Schlecht geschlafen in jüngster Zeit? Dafür mag es viele Gründe geben. CIOs scheinen sie derzeit jedoch zu fehlen. „Mich halten nachts die Dinge wach, von denen ich nichts weiß“, gestand kürzlich der CIO eines US-amerikanischen Konzerns Jon Heimel, Experte für strategische Sicherheit beim Beratungshaus Solutionary. „Wenn man nicht weiß, worüber man sich Sorgen machen soll, sollte man sich genau darüber Sorgen machen“, meint Heimel.
Es grassieren also diffuse Ängste in den Köpfen von IT-Chefs. Da wäre es ein Fortschritt, die Ursachen dafür benennen zu können. Kein Problem, denn Dan Tynan hat für unsere Schwesterpublikation Infoworld fünf Gründe zusammengestellt, die IT-Profis in Paranoia versetzen können und ihnen den nächtlichen Schlaf rauben.
1. Das Rechenzentrum bricht zusammen
24 Stunden täglich, sieben Tage wöchentlich sollen Rechenzentren laufen. In der Regel tun sie das ja auch, aber es gibt so viele Risiken, die die kontinuierliche Datenverarbeitung bedrohen: Naturkatastrophen, Stromausfälle, Verbindungsstörungen, ein Serverkollaps, Cyberspionage, Sabotage durch Mitarbeiter, Einbrüche und vieles mehr.
Dass derlei in schlimmster Form tatsächlich eintreten kann, weiß Simon Taylor aus eigener Erfahrung. Er hat es gleich zweimal erlebt. Mitte der 1990er-Jahre verlor er ein Rechenzentrum durch einen Bombenanschlag der IRA, ein zweites folgte am 9. November 2001 beim Terrorangriff auf das World Trade Center. Heute leitet er Next Generation Data, einen britischen Data Center-Betreiber. Zu den Kunden zählen Banken, Regierungsorganisationen und Telekommunikationsunternehmen. Kein Wunder, dass jemand wie Taylor das „Fort Knox der Rechenzentren“ bauen ließ.
Es steht irgendwo in der walisischen Prärie, nicht weit von Cardiff. Weit genug weg von städtischen Zentren, von Autobahnen und möglichen Überschwemmungsgebieten. Auch Flugzeuge kreisen nicht über der Anlage. Umzäunt ist sie wie ein Gefängnis mit Stacheldraht, außerdem mit Infrarotsensoren geschützt. Das 75.000 Quadratmeter große Gebäude ist aus drucksicherem Beton sowie kugel- und bombensicherem Spezialglas gebaut. Mitarbeiter werden erst nach Sicherheits-Scan hinein gelassen, das Sicherheitspersonal stand früher in Diensten der britischen Armee.
Wenn das Erdbeben nicht kommt: Es gibt noch Effizienz-Nöte
Eventuelle Stromausfälle können mit dem internen Notstromaggregat ausgeglichen werden, das bis zu 180 Millionen Voltampere Scheinleistung bereitstellen kann – genug für die Versorgung einer Kleinstadt. Das kühle Klima in Südwales hält die Kühlungskosten niedrig. Außerdem sind in der Region Erdbeben, Wirbelstürme und Feuerbrünste sehr unwahrscheinlich. Für den Fall der Fälle baut Next Generation Data ein zweites sicheres Zentrum, das die Wiederherstellung von Kundendaten garantiert. „Wir machen alles das, um Kunden mit höchsten Sicherheitsansprüchen zu gewinnen“, sagt Taylor.
Ohne positiv gewendeten Verfolgungswahn scheint genau das kaum mehr möglich. Je mehr sich allerdings die genannten Ängste etwa durch immer zuverlässigere Stromversorgung minimieren sollten, umso größer werden andere Sorgen. „Heute gehen die Bedenken über die Lieferung von Energie hinaus und immer mehr hin zu den Stromkosten und der Effizienz der Versorgung“, sagt Gary Marks, Vizepräsident des Power Management-Anbieters Raritan. Ob also Gedanken an ein Erdbeben oder die alltäglichen wirtschaftlichen Nöte – allemal genügend Gründe für Schlafstörungen.
2. Das Gadget-Fieber infiziert das Netzwerk
Wie Zuckerwatte im Mund von Fünfjährigen schmölzen all die sorgsam aufgebauten Schutzwälle für Unternehmensnetzwerke zusammen, schreibt Tynan. Im iPhone-Zeitalter sind persönliche Smartphones der Mitarbeiter kaum mehr aus der Arbeitswelt zu verbannen. Und jedes einzelne der handlichen Dinger versetzt die Verantwortlichen von IT-Organisationen in Schrecken und Aufruhr. Schließlich können über jedes Gerät Daten verloren gehen oder Viren eingeschleppt werden.
„Der App-Store ist das beste feindliche Liefersystem für Zugangscodes, das jemals erfunden wurde“, unkt Winn Schwartau, Gründer von InfoWar.com. Weil jungen Mitarbeiter der sogenannten Generation Y der Unterschied von privatem und beruflichem Gebrauch des Smartphones überhaupt nicht mehr vermittelbar sei, hält Berater Scott Archibald von Bender Consulting Richtlinien zum Ausschluss persönlicher Geräte aus dem Unternehmen für nicht zielführend. „Das ist ein Fass ohne Boden“, sagt Archibald. „Je früher Regeln geschaffen und Frameworks implementiert werden, die die Mobiltechnologien positiv integrieren, umso besser.“
Eine kostspielige Möglichkeit zur Eindämmung des Problems wäre es, jedem Mitarbeiter ein firmeneigenes Smartphone zur Verfügung zu stellen. Bringt aber nichts, wenn die Mitarbeiter im Zweifel sowieso ihr vertrautes eigenes Gerät verwenden. Bleibt nur die Ausweitung von Kontrollen auf die privaten Geräte. Schwartau nennt als Beispiele Verschlüsselungs-Tools, Sicherheits-Tunnels für Verbindungen zum Internet und zum Unternehmensnetzwerk, Content-Filter und Managed Firewalls.
Neue Risiken gefällig? Auf in die Cloud
„Absolut keinerlei Daten sollten jemals ungesichert auf einem mobilen Endgerät sein“, sagt Dan Zeck, CTO des Lösungsanbieters Antenna Software. Er empfiehlt für jede Applikation mindestens eine doppelte Authentifizierung mit einer kurzen Frist bis zur Erneuerung des Log-Ins. Das würde zumindest vor Datenklau schützen, nicht aber vor einer Verschmutzung der Daten. Eine erleichternde Nachricht für all jene, die nach Gründen für ihre schlaflosen Nächte suchen.
3. Die Wolke verdeckt die Berge hinter ihr
Die Vorzüge von Cloud Computing sind hinlänglich bekannt. Die Verlagerung von IT-Services in die Cloud kann die Ausgaben drastisch senken und darüber hinaus in der Abteilung personelle Kapazitäten für innovative Projekte frei schaufeln. Die Nachteile sind ebenso offenbar und berühren vor allem Fragen der Sicherheit. Und diese sind leider so gar nicht leicht so zu beantworten.
Sogar wenn der Cloud-Dienstleister beste Referenzen in Sachen Sicherheit und Compliance mitbringt, bestehen laut Scott Gracyalny, Managing Director beim Beratungshaus Protiviti, vielfältige Kontrolllücken. Diese betreffen etwa Data Location, Segregation, Recovery oder den Support im Falle nötiger Nachforschungen. „Unternehmen sollten knallharte Fragen stellen und ein Risiko-Assessment von unabhängigen Dritten durchführen lassen“, rät Gracyalny. Wer sich in die Cloud bewege, mache sich in jedem Fall anfällig für eine Fülle neuer Risiken.
Rob Juncker, Vizepräsident für Technologie beim Cloud-Dienstleister Shavlik Technologies, zeichnet die Gemengelage naheliegenderweise weniger dramatisch. Das Operieren in der Wolke verändere vom Software-Asset-Management bis hin zur Nutzer-Authentifizierung zwar alles. Aber alles Ungemach komme von einer einzigen Quelle der Verwundbarkeit: dem Web-Browser. „Unsere Browser entwickeln sich zu einer neuen Delivery-Plattform, auf die IT-Administratoren achten müssen“, so Juncker. Das werden sie tatsächlich, meint auch Archibald von Bender Consulting. „Cloud Computing ist gekommen, um zu bleiben“, stellt der Berater klar. Deshalb sei es unausweichlich, für das jeweilige Unternehmen passende Strategien zu entwickeln.
4. Daten verschwinden unbemerkt
Jeder IT-Verantwortliche kennt die Angst, dass Daten von Festplatten und den Speichergeräten im Netzwerk verschwinden. Allerdings ist es mit einer Sicherung dieser Orte nicht getan. In einer Umfrage aus dem August 2007 fand das Ponemon Institute heraus, dass 70 Prozent der Datenlecks in Geräten versteckt sind, die überhaupt nicht ans Netzwerk angeschlossen sind. Dabei geht es nicht nur um zusätzliche Rechner und mobile Endgeräte, sondern auch um Flash Drives, Backup Tapes und sogar die Festplatten von alten Kopierern und Druckern. Erst kürzlich berichtete CBS News über eine Halle in New Jersey, in der mehr als 6.000 gebrauchte Kopierer lagerten. Auf den meisten der Geräte fanden sich medizinische Daten, Sozialversicherungsnummern und andere sensible Daten.
Wer gut erwischt, erntet Ignoranz
„Die meisten IT-Leute haben dieses Zeug nicht im Blick“, sagt Bob Houghton, CEO der Lifecycle Management-Anbieters Redemtech. Er berichtet, dass auf jeder vierten ausrangierten Maschine, die sein Unternehmen erhält, Restdaten gespeichert sind. „Die Leute erzählen dir, dass sie alles richtig gemacht hätten. Aber die tatsächlichen Resultate von Löschaktionen werden nie kontrolliert oder auf Effektivität hin geprüft“, klagt Houghton.
Michael Howard, Sicherheitsstratege in der Druckerabteilung von Hewlett Packard (HP), warnt IT-Spezialisten insbesondere vor eingebetteter Web-Server-Software in den meisten Multifunktionsmaschinen, die Administratorenzugang ermöglicht. Hacker könnten sich über das Kontroll-Panel des Gerätes Administratorenrechte für das Firmennetzwerk erschleichen. Diese Maschinen seien eben nicht einfach nur Drucker, sondern vielmehr weitere Computer im Netzwerk, so Howard.
5. Das Management versteht meinen Wert niemals
Karrieresorgen sind in diesen Zeiten nicht ungewöhnlich. Als CIO hat man bis zu 60 Stunden in der Woche zu schuften und wird mit zum Teil lächerlichen Anfragen behelligt. Dank ist dafür laut Tynan kaum zu ernten. Der beste Fall: Man wird ignoriert. Der schlechteste Fall: Man steht auf der Abschussliste.
Veritable Jobangst plagt viele IT-Spezialisten. „Die Leute bekommen vom oberen Management nicht die Anerkennung, dass IT als wichtig empfunden wird“, so Berater Archibald. „Das verursacht jede Menge Angst.“ Zumal in den Unternehmen oft nur noch von Quartal zu Quartal gedacht werde.
Patty Azzarello, CEO des Beratungshauses Azzarello Group, erkennt drei große Problemfelder.
-
Erstens wisse man in den Fachabteilungen meist überhaupt nicht, was die IT-Leute eigentlich tun. Sie wollen es auch gar nicht wissen.
-
Zweitens erscheint die IT im Budgetplan als notorisch fetter Posten, der zu Kürzungen einlädt.
-
Drittens ist das Management oft von „Business Amnesie“ befallen. Soll heißen: Wenn die IT-Abteilung wunderbare Dinge wie Enterprise Resource Planning (ERP) oder Customer Relationship Management (CRM) einführt, werden Erfolge wie neue Kunden oder höherer Profit aufs Business-Konto gebucht. Die IT hingegen wird kurz abgefeiert, ehe die dauerhaft hohen Kosten für die eingeführten Systeme Anstoß erregen.
IT-Jobs selten "rezessionssicher"
Dave MacKeen, CEO des Rekrutierungs-Spezialisten Eliassen Group, rät dazu, sich am Arbeitsplatz durch Einsatz und klar erkennbare Leistung „rezessionssicher“, also unentbehrlich zu machen. In einer angespannten wirtschaftlichen Lage seien IT-Jobs stets Kandidaten fürs Outsourcing.
Azzarello empfiehlt vor diesem Hintergrund tunlichst, sich um gute Beziehungen und verständliche Kommunikation mit dem Business zu bemühen. CIOs sollten gegenüber dem Vorstand beispielsweise nicht von „SAP-Finanzdaten“ reden, sondern vom Prozess der Bestellungsannahme. Und sie sollten so viel Gespür für geschäftliche Belange entwickeln, dass sie den üblichen Eingang von Bestellungen von der Spitzenzeit Ende des Monats unterscheiden können. So etwas hilft, auf die Business-Seite zugeschnittene IT-Services anbieten zu können. „Wenn IT-Leute ihre Sichtbarkeit und ihre Glaubwürdigkeit verbessern wollen, müssen sie auf die Business-Seite zugehen – anders herum klappt es nie“, sagt Azzarello. Wer das berücksichtigt, hat vielleicht nur noch vier Gründe für schlechten Schlaf.