Interview: Kritische Infrastrukturen in Zeiten von Online-Kollaboration und Home Office

Die Corona-Krise wirkt sich mittlerweile mehrfach auf Unternehmen aus. So gehört das Home Office auf einmal zum Arbeitsmodell. Kollaborations-Tools ermöglichen, was kurz zuvor noch als undenkbar galt. Zugleich wird in der Krise deutlich, wie wichtig es ist, optimal aufgestellt zu sein und kritische Infrastrukturen in Organisationen bestmöglich abzusichern. André Grüneberg, Chief Infrastructure Architect bei The Unbelievable Machine Company, erläutert im Gespräch, worauf es ankommt.

Wie sichern Unternehmen standortübergreifend den Zugriff auf wichtige Daten, auch aus dem Home Office?

Eine zentrale Frage inmitten der Krise. Am besten sichern Unternehmen den Datenzugriff und -verkehr natürlich, indem sie ihre Infrastruktur schon in guten Zeiten breitbandig anbinden und ihren Mitarbeitern mobile Arbeitsplätze mit gesicherten Zugängen zur Verfügung stellen.

Eines der häufigsten Probleme ist, dass viele Unternehmen zwar Server vor Ort haben, aber die Firmenstandorte nicht breitbandig angebunden sind. Das heißt, sie haben ein normales Consumer-DSL-Produkt mit 100 Mbit Downstream und ein paar Mbit Upstream. Gewährleisten also einen Datenverkehr, der gerade mal für ein paar Leute funktioniert. Damit ist eine Skalierung für mehr als fünf Personen allerdings nicht möglich, wenn diese vom Home Office auf den Server zugreifen sollen. 

Was können Unternehmen in puncto Infrastruktur also tun?

Unternehmen müssen vor allem abwägen: Entweder stellen sie ausgelagerte Data Center, bei denen die Breitbandversorgung der Normalfall ist und auch die physische wie organisatorische Absicherung der IT-Infrastruktur entsprechend erfolgen kann. 

Oder sie wollen tatsächlich ihre ganze IT-Infrastruktur vor Ort haben. In dem Fall müssen sie auch den Bürostandort breitbandig anbinden, so dass sie dort auch erreichbar sind, wenn mehr Mitarbeiter aus dem Home Office agieren. Außerdem müssen sie dann sicherstellen, dass Redundanzen vorhanden sind, falls mal eine Leitung ausfällt. Denn in Stoßzeiten wie derzeit sagen die Leitungsanbieter oft und gerne: “Unsere Entstörzeiten sind gerade etwas länger, weil die Leute im Home Office sind.” Das zählt zu den aktuell möglichen Problemfeldern. 

Grundsätzliche Empfehlung an Unternehmen ist also, Daten eher im Data Center vorzuhalten als auf Servern vor Ort, um künftig auf solche Fälle vorbereitet zu sein und ständigen Zugriff zu haben? 

Definitiv. Natürlich erfordert das am Ende auch, dass Data Center und Bürostandorte über breitbandige Leitungen angebunden sind. Doch im Zweifel ist dieses Vorgehen einfacher. Hat man diese Infrastruktur erstmal geschaffen, kann man im Falle eines Ausfalls sehr viel schneller agieren. 

Gesetzt den Fall, ein Unternehmen ist in einer Region ansässig, in der keine entsprechende Bandbreite zur Verfügung steht. Davon gibt es ja weiterhin einige Stellen in Deutschland. 

Leider noch viel zu viele – trotz des seit 2005 versprochenen “initiativen Breitbandausbaus” der Bundesregierung. Die betroffenen Unternehmen sind strukturell erstmal benachteiligt. Für sie gilt es abzuwägen, welchen Anwendungsfall sie optimieren können und wollen. Das gleiche Problem haben die Mitarbeiter im Home Office ja auch: Wenn sie im Home Office sind und in strukturschwachen Gebieten wohnen, was die Internetanbindung angeht, funktioniert das auch nicht. Ob das jetzt der Firmenstandort ist, an dem 50 Leute eine schlechte Anbindung haben, oder das Home Office der jeweiligen Einzelperson, ist vom Prinzip her das Gleiche. 

Für ein Unternehmen ist es unter Umständen einfacher, sich doch eine Breitbandleitung zu beschaffen. Privatpersonen haben ihren Netzanbieter und kaum Alternativen dazu. Ein Unternehmen kann dagegen durchaus einen besseren Leitungsanbieter beauftragen, der dann liefert. Selbst die Telekom kann das in strukturschwachen Gegenden zum entsprechenden Preis tun. Hier müssen sich Unternehmen entscheiden, wie viel ihnen die effektive Zusammenarbeit letztlich wert ist.

Was können Unternehmen tun, um Hackern und Cyberkriminellen keine Einfallstore über Home Offices und Privathaushalte zu öffnen?

Das Thema hat viele Dimensionen, denn Sicherheit betrifft nicht nur die IT. Stell dir zum Beispiel vor, ein Mitarbeiter nimmt seine Akten mit nach Hause, in Papierform. Auch damit kann eine ganze Menge passieren. Und sei es nur, dass sein Kind aus Versehen ein Glas Cola umkippt und die Akte damit tränkt. Auch das kann teure Folgen haben – und es macht deutlich, wie schwierig es ist, solche Gefahren abzusichern, die in einem Haushalt lauern. 

Letztlich ist das gar nicht viel anders als im Büro. Der erste Schritt sollte deshalb immer sein, die eigenen Mitarbeiter für das Thema Security zu sensibilisieren. Ihnen muss klar sein, wie wichtig das ist und worauf sie achten müssen. Schulungen sind an dieser Stelle das A und O.

Auch in puncto Absicherung von Infrastruktur und Equipment?

Ja, auch da. Im Unternehmen und wie im Home Office gilt, dass die Arbeitsgeräte nach dem aktuellen Stand der Technik abgesichert sein müssen. In den meisten Unternehmen sind Firewall, Virenscanner etc. mittlerweile selbstverständlicher Teil des IT-Equipments. Sie gehören zum Standard. Und genau der gleiche Standard muss auch für Home Office und Remote-Arbeitsplätze gelten. Notebooks, die die Mitarbeiter dort einsetzen, müssen ebenso verschlüsselt sein wie die Notebooks im Büro. 

Wobei natürlich auch im Büro eingebrochen werden kann. Potenziell sogar noch leichter. Büros sind nachts nicht besetzt und befinden sich häufig in weniger frequentierten Bereichen. Im Gegensatz zu den meisten Wohngebieten, wo eher tagsüber eingebrochen wird.

Was in Zeiten von Home Office ja nicht das große Problem ist.  

Ja genau. (lacht) Ganz generell muss man sich klar machen, was die jeweils individuelle Gefährdungssituation ist und wie man sich davor schützen will. Beim Thema Einbruch oder Diebstahl ist die Lage eine ähnliche mit anderen Vorzeichen. Ansonsten ist es eigentlich immer der Faktor Mensch, bei dem Sicherheitsrisiken entstehen. Dagegen hilft, wie gesagt, regelmäßige Schulungen abzuhalten. 

Gibt es Kriterien, die eine gute Schulung erfüllen muss und auf die Unternehmen bei der Auswahl achten sollten?

Schulungen können auf verschiedenen Wegen absolviert werden. Es gibt Präsenztrainings, E-Learning-Angebote und viele mehr, aus denen jedes Unternehmen selbst auswählen kann, was zu den eigenen Anforderungen passt. Hauptsache, die Schulung findet statt. Genau wie die jährliche Arbeitssicherheitsunterweisung, die jeder Mitarbeiter erhalten sollte und die von der Berufsgenossenschaft gefordert wird, braucht es eine regelmäßig stattfindende Sicherheitsunterweisung in puncto IT-Nutzung und ihrer Gefahren.

Funktioniert unter dieser Prämisse auch der Einsatz von Kollaborations-Tools? Und zwar ohne Downtimes selbst zu Spitzenzugriffszeiten?

Was das Thema Breitbandanbindung betrifft auf jeden Fall, ja. Kollaboration umfasst ja unter anderem auch das Thema Video Conferencing, das mittlerweile zu Büro- bzw. Home-Office-Alltag gehört. In diesem Zusammenhang setzen die meisten Unternehmen auf fertige Software-as-a-Service-Dienste wie Microsoft Teams, Google Meet oder Amazon Chime.

Beim Thema Sicherheit sind alle drei Anbieter sehr sensibel und betonen, dass alle relevanten globalen und nationale Vorschriften einschließlich der DSGVO höchste Priorität haben. Doch auch hier ist das Risikomanagement im Unternehmen gefordert, und es ist wichtig, die eigenen Mitarbeiter entsprechend zu schulen, wenn sie das Tool nutzen.

Das Thema Spitzenzugriffszeiten – also im Grunde die Belastung von IT-Systemen – hängt dabei von den klassischen Regeln ab. Um zum Beispiel Peaks zu bewältigen, muss ich meine IT entsprechend ausgelegt haben, etwa auf eine automatische Skalierung über die unterschiedlichen Cloud Services.

Zu Beginn der Home-Office-Phase war Microsoft Teams durch die hohen Zugriffszahlen plötzlich überlastet. Wie kann das trotz Skalierung sein?

Auch bei SaaS-Diensten wie Microsoft Teams, Google Meet oder Amazon Chime kann es in Extremsituationen und bei sehr schnellen Veränderungen zu Problemen in der Skalierbarkeit kommen. Das muss Unternehmen immer bewusst sein. Microsoft Teams hat das genannte Problem allerdings sehr schnell in den Griff bekommen und – mehr noch – die Nutzerzahl in nur zwei Monaten von 32 auf 75 Millionen mehr als verdoppelt. Diese Skalierung wurde übrigens mit dem Einsatz von Container-Technologie ermöglicht. Ein Ansatz, der solche schnellen Umstellungen und Entwicklungen künftig deutlich besser ermöglicht.

Du hast den “Faktor Mensch” genannt, der auch im Data Center eine mittelbare Rolle spielt. Wie kann dem Ausfall von IT-Administratoren vorgebeugt werden?

Ein IT-Administrator ist auch nur ein Mensch. (schmunzelt) Und natürlich können Menschen krankheitsbedingt ausfallen – wie das im Alltag überall passieren kann. Jeden Winter grassiert eine Grippe- oder Krankheitswelle. Und Personalfluktuation gibt es auch immer mal wieder. Ausfall gibt es insofern eigentlich immer. Zumindest in dieser Hinsicht ist Corona nichts Besonderes.

Es gilt also, jederzeit optimal aufgestellt zu sein, um Ausfällen vorzubeugen und den sicheren Betrieb der kompletten Infrastruktur zu gewährleisten. 

Genau. Das ist unser Job. Unsere Kunden verlassen sich ja darauf.

 

Das könnte dich auch interessieren:
Corona und KI: Ravin Mehta über digitale Auswege aus der Krise
Acht IT-Sicherheitstrends: ein aktueller Überblick
Fünf Erfolgsfaktoren für die Data-driven Company

This post is also available in: Englisch