IT Tipps und Tools für mehr Sicherheit und Flexibilität

IT ist Businesssasche — Quelle: Unsplash | Headway

IT ist der Motor der Digitalisierung, Gleichwohl ist sie die Achillesferse digitaler Champions. Umso wichtiger ist es, dass zuverlässige IT Teil aller Business-Units wird. Dafür sollten Unternehmen ihren Fokus insbesondere auf Maßnahmen legen, die für Sicherheit einen hohen Standardisierungsgrad und Upgradefähigkeit sorgen. Dazu zählen beispielsweise lokale Cloud-Umgebungen, Security-driven Design und Trends wie Containerisierung, GitOps oder Service-Meshes.

IT und Business verbinden

Technologie allein macht keine digitalen Champions. Damit Technologie zum besten Werkzeug und nicht zur größten Hürde wird, müssen Unternehmen IT und Business noch enger miteinander verknüpfen. Auf dieser Basis wachsen Trends zu Innovationen, die verhindern, dass Aufwände in die Höhe schießen, die Angriffsfläche für Sicherheitsrisikos wächst oder gar Stillstand herrscht.

Der amerikanische Ökonom Peter Ferdinand Drucker zählt zu den Pionieren von Modern Work. Sucht man nach einer »Single Source of Truth« für modernes Arbeiten im digitalen Zeitalter, findet man sie in Druckers berühmten Statement: »Culture eats strategy for breakfast«.

Jede noch so ausgefeilte Strategie, jede noch so innovative Technologie, jedes noch so moderne Tool ist kein Garant für digitalen Erfolg.

Am Ende steht und fällt jedes Projekt mit den Menschen, die Strategien umsetzen sowie Technologien und Tools nutzen, die offen und mutig sind, neue Methoden und Lösungen zu testen, die Technologie zu ihrem Werkzeug machen und nicht zu ihrem Allheilmittel.

IT, Kultur, Strategie

Digitaler Champion werden Unternehmen nur mit der richtigen Unternehmenskultur, in der alle Mitarbeiter dieselben Werte teilen und in der ein abteilungsübergreifendes Verständnis über Unternehmensvision, Aufgaben, Prozesse und Zuständigkeiten besteht. Dafür müssen alle Teams eine gemeinsame Sprache sprechen, Wissen teilen, Kompetenzen erkennen und verknüpfen.

Insbesondere mit Blick auf die Verbindung von IT und Business wird deutlich, wie erfolgsentscheidend diese Faktoren für digitale Unternehmen sind. Business meint hier nicht nur die Geschäftsführung, sondern alle Abteilungen – von Marketing bis Produktion.

Je enger IT und Business-Units miteinander verbunden sind, umso besser sind Unternehmen auch in der Lage, sich schnell und flexibel anzupassen – seien es unerwartete gesamtgesellschaftliche Krisen, Herausforderungen im Projekt mit externen Stakeholdern oder wechselnde Anforderungen innerhalb des eigenen Unternehmens.

Neben der Bereitstellung einer modernen Infrastruktur und der Nutzung hochautomatisierter Technologien und Tools braucht es dafür eine Entmystifizierung von Tech auf der einen und Business auf der anderen Seite.

Monatliche Meetings mit dem ganzen Unternehmen sind ein guter Ort, um Wissen abteilungsübergreifend zu teilen und um alle Teams über Neuigkeiten, Entwicklungen und Abläufe zu informieren. Dabei muss nicht jeder Mitarbeiter jeden technischen Begriff oder neuen Prozess verstehen. Es geht um Transparenz und die Möglichkeit, Fragen zu stellen.

IT und Business Synergien nutzen

Oft ergeben sich dank solcher kurzen Präsentationen Synergien und neue Ideen, die wiederum

• den Austausch zwischen IT und Business-Units stärken

• unternehmensinterne Prozesse verbessern

• Projektstarts und Outcomes für Kunden beschleunigen

• Innovationen vorantreiben

• Sicherheit gewährleisten

• Update- und Upgradefähigkeit ermöglichen

• einen hohen Standardisierungsgrad bieten

In erfolgreichen Digitalunternehmen ist IT

• in die Unternehmensstrategie eingebunden

• keine Service-Abteilung mehr, sondern Teil eines jeden Teams

• Innovator für Unternehmensprozesse

• nicht mehr nur zuständig für den Betrieb stabiler Infrastrukturen, sondern Enabler von Geschäftszielen

IT für mehr Sicherheit, Standardisierung und Upgradefähigkeit

Cloud-Computing ist das neue Normal

90 Prozent der deutschen Unternehmen nutzen Clouddienste2015 waren es noch 21 Prozent

2024 wird Cloud voraussichtlich 14 Prozent der globalen IT-Ausgaben für Unter-nehmen ausmachen2020 waren es 9 Prozent

Deutsche Unternehmen, die den Gang in die Cloud ablehnen, tun das zu
60 Prozent wegen befürchteter Compliance-Verstöße 50 Prozent aus Zweifel an ausreichender Sicherheit

Cloud-Computing ist das neue Normal. Dennoch gibt es viele Unternehmen, die neben Kosten insbesondere auch aus Compliance- und Datenschutz-Gründen zögern, ihr Business in die Cloud zu verlagern. Die Big Player in Sachen Cloud kommen meist aus den USA oder China.

IT made in Germany

Doch es gibt auch Alternativen wie beispielsweise die »Gaia-X«-Initiative, die sich für eine unabhängige europäische Cloud-Infrastruktur einsetzt. In mehreren Rechenzentren in Deutschland bietet Gaia-X hochleistungsfähige Cloud-Umgebungen, die selbst strengste europäische Datenschutzbestimmungen erfüllen. Bestehende IT-Infrastrukturen lassen sich zudem nahtlos integrieren.

Gründungsmitglied dieser Cloud-Services für Deutschland und Europa ist auch der deutsche Hosting-Anbieter plusserver. Als unabhängiger Multi-Cloud-Provider baut plusserver in Gaia-X eine Cloud auf, die von deutschen Firmen in Deutschland betrieben wird und ähnliche Services anbietet wie die großen Service-Provider.

Das Qualitätssiegel »Made in Germany« bewährt sich auch bei Cloud-Diensten. Denn die Vorteile liegen auf der Hand:

• »Made in Germany«-Vertrauensbonus
• Vor-Ort-Support und Cloud-Dienst nach Maß durch Experten
• Kundenservice in der Muttersprache
• DSGVO-konform
• Kontrolle über Ort der Datenspeicherung

IT und Security by Design: Prevention is better than Cure

Um mehr als 95 Prozent verringern Security-by-Design-Maßnahmen die Angriffsfläche für Sicherheitsprobleme.
Cloud-Dienste von lokalen Service-Providern zu nutzen ist ein Ansatz, um das Sicherheitsniveau zu erhöhen. Mit der steigenden Anzahl von Anwendungen, die in die Cloud verlagert werden, steigt auch die Notwendigkeit für zu-verlässige Cloud-Sicherheit einmal mehr.

Damit nimmt auch der Bedarf an Cloud-Spezialisten weiter zu. Wenig überraschend sorgte das Remote-Jahr 2020 per se für eine höhere Nachfrage nach solchen Digitalexperten. Im Bereich Cloud-Computing schrieben deutsche Unternehmen knapp 6000 Stellen aus.

Wer Cloud- und Cloud-Security-Spezialisten im Haus oder eine erfahrene Agentur im Rücken hat, gehört 2022 zu den Unternehmen, die mit einem Bein sicher im Cloud-getriebenem E-Business stehen. Denn Fachleute wissen:

Nachträgliche Cloud-Sicherheit ist kein Ersatz für Security by Design.

Sie berücksichtigen Sicherheitsanforderungen beim Aufbau von Infrastrukturen und in der Entwicklungsphase eines Softwareproduktes von vornherein. Derartige Sicherheitsmaßnahmen gehen auf einen Ansatz zurück, den Microsoft bereits vor 20 Jahren prägte: »Security by Design«.

2002 entwickelte der Softwareriese mit seinem »Security Development Lifecycle« (SDL) ein ganzheitliches Programm, das Sicherheit in allen Phasen der Softwareentwicklung statt durch Updates mitdenkt.

Um mit beiden Beinen sicher im E-Business zu stehen und neue Produkte, Features, Services oder auch Sicherheitsupdates in kürzester Zeit auszurollen, muss der technische Unterbau ebenso dynamisch agieren können wie die Menschen, die über diese Inhalte entscheiden.

Die Ménage-à-trois aus Containerisierung, GitOps und Service-Meshes hat sich dabei nicht nur in puncto Sicherheit als Lösungsansatz entwickelt, sondern auch im Hinblick auf die Kernthemen Standardisierung und Upgradefähigkeit von Prozessen und Anwendungen.

IT für mehr Standardisierung und Upgradefähigkeit

Containerisierung

Ein Ansatz, der bereits seit rund zehn Jahren genutzt wird und sich über die letzten Jahre immer stärker etabliert hat, ist die Nutzung von Containern. Dabei wird dem Cloud-Native-Prinzip gefolgt und es werden Anwendungen direkt für die Cloud entwickelt. Sie erlauben es, einzelne Applikationen des Technologie-Stacks abzukapseln und somit unabhängig voneinander zu betreiben und zu warten.

Ein Container ist hierbei eine virtualisierte, autarke und transportable Umgebung, zugeschnitten auf die betriebe-ne Anwendung. Dies wird erreicht, indem nur die benötig-ten Softwarekomponenten und -abhängigkeiten integriert werden, anstatt ein komplettes Betriebssystem aufzusetzen.

Durch diesen leichtgewichtigen Aufbau und mithilfe von Container-Orchestrierungstools wie zum Beispiel Kubernetes wird es den Nutzern leicht gemacht, komplette Infrastrukturen zu konfigurieren und entsprechend auszurollen.

So lässt sich etwa ein Onlineshop wie folgt aufteilen:

• Datenbank
• Webserver
• Applikationsserver
• Frontend
• Microservices (zum Beispiel Inventory-Service)

Bisher musste jede dieser Komponenten händisch auf dem dazugehörigen Server installiert und konfiguriert werden. Durch den Einsatz von Containern ist neben der Automatisierungsinfrastruktur nur noch eine Textdatei vonnöten, die die Komponente beschreibt.

Ein abstraktes Beispiel für eine solche Textdabei könnte folgendermaßen lauten:

„Installiere Webserver-Version 8.2.1;
Setze Port auf den Wert 8080;
Starte Webserver;“

Auch wenn es um Ad-hoc-Änderungen geht, hilft das Prinzip der Containerisierung, um schnell auf neue und oft auch unvorhersehbare Anforderungen einzugehen. Liegt in dem genannten Beispiel eine kritische Sicherheitslücke auf dem Webserver vor, lässt sich dieser Container unabhängig von den anderen Komponenten aktualisieren, indem die Konfiguration angepasst und der Container neu initialisiert wird. Das spart Zeit und schafft in letzter In-stanz auch Vertrauen beim Kunden, da die Infrastruktur durch einfache Updateprozesse auf dem neuesten Stand gebracht wird.

GitOps

Insbesondere bei der Verbindung mit Cloud-Native-Applikationen wie Kubernetes hat sich GitOps als Methode zum automatisierten Ausspielen von Containern etabliert. Wie die Containerisierung ist GitOps kein unbekannter Trend: Die Methoden werden in innovativen Digitalagenturen schon länger verwendet, rücken nun aber mehr und mehr ins Bewusstsein der breiten Masse. Im Gegensatz zu anderen DevOps-Ansätzen liegt der Fokus bei GitOps auf dem Tool Git, das für Entwickler zum Standardrepertoire gehört.

Automatisierte Deployments
Git wird nicht nur genutzt, um den eigenen Programmcode zu versionieren, sondern auch, um sämtliche Container-Definitionen an einem zentralen Ort zu pflegen (daher auch der Name GitOps). Automatisierte Deployment-Pipelines sorgen dafür, dass Änderungen am Code oder an den Containerdefinitionen sofort auf die entsprechen-den Systeme ausgespielt werden.

Der große Vorteil hier ist, dass Entwickler sich nicht mit der Benutzung von Kubernetes auseinandersetzen und erst langwierig Container bauen müssen, um ihre Apps zu testen und auf das Live-System zu überführen. Gerade bei neuen Entwicklern verkürzt sich durch diese Standardisierung die Zeit für das Onboarding von Wochen auf Tage.

What you see is what you git
Auch bei Ausfällen und beim Thema Sicherheit bietet GitOps durch die Nachvollziehbarkeit von Änderungen besondere Qualitäten. Da das ganze System in Git definiert und versioniert ist, lässt sich bei einem Komplettausfall die gesamte Umgebung innerhalb kürzester Zeit zurück- oder auf einem neuen System ausrollen. Wurde versehentlich eine Änderung am Live-System vorgenommen, die nicht der Definition in Git entspricht, kann auch diese Änderung rückgängig gemacht werden.

Service-Meshes

Mit steigender Komplexität einer laufenden Anwendung steigt auch die Menge der zu verwaltenden Container. Kommt es beispielsweise zu Performanceproblemen, ist zunächst nicht klar, an welcher Stelle man suchen muss. Zwar bringen die einzelnen Komponenten jeweils ein Monitoring oder Logging mit, aber die manuelle Durchsicht kostet Zeit und macht nur bedingt Probleme sicht-bar, die eventuell in der Kommunikation zwischen den Containern existieren.

Darüber hinaus stellen sich in einer immer komplexer werdenden Umgebung weitere Fragen:

• Wie wirkt sich das Hinzufügen eines neuen Microservices auf die Gesamtperformance aus?
• Wie sichert man die Kommunikation zwischen Services ab?
• Wie lange dauert der Wiederaufbau der Kommunikation zwischen zwei Services nach einem Ausfall?
• Welche Daten werden zwischen den einzelnen Containern ausgetauscht?

Antworten liefern Service-Meshes. Die virtuellen Netze schließen derartige Lücken in der Informationsversorgung und überwachen den Zustand des gesamten Systems, indem sie die vorhandenen Containerdefinitionen und -regeln nutzen.

Service-Meshes sorgen dafür, dass

• repetitiver Code entfällt

• manuelle Aufwände sinken

• Probleme rechtzeitig erkannt werden

• Performance-Engstellen aufgedeckt werden

• sämtliche Kommunikation zwischen den Services nachvollziehbar ist

• zukünftigen Ausfällen vorgebeugt wird, indem Änderungen am System vor-genommen werden