Viele User und auch Unternehmen scheuen den Umstieg auf ein neues Betriebssystem wie Windows 10. Ich habe deshalb mal mit Experten eines Unternehmens gesprochen, die gerade den Umstieg realisiert haben. Aus Sicht des Hosting-Spezialisten ADACOR zum Beispiel gibt es auch für Unternehmen kaum Hindernisse bei der Migration auf Microsofts neues Betriebssystem. Ein Systemadministrator hat mir berichtet, welche Hürden dabei umschifft werden wollen.

Wird ein neues Betriebssystem wie Windows 10 auf den Markt geworfen, wird es in der Regel erst einmal kritisch beäugt. Zögerer und Zauderer sind sich sicher, dass das junge System noch viele Kinderkrankheiten hat. Im Zusammenhang mit der Annahme, dass Softwareentwickler heutzutage ihre Qualitätssicherung nur zu gerne an den Endanwender durchreichen, ist es also besser, mindestens noch ein bis zwei Jahre zu warten, bevor man auf das neue System umsteigt – so denken viele.

Größere Firmen dürfte ein neues Release ohnehin kaum aus der Ruhe bringen. Schließlich lautet eine weitere Faustregel: Je größer die Firma, desto länger dauert die Migration. So werden etwa in Konzernen die Unternehmensrechner häufig zentral verwaltet. Mitarbeiter haben hier keine Administrationsrechte und können selbst keine Software installieren.

rp_windows-10-logo-500x375.jpg

Entsprechend wird neue Software über große Rollouts im Unternehmen eingeführt. Solche Rollouts müssen langfristig geplant und wollen gut organisiert sein. Verantwortlich für eine solche Migration ist in der Regel die IT-Abteilung. Grundsätzlich kann man daher sagen, dass der Aufbau einer Firma, die internen Strukturen und gelebten Werte einen erheblichen Einfluss auf die Wahl des Umstellungszeitpunktes haben.

Drei Gründe für das Update

ADACOR Hosting ist ein vergleichsweise junges Unternehmen, das dynamisch geführt wird und Wert auf die Selbstbestimmtheit eines jeden Mitarbeiters legt. Mehr als 75 % der Mitarbeiter sind IT-ler, die auf ihren Rechnern über Administrationsrechte verfügen.

Jeder ist für seinen Rechner selbst verantwortlich. Dementsprechend werden Updates eigenständig durchgeführt, sofern die Software betriebsintern freigegeben wurde. Die eigenverantwortliche Umsetzung von Sicherheits-Updates wird in regelmäßigen, internen Audits überprüft.

Win10-Migration

Intern waren drei Gründe entscheidend, sich frühzeitig mit Windows 10 auseinanderzusetzen:

  • Bis Ende Juli 2016 ist das Update kostenlos. Bis dahin umzustellen, hat Kosten gespart. Vor allem wenn man bedenkt, dass beim Unternehmen auf etwa 60 % der Rechner Windows als Betriebssystem installiert ist. Die Kosten für die Migration hätten sich sonst summiert.
  • Vor dem Hintergrund des in den Medien viel diskutieren Zwangs-Updates auf Windows 10 schien es dringend geboten, sich mit dem neuen Betriebssystem auseinanderzusetzen.
  • Windows-User, auf deren Rechnern Windows 7, 8 oder 8.1. installiert ist, erhalten täglich eine Benachrichtigung, dass Windows 10 zur Installation bereitsteht. Nachfragen der Mitarbeiter beim Teamleiter und Management häuften sich, ob das neue Release denn zur Installation freigegeben sei oder nicht.

Bei ADACOR Hosting wird für die vorgeschriebene Zulassung die jeweilige Software zentral getestet und anschließend vom Sicherheitsteam freigegeben. Auch der Ablauf der Installation wird in diesem Zusammenhang geprüft. So können etwaige Schwierigkeiten vorweggenommen und die dazugehörigen Lösungen dokumentiert werden.

Für das Unternehmen hat das neue Betriebssystem weder besondere Vor- noch Nachteile. Die Umstellung sehen wir pragmatisch, denn wir haben sowohl Windows (60 %) als auch Linux (20 %) und OS X (20 %) im Einsatz. Das Windows-10-Betriebssystem hat keine hervorstechenden Features, die man unbedingt braucht und die ein Update notwendig machen würden. Andersherum fällt – und das ist nicht immer selbstverständlich – auch keine Funktionalität weg.

Die Mitarbeiter updaten eigenverantwortlich

Grundsätzlich sind die verschiedenen, im Einsatz befindlichen Windows-Versionen (Windows 7, 8 und 8.1) immer so lange freigegeben, wie das System von Microsoft supported wird und Security Patches zur Verfügung stehen. Wenn der Lebenszyklus eines Betriebssystems endet („End of Life“) und keine Sicherheitsupdates mehr zur Verfügung gestellt werden, wird dem Betriebssystem intern die Freigabe entzogen und es muss upgedated werden.

Das Hosting-Unternehmen hat überwiegend Laptops im Einsatz, die mit einer Einzelplatz-Lizenz gekauft wurden. Möchte ein Mitarbeiter sein Betriebssystem auf Windows 10 updaten und die Software wurde intern zur Installation zugelassen, kann er die Aktualisierung in Absprache mit seinem Teamleiter durchführen, wenn die Zeit es erlaubt und es organisatorisch sinnvoll erscheint.

Ein Update während der Bereitschaft durchzuführen, ist beispielsweise verboten. Als Fullservice-Dienstleister, der 24 Stunden am Tag, sieben Tage die Woche präsent ist und bei Störungen innerhalb einer Stunde reagiert, müssen Rechner einwandfrei funktionieren, um gegebenenfalls auf Incidents unverzüglich reagieren zu können.

Aber auch die Mitarbeiter der Verwaltung und des Marketings, sprich die weniger technikaffinen Mitarbeiter, führen die Umstellung eigenverantwortlich durch.

Bei dem stark automatisierten Update kann die Einzelplatz-Lizenz auf dem Laptop weiterverwendet werden. Voraussetzung ist lediglich, dass die Lizenz der jeweiligen Vorgängerversion (das gilt zumindest für Windows 7, 8 oder 8.1.) aktiviert ist. Beim Update selbst erhält man dann keinen neuen Product Key mehr. Vielmehr analysiert Microsoft das System und fertigt auf Basis der Hardware-Ausstattung eine Art digitalen Fingerabdruck an.

Anschließend wird das Update für diesen spezifischen Rechner freigegeben. Probleme kann es geben, wenn zum Beispiel nachträglich die Grafikkarte ausgetauscht wird. Dies könnte dazu führen, dass das System nicht mehr aktiviert ist, weil es nicht mehr mit dem digitalen Fingerabdruck des ursprünglich erworbenen Computers übereinstimmt.

In diesem Fall müsste bezüglich des weiteren Vorgehens eine Anfrage an Microsoft gestellt werden. Doch bislang ist dieser Fall bei uns noch nicht eingetreten.

Migration auf Windows 10: Gute Vorbereitung ist das A und O

Ich habe das System umfassend getestet. Im Fokus standen dabei die Kompatibilität des neuen Betriebssystems mit intern eingesetzter Software, die Erarbeitung der ADACOR-spezifischen Konfiguration vor dem Hintergrund unserer Richtlinien zum Datenschutz, die Erstellung der dazugehörigen Manuals zur Mitarbeiterunterstützung bei der Durchführung der Migration und die Auswahl der richtigen Settings.

Hierfür wurde zunächst ein Rechner aufgesetzt, welcher in Bezug auf die Hardware, Anwendersoftware, Konfiguration, verschlüsselte Festplatte, Virenschutz, spezifische Sicherheitseinstellungen und so weiter den Geräten der Belegschaft möglichst nahe kam.

Der Teufel steckt im Detail

Im Rahmen des Tests gab es einige Hürden zu überwinden. Aber auch Aufschlussreiches trat zutage. So hat sich etwa herausgestellt, dass ein Zwangsupdate mit einer verschlüsselten Festplatte nicht funktioniert hätte. Gut zu wissen! Diverse Fehlermeldungen beim Update gaben hierauf keine direkten Hinweise, denn die Fehlermeldungen von Microsoft sind eher unspezifisch. Die eingehende Fehlersuche inklusive einiger Tests ergab jedoch, dass das Update aufgrund der Festplattenverschlüsselung nicht durchgeführt werden konnte. Die Lösung bestand letztlich darin, die Festplatte vor dem Update zu entschlüsseln und danach wieder zu verschlüsseln.

Kann das Update mit unverschlüsselter Festplatte erfolgreich angestoßen werden, prüft die Installationssoftware, ob sich auf dem Rechner Applikationen befinden, die mit dem Update nicht kompatibel sind oder später nach dem Update nicht mehr funktionieren. Auch das war bei uns der Fall. Zwei Anwendungen waren betroffen:

  1. Der Symantec-Virenschutz
    Die Software musste vor dem Update komplett deinstalliert und ersetzt werden. Wir setzen nun stattdessen Sophos Endpoint Protection ein. Eine weniger bekannte Anti-Virus-Lösung, die aber ihren Zweck erfüllt und sich einfach verwalten und administrieren lässt. Selbstverständlich durchlief der neue Virenschutz vor der Migration das interne Test- und Freigabeprocedere.
  2. Der PGP-Desktop
    Das Programm zur Verschlüsselung von E-Mails und Dateien wurde in Absprache mit dem Management ersatzlos von der Liste eingesetzter Software gestrichen. Die Mitarbeiter mussten auf eine Alternative umstellen.

Die sichere Konfiguration: Eine Aufgabe für sich

Ist das Update formal installiert, geht es an die Hauptaufgabe im Zusammenhang mit der Migration: die sichere Konfiguration von Windows 10. Schließlich gilt es gerade im Unternehmensumfeld, die Einstellungen zu Privatsphäre und Datenschutz mit Bedacht auszuwählen. Hierfür waren umfangreiche Tests, Recherchearbeiten und Analysen notwendig.

Windows 10 war unter anderem für die Datensammelwut insbesondere mit den Standardeinstellungen auch in den Medien in die Kritik geraten. Dementsprechend galt es im Rahmen der Tests, Windows 10 möglichst „unkommunikativ“ zu konfigurieren und so die Privatsphäre und den Datenschutz der einzelnen Mitarbeiter und des Unternehmens zu wahren.

Auch dem firmenübergreifenden Sicherheitskonzept muss die Konfiguration Rechnung tragen. Hierfür wurden die Setup-Regeln und Einstellungsvorgaben eingehend analysiert und eine Auswahl getroffen, die anschließend für alle Mitarbeiter dokumentiert wurde. Folgende Optionen wurden in diesem Kontext vollständig deaktiviert:

  • Der Sprachassistent Cortana: Die Sprachnachrichten an Cortana werden über das Web an Microsoft gesendet. Microsoft erhält auf diese Weise umfassendes Datenmaterial. Der Befehl wird dann zentral ausgewertet, vertextlicht und an den Computer des Users zurückgeschickt. Die Ausführung des Befehls erfolgt quasi via Fernsteuerung. Ein Umstand der mit dem Sicherheitskonzept der ADACOR Hosting nicht in Einklang zu bringen war.

win10-mycortana

  • Mein Rechner teilt seine Updates mit anderen Rechnern: Unter dem Strich handelt es sich hier um eine Bandbreitenthematik. Bezieht ein Computer seine Updates nicht unmittelbar aus dem Web, sondern aus einem dezentralen Peer-to-Peer-Netzwerk, dann spart Microsoft auf Kosten des privaten Netzwerkes Bandbreite. Unkontrolliert und automatisiert aus einem Netzwerk Updates zu erhalten, ist aus betriebsinternen und organisatorischen Gründen für ein Unternehmen, das im Bereich hochsensibler und hochverfügbarer Anwendungen agiert nicht tragbar.
  • Antivirenschutz aus der Cloud: Ist diese Option aktiviert, werden die Signaturen von Dateien oder Programmen beim Öffnen oder bei der Installation geprüft und zentralisiert bei Microsoft abgeglichen, ob unter dieser Signatur beispielsweise Schadsoftware verbreitet ist. So ist für Microsoft transparent, welche Programme und Dateien ein User auf seinem Rechner installiert hat. Im Sinne des Datenschutzes und der Datenintegrität ist diese Transparenz für uns und vor allem unsere Kunden aus dem Segment Cloud und Hosting nicht akzeptabel.
  • Automatische Updates: Die uneingeschränkte Funktionalität eines Rechners zu vorgegebenen Zeiten – wie zum Beispiel in der Bereitschaft – hat dagegen höchste Priorität. Da im Rahmen von Updates unvorhergesehene Probleme auftreten können und nicht jedes Update gewollt ist, wurden automatische Updates im Zusammenhang mit der Migration auf Windows 10 ebenfalls deaktiviert.

Grob kann man sagen, die ersten 15 Einstellungsfragen von Microsoft, ob verschiedene Features aktiviert werden sollen oder nicht, wurden verneint. Zusätzlich kam das Tool DoNotSpy 10 zum Einsatz. Dieses unterstützt User dabei, Einstellungen zur Privatsphäre und zum Datenschutz zu machen, für die Microsoft keinen eigenen Menüpunkt zur Verfügung stellt.

Von den insgesamt über 100 Einstellungsoptionen wurden noch einmal 30 deaktiviert. Nachdem die Update-Installation und die Ersatzsoftware recherchiert, getestet und freigeben war, erfolgte der Test auf Funktionsfähigkeit im Alltag.

Also inwiefern sind Funktionen wie Drucken oder Backup-Erstellen noch gegeben. Hier hat sich Windows 10 im Test unauffällig verhalten. Das Team der Abteilung Technology Operations empfahl letztlich dem Security Team, das Windows 10 Update offiziell für die Mitarbeiter freizugeben. Und man folgte der Empfehlung.

Das Windows-Update im Alltagstest

Nun musste sich das Windows-Update noch im Alltagstest bewähren. Zuerst stellten nur drei Mitarbeiter um. Außerdem wurden neu aufgesetzte Rechner für neue Angestellte und Remote-Arbeitsplätze wurden mit Windows 10 bespielt. Trotz der sorgfältigen Vorbereitung der Migration ergab sich beim Update durch die Mitarbeiter das ein oder andere Problem.

Die Ursache dafür lag darin, dass sich aufgrund der individuellen Arbeitsumgebungen nicht jedes Problem auf jedem Computer gleich darstellt. Vereinzelt traten nach der Aktualisierung Schwierigkeiten mit dem Backup auf. Bei anderen wiederum lief das Backup nach der Migration ohne Störung.

Weitere Tests zeigten, dass dieses Problem nur in Verbindung mit weiteren installierten Applikationen auftrat. Das Fazit war: Es kann grundsätzlich immer zu Inkompatibilitäten kommen. Selbstverständlich werden sämtliche Einzelplatzkonstellationen im Sinne eines nachhaltigen Trouble Shootings dokumentiert.

Eine weitere Komplikation bestand darin, dass nicht alle Windows-Anwender die Benachrichtigung erhielten, dass das Update für sie bereitsteht und sie ihren Rechner updaten können. In diesem Fall gab es keine Möglichkeit, das Update aus dem Betriebssystem heraus anzustoßen, sondern man musste von der Microsoft-Homepage das Windows-10-Setup-Tool herunterladen. Das Update musste dann manuell angestoßen werden, erfolgte aber unproblematisch.

Fazit

Bei ADACOR Hosting wird Eigenverantwortlichkeit großgeschrieben. Das gilt auch für den Umstieg auf ein neues Betriebssystem. Aus Sicht des Hosting-Spezialisten spricht bislang nichts gegen die Migration auf Microsoft Windows 10. Das Update erfolgt vergleichsweise problemlos und Schwierigkeiten in Bezug auf neue oder weggefallene Funktionalitäten sind nicht zu erwarten.

Dennoch sollte sich jedes Unternehmen die Zeit nehmen, das neue Betriebssystem im Hinblick auf die individuellen Anforderungen im unternehmensspezifischen Kontext zu testen. Unvorhergesehene Zeitaufwände und -verzögerungen können an Stellen entstehen, wo im Zusammenhang mit dem Update auf Windows 10 gewisse Abhängigkeiten bestehen.

Wie wenn zum Beispiel ein neues Anti-Viren-Programm gefunden, getestet und freigegeben werden muss. Insgesamt ist mein Resümee jedoch positiv. Erfreulich ist zudem, dass sich die internen Software-Freigabeprozesse im Zusammenhang mit der Migration auf Windows 10 bestens bewährt haben.