Kolumne für Netzwerk Südbaden, Ausgabe November 2018
Der Betrieb von IT-Systemen ist in den vergangenen Jahren einfacher geworden. Ausgereifte Systeme, beispielsweise zur Virtualisierung und Softwareverteilung, ermöglichen es, ohne große Vorbereitung neue Systeme in kurzer Zeit aufzusetzen und zu konfigurieren. Wird „die Cloud“ als Plattform genutzt, so müssen nicht einmal mehr Hardware-Ressourcen vorgehalten sein, selbst komplexe Strukturen lassen sich schnell auf- und auch wieder abbauen. Dem Trend zu mehr Agilität kommt dies entgegen.
Andererseits nehmen die Anforderungen an die IT stetig zu: Gesetzliche, unternehmensinterne und kundenseitige Vorgaben zu Datenschutz und Compliance verlangen es, die Kontrolle über die Systeme zu behalten. Zu managen sind insbesondere Lizenzen, Konfigurationen, Berechtigungen, Änderungen, Ereignisse, Störungen und die Datensicherheit an sich. Im Zweifel sind entsprechende Nachweise vorzulegen oder im Rahmen von Audits zu erbringen. Je dynamischer das Umfeld ist, umso mehr Aufwand entsteht, um die Gefahren der neuen Möglichkeiten effizient zu zähmen.
In der Regel ist der Aufbau solcher Maßnahmen kein Kernthema der eigenen IT, verursacht damit Unsicherheit und Risiko, wird oft mit geringer Priorität behandelt und bindet dennoch einen signifikanten Anteil der zur Verfügung stehenden personellen Ressourcen.
Ein einfacher Ausweg aus diesem Zwiespalt von Chance und Risiko liegt im „Managed Hosting“ oder in der „Managed Cloud“. Ein qualifizierter Partner kümmert sich dabei um den sicheren Betrieb von Netzwerk, Firewall, Plattform und System. Die dafür nötigen technischen und organisatorischen Maßnahmen werden vom Partner routiniert und professionell erbracht. Deren Wirksamkeit ist durch regelmäßig durchgeführte externe Auditierungen und vorhandene Zertifikate belegbar – jederzeit auch gegenüber Kunden.
Durch die Vereinbarung eines Vertrags zur Auftragsverarbeitung (früher „Auftragsdatenverarbeitungsvertag / ADV“) mit dem Partnerunternehmen ist die eigene IT direkt und rechtssicher von vielen Aufgaben und Verantwortlichkeiten entlastet. Der Verarbeitungsvertrag garantiert dem Auftraggeber ausgereifte, gepflegte und gewartet Systeme, Aufrechterhaltung eines angemessenen Datenschutzniveaus, klar geregelte Verantwortlichkeiten und saubere Prozesse. Diese Themen sind somit an einen zertifizierten Partner delegiert.
Die Möglichkeiten des regionalen Partners, der sich die Zeit nimmt, die Unternehmensanforderungen wirklich zu verstehen, gemeinsam belastbare Lösungen zu entwickeln und zu betreiben, gehen dabei weit über die Optionen von Anbietern hinaus, die lediglich Server und starre Strukturen bereitstellen. Deren Zuständigkeiten und Garantien enden oft schon weit vor den wirklich sensiblen Daten und kritischen Diensten, so dass viele Verantwortlichkeiten und Pflichten des täglichen Betriebs letztendlich wieder auf die eigene IT zurückkommen.
Der Autor
Thilo Rees arbeitet als IT-Architekt bereits viele Jahre mit solchen Fragestellungen und ist als Information Security Officer bei der Continum AG in Freiburg beschäftigt. Die Continum-AG ist zertifiziert nach ISO 27001 und dem strengen Sicherheitsstandard der Kreditkartenindustrie (PCI-DSS).
