Keine Lizenzkosten mit Open Source Software betrieben auf modernen Betriebssystemen!
Ich habe auf die letzten Blog Beiträge viel positives Feedback erhalten und die meisten Business- und Privatanwender träumen von einem IT Betrieb ohne Lizenzkosten und ohne bei neuen Systemen auf die Anzahl der Installationen achten zu müssen und vielem mehr. Bei vielen Managern stehen natürlich die Einsparungen der Lizenzkosten an oberster Stelle, aber es hat sich mittlerweile auch durchgesprochen, dass selbst gehostete System, welche die Privatsphäre schützen und so wenig wie möglich Daten an Dritte und Tracker übermitteln eine Bereicherung für jeden einzelnen sind.
Sicher ist, da die Lizenzkosten die letzte wirkliche Einsparungsmöglichkeit im IT Bereich sind, dass sich Open Source Software und Betriebssysteme nun weit stärker im Firmenumfeld durchsetzen. CFO‘s und CEO‘s werden sich hier stark engagieren um über diese Schiene die letzte Einsparungsmöglichkeit auszunutzen.
Natürlich ist mir klar, dass es nicht in allen Fällen zu 100% möglich ist umzustellen und es auch einige geben wird, die Ihre Daten auf Servern von Fremden im Internet (aka Cloud) speichern werden. Bei letzteren ist das Verhalten vollkommen unverständlich, denn wenn man diese Verantwortlichen fragt, ob sie Ihre wichtigen Firmendaten auf irgendwelchen Servern im Internet speichern würden, ist die Antwort meist ein Nein. Versehen mit dem Marketingmascherl Cloud gibt es dann doch welche, die alle Daten auf solchen Servern speichern. Der Anteil diese Cloud User ist in Wirklichkeit aber sehr gering.
Mit dieser Spezies, die im Normalfall in dem Irrglauben, die eigene Verantwortung delegieren zu können und gleichzeitig alles billiger wird, lebt, wollen wir weder heute noch an anderer Stelle Lebenszeit vergeuden. Meist existiert hier eine Beratungsresistenz.
Der Fokus liegt auf Verantwortlichen, welche zukunftsorientiert, offen, hungrig nach Weiterbildung und an neuem, vielfach besserem interessiert sind.
Wie schon in vielen Blog Einträgen hier auf meiner Seite geschrieben, wurde in meinem Umfeld und bei der CTS die komplette IT und auch mobile Geräte auf Open Source umgestellt. Ich höre jetzt schon viele sagen – Das kann ich nicht -. Doch, das kann jeder, mit ein paar ganz wenig Ausnahmen, wo spezielle Software benötigt wird und es nur Anbieter proprietärer Software gibt, welche die Zeichen der Zeit nicht erkannt haben und sich mit weiterer proprietärer Software anderer Anbieter so verknüpfen, dass es für diese keinen Ausweg aus der Falle – gebunden an ein Betriebssystem – gibt. Solche Systeme sollte man in einem eigenen VLAN betreiben, bis eine alternative Software erscheint und es darf gesagt werden, dass es mittlerweile für fast alle Anforderungen Open Source Lösungen gibt.
Das heißt natürlich nicht, dass Open Source Software keine Fehler hat und nicht auch hier ab und zu Probleme auftreten. Aber die Community, insbesondere bei den größeren Projekten, ist im Normalfall extrem schnell mit Fehlerbehebungen, welche in vollem Umfang auf der Projektseite nachvollzogen werden können. Bei Open Source Software ist auch jede Änderung für alle offen prüfbar. Zusätzlich kann man immer auch einen Programmierer (Freelancer) anheuern, welcher den Fehler korrigiert. Das ist Freiheit, ohne zu warten, ob ein Hersteller vielleicht irgendwann einen Patch heraus gibt, bei dem wieder nicht bekannt ist, welche Modifikationen vorgenommen werden.
Für besonders Interessierte habe ich ein Buch veröffentlicht, welches viele Details anspricht:
„Zero License Costs? It is possible!: This book will show you that it is possible to run your IT without any license costs. (CTS IT PRO E-Books 12)“ erhältlich bei Amazon https://www.amazon.com/dp/B072VGSQHF
Hier nun eine kurze Zusammenfassung eines freien Lebens mit IT:
Server
Alle meine privaten Server und die Server der CTS werden bereits seit 1995 fast durchgehend unter FreeBSD betrieben. Bald danach kamen noch Server unter Debian Linux hinzu und eine gewisse Zeit gab es auch wenige proprietäre Server von kommerziellen Betriebssystem Anbietern. In den späten 90ern war das Leben noch nicht so frei und einfach wie heute.
Seit mehreren Jahren, insbesondere da der XRDP Server unter Debian Linux mittlerweile auch sehr stabil läuft, werden alle Internet Server unter FreeBSD und Debian Linux betrieben. Operative Terminal Server für den Büroalltag betreiben wir unter Debian Linux mit XRDP, natürlich geschützt durch die Open Source VPN Lösung OpenVPN und hoch professionelle Open Source PfSense Firewalls.
Natürlich wird auch der E-Mail Server, sowie der Spam und Virenschutz selbst betrieben und im Haus gehostet. Eine Speicherung von unverschlüsselten E-Mails auf fremden Servern im Netz würde ich als unverantwortlich bezeichnen und bin der festen Überzeugung, dass Mails und deren Metadaten (wer-mit-wem mailt, etc.) nur im eigenen Haus betrieben werden sollten.
Mit OwnCloud wird hausintern eine eigene Lösung zum Speichern und Teilen von Daten, auch mit Dritten, betrieben. Natürlich ist auch dieser Server, da sensible Daten, im eigenen Haus.
Zusätzlich werden Server für Mastodon, eine dezentralisierte Open Source Micro Blogging Alternative, und Matrix/Riot.im, einer dezentralisierten, sicheren, Open Source Messenger und Kommunikationsplattform betrieben. Wie schon früher geschrieben, wurde mein alter Facebook Account, seit dem Umstieg auf Matrix/Riot.im, mit einem Script komplett geleert und existiert nur mehr als leere Hülle mit dem Hinweis auf meine Mastodon und Matrix/Riot.im Accounts. Einen Twitter Account, welcher die kommerzielle Alternative zu Mastodon wäre, habe ich privat nie gehabt.
Mit circa 1,5 Jahren relativ neu im Einsatz ist die Open Source Virtualisierungsplattform Proxmox, welche die frühere kommerzielle Variante ersetzt hat. Proxmox ist ein wirklicher Geheimtipp, der hier vollkommen fehlerfrei seinen Dienst versieht und viele Features beinhalten, welche bei kommerziellen Produkten hohe Aufpreise bedingen. Zum Beispiel das geniale Backup der virtuellen Maschinen, inklusive der eindrucksvollen Rücksicherungsmöglichkeit.
Und auch im Serverbereich gibt es keine wirkliche Ausrede, auch nicht für Privatanwender. Kleine Anwendungen können auch auf einem Raspberry für 40 € im eigenen Haus geräuschlos betrieben werden.
Es werden natürlich noch weitere Server betrieben, inklusive einer vollkommen eigenständigen public DNS Infrastruktur mit Hidden-Primaries und Web-basiertem Verwaltungstool. Den Betrieb von öffentlichen DNS Servern empfehle ich aber nur wirklichen IT Profis mit langjähriger Erfahrung auf diesem Gebiet.
In Summe besteht der Proxmox Cluster aus 4 Cluster Servern mit 40 CPU‘s, 140GB RAM und 4 TB Storage auf gespiegelten FreeBSD NAS Systemen. In Summe laufen 39 virtuelle Maschinen im Cluster. Eine beeindruckende, stabile Leistung, rein mit Open Source Software Lösungen. Alles komplett ohne Lizenzkosten.
Arbeitsplätze
Die verwendeten Arbeitsplätze, Desktops und Notebooks, werden alle unter Debian Linux mit XFCE als Desktop betrieben. Die Arbeitsplätze reichen von kleinen Netbooks bis hin zu i7 Systemen mit 16 GB RAM und 4 * 1920x1080 Monitoren zur Bildbearbeitung und zur Webseitenerstellung.
Generell wird nur LibreOffice als kompatible Office Anwendung verwendet. Einfach alle Fonts installieren, dann gibt es auch bei komplexeren Dokumenten keine Formatierungsprobleme. Textverarbeitung, Kalkulation, Präsentation und kleinere Datenbankanwendungen werden damit professionell und kompatibel abgedeckt. LibreOffice gilt auch als sicherer im Sinne der Angriffe mit Macros und anderen Bösartigkeiten. LibreOffice ist Open Source und komplett kostenlos. Es kann sogar parallel mit der kommerziellen Variante auf einem System betrieben werden um es zu testen.
Die Bedienung von LibreOffice ist kinderleicht und kann von ungeübten Benutzern in kürzester Zeit genauso beherrscht werden, wie die sehr teure kommerzielle Alternative. Funktionen und Buttons sind sehr ähnlich, d.h. für alle ohne jegliches Problem anwendbar und ohne Zeitaufwand in der Schulung im Rahmen einer Umstellung.
Da die CTS E-Mails in großen Umfang abarbeiten muss, wird eine professionelle Software als E-Mail Programm verwenden. Mit Mozilla Thunderbird, aus dem Hause des großartigen Browsers, werden alle Wünsche professioneller E-Mail Anwender genauso abgedeckt, wie die von Einsteigern. Mit dem Lightning Kalender als Standard Addon können auch professionelle Kalender via dem Industriestandard CalDAV eingebunden werden. Mit dem CardBook Plugin können via dem Industriestandard CardDAV zentrale Adressbücher eingebunden werden. Das alles mit Multi- Account, Multi-Identity und vielem mehr. Profis bei CTS arbeiten damit am Tag hunderte E-Mails in hunderten Unterordnern auf einfachste, Performance optimierte Weise an. Thunderbird und die Plugins sind natürlich Open Source und Lizenzfrei. Thunderbird gilt als extrem sicher und kann auch auf Text-only E-Mails umgestellt werden. Damit schützen Sie sich und Ihre Kontake vor unschönen Dingen in HTML E-Mails. Profis senden Text-Only!
Viele weitere Open Source Produkte runden die Installation ab. PGP Verschlüsselung für End-to-End verschlüsselte E-Mails, welche auch, egal bei wem und auf welchem Server. verschlüsselt am Server gespeichert werden. DigiKam, RawTherapee und GIMP für die professionelle Bildbearbeitung und IPTC Beschriftung, Shotcut für perfekten Videoschnitt inklusive Einbringung von Special-Effects, Audacity als professionellen Voice Editor, Blender als 3D Software, Scribus und Calibre für die Erstellung von Büchern und E-Books und vieles mehr sind kostenlos verfügbar.
Für Warenwirtschaft und Fakturierung sind kleine bis wirklich große Enterprise ERP Lösungen verfügbar. Dieses Thema würde einen eigenen Blog Eintrag füllen, aber es gibt für jede Unternehmensgröße eine Lösung. Von Kassabuch bis x-1000 Mitarbeiter ERP System.
Zum Surfen im Internet wird natürlich der gute Firefox Browser mit Sicherheits-Plugins, siehe https://kmj.at/mehr-privatsphaere-und-sicherheit-mit-kostenlosen-firefox-add-ons/ , verwendet.
Dazu unbedingt auch den Tor Browser für anonymes Surfen installieren. Das Tor Netz ist mittlerweile so groß und schnell, dass man sogar Videos schauen kann und auch wenn man nichts zu verbergen hat, geht es andere ganz einfach nichts an wo und wie man surft. Zur Suche qwant.com oder duckduckgo.com als Alternative zum Datensilo verwenden.
Verschlüsselter Messenger und verschlüsselte Telefonie, auch mit Dritten erfolgt nur über den Riot.IM Messenger angebunden an den eigenen Server im dezentralisierten Netz. Mitlesen durch Datensilos ist unerwünscht und wird dadurch vollkommen ausgeschlossen.
Natürlich sind auch Video Player und andere Kleinigkeiten die das Leben nett machen, an Bord.
Updates sind leicht und einfach durchzuführen und bei Linux Desktops ist neu aufsetzen eine seltene Ausnahme. Normalerweise, auch bei Releasewechsel, einfach updaten und fertig.
Die genannten Lösungen decken die Anforderung von 99% der Unternehmen ab und es ist eigentlich immer dieses - „Ich nehme das was andere nehmen, dann kann mich mein Boss bei Problemen nicht feuern!“ - , welches dem Unternehmen Kosten aufbürdet, welche nicht notwendig sind. Es ist zu bezweifeln dass kollektives Leiden mit anderen, dem Unternehmen bei Problemen ein Lösung schafft. Wissen, Weiterbildung und innovative, moderne Lösungen sind angesagt!
Die CTS hat ein sehr differenziertes Anforderungsprofil an Software, da nicht nur Textverarbeitung, Kalkulation, E-Mail, sondern auch die Erstellung von professionellen Webseiten, die Verwaltung und Bearbeitung von fast 200.000 Bildern der CTS Photo & Press Service Bildagentur und die Betreuung der IT Kunden zum Tagesgeschäft gehören. Ein reibungsloser Betrieb ist seit langem, ohne jede Lizenzkosten, gewährleistet.
Aktuell verbleibt ein einziges kleines Problem mit Banken, welche meist nicht in der Lage sind, außer für das proprietäre Betriebssystem eine Lösung anzubieten. In Wirklichkeit kein all zu großes Problem, da es hier nur bei Bankeinzügen trifft, welche über die Webanwendung nicht abgewickelt werden können. In Deutschland ist auch das kein Problem, denn für die HBCI Schnittstelle gibt es sogar Open Source Lösungen, welche alle Funktionen abdecken. Es ist aber zu erwarten, dass die Banken von modernen Kunden und auch von Apples MAC Anwendern zum Umdenken gezwungen werden und die fehlenden Funktionen vermutlich in die Web Anwendung integrieren. Zwischenzeitlich müssen österreichische Firmen auf ein deutsches Bankkonto mit HBCI für den Bankeinzug zurückgreifen. In Wirklichkeit ist alles lösbar.
Der Zwang von Banken Apps zu verwenden kann durch die Verwendung eines CardTAN Gerätes umgangen werden. Es ist zu empfehlen generell so wenig wie möglich Apps (Programme die mit Benutzerberechtigungen am Gerät laufen und Internetzugang haben) zu installieren und nur Webanwendungen, wodurch der Browser eine extra Schutzlinie ist, zu verwenden.
Mobile Geräte, Telefone und Tablets
Hier wird es etwas komplizierter, denn das Librem5 Telefon ist noch nicht ganz fertig. Die Zukunft für uns gehört, wenn die Marktreife geschafft wird, diesem Gerät. Hardware Kill-Switches für Micro und Kamera sind alleine schon ein Riesen Vorteil. Betriebssystem Linux und Open Source Apps eine gelungene Kombination.
Wenn man alle aktuell auftretenden Vorfälle bedenkt, dürfte niemand mehr eine Besprechung oder andere wichtige Besprechungen, privat oder beruflich, in Anwesenheit von Telefonen, Tablets, oder Sprachassistenten führen. Auch wenn man nichts zu verbergen hat, sind Wanzen eine unschöne Sache und die letzten Vorkommnsse haben gezeigt, das Home-Office Mitarbeiter zu den Sprachaufzeichnugnen kommen. Das war zu erwarten, aber wenn es jetzt auch bestätigt ist, sollte man diese Sprachassistenten in den Müll werfen und die paar Schritte zum Lichtschalter gehen. Fitness ist immer besser als zugängliche Gesprächem, die nicht für die Öffentlichkeit bestimmt waren.
Interessierte für alle Bereiche der Sicherheit lesen folgendes regelmäßig, am besten per RSS Newsfeed:
Es gibt einiges mehr, insbesondere wenn jemand tiefer in die Materie eintaucht, aber mit oben genannten ist das notwendige Tages-Minimumwissen für alle Anwender im Kurzüberblick abgedeckt.
Da es unerwünscht war proprietäre Systeme im mobilen Bereich zu verwenden wurde mit der Verwendung von LineageOS ein Kompromiss gefunden. LineageOS ist ein nacktes Android und sollte ohne die Google Apps installiert werden. Damit entspricht das Gerät dann den Vorstellungen von guter Privatsphäre. Einen detailierten Überblick über die Installation und die Verwendete Open Source Software findet sich im Blog: https://kmj.at/android-lineageos-privacy-teil3/ .
Natürlich ist es ganz wichtig, Apps wenn möglich nur aus dem F-Droid App Store zu installieren und sich von niemandem zu einer App zwingen zu lassen. Es ist, insbesondere am mobilen Gerät, keine App als vertrauenswürdig einzustufen, welche nicht als Open Source Software von mehreren Personen geprüft wurde. Das heißt nicht, dass man Anbietern hier Vorsatz unterstellt, aber diese Apps werden schnell und kostengünstig mit verfügbaren Tools von Drittanbietern erzeugt. Der Fokus liegt nicht auf Security, sondern auf schnell und kostengünstig rausbringen. Insbesondere verwaiste Apps sind ein erhöhtes Risiko. Zum Beispiel ladet ein Benutzer bei einer Veranstaltung eine App des Veranstalters, welche dann nie mehr upgedatet wird. Die App läuft aber immer im Hintergrund und wenn das Entwicklungstool einen Fehler hat, dann ist das Telefon verloren und wird von außen übernommen. Einfach die beiden Links regelmäßig lesen. Es tauchen täglich viele solcher sogenannter Exploits auf. Eine verwaiste App setzt das Telefon einem Angriffsszenario aus, weil das zugrunde liegende Entwicklungstool vom Anbieter nicht mehr upgedatet wird. Und Tschüss Telefon, schon gehörst Du dem Eindringling.
Wenn schon eine nicht vertrauenswürdige App installiert wird, sofort löschen, wenn diese nicht mehr benötigt wird. Und generell immer die Web Version mit dem Browser verwenden. Die App hilft im Normalfall dem App Anbieter Daten zu sammeln und nicht dem Benutzer. Dieser sollte mit der Web Anwendung über den Browser alle Funktionen verfügbar haben. Wenn schon eine Benachrichtigung für irgendetwas erfolgen soll, verwenden Sie E-Mail oder noch besser Riot.IM Messenger Nachrichten.
Und zum Abschluss
Zum Abschluss noch etwas zum lachen, oder weinen, je nachdem von welcher Seite man es betrachtet.
Immer wieder hört man am Nachbartisch im Restaurant oder Kaffee, bzw. bei Besprechungen:
Ich bin gehackt worden!
Ja, das ist mir/uns auch passiert
Und die Personen verfallen in kollektives gemeinsames Bedauern, aber sie selbst sind ja unschuldig!
Dazu sei gesagt:
- 99% werden nicht gehackt sondern sind selbst Schuld!
- 1 % sind echte, gezielte Hacks
Bei den 99% passiert normalerweise folgendes:
Selber schuld:
1) Download von irgendeiner Software und Installation am eigenen PC
2) Download von irgendeiner APP und Installation am mobilen Gerät
3) Klick auf Ja, Ja, Ja, bei Fragen ob aktiviert, oder ausgeführt werden soll
Bis auf ganz wenige Ausnahmen führen die 99% die Schadsoftware selbst, nach mehrmaligem Klicken auf „JA“, mit den eigenen Berechtigungen am PC oder mobilen Gerät aus und sind damit selbst schuld, dass das Gerät mit Malware verseucht, oder verschlüsselt wird. Etwas mehr Vorsicht und -“Think before you click“ - würde vermutlich 70% der Vorfälle verhindern. Wenn man dann noch Text-E-Mails anstatt von HTML-E-Mails verwenden würde, könnte man, da man den richtigen Link sieht, vermutlich weitere 20% verhindern.
Die verbleibenden 9% wird man vermutlich akzeptieren müssen, aber der Rest wäre mit Hirn einschalten, Gier und Neugier ablegen und einem EDV-Anfängerkurs mit Fokus Sicherheit über weite Strecken zu verhindern.
Also „Nein, zu 99% nicht gehackt worden, sondern meist vermeidbarer Bedienerfehler und selbst schuld.“
Für Unternehmen bietet die CTS GMBH (https://cts-solutions.at) Beratungen, Consulting und Projektabwicklung für einen erfolgreichen Umstieg.
