Autor: CIO Kurator Redaktion

Aus dem Keller des Data Centers in die erste Reihe – Anforderungen an den Infrastrukturverantwortlichen von heute 

Von „Cloud only“ kann keine Rede sein und die IT-Infrastruktur nimmt heute für die zukünftige strategische Ausrichtung von Unternehmen eine wichtige Rolle ein. Der Infrastrukturbeauftragte gehört in die erste Reihe!

„IT – das sind die Nerds, die im Keller sitzen und sich mit Dingen beschäftigen, die sonst keiner versteht“, so oder so ähnlich waren lange Zeit verbreitete Vorurteile gegenüber IT-Kollegen in Unternehmen. Während Software-Entwickler, Data Scientists und ähnliche Rollen heute kaum mehr jemanden von ihrer Business-Relevanz überzeugen müssen, werden IT-Infrastrukturverantwortliche oft noch als Techniker im IT-Maschinenraum wahrgenommen. Manch einer hält sie sogar für demnächst obsolet – der Cloud sei Dank. Doch das geht absolut an der Realität vorbei. Von „Cloud only“ kann keine Rede sein und die IT-Infrastruktur nimmt heute für die zukünftige strategische Ausrichtung von Unternehmen eine wichtige Rolle ein.  

Früher waren viele CEOs noch stolz darauf, nichts von IT zu verstehen. Im Zeitalter der Digitalisierung hat sich das glücklicherweise geändert und engagierte CEOs tauschen sich regelmäßig mit ihren CIOs aus. Auch Infrastrukturverantwortliche sollten regelmäßig in die Diskussion einbezogen werden. Für IT-Verantwortliche, die bei der Unternehmensführung präsenter werden wollen, kann es sich auch lohnen, die eigenen Partner mit ins Boot zu holen, die in diesem Verständigungs- und Austauschprozess unterstützen können.  

Thomas Landolt, Leader Germany Kyndryl Consult, diskutiert mit Mareike Tan über das Verhältnis von IT-Leitung und Geschäftsführung und neue Anforderungen an das IT-Infrastruktur-Management von heute.  

Nicht schon wieder? Women in IT – Ein Gespräch mit Kyndryls aus Deutschland

Das Thema von Frauen in der IT ist bereits mehrere Jahrzehnte alt, jedoch ist das Thema aktueller denn je. Da durch den Fachkräftemangel die IT-Branche vor großen Herausforderungen steht, seinen Bedarf an qualifizierten Mitarbeitenden zu decken. Diese Lücke kann durch gezielte Ansprach von Schülerinnen, Studierenden und berufstätigen Frauen verringert werden. Doch wie müssen sich Unternehmen aufstellen, um Frauen für die IT gewinnen zu können. Diese Frage stellt sich auch Service Provider Kyndryl im KyndrylTalk „Woman in IT – Nicht schon wieder ein Beitrag zum Thema Women in IT“.  

Mareike Wysocki im Gespräch mit Carina Himstedt, Claudia Dahl und Benedikt Ernst. Viel Spaß beim Anschauen!  

Hierbei diskutieren Mareike Wysocki mit Kyndryls über Ihren Einstieg, deren Erfahrungen und Herausforderungen in der IT-Branche, um zu ergründen, wo die Branche und Kyndryl heute stehen. Hierbei wird ein Fokus auf die Vorteile von diversen Teams für Unternehmen und die potenziale von inklusiven besetzen Projekt fokussiert.  

Abschließend wird erläutert, wie Kyndryl ein offenes und diverse Arbeitsumfeld schafft, indem alle Mitarbeitenden inkludiert werden. Sowie welche Maßnahmen Kyndryl unternimmt, um weibliche Mitarbeitende und Führungskräfte am Markt zu gewinnen und zu halten.  

An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

  1. Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
  2. Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
  3. Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

  1. Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
  2. Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
  3. Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

CIOKurator.News #55: FinOps und Public Cloud, Automatisierung und Cloud-Architekten und vieles mehr

Auch in dieser Woche kursieren wir wieder die aktuellen Meldungen der deutschen IT-Presse. Unser Kollege Viktor Greve bewertet FinOps als Mittel, die Kosten der Public Cloud im Griff zu behalten. Viktor wird als IT Architekt sicher auch das Thema Automatisierung und Cloud-Architektur interessieren. Das Handelsblatt und die Computerwoche berichten über die Initiative von SAP, mit No Code und Low Code Software durch Anwender entwickeln zu lassen. Weiterhin blicken wir einmal mehr auf Künstliche Intelligenz, verschiedene Aspekte von Cybersecurity und unseren Kunden Symrise, der seine digitalen Arbeitsplätze durch Kyndryl modernisieren und betreiben lässt.

Kostenfalle Public Cloud – Ist FinOps die Antwort?

Viele Kunden scheitern daran, die Kosten in der Public Cloud unter Kontrolle zu bekommen. Aber warum ist das ausgerechnet auf der Public Cloud der Fall? Was steckt hinter dem Begriff FinOps und warum sollten sich betroffene Unternehmen damit beschäftigen?

Neulich nahm ich an einem Kyndryl-internen Training teil, in dem es um die Strategie und neusten Portfolio Erweiterungen im Themenbereich FinOps ging. Dem Thema begegnet man bei uns in der Firma gerade ständig, sowohl in Deutschland als auch global. (Falls jemand den Begriff noch nicht gehört haben sollte, findet ihr hier eine gute Definition was dahinter steckt.)

In diesem Workshop fiel die Aussage, dass Kunden „Predictability“ und „Control” lieben – also Vorhersehbarkeit, Planbarkeit und Kontrolle. Aber in der Public Cloud würden sie das nicht bekommen. Viele Kunden, die schon signifikant die Public Cloud nutzen, hätten sogar ein sehr ernstes Problem mit dem Thema was die Planbarkeit und Kontrolle ihrer Ausgaben und Rechnungen für die Hyperscaler angeht. Dazu habe ich zunächst recherchiert, um herauszufinden, ob es dazu auch außerhalb unserer Firma ähnliche Meinungen und Beobachtungen gibt. Der Eindruck, den ich gewonnen habe, ist folgender:

Der Bedarf und die Nachfrage nach Lösungen und Konzepten, um die steigenden, und vor allem unkontrollierbaren Kosten der Hyperscaler in den Griff zu bekommen, scheint bei den Kunden, die schon intensivere Erfahrungen mit Public Clouds gemacht haben, immer größer zu werden. Manche Autoren berichten sogar schon von einem Trend, bestimmte Workloads wieder zurück ins eigene on-premise Rechenzentrum zu holen wie hier. Es wird auch berichtet, dass die Public Cloud in puncto Kosten die Erwartungen ziemlich enttäuscht hat, nachzulesen etwa hier.

Flexibilität verursacht Kosten

Seit vielen Jahren berate ich selbst Kunden im Themenkomplex „Journey to Cloud“. Ich habe die Architekturen dutzender Cloud-Zielumgebungen designt, Reviews durchgeführt und begleitet. Das überzeugende Argument für die Nutzung und die Migration auf eine Public Cloud war dabei immer die leichte Anpassbarkeit der Cloud Services auf schwankende und unvorhergesehene Anforderungen des Geschäfts sowie die einfache Nutzung für Entwickler und die Vielfältigkeit und Aktualität der Services, die den Verantwortlichen der Anwendungen und Geschäftsprozesse so viele Möglichkeiten und Freiräume bieten.

Die großen Hyperscaler bringen dazu eine Vielfalt an Funktionalität frei Haus mit, um die Performance zu überwachen aber auch die Security Settings und Controls und natürlich auch die anfallenden Kosten feingranular auf Mandanten, Organisationseinheiten und Projekte zuzuordnen. Ausgaben können in Echtzeit erfasst werden und es lassen sich sogar automatisiert Budgets auf User Ebene einrichten und verwalten. Diese Funktionalität und der Reifegrad dieser Tools und Services, um das Thema FinOps in Bezug auf Vorhersehbarkeit und Kontrolle in den Griff zu bekommen, übertrifft dabei bei weitem das was ich persönlich im Bereich der traditionellen Datacenter und IT Infrastrukturen – ob selbstbetrieben oder gehostet – gesehen habe.

Wenn aber die Tools und Funktionalitäten vorhanden sind – wo liegt dann das Problem?

Ich hab mir meine eigenen Gedanken gemacht und versucht einen Reim auf diese scheinbar widersprüchlichen Aussagen und Beobachtungen zu finden. Um diese Frage zu beantworten, bin ich dann einmal die typischen Use Cases und Personas einer produktiven Public Cloud durchgegangen und habe die Design-Thinking-Methode und Fragetechniken darauf angewandt.

Ein Beispiel:

  • Ein Fachbereich definiert eine Anforderung, dass eine neue Applikation benötigt wird.
  • Der Applikationsarchitekt identifiziert die funktionellen Anforderungen und wählt mit einem Team aus Cloud SMEs die aus seiner Sicht passenden Services der Public Cloud aus, um diese App zu implementieren.
  • Ein Entwickler Team bekommt den Auftrag die App zu implementieren.
  • Der Fachbereich fordert ein Budget an, das vom Controlling oder Einkauf geprüft und freigegeben wird.
  • Nachdem die App getestet und implementiert wurde, wird die App produktiv geschaltet und an ein Betriebsteam übergeben das die App dann in der Public Cloud nach einem bestimmten Operating Model (zum Beispiel DevSecOps, CloudOps) betreibt.
  • Wenn die App nicht richtig funktioniert, wird ein Incident-Management-Prozess angetriggert um die Fehler zu beheben.

Cloud-Ressourcen zurückfahren, aber wie?

Was passiert, wenn die provisionierten Cloud-Ressourcen gar nicht mehr oder zumindest nicht im geplanten Umfang benötigt werden? Gibt es in der Betriebsabteilung oder den Fachbereichen einen Prozess der angetriggert werden kann, um zu prüfen, ob ein beliebiger Service auch wieder deprovisioniert werden kann? Gibt es Verantwortliche, die die implementierte Architektur regelmäßig überprüfen, auf die aktuellen Anforderungen und technischen Möglichkeiten im Hyperscaler-Portfolio mappen und damit ein kontinuierliches Redesign, Resolutioning und Optimization der Landing Zone und Workloads ermöglichen? Welcher Prozess wird angestoßen, wenn am Ende des Monats auf der Rechnung des Hyperscalers Server stehen von denen keiner weiß, wer sie provisoniert hat und wofür sie gebraucht werden? Oder wen kann man fragen, warum zum Beispiel die Netzwerkkosten in Asien im letzten Monat um 300 Prozent gestiegen sind?

Jetzt könnte man natürlich festlegen das alle Ressourcen, die nicht klar zugeordnet werden können oder die nicht ausgelastet sind, einfach regelmäßig und automatisiert deprovisioniert oder verkleinert werden. Entsprechende Tools und Funktionen gibt es reichlich am Markt.

Aber wer trägt dann die Verantwortung, wenn eine geschäftskritische Anwendung im Unternehmen ausfällt oder aufgrund dieser Veränderung nicht mehr ausreichend performant ist?

Die Antwort auf diese Fragen ist, dass es nicht die eine Person geben kann, die für die Lösung dieser Herausforderungen verantwortlich gemacht werden kann. Vielmehr bedarf es eines orchestrierten Zusammenspieles aus unterschiedlichen Rollen und Skills in der IT Organisation eines Unternehmens wie beispielsweise:

IT Executive – Benötigt eine konsistente Sicht auf den Wert eines Cloud Service. Verbindet technische Entscheidungen mit den daraus resultierenden Geschäftsergebnissen.

IT Operations Manager – Identifiziert und bereinigt nicht ausgelastete Cloud-Ressourcen.

Financial Analyst – Analysiert und organisiert die Auswertung der Cloud Ausgaben.

Lead Architect / Engineer – Versteht die finanziellen Auswirkungen seiner Architekturentscheidungen und prüft diese kontinuierlich auf Potential zur Effizienzsteigerung.

Fazit

FinOps muss ein interdisziplinärer Prozess im Betriebsmodell einer Public Cloud sein, um den Herausforderung der Kostenkontrolle in der Public Cloud Herr zu werden. Das heißt im Betriebsmodell der Landing Zone und Workload-Verantwortlichen der Betriebsorganisation oder des beauftragten externen Service Providers müssen die Abläufe, die Rollen und Skills und die adäquaten, für die Zielumgebung passenden, Tools definiert und implementiert werden. Nur so schafft man es, die Vorteile der Public Cloud voll zu nutzen und gleichzeitig die Übersicht und Kontrolle über die Kosten zu behalten.

Viktor Greve – Executive IT Architect, Cloud Practice bei Kyndryl Deutschland

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind 

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert. 

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet. 

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist.  Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen. 

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt. 

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute. 

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.  

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern. 

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln. 

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen. 

(Hendrik Müller-Hofstede)

Links: 

%%footer%%