Interview
"Wir brauchen Bündnisse für IT-Sicherheit"
Fortsetzung des Artikels von Teil 1
Nach dem Umzug
funkschau: Was kommt, wenn der Umzug erst einmal geschafft ist?
Abolhassan: Im nächsten Schritt ist es wichtig, die Cloud zuverlässig zu machen. Denn in der Cloud angekommen, nutzen Kunden deren Vorteile nur dann optimal aus, wenn diese möglichst zuverlässig funktioniert. 100 Prozent Ausfallsicherheit gibt es zwar nicht, aber gute Anbieter offerieren bis zu 99,999 Prozent Verfügbarkeit. Diese ermöglicht ein umfassendes Qualitätsmanagement. Wir setzen dafür seit 2011 auf ein Programm, das auf den Namen Zero Outage hört. Erst Anfang November hat die T-Systems zusammen mit anderen namhaften Unternehmen den Verein „Zero Outage Industry Standard“ gegründet. Dieser soll einen branchenweit einheitlichen Qualitätsstandard definieren und implementieren. Basis von Zero Outage ist ein Drei-Säulen-Modell aus vorbeugen, aufspüren, reagieren.
funkschau: Was genau hat man sich unter diesen drei Säulen vorzustellen?
Abolhassan: Bei der ersten Säule geht es um Prävention: Hierbei identifiziert man geschäftskritische Punkte auf den Ebenen Plattformen, Prozesse und Personal. Schon mit einer konsequent doppelt angelegten Rechenzentrumstechnik lässt sich das Risiko von Ausfällen auf nur wenige Minuten pro Jahr senken. Prozesse müssen klassifiziert, Notfallpläne für unterschiedlichste Szenarien entwickelt werden. Verantwortliche haben dafür zu sorgen, dass das Streben nach größtmöglicher Sicherheit Teil der Unternehmenskultur wird, die von jedem Mitarbeiter gelebt wird. Gerade letzteres ist mit das Wichtigste. Die zweite Säule umfasst Detektion und Alarmbereitschaft: Handlungsfähigkeit im Krisenfall erfordert Übung. Dazu müssen regelmäßig die notwendigen Schritte im Ernstfall bestimmt und geübt werden. Plattformen, Prozesse und Personal bleiben so bestmöglich eingespielt. Zu guter Letzt die dritte Säule Reaktion im Ernstfall: Bei jedem Zwischenfall sorgen rund um die Uhr ein Manager-on-Duty und eine schnelle Eingreiftruppe für die Behebung des Problems, und zwar so lange, bis es gelöst ist – sieben Tage die Woche und 24 Stunden pro Tag. Und unser Qualitätsprogramm zeigt Erfolg: Die Anzahl schwerer Störungen ist um 95 Prozent gesunken, die Kundenzufriedenheit ist vier Jahre in Folge auf neue Bestwerte gestiegen und heute Branchen-Benchmark. Unsere Erfahrung ist, dass erst eine reibungslos funktionierende IT dem CIO den Rücken frei hält, um überhaupt über weitere Innovationen entscheiden zu können.
funkschau: Zuverlässigkeit allein reicht jedoch nicht, die Cloud muss auch sicher sein.
Abolhassan: Darum dreht sich der vierte Schritt. Auch im digitalen Zeitalter sind Schutzwälle notwendig, um Daten gegen Angriffe zu schützen. Der klassische Ansatz von Unternehmen, ihre Burgmauern immer höher, breiter und massiver zu bauen, erhöht nicht automatisch das Schutzniveau. Erfolgsversprechender ist es, mehrere unterschiedliche und immer wieder neue Burgmauern einzuziehen und sie so zu versetzen, dass Angriffe plötzlich aufgehalten werden, wo sie bis dato noch „freie Fahrt“ hatten – analog quasi zu den modernsten, hochsicheren Rechenzentren wie unserem in Biere: Stacheldraht, Kameras, Bewegungsmelder, Handflächenscanner und eine Sicherheitszentrale hinter verspiegeltem Panzerglas seien beispielhaft genannt. Um Hacker oder Datendiebe abzuwehren, fließen alle Informationen in einem geschlossenen System durch verschlüsselte IP-VPN-Tunnel, separiert von öffentlichen Netzen. Intrusion-Detection- und -Prevention-Systeme ergänzen die Firewall und analysieren, ob sich Schadcodes in den Datenströmen befinden. Ausschließlich autorisierte Mitarbeiter erhalten Einsicht in die gespeicherten Informationen, die nur nach dem Need-to-know-Prinzip genutzt werden dürfen. Doch da die bekannten Abwehrtechniken wie beispielsweise Firewalls von menschlichen Faktoren abhängen, geht der Trend hin zur Unterstützung der Security durch Künstliche Intelligenz. Modernste Systeme erkennen Anomalien und reagieren intelligent darauf, ohne dass vorab konkrete Regeln definiert werden müssen, wann was zu tun ist.
Lesen Sie mehr zum Thema
