vorwort juni < 2013
Komplett verschlafen? Die Zeit läuft. Am 1. Februar 2014 wird unwiderruflich auf das Single Euro Payments Area, kurz SEPA, umgestellt. Wer sich darauf noch nicht eingestellt hat, sollte sich tunlichst sputen. > Mit dem Single Euro Payments Area verhält es sich ähnlich wie mit Weihnachten. Es kommt meist plötzlich und unerwartet. Dabei laufen die SEPA-Vorbereitungen seitens der Europäischen Union seit über einem Jahrzehnt und auch das Inkraftvon Ina Schlücker, Redakteurin IT-DIRECTOR treten der Verordnung wurde bereits am 30. März 2012 beschlossen. Ziel des Ganzen ist es, mittels entsprechender Standards und Verfahren einen einheitlichen, bargeldlosen Zahlungsverkehr in Europa zu schaffen.
Mögliches Tohuwabohu Doch wie gelassen sieht man dem Stichtag hierzulande entgegen? Bei so manchem Finanzinstitut laufen die Vorbereitungen auf Hochtouren und die einen oder anderen Buchungen – etwa Gehaltsüberweisungen – werden bereits im SEPA-Format getätigt. Diese Geschäftigkeit verwundert nicht, zählen Banken und Sparkassen doch zu den ersten Leidtragenden, die nach dem 1. Februar 2014 ein mögliches Tohuwabohu auf dem hiesigen wie europäischen Finanzmarkt schnellstens in den Griff bekommen müssen.
verschlafen. Ein Beispiel: Ein norddeutsches Finanzinstitut lud jüngst seine Geschäftskunden zu einer kostenfreien Informationsveranstaltung rund um SEPA ein. Die Resonanz darauf war zum einen sehr verhalten und zum anderen auch höchst skurril, wie der folgende Inhalt einer Antwort-E-Mail zeigt: „Vielen Dank für Ihre Einladung. Wir haben uns jedoch dazu entschlossen, nicht an SEPA teilzunehmen.“ Ein krasser Trugschluss, denn von SEPA sind künftig alle nationalen wie internationalen Überweisungen oder Lastschrifteneinzüge betroffen – egal, ob diese von einer Privatperson, einem Mittelständler oder einem Großkonzern getätigt werden. Und wer glaubt, man könnte vielleicht noch mit einer Verschiebung der geplanten Umstellung oder einer Übergangsfrist rechnen, sei daran erinnert: Gesetzlich festgelegte Richtlinien für die (zunächst) 33 an SEPA teilnehmenden Ländern werden sicherlich nicht innerhalb von sechs Monaten über den Haufen geworfen. Vor allem dann nicht, wenn man bedenkt, wie langsam mitunter die europäischen Mühlen in Brüssel mahlen. < Viel Spaß beim Lesen dieser Ausgabe,
Anders sieht es hingegen in den Unternehmen aus – Umtriebigkeit ist eher Fehlanzeige. Es scheint vielmehr, als ob Firmen die notwendige Umstellung etwas
it-director · Ausgabe 6/2013
3
Inhalt 2013 > juni
Tradition trifft Moderne: Das richtige IP-Endgerät auswählen
14
Aktuelles > Unternehmen
6 1.000 neue Mitarbeiter
32
22
Interview mit Nina Wegner, CEO von BT Germany & Austria
Titelthema > Unified Communications
Software > Geschäftsprozesse
14 Tradition trifft Moderne
32 Auf den BPM-Zug aufspringen
Zwei internationale Initiativen wollen gemeinsam die Entsorgung elektronischer Geräte verbessern.
Das klassische Telefon oder das schicke Headset – die Wahl des IPEndgerätes sollte bei UC-Projekten mit Bedacht getroffen werden.
8
21 Terrorismusprävention
Geschäftsprozessmanagement (BPM) ist für viele Unternehmen noch immer ein Buch mit sieben Siegeln. Dabei gibt es neue Cloudund Open-Source-Anbieter, die den Einstieg leichter machen können.
Auf welche vertraglichen Aspekte Unternehmen achten müssen, hat Dr. Jan Geert Meents von DLA Piper zusammengefasst.
Das österreichische Bundesamt für Verfassungsschutz und Terrorismusbekämpfung visualisiert komplexe Sachverhalte mithilfe einer Softwarelösung.
12 Platz schaffen für Big Data
30 „Verborgene Schätze heben“
Im Zeitalter der intelligenten Auswertung von „Big Data“ spielt die Datenarchivierung eine zunehmend wichtige Rolle.
Interview mit Andreas Schulz- Dieterich von Materna, darüber, wie Unternehmen das Potential von Social Media besser ausschöpfen können
Künftig will der IT-Dienstleister Wipro seine Investitionen in Deutschland ausbauen.
7 Umweltgerecht entsorgen
Wolkige Vertragsangelegen heiten lösen
4
Auf den BPM-Zug aufspringen: Neue Cloud- und Open-SourceAnbieter können den BPM-Einstieg erleichtern.
it-director · Ausgabe 6/2013
36 Schritt für Schritt ans Ziel Vor der Einführung eines passenden BPM-Systems sollte eine gründliche Analyse der Ist-Situation statt finden.
38 Stammdaten sind für alle da Nur verlässliche Daten können die Basis für eine effiziente Konzernsteuerung bilden.
juni < 2013
Die Gefahr der Schatten-IT: Servicedesks beim Cloud Computing
Cloud Community wächst: Mit quelloffenen Lösungen
42
50
40 Digitale Flexibilität ist Trumpf Kommentar von Steffen Exeler, Director Business Development bei Rewoo, über flexible BPM-Modelle und deren Vorteile
gemeinsam in die Wolke
Infrastruktur > Cloud Computing
50 Cloud Community wächst Interview mit Markus Mattmann von Rackspace über die Notwendigkeit offener Cloud-Standards
Software > Servicemanagement
52 Die Cloud hinter Gittern
42 Die Gefahr der Schatten-IT
Wenn es um Datensicherheit geht, halten sich viele Cloud-Anbieter bedeckt.
Wer übernimmt beim Cloud Computing im Bedarfsfall die Rolle des Servicedesks?
55 Jeder macht, was er will Kommentar von Rüdiger Baumann, CEO von Zimory, über notwendige Standards im Cloud-ComputingGeschäft
Standards 3 Vorwort: Komplett verschlafen? 41 Buchseite zum Thema Geschäftsprozesse 56 Veranstaltungen: Termine 58 Letzte Seite: Vorschau und Impressum
Anzeige
46
On premise, Cloud – oder beides?
Cloud-Services und Enterprise Mobility führen zunehmend zu heterogenen IT-Umgebungen, die neue Anforderungen an das IT- Servicemanagement stellen.
Software für Versorger und Industrie www.psi.de
48 IT-Service als Selbstbedienung
Welche Rolle muss der Servicedesk IT Director Inselanzeige 55x40 mm.indd 1 26.01.2012 13:34:06 Erste Hilfe aus der Cloud spielen, damit er die Oberhand Die IT-Organisation des Malteser behalten kann? ordens hat die Erneuerung der IT in Angriff genommen.
54
it-director · Ausgabe 6/2013
5
aktuelles aktuelles > unternehmen
SAP übernimmt Hybris > Anfang Juni 2013 gab SAP seine Pläne für die Übernahme von Hybris, einem Anbieter von ECommerce-Technologie, bekannt. Der Hintergrund: Weltweit würden Unternehmen nach Möglichkeiten suchen, um Kundenerlebnisse für Unternehmen und Verbraucher über eine wachsende Anzahl von Kanälen, Endgeräten und Interaktionspunkten zu optimieren. Mit der Übernahme des Webspezialisten wollen die Walldorfer eine E-Commerce-Plattform anbieten, die auf neuester Technologie basiert und sowohl in einer On-Demand- als auch On-Premise-Umgebung verfügbar ist. Die Unternehmenslösungen von SAP in Verbindung mit den Multikanallösungen sollen Unternehmen einen besseren Zugang zu Daten sowie eine schnellere Analyse bieten und es ermöglichen, Margen und Kundentreue zu optimieren. Gleichzeitig bieten Social-Media-Kanäle die Möglichkeit, einen regelmäßigen Austausch mit Kunden zu pflegen und ihre Bedürfnisse zu verstehen. „Mit Hybris werden wir eine führende Position im Verbrauchermarkt einnehmen können“, erklären Bill McDermott und Jim Hagemann Snabe, die Co-CEOs der SAP AG. „Mit der Übernahme erhöhen wir den Anspruch an das Kundenbeziehungsmanagement und werden neue Standards für künftige Kauferlebnisse setzen.“ < Im Internet: www.sap.com
6
it-director · Ausgabe 6/2013
Führungswechsel bei HP > Heiko Meyer leitet seit kurzem als Vice President die HP Enter prise Group in Deutschland. Damit ist er Nachfolger von Volker Smid und übernimmt die Verantwortung für das Geschäft mit ITInfrastrukturlösungen für Unternehmenskunden. Meyer leitete zuletzt als Vice President die Printing and Personal Systems Group in der Region Westeuropa. Er kam im Jahr 1984 zu dem Anbieter und hatte im Lauf seiner Karriere eine Reihe von Führungspositionen in den Geschäftsbereichen Enterprise Business, Imaging & Printing sowie Enterprise Services inne.
Volker Smid hat sich dazu entschieden, das Unternehmen zu verlassen. Er hat seit 2009 die Neupositionierung von HP in Deutschland maßgeblich gestaltet. < Im Internet: www.hp.com
Heiko Meyer, neuer Vice President von HP Deutschland
1.000 neue Mitarbeiter > Künftig will Wipro, ein Anbieter von IT-Beratung, Systemintegraion und Outsourcing, seine Investitionen in Deutschland ausbauen. Der IT-Dienstleister plant in den kommenden drei Jahren eine Verdreifachung seiner Belegschaft. Der Anbieter berät und unterstützt Kunden in Deutschland bereits seit mehr als zehn Jahren. Heute kümmern sich rund 500 Mitarbeiter um mehr als 30 Unternehmenskunden, darunter einen weltweit tätigen Automobilhersteller, einen europäischen Energiespezialisten sowie ein großes TK-Unternehmen. In den folgenden Jahren wird hierzulande ein weiteres Wachs-
tum in den Branchen Handel, Automotive, Telekommunikation, Gesundheitswesen, Banken und Versicherungen sowie Energie erwartet. Neben dem Geschäft mit großen Firmen will man auch verstärkt bei Kunden aus dem Mittelstand zulegen. Die Firma verfolgt laut Rajat Mathur, Chief Sales and Operations Officer bei Wipro, eine dreigleisige Strategie für Deutschland: „Wir investieren in den Aufbau einer starken Kompetenz in wichtigen vertikalen Wachstumsmärkten und suchen nach lokalen Fachkräften mit Erfahrung im Programm-Management.“ < Im Internet: www.wipro.com
unternehmen < aktuelles
Umweltgerecht entsorgen
> Zwei internationale Initiativen wollen gemeinsam die Entsorgung elektronischer Geräte verbessern. The Green Grid, eine Vereinigung von Supercomputer- und Chipherstellern, die sich der Energieeffizienz verschrieben haben, will verstärkt mit der Step-Initiative zusammenarbeiten. Die „Solving the E-waste Problem“-Initiative (Step) ist eine Denkfabrik unter dem Dach des akademischen Arms der Vereinten Nationen, der United Nations University. Sie ist international tätig, um Verfahrensweisen und Best Practices für die Verwaltung ausgemusterter Elektronikgeräte von Unternehmen und Verbrauchern zu entwickeln. Ziel der Zusammenarbeit der beiden Initiativen ist es, Unternehmen dabei zu unterstützen, die Entsorgung elektronischer Geräte am Ende ihrer Nutzungsdauer zu verstehen, zu messen und zu verwalten. Der Hintergrund: Eine ganze Generation von Geräten, die im Rechenzentrums-Boom der 90erJahre angeschafft wurden, erreicht nun das Ende ihrer Lebensdauer. Das verstärkt den Druck auf die IT-Manager. Mit der Aktion möchte The Green Grid eigenen Angaben zufolge
auch zwei unterschiedliche Lager innerhalb der Green-IT-Bewegung vereinen: „Typischerweise siedeln sich unsere Aktivitäten in den Bereichen Energie und Emissionen in der IT an. Im Blickpunkt stehen Rechenzentren und Unternehmen. Aber es gibt einen weiteren Strang, der auf Materialien, Abfall und Recycling schaut und sich mehr auf Bürogeräte konzentriert. Diese beiden Bereiche überschneiden sich selten und diese Zusammenarbeit ist ein Versuch, sie auf neue Art und Weise zu vereinen“, erklärt John Pflüger, Vorstandsmitglied bei The Green Grid. Das erste Ergebnis der Zusammenarbeit ist ein kürzlich veröffentlichtes Whitepaper mit einer IT-Recycling-Metrik für Unternehmen und RZs namens „Electronics Disposal Efficiency“, kurz EDE. Die Elektronikschrottexperten von Step wurden in jede Phase der Entwicklung eingebunden, um sicherzustellen, dass die EDE-Metrik die Situation der Organisationen exakt abbildet. Derzeit ist man auf der Suche nach Unternehmen, die die beschriebene Vorgehensweise in einem Pilotprojekt einsetzen wollen. < Im Internet: w ww.thegreengrid.org www.step-initiative.org
Neue Köpfe im Präsidium > Auf der Bitkom-Jahrestagung in Köln wurden Mitte Juni zwei Vizepräsidenten neu gewählt, nachdem sich Mittelstandssprecher Heinz-Paul Bonn (Gus Group) und Volker Smid (ehemals Hewlett-Packard) nicht mehr zur Wahl stellten. Neue Vizepräsidenten sind dafür nun Achim Berg (Bertelsmann-Tochter Arvato) und Ulrich Dietz (GFT). Präsident Prof. Dieter Kempf (Datev) wurde ebenso im Amt bestätigt wie René Obermann (Deutsche Telekom) als Vizepräsident. Der engste Führungskreis des Branchenverbandes wird vervollständigt durch Michael Kleinemeier (SAP), der als Schatzmeister wiedergewählt wurde. Mit Catharina van Delden (Innosabi) ist erstmals ein Start-up im Präsidium vertreten. Neu in das 16-köpfige Präsidium wurden außerdem gewählt Winfried Holz (Atos), Dr. Christian Illek (Microsoft) und Hans Wienands (Samsung). Sieben weitere Präsidiumsmitglieder wurden in ihrem Amt bestätigt. < Im Internet: www.bitkom.org
Das Bitkom-Präsidium (v. li.): Ulrich Dietz, Winfried Holz, Oliver Tuszik, Dieter Kempf, Achim Berg, Michael Kleinemeier, Catharina van Delden, Hans Wienands, Herbert Merz, Karl-Heinz Streibich, Christian Illek, Jens Schulte-Bockum, René Obermann, Bernhard Rohleder, Frank Riemensperger. Es fehlen Martina Koederitz, René Schuster. it-director · Ausgabe 6/2013
7
aktuelles aktuelles > unternehmen
Wolkige Vertragsangelegenheiten lösen Dass bei Cloud-Verträgen der Teufel im Detail stecken kann, ist bekannt. Richtig brisant wird es rechtlich gesehen für Unternehmen aber erst, wenn die Vertragsinhalte nichts mehr mit der eigentlichen Unternehmenspraxis zu tun haben. Auf welche vertraglichen Aspekte Unternehmen, besonders bei einer individuellen Lösung, achten müssen, hat Dr. Jan Geert Meents von DLA Piper zusammengefasst. Sind Geheimhaltungsverein barungen notwendig?
Wie ein Standard-Cloud-Vertrag an die Unternehmensbedürfnisse angepasst werden kann ...
Cloud Computing „out of the box“ sieht grundsätzlich zwar keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor, die Nutzung eines vollständig standardisierten Services in der Praxis macht allerdings häufig keinen Sinn. Cloud-Dienstleistungen müssen also an die Anforderungen der Auftraggeber angepasst werden. So können Services mit großem Funktionsumfang auf ein gewünschtes Maß reduziert oder nicht benötigte Module ausgeschlossen werden. Allerdings gilt es vorab zu prüfen, ob eine Anpassung überhaupt möglich ist. Wie die Sicherheit der Unternehmensdaten gewährleistet wird ...
Um sich gegen Datenverlust vertraglich abzusichern, sollte der Nutzer festlegen, welche Daten der Anbieter wie und in welchen Abständen sichern soll und ob bzw. wann Sicherungen gelöscht werden können. Erfolgt die Sicherung durch Online-Backups in der Cloud, muss eine Verfügbarkeit des Services „Datenspeicherung“ sichergestellt sein. Nutzt ein Unternehmen mehrere Clouds, bietet sich die Multi-Cloud-Lösung, eine mehrfache Speicherung der Daten in verschiedenen Wolken, an. Die
8
it-director · Ausgabe 6/2013
Dr. Jan Geert Meents erklärt, auf welche
Ausstiegsklauseln es beim Cloud Computing vor allem ankommt.
Cloud-Dienste sollten von unterschiedlichen Anbietern zu Verfügung gestellt werden. Zudem sollten Daten durch das Unternehmen selbst gesichert werden. Die lokale Sicherung im unternehmenseigenen System garantiert auch bei unterbrochener Internetverbindung einen Datenzugriff. Ferner macht sich das Unternehmen unabhängiger vom Anbieter. Gehen dennoch Daten verloren, sollte ein Konzept für die Datenwiederherstellung bestehen. Dafür werden die Dauer des maximalen Systemausfalls sowie der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System bestimmt. Die Daten und Transaktionen zwischen den Sicherungsintervallen stellen somit die maximale Datenverlustmenge dar.
Sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Bereits bei der Projektplanung können Daten an Unbefugte gelangen. Da der gesetzliche Schutz oft unzureichend ist, sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden entsprechend anzupassen. Wie wichtig ist ein Exit- Management?
Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Das Exit-Management legt fest, wie mit den in der Cloud gespeicherten Daten bei Vertragsende umzugehen ist – diese können etwa zurückgegeben oder vernichtet werden. Holt das Unternehmen seine Daten nicht ab, darf der Anbieter Gebrauch vom einseitigen Löschungsrecht machen. Unternehmensdaten, die dem Anbieter zur Verfügung stehen, müssen nicht einfach per Knopfdruck gelöscht, sondern vollständig überschrieben werden. Andernfalls ist nicht klar, ob der Anbieter die Daten ohne weitere Vergütung sichern muss. <
UND WIE VIEL CO2 SPAREN SIE BEIM DRUCK IHRER DOKUMENTE ?
unternehmen < aktuelles
TONER
CO2-NEUTRAL*
Umweltbewusstsein in Firmen sollte über das Fuhrpark-Management hinausgehen. Print Green von KYOCERA Document Solutions bietet Ihnen ein ganzes Maßnahmenbündel für ressourcenschonendes und klimabewusstes Drucken. Intelligente Hard- und SoftwareLösungen helfen Ihnen, Papier- und Verbrauchsmaterial zu sparen. Mit dem CO2-neutralen Toner* von KYOCERA handeln Sie sogar schon bei der Beschaffung klimabewusst. So endet Umweltbewusstsein nicht auf dem Parkdeck, sondern wird zum festen Bestandteil der täglichen Arbeit. KYOCERA Document Solutions Deutschland GmbH – Infoline 0800 - 867 78 76 – www.kyoceradocumentsolutions.de KYOCERA Document Solutions Inc. – www.kyoceradocumentsolutions.com * Nur bei Vertrieb durch KYOCERA Document Solutions Deutschland GmbH und KYOCERA Document Solutions Austria GmbH.
it-director · Ausgabe 6/2013
9
aktuelles aktuelles > unternehmen
Für Angriffe gewappnet Auf dem BSI-Sicherheitskongress wurden Mittel und Wege demonstriert, wie man den Bemühungen von Cyberkriminellen den Schrecken nehmen kann. > Rund 600 Teilnehmer aus Wirtschaft, Wissenschaft und Verwaltung informierten sich Mitte Mai auf dem 13. Deutschen IT-Sicherheitskongress in Bonn über aktuelle Themen wie Industrie 4.0, mobile Sicherheit, Cloud Computing und Cybersicherheit. Dabei stellte der Veranstalter, das Bundesamt für Sicherheit in der Informationstechnik (BSI), erneut ein breites Rahmenprogramm auf die Beine, darunter mehrere Keynotes, 42 Fachvorträge, eine Podiumsdiskussion rund um Industrie 4.0 sowie eine Fachmesse mit 25 Ausstellern. Im Rahmen der Keynotes betonte BSI-Präsident Michael Hange den hohen Stellenwert von Cybersicherheit. Allein 30.000 neue Schadprogramme würden täglich produziert, mit immer ausgeklügelteren Angriffsszenarien. Im Fachjargon spricht man dabei von Advanced Persistent Threats, d.h. von komplexen, zielgerichteten und andauernden Angriffen auf kritische IT-Infrastrukturen. In diesem Zusammenhang verwies Cornelia Rogall-Grothe, IT-Beauftragte der Bundesregierung, darauf, dass Cyberkriminalität rund 4,8 Mio. Euro an jährlichen Kosten bei deutschen Großunternehmen verursacht. Doch welche probaten Gegenmittel gibt es? Hier führte Hange die Aktivitäten der gemeinsam von BSI und dem ITK-Branchenverband Bitkom 2012 gegründeten Allianz für Cybersicherheit an. Der Vereinigung gehören mittlerweile rund 290 Partner an, die im vergangenen Jahr 60 Handlungsempfehlungen aussprachen. Darüber hinaus forderte der BSI-Präsident die Festlegung von Mindeststandards für aktuelle Technologien wie etwa das Cloud Computing. Und er sprach sich für eine Verabschiedung des Sicherheitsgesetzes aus, dessen Entwurf derzeit den betroffenen Gremien vorliegt. Eine Verabschiedung noch vor der Bundestagswahl im September ist allerdings fraglich. Gemäß dem Vorhaben sollen die Betreiber kritischer Infrastrukturen sämtliche Angriffe auf ihre Systeme künftig offiziellen Stellen melden. Damit könne man zunächst ein umfassendes Lagebild der Angriffe gewinnen. Im nächsten Schritt erfolge dann die Analyse der Vorfälle, auf deren Grundlage anschließend Maßnahmen zur effektiven Bekämpfung abgeleitet werden
10
it-director · Ausgabe 6/2013
könnten. Doch nicht alle Beteiligten befürworten das geplante Vorgehen. So verwies Cornelia Rogall-Grothe darauf, dass betroffene Unternehmen einen Imageverlust befürchten, sollten Schwachstellen oder gar Datenverluste öffentlich bekannt werden. Als Kompromiss sprechen sich die Gegner des Gesetzes für freiwillige Maßnahmen bzw. Angriffsmeldungen aus. Laut Rogall-Grothe wäre dies jedoch alles andere als effektiv und würde ein viel zu geringes Schutzniveau der hiesigen IT-Infrastrukturen mit sich bringen. Nicht zuletzt verweisen die Antagonisten darauf, dass die Europäische Union momentan an einem ähnlichen Gesetz arbeite, welches ebenfalls die Festlegung von Mindeststandards sowie die Meldepflicht von Sicherheitsvorfällen beinhaltet. Von daher wird vom Gesetzgeber gefordert, abzuwarten und keinen deutschen Alleingang über das Knie zu brechen. Hinsichtlich des geplanten Gesetzes bevorzugt Dr. Markus Kerber, Hauptgeschäftsführer und Mitglied des Präsidiums des Bundesverbands der Deutschen Industrie e.V. (BDI), ebenfalls die Beibehaltung einer freiwilligen Meldepflicht. Die sei unkomplizierter, auch da es sich um einen anonymen Meldeweg handele. Zudem verwies er auf eine mögliche Rechtsunsicherheit des bisherigen Entwurfs: Denn wer legt fest, was genau ein „erheblicher Sicherheitsvorfall“ ist? Wie sehen die geplanten Meldewege en detail aus? Was, wenn eine Masse an Vorfällen gemeldet werde und die Behörden mit dem Abarbeiten und Analysieren nicht nachkämen? Alles Fragen, die laut Kerber noch zufriedenstellend beantwortet werden müssten.
Strikte Trennung gefordert Doch nicht nur das geplante Sicherheitsgesetz sorgte für rege Diskussionen. Beim Thema Cloud Computing betonte Alex Essoh, BSI-Spezialist für Cloud Computing, dass man bei einer Auftragsverarbeitung in der Wolke grundsätzlich auf entsprechende Zertifizierungen des jeweiligen Anbieters achten sollte. Eine gute Einschätzung hinsichtlich der Rechtssicherheit von Cloud-Services könnten zudem die Audits der Wirt-
unternehmen < aktuelles
BSI-Präsident Michael Hange
Cornelia Rogall-Grothe, IT-Beauftragte der Bundesregierung
schaftsprüfer liefern. Darüber hinaus erstellt das BSI derzeit Sicherheitskriterien, die als Grundlage für eine Zertifizierung von Cloud-Computing-Plattformen dienen können. Auch sollte darauf geachtet werden, dass die Portabilität der Daten gewährleistet ist (es darf kein Vendor-Lock-in entstehen). Und nicht zuletzt sollten Anwenderunternehmen stets penibel darauf achten, wie sich die Datenlöschung nach der Beendigung des Cloud-Vertrags gestalte. Solche Regelungen müssen in den Service Level Agreements berücksichtigt sein. Neben der omnipräsenten Cloud stand das Thema „Mobility“ im Vordergrund des Kongresses. Im Gespräch mit IT-DIRECTOR ging Dr. Antonius Klingler vom BSI näher auf das Prinzip „Bring your own Device“ (BYOD) ein. Hier möchten Business-Nutzer einerseits den Zugriff des Arbeitgebers auf persönliche Daten unterbinden, andererseits wollen sie jedoch die gesamte Funktionsvielfalt ihres Smartphones nutzen. Ein Ausweg aus diesem Dilemma kann dabei die strikte Trennung zwischen beruflicher und privater Umgebung auf dem mobilen Device sein. Dies ermöglicht etwa die Lösung „Trust me“ der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit, kurz AISEC. Sie erlaubt den Betrieb mehrerer virtualisierter Android-basierter Smartphone-Umgebungen auf einem Gerät. Vertrauliche Firmendaten sollen so vor dem Zugriff Dritter geschützt werden und sicherheitsrelevante Daten wie PINs und Passwörter verschlüsselt in einem Secure Element – etwa einer MicroSD-Karte – abgelegt werden. Laut Antonius Klingler sei die strikte Trennung generell jedoch nicht durchgängig aufrechtzuerhalten. So
Dr. Markus Kerber, Hauptgeschäftsführer
des BDI
würden Features wie Kamera, Mikrofon oder Ortungsdienste beruflich und privat gleichermaßen genutzt. Überdies verwies Klingler auf weitere Optionen, etwa auf die vom Düsseldorfer Unternehmen Secusmart angebotene mobile Sicherheitslösung „Secusuite for Blackberry 10“, die den Zuschlag für den Rahmenvertrag für die verschlüsselte Kommunikation der deutschen Bundesregierung erhielt und ab Juli allgemein verfügbar sein soll. Laut Anbieter gewährleistet die Lösung eine sichere Verschlüsselung der gespeicherten Informationen, der Sprache, der Textnachrichten sowie des VPN. Ein weiterer Faktor sei das sichere Browsen, um gefahrlosen Zugang zum Internet zu gewährleisten. Außerdem trennt die Technologie „Blackberry Balance“ sensible Informationen von persönlichen Inhalten. So könnten Nutzer sicher zwischen ihrem geschäftlichen und privaten Leben wechseln. Mit Samsung Knox soll in Kürze eine Android-Sicherheitslösung verfügbar sein. Die Container-Lösung ermöglicht das Ausführen von Apps in einer sicheren, virtuellen Umgebung. Dadurch könnten sich die Nutzer u. a. vor „Datensauger-Apps“ schützen. Eine Trennung von privater und geschäftlicher Umgebung sei ebenfalls möglich. Sämtlichen Sicherheitsanforderungen entspricht auch das – in der Vorgängerversion bereits von den Bundesministerien genutzte – Simko3Smartphone, welches 2014 auf den Mark kommen soll. Entwickelt von der Telekom-Tochterfirma Trust2Core können dank zweier „Mikrokerne“ die privaten und geschäftlichen Bereiche ebenfalls sicher voneinander getrennt werden. < Ina Schlücker
it-director · Ausgabe 6/2013
11
aktuelles aktuelles > unternehmen
Platz schaffen für Big Data Im Zeitalter der intelligenten Auswertung von „Big Data“ spielt die Datenarchivierung eine zunehmend wichtige Rolle. > IDC prognostizierte in der aktuellen Studie zum „Digital Universe“ für 2020 eine weltweit vorhandene Datenmenge von 40 Zettabyte. Doch wie viele der in einem Unternehmen vorhandenen Daten werden tatsächlich genutzt? Wie können produktive Datenbanken entlastet werden, um die Vielzahl an neuen Informationen zu verarbeiten? Eine systematische Datenbankarchivierung erfüllt nicht nur die gesetzlichen Vorgaben hinsichtlich der Aufbewahrungspflichten, sondern schafft auch Platz für riesige Datenmengen. Unternehmen, die sich auf aktuelle Daten konzentrieren und diese gezielt nutzen, verschaffen sich Wettbewerbsvorteile, indem inaktive Daten aus den Produktivsystemen entfernt und separat archiviert werden. Dadurch werden die Performance der aktiven Systeme erhöht und gleichzeitig die Kosten für Speichermedien gesenkt. Doch welche Strategie eignet sich, um vorhandene Datenbanken zu archivieren? Wichtig sind hier-
Checkliste für Archivierungslösungen Regelmäßige Entlastung der produktiven Datenbank Die Daten sollten so abgespeichert werden, dass sie innerhalb der Aufbewahrungsfrist nicht gelöscht werden können.
Abspeicherung der Daten in offenen Standards Optimal eignen sich Text- und XML-Dateien, die auch langfristig gelesen und ausgewertet werden können.
Komprimierung der Daten bei ihrer Archivierung Um Platz zu sparen, sollte die Archivierungslösung leistungsfähige und quelloffene Komprimierungsalgorithmen nutzen.
Zuverlässige Verschlüsselung aller Daten Einige Archivierungslösungen verschlüsseln sensible Daten bei Bedarf nach dem Advanced Encryption Standard (AES).
Erkennen syntaktischer Änderungen Unternehmenszusammenschlüsse oder Restrukturierungen führen oft zu einer Änderung der Datenbankstruktur, was bei der Datenbankarchivierung berücksichtigt werden muss. Quelle: CSP GmbH
12
it-director · Ausgabe 6/2013
bei die Revisions- und Compliance-Vorschriften. Sie besagen, dass geschäftsrelevante Informationen so aufbewahrt werden müssen, dass sie nicht nachträglich verändert werden können und jederzeit in einer vertretbaren Zeit auf sie zugegriffen werden kann. Hier stoßen viele Varianten der Datenbanksicherung an ihre Grenzen. Speichert ein Unternehmen beispielsweise nur Backup- oder Export-Files in einem Langzeitspeichersystem, muss der gesamte Datenbestand wiederhergestellt werden, sobald auf einen Teil der Informationen zugriffen werden soll. Auch sind die Unternehmen an den Datenbankhersteller und dessen Dateiformat gebunden, das unter Umständen nicht mehr mit dem verwendeten Release kompatibel ist. Unterschiedliche Schemata der Daten erhöhen den Aufwand bei Recherchen über Backup-/Export-Dateigrenzen hinweg. Das verursacht in der Regel viele Fehler. Ähnliche Probleme bereiten in Unternehmen häufig anzutreffende Eigenentwicklungen. Hier werden die Daten aus der Produktivdatenbank extrahiert und dann in eigenen Formaten abgespeichert. Allerdings basieren diese Lösungen auf der bestehenden Datenbanksystematik und häufig auf den Erfahrungswerten des Entwicklers. Probleme treten bei dieser Variante meist dann auf, wenn auf die Daten tatsächlich zugegriffen werden muss. Eine unabhängige Standardlösung verbindet hingegen compliance-konforme Datenbankarchivierung mit ver-
unternehmen < aktuelles
ringerten Betriebskosten, da diese das Datenbankvolumen je nach Anwendungsfall um bis zu 90 Prozent senken kann. Hier werden die Daten automatisch in einem herstellerunabhängigen Format inklusive Metadaten abgelegt. Für Recherchen können IT-Mitarbeiter mittels SQL, Endanwender auf einem Client mit variablen Suchkriterien jederzeit auf die Daten zugreifen. Was passiert mit Daten aus Anwendungen, die in einem Unternehmen nicht weiter betrieben werden? Auch diese Problematik beschäftigt IT-Abteilungen immer wieder. Häufig führt diese Fragestellung gar dazu, dass für eine Applikation weiter Lizenz- und Wartungskosten gezahlt werden, obwohl die darin gespeicherten Daten nur noch aus Gründen der Compliance und Revision genutzt werden. Hier bieten einige Datenbankarchivierungsprodukte eine Lösung. Das Speichern der Nutz- und Metadaten in offenen Formaten außerhalb der Datenbank stellt langfristig den Zugriff sicher, da diese weitgehend systemunabhängig sind und dem Prinzip „back to the roots“ folgen. Das Altsystem wird folglich nicht mehr benötigt und kann abgeschaltet werden. Legt man Aufwendungen für Wartung und Betrieb des Legacy-Systems inklusive Personalkos-
ten von 50.000 Euro pro Jahr zugrunde, spart das Unternehmen in zehn Jahren 500.000 Euro ein. Unter der Annahme, dass sich die Datenmenge zurzeit pro Jahr mindestens verdoppelt, bleibt deren Verwaltung und Speicherung trotz sinkender Hardwarekosten ein essentielles Thema für die IT-Verantwortlichen. Gleichzeitig herrscht aber bei vielen Unsicherheit, welche Daten online gehalten werden müssen und wie auf die Informationen zugegriffen werden kann, wenn sie archiviert werden. Häufig führt das dazu, dass zunächst alle Daten einfach gesichert werden. Hier setzt der Anbieter CSP mit dem „Chronos Calculator“ an: Anhand spezifischer Unternehmensdaten errechnet das kostenlose Analysetool das Einsparpotential durch den Einsatz einer systematischen und standardisierten Datenbankarchivierung. Erfolgreich sind die Unternehmen, die sich systematisch mit Daten als Wirtschaftsgut auseinandersetzen. Gerade in Hinblick auf Big Data müssen die Unternehmen Strategien entwickeln, wie sie ihre Daten sinnvoll und effizient archivieren und damit ein strukturiertes Information Lifecycle Management implementieren. < heike JohAnnes
Große Business Visionen? Die IT ist schon bereit ... Mit der Product Portfolio und Service Management Lösung von FNT treten Sie Ihren Fachbereichen gelassen entgegen! Die Software FNT ServicePlanet macht Ihre IT zum Business Enabler. Durch die methodenbasierte Definition standardisierter Produkte, können diese in hoher Qualität und zu kontrollierbaren Kosten schnell und flexibel als Business Services bereitgestellt und verwaltet werden. Erfahren Sie mehr über das zentrale Service Repository: www.fnt.de/serviceplanet it-director · AusgAbe 6/2013
13