unternehmenseigene Software-Image provisioniert ist, kann der Endanwender über einen Enterprise Self-Service Store gewünschte Softwarepakete und Services ordern – im Rahmen der von der IT-Abteilung vorgegebenen Möglichkeiten. Ein solcher Enterprise Self-Service vereint die Wünsche heutiger Anwender nach selbsttätiger Gestaltung ihres Arbeitsumfeldes mit der zentralen Kontrolle durch die IT-Organisation, die aus Sicherheitsgründen wie auch im Hinblick auf die EU-DSGVO (Datenschutz-Grundverordnung) zwingend nötig ist.

Mittels Prozessorientierung und UEM-gestützter Automation ist die Einführung und Aktualisierung von Windows 10 kein Berg mehr, den es zu erklimmen gilt, sondern nur noch ein bequem begehbarer Hügel. Zugleich verschafft Self-Service-basiertes UEM der IT neue Freiräume für die Konzentration auf ihr Kerngeschäft: das Business mit effizienten Lösungen zu unterstützen. (Matrix42: ra)

eingetragen: 14.07.18
Newsletterlauf: 20.07.18

Matrix42: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.