Der Newsletter des CIO Kurator-Teams #28: Was CIOs umtreibt, SAP & Cloud, einige Security-Themen und … Wodka

Auf was sollte sich der CIO konzentrieren? Diese Frage wird in jedem Jahr gestellt und Berater geben Empfehlungen ab, in unserem Fall Cap Gemini. Wie viele Anbieter, will oder muss SAP mit seinen Lösungen in die Cloud. Doch das funktioniert noch nicht wie gewünscht. Und viele CIOs kennen den Schmerz: Man findet einfach nicht genug Experten. Zwei Artikel geben einen Überblick. Schließlich ist Security immer wieder ein Thema, vom Endpoint Management bis zu Hackerangriffen, die in Russland die Wodka-Zufuhr unterbrochen haben. Wir konnten uns nicht verkneifen, den letzteren Beitrag ebenfalls zu verlinken. Besonders möchten wir auch auf den Beitrag unseres Kyndryl-Kollegen Dominik Brendel aufmerksam machen. Viel Spaß bei der Lektüre!
CIO
Capgemini-Studie: Was CIOs 2022 umtreibt – computerwoche.de
Welche Prioritäten die IT-Verantwortlichen setzen, wie sich ihre Budgets entwickeln und welche Techniken sie nutzen, hat Capgemini in einer Studie ermittelt.
www.computerwoche.de
SAP & Cloud
Cloud Financial Officer – E-3 Magazin
CFO Luka Mucic verlässt SAP kommendes Jahr. Das Vorstandsmitglied und CFO hat mit dem Aufsichtsrat seinen Rücktritt ausgehandelt, um sich beruflich neu zu…
e-3.de
S/4HANA in der Cloud: SAP lockt – die Anwender zögern – computerwoche.de
Die Anwender erwarten von SAP mehr Unterstützung auf ihrem Weg in die Cloud. Das reicht von Testsystemen, über Tools bis hin zu flexibleren Lizenzmodellen.
www.computerwoche.de
Cloud & Trust
Die Vertrauensfrage im Cloud-War der Hyperscaler
Vertrauen gehört zu den wichtigsten Faktoren für die Kundengewinnung und Kundenbindung, das wissen auch die großen Cloud-Anbieter. Dabei kommt den Fragen nach Datenschutz und Datensicherheit eine besondere Rolle zu. Wer hier punkten kann, hat die Nase vorn im Cloud-War. Innerhalb der EU ist dies aber nicht einfach, wie ein Blick auf Google, AWS und Azure zeigt.
www.cloudcomputing-insider.de
Security
Cybersicherheit: Die Resilienz der Infrastruktur erhöhen
Unternehmen und Behörden müssen sich auf einen erfolgreichen Angriff einstellen und Maßnahmen ergreifen, um im Falle eines Falles widerstandsfähig zu sein.
www.computerweekly.com
Bundeslagebild Cybercrime 2021: Deutschland von Cyberattacken besonders betroffen – CSO
Bundesweit 146.363 Delikte hat die Polizei im vergangenen Jahr im Bereich Cybercrime registriert – deutlich mehr als im Vorjahr. Wird es Hackern in Deutschland zu einfach gemacht?
www.csoonline.com
Enterprise-Mobility-Trends 2022: Security und Endpoint Management verschmelzen – computerwoche.de
Mit der zunehmenden Reife von Unified-Endpoint Management erweitern die Anbieter die Funktionalität und setzen auf “modernes Management”. Die Grenzen zwischen Endpoint-Management und Security verwischen.
www.computerwoche.de
Google, Apple und Microsoft: Tech-Allianz baut Login-Verfahren ohne Passwort aus – CSO
Sie haben lange gedient, sind mittlerweile aber nicht mehr sicher: Passwörter. Besser sind sogenannte Zwei-Faktor-Verfahren. Die Bedienbarkeit der zusätzlichen Sicherheitsstufe soll nun verbessert werden.
www.csoonline.com
Hacker & Wodka
„Tag der Befreiung“ ohne Wodka?: DDoS-Attacke unterbricht russische Alkohol-Lieferkette – computerwoche.deIm Cyberkrieg gegen die Invasoren aus Russland haben Hacker aus der Ukraine nun offenbar einen empfindlichen Nerv getroffen: Die Versorgung mit Wodka und anderen Spirituosen.www.computerwoche.de
Arbeitsmarkt & Organisation
Fachkräftemangel: Hippe Büros, sehr hohe Gehälter: Wie sich Unternehmen um Softwareentwickler bemühen
Softwareentwickler sind begehrt: Konzerne und Start-Ups reagieren auf den Fachkräftemangel mit hohen Gehältern und schicken Büros in Barcelona oder Porto.
nachrichten.handelsblatt.com
 Digitaler Job-Monitor Q1 2022: Digitalprofis trotz Konjunktursorgen sehr gefragt
Unternehmen suchen immer mehr Experten für Cloud-Computing und Onlinemarketing. Auch die Nachfrage nach KI-Spezialisten ist auf Rekordniveau.
www.handelsblatt.com
Softwarekonzern SAP: Freitags ohne Konferenzen | tagesschau.de
Bei Europas größtem Softwarekonzern SAP sollen Beschäftigte an Freitagen mehr Zeit haben “durchzuatmen”. Arbeitstreffen, Video- oder Telefonkonferenzen sind vor dem Wochenende künftig nicht mehr erwünscht.
www.tagesschau.de

Der wöchentliche Newsletter des CIO Kurator-Teams
 @ciokurator

Nachrichten, Meinungen und Informationen, die für CIOs relevant sind. Unterstützt von Kyndryl Deutschland Experten. Gemanagt von Lars Basche, Roland Seel und Stefan Pfeiffer

Link zum news.ciokurator.de – Hier kann man sich zum Newsletter anmelden

Sind kritische IT-Infrastrukturen gegen Cyberangriffe gewappnet? Was können wir noch tun? Interview mit Dominik Bredel

Die Gefahr der Cyberangriffe auf kritische Infrastrukturen treibt IT-Fachleute weltweit um – aktuell stärker denn je. Gerade erst war Log4j das alles beherrschende Thema. Jetzt warnen Behörden und Sicherheitsfachleute – auch hierzulande – vor zerstörerischen Malware-Angriffen auf IT-Systeme im Zuge der Ukraine-Krise. Am schlimmsten wären die Folgen bei Organisationen, die kritische Infrastrukturen betreiben. Also zum Beispiel Behörden und Krankenhäuser, aber auch Banken und Energieversorger. 

In dieser Ausgabe des regelmäßigen Kyndryl Security Talks teilt Dominik Bredel, Security-Experte bei Kyndryl in Deutschland, seine Einschätzung der aktuellen Lage. Er sagt, wie weit die Betreiber kritischer Infrastrukturen mit der Umsetzung der aktuell geltenden Sicherheitsvorschriften sind. Und er nennt drei Maßnahmen, mit denen Organisationen sich gegen Cyberangriffe schützen oder deren Folgen mildern können. 

Im Mittelpunkt von Dominik Bredels Arbeit steht die Business Continuity seiner Kunden und die ständige Anpassung an neue Sicherheitsbedrohungen und regulatorische Standards durch ganzheitliche Cybersecurity-Systeme mit präventiven und reaktiven Maßnahmen. Der Kyndryl-Experte betont, dass 80 Prozent der erfolgreichen Angriffe nach wie vor durch Fehlverhalten der End-User ermöglicht werden. Hier sieht er einen wichtigen Ansatzpunkt für den Schutz der IT-Infrastrukturen. Dabei müssten alle Mitarbeitenden mitgenommen werden:

„Das simple, oft unterschätzte Thema Endanwender muss wieder in den Vordergrund rücken.“ 

Dominik Bredel, Security-Experte Kyndryl

Der Cyberraum ist zum Ort der erweiterten Kriegsführung geworden 

Auch die Sicherheitsbehörden haben aufgerüstet. Grundsätzlich ist Dominik Bredel der Meinung, dass die aktuellen Vorschriften für Betreiber kritischer Infrastrukturen in die richtige Richtung gehen. Allerdings findet nach seiner Erfahrung die Umsetzung oft verzögert statt, da Security-Projekte meist kostenintensiv, komplex und nicht leicht zu realisieren sind. 

Diese Maßnahmen empfiehlt der Experte von Kyndryl gegen Cyberangriffe auf kritische Infrastrukturen: 

  1. Antizipieren: Nicht abwarten und schauen was passiert, sondern proaktiv handeln. Dazu gehören die Analyse von Anomalien im Netzwerk und Threat Hunting, zum Beispiel Suche nach Impossible Travel (ein Nutzer an zwei Orten eingeloggt), und vieles mehr. 
  1. Schützen: Sicherstellen, dass vorhandene Security-Maßnahmen korrekt funktionieren und korrekt konfiguriert sind. Dies umfasst Backup und Recovery, die Kopie des Active Directories sowie aktuelle Patches. 
  1. Standhalten:  Klarheit schaffen, was im Falle eines Cyberangriffs zu tun ist. Wann war die letzte Übung und Simulation? Wissen die Mitarbeitenden, wie sie einen Angriff melden? Kennen die relevanten Personen die Cybersecurity Playbooks? 

„Durch den Betrieb kritischer Infrastrukturen bringt Kyndryl jahrzehntelange Erfahrung mit, wie auf Angriffe und Bedrohungen zu reagieren ist. Auch in einer dynamischen Bedrohungslage gibt es bewährte Methoden, um neue Risiken zu antizipieren.“ 

Dominik Bredel, Security-Experte Kyndryl Deutschland

Partnerschaft von Microsoft und Kyndryl: Der Blick über den Tellerrand

Am 12. November 2021 gaben Kyndryl und Microsoft den Ausbau ihrer globalen, strategischen Partnerschaft bekannt. Es geht bei dieser Partnerschaft vor allem um Microsoft Azure, Cloud-Dienstleistungen und darum, Unternehmen in die Microsoft Cloud zu bringen. Was bedeutet die Partnerschaft für Unternehmen in Deutschland? Was erhoffen sich Microsoft und Kyndryl davon und was bringen die beiden Unternehmen in die Partnerschaft ein? Stefan Pfeiffer spricht mit dem Analysten Axel Oppermann darüber, wo die Vorteile dieser Partnerschaft liegen. Axel Oppermann liefert als erfahrener IT-Marktanalyst und Microsoft-Experte eine unabhängige Sicht auf diese Ankündigung.

„Viele Unternehmen haben erkannt, dass Innovationen nur möglich sind, wenn entsprechende Infrastrukturen vorhanden sind.“

Axel Oppermann, IT-Analyst

Microsoft-Kunden erhalten durch diese Partnerschaft einen neuen Beratungs- und Integrationspartner, der ihnen dabei hilft, entsprechende Produkte und Dienstleistungen zu integrieren. Viele Unternehmen in Deutschland stehen derzeit vor einer Modernisierung ihrer IT-Infrastruktur und dabei steht das Thema Konsolidierung und damit zusammenhängend eine innovative Cloud-Strategie auf dem Plan. Dabei gebe es laut Oppermann Studien, die zeigen, dass über 30 Prozent der Cloud-Projekte nicht die erhofften Ergebnisse bringen.

Dabei sind Partner und Dienstleister vor allem wichtig, die richtige Balance zwischen Cloud- und On Premise-Lösungen sowie die richtige Strategie zu finden. Dabei brauche es Dienstleister, die nicht nur die Microsoft-Brille aufhaben, sondern einen ganzheitlichen Blick liefern. Dies gelte auch im Sinne einer internationalen Abdeckung, wie Kyndryl sie liefert. Dies ist nicht nur für die großen Unternehmen, sondern auch für den gehobenen Mittelstand interessant und da fülle Kyndryl eine Lücke, die es derzeit im Partner-Netzwerk von Microsoft in Deutschland noch gibt.

Eine Partnerschaft, die allen Beteiligten dient

Neben des Nutzens dieser Partnerschaft für die Kunden geht Axel Oppermann im Gespräch mit Stefan Pfeiffer noch darauf ein, welche Vorteile die Ankündigung für Microsoft und Kyndryl selbst bedeutet.

„Es fehlen derzeit Partner, die die Strategie von Microsoft schnell in den Markt bringen und den ganzheitlichen Blick mitbringen.“

Axel Oppermann, IT-Analyst

Partner wie Kyndryl bringen auch Kunden mit, die bisher keinen Fokus auf Microsoft-Produkte gelegt haben. Diesen kann man nun Microsoft-gestützte ganzheitliche Systeme anbieten. Das gleiche gilt auch für Kyndryl, die ihren Kundenstamm ebenfalls erweitern können. Der Ausbau von Multi-Cloud- oder Hybrid-Cloud-Systemen, Anwendungs-Modernisierungen oder Security-Anforderungen können so effektiver umgesetzt und optimiert werden. Die ganzheitliche und gemeinsame Beratung vor Ort und individuell wird für die nun gemeinsamen Kunden möglich gemacht.

Kurz zusammengefasst:

„Diese Ankündigung zeigt mal wieder, wie wichtig Partnerschaften und Ökosysteme in der IT-Industrie sind.“

Axel Oppermann, IT-Analyst

Kritische Infrastrukturen stehen 2022 im Fokus – und werden dort bleiben

Kritische Infrastrukturen sind in den vergangenen Wochen und Monaten erstmals in den Fokus der allgemeinen Öffentlichkeit gerückt. Aktuell wird heftig diskutiert, wie wir beispielsweise personell den Betrieb in Krankenhäusern aufrecht erhalten können, falls sich immer mehr Angestellte von Kliniken infizieren. Muss die Quarantänezeit eventuell reduziert werden? Wir alle erinnern uns noch an die Flutkatastrophe an der Ahr und was der Ausfall kritischer Infrastrukturen bedeuten kann. An diesen Beispielen wird gerade einer breiteren Öffentlichkeit deutlich, was kritische Infrastruktur bedeutet – und welche Folgen dort fehlendes Personal bewirken könnte.

Diese Frage stellt sich natürlich für alle Bereiche, die zur kritischen Infrastruktur beitragen, von Polizei bis zur Abfallentsorgung. Die Frage stabiler, resilienter Lieferketten ist eine andere Frage, die in den vergangenen Monaten in den Blickpunkt gerückt ist und die uns weiter beschäftigen wird. Das mag in Deutschland mit der Frage fehlenden Toilettenpapiers begonnen haben, geht aber unterdessen deutlich darüber hinaus. Fehlende Chips betreffen beispielsweise die Automobilindustrie – und das gerät natürlich im Autoland Deutschland damit auch ins allgemeine Bewusstsein.

Kritische Infrastrukturen – Alarmstufe Rot durch Log4j

Doch auch andere Ereignisse zahlen auf das Konto mehr Sensibilität für kritische Infrastrukturen ein. Ein Wendepunkt ist dabei die Log4j-Sicherheitslücke, die Ende 2021 bekannt wurde und nach Einschätzung vieler wohl „größte Schwachstelle in der Geschichte des modernen Computing„. Sicherheitslücken und Cyber-Attacken gab es schon lange Zeit vorher. Das reicht von den aktuellen Patches, die schon seit Jahren von IT-Abteilungen dringend eingespielt werden sollen, bis zu gezielten Angriffen, in denen Unternehmen oder auch Verwaltungen lahm gelegt werden.

Und es ist kein Problem, das erst 2021 aufgetreten ist. Man schaue sich nur einmal die Liste der Bedrohungen auf heise Security oder anderen entsprechenden Seiten an. Da kann man nur damit beginnen, zu weinen, frei nach WannaCry von 2017. Und wir können leicht noch weiter in die Vergangenheit zurück gehen. Kritische Infrastrukturen wurden und werden schon lange bedroht, durch Log4j könnte aber endlich ein neues Bewusstsein für Cyber Security entstehen. Und vielleicht denkt man endlich darüber nach, wie man solchen Bedrohungen neben den bekannten und bewährten Hausmitteln – spiele immer den neuesten Patch ein und so weiter – begegnen will.

Machen neue Modelle Sinn, in denen Unternehmen gemeinsam SWAT-Teams für Cyber Security oder SOCs (Security Operation Centers) aufstellen? Können gar IT Security-Experten, Verwaltung und Unternehmen in solchen Öffentlich-Privat-Experten-Konstellationen zusammen arbeiten, statt alleine den Security-Bedrohungen hinterher zu laufen? Die Fragen müssen endlich gestellt und durchdacht werden – im Sinne des Betriebs der kritischen Infrastrukturen.

Wie robust und stabil betreibe ich meine kritischen IT-Infrastrukturen?

Doch die Frage geht über das Thema Cyber Security hinaus. Generell müssen sich Unternehmen Gedanken machen, wie sie ihre IT-Infrastruktur robust, zuverlässig, resilient aufstellen – und was sie dafür bereit sind zu investieren. Ist mir als Unternehmen mein Betrieb so wichtig, dass ich aktive, kritische Anwendungen in zwei oder gar drei zeitlichen Regionen betreibe? Ist ein schnelles und vollautomatisches regionales Failover eine Option ?

Welche Rolle soll das eigene Rechenzentrum spielen, welche Anwendungen laufen dort, wie gewährleiste ich dort Ausfallsicherheit? Welche Mixtur an Multi-Cloud und Private Cloud und On Premise setze ich als Unternehmen ein? All das kostet natürlich auch entsprechend Geld und für diese Investitionen muss das Bewusstsein existieren, inklusive einer Risikobewertung.

Jenseits dieser eher an akuten Krisen orientierten Überlegungen stellt sich auch die Frage, wie Lösungen konzipiert und entwickelt werden. Baut man seine Anwendungen so, dass sie von der Cloud eines Hyberscalers in die Cloud eines anderen Hyperscalers oder gar die Private Cloud verschoben werden können, um Abhängigkeiten zu vermeiden? Auch das sind Überlegungen, die rund um die eigene kritische IT-Infrastruktur angestellt werden müssen.

CIO: Was mache ich selbst mit meinen Leuten? Wo hole ich externe Experten an Bord?

All diese Aspekte machen hoffentlich deutlich, dass das Thema kritische Infrastrukturen auf die Tagesordnung gehört. Natürlich müssen sich CIOs und IT-Abteilungen dem Aspekt IT-Infrastrukturen widmen. Man kann es sich einfach nicht mehr leisten, nicht hochprofessionell und schnell zu agieren. Der neueste Patch muss angesichts von Log4j und vergleichbaren Bedrohungen umgehend eingespielt werden. Dafür müssen die Ressourcen zur Verfügung stehen oder aber die entsprechenden Services müssen an externe Dienstleister vergeben werden. CIOs werden sich noch mehr fragen müssen, welche Aufgaben sie im Hause erledigen und wo sie sich – auch aufgrund des Mangels an IT-Spezialistinnen und -Spezialisten – externe Expertise zukaufen oder den Betrieb bestimmter Infrastrukturen outsourcen.

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Log4j und die Gefahr von Ransomware: Wie Unternehmen dem Angriff vorbeugen können 

Wie verwundbar Daten und Server sind, hat die kürzlich entdeckte Log4j Sicherheitslücke deutlich gezeigt: Ein Angriff auf ein unscheinbares Programm, Log4j als Teil einer weit verbreiteten Bibliothek für Java-Software, kann die größten Server- und Cloud-Dienste lahmzulegen. Hacker versuchen weltweit, diese Schwachstelle auszunützen: Sicherheitsforscher berichten etwa, dass eine berüchtigte Hacker-Gruppe, die sich auf Ransomware-Angriffe spezialisiert hat, gerade sehr aktiv ist.

Die Bedrohung durch Ransomware-Erpressung ist deshalb für Unternehmen gerade sehr aktuell – und wird auch 2022 eine ernstzunehmende Bedrohung bleiben. Die Angreifer zielen generell immer mehr auf Unternehmen ab und verweigern ihnen durch Verschlüsselungssysteme den Zugriff auf ihre Daten und Systeme. Diese digitalen Geiselnahmen lassen sich durch die Zahlung hoher Lösegelder beenden, um wieder Zugriff auf teils unternehmenskritische Inhalte zu haben. Deshalb zahlen viele Angegriffene dieses Lösegeld auch. Dieses Vorgehen hat sich deshalb mit der Zeit zu einer lukrativen Einkommensquelle entwickelt und nicht nur deswegen haben Ransomware-Angriffe für die US-Justizbehörde die gleiche Priorität in der Bekämpfung wie herkömmlicher Terrorismus. Das ist verständlich, wenn man etwa bedenkt, dass erst kürzlich Systeme des belgischen Militärs durch die Log4j-Lücke angegriffen und lahmgelegt wurden. Die Gefahr besteht nicht nur für Unternehmen, sondern auch auf der Ebene nationaler Infrastrukturen und Organisationen.

Die Vergangenheit zeigt, dass jedes Unternehmen unabhängig von Größe oder Branche zum Ziel eines Ransomware-Angriffs werden kann. Angreifer suchen mit nicht-spezifischen Ransomware-Varianten breit angelegt nach Zielen, die leicht angreifbar sind. Beispielsweise können Lieferanten oder Partnerbindungen als einfache Einfallstore dienen. Deshalb hat sich daraus ein florierendes Geschäft entwickelt, das sich fast schon einen normalen Anstrich gibt, indem Ransomware-as-a-Service in Onlineshops angeboten wird. So können auch Angreifer ohne Experten-Wissen Cyber-Angriffe ausführen. Wo früher nur technisch versierte Personen zu potenziellen Angreifern zählten, reicht heute allein kriminelle Energie.

Immer auf alles gefasst sein und einen Notfallplan vorbereiten

Wird diese Energie umgesetzt, hat das drastische Auswirkungen. Daher sollte Unternehmen optimal für den Ernstfall vorbereitet sein. Es gibt viele technologische Maßnahmen zur Abwehr, um Schäden für das Unternehmen so gering wie möglich zu halten. Ein hundertprozentiger Schutz ist allerdings nicht möglich und man muss immer darauf gefasst sein, Ziel eines Angriffs zu werden. Daher ist es wichtiger eine gute Strategie zur Schadensbegrenzung zu haben, als sich darauf zu verlassen, den Angriff abwehren zu können. Ein solcher Plan lässt sich durch die Kombination von vier technischen Maßnahmen erarbeiten.

  1. Man sollte sogenannte „Air Gaps“ implementieren
    „Air Gaps“ trennen die Produktionsumgebung von der Backup-Infrastruktur, so dass keinerlei Verbindungen zwischen beiden bestehen, außer es werden besagte Backups erstellt. Sie bieten so keine „Brücke“ zu den wichtigen Backup-Dateien während eines Ransomware-Angriffs.
  2. Unveränderbare Speicher sollten genutzt werden
    Diese waren in der Vergangenheit durch langsame Zugriffzeiten unattraktiv und nur wenig vielseitig einsetzbar. Heutzutage erlauben sie aber die Software-basierte Realisierung eines „write-once-ready-many“-Ansatzes und schnelle Wiederherstellungszeiten.
  3. Backup-Daten sollten kontinuierlich verifiziert werden
    Die regelmäßige Kontrolle der Backup Daten durch eine Datenvalidierungs-Engine kann sicherstellen, dass die Daten immer „sauber“ und „brauchbar“ sind.
  4. Automatisierte Disaster Recovery
    Die Kombination der vorangegangenen Techniken erlaubt ein unbeschadetes und unverschlüsseltes Backup, aus dem man alle unternehmenskritischen Daten wiederherstellen kann. Damit dies möglichst reibungslos und schnell nach oder während eines Angriffs passiert, sollte sie mit einer Automatisierungslösung versehen sein.

Diese vier Technologien und Mechanismen erlauben es Unternehmen innerhalb kürzester Zeit kritische Daten und Systeme aus den sicheren Backups wiederherzustellen, nachdem ein Ransomware Angriff erfolgreich war. Diese Sicherheitsstrategien verschaffen einen Vorsprung, sind eine gute Vorbereitung für das Worst-Case-Szenario und verringern die potenziellen Schäden effektiv. Kyndryl unterstützt Unternehmen als unabhängiger Technologie-Partner mit großer Erfahrung und dem richtigen Know-How bei sämtlichen Schritten eines solchen Vorbereitungsplans und steht beratend zur Seite.

Dieser Beitrag ist im Original im Handelsblatt ePaper zum Thema Cybersecurity & Datenschutz erschienen. Dominik Bredel hat in diesem Rahmen auch ein Videointerview zum Thema gegeben.

Dominik Bredel
Dominik Bredel

Dominik Bredel ist als Associate Partner bei Kyndryl für das Beratungsgeschäft im Bereich Security und Resiliency verantwortlich. Mit einem Team von erfahrenen Beratern und Architekten konzentriert er sich auf die Kombination von Informationstechnologie und Beratungsexpertise, um End-to-End-Lösungen für Kunden zu entwickeln.

Mit nahezu einem Jahrzehnt an Erfahrung in der Unternehmensberatung hat Dominik seine Fähigkeiten in zahlreichen Branchen wie Finanzdienstleistungen, Gesundheitswesen und Versicherungen unter Beweis gestellt. In seinen Projekten konzentriert sich Dominik auf die Aufrechterhaltung der Geschäftskontinuität seiner Kunden und die ständige Anpassung an neue Sicherheitsbedrohungen und regulatorische Standards.


Drei Beispiele zeigen: Unsere Unternehmens-IT ist sensibel und wir müssen handeln

Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).

An Log4j ist nicht Open Source schuld

Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.

Dass Software-Fehler leider- ich muss es so schreiben – zum traurigen IT-Alltag und damit zu unserer aller Alltag gehören, hat dann einmal wieder der Fehler in Microsoft Exchange zum Jahreswechsel demonstriert. Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022, titelt heise online. Einige Versionen des Exchange-Servers (2016 und 2019) lieferten zu Beginn des Jahres die E-Mails nicht aus, da ein falsches Datumsformat im integrierten Schadsoftware-Scanner nicht verarbeitet werden konnte. Der Fehler ist behoben, jedoch haben manche Server noch Schluckauf und es wird eine Weile dauern, bis sie alle E-Mails verdaut, sprich verschickt haben werden. Einmal mehr ein Indiz dafür, dass Systeme anfällig sind und wir von ihnen abhängen.

Ausfall von AWS legt nicht nur Disney+ und Netflix lahm

Gar nicht so sehr auf dem Radar hatte ich den Ausfall der Amazon Web Services Anfang Dezember 2021, von dem viele Unternehmen an der Ostküste der USA betroffen waren. Jedoch zeigt diese Störung exemplarisch, wie sehr Privatpersonen und Unternehmen von „der Cloud“, in diesem Falle dem Marktführer AWS abhängig sind. Plötzlich funktionierten Disney+, Netflix und die Geräte im Smart Home nicht mehr.

Doch wir befassen uns hier ja mit der Unternehmens-IT und dort mussten Firmen und Behörden feststellen, dass auch sie abhängig sind, selbst wenn sie glaubten, keine Verträge mit Amazon zu haben. Doch plötzlich liefen Trello oder Slack nicht mehr, eben weil diese Lösungen die Amazon Web Services nutzen.

Apropos Abhängigkeit von „der Cloud“: Meistens ist es eben nicht mehr eine Cloud, die Unternehmen nutzen.Wenn wir die Microsoft Office-Produkte im Einsatz haben, Trello oder Slack nutzen, auf SAP S/4 Hana migrieren oder andere Lösungen von HR bis zu den Lieferketten nutzen, haben wir als Unternehmen automatisch verschiedene Cloud-Anbieter im Einsatz, auch wenn es auf den ersten Blick nicht so wahrgenommen wird. Die Multi-Cloud ist heute meist schon Realität. Davon werden auch Unternehmen alleine aus Kostengründen nicht wegkommen. Einen Weg komplett zurück ins eigene Rechenzentrum ist wohl nicht mehr möglich. Stattdessen wird es eben die hybride Cloud-Welt geben, in der verschiedene Cloud-Anbieter sowie die Private Cloud im eigenen Data Center genutzt werden.

Herausforderungen für die Unternehmens-IT: Multi-Cloud, S/4 Hana, Cybersecurity

Alle beschriebenen Vorfälle zeigen, wie sensibel unsere kritischen IT-Infrastrukturen sind, wie schnell und konsequent wir oft reagieren müssen und wie viel Expertise wir beim Aufbau und vor allem dem laufenden Betrieb und dem Management der eigenen Unternehmens-IT benötigen. Cybersecurity ist vielleicht das Thema für 2022, der Aufbau und das Management einer hybriden Multi-Cloud bleibt neben der Migration auf SAP S/4 Hana, die bei vielen Unternehmen ansteht, auf der Agenda. Unternehmen werden sich darüber Gedanken machen müssen, wie sie in der Cloud-Welt möglichst unabhängig bleiben, Lösungen potentiell von einer Cloud in eine andere verschiebbar machen können. Sie werden sich damit befassen müssen, wie wichtig ihnen Ausfallsicherheit ist und was sie dafür bereit sind zu zahlen. Werden sie wirklich das Geld bereit stellen, um die kritischen Systeme in zwei oder gar drei Availability Zone zu betreiben?

Das alles sind besondere Herausforderungen in Zeiten, in denen IT-Fachleute krampfhaft gesucht werden, vom Sicherheitsexpertinnen und -experten bis zur Fachfrau und dem Fachmann für SAP. Ich wage die Prognose, dass Unternehmen und die Verwaltung externe Kompetenz und Partner ebenso benötigen, wie sie über neue Konzepte nachdenken sollten, um Kompetenz zu bündeln und gemeinsam zu nutzen, beispielsweise im Bereich Cybersecurity. Und die Fragen und Herausforderungen können nicht auf die lange Bank geschoben werden. Das haben die beschriebenen Vorfälle gezeigt.

Bild von Schäferle auf Pixabay

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Das Dilemma von Business, Cyber-Security und Resilienz: Wie Unternehmen die Balance halten.

Unternehmen stehen vor einer großen Herausforderung: Sie sind ständig damit beschäftigt, ihre Produkte anzubieten und sich gleichzeitig zu verändern. Es ist ein Balanceakt – die aktuellen Projekte  am Laufen zu halten und sich gleichzeitig zu transformieren, um zukünftige Chancen zu nutzen. All diese Bemühungen können jedoch bedeutungslos sein, wenn das Unternehmen, seine Kunden und andere wichtige Vermögenswerte nicht angemessen geschützt werden können, Zum Beispiel vor Bedrohungen im Bereiche Cyber-Security.

Deshalb müssen wir zu einem Modell übergehen, das die Widerstandsfähigkeit in den Vordergrund stellt. Ein solches Modell orientiert sich an den Geschäftsergebnissen und unterstützt gleichzeitig das Risikoniveau , das ein Unternehmen zu tragen bereit ist. Dies erfordert jedoch tiefgreifende Änderung in der Kultur und Denkweise der Sicherheitsteams.

Viele denken, dass sie sich an den Bedürfnissen ihres  Unternehmens orientieren. Doch was sind diese Bedürfnisse eigentlich genau? Wir müssen mit den Verantwortlichen der Geschäftsbereiche zusammenarbeiten, um deren Prioritäten und Erfolgsmaßstäbe zu ermitteln.  Solche Gespräche sind die Basis  für eine echte Partnerschaft die eine kontinuierliche Anpassung gewährleistet und die bestmöglichen Ergebnisse liefert. Bei diesem Wandel geht es darum, dass Cyber-Security in das gesamte Unternehmen eingebettet wird. So wird die Sicherheit  gewährleistet, die für  Unternehmen so entscheidend ist.

Aber auch die Sicherheit muss mit den Veränderungen Schritt halten, die für eine nahtlose Bereitstellung innovativer Lösungen erforderlich sind. Und solche Lösungen sind wichtig: Sie ermöglichen eine Differenzierung vom Wettbewerb und eine schnellere Akzeptanz durch die Verbraucher. Wie lange hat es beispielsweise gedauert, bis die Entwicklungs- und Betriebsteams ihren Ansatz von Wasserfall über Agile zu DevOps geändert haben? Unternehmen, die diese älteren Ansätze immer noch verwenden, werden jedoch von ihren Konkurrenten überholt.

Zusammenarbeit verschiedener Geschäftsbereiche für mehr Cyber-Security

Wie kann der Aufbau einer echten Partnerschaft zwischen den verschiedenen Geschäftsbereichen unterstützt werden? Auch  bei diesem Prozess  unterstützt ein  Modell, das über die Sicherheit hinausgeht und sich stattdessen auf die Widerstandsfähigkeit – die Resilienz – im Cyberspace konzentriert. Ein Schlüsselelement dieses Ansatzes ist, Business-Teams zu ermutigen, gemeinsam Prioritäten und Erfolge zu definieren. Viele Unternehmen haben damit begonnen, Informationssicherheitsbeauftragte / CISOs in ihre Geschäftsbereiche einzubinden, um dieses Ziel zu erreichen. Ich stelle immer wieder fest, dass diese Stellen mit hoch ambitionierten und hoch qualifizierten Menschen besetzt werden. Oft fehlt ihnen aber der Unterbau in der Organisation, um effektiv die wichtigsten zentralen Prozesse zur Bereitstellung von Cyber-Security und Cyber-Resilienz aufzubauen. 

Leider werden wir nicht in der Lage sein, alles in gleichem Maße zu schützen. Aber wenn Unternehmen nicht von Anfang an Sicherheit in die innovativen Funktionen, die neu eingeführt werden, einbinden, dann wird die Sicherheit weiterhin aufholen müssen. Es ist von entscheidender Bedeutung, in die Bereiche zu investieren, denen höchste Priorität eingeräumt wird.  Nur so kommt ein Unternehmen weiter voran und kann sich schützen, wenn etwas passiert. Dieser Ansatz ermöglicht es , Sicherheit  in die digitalen Veränderungen im Unternehmen zu integrieren. 

In jüngster Zeit haben wir die Auswirkungen von erzwungenen, schnellen organisatorischen Veränderungen erlebt, die schon seit geraumer Zeit aufgeschoben wurden. Dabei ging es meist um die Frage, wie Mitarbeiter ihre Arbeitspflichten unabhängig von ihrem Aufenthaltsort weiterhin erfüllen können. Darüber hinaus mussten Unternehmen ihre Umstellung auf Cloud-basierte Funktionen beschleunigen. Und die ganze Zeit über taten die Sicherheitsteams ihr Bestes, um mit diesen schnellen  Veränderungen Schritt zu halten.

Lernen aus Veränderungen

Wir haben in kurzer Zeit einige bemerkenswerte Dinge gelernt. Erste Erkenntnis: Es ist entscheidend, sich schnell anzupassen und den sicheren Zugriff auf Systeme, Anwendungen und Daten zu gewährleisten, die die Mitarbeiter benötigen, um das Unternehmen am Laufen zu halten. Und zweitens muss das Unternehmen selbst bei ungünstigen Ereignissen Gestaltungsmöglichkeiten erkennen und diese nutzen, um so  zukünftiges Wachstum zu ermöglichen.

Drittens ist es von entscheidender Bedeutung, dass wir unseren Ansatz von der reinen Cyber-Security und einem schmalen NIST-Modell zu einem Ansatz verlagern, der sich darauf konzentriert, unsere Organisationen widerstandsfähig gegen Cyber-Angriffe zu machen. Unternehmen haben in der Vergangenheit DevOps schnell eingeführt und weiterentwickelt , sind auf Cloud-Umgebungen umgestiegen und haben ihre Bemühungen um die digitale Transformation insgesamt beschleunigt. Dabei wurde die Sicherheit immer wieder vernachlässigt. Infolgedessen nehmen aufsehenerregende Sicherheitsvorfälle stark zu – und dies wird auch zukünftig so  sein. Immerhin hat die digitale Entwicklung dazu geführt, dass die Sicherheit nun auf der Prioritätenliste der C-Level-Führungskräfte nach oben gerückt ist.

Ein hervorragendes Beispiel hierfür ist der „2021 Global Risks Report„, der vom Weltwirtschaftsforum veröffentlicht wurde. Im diesjährigen Bericht ist „Cybersecurity failure“ auf Platz 4 der globalen Risiken aufgestiegen, was die Relevanz und Wahrscheinlichkeit auf kurze Sicht (null bis zwei Jahre) angeht. Nur gesellschaftliche Risiken (wie Infektionskrankheiten) und Umweltrisiken (wie extreme Wetterereignisse) sind von größerer Bedeutung.

Fragen Sie sich, wie Sie Ihr Unternehmen führen und gleichzeitig umgestalten: Habe ich den richtigen Ansatz gewählt, um sicherzustellen, dass wir das Cyber-Risiko für unser Unternehmen reduzieren? Kontaktieren Sie mich gerne per LinkedIn, wenn Sie sich diese Fragen stellen und Antworten suchen.

Florian Walling
Florian Walling

Florian Walling ist Senior Solution Sales Specialist  Security & Resiliency Services
bei Kyndryl Deutschland GmbH. Mit seinem Hintergrund als IT-Consultant für komplexe Infrastruktur Change Projekte und Fachmann für Security-Lösungen ist Florian Walling ein gefragter Experte, wenn es um Cyber Resiliency geht.

Multi-Cloud: Darf es ein bisschen Cloud mehr sein?

Nach dem aktuellen State of the Cloud-Report von Flexera nutzen 92% der großen Unternehmen in Europa ein Multi-Cloud-Modell. Ein Großteil davon kombiniert eine oder mehrere Private Clouds mit einer oder mehreren Public Clouds zu einer Hybrid Cloud.

Diese große Zahl mag zunächst überraschen. Man muss aber bedenken, dass eine Multi-Cloud-Landschaft entweder strategisch gewollt ist, aber auch die Folge  einer fehlenden oder unklaren Cloud-Strategie sein kann. In letzterem Fall hat sich ein Teil der IT-Landschaft eines Unternehmens in eine Art Shadow IT verwandelt. Hier definieren und implementieren Fachbereiche ihre eigenen Standards. Die unternehmenseigene IT erscheint ihnen zu langsam oder nicht flexibel genug.

Multi-Cloud kann auch das Ergebnis eines Unternehmenszusammenschlusses sein. Oder es resultiert aus der Einführung von Office 365 und damit verbunden Azure, während bereits Anwendungen in AWS oder GCP laufen.

Im Schnitt nutzen die Unternehmen Cloud Services von zwei bis drei Anbietern.

Da Multi-Cloud die Realität für die meisten Unternehmen ist, ist es umso wichtiger, sich die Vorteile wie auch die Herausforderungen eines solchen Modells bewusst zu machen.

Häufig genannte Vorteile einer Multi-Cloud sind

  • Verringerter Vendor Lock-in, da man sich unabhängiger von einzelnen Anbietern macht.
  • Kostenvorteile oder erweiterte Funktionalität, da man Services dort beziehen kann, wo sie am günstigsten sind oder wo man die besten Features erhält.
  • Katastrophen-Vorsorge, für den Fall, dass ein Provider ausfällt.
  • Datenschutz, wenn Unternehmen aus Gründen der Datensicherheit Daten in gewissen Regionen halten müssen, die manche Cloud Anbieter unterstützen, andere jedoch nicht.

Der Vorteil der Kostenersparnis in einem Multi-Cloud-Modell lässt sich vermutlich am schwierigsten realisieren. Immerhin benötigt man redundante Netzwerk-Anbindungen an nicht mehr nur eine, sondern zwei oder mehrere Clouds. Zusätzlich benötigt man eventuell noch Anbindungen der Clouds untereinander. Die Aufteilung von Workloads auf mehrere Clouds führt unter Umständen zu schlechteren volumenabhängigen Rabattstaffeln bei den Anbietern. Der Entwicklungs- und Testaufwand steigt, da selbst bei der Verwendung von Terraform und Container-Technologien die Anwendungen auf die Gegebenheiten der unterschiedlichen Clouds angepasst oder zumindest parametrisiert werden müssen.

Aber auch die Katastrophen-Vorsorge in einem Multi-Cloud-Modell sollte man sich genauer betrachten.  Alle Cloud-Dienstleister bieten Disaster Recovery Szenarien innerhalb ihres eigenen Cloud-Verbundes. Diese sind erprobt und werden durch Technologie und Automatisierung unterstützt. Die Anbieter achten sorgfältig darauf, dass die verschiedenen Regionen keine gemeinsamen Komponenten teilen, die zum „Single Point of Failure“ werden können. In einem Multi-Cloud-Modell liegt diese Verantwortung dagegen beim Anwender. Es nützt wenig, seine Anwendung auf zwei Provider zu verteilen, wenn diese sich mit ihren Cloud-Rechenzentren im gleichen Gebäude angesiedelt haben oder eine gemeinsame externe Komponente, z.B. einen Netzwerk-Kontenpunkt, teilen.

Multi-Cloud-Modelle bringen aber noch weitere Herausforderungen mit sich

  • Erhöhte Anforderungen an die Mitarbeiter und damit Schulungsbedarf, um die Technologien mehrere Cloud-Anbieter bedienen zu können.
  • Management Overhead um Standards, Richtlinien und Verfahren für mehrere Cloud Anbieter zu erstellen und zu pflegen.
  • Die Verteilung von Daten auf mehrere Anbieter erhöht die potenzielle Angriffsfläche.
  • Funktionseinschränkungen, wenn man zur Vermeidung des Vendors lock-ins nur auf den kleinsten gemeinsamen Nenner an Funktionalität zwischen den Anbietern setzt.
  • Erhöhter Administrationsaufwand, Komplexität und Schnittstellen bei der Verwendung von operationalen Tools unterschiedlicher Anbieter.

Um die Herausforderungen zu meistern, bietet sich die Nutzung von entsprechenden Management-Plattformen an, die eine Abstraktionsschicht über die verschiedenen Clouds legen. Darüber hinaus können Service Provider (MSP), die sich auf Cloud Workload spezialisiert haben, bei der Umsetzung der Cloud-Strategie helfen.

Thomas Petzke
Thomas Petzke

Senior Solutions Architect, Kyndryl Deutschland GmbH

Kyndryl-Quiz zum European Cyber Security Awareness Month: Welchen Schaden richten Cyber-Angriffe an?

Gerade hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland 2021 vorgestellt. Der Präsident der Behörde, Arne Schönbohm, bezeichnet die Situation als „besorgniserregend“. Er weist auf „die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen“ hin. Umso wichtiger ist es, dass die Sensibilität für die Thematik wächst und die gemeinsame Verantwortung wahrgenommen wird. Security und Resiliency muss (endlich) ernst genommen werden.

Das BSI hat deshalb dazu aufgerufen, beim European Cyber Security Month (ECSM) im Oktober 2021 mitzumachen. Cyber-Sicherheit soll in den Fokus von Bevölkerung, Unternehmen und Organisationen gerückt werden. Projekte, die IT-Sicherheit fördern, sollen sichtbar gemacht werden. Auch wir wollen diese Aktion fördern und haben deshalb dieses kleine Quiz erstellt.

Und wir geben konkrete Ratschläge, wie sich Unternehmen und öffentliche Verwaltung auf Bedrohungen einstellen sollten, um eine hohe Widerstandsfähigkeit (Resilienz) und Sicherheit zu erzielen. Das Thema ist hochaktuell.