comment 0

Wie betreiben und sichern wir künftig unsere kritischen IT-Infrastrukturen – Thema bei #9vor9

Kritische Infrastrukturen standen diesmal nicht unter dem Fokus notwendiges Personal, von Pflege über Ärzte zur Polizei und Müllabfuhr, stand heute im Fokus von #9vor9. Auslöser dafür war ein Bericht des Spiegels, der an den Juni 2017 erinnerte, als eine Schadsoftware weltweit Milliardenschäden anrichtete. Zu den Opfern des Cyberangriffs von 2017 gehörte die Ukraine, aber auch Privatunternehmen. Im Schwerpunkt des Spiegel-Beitrags stand jedoch mehr die Verweigerung einer Versicherung für den Schaden zu zahlen. Dir Versicherung argumentierte, dies sei ein Kriegsakt gewesen. Man müsse deshalb nicht zahlen. Das Gericht entschied anders.

Beim Begriff Kriegsakt stockte Lars und mir der Atem, denn gerade heute befinden wir uns wieder in einer ernsten Krise angesichts der Lage in der Ukraine. Passend zum Videocast und Podcast ist am 24. Januar ein Bericht auf CSOOnline unter der Überschrift Chronik eines Cyber-Kriegs erschienen, der die Cybervorfälle im Russland-Ukraine-Konflikt aufdröselt, von Angriffen auf ukrainische Regierungsseiten bis zur Ausschaltung der Ransomware-Gruppe REvil … durch Russland.

Die Ereignisse 2017 und die derzeitige Besorgnis erregende Entwicklung 2022 machen deutlich, wie sensibel und anfällig kritische IT-Infrastrukturen oft sind. Immer wieder gibt es ja auch entsprechende Berichte, von der Bedrohung durch Log4j bis zu angreifbaren Exchange-Servern in der öffentlichen Verwaltung.

Read More
comment 0

Kritische Infrastrukturen stehen 2022 im Fokus – und werden dort bleiben [CIO Kurator]

Kritische Infrastrukturen sind in den vergangenen Wochen und Monaten erstmals in den Fokus der allgemeinen Öffentlichkeit gerückt. Aktuell wird heftig diskutiert, wie wir beispielsweise personell den Betrieb in Krankenhäusern aufrecht erhalten können, falls sich immer mehr Angestellte von Kliniken infizieren. Muss die Quarantänezeit eventuell reduziert werden? Wir alle erinnern uns noch an die Flutkatastrophe an der Ahr und was der Ausfall kritischer Infrastrukturen bedeuten kann. An diesen Beispielen wird gerade einer breiteren Öffentlichkeit deutlich, was kritische Infrastruktur bedeutet – und welche Folgen dort fehlendes Personal bewirken könnte.

Diese Frage stellt sich natürlich für alle Bereiche, die zur kritischen Infrastruktur beitragen, von Polizei bis zur Abfallentsorgung. Die Frage stabiler, resilienter Lieferketten ist eine andere Frage, die in den vergangenen Monaten in den Blickpunkt gerückt ist und die uns weiter beschäftigen wird. Das mag in Deutschland mit der Frage fehlenden Toilettenpapiers begonnen haben, geht aber unterdessen deutlich darüber hinaus. Fehlende Chips betreffen beispielsweise die Automobilindustrie – und das gerät natürlich im Autoland Deutschland damit auch ins allgemeine Bewusstsein.

Kritische Infrastrukturen – Alarmstufe Rot durch Log4j

Doch auch andere Ereignisse zahlen auf das Konto mehr Sensibilität für kritische Infrastrukturen ein. Ein Wendepunkt ist dabei die Log4j-Sicherheitslücke, die Ende 2021 bekannt wurde und nach Einschätzung vieler wohl „größte Schwachstelle in der Geschichte des modernen Computing„. Sicherheitslücken und Cyber-Attacken gab es schon lange Zeit vorher. Das reicht von den aktuellen Patches, die schon seit Jahren von IT-Abteilungen dringend eingespielt werden sollen, bis zu gezielten Angriffen, in denen Unternehmen oder auch Verwaltungen lahm gelegt werden

Und es ist kein Problem, das erst 2021 aufgetreten ist. Man schaue sich nur einmal die Liste der Bedrohungen auf heise Security oder anderen entsprechenden Seiten an. Da kann man nur damit beginnen, zu weinen, frei nach WannaCry von 2017. Und wir können leicht noch weiter in die Vergangenheit zurück gehen. Kritische Infrastrukturen wurden und werden schon lange bedroht, durch Log4j könnte aber endlich ein neues Bewusstsein für Cyber Security entstehen. Und vielleicht denkt man endlich darüber nach, wie man solchen Bedrohungen neben den bekannten und bewährten Hausmitteln – spiele immer den neuesten Patch ein und so weiter – begegnen will. 

Machen neue Modelle Sinn, in denen Unternehmen gemeinsam SWAT-Teams für Cyber Security oder SOCs (Security Operation Centers) aufstellen? Können gar IT Security-Experten, Verwaltung und Unternehmen in solchen Öffentlich-Privat-Experten-Konstellationen zusammen arbeiten, statt alleine den Security-Bedrohungen hinterher zu laufen? Die Fragen müssen endlich gestellt und durchdacht werden – im Sinne des Betriebs der kritischen Infrastrukturen.

Wie robust und stabil betreibe ich meine kritischen IT-Infrastrukturen?

Doch die Frage geht über das Thema Cyber Security hinaus. Generell müssen sich Unternehmen Gedanken machen, wie sie ihre IT-Infrastruktur robust, zuverlässig, resilient aufstellen – und was sie dafür bereit sind zu investieren. Ist mir als Unternehmen mein Betrieb so wichtig, dass ich aktive, kritische Anwendungen in zwei oder gar drei zeitlichen Regionen betreibe? Ist ein schnelles und vollautomatisches regionales Failover eine Option ? 

Welche Rolle soll das eigene Rechenzentrum spielen, welche Anwendungen laufen dort, wie gewährleiste ich dort Ausfallsicherheit? Welche Mixtur an Multi-Cloud und Private Cloud und On Premise setze ich als Unternehmen ein? All das kostet natürlich auch entsprechend Geld und für diese Investitionen muss das Bewusstsein existieren, inklusive einer Risikobewertung.

Jenseits dieser eher an akuten Krisen orientierten Überlegungen stellt sich auch die Frage, wie Lösungen konzipiert und entwickelt werden. Baut man seine Anwendungen so, dass sie von der Cloud eines Hyberscalers in die Cloud eines anderen Hyperscalers oder gar die Private Cloud verschoben werden können, um Abhängigkeiten zu vermeiden? Auch das sind Überlegungen, die rund um die eigene kritische IT-Infrastruktur angestellt werden müssen.

CIO: Was mache ich selbst mit meinen Leuten? Wo hole ich externe Experten an Bord?

All diese Aspekte machen hoffentlich deutlich, dass das Thema kritische Infrastrukturen auf die Tagesordnung gehört. Natürlich müssen sich CIOs und IT-Abteilungen dem Aspekt IT-Infrastrukturen widmen. Man kann es sich einfach nicht mehr leisten, nicht hochprofessionell und schnell zu agieren. Der neueste Patch muss angesichts von Log4j und vergleichbaren Bedrohungen umgehend eingespielt werden. Dafür müssen die Ressourcen zur Verfügung stehen oder aber die entsprechenden Services müssen an externe Dienstleister vergeben werden. CIOs werden sich noch mehr fragen müssen, welche Aufgaben sie im Hause erledigen und wo sie sich – auch aufgrund des Mangels an IT-Spezialistinnen und -Spezialisten – externe Expertise zukaufen oder den Betrieb bestimmter Infrastrukturen outsourcen.

Dieser Beitrag ist ursprünglich auf CIOKurator.de erschienen.

comment 0

[EN] End of Year Incidents Remind Us of Our Corporate IT Vulnerabilities @reworked

Three unrelated incidents in December 2021 demonstrated the vulnerability of our IT infrastructure and the need for us to act: the Log4j security vulnerability, some versions of the Exchange server (2016 and 2019) failed to deliver emails at the beginning of the year and the Amazon Web Services outage in early December 2021. All the incidents above show how sensitive our critical IT infrastructures are, how quickly and consistently we have to react, and how much expertise we need to set up, run and manage our corporate IT.

My thoughts on Reworked based on my CIOKurator article.

Cybersecurity may be the topic for 2022, but building and managing a hybrid multi-cloud remains on the agenda alongside the migration to SAP S/4 Hana that many companies are facing. Companies will have to think about how they can remain as independent as possible in the cloud world, and potentially move solutions from one cloud to another. …

These are all special challenges at a time when IT specialists from security experts to SAP specialists are in high demand. I expect companies will need to bring in external expertise, even as they think about new ways to bundle and share expertise, for example in the area of cybersecurity. These issues and challenges cannot be put on the back burner — the incidents above make that clear.

Quelle: IT Vulnerabilities Remind Us of the Need for Action

Image by Michael Schwarzenberger from Pixabay

comment 0

Verleger „Babba“ Karl Hesselbach und die Zukunft des Journalismus 2022

Live aus der gute Stubb der Familie Hesselbach wurde am 18. Januar 2022 das erste #9vor9 des Jahres 2022 mit der Stammbesatzung Lars Basche und Stefan Pfeiffer. Nicht umsonst wurde die gute Stubb der hessischen Kultfamilie und TV-Serie der 60er Jahre gewählt, denn Karl „Babba“ Hesselbach ist Besitzer einer kleinen Verlagsdruckerei, Verleger der Wochenzeitung Weltschau am Sonntag, denn Lars Basche hat Journalisten und Medien im Jahr 2022 anläßlich der Reuters Institute Umfrage zu Journalismus und Medien gewählt.

Demzufolge – 246 Personen wurden befragt – konsolidert sich der Markt und die meisten setzen darauf bestehende Produkte weiter zu entwickeln und Podcasts, E-Mails-Newsletter, aber auch Video im Portfolio auf- und auszubauen. Kaum revolutionäre Vorhaben, mehr Evolution des Portfolios. Im Journalismus und Verlagswesen scheint das virtuelle Metaverse noch weit weg.

Auch in der Finanzierung bleibt man bei bekannten Modellen: Abonnements dominieren. Wir sind noch immer weit weg, einzelne Artikel der Plattformen zu einem fairen Preis kaufen zu können. Die Verlage wollen einfach die teuren Abos verkaufen und bewegen sich nicht. Ob nun die Tech-Konzerne, Google & Co., signifikant zur Finanierung beitragen werden, erscheint Lars und mir fraglich. Schauen wir mal.

Read More
comment 1

#Hörempfehlung: Lähmschicht in der Verwaltung

Meine #Hörempfehlung des Tages: Sehr hörenswert finde ich den Handelsblatt Disrupt #Podcast mit Rafael Laguna de la Vera. Im Gegensatz zum Handelsblatt wäre meine Überschrift jedoch anders. Ich würde in den Mittelpunkt rücken, wie bürokratische Strukturen, wie Vergaberecht und Ausschreibungen, wie die Lähmschicht in den Verwaltungen Entscheidungen und Innovation behindern. Das haben Rafael und seine Kolleginnen und Kollegen erfahren.

Andere Auswüsche sind die gescheiterten Großprojekte vom Berliner Flughafen bis zum lokalen Windrad, die entweder aus dem Ruder laufen oder endlos in der Genehmigung brauchen, Und natürlich macht die operative Ebene, eben jene Lähmschicht, nur ihren Job, denn sie setzen die Vorgaben und Gesetze ja nur um. Können wir uns das eigentlich noch leisten? Eigentlich eben nicht, aber wer geht schon an die Bürokratie und Verwaltungsprozesse ran? Wer hat Lust dazu?

Aber der Podcast gibt auch Hoffnung genau dort, wo es SPRIND – Bundesagentur für Sprunginnovationen gelungen ist, Projekte ans Laufen zu bringen. Also, lieber Rafael und Dein Team: Lasst Euch nicht unterkriegen.

comment 0

#Hörempfehlung: Bezieht Datenschutz und BSI (= Cybersecurity) von Beginn als Partner in Entwicklungen ein. Sie sind nicht der Feind!

Eine weitere kombinierte Lese- und Hörempfehlung. Während der ECO-Vertreter Oliver Süme noch im Podcast von „Datenschutzkackophonie“ spricht, rückt der Bundesdatenschutzbeauftragte Ulrich Kelber einige Dinge zurecht. Sowohl bei der der #CoronaWarnApp wie auch der 3-G-Regelung für den Arbeitsplatz habe man den Datenschutzbeauftragten – trotz entsprechender schriftlicher Einreichungen – nicht oder nur zu spät in die Gestaltung einbezogen. Die Einreichungen und Vorschläge, die Kelber machte, seien einfach nicht aufgenommen worden. Beispielsweise habe er eine Rechtsgrundlage für 3-G am Arbeitsplatz angeregt, bevor das Thema aktuell geworden sei. Man hätte vorbereitet sein können, habe aber einfach seitens der alten Bundesregierung nicht reagiert: „Auch hier hat der Datenschutz Vorschläge gemacht. Sie wurden leider nicht aufgegriffen.s

Mir scheint, da ist viel Wahres dran. Statt Datenschutz und BSI (= Cybersecurity) von Beginn als Partner in Entwicklungen mit einzubeziehen, scheint gerade Datenschutz oft als Gegner, ja Feind betrachtet zu werden. Dabei könnte ein solches Vorgehen sogar ein Wettbewerbsvorteil und Exportschlager (siehe DSGVO) sein. Meine 2 Cents für die neue Bundesregierung: Lernt daraus! (Auch wenn ich Zweifel an der Lernwilligkeit und Lernfähigkeit manches Ministers habe).

Bild von Hermann Traub auf Pixabay

Anzeige von Salesforce auf zeit.de
comment 0

#Leseempfehlung: Echtzeitkommunikation, Dauerreichbarkeit, Informationsüberflutung in Zeiten von Slack & Co.

Meine #Leseempfehlung des Tages nicht nur für alte grauhaarige Männer: Dass ich mich schon eine geraume Zeit mit dem Thema Collaboration, Kommunikation, Zusammenarbeit beschäftige, ist mir gestern Abend klar geworden, als ich das Interview von Lisa Hegemann mit Slack-Chef Stewart Butterfield gelesen habe.

Schon 2011 (und wahrscheinlich früher) waren Dauerreichbarkeit und damls die Erwartung mancher Kolleginnen und Kollegen, dass E-Mails umgehend beantwortet werden, ein Dauerthema genau wie die Ablenkung durch neu eintreffende E-Mails, die den Arbeitsfluss immer wieder unterbrechen. Mein damaliger Kollege Luis Suarez war mit seiner Initiative, ein Leben „Outside the inbox“ zu führen, in aller Munde. Und auch ich habe das Thema immer wieder auf Konferenzen wie der DNUG e.V. diskutiert. Vieles kann man hier im Blog nachlesen …

Um es klar zu stellen: Ich bin ein Freund und starker Nutzer von Slack, finde das Tool sinnvoll, aber ich kämpfe unterdessen auch oft damit, dass ich mich frage, wo verd…t noch mal war denn die entsprechende Nachricht. Und ich suche, suche … Schnelle Kommunikation, produktiver Austausch sind die eine Seite, Informationen aber auch schnell und unkompliziert finden, die andere Seite. Hinzu kommen weiter kulturelle Fragen. Kolleginnen und Kollegen müssen kommunizieren wollen (Informationssilos, Herrschaftswissen) und können (Ausbildung, Training, nicht nur technisch). Wir haben diese Thematiken – Slack hin, Teams her – noch lange nicht gelöst!

Wir brauchen eine gewisse Zeit, um neue Technologien in unser Leben zu integrieren.

Quelle: Stewart Butterfield: „Nein, wir haben kein Monster geschaffen“ | ZEIT ONLINE

comment 1

Social Media im B2B Umfeld: Es geht darum, die richtigen 100 Entscheidungsträger zu erreichen – und nicht um pure Reichweite

Nur ein kurzer Rant am Montag, da mir das Thema auf der Seele brennt: Christian Buggisch hat seine jährliche Aufarbeitung der Social Media-Zahlen in diesem Jahr aufgegeben. Der Beitrag war immer sehr nützlich, aber ich kann seine Beweggründe gut verstehen (auch wenn es natürlich schade ist, diese Quelle nicht mehr zu haben). Jedoch trifft diese Entscheidung auf ein offenes Ohr, da ich in meinem beruflichen Umfeld (und vielleicht darüber hinaus) immer mehr an unserer Metrix und falschen Zahlhörigkeit zweifele. Was meine ich damit?

In den Social Media-Abteilungen vieler Unternehmen herrscht aus meiner Wahrnehmung eine Datenmanie falscher Art. Die Anzahl der Follower und Fans und die absolute Reichweite sind in aller Regel das Kriterium, mit denen der Erfolg einer Publikation auf Social Media – ob nun Text, Audio oder Video – bewertet wird. Das ist – frei nach Marcel Reich-Ranicki – oft allerdings Mumpitz. Zumindest ist es Mumpitz, wenn ich mich als Unternehmen im B2B-Geschäft bewege, also oft komplexere, meist erklärungsbedürftige Produkte an andere Unternehmen verkaufe.

Da geht es eben nicht um die neuen Sneaker, die zu Tausenden an Konsumentinnen und Konsumenten verkauft werden sollen. Doch viele angebliche Social Media-Expertinnen und Experten in B2B-Unternehmen haben eben unsinnigerweise die absolute Reichweite als Mess- und Erfolgskriterium. Und viele Chefs und Manager fragen auch genau nur danach.

Read More
comment 0

#Hörempfehlung: Was steckt hinter Palantir Technologies und deren Fähigkeiten zur Datenanalyse?

Die Leseempfehlung ist heute eine Hörempfehlung. Schon länger wollte ich den Digitec Podcast hören, in dem sich Carsten Knop am 23.12.2021 mit Jan Hiesserich von Palantir Technologies unterhält. Palantir, die Steine über die man im Herrn der Ringe zu anderen Orten sehen kann. Palantir, das Unternehmen, das nach 9/11 auch mit Funding einer der CIA unterstützten Venture Capital-Gesellschaft entstanden ist und um das ein Hauch von Überwachung und Geheimdienst schwebt. Eingesetzt werden die Palantir-Werkzeuge zur Datenanalyse, die im Podcast auch vorgestellt werden, von Geheimdiensten, auch der Polizei in Hessen und Baden Württemberg, aber auch von Unternehmen.

So spannend, dass sogar eine FAZ einen Unternehmenssprecher zum Podcast rund um ein Unternehmen und dessen Angebote einlädt. Ein interessantes Gespräch, das ich so paraphrasiert zusammenfassen würde: „Wir (Palantir) bieten die Werkzeuge, um strukturierte und unstrukturierte Daten schnell und effizient zu analysieren. Wir haben aber keinen Zugriff auf die Daten und Erkenntnisse, so dass wir sie auch nicht an die CIA oder wen auch immer (Cloud Act) weitergeben können.“ Solche Bedenken seien also nicht angebracht, führt Jan Hiesserich im Podcast aus.

> Zum Podcast auf Faz.Net

Persönlich finde ich die kombinierte Suche in strukturierten und unstrukturierten Daten spannend. Darüber haben wir in den 90er Jahren bei der MIS philosophiert und mit Kunden gesprochen. Damals fanden die Controller und Finanzer eine solche Lösung interessant, aber keiner war bereit, darin zu investieren. Andere Zeiten, vor dem großen Internet-Hype – und vor 9/11 und anderen bestürzenden Ereignissen.

Bild von Pau Llopart Cervello auf Pixabay

comment 0

Drei Beispiele zeigen: Unsere kritische IT-Infrastruktur ist sensibel und wir müssen handeln [CIOKurator]

Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).

An Log4j ist nicht Open Source schuld

Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.

Read More