Sicherheit in der IT-Infrastruktur

Den Herausforderungen stets gewachsen

Im Interview erklärt Stefan Keller, Chief Marketing Officer bei Noris Network, wie Unternehmen mit den wachsenden Sicherheitsanforderungen an ihre IT-Infrastruktur fertig werden.

  • Den Herausforderungen stets gewachsen

    Stefan Keller, Chief Marketing Officer bei Noris Network.

  • Den Herausforderungen stets gewachsen

    „Das Risiko, eigene Rechenzentren zu betreiben, wird aufgrund der Personalanforderungen für viele Unternehmen immer größer.“

  • Den Herausforderungen stets gewachsen

    „Die größte Bedrohung für die IT-Sicherheit werden die eigenen Mitarbeiter bleiben.“

ITD: Herr Keller, Sie erschließen mit Noris Network konstant neue Flächen für Rechenzentren. Wo stehen Sie aktuell mit Ihren Bauprojekten?
Stefan Keller: In München steht eine neue Fläche von 5.000 Quadratmetern kurz vor der Fertigstellung. Davon sind 25 Prozent bereits vermietet. Ich gehe davon aus, dass wir diese Fläche in drei bis vier Jahren veräußert haben. Im dritten Quartal werden wir darüber hinaus eine weitere Fläche von 4.000 Quadratmetern in Nürnberg fertiggestellt haben, von der jetzt schon die Hälfte vermietet ist.

ITD: Was treibt die Expansion an?
Keller: Wir sind durch den engen Austausch mit großen, sicherheitsgetriebenen Unternehmen davon überzeugt, dass der Bedarf immer größer wird. Das Risiko, eigene Rechenzentren zu betreiben, wird aufgrund der Personalanforderungen für viele Unternehmen immer größer – zumal ältere Anlagen oft nicht mehr den heutigen Standards entsprechen.

ITD: Viele Ihrer Mitbewerber suchen die Nähe zum Rhein-Main-Gebiet. Was macht Süddeutschland für Sie so interessant?
Keller: Das ist eine historische gewachsene Verbindung, die u.a. durch die Gründung des Unternehmens in Nürnberg bedingt ist. Wir haben dort in den Neunzigerjahren die ersten Rechenzentren aufgebaut und den Austausch mit der Finanzbranche gesucht. Die Consorsbank war z.B. einer unserer ersten großen Kunden dort. Auf dieser Grundlage haben wir das Geschäft weiter aufgebaut. Wir sprechen in der Region eine Zielgruppe an, die strategisch auf den Standort angewiesen ist. Das sind z.B. Kunden, die in München sitzen und mit ihrer Infrastruktur nicht einfach nach Frankfurt gehen können.

ITD: Welche Leistungen können Kunden bei Ihnen in Anspruch nehmen?
Keller: Wir decken mit unserem Portfolio viele Bedürfnisse ab. Das fängt bereits bei den physikalischen Aspekten wie der Vermietung von Rechenzentrumsfläche für spezielle Sicherheitsbedürfnisse an. Dazu kommen die klassischen Managed Services, also etwa der Betrieb von Datenbanken, Firewall-Services oder anderen IT-Sicherheitsleistungen. Es handelt sich dabei um Services, die man variabel hinzubuchen kann und die dann von unseren Mannschaften bedient werden. Kunden können bei uns zudem Infrastrukturleistungen über virtuelle Maschinen beziehen und Platform-as-a-Service-Modelle (PaaS) nutzen, die wir auf Basis von Kubernetes aufbauen. 

ITD: Wie wirkt sich die wachsende Popularität der Cloud auf das Geschäft aus?
Keller: Die Anforderungen an die IT verschieben sich. Früher war es vor allem wichtig, dass die Infrastruktur sicher ist, der Storage synchron läuft und die Hardware nicht ausfällt. Unter den Vorzeichen der Cloud-Philosophie rücken solche Aspekte in den Hintergrund, da nun vieles über Google und AWS läuft. Das bedeutet aber wiederum, dass der Software-Betrieb redundant aufgebaut sein muss. Dementsprechend muss intelligent programmiert werden, so dass ein Ausfall der Hardware keinen Ausfall der Software für den Kunden nach sich zieht. Dafür können Open-Source-Plattformen wie Kubernetes oder Docker sorgen. Der Kunde ist somit weniger von der Hardware abhängig und kann so die Zeitfenster für die Implementierung von Updates besser koordinieren. Wenn man es richtig macht, kann so jederzeit ohne Ausfallzeiten aktualisiert werden.

ITD: Wie funktioniert das im Detail?
Keller: Damit das Konzept aufgeht, wird die Software auf viele verschiedene Rechner verteilt. Mit intelligenten Bordmitteln lassen sich die Anwendungen dann so steuern, dass der Kunde keinerlei Probleme bekommt. Zudem lassen sich damit gewisse Testszenarien aufbauen, z.B. indem ich ein neues Feature nur auf zwei Servern laufen und nur Nutzer aus NRW darauf zugreifen lasse.

ITD: Die Realität sieht bei vielen Unternehmen noch anders aus.
Keller: Das ist u.a. auf die immer noch stark ausgeprägte Legacy-Welt zurückzuführen. Viele Unternehmen haben in der Vergangenheit spezielle Software-Lösungen entwickelt, die nun als Monolith im System stehen und die eigentlich komplett zerlegt und neu entwickelt werden müssten. Das hat zwei Nachteile: Auf der einen Seite braucht es die finanziellen Mittel, um so ein Vorhaben umzusetzen, und auf der anderen Seite sind die personellen Ressourcen – also Entwickler und Projektmanager – dafür gar nicht vorhanden. 

ITD: Was für Altsysteme begegnen Ihnen im Alltag?
Keller: Ich kenne Kunden, bei denen noch BS2000-Mainframes im Einsatz sind. Von IBM sind ebenfalls noch viele Altsysteme im Umlauf. Das sind allerdings aussterbende Arten, auf denen nicht mehr wirklich entwickelt wird. Trotzdem muss man verstehen, dass sich solche Systeme aus wirtschaftlicher Sicht nicht einfach abschaffen lassen, zumal die neuen Lösungen in großem Umfang auf die Datenbestände dieser Legacy-Welt zugreifen. Das wird trotz des Wachstums der Cloud vermutlich auch in zehn Jahren noch so sein. Die Schlussfolgerung daraus ist, dass neue Projekte zwar durchaus mit den aktuellen Technologien umgesetzt werden können, die alte Infrastruktur parallel aber weiterlaufen muss.

ITD: Stoßen die Anwender damit nicht irgendwann an technische Grenzen?
Keller: Das ist nur eine Frage der Zeit. Aus diesem Grund haben viele Unternehmen eine „Cloud First“-Strategie auf die Agenda gesetzt. Die neuen Technologien können zwar auch jetzt schon genutzt werden, viele müssen aber trotzdem nebenbei noch ihre alten Systeme betreiben. Damit gehen Anforderungen einher, die immer wieder Investitionen erfordern.

ITD: Wie unterstützen Sie solche 
hybriden IT-Modelle?
Keller: Wir helfen den Anwendern z.B. dabei, eine Dual-Site-Strategie aufzustellen. Das heißt, dass der Betrieb über zwei Rechenzentren mit einer geografischen Abstands-ebene von zehn Kilometern gefahren wird. Gibt es an einem Standort einen Ausfall, übernimmt das andere Rechenzentrum den Betrieb. Die meisten Kunden fahren mit dieser Strecke sogenannte Storage-Synchronisierungen und können so einen einheitlichen Datenstand gewährleisten. Es gibt auch Kunden, die noch ein altes Rechenzentrum betreiben, sich aber trotzdem moderner und sicherer aufstellen möchten. In solchen Fällen ist es möglich, den Partner an unsere Infrastruktur anzubinden. Dann stellen wir aufgrund der moderneren Technologie das Hauptrechenzentrum, während der Kunde auf eine Entfernung von fünf bis zehn Kilometern weiter seinen eigenen Standort betreibt.

Dies ist ein Artikel aus unserer Print-Ausgabe 05-06/2020. Bestellen Sie ein kostenfreies Probe-Abo.

ITD: Aus welchen Branchen kommen Ihre Kunden?
Keller: Das ist sehr unterschiedlich. Wir bedienen u.a. viele Dienstleister aus der Finanzbranche. Diese Unternehmen haben aufgrund der staatlichen Regularien sehr spezielle Anforderungen, auf die wir gut eingestellt sind. Dort müssen u.a. strenge Auflagen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder Europäischen Zentralbank (EZB) erfüllt werden. Die BaFin befasst sich in ihrer Aufsichtsfunktion nicht nur mit dem Vertragswerk, sondern auch mit der IT. Dabei werden im Sinne des Business-Continuity-Managements z.B. verschiedene Rechenzentrumsfunktionalitäten geprüft.

ITD: Wie haben sich die Sicherheitsanforderungen an die Rechenzen-tren im Laufe der Jahre verändert?
Keller: Da hat sich einiges getan, viele ältere Rechenzentren entsprechen den heutigen Standards nicht mehr. Es muss gewährleistet sein, dass nur noch autorisiertes Personal in die Rechenzentren kommt. Dafür sind scharfe Zutrittskontrollen sowie Zutrittssteuerungen über Vereinzelungsanlagen obligatorisch. Diese strengen Regeln gelten auch für die näheren Umgebungen, so muss etwa die Umzäunung fachgerecht angelegt sein und mögliche Zugänge wie z.B. ungünstig gelegene Fenster müssen abgesichert werden. In den Neunzigerjahren wurden Rechenzentren oft in vorhandene Räumlichkeiten wie z.B. Bürogebäude gebaut. Sind dort verschiedene Mietparteien untergebracht, ist das natürlich ein Sicherheitsproblem. Daher werden diese Modelle immer seltener.

ITD: In welchem Maß können Unternehmen die geforderten Sicherheitsaspekte noch selbst umsetzen?
Keller: Da die Sicherheitsanforderungen jedes Jahr systematisch steigen, wird es für Unternehmen immer schwieriger, die hohen Auflagen nachhaltig zu erfüllen. Viele befürchten daher beim Eigenbau, immer wieder vor den gleichen Problemen zu stehen. Dementsprechend sind Partner gefragt, die diese Standards übererfüllen. Das gilt besonders für die Banken, die ohnehin einen erhöhten Schutzbedarf haben. Darauf konzentrieren wir uns mit Noris Network.

ITD: Welche Rollen spielen Zertifizierungen dabei?
Keller: Es gibt z.B. europäische Normen wie die EN 50600. Dort werden die Schutz- und Verfügbarkeitsklassen von eins bis vier definiert – vier ist der Spitzenwert. An unserem Standort in Aschheim waren wir eines der ersten Rechenzentren, das diesen Spitzenwert erreicht hat. Das gleiche Niveau ist nun auch für unseren Standort in Nürnberg geplant. Getrieben durch einen großen Kunden aus der Finanzbranche gehen wir dort sogar noch einen Schritt weiter und streben die TSI-Level-4-Zertifizierung des Tüv an. Damit gehen so ziemlich die strengsten Anforderungen einher, die uns bekannt sind. Die Baupläne haben wir uns bereits abzeichnen lassen. So werden wir voraussichtlich das erste Colocation-Rechenzentrum sein, das diese Zertifizierung bekommt. 

ITD: Welchen Stellenwert besitzen die Services in Ihrem Portfolio?
Keller: Der Bereich spielt bei uns eine wichtige Rolle. In der Vergangenheit war vor allem das Thema „Sicherheit“ unsere Kernkompetenz, doch für eine langfristige Strategie hat das alleine irgendwann nicht mehr gereicht. Also haben wir unser Kundenportfolio ausgewertet und geschaut, wer einen ausgeprägten Servicebereich benötigt. So kam es, dass wir uns zunehmend vertikalisiert und auf die Finanzdienstleister konzen-triert haben.

ITD: Was für Anforderungen sind damit für Sie einhergegangen?
Keller: Es gilt dabei, gewisse Grundlagen wie z.B. die „Mindestanforderungen an das Risikomanagement“ (MaRisk) der BaFin zu beherrschen. Für uns sind die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) eine der wichtigsten Grundlagen, um bei einer Bank eine wesentliche Auslagerung zu machen. Dafür muss man sich nicht nur mit der Technologie auskennen, sondern sich auch mit den Prozessen beschäftigen. Dementsprechend befasst sich ein nicht geringfügiger Anteil unserer Mitarbeiter ausschließlich mit solchen formalen Aspekten.

ITD: Welche Fähigkeiten müssen diese Mitarbeiter mitbringen?
Keller: Die Mitarbeiter müssen wissen, welche aufsichtsrechtlichen Kontrollen erwartet werden, welche Berichte gemacht werden müssen und was für Überprüfungen im Rahmen der Regulatorik notwendig sind. Wenn ein Finanzdienstleister z.B. ein Produkt auf den Markt bringt, muss er nachweisen können, dass dieses über einen gewissen Zeitraum nachverfolgbar ist. Greifen aber zuvor schon spezielle Löschmechanismen, wissen die Kollegen das und stimmen sich entsprechend mit dem Kunden ab.

ITD: Neben den Finanzdienstleistern haben Sie viele Kunden aus dem öffentlichen Bereich. Worauf kommt es diesen Einrichtungen an?
Keller: Den Behörden sind vor allem Datenschutzaspekte wichtig. Darüber hinaus gibt es sehr hohe Anforderungen an den Zugriffsschutz. Da gehen hohe Ansprüche mit einher, weshalb wir unsere Rechenzentren u.a. nach BSI IT Grundschutz und ISO 27001 zertifizieren lassen. Da es sich bei dem BSI um ein Bundesamt handelt, vereinfachen entsprechende Zertifikate die Zusammenarbeit mit Behörden und öffentlichen Einrichtungen.

ITD: Behörden werden regelmäßig Opfer von Cyberangriffen – was macht diese Ziele für Kriminelle so interessant?
Keller: Die Behörden haben ein grundlegendes Problem, das sie zu beliebten Zielen für Cyberattacken macht: Sie können nicht schnell genug auf die rasanten Entwicklungen in der IT-Sicherheit reagieren. Bis dort neue Lösungen eingesetzt werden können, vergehen Monate. Darüber hinaus braucht es auch die entsprechenden Spezialisten, um solche Sicherheitslösungen zu implementieren, zu warten und forensisch zu betreiben. Wenn dafür die Mittel fehlen, muss die IT-Sicherheit durch die eigenen Mitarbeiter gewährleistet werden. Doch diese ziehen im ständigen Wettlauf mit den Cyberkriminellen oft den Kürzeren.

ITD: Auf was für Bedrohungsszenarien müssen sich Unternehmen Ihrer Meinung nach in Zukunft vermehrt einstellen?
Keller: Die größte Bedrohung für die IT-Sicherheit werden die eigenen Mitarbeiter bleiben. Das gilt besonders für Unternehmen, die gewisse Tätigkeiten an externe Mitarbeiter auslagern. Diese Kräfte müssen daher im Sicherheitskonzept berücksichtigt werden. Darüber hinaus bringt die zunehmende Vernetzung immer neue Risikofaktoren mit sich. Im Industriebereich werden z.B. immer mehr Komponenten in das Internet of Things (IoT) integriert. Dort steigt die Möglichkeit der Angriffe alleine dadurch, dass plötzlich sehr alte Systeme ans Netz angebunden sind. 

Stefan Keller

Alter: 55 Jahre

Familienstand: verheiratet

Werdegang: Stefan Keller ist seit 2003 bei Noris Network tätig. In seiner Position steuert er erfolgreich den Vertrieb und hat dabei relevante Firmen als Kunden gewonnen und am Markt bedeutende Partnerschaften mit IT-Herstellern für Noris Network etabliert. 

Derzeitige Position: Chief Marketing Officer (CMO)

Hobbies: In der Freizeit erholt sich Keller in seiner Datscha, unternimmt gerne ausgedehnte Radtouren und engagiert sich in der Jugendarbeit. 

Bildquelle: Claus Uhlendorf

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok