Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).
An Log4j ist nicht Open Source schuld
Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.
Dass Software-Fehler leider- ich muss es so schreiben – zum traurigen IT-Alltag und damit zu unserer aller Alltag gehören, hat dann einmal wieder der Fehler in Microsoft Exchange zum Jahreswechsel demonstriert. Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022, titelt heise online. Einige Versionen des Exchange-Servers (2016 und 2019) lieferten zu Beginn des Jahres die E-Mails nicht aus, da ein falsches Datumsformat im integrierten Schadsoftware-Scanner nicht verarbeitet werden konnte. Der Fehler ist behoben, jedoch haben manche Server noch Schluckauf und es wird eine Weile dauern, bis sie alle E-Mails verdaut, sprich verschickt haben werden. Einmal mehr ein Indiz dafür, dass Systeme anfällig sind und wir von ihnen abhängen.
Ausfall von AWS legt nicht nur Disney+ und Netflix lahm
Gar nicht so sehr auf dem Radar hatte ich den Ausfall der Amazon Web Services Anfang Dezember 2021, von dem viele Unternehmen an der Ostküste der USA betroffen waren. Jedoch zeigt diese Störung exemplarisch, wie sehr Privatpersonen und Unternehmen von „der Cloud“, in diesem Falle dem Marktführer AWS abhängig sind. Plötzlich funktionierten Disney+, Netflix und die Geräte im Smart Home nicht mehr.
Doch wir befassen uns hier ja mit der Unternehmens-IT und dort mussten Firmen und Behörden feststellen, dass auch sie abhängig sind, selbst wenn sie glaubten, keine Verträge mit Amazon zu haben. Doch plötzlich liefen Trello oder Slack nicht mehr, eben weil diese Lösungen die Amazon Web Services nutzen.
Apropos Abhängigkeit von „der Cloud“: Meistens ist es eben nicht mehr eine Cloud, die Unternehmen nutzen.Wenn wir die Microsoft Office-Produkte im Einsatz haben, Trello oder Slack nutzen, auf SAP S/4 Hana migrieren oder andere Lösungen von HR bis zu den Lieferketten nutzen, haben wir als Unternehmen automatisch verschiedene Cloud-Anbieter im Einsatz, auch wenn es auf den ersten Blick nicht so wahrgenommen wird. Die Multi-Cloud ist heute meist schon Realität. Davon werden auch Unternehmen alleine aus Kostengründen nicht wegkommen. Einen Weg komplett zurück ins eigene Rechenzentrum ist wohl nicht mehr möglich. Stattdessen wird es eben die hybride Cloud-Welt geben, in der verschiedene Cloud-Anbieter sowie die Private Cloud im eigenen Data Center genutzt werden.
Herausforderungen für die Unternehmens-IT: Multi-Cloud, S/4 Hana, Cybersecurity
Alle beschriebenen Vorfälle zeigen, wie sensibel unsere kritischen IT-Infrastrukturen sind, wie schnell und konsequent wir oft reagieren müssen und wie viel Expertise wir beim Aufbau und vor allem dem laufenden Betrieb und dem Management der eigenen Unternehmens-IT benötigen. Cybersecurity ist vielleicht das Thema für 2022, der Aufbau und das Management einer hybriden Multi-Cloud bleibt neben der Migration auf SAP S/4 Hana, die bei vielen Unternehmen ansteht, auf der Agenda. Unternehmen werden sich darüber Gedanken machen müssen, wie sie in der Cloud-Welt möglichst unabhängig bleiben, Lösungen potentiell von einer Cloud in eine andere verschiebbar machen können. Sie werden sich damit befassen müssen, wie wichtig ihnen Ausfallsicherheit ist und was sie dafür bereit sind zu zahlen. Werden sie wirklich das Geld bereit stellen, um die kritischen Systeme in zwei oder gar drei Availability Zone zu betreiben?
Das alles sind besondere Herausforderungen in Zeiten, in denen IT-Fachleute krampfhaft gesucht werden, vom Sicherheitsexpertinnen und -experten bis zur Fachfrau und dem Fachmann für SAP. Ich wage die Prognose, dass Unternehmen und die Verwaltung externe Kompetenz und Partner ebenso benötigen, wie sie über neue Konzepte nachdenken sollten, um Kompetenz zu bündeln und gemeinsam zu nutzen, beispielsweise im Bereich Cybersecurity. Und die Fragen und Herausforderungen können nicht auf die lange Bank geschoben werden. Das haben die beschriebenen Vorfälle gezeigt.
Bild von Schäferle auf Pixabay
