Software-Lizenzen und Endgeräte richtig managen

Microsoft Intune im Vergleich mit UEM-Systemen

28.11.2019
Von 


Werner Theis ist CEO und CTO der 1988 von seiner Frau Karin und ihm in Metzingen gegründeten SYSTAG GmbH. 1995 wurden die ersten Enterprise Mobility Projekte (Anbindung von Endgeräten und App-Entwicklung) umgesetzt, seit 2004 beschäftigt sich das Systemhaus exklusiv mit der Fragestellung sicherer mobiler Umgebungen. Heute gehört die SYSTAG zu den fünf führenden Enterprise-Mobility-IT-Dienstleistern im deutschsprachigen Raum. Ihre Kombination von App und Backend-Entwicklung mit ihr Rolle als VAR zweier führender UEM Systeme macht sie einzigartig. Zudem engagiert sich die SYSTAG GmbH seit einigen Jahren aktiv in der Förderung von Frauen in der IT. Die Hälfte ihrer Mitarbeiter und die Mehrzahl ihres Führungsteam sind weiblich.

Der Kampf der IT-Architekturen

Wer sich auf Cloud-basierte Vollversorgung durch Microsoft einlässt, muss sich bewusst sein, dass diese Entscheidung einen Paradigmenwechsel für den IT-Betrieb beinhaltet. Es ist schon ziemlich verwunderlich, dass diese Fragestellung und ihre Konsequenzen bisher so wenig thematisiert worden sind.

Niemand bestreitet, dass es enorm schwierig ist, die von Microsoft angebotenen Standard-IT-Services zu den gleichen oder geringeren Kosten mit der gleichen Qualität selbst zu produzieren. Dass es diesen Vorteil geben kann, steht außer Zweifel. Die Frage ist jedoch: Gilt diese Annahme für alle spezielleren IT-Gewerke gleichermaßen?

Hier stellt sich nämlich die Frage, ob man dabei die nachteiligen Nebeneffekte berücksichtigt, die diese Art der IT für eine Organisation und ihren IT-Betrieb mit sich bringen. Dann fällt der monetäre Vergleich zwischen Intune und anderen UEM-Systemen oft nicht ganz leicht.

Die Fokussierung auf den User als das zentrale Objekt der IT und die völlig transparente Konzentration der kompletten Rechtestruktur auf ein System haben unbestritten viele Argumente für sich.

Die Zentralisierung der Administration führt jedoch dazu, dass das Gesamtsystem außerordentlich fehlerintolerant wird. Es verzeiht keine falsche Einstellung von Rechten. Die Folgen einer kleinsten Veränderung können daher drastisch sein, und es ist so gut wie unmöglich, technisch zu vermeiden, dass eine Fehlkonfiguration an einer Stelle nicht einen ganzen Rattenschwanz von unbeabsichtigten Nebeneffekten und deren Folgen nach sich zieht. So etwas zu simulieren ist so gut wie unmöglich.

Das führt zwangsweise dazu, die Betriebs- und Administrationsverantwortung für einzelne Gewerke nicht wie früher üblich auf entsprechend geschulte Fachleute komplett delegiert werden kann. Den Betrieb der sicheren mobilen Umgebung mit allen ihren Aufgabenstellungen können die Fachleute nicht mehr isoliert von der Haupt-Systemadministration übernehmen.

Früher, bei dezentral gemanagten Gewerken, waren es in der Regel keine Fernwirkungen auf beispielsweise Administration und Betrieb von Datenbankservern oder die Benutzerverwaltung im Active Directory zu berücksichtigen. Im Betrieb nach Gewerken gab es saubere Übergabepunkte und Schnittstellen, in denen eine Interaktion oder eine Zusammenarbeit stattfinden, die sich aber in der Regel auf klar umrissene Einmalaufgaben beschränken und dabei von langer Hand geplant mit Abnahmen und klaren Verantwortungsgrenzen- und Zuordnungen umgesetzt werden konnten. Das ist in einer reinen Cloud-Umgebungen der Redmonder nicht mehr der Fall.

Wer Microsoft Cloud einsetzt, muss ganz schnell umdenken

Es gibt allerdings auch den Mittelweg, nur die Standarddienste wie Excel, Office, SharePoint und den Betrieb des Active Directory in die Cloud zu legen. Dann könnte man das Beste von zwei Welten zusammenbringen - und Geld sparen, ohne die Flexibilität und Agilität für die Herausforderungen von morgen aufzugeben.

Nachstehend einige systemische Überlegungen über das "Weshalb" und "Warum":

Ohne KI kann Office 365 nicht vernünftig betrieben werden

Durch die "Cloudifizierung"-Debatte keimt eine geradezu unheimliche KI-Hoffnung auf. Das hat damit zu tun, dass die Fehlertoleranz der IT-Systeme zwar durch rigorose und striktes Handhabung der Regeln und durch penibelste Dokumentation verbessert, aber nie auf 100 Prozent erhöht werden kann.

Es gibt eben "Fehler im System", die sich nicht einmal durch noch so gute Organisation und beste Qualifikation der Mitarbeiter vermeiden lassen. Denn selbst wenn man davon ausgeht, dass Microsoft das "Patching" und Weiterentwicklung in höchster Präzision und Verantwortung erledigt werden, haben Systeme immanente Fehler, weil sie Menschenwerk sind. Daher sind manchmal ad-hoc-Änderungen durchzuführen, die man nicht einem klassischen Risiko Assessment vor der Umsetzung unterwerfen kann. Und dann hat man den Salat, wenn man Pech hat.

Künstliche Intelligenz (KI) wird in näherer Zukunft - in den Rechenzentren und in der Cloud - den Systemadministrator von Routinearbeiten entlasten und ihn in ferner Zukunft gar ganz ersetzen. Künstliche Intelligenz benötigt aber viele Daten: Irgendwie muss der Hersteller ja erfahren, wie seine Systeme genutzt, betrieben und administriert werden. Und wir, die wir die Cloud-Dienste des Herstellers nutzen, liefern ihm die Basisdaten dafür mehr oder weniger freiwillig. Und deshalb verwandelt Microsoft die Firewalls seiner Cloud-Nutzer in eine Art Schweizer Käse.

Es steht außer Frage, dass KI in der Lage ist, die Auswirkungen von Konfigurationseinstellungen zu ermitteln, bevor sie scharf geschaltet werden, und den Administrator mit Vorschlägen und Warnungen unterstützen kann. Wenn dieser Level einmal erreicht ist, darf der Administrator aber davon ausgehen, dass das System ihn irgendwann überflüssig macht und dem Kunden eine Art Autopilot bereitstellt, dessen Betrieb auf einer Metaebene gesteuert wird. Es wird nicht mehr nötig sein, dass Kunden eigene Spezialisten haben. Auch hier frisst die Revolution am Ende ihre Kinder.

Wer eine agile Organisation will, sollte sich Gedanken machen

Fehlertolerante oder besser "resiliente" Systeme haben in aller Regel keinen zentralistischen Ansatz, bei dem es zu "single point of failure"-Situationen kommen kann. Office365 fährt exakt diesen Ansatz und erwartet die besten aller Welten, nämlich am besten eine Umgebung, wie sie sich die Microsoft Ingenieure auf dem Reißbrett ausgedacht haben.

Jede Abweichung von der Norm führt umgehend zu einer nachhaltigen Verkomplizierung der IT-Landschaft, deren Management dann nur noch unter erschwerten Bedingungen möglich ist, will man eins stabiles IT-System aufrechterhalten. Die DSGVO-Compliance erzeugt dieses Szenario zwangweise.

Es ist aber die Natur von Umgebungen für sicheres mobiles Arbeiten, agil sein zu müssen. In diesem Segment der IT ist die Veränderung die Regel. Dieser Wandel prägt die Administration und den Betrieb von mobilen Endgeräten im professionellen Umfeld. Wahnsinnig schnelle Technologiewechsel, ständig steigenden Anforderungen an Datenschutz und Datensicherheit schaffen Fakten und Handlungsnöte.

Starre Strukturen, die die nötigen Veränderungen verzögern oder gar ausbremsen, sind nicht nur suboptimal, sie können eine Organisation im Falle einer Bedrohung der Datensicherheit gefährden.