Leserbriefe Oktober 2023

Keine Freunde: Microsoft Teams und SIP

(Telefonie: Microsoft Teams als Telefonanlage; iX 9/2023, S. 96)

Teams ist bezüglich SIP sehr eigenwillig. Sprich, die Leute da haben wohl irgendwelche exotischen SIP-Features gesehen und nutzen dies für die zentrale Funktionalität. Somit läuft das streng genommen mit einem vollständig korrekten SIP-Stack … nur sind vollständig korrekte SIP-Stacks sehr selten. So ziemlich jede Software in dem Bereich hat zum Teil wirklich krasse Bugs, wenn man damit was tut, was man normalerweise nicht macht.

Somit ist eine Integration mit irgendwas sehr schwierig. Selbst so was scheinbar Triviales wie die Kopplung mit einer Telefongesellschaft funktioniert nur mit wenigen. Die Standardlösung hier ist die Installation eines Session Border Controllers, einer Art „Proxy auf Applikationsebene“, welcher auf beiden Seiten SIP und RTP spricht … in der Hoffnung, dass der mit Carrier und Teams sprechen kann. Das Ganze wird durch Tests „zertifiziert“ und ist somit das übliche Gefrickel, was Leute in Anzügen gerne haben wollen, weil sie glauben, dass ein „Zertifikat“ irgendwas Sinnvolles aussagt und sie damit irgendwas einklagen könnten.

Christian Berger, Bayreuth

Falsche Begriffe und fehlende Alternativen

(Editorial: Geteilte Verantwortungslosigkeit; iX 9/2023, S. 3)

Der Begriff „Azure-Master-Key“ klingt, als wäre das Problem auf Azure (Microsofts IaaS/PaaS) begrenzt. Das ist aber nicht der Fall: Es geht um den Signaturschlüssel des Azure Active Directory. Das ist Microsofts Identity-SaaS-Lösung – die hat technisch nichts mit Azure zu tun. Diese Verwirrung gibt es schon immer; um die Unabhängigkeit zu untermauern, hat Microsoft Azure Active Directory unlängst in Entra ID umbenannt.

Alle Business-Apps in Microsofts Ökosystem nutzen Entra ID als Identity Backend für die Anmeldung und Autorisierung, also Office 365, Azure und Dynamics. Das ist ein übliches Muster für große Plattformen: AWS macht das mit AWS Identity Center so und SAP mit IAS/IPS auch. Entra ID ist allerdings wesentlich breiter aufgestellt, denn weitere Business-Applikationen können über Standardprotokolle (SAML, OAuth 2.0/OIDC, SCIM) an Entra ID angekoppelt werden, zum Beispiel Adobe, AWS, Salesforce, SAP, Workday und weitere – und das wird auch in großem Stil getan. Das tut man typischerweise zur Standardisierung der Anmeldung (Single Sign-on, MFA etc.). Das Problem des kompromittierten Signaturschlüssels weitet sich damit auf alle angeschlossenen Applikationen aus.

Die große Frage ist: Was ist eine gangbare Alternative?

Das ist nämlich in mehreren Dimensionen nicht trivial: Entra ID (P1) ist in den Lizenzen M365 E3 und E5 enthalten. Office 365 und Azure funktionieren nicht ohne Entra ID. Selbst wenn man also auf einen anderen Identity Provider setzt, kommt man nicht ganz ohne Entra ID aus. Einen anderen Identity Provider einzuführen, ist für große Firmen (über 25 000 Mitarbeiter) sehr aufwendig. Es sind typischerweise Hunderte oder Tausende Applikationen integriert, die umgestellt werden müssten. Ich war schon in großen Migrationen von Ping nach Entra ID und ADFS nach Entra ID beteiligt. Das dauert typischerweise Jahre (Planung, Test …), verschlingt enorme Summen und sorgt für „Unruhe“ in der IT-Organisation (Changes mit hohem Impact, geplante Downtimes …). Personal ist im Bereich Identity überall Mangelware.

Die Lizenz-, Support- und Betriebskosten der Alternativen (zum Beispiel Okta, Ping, ForgeRock, KeyCloak) kommen noch dazu und auch die sind alles andere als günstig. Entscheidungsprozesse für die Einführung eines solchen Alternativprodukts dauern in großen Unternehmen zudem sehr lange. Zudem: Okta – als der Platzhirsch und direkter Entra-ID-Konkurrent – hatte vor nicht allzu langer Zeit ein zumindest ähnliches Sicherheitsproblem.

Es bleiben damit die Fragen: Was ist eine sinnvolle Alternative zu Entra ID? Mit welchen Aufwänden muss man rechnen? Gibt es vielleicht sogar (halb-)automatische Migrationslösungen von Entra ID weg, die Kosten und Risiko senken? Wie viel Zeit und wie viel Ressourcen sollten Unternehmen für eine Migration raus aus Entra ID (soweit es halt geht) einplanen?

Tobias Zügel, aus dem iX-Forum

Es war kaum anders zu erwarten

(Editorial: Geteilte Verantwortungslosigkeit; iX 9/2023, S. 3)

Warum sind eigentlich so viele so überrascht, das MS sich … sagen wir mal sehr verhalten dazu äußert?

Es kann nicht überraschen. Windows und Office waren für lange Jahre die Cashcow des MS-Konzerns. Derzeit löst Azure die beiden als Eier legende Wollmilchsau ab. Office aus der Cloud, demnächst Windows aus der Cloud, alle Daten in die Cloud … dann hat man alle Kunden schön geknebelt und kassieren kann man mit Abos langfristig viel mehr als mit den On-Premises-Produkten.

Das wird natürlich mit vielen dünn vergoldeten Worten verkauft, und das allererste Wort davon ist „Sicherheit“. Müsste MS jetzt zugeben, dass Azure und alle „Anhängsel“ bis herunter zu angeschlossenen Endpoints hier massiv kompromittiert wurden, wäre das ganz schlecht fürs Geschäft.

Baneus, aus dem iX-Forum

Ergänzungen und Berichtigungen

Rezensionen: COBOL – Altsysteme warten und erweitern; iX 9/2023, S. 150

Der Rezensent des Buches ist Karsten Kisser, nicht Tam Hanna.

Die iX-Redaktion behält sich Kürzungen und auszugsweise Wiedergabe der Leserbriefe vor. Die abgedruckten Zuschriften geben ausschließlich die Meinung des Einsenders wieder, nicht die der Redaktion.