ROI-Keynote auf der IT-Security Management & Technology Conference 2014 Widersprechen sich Schutz, Wirtschaftlichkeit und Zukunftssicherheit?

Autor / Redakteur: Michael Gießelbach / Stephan Augsten

Die Vielfalt der Applikationen, individuelles Nutzerverhalten, Endgeräteunabhängigkeit und neue Schwerpunkte bei Protokollen: die Risiken in der eigenen Sicherheitsarchitektur werden mehr, darüber hinaus schwerer kontrollierbar. Kernfrage ist, ob sich diese Herausforderung unter den Vorzeichen sinkender Budgets lösen lässt.

Firma zum Thema

Mehr Sicherheit bedeutet nicht zwangsläufig, dass das IT-Budget oder die Benutzerbarkeit leiden müssen.
Mehr Sicherheit bedeutet nicht zwangsläufig, dass das IT-Budget oder die Benutzerbarkeit leiden müssen.
(Bild: © xiaoliangge - Fotolia)

Michael Gießelbach: „Die Potenziale von konsolidierten Netzwerk- und Anwendungsservices sind immens groß.“
Michael Gießelbach: „Die Potenziale von konsolidierten Netzwerk- und Anwendungsservices sind immens groß.“
(Bild: Gudrun de Maddalena)

These 1: Weder Anwender noch Betreiber sind zu Kompromissen bereit!

Ein Ausweg aus dem Dilemma könnte ja durchaus die Bereitschaft sein, Abstriche hinzunehmen: Reduziert man Funktionalitäten und Performance von Applikationsservices und Sicherheit, dann ließen sich die Mehraufwendungen moderner Architekturen kompensieren. Allerdings scheint das Gegenteil der Fall.

Endanwender wollen sowohl beliebige Endgeräte (BYOD) als auch individuell zusammengestellte und ad hoc verfügbare Applikationen nutzen. Damit verursachen sie größere Bedrohungspotenziale, sind im Gegenzug aber nicht dazu bereit, Kompromisse bei der Sicherheit und Applikationsverfügbarkeit zu akzeptieren.

Mit intensiverer Nutzung von Applikationen, besonders web-basierter Services, erwartet man sogar zunehmend vom Betreiber, dass er sich um Daten- und Transaktionssicherheit bis hin zum eigenen Endgerät kümmert. Betreiber müssen diesen Anforderungen gerecht werden, zum einen aus Gründen der Kundenzufriedenheit (Kunden in diesem Sinne sind z.B. auch Mitarbeiter), zum zweiten aus rechtlichen Gründen. Darüber hinaus ist die uneingeschränkte Verfügbarkeit von Applikationen immer häufiger elementarer Bestandteil vieler Geschäftsmodelle – und damit unverzichtbar.

Für alle Beteiligten steht die immer verfügbare, individuell gewünschte und immer sichere Anwendungsnutzung im Vordergrund. Einschränkungen bei Servicelevels oder Sicherheit werden also selbst angesichts gestiegener Funktionalitäten und Kosten nicht hingenommen.

These 2: Die Technik ist da, die Umsetzung eine finanzielle Herausforderung!

Die gute Nachricht ist: Es gibt eine Vielzahl an Lösungsansätzen, die mit unterschiedlichen Herangehensweisen auch im Falle der veränderten Anforderungen funktionieren. Dies betrifft sowohl traditionelle Produkte und Architekturen als auch neue Lösungen, die speziell für prägende Themen wie z.B. Endgerätevielfalt, Webapplikationen oder auch aktuelle Bedrohungen wie Advanced Malware, DDoS-Attacken und Zero Day Exploits konzipiert wurden.

Auch unterschiedliche Vorlieben werden durch alternative Lösungsansätze bedient. Ob man sich als Betreiber für einen „Softwared defined everything“-Ansatz entscheidet, für Hardware-basierte Lösungen oder für Mischformen, für jeden Weg gibt es Optionen.

Fast allen Lösungen gemein ist allerdings, dass Umfang, Komplexität und Kosten wachsen, mehr oder weniger proportional zu den auftretenden Bedrohungen sowie zu den Standardservices. Das bewirkt höhere Kosten bei Beschaffung und Betrieb, die nur in wenigen Fällen an interne oder externe Kunden weitergegeben werden können.

Die Lösung des Dilemmas scheint kompliziert, ist aber trivial. Die erste Möglichkeit, nämlich eine nach Risikobewertung bewusst getroffene Entscheidung bestimmten Bedrohungsszenarien keine adäquate Lösung entgegenzusetzen, ist nur selten eine Option. Das mag in Einzelfällen möglich sein, generell werden Unternehmen und Behörden aufgrund der rechtlichen Auflagen, der Haftungsbestimmungen, echtem Wertverlust (Diebstahl) und dem Risiko des Imageverlustes diese Entscheidung selten fällen.

Häufig gelebte Praxis und ein legitimer Weg ist, dass die Kosten um der Funktionalität und Sicherheit willen in Kauf genommen werden. Zusätzliche Security-Instanzen und Services, leistungsfähigere Infrastrukturen und Systeme werden eingeführt, im besten Fall lassen sich die Kosten durch die unterstützten Geschäftsmodelle begründen.

Die dritte, naheliegende Alternative ist, eingesetzte Systeme und Services zu konsolidieren, d.h. mindestens gleich hohe oder höhere Sicherheits- und Servicelevel zu realisieren ohne hohe zusätzliche Kosten. Im Detail heißt das, möglichst viele Funktionalitäten im Netz auf der gleichen Plattform abzubilden – unabhängig davon, ob es um Traffic Management und Optimierung, um Sicherheit von Devices, Applikationen und Rechenzentren oder um applikationsbezogene Mehrwertservices geht (wie z.B. Single-Sign-On).

Das alles unter den Rahmenbedingungen einer möglichen Virtualisierung, einfachster Administration, hohem Automatisierungsgrad, funktionaler Flexibilität (Programmierung) sowie räumlicher und zeitlicher Flexibilität (Cloud, XaaS). Das stellt hohe Anforderungen an diese Konsolidierungsansätze bezüglich Leistung, Verlässlichkeit, Verwaltbarkeit und Skalierung. Speziell wenn wir über stark virtualisierte und verteilte Umgebungen reden reduziert sich die Anzahl ausreichend flexibler Lösungen.

These 3: Prozesse und Strukturen verhindern innovative, wirtschaftliche Lösungen

Bewertet man die geschilderten Möglichkeiten, scheint die letztgenannte diejenige zu sein welche am ehesten den vordergründigen Widerspruch zwischen zeitgemäßen Lösungen und der wirtschaftlichen Machbarkeit überbrückt. Warum also gehen nicht mehr Betreiber diesen Weg?

Dies liegt einerseits in den Konsolidierungsansätzen selbst begründet. Selbst wenn Sie so gestaltet sind, dass am Ende die Zielvorstellung eines einfachen, günstigen und im besten Fall hochautomatisierten Betriebs gewährleistet ist – der Weg dorthin ist steinig. Denn das Ändern vorhandener Architekturen, das Zusammenführen von Services auf wenigen, konsolidierten oder sogar virtualisierten Instanzen, d.h. das Change Management, birgt eine nicht zu unterschätzenden Komplexität und ist im laufenden Betrieb oft nur eingeschränkt durchführbar. Dieser Schritt lohnt sich, schreckt aber zunächst ab.

Zum Zweiten ist die Umsetzung eines solchen Konsolidierungsansatzes zwangsläufig verbunden mit Änderungen bei Prozessen und Strukturen des Betriebs. Denn von den Vorteilen der neuen Architektur profitiert nur, wer Abläufe und Verantwortlichkeiten anpasst. Eine frühere und engere Zusammenarbeit der IT-Architekten, Netzwerkverantwortlichen, Applikationsentwickler, der Security Abteilung und letztendlich auch des Betriebs führt zur später gewünschten konsolidierten, aber trotzdem flexiblen und hochautomatisierten IT-Plattform.

Von der Applikationsentwicklung über Infrastrukturdefinition, Tests, Rollout und Livebetrieb müssen alle Beteiligten eng zusammenarbeiten, nur dann werden alle Anforderungen erfüllt auf eine Art und Weise mit der alle optimal arbeiten können. Technisch ist dies kein Problem. Mandantenfähigkeit, Rechteverwaltung und Zugriffsregelungen sind Bestandteil ausgereifter Lösungen. Die große Herausforderung ist der Faktor Mensch. Das Ändern von Abläufen, das Aufbrechen von Entscheidungs- und Kompetenzstrukturen, kooperative und abgestimmte Zusammenarbeit, dies ist oft nur mit Widerstand oder gar nicht durchzusetzen.

Dabei spielt nicht nur die Durchsetzungsfähigkeit eine Rolle, sondern auch der Durchsetzungswille, maßgeblich die Frage ob die Mehrwerte der angestrebten Lösung diesen Aufwand und die erzeugte Unruhe wert sind. Denn trotzdem dieser Ansatz in der Regel keinen unmittelbaren Einfluss hat auf Arbeitsplätze sondern eher höhere oder zusätzliche Servicelevel ermöglicht – hier ist aktives und umfangreiches Change Management gefragt.

Drei Thesen – und nun?

Drei Thesen und drei Erklärungen, die im Ergebnis belegen sollen, dass Schutz und Sicherheit, Wirtschaftlichkeit, Zukunftssicherheit nicht unbedingt ein Widerspruch sein müssen, sondern eine Chance sein können. Es ist aber mehr als offensichtlich, dass dazu einige Voraussetzungen gehören.

Aufwand und Ergebnis bzw. Nutzen eines Konsolidierungsansatzes müssen vorab belegbar oder kalkulierbar sein. Die teilweise gravierenden Änderungen in Architektur, Prozessen, Strukturen bedeuten einen möglicherweise signifikanten Aufwand, selbst bei einer schrittweisen Umsetzung. Entscheidungen für Konsolidierungskonzepte sollten demnach maßgeblich beeinflusst sein von Wirtschaftlichkeitsbetrachtungen.

Know-how und Unterstützung des Lösungspartners müssen belegbar vorhanden sein. Das betrifft die technische Lösung, aber auch das Wissen um die Begleitfaktoren und Rahmenbedingungen. In der Konzeptphase lässt sich dies ideal überprüfen, ergänzt durch realistische, aber nicht überdimensionierte Proof-of-Concepts (PoC).

Und auch wenn es im ersten Moment oft verzichtbar erscheint: man sollte tunlichst für solche kritischen Umgebungen entsprechende Supportverträge einkalkulieren, genauso wie Budgets für Consulting und Beratung. Eine Berücksichtigung auch dieser Aufwände in der Wirtschaftlichkeitsbetrachtung stellt sicher, dass dies nicht den Business Case kannibalisiert. Mit zu berücksichtigen ist letztendlich aber auch immer die Veränderungsbereitschaft und -fähigkeit der Organisation.

Die Potenziale von konsolidierten Netzwerk- und Anwendungsservices sind so immens groß, dass bei professioneller Umsetzung rein aus Lösungssicht immer Mehrwerte und Vorteile entstehen. Das alles funktioniert aber in vollem Umfang nur, wenn vorher getrennte Kompetenzen und Tätigkeiten ebenfalls konsolidiert betrachtet werden. Das bedeutet nicht die Auflösung von Verantwortlichkeiten oder Organisationseinheiten, aber ein enges, abgestimmtes Zusammenarbeiten auf einer einheitlichen Lösung.

Sofern man diese Voraussetzungen berücksichtigt bzw. schafft, wird es den Widerspruch der Eingangsfrage nicht mehr geben. Es ist möglich, über zukunftsorientierte, zeitgemäße und sichere Infrastrukturen die vom Anwender gewünschten Applikationen mit optimaler Performance, Verfügbarkeit, Sicherheit und Flexibilität zur Verfügung zu stellen. Und über das beschriebene Konzept gelingt dies auf eine wirtschaftliche Art und Weise, d.h. zu weniger Kosten und mit weniger Aufwand, höherer Flexibilität und größerer Schnelligkeit im Betrieb.

Nutzt man die freigewordenen Ressourcen und Kapazitäten des Betriebs und eventuell auch einen Teil der eingesparten Investitionen, dann schließt sich der Kreis hin zum Anwender. Denn diese freien Mittel können wieder investiert werden: in zusätzliche Services und Sicherheitsmaßnahmen, die vorher nicht möglich gewesen wären. Die Anwenderzufriedenheit steigt (intern und extern) und führt im besten Fall sogar zu einem geänderten Nutzerverhalten, mit je nach Geschäftsmodell besseren und profitableren Kunden.

Über den Autor

Diplom-Kaufmann Michael Gießelbach ist seit August 2013 bei F5 als Director Sales DACH tätig und verantwortet dort das Großkundengeschäft Deutschland, Österreich und der Schweiz. Schwerpunkt sind Lösungen für Application Delivery & Security Services und das Zusammenwachsen dieser Funktionalitäten aus Sicht der Anwender.

Bereits seit 1996 ist Michael Gießelbach in der IT tätig und war in verschiedenen Unternehmen beschäftigt, beispielsweise bei HP als Director Storage Business Unit & Sales, davor bei SUN Microsystems und StorageTek in Managementfunktionen für die Bereiche Sales, Marketing, Distribution und Channel. Seine IT Laufbahn startete er bei NCR, im Vertrieb veantwortlich für zunächst Client/Server-Lösungen und anschließend im Bereich Enterprise Data Warehouse.

(ID:42711388)