IT-Beratung & IT-Services

Firmenhandys und -laptops sind längst nicht mehr nur im Büro im Einsatz. Mitarbeitende arbeiten von zu Hause, aus dem Zug oder beim Kunden und greifen dabei auf dieselben Unternehmensdaten zu wie am Schreibtisch vor Ort. Das ist praktisch, schafft aber auch Angriffsfläche. Ein verlorenes Gerät oder ein gestohlenes Passwort kann ausreichen, damit Unbefugte Zugang zu sensiblen Informationen erhalten. Multi Faktor Authentifizierung bei MDM-Geräten hilft bei diesem Problem, indem sie den Zugriff an mehrere unabhängige Nachweise knüpft. Was das konkret bedeutet und wie Unternehmen das sinnvoll umsetzen, zeigen wir in diesem Artikel.

Was Multi Faktor Authentifizierung bei MDM-Geräten bedeutet

Alle Mitarbeitenden und Freelancer, die sich in das Unternehmenssystem einloggen wollen, müssen sich ausweisen. Das ist grundsätzlich nichts Neues. Lange Zeit reichte dafür ein Passwort. Passwörter können allerdings erraten, gestohlen oder durch Phishing abgegriffen werden. Die Multi Faktor Authentifizierung löst das Problem, indem der Zugriff an mindestens zwei voneinander unabhängige Nachweise geknüpft wird.

Diese Nachweise lassen sich in drei Kategorien einteilen:

• Wissen: etwas, das nur die Person kennt, zum Beispiel ein Passwort oder eine PIN
• Besitz: etwas, das die Person bei sich hat, zum Beispiel ein Smartphone, auf dem ein Einmalcode angezeigt wird
• Biometrie: etwas, das die Person ausmacht, zum Beispiel ein Fingerabdruck oder die Gesichtserkennung

Bei MDM-verwalteten Geräten kommt zusätzlich der Vorteil dazu, dass das Gerät selbst im System registriert und bekannt ist. So entsteht die Möglichkeit, das Gerät als zusätzlichen Faktor zu nutzen. Der Zugriff ist also nur dann möglich, wenn das richtige Gerät, die richtige Person und der richtige Nachweis zusammenkommen. Das ist ein deutlich höheres Sicherheitsniveau als eine reine Passwortverwaltung ermöglicht.

Warum MDM ohne MFA keinen ausreichenden Schutz bietet

Mobile Device Management bringt viele Vorteile für Unternehmen. Es ermöglicht, Geräte zentral zu verwalten, Sicherheitsrichtlinien durchzusetzen und im Verlustfall Daten aus der Ferne zu löschen. MDM schützt also das Gerät an sich, allerdings nicht den Zugang dazu. Gerade im Alltag können Situationen entstehen, in denen ein Passwort allein nicht ausreicht und ohne MFA Lücken aufkommen können:

• Ein Gerät geht verloren oder wird gestohlen. Die MDM-Lösung kann es sperren oder löschen, aber erst dann, wenn der Verlust bemerkt wird. Bis dahin ist der Zugriff mit dem richtigen Passwort möglich.
• Passwörter werden aus Bequemlichkeit einfach gewählt oder mehrfach verwendet. Das ist menschlich, aber hat sich immer wieder Sicherheitsrisiko herausgestellt.
• Beim Phishing werden Mitarbeitende dazu gebracht, ihre Zugangsdaten auf einer gefälschten Seite einzugeben. Das Passwort landet direkt beim Angreifer, der es sofort nutzen kann.

Multi Faktor Authentifizierung bei MDM-Geräten senkt die Risiken durch solche Situationen deutlich. Ein abgegriffenes Passwort allein genügt nicht mehr, um sich Zugang zum Gerät zu verschaffen, weil der zweite Faktor fehlt. Damit scheitert der Angriff in den meisten Fällen an dieser Hürde.

Multi Faktor Authentifizierung im MDM richtig einrichten

MFA im MDM-Umfeld einzuführen ist grundsätzlich kein Mammutprojekt. Allerdings braucht es eine durchdachte Umsetzung, damit Sicherheit und Nutzerfreundlichkeit zusammen funktionieren. Besonders wichtig ist es, MFA bereits in den Einrichtungsprozess neuer Geräte zu integrieren. Nimmt ein Mitarbeiter ein Firmengerät zum ersten Mal in Betrieb, sollte von Anfang an MFA eingerichtet werden. Ist das Modell fester Bestandteil des Prozesses, ist die Akzeptanz höher und Mitarbeitende müssen sich nicht nachträglich mit Veränderungen auseinandersetzen.

Darüber hinaus gibt es einige Punkte, die Unternehmen bei der Planung berücksichtigen sollten.

• Zugriff an Bedingungen knüpfen:Die meisten MDM-Lösungen ermöglichen es, Zugriffe auf Basis von Faktoren wie Gerätekonformität, Standort oder Netzwerk zu steuern. So können Sie festlegen, unter welchen Bedingungen welche Zugriffsrechte gelten.
• Nutzerfreundlichkeit einplanen:MFA wird nur dann konsequent genutzt, wenn Mitarbeitende sie im Alltag nicht als Hindernis wahrnehmen. Einmalcodes per App, biometrische Freigabe oder Push-Benachrichtigungen sind deutlich komfortabler als umständliche Hardware-Token und reichen für die meisten Unternehmen und Abteilungen aus.
• Ausnahmeregelungen begrenzen:Ausnahmen für bestimmte Geräte oder Nutzergruppen wirken praktisch, können aber schnell zu Problemen beim Schutz werden. Werden Ausnahmen zugelassen, sollte das bewusst passieren und dokumentiert werden.
• Schulung der Teams:Auch die beste technische Lösung nützt wenig, wenn Mitarbeitende nicht wissen, wie sie damit umgehen sollen. Eine kurze Einführung beim Rollout spart später viele Rückfragen.

Fazit: Multi Faktor Authentifizierung als wichtiger Sicherheitsbaustein im MDM

MDM und Multi Faktor Authentifizierung lösen unterschiedliche Probleme und ergänzen sich deshalb gut. MDM sorgt dafür, dass Geräte sicher verwaltet und im Ernstfall kontrolliert werden können. MFA stellt sicher, dass nur die richtigen Personen Zugang erhalten. Zusammen arbeiten sie gegen die häufigsten Ursachen für Cyberangriffe. Wichtig ist, MFA von Beginn an in Prozesse zu integrieren, Mitarbeitende zu schulen und die Nutzerfreundlichkeit im Blick zu halten. Benötigen Sie Unterstützung in der Einführung von MDM oder möchten sich zum Thema Multi Faktor Authentifizierung beraten lassen, nehmen Sie gerne Kontakt zu uns auf.

Die neue Automation Anywhere Version 40 (Stand: 30.03.2026) markiert einen weiteren bedeutsamen Fortschritt in der Welt der Automatisierung. Mit den aktuellen Erneuerungen entwickelt sich die Plattform einen Schritt weiter in Richtung autonomen, agentischen Prozessautomatisierung, der Agentic Process Automation (APA).

Im Fokus der neuen Version stehen zentrale Themen wie die AI Governance, UI Agents, Agent Interoperability, AI Agent Studio, Automator AI und Co-Pilot sowie der Automation Workspace. Während vorherige Versionen sich insbesondere auf AI Agents, Generative Automation und agentische Prozesse zentrierten, legt diese Version den Schwerpunkt wesentlich auf Skalierbarkeit, Kontrolle und den Einsatz produktiver Unternehmensabläufe. Ziel ist es nicht nur leistungsstärker, sondern auch effizienter, transparenter und einfacher die Gestaltung der Automatisierung zu gewährleisten. Ein besonderes Highlight der neuen Version stellt die Funktion des Kopierens von Projekten dar. Diese Funktion erlaubt es, Änderungen und neue Ansätze separat vorzunehmen und diese auszutesten, ohne dabei das ursprüngliche Projekt zu beeinflussen.

AI Governance

Die AI Governance erfüllt die notwendige Kontrollfunktion eines Automatisierungsablaufs und stellt damit sicher, dass die AI Agents einen korrekten und idealen Handlungsablauf gewährleisten. Eine zentrale Erweiterung stellt die Einführung der AI Evaluation dar. Diese ermöglichen sowohl manuelle als auch automatische Bewertungen sowie der Erstellung von Leistungsanalysen, um die Qualität gezielt zu überprüfen. Damit wird die Struktur der AI Agents insgesamt nachvollziehbarer sowie kontrollierbarer. Das Bewertungssystem ist lizenzgebunden und dabei an AI Credits gekoppelt.

Ergänzend dazu protokollieren die Agent Logs nun die einzelnen Handlungsschritte. Auch hier besteht das Ziel der Nachvollziehbarkeit und bei Bedarf entsprechende Maßnahmen zur individuellen Optimierung zu ergreifen. Zusammen mit der Funktion der Observability, die eine übersichtliche Darstellung ermöglicht, entsteht eine verbesserte Transparenz und Steuerbarkeit von AI-basierten Automatisierungen.

UI Agents

Die Weiterentwicklung der UI Agents stellt eines der zentralen Highlights der neuen Version 40 dar und erzielt eine erhebliche Zeitersparnis. Zuvor war es den UI Agents nur selektorbasiert möglich, Anweisungen auf Benutzeroberflächen auszuführen. Änderungen an den Oberflächen führten bisher zu erhöhten Anpassungsaufwänden. Mit der neuen Version wurde dies optimiert: Die KI-Systeme können nun auf Basis natürlicher Sprache trotz wechselnder oder angepasster Benutzeroberfläche zugeteilte Aufgaben weiterhin verstehen und gewissenhaft durch dynamische Anpassung ausführen.

Agent Interoperability: Systemübergreifendes Arbeiten der AI Agents

Mit der Erneuerung im Bereich der Agent Interoperability lassen sich erstmals Systeme und AI Agents von Drittanbietern im Unternehmensprozess der Automatisierung sicher integrieren. Jegliche Handlungsausführungen wie das Aufrufen von Task Bots, Prozessen und API Tasks werden vollständig unterstützt.

Die Unterstützung des Model Context Protocol (MCP) gewährleistet ein einheitliches Verständnis zwischen verschiedenen KI-Systemen und -Agents. Damit schafft diese Einführung in Automation Anywhere einen vereinfachten Integrationsprozess ohne weitere relevante Feautures aufgeben zu müssen. Konkret verbessert sich damit der externe KI-Workflow, außerdem verhilft es zu erweiterten Variablenverwaltungen ohne Blockierungen mit klareren Einsichten und einer einfacheren Anwendung ohne Zwischenschritte.

AI Agent Studio

Um verbesserte Reasoning-Funktionen und robustere generative Automatisierungsfunktionen bereitzustellen, lassen sich nun in der neusten Version verschiedene Arten der GenAI-Modelle flexibel anbinden, die dadurch ein besseres Denken der Agenten erzielen. Zugelassen und unterstützt werden zum Beispiel die Modelle Amazon Bedrock oder Google Vertex AI. In der Praxis bedeutet das zum Beispiel: E-Mails werden nicht einfach zusammengefasst, sondern im weiteren Schritt der Automatisierung analysiert und darauf basierend werden weitere Handlungsschritte eingeleitet. Damit entwickelt sich das AI Agent Studio insgesamt zu einer deutlich leistungsfähigeren und kompetenteren Plattform für moderne Automatisierung.

Automator AI und Co-Pilot

Die Automator AI ist ebenfalls mit dieser Version einfacher als je zuvor zu nutzen. Eingaben können nun in einfacher Sprache erfolgen und fördern somit eine schnellere sowie einfachere Erstellung. Gleichzeitig bleiben weiterhin alle benötigten Sicherheitsmaßnahmen enthalten.

Auch die Funktionen des Co-Piloten wurden hinsichtlich ihrer Effizienz erweitert. Dieser arbeitet nun schneller, einfacher und mit weniger technischer Hürden. Aber was heißt das konkret? Die AI-Agent-Erkennung, -Suche sowie -Bereitstellung wird ab Version 40 in Automation Anywhere unterstützt. Damit können die AI-Agents gleichermaßen optimiert interagieren. Darüberhinaus wurde die Benutzeroberfläche des Co-Pilotens angepasst sowie das Unterstützen von benutzeridentifizierten Paketen veranlasst. Mit diesen Erneuerungen unterstützt die neue Version auch hier eine effizientere Entwicklung der Automatisierung.

Automation Workspace

Der Hauptbereich der Automation Anywhere unterlag ebenfalls Erneuerungen und Verbesserungen, darunter die neue Connector-Building mit OAuth-Unterstützung, eine bessere Verwaltung, direkte Dateizugriffslinks im Process Editor sowie eine neue Paketübersicht im Process Composer. Eine besondere sichtbare Änderung stellt die Umbenennung des Bots Stores in Agentic App Store dar. Diese Umbenennung unterstreicht den Wandel der Plattform von der klassischen Bot-Automation hin zu agentischer Automatisierung.

Fazit zu Automation Anywhere V.40

Die neue Automation Anywhere Version V.40 zeigt, dass sich die Plattform stetig weiterentwickelt und den Fortschritt einer agentischen Prozessautomatisierung anstrebt. Die Einführung der aufgelisteten Funktionen verdeutlichen das Ziel der weiterhin angestrebten Effizienz in der Arbeitsweise, der erhöhten Transparenz der einzelnen Arbeitsschritte sowie der Vereinfachung in der Nutzung und Anwendung durch vereinfachte Sprache oder dem Kopieren der Projekte. Für Unternehmen bedeutet diese neue Version in erster Linie: mehr Steuerung, erhöhte Nachvollziehbarkeit und die Möglichkeit der Skalierungen. Der Fortschritt der Plattform ist stark zu spüren und lässt neugierig auf die nächsten Erneuerungen warten.

Mit dem STACKIT Managed VPN stellt STACKIT einen Managed‑Service für sichere Site‑to‑Site‑VPN‑Verbindungen bereit. Der Dienst befindet sich aktuell in der Beta‑Phase, ist kostenlos nutzbar, jedoch derzeit ausschließlich per API verfügbar. Eine grafische Oberfläche existiert aktuell noch nicht.

Die Cloud verspricht Flexibilität, schnelle Skalierung und moderne Infrastruktur. Viele Unternehmen erleben jedoch nach den ersten Monaten eine unangenehme Überraschung: Die monatliche Rechnung wächst schneller als der Mehrwert. Dabei liegt das Problem selten an der Cloud selbst. Vielmehr liegt es darin, wie sie genutzt wird. Möchten Unternehmen ihre Cloud-Kosten nachhaltig im Griff halten, brauchen sie mehr als nachträgliche Sparmaßnahmen. Wir zeigen in diesem Artikel, wie Unternehmen die Kostenoptimierung in der Cloud von der Wahl des Abrechnungsmodells bis hin zur Berücksichtigung von Kosten schon im Cloud Platform Engineering erfolgreich umsetzen können.

Was die Cloud-Abrechnung so komplex macht und wie Kostenoptimierung gelingt

Wer zum ersten Mal eine Cloud-Rechnung aufschlüsselt, steht oft vor einer langen Liste an Posten: Rechenleistung, Speicher, Datentransfer, Support-Tarife. Der Grund für diese Komplexität liegt im Grundsatz vieler Cloud-Modelle: Anders als klassische On Premises IT-Infrastruktur wird Cloud-Nutzung in der Regel nicht pauschal abgerechnet, sondern verbrauchsabhängig. Verstehen Unternehmen, welches Modell wann sinnvoll ist, ist das ein Kostenvorteil. Andernfalls kann es jedoch schnell zur Kostenfalle werden. Die meisten Cloud Provider arbeiten mit ähnlichen Abrechnungsformen, die sich je nach Anbieter in Name und Details unterscheiden können.

• Nutzungsbasierte Abrechnung (z. B. Pay-as-you-go): Unternehmen zahlen ohne Vorabverpflichtung genau das, was sie nutzen. Dieses Modell ist besonders für unvorhersehbaren oder schwankenden Bedarf sinnvoll, ist aber langfristig teuer, wenn Ressourcen dauerhaft laufen.
• Reservierte Kapazitäten (z. B. Reserved Instances oder Savings Plans): Reservieren Unternehmen Kapazitäten für einen festen Zeitraum, meist ein oder drei Jahre, erhalten sie Rabatte vom Provider. Bei Azure beispielsweise sind Reserved Instances teilweise an bestimmte Ressourcentypen gebunden, Savings Plans sind in dem Bereich meist etwas flexibler. Dieses Modell eignet sich vor allem für stabile und planbare Workloads.
• Restkapazitäten (z. B. Spot Instances): Freie Kapazitäten beim Anbieter werden zu stark reduzierten Preisen angeboten. Dafür gibt es allerdings keine Verfügbarkeitsgarantie. Für nicht-kritische oder unterbrechbare Aufgaben ist das eine günstige Option.

Zusätzlich dazu bieten viele Anbieter weitere Einsparmöglichkeiten, die sich je nach Situation lohnen können:

• Lizenznutzung (z. B. Azure Hybrid Benefit): Verfügen Unternehmen über bestehende Software-Lizenzen, können sie sie in der Cloud im Bring-Your-Own-Licence-Modell weiternutzen und so ihre Lizenzkosten reduzieren.
• Spezielle Entwicklungs- und Testumgebungen: Viele Anbieter stellen günstigere Modelle ohne SLA speziell für Entwicklungs- und Testzwecke bereit. Diese sind nicht für den Produktivbetrieb geeignet, dafür aber deutlich kostengünstiger, weil sie keine garantierten Verfügbarkeitszusagen beinhalten.

Die Herausforderung für Unternehmen liegt vor allem darin, die Abrechnungsformen sinnvoll miteinander zu kombinieren. Viele Unternehmen starten mit nutzungsbasierter Abrechnung und vergessen, die Abrechnungsform später anzupassen, obwohl ein Großteil der Workloads mittlerweile stabil und planbar wäre. Mit diesem Verständnis beginnt die eigentliche Kostenoptimierung in der Cloud.

Verschiedene Wege für optimierte Cloud-Kosten

Die Kostenoptimierung der Cloud-Umgebung ist ein kontinuierlicher Prozess. Zwei Faktoren sind dabei besonders wichtig: Automatisierung und Kostentransparenz. Beide sollten unbedingt schon beim Aufbau der Cloud-Infrastruktur berücksichtigt werden, um zuverlässige Kostenoptimierung zu ermöglichen.

Kosten schon im Cloud Platform Engineering berücksichtigen

Beim Cloud Platform Engineering geht es um den strukturierten Aufbau einer internen Plattform, auf der Entwicklungsteams ihre Anwendungen betreiben. Dabei geht es besonders auch darum, wie Ressourcen von Grund auf verantwortungsvoll genutzt werden können. Schon im Aufbau der Cloud-Plattform hat das Team demnach die Aufgabe, entsprechende Maßnahmen nach Möglichkeit in die Plattform zu integrieren, zum Beispiel:

• Kostengrenzen
• automatische Abschaltregeln
• Reporting-Strukturen

Neue Projekte starten so von Beginn an in einer Umgebung, die kosteneffizientes Verhalten unterstützt, etwa durch vordefinierte Budgetgrenzen pro Team oder automatische Warnmeldungen bei ungewöhnlich hohem Verbrauch.

Ressourcen automatisch steuern

Einer der häufigsten Kostentreiber in der Cloud ist denkbar simpel: Systeme laufen, obwohl sie gerade niemand braucht, Testumgebungen bleiben am Wochenende aktiv, Rechenleistung läuft nachts auf vollen Touren, obwohl keine Anfragen eingehen.

Durch automatisiertes Skalieren können Cloud-Teams dieses Problem lösen, indem Kapazitäten dynamisch an den tatsächlichen Bedarf angepasst werden: nach oben bei hoher Last, nach unten oder ganz aus bei Leerlauf. Was früher manuelle Eingriffe erfordert hätte, lässt sich heute regelbasiert steuern. Unternehmen können selbst definieren, wann eine Umgebung läuft und wann nicht und haben so einen starken Einfluss auf ihre Cloud-Kosten.

Wichtig: Eine automatische Abschaltung der Ressourcen ist allerdings nicht in jeder Umgebung möglich, etwa wenn Systeme rund um die Uhr verfügbar sein müssen. In solchen Fällen ist zuverlässiges Alerting umso wichtiger: Warnmeldungen bei ungewöhnlich hohem Verbrauch oder ungeplanten Laufzeiten helfen Unternehmen, teure Ressourcen zu erkennen, bevor sie die nächste Rechnung in die Höhe treiben.

Transparenz zur Voraussetzung machen

Automatisierung funktioniert nur, wenn überhaupt sichtbar ist, welche Ressourcen und Prozesse wann laufen. Deshalb ist Kosten-Reporting ein so wichtiger Faktor. Dashboards und Auswertungen machen sichtbar, welche Teams, Projekte oder Anwendungen wie viel verbrauchen und wo es noch Optimierungspotenzial gibt. Viele Cloud-Anbieter stellen dafür eigene Tools bereit wie etwa Azue Advisor, die konkrete Einsparpotenziale aufzeigen. Sie identifizieren beispielsweise überdimensionierte Ressourcen und schlagen eine bedarfsgerechte Anpassung vor.

Im Rahmen von FinOps, einem Framework, das Finanz-, Entwicklungs- und Betriebsteams bei Cloud-Kosten zusammenbringt, ist Transparenz die Grundlage für alle weiteren Entscheidungen. Indem Teams Kosten sichtbar machen, ermöglichen sie Verantwortlichkeit: Sie sehen, was ihre Entscheidungen kosten und können entsprechend gegensteuern. Wichtig ist dabei außerdem, frühzeitig zu klären, wie lange Kostendaten aufbewahrt werden sollen. Manche Anbieter speichern historische Kostendaten nur für einen begrenzten Zeitraum. Sollen langfristige Auswertungen oder Vergleiche angestellt werden, sollten die Daten regelmäßig exportiert und extern gesichert werden.

Cloud-Kostenoptimierung in der Praxis: So kann sie umgesetzt werden

Wie kann Kostenoptimierung konkret aussehen, wenn sie schon im Plattformaufbau berücksichtigt wird? Potenzial liegt oft in verschiedenen Bereichen.

• Budgetgrenzen direkt in die Plattform einbauen: Statt Kosten nachträglich zu analysieren, können Cloud-Teams von Anfang an Budgetgrenzen pro Team oder Projekt definieren. Überschreitet ein Team seinen Rahmen, greift eine automatische Warnung oder die Plattform schränkt die weitere Ressourcennutzung ein. So entsteht ein Kostenbewusstsein durch klare Strukturen.
• Self-Service mit eingebauten Leitplanken: Viele Cloud-Plattformen ermöglichen es Teams, Ressourcen eigenständig anzufordern, ohne jedes Mal die IT-Abteilung anfragen zu müssen. Damit das nicht zu unkontrolliertem Wachstum führt, können Kostenregeln direkt in diese Self-Service-Prozesse integriert werden: Legt jemand eine neue Umgebung an, wählt er oder sie aus vordefinierten, kostenbewussten Konfigurationen. Teure Ausreißer entstehen so gar nicht erst.
• Automatische Steuerung für Umgebungen: Eine gut aufgebaute Plattform weiß, wann eine Umgebung gebraucht wird und wann nicht. Entwicklungs- und Testumgebungen können so konfiguriert werden, dass sie außerhalb definierter Zeiten automatisch heruntergefahren werden. Das passiert nicht durch manuelle Eingriffe einzelner Teams, sondern ist stattdessen fester Bestandteil der Plattformlogik.
• Kostentransparenz als Plattformfeature: Reporting und Kosten-Dashboards sind im Cloud Platform Engineering zentraler Bestandteil. Teams erhalten standardmäßig Einblick in ihren eigenen Verbrauch, aufgeschlüsselt nach Projekten, Umgebungen oder Zeiträumen. So kann eine früher aufwändige Finanzaufgabe sich zur gemeinsamen Verantwortung aller Beteiligten entwickeln.

Fazit: Nachhaltige Kostenoptimierung in der Cloud von Beginn an einbauen

Kostenoptimierung in der Cloud ist kein einmaliges Projekt, das nach einigen Wochen oder Monaten abgeschlossen ist. Vielmehr geht es darum, Kostenbewusstsein von Anfang an als Teil der Plattform zu verstehen: eingebaut in Prozesse, Automatisierungen und Reporting-Strukturen. Das FinOps Framework liefert den organisatorischen Rahmen, Cloud Platform Engineering schafft das technische Fundament. Bringen Unternehmen beides zusammen, schaffen sie eine Infrastruktur, die mit neuen Anforderungen wachsen kann, effizient und transparent läuft und deren Kosten dauerhaft unter Kontrolle bleiben.

Viele Unternehmen starten ihren Weg in die Cloud mit einem Wunsch: schnelle Migration, günstige Umsetzung und unkomplizierter Einstieg. Alle Workloads sollen einfach in die Cloud übertragen werden und schon ist die Migration abgeschlossen. Danach folgt dann jedoch oft die Ernüchterung: Die Kosten steigen, die Systeme laufen langsamer als erwartet und wirklich flexibel ist das neue Modell auch nicht. Hintergrund dafür ist oft die Migration nach dem Lift & Shift Ansatz. Was es damit auf sich hat, wo der Ansatz an seine Grenzen kommt und wie eine durchdachtere Strategie aussehen kann, erklären wir in diesem Artikel.

Was ist Lift & Shift und warum setzen so viele Unternehmen darauf?

Die Lift & Shift Methode beschreibt eine Cloud-Migrationsstrategie, bei der bestehende IT-Systeme ohne größere Änderungen aus der On Premises Umgebung in die Cloud übertragen werden. Das System bleibt wie es ist und wird einfach verschoben. Damit ist dieser Ansatz der unkomplizierteste und schnellste in der Cloud-Migration. In einigen Szenarien ist es durchaus sinnvoll, Workloads mit dem Lift & Shift Ansatz zu migrieren:

• Workloads ähneln den Cloud-nativen Alternativen.
• Ein System läuft nur noch kurze Zeit und die Investition in eine Modernisierung würde sich nicht rentieren.
• Ein Rechenzentrum wird abgeschaltet und es bleibt wenig Zeit für eine Modernisierung der Workloads.
• Das Unternehmen möchte erste Erfahrungen mit der Cloud sammeln, ohne sofort viel umzubauen.

Vor allem als temporäre Lösung oder bei sehr simplen Workloads kann Lift & Shift sinnvoll sein. Als dauerhafter Zustand entstehen dadurch jedoch fast immer Probleme. Die Cloud ist kein eins zu eins Ersatz für ein Rechenzentrum, sondern zeigt ihre Vorteile dann, wenn Cloud-native Ansätze zum Einsatz kommen.

Cloud-Migration ohne Strategie: diese Probleme können entstehen

Verschieben Unternehmen ihre IT-Infrastruktur unverändert in die Cloud, verschieben sie auch alle Probleme mit. In der Cloud können diese Probleme jedoch deutlich teurer werden als noch zuvor in der On Premises Umgebung.

Höhere Betriebskosten als erwartet

Im eigenen Rechenzentrum läuft der Server rund um die Uhr, die Kosten dafür sind in der Regel fix. In der Cloud sind die Kostenmodelle meist komplexer: Oft handelt es sich um Pay-as-you-go-Modelle oder monatliche Abonnements, deren Kosten von der tatsächlichen Nutzung abhängen. Systeme, die nicht auf die Cloud ausgelegt sind, lassen sich jedoch nicht abhängig von der Nutzung skalieren und laufen dauerhaft auf Hochtouren. Daraus ergibt sich am Monatsende eine höhere Rechnung als die vorherige Servermiete.

Alte Strukturen in moderner Umgebung

Cloud-Umgebungen bieten zahlreiche Möglichkeiten: automatisches Hoch- und Runterskalieren bei Lastspitzen, integrierte Sicherheitsfunktionen und einfaches Testen neuer Features. Übertragen Unternehmen ihre Infrastruktur per Lift & Shift jedoch unverändert in die Cloud, entfallen häufig einige der zentralen Vorteile:

• Anwendungen reagieren bei hoher Last nicht flexibel, weil sie dafür nie gebaut wurden.
• Sicherheitslücken und mögliche Schwachstellen werden aus dem alten Rechenzentrum mit migriert und erhöhen das Risiko in der Cloud.
• Kostenvorteile der Cloud entfallen, da Anwendungen mehr Ressourcen verbrauchen als native Infrastruktur.

Zwar erscheint der Lift & Shift Ansatz anfangs oft günstiger als Neuentwicklungen oder Anpassungen, der Weg sorgt allerdings häufig für höheren Kosten und dafür, dass Vorteile der Cloud nicht ausgeschöpft werden können.

Vom Lift & Shift Ansatz zur nachhaltigen Cloud-Strategie

Eine funktionierende Cloud-Migrationsstrategie beginnt mit einer Frage: Was soll die Cloud für das Unternehmen leisten? Je nach Antwort unterscheiden sich die nächsten Schritte stark.

Drei Wege in die Cloud

In der Praxis kommen meist verschiedene Wege zum Einsatz, abhängig vom jeweiligen Workload und den Zielen. Diese drei finden besonders häufig Anwendung.

• Lift & Shift: Das System wandert unverändert in die Cloud. Dieser Weg ist der schnellste und günstigste, bringt aber die thematisierten Einschränkungen mit sich.
• Replatforming: Das System wird leicht modernisiert, um grundlegende Cloud-Vorteile nutzen zu können, zum Beispiel automatische Datensicherung oder bessere Skalierung.
• Refactoring: Die Anwendung wird grundlegend überarbeitet oder neu entwickelt, damit sie die Vorteile der Cloud vollständig ausnutzen kann.

Welcher Weg der richtige ist, hängt vom jeweiligen System, dem Zeitrahmen und dem Budget ab. Nicht jede Anwendung muss vollständig neu gebaut werden, aber Unternehmen sollten jede Anwendung bewusst einordnen.

Was eine gute Cloud-Strategie ausmacht

Unabhängig vom gewählten Migrationspfad braucht es einige Grundlagen, damit die Cloud langfristig Vorteile schafft:

• Klare Verantwortlichkeiten: Wer darf was in der Cloud tun, wer hat welche Zugriffsrechte? Ohne Regeln entstehen schnell Sicherheitslücken und zusätzliche Kosten.
• Kostentransparenz: Cloud-Kosten sind variabel. Frameworks wie FinOps sind sinnvoll, um die Kosten im Blick zu halten, sie zu steuern und zu optimieren.
• Souveränität: Achten Unternehmen von Anfang an darauf, souveräne Lösungen einzusetzen, bleiben sie unabhängiger von einzelnen Anbietern und Veränderungen in Leistungen oder geopolitischen Gegebenheiten.

Fazit: Lift & Shift ist Start und Ergänzung, keine vollständige Strategie

Lift & Shift ist grundsätzlich kein falscher Ansatz, sondern ein guter Weg für simple Anwendungen oder den ersten Start in der Cloud. Grundsätzlich gilt aber: Verschieben Unternehmen Systeme einfach in die Cloud, ohne ihre Eignung zu prüfen und sie anzupassen, entgehen ihnen die Vorteile nativer Cloud-Anwendungen und die Kosten können in die Höhe schnellen. Für eine bedachte Migration sollten Systeme deshalb immer bewusst eingeordnet, klare Ziele definiert und Schritt für Schritt modernisiert werden. Dieser Weg braucht zwar Planung, sorgt aber am Ende für eine saubere Cloud-Infrastruktur, in der die Vorteile voll ausgenutzt werden können.

2026 verschärft Microsoft die Standards für Kerberos in Active Directory: Die veraltete RC4-Verschlüsselung wird schrittweise deaktiviert. Ziel ist es, bekannte Risiken zu reduzieren und die Sicherheitslücke CVE-2026-20833 zu adressieren. Mit den Sicherheitsupdates des ersten Halbjahres im Jahr 2026 wird das Standardverhalten am Key Distribution Center (KDC) phasenweise angepasst. Ohne saubere Vorbereitung kann das zu Authentifizierungsfehlern und Zugriffsproblemen führen.

Der Artikel gibt Ihnen einen kompakten Überblick und zeigt, wie Sie Ihr Unternehmen rechtzeitig dafür prüfen und vorbereiten können.

Was wird sich bei Kerberos ändern?

Um die Änderung einordnen zu können, lohnt sich ein Blick ins Jahr 2022: Damals hat Microsoft ein grundlegendes Standardverhalten definiert. Microsoft steuert die zulässigen Kerberos-Verschlüsselungsalgorithmen über zwei Registry-Einträge: Der eine steuert das domänenweite Standardverhalten (DefaultDomainSupportedEncTypes) und der andere (msds-SupportedEncryptionTypes) steuert das Verhalten dezidiert für Computer und Serverdienste. Mit den Updates aus 2022 und 2026 ändert sich jeweils der implizite Standardwert von DefaultDomainSupportedEncTypes. Wenn man einen anderen Wert möchte, muss man ihn explizit setzen. Der KDC orientiert sich immer dann an DefaultDomainSupportedEncTypes, wenn msds-SupportedEncryptionTypes entweder nicht gesetzt oder 0 entspricht. Beide Werte bestimmen den genutzten Verschlüsselungsalgorithmus für die Kerberos Anmeldung. Das Key Distribution Center ist die Steuerzentrale für das Active Directory und übernimmt die Rolle eines Türstehers, der den Einlass kontrolliert.

Vereinfacht gesagt: vor 2022 akzeptierte der KDC entweder RC4 oder AES – je nachdem, was angefragt wurde. Seit 2022 gilt implizit ein Default von 0x27. Ab 2026 wird der Standardwert auf 0x18 gesetzt.

Supported encryption type

Wird der Standard auf 0x18 gesetzt, können ältere Systeme oder alte Konfiguration scheitern, wenn Sie auf RC4 angewiesen sind. Der KDC erlaubt nur Algorithmen, die effektiv erlaubt sind.

Supported Windows versions

Die automatische Umsetzung wird über den im Januar 2026 eingeführten Wert RC4DefaultDisablementPhase gesteuert. Je nachdem, wie dieser eingestellt ist, werden RC4 Versuche zugelassen, blockiert oder protokolliert.
Bei aktiviertem RC4DefaultDisablementPhase wird AES zum Standard und setzt damit DefaultDomainSupportedEncTypes implizit auf den Wert 0x18. Bei einem aktivierten Audit Wert werden Meldungen generiert, die die fehlende Unterstützung kenntlich machen.
Eine vorzeitige Überprüfung Ihrer Umgebung ist daher dringendst zu empfehlen. Nach Abschluss der Umstellung wird RC4 für Kerberos in einer Active Directory Umgebung deaktiviert und daher erstmal nicht mehr nutzbar sein.

Microsoft unterteilt die Umstellung in drei Phasen:

Visualisierung der drei Update Phasen für Kerberos Änderung

Phase 1 (Audit Phase)

Die erste Phase ist die Audit Phase. In dieser Phase werden zusätzliche Telemetriedaten und Events eingeführt, um Probleme zu identifizieren, bevor die Durchsetzung greift. Ziel ist es, die RC4-Abhängigkeiten sichtbar zu machen und erforderliche Anpassungen rechtzeitig umzusetzen. Optional kann die Deaktivierung von RC4 bereits in dieser Phase manuell vorgezogen werden. Eine vorzeitige Deaktivierung sollte dennoch unbedingt vorab geprüft werden, da sie ansonsten zu Authentifizierungsabbrüchen und damit zu Dienstunterbrechungen führen kann. Für die Auswertung der Events bietet sich eine zentrale Stelle zur Protokollanalyse an (bspw. über Windows Eventlog Forwarding oder SIEM). Die Event ID’s 201-209, 4768-4769 sind zu prüfen.

Phase 2 (Enforcement with manual rollback)

In der zweiten Phase wird der Standard von RC4 auf AES automatisch gesetzt. Diese Umstellung kann noch rückgängig gemacht werden. Diese Phase ist die letzte Phase, in der Administratoren noch die Flexibilität haben, RC4DefaultDisablementPhase zurückzudrehen. Bevor es zur dritten Phase geht, sollte sichergestellt werden, dass kein Gerät mehr auf RC4 angewiesen ist, da ansonsten die Authentifizierung fehlschlägt.

Phase 3 (Enforcement)

Die dritte Phase ist die letzte Phase. In dieser Phase gibt es kein einfaches Entrinnen mehr. Die Durchsetzung greift ein und deaktiviert RC4. Eine Reaktivierung über RC4DefaultDisablementPhase ist dann nicht mehr möglich. Wenn Sie diese Phase überstanden haben und Ihre Serverdienste weiterhin laufen, haben Sie gute Arbeit geleistet.

Hintergrund: Kerberos AES und RC4

Beides sind weitverbreitete Verschlüsselungsalgorithmen. RC4 war lange Bestandteil von vielen Softwares, da es im Vergleich zu AES effizienter und eine größere Abwärtskompatibilität gewährleistet.

Der Rivest Cipher 4 (RC4) Verschlüsselungsalgorithmus ist kryptografisch unsicher und kann durch sogenannte „Roasting Attacken“ wie dem Kerberoasting ausgenutzt werden. Hierbei fordert ein Angreifer ein Kerberos Ticket an und „brute forced“ offline das Passwort des Authentifizierungstickets. Gelingt es, das Passwort zu knacken, sind u.a. weitergehende Ticket-Manipulation wie dem Silver Ticket möglich, um sich Zugriff auf Dienste zu verschaffen.

Muss ich bei Kerberos handeln?

Sie müssen handeln, wenn Sie eine Active Directory oder Hybrid-Umgebung nutzen. Sobald sich ein Legacy Gerät im Netzwerk befindet und das Update eingespielt wird, schlägt die Kerberos Authentifizierung fehl und es kommt zu einem Fallback zu NTLM. Bei NTLM gibt es ganz andere Angriffsvektoren, die zu beheben sind. Wenn Sie NTLM bereits erfolgreich unterbunden haben, schlägt die Anmeldung grundlegend fehl. Ggf. müssen Sie regulatorische Anforderungen (wie NIS2, DORA, ISO/IEC 27001 etc.) nachkommen und wollen daher beim Audit glänzen. Das können Sie nur, wenn Sie RC4 deaktivieren und AES die Bühne geben.

Was sollte ich jetzt machen?

Um obiges kurz und knapp zusammenzufassen, hier eine Handlungsempfehlung zu der bevorstehenden technischen Umstellung seitens Microsofts. Es ist wichtig, dass Sie sich unbedingt vorab ein Bild Ihrer Umgebung machen. Die Umstellung findet automatisch statt und kann im schlimmsten Fall den Zugriff auf Serverdienste einschränken.

1. Prüfen, ob Domain Function Level auf mind. Windows Server 2008 ist. Wenn drunter → unbedingt handeln.
2. Prüfen, ob Legacy Systeme benutzt werden. Unter Legacy Systemen zählen Windows Server 2003 / Windows XP und älter → unbedingt handeln.
3. Prüfen, ob Service Accounts (normale User & gMSA) genutzt werden → normale User durch gMSA ersetzen. RC4 bei gMSA ausschalten.
4. Jeder Domain Controller ist auf dem gleichen Windows Update Stand von Januar 2026.
5. Auf den Domain Controller sind die Events ID 201-209 im SYSTEM LOG zu prüfen.

Bei Fragen oder Anregen zum Thema Active Directory oder Kerberos Authentfizierung stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

SAP hat angekündigt, SAP Build Apps als eigenständiges Standalone‑Produkt zum 30. September 2026 einzustellen.

Für viele Unternehmen ist das mehr als eine übliche Produktabkündigung. Bestehende Anwendungen lassen sich nicht einfach „umstellen“. Sie müssen neu gedacht und in vielen Fällen manuell neu aufgebaut werden.

Was genau wird eingestellt und warum ist der Bruch so groß?

Cloud-Umgebungen wachsen oft schneller als Teams sie manuell verwalten können. Zwar sind sie in kleinen Infrastrukturen noch überschaubar, können allerdings schnell zum Problem werden, sobald die Infrastruktur komplexer wird. Änderungen dauern zu lange, Fehler können sich einschleichen und Entwickler warten auf Ressourcen, um weiterarbeiten zu können. Um sowohl Entwicklern als auch dem Platform-Team die Arbeit zu erleichtern, können verschiedene Prozesse automatisiert werden. In diesem Artikel geben wir einen Überblick, wie Automatisierung im Cloud Platform Engineering aussehen kann und welche Vorteile sie Unternehmen bringt.

Warum manuelle Prozesse im Cloud Platform Engineering an ihre Grenzen stoßen

Ohne Automatisierung ist Cloud Platform Engineering komplex: Jede Entwicklungsumgebung muss manuell aufgesetzt werden. Dadurch können sich Releases verzögern, Umgebungen inkonsistent sein und eine aufwendige Koordination ist nötig. Auch das Fehlerpotenzial ist entsprechend höher: Je mehr manuelle Eingriffe ein Prozess erfordert, desto wahrscheinlicher wird ein Versehen und desto schwerer lässt sich das Problem im Nachhinein nachvollziehen.

In der Praxis bedeutet das: Tickets stapeln sich, Teams verschieben Deployments und das Platform-Team wird zum Flaschenhals, weniger zum Enabler. Gerade beim Aufsetzen der Umgebungen gibt es jedoch zahlreiche wiederkehrende und regelbasierte Aufgaben, die sich an Anforderungen und Compliance-Richtlinien des Unternehmens orientieren. Um das Platform-Team zu entlasten und verlässlich und schnell Umgebungen aufsetzen zu können, kann Automatisierung auf verschiedenen Wegen umgesetzt werden.

3 wichtige Säulen der Automatisierung im Cloud Platform Engineering

Im Cloud Platform Engineering gibt es nicht die eine Automatisierung oder das eine Automatisierungs-Tool. Vielmehr können Unternehmen in mehreren Bereichen Tools und Konzepte einsetzen, die sich gegenseitig ergänzen. Dabei kann es beispielsweise um die Bereitstellung der Infrastruktur gehen, die eigenständige Arbeit der Entwickler oder den permanenten Blick auf den Betrieb.

CI/CD-Pipelines für die Cloud-Infrastruktur

Bei CI/CD-Pipelines handelt es sich um einen automatisierten Prozess, der Änderungen am Code kontinuierlich integriert (Continuous Integration), testet und bereitstellt (Continuous Deployment). Das Prinzip dahinter, Infrastructure as Code, sorgt dafür, dass Umgebungen nicht mehr per Hand konfiguriert werden müssen. Stattdessen entstehen sie durch reproduzierbare, beschreibbare Vorlagen.

In einer automatisierten Pipeline durchläuft jede Änderung an der Infrastruktur mehrere Schritte, bevor sie in den Release geht: automatische Validierung, Sicherheitschecks und Testläufe. Fehler werden so früh erkannt und nicht erst dann, wenn sie bereits Auswirkungen haben. So entstehen konsistentere Umgebungen, weniger manuelle Eingriffe und deutlich kürzere Durchlaufzeiten bei Änderungen.

Die wichtigsten Vorteile auf einen Blick:

• Konsistenz:Jede Umgebung entsteht nach denselben Vorlagen, ohne Abweichungen oder manuelle Sonderwege.
• Früherkennung:Fehler und Sicherheitslücken werden automatisch vor dem Deployment erkannt.
• Geschwindigkeit:Änderungen an der Infrastruktur werden in Minuten ausgerollt statt in Stunden oder Tagen.

Self-Service-Portale für Entwickler

Gerade in wachsenden IT-Teams entsteht oft die gleiche Herausforderung: Entwickler müssen auf Ressourcen warten, weil jede Anfrage über das Platform-Team läuft. Mit Self-Service-Portalen können Unternehmen dieses Problem lösen, indem sie standardisierte Bausteine bereitstellen, die Entwickler eigenständig nutzen können. Dafür brauchen sie kein technisches Spezialwissen und sparen sich Wartezeiten.

Die Plattform dabei stellt sicher, dass alles, was über das Portal geschieht, den internen Standards für Sicherheit und Compliance entspricht. Entwickler arbeiten schneller und unabhängiger. Das Platform-Team wiederum gewinnt Zeit im Arbeitsalltag.

Die wichtigsten Vorteile auf einen Blick:

• Autonomie:Entwickler können Ressourcen eigenständig ohne Ticket und Wartezeit einrichten.
• Standardisierung:Alle bereitgestellten Umgebungen entsprechen automatisch den internen Sicherheits- und Compliance-Vorgaben.
• Entlastung:Das Platform-Team spart Zeit und kann sich auf andere Aufgaben konzentrieren.

Monitoring & Observability

Neben dem Rollout gibt es auch im laufenden Betrieb Möglichkeiten zur Automatisierung. Vom Monitoring bis zur automatischen Reaktion auf Probleme können Unternehmen verschiedene Automatisierungen umsetzen.

Wichtig ist vor allem der Unterschied zwischen klassischem Monitoring und moderner Observability: Monitoring zeigt auf, dass etwas nicht stimmt, Observability hingegen gibt Aufschluss darüber, warum etwas nicht stimmt. Durch automatisierte Alarme, strukturierte Protokolle und nachvollziehbare Metriken können Teams proaktiv handeln. Teilweise gibt es bereits Systeme, die bekannte Probleme selbstständig korrigieren können, ohne dass ein Mensch eingreifen muss.

Die wichtigsten Vorteile auf einen Blick:

• Proaktivität:Probleme werden erkannt und gemeldet, bevor sie den Betrieb beeinflussen.
• Nachvollziehbarkeit: Protokolle und Metriken machen Ursachen schnell sichtbar. Die stundenlange Fehlersuche entfällt.
• Resilienz:Bekannte Störungen können ohne manuellen Eingriff automatisch behoben werden.

Vorteile durch Automatisierung im Cloud Platform Engineering

Die Wirkung von Automatisierung im Cloud Platform Engineering zeigt sich auf verschiedenen Ebenen, von der Geschwindigkeit bis zur Kosteneffizienz.

• Geschwindigkeit:Sie ist der unmittelbarste Effekt. Prozesse, die früher Stunden oder Tage gedauert haben, laufen in Minuten ab. Entwicklungsteams können schneller liefern, weil sie weniger auf externe Freigaben angewiesen sind.
• Zuverlässigkeit:Automatisierte Abläufe führen dieselben Schritte in derselben Reihenfolge aus. Dabei gibt es keine Abweichungen und nichts kann vergessen werden. So sinkt die Fehlerquote deutlich.
• Skalierbarkeit:Eine gut automatisierte Plattform wächst mit den Anforderungen mit, ohne dass der Betriebsaufwand proportional steigt. Mehr Workloads bedeuten nicht automatisch mehr manuellen Aufwand.
• Kosteneffizienz:Einerseits sparen Entwickler und Platform-Teams Zeit und damit Geld, andererseits können Unternehmen durch automatisiertes Ressourcenmanagement ungenutzte Kapazitäten erkennen, Umgebungen bedarfsgerecht anpassen und verhindern, dass Cloud-Ressourcen unnötig laufen. Auch so sinken die laufenden Kosten für den Cloud-Betrieb.

Fazit: Cloud Platform Engineering Hand in Hand mit automatisierten Prozesse

Automatisierung ist ein wichtiger und grundlegender Bestandteil im Cloud Platform Engineering. Durchdachte Automatisierungsstrukturen schaffen die Voraussetzungen für schnellere Entwicklung, höhere Zuverlässigkeit und Cloud Plattformen, die mit den Anforderungen des Unternehmens wachsen können. Zwar lohnt es sich schon von Anfang an, Automatisierung in die Cloud Infrastruktur zu integrieren, aber auch nachträglich können Tools und Konzepte integriert werden. Dabei ist es am sinnvollsten, mit den Bereichen zu beginnen, die den größten Engpass verursachen und von dort aus strukturiert weiterzubauen. So entsteht mit der Zeit eine zuverlässige Automatisierungsstruktur.