Dell erweitert Führungsteam · IT-Experten gesucht · Vorsicht vor Social Engineering Schweiz: 8,40 SFr DEUTSCHLAND: 4,30 EUR
5 I 2013
5 I 2013
Österreich: 4,70 EUR Luxemburg: 4,95 EUR
NO
05
IM Interview
Martin Kinne, Geschäftsführer bei Siemens Enterprise Communications Seite 22
Unified Communications
Den Nerv der Zeit treffen Die Verknüpfung von Collaboration und Social Software macht die Firmenkommunikation effizienter. Seite 16
MEDIENHAUS VERLAG · Postfach 300111 · 51411 Bergisch Gladbach · »Entgelt bezahlt«
Dell erweitert Führungsteam · IT-Experten gesucht · Vorsicht vor Social Engineering · Im Interview: Martin Kinne, Geschäftsführer bei Siemens Enterprise Communications
G 31227 I WWW.IT-DIRECTOR.DE
RZ-Infrastrukturen Notfallplan in der Schublade Seite 46
IT-Wartung So bleibt die Unternehmenshardware gut in Schuss Seite 36
HX-Factor = 70 Prozent weniger Energiebedarf in der Rechenzentrumsklimatisierung Der HX-Factor ist unser Leistungsversprechen. Er steht für einzigartige Kompetenz im Wärmetausch (HX = HEAT EXCHANGE) und sichert Ihnen vielseitigen Produktnutzen. So auch mit dem GEA Adia-DENCO ®: Dieses speziell für die energiesparende IT-Klimatisierung entwickelte Gerät kann den Energiebedarf für die Kühlung eines Rechenzentrums um bis zu 70 Prozent reduzieren. Es nutzt den Effekt der indirekten Freien Kühlung in Kombination mit indirekter adiabater Befeuchtung. Damit ist diese Innovation ein wertvoller Baustein zur Green IT.
GEA Air Treatment GmbH Südstraße 48, 44625 Herne, Deutschland Tel.: +49 2325 468-00, Fax: +49 2325 468-222 airtreatment.hx.de@gea.com, www.gea.com
engineering for a better world
GEA Heat Exchangers
vorwort mai < 2013
Melden oder nicht? In der vernetzten Welt gehören Identitätsdiebstahl, Verfügbarkeitsangriffe, Onlinespionage und -sabotage zunehmend zur Tagesordnung. Kein Wunder, dass sich der Gesetzgeber gefordert sieht, solchen Cyberangriffen möglichst schnell einen Riegel vorzuschieben.
> Vor diesem Hintergrund will die Bundesregierung mit dem geplanten IT-Sicherheitsgesetz – offiziell das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ – die Meldung von IT-Sicherheitsvorfällen in der Wirtschaft gevon Ina Schlücker, Redakteurin IT-DIRECTOR setzlich vorschreiben. Die Vorteile: Man besäße zeitnah einen Überblick über die aktuelle Bedrohungslage. Und nach der Analyse der Angriffsszenarien könnten dann Behörden sowie Unternehmen gemeinsam an einem Strang ziehen, um den Cyberkriminellen den Garaus zu machen. Soweit die Fakten. Was in der Theorie erstrebenswert klingt, könnte in der Praxis allerdings schnell an Grenzen stoßen. So müsste klar definiert werden, welche Unternehmen betroffen sind. Im Moment spricht man noch recht allgemein von den „Betreibern kritischer Infrastrukturen“. Zudem gilt es festzulegen, welche Sicherheitsvorfälle zu melden sind. Denkt man an die immer ausgeklügelteren und perfideren Angriffe der Cyberkriminellen, wird schnell klar, dass diese Definition in regelmäßigen Abständen aktualisiert werden muss. Dass es dabei schnell Grauzonen geben könnte, was meldepflichtig ist und was nicht, liegt auf der Hand.
den, taucht eine weitere Herausforderung auf: Wer bearbeitet, bewertet und veröffentlicht die Daten? Bei ein bis zwei Vorfällen pro Tag dürfte dies ein leichtes sein. Doch auch hier könnten die Cyberkriminellen den Behörden einen Strich durch die Rechnung machen – denn wer handhabt den Aufwand bei mehreren hundert Vorfällen pro Tag? Ein übertriebenes Szenario? Nicht, wenn man bedenkt, dass allein die Betreiber von Internetdiensten täglich tausendfachen Angriffen ausgesetzt sind. Nicht zuletzt verweist der Internetverband Eco darauf, dass die Verabschiedung des nationalen Gesetzesentwurfs verfrüht sein könnte und spricht gar von einem „deutschen Schnellschuss“. Vielmehr sollte man besser die aktuell von der Europäischen Union vorbereiteten Regulierungen abwarten, um eine einheitliche Handhabung auf internationaler Ebene zu erreichen. Eine Vorgabe, die sich vielleicht realisieren lässt. Denn derzeit befindet sich der Gesetzesentwurf noch in der Abstimmung und es ist unklar, ob noch vor der im September stattfindenden Bundestagswahl überhaupt mit einer endgültigen Entscheidung zu rechnen ist. < Viel Spaß beim Lesen dieser Ausgabe,
Geht man im nächsten Schritt davon aus, dass betroffene Unternehmen pflichtbewusst etwaige Vorfälle mel-
it-director · Ausgabe 5/2013
3
Inhalt 2013 > mai
Bereitstellen und beten: Die Verknüpfung von Collaboration- und Social-Software bietet Potential, doch es fehlen klare Strategien.
16
Interview mit Thomas Müller, Gründer und geschäftsführender Gesellschafter von Solcom
10 Gut getarnt Vor Angriffen aus dem Internet und Hackern schützen sich Unternehmen meist umfassend. Aber schützen sie sich auch vor Social Engineering?
12 Nicht nur die Frachtwege im Griff
Eine cloud-basierte Supply-ChainPlattform kann Händlern die Transparenz über Warenbestände und Transaktionen der Lieferkette geben.
14 Herr der Daten bleiben Interview mit Dr. Holger Mühlbauer, Geschäftsführer bei Teletrust – Bundesverband IT-Sicherheit e.V.
4
it-director · Ausgabe 5/2013
möglichst minimiert werden, wenn regelmäßig gewartet wird.
36
22
Aktuelles > Unternehmen
8 Know-how nach Bedarf
Gut in Schuss bleiben: Dienstleister versprechen, dass Pannen
Titelthema > Unified Communications
16 Bereitstellen und beten Die Verknüpfung von Collabo ration- und Social-Software bietet viel Potential, um Firmen effizienter zu machen. Doch den meisten Unternehmen fehlt noch eine klare Strategie. Ihnen bleibt lediglich die Hoffnung, dass die Technologien auch Nutzen bringen.
21
Sicherheitsrisiko soziale Medien?
Kommentar von Achim Kraus, Senior System Engineer bei Palo Alto Networks
Interview mit Martin Kinne, General Manager DACH und Geschäftsführer der Siemens Enterprise Communications GmbH und Co. KG
30
Kleines Team, fundiertes Training
Die Informationsvermittlungsstelle der Max-Planck-Gesellschaft nutzt Cloud-Dienste zur Onlineweiter bildung von Wissenschaftlern.
32 Alles rechtens Die internationale Anwaltssozietät CMS Reich-Rohrwig Hainz setzt auf sichere Kommunikation – auch per Fax.
34 Distanz überbrücken Interview mit Eric Kintz, Senior Vice President & General Manager bei Logitech, über die aktuellen Bedürfnisse der Unternehmen im Bereich Kommunikation
mai < 2013
Notfallplan in der Schublade: Bei Serverausfällen im Rechenzentrum ist schnelles Handeln gefragt.
Im Keim ersticken: Die IT reagiert sehr sensibel auf Störungen. Was tun, wenn es einmal brennt?
46
52
Organisation > Dienstleistungen
Infrastrukturen > Rechenzentren
36 Gut in Schuss bleiben
46 Notfallplan in der Schublade
Bei der Unternehmenshardware verhält es sich im Prinzip wie beim eigenen Automobil – wird sie regelmäßig gewartet, sollen Pannen möglichst vermieden werden. Das jedenfalls versprechen IT-Dienst leister. Doch rechnen sich ent sprechende Services letztlich überhaupt?
Bei Serverausfällen im Rechen zentrum ist schnelles Handeln gefragt. Wohl dem, der dafür einen erfolgreichen Notfallplan in petto hat.
siehst
44 Mehr Energie Der regionale Energiedienstleister Enviam optimierte seine OutputLandschaft.
Kaum ein Bereich reagiert so sensibel auf Störungen wie die IT. Daher ist es wichtig, auf mögliche Zwischenfälle optimal vorbereitet zu sein. Was aber tun, wenn es einmal brennt?
54 Fast wie ein Fertighaus Interview mit Holger Zultner, Direktor IBM Site and Facility Services, über die Vorteile standardisierter Module
Anzeige
42 Ich sehe was, was du nicht Eine IT-Organisation wird daran gemessen, wie schnell und gut sie Probleme löst. Dumm nur, wenn sie nicht weiß, wo die Störungsursache liegt.
52 Im Keim ersticken
Software für Versorger und Industrie www.psi.de
50 Kein teurer Maßanzug
IT Director Inselanzeige 55x40 mm.indd 1
Standards 3 Vorwort: Melden oder nicht? 45 Buchseite zum Thema Dienstleistungen 56 Veranstaltungen: Termine 58 Letzte Seite: Vorschau und Impressum
26.01.2012 13:34:06
Interview mit Bernd Hanstein, Hauptabteilungsleiter Produkt management IT bei Rittal, über Standardisierungspotentiale im RZ
it-director · Ausgabe 5/2013
5
aktuelles aktuelles > unternehmen
Dell erweitert Führungsteam > Dell Deutschland erweiterte kürzlich das Führungsteam und hat Doris Albiez in die neu geschaffene Position des „Vice President Germany“ berufen. Barbara Wittmann, Mark Möbius und Jürgen Renz bleiben unverändert eingetragene Geschäftsführer der Dell GmbH. Albiez übernimmt in ihrer neuen Position die Gesamtleitung des Anbieters in Deutschland. Sie kommt von IBM, wo sie bis Januar als „Vice President Distribution Sales BPO und Midmarket“ das Channelgeschäft in Europa leitete. Albiez war 2008 von Navigon zu Big Blue in Deutschland gekommen und dort bis Juli 2011 als Vice President Geschäftspartnerorganisation & Mittelstand aktiv. Anschließend wurde sie in die europäische Geschäftsleitung berufen. < Im Internet: www.dell.de
Doris Albiez leitete bis Januar bei IBM das Channelgeschäft in Europa.
6
it-director · Ausgabe 5/2013
Erfahrung im Outsourcing > Zum 1. Mai 2013 übernahm Dr. Klaus Seifert die Position als Senior Vice President Managed Services bei Atos Deutschland. Er verantwortet die Leitung, Entwicklung und Transformation der ITInfrastrukturen für die Kunden in Deutschland. In dieser Funktion ist er Mitglied der hiesigen Geschäftsleitung und berichtet an
CEO Winfried Holz sowie an Eric Grall, Executive Vice President für Global Managed Services. Der Wirtschaftsingenieur Dr. Klaus Seifert verfügt über Industrieerfahrung im Outsourcing-Geschäft und kommt von HP. Hier leitete er zuletzt den Vertrieb des Geschäftsbereichs „Enterprise Services“ in Deutschland, wobei er für die Bereiche IT-Outsourcing, Business Process Outsourcing, Consulting und Application Services zuständig war. < Im Internet: www.atos.net
Seit dem 1. Mai ist Dr. Klaus Seifert Senior Vice President Managed Services bei Atos Deutschland.
Kosten bremsen Virtualisierung Ein aktuelle Studie beleuchtete den weltweiten Umsetzungsgrad von Virtualisierungsprojekten. > Unternehmen sind größtenteils bestrebt, geschäftskritische Tier1-Anwendungen zu virtualisieren, insbesondere SQL Server, Exchange, Sharepoint, Oracle und SAP – so lautet ein Ergebnis der weltweiten Datacore-Befragung „State of Virtualization“. 44 Prozent der Befragten erklärten dabei, dass die unverhältnismäßig hohen Speicherkosten ein „ernsthaftes Hindernis“ oder „eher ein Hindernis“ darstellen und verhindern, dass sie mehr Arbeitsprozesse virtualisieren. 42 Prozent der Befragten gaben das gleiche bezüglich Leistungseinbußen oder der Unfähigkeit, die Erwartungen in puncto Performance zu erfüllen, an.
Im Vergleich zum Vorjahr seien die Storage-Budgets im Jahr 2013 vergleichsweise eingeschränkt, so ein weiteres Ergebnis. Mehr als die Hälfte der Befragten gab an, dass ihr Speicherbudget stabil geblieben ist, aber 20 Prozent sagten, dass ihre Budgets reduziert wurden. Im Vorjahr waren es nur 14 Prozent. Während 2012 immerhin 38 Prozent höhere Budgets aufwendete, ist diese Zahl in diesem Jahr auf 30 Prozent gesunken. Zudem nimmt Storage weiterhin den größten Teil bei der Investition in Virtualisierungsprojekte ein. Dies beinhaltet laut Studie sowohl Serverals auch Desktopinitiativen. < Im Internet: www.datacore.de
unternehmen < aktuelles
Technologie-Investitionen geplant > Die auf Finanzierungslösungen im Technologiebereich spezialisierte CHG-Meridian AG mit Sitz in Weingarten hat das abgelaufene Geschäftsjahr trotz eines rückläufigen Neugeschäfts mit deutlichen Zuwächsen beim Rohertrag abgeschlossen. Beim Neuinvestitionsvolumen blieb das Unternehmen mit 804 Mio. Euro 6,4 Prozent hinter dem Vorjahresergebnis und auch hinter den Erwartungen zurück. Dennoch wuchs der Rohertrag um 11,3 Prozent auf 131 Mio. Euro. War 2012 das Geschäft in Deutschland noch von – bedingt durch die Eurokrise – Investitionszurückhaltung geprägt, rechnet der Branchenverband BDL mit einer Wiederaufnahme angestammter
Investitionszyklen – und demnach auch mit einem stärkeren Wachstum bei Investitionsentscheidungen im Technologiebereich. Das ist wichtig für die CHG-Meridian AG, die verschiedene Technologien – Server, Computer, Bildschirme, Drucker, Industriemaschinen sowie medizinische Ausstattung – im Wert von 2,5 Mrd. Euro in den eigenen Büchern hält und diese an Unternehmen und öffentliche Auftraggeber in 19 Ländern vermietet bzw. verleast. Erfreulich war 2012 vor allem die Entwicklung bei der Gerätewiederaufbereitung, der sicheren Datenlöschung sowie der Weitervermarktung von Gebrauchtgeräten. < Im Internet: www.chg-meridian.com
Hana als Wolkenservice > Die Business Suite powered by Hana von SAP ist künftig auch als Managed-Cloud-Service verfügbar. Das neue Angebot „Hana Enterprise Cloud“ stellt die Funktionen der Datenbank als Service bereit. ERP-, CRM- sowie Netweaver-BusinessWarehouse-Anwendungen sollen damit als „Managed Cloud Service“ genutzt werden können, der bis in den PetabyteBereich skalierbar ist. Die Walldorfer versprechen damit eine schnellere Wertschöpfung bei geringeren Gesamtkosten. Die neue UnternehmensCloud soll u. a. mithilfe der Partnerstrategie umgesetzt werden. < Im Internet: www.sap.de
ionstag format eim! In S B P Mannh ie den
en S el in Besuch int Hot im Dor i n u J . am 18
Nearline Storage für SAP®-Anwendungen
Überwinden Sie die Hindernisse bei der Verwaltung großer SAP-Datenmengen … Die Nearline-Storage-Lösungen von PBS eröffnen völlig neue Möglichkeiten im Management sehr großer Datenmengen, gleich ob in transaktionalen oder analytischen SAP-Systemen. Sie sind dabei so vielfältig wie die Anforderungen unserer zahlreichen Kunden: entweder rein ADK-basiert oder unter Einsatz modernster spaltenbasierter Datenbanktechnologie.
… und bauen Sie eine Brücke zu SAP HANA® Günther Reichling, Geschäftsführer PBS
PBS-Lösungen werden in traditionellen SAP ERP- und BW-Anwendungen längst erfolgreich eingesetzt. Bei einem Einsatz unter SAP HANA sind die Kostenersparnisse, die damit erzielt werden, besonders hoch. Unglaublich? Testen Sie unsere Software unverbindlich und kostenfrei.
www.pbs-software.com
it-director · Ausgabe 5/2013
7
Interview aktuelles > unternehmen
Know-how nach Bedarf Interview mit Thomas Müller, Gründer und geschäftsführender Gesellschafter der Solcom Unternehmensberatung GmbH, über die Besetzung von Projekten mit externen IT-Experten IT-DIRECTOR: Herr Müller, Ihr Unternehmen deckt werden müssen, zusätzliches Knowfungiert als IT-Personaldienstleister und how benötigt wird oder etwa Reisetätigstellt Unternehmen IT-Fachleute projektkeiten notwendig werden und es unbeweise zur Verfügung. Können CIOs ihre quem bzw. politisch nicht opportun ist, Aufgaben nicht mehr ohne externe Hilfe dies anzuordnen. IT-DIRECTOR: Kooperieren Sie mit anderen lösen? T. Müller: Der Einsatz externer IT-SpezialisAnbietern wie Systemhäusern oder Zeit ten gehört für die meisten deutschen Unarbeitsfirmen? T. Müller: Nein, vielmehr grenzen wir uns ternehmen zum Standard. Jedes zweite von diesen klar ab. Wir arbeiten bei der setzt regelmäßig auf die zeitweise UnterLeistungserbringung ausschließlich mit stützung durch externes Personal. Weite- Thomas Müller, Solcom freiberuflichen Mitarbeitern. Somit sind re 30 Prozent integrieren Externe fest in die IT-Planung. Die IT nimmt dabei immer noch die wir in der Lage, Experten aus einem Portfolio von über Vorreiterrolle ein, da ihre Anforderungen aufgrund 50.000 Profilen über alle Branchen und Technologien des rasanten technologischen Fortschritts und der hinweg zu qualifizieren – und zwar hinsichtlich der geVielzahl an Leistungsbeziehungen ständig neues samten Klaviatur der technischer Expertise. So können Know-how sowie praktische Erfahrung erforderlich wir jederzeit die exakt passende Fähigkeit für die jemachen. Beides kann von Unternehmen zumeist nicht weilige Aufgabenstellung des Kunden bereitstellen. Eine Vorgehensweise, die mit dem Zeitarbeitsmodell vorgehalten werden, da es nur für einen begrenzten Zeitraum benötigt wird. Somit ist der Einsatz externer nicht bedient werden kann, da sich hochqualifizierte Spezialisten vielmehr eine zeitlich begrenzte Ergän- Spezialisten bewusst gegen ein klassisches Beschäftizung der eigenen Ressourcen und ein wichtiger Innova- gungsmodell entscheiden – sei es aufgrund der besseren Verdienstmöglichkeiten oder der individuellen tionsfaktor. IT-DIRECTOR: Bei welchen Problemstellungen wird Ihr PersoFreiheit, die sie dadurch genießen. nal engagiert? Auch Systemhäuser stellen oftmals keine wirkliche T. Müller: Klassisch werden unsere Dienste bei Belastungs- Alternative dar, da die zu vermittelnden Ressourcen spitzen bzw. der schnellen Überbrückung von Ressour- auf den eigenen Mitarbeiterstamm begrenzt sind. cenengpässen in Anspruch genommen. Aber auch der IT-DIRECTOR: Inwieweit schließen Sie Werkverträge mit Wegfall bürokratischer Hürden, geringere Kosten und Ihren Kunden ab? Einarbeitungszeiten sowie die hohe Umsetzungsge- T. Müller: Je nach Aufgabenstellung geht es oft nur um die schwindigkeit sprechen dafür, externes Personal einzu- Erfüllung klar definierter Pflichtenhefte, also der Absetzen. Zudem leiden viele Unternehmen unter fehlen- arbeitung bestimmter Routinen. Dafür reichen Dienstverträge vollkommen aus. Geht es der Flexibilität und Mobilität der aber beispielsweise um die Anfertifestangestellten Mitarbeiter. Lösen gung von Projektdefinitionen oder lässt sich dies oftmals nur durch die Durchführung von Testläufen, den Unternehmer als Person – bei denen das Ziel klar definiert ist sprich den Freiberufler. und das Ergebnis klar bemessen Eine Entlastung ergibt sich durch wurde, sind Werkverträge durchexterne Spezialisten demnach imaus legitim. mer dann, wenn Lastspitzen abge-
„Qualifizierte Fachkräfte suchen oft keine Festanstellung, sondern agieren als Freelancer.“
8
it-director · Ausgabe 5/2013
unternehmen < aktuelles
Andere Parameter sind weitaus essentieller, um ein Projekt erfolgreich abzuschließen. Qualität beginnt bereits lange bevor unsere Experten erfolgreich in Kundenprojekte integriert werden. Reibungslose Kommunikation ist für den Erfolg eines Projektes genauso unverzichtbar wie mehrstufige Maßnahmen zur Qualitätssicherung. IT-DIRECTOR: Warum gibt es in der IT-Branche einen Fachkräftemangel und warum leiden Sie selbst nicht darunter? T. Müller: Technisierung ist der Motor der Weltwirtschaft und überall wo Wertschöpfung stattfindet, sind meist IT-Skills gefragt. Und die sind selten, da der hohe Innovationsdruck und die immer kürzer werdenden Produktzyklen Unternehmen zwingen, ausgetretene Pfade zu verlassen und ihr technologisches Spektrum mit zunehmender Geschwindigkeit zu erweitern. Wir selbst leiden nicht unter diesem Mangel, da hochspezialisierte Fachkräfte oft keine Festanstellung suchen, sondern mit ihrem Know-how-Vorsprung in unterschiedlichen Tätigkeitsfeldern profitieren wollen. Auf diese Weise haben wir ständig Zugriff auf Knowhow und einen Überblick über alle am Markt verfügbaren Skills sowie deren Preisgefüge. Unsere Kundenstruktur – d.h. Großunternehmen wie Mittelständler – durchdringt zudem alle Bereiche der Wirtschaft und erweitert unsere technologischee Expertise und Branchenerfahrung. IT-DIRECTOR: Wie finden Sie geeignete Fachkräfte? T. Müller: Wir erhalten viele Initiativbewerbungen. Zudem haben wir über die Jahre hinweg unser Ausschreibungsmanagement perfektioniert. Dieses ermöglicht es uns, offene Positionen über eine Vielzahl an Kanälen binnen weniger Minuten auszuschreiben. Parallel dazu sondieren wir monatlich Tausende eingehende Bewerbungen und erfassen diese systematisch auf Basis interner Systeme, so dass eingehende Projektanfragen passgenau und schnell besetzt werden. <
Der IT-Projektmarkt wird 2013 im Vergleich zum Vorjahr …
… wachsen … stagnieren … schrumpfen
2012
2013
51,8 % 40,6 % 7,6 %
37,1 % 59,7 % 3,3 %
> Nachdem die Zeichen für 2012 voll auf Wachstum standen, geben sich die Teilnehmer der diesjährigen Befragung hinsichtlich ihrer Einschätzungen bodenständiger. Knapp 60 Prozent rechnen mit einem konstanten Niveau für 2013. 37,1 Prozent der Teilnehmer und damit 14,7 Prozent weniger als im Vorjahr sind der Meinung, dass der IT-Projektmarkt im Vergleich zum Vorjahr weiter wachsen wird. Positiv zu bewerten ist, dass lediglich 3,3 Prozent der Befragten mit einem sich verringernden Markt rechnen – das sind 4,3 Prozent weniger als noch vor einem Jahr. < Im Internet: www.solcom.de
Gottfried Ottweiler, IS
»Ich will einen IT-Partner, der mir flexible Lösungen für die Kommunikation bietet. Von jedem Ort aus, mit jedem Endgerät und in Echtzeit.«
Mit unseren Unified Communications & Collaboration Lösungen profitieren Sie von einem uneingeschränkten Zugriff auf Informationen mit mobilen Geräten – und machen die Zusammenarbeit zwischen Mitarbeitern oder mit Geschäftspartnern effizienter. Scannen Sie den QR-Code und lesen Sie weiter! Jetzt informieren unter www.arvato-systems.de/de/it-outsourcing oder Mail an: ich-will@arvato-systems.de
IT for Better Business. 13-46-010 AZ_UCC_IT-Director.indd 1
14.05.13 10:16 it-director · Ausgabe 5/2013
9
aktuelles aktuelles > unternehmen
Gut getarnt Vor Angriffen aus dem Internet und Hackern schützen sich Unternehmen meist umfassend – etwa mit Firewalls, Virenschutz und vielem anderen. Aber schützen sie sich dadurch vor allen realen Gefahren der Cyberkriminalität wie etwa Social E ngineering? > Spricht man mit Experten, dann sind sich fast alle darin einig, dass man heute immer mehr gezielte Angriffe mit wirtschaftlichen Interessen beobachten kann. Die Angreifer sind also keine Schüler mehr, die aus fehlgeleitetem Forscherdrang in IT-Systeme einbrechen. Vielmehr handelt es sich um Profis, die für Geld oder aus politischen Motiven heraus in Unternehmen einbrechen und dort über einen langen Zeitraum Daten sammeln oder Systeme manipulieren. Die Analyse prominenter Vorfälle zeigt, dass oftmals eine nicht technische Komponente den Einbruch ermöglich hat.
Dies bestätigt auch der ehemals meist gesuchte Hacker und Buchautor Kevin Mitnick, der in einem Vortrag auf der Sicherheitskonferenz IT-Defense Anfang dieses Jahres seine Lebensgeschichte erzählte. In vielen Fällen bekam er den entscheidenden Zugriff auf ein Netzwerk oder ein IT-System mit der freundlichen Unterstützung von Mitarbeitern des betroffenen Unternehmens, die er überzeugend getäuscht hatte.
Alles andere als technisch In einem konkreten Fallbeispiel berichtete er, dass er bei einem Telekommunikationsunternehmen über die Remote-Einwahl Zugriff auf das interne Netzwerk erhielt, obwohl der Zugang durch starke Authentisierung in Form eines SecurID-Tokens gesichert war. Kevin Mitnick hatte damals einfach dem internen Support der Firma angerufen und dort überzeugend dargelegt, dass er als wichtiger Manager von zuhause aus an einem kritischen Projekt arbeiten muss und seine Karte in der Firma vergessen hat. Der Support-Mitarbeiter hatte ihm daraufhin den Code von einer anderen Karte vorgelesen. Für einen solchen Angriff benötigt man viele Informationen über Namen, Verantwortlichkeiten und Projekte, die man jedoch ebenfalls mit Täuschung am Telefon an anderen Stellen im Unternehmen erfragen kann. Nicht zuletzt weist auch Ira Winckler, ein ehemaliger Mitarbeiter des amerikanischen Geheimdienstes NSA, immer wieder darauf hin, dass Wirtschaftsspione eben nicht wie in bekannten Filmen mit überlegenen Hightech-Werkzeugen arbeiten, sondern meist alles andere als technisch vorgehen. Angriffe, die darauf abzielen, Menschen zu täuschen um auf diese Weise Sicherheitsmaßnahmen zu umgehen, nennt man in der Informationssicherheit „Social Engineering“. Diese Methoden sind bei Profis ein selbstverständlicher Bestandteil ihres Angriffs, werden aber von den betroffenen Unternehmen bzw. Opfern ständig unterschätzt. Zu oft werden vor allem technische Maßnahmen getroffen, um sich vor Hackern zu
10
it-director · Ausgabe 5/2013
unternehmen < aktuelles
schützen. Dabei vergisst man oft, wie ein professionelExperten weisen immer wieder darauf hin, dass man ler Angreifer tatsächlich in das Unternehmen gelangen durch die getrennte Analyse von IT-Sicherheit und würde. Zwar beauftragen viele Unternehmen jährlich physikalischer Sicherheit kein vollständiges Bild beeinen Penetrationstest. Dieser hat aber meist einen mi- kommt. Durch kleine Schwachstellen in der physikalinimalen Umfang und fokussiert nur den Internetan- schen Sicherheit wird das interne und meist als verschluss. Die Frage, wie leicht man den Pförtner oder trauenswürdig eingestufte Netz für den Angreifer erWerksschutz täuschen kann, um Zutritt zum Firmen- reichbar. Über Defizite in der IT-Sicherheit kann ein gebäude und direkten Anschluss an das interne LAN Angreifer physische Sicherheitskontrolle an Türen dezu bekommen, wird in der Regel nicht gestellt. Man aktivieren oder gültige Zugangskarten simulieren. verlässt sich auf Mitarbeiterausweise und Drehkreuze. Da im Internet erreichbare Serversysteme immer Ein Angreifer würde zunächst Informationen sam- besser gesichert werden, fokussieren gezielte Angriffe meln. Das Layout der Mitarbeiterausweise ist mit ei- in der Regel den End-User. Gezielte Mails, die im Genem Teleobjektiv schnell fotografiert. Die Nebenein- gensatz zu den üblichen plumpen Phishing-Mails mit gänge, an denen die Raucher sich treffen, sind meist exakten Kopien der im Unternehmen üblichen Formazugänglich. Uniformen des Reinigungspersonals und bekannte Lieferservices sind ebenso hilfreich wie Namen der Vorstände und aktuelle Projekte, über die man am ... versteht man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen beTelefon durch geschicktes Nachfrastimmte Verhalten hervorzurufen, etwa sie zur Preisgabe vertraulicher Informationen zu bewegen. Die Angreifer spionieren das persönliche Umfeld ihres Opfers aus, täugen Auskunft bekommen kann. schen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Für den eigentlichen Angriff wird geheime Informationen zu erlangen. der Angreifer eine Sondersituation Social Engineering ist ein typischer Bestandteil heutiger Cyberattacken, der leider zu vortäuschen, in der die involvierten oft unterschätzt oder verdrängt wird. Sensibilisierungskampagnen für die Mitarbeiter, Schulungen, aber auch Penetrationstests, die eben nicht nur einen technischen Fokus Opfer das Gefühl haben, dass ihre haben, können helfen, diese Gefahren einzudämmen. normalen Regeln nicht angemessen Quelle: Cirosec GmbH sind. Einem vermeintlichen Mitarbeiter mit Anzug und Krawatte, der mit mehreren Kisten beladen ist, hält man gerne die Türe auf. Denn wenn der optisch te und Fußzeilen nicht von echten Mails zu unterscheiecht aussehende Firmenausweis bei einem wichtig aus- den sind, werden meist geöffnet; angehängte PDF-Files sehenden Manager, der einen Termin in der Vorstands ebenso. Im naheliegendsten Fall würde der Angreifer etage hat, nicht funktioniert, wird der Pförtner sich zunächst wichtige Kunden des Opfers und deren Emehrmals überlegen, ob er in dieser Situation den Zu- Mail-Layout recherchieren. Darauf aufbauend würde er eine echt aussehende Angebotsanfrage mit einem tritt verwehrt. Ein einmaliger Zutritt als Lieferant oder Besucher PDF schicken, das beim Öffnen den Arbeitsplatz des reicht in der Regel aus. Oft dürfen Besucher schon im Empfängers kompromittiert. Da Virenscanner und anFoyer warten und bei Bedarf die Toiletten im Innenbe- dere übliche Maßnahmen nur bekannte Malware erreich aufsuchen. Da die meisten Unternehmen heute kennen, sind solche Angriffe oft erfolgreich, zumal ein noch keine technischen Mechanismen implementiert Angreifer mit Social Engineering einfach herausfinden haben, die den Zugang von Geräten zum Netzwerk kann, welcher Virenscanner eingesetzt wird, um dann kontrollieren, ist es ein einfacher Schritt, jetzt ein klei- seinen Angriff entsprechend vorzubereiten. Alternativ nes Gerät wie z. B. ein „Pwn Plug“ in eine erreichbare zu E-Mails eignen sich auch manipulierte USB-Sticks, Netzwerk- und Stromsteckdose in der Wand oder in die man in den Raucherbereichen oder der Kantine einem Bodentank zu stecken. Ein solches Gerät sieht auslegt. Anstelle von einfachen Sticks, die nur spezielle aus wie ein harmloses vergessenes Steckernetzteil und Malware enthalten, kann man heute Sticks verwenden, enthält ein kostengünstiges Linux-System mit UMTS- die dem angeschlossenen PC eine Tastatur vortäuschen Datenverbindung, über das der Angreifer aus sicherer und durch die direkte Eingabe von Befehlen Malware Entfernung das interne Netzwerk analysieren und pe- nachladen und installieren. < Stefan Strobel netrieren kann.
Unter Social Engineering ...
it-director · Ausgabe 5/2013
11
aktuelles aktuelles > unternehmen
Nicht nur die Frachtwege im Griff Im internationalen Wettbewerb zählen im Handel bessere Sichtbarkeit und hervorragender Service. Denn die Kunden stellen immer höhere Ansprüche an Qualität, Verfügbarkeit und kurze Lieferzeiten. Eine cloud-basierte Supply-Chain- Plattform kann Händlern die Transparenz über Warenbestände und Transaktionen der Lieferkette geben.
> Der Handel steht vor der Herausforderung, seine Kunden über alle Vertriebskanäle hinweg zu bedienen und kurzfristig auf wechselnde Trends und Nachfrageschwankungen zu reagieren. Ob im eigenen Ladenlokal oder dem Webshop, per Smartphone-App oder über den Konzessionsverkauf – der Kunde nutzt heute je nach Situation jeden Kanal, um sich über Produkte zu informieren und Käufe abzuschließen. Liefert ein Händler nicht, wann und wo der Kunde es wünscht, hat er schnell sein Geschäft verspielt.
12
it-director · Ausgabe 5/2013
Händler müssen dazu in der Lage sein, Warenlieferungen im Transit kurzfristig umzuleiten, wenn sich die regionale Nachfrage ändert. Fragen Käufer einen ausverkauften Artikel in einem lokalen Shop nach, muss der Händler das Produkt rasch anfordern oder über einen anderen Kanal anbieten können, wenn er den potentiellen Käufer nicht verlieren will. Um Kundenwünsche und Marktanforderungen flexibel zu erfüllen, brauchen Händler eine hohe Transparenz über die Bestände und Transaktionen in ihrer Lieferkette. Das erlaubt ihnen, kurzfristig steuernd in Beschaffungs- und Transportprozesse einzugreifen. Klassische Lösungen wie ERP-Systeme (Enterprise Re source Planning) mit punktuellen EDI-Verbindungen (Electronic Data Interexchange) zwischen Händler, Logistikdienstleister und anderen Lieferkettenteilnehmern erfüllen diese Anforderungen oftmals nicht. Die Lieferkette ist zu komplex und zu heterogen. Insbesondere internationale agierende Unternehmen arbeiten mit Hunderten von Lieferanten, zahlreichen Transportunternehmen – vom Ocean Carrier bis zum lokalen Spediteur – und mitunter Tausenden von Vertriebspartner zusammen. Ihre Lieferketten sind weltumspannende Wertschöpfungs-
unternehmen < aktuelles
netzwerke mit einer Fülle von Handelspartnern, die je eigene IT-Systeme mit unterschiedlichen Datenbeständen und -formaten betreiben.
Schnittstelle zur zentralen Plattform Vor diesem Hintergrund investieren Handelsunternehmen viel Geld in Infrastruktur und Software, um ihre Lieferketten zu automatisieren. Dennoch verfügen nur wenige über eine Lösung, die alle Partner entlang der gesamten Wertschöpfungskette einschließt. Das Problem ist hausgemacht, denn häufig versuchen die Händler, ihre Lieferketten mit traditioneller Unternehmenssoftware zu managen. Diese dient jedoch vorrangig zur internen Prozessautomatisierung. ERP-Systeme sind stark auf interne Daten und Prozesse ausgerichtet. Sie besitzen teilweise eine eigene, proprietäre IT-Infrastruktur, die es Unternehmen erschweren kann, Informationen mit anderen Netzwerkakteuren auszutauschen. Die Lösung für das Problem können cloud-basierte Supply-Chain-Plattformen liefern, die Informationen aller angeschlossenen Wertschöpfungsteilnehmer empfangen und zur Verfügung stellen. Statt EDI-Ver-
bindungen für jeden einzelnen Partner zu entwickeln, richtet ein Unternehmen nur eine Schnittstelle zur zentralen Plattform ein. Aktualisiert etwa ein Teilnehmer den Status eines Transports, werden alle seine Partner sofort darüber informiert. Dem Händler gibt das volle Transparenz über alle Teilschritte der Lieferkette: von der Bestellung bei seinen Lieferanten über die Auftragsannahme, Produktion, Verpackung, Etikettierung, Verschiffung, Verzollung und den Transport bis zur Belieferung des jeweiligen Vertriebspartners. Ändert sich der Kundenbedarf, kann der Händler jederzeit in den Prozess eingreifen und kurzfristige Änderungen vornehmen. Ein Beispiel: Der Konzern Nestlé, einer der größten Lebensmittelhersteller der Welt, verwendet das CloudNetzwerk von GT Nexus als onlinebasierte Plattform, um Seefracht für jährlich über 300.000 Container global einzukaufen und zu verwalten. Die Netzwerkverbindungen der Plattform ermöglichen es zudem, elektronische Rechnungen und Nachrichten zum Transportstatus von den Carrieren sofort zu erfassen und mit hinterlegten Verträgen und Raten zu vergleichen. < Gesa Müller
Erleben Sie das entspannte Gefühl eines erfolgreichen Rechenzentrumsmanagement
Mit der DCIM Lösung von FNT organisieren und optimieren Sie die Ressourceneffizienz Ihres Rechenzentrums. Facility, Netzwerke, IT Equipment, Software und Business Services in einem durchgängigen Datenmodell bilden die Grundlage für die Bereitstellung hochwertiger IT Services und ein energieeffizientes Data Center. Erfahren Sie mehr unter: www.fnt.de/DCIM it-director · Ausgabe 5/2013
13
Interview aktuelles > unternehmen
Herr der Daten bleiben Interview mit Dr. Holger Mühlbauer,
Geschäftsführer bei Teletrust – Bundesverband IT-Sicherheit e.V. IT-DIRECTOR: Herr Mühlbauer, häufig gelten IT-DIRECTOR: Welche Rolle spielt das „Social Angriffe von außen sowie von eigenen MitEngineering“? H. Mühlbauer: Social Engineering ist neben arbeitern als größte Gefahren für die Unverdeckten Angriffen eine der häufigsten ternehmens-IT. Viele Firmen arbeiten jesowie im Fall von sorglosem Umgang mit doch insbesondere im Beratungs- und ITpersonenbezogenen Daten auch eine der Umfeld häufig mit externen Dienstleistern ergiebigsten Quellen für Informationsabzusammen – welches Risiko bergen deren schöpfung und Profilerstellung. Natürlich Mitarbeiter für die IT-Sicherheit? H. Mühlbauer: Es bestehen organisatorischhaben böswillige Dienstleister mit Insirechtliche sowie technische Risiken. Der derzugang einen „Wettbewerbsvorteil“ organisatorisch-rechtlichen Aspekt: Ähn- Dr. Holger Mühlbauer, vor Außenangreifern. IT-DIRECTOR: Welche Sicherheitszertifizierunlich wie bei den im Gesellschaftsrecht an- Teletrust e.V. erkannten Grundsätzen gilt, dass Auslagerung und gen sollten IT-Dienstleister besitzen? Übertragung von Aufgaben einer besonderen Aus- H. Mühlbauer: Neben bekannten Zertifizierungen wie ISO/ wahl- und Instruktionssorgfalt sowie Überwachungs- IEC 27001 und BSI-Grundschutz sollten personengepflicht obliegen, andernfalls drohen Haftungskonse- bundene Expertenzertifizierungen wie TISP (Teletrust quenzen. Desweiteren kann das eigene Know-how in Information Security Professional) oder CISSP (CertiBezug auf die innerbetriebliche spezifische IT-Sicher- fied Information Systems Security Professional) Beachheit sukzessive verlorengehen, d.h., Fachwissen bündelt tung finden. IT-DIRECTOR: Wie können IT-Verantwortliche auf Nummer sich beim externen Dienstleister. IT-DIRECTOR: Worauf muss man bei der Auslagerung persosicher gehen, dass der Dienstleister mit den Daten des nenbezogener Datenverarbeitung achten? Anwenderunternehmens kein Schindluder treibt? H. Mühlbauer: Neben der naturgemäß gebotenen projektbe- H. Mühlbauer: Eine vollständige, umfängliche Kontrolle ist zogenen technischen Rollendefinition sollten die recht- ohne unverhältnismäßigen Aufwand wahrscheinlich lichen Rahmenbedingungen beachtet werden. Am Bei- nicht möglich. Kontrollierte Zugriffsrechte können im spiel des Umgangs mit personenbezogenen Daten be- Vorfeld und beweissichere Zugriffsprotokollierungen deutet dies: Gemäß Bundesdatenschutzgesetz gelten im Nachgang nützlich sein. Haftungs- und Schadenersowohl Auftraggeber als auch Auftragnehmer als „ver- satzfestlegungen können abschreckende Wirkung haantwortliche Stellen“. Der Auftraggeber bleibt als „Herr ben, kommen allerdings erst zum Einsatz, wenn der der Daten“ für die Beachtung der datenschutzrechtli- Schaden bereits eingetreten ist. chen Vorgaben für die von ihm veranlassten Verarbei- IT-DIRECTOR: Viele externe Fachkräfte arbeiten mit mobilen Geräten vor Ort beim Anwender – wie kann man die tungen verantwortlich. Dabei muss das auslagernde Unternehmen auf die eigene IT davor schützen? technischen und organisatorischen Maßnahmen des H. Mühlbauer: Das ist eine große Herausforderung. Die Frabeauftragten IT-Dienstleisters achten. Der schriftlich ge lässt sich pauschal nicht beantworten, da die Gefährdungssituation von der jeweiligen Projektaufgabe zu erteilende Auftrag muss mindestens enthalten: – Umfang, Art und Zweck der vorgesehenen Erhebung, abhängt. Sofern praktikabel, sollte eine direkte Anbindung an die Betriebs-IT (Netznutzung, Datenträger) Verarbeitung oder Nutzung von Daten; vermieden oder eingeschränkt, auf jeden Fall aber pro– Art der Daten und Kreis der Betroffenen; – Kontrollrechte des Auftraggebers sowie Mitwir- jektspezifisch festgelegt werden. < IS kungspflichten des Auftragnehmers.
14
it-director · Ausgabe 5/2013
unternehmen DV-RATIO < ADVERTORIAL < aktuelles
DV-RATIO – an der Schnittstelle zwischen Business und IT 000021219210 iStockphoto / mediaphotos
System- und Solutionarchitekten planen und realisieren komplexe IT-Gebäude. Dabei müssen sie immer ganzheitlich denken. Denn es gibt immer technische oder betriebswirtschaftliche Grenzen, die bei der Planung beachtet werden müssen. DV-RATIO hat dies von Anfang an verstanden und zum zentralen Element ihres Portfolios gemacht. Wir arbeiten direkt an der Schnittstelle zwischen Business und IT. Wir überführen die Prozesse getrieben vom Business in die Welt der ITApplikationen und können damit unsere Kunden ganzheitlich betreuen.
Freiraum für motivierte Mitarbeiter. Mit Expertise vom Mittelstand bis zum Großkonzern, überregionaler Vernetzung und vielseitiger Branchenkenntnis heben wir uns von unseren Mitbewerbern ab.
Die mit der Lösung für Business und IT
Business- & IT-Beratung:
IT-Umsetzung:
Wir verstehen und berücksichtigen bei der Konzeption und Gestaltung von Funktionalitäten und Systemen die enge Verbindung von Geschäfts- und IT-Prozessen. Dieses Wissen nutzen wir für die Analyse und Architektur von Geschäftsprozessen. Unser Fokus liegt auf den Bereichen Collaboration mit MS SharePoint, SAP- ERP und BI, Qualitätssicherung und IT-Compliance
Ergebnisse aus der Business- und ITBeratung setzen wir nachhaltig um. Wir entwickeln Individualsoftware, sorgen für die reibungslose Integration von Standardsoftware in die Systemlandschaft unserer Kunden und übernehmen die Qualitätssicherung. <
Als eigentümergeführtes Unternehmen lösen wir zuverlässig herausfordernde Aufgabenstellungen in den verschiedensten Branchen. Unsere 350 Mitarbeiter sorgen an sieben Standorten in Deutschland, Österreich und der Schweiz für optimale Kundennähe. Flache Hierarchien und kurze Entscheidungswege schaffen
Unser Portfolio Management-Beratung: Wir planen und realisieren konzeptionelle und operative IT-Management-Vorhaben. Unsere Kernkompetenzen liegen in den Bereichen Projektmanagement, Qualitätsmanagement und Prozessmanagement.
DV-RATIO im DIALOG Veranstaltungen am 11. Juni 2013 in München zum Thema „Unternehmens weite IntranetPlattform und Content Migration basierend auf SharePoint 2013“ Sowie am 11. Juni 2013 in Hamburg zum Thema „DVRATIOLösungsansatz für mehr Datenqualität.“
Anmeldung unter: www.dvratio.com/dialog Tel. 089 925193 20
IT-DIRECTOR · Ausgabe AUSGABE 5/2013 it-director
15