Vorab: Natürlich sollen Menschen und Firmen mit IT Geld verdienen können - es ist IMHO jedoch anzustreben, dass diese Menschen die Interessen derjenigen vertreten, deren Geld sie erhalten.

Im Falle der Netzwerkpflege wäre es aus meiner Sicht also sehr wünschenswert, wenn es echte Inhousekompetenz gibt, es also Admins gibt, die ihr eigenes Netz pflegen - und damit als vorrangingen Entscheidungsanreiz die Funktionsfähigkeit und Sicherheit *ihrer* IT haben.

2/

In dem Moment, wo ich die Administration an einen "Dienstleister" outsource habe ich eine "Bankberatersituation" erzeugt: Im besten Fall rät mir der Experte dann nämlich zu einem halbwegs guten Kompromiss aus seinen Interessen und denen, die ich habe, fast niemals wird er meine Interessen im alleinigen Fokus haben.

Die folgenden Beispiele verdeutlichen das Problem im schulischen Umfeld.

3/

Beispiel 1: In einem Gespräch mit einem Dienstleister, warum er kein Monitoring mache oder anbiete, erhalte ich als Antwort, dass das ja doof wäre, denn dann verdient er ja weniger.

Für ihn ist es "lohnender", zu warten, bis ein Problem auftritt, dann anzufahren und Stunden abzurechnen, als beispielsweise
Festplattenplatz frühzeitig zu vergrößern, um so das Problem erst gar nicht entstehen zu lassen.

4/

Das verdeutlicht die "Bankberatersituation" aus dem obigen Post: Wenn der Dienstleister seinen Job ordentlich macht, schneidet er sich entweder ins eigene Fleisch, oder muss fürs Monitoring Beträge in Rechnung stellen, die ein unverständiger Kunde nicht bezahlen wird, weil "ja alles tut".

Dieses Dilemma hat der Inhouse Admin nicht, natürlich macht der Monitoring, weil jeder Fehler vermieden werden soll.

5/

Beispiel 2: In einer Institution betreiben wir eine Nextcloud für etwa 200 Konten, die lief uncontainerisiert auf einer VM, war immer aktualisiert und hat tadellos funktioniert.

Im Zuge eines Updates (LMN6 nach LMN7) kam ein Dienstleister ins Haus, kurz darauf erhalte ich von der Institutionsleitung die Mitteilung die Nextcloud würde vom "Dienstleister" migriert, sie sei - Zitat - "nicht professionell umgesetzt".

Die Nextcloud wurde also migriert auf ein Cluster von Docker Containern.

6/

Eine erste Untersuchung zeigte: Das waren natürlich keine "offiziellen" Containerimages, sondern welche, die der Dienstleister selbst gebaut hat - keine Quellen, kein Erklärung, aber nun wars wohl "professionell".

Ich habe die Verantwortung für die Installation an dieser Stelle über die Leitung der Institution an den Dienstleister abgegeben, der "Dienstleister" macht die folgenden 2 Jahre - genau - nichts.

Keine Updates, weder der NC-Container noch des zugrunde liegenden Systems der VM.

7/

Durch die vorgeschaltete professionelle Firewall (Sophos, durch den DL für einen 5-stelligen Betrag verkauft, bezahlt aus Steuergeldern) kann sich nach drei fehlerhaften Anmeldeversuchen eines Benutzers immer 10 Minuten lang kein anderer mehr anmelden, weil die NC die IP der WAF blacklistet - das Ticket dazu wird niemals gelöst.

Nach etwa 1,5 Jahren aktualisiert die Sophos das Zertikat für die Cloud nicht mehr, aber das ist ja das Problem des Dienstleisters, also Ticket.

8/

Nach 2 Jahren ziehen wir die Cloud zurück auf eine unprofessionelle VM, seitdem läuft alles wieder.

Nach zwei Jahren und 2 Monaten erhält die Leitung eine Mail des "Dienstleisters", in der dieser darauf hinweist, dass "nach seinem Kenntnisstand" unsichere Software zum Einsatz kommt.

Um das Docker Cluster zu aktualisieren, das es schon lang nimmer gibt, veranschlagt er einen Tagessatz.

9/

Das alles ist IMHO nahe am Betrug, kaum eine Person, die nicht im IT Umfeld tätig ist, kann das erkennen.

Solche Beispiele kann ich noch viele aufzählen, es sind verschiedene Firmen betroffen, manche arbeiten ethischer, manche - wie das letzte Beispiel zeigt - weniger, und alle unterliegen dem inhärenten Interessenkonflikt: Was gut für mich ist, ist nicht unbedingt das Beste für den Kunden.

Ein eigener Admin mit echter Kompetenz verhindert solche Probleme zuverlässig.

10/