Konzentrieren Sie sich auf Ihr Business und überlassen Sie die Verwaltung Ihrer IT‑Systeme den Profis

• Trends
• Gespräch

Eines ist sicher: Hackerangriffe gibt es und wird es weiterhin geben. Man kann sich nur im Voraus darauf vorbereiten und das Risiko auf ein Minimum reduzieren. Cybersicherheit muss komplex angegangen werden, es bedarf eines Gesamtplans, der einzuhalten ist, wie Michal Kárník, Chief Information Officer bei Aimtec, in einem Interview erklärt. Wir haben ihn gefragt, welche Ansätze seiner Meinung nach den reibungslosen Betrieb von Informationssystemen gewährleisten können, damit sich der Kunde im Idealfall um nichts kümmern muss.

Michal, du bist IT-Experte und arbeitest seit Jahren in einem etablierten Technologieunternehmen. Hast du ein einfaches Rezept zur Vermeidung von Cyberangriffen und dem damit verbundenen Verlust von Kontrolle, Reputation und Geld? Welche Vorsichtsmaßnahmen sollten Unternehmen treffen?

Ein einfaches Rezept gibt es nicht. Man muss sich die potenziellen Risiken eines solchen Angriffs vor Augen führen und die Cybersicherheit komplex angehen. Die ISO-Norm 27001 zum Beispiel kann ein guter Wegweiser sein. Sie definiert Bereiche, die berücksichtigt werden müssen. Jede Maßnahme, die in einem bestimmten Bereich implementiert wird, verringert das Risiko eines erfolgreichen Cyberangriffs und seine möglichen Folgen. IT-Sicherheit umfasst verschiedene Ebenen, wie z. B. physische Sicherheit, Netzwerksicherheit, Identitäts- und Zugriffsmanagement, Endpunktsicherheit oder Datensicherheit. Wer seine eigene Hardware hat, muss auch dafür sorgen, dass ausreichend Support durch den Hersteller gewährt und sie ggf. ausgetauscht wird.

Du sagst, es sei wichtig, sich ständig der potenziellen Risiken von Übergriffen bewusst zu sein. Wie kann man das deiner Meinung nach richtig angehen?

Eine perfekte Lösung gibt es nicht, daher arbeiten wir immer mit einem gewissen Risiko. Das Ziel besteht darin, es auf ein Minimum zu reduzieren, was aber auch mit Investitionen und anschließend höheren Betriebskosten verbunden ist. Zunächst müssen die einzelnen Systeme bewertet und nach ihrer Bedeutung in Hinblick auf Verfügbarkeit und Auswirkungen auf den Unternehmensbetrieb kategorisiert werden. Anschließend lässt sich ihre Sicherheit schrittweise verbessern oder man kann nach einer geeigneten Lösung suchen. In jedem Fall empfehle ich, ein Szenario für den Fall des Falles einzubeziehen und einen Disaster-Recovery-Plan bereitzuhalten.

Wie geht man mit Backups um? Reicht es aus, die Daten täglich zu sichern?

Die Pflege von Backups und die Einrichtung eines guten Backup-Verfahrens sind unerlässlich. Es wird zwangsläufig die Situation eintreten, in der das Unternehmen die Backups tatsächlich benötigt. Einen guten Backup-Plan zu entwerfen, ist gar nicht so einfach. Kritische Systeme müssen in Bezug auf ihre Bedeutung und die Auswirkungen im Fall ihrer Nichtverfügbarkeit identifiziert werden. Anschließend sind die erforderlichen RPO- und RTO-Parameter zu bestimmen. RPO (Recovery Point Objective) bezeichnet den Punkt in der Vergangenheit, bis zu dem Daten wiederhergestellt werden können, bzw. den maximalen Datenverlust. RTO (Recovery Time Objective) ist die Zeit, in der sich das Backup wiederherstellen lässt. Damit verbunden ist die Frage des Backup-Speichers und seiner Sicherung. 

Was sind die Vorteile einer Cloud-Lösung neben der erwähnten Datensicherung?

Die Cloud bietet zahlreiche Vorteile. Zu den wichtigsten würde ich die Elastizität der Infrastruktur zählen. Sie besteht darin, dass man aktuell benötigte Ressourcen (Server mit Rechenleistung) mieten und zusammenstellen kann. Man muss nicht warten, bis jemand die benötigte zusätzliche Hardware liefert. Mit der Elastizität verbunden ist eine höhere Verfügbarkeit der Anwendung und die bereits erwähnte Datensicherung. Große Cloud-Anbieter verfügen über mehrere unabhängige Datenzentren, und bei einem Hardwareausfall können die Dienste auch am anderen Ende der Welt gestartet werden. Die Anwendung kann außerdem in mehreren Datenzentren gleichzeitig laufen. Dadurch wird das Risiko einer Fehlfunktion der Hardware oder ihres unerwarteten Ausfalls erheblich verringert. Die Cloud ermöglicht zudem einen hohen Grad an Automatisierung.

In letzter Zeit stoße ich immer häufiger auf den Begriff SaaS. Was hat dieser Dienst mit der Cloud zu tun, und warum sollte ihn der Kunde in Erwägung ziehen?

Als ISV (Independent Software Vendor) entwickeln wir die Anwendung und betreiben sie gleichzeitig in der Cloud. Dabei nutzen wir alle ihre Vorteile, um eine hohe Verfügbarkeit und Zuverlässigkeit zu gewährleisten. Die Anwendung stellen wir unseren Kunden dann als Dienstleistung, sog. SaaS (Software as a Service), zur Verfügung. Wenn sich der Kunde für eine SaaS-Lösung entscheidet, „konsumiert“ er nur den Service und muss sich um nichts kümmern. Alles regelt der Anbieter. Vereinfacht ausgedrückt: Seine Mitwirkung besteht lediglich darin, sich vom Computer aus einzuloggen.

Macht es aus deiner Sicht einen wesentlichen Unterschied, ob man sich als IT-Anbieter beim Kunden um On-Premise-Systeme oder Systeme in der Cloud kümmert?

Wenn wir bei uns ein On-Premise-System betreuen, können wir als Lieferant lediglich 20 % der auftretenden Situationen selbst lösen und beeinflussen, die restlichen 80 % müssen in Zusammenarbeit mit dem Kunden behoben werden. Das verlangsamt die Sache. Bei der Cloud erledigen wir 80 % der Dinge schnell und flexibel selbst und nur 20 % erfordern die Zusammenarbeit mit dem Kunden. Wir sind also dreimal schneller.

Und wie sieht es mit den Betriebskosten aus, wenn man den Systembetrieb in Eigenregie mit dem in der Cloud vergleicht?

Meiner Erfahrung nach sind die Kosten für On-Premise- und Cloud-Lösungen gleich oder sehr ähnlich. Bei den On-Premise-Lösungen wird oft vergessen, die Kosten für internes Personal, Betrieb und Erneuerung der Hardware, einschließlich des Rechenzentrums, sowie den 24/7-Support einzurechnen. 

Das alles regelt teilweise die Cloud, und zusätzlichen Wert generiert ein in Form von SaaS bereitgestelltes System. Das Unternehmen kann sich damit auf sein Kerngeschäft konzentrieren. Darin sehe ich den Hauptnutzen.

Artikel teilen