Der Newsletter des CIO Kurator-Teams #28: Was CIOs umtreibt, SAP & Cloud, einige Security-Themen und … Wodka

Auf was sollte sich der CIO konzentrieren? Diese Frage wird in jedem Jahr gestellt und Berater geben Empfehlungen ab, in unserem Fall Cap Gemini. Wie viele Anbieter, will oder muss SAP mit seinen Lösungen in die Cloud. Doch das funktioniert noch nicht wie gewünscht. Und viele CIOs kennen den Schmerz: Man findet einfach nicht genug Experten. Zwei Artikel geben einen Überblick. Schließlich ist Security immer wieder ein Thema, vom Endpoint Management bis zu Hackerangriffen, die in Russland die Wodka-Zufuhr unterbrochen haben. Wir konnten uns nicht verkneifen, den letzteren Beitrag ebenfalls zu verlinken. Besonders möchten wir auch auf den Beitrag unseres Kyndryl-Kollegen Dominik Brendel aufmerksam machen. Viel Spaß bei der Lektüre!
CIO
Capgemini-Studie: Was CIOs 2022 umtreibt – computerwoche.de
Welche Prioritäten die IT-Verantwortlichen setzen, wie sich ihre Budgets entwickeln und welche Techniken sie nutzen, hat Capgemini in einer Studie ermittelt.
www.computerwoche.de
SAP & Cloud
Cloud Financial Officer – E-3 Magazin
CFO Luka Mucic verlässt SAP kommendes Jahr. Das Vorstandsmitglied und CFO hat mit dem Aufsichtsrat seinen Rücktritt ausgehandelt, um sich beruflich neu zu…
e-3.de
S/4HANA in der Cloud: SAP lockt – die Anwender zögern – computerwoche.de
Die Anwender erwarten von SAP mehr Unterstützung auf ihrem Weg in die Cloud. Das reicht von Testsystemen, über Tools bis hin zu flexibleren Lizenzmodellen.
www.computerwoche.de
Cloud & Trust
Die Vertrauensfrage im Cloud-War der Hyperscaler
Vertrauen gehört zu den wichtigsten Faktoren für die Kundengewinnung und Kundenbindung, das wissen auch die großen Cloud-Anbieter. Dabei kommt den Fragen nach Datenschutz und Datensicherheit eine besondere Rolle zu. Wer hier punkten kann, hat die Nase vorn im Cloud-War. Innerhalb der EU ist dies aber nicht einfach, wie ein Blick auf Google, AWS und Azure zeigt.
www.cloudcomputing-insider.de
Security
Cybersicherheit: Die Resilienz der Infrastruktur erhöhen
Unternehmen und Behörden müssen sich auf einen erfolgreichen Angriff einstellen und Maßnahmen ergreifen, um im Falle eines Falles widerstandsfähig zu sein.
www.computerweekly.com
Bundeslagebild Cybercrime 2021: Deutschland von Cyberattacken besonders betroffen – CSO
Bundesweit 146.363 Delikte hat die Polizei im vergangenen Jahr im Bereich Cybercrime registriert – deutlich mehr als im Vorjahr. Wird es Hackern in Deutschland zu einfach gemacht?
www.csoonline.com
Enterprise-Mobility-Trends 2022: Security und Endpoint Management verschmelzen – computerwoche.de
Mit der zunehmenden Reife von Unified-Endpoint Management erweitern die Anbieter die Funktionalität und setzen auf “modernes Management”. Die Grenzen zwischen Endpoint-Management und Security verwischen.
www.computerwoche.de
Google, Apple und Microsoft: Tech-Allianz baut Login-Verfahren ohne Passwort aus – CSO
Sie haben lange gedient, sind mittlerweile aber nicht mehr sicher: Passwörter. Besser sind sogenannte Zwei-Faktor-Verfahren. Die Bedienbarkeit der zusätzlichen Sicherheitsstufe soll nun verbessert werden.
www.csoonline.com
Hacker & Wodka
„Tag der Befreiung“ ohne Wodka?: DDoS-Attacke unterbricht russische Alkohol-Lieferkette – computerwoche.deIm Cyberkrieg gegen die Invasoren aus Russland haben Hacker aus der Ukraine nun offenbar einen empfindlichen Nerv getroffen: Die Versorgung mit Wodka und anderen Spirituosen.www.computerwoche.de
Arbeitsmarkt & Organisation
Fachkräftemangel: Hippe Büros, sehr hohe Gehälter: Wie sich Unternehmen um Softwareentwickler bemühen
Softwareentwickler sind begehrt: Konzerne und Start-Ups reagieren auf den Fachkräftemangel mit hohen Gehältern und schicken Büros in Barcelona oder Porto.
nachrichten.handelsblatt.com
 Digitaler Job-Monitor Q1 2022: Digitalprofis trotz Konjunktursorgen sehr gefragt
Unternehmen suchen immer mehr Experten für Cloud-Computing und Onlinemarketing. Auch die Nachfrage nach KI-Spezialisten ist auf Rekordniveau.
www.handelsblatt.com
Softwarekonzern SAP: Freitags ohne Konferenzen | tagesschau.de
Bei Europas größtem Softwarekonzern SAP sollen Beschäftigte an Freitagen mehr Zeit haben “durchzuatmen”. Arbeitstreffen, Video- oder Telefonkonferenzen sind vor dem Wochenende künftig nicht mehr erwünscht.
www.tagesschau.de

Der wöchentliche Newsletter des CIO Kurator-Teams
 @ciokurator

Nachrichten, Meinungen und Informationen, die für CIOs relevant sind. Unterstützt von Kyndryl Deutschland Experten. Gemanagt von Lars Basche, Roland Seel und Stefan Pfeiffer

Link zum news.ciokurator.de – Hier kann man sich zum Newsletter anmelden

Der Newsletter des CIO Kurator-Teams #27: IoT und Cloud oder Google und Amazon – und vieles mehr

In dieser Woche haben wir ein buntes Potpourri an Themen kuratiert. Im Zentrum steht einmal mehr das Thema Cloud unter den Aspekten IoT und Cloud oder Google und Amazon. Und auch der Mainframe soll eine wichtige Rolle in Cloud-Umgebungen spielen. Doch der CIO von heute muss sich noch mit anderen Themen befassen. Dazu gehört der Fachkräftemangel ebenso wie die steigenden Anforderungen im ESG-Bereich (Environment, Social, Governance). Viel Spaß bei der Lektüre. Und natürlich freuen wir uns über Kommentare.

Cloud
Microsoft Azure vs. AWS vs. Google Cloud: Was bietet welche IoT-Cloud? – cio.de

Die drei großen Hyperscaler halten zusammen rund 80 Prozent des globalen IoT-Public-Cloud-Marktes. Die Marktforscher von IoT Analytics haben die Angebote von AWS, Azure und Google Cloud miteinander verglichen.
www.cio.de
Kampf über den Wolken: Google greift Amazon im Cloud-Geschäft an | Handelszeitung

Die Tech-Riesen kämpfen um Marktanteile im Geschäft um Online-basierte Speicher- und Serverdienste. Google hat erkannt, dass sich damit Milliarden verdienen
www.handelszeitung.ch
Stackit: Warum Lidl-Mutterkonzern Schwarz eine Cloud-Plattform startet

Die Schwarz-Gruppe expandiert und will seine neue Cloud-Plattform Stackit groß vermarkten. Die größte Zielgruppe des Lidl-Mutterkonzerns dafür wird der Mittelstand.
www.handelsblatt.com
Mainframe und Cloud
Mainframes: Großrechner – fit genug für das digitale Zeitalter? – cio.de

Die altehrwürdige Mainframe-Plattform steht vor einer Zukunft mit Open Source, Cloud, Containern und KI – und braucht dringend neue Talente.
www.cio.de
Managed Infrastructure
Vom Rechenzentrum in die Cloud: 4 Trends bei Managed Infrastructure – cio.de

Während die Anbieter ihre Vermarktungsstrategien anpassen, müssen die Unternehmen vorausschauend planen.
www.cio.de
Arbeitsmarkt
Arbeitsmarkt: Fehlende Fachkräfte kosten Unternehmen viel Geld | heise online

Nach Berechnungen von Stepstone kostet jede unbesetzte Stelle die Arbeitgeber durchschnittlich 29.000 Euro. Besonders teuer sind Vakanzen in der IT.www.heise.de
Umwelt, Soziales, Governance und der CIO
Environment, Social, Governance: So machen CIOs ESG-Daten nutzbar – cio.de

Das ESG-Berichte Daten aus dem gesamten Unternehmen und der Lieferkette vereinen, kann die CIO-Funktion helfen, solche Reports effizient zu erstellen.
www.cio.de
Security
Multi-Faktor-Authentifizierung etablieren: Die 10 häufigsten MFA-Ausreden – CSO

Wenn es um die Multi-Faktor-Authentifizierung geht, stoßen CSOs auf Widerstand von Nutzern, dem Management und sogar der IT-Abteilung. Lesen Sie, wie gegen MFA argumentiert wird – und wie Sie dem entgegentreten.
www.csoonline.com

Der wöchentliche Newsletter des CIO Kurator-Teams
 @ciokurator

Nachrichten, Meinungen und Informationen, die für CIOs relevant sind. Unterstützt von Kyndryl Deutschland Experten. Gemanagt von Lars Basche, Roland Seel und Stefan Pfeiffer

Link zum news.ciokurator.de – Hier kann man sich zum Newsletter anmelden

Rechenzentren sind das Antriebsrad der Digitalisierung – Und können nachhaltige Vorteile bringen

Die Kapazitäten von Rechenzentren sind von 2010 bis 2020 um stolze 84 Prozent gestiegen. Laut einer aktuellen Bitkom-Studie zum Entwicklungsstand in Deutschland gelten sie als Rückgrat der Digitalisierung. Sie müssen den wachsenden Bedarf an digitalen Anwendungen in der Wirtschaft und bei Verbrauchern decken können und haben dadurch großen Einfluss auf die wirtschaftliche Entwicklung. Mit dieser Entwicklung müssen Rechenzentren also mithalten können. Aber wo geht die Reise hin? Worauf müssen sich Betreiber in Zukunft einstellen? Und welche Rolle spielen Nachhaltigkeit und Ökosysteme bei der Realisierung neuer, größerer Standorte?  

Die Antworten darauf gibt Oxana Winkler, Projektmanagerin für Data Center Services bei Kyndryl Deutschland. Im Kyndryl Videointerview mit Moderator Stefan Pfeiffer erläutert sie, warum der Bau von Neubaugebieten und Rechenzentren miteinander zusammenhängen sollte und welche Rolle sie für den Standort Frankfurt am Main spielen. 

Die Kyndryl Data Center Services unterstützt Kunden bei der Planung und dem Bau von Rechenzentren. Die Kunden werden über den gesamten Prozess begleitet. Kyndryl führt Machbarkeitsstudien, Standortanalysen, Konzepterstellung, Planung und die komplette Bauleistung durch. So wird dem Kunden ein schlüsselfertiges Rechenzentrum bereitgestellt.  

Rechenzentren können mehr leisten, als man denkt 

„Wir erleben gerade die digitale Transformation, die besonders an Fahrt aufgenommen hat in den letzten beiden Jahren.“ 

Oxana Winkler, Kyndryl Deutschland

Oxana Winkler erklärt, dass die europaweiten Klimaziele auch die Data Center betreffen. Diese zeichnen sich naturgemäß durch einen hohen Stromverbrauch aus und müssen daher bis 2027 klimaneutral betrieben werden können. Die Möglichkeiten dafür sind vielfältig. Darüber hinaus können Rechenzentren auch anderswo zum Thema Nachhaltigkeit beitragen: 

Urban Farming und die Lebensmittelindustrie brauchen das ganze Jahr über Wärme. Ein Rechenzentrum kann einiges an Energie liefern.“ 

Oxana Winkler, Kyndryl Deutschland

Rechenzentren werden also immer wichtiger für die wirtschaftliche Entwicklung. Dabei müssen sie aber den klimagerechten Anforderungen gerecht werden. Aus Sicht von Oxana Winkler gibt es beim Umgang mit Data Centern noch einiges zu berücksichtigen:  

  1. Mehr Rechenzentren: Durch die steigenden Anforderungen der Wirtschaft wächst der Bedarf an Rechenzentren. Vor allem die Hyperscaler fördern das. Dafür benötigt es allerdings Platz und Planung.  
  1. Gute Planung: Rechenzentren sollten bereits bei der Stadtplanung fest berücksichtigt werden. So lassen sich Rechenzentren gut in eine Infrastruktur eingliedern und die entstandene Abwärme lässt sich anderweitig sinnvoll nutzen.  
  1. Upgraden statt abreißen: Alte Zentren müssen nicht gleich abgerissen und neugebaut werden. Moderne Lösungen aus dem Soft- und Hardware Bereich eignen sich hervorragend, um die Lebensdauer von Rechenzentren zu erhöhen.  

Zu diesen und mehr Themen können Sie persönlich mit dem Team des Kyndryl Data Center Service am 11. und 12. Mai auf der Data Centre World-Messe in Frankfurt sprechen. 

Sind kritische IT-Infrastrukturen gegen Cyberangriffe gewappnet? Was können wir noch tun? Interview mit Dominik Bredel

Die Gefahr der Cyberangriffe auf kritische Infrastrukturen treibt IT-Fachleute weltweit um – aktuell stärker denn je. Gerade erst war Log4j das alles beherrschende Thema. Jetzt warnen Behörden und Sicherheitsfachleute – auch hierzulande – vor zerstörerischen Malware-Angriffen auf IT-Systeme im Zuge der Ukraine-Krise. Am schlimmsten wären die Folgen bei Organisationen, die kritische Infrastrukturen betreiben. Also zum Beispiel Behörden und Krankenhäuser, aber auch Banken und Energieversorger. 

In dieser Ausgabe des regelmäßigen Kyndryl Security Talks teilt Dominik Bredel, Security-Experte bei Kyndryl in Deutschland, seine Einschätzung der aktuellen Lage. Er sagt, wie weit die Betreiber kritischer Infrastrukturen mit der Umsetzung der aktuell geltenden Sicherheitsvorschriften sind. Und er nennt drei Maßnahmen, mit denen Organisationen sich gegen Cyberangriffe schützen oder deren Folgen mildern können. 

Im Mittelpunkt von Dominik Bredels Arbeit steht die Business Continuity seiner Kunden und die ständige Anpassung an neue Sicherheitsbedrohungen und regulatorische Standards durch ganzheitliche Cybersecurity-Systeme mit präventiven und reaktiven Maßnahmen. Der Kyndryl-Experte betont, dass 80 Prozent der erfolgreichen Angriffe nach wie vor durch Fehlverhalten der End-User ermöglicht werden. Hier sieht er einen wichtigen Ansatzpunkt für den Schutz der IT-Infrastrukturen. Dabei müssten alle Mitarbeitenden mitgenommen werden:

„Das simple, oft unterschätzte Thema Endanwender muss wieder in den Vordergrund rücken.“ 

Dominik Bredel, Security-Experte Kyndryl

Der Cyberraum ist zum Ort der erweiterten Kriegsführung geworden 

Auch die Sicherheitsbehörden haben aufgerüstet. Grundsätzlich ist Dominik Bredel der Meinung, dass die aktuellen Vorschriften für Betreiber kritischer Infrastrukturen in die richtige Richtung gehen. Allerdings findet nach seiner Erfahrung die Umsetzung oft verzögert statt, da Security-Projekte meist kostenintensiv, komplex und nicht leicht zu realisieren sind. 

Diese Maßnahmen empfiehlt der Experte von Kyndryl gegen Cyberangriffe auf kritische Infrastrukturen: 

  1. Antizipieren: Nicht abwarten und schauen was passiert, sondern proaktiv handeln. Dazu gehören die Analyse von Anomalien im Netzwerk und Threat Hunting, zum Beispiel Suche nach Impossible Travel (ein Nutzer an zwei Orten eingeloggt), und vieles mehr. 
  1. Schützen: Sicherstellen, dass vorhandene Security-Maßnahmen korrekt funktionieren und korrekt konfiguriert sind. Dies umfasst Backup und Recovery, die Kopie des Active Directories sowie aktuelle Patches. 
  1. Standhalten:  Klarheit schaffen, was im Falle eines Cyberangriffs zu tun ist. Wann war die letzte Übung und Simulation? Wissen die Mitarbeitenden, wie sie einen Angriff melden? Kennen die relevanten Personen die Cybersecurity Playbooks? 

„Durch den Betrieb kritischer Infrastrukturen bringt Kyndryl jahrzehntelange Erfahrung mit, wie auf Angriffe und Bedrohungen zu reagieren ist. Auch in einer dynamischen Bedrohungslage gibt es bewährte Methoden, um neue Risiken zu antizipieren.“ 

Dominik Bredel, Security-Experte Kyndryl Deutschland

Kyndryl Talk: Expertenmeinungen zu aktuellen IT Themen in nur 30 Minuten

Wie wichtig Informationstechnologie und IT-Infrastruktur sind, wussten wir eigentlich schon immer. Doch so richtig deutlich geworden ist es in den vergangenen Monaten durch Ereignisse wie die Pandemie mit den Auswirkungen auf Homeoffice oder Lieferketten oder auch die Log4j Sicherheitslücke. Dabei scheint es so, dass sich IT immer dynamischer verändert, neue Technologien und Skills gefragt sind.

Hier gilt es, als IT-Verantwortlicher auf dem Stand der Dinge zu bleiben und sich informiert zu halten. Solche Informationen sammeln und publizieren wir hier auf dem CIO Kurator. Nun haben wir ein weiteres Format ins Leben gerufen: die Kyndryl Talk. In unseren ersten sechs Live-Sessions sprechen Experten aus unseren Practises, den Bereichen, in denen wir IT-Infrastrukturen für unsere Kunden betreiben, über brennende Fragen zu Cloud, Mainframe, Netzwerk, Applikationen, Sicherheit & Resilienz oder digitaler Arbeitsplatz. Sie teilen ihre persönliche Meinung, geben Einschätzungen, neutrale Tipps und Lösungsansätze aus dem Kyndryl Portfolio. 

Wollen Sie weitere Informationen zu den einzelnen Themen und Sessions. klicken Sie bitte auf die entsprechende Grafik, die sie dann auf LinkedIn mit detaillierterer Beschreibung des Themas führt. Sie können sich auch per E-Mail hier anmelden.

Wir freuen uns auf Ihre Anmeldungen und natürlich auch Fragen zu den verschiedenen Themen.

Kritische Infrastrukturen stehen 2022 im Fokus – und werden dort bleiben

Kritische Infrastrukturen sind in den vergangenen Wochen und Monaten erstmals in den Fokus der allgemeinen Öffentlichkeit gerückt. Aktuell wird heftig diskutiert, wie wir beispielsweise personell den Betrieb in Krankenhäusern aufrecht erhalten können, falls sich immer mehr Angestellte von Kliniken infizieren. Muss die Quarantänezeit eventuell reduziert werden? Wir alle erinnern uns noch an die Flutkatastrophe an der Ahr und was der Ausfall kritischer Infrastrukturen bedeuten kann. An diesen Beispielen wird gerade einer breiteren Öffentlichkeit deutlich, was kritische Infrastruktur bedeutet – und welche Folgen dort fehlendes Personal bewirken könnte.

Diese Frage stellt sich natürlich für alle Bereiche, die zur kritischen Infrastruktur beitragen, von Polizei bis zur Abfallentsorgung. Die Frage stabiler, resilienter Lieferketten ist eine andere Frage, die in den vergangenen Monaten in den Blickpunkt gerückt ist und die uns weiter beschäftigen wird. Das mag in Deutschland mit der Frage fehlenden Toilettenpapiers begonnen haben, geht aber unterdessen deutlich darüber hinaus. Fehlende Chips betreffen beispielsweise die Automobilindustrie – und das gerät natürlich im Autoland Deutschland damit auch ins allgemeine Bewusstsein.

Kritische Infrastrukturen – Alarmstufe Rot durch Log4j

Doch auch andere Ereignisse zahlen auf das Konto mehr Sensibilität für kritische Infrastrukturen ein. Ein Wendepunkt ist dabei die Log4j-Sicherheitslücke, die Ende 2021 bekannt wurde und nach Einschätzung vieler wohl „größte Schwachstelle in der Geschichte des modernen Computing„. Sicherheitslücken und Cyber-Attacken gab es schon lange Zeit vorher. Das reicht von den aktuellen Patches, die schon seit Jahren von IT-Abteilungen dringend eingespielt werden sollen, bis zu gezielten Angriffen, in denen Unternehmen oder auch Verwaltungen lahm gelegt werden.

Und es ist kein Problem, das erst 2021 aufgetreten ist. Man schaue sich nur einmal die Liste der Bedrohungen auf heise Security oder anderen entsprechenden Seiten an. Da kann man nur damit beginnen, zu weinen, frei nach WannaCry von 2017. Und wir können leicht noch weiter in die Vergangenheit zurück gehen. Kritische Infrastrukturen wurden und werden schon lange bedroht, durch Log4j könnte aber endlich ein neues Bewusstsein für Cyber Security entstehen. Und vielleicht denkt man endlich darüber nach, wie man solchen Bedrohungen neben den bekannten und bewährten Hausmitteln – spiele immer den neuesten Patch ein und so weiter – begegnen will.

Machen neue Modelle Sinn, in denen Unternehmen gemeinsam SWAT-Teams für Cyber Security oder SOCs (Security Operation Centers) aufstellen? Können gar IT Security-Experten, Verwaltung und Unternehmen in solchen Öffentlich-Privat-Experten-Konstellationen zusammen arbeiten, statt alleine den Security-Bedrohungen hinterher zu laufen? Die Fragen müssen endlich gestellt und durchdacht werden – im Sinne des Betriebs der kritischen Infrastrukturen.

Wie robust und stabil betreibe ich meine kritischen IT-Infrastrukturen?

Doch die Frage geht über das Thema Cyber Security hinaus. Generell müssen sich Unternehmen Gedanken machen, wie sie ihre IT-Infrastruktur robust, zuverlässig, resilient aufstellen – und was sie dafür bereit sind zu investieren. Ist mir als Unternehmen mein Betrieb so wichtig, dass ich aktive, kritische Anwendungen in zwei oder gar drei zeitlichen Regionen betreibe? Ist ein schnelles und vollautomatisches regionales Failover eine Option ?

Welche Rolle soll das eigene Rechenzentrum spielen, welche Anwendungen laufen dort, wie gewährleiste ich dort Ausfallsicherheit? Welche Mixtur an Multi-Cloud und Private Cloud und On Premise setze ich als Unternehmen ein? All das kostet natürlich auch entsprechend Geld und für diese Investitionen muss das Bewusstsein existieren, inklusive einer Risikobewertung.

Jenseits dieser eher an akuten Krisen orientierten Überlegungen stellt sich auch die Frage, wie Lösungen konzipiert und entwickelt werden. Baut man seine Anwendungen so, dass sie von der Cloud eines Hyberscalers in die Cloud eines anderen Hyperscalers oder gar die Private Cloud verschoben werden können, um Abhängigkeiten zu vermeiden? Auch das sind Überlegungen, die rund um die eigene kritische IT-Infrastruktur angestellt werden müssen.

CIO: Was mache ich selbst mit meinen Leuten? Wo hole ich externe Experten an Bord?

All diese Aspekte machen hoffentlich deutlich, dass das Thema kritische Infrastrukturen auf die Tagesordnung gehört. Natürlich müssen sich CIOs und IT-Abteilungen dem Aspekt IT-Infrastrukturen widmen. Man kann es sich einfach nicht mehr leisten, nicht hochprofessionell und schnell zu agieren. Der neueste Patch muss angesichts von Log4j und vergleichbaren Bedrohungen umgehend eingespielt werden. Dafür müssen die Ressourcen zur Verfügung stehen oder aber die entsprechenden Services müssen an externe Dienstleister vergeben werden. CIOs werden sich noch mehr fragen müssen, welche Aufgaben sie im Hause erledigen und wo sie sich – auch aufgrund des Mangels an IT-Spezialistinnen und -Spezialisten – externe Expertise zukaufen oder den Betrieb bestimmter Infrastrukturen outsourcen.

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Log4j und die Gefahr von Ransomware: Wie Unternehmen dem Angriff vorbeugen können 

Wie verwundbar Daten und Server sind, hat die kürzlich entdeckte Log4j Sicherheitslücke deutlich gezeigt: Ein Angriff auf ein unscheinbares Programm, Log4j als Teil einer weit verbreiteten Bibliothek für Java-Software, kann die größten Server- und Cloud-Dienste lahmzulegen. Hacker versuchen weltweit, diese Schwachstelle auszunützen: Sicherheitsforscher berichten etwa, dass eine berüchtigte Hacker-Gruppe, die sich auf Ransomware-Angriffe spezialisiert hat, gerade sehr aktiv ist.

Die Bedrohung durch Ransomware-Erpressung ist deshalb für Unternehmen gerade sehr aktuell – und wird auch 2022 eine ernstzunehmende Bedrohung bleiben. Die Angreifer zielen generell immer mehr auf Unternehmen ab und verweigern ihnen durch Verschlüsselungssysteme den Zugriff auf ihre Daten und Systeme. Diese digitalen Geiselnahmen lassen sich durch die Zahlung hoher Lösegelder beenden, um wieder Zugriff auf teils unternehmenskritische Inhalte zu haben. Deshalb zahlen viele Angegriffene dieses Lösegeld auch. Dieses Vorgehen hat sich deshalb mit der Zeit zu einer lukrativen Einkommensquelle entwickelt und nicht nur deswegen haben Ransomware-Angriffe für die US-Justizbehörde die gleiche Priorität in der Bekämpfung wie herkömmlicher Terrorismus. Das ist verständlich, wenn man etwa bedenkt, dass erst kürzlich Systeme des belgischen Militärs durch die Log4j-Lücke angegriffen und lahmgelegt wurden. Die Gefahr besteht nicht nur für Unternehmen, sondern auch auf der Ebene nationaler Infrastrukturen und Organisationen.

Die Vergangenheit zeigt, dass jedes Unternehmen unabhängig von Größe oder Branche zum Ziel eines Ransomware-Angriffs werden kann. Angreifer suchen mit nicht-spezifischen Ransomware-Varianten breit angelegt nach Zielen, die leicht angreifbar sind. Beispielsweise können Lieferanten oder Partnerbindungen als einfache Einfallstore dienen. Deshalb hat sich daraus ein florierendes Geschäft entwickelt, das sich fast schon einen normalen Anstrich gibt, indem Ransomware-as-a-Service in Onlineshops angeboten wird. So können auch Angreifer ohne Experten-Wissen Cyber-Angriffe ausführen. Wo früher nur technisch versierte Personen zu potenziellen Angreifern zählten, reicht heute allein kriminelle Energie.

Immer auf alles gefasst sein und einen Notfallplan vorbereiten

Wird diese Energie umgesetzt, hat das drastische Auswirkungen. Daher sollte Unternehmen optimal für den Ernstfall vorbereitet sein. Es gibt viele technologische Maßnahmen zur Abwehr, um Schäden für das Unternehmen so gering wie möglich zu halten. Ein hundertprozentiger Schutz ist allerdings nicht möglich und man muss immer darauf gefasst sein, Ziel eines Angriffs zu werden. Daher ist es wichtiger eine gute Strategie zur Schadensbegrenzung zu haben, als sich darauf zu verlassen, den Angriff abwehren zu können. Ein solcher Plan lässt sich durch die Kombination von vier technischen Maßnahmen erarbeiten.

  1. Man sollte sogenannte „Air Gaps“ implementieren
    „Air Gaps“ trennen die Produktionsumgebung von der Backup-Infrastruktur, so dass keinerlei Verbindungen zwischen beiden bestehen, außer es werden besagte Backups erstellt. Sie bieten so keine „Brücke“ zu den wichtigen Backup-Dateien während eines Ransomware-Angriffs.
  2. Unveränderbare Speicher sollten genutzt werden
    Diese waren in der Vergangenheit durch langsame Zugriffzeiten unattraktiv und nur wenig vielseitig einsetzbar. Heutzutage erlauben sie aber die Software-basierte Realisierung eines „write-once-ready-many“-Ansatzes und schnelle Wiederherstellungszeiten.
  3. Backup-Daten sollten kontinuierlich verifiziert werden
    Die regelmäßige Kontrolle der Backup Daten durch eine Datenvalidierungs-Engine kann sicherstellen, dass die Daten immer „sauber“ und „brauchbar“ sind.
  4. Automatisierte Disaster Recovery
    Die Kombination der vorangegangenen Techniken erlaubt ein unbeschadetes und unverschlüsseltes Backup, aus dem man alle unternehmenskritischen Daten wiederherstellen kann. Damit dies möglichst reibungslos und schnell nach oder während eines Angriffs passiert, sollte sie mit einer Automatisierungslösung versehen sein.

Diese vier Technologien und Mechanismen erlauben es Unternehmen innerhalb kürzester Zeit kritische Daten und Systeme aus den sicheren Backups wiederherzustellen, nachdem ein Ransomware Angriff erfolgreich war. Diese Sicherheitsstrategien verschaffen einen Vorsprung, sind eine gute Vorbereitung für das Worst-Case-Szenario und verringern die potenziellen Schäden effektiv. Kyndryl unterstützt Unternehmen als unabhängiger Technologie-Partner mit großer Erfahrung und dem richtigen Know-How bei sämtlichen Schritten eines solchen Vorbereitungsplans und steht beratend zur Seite.

Dieser Beitrag ist im Original im Handelsblatt ePaper zum Thema Cybersecurity & Datenschutz erschienen. Dominik Bredel hat in diesem Rahmen auch ein Videointerview zum Thema gegeben.

Dominik Bredel
Dominik Bredel

Dominik Bredel ist als Associate Partner bei Kyndryl für das Beratungsgeschäft im Bereich Security und Resiliency verantwortlich. Mit einem Team von erfahrenen Beratern und Architekten konzentriert er sich auf die Kombination von Informationstechnologie und Beratungsexpertise, um End-to-End-Lösungen für Kunden zu entwickeln.

Mit nahezu einem Jahrzehnt an Erfahrung in der Unternehmensberatung hat Dominik seine Fähigkeiten in zahlreichen Branchen wie Finanzdienstleistungen, Gesundheitswesen und Versicherungen unter Beweis gestellt. In seinen Projekten konzentriert sich Dominik auf die Aufrechterhaltung der Geschäftskontinuität seiner Kunden und die ständige Anpassung an neue Sicherheitsbedrohungen und regulatorische Standards.


Drei Beispiele zeigen: Unsere Unternehmens-IT ist sensibel und wir müssen handeln

Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).

An Log4j ist nicht Open Source schuld

Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.

Dass Software-Fehler leider- ich muss es so schreiben – zum traurigen IT-Alltag und damit zu unserer aller Alltag gehören, hat dann einmal wieder der Fehler in Microsoft Exchange zum Jahreswechsel demonstriert. Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022, titelt heise online. Einige Versionen des Exchange-Servers (2016 und 2019) lieferten zu Beginn des Jahres die E-Mails nicht aus, da ein falsches Datumsformat im integrierten Schadsoftware-Scanner nicht verarbeitet werden konnte. Der Fehler ist behoben, jedoch haben manche Server noch Schluckauf und es wird eine Weile dauern, bis sie alle E-Mails verdaut, sprich verschickt haben werden. Einmal mehr ein Indiz dafür, dass Systeme anfällig sind und wir von ihnen abhängen.

Ausfall von AWS legt nicht nur Disney+ und Netflix lahm

Gar nicht so sehr auf dem Radar hatte ich den Ausfall der Amazon Web Services Anfang Dezember 2021, von dem viele Unternehmen an der Ostküste der USA betroffen waren. Jedoch zeigt diese Störung exemplarisch, wie sehr Privatpersonen und Unternehmen von „der Cloud“, in diesem Falle dem Marktführer AWS abhängig sind. Plötzlich funktionierten Disney+, Netflix und die Geräte im Smart Home nicht mehr.

Doch wir befassen uns hier ja mit der Unternehmens-IT und dort mussten Firmen und Behörden feststellen, dass auch sie abhängig sind, selbst wenn sie glaubten, keine Verträge mit Amazon zu haben. Doch plötzlich liefen Trello oder Slack nicht mehr, eben weil diese Lösungen die Amazon Web Services nutzen.

Apropos Abhängigkeit von „der Cloud“: Meistens ist es eben nicht mehr eine Cloud, die Unternehmen nutzen.Wenn wir die Microsoft Office-Produkte im Einsatz haben, Trello oder Slack nutzen, auf SAP S/4 Hana migrieren oder andere Lösungen von HR bis zu den Lieferketten nutzen, haben wir als Unternehmen automatisch verschiedene Cloud-Anbieter im Einsatz, auch wenn es auf den ersten Blick nicht so wahrgenommen wird. Die Multi-Cloud ist heute meist schon Realität. Davon werden auch Unternehmen alleine aus Kostengründen nicht wegkommen. Einen Weg komplett zurück ins eigene Rechenzentrum ist wohl nicht mehr möglich. Stattdessen wird es eben die hybride Cloud-Welt geben, in der verschiedene Cloud-Anbieter sowie die Private Cloud im eigenen Data Center genutzt werden.

Herausforderungen für die Unternehmens-IT: Multi-Cloud, S/4 Hana, Cybersecurity

Alle beschriebenen Vorfälle zeigen, wie sensibel unsere kritischen IT-Infrastrukturen sind, wie schnell und konsequent wir oft reagieren müssen und wie viel Expertise wir beim Aufbau und vor allem dem laufenden Betrieb und dem Management der eigenen Unternehmens-IT benötigen. Cybersecurity ist vielleicht das Thema für 2022, der Aufbau und das Management einer hybriden Multi-Cloud bleibt neben der Migration auf SAP S/4 Hana, die bei vielen Unternehmen ansteht, auf der Agenda. Unternehmen werden sich darüber Gedanken machen müssen, wie sie in der Cloud-Welt möglichst unabhängig bleiben, Lösungen potentiell von einer Cloud in eine andere verschiebbar machen können. Sie werden sich damit befassen müssen, wie wichtig ihnen Ausfallsicherheit ist und was sie dafür bereit sind zu zahlen. Werden sie wirklich das Geld bereit stellen, um die kritischen Systeme in zwei oder gar drei Availability Zone zu betreiben?

Das alles sind besondere Herausforderungen in Zeiten, in denen IT-Fachleute krampfhaft gesucht werden, vom Sicherheitsexpertinnen und -experten bis zur Fachfrau und dem Fachmann für SAP. Ich wage die Prognose, dass Unternehmen und die Verwaltung externe Kompetenz und Partner ebenso benötigen, wie sie über neue Konzepte nachdenken sollten, um Kompetenz zu bündeln und gemeinsam zu nutzen, beispielsweise im Bereich Cybersecurity. Und die Fragen und Herausforderungen können nicht auf die lange Bank geschoben werden. Das haben die beschriebenen Vorfälle gezeigt.

Bild von Schäferle auf Pixabay

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Kurz kommentiert: BMW-Deal zeigt neue Möglichkeiten von Kyndryl auf

Kyndryl hat am Montag bekannt gegeben, dass das Unternehmen basierend auf NetApp-Technologie die Enterprise-Storage-Infrastruktur für BMW implementieren und betreiben wird. Die Ankündigung ist unter ganz verschiedenen Aspekten relevant, technologisch und beispielhaft für die neuen Freiheiten von Kyndryl.

Moderne Storage-as-a-Service-Lösung in der Cloud

Managed Storage-as-a-Service ist das zeitgemäße Konzept, um Speichermanagement heutzutage in den Griff zu bekommen, denn laut IDC wächst die weltweite Datenmenge bis zum Jahr 2024 auf 143 ZB an. Ein unvorstellbare Datenmenge. Diese Daten sollten nicht nur sicher gespeichert werden. Eine entsprechende Speicherinfrastruktur in der Cloud, die dann auch noch durch einen erfahrenen Dienstleister betrieben wird, ermöglicht es, das eigene Speichermanagement nach Bedarf nach oben (oder auch nach unten) zu skalieren und vor allem Daten weltweit immer an der Stelle zur Verfügung zu haben, wo sie im Geschäft oder für den Kunden benötigt werden. Eine derartige Lösung ist also zeitgemäß und wird von vielen Unternehmen benötigt.

Freie Wahl der Technologiepartner im Sinne des Kunden

Bei BMW arbeitet Kyndryl in Sachen Enterprise Storage mit NetApp als Partner zusammen. Dies zeigt neue Freiheit, neue Flexibilität in der Auswahl möglicher Partner und Technologien. Kyndryl kann Kunden jetzt die beste technologische Lösung empfehlen und ist keinem Druck ausgesetzt, eigene Software- oder Hardware-Produkte zu „verbauen“. Solche eigenen Produkte hat Kyndryl ganz einfach nicht mehr.

Präferenzen und bestehende Installationen der Kunden unterstützen

Aber man kann auch auf Präferenzen oder bestehende Installationen der Kunden reagieren und die entsprechenden Lösungen und Infrastrukturen sicher und stabil weltweit betreiben, also sich auf die eigenen Stärken im Betrieb fokussieren und diese ausspielen. Beide Szenarien eröffnen Kyndryl höhere Handlungsfreiheit und versprechen einen möglichen breiteren Zugang zu Kunden, wie auch Kyndryl Deutschland-Chef Markus Koerner auf LinkedIn kommentiert.

Enterprise Storage-Lösungen in viel höherem Maße replizieren

Natürlich wird das Unternehmen versuchen, Lösungen zu replizieren, also auch bei anderen Kunden in möglichst ähnlichen Konfigurationen einzusetzen, um so entsprechende Skalierungseffekte für Kyndryl und die Kunden zu erreichen. Es muss nicht immer die hochgradig individualisierte und ganz spezifische Lösung für den individuellen Kunden sein.

All diese Facetten zeigen beispielhaft, wohin die Reise von Kyndryl gehen soll. Lesen Sie dazu auch den Beitrag von Markus Koerner, Präsident von Kyndryl Deutschland.

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Kyndryl: Der erfolgreiche Beginn eines neuen Kapitels

Kyndryl ist in die Unabhängigkeit gestartet! Und das Ereignis wurde klangvoll untermalt: Kyndryl feierte seine Umwandlung in ein unabhängiges, börsennotiertes Unternehmen mit dem Läuten der Eröffnungsglocke an der New Yorker Börse. Kyndryl startet als der weltweit größte IT-Infrastrukturanbieter und verfolgt einen Ansatz, der die Bereiche Entwicklung, Sicherheit und IT-Betrieb umfassend integriert. Und zu diesem großen Ereignis werfen wir einen Blick in die aktuelle Berichterstattung. Was schreiben die Medien über das neue Unternehmen Kyndryl?

Das vormals integrierte Unternehmen geht mit beeindruckenden Zahlen ins Rennen. Weltweit kann der neue Big Player mit 90.000 Mitarbeitern, gut 19 Milliarden Dollar Jahresumsatz und einem langjährigen Kundennetzwerk aufwarten.

Das Handelsblatt schreibt dazu:

„IBM erfindet sich regelmäßig neu – doch das, was am heutigen Donnerstag ansteht, ist die wohl radikalste Veränderung in der 110-jährigen Unternehmensgeschichte: Vorstandschef Arvind Krishna spaltet den Konzern in zwei eigenständige Einheiten auf und bringt das Geschäft mit IT-Infrastrukturdienstleistungen unter dem kryptischen Namen Kyndryl an die Börse.“

Kyndryl wird seine Kunden mit umfassender Expertise in allen Bereichen von Beratungs- Implementierungs- und Managed Services unterstützen. Und hat ein großes Ökosystem zur Verfügung.

Golem.de  erläutert dies näher:

„So könne Kyndryl ohne IBM ein „viel größeres Ökosystem“ nutzen. Das Unternehmen arbeite beispielsweise mit Softwareherstellern wie VMWare und Netapp sowie den Cloud-Dienstleistern Amazon Web Services (AWS) und Microsoft zusammen, die mit IBM konkurrieren.“

Voller Fokus auf die Kundenzufriedenheit

Ein entscheidender Fokus von Kyndryl soll dabei auf der Kundenzufriedenheit liegen, wie Markus Koerner, Präsident von Kyndryl Deutschland, in einem Interview mit Computerwoche.de sagt:

„IBM ist eine Technologie-Firma, eine Hightech-Firma, wir sind ein People Business, bei uns geht es um die Kundenzufriedenheit.“

Und Marcus Koerner erläutert, warum ein “People Business” so große Vorteile für die Kunden bietet:

“It’s people business – das heißt Vertrauen zählt. Wir sind ein Startup mit 10.000 Jahren Erfahrung in Deutschland, alle meine Mitarbeiter haben im Schnitt 10 Jahre Erfahrung auf dem Buckel. Die Unterschrift unter einem Vertrag ist ja ein Vertrauensbeweis des Kunden uns gegenüber, und wir müssen in den nächsten fünf bis zehn Betriebsjahren beweisen, dass das Vertrauen gerechtfertigt war.”

Koerner ist davon überzeugt, dass das Unternehmen in Zukunft sehr erfolgreich sein wird: Als People Business ist Kyndryl mit seiner umfassenden Expertise Teil der Wertschöpfungskette der Kunden. Weitere entscheidende Erfolgsfaktoren sieht Koerner in zwei wichtigen Alleinstellungsmerkmalen von Kyndryl:

  • Kyndryl ist in 63 Ländern weltweit vertreten. Kaum ein Konkurrent kann so eine Präsenz vorweisen und einen vergleichbaren globalen IT-Standard anbieten. Marcus Koerner sagt:

„Das ist ein elementarer, aber wichtiger Wettbewerbsvorteil, denn häufig ist die IT die größte Barriere, ins Ausland zu gehen: Wie finde ich einen IT-Provider, der mir hilft, die IT in der gleichen Qualität überall nach gleichen Standards zu implementieren und auch zu betreiben? Das stellen wir sicher.“

  • Kyndryl besitzt ein sehr großes Kundennetzwerk. Durch diese Erfahrungen und Insights lassen sich auch mit Hilfe von Predictive Analytics Störungen noch besser vorhersagen lassen. Eine hohe Zahl von Kunden ermöglicht also auch eine höhere Kundenzufriedenheit.

Agiles Unternehmen und People Business

Und auch das Enablement der Mitarbeiter ist bei Kyndryl sehr wichtig: IT-Zoom hat ebenfalls mit Markus Koerner, Deutschland-Chef von Kyndryl, gesprochen. Marcus Koerner sagt im Interview:

„Wir sind ein agiles Unternehmen mit einer flachen Hierarchie. Die Qualität der Services, die wir erbringen, hängt sehr stark vom Mitarbeiter ab, der zum Beispiel für das Monitoring oder das Incident-Management verantwortlich ist. Es kommt immer auf sein Engagement an, auf seine Aufmerksamkeit und sein Know-how – und nicht nur auf die eingesetzten Tools. Und es kommt auf ein funktionierendes Team dahinter an, auf das unsere Expertinnen und Experten bei Bedarf zurückgreifen können.“

Ein weiteres Geheimnis des zukünftigen Erfolges ist somit laut Koerner, dass sich bei Kyndryl „alles um die Mitarbeiter dreht. Wir können nur dann erfolgreich sein, wenn unsere Mitarbeiter sich gut aufgehoben fühlen.“

Kyndryl startet also mit besten Voraussetzungen in die Zukunft.