Fragen? Antworten! Siehe auch: Alternativlos
Dein jüngster Artikel zu Microsoft, Win11 und verkackten Updates hat mich an die etwas außerweltliche Erfahrung erinnert, die ich vor einiger Zeit in einem Meeting mit Microsoft-Saldesdroiden gemacht habe, die ich Dir mal schildern wollte.Leider stimmt das in vielen Fällen sogar, dass die Leute völlig überfordert sind mit ihren Eigeninstallationen. Was nicht zuletzt daran liegt, wie kompliziert und beschissen dokumentiert aber gleichzeitig komplett die Untiefen versteckt hinter multiplen Abstraktionsschichten Microsoft-Software heutzutage ist.Zum Umfeld: Ich arbeite in einer mittelgroßen Bank in der IT-Security. Der Vorstand hat sich einen hippen CDO eingekauft, der hier mit Cloud und agil und so durchdigitalisieren soll. Azure findet er sehr geil, und so durfte ich neben seinen Lakaien vor einiger Zeit (Anfang des Jahres) an einem Meeting teilhaben, in dem MS mal darstellen sollte, was sie so alles Superes für uns tun könnten.
Das war…bizarr. Es handelte sich im Wesentlichen um eine Publikumsbeschimpfung. Die dreisteste Vorwärtsverteidigung, die ich je erlebt habe. Pointe: es funktioniert.
Seinerzeit war gerade wieder ein größerer Azure-Hack publik geworden. Der Leading Salesdroid, eine peinlich genaue Steve-Jobs-Kopie mit asketisch hagerer Statur, schwarzen Rollkragenpulli und trendigem Jackett ohne Kragen stieg gleich ein mit „JA, WIR WURDEN GEHACKT! Aber wenn sogar wir gehackt werden, dann haben SIE ja so gar keine Chancen, nicht gehackt zu werden! Deshalb: kommen Sie zu uns in die Azure-Cloud! Da beschützen die BESTEN DER BESTEN DER BESTEN Sie gleich mit! Das können Sie gar nicht selbst!“
Soso. Wie wäre es denn mal anstelle dessen mit der Bereitstellung von Software und Infrastruktur, die konsistent, durchschaubar und ordentlich gewartet ist?
Sein mitgebrachter Security-Bro hieb danach mit noch mehr Chuzpe und halb schreiend in die gleiche Kerbe: „Sie wurden noch nicht gehackt?!? DANN WISSEN SIE NUR NICHT, DASS SIE SCHON GEHACKT WURDEN!!!“
Haltlose Unterstellungen als Verkaufsargument. Holt mich gleich richtig ab.
Bevor er dann wichtig wichtig in den nächsten Flieger musste gab er dann natürlich auch zum Besten, dass nur MS in der Cloud in der Lage sei mit neuester KI unsere Infrastruktur zu schützen.
Das ließ mich alles echt sprachlos zurück. So eine kackdreiste Mischung aus Lügen, Schuldumkehr und Generierung von Verkaufschancen - das verdient fast schon Respekt.
Bonus: Die Zuständigen (ich war nur Gasthörer) fanden hinterher, das sei ein „super Termin“ gewesen.
Man lügt einfach dem Kunden ins Gesicht, er könne das einsetzen, ohne es zu beherrschen oder auch nur verstanden zu haben. Wenn was ist, kann er ja den Support anrufen.
Daher ist glaube ich die Metrik an der Stelle nicht, wo es unsicherer ist, sondern wo man für dasselbe inakzeptable Niveau an Inkompetenz und Unsicherheit mehr zur Ader gelassen wird. Und das ist ziemlich klar in der Cloud.
Es gibt da draußen noch vereinzelte gallische Dörfer, die den Anspruch haben, ihre IT-Landschaft selber beherrschen zu wollen, aber auch die sprenkeln da gerne Appliances drüber, die sie als Black Box betrachten und lieber nicht so genau hingucken.
Bei Star Trek gab es so einen Running Gag, wenn irgendein überlegener Gegner die Enterprise beschossen hat, dass sie dann die Schildfrequenzen moduliert haben. Microsoft fährt dieselbe Strategie. Die modulieren ihre Software immer schnell durch, und hoffen, dass der Angreifer keinen Exploit findet, der auch mit der Update nächste Woche noch funktioniert.
Das ist heutzutage der Goldstandard in Sachen Security. Je häufiger es Updates gibt, desto (weniger Kontrolle hat man) weniger schafft der Angreifer einen erfolgreichen Angriff. Wäre eigentlich eine prima Monty-Python-Nummer, wenn es nicht so tragisch wäre.