Feuerfest

Dieser Text war ursprünglich ein spontan geschriebener Beitrag auf meinem LinkedIn-Profil. Zudem wurde er in einem emotional sehr engagierten (lies: aufgeregten) Zustand verfasst. Für das Blog habe ich ihn etwas überarbeitet und vor allem die zahlreichen Tippfehler beseitigt.

Die digitale Souveränität ist derzeit in aller Munde. Als Nerd muss ich da schon etwas hochnäsig fragen: "Ach, endlich mal? Wieso nicht schon vor 20 Jahren? Spätestens 9/11 bzw. die daraus resultierenden Gesetze, spätestens aber die Snowden-Enthüllungen hätten ein Weckruf sein müssen."
Na ja, immerhin hat uns die Kanzlerin der Herzen dafür einen memwürdigen Spruch geschenkt. #Neuland

Aber zurück zum Thema. In letzter Zeit habe ich viel gehört. Viel Business-BlaBla und, pardon, viel Schwachsinn.

Entzückt war ich, als ein Kollege von einer Microsoft-Veranstaltung berichtete. Microsoft hat angekündigt, sein Geschäft in Europa nun separat zu führen. Wohl auch mit extra Firmen, die in Europa registriert sind, etc. Das Motto lautet: "Falls es hart auf hart kommt, könnten wir das Europageschäft komplett vom US-Mutterkonzern abspalten."

Klingt toll. Ich habe es aber nicht so richtig geglaubt. So etwas macht ein Tech-Gigant nicht einfach so. Und selbst wenn es rechtlich machbar wäre. Wer betreibt es dann? Aktuell fällt die IT-Branche ja durch Massenentlassungen auf. Es ist schwer vorstellbar, dass Microsoft dann mehrere hundert Leute in Deutschland anstellt, um die Sovereign Cloud und alles Rechtliche drumherum zu managen. Einfach nur, um für den Fall der Fälle die nötige Manpower zu haben. Denn Firmen im jeweiligen Land zu registrieren ist das eine, aber das nötige Know-how vor Ort zu haben, um die Sovereign Cloud dann auch betreiben zu können, das andere.

Microsoft war derweil mit seiner Microsoft Sovereign Cloud am Markt unterwegs und hat erzählt, wie toll alles ist. Ich hingegen habe nur ein handelsübliches Azure gesehen. Dafür jetzt mit blauem Schleifchen dran. 🥰

Und irgendwie gehen alle auf einmal davon aus: "Wenn wir unsere Daten da reintun, dann kommt der böse, fiese Trump nicht dran! Haha!"

Nein, sorry, das gehört eigentlich zusammen. Ja. In der Praxis sind Betrieb und Datenzugriff aber jeweils separat auf Souveränität zu überprüfen. Gerade bei Cloudanbietern.

Dass dem nicht so ist, hat Microsoft höchstpersönlich in Form von Anton Carniaux vor dem französischen Parlament bestätigt.

Auf die Frage, ob er bzw. Microsoft garantieren könne, dass die von Microsoft gehosteten Daten französischer Bürger niemals ohne die Zustimmung der französischen Behörden an ausländische Behörden weitergegeben würden, antwortete er: "Nein, das kann ich nicht garantieren."
Quelle: https://www.senat.fr/rap/r24-830-1/r24-830-11.pdf, Seite 23.

Aber ist es nicht genau das, was alle mit Souveränität erreichen wollen? Unabhängigkeit und Schutz des eigenen Technologiestacks und der Daten vor fremder – und politischer – Einflussnahme?

Was nützt mir also eine Microsoft Sovereign Cloud, wenn dort die exakt gleichen rechtlichen Bedingungen gelten wie bei der "Non-Sovereign Cloud"?

Verstehe ich da etwas nicht? Oder sehe ich das zu engstirnig/idealistisch?

Ich freue mich über Austausch.

Und bitte nicht vergessen: Selbst wenn Microsoft eine vollständig von den USA abgekoppelte "Sovereign EU Cloud" betreibt. Wo alle nötigen Systeme in der EU stehen. Und alle nötigen Mitarbeiter in der EU arbeiten. Dann kommt immer noch ein Großteil der Software aus den USA. Und was nützt eine souveräne Cloud, wenn man keine Sicherheitsupdates mehr erhält?

Insofern sollte man zuerst immer klären: "Wie unabhängig können wir überhaupt sein?" Und "Wie weit wollen wir unabhängig sein?" Von diesem Punkt aus sollten dann die Planungen starten.
Oder ... Einfach Business-BlaBla machen. Ist weniger anstrengend und weitaus kosteneffizienter.

EDIT: Golem hat just heute einen interessanten Artikel dazu veröffentlich wie man im eigenen Unternehmen vorgehen kann um digital Unabhängiger zu werden: Digitale Souveränität: Argumentationshilfe für resiliente IT-Entscheidungen

Photo by RDNE Stock project: https://www.pexels.com/photo/close-up-shot-of-a-person-holding-a-contract-7841486/

There are a bunch of websites and Youtube videos trying to tell you that the locally installable Microsoft Office versions can be downloaded, legally, free of charge, directly from Microsoft. This is, of course, nonsense.

The bait

All videos I watched and articles I read told their audience to visit https://config.office.com/deploymentsettings. Which is the official site from Microsoft for the so-called Office Customization Tool (OCT). The OCT is meant for sysadmin administrators to generate a configuration file that defines which office version (Office LTSC Professional Plus 2024, Microsoft 354 Apps for Enterprise, etc.) along with which office components (Word, Excel, PowerPoint, Outlook, etc.) are going to be installed.

It is a tool used to ensure installer packages for Microsoft Office are configured the same way. Helping IT-Administrators to automate and standardize office installations on all of the companies' various systems (notebook, workstations, etc.).

The end result in using the OCT is a configuration file. Not an actual installer. You won't get a .msi or .exe file. You've just created a configuration file telling the office installer which components to install & how to configure them.

However - and this is the main reason this scam works - a license key is pre-filled. And this is almost always highlighted prominently in the videos & articles. Like this is some sort of proof that "Microsoft is giving away Office for free" or "This is legitimate". That's a lie. Straight out. I'll elaborate on that in the next paragraph.

The next step is that you download the official Office Deployment Tool (ODT) from Microsoft. Then the setup routine from the ODT is called and the configuration file you created with the OCT is supplied.

And yes, of course you will end up with an installation of your chosen Microsoft Office version. Alas, this version will never be useful and only work for 30 days and you won't be able to activate your installation. Why? Read the next paragraph.

The catch

What all of them don't seem to grasp - or intentionally misrepresent - is that they are using a Microsoft Office version with a pre-filled Generic Volume License Key (GVLK). This key still must be activated via a so-called Key Management Service (KMS). The KMS is NOT your Microsoft activation service used to activate your windows installation. It's a separate software component running in the Active Directory Domain in corporate networks. And guess what? You need to buy license keys and add them to the KMS. Only then your copy will be activated.

The thought "Well I got a license key, so it's working." is outdated. That was maybe the case with software in the early 2000s. Nowadays there are several other methods to validate if a copy is genuine or not.

After all.. If the license keys are so precious - the most valuable part. Why are they then pre-filled and non-changeable in the Office Deployment Tool from Microsoft? Why are they listed in a separate article?

That's why all videos are non-surprisingly tight-lipped on the whole "How to activate the Office installation?" part. Usually they just show the successful installation and open a few Word documents to proof it's working. Well yes, it is - for at least 30 days. But after that you're starting at zero again.

And.. I have no idea if using that Office installation will have consequences for your Microsoft account..

Side-note: Generic Volume License Keys being sold as used license keys

At least here in Germany it is legal to sell used license keys. In terms of Generic Volume License Keys (GVLKs) this adds another possibility for fraud.

Many shops which sell used Microsoft Office license keys will offer you retail keys in their shop. Think of retail keys as the stickers on the DVD Box of the software you just bought in your store of choice. Here almost always the key is unique and identifies exactly one copy of Microsoft Office. And the shop will gladly take your money when you buy a retail key from them. Only for you to receive a mail shortly afterwards which states that, sadly, retail keys are not in stock. But hey! They offer to upgrade you to a volume license key. Maybe even together with an upgrade to a higher Office version. As in: You bought a retail key for Microsoft Office 2024 Home and they offer you to upgrade you to Microsoft Office 2024 Professional Plus.

See where this is going?

At this point you should deny that upgrade and demand your money back. As it's quite likely that you will receive a Generic Volume License Key. Of course the shop will state that "Activation cannot be guaranteed" after you complain with your issues, etc.

That's the reason why you should read the Terms & Conditions carefully prior to buying used software license keys..

Why not just use OpenSource software?

If you don't want to pay for your office software suite, why not just use LibreOffice? LibreOffice is OpenSource and free-of-charge. It can handle documents created with Microsoft Office as well. So why all the hassle?

If you've never heard of it before, feel free to read the Wikipedia article about it: https://en.wikipedia.org/wiki/LibreOffice