Exchange-Server als Cloud-Lösung sinnvoll?

Die Vorteile wären:
- Das du den mist nicht Patchen musst (CU Update alle 3 Monate + dazwischen mal ZeroDay lücken die du superschnell einspielen musst)
- Keine Migration wenn eine generation ausläuft (gerne mal pain in the ass)
- MS führt neue Sicherheitsfeatures nur für Cloud/Azure Produkte ein, OnPremise ist bei MS Legacy

Nachteile:
- DSGVO - alledings muss man auch sagen das MS soweiso alles mögliche von dir abschnorchelt mit der Telemetrie, von daher ist einsatz jeglicher MS Software nicht DSGVO konform

Es gibt noch weitere Nachteile. Bei On-Premises Exchange kannst du z.B. Freigabepostfächer kostenlos anlegen, bei M365 möchte man dafür eine Gebühr haben. Lokal musst du nur die User CALs besitzen für die User die darauf zugreifen, aber du darfst soviele Postfächer anlegen wie du lustig bist.

Vorteile wären z.B. die bessere Zusammenarbeit mit MS Teams, und MS To-Do ist mittlerweile scheinbar auch nur noch mit Exchange Online möglich, weil die Synchronisation darüber läuft.

Hallo,
auch Office365 läuft in der Cloud (incl. Outlookdienste)
spricht nix dagegen (technisch funktioniert es) , auch wenn alle "Backdoorberechtigten" dann auch Zugriff haben.
Nach einem NSL ist es ja M$ bei (hoher) Starfe verboten die Backdoor zuzugenben .
Was passiert wenn die Backdoor "bekannt" wird: -> siehe SolarWinds !
Wenn dich sowas nicht stört - machen!

Fred

Nein, das ist so nicht richtig.

Moin,

wenn ich dieses ganze Microsoft gebashe lese.....

Zum Thema:
Es gibt natürlich auch noch klassiches Hosted Exchange.
z.B. BusyMouse um nur einen Anbieter zu nennen.
Das sind "On-Premise"Server, nur in einem RZ, sogar in D und DSGVO konform.

Aber es macht natürlich nicht soviel Spaß darauf hinzuweisen, weil man da ja nicht auf Microsoft rumhacken kann.

Gruß
Jasper

Was auch immer damit gemeint ist.


Das geht schon seit Jahren.


Mache eine DSFA, betrachte die geänderte Lizenzierung, die betriebswirtschaftliche Kosten und die Migrationskosten.

Servus,

Microsoft 365 ist unter Administratoren nicht sonderlich beliebt weil man sein ganzes Exchange Know How in den Kübel schmeißen kann weil es schlichtweg nicht mehr notwendig ist. Es gibt bei der Verwaltung natürlich ein paar Dinge wo es gut ist zu wissen wie ein Exchange tickt. Aber das kann man auch einer Sekretärin in 30 Minuten beibringen.

Nur wegen Exchange in die Cloud zu gehen ist auch nicht unbedingt die Idee dahinter. Man sollte schon den ganzen Stack von Microsoft sehen und sich die Frage stellen ob diese Features interessant sind.

Kosten muss man natürlich vergleichen. Aber 50 GB Postfächer mit inkludierten Archiv und Anti Spam/Virenschutz kannst du um das Geld sowieso nicht performant bzw. Hochverfügbar zur Verfügung stellen. Noch dazu werden die neuen Server die Ende des Jahres kommen nur mehr 5 Jahre gewartet. Dh. du müsstest alle 5 Jahre eine Migration machen (auch wenn die in Zukunft einfacher werden wird wie in der Vergangenheit). Microsoft dreht seit Jahren an der Preisschraube um "On Premise" unattraktiv zu machen. Das ist zwar definitiv manipulativ aber wenn dich das stört würde ich zu einem anderen Anbieter wechseln. Vielleicht der hier:

https://www.heise.de/news/Alternative-zu-Exchange-grammm-bringt-Linux-Gr ...

Das ist aber überhaupt nur dann interessant wenn dich die anderen Tools von MIcrosoft 365 überhaupt nicht interessieren. Und zu mindest Teams ist aus meiner Sicht das neue Outlook.

Also wenn man selbst kein Profi ist im Bereich Exchange würde ich zu Exchange Online (bzw. einem passenden Microsoft 365 Plan raten.

Die DSGVO wird immer wieder genannt in dem Bereich. Ist aber aus meiner Sicht nicht relevant. Am Ende des Tages wird Microsoft keine Dienste anbieten die gegen ein Gesetzt verstoßen. Dh. es muss aus judiziert werden und dann wird Microsoft Anpassungen machen müssen damit es dem Gesetz entspricht. Der Markt in Europa ist schlichtweg zu wichtig als das man das ignorieren könnte.

Du hörst dich so an als hättest du noch nie einen Exchange Server installiert und daher rate ich dir entweder in die Cloud zu gehen oder Microsoft den Rücken zu kehren. On Premise wird in den nächsten 10 Jahren keine Relevanz mehr haben.

LG Jojo

Sollte sie aber, zumindest wenn du ein gewisses Qualitäts- und Verantwortungsbewusstsein hast. Dann achtest du nämlich in erster Linie auf den Datenschutz, statt bloß auf die Rechtssicherheit. Das kann ein Himmelweiter Unterschied sein wie zwischen Recht haben und Recht bekommen. Herr Kuketz hat zu Beginn der Pandemie das in einem gutem Blogeintrag klargestellt, sehr viel mehr gibt es dazu nicht zu sagen: https://www.kuketz-blog.de/kommentar-rechtssicherer-betrieb-und-der-date ...

Haha, der war gut. Als ob einen Großkonzern das interessiert. Der wägt schlichtweg ab, ob der Umsatz über der zu erwartenden Strafe liegt. Wenn man sich das Wachstum in dem Bereich anschaut, wäre selbst eine "Rekordstrafe" nur Taschengeld. Und letztendlich ist MS ja nur Dienstleister, den Verstoß begeht in erster Linie der MS-Kunde der dort seine Daten rein legt.

Und da hier wieder einer mit dem Totschagargument kommt das wäre ja bloß MS Bashing statt mal argumentativ auf die Probleme einzugehen sei hier noch erwähnt: Das machen andere Großkonzerne genau so. In der IT und auch anderso. Teils sogar noch skrupelloser. Bei Ford gabs z.B. vor einer Weile in den USA mal einen Serienfehler, der das Todesrisiko bei einem Unfall erhöht. Man hat sich jedoch dazu entschlossen, ihn nicht zu beheben - weil die Rückrufaktion weit teurer gewesen wäre, als hier und da den hinterbliebenen der Opfer etwas Geld als Entschädigung zu geben, falls diese vor Gericht klagen.

So Beispiele gibt es dutzende, das will ich aber an dieser Stelle auch nicht weiter vertiefen. Das macht es schließlich nicht besser und entschuldigt es schon gar nicht. Damit will ich nur mal daran erinnern, dass eine Haltung wie "die werden schon die Guten sein" naiv ist. Zumindest bei Großkonzernen, beim Bauernhof um die Ecke der mir offen zeigt wie er arbeitet können wir schon eher darüber diskutieren.

Hast du dich jemals mit der Thematik beschäftigt? Der Kernpunkt dieser Problematik ist doch eben ein grundsätzlicher Interessenkonflikt zwischen US-Recht mit vergleichsweise laxem Datenschutz und dem EU-Recht (bzw. dem Deutschen recht vor der DSGVO). Da kann Microsoft nicht einfach ein paar Commits einchecken und alles ist gut, vor allem nicht in der Cloud (On-Prem wäre das Deaktivieren der Telemetrie ja eine alternative Lösung).

Das geht übrigens schon seit Jahren so. Schon weit vor der DSGVO hat MS erfolglos geklagt, weil sie meinen, wenn Daten in z.B. Deutschland liegen müssen sie diese an US-Behörden nicht herausgeben. Die haben aber schnell klargestellt, dass hier eine ähnliche Rechtsauffassung gilt wie bei den angeblichen Terroristen: MS hat als US-Unternehmen die Daten zu liefern, egal wo die liegen. Das festlegen anderer Rechenzentren in Amazon ist daher auch eine Nebelkerze. Das macht bestenfalls für die Performance sinn, damit Daten die z.B. von einer Tochter am anderen Ende des Erdballs benötigt werden direkt geografisch vor Ort dort liegen.

Tut man ja auch nicht. Das Geld fließt, selbst in Schulen drückt man mittlerweile beide Augen zu und den Schülern Teams aufs Auge. Die Taktik ist nicht neu, die DSGVO und das Bewusstsein dafür hingegen schon. Es dauert immer eine Weile, bis so was mal richtig knallt. Die Wahrscheinlichkeit steigt aber gerade mit dem Trend in Richtung Cloud, weil es dort noch weitere Risiken zu den Datenschutz- und Sicherheitsthemen gibt. Siehe unten.

Die These halte ich für genau so falsch wie das angebliche Ende des PCs, dass man seit bald 10 Jahren immer wieder hört. Realistischer ist, dass es wie bisher auch beides geben wird. Klar, einige stürzen sich in die Cloud und bauen On Prem ab. Mag je nach konkreten Rahmenbedingungen teils auch durchaus sinnvoll sein - Cloud ist schließlich ein großes Thema und nicht nur auf Walled Gardens wie die MS Cloud beschränkt, das darf man bei so pauschalen Aussagen auch nicht vergessen.

Es wird jedoch auch weiterhin Menschen und Unternehmen geben, die viel Wert auf Sicherheit und Datenschutz legen. Dazu werden sich in Zukunft sicher auch zunehmend gebeutelte Kunden gesellen, die mit Clouds auf die Nase gefallen sind, vor allem denen mit Vendor-Lockin. Die werden sich überlegen, das Risiko zweimal einzugehen. Cloud ist wie zuvor bereits gesagt ja nicht gleich Cloud. Es macht einen erheblichen Unterschied, ob man alles aus der Hand gibt und SaaS nutzt, wie Office 365. Da bin ich als Nutzer voll Abhängig.

Auf der anderen Seite kann ich aber z.B. auch VMs in der Cloud mieten, wo ich ein vollwertiges Linux habe, wie im eigenen RZ. Da habe ich wesentlich mehr Freiheiten und Anpassungsmöglichkeiten, bin aber nach wie vor flexibel. Wenn der Cloudanbieter z.B. meint die Preise zu erhöhen, ist das nur eine normale Servermigration. Wenn man mit DevOps-Ansatz seine Systeme per Ansible automatisiert aufsetzt, sogar noch weniger Arbeit. Dann wirft man sein Ansible an, die Systeme sind gleich eingerichtet und man muss händisch nur noch die Daten migrieren.

Im letzteren Falle habe ich übrigens aus Sicht der Anwendung auch eine On-Prem Installation, obwohl nicht ein Server im RZ steht sondern im Grunde auch nur eine Cloud dahinter, aber eben von mir selbst verwaltet. Ein ählicher Ansatz wird ja auch zunehmend mit Kubernetes gefahren.

Da stimme ich dir voll zu, genau wie MS selbst: https://www.handelsblatt.com/technik/it-internet/plattformwirtschaft-tea ...
Moneyquotes:

Und wie erwartet wird sich MS das gut bezahlen lassen:

Btw finde ich den Verweis auf die Exchange-Alternative gut. Es muss nicht immer MS sein. Zunehmend gibt es Alternativen die auch immer mehr Abdecken können, ohne das MS-Damoklesschwert über dem Kopf. Das kann manch einem reichen, wird aber meinem Eindruck nach noch zu wenig beachtet.

Die Antwort ist für eine Bewertung etwas kurz, magst du vielleicht auch sagen was daran nicht richtig ist, denn ich bin gerade bei einem Großprojekt mit einigen Anbietern am werkeln und die Info ist von denen.

Wie man der Dokumentation entnehmen kann, benötigt eine Shared Mailbox regelmäßig keine Lizenz.

Bei M365 ist je nach Tarif noch Teams und die ganzen anderen Tools dabei. Bei Hosted Exchange im Normalfall nur der Exchange.
Du wirst nicht groß merken wo die Daten liegen. Neue Kunden aus Deutschland liegen laut Info der Telekom wo wir die Lizenzen beziehen normalerweise in Deutschland. Ausser ggf. bei NonProfits, das dürfte irgendwo in der EU liegen.

Meines Erachtens reicht die Erklärung von Microsoft selbst, DSGVO konform zu sein, denn dadurch ist der Anbieter in der Beweispflicht. Ein Nutzer eines Dienstes kann wohl nicht verantwortlich dafür gemacht werden, wohin die Firma die den Dienst anbietet Backups macht, denn das kann bei JEDER Firma theoretisch der Fall sein, auch wenn sie noch so beteuert, das es nicht so ist.
Ob der Dienstleister Cloud Backups durchführt weißt du genauso wenig wie ob Microsoft Daten in die Staaten sichert, also dürfte theoretisch keiner eine Hosting Dienstleistung kaufen.

M365 wird bei 99% der Firmen in Deutschland das geringste Problem bei der Umsetzung des Bundesdatenschutzgesetzes sein.

Nööö ! Du machst eh einen Vertrag zur Datenverarbeitung im Auftrag und bist verpflichtet als Daten"Eigentümer" dieses zu kontrollieren!
siehe DSVGO + Bundesdatenschutzgesetz usw. (na ja soviel zu der jur. Beratung die wir ehalten hatten - gegen Geld)


Fred

Und wie willst du das bewerkstelligen? Läufst du durch das Rechenzentrum und lässt dir jeden einzelnen Server und jedes Backupsystem zeigen?

Da gibt es einen wichtigen Paragrafen der auch im BDSG steht und der vieles relativiert.
Gesetztestext - § 9 Satz 2 BDSG
"Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."

Keiner kann in der Realität von einer kleinen Non-Profit Organisation verlangen, das sie tausende von Euro für eine eigenverwaltete On-Premises Lösung ausgibt oder beim Anbieter sämtliche Maßnahmen durchleuchtet, nur weil es theoretisch möglich wäre das Daten der US Regierung in die Hände fallen, dazu fehlt in der Regel das KnowHow und auch die Zeit.

Viel wichtiger wäre es, zu Dokumentieren wo Daten verarbeitet werden und dann den User darüber aufzuklären, so das er eine Möglichkeit hat, das abzulehnen. Aber auch das wird in den allermeisten Fällen gar nicht oder nur sehr dürftig gemacht.

Interessante Quellen

Hatte dazu noch ein paar interessante Artikel im Archiv.

Zwar für Teams aber hier wird die Aussage der Aufsichtsbehörde Berlins geprüft, die ausser dem Gesetzestext nicht wirklich was überprüft hat.
https://www.dr-datenschutz.de/aufsichtsbehoerde-microsoft-teams-ist-rech ...

Und noch ein paar Tipps was man in den Richtlinien für Benutzer umsetzen sollte.
https://www.anwalt.de/rechtstipps/dsgvo-und-office-365-was-bedeutet-dies ...

Auch Zoom musste übrigens nachträglich nachbessern.
https://www.datenschutz.de/warnung-des-lfdi-wurde-gehoert-zoom-bessert-n ...