Mitnichten! Moderne Softwarearchitekturen ermöglichen Softwareanbietern immer schneller, neue Funktionalitäten für ihre Kunden zu entwickeln und auszuliefern. Sie sind dafür gemacht, in kürzester Zeit angepasst, neu zusammengesetzt oder erweitert zu werden,um ein Maximum an Marktdifferenzierung zu schaffen.
Kein Wunder also, dass beispielsweise der IT Analyst Gartner prophezeit, dass im Jahre 2025 95% aller neuen digitalen Projekte Cloud Native Technologie voraussetzen.

Auswirkungen auf die IT Infrastruktur? Stress.

Was die Fachanwender freut und damit immer mehr Softwareanbieter antreibt, auch ihre Produkte zu modernisieren, schafft allerdings auch neue Herausforderungen für den IT-Betrieb. Insbesondere Mittelständler ohne eigene Softwareentwicklung haben nur wenig oder gar keine Erfahrung darin, komplexe Microservices-basierte Applikationen und die dafür notwendigen Infrastrukturen aufzubauen und am Leben zu erhalten.

Mit der marktführenden Plattform für Cloud Native Applikationen – OpenShift – konnte Red Hat in den letzten Jahren ein massives Wachstum durch die Effizienzsteigerung der Entwicklungsteams unserer Kunden von bis zu 300% verzeichnen.

Inzwischen erreichen die Anbieter aber immer öfter Hilferufe aus den IT Betriebsabteilungen – ein Beispiel: “Wir müssen in kürzester Zeit mit einer zugekauften Fachanwendung live gehen, die nur mit Kubernetes betrieben werden kann – dafür haben wir weder Prozesse, Kapazitäten noch das notwendige Fachpersonal!”

Auch wenn sich die Installation von OpenShift binnen Minuten erledigen lässt, so zeigen die letzten 8 Jahre am Markt doch immer wieder, dass gerade die Integration der bestehenden IT und die oft notwendige Abänderung von Kundenprozessen sich deutlich langwieriger gestalten. Viele Unternehmen schätzen die Marktlage falsch ein und warten zu lange, diesen Modernisierungsprozess zu durchlaufen. Kurz vor zwölf bricht Hektik aus und eine Umsetzung kommt teuer oder schlägt im schlimmsten Fall spektakulär fehl…

Zeitgewinn Managed Services

Einen dringend nötigen Aufschub für diese Fälle bieten Managed Services. In Partnerschaft mit AWS, Microsoft Azure, IBM Cloud, Google und vielen anderen Herstellern bietet Red Hat Managed OpenShift Services an – der Kunde muss sich lediglich um seine Anwendungen und Daten kümmern, die gesamte Infrastruktur darunter und alle Cloud Native Komponenten drumherum werden von Red Hat Site Reliability Engineers betrieben.

Ergebnisse einer Studie von Canon Europe

In einer kürzlich durchgeführten Studie im Auftrag von Canon Europe wurden zwischen dem 8. und 23. Februar 2022 insgesamt 3.008 IT-Entscheider:innen und Nutzer:innen in sieben europäischen Märkten befragt, darunter Deutschland, Spanien, Frankreich, Großbritannien, die Niederlande und Schweden. Die Ergebnisse geben interessante Einblicke in die Herausforderungen, vor denen Unternehmen stehen, wenn es um den Übergang zu einem hybriden Arbeitsmodell geht.

Von allen Teilnehmer:innen der Studie gaben ca. zwei Drittel an, zumindest teilweise am Schreibtisch in Unternehmen mit mehr als 50 Angestellten zu arbeiten. Das übrige Drittel waren IT-Entscheider:innen auf mittlerer Führungsebene oder höher, die alleinige Entscheidungsbefugnis oder erheblichen Einfluss auf die IT-Infrastruktur, Lösungen und/oder Drucker und dazugehörige Geräte hatten.

Ein bemerkenswerter Befund der Studie ist, dass immer noch ein beträchtlicher Anteil der Mitarbeitenden nicht effektiv im hybriden Modell arbeiten kann. Dies deutet darauf hin, dass Mitarbeitende überwiegend im Büro arbeiten, weil ihre Technologie einfach nicht ausreichend ist, um die Arbeit aus der Ferne zu erledigen.

Dokumentenbasierte Abläufe

Darüber hinaus berichten Mitarbeitende, die in einem hybriden Modell arbeiten, von Problemen bei der Durchführung von End-to-End-Geschäftsprozessen. Obwohl die Unternehmen die Grundlagen geschaffen haben, zeigt die Studie, dass die meisten ihre dokumentenbasierten Abläufe noch an die Anforderungen einer neuen hybriden Arbeitswelt anpassen müssen.

Marc Bory, Leitender Direktor für Planung, Marketing und Innovation bei Canon Europe und Geschäftsführer bei IRIS, kommentiert die Ergebnisse wie folgt: „Die Unternehmen haben zwar die Grundlagen geschaffen, doch unsere Studie zeigt, dass die meisten ihre dokumentenbasierten Abläufe erst noch für eine neue hybride Welt umgestalten müssen.“Die Studie verdeutlicht also, dass Unternehmen weiterhin vor Herausforderungen stehen, um ein reibungsloses hybrides Arbeitsmodell zu ermöglichen. Es bedarf einer sorgfältigen Überprüfung der vorhandenen Technologien und dokumentenbasierten Abläufe, um sicherzustellen, dass Mitarbeitende sowohl im Büro als auch remote effektiv arbeiten können.

Im letztem Teil der Blog Serie betrachten wir Auswirkungen eines Blackouts auf ein Unternehmen.

!Achtung! Dieser Blog deckt nicht alle zu berücksichtigenden Situationen ab, die eine deutliche und nachhaltig negative Auswirkung haben können. Eine individuelle Betrachtung der Konstellationen im eigenen Unternehmen ist daher unabdingbar.

Welche Themen sollten bearbeitet werden?

Allgemein gültige Abläufe oder Pläne im Blackoutfall, die für alle Unternehmen gelten, existieren nicht. In der Wirtschaft wird unter verschiedensten Rahmenbedingungen und in unterschiedlichsten Aufgabengebieten gearbeitet, je nach Branche und Größe mehr oder weniger personalintensiv oder technologieabhängig. Daher ist es unverzichtbar, individuelle Überlegungen anzustellen und Pläne zu erarbeiten, um möglichst unbeschadet durch eine Krise zu kommen.

So kann auf technischer Ebene ein geregeltes Abschalten von Servern oder Maschinen sinnvoll sein, manchmal ist es aber auch notwendig, mit einer Ersatzenergieversorgung die Zeit des Stromausfalles zu überbrücken.

Die Abhängigkeiten von Lieferanten, Transportlogistiken, externen Rechenzentren, Applikationen oder Daten in der Cloud sind in die Überlegungen einzuarbeiten und über Hypothesen und Szenarien zu Maßnahmenplänen zu verdichten, um das Blackout bestmöglich abzufedern.

Hypothesen

Mit Hypothesen werden die Rahmenbedingen festgelegt, innerhalb derer die weitere Vorbereitung auf einen Blackout erfolgt. Diese können je Unternehmen sehr unterschiedlich sein (Bürobetrieb, Produktionsbetrieb, Pflegeeinrichtung, Schichtdienste, 24-Stundenbetrieb, 8 Stunden 5 Tage die Woche, etc.).

Szenarien

Mit Hilfe der Szenarien wird versucht, die zu überlegenden Ereignisse sinnvoll einzuschränken und damit die zu planenden Maßnahmen in einem wirksamen, aber überschaubaren Rahmen zu halten.

Ein Beispiel für Szenarien könnte sein:

Der Blackout tritt im Sommer ein / der Blackout tritt im Winter ein
Der Blackout tritt während der Arbeitszeit ein / der Blackout tritt außerhalb der Arbeitszeit ein.
Dieses Beispiel zeigt somit vier „Handlungsstränge“ auf, die auf zwei Varianten (innerhalb und außerhalb der Arbeitszeit) basieren und saisonale Ausprägungen haben.

Mobilität

Die voraussichtlich eingeschränkte Mobilität kann dazu führen, dass relevante Personen des Unternehmens nicht zur Verfügung stehen (können).

Infrastruktur

Vorbereitungen der Infrastruktur befassen sich u.a. mit dem Gebäude/Unternehmenszugang (z.B. funktionieren die elektronischen Schlösser auch ohne Strom und wie lange?), der Funktionalität von Aufzügen bei Blackout (Evakuierungsfahrt oder mechanische Bergung), der Mobilität innerhalb des Unternehmens ( Mitarbeiter:innen mit besonderen Bedürfnissen, Rollstuhlfahrer:innen), der Notstromversorgungen und deren Wartung/Testung, der Sicherstellung der internen Kommunikation (beispielsweise mit Handfunkgeräten, Satellitentelefonen, Zivilfunk) sowie der Entscheidung, wie lange welche Services aufrecht erhalten bleiben.

Entscheidungen

Auf Grund des Ausfalls von Kommunikation und Mobilität besteht eine realistische Wahrscheinlichkeit, dass die übliche weisungsgebende Hierarchie nicht oder nur teilweise anwesend ist. Es wird auch nicht möglich sein, diese Personen remote (da keine Kommunikation) in die Entscheidungsprozesse einzubinden.

Als Alternative zu den üblichen hierarchischen Weisungsketten empfiehlt sich – abgeleitet vom SKKM (Staatliches Krisen- und Kommunikationsmanagement) – ein vor dem Blackout erarbeiteter Maßnahmenplan.

Taskforce

Als Taskforce bezeichnet man eine für eine begrenzte Zeit gebildete Arbeitsgruppe [mit umfassenden Entscheidungskompetenzen] zur Lösung komplexer Probleme.

Diese Taskforce löst definierte Aufgabenstellungen im kommunikationsfreien, immobilen Umfeld ohne Verfügbarkeit von ausreichend verfügbaren Schlüsselarbeitskräften und hierarchischen Strukturen.

Mitarbeiter:innen

Die Vorsorgequote in Österreich liegt, nach den kommunizierten Zahlen, bei ca. 15%. Diese Größenordnung kann auch bei den eigenen Mitarbeiter:innen angenommen werden. Das führt im Anlassfall zu Aufregung und Unsicherheit. Die Angst und Sorge um Angehörige kann von deutlichen emotionalen Reaktionen bis zu unüberlegten Handlungen führen.

Mitarbeiter:innen, die sich bei einem Blackout an ihrem Arbeitsplatz im Unternehmen befinden, werden unter Umständen keine Möglichkeit haben, nach Hause zu kommen (körperliche Disposition, zu große Entfernung, Sicherheitsbedenken,…). Es ist daher sinnvoll zu überlegen, wie man mit so einer Situation umgehen möchte und welche Hilfestellungen angeboten werden können. Empfehlenswert ist die regelmäßige Information der Mitarbeiter:innen über Vorbereitungstätigkeiten im Unternehmen (vgl. Angst kommt von Mangel an Information), ebenso eine laufende Motivation zur Eigenvorsorge.

Heizung

Moderne Heizungsanlagen funktionieren ohne Stromversorgung nicht. Damit sind vor allem für kalten Monate Überlegungen sinnvoll, was für die „gestrandeten“ Mitarbeiter:innen gemacht werden könnte (z.B.: Decken)

Kühlung

Die Kühlung fällt ebenfalls aus, vom Eiskasten bis zur Klimaanlage. Zu beachten sind auch Kühleinrichtungen, die für den Unternehmensbetrieb (z.B. Lebensmittel) oder die IT notwendig sind.

Wasserver- und Abwasserentsorgung

Mit den zuständigen Organen der Stadt oder des Orts, an dem das Unternehmen den Firmensitz hat, ist zu klären, wie die Wasserver- und Abwasserentsorgung bei einem Blackout gemanagt wird.

Ist eine Wasserver- und Abwasserentsorgung ohne Strom möglich? Wenn nein, hat die Gemeinde Vorsorge mit Notstromlösungen getroffen? Wenn es eine notstromgestützte Versorgung gibt ist zu klären, für welchen Zeitraum diese ausgelegt ist. Braucht es ggfs. eine Notbevorratung an Wasser (abhängig von der erwarteten Zahl an Personen im Haus)?

Organisatorische Vorbereitungen, Mitarbeiter:innen

Empfehlenswert ist auch die Erarbeitung eines Modells, wie das Management der Mitarbeiter:innen im Anlassfall aussehen soll. Ein Kommunikationsplan für den Blackout, in dem die konventionellen Kommunikationseinrichtungen im Haus nicht zur Verfügung stehen, ist anzuraten.

Kritische Infrastruktur

Dazu gehören als Beispiel die Telefonanlage, die IT, aber auch die technische Infrastruktur und Automatisation des Gebäudes (Türsteuerungen, Beschattungen, Netzwerkgeräte, WLAN Accesspoints, etc.). Diese kritische Infrastruktur ist, vor allem bei Wiedereinschalten des Stroms, stark gefährdet (Spannungsspitzen, Interferenzen u.ä.) und könnte dauerhaft ausfallen. Überlegenswert ist – wenn möglich – diese Infrastruktur stromlos zu machen, bis die stabile Stromversorgung wieder hergestellt ist.

Einrichtungen des Unternehmens

Produktionseinrichtungen, chaotische Lager, Kühlketten etc. sind Bereiche, die unmittelbar vom Ausfall der Stromversorgung betroffen sind. Hier sollte berücksichtig werden, dass ein Neustart möglicherweise nur verzögert möglich ist (Reinigung, Desinfektion, manchmal Ersatz). Auch zu bedenken sind mögliche weitere Produktions- und Logistikausfälle, die zu Einschränkungen bei der Nachbeschaffung führen können. Mangelndes systemkritisches Personal kann die Situation verschärfen.

IT – welche Schwerpunkte sind zu berücksichtigen

Die IT des Unternehmens ist von einem Stromausfall massiv betroffen. Folgende Aspekte (ohne Anspruch auf Vollzähligkeit) sind zu beachten:

Gibt es Notstromversorgungen (Generatoren oder USV) und in welchem Ausmaß? Welche Laufzeit der IT kann damit sichergestellt werden? Gibt es die Möglichkeit, von der USV gesteuert automatisch abzuschalten und herunterzufahren? Gibt es die Möglichkeit, die Schlüsselarbeitskräfte in einem redundanten Schichtmodell (unter Berücksichtigung möglicher homeoffice Reglungen) zur Verfügung zu haben etc.?

Zu berücksichtigen ist auch, dass alle externen Services nicht zur Verfügung stehen (Internet, Cloudstorage, Cloud Applikationen, Bank, dezentrale Standorte, Produktionsstätten, Lager, Headquarter). Auch ein Zugriff von außen in das Unternehmen/den Unternehmensstandort ist nicht möglich.

Gibt es keine USV-Pufferung, sollte die IT vom Stromnetz getrennt werden, um Beschädigungen beim Wiedereinschalten des Stromnetzes zu vermeiden. Auch alle im Haus verbauten Komponenten (Switches, Router, WLAN-Router) sind mit zu berücksichtigen. Erst bei gesicherter Stromversorgung darf an ein Hochfahren der IT gedacht werden.

Kollateralschäden bei Ausfall und Wiedereinschaltung des Stroms

Beim Hochfahren des Stromnetzes ist mit temporären Verwerfungen zu rechnen (Spannungsschwankungen, Stromstöße, Frequenzverschiebungen und Phasenverschiebungen). Diese können für die sensiblen elektronischen Komponenten, die nahezu überall verbaut sind, zerstörend wirken. Kritisch sind auch dauerlaufende elektrische und elektronische Geräte. Hier besteht ein erhebliches Risiko, dass diese Gerätschaften nach der Wiederkehr des Stroms nicht mehr in Betrieb genommen werden können. Experten rechnen mit einer Ausfallsquote von wenigstens 10%.

Von „Plan-Build-Run“ zu „Innovate-Design-Transform“ – die Abkehr vom reaktiven Charakter der IT-Dienstleistung, hin zu einem proaktiven Mitgestalten. Wieso sich die IT als strategischer Innovationspartner für andere Geschäftsbereiche etablieren muss.

Das neue Verständnis der IT

In vielen Unternehmen liegt der Fokus der IT-Abteilungen darauf, den Betrieb der Infrastruktur sicher und stabil zu gestalten. Dabei ist die Planung aufgrund von unterschiedlichen Upgrade-Zyklen in einer heterogenen Software-Landschaft schwierig, besonders eine schnelle Reaktion auf unerwartete Faktoren (z.B. COVID19) ist dadurch oft nicht möglich. Dies frustriert die Fachbereiche, deren neue Ideen auf die zeitnahe Umsetzung durch die IT basieren.

Ziel ist es also, dass die IT mit neuen Möglichkeiten die Diskussionen in den Fachbereichen ergänzt und sich somit aktiv einbringt – in der neuen Rolle als strategischer Innovationspartner. Auch bei den Mitarbeitern in der IT ändert sich etwas: ein sog. „Business Architect“ verbindet breites technologisches Wissen mit tiefem Einblick in die Geschäftsprozesse des Unternehmens.

Standardsoftware – oder: der Baukasten macht den Unterschied

Anwender von Software freuen sich über hochspezifische Abbildung ihrer Prozesse, um alle Spezialfälle im Detail in der Software wieder zu finden. Dies erfordert jedoch einen hohen Aufwand in der Entwicklung und Integration in bestehende Systeme, oft geht auch das Knowhow über die Implementierung durch Personalabgang verloren, dann wird es richtig teuer und kompliziert. Als Alternative gibt es sog. Standardsoftware. Diese beinhaltet – gerade bei großen Software-Anbietern – eine Abbildung von Prozessen anhand von „best-practises“, d.h. was sich bei vielen Kunden schon bewährt hat. Die Anpassbarkeit ist weiterhin möglich, allerdings steht die Standardisierung im Vordergrund, sprich, die Software soll weiterhin durch zukünftige Innovationen des Herstellers leicht erweiterbar sein.

Standardsoftware bietet dabei u.a. folgende Vorteile:

• Stabilität und Skalierbarkeit der Gesamtlösung
• Hunderte vorkonfigurierte Prozesse
• Laufende Weiterentwicklung durch den Hersteller
• Gute Verfügbarkeit von Spezialisten
• Bausteine lassen sich je nach Bedarf kombinieren

Cloud und Integration – geht das?

In aktuellen hybriden Systemlandschaften kommt es üblicherweise zum Mix von Cloud- und On-Premise-Software sowie zu Produkten unterschiedlicher Hersteller – das ist weder ungewöhnlich noch so leicht änderbar. Es gibt z.B. gute Gründe, bestimmte Applikationen selbst betreiben zu wollen oder müssen. Der Vorteil von Cloud-Lösungen liegt vor allem in der schnellen Bereitstellung, der standardisierten Anbindung an andere Systeme sowie der Auslagerung von IT-Betrieb an einen großen Anbieter (über die Subskription abgedeckt). Die freie Wahl des besten Software-Services ist dabei auch die Voraussetzung für die optimale Abbildung der Anforderungen. 

Zusätzlich sind Mitarbeiter mittlerweile – vor allem im Privatleben – gewohnt, Informationen und Aktionen über unterschiedliche Kanäle und Geräte zu konsumieren bzw. durchzuführen. Die Erwartungshaltung an neue Software hinsichtlich einfacher Bedienbarkeit ist entsprechend hoch, wird diese nicht erfüllt, drohen höhere Kosten für Schulung und Frust.

Während große Unternehmen bis zu einem gewissen Grad die Kraft haben, einige der Multi-Spektrum-Angriffe abzuwehren, können Sie KMUs Ratschläge geben, wie sie mit der sich ständig weiterentwickelnden Bedrohungslandschaft umgehen können?

Es gibt mehrere Ratschläge, welche KMUs befolgen können, um der ständig weiterentwickelnden Bedrohungslandschaft bestmöglich standzuhalten.

Die wichtigsten Ratschläge für KMUs in diesem Kontext sind für mich:

Verwendung von verwalteten Sicherheitslösungen, sog. „Managed-Lösungen“: Hier liegt der Vorteil darin, dass die dafür notwendigen, fehlenden internen Personalressourcen durch externe Teams kompensiert werden können. Man hat dadurch die Gewissheit, dass auch außerhalb der Bürozeiten auf Security-Alarme reagiert wird und diese entsprechend abgearbeitet werden bzw. eine Kommunikations-/Abarbeitungskette in Gang gesetzt wird.

Schulung der Mitarbeiter*innen: Mitarbeiter sind im Security-Kontext in den meisten Fällen das „schwächste Glied der Kette“. Hier ist es wichtig, diese für potenzielle Bedrohungen regelmäßig zu sensibilisieren und auf dem neuesten Stand zu halten.

Implementierung von Multi-Faktor-Authentifizierung: Multi-Faktor-Authentifizierung ist eine einfache und effektive Möglichkeit, die Sicherheit zu erhöhen. Die meisten Online-Dienste und Cloud-Lösungen unterstützen diese Technologie bereits in-place und es sollte in Betracht gezogen werden, diese auch entsprechend zu implementieren.

Regelmäßige Updates und Patches: Es ist wichtig, dass alle Komponenten regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zeitnah zu schließen, vor allem bei Systemen welche direkt dem Internet ausgesetzt sind.

Regelmäßiges, funktionierendes und getestetes Backup: Aktuelle Backups sind die Grundvoraussetzung, um im Fall der Fälle eine Zahlung von Lösegeld im Rahmen von Erpressungsvorfällen vermeiden zu können. Hier ist vor allem essenziell, dass dieses auch regelmäßig getestet wird, um die Funktionsfähigkeit gewährleisten zu können.

Dokumentation: Eine aktuelle System- und Prozessdokumentation über die IT-Landschaft sollte vorhanden sein. Weiters ist empfehlenswert sich auch mit dem Vorgehen im Rahmen von IT-Notfällen zu beschäftigen, damit unter anderem Abhängigkeiten zwischen den einzelnen Systemen bekannt sind, um diese wieder geordnet in Betrieb setzen zu können.

Für KMUs ist daher ebenfalls von Bedeutung, IT-Sicherheit als integralen Bestandteil ihres Geschäfts zu betrachten und angemessene Schritte zum Schutz deren Systeme und Daten zu unternehmen.

Welche sind die wichtigsten Compliance- und Regulierung Trends in 2023? Worauf müssen CIOs jetzt achten?

Der wichtigste Compliance- und Regulierungs-Trend im Jahr 2023 ist die Novellierung der NIS-Richtlinie (Richtlinie für Netz- und Informationssicherheit).

EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cyber-Security Mindeststandards in der EU fest. NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich – ab 2024 müssen daher viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber-Security Maßnahmen entsprechend umsetzen.

Der große Vorteil dieser Novellierung für IT-Security Verantwortliche liegt darin, dass der Cyber-Security Mindeststandard vor allem im Bereich der kritischen Infrastrukturen EU-weit angehoben wird und damit die IT-Security Thematik in den Unternehmen noch mehr an Bedeutung und Wertschätzung gewinnt.

Hier ist es wichtig, sich als Unternehmen bereits frühzeitig mit dieser Thematik zu befassen, um spätestens zum Zeitpunkt der Umsetzung in nationales Recht (bis Oktober 2024) eine entsprechende Konformität zu erreichen. Ein entsprechendes Pre-Assessment gemeinsam mit einem geeigneten Umsetzungspartner ist daher absolut empfehlenswert.

Generell sollten sich CIOs laufend über die geltenden Compliance- und Regulierungsanforderungen informieren und sicherstellen, dass angemessene Maßnahmen in diesem Bereich ergriffen werden. Hier ist ein empfehlenswerter Weg, sich laufend mit Kolleg*innen aus dem gleichen Fachgebiet abzustimmen bzw. Networking auf div. zu diesem Themengebiet passenden Events/Fortbildungen zu betreiben.

In einer zunehmend digitalisierten Geschäftswelt sind Unternehmensdaten von unschätzbarem Wert. Daher ist es für Unternehmen von entscheidender Bedeutung, ihre IT-Infrastruktur vor potenziellen Sicherheitsbedrohungen zu schützen. Besonders im Fall von SAP-Systemen, die für die Verwaltung sensibler Unternehmensdaten verantwortlich sind, ist eine umfassende SAP-Sicherheitsstrategie von größter Wichtigkeit. Eigne der wichtigsten Maßnahmen zur Gewährleistung der SAP-Sicherheit sind:

1. Aktualisierung und Patch-Management

SAP-Systeme sind komplexe Softwarelösungen, die ständig weiterentwickelt werden, um Sicherheitslücken zu schließen. Es ist unerlässlich, dass Unternehmen regelmäßige Updates und Patches von SAP einspielen, um bekannte Sicherheitsrisiken zu beheben. Ein effektives Patch-Management stellt sicher, dass die SAP-Systeme auf dem neuesten Stand sind und potenzielle Schwachstellen minimiert werden.

2. Zugriffskontrolle und Berechtigungsmanagement

Das Zugriffskontrollmanagement ist von entscheidender Bedeutung, um unbefugten Zugriff auf SAP-Systeme zu verhindern. Unternehmen sollten sicherstellen, dass nur autorisierte Benutzer Zugang zu den Systemen haben und dass die Zugriffsrechte entsprechend den spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter vergeben werden. Ein gesamtheitliches Identity- und Access-Management auch über SAP-Systeme hinaus, ist für eine sichere Zugriffskontrolle unerlässlich. Unterstützend schützt ein effektives Berechtigungsmanagement vor unbefugter Einsicht oder Manipulation sensibler Daten und hilft gesetzlichen Anforderungen an die Unternehmen nachzukommen.

3. Verschlüsselung und Datensicherheit

SAP-Systeme enthalten eine Vielzahl von sensiblen Unternehmensdaten, wie zum Beispiel Kundendaten oder Finanzinformationen. Um den Schutz dieser Daten zu gewährleisten, sollten Unternehmen eine adäquate Verschlüsselungstechnologie einsetzen. Datenübertragungen innerhalb des SAP-Systems sowie zwischen SAP und anderen Systemen sollten verschlüsselt erfolgen, um sicherzustellen, dass Informationen nur von autorisierten Parteien gelesen werden können.

4. Sicherheitsüberwachung und -prüfung

Die Überwachung der SAP-Sicherheit ist ein kontinuierlicher Prozess. Unternehmen sollten Tools und Mechanismen implementieren, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Dies umfasst die Überwachung von Logdateien, um verdächtige Aktivitäten zu identifizieren, sowie regelmäßige Sicherheitsaudits, um Schwachstellen u.a. in den Berechtigungsstrukturen zu erkennen und zu beheben. Diese Integration der SAP-Systeme in ein gesamtheitliches SIEM ist einer der aktuellen Megatrends im SAP-Security Segment und treibt ihr aktuell einige Innovationen voran.

5. Schulung und Sensibilisierung der Mitarbeiter

Die Mitarbeiter spielen eine entscheidende Rolle bei der Gewährleistung der SAP-Sicherheit. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und über bewährte Sicherheitspraktiken informieren. Dies umfasst die Sensibilisierung für Phishing-Angriffe, den sicheren Umgang mit Passwörtern, Vermeidung von Social Engineering-Taktiken und die Sensibilisierung für einen geringen Berechtigungsumfang. Je besser die Mitarbeiter für potenzielle Sicherheitsrisiken sensibilisiert sind, desto besser können sie dazu beitragen, diese zu verhindern.

Fazit

Das SAP-Sicherheit-Konzept ist ein Thema von existenzieller Bedeutung für Unternehmen. Durch die Implementierung geeigneter Maßnahmen wie regelmäßige Updates, Zugriffskontrolle, Verschlüsselung, Sicherheitsüberwachung und Mitarbeiter-Sensibilisierung können Unternehmen ihre SAP-Systeme vor Sicherheitsbedrohungen schützen. Ein proaktiver und umfassender Ansatz zur SAP-Sicherheit gewährleistet nicht nur den Schutz sensibler Unternehmensdaten, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern in die Sicherheit der Organisation.

Mit fortschreitender Digitalisierung durchdringt Informations- und Kommunikationstechnologie nahezu all unsere Lebensbereiche und wandelt sich vom herkömmlichen Automatisierungsinstrument zur universellen Geschäftstechnologie, die mittlerweile das Rückgrat in Wirtschaft, Gesellschaft, Forschung und Verwaltung bildet. Nicht verwunderlich, dass der ‚CyberSpace‘ damit einhergehend auch zum vorrangigen Aufmarschgebiet für Angreifer unterschiedlichster Herkunft und Zielsetzung wird. Doch warum ist dem so?

Um Kunden digitale Dienste großflächig anbieten, die zu Grunde liegenden Informations- und Transaktionssysteme koppeln und so Prozesse durchgängig end-to-end abwickeln zu können, bedarf es einer hohen Systemkomplexität und globalen Vernetzung, allem voran über das Internet. Digitale Systeme sind aber – wie analoge/physische übrigens auch – per se nicht 100 Prozent sicher, dies gilt sowohl für Hardware, Betriebssysteme, Netzwerkprotokolle als auch Applikationssoftware. Schwachstellen als Einfallstore für gezielte Attacken bleiben häufig längere Zeit unerkannt, während Angreifer blitzartig und quasi anonym weltweit operieren können, ohne sich dabei physisch exponieren zu müssen. Gleichzeitig winken den Angreifern hohe „Erfolgspotenziale“, sei es in finanzieller, gesellschaftlicher oder militärischer Hinsicht.

Sind wir dieser Bedrohung nun ohnmächtig ausgeliefert oder haben wir eine Chance, sie zu meistern?

Eine nähere Betrachtung dieser ‚Cyberrisiken‘ liefert uns wertvolle Hinweise: Cyberrisiken sind komplex, (nahezu) unsichtbar und schwer zu „greifen“, nicht deterministisch, schwer abgrenzbar und oft erst spät erkannte Folge langfristiger, gezielter Vorbereitungen. Und doch gibt es häufig verwendete und allgemein bekannte Angriffsmuster, Datenbasen mit zahlreichen bekannten Schwachstellen, Sicherheitsstandards, Methoden und Instrumente, welche uns ‚Good Practice‘ zur Hand geben. Der wichtigste Punkt dabei: Wir können in weiten Bereichen vorbeugen, analysieren, gegensteuern und so das Cyberrisiko beeinflussen.

Der Schlüssel dazu lautet: systematisches CyberRiskManagement.

Dabei geht es darum, die eigenen Dienste und Prozesse entlang der Wertschöpfungsketten im Unternehmen einschließlich sämtlicher Lieferketten durchgängig und systematisch auf mögliche Schadenspotenziale zu prüfen, den ‚Business Impact‘ (monetär) und die Eintrittswahrscheinlichkeit zu bewerten und so ein belastbares Risikoprofil zu gewinnen. Dieses dient als Basis für die individuelle Risikopositionierung und Ableitung einer geeigneter Sicherheitsstrategie.

Die Positionierung regelt, welche existenzbedrohenden Risiken unbedingt zu entschärfen sind, welche mit geeigneten Gegenmaßnahmen auf ein wirtschaftlich tragbares Schadensmaß reduziert werden sollen, welche (punktgenau) über eine Versicherung abgedeckt werden und welche verbleibenden Risiken einfach selbst getragen werden.

Die Sicherheitsstrategie wiederum legt den Maßnahmenplan zur Steuerung der Cyberrisiken fest, mit Fokus auf den ‚Faktor Mensch‘, Organisation/Prozesse und Technologie.

Auch hier leistet ein funktionierendes CyberRiskManagement einen entscheidenden Beitrag: Es lenkt den Sicherheitsfokus auf die gravierendsten Risiken, ermöglicht eine konkrete, monetäre Nutzenbewertung des ‚Impacts‘ der angedachten Sicherheitsmaßnahmen und liefert einen Nachweis über deren Wirksamkeit. Sicherheitsverantwortliche, vor allem aber die Unternehmensleitung, erlangen so Kontrolle über die Risikolage und -beeinflussung – der „Blindflug“ weicht einem „Sichtflug“.

In welchen Zeitabständen sollten Cyberrisiken analysiert und bewertet werden? Und wie muss ein wirksames CyberRiskManagement beschaffen sein?

Wenn Angreifer bestehende Sicherheitslücken statistisch betrachtet nach durchschnittlich 43 Tagen ausnützen, so ist offenkundig, dass eine jährlich einmalige Risikoanalyse zu kurz greift. Aufgrund der extrem hohen Systemkomplexität – meist sind Abertausende IT-Komponenten miteinander vernetzt – stößt eine händische Risikoanalyse an die Grenzen der Machbarkeit bzw. liefert nur ein auf Annahmen basierendes, unscharfes Risikobild. Zudem ist dieser Ablauf ineffizient und vergeudet kostbare Personalressourcen.

Zeitgemäßes, effektives CyberRiskManagement muss daher objektiv, kontinuierlich und somit automatisiert erfolgen und kann so „blinde Flecken“ und gefährliche zeitliche Lücken vermeiden helfen.

Leistungsfähige Digitaltechnologien wie die Künstliche Intelligenz leisten dabei einen entscheidenden Beitrag zur automatisierten Massendatenverarbeitung mit korrelierender Mustererkennung und liefern eine aussagekräftige Situationsanalyse (das Lagebild) nahezu in Echtzeit.

Derartige Systeme fallen nicht unter „Luxus“ oder „nice to have“, sondern sind mittlerweile unverzichtbare Instrumente für ein risikoadäquates, verantwortungsbewusstes Cybersicherheitsmanagement.

Welche Maßnahmen sind erforderlich, um eine adäquate Integration holistischer IT-Security Ansätze in Unternehmen zu gewährleisten?

Um holistische IT-Security Ansätze adäquat zu integrieren sind eine Vielzahl von Maßnahmen erforderlich. Es ist von großer Bedeutung sicherzustellen, dass sämtliche Maßnahmen effektiv und nachhaltig umgesetzt werden.

Für mich persönlich sind Visibilität und Vorbereitung die beiden Schlüsselwörter in der Welt der IT-Security.

Folgende Maßnahmen sind in diesem Kontext, vor allem betrachtet aus der holistischen Sichtweise von Bedeutung:

• Schulung und Sensibilisierung, da eine adäquate Integration von holistischen IT-Security Ansätzen eine breite Sensibilisierung und Schulung von Mitarbeiter*innen und Führungskräften erfordert.
• Analyse der Unternehmensanforderungen, damit im Rahmen des IT-Security Konzeptes die spezifischen Anforderungen des Unternehmens in Bezug auf IT-Security integriert/berücksichtigt werden.
• Regelmäßige Überprüfung und Aktualisierung, da IT-Security ein sich ständig veränderndes Feld ist und Unternehmen ihre Strategien regelmäßig überprüfen und aktualisieren müssen, um den neuesten Bedrohungen Stand zu halten.
• Implementierung von Technologien je nach Schutzvektor, da die Auswahl der richtigen Technologie und deren Integration in die bestehende IT-Infrastruktur ein wichtiger Schritt bei der Implementierung eines holistischen IT-Security Ansatzes ist.
• Zusammenarbeit mit externen Experten, um die IT-Infrastruktur laufend auf Schwachstellen zu testen sowie zu verbessern. Die Zusammenarbeit mit externen Experten kann auch dazu beitragen, aktuelle Best Practices und Technologien in die IT-Security Strategie einfließen zu lassen.
• Implementierung von Kontroll- und Überwachungsmaßnahmen, um sicherzustellen, dass die implementierten Technologien wirksam sind. Überwachung und Kontrolle können durch geeignete Tools und Prozesse gewährleistet werden, um Anomalien bzw. unerwünschte Aktivitäten zu erkennen und zu verhindern.

Die Integration von holistischen IT-Security Ansätzen erfordert daher ein umfassendes Verständnis der Bedrohungen, Risiken und Schwachstellen der IT-Infrastruktur des Unternehmens.

Welche Herausforderungen und Barrieren können bei der Integration holistischer IT-Ansätze in Unternehmen auftreten und wie können diese überwunden werden?

Die Integration von holistischen IT-Security Ansätzen stößt in Unternehmen immer wieder auf Herausforderungen/Barrieren verschiedenster Art. Hier ist es von Bedeutung, diese frühzeitig zu erkennen, um rechtzeitig mit Gegenmaßnahmen gezielt darauf einwirken zu können. Die größte Herausforderung ist meist ein Mangel an Ressourcen wie Zeit, Budget und Personal, da es schwierig sein kann, die dafür erforderlichen Ressourcen für eine effektive sowie effiziente Umsetzung bereitzustellen.

Hier kann entgegengesteuert werden, indem Prioritäten gesetzt werden und die Implementierung des holistischen Ansatzes schrittweise umgesetzt wird. In diesem Kontext ist die Unterstützung seitens der Geschäftsführung unbedingt erforderlich, wofür eine regelmäßige Kommunikation aktueller Themen und entsprechende Überzeugungsarbeit Grundvoraussetzung ist.

Weiters stellt die damit einhergehende Komplexität der IT-Infrastruktur des Unternehmens immer wieder Barrieren auf. Eine Möglichkeit, die Komplexität zu reduzieren, besteht darin, einen ganzheitlichen Ansatz unter Einbeziehung von externen Experten je nach Themengebiet zu verfolgen, da aufgrund des vorliegenden Fachkräftemangels ein interner Aufbau von Fachwissen für KMUs nicht in jedem Themengebiet in einer sinnvollen Art und Weise möglich ist.

Ein weiterer, wichtiger Punkt ist auf Widerstand gegen Veränderungen zu achten, da dies ein häufiges Problem bei der Integration von holistischen IT-Security Ansätzen in Unternehmen darstellt. In diesem Punkt ist oftmals Unwissenheit bzw. fehlendes technisches Grundverständnis der Auslöser. Es ist daher wichtig, die Bedeutung von IT-Sicherheit zu kommunizieren und die Mitarbeiter*innen entsprechend zu schulen bzw. zu sensibilisieren. Ein schrittweiser Ansatz kann dazu beitragen, den Widerstand gegen Veränderungen zu reduzieren, vor allem dann, wenn die Mitarbeiter*innen in den Implementierungsprozess miteinbezogen werden.

Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hochdynamischen Umfeld. Wie lässt sich das mit Forderungen nach Stabilität, Widerstandsfähigkeit und Cyber-Security unter einen Hut bringen und wie halten Sie die Balance zwischen Produktivität und Sicherheit in Ihrem Unternehmen?

Die Herausforderung besteht darin, eine Ausgewogenheit zwischen Agilität, Kundenorientierung und Geschwindigkeit einerseits und Stabilität, Widerstandsfähigkeit und Cyber-Security andererseits zu finden. Hier kann mit einem ganzheitlichen IT-Security Konzept, welchem eine angemessene Risikobewertung zu Grunde liegt, entgegengesteuert werden. Ein risikobasiertes IT-Security Konzept berücksichtigt die spezifischen Risiken des Unternehmens und priorisiert die Sicherheitsmaßnahmen entsprechend. Es ist wichtig, die Ressourcen dort einzusetzen, wo sie am dringendsten benötigt werden, um eine angemessene Balance zwischen Produktivität und Sicherheit zu erreichen.

Hier gibt es verschiedene Ansätze, welche angewendet werden können, um die Balance zwischen Produktivität und Sicherheit auf ein optimales Gleichgewicht zu bringen:

Zuallererst ist es wichtig, dass Sicherheit als integraler Bestandteil der Unternehmenskultur betrachtet wird. Sicherheitsrichtlinien und Maßnahmen sollten transparent und leicht verständlich sein, um Akzeptanz und Umsetzung zu fördern.

Weiters können automatisierte Sicherheitskontrollen helfen, die Sicherheit zu verbessern, ohne die Produktivität der IT-Mannschaft stark einzuschränken. Externe Experten können hier zusätzlich unterstützen, die Sicherheitsrisiken des Unternehmens zu verstehen und die Implementierung von Sicherheitsmaßnahmen zu begleiten.

Letztendlich geht es darum, eine zum Unternehmen passende Herangehensweise an die IT-Sicherheit zu finden, welche die Bedürfnisse des Unternehmens bestmöglich berücksichtigt.

Der Wetterbericht des CyberRisikos

Das Wetter ist ein bisschen wie das CyberRisiko: Beides können wir nur bedingt beeinflussen – aber wir können Maßnahmen und Vorkehrungen treffen, um für uns die Situation günstig zu beeinflussen. Dass wir bei vorhergesagtem Regen die Musikanlange nicht im Freien aufbauen, sagt uns der berühmte Hausverstand, und die meisten Leser dieses Textes werden auch ganz genau wissen, dass bei hohen Risiken, etwa durch eine schwerwiegende Sicherheitslücke, schnell gepatcht werden sollte.

Wer liefert uns das Wissen, um unsere Handlungen zu planen und Maßnahmen zu setzen? So wie der Wetterbericht uns täglich mit aktuellen Messdaten zu Temperatur, Windgeschwindigkeit und Niederschlagswahrscheinlichkeit versorgt, ist das CyberRisiko-Lagebild eine wichtige Informationsquelle für CEO, CIO, CISO oder IT-Manager.

Im Cyber Risk-Management werden Risiken identifiziert, analysiert und bewertet – und in der bildlich gesprochenen Management Zentrale kommt das CyberRisiko-Lagebild zum Einsatz: Es gibt Managern eine klare Vorstellung von den Bedrohungen und eine Einschätzung zur Wahrscheinlichkeit ihres Eintretens. Mit diesem Wissen können bessere Entscheidungen getroffen werden, wenn es darum geht, wo sich finanzielle Mittel und Zeitressourcen konzentrieren sollen.

Welche Anforderungen soll ein Lagebild zum CyberRisiko nun erfüllen? Wir haben, aufbauend auf unserer Erfahrung in der Arbeit, mit CyberRisk-Experten 10 Qualitätskriterien für ein CyberRisiko-Bild ausgearbeitet, von denen wir hier die TOP 3 verraten dürfen:

1. Objektive Risiko-Kennzahlen
   Ein Lagebild wird erst aussagekräftig, wenn es Kennzahlen zum Risiko liefert. Um Entscheidungen nicht „aus dem Bauch heraus“ treffen zu müssen, braucht es Messgrößen, die aktuell, objektiv, belastbar und vergleichbar sind.
2. Außen- und Innensicht
   Die Verknüpfung von internem Wissen und extern gemessenen Daten zu validen Kennzahlen ist entscheidend, um ein umfassendes Bild zum Risiko auf mobilen Devices, Clients und Systemen (MDM, Server) zu erhalten.  Während die Innensicht Daten über eigene Systeme, Prozesse und eingesetzte Geräte liefert, steuert die Außensicht Information zu möglichen externen Bedrohungen bei, etwa durch Schwachstellen in Betriebssystemen oder eingesetzten Geräten.
3. Big Picture für das Unternehmen
   Je größer ein Unternehmen, desto komplexer oft die Strukturen und desto zahlreicher die Vielfalt der eingesetzten Systeme. Für das Management ist es ein großer Vorteil, wenn das Gesamtrisiko in einem gemeinsamen Dashboard ersichtlich ist – unabhängig von Systemen und über unterschiedliche Gesellschaften und Niederlassungen im Konzern hinweg.

Was können Unternehmen aus anderen Ländern von Chinas digitaler Transformation, vor allem im B2B Bereich, lernen bzw. wo liegen mögliche Hindernisse?

Die wichtigsten Learnings aus China beziehen sich vor allem auf das Mindset, das für die Digitalisierung und für Entwicklungen unabdingbar ist. In China spielen Agilität und Flexibilität eine große Rolle. Auf der einen Seite wird sehr langfristig geplant, beispielsweise mit den Fünf-Jahres-Plänen der Regierung oder den Zehn-Jahres-Initiativen wie Made in China 2025. Auf der anderen Seite treten im Laufe der Umsetzung oft Planänderungen ein, während das Hauptziel immer im Auge behalten wird. Das Zusammenspiel aus langfristigen Visionen, flexiblen Anpassungen und Einfach-Machen-Mentalität führt dazu, dass sich die chinesische Digitalwelt kontinuierlich weiterentwickelt. Agilität ist nicht nur ein Buzzword, sondern sie wird im Alltag wirklich gelebt.

Außerdem ist man in China bei der Gestaltung von Produkten und Dienstleistungen eher pragmatisch als perfektionistisch. Für einen Launch wird nicht gewartet, bis das Ergebnis perfekt ist, sondern ein Minimum Viable Product (MVP) wird einfach auf den Markt gebracht und anhand von Kundenfeedback verbessert und erweitert. Während einige Produkte dabei keinen Erfolg haben, wird aus Fehlern schnell gelernt und es werden wieder neue Produkte und Services entwickelt. Wenn es um Technologien geht, kann in China beobachtet werden, wie wichtig das Thema Video ist und wie es aus dem Geschäftsleben, auch im B2B-Bereich, nicht mehr wegzudenken ist. Dabei gibt es zahlreiche Best Practices aus dem E-Commerce Livestreaming, in dem beispielsweise Maschinenbauunternehmen in China über einen einzigen Video-Livestream mehrere Tausend Bagger, Mobilkräne oder Gabelstapler verkaufen können.

Auch das Recruiting von Personal läuft immer mehr über Video-Apps wie Kuaishou oder Douyin ab, in denen Livestream-Hosts vakante Stellen präsentieren und die ersten Schritte im Einstellungsprozess oder sogar im Onboarding übernehmen. Messen und Veranstaltungen finden ebenfalls zunehmend über digitale Plattformen statt und es hat sich in den letzten Jahren eine starke Annäherung der B2B- und B2C-Bereiche herauskristallisiert, insbesondere im Marketing und Verkauf.

Natürlich kann nicht alles 1:1 von China übernommen werden. Zum Beispiel breitet sich das Liveshopping in Europa zwar kontinuierlich aus, doch es steckt immer noch in den Kinderschuhen. TikTok hat im letzten Sommer seine Pläne auf Eis gelegt, eine Liveshopping-Funktion für Europa einzuführen, weil der große Erfolg in Großbritannien ausgeblieben ist. Für viele Trends sind die europäischen User noch nicht bereit. Wichtig ist allerdings, sich in der eigenen Branche als Early Adopter zu positionieren, indem man schnell und konstant neue Trends ausprobiert. Nach dem Motto „done is better than perfect“ schauen, was die eigene Zielgruppe interessieren könnte und wie man sie für Neues begeistern kann. Denn das ist das, was Unternehmen von Chinas digitaler Transformation in erster Linie lernen können: flexibel und agil sein, einfach machen und dranbleiben.