* neue steckbriefe, neue Projekte

docs/projects/profiles/lifestyle-konfigurator/index.md

@@ -4,4 +4,31 @@ comments: false
 ---
 # Welches-Fahrzeug passt zu mir?
 
-TBD
+![Lifestyle-Konfigurator Ergebnis](images/lsk.png)
+
+## Projektbeschreibung
+
+**Projektzeitraum**: 2015-2017
+
+Der Mercedes-Benz Lifestyle-Konfigurator wurde in Verbindung mit „She’s Mercedes“ entwickelt und stellte den Menschen, seinen Lifestyle und seine Bedürfnisse in den Mittelpunkt. Er ermöglichte eine personalisierte Fahrzeugwahl, indem Nutzer zunächst ihre individuelle Lebenswelt auswählten. Anhand von Fragen zu Architektur, Musik, Reisen, Sport und anderen Interessen wurden passende Modelle vorgeschlagen, die anschließend weiter angepasst werden konnten. Ziel war es, den Auswahlprozess intuitiver, schneller und unterhaltsamer zu gestalten. Laut Jens Thiemer, Vice President Marketing Mercedes-Benz-Cars, sollte der Konfigurator insbesondere Frauen gezielt ansprechen und ein intensiverer Dialog über ihre Mobilitätsbedürfnisse ermöglicht werden.
+
+## Projektphase I
+
+Der Mercedes-Benz Lifestyle-Konfigurator wurde auf der IAA 2015 der Öffentlichkeit vorgestellt. Im Vorfeld mussten Entwicklungsumgebungen bereitgestellt und Build-Pipelines erstellt werden, um die Software auf internen Systemen verfügbar zu machen. Für die Messe wurden unter anderem Touchdisplays beschafft und in den Entwicklungsprozess integriert.
+
+Die Three-Tier-Architektur mit Frontend, Backend und Datenbank stellte das Betriebsteam vor neue Herausforderungen: Erstmals kamen MongoDB als NoSQL-Datenbanksystem sowie das Play-Framework zum Einsatz. Um eine ausreichende „Offline“-Fähigkeit für die IAA zu gewährleisten, wurden zwei Serversysteme bereitgestellt. Trotz dieser technischen Herausforderungen konnte das Gesamtsystem fristgerecht fertiggestellt und auf der Messe von meinem Team erfolgreich aufgebaut und eingesetzt werden.
+
+<figure markdown="span">
+  ![LSK auf IAA 2015](images/iaa2015.png){ loading=lazy }
+  <figcaption>Der Lifestyle-Konfigurator auf der IAA 2015</figcaption>
+</figure>
+
+## Projektphase II
+
+Nach der IAA wurde das Projekt für den Live-Betrieb im Internet weiterentwickelt. Zunächst erfolgte die Bereitstellung über eine Agenturplattform des Kunden als Zwischenlösung. Anschließend wurde vereinbart, den Lifestyle-Konfigurator als SaaS-Dienst über uns bereitzustellen. Hierfür setzten wir auf Amazon Web Services (AWS) und bereiteten die Migration entsprechend vor.
+
+Parallel dazu wurde gemeinsam mit dem Kunden der Cloud-Risk-Prozess durchgeführt und ein Vertrag aufgesetzt, um die Anforderungen an den SaaS-Dienst abzubilden. Regelmäßige Reportings und Abstimmungen gewährleisteten den reibungslosen Betrieb. Mithilfe von AWS-Autoskalierungsprozessen konnte die Anwendung auch bei hoher Last stabil gehalten werden. Nach 1,5 Jahren Betrieb wurde die Anwendung am 30.11.2017 in Abstimmung mit dem Kunden durch mich abgeschaltet und zurückgebaut.
+
+## Fazit
+
+Der Mercedes-Benz Lifestyle-Konfigurator war ein erfolgreiches digitales Projekt, das sowohl auf der IAA 2015 als auch im anschließenden Online-Betrieb seine Innovationskraft bewies. Die Einführung neuer Technologien wie MongoDB und AWS brachte wertvolle Erkenntnisse für zukünftige Projekte. Die enge Zusammenarbeit mit dem Kunden, kombiniert mit modernen Cloud-Technologien, ermöglichte einen zuverlässigen und skalierbaren Betrieb. Mit der geplanten Abschaltung Ende 2017 wurde das Projekt erfolgreich abgeschlossen und hinterließ wertvolle Erfahrungen für die digitale Weiterentwicklung von Mercedes-Benz.

docs/projects/profiles/mdm-mam-journey/index.md

@@ -4,4 +4,117 @@ comments: false
 ---
 # Die MDM-/MAM-Reise
 
-TBD
+<figure markdown="span">
+  ![MDM/MAM](images/mdm.jpg){ loading=lazy }
+  <figcaption>Foto von <a href="https://unsplash.com/de/@firmbee?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Firmbee.com</a> auf <a href="https://unsplash.com/de/fotos/woman-holding-silver-iphone-6-SpVHcbuKi6E?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
+      </figcaption>
+</figure>
+
+
+**Mobile Device Management (MDM)** und **Mobile Application Management (MAM)** sind essenziell für Unternehmen, um **Sicherheit**, **Kontrolle** und **Effizienz** im Umgang mit mobilen Geräten und Apps zu gewährleisten.
+
+Einem **MDM** kommen dabei insbesondere folgende Aufgaben zu:
+
+* Zentrale Verwaltung und zentrales Absichern von Firmen- und BYOD-Geräten,
+* Remote-Wipe bei Diebstahl oder Verlust,
+* Zentrale Richtlinien für Updates, Zugriffe und Verschlüsselung bereitstellen.
+
+**Mobile Application Management** kommen u.a. folgende Aufgaben zu:
+
+* Kontrollieren und Schützen von Unternehmens-Apps unabhängig vom Gerät,
+* Verhinderung von unautorisiertem Zugriff und Datenlecks,
+* selektives Löschen geschäftlicher Daten ohne persönliche Daten zu berühren,
+* Zentrale und selektive Bereitstellung von Unternehmensanwendungen.
+
+So richtig begann die Reise für mich 2012, als ich das erste Mal überhaupt mit einem Macbook in Berührung kam. Vorher war ich ausschließlich mit Linux und Windows unterwegs. Erste Schritte zum Mobile Device Management unternahm ich allerdings bereits 2010 mit der Software [OPSI](https://opsi.org/de/).
+
+## Projektbeschreibung - Grundausbaustufe
+
+2012 wurde die Betriebssystemsoftware für die Macbooks im Unternehmen noch auf USB-Sticks bereitgestellt. Es wurde von der IT dann eine grundlegende, *manuelle* Softwareinstallation auf den Geräten durchgeführt und jeder Mitarbeiter hatte die Möglichkeit darüberhinaus weitere Anwendungen eigenständig zu installieren. Dies war für die IT zeitaufwändig und verhinderte die Standardisierung der Clientsysteme.
+
+Im Jahr 2013 wurde ich auf das Softwareprojekt [Munki](https://www.munki.org/munki/) aufmerksam und realisierte die Umsetzung auf einem freien Mac Mini. Neben **Munki** kamen weitere Softwareprodukte zum Einsatz:
+
+* [Autopkg](https://github.com/autopkg/autopkg): Automatisierung der Paketierung und Softwareverteilung unter macOS.
+* [NetSUS](https://github.com/jamf/NetSUS): NetBoot und Software-Aktualisierungsserver für Betriebssystemupdates.
+* [MWA2](https://github.com/munki/mwa2): Munkiwebadmin 2 für die Verwaltung der Anwendungssoftwarepakete
+* [MunkiReport](https://github.com/munkireport/munkireport-php): MunkiReport für Reporting der Softwareumgebung, gleichzeitig die Inventarisierung der Systeme mit allen relevanten Informationen zur Hardware. 
+
+Die NetSUS-Server und Systeme zur Bereitstellung von Softwarepaketen wurden je einmal an jedem Standort (Berlin, Frankfurt, Stuttgart) platziert um eine schnelle Bereitstellung von Softwarepaketen und Betriebssystemupdates zu gewährleisten.
+
+Für die Aktualisierung der iPads und iOS-Devices kam auf den macOS-Devices der Dienst "Inhaltscaching" zum Tragen.
+
+Zusätzlich schrieb ich eine Software, welcher eine nächtliche Aktualisierung der Anwendungssoftwarepakete vornahm (umfangreiches Bash-Shellscript) und durch die IT am nächsten Morgen mit MWA2 freigegeben wurde.
+
+Während der Pandemie wurden die Munki-Serversysteme durch ein externes System erweitert, da die Mitarbeiter:innen primär im Homeoffice gearbeitet hatten. Somit gab es einen zentralen Munki-Package-Server und einen zentralen NetSUS-Server.
+
+Das System bewährte sich und wurde schnell akzeptiert. Ein herausragender Bestandteil von Munki war das sogenannte **Managed Software Center (MSC)**, welches einen unternehmensweiten App-Store für macOS-Devices darstellte.
+
+![Managed Software Center](images/managed_software_center.png)
+
+## Projektbeschreibung - Erweiterung um Mobile Device Management (MDM)
+
+Mit der Open-Source-Lösung **[MicroMDM](https://micromdm.io/)** und verschiedener Hilfsmittel
+
+* [InstallApplications](https://github.com/macadmins/installapplications) - quasi das Kernstück neben MicroMDM, Hilfsmittel um die Grundkonfiguration des Rechners zu definieren und für das Device Enrollment Programm als *Ansprechpartner* zu fungieren,
+* [DEPNotify](https://gitlab.com/Mactroll/DEPNotify) - hptsl. für die Bildschirmausgabe und Benutzerinteraktion,
+* [MDS](https://twocanoes.com/products/mac/mds/) von Twocanoes Software zur Bereitstellung von Betriebsystemabbildern zur automatischen (Re-)Installation der MacBooks über das Netz
+
+konnten wir den Rollout von macOS-Rechner vereinfachen, weiter standardisieren und gleichzeitig beschleunigen.
+
+Mithilfe des **Device Enrollment Programs (DEP)** (heute: *Apple Enrollment Program (ADE)*) konnten wir bei neuen Rechner direkt durch den Händler ein entsprechendes Flag setzen lassen, was dann beim Starten von neu beschafften Rechnern direkt den Installationsvorgang mit den vordefinierten Parametern starten konnte. Dies führten wir dann später auch für die mobilen Devices ein wie iPhones und iPads.
+
+Der Umstellungsprozess musste gut durchdacht sein, und nun nahmen wir [UMAD](https://github.com/macadmins/umad) zuhilfe, um die Umstellung der Rechner auf den MDM-Betrieb vorzunehmen.
+
+Neben der Umstellung auf **MicroMDM** wurden Anwendungs- und Systemprofile definiert und aufgespielt zur Konfiguration von Anwendungen und Systemen, beispielsweise zur automatischen Sperrung des Rechners, der grundlegenden Härtung von Clientpasswörtern usw.
+
+Neben der Umstellung auf MicroMDM haben wir mit [FusionInventory](https://fusioninventory.org/) automatische Inventarisierung der Clientsysteme eingeführt und mit der [SupportApp](https://github.com/root3nl/SupportApp) ein kleines Helferlein für die Menüleiste geschaffen.
+
+Zusammengefasst: wir waren nun mit dieser Erweiterung in der Lage den Rechnerrollout vollautomatisch durchzuführen.
+
+Die zentralen NetSUS-Server wurden noch während der Pandemie eingestampft, da Apple diese nicht mehr unterstützte.
+
+Wie sich der Onboarding-Prozess von macOS-Devices ungefähr anfühlte kann man bei der Firma Kolide [anschauen](https://www.kolide.com/blog/macos-onboarding-at-kolide).
+
+## Projektbeschreibung - Umstieg auf Microsoft Endpoint Manager (Intune)
+
+Die bisherige Lösung hatte ein paar wesentliche Nachteile:
+
+* *Windows-Devices* (wenn auch nur in geringer Stückzahl vorhanden) wurden bisher nicht berücksichtigt,
+* **Jamf Now** wurde als zusätzliche Software zur Verwaltung der Mobiledevices iPhone und iPad eingeführt,
+* die Angestelltenzahl nahm zu,
+* nicht jeder Systemadministrator kommt mit der Shell zurecht,
+* und durch die Pandemie mussten wir Devices direkt vom Händler weiterreichen.
+
+Es musste also eine Konsolidierung der verschiedenen Systeme durchgeführt werden. Durch die Umstellung auf *Microsoft Office E5* konnten wir nun u.a. auf den **Microsoft Endpoint Manager (Intune)** migrieren. Hierbei kamen uns die Erfahrungen, welche wir mit MicroMDM gemacht hatten, zu Gute. Haben wir doch von Grund auf gelernt, wie ein MDM funktioniert.
+
+Grundlegend mussten wir einige Dinge durchdenken und veränderten die Systemwelt wie folgt:
+
+* *Windows-Devices* wurden nun auch über *Intune* abgebildet, die Umstellung war auf dem ersten Device etwas holprig, da sich Apple-MDM und Windows-MDM in der dahinterstehenden Überlegungen doch grundsätzlich unterscheiden,
+* *iOS-* und *iPadOS-Devices* mussten von Jamf Now migriert werden und die in Jamf Now vorgenommenen Einstellungen als Profile in *Intune* bereitgestellt werden,
+* *Munki* wurde durch die Anwendungsverwaltung in *Intune* abgelöst und das *Munki Software Center* durch das *Intune Unternehmensportal* abgelöst. Die komfortable Bereitstellung von Anwendungen über Munki musste nun umgebaut werden, dies realisierten wir durch [Intune Shell-Scripts](https://github.com/microsoft/shell-intune-samples) und für die manuelle Bereitstellung im Portal durch teilweise Repaketierung und Resignierung von Anwendungen. Es mussten in dem Zuge einige neue Shell-Skripte realisiert, Anwendungen einem Paketierungsprozess unterzogen und in Intune eingestellt werden,
+* Ein ausgeklügeltes Rechte- und Rollenkonzept wurde auf die Softwareprodukte erweitert und installiert nun das Device so, wie es der Anwender benötigt,
+* Testbetrieb für Dualnutzung (Privat/Business) initiiert für bereitgestellte iOS-Devices,
+* [Nudge](https://github.com/macadmins/nudge) stupste Mitarbeiter:innen regelmäßig an, wenn Updates nicht zeitnah installiert wurden, 
+* Für die Inventarisierung stellten wir auf den [GLPI-Agent](https://github.com/glpi-project/glpi-agent) für Windows- und macOS-Devices um und inventarisierten direkt mit [GLPI](https://glpi-project.org/).
+
+![Intune Unternehmensportal](images/intune.png)
+
+Mit einer breit angelegten Kommunikation, einer einfachen Anleitung "zum Selbermachen" und erhöhter Bereitschaft der IT beim Anwendersupport konnten wir die Umstellung in-time durchführen. Bis auf wenige Ausnahmen verlief die Umstellung problemlos.
+
+Mit der Bereitstellung von **Apple Platform SSO** in Verbindung mit **Microsoft Entra ID** konnten wir auch ein durchgängiges Single-Sign-On-Feeling auf den Devices schaffen und hierbei kam der [Zero-Trust-Ansatz](/projects/profiles/zero-trust-security) ebenfalls zum Tragen.
+
+## Fazit und Ausblick
+
+Trotz einigen Umstellungsaufwands haben sich die Innovationen in den verschiedenen aufgezeigten Phasen bewährt. Neben den Vorteilen die jede Phase mit sich brachte, lernten die IT-Mitarbeitenden auch vielerlei neue Aspekte einer modernen IT kennen.
+
+Aus Informationssicherheits- und Datenschutzsicht sind **Mobile Device Management (MDM)** und **Mobile Application Managment (MAM)** sowie das ebenso eingeführte **Microsoft Defender for Endpoint** Meilensteine und nicht wegzudenken aus der IT-Landschaft.
+
+Zu kämpfen hatten wir allerdings mit den Unzulänglichkeiten beim System von Microsoft, welches uns hin und wieder in die Rolle des "Beta-Testenden" drückte.
+
+Wichtig ist während der Umstellungsphasen ausreichend zu kommunizieren, gute Dokumentationen zu liefern und einen guten Anwendersupport bereitzustellen.
+
+Die Einführung des Systems in der letzten Ausbaustufe bringt natürlich auch den Vorteil mit sich unter Zuhilfenahme von Hardwarelieferanten logistische Konzepte zu entwickeln, welche auch den Versand vom Lieferant zur Mitarbeiterin und zum Mitarbeiter abbilden und damit weiter zur Entlastung von IT-Abteilungen beitragen. Quasi: Rechner wird geliefert, vom Personal eingeschaltet und installiert sich selbst.
+
+In dem gerade ausgerufenen Jahr der "KI-Agenten" kann ich mir gut vorstellen, dass man derartige Umstellungen durch Agenten begleitet bzw. die Agenten bei auftretenden Problemen assistieren. Auch eine Integration des IT-Onboardings kann man sich bspw. mit [Octory](https://octory.io/) gut vorstellen.
+
+Ebenso spannend empfinde ich die Entwicklung hier bei [Fleet](https://github.com/fleetdm/fleet), welches u.a. Teile der von mir aufgezeigten Werkzeuge auch mit einem Open-Source-MDM wie [nanoMDM](https://github.com/micromdm/nanomdm) verbindet.

docs/projects/profiles/online-store/index.md

@@ -4,4 +4,8 @@ comments: false
 ---
 # Pionierarbeit
 
-TBD
+<figure markdown="span">
+  ![Programmieren](images/shop.jpg){ loading=lazy }
+  <figcaption>Foto von <a href="https://unsplash.com/de/@reganography?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Samuel Regan-Asante</a> auf <a href="https://unsplash.com/de/fotos/illustration-roter-und-weisser-linien-cYNp8un5QkI?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
+      </figcaption>
+</figure>

docs/projects/profiles/programming/index.md

@@ -4,6 +4,12 @@ comments: false
 ---
 # Das Programmierprojekt
 
+<figure markdown="span">
+  ![Programmieren](images/programming.jpg){ loading=lazy }
+  <figcaption>Foto von <a href="https://unsplash.com/de/@pakata?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Pakata Goh</a> auf <a href="https://unsplash.com/de/fotos/laptop-neben-monitor-mit-tastatur-und-maus-EJMTKCZ00I0?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
+      </figcaption>
+</figure>
+
 **Projektzeitraum:** 1999–2007 (Die eigentliche Entwicklung des ERP-Systems erfolgte von 1999 bis 2002.)
 
 **Projektbeschreibung:**<br />

docs/projects/profiles/relocations/index.md

@@ -4,4 +4,52 @@ comments: false
 ---
 # IT-Umzüge
 
-TBD
+<figure markdown="span">
+  ![Programmieren](images/moving.jpg){ loading=lazy }
+  <figcaption>Foto von <a href="https://unsplash.com/de/@handiworknyc?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Handiwork NYC</a> auf <a href="https://unsplash.com/de/fotos/frau-in-blauen-shorts-und-schwarzen-stiefeln-steht-tagsuber-neben-einem-gelb-weissen-lastwagen-x6pnKtPZ-8s?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
+      </figcaption>
+</figure>
+
+Welcher IT Operations Engineer und Teamleiter träumt nicht davon, regelmäßig seine Hardware, seine Mitarbeiter:innen und sich selbst an einen neuen Standort zu verpflanzen oder gar einen fremden Standort umzuziehen? Nun, ich kann davon ein Lied singen, so oft wie ich das machen durfte - ich glaube das hat Seltenheitswert.
+
+Nichtsdestotrotz hat jeder Umzug für sich unglaublich viel Spaß bereitet, tolle Herausforderungen mit sich gebracht und natürlich durfte auch die ein oder andere technische Neuerung nicht zu kurz kommen.
+
+## Meine IT-Umzüge - eine Chronologie
+
+### Der erste Umzug/Einzug 2011 - Pforzheim #1
+
+Naja eigentlich war es der Dritte. Den eigentlich muß ich den Umzug in meiner Lehrfirma bereits 1994 mit einberechnen, auch wenn ich mit der eigentlichen IT nicht viel zu tun hatte. Und dann war da noch 2009 die Erweiterung der bisherigen Firmenräumlichkeiten in einem 300 Meter entfernten Gebäude, gut - da hatten wir dann IT gemacht. Aber nun ja. Der erste wesentliche Umzug kam dann 2010/2011 in ein komplett neues Firmengebäude, aus einer Pforzheimer Gießerei wurde das neue Domizil meines dritten Arbeitgebers. Und ich durfte als Abteilungsleiter mit meinem Team richtig mitplanen und die Technik von Grund auf mitgestalten.
+
+Eckdaten:
+
+* 5 Stockwerke waren auszustatten, plus ein Serverraum
+    * Netzwerktechnik
+    * Überwachungskameras
+    * Serverraum
+    * Internetanbindung
+    * Interne Verkabelung
+* IT-Umzug inkl. Serverumzug planen
+* IT-Ausstattung der Mitarbeiter umziehen
+* Durchführung
+
+Die Hausverkabelung wurde durch einem von der IT ausgewählten und beauftragten Spezialisten durchgeführt, welcher auch die Netzwerktechnik bereitstellte. Wir haben uns als IT hier für den Hersteller [Edge-core Networks](https://www.edge-core.com/) entschieden. In meinen Augen, der richtige Kompromiss zwischen High-Ende HPE und CISCO-Devices und Ubiqiti.
+
+Die Installation und Beschaffung der Überwachungskameras für jedes Stockwerk gehörte ebenso zum Programm, wie die Recherche und die Bereitstellung der neuen Internetanbindung durch die Sparkassen-IT.
+
+Der eigentlich Umzug sah einen Ausfall der Serversysteme für 15 Minuten vor. Die E-Mails wurden hier extern zurückgehalten. Das war Spannung pur, nach 15 Minuten war alles wieder am Laufen und der Umzug vollbracht.
+
+## Frankfurt #1 - Der Einzug
+
+2013 war der große Moment gekommen und nach der Bereitstellung der neuen Internetanbindungen an den Standorten Frankfurt am Main und Stuttgart zogen wir in unser halbes Rack ins Rechenzentrum von InterXion mit zwei Servern und einem Storage ein. Die Anbindung an die Standorte war zu Beginn etwas hakelig, konnte dann aber im Laufe der Inbetriebnahme stabilisiert werden.
+
+Zum Einsatz kam ein virtuelles pfSense-Gateway, welches dann den ein- und ausgehenden Traffic absicherte.
+
+## Berlin #1
+
+Der zweite Umzug bei meinem vierten Arbeitgeber war von der Lage her sehr schön, jedoch technisch eine echte Herausforderung, da wir doch in einem alten Firmengebäude wenig bis keine technischen Neuerungen durchführen konnten und nur schwehrlich eine gute Internetanbindung bereitstellen in der Lage waren.
+
+## Stuttgart #1
+
+Das war dann wieder ein echtes Highlight, nagelneue Firmenräumlichkeiten, neue Technik und die Technik so geplant wie wir es benötigten. Nur: warum denken Architekten nie an Server-/Technikräume? 
+
+Leider verzögerte sich die Inbetriebnahme der finalen Internetanbindung, so dass wir vorübergehend nur auf die alte Anbindung via Punkt-zu-Punkt Brücke zugreifen konnten. Nachdem die alte 

docs/projects/profiles/zero-trust-security/index.md

@@ -4,4 +4,8 @@ comments: false
 ---
 # Zero-Trust-Security
 
-TBD
+<figure markdown="span">
+  ![Programmieren](images/security.jpg){ loading=lazy }
+  <figcaption>Foto von <a href="https://unsplash.com/de/@flyd2069?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">FlyD</a> auf <a href="https://unsplash.com/de/fotos/rosa-und-silbernes-vorhangeschloss-auf-schwarzer-computertastatur-F7aZ8G7gGBQ?utm_content=creditCopyText&utm_medium=referral&utm_source=unsplash">Unsplash</a>
+      </figcaption>
+</figure>