Sichere Identifizierung

Transkript

1 Ausgabe Juli 2009 Das monatliche Praxismagazin für CIOs und IT-Manager Sichere Identifizierung Das Business wirdimmer mobiler. Die Gefahren durch Mitarbeiter,die vonunterwegs auf das Firmennetz zugreifen, steigen rasant. Doch das Thema Endgerätesicherheit darf nicht isoliert betrachtet werden. Mehr ab Seite 20. ISSN Euro 6,00 informationweek.de CMP-WEKA-Verlag GmbH & Co. KG

2 Mitmachen und Erfahrungen einbringen Wege zu mehr Handlungsspielraum Strategien zur Unternehmenssicherung und Krisenbewältigung GünterWeinrauch Leiter des Programmbeiratszum Entscheiderforum Outsourcing; Vice President Information Management, PremiereFernsehen GmbH &Co. KG»Das Entscheiderforum Outsourcing bietet Führungspersönlichkeiten nun schon zum siebten Mal eine Plattform zum Erfahrungsaustausch über Sourcing- Themen. Im Mittelpunkt stehen Beispiele guter Praxis. Noch immer gilt: Am besten lernt man aus den Erfahrungen, Erfolgen und Problemen seiner Kollegen.«Die Keynote-Speaker Rainer Neumann Vorsitzender des Vorstands, SCHUFAHolding AG Joachim J. Reichel Senior Vice President Information Technology, Wacker Chemie AG Rolf Riemenschnitter Group Chief TechnologyOfficer, Deutsche BankAG Paul Schwefer Mitglied des Präsdiums, CIOcolloquium Klaus Straub Chief Information Officer, AUDI AG Anwender Schirmherrschaft Sponsoren Medienpartner Ideeller Sponsor Veranstalter Organisation Weitere Informationen unter

3 EDITORIAL 3 Sicher sind nur die Lücken Welten wachsen zusammen. Die interne IT wird immer mobiler und private IT (naturgegeben auch überwiegend mobil) hält im verstärkten Maße Einzug in die Unternehmens-IT. Da mobile IT nur wirklich Sinn macht, wenn man damit einen möglichst großen Teil der anfallenden Aufgaben erledigen kann, werden die Unternehmensgrenzen offener. Das Firmennetz ist nur noch so sicher, wie das schwächste Glied in der Kette, sprich der letzte mobile Rechner.Endgerätesicherheit wirdsomit zueinembedeutendenthema. KeinWunder ist es daher,dass Anbieter von Endpoint Protection Platforms (EPP) vergleichsweise Hochkonjunktur haben. Doch diese Pakete haben auch ihrenachteile.welche das sind, und welche Ansätze esbeim Thema Endgerätesicherheit gibt, können Sie in der Titelstory»Endpoint Security:Ende gut, alles gut«ab Seite 20 nachlesen. Sicherheit spielt auch im SAP-Umfeld eine wichtigerolle.netweaverhat ebenso wiedasmenschlicheauge eine Papille, einenblindenfleck.während das menschliche Auge diesen selbstständig kompensiert, muss der NetWeaver-Anwender mit ihm leben, oder ihn durch eine zusätzliche Schutzschicht auf dem Applikationsserverbeheben. Hintergründe dazu finden Sie ab Seite 18 im Artikel»Sicherheitstür für SAPNetWeaver«. Ausgezeichnet fühlt sich derzeit Jürgen Bechtel, CIO bei Mennekes Elektrotechnik. Er nahm nämlich den ersten Virtualisierungs-Award entgegen, den wir von der Redaktion der InformationWeek ausgeschrieben haben. Dieser wurde auf dem Virtualsierungskongress verliehen, der im Rahmen der Berliner Messe IT-Profits 5.0 stattfand. DerKongress wie auch die Messe waren volle Erfolge, wie Sie ab Seite 8nachlesen können. Viele Anregungen durch die Informationen in dieser Ausgabe wünscht Ihnen Markus Bereszewski markus.bereszewski@informationweek.de Zertifizierung von IT-Prozessen nach Branchen Frage: Haben Sie bereits Zertifizierungen Ihrer IT-Prozesse vorgenommen? Gesamt 19,6 80,4 Industrie/ Produktion Handel Dienstleistungen Finanzen Öffentliche Verwaltung 18,9 81,1 12,5 87,5 26,2 73,8 33,3 66,7 12,5 87,5 Ja Nein Basis: 286 Antworten, Prozentwerte Quelle: InformationWeek, IT-Budget 2009

4 4 INHALT 20 Sichere Identifizierung Endpoint Security: Ende gut, alles gut. Eine zuverlässige Mitarbeiter-und Schadcode-Erkennung sind sicher wichtigeelemente jeder Client-Sicherheit.Die Vielzahl der Gefahrenherde macht aber die Verschmelzung mit Netzwerksicherheit unabdingbar. 8 Preisträger JürgenBechtel, CIObei Mennekes, Sinan Arslan, Produktmanager der Messe Berlin, Markus Bereszewski, Chefredakteur Information- Week, JörgMühle, Geschäftsführer CMP-WEKA und Jens Heithecker,Direktor Messe Berlin (v.l.n.r.) bei der Preisverleihung im Rahmen der Abendveranstaltung der IT-Profits in Berlin KURZ NOTIERT 6 Aktuelle Meldungen MÄRKTE &UNTERNEHMEN 26 Interview:»Man muss zwischen Management und Steuerung unterscheiden«services &LÖSUNGEN 8 Virtualisierungs-Award geht an Elektrotechnik-Spezialisten 12 Interview:»Virtualisierung ist keine Einzellösung«TRENDS &TECHNOLOGIEN 14 Geschäftszweck ist CMDB-Richtschnur 18 Sicherheitstür für SAP Netweaver 20 Titel: Endpoint Security: Ende gut, alle gut 23 Neue Chancen im Web MEINUNG 25 Effiziente Speicherung ist grün SCHWERPUNKT AUTOMOTIVE 28 Kostensenkung durch digitale Rechnungsverarbeitung 30 R&D-Outsourcing: Chance für die Automobilindustrie LETZTESEITEN 33 Hey Joe/Branchengeflüster 34 Fragen an..., Siegmund Burg, Head of IT Europe, MHM Holding GmbH RUBRIKEN 3 Editorial 31 Solution Market 32 Anzeigenindex/ Herstellerindex/Impressum 23 Eine Top-Level-Markendomain sichert dem eigenen Webauftritt größere Aufmerksamkeit und eröffnet neue Werbechancen. 30 Schwerpunkt Automotive: Das Auto wird immer mehr zum mobilen IT-Endgerät.

5 5 XTM was es ist und warum wir es brauchen Zu einer Zeit, in der Unternehmen verstärkt versuchen Kosten zu reduzieren, ist der Bedarf nach leistungsstarker Sicherheitstechnologie größer als je zuvor. Denn der derzeitige wirtschaftliche Abschwung beeinflusst die IT-Budgets, verstimmte Angestellte werden zunehmend zur Sicherheitsbedrohung und Cyber-Kriminelle verfeinern ihre Angriffe stetig. Firmen müssen außerdem mit dem Verlust traditioneller Netzwerkgrenzen kämpfen. Hinzu kommen immer neue Technologien und strengere gesetzliche Auflagen. In dieser Situation wird eine neue Sicherheitslösung benötigt: Ein Produkt, das sich schnell an wachsende Bedürfnisse anpassen kann heute und auch in der Zukunft. Sicherheit, die leicht zu managen ist und Potenzial zur Kostenreduzierung bietet. Anzeige Unified Threat Management (UTM)-Appliances haben sowohl bei KMU als auch bei großen Konzernen zunehmend an Popularität gewonnen. Der Grund hierfür liegt in ihrer effizienten und kostengünstigen Art der Sicherung geschäftlicher Netzwerke.Gleichzeitigtragen sie zur Compliancebei. UTM ist ein herausragendeskonzept durchdie Integration der verschiedensten Sicherheitsfunktionen in einer Netzwerk-Appliance. Zur typischen Ausstattung gehören Firewall, VPN, Anti-Virus und Intrusion Detection. Dabei sind UTM-Lösungen bis zu 75 Prozent günstiger als die Anschaffung jeder dieser einzelnen Komponenten als eigenständiges Produkt. Die Zentralisierung vereinfacht zudem die Anwendung und das Management. Allerdings verlangt die derzeitige ökonomische Krise zusammen mit den erweiterten Sicherheitsbedrohungen, der wachsenden Dynamik im Geschäftsumfeld und immer neuen Technologien eine zukunftsfähige Anpassung der Netzwerksicherheit mehr, als UTM in seiner bisherigen Form leisten kann. Web 2.0 und erweiterte technologische Möglichkeiten wie Virtualisierung,VoIP und SaaS (Software asaservice) stellen neue Herausforderungen für die IT-Sicherheit dar. Mobile Mitarbeiter und Außendienstbüros haben das traditionelle Bild verändert, in dem Desktops und Unternehmensnetzwerke sicher durch eine Firewall abgeschirmt sind. Die Verbreitung der Technologien verwischt zudem die Grenzen zwischen Berufs- und Privatleben. Instant Messaging, Skype oder mobile Geräte wie ipods können in jedem Netzwerk verwendet werden. Sie erhöhen das Sicherheitsrisiko ebenso wie Peer-to-Peer(P2P)- und soziale Netzwerke,beispielsweise Facebook, Xing oder LinkedIn. Da moderne Unternehmen jeweils individuelle Anforderungen haben,ist eine dynamische und flexible Lösung unerlässlich, die zudem die vorhandenen Ressourcen optimal nutzt. Hier setzt das extensible Threat Management an. XTM nimmt UTM als Basis und fügt weitere Sicherheits-Features,»Zero Day Protection«sowie mehr Performance im Netzwerk und größere Management-Flexibilität hinzu. Die Lösung eröffnetunternehmen die Möglichkeit, Funktionen schnell und einfach zu erweitern und dynamisch an sich verändernde Bedrohungen und Netzwerkumgebungen an- WatchGuardXTM 1050 die optimale Hardware-Ergänzung zur Fireware XTM. zupassen. Mit XTM können Administratoren frei aus dem umfassenden Funktionsangebot wählen, was sie aktuell für den Schutz ihrer Organisationbrauchen. Selbstverständlich entfallen jegliche Kosten für den Kauf und das Management von Insellösungen. XTM-Appliances bieten mehr Sicherheit dank Funktionen wie erweitertes Logging, HTTPS-Prüfung und wirklicher VoIP-Security. Auch die Absicherung vonvpn-tunneln auf Reisen, Darstellung von Netzwerken inreal-time und Application Level Security gehören dazu. Die Möglichkeiten im Netzwerk werden durch die Option zur Verwaltung von Bandbreiten und dynamischem Routing erweitert. Außerdem kann der Traffic bedarfsgerecht gestaltet werden ebenso wie Datendurchsatz und Latenzzeiten. Administratoren behalten auch über mehrere XTM-Appliances die volle Kontrolle. Anhand von selbsterstellten Sicherheitsskripten können sie das Management vereinfachen und für die Einhaltung von Richtlinien und Verhaltensmaßregeln sorgen. Dies alles lässt sichzudem einheitlichfür mehrere Standorte und zahlreiche Nutzer realisieren. Kontakt:

6 6 KURZ NOTIERT Klein, stark, schwarz Für kleine Unternehmen oder für Mitarbeiter in Homeoffices bietet Seagate mit dem neuen BlackArmor NAS 220 Storage Server einen interessanten Speicherwürfel. Die Network Attached Storage-Lösung sichert Daten von bis zu 20 angeschlossenen PCs und verfügt über bis zu vier Terabyte Speicherkapazität. Da die externen BlackArmor-Laufwerke automatisch ein Abbild von sämtlichen auf dem PC befindlichen Daten erstellen, kann die vorinstallierte Software SafetyDrill+ gegebenenfalls das komplette System wiederherstellen. Der Preis für NAS 220 mit zwei Terabyte Speicherkapazität liegt derzeit bei 450, mit vier Terabyte bei 700 US-Dollar. Das Laufwerk ist voraussichtlich ab Mitte September in Deutschland verfügbar. Oracle stellt fusionierte Middlewarevor Eineinhalb Jahre nach der Verkündigung der Übernahme des Middleware-Konkurrenten BEA Systems hat der Software-Anbieter Oracle Anfang Juli nun das Produktbündel Fusion Middleware 11g vorgestellt, das zugekaufte und eigene Software mit neuen Features enthält.essoll Kunden und Partnern künftig als Infrastruktur für betriebswirtschaftliche Anwendungen dienen und insbesondere die Basis der Applikationen von Oracle bilden. Die neue Middleware stellt als Plattform Dienste zum Beispiel auch für Sicherheit bereit, die unterschiedliche Applikationen verwenden können. Als Module von Fusion 11g nannte Oracle die folgenden Produkte: SOASuite für Services inklusivebusiness Process Management auch in einer Cloud, Weblogic Suite als Ablaufumgebung (Applikationsserver) für Java-Anwendungen samt Datennutzung im Arbeitsspeicher, Web Center Suite zur Zusammenarbeit über Portale und soziale Netzwerke, Identity Management sowie DevelopmentTools. Google will mehr Neuer IT-Studiengang Ab dem Wintersemester 2010/11 wird der Masterstudiengang»IT-Management und -Consulting«am Department Informatik der Fakultät Mathematik, Informatik und Naturwissenschaften (MIN) der Universität Hamburg eingeführt, der sich vor allem durch besondere Praxisnähe auszeichnen soll. Ermöglicht wurde der neue Studiengang durch 18 in Hamburg ansässige Unternehmen, die in den nächsten sechs Jahren knapp 1,3 Millionen Euro Fördergelder zur Verfügung stellen. Weitere Informationen unter Mit einem neuen Tool vereinfacht Google die Migration von IBM Lotus Notes zu Google Apps. Vier Referenzkunden in den USA mit insgesamt Notes-Usern nutzen die Cloud-Anwendungen bereits. Mit»Google Apps Migration for Lotus Notes«sollen Anwender der Mail- und Collaboration-Lösung Lotus Notes»mühelos«zu den Apps wechseln können: Mails, Kalender und Kontakte werden»schnell und einfach«vom Server des Kunden in die Rechnerfarmen von Google übertragen. Selbst während der Migration sollen den Nutzern, die weiterhin ihrevertrauten Notes-Clients verwenden, sämtliche Funktionen unterbrechungsfrei zur Verfügung stehen. Danach werden diese Funktionen freilich nicht mehr auf dem Lotus Domino Server ausgeführt, sondern in der Cloud. Bislang warmicrosoft das Hauptziel der Offensive: Im Juni stellte Google bereits ein vergleichbares Tool vor, das den Wechsel von Microsoft Exchange zu Google Apps unterstützt.google bietet mit den Apps einfache Text-, Tabellen- und Collaboration-Programme an, die in ihren Grundfunktionen den Office-Anwendungen von Microsoft ähneln. Erst vor wenigen Tagen kündigte Google zudem das Betriebssystem»Chrome OS«an. Die schlanke Open-Source-Plattform soll vor allem aber nicht ausschließlich für Netbooks geeignet sein und greift Microsoft XP und Windows 7daher frontal an. SAGschluckt IDSScheer Hat bald vielleicht noch mehr Zeit für die Musik und den Bitkom: IDSScheer-Gründer Prof. Dr. Dr. h.c. mult.august-wilhelm Scheer Die Software AG (SAG) will IDS Scheer übernehmen: Dazu unterbreiten die Darmstädter den Aktionären von IDS Scheer noch im laufenden Quartal ein Angebot.Der Kaufpreis für das gesamte Aktienkapital des Saarbrücker Software- und Beratungshauses liegt bei 487 Millionen Euro. Die beiden Gründer des Unternehmens, August-Wilhelm Scheer und Alexander Pocsay, unterstützen das Angebot, sodass der SAG ein Anteil von 48Prozent an IDS bereits sicher ist.durch die Transaktion will die SAG einen globalen Hersteller von Infrastruktur-Software und Lösungen für das Geschäftsprozess-Management formen. Rein rechnerisch entsteht ein Unternehmen mit mehr als Mitarbeitern und einem Jahresumsatz von mehr als einer Milliarde Euro. Das Portfolio der Software AG besteht vor allem aus Middleware-Produkten. Die Stärken von IDS Scheer liegen in der Modellierung, Implementierung und der Steuerung von Geschäftsprozessen. Mit den 7500 Kunden der Saarländer würde die SAG ihre Kundenbasis mehr als verdoppeln. Für die Analysten von Pierre Audoin Consultants (PAC) stellt das Vorhaben eine Win- Win-Situation dar.ids profitiert von der Solidität und der fortgeschrittenen Internationalisierung der SAG, diese wiederum vom Prozess-Know-how und dem Kundenzugang der IDS. Einziges Fragezeichen stehthinter dem SAP- Beratungsgeschäft der Saarbrücker, das in der heutigen SAG wenig Sinn macht. ITIList kein Kinderspiel Ein Spiel für Erwachsenen bringt der Schulungs- und Beratungsanbieter Serview auf den Markt:»playIT!L v3«richtet sich an diejenigen, die ITIL-Inhalte der aktuellen Version kennenlernen oder auffrischen wollen. Es lehnt sich von der Spielstruktur an den Spieleklassiker Mensch ärgere Dich nicht an und kommt ohne kompliziertes Regelwerk aus. Anders als beim großen Vorbild benötigt man im Spiel für ITIL-Kenner natürlich»wissenskarten«, die sich vom Schwierigkeitsgrad der enthaltenen Fragen auf ITIL v3 Foundation Prüfungsniveau bewegen, so der Anbieter. Maximal sechs Teilnehmer können so pro etwa zweistündigem Spiel»geschult«werden. Der Preis liegt bei 199 Euro zuzüglich Mehrwertsteuer. Nicht zuviel, für ein Erwachsenenspiel. Fotos:IDS Scheer,Seagate

7 KURZ NOTIERT 7 Mehr mobile Sicherheit Check Point bringt eine neue Version seiner Security-Lösung Endpoint R72 auf den Markt, die mobile Sicherheit (siehe hierzu auch die Titelgeschichte ab Seite 20) auf eine höhere Stufe heben soll. Einige Features der ab sofort erhältlichen Version: Der zum Patent angemeldete»webcheck«arbeitet im dualen Browser-Modus und sorgt so für die Isolierung der Unternehmensdaten vom Internet. Die neue Onecheck-Authentifizierung gibt laut Herstellerangaben automatisch alle Security- Subsysteme frei, einschließlich Windows, Disc Encryption, VPN und andere. Weitere Informationen finden Sie unter com/products/endpoint_security/info.html. Internet-Betrüger lernen Fremdsprachen Phishing wird mehrsprachig das ist einer der Befunde des aktuellen Security-Reports des Herstellers Symantec. So warenimjuli nur noch rund 80 Prozent aller Phishing- Seiten in Englisch.Insgesamt stieg die Anzahl der Phishing- Attacken im Juli gegenüber dem Vormonat um 21 Prozent. Phishing-URLs nahmen um neun Prozent zu. Viele Phisher greifen inzwischen auf kostenlose Web-hosting Services zu. Hier stieg die Zahl um 96 Prozentgegenüber dem Vormonat. Auch beim Thema Spam stoßen die Sicherheitsexperten ständig auf neue Betrugsmaschen: So griffen im Juni zahlreiche Spam-Attacken den unerwarteten Tod von Pop-Ikone Michael Jackson auf.themen warenunter anderem seine Todesursache oder seine Schönheitsoperationen. Recherchen vonsymantec zeigen, dass Spammer sich auch als Konzertveranstalter ausgaben, die gewillt waren, das Geld für Tickets zu erstatten. So wollten sie den Lesern der falschen Mails persönliche Informationen entlocken. Urteil des Monats Weiterer Rückschlag für Usedsoft Die softwareherstellerfreundliche Rechtsprechung bezüglich des Handels mit sogenannter gebrauchter Software ist um eine weitere Entscheidung reicher. Sohob das OLG Düsseldorf eine Entscheidung der Unterinstanz auf. Das Gericht untersagte einem Händler Kopien der Software eines Schweizer Herstellers zu vertreiben, Finanzierungspaket vonibm Dr.Antje Zimmerlich, Rechtsanwältin von DLA Piper wenn der Hersteller die Software ursprünglich nur auf einem Rechner vorinstalliert inden Markt gebracht hatte. Ein Unbundling der Software und deren isolierter Vertrieb seien nicht durch den urheberrechtlichen Erschöpfungsgrundsatz gedeckt. Für IBM System x- und BladeCenter-Server inverbindung mit der aktuell veröffentlichtenvirtualisierungsplattformvmware vsphere 4 bietet IBMeinneues Finanzierungskonzept bereits ab einer Investitionssumme ab 4000 Euroan. Im Laufe des Jahres soll das Angebot auch auf die idataplex-server ausgeweitet werden.»kunden sollten in der Lage sein, schnelle Einsparungen aus ihrer Virtualisierungslösung zu realisieren, die IBM-Hardware und VMware-Software kombiniert,«sagt Vesna Maric, Direktor System x, IBM Deutschland. Das ist in Zeiten gekürzter Budgets und angespannter Wirtschaftslageeine für Anwender mittelschonende Offerte. Nächstes Windows spätestens 2013 Microsoft will die Schlagzahl für die Entwicklung neuer Betriebssysteme künftig auf drei Jahre erhöhen. Das kündigte Windows-Chef Bill Vegthe auf der weltweiten Microsoft-Partnerkonferenz an. Demnach steht die nächste Version spätestens Anfang 2013 in den Regalen der Verkäufer nachdem Windows7zum vierten Quartal dieses Jahres erscheint. Besonders wichtig werde die Funktionsfähigkeit von Windows auf Netbooks, meintvegthe (siehe auch Google-Meldung). Fotos:Fujitsu, DLAPiper Kostengünstiger Mittelstands-Server Eine»neue Server-Ära für den Mittelstand«, so die blumige Formulierung von Fujitsu TechnologySolutions,will das Unternehmen mit dem»primergy TX100 S1«einläuten.Das System kostet in der Grundkonfiguration rund 600 Euro. Mit dem Server will der Hersteller Firmen ansprechen, die bislang einen Standard-PC und eine externe Festplatte als»server«einsetzen eher ein Notbehelf denn eine solide Server-Lösung. In der Grundkonfiguration, ist der TX100 S1 mit 1GByte DDR2-RAM ausgerüstet. Das ist nicht allzu viel, reicht aber für Basisanwendungen wie File-Services und E- Mail in kleinen Unternehmen. Der integrierte SATA-Controller unterstützt RAID 0 und 1. Mit 1- TByte-Platten bestückt, kommt ein PrimergyTX100 S1 auf maximal 4TByte Plattenplatz. PC-Markt bricht ein Gartner errechnet auch für das zweite Quartal 2009 rückläufige PC-Verkäufe. Weltweit wurden mit 68,1 Millionen PCs fünf Prozent weniger Computer verkauft. In der EMEA-Region (Europa, Naher Osten, Afrika) ging der Absatz erneut um über zehn Prozent auf 20,6 Millionen PCs zurück. Eine leichte Erholung macht sich im PC-Geschäft in den USA und im asiatisch-pazifischen Raum bemerkbar. Marktführer Hewlett-Packard lag mit einem Minus von 2,2 Prozent deutlich besser als der Durchschnitt und konnte seine Spitzenposition auf 21,1 Prozent leicht ausbauen. Mit dem stärksten Zuwachs unter den Top Fünf einem Plus von 21,6 Prozent stockte Acer den Marktanteil von15,1 auf 20,6 aber noch stärker auf. Dells PC-Absatz in EMEA brach dagegen um über 23 Prozent ein, der Marktanteil ging auf 10,2 zurück. Auch die Nummer vier und fünf der EMEA-Spitzenreiter Toshiba und Asus mussten deutlich zweistellige Rückgängehinnehmen.

8 8 SERVICES &LÖSUNGEN Preisträger Jürgen Bechtel, CIObei Mennekes,Sinan Arslan, Produktmanager der Messe Berlin, Markus Bereszewski, Chefredakteur InformationWeek, JörgMühle, Geschäftsführer CMP-WEKAund Jens Heithecker,Direktor Messe Berlin (v.l.n.r.) bei der Preisverleihung im Rahmen der Abendveranstaltung der IT-Profits in Berlin Virtualisierungs-Award geht an Elektrotechnik-Spezialisten Mennekes Elektrotechnik aus Kirchhundem im westfälischen Sauerland wirdfür eine Installation ausgezeichnet, die belegt, dass Virtualisierung für viele Zweckegleichzeitig gut ist. vonariane rüdiger Virtualisierung kann mehr als Hardware einsparen. Dass das so ist, beweist Mennekes Elektrotechnik, der Gewinner des 1. Virtualisierungs-Awards der InformationWeek. Der Preis wurde anlässlich der Messe IT-Profits in Berlin verliehen. Das Gewinnerunternehmen ist bereits seit 1935 am Markt. Der Mittelständler gehört heute zu den weltweit führenden Herstellern von Stekkvorrichtungen. Beliefert werden 90 Länder. Der Stekkerspezialist beschäftigt 800 Mitarbeiter und setzte im vergangenen Jahr rund 100 Millionen Euro um.»wenn man sich im elektrotechnischen Bereich bewegt, möchte man natürlich auch bei der IT zeitgemäße Konzepte einsetzen«, sagt Jürgen Bechtel, IT- Leiter vonmennekes. BeiMennekes ging es zunächst eigentlich darum, die Verfügbarkeit der Systeme zu erhöhen respektive die Ausfallzeiten bei Störungen möglichst gegen Nullzureduzieren.»Die herkömmlichen Disaster-Recovery- und Redundanzlösungen waren für uns einfach zu teuer«, erinnert sich Bechtel. Als angenehmen Nebeneffekt strebte eran, die Zahl der physischen Server zureduzieren. Denn dadurch lässt sich der Aufwand für die Wartung verringern, die Serverauslastung steigt und die Energiekosten sinken alles positive Einflüsse aufs Budget. Y Foto: MesseBerlin

9

10 10 SERVICES &LÖSUNGEN Zeit und Raum die frischen Eindrückezudiskutieren bot die IT-Profits 5.0 ebenfalls Eine Fülle interessierter Besucher drängten sich auf der IT-Profits 5.0. Stefan Goravon Secorvo referierte über Sicherheitsanforderungen in virtualisierten Umgebungen. Bechtel begann im Oktober 2007 mit dem Virtualisierungsprojekt. Im Lauf des Herbstes 2007 wurde ein Partnerausgewählt. Im Januar 2008 virtualisierte Mennekes die ersten 20Server. Bis Ende Februar kamen weitere zehn SAP-Systeme hinzu, und bis Ende März noch einmal 25Server. EndeMai wurde die Zahl der ESX-Server von vier auf sechs und die Speicherkapazität von dreiauf acht TByte erhöht.»heute betreiben wirüber90prozent der IT-Infrastruktur mit VMware ESX und Datacore SANmelody.«Der Lohn der Mühe: Um 40 Prozent gesenkte Kosten, 40Prozent weniger Energieverbrauchund eine Amortisationsdauer von unter einem Jahr alles Werte, mit denen sich Mennekes als prototypisches Beispielfür die gestaltende Kraft der Virtualisierungstechnologie den Award wirklich verdient hat. DerVirtualisierungs-Award wurde am Abend des Virtualisierungskongresses der InformationWeek verliehen, der im Rahmender BerlinerMesse IT- Profits stattfand. HochkarätigeSpezialisten berichteten aus unterschiedlichen Themenbereichen rund um die Virtualisierung und zeigten gleichzeitig Wege in die Zukunft auf. Rolf Kaumanns von Integrator Computacenter stellte grundlegende Konzepte der Virtualisierungstechnologie vor, Dr. Wolfgang von Königslöw vom Integrator TIM zeigte Virtualisierungskonzepte imbereich Storage und Fachjournalist Gerhard Kafka beiden Netzwerken auf. Dass Virtualisierung viel mit Green ITzutun hat, belegte Wolfgang Schwab von Experton Group. Doch heute steht die Technologie erst amanfang. In einigen Jahren könnte der Grundgedanke, Ressourcen gemeinsam zu nutzen und so bei Anschaffung und Pflege zu sparen, durchaus in neue Dimensionen vorstoßen. Der derzeitige Hype um das Cloud Computing,beschriebenvon Martin Kuppinger, Partner des Beratungsunternehmens Kuppinger Cole, gabdarauf einenvorgeschmack. Wie sich Virtualisierung aus Hersteller- und Anwenderperspektiveausnimmt, darüber referiertenvertreter vondell und vom Münchner Hoster Spacenet. Allerdings gibt esauch neue Probleme, die in der virtualisierten Cloud-Welt auf die Anwender warten. Sicherheit zum Beispiel, so machte Stefan Gora vom BeratungshausSecorvo klar, muss in konsequent virtualisierten Umgebungen und erst recht beim Cloud Computing vollkommen neu gedacht werden. Auch die Netze erhalten eine andere Bedeutung, erklärte Gerhard Kafka, und das Management der Infrastruktur benötigt neue Ansätze, wiedetlef Wöhrmann vom Beratungshaus Ligarionbelegte. Die Besucher konnten also aus Berlin eine Vielfalt nützlicher Informationen mitnehmen. Fotos:Messe Berlin

11 Leistung aufgedreht. Kosten eingefroren. Rechenzentren des 20. Jahrhunderts mit ihrer mangelnden Effizienz, Komplexität und ihren hohen Kosten sind den Anforderungen von heute nicht mehr gewachsen. Das IBM BladeCenter HS22 mit Intel Xeon 5500er-Prozessoren dagegen schon: Mit integrierter Virtualisierung steigert es die Auslastung um bis zu 80%und rechnet doppelt so schnell wie ältere Blade-Modelle. Der Stromverbrauch dagegen ist 90% niedriger als noch vor 3Jahren. Kurz: mehr Leistung ohne Mehrkosten. systeme, software und services für einen smarten Planeten. ibm.com/green/blade/de Auf Grundlage einer IBM internen Analyse. Konfiguration HS20-1U-Rackserver: 2 Dual-Core-Prozessoren Xeon LV (2,00 GHz, LV 667 MHz, 2 MB Cache) mit 4x 2 GB(PC2-3200) RAM. Konfiguration HS22: 2 Quad-Core-Prozessoren Xeon X5570 (2,93 GHz, MHz, 8 MB Cache) mit 6x 2 GB(PC ) RAM. Leistungsangaben basierend auf durchschnittlicher SPECint_rate2006 und SPECfp_rate2006 gemessen mit HS22; Projektion auf HS20-1U-Rackserver ergibt eine um das ca. 9- bis 10-Fache höhere Leistung auf dem HS22. Quelle: SPEC, SPECint und SPECfp sind Marken der Standard Performance Evaluation Corporation (SPEC). Die Leistungsaufnahme des HS20 dürfte in etwa der des HS22 entsprechen; der HS22 wiederum ist pro Server ca. 32 % sparsamer als ein vergleichbar konfigurierter Rack-optimierter Server. IT-Footprint, Vergleich 1U pro Rackserver mit 0,5 HE pro HS22 Blade: 14 HS22 Blades in 7HE-BladeCenter-E-Gehäuse bieten gegenüber 137 1U-Rackservern die gleiche oder eine höhere Leistung. IBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der International Business Machines Corporation in den Vereinigten Staaten und/oder anderen Ländern. Intel, das Intel Logo, Xeon und Xeon Inside sind Marken der Intel Corporation in den USA und anderen Ländern. Andere Namen von Firmen, Produkten und Dienstleistungen können Marken oder eingetragene Marken ihrer jeweiligen Inhaber sein IBM Corporation. Alle Rechte vorbehalten. O&M IBM IT 21/09

12 12 Interview»Virtualisierung ist keine Einzellösung«Robert Gerhards, Geschäftsführer des Beratungshauses Centracon Virtualisierung ist nicht nur praktisch, sondern auch riskant. Denn bei entsprechenden Projekten kann man Fehler machen, die den Erfolg infrage stellen. InformationWeek sprach mit Robert Gerhards,Geschäftsführer des auf Virtualisierungsprojekte spezialisierten Beratungshauses Centracon, darüber,was solche Fehler sind und wie man sie vermeidet. Herr Gerhards, Virtualisierung ist in aller Munde.Sie solldie Auslastung der Server und anderer Komponentenvergrößern und so die Kosten senken. Ist das Verfahren wirklich soeinfach, wie es oftbeschriebenwird? Unternehmen können bei der Planung durchaus große Fehler machen, zum Beispiel indem sie Projekte zugroß anlegen. Dann sind die geplanten Einsparungen infrage gestellt und es gibt Probleme mit den Entscheidern. Washeißt zu groß? Besonders anfällig sind Projekte, an denen zu viele Mitarbeiter aus zu vielen unterschiedlichen Fachabteilungen beteiligt sind. So ein Projekt erfordert unzählige Abstimmungsvorgänge und verirrt sich nur zuleicht in der Politik. Wasaußerder Größe entscheidet? Die Zusammensetzung der Teams. Man braucht einen Sponsor im höherrangigen Management und man braucht auch Anwender, am besten Personen, die für sich erkannt haben, dass ein Virtualisierungsvorhaben sie persönlich nicht negativ betrifft. Beispielsweise fühlen sich die Servermanager durch eine Desktop-Virtualisierung meistens nicht betroffen, während das Desktop-Team Angst hat, seine Verantwortung zu verlieren. Welche sonstigen Fehlergibtes? Oft werden die IT-Prozesse nicht so verändert, dass sie auch in die neue, konsolidierte Struktur passen. Wenn ein IT-Prozess vor der Virtualisierung nicht funktioniert,dann funktioniert er nachher erst recht nicht. Wiekann man das vermeiden? Indem man einen überschaubaren Teilbereich wählt, wo sich ineiner akzeptablen Zeitspanne Ergebnisse erzielen lassen und wo nur eine überschaubare Zahl von Beteiligten mitredet. KönnenSie das konkretisieren? Projekte mit mehreren Hundert Beteiligten funktionieren meist nicht. Auch bei 30Entscheidern, die unter einen Hut müssen, wird es schon schwierig. Wie sieht es mit dem Geschäftsprozess-Alignment aus? In der Regel kommt man über die Virtualisierung dazu, sie zu ändern. Allerdingsharmonierendie typischen Linienstrukturen nicht besonders gut mit der Technologie. Denn Virtualisierung ist ja keine Einzellösung. Hier müssen immer Mitarbeiter aus unterschiedlichen Linienbereichen, etwa Speicher, Storage, Server, zusammenarbeiten. Schließlich sollen Fachverfahren entstehen, die die bisher getrennten DV-Bereiche übergreifen. Foto: Centracon

13 SERVICES &LÖSUNGEN 13 Was passiert, wenn ein Virtualisierungsprojekt nicht funktioniert?woran erkennt man das frühzeitig? Häufig wird die Komplexität größer, nicht kleiner. Der Management-Aufwand steigt durch Nacharbeiten. Daesfür virtuelle Server auch oft keinen strukturierten Beschaffungsprozess wie für Serverhardware gibt, entsteht schnell ein Wildwuchs virtueller Server und das bedeutet Unübersichtlichkeit bei den Lizenzen. So kann es sein, dass plötzlichzuwenigelizenzendasind oder dass jeder seine Lizenzen amcontrolling vorbei einkauft und am Ende die Kosten steigen. Gilt das alles nur für die Servervirtualisierung, oder auchfür anderevirtualisierungsthemen? Grundsätzlichgibtesbei allen Virtualisierungsthemen dieselben Probleme. Bei Speichervirtualisierung kommt noch dazu, dass das Thema technisch sehr komplex ist und bis heute sehr teureanschaffungen erfordert. Bei der Netzwerkvirtualisierung macht sich bemerkbar, dass die bisherigen Virtualisierungskonzepte im Hypervisor verankert waren, also unter die Regie des Serveradministrators fielen, nicht unter die des Netzwerkverwalters. Hier geraten die alten Rollenkonzepte durcheinander.insgesamt wird auchhäufig zu klein dimensioniert, weil man nur von der Durchschnitts- statt vonder Spitzenlast ausgeht. Beider Desktop-Virtualisierung sollte man unbedingt die Anwendungen mit virtualisieren, allerdings werden dadurch die Aktualisierungen etwa von Virensoftware komplizierter. Hier muss man bei der Lizenzierung auch beachten, dass meist ein Fünftel der Leute wegen Urlaub oder Krankheit gar nicht da ist und ihre Systeme deswegen möglicherweise nicht erreichbar sind. Wie sollte man an ein Virtualisierungsprojekt herangehen,damit es erfolgreichwird? Zunächst sollte man Ziele, Rahmen und Anforderungen unter Mitwirkung der Fachbereiche klar definieren. Dann sollte man ein Lösungsszenario entwickeln und dafür in der Geschäftsführung einen Sponsor begeistern. Erst danach würde ich ein überschaubares Pilotprojekt realisieren, und zwar dort,woklareerfolgesehr sichersind. Beispiele wären, wenn ichesübereinevirtualisierteserverlandschaft besonders schnell schaffen würde, externe Partner in mein CRM-System einzubinden oder wenn Berater von überall her auf einen zentralen Desktop zugreifen könnten. Alles, was sich schnell rechnet, ist zum Einstieggut.Hat man das Management überzeugt, kann man in die Fläche gehen. DataFlux und alle anderen Produkt- und Servicenamen der DataFlux Corporation LLC sind eingetragene Warenzeichen oder Warenzeichen von, oder lizensiert für die DataFlux Corporation LLC in den USA oder anderen Ländern.

14 14 TRENDS &TECHNOLOGIEN Geschäftszweck ist CMDB-Richtschnur Die Configuration Management Database (CMDB) ist das Herzstück eines gut organisierten Servicemanagements. Freilich darfman dieses Herz nicht überlasten, sonst kommt eszum Infarkt. vonjürgenhöfling stecke knietief in über Configuration Items und habe jetzt das Problem zuentscheiden,was ich damit mache«, zitiert Klaus Dettmer, Produktmanager beim Servicemanagementanbieter iet Solutions eine Stimme aus dem Off, will heißen: einen Teilnehmer aus einem Workshop, den das Unternehmen kürzlich mit seinen Kunden durchführte. Nun könnte man einfach sagen, dass ein solches Szenario beim richtigen Einsatz einerdatensammlung,in der diese Datensätze gespeichert sind, gar nicht vorkommen darf. Das ist wohl durchaus richtig, aber irgendwie hilft es dem Menschen, der knietief in seinen Datensätzen steckt, nicht wirklich weiter. Und es wäre sicher auch falsch, die Problematik dem betreffenden Hersteller in die Schuhe zu schieben. Die Problematik ist nämlich inder Tatknietief und dürfte Hersteller und Anwender querbeet betreffen. CMDB als Datendrehscheibe In der Theorie ist die Sache ziemlich klar: IT-Dienstleistungen,sei es nun die Bereitstellung vonanwendungen oder die Fehlerbehebung, können angesichts der Komplexität heutiger IT-Architekturen nicht mehr ohne umfangreiche informationstechnische Hilfsmittel bereitgestellt werden. Im Mittelpunkt sollte dabei als Datendrehscheibe eine Configuration Management Abhängigkeiten visualisiert die neue CMDB der USU-Tochter Omegasoft. Database (CMDB) stehen, in der nicht nur alle Systeme und Komponenten einschließlich ihrer Einstellungen gespeichert sind, sondern idealer Weise auch logische Modelleder IT-Infrastruktur und IT-Services. Einzelne Konfigurationsobjekte innerhalb der IT-Infrastruktur lassen sich dann in Gruppen ordnen, welche in Bezug zu bestimmten IT-Services gesetzt werden können. Diese Services stützen wiederum einzelne Geschäftsprozesse mit definierten Service-Levels. Für den sinnvollen Aufbau einer solchen Datenbank als Drehscheibe des IT- und Business-Servicemanagements müssendie Unternehmen natürlichersteinmal wissen, was sie an IT-Infrastruktur (Hardware und Software) überhaupt haben. Systemmanagement- Werkzeuge bieten in aller RegelautomatisierteMechanismen zur Auffindung der IT-Bestandteile an, die draußen im Feld sind. Nur nach einer solchen Bestandsaufnahme lässt sicherkennen, wiedie einzelnen IT-Gerätschaften zusammenhängen und was es für einen bestimmten Geschäftsprozess bedeutet, wenn ein Teil davonausfällt. DieBestandverwaltung (AssetManagement) ist also ein essenzielles Element auf dem Weg zu einer CMDB einerseits und zu einem funktionsfähigen geschäftsprozess-orientierten Servicemanagement andererseits. Bestellprozess als Datenbankeintrag Wenn die eben beschriebenen Hausaufgaben gemacht sind, kann man eigentlich nicht mehr knietief in unverstandenen Items herumwaten. Leider sind die Hausaufgaben aber oft nur halb oder gar nicht gemacht. Das kann fatal sein, denn eine schlecht gepflegte CMDB,in der nicht das ganze IT-Inventar verzeichnet ist oder in der Beziehungen nicht vollständig abgebildet sind, ist schlechter als gar keine. Eine nicht vorhandene CMDB verursacht wenigstens keine Kosten und suggeriert keine falschenmöglichkeiten. Letzteres ist aber keine wirkliche Lösung,denn der Verzicht auf eine gut gepflegte CMDB ist gleichzeitig der Verzicht auf ein effizientes Servicemanagement. Gehen wir also lieber von einer CMDB aus, die komplett und gut in Schuss ist. In diesem Fall ist ein Incident, der beispielsweise vom Monitoring-System dem Servicedesk-Mitarbeiter gemeldet wird, einem passenden Datensatz zuordenbar, sodass der Mitar- Foto: Omegasoft

15 TRENDS &TECHNOLOGIEN 15 Fotos:iET Solutions,USUs beiter eine eindeutige Meldung erhält.»das Monitoring-System sollte dabei so ausgelegt sein, dass über intelligente Korrelationsalgorithmenein Ereignis-Hagel wegen eines einzigen Fehlers verhindert wird«, mahnt Uwe Flagmeyer, Leiter Presales HP Software Deutschland. Falls die Störungsmeldung oder Beschwerde von einem Anwender kommt (»Der Mail-Client braucht zwei Minuten, um eine Mail anzuzeigen«), dann muss der Servicedesk zusammen mit dem Anwender das Problem eingrenzen und möglichst exakt identifizieren. Auch hierbei kann eine gut gepflegte CMDB helfen, wenn komplexere Beziehungen,wie beispielsweise ein Bestellprozess als Datenbankeintrag vorhanden sind. Überschaubar beginnen Strukturieren, Restringieren und Relationieren sind deshalb die Vorschläge von Roger Gloor,Director Business ServiceManagementCentral Europe bei Novell. Die Datenflut müsse»von einem Ausgangspunkt aus gezielt eingeschränkt werden«. Beispielsweise dürften beieinemstörfall im CRM-Service nurdiejenigen CIs angezeigt werden, die für den betreffenden Service konstitutiv seien. Zusätzlich müsste den Anwendern ein einfaches und intuitives Interface zur Verfügung gestellt werden, mit dem sie gezielt Daten wiederfinden könnten. Das Abbilden der wichtigsten Geschäftsprozesse in der CMDB ist auf jeden Fall sinnvoll.da das sicher aufwendig ist, sollte man das»erfassenvon IT-Services und IT- Komponenten zunächst in einem überschaubaren Bereich beginnen, beispielsweise für einen bestimmten Kunden, einen Standort oder auch auf die Hardware bezogen«, schlägt TorstenWatzel,Produktmanager Business Service Management bei USU, vor. Für einen schnellen Start eignen sich nach den Erfahrungen von Watzel nicht zuletzt Systeme für die Verwaltung der IT- Bestände, die später weiterverwendet werden können. Die Live-Inventarisierung sieht auch Tobias Frank, Vorstand Vertrieb & Marketing bei baramundi, als wichtiges Hilfsmittel bei der Reduzierung der infrage kommenden Datensätze, wenn eine Störungsmeldung aufläuft. Die Datenflut könne und müsse maschinell vorgefiltert werden,damit die Servicedesk-Mitarbeiter stets die aktuellen Informationen zum richtigen Zeitpunkt zur Verfügung hätten.diese automatische Filterung funktioniere aber nur dann, wenn die zur Verfügung stehenden Systeme über Standardschnittstellen miteinander verzahnt seien, meint Frank.»Jeder IT-Bereich hat ganz spezielle Aufgaben und damit sehr unterschiedliche Interessen an einer CMDB.«Klaus Dettmer, Produktmanager beim Servicemanagementanbieter iet Solutions»Das Erfassen vonit-services und IT-Komponenten muss zunächst in einem überschaubaren Bereich beginnen.«torsten Watzel, Produktmanager Business Service Management bei USU CMDB ist in erster Linie benutzerorientiert Suchwerkzeuge zum automatischen Auffinden der verschiedenen IT-Bestandteile sind unabdingbar, wenn die CMDB sinnvoll nutzbar sein soll. Solche»Discovery-Tools«können dadurch sehr viel zur Pflege der CMDB beitragen, dass sie bestimmte Service-Beziehungen auffinden und weitgehend automatisch in der CMDB ablegen. Nils Meyer, Principal Consultant Technical Sales bei CA, nennt in diesem Zusammenhang das CA-Modul Cohesion, mit dem sich bestimmte Service-Relationen automatisch indie CA-eigene CMDB einpflegen lassen. Im Übrigen unterscheidet man bei CA laut Meyer deutlich zwischen einer technisch-orientierten Management- Datenbank (MDB) und einer benutzerorientierten CMDB. Der wesentliche Unterschied sei bei letzterer die Visualisierungskomponente. Ein anderes Beispiel für das mehr oder weniger offen gelegte Zusammenspiel von technischer Datenbank und benutzerorientierter Datenbank ist die sogenannte MetaCMDB des amerikanischen Herstellers ASG, die auf der technischen Datenbank ASGRochade aufsetzt. Aber natürlich haben alle Produkte in diesem Markt einen ähnlichen Aufbau, der freilich nur für Entwickler wirklich interessant ist. Für den Datennutzer soll jadie eher technische Seite ausdrücklich nicht sichtbar sein. Vergangenheit und Zukunft imgriff Das Sichtbarmachen von Abhängigkeiten ist ein absolut notwendiges Element einercmdb,ohne das sie letztlich ihren Namen nicht verdiente. Relationale Datenbanksysteme gibt esschließlich seit gut 30 Jahren, das ist also nicht der Punkt. Wichtigist vielmehr, dass Administratoren und Servicedesk-Personal auf einenblicksehenkönnen, welche Auswirkungen eine bestimmte Störung hat oder was für Auswirkungen ein bestimmter Änderungsprozess haben könnte. Besonderen Wert auf die zahlreichen Abhängigkeiten, und das nicht zuletzt an der Zeitachse entlang,legt das neue Visualisierungswerkzeug der USU-Tochter Omegasoft. Die Datenbank mycmdb ist aus dem Discovery-Werkzeug»Insel«heraus entstanden und stellt die in Abhängigkeit stehenden Daten wie Config- Items, Vertragszuordnungen oder Lizenzangaben in einem optischübersichtlichen Baumgeflechtdar.Die- Y

16 Geteiltes Wissen ist doppeltes Wissen 11. Kongress zum IT-gestützten Wissensmanagement in Unternehmen und Organisationen Wissen ist einer der wichtigsten Rohstoffe. Lernen Sie auf der Knowtech 2009, wie Sie das Wissen Ihrer Mitarbeiter als Unternehmenswissen nutzbar machen können. Jetzt anmelden! Die Themen im Überblick n Wissensmanagement strategische Vorteile in wirtschaftlich schwierigem Umfeld n Business Intelligence Self-Services Schlüsselkonzept für moderne Wissensarbeiter bei sinkendem IT Budget n Lernende Organisationen gute Praktiken und Erfolgsmuster n Generationsübergreifender Wissenstransfer am Arbeitsplatz n»generation Internet«im Wissensmanagement von morgen n Collaboration und Enterprise 2.0 n Wissensmanager in eigener Sache Getting things done n Intellectual Property- und Datenschutz im Wissensmanagement n Wissensorientiertes Prozessmanagement Prozessorientiertes Wissensmanagement n Innovative Methoden und Technologien für Wissensmanagement Clouds, Semantics, n Wissen Macht Finanzen: Dialog für die Wissensgesellschaft n Wissensmanagement im Öffentlichen Dienst Einsatzszenarien, Best Practices FAXANMELDUNG: oder nutzen Sie die Online-Anmeldung n Hiermit melde ich mich verbindlich zur KnowTech 2009 an. Tages-Ticket 550,00 Euro zzgl. MwSt Frühbucherpreis bis nur 450,00 Euro Titel Vorname /Name Firma /Position Straße PLZ /Ort /Land Telefon /Telefax (Ticketversand erfolgt per ) Ort Datum Unterschrift Alle Preise verstehen sich zzgl. Mehrwertsteuer. Stornobedingungen: Eine Stornierung von Eintrittskarten ist bis 14 Tage vor der Veranstaltung möglich. Hierbei wird die Teilnahmegebühr abzüglich einer Bearbeitungsgebühr von 50,00 zzgl. MwSt. erstattet. Bei Stornierung nach diesem Zeitpunkt oder Nichterscheinen ist eine Erstattung der Teilnahmegebühr nicht möglich. Eine Übertragung von Eintrittskarten auf andere Mitarbeiter Ihres Unternehmens ist selbstverständlich möglich.

17 n NEUauf der KnowTech 2009 n Diskutieren Sie im Open Space n Treffen Sie die Generation Internet n Follow us on n Poster Sessions n Gemeinsame Prognosen über CrowdWorx n Fishbowl-Diskussion zum Thesenpapier»Wissensmanagement in Unternehmen«n Pre-Conference Tutorial mit Dave Snowden Programm und Anmeldung unter Schirmherrschaft Partner Fachverbände Partner Wirtschaft weiterepartner Platin Sponsor Hessen IT Gold Sponsor Silber Sponsor INTELLIGENTE BUSINESS SOFTWARE Medienpartner Veranstalter Organisation

18 18 TRENDS &TECHNOLOGIEN»Das Monitoring-System sollte so ausgelegt sein, dass über intelligente Korrelationsalgorithmen ein Ereignis-Hagel wegen eines einzigen Fehlers verhindert wird.«uweflagmeyer, Leiter Presales HP Software Deutschland ses enthält auch eine Zeitachsen-Perspektive, sodass der Servicedesk-Mitarbeiter nach den Worten von Omegasoft-Vorstand Wolfgang Ottmar»Vergangenheit und Zukunft im Griff hat«. CI oder Nicht-CI? Trotz aller schönen und intelligenten Visualisierungen gibt es nicht den allein gültigen Wegzur CMDB.»Jeder IT-Bereich hat ganz spezielle Aufgaben und damit sehr unterschiedliche Interessen an einer CMDB.Allen gerecht zu werden ist unmöglich«, konstatiert Klaus Dettmer von iet Solutions. Das ist sicher wahr,denn inden einzelnen Tätigkeitsbereichengibt esimmerunterschiedliche Sichtweisen und Anforderungen. Kein Anwender ruft beispielsweise beim Servicedesk an und sagt, seine Grafikkarte sei defekt, vielmehr sagen er oder sie, dass die Bilder auf dem Notebook nicht richtigdargestellt werden. Deshalb reicht es im Normalfallvöllig aus, die Grafikkarte als Attribut des Rechners und nicht als eigenes Item zu speichern. Anders sieht es unter Umständen für ein Unternehmen aus, das beispielsweise Verkehrsleitsystemebetreibtund in seinenfahrzeugeneigens entwickelte Grafikarten zur Steuerung allerdisplays einsetzt. Da hatdann die Grafikkarte einen wesentlichen höheren Stellenwert und es könnte sinnvoll sein, diese Karte als eigenes Configuration Item zuerfassen. Waszeigt uns das Beispiel? Im Grunde macht es nur deutlich, dass eine CDMB nicht dafür da ist, proprietäre Systeme einzelner Gruppen abzubilden, sondern Informationen zusammenzuführen, die für den Geschäftszweck (über)lebenswichtig sind. Insofern gibt es zwar keinenidealenweg zu einer CMDB,aber doch einen deutlich markierten Pfad. Sicherheitstür für SAPNetweaver Die besten Authentifizierungs- und Verschlüsselungsmaßnahmen innerhalb von komplexenwebanwendungen helfen nichts,wenn die Firewall bewusst nach außen aufgemacht werden soll. In solchen immer häufigeren Fällen hilft nur eine zusätzliche Schutzschicht auf dem Applikationsserver. vonjürgenhöfling einem Labortest hat der Virenscanner für SAPNetWeaveralle verseuchten Mails abgefangen.«vassilios Tsioupas, IT-Sicherheitsexperte bei der Commerzbank SAP Netweaver ist ein mächtiges Werkzeug zur Generierung von ganzen Anwendungslandschaften in der Internetwelt. Die Plattform koppelt über ihre zahlreichen Module und Schnittstellen verschiedene Prozesse,User und Informationsquellen zusammen. DieModule setzen auf allgemein anerkannten Internetstandards auf und sind daher auch von außen via Web zu erreichen. Über diesenwegbindet die Plattform unter anderem auchanwender und externe Quellen an. Der blinde Fleck vonnetweaver SAP Netweaver besitzt freilich einen blinden Fleck,wie das Auge; eine Stelle also, an der aus Konstruktionsgründen trotz Tausender von Sensoren keine Informationen ausgewertet werden.beim Auge heißt diese Stelle»Papille«. Hier setzen die Fasern der Sehnerven auf der Seite des Augeninneren an den Sehzellen an und verlaufen dann gemeinsam gebündelt aus dem Auge heraus. Menschen nehmen die Lücke nicht war, da ihr Gehirndie fehlenden Bereiche des Bildes errechnet. Fotos:HP, Commerzbank

19 TRENDS &TECHNOLOGIEN 19 Der blinde Fleck in der Konstruktion von SAP Net- Weaver wird von der Plattform dagegen erst einmal nicht kompensiert. Richtig ist zwar: die Anwender müssen sich zunächst authentifizieren, bevor sie auf das System zugreifen dürfen.und sie dürfen nur solche Ressourcen ansteuern, für die sie explizit Rechte haben. Auch werden die Informationen beim Datenaustausch verschlüsselt. Soweit, so gut. Freilich gilt aber auch: wer einmal drin ist, dem wird blind vertraut und desgleichen seinen Daten. So dürfen mobile Anwender oder Geschäftspartner von außen über die grafische Bedienoberfläche SAP-GUI und die dazu gehörigen Portale wichtige Dokumente abrufen und bearbeiten. Nach der Authentifizierung des jeweiligen Anwenders und der Verschlüsselung des Datentransfers werden die jeweiligen Dateien ohne weitere Analyse in die kritischen Anwendungen überführt. Wasetwaigen Schadcode betrifft, so vertraut die Anwendungswelt von NetWeaver darauf, dass die Dokumente imnetz oder auf dem PC des Geschäftspartners entsprechend untersucht wurden. Die Crux mit der Verschlüsselung Das geht wohl meistens gut, manchmal aber auch nicht. Einen potenziellen Gefahrenherd bildet vor allem die SSL-Verschlüsselung von Dateianhängen.Diese werden nicht entschlüsselt und auf Schadcode geprüft, wenn ihr»besitzer«sich ordnungsgemäß ausgewiesen hat und als vertrauenswürdig gilt. In Zeiten gigantischer Botnetze ist das höchst gefährlich. Denn viele Benutzer wissen gar nicht, dass sie unfreiwillig Mitglied einer kriminellen Vereinigung sind und ihre Dateien Schadcode mit sich führen.schließlich lassen immer noch viele Firewall-Systeme und Sicherheitsgateways SSL-verschlüsselte Dateien unkontrolliert passieren. Eine Infektion könnte sich auf diese Weise in der SAP-Welt ungehemmt ausbreiten und ließe sich nur an den Endpunkten der SSL-Verschlüsselung eindämmen. Aber es müssen ja nicht gleich kriminelle Botnetze sein. So kann besonders im E-Government-Bereich davon ausgegangen werden, dass stark wechselnde Nutzerauf wichtige Informationen zugreifen wollen und sollen. Das sind aber unter Umständen Benutzer, die womöglich veraltete Schutzsoftwareoder auchgar keine Schutzsoftwaregegen bösartige Angriffe auf ihren PCs installiert haben. Das Infektionsrisiko ist bei dieser Klientel also erheblich. Anzeige Machen Sie Ihr SAPzuSAPA Virus NEUauf der KnowTech 2009 n Follow us on twitter: knowtech_net n Fitewall SAPApplication SAPNetWeaver Application Server Database Bei Webanwendungen muss der Applikationsservergesondert geschützt werden. Quelle:Avira Zertifizierter Schutzschild Zusätzliche Schutzschilde sind also nötig,freilich müssen diese eng mit NetWeaver verzahnt werden. Das setzt eine enge Zusammenarbeit des jeweiligen Sicherheitsspezialisten mit der SAP-Entwicklungsabteilung voraus, die sinnvoller Weise das jeweilige Security-Produkt in ihren Labors testen und gegebenenfalls zertifizieren sollte. So ist beispielsweise der»antivir Virus Scan Adapter für SAP NetWeaver«von Avira sowohl unter Windows als auch unter Sun Solaris zertifiziert. Für die Commerzbank waren diese Zertifizierung und das Zusammenspiel mit mehreren Betriebssystemen entscheidend für den Einsatz des Scan-Adapters für das hauseigene E-Recruiting-Portal, um das die auf etwa 180 virtuelle Partitionen verteilte SAP-Umgebung der Bank erweitert wurde.»der Virenscanner soll verhindern, dass infiziertedokumenteins System gelangen,weil sich der Anwender ja außerhalb des sicheren Netzwerks befindet«, erklärt Vassilios Tsioupas, IT-Security-Fachmann im SAP-Betrieb der IT der Commerzbank, die Schutzmaßnahme. Eine erste Prüfung unter Laborbedingungen hat der Scanner gleich bei der Installation bestanden. Jetzt anmelden! Tsioupas ließ als Test Hunderte simulierte Bewerber-Mails mit absichtlich infizierten Text- und Präsentationsdateienauf dasrecruiting- Portal los, die alle erkannt und nicht durchgelassenwurden. Der Scanner untersucht sämtliche Daten, die über die grafische Oberfläche SAPGUI oder über das SAP Enterprise Portal zwischen den Modulen und Applikationen von SAP ausgetauscht werden und beseitigt damit den blinden Fleck von Net- Weaver.

20 20 Endpoint Security: Ende gut, alles gut. Eine zuverlässige Schadcode-Erkennung ist sicher ein wichtiges Element jeder Client-Sicherheit. Die Vielzahl der Gefahrenherde macht aber die Verschmelzung mit Netzwerksicherheit unabdingbar.und in Zukunft hilft vielleicht oft nur noch rigoroses Whitelisting. vonjürgenhöfling Auch ein Unternehmensnetz ist nur so sicher wie das schwächste Glied, sprich der letzte mobile Rechner, der irgendwo draußen herumstreunt, gleichwohl aber auf wichtige Anwendungen zugreifen kann und darf.»solange es notwendig oder gewünscht ist, dem Benutzer die volle Kontrolle über seinen Arbeitsplatz zu geben, ist es mindestens genauso notwendig, jedes einzelne Endgerät auf seinen Sicherheitszustand zu überwachen«, konstatiert Klaus Gheri, der technische Direktor des Innsbrucker Konnektivitäts- und Sicherheitsspezialisten Phion. In der Tat: Alle Sicherheitsmaßnahmenauf Netzebene, all die leistungsfähigen universellen Sicherheitsboxen (Unified Threat Appliances, UTM), ja auch alle noch so guten Netzzugangskontrollsysteme (NAC/NAP) sind unzureichend, wenn auf den Clients der jeweilige Nutzer das absolute Kommando haben soll. Michael Ziegler, Teamleiter Virtualisierung und Sicherheit bei Materna, meint deshalb, dass Unternehmen, die auf»virtualisierte Clients und Applikationen setzen, viele potenzielle Gefahrenherde von vornherein ausschließen«. Bei einer solchenvorgehensweise müssten zahlreiche Bedrohungen»erstgar nicht mit hohem technischenaufwand abgewehrt werden«. VieleUnternehmen wollenoder müssen sich indes diesen hohen technischen Aufwand leisten. Warum sonst hätten Lösungspakete für Endgeräte-Sicherheit oder»endpoint Protection Platforms«(EPP) eine derartige Konjunktur? Gut 20 einschlägige Anbieter mit nennenswerter europa- oder weltweiter Präsenz dürfte es derzeit geben. Die meisten kommen aus der Ecke Virenschutz-, Firewall- oder Einbruchsprävention (beispielsweise Phion, Kaspersky, Checkpoint oder TrendMicro), einige aber auch aus der Client-Management-Ecke (Avocent/Landesk). In einer dritten Gruppe finden sich Schwergewichte wie HP ProCurve, IBM, Microsoft, Symantec oder McAfee, die neben vielen anderen Sicherheits- und Management-Tools eben auch EPP anbieten. IBM, Symantec und McAfee haben durch teilweise milliardenschwere Aufkäufe sich in puncto Client-Management (Altiris zu Symantec) oder Netzwerksicherheit (Secure Computing zu McAfee und ISS zu IBM) umfangreiche Gesamtlösungen gebaut, sodass beispielsweise EPP auch mit Netzzugangskontroll-Systemen oder Datenleck-Präventions-Systemen (DLP) gekoppelt werden können. Aus eben diesen Synergie- Gründen hat auch Sophos von Haus aus stark bei EPP und NAC kürzlich Utimaco übernommen. Man ergänzt sein Portfolio durch diese Erwerbung nicht nur durch DLP,sondern auch durch erstklassige Verschlüsselungs-Technik, die durch lange Erprobung in der Praxis gekennzeichnetist. Foto: Fotolia.com