LANline 1/2020

10,–

Januar 2020

20. Dezember

IT Network Datacenter

www.lanline.de

Backup und Archivierung

Unterbrechungsfreie

Datenspeicherung

Disaster Recovery

in der Cloud

Mit Marktübersicht

Backup-Lösungen

Januar 2020

Malware Protection

auf Legacy-Systemen

Sicherheitsmaßnahmen

für den Altbestand

AWS re:Invent

in Las Vegas

ML-Tools, Outposts

und neue Prozessoren

Schwerpunkt: End-

User-Computing

Microsoft entdeckt den

DaaS-Markt für sich

Editorial

32. Jahrgang, Ausgabe Januar 2020

#JLUoffline

Timo Scheibe,

Redakteur LANline

Meine ehemalige Hochschule, die Justus-Liebig-Universität

Gießen, hat Anfang Dezember aufgrund eines schwerwiegenden

IT-Sicherheitsvorfalls ihre Server aus Sicherheitsgründen herunterfahren

und vom Netz nehmen müssen. Internet, E-Mail-Systeme

und interne Netzwerke waren somit für mehrere Tage nicht

mehr nutzbar. Immerhin blieben die Systeme und Patientendaten

der Uni-Klinik anscheinend von dem Zwischenfall verschont.

Die Universität teilte mit, dass die Ursache ein Cyberangriff mit

einer bislang unbekannten Variante einer Schadsoftware ist. Bis

Redaktionsschluss standen das genaue Ausmaß und die Art und

Weise des Angriffs jedoch noch nicht fest.

Das Beispiel zeigt recht deutlich, wie sehr wir von einer funktionierenden

IT-Infrastruktur abhängen. Zumal Cyberkriminelle

immer professionellere Angriffsvarianten entwickeln, um zum

Ziel zu kommen. Auf der IT-Security-Seite setzen die Hersteller

verstärkt auf Machine Learning, UEBA und Zero-Trust, um mithalten

zu können, wie LANline-Autor Dr. Wilhelm Greiner im

zweiten Teil seiner IT-Security-Trends ab Seite 10 hervorhebt.

Wenn alle Stricke reißen, kann – etwa bei einem Datenverlust

– die richtige Backup-Strategie dazu dienen, Schlimmeres zu

verhindern. Müssen die wichtigsten Server nach einem Ausfall

schnellstmöglich wieder online gestellt werden, kann nur eine

Disaster-Recovery-Plattform helfen.

Auch hier wird die Cloud vor allem für kleinere Unternehmen,

die sich kein Ausweichrechenzentrum leisten können, immer

interessanter. Was es dabei jedoch bezüglich Latenz, Zugriffsmöglichkeiten

und weiteren technischen Rahmenbedingungen

zu beachten gilt, lesen Sie ab Seite 48 im Schwerpunkt „Backup

und Archivierung“.

Falls es Sie interessiert, was die Ursache und weitere Auswirkungen

des IT-Sicherheitsvorfalls an der JLU Gießen waren,

lege ich Ihnen den Twitter-Hashtag #JLUoffline ans Herz. Dort

informiert die Uni über den aktuellen Status.

Ihr

www.lanline.de LANline 1/2020 3

Inhalt

Kentix MultiSensor ®

SmartMonitoring

Schützt Ihre

IT Infrastruktur

Schwerpunkt

Backup und Archivierung

Für den Schutz vor Standortausfällen bietet

sich die Cloud als kostengünstige Disaster-Recovery-Alternative

(DR) an. Unternehmen sparen

sich damit die Kosten für ein Ausweich-RZ

und sind dennoch in der Lage, im DR-Fall

wichtige Server schnell wieder online zu bringen.

LANline untersucht, welche technischen

Rahmenbedingungen dabei zu beachten sind.

Seite 48

Schwerpunkt

End-User Computing

Heute arbeitet man – sofern die Art des

Jobs es zulässt – zeit-, geräte- und ortsunabhängig.

Nicht umsonst sind Cloud-

Services hier beliebt. DaaS (Desktop as a

Service) erlaubt es sogar, ganze Arbeitsumgebungen

aus der Cloud zu beziehen

– neuerdings mischt auch Microsoft in

diesem Markt mit.

Seite 28

Data-Center +IT-Rack +

kritische Infrastruktur

Markt

Phishing und gezielte Angriffe

Teil 2 des Berichts über den IT-Security-Markt

befasst sich mit der Endgeräte- und Endanwenderseite.

Es geht somit um Phishing,

Ransomware und automatisierte Angriffskampagnen,

auf Verteidigerseite um passwortlose

Authentisierung, Zero-Trust, User and Entity

Behavior Analytics (UEBA) sowie Endpoint

Detection and Response (EDR).

Seite 10

KLIMA

MONITORING

BRAND

EINBRUCH

E-MAIL /SMS /SNMP

APP

Komplette

Software integriert!

kentix.com

Technik

Robotic Process Automation

Automatisierung macht Prozesse effizienter

und für Anwender besser zu handhaben.

Doch die technische Integration verschiedener

Systeme in großen Unternehmen ist

aufwändig. Robotic Process Automation

(RPA) ist dagegen einfach zu implementieren

und macht sich oft schnell bezahlt.

Seite 44

4 LANline 1/2020 www.lanline.de

Inhalt

Markt

AWS re:Invent 2019, Las Vegas: ML-Tools, Outposts und neue Prozessoren . . . . 6

IT-Security-Trends, Teil 2: Phishing und gezielte Angriffe. . . . . . . . . . . . . . . . . . . . . 10

Security-Software für MSSPs: Starthilfe für Systemhäuser . . . . . . . . . . . . . . . . . . . . 14

Extreme Networks Fabric Automation: Automatisierung für das RZ . . . . . . . . . . . . 16

Marcus Busch von Leaseweb im Gespräch: Gaming ist ein interessanter Markt . . 18

Produkte/Services

HCI-Testreihe, Teil 4: HCI-Plattform von Red Hat . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Dell stellt Dell EMC PowerOne vor: Automationsmaschine . . . . . . . . . . . . . . . . . . . 23

HPE Container Platform: Kubernetes kommt ins Unternehmens-RZ . . . . . . . . . . . . 24

IBM Cloud Pak for Security: Offene Plattform zur Angriffsabwehr . . . . . . . . . . . . . 26

Schwerpunkt: End-User Computing

Digitale Workspaces für die Zukunft der Arbeit: Die Illusion des Vertrauten . . . . . 28

Datenquelle und Angriffswerkzeug: Twitter in der IT-Sicherheit . . . . . . . . . . . . . . . 32

Marktübersicht: Virtual-Workspace-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

KI-gestützte Endpunktsicherheit: Dem Angreifer voraus . . . . . . . . . . . . . . . . . . . . . . 36

Mobile-Content-Management: Container vs. native Datentrennung . . . . . . . . . . . . 38

Anforderungen an ein EMM-Tool: Sichere Nutzung mobiler Endgeräte . . . . . . . . . 40

Technik

Schutz für Legacy-Systeme: Aus Alt mach Sicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Robotic Process Automation: Softwareroboter in der Automatisierung . . . . . . . . . . 44

Erklärbare KI soll für Transparenz sorgen: KI beeinflusst Business Intelligence . . 46

Schwerpunkt: Backup und Archivierung

Kostengünstige Alternative: Disaster Recovery in der Cloud . . . . . . . . . . . . . . . . . . . 48

Unterbrechungsfreier Speicherbetrieb: Jederzeit auf Abruf . . . . . . . . . . . . . . . . . . . . 52

Marktübersicht: Backup-Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Backup und DR in der Multi-Cloud: Orientierung durch Orchestrierung . . . . . . . . 54

Datensicherung mit Flash-to-Flash-to-Cloud: Heiße, warme und kalte Daten . . . . 56

Datensicherung in heterogenen IT-Infrastrukturen: Durchblick beim Backup . . . . 58

IT-Sicherheit und Storage: Backups vor Ransomware schützen . . . . . . . . . . . . . . . . 60

News

Produktneuheiten und Aktuelles aus den Bereichen Netze,

Daten- und Telekommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35, 43, 47, 59, 61

28– 29

Januar

2020

München

Jetzt anmelden

Die BatteryWorld ist die Erweiterung

des erfolgreichen Entwicklerforums

Batterien, Akkus & Ladekonzepte. Es

vermittelt in einem ganztätigen Basiskurs

Grundlagenwissen zu Li-Akkus und deren

Weiterentwicklung.

In spezialisierten Sessions erhalten Sie

als Teilnehmer vertiefendes Wissen über

Themen, die für Einsatz und Entwicklung

von Batteriesystemen wichtig sind.

● Highlights: Basisseminar: Li-Batterien

und deren Weiterentwicklung

● Keynotes: CO2-Bilanz von Akkus,

Batteriefertigung in Deutschland

● Podiumsdiskussion:

Schnellladen – Anforderung an Akkus

und Netz-/Leistungselektronik

● Ladeverfahren und Batteriemanagement

● Zellchemie und -verhalten

● Batteriesysteme

● Batterie-Sicherheit

● Messverfahren, Charakterisierung

● Second Life und

Recycling

Partner

Light Sponsor

28.01.

Besichtigung und

Abendessen in

der Allianz-Arena,

München

Classic Sponsors

Rubriken

Editorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

IT Service Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Inserentenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Vorschau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Impressum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Eine Veranstaltung von


www.battery-world.de

Markt

AWS re:Invent 2019, Las Vegas

ML-Tools, Outposts

und neue Prozessoren

Auf seiner alljährlichen re:Invent-Konferenz geizte Cloud-Gigant

AWS nicht mit Superlativen: Mehr als 65.000 Teilnehmer waren

nach Las Vegas gekommen, um die vielen Ankündigungen, technische

Deep Dives in mehr als 2.800 Sessions und natürlich das

Netzwerken mit dem Hersteller, Ausstellern und Kollegen mitzunehmen.

Eine Portion Geduld und Sitzfleisch mussten die Teilnehmer

mitbringen: AWS-CEO Andy Jassy machte in einer dreistündigen

Keynote eine Fülle von Ankündigungen. Spannende Entwicklungen

gab es vor allem bei Machine Learning (ML), Data Lakes sowie

hybriden Infrastrukturen. Aber auch im klassischen Infrastrukturbereich

bleibt AWS nicht stehen, sondern treibt konsequent die

Weiterentwicklung eigener ARM-Prozessoren voran.

Ankündigung eines hauseigenen ARM-basierten

Prozessors Graviton überrascht hatte,

stellte der Cloud-Gigant nun mit dem

Graviton2 dieses Jahr die nächste Generation

vor – ein klarer Schlag gegen Intel und

AMD. Graviton2 liegt den neuen EC2-Instanztypen

M6g, C6g sowie R6g zugrunde.

Während die M6g-Klasse auf den Alltagseinsatz

abzielt, fokussieren C6g auf rechen-

und R6g auf speicherintensive Anwendungsfelder.

Im Vergleich zu Intels

Xeon-basierten M5-Instanzen seien Leistungssteigerungen

von bis zu 40 Prozent

zu erwarten, die Instanzen aber gleichzeitig

bis zu 20 Prozent günstiger, so AWS.

Einen weiteren Höhepunkt der Konferenz

stellte die Abschluss-Keynote von CTO Dr.

Werner Vogels dar. Vogels gab darin tief

technische Einblicke in die Infrastrukturwelt

von AWS, darunter Details der hauseigenen

Nitro-Hypervisor-Architektur. Dank

dieser nähern sich virtuelle Maschinen in

AWS immer mehr der Bare-Metal-Latenz

und -Performance an. Dies gelingt durch

die Auslagerung des Netzwerk-Stacks und

der I/O-Verarbeitung vom Hypervisor in

spezialisierte Nitro-Karten, proprietäre

Amazon-Hardware, die in allen Nitro-

Hosts verbaut ist. Zudem soll die Architektur

eine deutlich verbesserte VM-Isolation

erreichen. Von den Performance-Verbesserungen

profitieren nicht nur klassische

VMs, sondern auch Amazons Angebot für

MicroVMs (Firecracker).

Trotz des langanhaltenden Trends zu PaaS

und Serverless Computing legt AWS einen

starken Fokus auf die Bereitstellung eines

breiteren Angebots von virtuellen Servern

(Amazon EC2-Instanzen). So bietet AWS

heute viermal mehr verschiedene EC2-Instanztypen

als noch vor zwei Jahren an.

Nachdem AWS bereits letztes Jahr mit der

Viele News zu Machine Learning

Eine Ankündigungswelle gab es zu ML.

AWS arbeitet verstärkt daran, ML-Frameworks

wie TensorFlow, MXNet oder Py-

Torch auf die eigenen Plattform abzustimmen.

Die spannendsten Neuerungen betrafen

aber eindeutig das ML-Flagschiff

Amazon SageMaker. SageMaker ist Amazons

Kerndienst zum Erstellen, Trainieren

und Implementieren von ML-Modellen.

Jetzt veröffentlicht AWS eine Reihe von

Developer Tools für SageMaker, um ML-

Entwicklern Werkzeuge an die Hand zu

geben, wie man sie aus der klassischen

Softwareentwicklung kennt. Im ML-Bereich

setzt AWS damit neue Maßstäbe.

So bekommen Entwickler mit SageMaker

Studio eine Web-basierte IDE an die Hand,

die alle notwendigen Werkzeuge zusammenführt:

Eine einzige Anwendung unterstützt

Codeerstellung, Experimente, Visualisierung,

Debugging und Monitoring. So

AWS lockte mehr als 65.000 Teilnehmer zu

seiner Hausmesse re:Invent nach Las Vegas.

Bild: Dr. Constantin Söldner


Haben Sie

noch alle Server

im Schrank?

Der sichere Serverbetrieb im eigenen Haus ist für viele Unternehmen

äußerst zeit- und kostenintensiv. Das Datacenter Leipzig bietet ideale

Bedingungen für den reibungslosen Betrieb Ihrer IT-Infrastruktur.

Server zu uns – Sicherheit für Sie.

Jetzt informieren unter: enviaTEL.de/rechenzentrum

Kostenfreie Servicenummer

0800 0 008407

info@enviaTEL.de

Markt

integriert die IDE verschiedene neu angekündigte

Services: SageMaker Notebooks,

SageMaker Debugger, SageMaker Model

Monitor, SageMaker Autopilot und Sage-

Maker Experiments. Damit verspricht

AWS, den ganzen ML-Entwicklungszyklus

zu verbessern.

SageMaker Notebooks (noch im Preview)

stellt die im ML-Bereich populären Jupyter

Notebooks als Managed Service bereit. Anwender

können zwischen Hardwarekonfigurationen

wechseln, ohne sich um die Infrastruktur

zu kümmern. SageMaker Experiments

richtet sich an die Trainingsphase

der ML-Modellerstellung. Typischerweise

trainiert man dabei viele verschiedene Modelle,

um möglichst hohe Präzision zu erreichen.

Ein Experiment ist nichts anderes

als eine Sammlung von Trials, bestehend

aus mehreren Trainingsstufen. SageMaker

Experiments soll die Durchführung solcher

Experimente erheblich vereinfachen. Ihre

Visualisierung kann wiederum in SageMaker

Studio erfolgen.

Ein weiterer Bereich, den AWS angeht, ist

das Debugging von ML-Trainings. So können

ML-Experten herausfinden, ob das

Modell bestimmte Dimensionen nicht berücksichtigt

oder zu viele Dimensionen berücksichtigt

werden. Das Debugging basiert

auf der Fähigkeit, Tensors (multidimensionale

Vektoren) während des Trainings

aufzuzeichnen. Dafür muss der

Entwickler den Training Code entsprechend

instrumentieren.

Probleme können nicht nur während der

initialen Trainingsphase auftreten, sondern

auch bei bewährten ML-Modellen, die im

Laufe der Zeit keine akkuraten Ergebnisse

mehr vorhersagen. Besonders das Problem

des „Concept Drifts“ stellt ML-Modelle

vor Herausforderungen, die AWS nun mit

SageMaker Model Monitor adressiert: Das

Tool überwacht ML-Modelle, die bereits

produktiv sind, und erzeugt Alarme, wenn

Probleme mit der Datenqualität auftreten.

Ebenfalls neu: Statt selbst aufwendig den

passendsten ML-Algorithmus zu identifizieren,

kann man diese Aufgabe an Sage-

Maker Autopilot abgeben. „Anwender von

SageMaker Autopilot können die Erfahrung

eines Data Scientists quasi as a Service

nutzen“, so Constantin Gonzalez,

Principal Solutions Architect bei AWS, gegenüber

LANline. Die neuen SageMaker-

Kapazitäten richten sich vor allem an ML-

Experten. Daneben weitet AWS sein Portfolio

populärer ML-Anwendungsszenarien

aus, die der Anwender direkt als Service beziehen

kann. So will AWS mit Amazon

Transcribe Medical die Arbeit von Ärzten

erleichtern, die immer mehr Arbeitszeit für

manuelle Datenerfassung verwenden müssen.

Per Spracherkennung lässt sich die erforderliche

klinische Dokumentation automatisieren.

Ein anderes Szenario, für das

sich ML gut eignet, ist das Erkennen von

Betrugsfällen bei Geschäftstransaktionen.

Amazon Fraud Detector kann Anomalien

aufdecken, die auf Betrug hindeuten.

Ein weiteres Beispiel für einen ML-gestützten

Dienst ist Contact Lens for Amazon

Connect. Amazon Connect ist ein

Dienst, den Unternehmen zum Contact-

Center-Aufbau nutzen. Contact Lens basiert

auf der automatisierten Transkription

der im Contact Center aufgezeichneten

Texte. Diese lassen sich zum Beispiel anhand

von Stimmungsanalysen kategorisieren,

sodass der Benutzer nach Kundenreaktionen

filtern kann.

Hybrid Cloud mit AWS Outposts

Bereits letztes Jahr hatte Amazon mit AWS

Outposts einen Dienst angekündigt, um

eine Lücke in der Hybrid-Cloud-Strategie

zu schließen. Das Pendant zu Microsoft

Azure Arc und Google Anthos dient dazu,

native AWS-Dienste auf Amazon-eigener

Hardware im lokalen RZ bereitzustellen.

Dabei übernimmt AWS auch die Einrichtung

von Outposts im lokalen RZ, sodass

ein Unternehmen sich nur um Stellplatz

und Stromversorgung kümmern muss.

Der Formfaktor ist ein Rack, dessen Ausstattung

der Kunde je nach Rechenanforderung

anpassen kann. Die Hardware entspricht

den gleichen Servern, die auch in

den AWS-Rechenzentren zum Einsatz

kommen. Einzelne Module lassen sich

austauschen. Wählen können Unternehmen

zwischen den Standard-EC2-Server-

Einheiten C5, C5d, M5, M5d, R5, R5d, G4

und I3en. Auf der Storage-Seite kommen

dabei mit EBS gp2 Amazons General-Purpose-SSD-Volumes

zum Einsatz.

Die Auswahl an AWS-Diensten für Outposts

ist allerdings noch begrenzt. Derzeit

bietet Outposts mit EC2, EBS und VPC die

wichtigsten IaaS-Dienste und unterstützt

die Container-Orchestrierungs-Tools ECS

und EKS sowie den Big Data-Dienst EMR.

Die lokalen Anwendungen können jedoch

auch reguläre Dienste wie S3, DynamoDB

etc. aus der AWS-Region direkt beziehen.

Outposts zielt vor allem auf Unternehmen,

die zwar gerne Cloudtechnik einsetzen wollen,

aber lokale Datenverarbeitung und vor

allem niedrige Latenz benötigen. Im Gespräch

hob Michael Hanisch, Head of Technology

Deutschland bei AWS, den Nutzen

für die Fertigungsindustrie hervor: „Gerade

wenn man im Bereich der Maschinensteuerung

direkt in die Produktion eingreifen

will, ist man auf geringe Latenzzeiten angewiesen.“

Bei der Keynote von Werner Vogels

zeigte sich Volkswagen mit einem Auftritt

von Group-CIO Dr. Martin Hofmann

als Outposts-Nutzer. Native AWS Outposts

sind ab sofort verfügbar, VMware Cloud

auf AWS soll 2020 folgen.

Data Lakes und

Containertechnologien

Weitere Ankündigungen von CEO Jassy

betrafen vor allem Data Lakes und Data

Warehousing. Mit Amazon S3 Data Access

Point lässt sich der Zugriff auf S3, Amazons

Kern-Storage-Dienst für die Umsetzung

von Data Lakes, besser steuern und

absichern. Viele neue Features gab AWS

auch für seine Data-Warehouse-Lösung

Redshift bekannt, die die Query-Performance

und die Kosten optimieren sollen.

Mit dem Amazon Managed Apache Cassandra

Service nimmt AWS einen weiteren

NoSQL-Datenbanken-Vertreter in die Liste

der gemanagten Datenbanken auf.

Im Bereich Kubernetes ist vor allem die

neueingeführte Unterstützung von Fargate

für den Kubernetes-Dienst Amazon EKS

hervorzuheben. Bei Fargate for Amazon

EKS kümmert sich AWS komplett transparent

um die Worker-Instanzen, auf denen

die Container laufen. Dies kommt Entwicklern

entgegen, da diese sich häufig

nicht um den Betrieb von Infrastrukturressourcen

kümmern wollen.

Dr. Constantin Söldner/wg


Kostenfreie

Teilnahme mit

VIP-Code

20LLVA1DSC12

HANAU

19 FEB 20

KÖLN

07 MAI 20

BERLIN *

04 JUN 20

STUTTGART *

08 JUL 20

MÜNCHEN

15-16 SEP 20

Datacenter stellen das Herz

heutiger Unternehmen dar und

müssen sowohl eine hohe Leistung

erbringen als auch stetig steigende

Anforderungen an die Energie- und

Kosten effi zienz erfüllen. Sie als Verantwortlicher

und Entscheider aus dem

RZ- und IT-Umfeld benötigen dazu aktuelles

Fachwissen.

Nutzen Sie das LANline Datacenter

Symposium zum Austausch, Networking

und Kontaktaufnahme mit Experten.

Hochkarätige Vorträge und praxisorientierte

Workshops bringen Sie

detailliert und objektiv auf den aktuellen

Entwicklungstand der Branche.

*Jetzt mehr Wissen sichern! Kombinieren Sie Tech

Forum und Datacenter Symposium an zwei aufeinanderfolgenden

Tagen in Berlin & Stuttgart. Mehr

Vorträge, mehr Ausstellung, mehr Wissen.

Schwerpunkte:

■ Dauerbrenner-Thema: Optimierung des Ressourcenverbrauchs

■ Aktuelle Entwicklungen bei Cooling und Klimatisierung

■ Technischer Fortschritt bei USVs und PDUs

■ EN 50600 in der Praxis und internationale RZ-Normen

■ Datacenter-Management: Ganzheitlicher Ansatz

■ Wie geht das RZ mit dem Wandel bei der Stromerzeugung um?

■ Wärmerückgewinnung

Eine Veranstaltung von:

Agenda, Anmeldung und Details finden Sie unter

www.datacenter-symposium.de

Markt

IT-Security-Trends, Teil 2

Phishing und gezielte

Angriffe

Im Umfeld der Nürnberger Messe It-sa befragte LANline Security-

Anbieter zu aktuellen IT-Security-Trends. Nachdem sich Teil 1 auf

Industrievernetzungs-, Cloud- und Datensicherheit konzentrierte

(siehe „Sichere Daten in unsicheren Zeiten“, LANline 12/2019, S.

10 ff.), richtet Teil 2 den Fokus auf die Endgeräte- und Endanwenderseite.

Es geht somit nun um Phishing, Ransomware und automatisierte

Angriffskampagnen, auf Verteidigerseite um passwortlose

Authentisierung, Zero-Trust, User and Entity Behavior Analytics

(UEBA) sowie Endpoint Detection and Response (EDR).

Der aktuelle „State of the Internet“-Sicherheitsbericht

2019 des Edge-Plattformbetreibers

Akamai bestätigt einen schon länger

bekannten Trend: Cyberkriminelle entwickeln

Angriffe zunehmend auf professionelle,

ja sogar industrielle Weise. Dabei,

so Akamai Research, attackieren sie gerne

große Technologiekonzerne wie Microsoft,

PayPal, DHL und Dropbox. Phishing

ist laut dem Report längst nicht mehr nur

auf E-Mail beschränkt, sondern bezieht

heute auch Social Media und Mobilgeräte

Angriffe auf Unternehmen sind immer ausgefeilter, gezielter und stärker automatisiert. Die

Security-Branche hält mit einer Vielzahl von Abwehrlösungen dagegen – im Bild Kaspersky Anti

Targeted Attack Platform.

Bild: Kaspersky

mit ein. Die Kriminellen entwickeln, so

warnen die Forscher, laufend neue Angriffsmethoden

und -techniken, zum Beispiel

für den Finanzbetrug per E-Mail

(Business E-Mail Compromise, BEC).

Nach Angaben der US-Bundespolizei FBI

haben BEC-Angriffe zwischen Oktober

2013 und Mai 2018 weltweit Verluste von

über zwölf Milliarden Dollar verursacht.

Laut Akamais Bericht nehmen die Kriminellen

bei ihren organisierten Aktionen bevorzugt

die globalen Top-Marken verschiedenster

Branchen und deren Nutzer

ins Visier, zum Beispiel mittels Phishing as

a Service. Dazu setzt die Angreiferseite

unter anderem auf Phishing-Kits. Diese

vorgefertigte Tools erleichtern es anhand

von Web-Designprogrammen, Templates

und Verteilungsmechanismen wie Massen-

E-Mails, Betrugskampagnen durchzuführen.

Während des Beobachtungszeitraums

zielten laut dem Report die meisten

Phishing-Angriffe auf die Hightech-Industrie

ab: mittels 6.035 neu eingerichteter

oder aber gekaperter Domains und 120

Kit-Varianten. Auf Platz zwei folgte die

Finanzbranche mit 3.658 Domains und 83

Kit-Varianten. Beim Online-Handel waren

1.979 Domains und 19 Kit-Varianten involviert.

Allein für Angriffe auf Microsoft

zählte Akamai 3.897 Domains und 62 Kit-

Varianten.

Auch der aktuelle Phishing and Fraud Report

von F5 Networks belegt: Phishing ist

die häufigste Methode für Angriffe auf Daten.

Laut F5 sind jedoch die Bereiche Finanzen,

Gesundheit, Bildung, gemeinnützige

Organisationen und das Rechnungswesen

am stärksten gefährdet. Der Bericht

basiert auf Informationen von Webroot

und F5s eigenen weltweiten Security Operation

Centers (SOCs). Der Anbieter warnt

vor Websites, die auf den ersten Blick vertrauenswürdig

erscheinen: „Einer der

wichtigsten Trends ist weiterhin, dass

Phisher Glaubwürdigkeit vortäuschen, wobei

bis zu 71 Prozent der Phishing-Websites

über die Nutzung von HTTPS als legitim

erscheinen“, erläutert Ralf Sydekum,

Technical Manager DACH bei F5 Networks.

In den F5 Labs habe man festgestellt,

dass 85 Prozent der analysierten

Phishing-Websites, die digitale Zertifikate

verwenden, diese von einer vertrauenswürdigen

Zertifizierungsstelle (CA) signieren

lassen. Ein weiterer wichtiger Trend sei die

steigende Zahl von Phishern, die ihre Angriffe

per Automatisierung optimieren.

Der britische Security-Spezialist Sophos

bestätigt: Ransomware-Angreifer setzen

verstärkt auf automatisierte Angriffe. Solche

Angriffe wenden laut Sophos vertraute

Management-Tools gegen die Unternehmen,

umgehen Sicherheitskontrollen und

deaktivieren Sicherungskopien, um so in


Markt

kürzester Zeit größtmögliche Durchschlagskraft

zu erlangen. „Die Bedrohungslandschaft

entwickelt sich weiter –

rasant, in großem Ausmaß und immer weniger

vorhersehbar“, so John Shier, Senior

Security Advisor bei Sophos. „Die einzige,

worüber wir echte Gewissheit haben, ist

das, was in diesem Moment passiert“ –

keine allzu beruhigende Aussage.

Anti-Malware-Spezialist Malwarebytes

wiederum konstatiert in seinem CTNT-Report

(Cybercrime Tactics and Techniques)

für das dritte Quartal einen deutlichen Anstieg

von Angriffen auf Einrichtungen des

Gesundheitswesens, auch hier zum Beispiel

mittels Ransomware. Das Gesundheitswesen

hat sich zum attraktiven Ziel

für Cyberkriminelle entwickelt. Die Gründe:

eine häufig veraltete IT-Infrastruktur,

niedrige IT-Budgets und die branchentypische

Fülle wertvoller personenbezogener

Daten.

Vor allem Trojaner wie Emotet und Trick-

Bot machten den IT-Verantwortlichen zu

schaffen: Laut Malwarebytes’ Produktdaten-Auswertung

stieg das Trojaner-Aufkommen

im dritten Quartal gegenüber

dem Vorquartal um 82 Prozent.

Die Empfehlungen der Security-Anbieter,

wie man mit dieser Gefahrenlage denn nun

fertig wird, umspannen ein breites Spektrum:

von der Evaluierung des Status quo

(nach dem Motto „man kann nur verteidigen,

von dem man weiß, dass man es hat“)

über die Authentifizierung und Autorisierung,

die laufende Überwachung des Verhaltens

von Nutzern und Endpunkten

(UEBA) bis hin zum Aufspüren von Angriffen

und der Reaktion darauf (Detection

and Response, auf Endpunktseite Endpoint

Detection and Response, kurz EDR).

„Gerade in großen Unternehmen merken

IT-Sicherheitsteams, dass sie effizienter

werden müssen“, sagt Markus Auer, Regional

Manager Central Europe bei Threat-

Quotient. Denn Cyberkriminelle seien immer

besser organisiert und nutzten immer

ausgefeiltere Techniken, um in Systeme

und Netzwerke einzudringen. „Weil die

Schlagzahl an Attacken so hoch ist, müssen

die Security-Experten in Organisationen

und bei Dienstleistern schneller eine

Übersicht über die Gefahrenlage und den

Ist-Zustand von IT-Landschaften gewinnen“,

so Auer.

Hat man den Status quo einmal ermittelt,

ist die Absicherung der Identitäten und Zugriffsrechte

(Authentifizierung, Autorisierung)

der nächste Schritt. Hier bewegt sich

die Branche endlich mit Nachdruck weg

von der klassischen – und höchst angreifbaren,

da rein wissensbasierten – Kombination

aus Benutzername und Passwort,

etwa durch Mehr-Faktor-Authentifizierung

oder biometrische Tokens. „Passwortloser

Log-in wird weiter an Bedeutung gewinnen“,

prognostiziert Alexander Koch, VP

Sales DACH and CEE beim Security-Token-Hersteller

Yubico. „Angesichts täglicher

Berichte über Datenlecks und gestohlene

Passwörter ist es für Betriebe wichtiger

denn je, Konten von Mitarbeitern am

Arbeitsplatz zu schützen.“ Dies zeige auch

eine aktuelle Studie des Ponemon Institutes:

Hier gaben 57 Prozent der Befragten

IT- und IT-Security-Experten eine Präferenz

für passwortlose Anmeldungen zu

Protokoll.

Laut Nevis-CPO Stephan Schweizer hat

das klassische Passwort ebenfalls „ausgedient“:

„Mit Hilfe von Device Finger Print,

Geolokation, Tippverhalten und kontinuierlicher

Verhaltensanalyse werden Anomalien

besser erkannt und Missbrauch verhindert“,

so Schweizer. Dies gelte es allerdings

mit der Bedienbarkeit zu harmonisieren,

denn Benutzerfreundlichkeit sei ein

wichtiger Wettbewerbsvorteil.

Null Vertrauen im Netz

„Die IT-Security

muss sich weg

von Indicators of

Compromise

(IoCs) hin zu

Indicators of

Behavior (IoBs)

bewegen“, sagt

Forcepoint-CTO

Nicolas Fischbach.

Bild: Forcepoint

In diesem Kontext propagieren Fachleute

immer öfter den sogenannten „Zero-

Trust“-Ansatz („Null Vertrauen“). Dieses

Sicherheitskonzept geht von der Prämisse

aus, dass Anwender und Endgeräte grundsätzlich

nicht vertrauenswürdig sind. Man

unterscheidet nicht mehr zwischen Nutzern

„von innen“ und „von außen“, sondern

fordert zunächst prinzipiel stets für

jeden Service eine Authentisierung ein,

bevor man eine granulare Autorisierung

erteilt. Anschließend überwacht Monitoring-Software

Nutzer und Gerät laufend

auf Abweichungen vom Soll-Verhalten hin

(darauf zielt UEBA ab). Zero-Trust soll Situationen

vermeiden, in denen sich ein Angreifer,

ist er erst einmal ins Unternehmensnetz

eingedrungen, dort frei oder zumindest

unauffällig „seitwärts“ – zu seinem

eigentlichen Angriffsziel – bewegen

kann. Das laufende Monitoring soll Auffälligkeiten

aufdecken, beispielsweise

nicht plausible geografische Sprünge (erkenntlich

anhand eines plötzlichen IP-Adresswechsels)

oder auch ein Abweichen

vom nutzerrollenkonformen Verhalten.

„Die IT-Security muss sich weg von Indicators

of Compromise (IoCs) hin zu Indicators

of Behavior (IoBs) bewegen“, fordert

Forcepoint-CTO Nicolas Fischbach.

„Der Mensch ist die Konstante in einer

sich ständig wandelnden Bedrohungslandschaft.

Im Fokus sollte also der vertrauliche,

sichere Umgang mit Daten im Unternehmen

stehen: Wo befinden sich meine

Daten? Um welche Art von Daten handelt

es sich und wie interagieren Menschen und

Maschinen mit diesen?“ Nach Ansicht von

Dr. Lars Lippert, Vorstand von Baramundi

aus Augsburg, „werden uns Mechanismen

für Angriffe ‚von innen‘ vermehrt beschäftigen“.

Kontrollierte Einschränkungen des

Zugriffs von Geräten und Benutzern auf

andere Systeme und Netzwerke – also

Zero Trust – erlauben hier laut Lippert

„neue Ansätze für die IT Sicherheit“.

Zu diesen Ansätzen zählt die letzthin heiß

diskutierte Nutzung von Machine Learning

(ML) oder, allgemeiner und plakativer

formuliert, von künstlicher Intelligenz

(KI) für die Security-Analyse. „KI ist ein

Hype, der sicher die letzten Monate hochgekocht

wurde“, kommentiert Eckhard

Schaumann, DACH Manager bei RSA. Es

gebe viel Verwirrung um den Begriff. „Machine

Learning ist eine Teilmenge der KI,

die eine leistungsstarke Technik ist, um


Markt

Verhalten zu verstehen“, so Schaumann.

UEBA sei ein Sicherheitsbereich, in dem

KI-Technik zum Einsatz komme. Ein Beispiel:

KI kann bei auffälligen Abweichungen

vom statistisch errechneten Normalverhalten

eines Nutzers oder Endgeräts

Alarm schlagen, zum Beispiel bei einem

plötzlichen Ansteigen von Datenspeicherungen

auf externe Speichermedien. Das

Reaktionsspektrum reicht von der Aufforderung,

sich erneut zu authentisieren, bis

hin zum automatischen Abbruch einer als

Sicherheitsverstoß erkannten Aktion mit

Benachrichtigung des SOC-Teams.

Stand heute will sich aber das Gros der Anbieter

wie auch der Anwender nicht auf

eine KI-gestützte Vollautomation von Reaktionen

auf Sicherheitsvorfälle festlegen.

So meint zum Beispiel Peter Aicher, Senior

Presales Engineer bei Kaspersky: „Angriffe,

die schwer zu erkennen sind, werden

zunehmen. Sie werden mit legitimen

Tools durchgeführt oder ihre Aktivitäten

ähneln legitimen Aktionen – sie werden

gezielt so entwickelt, dass sie der Erkennung

durch Antiviren- und Endpoint-Lösungen

entgehen. Zum Schutz vor solchen

Angriffen ist daher die Kombination aus

fortgeschrittenen Technologien mit Machine

Learning und menschlicher Expertise

nötig.“ Diese Expertise könne man auch

als Service zukaufen. Aber ohne diese

menschliche Intervention kommt die Security-Branche

offenbar vorerst nicht aus, allem

Hype um KI zum Trotz.

Der Rummel um die KI/ML-gestützte Security-Analyse

hat inzwischen offenbar

seinen Zenit überschritten. „Der Hype um

einzelne Schutztechnologien flaut ab, da

festzustellen ist, dass Angreifer leider immer

wieder Wege finden, diese zu überwinden“,

berichtet Richard Werner, Business

Consultant bei Trend Micro. Das zeige

nicht zuletzt die aktuelle Welle von dateilosen

Angriffen wie Emotet. „Die

Branche reagiert darauf mit Lösungen zur

Früherkennung von Angriffen und ihrer

Beseitigung unter dem Schlagwort ,Detection

and Response’ – nicht zuletzt als Managed

Service.“

Manche Anbieter propagieren allerdings

weiterhin punktuelle Abwehrtechniken.

Bromium zum Beispiel setzt zum Endgeräteschutz

auf ein konkretes Verfahren: die

Mikrovirtualisierung. „Herkömmliche Client-basierte

Lösungen, die zur Abwehr auf

die Erkennung von Malware angewiesen

sind, haben kaum noch eine Chance, fortschrittlichen

Attacken standzuhalten. Die

einzig logische Alternative sind Lösungen,

die nicht auf die Detektion, sondern auf die

Isolation von Schadcode abzielen“, so Jochen

Koehler, bei Bromium verantwortlich

für den Vertrieb in Europa. Die derzeit effektivste

Variante für eine solche Isolation

basiere auf Virtualisierungstechnik: „Bei

der sogenannten Mikrovirtualisierung

wird jede riskante Anwenderaktivität wie

das Öffnen eines E-Mail-Anhangs oder

das Downloaden eines Dokuments in einer

eigenen Mikro-VM gekapselt“, erläutert

Koehler. Dies schütze selbst vor bislang

unbekannter Malware.

Ziel: Einheitliche Sicherheitskette

Oliver Bendig, CEO des Frankfurter Softwarehauses

Matrix42, plädiert dafür, den

gesamten IT-Lifecycle in den Blick zu

nehmen: „Für die nächste Welle der Security-Innovation

wird vor allem die Integration

von Security und Operations für den

Digital Workspace zu einem ,Security Automation,

Orchestration, and Response’-

Modell immer wichtiger werden“, betont

der Matrix42-Chef. Bereits bei der Erstellung

von Apps und Services müsse Security

inhärent sein, um mehr Sicherheit am

Ende der Kette – am Endpoint – zu erzeugen.

Damit werden laut Bendig künftig die

Disziplinen UEM (Unified-Endpoint-Management),

ITSM (IT-Service-Management)

und Endpoint Protection immer stärker

interagieren.

In die gleiche Kerbe schlägt Matthias Canisius,

Regional Director CEE bei SentinelOne.

Er sieht drei Themen an Bedeutung

gewinnen: „Ganz allgemein ist und

bleibt das Bestreben von Unternehmen ungebrochen,

ihre IT-Sicherheitsinfrastruktur

weiter zu konsolidieren und Integration

und Automatisierung voranzutreiben. Die

zweite Entwicklung, die mit der erstgenannten

einhergeht, ist, dass Technologien

weiter konvergieren werden.“ Dies habe

man vor vielen Jahren bereits im Bereich

Firewall und Intrusion Prevention gesehen.

Ähnliches sei in den nächsten ein, zwei

Jahren im Zusammenspiel von Endpoint

Protection mit Detection and Response zu

erwarten. „Drittens werden KI-basierte

Technologien auch zunehmend im Bereich

der IoT-Discovery und -Security zu finden

sein sowie zur Absicherung der rasant

wachsenden containerbasierten Infrastrukturen“,

so Canisius.

Fazit

Die Angreiferseite geht heute nach der Art

industrieller Organisationen hochgradig

arbeitsteilig vor, bis hin zu Modellen wie

„Malware as a Service“. Mit Ransomware

haben die Cyberkriminellen ein Geschäftsmodell

gefunden, das eine einfach reproduzierbare,

direkte Monetarisierung eines

Angriffsmusters erlaubt. Dabei erweist

sich Phishing – in zunehmend geschickt

getarnter Form – als ungebrochen wirksamer

Angriffsvektor. Doch auch die Verteidigerseite

hat Fortschritte zu vermelden,

um dieser Bedrohungslage etwas entgegenzusetzen:

Mehr-Faktor-Authentifizierung

bis hin zum passwortlosen Log-in ersetzt

die angreifbare, weil rein wissensbasierte

Authentisierung per Benutzername

und Passwort. Große Hoffnungen setzt die

Branche darauf, KI/ML-Instanzen so trainieren

zu können, dass sie Angriffe und

sonstiges auffälliges Verhalten verlässlich

identifizieren – nicht zuletzt im Rahmen

von Zero-Trust-Modellen, die ein kontinuierliches

Monitoring des Nutzer- und Endpunktverhaltens

auf Netzwerk-, Applikations-

und Service-Ebene vorsehen.

Sicherheitskonzepte wie kontinuierliche

ML-Auswertungen, UEBA und Zero-Trust

dürften manch einem Betriebsrat oder Datenschützer

kalte Schauer über den Rücken

jagen. Verfechter solcher Ansätze betonten

aber in Gesprächen mit LANline immer

wieder, man gehe davon aus, sich selbst

mit skeptischen Stakeholdern gütlich einigen

zu können: Monitoring und Analyse

erfolgten schließlich zumindest bis zum

konkreten Verdachtsfall anonymisiert –

und die Alternative zur fortlaufenden Security-Überwachung

wäre letztlich ein in

jeder denkbaren Bedeutung des Wortes

„unsicherer“ Arbeitsplatz.

Dr. Wilhelm Greiner


Dortmund,

04. –05.März2020

SICHER IMCYBERSPACE

FÜHRENDE UNTERNEHMENSLÖSUNGEN, DIE SIE WEITERBRINGEN

Messe | Event | Kongress | Erlebniswelt

Besuchen Sie vom 04. –05. März 2020 das Cyber Security Fairevent in Dortmund.

Innovative Cyber Security-Unternehmen präsentieren Ihnen auf 5.000 qm

Lösungen, die Sie sicher imCyberspace weiterbringen.

Erleben Sie das neue CSF-Veranstaltungsformat und sichern Sie sich

Ihr kostenloses Gastticket –for professionals only:

www.cybersecurity-fairevent.com/register

Unsere Medienpartner

Ihr Gastticket-

Code: LANLCSF20

&

Markt

Security-Software für MSSPs

Starthilfe für

Systemhäuser

Auf die komplexe, dynamische IT-Bedrohungslage können kleine

und mittlere Unternehmen (KMU) heute nicht mehr allein reagieren.

MSSPs (Managed Security Service Provider) könnten hier

Sicherheitsaufgaben übernehmen, doch weite Teile des Channels

tun sich schwer damit, sich in diese Richtung zu entwickeln.

Mandantenfähige Cloud-Lösungen helfen Systemhäusern und

Resellern, den Weg ins Security-Service-Geschäft zu fi nden.

Kleine und mittelgroße Unternehmen sehen

meist nicht, welche Gefahr von Ransomware

und Co. auch für sie ausgeht. So

besteht die Abwehrstrategie bislang meist

aus punktuellen Sicherheitslösungen, für

die ihr Systemhaus die Hardware implementiert

hat. Jedoch überfordern Betrieb

und Wartung der Security-Appliances oft

die eigenen IT-Mitarbeiter. Die Gefährdung

steigt weiter, weil sich KMUs immer

digitaler aufstellen und so die Angriffsfläche

erhöhen. Vor diesem Hintergrund wollen

viele KMUs ihre IT-Sicherheit an einen

MSSP auslagern. Zeitgleich trägt die DS-

GVO dazu bei, dass viele Unternehmen

ihre Sicherheitsstrategie überprüfen.

Systemhäuser nicht auf

MSSP-Trend vorbereitet

Systemhäusern und Resellern fällt es jedoch

schwer, ihr Geschäft auf MSS (Managed

Security Services) auszurichten. Zu

Mandantenfähige Endpoint-Security-Lösungen ebnen Systemhäusern und Resellern den Weg zum

MSSP.

Bild: Avast

diesem Ergebnis kommt eine Studie, die

das Analystenhaus Techconsult im Auftrag

des Security-Anbieters Avast durchgeführt

hat. Demnach räumte über die Hälfte der

befragten IT-Häuser (59 Prozent) ein, dass

sie hauptsächlich oder sogar ausschließlich

reines Systemhaus- und Reseller-Geschäft

betreiben. Immerhin erkennt die

Mehrheit die Notwendigkeit, sich auf die

Verschiebung im Vertriebskanal für IT-Sicherheitslösungen

einzustellen.

Um den IT-Betrieb von KMUs kümmern

sich vielerorts externe Dienstleister, die

von einem Fakt profitieren: Mit der steigende

Cloud-Nutzung hat sich die Auslagerung

von IT-Services verbreitet. KMUs

setzen inzwischen Cloud-Services, Mobile

Computing und andere IT-Ressourcen

überall ein. Die Netzwerke haben sich weiterentwickelt

und sind weniger anfällig gegenüber

altbekannten Stolpersteinen wie

Hardwareausfällen und falschen Anwendungskonfigurationen.

Dadurch fällt es

Service-Providern schwer, sich über den

IT-Betrieb kritischer Ressourcen zu profilieren.

Die Chance zur Differenzierung

liegt im Bereich der IT-Sicherheit.

Die Studie beleuchtet die Herausforderungen,

denen sich Systemhäuser und Reseller

auf dem Weg zum MSSP ausgesetzt sehen.

Bemerkenswert ist dabei, dass alle

Top-Nennungen eng mit dem Thema Personalmangel

verknüpft sind.

Fach-Know-how zu

Security-Themen gefragt

Um die steigenden Anforderungen zu erfüllen,

rechnet rund jedes dritte Unternehmen

mit steigendem Bedarf an Sicherheitsexperten.

Denn die Lösungen sind zunehmend

komplex, und die Anwenderunternehmen

agieren heute verteilt an

zahlreichen Standorten.

Laut der Umfrage betreut fast die Hälfte

(49 Prozent) der befragten 150 Systemhäuser

und Reseller mit drei bis 75 Mitarbeitern

jede Lösung pro Kunde einzeln. 16

Prozent der Studienteilnehmer verwenden

eine zentrale Oberfläche oder nutzen wenige

Dashboards, um mehrere Lösungen pro

Kunde zu managen. 42 Prozent betreuen

einen Standort wie einen einzelnen Kunden.

Die vielen Oberflächen binden Perso-


Markt

nal und erschweren die Buchhaltung. Das

Systemhaus muss dann oft je nach Lösungskombination,

Betriebsmodell und

Bezahlmodell jeden einzelnen Standort separat

abrechnen.

Ein Viertel der Befragten räumte dabei ein,

dass ihnen Kapazitäten, Kompetenz und

Erfahrung fehlen, um Managed Services

zu erbringen. Ebenso viele Systemhäuser

finden kein Managed-Services-fähiges

Produkt. Falls doch, schrecken sie vor der

komplexen Lizenzierung zurück.

Drei Herausforderungen für den

Einstieg ins MSSP-Geschäft

Insgesamt stellt der Einstieg ins MSS-Geschäft

Systemhäuser und Reseller vor drei

wesentliche Herausforderungen: individueller

Service, steigende QoS-Anforderungen

(Quality of Service) und hohe Fachkompetenz

des Personals. Alle drei Aspekte

hängen direkt mit der Verfügbarkeit von

Security-Experten zusammen. Denn individueller

Service ist immer personalintensiv.

Daneben verlangen QoS-Vorgaben

spätestens bei Reparaturen höheren Personaleinsatz.

Im Fokus muss daher für Systemhäuser

und Reseller zunächst stehen, wiederkehrende,

ähnliche oder identische Prozesse

zu automatisieren. Sie benötigen ein Tool,

das ganze Prozessketten über Entscheidungsregeln

abdeckt, zum Beispiel Deployment,

Patching und Lizenzierung.

Selbst in komplexen Situationen muss der

Sicherheitsspezialist dann oft nur eine initiale

Entscheidung treffen, um die Routine

auszulösen, denn einfache Aufgaben laufen

im Hintergrund. Das Systemhaus kann

sich dadurch besser auf die wesentlichen

und anspruchsvolleren Aufgaben konzentrieren.

Mandantenfähigkeit und

Cloud-Hosting als Chance

Viele Anbieter von Sicherheitslösungen

haben das Szenario „ein Kunde, mehrere

Standorte“ im Blick. Sie machen ihre Anwendungen

mandantenfähig, was Systemhäusern

und Resellern die Arbeit erleichtert.

So können sie Kunden anlegen und

über eine gemeinsame Oberfläche Services

ausrollen, administrieren und leis-

Pro Anwenderunternehmen müssen sich Security-Richtlinien individuell einstellen lassen.

tungsgerecht abrechnen. In dem Zuge

empfiehlt es, auf Lösungen zu setzen, die

sich aus der Cloud heraus beziehen und

steuern lassen. Der Cloud-Betrieb erleichtert

es, die Leistung an verschiedenen

Standorten zu erbringen. Das schließt das

Übertragen automatisierter Prozesse von

einem auf den nächsten Kunden ein.

Stammt die Cloud-basierte Lösung aus einer

Hand, kann ein MSSP verschiedene

Kunden selbst über mehrere Standorte hinweg

in einer zentralen Oberfläche verwalten.

Eine solche Konsole vereinfacht das

Anpassen der Lizenzierung nach aktuellen

Bedürfnissen, das Bündeln von Sicherheitsmeldungen

und Bereitstellen individueller

Reports. Ein weiterer Vorteil: Security-Hersteller

aktualisieren heute ihre

Cloud-Lösungen mit aktuellen Bedrohungsdaten

in Echtzeit.

Die Kooperation mit Herstellern eröffnet

Systemhäusern und Resellern die Möglichkeit,

Hindernisse auf dem Weg zum

MSSP schneller zu überwinden. Synergien

lassen sich wie folgt nutzen: Kleinere Systemhäuser

und Reseller identifizieren Kunden

in ihrer Region, wickeln grundsätzlich

den Vertrieb ab und konzentrieren sich auf

die Kundenbetreuung; die Hersteller übernehmen

den Teil des Vertriebs, der tiefgehende

Lösungsexpertise erfordert. Die Zusammenarbeit

ist umso fruchtbarer, wenn

Hersteller die Reseller durch persönliche

Bild: Avast

Online-Trainings, Webinare sowie Partnerportale

mit detaillierten Schulungsreihen

und Best Practices unterstützen.

Attraktive Aussichten für

Sicherheitsspezialisten

KMUs benötigen heute einen dynamischen

Sicherheitsansatz, der sich anpasst,

sobald sich die Bedrohungslage sowie

Tools und Methoden der Cyberkriminellen

ändern. Da viele Unternehmen nicht das

notwendige Know-how haben, sind externe

Sicherheitsspezialisten gefragter denn

je. Den steigenden MSS-Bedarf haben viele

IT-Security-Anbieter erkannt. Sie trimmen

ihr Lösungsangebot auf Mandantenfähigkeit

und Software as a Service. So befähigen

sie Vertriebspartner, in das Security-Service-Geschäft

einzusteigen. Dadurch

steht auch kleinen Systemhäusern und Resellern

die Entwicklung zum MSSP offen,

was für sie bis dato ausgeschlossen war.

Denn ihnen fehlte schlicht das Personal für

die intensive Betreuungstätigkeit. Schaffen

sie es nun, zusätzlich zu ihren bestehenden

Dienstleistungen ein robustes MSS-Portfolio

anzubieten, macht sie das für neue

Anwender attraktiv. Mit dem klassischen

Geschäft gelingt das vermutlich nicht.

Thomas Hefner/wg

Thomas Hefner ist Senior Sales Manager DACH bei

Avast, www.avast.com.


Markt

Extreme Networks Fabric Automation

Automatisierung für

das Rechenzentrum

Auf seinem jährlichen Europa-Event für Partner und Kunden

präsentierte sich Extreme Networks als Cloud-Company vom

Scheitel bis zur Sohle. Auch wenn Hardware wie Switches – zwei

neue Geräte wurden in Athen angekündigt – weiterhin im Programm

bleiben: Der Fokus liegt nun klar auf cloudbasiertem

Netzwerk-Management. Eingeleitet hat Extreme diesen Schwenk

bereits im Sommer 2019 mit der Übernahme von Aerohive. Zu dem

daraus entstandenen Tool ExtremeCloud IQ gesellt sich nun mit

Extreme Fabric Automation (EFA) ein Cloudwerkzeug, um das

RZ-Management zu vereinfachen.

EVPN (Ethernet VPN) und VXLAN (Virtual

Extensible LAN) mit drei einfachen

Befehlen innerhalb von Sekunden aus der

Anwendung heraus bereitstellen lassen.

Vor der Ausführung der automatischen

Konfiguration prüft das Tool die ausgewählte

Netzwerktopologie. Dies soll sicherstellen,

dass man immer die bestmögliche

Konfiguration aktiviert. Die gleiche

Methode verwendet EFA, um weitere

Switches zur Fabric hinzuzufügen oder daraus

zu löschen. Die so gewonnene Elastizität

soll IT-Teams in die Lage versetzen,

ihre Netzwerke schnell und einfach nach

oben und unten zu skalieren und somit

dem Bedarf flexibel anzupassen.

Wesentlicher Bestandteile der Software

sind speziell für diese Aufgaben entwickelte

Mandanten- und Edge-Port-Services.

Sie sollen für Computer, Speicher und

Anwendungen alle benötigten Verbindungen

bereitstellen. Bei der Einrichtung

übernimmt die Software die Erstellung

von Mandanten als separate logische Einheiten,

die jeweils Ressourcen in der Fabric

reserviert haben. Zu diesen Ressourcen

gehören Assets wie Switch-Ports, Port-Kanäle,

VLANs etc., zugeordnet zu die Endpunktgruppen,

also Sammlungen von Assets,

die sich einen gemeinsamen Satz von

Eigenschaften teilen.

Das Netzwerk ist heute eine geschäftskritische

Komponente für den Erfolg der IT.

Eine Infrastruktur zu haben, die einfach,

intelligent und anpassungsfähig ist und

sich mit Cloudgeschwindigkeit bereitstellen

lässt, gilt als eine der wichtigsten Anforderungen.

In besonderem Maße trifft

dies auf das Rechenzentrum als digitalem

Nervensystem eines jeden Unternehmens

zu. Vor diesem Hintergrund hat Nabil Bukhari,

Chief Product and Engineering Officer

bei Extreme, in Athen neue RZ-Softund

Hardware für die Netzwerkautomatisierung,

Integrationen und Bereitstellung

von Ressourcen angekündigt.

Extreme Fabric Automation

In Sachen Software geht es um den Ausbau

von Extreme Fabric Automation zur umfassenden

RZ-Automatisierungsplattform:

Das Tool soll alle Aufgaben im Zusammenhang

mit Überprüfung, Test und Betrieb

von Fabric-Netzwerken in Rechenzentren

automatisieren. Die IP-Fabric eines

Rechenzentrums – sofern es sich um

Switches und Router aus dem SLX-Portfolio

von Extreme handelt – soll sich auf Basis

von BGP (Border Gateway Protocol),

Bei der Einrichtung übernimmt die Software

Extreme Fabric Automation das Erstellen von

Mandanten als separate logische Einheiten, für

die Ressourcen in der Fabric reserviert sind.

Bild: Extreme Networks

Erste Switches mit Broadcom-ASICs

Die EFA-Software lässt sich am einfachsten

auf Gast-VMs betreiben, die in Extremes

SLX-Switches der neueren Generation

integriert sind. Diese Switch-Generation

hat Extreme nun um zwei neuen Modelle

erweitert: den Leaf-Switch SLX 9150

und den Spine-Switch SLX 9250. Beide

Modelle basieren auf den Trident-

3-Switch-ASICs von Broadcom, seit Oktober

2019 der bevorzugte Kooperationspartner

von Extreme in Sachen Unternehmenslösungen.

Die ASICs sollen dieselben

Telemetriefunktionen bieten, die auch führende

Hyperscale Cloud Provider nutzen.

Extreme lässt darauf seine Flow-Analysesoftware

laufen, ein Gespann, das in Sachen

Leistung und Stabilität neue Maßstäbe

setzen soll.

Die EFA-Software indes ist keineswegs an

die Gast-VMs der SLX-Switches gebunden.

Alternativ lässt sie sich auch auf einem

beliebigen Standard-Server und künftig

auch in der Cloud betreiben. Zudem

lässt sie sich laut Bukhari in Orchestrierungssoftware

wie OpenStack, VMware

vCenter und Microsoft SCVMM integrieren.

Jede Integration beruht auf einem separaten

Micro-Service und nutzt die Fab-


Markt

ric-Informationen von EFA. Weitere Integrationen

sollen in zukünftigen Versionen

verfügbar sein.

„Im Rechenzentrum geht es nicht mehr nur

um Geschwindigkeit und Bandbreite – hier

wird die digitale Transformation gewonnen

oder verloren“, so Abby Strong, Vice

President Product Marketing bei Extreme

in Athen. „Extreme Fabric Automation basiert

auf einer originären Cloudarchitektur

mit einem erweiterten Funktionsspektrum

für Fabric-Orchestrierung und

-Management. Die Lösung macht mit ihrer

einfachen Bedienung manuelle Switchfür-Switch-Konfigurationen

überflüssig.

So können sich IT-Teams im Tempo ihres

Unternehmens bewegen – mit Cloudgeschwindigkeit.“

Große Pläne mit ExtremeCloud IQ

Die Transformation von Extreme zur

Cloud-Company bekam mit der Übernahme

von Aerohive immensen Schwung

(LANline berichtete, siehe dazu lanl.

in/2JgGEDt). In Athen schaffte es das Top-

Management, die eigene Begeisterung ob

dieses Wandels auf die anwesenden 175

Partner zu übertragen. Die in fast allen

Sessions gehypte ExtremeCloud-IQ-Lösung

(siehe lanl.in/2Jf9Vzn) nimmt immer

konkretere Gestalt an und soll Extreme dabei

unterstützen, schon im kommenden

Jahr HPE/Aruba von Platz zwei der Anbieter

für cloudbasiertes Infrastruktur-Management

zu verdrängen – für Jahr darauf

hat man die derzeitige Nummer eins Cisco/Meraki

im Visier. Juniper Networks,

seit der Übernahme von Mist ebenfalls ein

wichtiger Player in diesem Markt, soll

nach hinten weiter auf Abstand bleiben.

Die für die Copilotfunktion von Extreme-

Cloud IQ angekündigten Use Cases (hinterlegte

Einsatzszenarien) verzögern sich

zwar noch einige Monate, als erste Branchen

stehen aber zum Beispiel Transport/

Logistik, Gesundheitswesen, Industrie und

die öffentliche Hand fest. Noch im Jahr

2019 soll es mit „Store in a Box“ ein Paket

für den Handel geben.

Zudem ist geplant, die Funktionen von ExtremeCloud

IQ in vier Stufen anzubieten,

damit Anwender sie genauer an den konkreten

Bedarf anpassen können:

Nabil Bukhari, Chief Product and Engineering

Officer bei Extreme, kündigte in Athen neue

RZ-Soft- und Hardware für Netzwerkautomatisierung,

Integrationen und Bereitstellung von

Ressourcen an.

Bild: Stefan Mutschler

1. Geräte-Management: Basisfunktionen

für Konfiguration und Monitoring von

Access-Points und Switches,

2. Infrastruktur-Management: netzwerkweite

Konfiguration und Analyse,

3. intelligentes Management: Machine-

Learning-unterstützte Funktionen sowie

4. gesichertes Management: Automatisierung

durch KI-Funktionen (künstliche

Intelligenz).

Das Geräte-Management ist im Grundpreis

enthalten. Die Funktionen in den höheren

Stufen kann ein Unternehmen kostenpflichtig

hinzubuchen.

Gemäß den Hauptthemen der Konferenz –

was Extreme von anderen Anbietern unterscheidet

(„The Extreme Difference“) und

„Cloud-Driven Networking“ – griff Abby

„Im Rechenzentrum geht es nicht mehr nur um

Geschwindigkeit und Bandbreite – hier wird die

digitale Transformation gewonnen oder

verloren“, so Abby Strong, Vice President

Product Marketing bei Extreme. Bild: Stefan Mutschler

„Eine Verbindung von EFA mit ExtremeCloud IQ

ist definitiv geplant, aber über die konkrete Ausformung

und einen Zeitplan wird noch diskutiert“,

so Olaf Hagemann, SE Director DACH bei

Extreme.

Bild: Stefan Mutschler

Strong diese an den Bedarf beim Anwender

anpassbare Lösungsabstufung noch

einmal als einen von fünf Punkten auf. Als

einzige Netz-Management-Lösung aus der

Cloud biete Extreme zudem ein durchgängiges

Ende-zu-Ende-Management vom

Netzwerkrand (Edge) bis ins Rechenzentrum.

Ebenso hob sie die Wahlfreiheit bei

der Implementierung hervor: Extreme unterstütze

flexibel Private und Public Cloud

ebenso wie den Betrieb im eigenen Rechenzentrum.

Auch Hybridmodelle seien

realisierbar. Nicht zuletzt führte sie auch

die Betriebskosten ins Feld, hier liege Extreme

mindestens 30 Prozent unter den

Kosten anderer Anbieter.

Über ein mögliches Zusammenspiel von

EFA mit ExtremeCloud IQ war in Athen

noch nicht viel zu erfahren. „Extreme-

Cloud IQ verfügt über APIs, die eine Integration

mit anderen Anwendungen technisch

sehr einfach erlauben“, so Olaf Hagemann,

SE Director DACH bei Extreme,

im Gespräch mit LANline. „Eine Verbindung

mit EFA über diese Schnittstellen ist

definitiv geplant, aber über die konkrete

Ausformung und einen Zeitplan wird noch

diskutiert.“

In EMEA agiert Extreme besonders erfolgreich.

Seit 2017 konnte das Unternehmen

seine Umsätze hier gut verdoppeln

(von 2017 bis 2020). Mit rund 462 Millionen

Dollar liegen die Umsätze hier nur wenig

unter dem, was der Anbieter in den

USA umsetzt (482 Millionen Dollar).

Stefan Mutschler/wg


Markt

Im Interview: Marcus Busch, Leaseweb

Gaming ist ein

interessanter Markt

Im LANline-Gespräch erklärt Marcus Busch, Managing Director von

Leaseweb Deutschland, warum der Gaming-Markt auch auf der

Infrastrukturseite spannend und lukrativ ist. Leaseweb bietet Infrastructure

as a Service, dedizierte Server, Content Delivery Networking

und Cloudhosting unter anderem in diesem Segment an.

LANline: Herr Busch, das Angebot von

Leaseweb ist ziemlich umfangreich. Wo

liegen die aktuellen Schwerpunkte?

Busch: Wir legen großen Wert darauf,

dass unser Portfolio unseren Kunden eine

hohe Flexibilität in Bezug auf die richtige

Infrastruktur für ihre Leistungsanforderungen

bietet. Wir sind fest davon überzeugt,

dass die Lösung in der Kombination

unterschiedlicher Infrastrukturarten

liegt, also im Angebot dieser verschiedenen

Arten und vor allem in der Möglichkeit,

diese zu verbinden. Unser Fokus liegt

auf der Erweiterung dieses Modells, sowohl

horizontal als auch vertikal. Die

Auswahl an Rechen-, Speicher- und Netzwerkangeboten

werden wir weiter vergrößern

und damit auch mehr Möglichkeiten

schaffen, diese Dienste miteinander zu

kombinieren.

LANline: Wie hat sich das Angebot in den

vergangenen Jahren verändert?

Busch: Das Portfolio hat sich definitiv aufgrund

der sich ändernden Anforderungen

der Kunden geändert. Unsere Kunden sind

geografisch gewachsen, ihre Märkte sind

globaler geworden. Auch wir haben unsere

globale Präsenz weiter ausgebaut. Auf der

anderen Seite haben erweiterte Anforderungen

an die Cloud zu umfangreichen virtualisierten

Computing-Angeboten geführt.

Schließlich möchten sich Kunden

mehr auf ihr Kerngeschäft konzentrieren

Marcus Busch, Managing Director von Leaseweb

Deutschland: „Eine richtig gestaltete

Backend-Infrastruktur ist skalierbar, programmierbar

und infrastrukturunabhängig.“

Bild: Leaseweb

und uns Teile des Managements ihrer Infrastruktur

überlassen. Das Hauptthema für

uns ist, auf die Bedürfnisse unserer Kunden

fokussiert zu bleiben.

LANline: Sie stellen unter anderem Infrastruktur

für das Gaming zur Verfügung.

Wie hat sich speziell dieser Bereich entwickelt?

Busch: Das ist richtig. Gaming ist ein interessanter

Markt, da hier sowohl die Notwendigkeit

einer skalierbaren Hochleistungsinfrastruktur

besteht, als auch typischerweise

ein konkurrenzfähiges Preis-

Leistungs-Verhältnis unabdingbar ist.

LANline: Was sind die Besonderheiten in

technischer und ökonomischer Hinsicht?

Busch: Gaming-Kunden müssen häufig

skalieren, up and down. Sie investieren daher

mehr in einen Aufbau von Hybrid-Systemen,

indem sie unsere leistungsstarke

Bare-Metal-Infrastruktur als Basislast-

Plattform nutzen und die Cloudinfrastruktur

für den flexiblen Teil ihrer Setups einsetzen.

Wir stellen aktuell verstärkt fest,

dass diese Art der Architektur nicht nur im

Gaming-Segment immer beliebter wird.

LANline: IT-Dienste, zum Beispiel Gaming

oder Entertainment, sind Teil des

Alltags geworden. Wie muss eine passende

Infrastruktur auf der Backend-Seite künftig

aussehen?

Busch: Das berührt ein breites Spektrum.

Eine richtig gestaltete Backend-Infrastruktur

ist skalierbar, programmierbar und infrastrukturunabhängig.

Die Verwendung von

Betriebs- und Bereitstellungs-Tools, die für

Bare-Metal-, Public- und Private-Cloud-

Anwendungen geeignet sind und unabhängig

von den zugrunde liegenden IaaS-

Diensten bereitgestellt werden können, ist

nahezu unabdingbar. So wird Flexibilität

beim Bewegen der Infrastruktur ermöglicht,

wenn sich Anforderungen oder Arbeitslast

ändern. Zudem erlaubt dies Anpassungen

an sich änderndes Benutzerverhalten.

LANline: Und was muss auf Anwenderseite

technisch passieren, etwa bei 5G?

Busch: 5G ist in verschiedener Hinsicht

wichtig, da das damit verbundene Computing

on the Edge eine solide Netzwerkverbindung

zu einem Rechenzentrum erfordert,

das seinerseits genügend Rechenleistung

aufbringt, um die zentrale Verarbeitung

und Speicherung durchzuführen.

Edge-Computing kann nur mit einem darauf

ausgelegten Backend-Rechenzentrum

funktionieren, das in eine hervorragende

Vernetzung eingebunden ist.

LANline: Herr Busch, vielen Dank für das

Gespräch.

Dr. Jörg Schröper


KLARTEXT, nicht BUZZWORDS

17. – 19.

MÄRZ

2020

Auf der TWENTY2X finden Sie konkrete

Antworten auf die vielen Fragen zur Digitalisierung

und Prozessoptimierung im Mittelstand.

Produkte/Services

HCI-Testreihe, Teil 4

HCI-Plattform von

Red Hat

RHHI-V von Red Hat stellt einen ausfallsicheren Cluster-Verbund als

Hyper-Converged Infrastructure (HCI) bereit. LANline hat im vierten

Teil der Testreihe die Softwarelösung unter die Lupe genommen.

Der Linux-Spezialist Red Hat hat mit Red

Hat Hyperconverged Infrastructure for Virtualization

(RHHI-V) eine HCI-Lösung

entwickelt, die Standard-Server-Hardware

in einen hochverfügbaren Compute-, Storage-

und Network-Cluster verwandelt.

RHHI-V verwendet in Version 1.6 den Red

Hat Virtualization Host 4.3 als Server-Virtualisierungsplattform

und die Lösung Red

Hat Gluster Storage 3.4 für eine ausfallsichere

Bereitstellung der lokalen Speicherressourcen

der Cluster-Nodes.

Als Einsatzszenarien für RHHI-V sieht

Red Hat unter anderem Zweigstellen von

größeren Unternehmen, die damit eine von

der Zentrale unabhängige, ausfallsichere

IT-Infrastruktur erhalten. Für Service-Provider

bietet Red Hat mit RHHI-C eine eigene

Lösung an, die OpenStack mit Ceph-

Storage auf hyperkonvergenten Systemen

verbindet. Größere Unternehmen können

zudem die konvergente Plattform Open-

Shift Container Storage 3 (OCS3) nutzen.

Die von LANline getestete RHHI-V-Lösung

benötigt für eine hochverfügbare

Konfiguration mindestens drei physische

Server und skaliert in 3-Node-Schritten

derzeit auf bis zu zwölf Server pro Cluster.

Für sehr kleine Außenstellen, die keine

Hochverfügbarkeit benötigen, ist es zudem

möglich, die RHHI-V-Software auf einem

einzigen Server zu installieren. In kleineren

Umgebungen sollte jeder Server über

mindestens zwölf CPU-Cores, 64 GByte

RAM, 48 TByte lokalen Plattenspeicher

und zwei Netzwerkkarten verfügen. Die

Die Verwaltung der RHHI-V-Plattform erfolgt über eine grafische Web-Konsole.

Installation ist aber auch auf Systemen mit

weniger Cores möglich. Für den LANline-

Test verwendeten wir drei Dell PowerEdge

T640 Server, die mit je einer Intel-Xeon-

10-Core-CPU, 64 GByte RAM und sechs

SAS-10k-Disks mit einer Raw-Kapazität

von 3,3 TByte sowie einer SAS-15k-Disk

für das Red-Hat-Betriebssystem ausgerüstet

waren.

Vorbereitung der Installation

Die Verwaltung der von den Cluster-Nodes

bereitgestellten Ressourcen erfolgt über

eine spezielle Hosted-Engine-VM. Diese

VM wird automatisch hochverfügbar konfiguriert

und kann auf jedem Knoten des

Clusters laufen. Für die Kommunikation

der Cluster-Nodes und der darauf laufenden

VMs kommen ein Frontend-Management-Netzwerk

und außerdem ein Backend-Storage-Netzwerk

mit mindestens

10-GBit/s-Ethernet zum Einsatz.

Als lokalen Datenspeicher empfiehlt Red

Hat aus Leistungsgründen den Einsatz von

SSDs. Falls man aus Kostenerwägungen

HDDs nutzt, lässt sich ein SSD-Laufwerk

als LVM-Cache (Logical Volume Manager)

hinzufügen, um die Datenzugriffe zu

beschleunigen. RHHI-V lässt sich sowohl

auf Servern mit per HBA angebundenen

JBOD-Disks als auch auf Systemen mit

RAID-Controllern und RAID-5- oder

RAID-6-Konfiguration installieren. Die

RAID-Controller müssen über einen batteriegepufferten

Write-Cache verfügen.

Unabhängig von der physischen Disk-

Konfiguration stellt RHHI-V die Redundanz

der Daten im Cluster-Verbund sicher,

indem es jeden Datenblock standardmäßig

per Replikation immer auf mehrere Nodes

schreibt. Der Administrator kann vorgeben,

dass RHHI-V die Daten auf alle drei

Nodes verteilt oder nur zwei Datenkopien

erstellt und der dritte Node lediglich die

zugehörigen Metadaten speichert. Mit dem

Typ Distributed Volume lassen sich Daten

zudem auch ohne Redundanzkopie auf nur

einem Laufwerk ablegen.

Vor dem Setup von RHHI-V muss der Administrator

entscheiden, ob er für eine effiziente

Nutzung der Speicherressourcen die

Thin-Provisioning-Funktion oder den Virtual

Data Optimizer (VDO) nutzen will,


Produkte/Services

Tested by

Red Hat RHHI-V 1.6

www.redhat.com

Stabile und ausfallsichere HCI-

Plattform für die Bereitstellung von

virtuellen Linux- und Windows-VMs

Grafische Web-Konsolen vereinfachen

Management-Aufgaben

Umfangreiche Red-Hat-Werkzeugsammlung

für Automatisierung

nutzbar

Setup-Wizard erkennt Multi-Path-

Disks nicht

der eine Deduplizierung und Komprimierung

der gespeicherten Daten durchführt.

Es ist bislang nicht möglich, beide Funktionen

gleichzeitig einzusetzen. Für den

LANline-Test verwendeten wir für die Volumes

der Guest-VMs die Thin-Provisioning-Funktion.

Damit das Setup alle beteiligten Systeme

korrekt ansprechen kann, muss die DNS-

Namensauflösung inklusive Reverse Lookup

fehlerfrei funktionieren. IPv6 wird für

RHHI-V bislang nur als Technology Preview

mit begrenztem Support unterstützt.

Um die Basis für den RHHI-V-Cluster zu

erzeugen, installierten wir im ersten Schritt

auf den drei physischen Servern das Linux-Betriebssystem

Red Hat Enterprise

Virtualization Host 4.3 (RHEV) und konfigurierten

eine Netzwerkkarte für die Verbindung

mit dem Testnetz. Für das OS verwendeten

wir eine lokale SAS-15k-HDD.

Die sechs Daten-Disks wurden noch nicht

konfiguriert. Damit das RHHI-V-Setup

sich vom ersten RHEV-Host aus mit den

anderen Hosts verbinden kann, wird der

Host-Key des ersten Hosts in der known_

hosts-Datei aller drei Server hinzugefügt.

Zudem muss der Administrator auf dem

ersten Host ein Public- und Private-Key-

Paar erzeugen und den Public-Key auf die

anderen Hosts kopieren, damit der Setup-

Wizard sich per SSH an den Hosts anmelden

kann, ohne einen Benutzer und ein

Passwort anzugeben.

Nachdem wir alle Vorarbeiten abgeschlossen

hatten, starteten wir auf dem ersten

Host den Wizard für das Setup von RHHI-

V. Der Assistent ist in der Web-Management-Konsole

der RHEV-Hosts enthalten,

die sich in einem Web-Browser über den

Port 9090 öffnen lässt. Bei den Volumes

wählten wir die JBOD-Konfiguration und

übernahmen die standardmäßig vorgeschlagenen

drei Volumes Engine für die

Management-VM, Data für die VM-Datenpartitionen

und VMstore für die VM-

OS-Partitionen. Der Administrator kann

bei Bedarf an dieser Stelle weitere Volumes

hinzufügen. Bei der Brick-Konfiguration

wiesen wir pro Host jedem Volume

eine eigene physische Disk (sdb, sdc, sdd)

zu und aktivierten das Thin-Provisioning.

Als wir das RHHI-V-Setup gestartet hatten,

erschien relativ schnell eine Fehlermeldung,

dass die von uns im Wizard angegebenen

physischen Disks auf dem ersten

Host nicht verfügbar seien. Der Red-

Hat-Support konnte die Ursache schnell

herausfinden. Wir hatten den ersten Host

vor dem Start des Wizards neugestartet.

Dies hatte zur Folge, dass Red Hat die lokalen

Disks automatisch als Multi-Path-

Devices konfiguriert und der Wizard sie

dadurch nicht mehr erkannt hat. Die Lösung

bestand darin, das Multi-Pathing zu

deaktivieren. Dafür wird in der Konfigurationsdatei

/etc/multipath.conf unter dem

Abschnitt blacklist der Eintrag devnode

“*“ hinzugefügt. Dann werden die Pfade

mit dem Befehl multipath -F neu eingelesen.

Diese Anpassung führten wir auf allen

drei Hosts durch. Anschließend starteten

wir das RHHI-V-Deployment neu. Diesmal

erkannte der Assistent die Platten und

das Gluster-Setup lief erfolgreich bis zum

Ende durch.

Die Redeployment-Schaltfläche des Wizards

erlaubt es beim Auftreten von Fehlern,

die Konfigurationsdatei manuell zu

editieren oder den Wizard neu zu beginnen.

Es ist zudem möglich, eine bereits

durchgeführte Konfiguration auf dem ersten

Host mit dem Ansible-Playbook gluster_cleanup.yml

komplett zu bereinigen.

Nachdem die Gluster-Konfiguration abgeschlossen

war, öffneten wir den Wizard für

die Erstellung der Hosted-Engine-VM. Sie

benötigt mindestens vier GByte RAM und

2 vCPUs. Die Hosted Engine wird automatisch

als hochverfügbare VM konfiguriert

und in der Storage Domain hosted_storage

platziert, in der sich keine anderen VMs

befinden sollten. Im Assistenten sind nur

wenige Daten wie Name, IP-Adresse und

Administrator-Passwort einzugeben.

Zum Abschluss des RHHI-V-Setups muss

man noch das Gluster-Network einrichten

und der zweiten Netzwerkkarte zuordnen.

Da wir für unsere Testinstallation nur eine

Netzwerkkarte konfiguriert hatten, fügten

wir die Funktionen Migration und Gluster

zum vorhandenen Management-Netzwerk

hinzu.

RHHI-V-Management

Für die Verwaltung von RHHI-V-Clustern

stehen dem Administrator mehrere Werkzeuge

zur Verfügung. Die Hosted-Engine-

VM verfügt über eine Web-basierte grafische

Konsole, mit der sich die Compute-,

Network- und Storage-Ressourcen des

HCI-Clusters zentral verwalten lassen.

Auch die Fencing-Policies für einen automatischen

Neustart von Servern bei Host-

Ausfällen lassen sich darüber steuern.

Wenn neue Nodes oder Laufwerke hinzukommen,

kann der Administrator sie auch

über die Web-basierte Management-Oberfläche

der physischen Hosts konfigurieren.

Der hier integrierte Gluster-Wizard ermöglicht

es zum Beispiel, neue Volumes und

neue Bricks anzulegen oder einen Cluster

um drei weitere physische Hosts zu erweitern.

Neue Volumes lassen sich alternativ

auch über die Storage-Konfigurationsmenüs

der einzelnen Hosts oder mittels spezieller

Kommandozeilen-Tools wie gdeploy

einrichten.

Zum Teil muss der Administrator in den

grafischen Management-Konsolen ein wenig

suchen, bis er den jeweils benötigten

Menüpunkt gefunden hat. Ein neues Gluster-Volume

muss man immer zunächst mit

Disks von drei Nodes anlegen, um es dann

im zweiten Schritt auf weitere Nodes ausdehnen

zu können.

Einrichtung und Verwaltung von VMs

Um die Funktionen des RHHI-V-Clusters

zu testen, installierten wir über die Hosted-

Engine-Web-Konsole drei VMs mit Windows

2019, Windows 2016 und Ubuntu Li-


Produkte/Services

nux. Im ersten Schritt konfiguriert der Administrator

die VM-Hülle mit mindestens

einer virtuellen Festplatte, einer Netzwerkkarte

sowie der gewünschten RAM-Größe

und vCPU-Anzahl. VMs lassen sich alternativ

auch mit der VM-Portal-Web-Konsole

erstellen und verwalten. Über die Schaltfläche

Run Once kann der Administrator

die Boot-Optionen für die VM wählen und

ein virtuelles CD-Laufwerk mit der passenden

Betriebssystem-ISO-Datei sowie

ein virtuelles Floppy-Drive mit zusätzlich

benötigten Treibern anbinden. Bei der Installation

von Windows muss der Administrator

im Setup-Dialog die Virtio-Treiber

für den Storage-Controller hinzufügen.

Wir verbanden deshalb die Windows-VMs

mit einem virtuellen Diskettenlaufwerk,

das diese Treiber enthielt.

Für den Zugriff auf die VM-Konsole installierten

wir auf unserem Administrationsrechner

die von Red Hat mitgelieferte

Remote-Viewer-Konsole. Über die Konsole

lässt sich auch die ISO-Datei des virtuellen

CDROM-Laufwerkes anbinden und

entfernen. Die ISO-Dateien muss der IT-

Verantwortliche zuvor in eine Storage-Domain

des Clusters hochladen, damit das

System sie an die VMs anbinden kann. Die

Installation der drei VMs verlief erfolgreich,

und wir konnten auf die Windows-

Server anschließend per RDP und auf das

Ubuntu-System per Putty zugreifen.

RHHI-V unterstützt auch Templates und

zahlreiche Automatisierungs- und Workflow-Tools

wie Red Hat Ansible, um VMs

in größeren Stückzahlen automatisiert und

standardisiert bereitzustellen.

Die Red-Hat-Virtualisierungsplattform beherrscht

die marktüblichen Verfahren für

einen möglichst unterbrechungsfreien Betrieb

von VMs. So lassen sich VMs jederzeit

im laufenden Betrieb auf andere Hosts

LANline HCI-Testreihe

1. Windows Server 2019 Storage Spaces

Direct (S2D)

2. VMware Virtual SAN (vSAN)

3. Datacore One Hyperconverged Virtual

SAN

4. Red Hat Hyperconverged Infrastructure

(RHHI-V)

verschieben. Eine automatische Lastverteilung

zählt ebenfalls zum Funktionsumfang.

Wird ein Host in den Wartungsmodus

genommen, verschiebt RHHI-V die darauf

laufenden VMs automatisch auf die anderen

Cluster-Nodes. Wir hatten zuvor für

eine VM eine Host Affinity Rule konfiguriert.

Diese Regel sorgte dafür, dass die

VM automatisch wieder auf diesen Host

zurückverschoben wurde, nachdem wir

den Wartungsmodus beendet hatten.

Eine Storage-Migration ist ebenfalls möglich.

Sie lässt sich über das Disk-Menü einer

VM mit dem Move-Befehl starten. Wir

verlagerten eine Test-VM im laufenden

Betrieb von der Storage-Domain Data in

die Domain Vmstore. Die Migration dauerte

rund 15 Minuten.

VM-Snapshots

RHHI-V unterstützt auch Snapshots auf

VM- und auf Volume-Ebene. Der Administrator

kann zudem von einem VM-

Snapshot einen Clone oder ein Template

für das VM-Deployment erstellen. Der

Snapshot lässt sich wahlweise mit oder

ohne RAM-Inhalt erstellen.

Wir erstellten von einer VM an einem

Abend einen Snapshot und setzten die VM

am darauffolgenden Nachmittag auf den alten

Snapshot-Stand zurück. Dazu fuhren

wir die VM herunter und klickten in der

RHHI-V-Konsole im VM-Snapshot-Menü

zunächst die Schaltfläche Preview an. Damit

lässt sich prüfen, ob der VM-Snapshot

den gewünschten Systemzustand enthält.

In den Event-Logs konnten wir sehen, dass

die letzten Einträge vom Vorabend waren.

Mit einem Klick auf Commit setzten wir

die VM auf diesen Stand zurück. Die Erstellung

einer Clone-VM funktionierte

ebenfalls reibungslos und die neue VM ließ

sich direkt hochfahren, sobald der Clone-

Vorgang abgeschlossen war.

Für ein Disaster Recovery (DR) unterstützt

RHHI-V eine Georeplikation zu einem

entfernten Standort, die allerdings auf ein

Volume beschränkt ist. Red Hat empfiehlt,

das Volume mit den Datenpartitionen der

VMs an den DR-Standort zu replizieren.

Zusätzlich benötigt die Georeplikation ein

Shared-Storage-Volume. Das Ziel-Volume

muss von einem eigenen Red-Hat-Virtualization-Manager-System

verwaltet werden

und die Kommunikation muss bislang über

IPv4 erfolgen.

Um die Datenredundanz zu testen, entfernten

wir im laufenden Betrieb aus dem Host

RHHIH2 die Festplatte, auf der eine Kopie

des Data-Volumes lag. Der Disk-Ausfall

hatte auf die auf dem Data-Volume gespeicherten

VMs keinerlei Auswirkungen, da

noch zwei Replika-Kopien vorhanden waren.

Die VMs liefen ohne Unterbrechung

weiter. Nachdem wir die Platte wieder eingeschoben

hatten, konnten wir sie mit den

anderen zwei Kopien synchronisieren.

Zum Abschluss testeten wir den Ausfall eines

kompletten Hosts, indem wir den Server

RHHIH3 über den Power-Button hart

ausschalteten. Zuvor hatten wir bei zwei

Windows-VMs in den VM-Einstellungen

die Hochverfügbarkeitsoption aktiviert

und sie auf dem RHHIH3 platziert. Beide

VMs waren nach dem Ausschalten des

Hosts zunächst nicht mehr verfügbar, wurden

aber von RHHI-V nach etwa einer Minute

auf einem der aktiven Hosts automatisch

wieder hochgefahren. Nachdem wir

den dritten Host wieder eingeschaltet hatten,

wurde die VM, für die wir den

RHHIH3 als bevorzugtes System konfiguriert

hatten, nach wenigen Minuten wieder

auf diesen Host zurückverschoben.

Die RHHI-V-Konsole hat sowohl beim

Disk- als auch beim Host-Ausfall eine

Warnmeldung angezeigt. Der Administrator

kann für die verschiedenen Events eine

Alarmierung per SNMP-Traps oder per E-

Mail konfigurieren.

Fazit

Abgesehen von dem Multi-Path-Problem

bei der Installation lief die HCI-Plattform

stabil und zeigte auch bei den Ausfalltests

keine Schwächen. Die Speicherkapazität

lässt sich durch eine Erweiterung vorhandener

Volumes oder durch die Anlage neuer

Volumes mit zusätzlichen Disks sukzessive

ausbauen. Host-Erweiterungen müssen

aufgrund des verwendeten Datenredundanz-Verfahren

jeweils mit drei zusätzlichen

Nodes durchgeführt werden.

Für die Verwaltung stehen leicht verständliche

Web-Konsolen zur Verfügung.

Christoph Lange/ts


Produkte/Services

Dell stellt Dell EMC PowerOne vor

Automationsmaschine

Dell Technologies‘ Infrastrukturlösung Dell EMC PowerOne soll die

Bereitstellung, Verwaltung und Nutzung von IT vereinfachen. Dazu

integriert sie PowerEdge-Compute-Systeme, PowerMax-Speicher,

PowerSwitch-Netzwerklösungen und VMware-Virtualisierung – das

Prinzip ist von HCI (Hyperconverged Infrastructure) bekannt. Dell

ergänzt dies aber um eine intelligente Automatisierungs-Engine.

Mit PowerOne will Dell ein selbstverwaltetes

„Datacenter as a Service“ gemäß dem

„Infrastructure as Code“-Ansatz liefern.

Der Hersteller vergleicht die Funktionalität

der Automatisierungs-Engine mit einem

autonomen Auto, bei dem der Insasse

nur noch das gewünschte Ziel eingeben

muss. Auf ähnliche Weise könne nun der

Administrator das gewünschte Geschäftsergebnis

angeben – das System berechne

dann den besten Weg und erledige den

Rest. Wichtig für diesen hohen Automationsgrad:

Das System ist von außen adressierbar.

PowerOne bietet dazu laut Dell

eine einheitliche API auf Systemebene, die

es Anwendern erlaubt, Ressourcenpools zu

erstellen. Die API lasse

sich in Tools wie

etwa Service-Portale

einbinden.

Damit ersetze man

den manuellen durch

einen programmierbaren

IT-Betrieb. So

könne man zum Beispiel

mit nur wenigen

Klicks einsatzbereite

VMware-Cluster erstellen.

Dells HCI-Lösung Dell

EMC PowerOne ist dank

integrierter Automations-Engine

auf den

möglichst autonomen

IT-Betrieb ausgelegt.

Bild: Dell Technologies

Für diese Automatisierung des IT-Betriebs

umfasst das System diverse Assistenzfunktionen.

So beschleunigt ein Launch-Assistent

laut Dell die Installation und Konfiguration

mittels integrierter Workflows, die

auf validierten Designs von VMware und

Best Practices von Dell EMC basieren. Ein

Lifecycle-Assistent senke Risiken, indem

er Betrieb und Lifecycle-Management

durch automatisierte modulare System-

Updates und -Validierungen erleichtere.

Die Software prüfe kontinuierlich die

Hardware- und Firmware-Einstellungen.

Der Expansion-Assistent schließlich passe

die Infrastruktur den Geschäftsanforderungen

an. Er könne Ressourcen automatisiert

hinzufügen, entfernen oder

neu zuweisen, so Dell.

Das All-in-One-System

kommt in einem MX7000-

Chassis. Es unterstützt laut

Datenblatt bis zu zehn Server

pro Chassis, bis zu 80

pro Compute Domain und

bis zu 240 pro Pod. Die Automations-Engine

Power-

One Controller liefert Dell in

Form einer Appliance. Diese

nutzt eine Kubernetes-Micro-Services-Architektur

und

Ansible-Workflows, um die

Konfiguration, Bereitstellung

und das Lifecycle-Management

der Komponenten

zu automatisieren. Ansprechbar

ist der Controller

über die erwähnte API oder das PowerOne

Navigator Web-Interface.

Als Rechenbasis dient der modulare Server

PowerEdge MX mit Midplane-freien

Design. Dies ermöglicht es laut Dell, mehrere

Generationen von Bausteinen wie Mikroprozessoren,

Speichertypen und Vernetzungslösungen

– auch künftige – zu unterstützen.

PowerOne automatisiere deren

Einsatz und weise bei Bedarf dynamisch

Ressourcen zu. Dell nennt diesen Ansatz

„kinetische Infrastruktur“. Zugleich senke

PowerOne die Komplexität der Vernetzung,

indem das System die Switch-Hardware

abstrahiert und automatisiert. So stehe

automatisch ein virtuelles Netzwerk für

VMware-Workloads bereit. Als Switches

kommt auf Leaf-Seite der Dell EMC Networking

S5232F-ON zum Einsatz, in den

IO-Modulen des MX7000-Chassis die PowerEdge

MX9116 Fabric Switching Engine

(FSE) und PowerEdge MX7116 Fabric-

Erweiterungsmodule.

Für die Virtualisierung setzt Dell wie erwähnt

auf Technik der Tochter VMware.

Das System nutzt ESXi, vSphere, NSX

(im Management-Cluster) und vCenter

Server. Dell betont aber, man unterstütze

auch Bare-Metal-Installationen. Auf Storage-Seite

verringere das Storage Array

PowerMax (2000E, 2000P, 8000E, 8000P)

die Komplexität durch automatisierte

Speicherbereitstellung inklusive Zoneneinteilung.

Das Speichersystem erweitere

Cluster-Gruppen dynamisch, wenn es neue

Ressourcen erkennt.

Der letzte Bestandteil schließlich ist Dells

PowerProtect-Datensicherungsportfolio.

Dieses umfasse Cloud-fähigen Speicher,

integrierte Appliances und softwaredefinierte

Lösungen.

PowerOne ist über Dells neu angekündigtes

„On Demand“-Lizenzmodell erhältlich.

On Demand soll die Agilität der

Cloud mit der Kontrolle und Leistung einer

lokalen Infrastruktur vereinen: Das

Anwenderunternehmen bezahle nur für

das, was es auch wirklich nutzt.

Dr. Wilhelm Greiner

■ Info: Dell Technologies

Web: www.dellemc.com/de-de/


Produkte/Services

HPE Container Platform

Kubernetes kommt ins

Unternehmens-RZ

Hewlett Packard Enterprise hat die „HPE Container Platform“

vorgestellt. Sie sei, so HPE, die branchenweit erste Kubernetesbasierte

Softwareplattform für den Containerbetrieb im Unternehmen,

die für cloudnative ebenso wie für monolithische Anwendungen

mit persistentem Datenspeicher entwickelt ist. Damit sollen

Unternehmen die Entwicklung neuer und die Modernisierung

vorhandener Applikationen beschleunigen können. Die Software

läuft auf Bare Metal ebenso wie in der Public Cloud, virtualisierten

Umgebungen und auf Infrastrukturen am Netzwerkrand (Edge).

In der Public Cloud haben sich Container

als Standard für die Bereitstellung von Applikationen

etabliert, und mit ihnen die

Management-Werkzeuge wie Docker und

Kubernetes. Im Unternehmen sieht die

Lage anders aus, hat man es doch anders

als in der Cloud mit zustandsorientierten

Applikationen (Stateful Applications) zu

tun, die über Sessions hinweg Zugriff auf

persistente Datenbestände benötigen.

Hewlett Packard Enterprise will hier mit

seiner neuen „HPE Container Platform“

die Brücke schlagen und damit Containern

HPE Container Platform eignet sich laut Hersteller für den Betrieb cloudnativer wie auch nicht

cloudnativer Applikationen im Unternehmens-RZ, in der Cloud sowie am Edge.

Bild: HPE

wie auch Kubernetes den Weg ins Unternehmen

bahnen.

HPEs Container Platform basiert auf der

Open-Source-Orchestrierungslösung Kubernetes

sowie auf Technik der Anbieter

BlueData und MapR. Diese hatte der Konzern

Ende 2018 beziehungsweise im August

dieses Jahres akquiriert. Die Plattform

greift für das Container-Management auf

die mit BlueData erworbene Epic-Software

zurück, die für den schnellen Container-Rollout

konzipiert ist. Epic nutzte dafür

zunächst Docker-Container. Im Sommer

2018 hatte BlueData allerdings die

BlueK8s-Initiative angekündigt, um sich

per API für Kubernetes zu öffnen. Mit Kubernetes

Director hatte der Anbieter zeitgleich

auch eine Initiative für eine Lösung

angekündigt, um verteilte Stateful-Applikationen

mit Kubernetes ausbringen und

verwalten zu können.

HPEs neue Softwareplattform soll laut

Hersteller Kosten und Komplexität senken,

indem sich Container flexibel auf Bare Metal

wie auch auf virtuellen Maschinen und

Cloudinstanzen aufsetzen lassen. Sie ist damit

laut einem Blog-Post von Phil Davis,

President of Hybrid IT bei HPE, ein Kernbaustein

des hauseigenen Lösungs-Stacks

für Hybrid Clouds. Ziel ist es, die Effizienz,

Auslastung und Performance des Containerbetriebs

erhöhen – und dies für cloudnative

wie eben auch für nicht cloudnative

Applikationen. Die Software unterstützt

damit laut HPE-Angaben zahlreiche Anwendungsfälle:

von maschinellem Lernen

(ML) und Analysen am Netzwerkrand

(Edge Analytics) bis zu CI/CD-Pipelines

(Continuous Integration/Continuous Delivery)

und der Applikationsmodernisierung.

Sie eigne sich selbst für umfangreiche Kubernetes-Implementierungen.

Schlüsselfertige Lösung

HPE bezeichnet die Container Platform als

„schlüsselfertige Lösung“. Sie kommt mit

der BlueData-Software als Steuerungsebene

für das Container-Management, dem

verteilten Dateisystem von MapR für Datenpersistenz

beim Containereinsatz und

Kubernetes für die Containerorchestrierung.

Dieser Ansatz erweitere den Nutzen

von Containern über Cloud-native Anwendungen

mit Micro-Services-Architektur

hinaus: Er ermögliche es, monolithische

Anwendungen mit persistenter Datenspeicherung

zu containerisieren, ohne sie von

Grund auf neu entwickeln zu müssen.

Unternehmen nutzen laut Analysten Containerisierung

– und damit oft auch Kubernetes

– in zunehmendem Maße, um ihre

Applikationslandschaften zu modernisieren,

zum Beispiel für neue Datenanalyseoder

Edge-Anwendungen: Gemäß Gartner-Schätzungen

vom September sollen in

drei Jahren über 75 Prozent der Unterneh-


Produkte/Services

Für die Verwaltung und Orchestrierung der Container setzt HPE auf den

De-facto-Standard Kubernetes (K8s).

Bild: HPE

Die Container Platform soll es erleichtern, Kubernetes-Cluster mit

mandantenfähiger Containerisolierung einzurichten.

Bild: HPE

men weltweit produktive Containeranwendungen

betreiben. Dieser Anteil liegt derzeit

noch bei unter 30 Prozent. Laut einer

Umfrage von 451 Research basieren 95

Prozent der neu entwickelten Applikationen

auf Containertechnik. Wenn Unternehmen

den Container- und Kubernetes-Einsatz

auf Produktionsumgebungen ausweiten,

so mahnt man bei HPE, müssen sie allerdings

wichtige Aspekte wie Sicherheit,

Multi-Cluster-Management und Lastverteilung

(Load Balancing) berücksichtigen.

Problemfall Stateful-Applikationen

Ein erheblicher Teil der Unternehmensanwendungen

ist nicht cloudnativ, sprich:

nicht für die Nutzung dynamischer Public-

Cloudressourcen konzipiert. Die Wartung

solcher monolithischer Legacy-Anwendungen

ist mit hohen Kosten verbunden.

Deshalb würden laut HPE viele von Containerisierung

profitieren. Bestandsanwendungen

komplett als cloudnative Applikationen

neu zu entwickeln (Re-Architecting,

Refactoring) ist jedoch aufwendig

und teuer. Zugleich stellen sie die zustandslose

(stateless) Kubernetes-Welt vor

Probleme. Denn Kubernetes ist ursprünglich

für zustandslose Micro-Services konzipiert,

nicht für Stateful-Applikationen.

Zu diesen zählen nicht nur Legacy-Anwendungen,

sondern auch diverse moderne

Applikationen, darunter zum Beispiel

eine ML-Analysesoftware wie Tensor-

Flow, die prinzipbedingt umfangreiche

Datenbestände auswerten muss.

Diese Kluft zwischen Stateful und Stateless

will HPE nun mit dem einheitlichen

Framework der neuen Containerplattform

überbrücken. Eine IT-Organisation kann

laut HPE auf der neuen Containerplattform

mehrere Kubernetes-Cluster mit mandantenfähiger

Containerisolierung verwalten.

Dabei sorge die Plattform durch Automation

von Arbeitsschritten für die einfache

und schnelle Provisionierung von Kubernetes-Clustern,

auf Wunsch inklusive automatischer

Bereitstellung von vorab integriertem

persistentem Storage. Entwickler

wiederum erlangen damit laut HPE sicheren

On-Demand-Zugriff auf die Umgebungen

und können so Anwendungen schneller

entwickeln und Releases zügiger bereitstellen.

Da Container portabel sind,

lasse sich einmal erstellter Code plattformübergreifend

einsetzen. Ein App Store mit

Applikations-Templates erleichtere den

Bezug von Applikationen für diverse Einsatzfälle

wie zum Beispiel KI/ML oder

Data Analytics. Ergänzend will HPE mit

seinen Consultants von Pointnext Beratungsdienstleistungen

offerieren. Diese beruhen

laut Angaben des Konzerns auf den

Best Practices aus der Übernahme von

Cloud Technology Partners und RedPixie

sowie auf der Erfahrung aus über 1.000

Hybrid-Cloud-Projekten.

Reine Softwarelösung statt HCI

Für den Kubernetes-Einsatz im Unternehmen

bietet Wettbewerber IBM sogenannte

Cloud Paks: Containersoftware mit IBM-

Middleware und vorgefertigten Konfigurationen

für diverse Einsatzfälle. Die Bereitstellung

erfolgt über IBMs Cloud Pak System,

ein konvergentes System aus IBM-

Hardware, VMware-Virtualisierung und

Red Hat OpenShift. Das entsprechende

Angebot des Konkurrenten Dell wiederum

nennt sich Dell EMC HCI für Kubernetes

(HCI: Hyperconverged Infrastructure).

Mittels VMware PKS und Cloud Foundation

auf der VxRail-Plattform von Dell

Technologies ist auch diese Lösung dafür

konzipiert, die Entwicklung cloudnativer

Anwendungen zu beschleunigen, während

man zugleich auch herkömmliche und virtualisierte

Anwendungen ausführen kann.

Das HPE-Angebot hingegen ist eine reine

Softwareplattform, der Betrieb auf HPEeigener

Hardware ist somit nicht erforderlich.

Unter dem Namen Synergy offeriert

HPE allerdings eine sogenannte Composable

Infrastructure. Dieses schnell rekonfigurierbare

Komplettsystem eignet sich laut

HPE-Bekunden ebenfalls für den einheitlichen

Betrieb von Alt- und Neuanwendungen

auf einer gemeinsamen Hardwareplattform.

Die Markteinführung der Container Platform

hat HPE für Anfang 2020 in Aussicht

gestellt. Zeitgleich sollen dann auch die

zugehörigen Beratungs-, Implementierungs-

und Support-Dienstleistungen verfügbar

sein. Dr. Wilhelm Greiner

■ Info: Hewlett Packard Enterprise

Web: www.hpe.com


Produkte/Services

IBM Cloud Pak for Security

Offene Plattform zur

Angriffsabwehr

IBM hat mit Cloud Pak for Security eine offene Sicherheitsplattform

vorgestellt, die standardbasiert und damit über Clouds und Umgebungen

hinweg Informationen mit anderen Security-Lösungen

austauschen kann. Die Plattform bietet Automationsfunktionen,

um die Reaktion auf Angriffe zu beschleunigen.

Per Kommunikation mit STIX (Standard

Threat Information Expression) verbindet

Cloud Pak for Security Datenquellen, die

dieses maschinenlesbare Datenformat unterstützen.

Föderierte Abfragen erübrigen

die Replikation von Datenbeständen und

sollen es erleichtern, versteckte Bedrohungen

zu erkennen und risikobasiert Entscheidungen

zu treffen. Security-Analysten

können die Bedrohungsermittlung laut

IBM mit der Data-Explorer-Anwendung

des Cloud Paks optimieren, statt manuell

in den diversen Tools nach Bedrohungsindikatoren

suchen zu müssen.

Die Lösung umfasst laut IBM ein vollständiges

Incident-Response-Werkzeug. Dahinter

steckt die Software von Resilient

Systems, eines Anbieters, den der Konzern

2016 akquiriert hat. Die Plattform dient

der Koordination der Sicherheitsabläufe

aus einer einheitlichen Benutzeroberfläche

und mit automatisierten Playbooks.

Cloud Pak for Security lässt sich lokal, in

einer Private oder Public Cloud installieren.

Dafür sorgt IBMs Cloud-Pak-Ansatz:

Containerisierte Software auf der Basis der

Kubernetes-Plattform Red Hat OpenShift

erlaubt die flexible Bereitstellung über

Plattformgrenzen hinweg. Für den Betrieb

offeriert IBM auch sein Cloud Pak System,

bei dem Cloud Paks, VMware-Virtualisierung

und OpenShift vorintegriert sind.

Neben STIX-basierter Kommunikation

bietet die Security-Plattform laut Hersteller

Schnittstellen für die Integration mit

gängigen Sicherheits-Tools: Neben hauseigenen

Werkzeugen und der IBM Cloud

umfasst die Liste Lösungen von Carbon

Black, Splunk, Tenable, Elastic und Big-

Fix. Noch dieses Jahr sollen Schnittstellen

für die Anbindung an AWS und Azure folgen.

Ein Development Framework erlaube

es Anbietern und Partnern, eigene Schnittstellen

und Applikationen zu entwickeln.

Sonja Gresser, Technical Sales Architect

bei IBM Security Software, erläuterte den

Einsatz der Lösung gegenüber LANline

wie folgt: Sobald eine Information zu einer

neuen Bedrohung vorliegt, muss der Security-Analyst

im SOC wissen, ob es auch in

seiner Umgebung Hinweise darauf gibt.

Dafür könne er nun eine föderierte Suche

nach der Checksumme über die angebundenen

Security-Werkzeuge hinweg per

STIX oder Konnektoren anstoßen. Das Ergebnis

werde dann in Cloud Pak aufbereitet

und mit Angaben wie Datenquelle, IP-

Adressen, URLs, Benutzer etc. dargestellt.

Die Visualisierung erfolge als tabellarische

Übersicht, als Verlaufsgrafik oder als Darstellung

im STIX-Format. Der Analyst erhalte

Informationen, welche Prozesse und

Payloads mit dem Indikator erfasst wurden,

auch die Kritikalität der Bedrohung

lasse sich ersehen. Auf dieser Basis könne

er einen Case initiieren und bei Bedarf Level-2/3-Analysten

für Abwehrmaßnahmen

hinzuziehen. Bereits abgefragte Daten stehen

laut Gresser für weitere Queries zur

Verfügung. Zudem könne man über die

Resilient-Plattform weitere Informationen

hinzufügen, um die Reaktion besser orchestrieren

zu können, sowie Workflows

anstoßen, etwa Genehmigungen, die Information

weiterer Analysten, das Beenden

von Prozessen etc.

IBM Cloud Pak for Security ist ab sofort

weltweit verfügbar. Lizenziert wird die

Lösung nach der Zahl der Server, die Telemetriedaten

liefern, unabhängig von der

Zahl der Analysten. Zur Frage, ob man die

Lösung auch als Managed Service anbieten

will, machte IBM gegenüber LANline

keine Angaben. Dr. Wilhelm Greiner

Darstellung eines Suchergebnisses von Cloud Pak for Security mit Zeitverlauf.

Bild: IBM

■ Info: IBM

Web: www.ibm.com


anzeige

Wenn’s im Data Center spukt:

Monitoring statt Geisterjäger

Viele Rechenzentren werden heimgesucht: nicht nur von externen Gefahren, sondern auch

von hauseigenen Geistern. Die Virtualisierung spielt verrückt, das Unified Computing macht

sein eigenes Ding, hyperkonvergente Systeme treiben den Admin in den Wahnsinn – alles wie

verhext! Neue Technologien bringen zahlreiche Vorteile, können aber teils extreme Belastungen

der RZ-Infrastruktur verursachen. Was tun? Geisterjäger können hier nicht weiterhelfen.

Mit einem umfassenden IT-Monitoring

überwachen IT-Administratoren

und RZ-Betreiber ihre gesamte IT-Infrastruktur.

Die Tools überwachen die

Verfügbarkeit von Geräten, Rechnern,

Diensten und auch virtuelle Systeme

rund um die Uhr. In festgelegten Intervallen

fragen sie über Standardschnittstellen

den jeweiligen Gerätezustand

sowie Umgebungs- und Umwelteinflüsse,

Sicherheitsfaktoren oder technische

Funktionen ab.

Um auch die Gebäudesicherheit

im Blick zu behalten werden verschiedene

Sicherheitssysteme

in die Überwachung integriert:

Schließanlagen, Rauch- und Gasmelder,

Temperaturfühler, aber

auch Überwachungskameras.

Die Monitoring-Sensoren senden

die gesammelten Daten an

eine zentrale Installation. Für

den verantwortlichen Mitarbeiter werden

Informationen auf einem Dashboard

übersichtlich dargestellt. Werden

zuvor definierte Schwellenwerte

erreicht oder treten nicht vorhersehbare

Probleme auf, alarmiert das Tool

den Ad ministrator. Das kann auch via

SMS oder E-Mail geschehen. So sind

die Mitarbeiter immer informiert und

können Unregelmäßigkeiten unter die

Lupe nehmen, bevor sie zu Problemen

werden.

Mit „Anti-Spuk“-Sensoren

Um den Aufwand für das IT-Team gering

zu halten, sollte die Monitoring-

Software möglichst viele Komponenten

im Rechenzentrum „out-of-thebox“

unterstützen. Das ist natürlich

nur für gängige Geräte und Applikationen

möglich. Daher ist es wichtig, dass

die Monitoring-Lösung eine API und

Templates mitbringt, die das Einbinden

aller Komponenten nicht nur grundsätzlich

erlauben, sondern auch möglichst

einfach machen.

Dem Spuk ein Ende setzen

Seltsame Erscheinungen im Rechenzentrum

sind nicht ungewöhnlich, aber

dank Netzwerk-Monitoring verlieren

sie ihren Schrecken: Wer das ganze

Rechenzentrum stets im Blick hat,

erkennt erste Anzeichen drohender

Gefahren und kann rechtzeitig

Maßnahmen ergreifen. Darüber

hinaus werden langfristige

Trends sichtbar und ermöglichen

vorausschauendes Planen und

damit das Vorbeugen von Engpässen.

So spuken keine Anomalien

mehr umher.

PRTG Network Monitor von

Paessler ist eine Monitoring-Lösung,

die all diese Vorteile und

Funktionen „out-of-the-box” mitbringt.

Für die Einbindung alter oder außergewöhnlicher

Geräte bietet PRTG zusätzlich

eine RESTful API-Anbindung sowie

Templates. Testen Sie die Software 30

Tage lang bei voller Funktionalität:

www.paessler.de/rechenzentrum


Digitale Workspaces für die Zukunft der Arbeit

Die Illusion des Vertrauten

Das Karussell des Fortschritts rotiert immer schneller,

und die resultierende Fliehkraft hat schon

längst eine Vielzahl vertrauter Dinge von der

Schreibtischplatte gefegt: Desktop-PC, Tischtelefon

und vieles mehr. Nun zerrt diese Kraft am Schreibtisch

selbst: Microsoft will den Desktop neuerdings

in die Cloud exportieren, in Kooperation mit Citrix,

VMware und anderen. Geht es nach Citrix, verschwindet

der Desktop sogar ganz: An seine Stelle

tritt ein Feed à la Facebook – jenes Interface, das

vielen Mitarbeitern heute am vertrautesten ist.

Der Mensch ist viel mehr Gewohnheitstier,

als er zugeben will. Denn seine Psyche

scheint dafür prädestiniert, nur das wahrzunehmen,

was er auch wahrnehmen will –

Fachleute sprechen vom „Cognitive Bias“,

kognitiver Verzerrung. Dass man sich heute

dank Social Media rund um die Uhr in einer

Echokammer Gleichgesinnter bewegen

kann, kommt da natürlich gerade recht.

Dennoch gibt es Umbrüche, die so radikal

sind, dass wir Gewohnheitstiere uns genötigt

sehen, den Kopf aus dem Sand zu ziehen

und der Veränderung – sei es unerwarteter

Fortschritt oder unbequeme Wahrheit

– ins Auge zu schauen. So lebte der Homo

Sapiens seit Hunderttausenden von Jahren

ganz gut davon, seine Umwelt nach Gusto

auszubeuten – und doch reift nun (wenn

auch zögerlich) angesichts von Klimakrise

und Plastikflut die Erkenntnis, dass das

nicht ewig so weitergehen kann. Weiteres

Beispiel: „Never touch a running system“

lautete einst das Mantra des IT-Betriebs –

doch dann kamen Cloud-Computing und

agile Softwareentwicklung. „Läuft und

läuft und läuft“, das wollte man in der deutschen

Automobilindustrie so lange vom

Verbrennungsmotor glauben, bis man sich

mit Vorwürfen bombardiert sah, die Wende

zur Elektromobilität verpasst zu haben.

Und geradezu legendär ist die Vehemenz,

mit der Steve Ballmer, damals Microsoft-

CEO, 2007 das Potenzial des frisch vorgestellten

iPhones nicht erkannte – oder nicht

erkennen wollte.

Deutschen Autobauern nicht unähnlich

schien Microsoft jahrelang einen wichtigen

Trend zu verschlafen: den zu cloudbasierten

Arbeitsumgebungen (Desktop as

a Service, DaaS). Obwohl Cloudvorreiter

AWS schon 2013 ein DaaS-Angebot vorgestellt

hatte (seit 2016 sogar mit Abrechnung

im Stundentakt), schien der König

des klassischen Desktops das Feld seinem

langjährigen Partner Citrix, den Cloudkon-



kurrenten VMware und AWS sowie einigen

weiteren Playern zu überlassen. Doch

2019 war es vorbei mit „Never touch a running

desktop“: Microsoft gab bekannt,

man werde die von Marktkennern und Anwenderunternehmen

längst herbeigesehnte

Multi-Session-Version von Windows 10

herausbringen – jedoch ausschließlich für

den Bezug aus der hauseigenen Azure-

Cloud. Was als jahrelanges Zögern erschien,

kann man im Rückblick durchaus

auch als geschicktes Timing des Konzerns

verstehen: In mehrfach praktizierter Manier

wartete man in Redmond zunächst ab,

bis eine Nische Massenmarktpotenzial

entwickelt, um dann mit der geballten Power

des nach wie vor weltgrößten Softwarehauses

einzusteigen: Zum 30. September

2019 war der Windows Virtual

Desktop (WVD) offiziell international (in

54 Regionen) verfügbar.

Dieser DaaS-Einstieg war von langer Hand

vorbereitet: Mit Office 365 hatte Microsoft

seine Unternehmenskundschaft zunächst

damit vertraut gemacht, traditionell lokal

implementierte Funktionalität der Office-

Standardapplikationen aus der Cloud zu

beziehen. Mit Microsoft 365 steht zudem

ein Bundle aus Windows 10, Office 365

und Verwaltungswerkzeugen in der Wolke

bereit. Da ist es dann – zumindest in der

Theorie – nur noch ein kleinerer Schritt,

die digitalen Arbeitsplätze komplett in

Redmonder Hände zu legen und auf Azure

hosten zu lassen. Außerdem lockt Microsoft

Bestandskunden, die trotz Extended-Support-Ende

am 20. Januar 2020 immer

noch bei Windows 7 geblieben sind,

mit der Option, beim WVD-Abonnement

nochmals drei Jahre Support-Verlängerung

zu erhalten. Für deutsche Unternehmen

wichtig: Der US-Konzern hatte 2018 verkündet,

in Deutschland zwei Cloudregionen

für Azure aufzubauen, um das unbeliebte

Cloud-Treuhändermodell der T-Systems-Kooperation

zu ersetzen. Dies kann

der Hyperscaler nun deutschen Bedenken

bezüglich Datenhaltung und Datensicherheit

entgegensetzen.

Der sichere Zugriff auf Windows Virtual Desktop erfordert das Zusammenspiel von Microsoft-Azure-

Umgebung und lokaler IT-Infrastruktur des Anwenderunternehmens.

Bild: Microsoft

gemacht hat. Neuerdings spannt er einen

interessanten Bogen vom mobilen Arbeiten

per Smartphone und Cloud zum Thema

E-Mobilität: Das iPhone war laut Dediu

„disruptiv“, weil es das Mobiltelefon auf

eine neue Grundlage stellte. Schließlich ist

das iPhone nicht einfach nur ein „smartes

Telefon“, sondern vielmehr ein sehr kleiner

und sehr vielseitiger Computer, dem es

dank Fokus auf Daten statt Sprache und

mittels App-Ökosystem gelang, ein ganz

neues Marktsegment zu schaffen. Ein solches

Disruptionspotenzial sieht Dediu

auch bei der E-Mobilität – allerdings nicht

beim E-Auto, sondern bei der Mikromobilität,

die er als „urbane Mobilität“ bezeichnet:

E-Fahrzeuge von unter 500 kg, also E-

Bikes, E-Lastenräder, E-Trikes, E-Scooter

etc. Den iPhones ähnlich, sind sie – gegenüber

dem klassischen Automobil, egal ob

Verbrenner oder Elektro – klein, flexibel,

leicht bedienbar sowie, etwa bei den Fahrradverleihfirmen,

intelligent vernetzt. Damit,

so Dediu, revolutionieren sie nach

iPhone-Art den Markt der urbanen Mobilität

– und dieses Marktsegment wächst

deutlich schneller als der nach wie vor

dümpelnde E-Automobilmarkt.

Der hippe, urbane Mitarbeiter von heute

steht nicht stundenlang im Stau, um dann

von neun bis fünf am Schreibtisch zu sitzen:

Er fährt die Kinder mit dem Fahrrad

oder E-Bike zur Kita und setzt sich dann

mit Notebook, Smartphone und/oder Tablet

mal ins Home Office, mal ins Büro, mal

in den bevorzugten „Third Place“. So nennen

Soziologen jenen dritten Ort, der weder

Zuhause noch Arbeitsstätte ist, an dem

man sich aber dennoch bevorzugt aufhält

– also zum Beispiel jene Art von Kaffeeausschank,

in der für alles gesorgt ist, was

der moderne Digitalnomade so braucht:

bequeme Sitzecke, Barista, WLAN.

Unser moderner Nomade hat im Alltag somit

oft weder direkten Zugriff auf ein Unternehmens-LAN,

lokale Backup-Medien

oder einen lokalen Drucker, noch trifft er

Kollegen aus dem Nachbarbüro für die

spontane Besprechung zwischen Tür und

Angel. Damit verlagert sich sein Arbeitsplatz

geradezu zwangsläufig in die Cloud:

Internet statt Enterprise-(W)LAN, Filesha-

Smart, mobil, vernetzt, urban

Horace Dediu ist ein Wirtschaftsanalyst,

der sich als Apple-Kenner einen Namen

Einrichtung von Applikationen mit dem WVD-Management-Portal.

Bild: Microsoft



Citrix ersetzt die klassische Desktop-Oberfläche durch einen Feed nach Social-Media-Art mit

Direktzugriff auf vorgeschlagene nächste Schritte (im Bild rechts oben).

Bild: Citrix

ring statt „siehe Attachment“, Cloud-

Backup, Cloud Printing, cloudbasierte

Collaboration per Messaging und Web-

Conferencing. Da liegt es nahe, gleich den

gesamten digitalen Workspace aus der

Cloud zu beziehen: Dies erleichtert das geräteübergreifende

Arbeiten, erspart dem

Anwender Software-Updates wie auch

Patches und minimiert den Schaden, falls

doch mal ein Latte Macchiato aufs Mac-

Book kippt. Schließlich gilt bei DaaS das

Thin-Client-Prinzip: Selbst im Worst Case

geht nur dumme Hardware verloren.

Nicht nur die

Latte-Macchiato-Fraktion

Anbieter Lösung Web-Adresse

AWS Workspaces aws.amazon.com/workspaces

Die genannten Anbieter von DaaS-Lösungen im Überblick.

Anders als Apple, Google oder AWS-Mutter

Amazon wurzelt Microsofts Business

in der Consumer- wie auch in der Unternehmenswelt.

So verwundert es nicht, dass

man in Redmond mit WVD weniger den

hippen Third-Place-Einzelkämpfer als

vielmehr durchaus umfangreiche und

komplexe Unternehmensszenarien ins Visier

nimmt. Ein Whitepaper, das Microsoft

zum WVD-Launch herausbrachte, nennt

als Einsatzfälle für Windows Virtual Desktops

neben mobilen oder externen Mitarbeitern

auch regulierte Organisationen,

Umgebungen mit besonders hohen Sicherheitsanforderungen,

Szenarien mit dynamischen

Nutzerzahlen oder zeitlich begrenzter

Nutzung oder auch Umgebungen

mit Sonderanforderungen wie etwa die –

heute oft geografisch verteilte – Softwareentwicklung.

Entsprechend bietet Microsoft mit WVD

Single-Session- wie auch Multi-Session-

Konfigurationen auf der Basis von VDI

(Virtual Desktop Infrastructure) oder Windows

10 Multi-Session, App-Masking (regelbasierte

nicht-persistente Windows-

Umgebungen mittels Technik von FSLogix),

die Weiternutzung bestehender Windows-Server-Images

(ab Windows Server

2012 R2) sowie Support für bestehende

Active-Directory-Strukturen (per Azure

AD Connect).

Zudem betont Microsoft, für WVD verfüge

man über mehr als 90 Sicherheits- und

Compliance-Zertifizierungen, darunter neben

der obligatorischen ISO 27001 zum

Beispiel auch Konformität mit den BaFin-

Vorgaben sowie das C5-Testat des BSI.

Citrix Managed Desktop www.citrix.com/de-de/products/citrix-managed-desktops

Citrix Workspace www.citrix.com/de-de/products/citrix-workspace/

Microsoft Windows Virtual Desktop azure.microsoft.com/de-de/services/virtual-desktop/

VMware Horizon Cloud www.vmware.com/de/products/horizon-cloud-virtual-desktops.html

VMware Workspace One www.vmware.com/de/products/workspace-one.html

VMware begegnet Datenschutzbedenken zur

ML-Dauerüberwachung mit einer App, die über

erfasste Daten Auskunft gibt.

Bild: VMware

Ins Auge fällt, dass Microsoft zum WVD-

Start auf eine Reihe von Kooperationen

verwies, darunter nicht nur – wie zu erwarten

– der langjährige Virtual-Desktop-Partner

Citrix, sondern auch VMware, Microsofts

großer Konkurrent im Server-Virtualisierungsmarkt:

Mit VMware Horizon

Cloud auf Microsoft Azure will man Unternehmen

die Möglichkeit geben, Azure-

Instanzen und Horizon-Cloud-Umgebungen

zu integrieren, um eine sichere Cloudumgebung

für den Betrieb virtueller Applikationen

und Desktops zu schaffen. Neben

Horizon offeriert VMware mit Workspace

One auch eine eigene Virtual-Workspace-

Plattform für den Betrieb im lokalen RZ

oder in der Cloud. Auf der VMworld 2019

stellte das Softwarehaus den Workspace

One Intelligent Hub vor, der als zentraler

Startpunkt für alle Applikationen, Workflows

und Benachrichtigungen dienen soll.

Mittels eines virtuellen Assistenten und

Sprachsteuerung (hier setzt VMware auf

IBM Watson) will man IT- und HR-Workflows

erleichtern und zum Beispiel für ein

schnelleres Onboarding (Neuregistrierung)

von Mitarbeitern sorgen (LANline

berichtete, siehe lanl.in/2Rc7y5d). Machi-



ne Learning (ML) soll es der IT-

Organisation dabei erleichtern,

Abweichungen vom normalen

Benutzerverhalten aufzudecken.

Höchste Priorität hat hier die IT-

Sicherheit. Um angesichts kontinuierlicher

Überwachung des

Mitarbeiter- und Geräteverhaltens

Bedenken bezüglich des Datenschutzes

abzumildern, gibt

Workspace One dem

Endanwender über eine

App Auskunft über alle

Daten, die das System über ihn sammelt.

Außerdem, so VMware, sei es möglich,

den Betriebsrat bei Änderungen an datenschutzrelevanten

Abläufen Workflow-basiert

zu informieren.

Feilen an der Employee Experience

ThinPrint bietet mit Ezeep eine

Cloud-Printing-Lösung für das

doch noch nicht so papierlose

Arbeiten mit WVD. Bild: ThinPrint

Wie bei VMware, so steht auch bei Citrix

die sogenannte „Employee Experience“

im Fokus, also die Art und Weise, wie ein

Mitarbeiter sein digitales Arbeitsumfeld

wahrnimmt und mit diesem interagiert.

Beide Digital-Workspace-Anbieter wollen

dem Endanwender den Alltag möglichst

mühelos gestalten, und beide setzen dabei

auf Machine Learning. Citrix sieht ML jedoch

nicht nur als Hilfsmittel für die Security-

oder Performance-Überwachung

durch die Administratoren, sondern auch

für die Endanwender selbst – und damit

zur direkten Optimierung der Employee

Experience: Citrix’ Lösung namens Workspace

– die ebenfalls on-premises laufen

oder aber auf WVDs aufsetzen kann und

kurz vor deren Start angekündigt wurde –

nutzt als Ausgangspunkt für den Endanwender

einen Feed in Social-Media-Manier

– somit also ein Interface, in dem sich

alle Digital Natives und auch das Gros der

älteren Endanwender ohne Schulung zu

Hause fühlen dürften.

Der Citrix-Workspace-Feed bündelt relevante

Informationen und „Call to Actions“,

also Buttons, die dem Endanwender den

nächsten anstehenden Workflow-Schritt

per Mausklick direkt zugänglich machen

(LANline berichtete, siehe dazu lanl.

in/2LXqi79). Diese basieren auf sogenannten

Micro-Apps: Monolithische Applikationen

zerlegt die Software in Funktionshäppchen,

um dem Endanwender in

möglichst vielen Situationen den „kurzen

Dienstweg“ zu ebnen. Dabei, so Citrix,

priorisiere und präsentiere der Workspace

die anstehenden Aktionen intelligent und

gerätebezogen (also am Smartphone anders

als am PC). Im Hintergrund soll Machine

Learning es dabei ermöglichen, dass

sich der Workspace im Lauf der Zeit immer

besser an die Bedürfnisse des Endanwenders

anpasst. Ergänzend nutzt Citrix

natürlich seine Management-Werkzeuge

für die schnelle Provisionierung und Skalierung

digitaler Workspaces sowie für die

Performance-Optimierung bei der Nutzung,

unter anderem über das hauseigene

Fernzugriffsprotokoll HDX. Citrix wie

auch VMware bieten zudem SD-WAN-Lösungen

für den optimierten Zugang zu den

WVD-Instanzen auf Azure.

Neben Citrix und VMware, die Microsoft

beim WVD-Start besonders hervorhob,

sind 17 weitere Partner zur Ergänzung der

Windows Virtual Desktops von Anfang an

mit an Bord. Dazu zählen diverse Anbieter

von Management-Werkzeugen zur schnellen

Provisionierung von Cloudressourcen

und digitalen Workspaces sowie für deren

optimierte Verwaltung und Absicherung,

darunter ControlUp mit seiner gleichnamigen

Analyse- und Automationsplattform,

Ivanti mit der Lösung User Workspace

Manager, Lakeside mit seiner Systrack-

Software für die Leistungsüberwachung

und -optimierung oder auch Liquidware

mit der gleichnamigen Verwaltungs- und

Optimierungslösung.

Zu der Anbieterschar zählen auch zwei

deutsche Unternehmen: der Bremer Anbieter

Igel – mit seinem Thin-Client-Betriebssystem

Igel OS und der

Universal Management Suite zur

Endpoint-Verwaltung – sowie

das Berliner Softwarehaus Thin-

Print mit seiner gleichnamigen

Druck-Management-Lösung

und der

Cloud-Printing-Lösung

Ezeep. Dass sich von den 19 WVD-Partnern

mit PrinterLogic, Printix, Tricerat

und ThinPrint gleich vier dem Thema Drucken

verschrieben haben, zeigt: Auch das

Büro in der Cloud funktioniert offenbar

noch nicht ganz so papierlos, wie sich das

viele Nutzer seit Jahren erhoffen.

2020 und darüber hinaus

Microsofts Einstieg in das DaaS-Geschäft

lässt mancherorts in der Branche die Hoffnung

keimen, dass 2020 das Jahr sein

könnte, an dem sich cloudbasierte digitale

Arbeitsplätze als ebenbürtige Desktop-Bereitstellungsoption

etablieren können.

Doch man sollte eines nicht vergessen: Ob

Smartphone, urbane Mobilität oder die Zukunft

des Arbeitens, Disruptionen dauern

ihre Zeit. Denn letztlich sind die Entscheider

im Unternehmen wie auch die Endanwender

– und in seinem tiefsten Herzen sicher

auch der E-Bike-fahrende Digitalnomade

– eben doch Gewohnheitstiere: Man

möchte, dass alles so funktioniert, wie es

schon immer funktioniert hat, vor allem

schnell und verlässlich. Der DaaS-Erfolg

hängt damit wesentlich von flächendeckender

Verfügbarkeit schneller Internetanbindung

ab – und hier hapert es in

Deutschland bekanntlich an allen Ecken

und Enden: Sobald man sich leichtsinnigerweise

von der Arbeitsstätte, dem Home

Office oder dem Lieblingscafé mit Gratis-

WLAN entfernt, ist es schnell vorbei mit

der Illusion, in der Cloud „so wie früher“

arbeiten zu können. Die frühen Anwender

disruptiver Technik mussten eben schon

immer hart im Nehmen sein. Darauf einen

Double-Shot Latte Macchiato mit Sojamilch!

Dr. Wilhelm Greiner



Datenquelle und Angriffswerkzeug

Twitter in der

IT-Sicherheit

Für einen neuen Forschungsbericht nahmen die Bedrohungsforscher

von Trend Micro das soziale Netzwerk Twitter unter die Lupe.

Sie analysierten eine große Menge an Twitter-Daten, um Beziehungen

zwischen Akteuren und Anomalien zu erkennen. Das Ergebnis:

Twitter kann Sicherheitsexperten wertvolle Erkenntnisse bieten,

lässt sich gleichzeitig aber auch für Angriffe missbrauchen.

Soziale Netzwerke können für IT-Sicherheitsfachkräfte

mehr sein als nur ein Mittel

zur Kommunikation: Security-Experten

können aus ihnen auch wertvolle Informationen

zu Schwachstellen, Exploits und

Malware sowie zu Bedrohungsakteuren

und Anomalien gewinnen. Laut einer Forrester-Studie

[1] betreiben bereits 44 Prozent

der befragten Unternehmen eine solche

Auswertung von Informationen aus sozialen

Medien (Social Media Intelligence,

SocMInt) im Rahmen ihrer Cybersicherheitsstrategie.

Dabei ist jedoch Vorsicht

geboten: Man sollte die aus sozialen Medien

gewonnenen Erkenntnisse stets validierten

und mit Kontext versehen, bevor

sie Entscheidungen zu Lösungen und Strategien

beeinflussen.

Es gibt dabei verschiedene Wege zur Gewinnung

von Rohdaten. Erstens kann man

diese durch Web-Scraping mittels Open-

Source-Tools wie Twint [2] erfassen.

Zweitens bietet Twitter auch die Möglichkeit,

über APIs [3] auf zahlreiche Daten

zuzugreifen. Drittens besteht die Option,

bereits bestehende Datensätze tiefergehend

zu analysieren. Für die aktuelle Untersuchung

haben die Sicherheitsforscher

gemäß Twitter-Nutzungsbedingungen eine

öffentliche API genutzt und zudem alle

entdeckten Indicators of Compromise

(IoCs) an Twitter gemeldet. Aus den analysierten

Daten konnten sie die Beziehungen

und Interaktionen zwischen verschiedenen

Accounts ebenso darstellen wie die behandelten

Themen. Dabei fanden sie nicht nur

menschliche Nutzer, sondern auch einige

Bots, die für Sicherheitsfachleute nützliche

Informationen wie aktuelle IoCs und

sogar Erkennungsregeln teilen.

Schwachstellen- und IoC-Monitoring

Die schnelle Übermittlung von Informationen

macht Twitter zu einer ernstzunehmenden

Vorgehensweise, um zu überwachen,

ob die Angreiferseite bekannte

Schwachstellen tatsächlich ausnutzt. Mit

diesem Wissen können Unternehmen die

Situation besser einschätzen und die sich

ständig verändernden Umgebungen verstehen.

Sicherheitsverantwortliche können

damit zudem besser einschätzen, ob ihre

Daten verwundbar oder zugänglich sind.

Um die Nutzung von Social Media bei der

Bedrohungsüberwachung zu demonstrieren,

suchten die Forscher nach Keywords

wie „0-day“, „CVE-“, „CVE-2018-*“,

„CVE-2019-*“ und „Bugbounty“. Somit

konnten sie die Kontextverteilung pro Erwähnung

von „CVE“-bezogenen Keywords

auf Twitter sehen. Die Verwendung

zusätzlicher Keywords ermöglichte einen

tieferen Einblick in die Suchergebnisse

und ergab weitere Details zu kürzlich veröffentlichten

Schwachstellen. IT-Sicher-

Die Einschränkung der Suche auf eine feste Anzahl von Twitter-Konten führte zu einem Diagramm der sozialen Interaktion, das interessante Accounts

und die nützlichsten Gespräche über bestimmte CVEs zeigt.

Bild: Trend Micro



heitspersonal kann damit feststellen, ob es

Proofs of Concept (PoCs) zur Ausnutzung

dieser Schwachstellen gibt. Die Suche

nach Kombinationen von Keywords wie

„GitHub“ und „CVE“ kann zudem Git-

Hub-Repositories mit PoCs für bekannte

Schwachstellen liefern.

Die Einschränkung der Suche auf eine feste

Anzahl von Twitter-Konten führte zu einem

Diagramm der sozialen Interaktion,

das interessante Accounts und die nützlichsten

Gespräche über bestimmte CVEs

zeigt (Bild 1). Ein genauerer Blick in diese

Grafik zeigt Twitter-Konten, die als Aggregatoren

von Nachrichten aus der Cybersicherheit

dienen. Ein Twitter-basiertes Monitoring

von Bedrohungen kann sich auf

diese Konten konzentrieren, da sie verwandte

und aktuelle Informationen liefern.

Diese Accounts lassen sich durch die Anzahl

ihrer Retweets oder Follower validieren.

Dabei ist allerdings zu berücksichtigen,

dass diese grundsätzlich auch durch

Social-Media-Bots manipulierbar sind.

Social-Media-Kanäle wie Twitter lassen

sich zudem als zusätzliche Quelle für IoC-

Mining nutzen. Hashtags wie #ThreatHunting

können Informationen über laufende

oder aktuelle Cybercrime-Kampagnen,

Datenschutzverletzungen und Cyberangriffe

liefern.

Informationsaustausch

Der Wissensaustausch ist in der IT-Security-Community

tief verankert. Das Teilen

von Techniken zur Bewältigung von Vorfällen

kann anderen Sicherheitsteams in ähnlichen

Situationen wertvolle Zeit sparen.

Diese Techniken reichen von NetFlow-

Analyse-Tools und Open-Source-Repositories

mit JavaScript-Bibliotheken, die größere

Sicherheit ermöglichen, bis hin zu Wissensdatenbanken

mit Reaktionsplänen für

bestimmte Vorfälle. Viele Sicherheitsforscher

teilen in sozialen Medien auch Regeln

zur Erkennung von Bedrohungen entweder

manuell oder automatisch. Artefakte wie

YARA-Regeln können für die Dateianalyse

und den Endpunktschutz Verwendung finden.

Sie können auch als zusätzliche Gegenmaßnahmen

gegen Bedrohungen dienen.

Öffentlich geteilte Netzwerk-IDS-Regeln

lassen sich zudem zur Verbesserung

Visualisierung von Keywords im Zusammenhang mit CVE-2019-3396, aufgeschlüsselt nach den

Informationsquellen.

Bild: Trend Micro

der Angriffserkennungsrate verwenden. Ein

Security-Team muss sie jedoch unbedingt

validieren, um sich vor sogenannten Poisoning-Angriffen

zu schützen.

Eine bösartige oder verdächtige Binärdatei

gibt Anlass zur Beunruhigung, insbesondere

wenn sie in einer sicherheitsrelevanten

Umgebung auftritt. Selbst wenn ein

IPS oder eine Endpunkt-Sicherheitslösung

die Bedrohung blockiert, muss das Security-Team

sie noch weiter bewerten oder untersuchen.

Rechtzeitig bereitgestellte Kontextinformationen

sind deshalb wichtig für

die Reaktion auf Vorfälle. Folgende Einschätzungen

können nützlich sein, wenn in

Zukunft ähnliche Vorfälle auftreten:

– die Dauer des Angriffs im kompromittierten

Netzwerk und laterale Bewegungen,

– der Ausgangspunkt der Kompromittierung

und die Phase der Kill Chain, in der

man den Angriff erkannte,

– die ausgenutzten Angriffsvektoren und

Schwachstellen sowie

– die Art des Angriffs: zielgerichtet oder

opportunistisch.

IT-Sicherheitskräfte müssen zudem beurteilen,

welche Aufgaben sie priorisiert erledigen

müssen und wie viel Aufwand und

Ressourcen dafür erforderlich sind, während

sie gleichzeitig andere Bedrohungen

kontinuierlich überwachen und erkennen.

Social Media kann hier Kontextinformationen

für spezifische Bedrohungen liefern

– etwa wie Angreifer eine Schwachstelle

tatsächlich ausnutzen. Beispielsweise sahen

die Forscher Tweets über eine Bedrohung,

die eine Schwachstelle in Adobe

Flash (CVE-2018-15982) ausnutzt, um

möglicherweise eine medizinische Einrichtung

in Russland anzugreifen.

Außerdem ist es möglich, die semantische

Analyse des Kontextes von Schwachstellen

zu automatisieren. Das verwendete

Tool analysierte Diskussionen über

Schwachstellen und konnte diese dadurch

mit Schlüsselwörtern in Verbindung bringen,

die die betroffene Software und die

Auswirkungen der Schwachstelle beschreiben.

Beispielsweise wurde CVE-

2019-3396 mit dem Schlüsselwort „confluence“

gematcht. Dies steht im Einklang

mit der Erkenntnis, dass Angreifer ein Exploit

für diese Schwachstelle in einen

DDoS-Bot (Distributed Denial of Service)



gescriptet haben. Durch die weitere Visualisierung

der Verbreitung von CVE-,

CVSS- und CVE-2019-3396-bezogenen

Tweets (Bild 2) konnten die Security-Forscher

feststellen, dass nach einiger Zeit

Keywords wie „infiziert“ auftauchten.

Dies kann zusätzlichen Kontext für eine

Schwachstelle liefern, da es zeigt, ob diese

aktiv genutzt wird. Doch wie bei allen Informationen

aus Social Media gilt es auch

hier, die Informationen zu prüfen und die

Reputation der Quelle zu berücksichtigen,

bevor man die Erkenntnisse aktiv nutzt.

Tech-Support-Scams

Leider brachte die Forschung auch unerfreuliche

Ergebnisse zutage: Cyberkriminelle

nutzen Twitter für betrügerische Aktivitäten.

Zum Beispiel geben sie sich mittels

gefälschter Accounts als Support-Abteilungen

von Technikherstellern aus. Die

Account-Profile fordern Nutzer dazu auf,

dort genannte Telefonnummern anzurufen,

um mit dem vermeintlichen Helpdesk des

Unternehmens zu sprechen. Daraufhin

bringen die Kriminellen die Anrufer dazu,

ihre Kreditkartendaten preiszugeben oder

bösartigen Content auf ihrem Computer zu

installieren. Sie bedienen dabei meist mehrere

Kanäle, neben Twitter beispielsweise

auch YouTube, Facebook, Telegram und

andere.

Zudem nutzen sie zunehmend Techniken

der Suchmaschinenoptimierung (SEO),

um das Suchmaschinen-Ranking ihrer gefälschten

Support-Websites zu erhöhen.

Solche Betrügereien mit technischen Mitteln

zu verhindern ist schwierig, da die Betrüger

nicht auf bösartige Dateien oder Hacking-Tools

angewiesen sind. Stattdessen

überlisten sie ihre meist ahnungslosen Opfer

durch Social Engineering. Glücklicherweise

setzt Twitter seine Richtlinien gegen

Missbrauch aktiv durch: Viele betrügerische

Accounts, die das Forscherteam während

der Recherche entdeckte, löschte

Twitter schnell.

Vermittler für C&C-Server

Im Rahmen der Forschung kam auch zutage,

dass bestimmte Malware-Familien darauf

programmiert sind, sich mit sozialen

Netzwerken zu verbinden und diese als

Vermittler für ihren C&C-Server (Command

and Control) zu nutzen. Zum Beispiel

überprüft die Android-Banking-Malware

Anubis mittels Twitter und Telegram

ihren C&C-Server. Dabei übermitteln die

Botnet-Betreiber von Anubis auch die

C&C-Informationen an das infizierte Android-Gerät.

Die Forscher entdeckten einige

sehr aktive Twitter-Accounts, die zur Verteilung

von C&C-Informationen Verwendung

fanden. Zudem gelang es, mehrere

Malware-Arten zu identifizieren, die mit

bestimmten Twitter-Konten in Verbindung

stehen.

Anubis ist nur eine von zahlreichen Bedrohungen,

die soziale Medien missbrauchen.

Auch die Android-Malware FakeSpy ist

dafür bekannt, Social-Media-Plattformen

für ihre C&C-Kommunikation heranzuziehen.

Bedrohungen wie Elirks, das in Cyberspionage-Kampagnen

zum Einsatz

kommt, missbrauchen ebenfalls Social

Media und Microblogging-Dienste, um

ihre C&C-Informationen abzurufen. Die

Betreiber von Elirks nutzten dafür Social-

Media-Kanäle, die in den Ländern ihrer

Opfer besonders beliebt sind, um möglichst

wenig Aufmerksamkeit zu erregen.

Ergänzend verbargen sie ihre eigentlichen

C&C-Server hinter öffentlichen DNS-

Diensten.

Eine weitere Missbrauchsmöglichkeit von

Twitter besteht darin, die Routinen und

Konfigurationen von Malware oder von

Angreifern genutzte Domains zu verschleiern.

Ein Beispiel: Eine Bedrohung,

deren Infektion durch Exploit-Kits oder

gezielte Angriffskampagnen erfolgt, lädt

mittels Steganographie – also dem Verstecken

von Code oder Daten in einem Bild –

ihre endgültige Payload herunter.

Dies ist bei einer kürzlich entdeckten Malware

zum Datendiebstahl der Fall: Sie verbindet

sich mit einem Twitter-Konto und

sucht nach dort in Bildern eingebetteten

HTML-Tags. Dann lädt sie das entsprechende

Bild herunter und analysiert es, um

versteckte Befehle zum Abrufen von C&C-

Konfigurationen, zur Erstellung von

Screenshots und zum Stehlen von Daten

zu extrahieren.

Social Media Intelligence nutzen

Unternehmen, die Social Media Intelligence

in ihre Cybersicherheitsstrategie integrieren

wollen, sollten zunächst den konkreten

Anwendungsfall identifizieren.

Zweifellos können diese Informationen für

Sicherheitsexperten wichtig sein. Ihr Wert

hängt jedoch entscheidend davon ab, wie

man sie zur Risikominderung nutzt. Effektive

SocMInt erfordert zudem saubere Daten,

deren Validität man stets prüfen sollte.

Richard Werner/wg

Richard Werner ist Business Consultant bei Trend

Micro, www.trendmicro.de.

Die gleiche Diskussion über CVE-2019-3396, diesmal aber aufgeschlüsselt nach dem Kontext der

Konversation über die Schwachstelle.

Bild: Trend Micro

Weitere Informationen

[1] Vgl. The Forrester New Wave: Digital Risk

Protection, Q3 2018.

[2] https://github.com/twintproject/twint

[3] Detaillierte Informationen unter https://developer.

twitter.com



Marktübersicht: Virtual-Workspace-Management

Anbieter Lösung Web

Amazon Web Services

Citrix

Workspaces, Workspaces

Application Manager

Analytics, App Layering, Workspace,

Virtual Apps and Desktops

aws.amazon.com

www.citrix.de

ControlUp Insights, Real-Time www.controlup.com

Dell Technologies

Dell Provisioning for VMware

Workspace One, Unified Workspace

www.dellemc.com

Ivanti User Workspace Manager www.ivanti.com

Lakeside Software SysTrack www.lakesidesoftware.com

Liquidware

Flexapp, Profileunity,

Stratusphere UX

www.liquidware.com

Anbieter Lösung Web

Login VSI Login VSI Enterprise Edition www.loginvsi.com

Matrix42 MyWorkspace www.matrix42.com/de

Microsoft

VMware

FSLogix

Windows Virtual Desktop


Diagnostics


Management UX

AppVolumes, Horizon 7,

Horizon Apps, Horizon Cloud,

Workspace One

www.microsoft.com

azure.microsoft.com/de-de



www.vmware.com/de

Alle Marktübersichten finden Sie unter www.lanline.de/marktuebersicht.

News

Adaptivas Schwachstellen-Management-Lösung Evolve VM

Tausende Endpunkte in Minuten nach Lücken scannen

Das Schwachstellen-Management-Tool Evolve VM untersucht laut Hersteller

Adaptiva automatisch Tausende Endpunkte in wenigen Minuten. Bild: Adaptiva

Das Schwachstellen-Management-Tool

Evolve VM untersucht

laut Hersteller Adaptiva

automatisch Tausende Endpunkte

in wenigen Minuten

und beseitigt Schwachstellen

gleich nach deren Entdeckung.

Für die schnelle Behebung der

Abweichungen vom Soll-Wert

nutzt Adaptiva hauseigene

Peer-to-Peer-Technik. Dank

dieser, so das Softwarehaus,

könne die Lösung skalieren,

ohne dabei die Performance

des Unternehmensnetzwerks

zu schmälern. Im aktuellen Release

bietet das Tool laut Hersteller

Tausende Status-, Compliance-

und Schwachstellenprüfungen

für Windows-Systeme.

Zur Unterstützung der

Compliance-Assessments importiere

es Inhalte des NIST

via SCAP (Security Content

Automation Protocol), zudem

unterstütze es OVAL (Open

Vulnerability Assessment Language)

für den Informationsaustausch.

Mittels einer integrierten

grafischen Orchestrierungs-Engine

könne man neue

Scans und Behebungsmaßnahmen

visuell gestalten. Evolve

VM lasse sich in Fremdsysteme

wie ServiceNow integrieren

und dadurch in vorhandene

Prozesse einbinden. Evolve

VM läuft auf Adaptivas hauseigener

Evolve-Plattform. Bestandskunden

benötigen damit

lediglich einen Lizenzschlüssel

für die Nutzung des Tools. wg

Info: Adaptiva

Web: www.adaptiva.com

Riverbed stellt SteelConnect EX vor

SD-WAN plus Sicherheit plus App-Beschleunigung

Riverbeds neue Softwarelösung

SteelConnect EX vereint SD-

WAN (Software-Defined WAN)

mit integrierter Anwendungsbeschleunigung

und Security-Services.

Damit will es Riverbed

Unternehmen erleichtern, selbst

bei großen und komplexen Netzen

die Herausforderungen der

Netzwerktransformation zu bewältigen.

Riverbed SteelConnect

EX soll dabei mittels eines

Carrier-Grade-Routing-Stacks

sicherstellen, dass das SD-WAN

mit Bestandsnetzwerken interoperabel

ist. Der Baustein Steel-

Connect EX SD-WAN erlaube

es, WAN-Kapazität kosteneffizient

auszubauen. Außerdem

könne man neue Zweigstellen

schneller anbinden und Anwendungen

sowie Prozesse optimieren.

Das Modul SteelConnect

EX App Acceleration stelle Anwendungsbeschleunigung

und

Optimierungsfunktionen bereit.

SteelConnect EX Security wiederum

sorge für vollständig integrierte,

mehrstufige Security-Services.

Zudem hat Riverbed

seine NPM-Lösung (Network-Performance-Management)

deutlich erweitert. Die

Software umfasse jetzt neue

Cloud-Monitoring-Funktionen

für bessere Performance-Kontrolle

in Private-, Hybrid- und

Multi-Cloud-Umgebungen. wg

Info: Riverbed

Web: www.riverbed.com

Riverbeds NPM-Lösung umfasst neue Cloud-Monitoring-Funktionen. Bild: Riverbed



KI-gestützte Endpunktsicherheit

Dem Angreifer voraus

Künstliche Intelligenz (KI) erscheint vielen als Allzwecklösung für

Herausforderungen der digitalen Welt. Ganz so einfach ist es

jedoch nicht. Häufi g ist es erst das Zusammenspiel zwischen

Mensch und Maschine, das den Einsatz künstlicher Intelligenz zum

Erfolg führt, so zum Beispiel beim Schutz von Endpunkten.

Knapp ein Drittel (30 Prozent) aller deutschen

Unternehmen ist bereits Opfer eines

Ransomware-Angriffs geworden. 29 Prozent

gaben an, dass sie schon Hacking-

Versuche beobachtet haben, diese aber abwenden

konnten. Das geht aus einer Studie

von KPMG und Kantar Emnid hervor. Auf

globaler Ebene kommt CrowdStrike in seinem

Overwatch Report 2019 zu dem Ergebnis,

dass kriminelle Aktivitäten 61 Prozent

aller bislang in 2019 beobachteten

Angriffe ausmachen. Allerdings sind auch

Angriffe durch Nationalstaaten nicht zu

unterschätzen. Besonders die Endpunkte

des Unternehmensnetzwerks sind in Gefahr.

Denn die meisten erfolgreichen Cyberangriffe

gehen auf menschliches Fehlverhalten

zurück – zum Beispiel auf Anwender,

die auf eine Phishing-E-Mail reagieren.

Zudem sind die Endpunkte häufig

auch schlechter geschützt als andere Teile

der IT-Infrastruktur.

Antivirenprogramme nutzt praktisch jedes

Unternehmen. Auf die immer intelligenteren

Angriffe wissen jedoch viele keine ausreichende

Antwort. Moderne Security-Lösungen

gehen längst mehrere Schritte weiter

und setzen auf einen vielschichtigen

Ansatz, der Virenabwehr mit der Analyse

von Angriffsindikatoren, Verhaltensanalyse

sowie menschlicher und künstlicher Intelligenz

kombiniert.

Die klassische Virenabwehr setzte auf die

Auswertung von Signaturen. Dafür werden

„Fingerabdrücke” von Malware erstellt,

die für das Schadprogramm charakteristische,

einzigartige Eigenschaften auflisten.

Antivirenprogramme nutzen diese

Merkmale, um Malware auf der Festplatte,

im Arbeitsspeicher oder im Netzwerk-

Traffic (Indicators of Compromise, IoCs)

zu identifizieren. Der signaturbasierte Ansatz

birgt jedoch mehrere Nachteile: Signaturen

gibt es lediglich für bekannte

Schadprogramme, Sicherheitsbeauftragte

müssten Schutzsysteme deshalb täglich

aktualisieren. Angreifer können einen rein

signaturbasierten Ansatz schon mit geringfügigen

Anpassungen der Schadsoftware

umgehen. Außerdem haben sich die Bedrohungsszenarien

in den letzten Jahren

stark verändert und sind vielfältiger geworden

– die schiere Menge an Malware

zuverlässig mit klassischen Malware-Signaturen

abzudecken ist schlicht unmöglich.

Und schließlich kommen auch immer

mehr Angriffe ohne Malware aus: Angreifer

spionieren beispielsweise Zugangsdaten

aus und missbrauchen diese, um sich

im Unternehmensnetz „seitwärts“ von Maschine

zu Maschine zu bewegen (Lateral

Movement).

Deswegen setzen viele Unternehmen auf

einen heuristischen Ansatz. Dabei beschreibt

ein von Experten erstelltes Regelwerk

die Eigenschaften bösartiger Dateien.

Dieses Verfahren macht die Virenerkennung

deutlich flexibler, weil es die

Merkmale zur Identifikation breiter interpretiert

und nicht nach einer bestimmten

Zeichenfolge im Code sucht. Auch diese

Heuristiken sind jedoch permanent anzupassen,

und auch sie basieren stets auf bereits

bekannten Merkmalen von Schadprogrammen.

Die Arbeit mit Heuristiken stößt

deshalb relativ schnell an ihre Grenzen:

Zum einen müssen die Regeln breit genug

gefasst sein, um eine ausreichende Abdeckung

neuer Schadsoftware zu erzielen;

zum anderen müssen sie eng genug formuliert

sein, um nicht irrtümlich legitime Dateien

als Schadsoftware einzuordnen.

Mit dem großen Volumen an neuer Schadsoftware

und der großen Variation an legitimen

Applikationen ist dies zudem eine

außerordentliche Herausforderung für manuell

generierte Regeln.

Die Herausforderung beim Machine Learning

liegt darin, eine Entscheidungsgrenze für

Instanzen zweier Klassen – etwa normaler

Code/Schadcode – zu etablieren. Bild: Crowdstrike



Die statistische Analyse umfangreichen Datenmaterials erlaubt es ML-gestützter Security-Software,

eine Schwelle für die Schadcode-Differenzierung zu finden.

Bild: Crowdstrike

Das heuristische Vorgehen ist unabdingbar,

greift jedoch heute zu kurz. Deshalb

entwickeln Sicherheitsexperten den heuristischen

Ansatz konsequent weiter und

setzen dabei auf künstliche Intelligenz –

genauer gesagt auf maschinelles Lernen

(ML). Algorithmen ersetzen dabei die manuelle

Auswertung. Der Vorteil: Die Algorithmen

können riesige Datenmengen mühelos

kategorisieren, analysieren und auswerten.

An die Stelle des statischen Regelmodells

tritt damit ein statistisches Modell,

das zwischen Bedrohungen und legitimer

Nutzung differenzieren kann. Dieser erweiterte

Ansatz vergrößert gleichzeitig die

Möglichkeiten der Angriffsabwehr: KI

kann helfen, frühzeitig selbst unbekannte

Angriffe zu entdecken.

Dies liegt überwiegend an einem Vorteil

des ML-Ansatzes: an der großen Datenmenge,

die sich so verarbeiten lassen. Und

zwar in doppelter Hinsicht: Zum einen gelingt

es mit vielen Daten besser, Trends

und Unregelmäßigkeiten zu erkennen. Gerade

cloudbasierte Lösungen können beispielsweise

die Daten und Ereignisse von

Angriffen aus verschiedenen Systemen

weltweit in die Analyse einbeziehen. Das

verringert die Chance deutlich, dass Angreifer

einen Virus verbreiten oder einen

neuen Angriffsvektor nutzen können. Die

Skalierungsflexibilität der Cloud ermöglicht

es, eine größere Anzahl und Vielfalt

von Datensätzen in die Analyse einzubeziehen.

Zum anderen lassen sich auch

mehr Attribute und Merkmale pro Datensatz

in die Analyse einbeziehen, um eine

größere Datenbasis zu generieren. Individuelle

Datensätze können daher komplexer

sein und mehr Informationen beinhalten.

Dies ermöglicht eine globale Bedrohungsanalyse

und bringt sogar schwache

Bedrohungssignale ans Licht.

Im Bereich der Cyberabwehr ist KI keine

einzelne Anwendung, die bisherige

Schutzmaßnahmen ablöst. Vielmehr handelt

sich um ein neue Art von Werkzeugen,

die allesamt helfen, mehr Angriffe zu erkennen

und Wege zu finden, diese zu vereiteln.

Das übergeordnete Ziel dieser KI-Lösungen

ist es, Bedrohungen zu erkennen,

selbst wenn keine klassischen Indikatoren

vorliegen – also auch in den Fällen, in denen

signaturbasierte Ansätze oder IoC-

Heuristiken nicht greifen, da die Malware

keiner bisher bekannten Familie zuzuordnen

ist. Hier kommt der große Vorteil der

maschinellen Datananalyse zum Tragen.

Die reine Integration eines ML-Algorithmus

in ein Anti-Virus-Tool ist dabei das

kleinere Problem. So bietet der Markt inzwischen

einige Lösungen, die datenbasierte

Entscheidungen unterstützen. Die

wirkliche Herausforderung ist das Training

der Algorithmen: Wie werden sie

schlauer als die Angreifer? Hier gilt: Viel

hilft viel – je größer die Trainingsdatenmenge,

desto besser. Marktführende Sicherheitslösungen

analysieren jeden Tag

Hunderte Milliarden Ereignisse. Diese

Analyseergebnisse fließen in das KI-Training

ein und erlauben es den Trainingsalgorithmen,

akkurate statistische Prognosen

zu erstellen. Die Datenbasis ergänzt

man dazu kontinuierlich mit aktuellen Daten,

Erfahrungen und Rückschlüssen.

Eine umfassende, aktuelle Datenbasis ist

das A und O, will man die fortschrittlichsten

und neuesten Bedrohungen erkennen.

Denn jeder zusätzliche Datensatz liefert

ein weiteres kleines Puzzlestück für die

Beurteilung einer Bedrohungslage. Anti-

Malware-Werkzeuge sind demnach heute

weit mehr als eine Software, die regelmäßig

aktualisiert wird: Viren- und Bedrohungsabwehr

erfordern einen streng definierten

Prozess mit möglichst vielen qualitativ

hochwertigen Datenquellen und

Rückkopplungsschleifen.

KI ist kein Allheilmittel, sondern unterliegt

Limitationen. Die Algorithmen sind sehr

komplex, die Berechnungen deshalb fehleranfällig

und nicht immer eindeutig interpretierbar.

Sicherheitsexperten in Unternehmen

sollten die Ergebnisse deshalb immer

im Auge behalten und mit der eigenen

Expertise prüfen, ob die Ergebnisse Sinn

ergeben. Gute KI-Lösungen renommierter

Sicherheitsanbieter arbeiten deshalb immer

Hand in Hand mit menschlichen Sicherheitsexperten.

Denn dabei lernt die

Maschine vom Menschen und umgekehrt

der Mensch von der Maschine.

Dennoch: An einer KI-gestützten Lösung

zum Schutz der Endpunkte wird künftig

kein Unternehmen vorbeikommen. Cyberbedrohungen

nehmen sprunghaft zu, und

nicht nur die Sicherheitslösungen machen

Fortschritte, sondern auch die Angreifer.

Ob Nationalstaaten oder professionelle

kriminelle Angreifer, beide verfolgen heutzutage

konkrete Ziele, und den meisten ist

jedes Mittel recht, um diese zu erreichen.

KI ist eine leistungsstarke Ergänzung im

Bereich der Cybersecurity.

Dr. Sven Krasser/wg

Dr. Sven Krasser ist Chief Scientist bei CrowdStrike,

www.crowdstrike.com.



Mobile-Content-Management

Container vs. native

Datentrennung

Im Unternehmen sind Notebooks, Tablets und Smartphones

mittlerweile der Standard. Die Entwicklung kommt dem Wunsch

von Arbeitnehmern nach mehr Flexibilität und einer verbesserten

Work-Life-Balance entgegen. Gleichzeitig ist sie auch im Sinn der

Arbeitgeber. Da diese heute mehr denn je um junge Talente werben,

müssen sie sich möglichst attraktiv präsentieren. Zudem

versprechen sie sich von zunehmender Flexibilität auch mehr

Agilität. Doch das Mobile Offi ce hat auch seine Schattenseiten,

insbesondere bezüglich der Datensicherheit.

Bei der Bereitstellung unternehmenseigener

IT für die Nutzung in den eigenen vier

Wänden oder unterwegs gehen Struktur

und Kontrolle schnell verloren: IT-Administratoren

sehen sich mit der privaten

Nutzung dienstlicher Geräte und umgekehrt

konfrontiert. Dies erschwert die Abgrenzung

betrieblicher Daten, das Risiko

der Abwanderung vertraulicher Informationen

steigt.

Gefährliche Grauzone

Bei der Nutzung von Smartphones entsteht

eine Grauzone, da viele Anwender es mit

dem Datenschutz nicht immer so genau

nehmen. Zu verlockend ist es, das Diensthandy

am Wochenende oder im Urlaub im

Büro zu lassen und die E-Mails auf dem

privaten Handy zu checken oder doch mal

eine WhatsApp-Message an Kollegen oder

Kunden zu verschicken. Umgekehrt ist es

praktisch, das Diensthandy auch mal zu

nutzen, um eine private Nachricht zu senden

oder ein privates Anliegen wie eine

Online-Bestellung zu erledigen. Um

dienstliche von privaten Daten auf mobilen

Endgeräten wirksam zu trennen, wählen

Unternehmen oft Containerlösungen. Der

Mitarbeiter kann dabei auf seinem Smartphone

Unternehmensdaten nur innerhalb

einer geschützten Umgebung bearbeiten,

und datenschutzrechtlich fragwürdige

Apps können nicht auf dienstliche Kontaktdaten

zugreifen.

Jedoch hat diese im Prinzip gute Lösung

einige eklatante Nachteile. Unabhängig

davon, ob der Anwender sein Endgerät

vorrangig privat oder dienstlich nutzt,

müssen Administratoren jeden Container

verwalten. Das Einspielen von System-

Updates kann nur in enger Ansprache mit

dem Hersteller erfolgen. In letzter Konsequenz

entstehen so eine höhere Abhängigkeit

und vermeidbare Betriebskosten. Zudem

haben diese Container meist nur rudimentäre

Möglichkeiten zur Bearbeitung

von Dokumenten, zum Datenaustausch

und zur Zusammenarbeit mit anderen

Apps – ganz zu schweigen davon, dass

eine solche Container-App auch zwangsläufig

mit einer veränderten Benutzerfreundlichkeit

einhergeht. Deshalb zögern

einige Nutzer, die darin vorhandenen Anwendungen

für E-Mail, Kontakte und Kalender

anzunehmen und zu nutzen.

Containerlösungen erschweren folglich in

vielerlei Hinsicht das mobile Arbeiten,

statt es – wie ursprünglich beabsichtigt –

zu erleichtern.

Datentrennung und Onboarding

Eine Alternative ist ein EMM-Werkzeug

(Enterprise-Mobility-Management), das

ohne Container arbeitet und bei der Datentrennung

am Betriebssystem selbst ansetzt.

So gibt es im Bereich Android Enterprise

die Pakete „Work Profile“ und „Fully Managed

Device“. Nutzt der IT-Administrator

die Profile, können sie die Endgeräte im

für dienstliche Belange vorgesehenen Bereich

kontrollieren. Hier deckt das EMM

neben dem von Google geforderten Mindestumfang

die Kundenanforderungen an

Sicherheitseinstellungen und konfigurierbare

Einschränkungen ab. Bei der Nutzung

eines Containers oder einer gekapselten

Anwendung sind Administratoren zudem

stets vom Hersteller bei der Implementierung

neuer System-Updates abhängig,

während eine native Lösung integraler Bestandteil

der Firmware ist. Zum Einspielen

der Updates verwendet eine solche EMM-

Plattform die vom jeweiligen Hersteller

Android unterstützt mit Android Enterprise eine

Unterteilung in privaten und geschäftlich

genutzten Bereich des Betriebssystems.

Bild: Baramundi



des Mobilgeräts bereitgestellte Management-Schnittstelle.

Im Idealfall ergänzt die

Management-Plattform den Standardumfang

um zusätzliche Funktionen, bereitgestellt

etwa durch einen eigenen Agenten.

Ein derartiges Management-System bietet

ferner mehrere Methoden, um die verschiedenen

Betriebssysteme der Mobilgeräte in

Rahmen eines Enrollments zu koppeln:

iOS-Geräte lassen sich so im Optimalfall

direkt beim Bestellvorgang anlegen. Dazu

reicht es, dass der Benutzer sein Gerät einschaltet,

damit es automatisch dem Management

beitritt. Zusätzlich besteht die

Möglichkeit, dass Mitarbeiter mit einem

noch nicht integrierten iOS-Gerät einen

QR-Code scannen und es in das Management

einschreiben. Bei Android-Geräten ist

die Erfassung ähnlich unkompliziert: Die

Management-Suite kann Android-Geräte

direkt bei der Inbetriebnahme als „Fully

Managed Device“ aufnehmen oder zu einem

späteren Zeitpunkt mit dem „Work

Profile“ hinzufügen. Beide Fälle erfordern

ebenfalls den Scan eines QR-Codes.

Windows 10 bietet mit Windows Information

Protection (WIP) seit Version 1603

und Windows Autopilot seit Version 1703

ähnliche Optionen für Datentrennung und

einfaches Enrollment. Um WIP einsetzen

zu können, bedarf es im Unternehmen einer

geeigneten Management-Lösung. Administratoren

können mit WIP Datenrichtlinien

durchsetzen, die Datenweitergabe

im Unternehmen steuern sowie geschäftlich

genutzte Daten und Apps unabhängig

von privaten Elementen administrieren

und gegebenenfalls zurücksetzen.

Windows Autopilot ist seit Version 1703

verfügbar und setzt Azure Active Directory

voraus, um eine „Out of Box Experience“

(OOBE) beim Enrollment von Notebooks

und PCs zu ermöglichen. Microsoft ist mit

diesen Optionen später als die Mobilplattformen

auf den Markt gekommen – und

dies wohl nicht ohne Grund: Während das

Management von Smartphones und Tablets

von Anfang an Fragen nach Trennung

von privaten und geschäftlichen Daten und

OOBE aufgeworfen haben, waren diese

Themen beim klassischen PCs bisher mit

eher niedriger Priorität angesiedelt.

Sauber aufgeräumt

Mittels des nativen Ansatzes existieren Arbeits-

und Privatprofil sauber getrennt voneinander.

Der Anwender erkennt geschäftliche

Daten anhand eines entsprechenden

Symbols und kann die Informationen aus

den verschiedenen genutzten Kreisen nicht

mehr unbeabsichtigt vertauschen. Entsprechend

weiß er jederzeit, in welcher Umgebung

er sich gerade befindet. Dabei spielt

auch Verschlüsselung eine große Rolle.

Durch den passwortgeschützten Zugang

kann das System nicht nur verhindern,

dass der Anwender Bereiche verwechselt,

sondern auch, dass Unbefugte bei Verlust

des mobilen Endgerätes auf die Daten zugreifen.

Zusätzlich schiebt das Management-System

privat genutzten Anwendungen

einen Riegel vor: Administratoren

können von Haus aus unterbinden, dass

Anwender vertrauliche Unternehmensinformationen

zum Beispiel über ihr privates

WhatsApp-Konto versenden. Doch auch

der Nutzer gewinnt für seine eigenen Daten

an Sicherheit: Befinden sich diese nicht

im vom Unternehmen administrierten Bereich,

können IT-Verantwortliche nicht darauf

zugreifen. Sie besitzen lediglich Zugriff

auf den vom Firmenprofil definierten

Bereich, den sie über das Mobile-Device-

Management ändern oder löschen können.

Zudem können Administratoren die von

ihnen definierten „Pflichtanwendungen“

ohne Konfigurationskonflikte mit dem privaten

Profil auch im geschäftlichen Profil

installieren. Diese Unterteilung in zwei

Ein Mobile-OS mit nativer Datentrennung sorgt

für Orientierung, indem es geschäftliche Apps

und Ordner mittels Icons kenntlich macht.

Bild: Baramundi

App-Zonen dient nicht zuletzt der Sicherheit

der Arbeitsumgebung auf dem Smartphone:

Manche frei verfügbare App kommt

trotz Überprüfung in der Download-Plattform

der Betriebssystemhersteller mit Programmierfehlern,

die die Stabilität der

Umgebung beeinträchtigen können. Zugleich

verlangen viele Apps Zugang zu

den Funktionen des Mobilgeräts, die sie

für ihren Programmablauf nicht benötigen

und lediglich zur Datensammlung nutzen.

Insbesondere im Hinblick auf Anwendungen,

die in der Vergangenheit durch einen

eher laschen Umgang mit dem Datenschutz

auffällig geworden sind, ist dieser

Zugang problematisch. Eine saubere Unterteilung

in dienstlich und privat genutzte

Daten ist nicht zuletzt aus Datenschutzgründen

im ureigensten Interesse des Unternehmens.

So könnten Mitarbeiter wenig

begeistert reagieren, wenn ihr Arbeitgeber

plötzlich Zugriff auf private Daten hat.

Zwar ist eine solche Trennung auch durch

Containerlösungen gewährleistet, doch

demgegenüber stehen die erwähnten technischen

Nachteile dieser Option.

Zusätzlich bietet eine ausgereifte Management-Plattform

Funktionen, die eine

schlichte Nutzung von Containern nicht

vorsieht. So inventarisiert sie Rechner wie

auch Netzwerkumgebung und ermöglicht

die automatisierte Installation und Aktualisierung

des Betriebssystems. Ebenso stattet

sie das System mit den benötigten Anwendungen

aus, die der IT-Administrator

gemäß standardisierten Anwendungsszenarien

definiert hat. Um jederzeit den sicheren

Betrieb der Systeme zu gewährleisten,

stellt das Management-System die aktuellen

Updates und Patches für Standardsoftware

zur Verteilung bereit und

informiert über den aktuellen Zustand des

gesamten Netzwerks und einzelner Endpoints.

Insgesamt sollten IT-Verantwortliche

ein natives Datentrennungsmodell

dem containerbasierten Ansatz vorziehen.

Mehr Sicherheit, eine striktere Datentrennung

und weitaus bessere Performance

sollten keine Fragen mehr offenlassen.

Alexander Haugk/wg

Alexander Haugk ist Produkt Manager bei

Baramundi Software, www.baramundi.de.



Anforderungen an ein EMM-Tool

Sichere Nutzung

mobiler Endgeräte

Die Allgegenwart von Smartphones und ähnlichen mobilen Endgeräten

stellt IT-Teams vor riesige Herausforderungen. Sind die

Geräte nicht gesichert, drohen Konsequenzen aus mehreren

Perspektiven, darunter Datenverlust oder -missbrauch, Geräteausfall

und damit verbunden der Verlust der vorher gewonnenen

Produktivität oder Kundenzufriedenheit. Die Frage lautet also, wie

man diese Geräte am besten betriebssystemübergreifend absichert

und dabei den Datenschutz gemäß DSGVO (Datenschutz-

Grundverordnung) garantiert.

Jedes Mobilgeräte-Betriebssystem verfügt

über eine Art integrierten Basisschutz. Für

sehr kleine Unternehmen reicht dieser womöglich

aus. Jedoch ist das Management

und der sichere Betrieb vieler Geräte, die

womöglich unter verschiedenen Betriebssystemen

und mitunter an verschiedenen

Standorten, zumindest aber außerhalb des

Firmengeländes zum Einsatz kommen,

eine enorme Herausforderung für die IT-

Abteilung.

Android, das verbreitetste Mobilgeräte-

Betriebssystem, war ursprünglich als Verbraucherprodukt

positioniert. Allerdings

hat Google ständig neue Sicherheits- und

Verwaltungsverbesserungen eingeführt,

um sein Linux-basiertes Betriebssystem

unternehmensfreundlicher zu machen –

Stichwort Android Enterprise. Die Fragmentierung

von Android-Geräten und Betriebssystemversionen

macht die Entwicklung

von Apps aufwendiger – auch die Sicherheit

von Daten bleibt als Aufgabe

bestehen. Auf Betriebssystemebene bietet

Android die gleiche Sicherheit wie der Linux-Kernel:

Es bietet eine Anwendungs-

Mobilgeräte-Betriebssysteme – im Bild Android Enterprise – bieten heute diverse Funktionen, um

die Geräteverwaltung zu erleichtern. Im Unternehmensalttag reicht dies jedoch nicht aus. Bild: Google

Sandbox, einem verifizierten Boot-Vorgang,

eine Rooting-Erkennung sowie

Kryptografiewerkzeuge. Android-Geräte

bieten umfassende Unterstützung für gängige

Lösungen zur Geräte- und App-Verwaltung.

Manche Hardwarehersteller, die

Android für ihre Geräte nutzen, haben proprietäre

APIs implementiert, um zusätzliche

Verwaltungs- und Sicherheitsfunktionen

hinzuzufügen.

Android vs. iOS vs. Windows 10

Apples App-Ökosystem wiederum ist umfangreich,

und die iOS-App-Entwicklung

ist die einfachste aller großen Mobilgeräte-

Plattformen. Apple VPP (Volume Purchase

Program) gestaltet die Bereitstellung und

Verwaltung von Unternehmensanwendungen

schnell und einfach. Zudem gibt es

keine Gerätefragmentierung, da ausschließlich

Apple selbst Geräte mit iOS

entwickelt und vermarktet. Das Betriebssystem

bietet Tools, um die Geräte- und

Datensicherheit zu gewährleisten: eine sichere

Startkette, Mehr-Faktor-Authentifizierung,

AES-256-Verschlüsselung und

eine Vielzahl weiterer Sicherheitsfunktionen.

iOS bietet eine breite Auswahl an

Funktionen zum Verwalten von Geräten

inklusive Apps, während Apple DEP (Device

Enrollment Program, neuerdings ersetzt

durch Apple Business Manager) sowie

Configurator die Geräteregistrierung

und -bereitstellung beschleunigen.

Bei Windows 10 schließlich sorgt die Strategie

„Eine Windows-Plattform“ für ein

einheitliches Betriebssystem für alle Geräte-Formfaktoren.

Diese Strategie umfasst

die Universal Windows Platform (UWP),

mit der Entwickler universelle Apps erstellen

können, die auf allen Plattformen und

Geräteklassen funktionieren. Mit UWP

lassen sich Apps für jeden Formfaktor einfach

entwickeln. Microsoft Windows 10

enthält viele Funktionen, die es ideal für

Unternehmen machen. Im Bereich der mobilen

Geräte findet Windows 10 bei der

Augmented-Reality-Brille Hololens Verwendung.

Technologiestrategie nötig

Angenommen, ein Mitarbeiter erhält von

seinem Unternehmen zwei mobile Geräte,



mit denen er von überall aus arbeiten kann:

ein Smartphone und ein Tablet. Für ein

Unternehmen mit 500 Mitarbeitern sind

das 1.000 Geräte – teils direkt im Unternehmen

im Einsatz, teils dort, wo sich der

Mitarbeiter gerade befindet. Es ist unmöglich,

diese Anzahl an mobilen Geräten, die

ein Unternehmen normalerweise bereitstellt,

manuell zu verwalten und zu sichern.

Deshalb ist eine Strategie erforderlich,

die sicherstellt, dass das Unternehmen

kontinuierlich die fortschrittlichste

Mobilitäts- und IoT-Lösung implementiert,

um seinen Mitarbeitern die optimale

und zugleich sichere Nutzung mobiler

Technologien zu ermöglichen.

Teil dieser Strategie muss es sein, Richtlinien

für die Zuweisung und Verwendung

von Mobilgeräten und Apps im Unternehmen

festzulegen. Derlei Richtlinien beantworten

wichtige Fragen, beispielsweise

wer innerhalb des Unternehmens welche

Art von Mobilgerät (Laptop, Tablet oder

Smartphone) erhalten und nutzen soll.

Welche Apps benötigen Mitarbeiter, wer

darf selbst Apps installieren? Wer erhält

Zugriff auf welche Dokumente und Dateien,

und von wo aus darf man darauf zugreifen?

Hat ein Unternehmen diese Fragen

beantwortet, gilt es, alle Geräte effizient

zu verwalten, zu überwachen und zu

warten. Dies fügt den Faktoren, die bei der

Implementierung zu berücksichtigen sind,

eine weitere Komplexitätsebene und neue

IT-Herausforderungen hinzu.

EMM-Werkzeuge helfen

Sind die Richtlinien erstellt, sollte das Unternehmen

eine EMM-Lösung (Enterprise-

Mobility-Management) implementieren,

um alle mit dem Netzwerk verbundenen

Endpunkte zu verwalten. Die EMM-Software

steuert die Gerätesicherheit, verwaltet,

wer welche Apps und Inhalte erhält,

und ermöglicht die Behebung von Gerätestörungen

aus der Ferne – und das über

deren gesamten Lebenszyklus hinweg: von

der Inbetriebnahme und der ersten Absicherung

des Geräts über dessen Überwachung

und Steuerung während des täglichen

Gebrauchs bis zur Stilllegung. Für

jede Phase des Mobilgeräte-Lebenszyklus

empfiehlt sich eine Reihe von Best Practices,

um Sicherheitsbedrohungen für Mobilgeräte

zu reduzieren.

Essenziell ist zunächst die Möglichkeit einer

Inventarisierung aller im Einsatz befindlichen

mobilen Endgeräte. Denn nur so

lässt sich jederzeit feststellen, welche Geräte

innerhalb des Unternehmens tatsächlich

Verwendung finden und inwieweit diese

Zugang zu Unternehmensdaten, E-

Mail-Verkehr und anderen sensiblen Informationen

haben. Auch einer intelligenten

Rechtezuweisung kommt eine besondere

Bedeutung zu. Sie entscheidet darüber,

welche Legitimation ein bestimmtes Gerät

besitzt, zum Beispiel in welchem Maße es

Zugang zum Netzwerk oder Zugriffsrechte

auf Daten hat.

Bei Verlust oder Diebstahl muss sich ein

Gerät durch ein Geo-Tracking jederzeit

wiederfinden und gegebenenfalls sperren

lassen, um Unternehmensdaten zu schützen.

Weitere wichtige Schutzmechanismen

sind das sogenannte Geo-Fencing und ein

integrierter Lockdown-Modus. Beim Geo-

Fencing handelt es sich um eine Technik,

die Daten lediglich in einem ausgewählten

Bereich abrufbar macht, beispielsweise

nur auf dem Unternehmensgelände. Verlässt

ein Endgerät dieses klar definierte

Areal, verweigert die EMM-Software den

Zugriff auf die Informationen automatisch.

Durch den Lockdown-Modus lassen sich

auf allen Geräten nur genehmigte Applikationen

verwenden, während nur das IT-

Team Einstellungen vornehmen kann. Dies

kann Datenmissbrauch durch Malware

verhindern und die Weitergabe sensibler

Informationen an organisationsfremde

Apps unterbinden. Darüber hinaus sollte

die EMM-Lösung einen sicheren Browser

oder vordefinierte Einstellungen bieten,

um Man-in-the-Middle-, Phishing- und

Social-Engineering-Angriffe zu minimieren.

Ein EMM-Tool kann zudem die Verwendung

komplexer Kennwörter erzwingen

und kritische von nicht kritischen Daten

trennen.

Um all diese Funktionen einfach und zentral

steuern zu können, muss das IT-Team

im Fernwartungsmodus ortsunabhängig

auf alle Geräte zugreifen und eventuell

auftretende Probleme beheben können.

Darüber hinaus muss es möglich sein, sicherheitsrelevante

Updates für ein Gerät

und die verwendeten Apps zu installieren

und so Sicherheitslücken schnell zu schließen.

Zudem sollte das IT-Team jederzeit

Einblick in umfassende Analysen zur Gesamtleistung

des Geräts haben, einschließlich

der Leistung des Akkus, der Daten-,

Netzwerk- und App-Nutzung beziehungsweise

Nutzungsdauer sowie des Gerätestandorts.

All diese Faktoren tragen zur effektiven

Verwaltung von Unternehmensgeräten

bei und bieten der IT-Organisation

im Idealfall die Möglichkeit, Geräteprobleme

zu identifizieren und zu lösen, noch

bevor sie auftreten.

Fazit: Bordmittel reichen nicht

Diese Überlegungen verdeutlichen: Die

manuelle Verwaltung der Geräte, die ein

Unternehmen bereitstellt, oder die Verwendung

integrierter Bordmittel reichen

nicht aus, um sicherzustellen, dass Mobility-

und IoT-Initiativen sicher und kosteneffizient

bleiben. Ein Unternehmen benötigt

vollständige Transparenz und Kontrolle

über seine Mobil- und IoT-Geräte. Von der

Bereitstellung über die Verwaltung und

Überwachung bis hin zur Wartung muss

das Unternehmen in der Lage sein, seine

Mitarbeiter stets einsatzbereit zu halten.

Moderne Mobilgeräte haben dazu beigetragen,

unsere Arbeitsweise grundlegend

zu verändern und so Effektivität wie auch

Produktivität zu steigern.Die zunehmende

Vernetzung birgt jedoch auch ein erhöhtes

Sicherheitsrisiko wie etwa die Kompromittierung

vertraulicher Daten. Leistungsstarke

Mobility- und IoT-Management-Lösungen

tragen dazu bei, dieses Risiko auf

ein Minimum zu reduzieren und das technische

Potenzial der Geräteinfrastruktur

auszuschöpfen. Die Management-Plattform

sollte deshalb alle erforderlichen

Komponenten für das Enterprise-Mobilityund

IoT-Management integrieren und die

Kernprobleme lösen, mit denen das Unternehmen

konfrontiert ist. So kann man Ausfallzeiten

minimieren, Kosten reduzieren

und die Produktivität wie auch die Effizienz

steigern. Stefan Mennecke/wg

Stefan Mennecke ist Vice President Sales Central

and Eastern Europe bei SOTI, www.soti.net.


Technik

Schutz für Legacy-Systeme

Aus Alt mach Sicher

Legacy-Betriebssysteme spielen in vielen Unternehmen nach wie

vor eine wichtige Rolle. Eine besondere Herausforderung stellt ihr

Schutz dar. Mit einigen einfachen Maßnahmen können Unternehmen

allerdings auch die mit kritischen Anwendungen bestückten

Altsysteme spürbar sicherer machen.

Aktuelle Betriebssysteme umfassen in aller

Regel einen Basisschutz in Form eines

signaturbasierenden Virenscanners, zum

Beispiel Microsoft Windows 10 mit Windows

Defender. Dieser bietet zudem eine

Verhaltenserkennung und kann damit auch

Zero-Day-Malware aufspüren. Anders

sieht es aber bei Legacy-Betriebssystemen

aus, auf denen zahlreiche kritische Anwendungen

laufen. So sind Microsoft Windows

2000, 2003, NT oder XP immer noch

in vielen Unternehmen im Einsatz. Gerade

im industriellen Umfeld kommen Windows

XP für Scada-Anwendungen (Supervisory

Control and Data Acquisition) sowie

Windows 2000 oder NT-Server für ältere

Anlagensteuerungen weiterhin als

Standard-Basissysteme zum Einsatz. Für

diese älteren Betriebssysteme gibt es meist

weder Updates noch Patches. Auch eine

Überprüfung auf Schadsoftware erfolgt in

den wenigsten Fällen.

Selbst wenn Patches zur Verfügung stehen,

ignoriert das Anwenderunternehmen sie

oft. Der Grund: Da das Patchen einen Neustart

und damit einen Ausfall des Geräts

zur Folge haben könnte, unterlassen viele

Systemverantwortliche solche aus Sicherheitssicht

eigentlich unerlässlichen Maßnahmen.

Einen Systemausfall will man

auch deshalb nicht riskieren, da die eigentliche

Funktion eines älteren Systems oft

nur teilweise bekannt ist. Für die IT-Verantwortlichen

sind die Folgen eines Ausfalls

für den laufenden Betrieb gar nicht

abschätzbar, deshalb lässt man lieber die

Finger davon. Es liegt auf der Hand, dass

solche Systeme für Angreifer perfekte Einfallstore

sind, zumal Systemlücken und deren

Ausnutzung zum Beispiel durch Remote-Trojaner

ausreichend dokumentiert

sind. Bester Beleg ist WannaCry: Die Erpressersoftware

befiel ältere Systeme, die

keinen Patch gegen SMB-Angriffe (Server

Message Block) aufwiesen.

So stellt sich die Frage, welche Maßnahmen

ein Unternehmen ergreifen kann, um

auch Legacy-Systeme ausreichend zu

schützen. Zunächst ist festzuhalten, dass

eine IT-Organisation nur schützen kann,

was sie auch sieht – oder genauer: erkennt.

Zudem will die jeweilige Kritikalität ermittelt

sein. Hilfestellung bieten hier Netzwerkscanner

und systemlokale Scanner.

Netzwerkscanner erkennen Betriebssysteme,

deren Version und die damit verbundenen

Schwachstellen. Sie sind in aktive und

passive Scanner zu unterscheiden. Aktive

Netzwerkscanner haben den Nachteil, dass

bereits ein einziger Scanvorgang einen

Systemausfall verursachen kann. Eine Alternative

bieten passive Scanner wie Tenables

Nessus Network Monitor oder die

Nutzung einer agentenlosen Security-Appliance,

wie sie beispielsweise Forescout

mit eyeSight liefert. Letztere erkennt vor

allem IoT-Geräte anhand des systemspezifischen

Verhaltens im Netzwerk. Passive

Scanner beeinflussen Systeme selbst im

Betrieb nicht und bieten Administratoren

einen wertvollen Überblick über laufende

Systeme, Anwendungen und mögliche

Schwachstellen.

Lösungen wie Cylance-

Protect erlauben

ML-basiert auch die

Absicherung von

Altsystemen.

Bild: BlackBerry/Cylance


Technik

Systemlokale Scanner können je nach Zugang

und Zugriffsmöglichkeit – etwa von

einem Wechselmedium aus – den Zustand

eines Geräts erkennen und detailliert Auskunft

geben, welche Prozesse und Anwendungen

systemkritisch sind. Sogenannte

YARA Rule Scanner erkennen neben

Schwachstellen auch Malware, Rootkits

oder unerwünschte Software anhand vordefinierter

und spezifischer Muster (YARA

Rules). Neben dem frei verfügbaren Loki

Scanner gibt es den Thor Scanner von

Nextron Systems mit sehr genauen Systemanalysen,

die auch für forensische Untersuchungen

Verwendung finden. Im Hinblick

auf den Geräte- oder Systemschutz

selbst bieten sich dann Lösungen an, die

auf ML (maschinelles Lernen) basieren.

Sie ermöglichen die Erkennung von Malware

und unterbinden die Ausführung

schädlicher Prozesse. Für Legacy-Systeme

wie Windows XP und Windows Server

2003 etwa bietet sich CylanceProtect von

Cylance an (der Anbieter wurde Anfang

2019 von BlackBerry übernommen, d.

Red.). Die Software erkennt Schadprogramme

sicher und hat keine negative Auswirkung

auf Performance oder Anwendungen.

Von Vorteil ist, dass CylanceProtect

dank der ML-Engine weder regelmäßige

Updates noch eine permanente Internetverbindung

benötigt. Für die Malware-Erkennung

bei Betriebssystemen wie Windows

Embedded, die vor allem im Internet

der Dinge oft zum Einsatz kommen, empfiehlt

sich Symantecs Lösung Critical System

Protection.

Eine weitere Maßnahme zum Schutz von

Endgeräten ist das Application Whitelisting,

das seit Windows XP dafür sorgen

kann, dass das Betriebssystem nur erlaubte

Anwendungen ausführt. Die Whitelist ist

eine einfache Liste von Anwendungen, deren

Ausführung der Benutzer oder Administrator

gestattet hat. Wenn eine Anwendung

zu starten versucht, erfolgt ein automatischer

Abgleich mit dieser Liste. Falls

die Anwendung dort aufgeführt ist, ist ihr

die Ausführung erlaubt. Gegebenenfalls

muss die User Account Control oder ab

Windows XP der Administrator dies manuell

bestätigen.

Für mehr Sicherheit kann das IT-Team ein

Endgerät oder eine einzelne Anwendung

auch virtualisieren. Selbst bei älterer Hardware

ist es möglich, diese im laufenden

Betrieb einer virtuellen Maschine (VM)

zuzuweisen und damit das Gesamtsystem

als Einheit zu klonen. Als VM kann die IT

das Gerät oder die Anwendung dann mit

weniger Aufwand warten und sichern. Darüber

hinaus lassen sich einzelne Anwendungen

ab Windows XP in eine eigenständige

Umgebung isolieren, die nur dedizierte

Systemressourcen nutzt und gegen Angriffe

von außerhalb der Umgebung

geschützt ist (Sandboxing). Auf Servern

lässt sich dies mit Docker-Containern realisieren.

Ein Container fasst eine einzelne

Anwendung einschließlich aller Abhängigkeiten

wie Bibliotheken, Hilfsprogramme

oder statischen Daten in einer Image-

Datei zusammen, ohne aber ein komplettes

Betriebssystem zu beinhalten.

Abgesehen vom Gerät selbst lässt sich

auch der Weg zum System schützen. Zum

einen kann die IT-Organisation ein Gerät

in ein eigenes Netzwerksegment (VLAN)

verschieben. Zum anderen kann sie es mit

einem Netzwerk-IPS (Intrusion-Preven-

tion-System) vor äußeren Angriffen und

Einflüssen sichern. Ein modernes IPS wie

TippingPoint von Trend Micro hätte den

Ausbruch einer Schadsoftware wie WannaCry

sicher erkannt und durch TCP Resets

unterbunden.

Nicht zuletzt gilt es zu berücksichtigen,

dass auch Rechner ohne LAN-Anbindung

gefährdet sind. Schließlich gehören USB-

Schnittstellen und -Sticks nach wie vor zu

den Haupteinfallstoren von Schadsoftware.

Lässt sich ein System nur physisch erreichen,

bietet sich eine regelmäßige manuelle

Prüfung per USB und spezialisierter Scan-

Engine eines Antivirenherstellers an. Manuelles

Scannen ist allerdings aufwendig und

nicht bei allen Systemen möglich – Windows

NT zum Beispiel bietet keine USB-

Unterstützung. Vor allem bei Anlagensteuerungen

im industriellen Umfeld aber kommt

dieses manuelle Verfahren zum Einsatz. Es

findet auch in den „Industrial Control and

Systems: General Requirements“ des USamerikanischen

Fachverbands NEMA (National

Electrical Manufacturers Association)

als Vorgabe für Prüfungen und Auditierung

Verwendung.

Mit mehr oder weniger Aufwand können

Unternehmen somit entscheidende Maßnahmen

ergreifen, um den Status mit kritischen

Anwendungen bestückter Systeme

zu überprüfen und hohe Sicherheit zu gewährleisten.

Sofern es möglich ist, muss

dabei aber immer das Patchen der Systeme

bis zum letzten unterstützten Update an

erster Stelle stehen. Detlev Pacholke/wg

Detlev Pacholke ist Senior Solution Architect

Datenklassifizierung und Datenschutz, Digital

Workforce and Mobility bei NTT, www.ntt.com.

News

Aagon präsentiert Update-Management-Werkzeug Cawum

Gezielte Windows-Updates ohne WSUS

Aagon hat unter dem knalligen

Namen „ACMP Cawum“

(Complete Aagon Windows

Update Management) ein Tool

vorgestellt, das Windows-Updates

erleichtern soll. Die Software

ersetzt laut Hersteller Microsofts

WSUS komplett. Das

Tool lade und installiere anders

als WSUS ausschließlich jene

Updates, die die einzelnen Clients

tatsächlich benötigen. Damit

entfallen, so betont Aagon,

die üblichen, meist mehrere

GByte großen WSUS-Updates.

Das Werkzeug scanne anhand

Microsofts Online-Datenbank

täglich nach aktuellen Updates

und installiere die erforderlichen

Patches automatisch, also

nicht nur am monatlichen

„Patch Day“.

wg

Info: Aagon

Web: www.aagon.de


Technik

Robotic Process Automation

Softwareroboter in

der Automatisierung

Automatisierung macht Prozesse effizienter und für Anwender

besser zu handhaben. Dies gilt auch für die Administration und den

Support von IT. Doch die technische Integration verschiedener

Systeme in großen Unternehmen ist zeitraubend und teuer. Robotic

Process Automation (RPA) ist dagegen einfach zu implementieren

und macht sich in den meisten Fällen schnell bezahlt, wenn

Unternehmen den Einsatz strategisch angehen.

Softwareroboter arbeiten mit den verschiedenen

Anwendungen, die an einem Geschäftsprozess

beteiligt sind, genau wie

menschliche Mitarbeiter. Wo diese per

Bildschirm, Maus und Tastatur mit Programmen

interagieren, greifen die Roboter

direkt auf die Elemente der Benutzerschnittstelle

wie Eingabefelder, Menüs

und Buttons zu.

Roboter ist nicht gleich Roboter

Für einen typischen IT-Help-Desk bedeutet

dies: Beim Öffnen einer Mail und ihrer

Anhänge in verschiedenen Programmen

spart der Softwareroboter jedes Mal ein

bisschen Zeit, ebenso beim Weiterleiten an

einen Spezialisten oder

bei der Antwort an den

Absender. Diese Einsparungen

summieren sich

schnell zu ganzen Arbeitstagen.

Und da der „Digital

Worker“ keine Anhangsöffnung

und keine Prüfoption

vergisst, steigt in der

Regel die Closing Rate im

First-Level-Support drastisch.

Damit profitieren

sowohl die Nutzer als

auch die IT-Abteilung und

das Unternehmen als

Ganzes von der Automatisierung.

Das Prinzip, das hinter dieser bislang

wenig beachteten Form der Automatisierung

von hoch repetitiven Tätigkeiten

liegt, heißt Robotic Process Automation

(RPA) – nicht zu verwechseln mit Robotic

Desktop Automation (RDA). Zwar lassen

sich auch mit RDA Abläufe einfach automatisieren,

beispielsweise indem ein Programm

das Vorgehen eines Mitarbeiters

auf dem Desktop aufzeichnet. Allerdings

fehlt dabei die Transparenz über die auf

unterschiedlichen Desktops verteilten

Softwareroboter. Damit ist die wichtigste

Voraussetzung für Sicherheit und Compliance

von Unternehmensprozessen nicht

gegeben.Bei RPA hingegen werden die

Eine der größten Stärken heutiger RPA-Lösungen besteht darin, dass ihre Anwender

Softwareroboter nutzen können, ohne sie programmieren zu müssen. Bild: BluePrism

Softwareroboter nicht auf den Desktops

einzelner Mitarbeiter, sondern auf einer

zentralen RPA-Plattform konfiguriert, gespeichert

und verwaltet. Damit sind sie vor

unkontrollierten Veränderungen und versehentlichem

Löschen geschützt. Dies unterstützt

neben Sicherheit und Compliance

auch die Skalierbarkeit der Lösung.

Besonders wertvoll ist RPA beispielsweise

dann, wenn Unternehmen neue Anwendungen

ausrollen, Updates einspielen oder IT-

Services reorganisieren – entweder im eigenen

Unternehmen oder als Dienstleister

für externe Kunden. In diesen Fällen benötigen

sie häufig kurzfristig mehrere zusätzliche

Arbeitskräfte, die FAQs beantworten,

einfaches Bugfixing ausführen oder Tickets

aufnehmen. Oft jedoch haben Unternehmen

und Behörden in Deutschland Probleme,

Mitarbeiter für Administration und

Support ihrer Rechenzentren und Netzwerke

zu finden. Dann kann RPA helfen: Für

eine moderne RPA-Lösung ist es eine

leichte Übungen, kurzfristig mehrere digitale,

hoch verfügbare, ermüdungs- und fehlerfreie

Arbeitskräfte bereitzustellen. Per

Tastendruck lässt sich ein einmal erstellter

„Digital Worker“ vervielfältigen – ohne zusätzliche

Schulungen und Einarbeitungszeit.

Bei cloudbasierenden Systemen

wächst sogar die zugrunde liegende IT-Infrastruktur

automatisch mit. Vor allem große

Unternehmen setzen daher zunehmende

strategisch auf digitale Arbeitskräfte.

Geeignete Prozesse identifizieren

Typischerweise sind es vor allem Aufgaben

in IT-Administration

und Support, bei denen

sich die Softwareroboter

rasch bezahlt machen.

Daten und

Dokumente erfassen,

kategorisieren und weiterleiten

– diese Arbeitsschritte

kommen vor allem

in größeren IT-Service-Einheiten

besonders

häufig vor. Immer

wieder sind die Mitarbeiterinnen

und Mitarbeiter

dort mit den gleichen

oder ähnlichen


Technik

Fragen konfrontiert. Dabei ist es für Menschen

oft nicht leicht, auch am Ende eines

langen Tags sachlich und hilfsbereit auf

jede Frage einzugehen. Digitale Arbeitskräfte,

die eingehende Mails, Kurznachrichten

oder Anrufe mit Natural Language

Processing (NLP) analysieren und beantworten,

entlasten dadurch menschliche

Service-Mitarbeiter, indem sie mehr Anfragen

in kürzerer Zeit beantworten.

Eine der größten Stärken heutiger RPA-

Lösungen besteht darin, dass ihre Anwender

Softwareroboter nutzen können, ohne

sie programmieren zu müssen. Dabei

kommt es vor allem in der Anfangsphase

darauf an, die Mitarbeiter der Fachabteilungen,

die mit digitalen Arbeitskräften

zusammenarbeiten, als „Führungskräfte“

für die Digital Worker auszubilden. Generell

hat sich in der RPA-Praxis eine enge

Zusammenarbeit zwischen IT und Fachabteilungen

bewährt, in der die Aufgaben

klar verteilt sind. Management und

Fachabteilungen legen fest, welche Abläufe

zu automatisieren sind. Sie geben die

Rahmenbedingungen für den standardisierten

Prozess ebenso vor wie das gewünschte

Ergebnis. Die IT-Abteilung stellt

die benötigte Infrastruktur bereit, gibt

Tipps für mögliche Prozessoptimierungen

– vor allem im Zusammenspiel mit mehreren

unterschiedlichen IT-Anwendungen –

und sorgt für die technische Sicherheit der

Lösung entweder im eigenen Rechenzentrum

oder durch entsprechende Service-Level-Vereinbarungen

mit einem Cloudanbieter.

Damit legt die IT die Basis dafür,

dass im laufenden Betrieb die Mitarbeiter

der Fachabteilungen ihre digitalen Arbeitskräfte

selbst steuern. Besondere Unterstützung

erfahren sowohl IT- als auch Business-Mitarbeiter

im Umgang mit ihrer

„Digital Workforce“ durch das innovative

Konzept der Connected RPA.

Die Connected-RPA-Plattform bietet eine

Vielfalt unterschiedlicher Funktionen als

vordefinierte Elemente zur Auswahl. Damit

können Anwender sowohl bestehende

Abläufe effizient automatisieren als auch

komplett neue automatisiert bereitstellen.

Per Drag and Drop entstehen innerhalb

weniger Stunden oder Tage einsatzbereite

Softwareroboter, die auch externe Dienste

Kernelemente des RPA-Betriebsmodells - Leitfaden

– Die Vision: Wie kann ein Unternehmen von RPA profitieren? Dazu identifiziert man

die möglichen Geschäftsvorteile und formuliert die konkrete Erwartungen auf Basis

der Unternehmensstrategie. Positive Haltung und Kommunikation des Managements

zur Automatisierung gibt den Beteiligten Orientierung angesichts des Wandels.

– Das Unternehmen: RPA verändert Abläufe über Positionen und Abteilungsgrenzen

hinweg. Anwender definieren daher eine Organisation, die RPA bestmöglich nutzt und

sich dabei an der Unternehmensstrategie und -kultur orientiert.

– Governance und Pipeline: Man legt ein Vorgehen zur Auswahl der besten Prozesse

für die RPA-Pipeline fest. Schnelle Erfolge sind die beste Motivation für alle Beteiligten.

Transparente Kriterien für die Priorisierung von Prozessen schaffen Planungssicherheit

und sorgen dafür, dass das Unternehmen den Nutzen seiner Investition

realisiert.

– Die Umsetzungsmethodik: Schnelle Skalierbarkeit ist der wichtigste Hebel, um RPA

unternehmensweit zu nutzen. Grundlage dafür ist eine Umsetzungsstrategie mit

klaren Richtlinien dazu, wie RPA-Prozesse strukturiert, kontrolliert und nachvollziehbar

implementiert werden.

– Das Service-Modell: Nutzer richten ein Modell zur Unterstützung der operativen

Prozesse ein, und definieren dann, wer wann welche Aufgaben im Geschäftsalltag

übernimmt.

– Die Menschen: Zu bestimmen sind zunächst die Rollen und Verantwortlichkeiten für

die Bereitstellung und den Support von RPA-Prozessen. Danach ist es erforderlich,

den Teams das erforderliche Know-how zu vermitteln.

– Technologie: Bei der Auswahl der Technik kommt es auf Flexibilität und Skalierbarkeit

an. Dabei können vor allem cloudbasierende Systeme punkten. Effiziente

Wartungsprozesse, Bereitstellung von zusätzlichen Softwarerobotern per Mausklick

und automatisierte Disposition der „Digital Workforce“ sollen einen größtmöglichen

wirtschaftlichen Nutzen garantieren.

aus der Cloud enthalten können. Passende

Apps auf Basis innovativer Technik wie

Blockchain, Machine Learning oder künstlicher

Intelligenz (KI) bieten Hersteller in

einer Art App-Store zum Download an.

Auf diese Weise können Unternehmen die

KI-Engines der Tech-Giganten oder auch

spezielle Lösungen innovativer Startups in

ihre eigenen Prozesse einbinden. Darüber

hinaus machen KI-Funktionen innerhalb

von Connected-RPA-Plattformen den Einsatz

digitaler Arbeitskräfte künftig einfacher

und wirkungsvoller.

RPA in der Praxis

Was geschieht, wenn mehr als 160 Softwareroboter

15 Kernprozesse eines Telekommunikationskonzerns

übernehmen

und 400.000 bis 500.000 Transaktionen

pro Monat ausführen? Vor dieser Frage

standen vor wenigen Jahren die Verantwortlichen

bei Telefónica O2. Zwölf Monate

später erwies sich das Projekt als rentabel.

In der Folge sparte man Hunderte

von Full Time Equivalents (FTE) ein, und

der Return on Investment (ROI) betrug 650

Prozent in einem Zeitraum von drei Jahren.

In einem anderen groß angelegten

Projekt automatisierte die weltweit agierende

Siemens AG im Jahr 2017 zunächst

50 Prozesse mit 80.000 Arbeitsstunden.

Nach Abschluss der Lernphase folgten 170

weitere Prozesse und über 280.000 zusätzliche

Stunden. Als Hauptnutzen verzeichnete

Siemens neben sinkenden Kosten eine

höhere Qualität und kürzere Reaktionszeiten

in den Abläufen. Angesichts solcher

Ergebnisse überlegen immer mehr Unternehmen

weltweit nicht mehr, ob und wann

sie RPA einführen, sondern wie. Im Kern

geht es dabei nicht um einen Projektplan

für die Einführung einer Technik, sondern

um ein komplettes Betriebsmodell für digitale

Arbeitskräfte. Dieses Betriebsmodell

besteht aus sieben Komponenten, die

jedes Unternehmen entsprechend seinen

Business-Anforderungen gestaltet, um

möglichst stark vom RPA-Einsatz zu profitieren

(siehe Kasten). Ulrich Meyer/jos

Ulrich Meyer ist Director Alliances DACH bei Blue

Prism, www.blueprism.com.


Technik

Erklärbare KI soll für Transparenz sorgen

KI beeinflusst

Business Intelligence

Netzwerke werden immer komplexer bei gleichzeitig wachsenden

Herausforderungen an Leistungsfähigkeit und Verfügbarkeit. Auch

die Ansprüche an die IT-Abteilungen erhöhen sich stetig bei gleichbleibender

Personalausstattung. IT-Tools wie intelligente Chatbots

– etwa bei der Kennworterstellung – oder Predictive Maintenance

sollen in diesem Umfeld entlasten und möglichst reibungslose

Abläufe gewährleisten. Um das volle Potenzial von künstlicher

Intelligenz und Machine Learning zu nutzen, ist allerdings Vertrauen

in die Abläufe der hinterlegten komplexen Algorithmen notwendig.

Menschen wollen verstehen, warum und vor allem wie die

künstliche Intelligenz ihre Entscheidungen fällt.

Die Vorteile von künstlicher Intelligenz

(KI) und Machine Learning (ML) sind in

der IT-Welt mittlerweile weithin anerkannt.

Deutschland und Europa sollen zu

einem führenden Standort für KI werden.

Eines ist klar: KI muss wie alles in der digitalen

Transformation dem Menschen

dienen. Doch mit neuen Techniken sind

stets auch Ängste verbunden. Damit KI tatsächlich

etwas bewegen kann, muss sie

Immer mehr Abteilungen und Rollen können heute mit Daten arbeiten, nicht zuletzt durch den

Einsatz entsprechender Self-Service-Lösungen, die auch Mitarbeitern mit wenig Datenkompetenz

Zugang zu geschäftsfördernden Erkenntnissen ermöglichen.

Bild: Tableau Software

vertrauenswürdig sein. Dazu gehört eine

nachvollziehbare, transparente Erklärung,

wie Informationen verarbeitet werden und

wie eine KI zu ihren Ergebnissen gelangt.

Außerdem muss KI aufkommende Fragen

dynamisch beantworten und so Daten für

Menschen verständlicher machen.

Künstliche Intelligenz weckt die Erwartung,

dass Maschinen dem Menschen

durch automatisierte Entscheidungen zu

besseren Erkenntnissen verhelfen. Immer

mehr Unternehmen verlassen sich deshalb

auf Modelle der künstlichen Intelligenz

und des maschinellen Lernens. Die Verantwortlichen

fragen sich jedoch auch: Wie

können wir sicherstellen, dass automatische

Empfehlungen und Modelle vertrauenswürdig

sind? Die Algorithmen und Logiken,

auf denen Entscheidungen und

Empfehlungen beruhen, sind bei vielen

Machine-Learning-Anwendungen nicht

nachvollziehbar. Adrian Weller, Senior Research

Fellow für Machine Learning an der

Universität Cambridge, erklärt daher zu

Recht, dass „Transparenz oft als wesentliche

Voraussetzung für eine effektive Bereitstellung

intelligenter Systeme in der

Praxis“ gilt. Diese Forderung nach Transparenz

wird den Aufstieg der so genannten

„erklärbaren künstlichen Intelligenz“ (Explainable

Artificial Intelligence) entscheidend

vorantreiben. Erklärbare KI gibt Einblicke

in Machine-Learning-Modelle und

ermöglicht damit ein Verständnis für deren

Funktionsweise.

Viele Führungskräfte verlangen daher

schon jetzt von ihren Data-Science-Teams,

aber auch zunehmend von ihren IT- und

Netzwerkadministratoren, dass sie besser

erklärbare Modelle anwenden, die verständliche

Ergebnisse liefern und Fragen

dynamisch beantworten können. Vor diesem

Hintergrund werden Datenfachleute

zunehmend BI-Plattformen einsetzen, mit

denen sie Schlussfolgerungen interaktiv

untersuchen und prüfen können.

Ethikregeln und Transparenz

in den BI-Modellen

Aktuelle Entwicklungen beim Datenschutz

werden die Verbreitung erklärbarer

KI zusätzlich vorantreiben. Angesichts

neuer Datenschutzvorschriften wie der Da-


Technik

tenschutz-Grundverordnung (DSGVO) der

EU müssen sich Unternehmen zunehmend

mit den ethischen Aspekten des Datenumgangs

befassen. Hinzu kommt, dass die EU

einen dreistufigen Prozess im Rahmen einer

KI-Strategie-Entwicklung festgelegt

hat. Dazu hatte die EU-Kommission erst

im Frühjahr Empfehlungen für Ethikregeln

für die Entwicklung und Anwendung von

KI in Europa vorgelegt.

In der derzeitigen Pilotphase können diese

Richtlinien getestet und noch bis 2020 Erfahrungen

daraus mitgeteilt werden. Anschließend

sollen auf Basis der gemachten

Erfahrungen entsprechende Gesetzesvorschläge

folgen. Dies bedeutet, dass die

Themen Ethik und Datenschutz beim Einsatz

von KI die Geschäftswelt auch noch

die kommenden Jahre stark beschäftigen

werden.

Diskussionen über Datenethik und Datenschutz

im Kontext der täglichen Geschäftspraktiken

werden im Wesentlichen zwei

Konsequenzen haben: Erstens die vermehrte

Entwicklung von Ethikkodizes. Viele Berufsgruppen

sind bereits grundsätzlich an

einen Ethikkodex gebunden. Da Daten allerdings

viele Geschäftsabläufe immer stärker

durchdringen, müssen die Verantwortlichen

Unternehmen auch darüber nachdenken,

welche ethischen Grundsätze sich auf

ihre Data-Analytics-Praktiken anwenden

lassen. Sie sollten einen Rahmen für künftige

Infrastruktur-, Governance- und Personalentscheidungen

setzen. Viele Führungskräfte,

vor allem Chief Data Officers

(CDOs), entwickeln bereits im Rahmen der

digitalen Transformation interne Richtlinien

für den unternehmensweiten Umgang

mit Daten. Dies ergab eine 2017 durchgeführte

Gartner-Umfrage unter CDOs. Sie

zeigt, dass die Zahl der CDOs, die ethische

Fragen als Teil ihres Aufgabenbereiches begreifen,

zwischen 2016 und 2017 um zehn

Prozentpunkte gestiegen ist.

Einhaltung gesetzlicher Regelungen

Viele Unternehmen hinterfragen aktuell

zudem den ganzen Lebenszyklus ihrer Daten,

von der ersten Erfassung, über die Bearbeitung

bis hin zur Analyse. Damit lässt

sich die komplette Daten-Management-

Strategie durchleuchten. Zudem ist die

Einhaltung gesetzlicher Regelungen und

interner ethischer Vorgaben zu sichern. Allerdings

sind derartige Überprüfungen keine

einmalige Sache. Wie Accenture in dem

Bericht Universal Principles of Data Ethics

(Universelle Grundsätze für Datenethik)

unterstreicht, sollten „Governance-Praktiken

gut durchdacht, allen Teammitgliedern

vermittelt und regelmäßig überprüft werden“.

Hinzu kommt, dass sie mit Wachstum

und Entwicklung des Unternehmens

als Ganzes Schritt halten müssen.

Datenexpertise wandert

in die Fachabteilung

KI transparent und somit nachvollziehbar

zu machen, ist nur eine der vielen Aufgaben,

die auf Data Scientists in Zukunft vermehrt

zukommen wird. Andere – wie die

Erstellung von Reports oder Auswertung

von Daten – wandern dafür in die Fachabteilungen.

Dies verschiebt die Definition von Data

Science und lässt die Grenzen zwischen

den traditionellen Datenexperten der IT

und Mitarbeitern mit hoher Datenkompetenz

verschwimmen. Heutige Data Scientists

geben nicht mehr nur Ergebnisse weiter

– sie wirken an ihrer Umsetzung im

Unternehmen direkt mit und nehmen zunehmend

beratende Funktionen ein. Dies

erleichtert die Transformation zum datengetriebenen

Unternehmen.

Henrik Jorgensen/jos

Henrik Jorgensen ist Country Manager DACH bei

Tableau Software, www.tableau.com.

News

EcoStruxure IT Advisor: Cloudbasierende Planungshilfe für Rechenzentren

Schneider Electric: RZ-Monitoring mit weiteren Funktionen

Eine Komponente namens

EcoStruxure IT Advisor ergänzt

ab sofort die Schneider-

Electric-Monitoring-Lösung

IT Expert mit professionellen

Operations- und Management-

Funktionen für Rechenzentren.

IT Advisor soll IT-Leitern,

MSPs und Colocation-Anbietern

detaillierte Optionen bieten,

um den Betrieb ihrer Rechenzentren

effizienter zu gestalten,

Risiken zu minimieren

und IT-Service-Workflows zu

automatisieren, so das Versprechen.

Zum Anwendungsumfang

des neuen Planungs- und

Modellierungs-Tools gehören

unter anderem Funktionen wie

das IT-Asset-Management mit

genauer Bestandsaufnahme.

Dabei werden die Inventarisierungsdaten

auf Etagen- oder

Rack-Ebene über eine 3D-Karte

abgebildet. Diese enthält

genaue Gerätedetails und Asset-Attribute

wie Temperatur,

Stromverbrauch oder Statusinformationen.

Das Modul Risikoplanung

ermögliche es RZ-

Betreibern zudem, ein proaktives

Incident-Management zu

IT Advisor soll IT-Leitern, MSPs und

Colocation-Anbietern detaillierte

Optionen bieten, um den Betrieb

ihrer Rechenzentren effizienter zu

gestalten.

Bild: Schneider Electric

realisieren, so Schneider Electric.

Spezielle Reports zur Wirkungsanalyse

sollen die komplexen

Abhängigkeiten zwischen

einzelnen Systemen

sichtbar machen und zeigen,

wie sich potenzielle Störungen

oder Service-Vorfälle auf weitere

Geräte und Infrastrukturkomponenten

auswirken können.

Die Funktion Change-

Management unterstützt bei

Hardwareergänzungen und Änderungen

der IT-Infrastruktur.

Die integrierte Workflow-Automatisierung

stelle dabei sicher,

dass menschliche Fehler

reduziert und Best Practices

ordnungsgemäß umgesetzt

werden.

jos

Info: Schneider Electric

Tel.: 02102/4046000

Web: www.se.com



Kostengünstige Alternative

Disaster Recovery

in der Cloud

Für den Schutz vor Standortausfällen

bietet sich die Cloud als kostengünstige

Disaster-Recovery-Alternative (DR) an.

Unternehmen sparen sich damit die

Kosten für ein Ausweichrechenzentrum

und sind dennoch in der Lage, im DR-

Fall wichtige Server schnell wieder

online zu bringen. LANline untersucht,

welche technischen Rahmenbedingungen

dabei zu beachten sind, und geht

darüber hinaus auf die DR-Lösungen

von Veeam und Zerto näher ein.



Ob sich eine Cloudlösung für ein Unternehmen

als Disaster-Recovery-Plattform

eignet, hängt von verschiedenen Faktoren

ab. Unter anderem ist im Vorfeld zu prüfen,

ob sich die Anwendungen aus der

Cloud mit annähernd derselben Performance

bereitstellen lassen, wie im regulären

Vor-Ort-Betrieb. Für Anwendungen,

die eine sehr niedrige Latenz benötigen,

kann der Zugriff über eine WAN-Verbindung

ein K.-o.-Kriterium sein. Zudem

muss sichergestellt sein, dass im Krisenfall

der Zugriff auf die Anwendungen auf allen

Wegen inklusive Mobilzugang über das Internet

möglich ist.

Ebenso muss ein Unternehmen klären, wie

es im DR-Fall mit physischen Servern umgehen

will. Können diese temporär als virtuelle

Replica beim Cloud-Provider laufen?

Oder benötigt es hierfür physische Ersatzsysteme,

die der Provider in seinem

Rechenzentrum (RZ) bereitstellen muss?

Kleinere und mittelständische Unternehmen

wählen deshalb für ihre DR-Cloud-

Strategie nicht selten einen Managed Service

Provider (MSP), statt selbst Hyperscaler

wie AWS oder Microsoft Azure zu

nutzen. Ein MSP ist in der Lage, individuelle

DRaaS-Angebote (Disaster Recovery

as a Service) zu erstellen und zum Beispiel

einen Pool an physischen Servern vorzuhalten,

die ein Kunde im DR-Fall für ein

Bare-Metal-Recovery nutzen kann. Auch

Compliance-Anforderungen, die beispielsweise

vorschreiben, dass man bestimmte

Backup-Bänder aus der Tape Library entnehmen

und an einem anderen Ort in einem

Safe aufbewahren muss, kann ein

MSP eher erfüllen als die großen Cloud-

Provider.

Cloud als DR-Plattform ist für kleine

Unternehmen interessant

Die Cloud als DR-Plattform für virtualisierte

Server zu nutzen, ist insbesondere

für kleinere und mittelständische Unternehmen

interessant. Großunternehmen haben

in der Regel mindestens zwei RZs an

räumlich voneinander entfernten Standorten,

sodass sie ihre wichtigen Systeme in

das jeweils andere RZ replizieren können.

Wobei es auch Beispiele gibt, dass Firmen

ihre DR-Strategie für virtualisierte Workloads

komplett auf Cloud-Provider umstellen

und die bisher selbst betriebenen Ausweich-RZs

schließen.

Wenn ein Unternehmen die Cloud als DR-

Plattform nutzen will, muss es zunächst

überlegen, welche DR-Szenarien es damit

abbilden will. Ein gängiges Verfahren ist

es, die im eigenen RZ laufenden VMs zum

Cloud-Provider zu replizieren. Fällt der

komplette Unternehmensstandort längerfristig

aus, tritt der DR-Plan in Kraft. Er

startet die in der Cloud gespeicherten Replica-VMs

und bringt sie online, sodass sie

die ausgefallenen Anwendungen schnell

wieder bereitstellen können.

Damit das reibungslos funktioniert, ist für

den DR-Fall eine sorgfältige Planung der

Netzkonfigurationen und der IP-Adressierung

erforderlich. So muss zum Beispiel

sichergestellt sein, dass die Replica-Instanz

eines MS-Exchange-Frontend-Servers

im Krisenfall für die Benutzer über

das öffentliche Internet oder per VPN-Verbindung

erreichbar ist. Einige Hersteller

von DR-Lösungen bieten hierfür Orchestrierungslösungen

an, mit denen sich die

Anbindung der Netze und eine Rekonfiguration

von Netz- und IP-Adressen weitgehend

automatisiert durchführen lassen.

Die schnellste Lösung, um einzelne ausgefallene

Systeme wiederherzustellen, ist

nach wie vor eine lokale Replikation im eigenen

RZ. Für Unternehmen, die sich die

dazu erforderliche Storage-Infrastruktur

und die höheren Kosten für die DR-Softwarelizenzen

leisten können, ist dies eine

sinnvolle Ergänzung des DR-Konzepts.

Voraussetzung ist, dass die DR-Lösung in

der Lage ist, eine primäre Replikationskopie

auf einem DR-Speichersystem im eigenen

RZ zu speichern und zusätzlich eine

zweite Replikationskopie zu einem Cloud-

Provider oder an einen anderen Standort

zu übertragen.

Ob sich auch die in einem Unternehmen

vorhandenen physischen Server per Physical-to-Virtual-Conversion

(P2V) in eine

VM-Replica umwandeln lassen und diese

im DR-Fall die jeweiligen Anwendungen

aus der Cloud performant bereitstellen

kann, gilt es im Einzelfall zu prüfen. P2Vund

V2V-Funktionen unterstützen die

meisten DR-Lösungen, wobei es Unterschiede

beim Cross-Hypervisor-Support

gibt. Bei den von den Hyperscalern wie

AWS mit CloudEndure oder Microsoft

mit Azure Site Recovery angebotenen Replikations-Tools

ist in der Regel nur eine

Umwandlung von physischen oder virtuellen

Servern in das VM-Format der eigenen

Plattform vorgesehen.

Andere DR-Lösungen wie die von Veeam

oder Zerto unterstützen zudem eine Umwandlung

von beispielsweise AWS-VMs

in Azure-VMs oder von VMware vSphere

nach Hyper-V sowie in die jeweils umgekehrte

Richtung. Dadurch sind auch Migrationen

von einem Cloud-Provider zu einem

anderen möglich.

DR-Techniken von

Veeam und Zerto

LANline hat sich die DR-Lösungen von

Veeam und Zerto genauer angeschaut. Bei

Veeam Backup & Replication handelt es

sich um eine Software, die sowohl ein regelmäßiges

Backup von Servern als auch

eine Replikation von VM-Images zu einem

anderen RZ-Standort oder in die Cloud unterstützt.

Die replizierten VM-Images aktualisiert

die Lösung regelmäßig zum Beispiel

täglich oder stündlich. Dies kann offline

geschehen, ohne dass man die Replica-VM

vorher starten muss.

Die von Zerto entwickelte DR-Software

verfolgt einen anderen technischen Ansatz.

Zerto überträgt mittels einer Hypervisorbasierten

Replikation fortlaufend alle IOs

einer VM asynchron zur Replica-VM und

ist dadurch im Zusammenspiel mit einem

Change-Journal in der Lage, VMs sekundengenau

wiederherzustellen. Diese Replikation

erfolgt offline. Die Replica-VMs

werden erst im DR-Fall oder für DR-Tests

erstellt und hochgefahren. Die im Herbst

2019 fertig gestellte Version 7.5 bezeichnet

Zerto als IT-Resilienzplattform, die in

der Lage sein soll, alle Unternehmensdaten

jederzeit Plattform- und Multi-Cloudübergreifend

in ihrem aktuellen oder einem

zeitlich zurückliegenden Zustand

wiederherzustellen.

Zerto ist vor rund zehn Jahren als reines

DR-Produkt gestartet, entwickelt sich

mittlerweile aber immer stärker in Richtung

Backup-Lösung. Die 7.5-Version un-



terstützt mit dem Elastic Journal eine

Langzeitarchivierung mit Indizierungsfunktionen,

für die sich kostengünstige

Secondary-Storage-Systeme nutzen lassen.

Veeam dagegen bietet schon immer

eine Backup- und DR-Lösung an und arbeitet

derzeit gewissermaßen in umgekehrter

Richtung daran, ähnlich wie Zerto

eine Continuous Data Protection (CDP)

zu unterstützen.

Zu den wichtigsten Fragen beim

Entwurf einer DR-Strategie

zählt, wie schnell die IT-Infrastruktur

beziehungsweise die

kritischsten IT-Systeme wieder

laufen müssen. Hierbei ist auch

festzulegen, welche Recovery

Point Objectives (RPO) und Recovery

Time Objectives (RTO)

für die verschiedenen Anwendungen

gelten sollen. Beim

RPO geht es darum, zu welchem

Zeitpunkt sich die Daten wiederherstellen

lassen und wie

groß damit die maximale Zeitspanne

ist, für die Daten verloren

gehen dürfen. Die RTO-Angabe

bezieht sich auf die maximale

Dauer, bis die ausgefallenen

Systeme und ihre Anwendungen

spätestens wieder verfügbar sein müssen.

In den meisten Fällen wird es sinnvoll

sein, für den DR-Fall einen abgestuften

Wiederanlaufplan zu erstellen. Dieser definiert

unter anderem, welche Replica-

Systeme die Lösung als erstes hochfahren

muss, in welcher Reihenfolge sie diese

starten soll und welche Systeme unkritisch

sind und nicht repliziert werden müssen.

Bei der Erstellung eines DR-Konzeptes

sollte ein Unternehmen auch überprüfen,

ob es für das Backup die 3-2-1-Regel

anwendet. Sie besagt, dass die verwendete

Backup-Lösung von den Originaldaten

immer zwei Kopien erstellen sollte, die es

auf zwei unterschiedlichen Speicher-

Techniken speichert, wovon eine Kopie

nicht am selben Standort hinterlegt ist.

Um sich vor Ransomware-Attacken zu

schützen, kann es zudem sinnvoll sein,

eine Kopie auf Offline-Medien wie Bändern

zu speichern und diese an einem anderen

Ort in einem Tresor zu lagern.

Eine wichtige Rolle spielt bei Cloud-DR-

Konzepten naturgemäß die Art der WAN-

Anbindung. Am kostengünstigsten sind

Verbindungen über das öffentliche Internet,

die man durch den Einsatz von VPN-

Gateways im eigenen RZ und beim Provider

absichern sollte. Eine hohe Sicherheit

bieten private WAN-Anbindungen, die

sich direkt zwischen dem eigenen RZ und

dem Cloud-Provider-RZ schalten lassen.

Bei der Konfiguration von Replica-VMs spielen die Netzwerk- und

IP-Einstellungen eine wichtige Rolle.

Bild: Christoph Lange

In beiden Fällen ist es wichtig, gemeinsam

mit dem Provider ein Netz- und IP-Adressenkonzept

zu entwickeln, damit im DR-

Fall der Zugriff auf die dann von den Replica-VMs

bereitgestellten Anwendungen

für alle Mitarbeiter möglich ist. Auch den

Fallback-Plan sollte das Unternehmen bereits

im Vorfeld erstellen, damit klar ist,

wie sich der aktuelle Stand der DR-Systeme

nach der Wiederherstellung wieder zurück

auf die Originalsysteme übertragen

lässt.

Hierbei ist zu beachten, dass Provider für

den Datenverkehr von der Cloud zum

Kunden meist deutlich höhere Gebühren

verlangen als für den Upstream-Traffic.

Auswahlkriterien für eine

Cloud-DR-Lösung

Bei der Auswahl einer Cloud-DR-Lösung

sind vor allem die vom jeweiligen Produkt

unterstützten Funktionen von Interesse.

Unterschiede gibt es zum Beispiel beim

Hypervisor-Support. VMware ESX und

Microsoft Hyper-V werden in der Regel

von den meisten Lösungen unterstützt.

Bei KVM, Citrix Xen oder Nutanix AHV

ist die Auswahl jedoch schon kleiner. Zudem

sollte die DR-Software möglichst

viele Cloud-Provider unterstützen, damit

ein späterer Wechsel zu einem anderen

Provider mit einem vertretbaren Aufwand

möglich ist.

Für die initiale Replikation ist es hilfreich,

wenn ein sogenanntes Seeding

unterstützt wird. Dabei speichert

das Unternehmen die zu

replizierenden Daten auf einem

physischen Speichermedium,

das zum Provider transportiert

und dann dort eingelesen

wird.

Auch der Betriebssystem-

Support für Replikationsagenten

sowie die Möglichkeiten

für eine Replikation von physischen

Systemen sind zu betrachten.

Des Weiteren ist zu prüfen, ob

die Software applikationskonsistente

Backups zum Beispiel

für Datenbanken unterstützt

und ob sich Server mit gegenseitigen

Abhängigkeiten in Replikationsgruppen

zusammenfassen lassen. Um Szenarien

mit lokaler und zusätzlicher

Cloudreplikation abbilden zu können,

muss die Lösung eine One-to-Many-Replikation

unterstützen. Für eine möglichst

ressourcenschonende Replikation sollte

sie zudem eine Datenkomprimierung und

Deduplizierung unterstützen. Bei Imagebasierten

Replikationslösungen reduzieren

inkrementelle Updates das zu übertragende

Datenvolumen. Auch die WAN-

Übertragung sollte sich durch Komprimierungstechniken

optimieren lassen. Eine

Verschlüsselung der gespeicherten Daten

und der Datenübertragungen schützt vor

Datenmissbrauch.

Für den Schutz vor Ransomware integrieren

einige DR-Lösungen inzwischen Machine-Learning-Funktionen,

um Angriffe

zu erkennen. Einige DR-Produkte bieten

außerdem Sandbox-Funktionalitäten für

automatisierte DR-Tests. Nützlich sind

hierbei zudem Reporting-Funktionen, um



nachzuweisen, dass man regelmäßig DR-

Tests durchgeführt hat. Wichtig ist ein externer

Zugang zur DR-Management-Konsole,

der auch dann nutzbar ist, wenn ein

Unternehmens-RZ komplett ausfällt.

Besonders für größere Unternehmen ist es

wichtig, dass sich im DR-Fall die Replica-

Systeme möglichst automatisiert online

bringen lassen. Hierfür stehen je nach Hersteller

unterschiedliche Orchestrierungswerkzeuge

zur Verfügung. Für eine Langzeitarchivierung

von Replica-VMs sollte

die verwendete Lösung eine Speicherung

auf Object-Storage-Systemen unterstützen.

In der Cloud ist dieser Speicher deutlich

günstiger als der Standard-Block-Storage.

Die Integration mit anderen Anwendungen

sollte über offene Schnittstellen

wie eine REST-API möglich sein.

Disaster Recovery in der Cloud

Die Cloud-Appliance von Zerto integriert die DR-Lösung mit Cloud-Providern wie Azure oder AWS.

Bild: Zerto

Der Aufwand für die Einrichtung einer

Cloud-DR-Lösung hängt stark von der Anzahl

der zu sichernden VMs ab. Kleinere

Unternehmen, die nur ein oder zwei Dutzend

VMs in die Cloud replizieren möchten,

können mit Tools wie Veeam ihre VMs

relativ einfach zu AWS oder Azure übertragen,

um eine Replica-Kopie zu erstellen.

Die Cloud-Anbindung lässt sich mit

wenigen Mausklicks unter Angabe der

Cloud- und Storage-Account-Zugangsdaten

erledigen. Dies haben wir anhand der

LANline-Testumgebung mit Veeam in der

Praxis ausprobiert.

Bei größeren Unternehmen mit einer Vielzahl

zu schützender VMs muss man auf

beiden Seiten die vom jeweiligen DR-Hersteller

angebotenen Steuerungs-VMs installieren.

Zerto benötigt beispielsweise auf

den Hypervisor-Hosts des Kunden sogenannte

Virtual Replication Appliances und

in der Cloud eine Zerto Cloud Appliance.

Gesteuert wird die Replikation sowie der

Failover und Failback über den Zerto Virtual

Manager, der mit anderen VM-Management-Systemen

wie VMware vCenter

oder Microsoft Virtual Machine Manager

zusammenarbeitet und im DR-Fall die

Netz- und IP-Adressenkonfiguration automatisiert

anpasst. Hinzu kommt bei Bedarf

die Virtual Backup Appliance, die einzelne

Dateien und Verzeichnisse wiederherstellen

kann. Für Service-Provider bietet Zerto

mit dem Cloud Manager zudem eine mandantenfähige

DRaaS-Lösung an.

Wer mit Veeam eine größere Zahl an VMs

in die Cloud replizieren will, sollte ebenfalls

beim Provider Veeam Backup & Replication

sowie dedizierte Cloud-Gateways

installieren. Für die WAN-Anbindung

bietet Veeam neben einer VPN-

Lösung auch eine Network-Extension-Appliance

an, die einen Layer-2-Tunnel zum

Provider aufbaut. Die Replica-VMs verwenden

damit dieselben IP-Adressen wie

die Quell-Maschinen. Mit Cloud Connect

Backup bietet Veeam ebenfalls eine auf

Service-Provider zugeschnittene DRaaS-

Lösung an.

VM-Backup in der Cloud

Um die Cloudanbindung mit Veeam zu testen,

fügten wir im Konfigurationsmenü einen

Azure- und einen AWS-Test-Account

hinzu. Im AWS-Konto erstellten wir zudem

einen neuen S3-Bucket, den wir in

Veeam als externes Repository konfigurierten.

Bei Azure konnten wir dafür den

vorhandenen Storage-Account nutzen.

Anschließend richteten wir einen Backup-

Job ein, der die VM zunächst in ein lokales

Repository sicherte und von dort automatisiert

jeden Abend zu Azure und zu AWS

replizierte.

Nach einigen Tagen löschten wir die virtuelle

Disk dieser virtuellen Maschine und

konnten sie aus dem Cloud-Backup erfolgreich

wiederherstellen.

Der kleine Test zeigte, dass sich ein VM-

Backup in die Cloud mittlerweile relativ

einfach einrichten lässt. Um eine Cloud-

DR-Lösung aufzubauen, die bei einem

Standortausfall alle Replica-VMs schnell

online bringt und mit der richtigen IP- und

DNS-Konfiguration für die Anwender erreichbar

macht, sind allerdings wie beschrieben

deutlich mehr Installations- und

Konfigurationsarbeiten erforderlich.

Fazit

Viele Backup- und DR-Lösungen bieten

heutzutage die Möglichkeit, die Cloud als

Disaster-Recovery-Plattform zu nutzen.

Um ein tragfähiges Cloud-DR-Konzept zu

erstellen, ist eine sorgfältige Planung erforderlich.

Ein besonderes Augenmerk

sollte ein IT-Verantwortlicher dabei auf die

Netzanbindung und die damit verbundenen

Themen wie IP-Adressierung und

DNS-Konfiguration legen. Bei der Auswahl

einer geeigneten DR-Lösung ist zudem

zu beachten, dass sich damit die gewünschten

RPO- und RTO-Zeiten einhalten

lassen.

Darüber hinaus sollte man nicht vergessen,

dass auch eine optimal geplante Cloud-

DR-Lösung im Zweifelsfall ins Leere

läuft, wenn sie der IT-Verantwortliche

nicht regelmäßig testet.

Christoph Lange/ts



Unterbrechungsfreier Speicherbetrieb

Jederzeit auf Abruf

Viele Unternehmen sind der Meinung, dass ein Backup der eigenen

Daten ausreicht. Dabei übersehen sie, dass viele der heutigen

Anwendungen eine ständige Verfügbarkeit der Daten voraussetzen.

Bereits kurze Ausfälle können in einer solchen Umgebung gravierende

Auswirkungen haben.

Im Allgemeinen geht es beim Thema Datensicherheit

um die Sicherung. Dies bedeutet

zum einen, die Daten vor Beschädigung

und Verlust in Sicherheit zu bringen.

Zum anderen erfordert dies heute vielleicht

mehr denn je, dass Daten möglichst

immer zur Verfügung stehen. Und

genau an diesem Punkt unterscheiden

sich Strategien von den

Lösungen. Denn wenn es lediglich

darum geht, Daten redundant

auf anderen Systemen, möglichst

an einem anderen Ort, quasi als

Kopie aufzubewahren oder zu archivieren,

sind viele Unternehmen

ausreichend gerüstet. Doch

wenn es um die Datensicherheit

in Bezug auf Verfügbarkeit und

den uneingeschränkten und insbesondere

unterbrechungsfreien Zugriff

geht, besteht noch Handlungsbedarf.

Betrachtet man das gesamte

Spektrum beider Optionen, dann spricht

man von Data Safety.

Viele Unternehmen haben heute annehmbare

bis sehr gute Backup- und Recovery-

Lösungen im Einsatz. Sie sichern die unternehmenseigenen

Daten in regelmäßigen

Zeitabständen auf ein separates Medium.

Fällt das primäre System aus oder gehen

Daten aufgrund von mechanischen Defekten,

menschlichen Fehlern oder aufgrund

eines Ransomware-Angriffs verloren, lassen

sie sich meist vom zweiten System

wiederherstellen. Möglichst kurze Backup-Zyklen

helfen dabei, die Menge der

Verluste gering zu halten, sodass das Unternehmen

gut geschützt ist – zumindest

was die Bestände anbelangt.

Mit dieser Annahme wähnen sich viele Betriebe

in Sicherheit, da sie davon ausgehen,

dass sie die Informationen problemlos

wiederherstellen können. Heutzutage geht

es jedoch nicht mehr darum, Daten in einer

bestimmten Zeit wiederherzustellen, sondern

einen komplett uneingeschränkten

Betrieb zu gewährleisten, der keinen Ausfall

zulässt.

RPO und RTO

machen den Unterschied

IT-Verantwortliche und IT-Unternehmen

sollten sich beim Thema Data Safety um

zwei Kennzahlen kümmern: Geht es darum,

möglichst wenige Daten zu verlieren,

ist sicherlich das Recovery Point Objective

(RPO) maßgeblich. Beim RPO geht es darum,

die Unterschiede der Datensätze auf

dem Primärsystem mit denen des Backup-

Systems möglichst gering zu halten. Moderne

Technologien bieten die entsprechenden

Optionen, Daten redundant und

ohne nennenswerte Unterschiede zu speichern.

Hin und wieder wird dies irrtümlicherweise

mit dem Spiegeln auf RAID-

Systemen verwechselt. Das RPO wendet

man jedoch immer auf die redundante Datenhaltung

auf physisch unterschiedlichen

Speichermaschinen an.

Denn auch bei einem RAID kommt es zu

einem Totalausfall, wenn beispielsweise

der Strom ausfällt oder Cyberkriminelle

die Daten verschlüsseln. Ein RAID dient

lediglich zum Schutz vor Medienfehlern,

beispielsweise Lese-Schreibfehlern und

damit verbundenen Ausfällen von Festplatten

in einem System.

Durch geeignete und funktionelle Technologien

lassen sich hervorragende RPO-Ergebnisse

erzielen. Ein RPO gleich Null,

also das Vorhalten absolut identischer Datensätze

ist durchaus möglich.

Damit ist für die Data Safety der

erste wesentliche Schritt getan.

Der zweite Schritt ist hingegen

wesentlich komplexer und auch

deutlich aufwendiger umzusetzen.

Ausschlaggebend ist das Recovery

Time Objective (RTO). Je

niedriger der RTO, desto geringer

ist die Zeit zwischen dem Ausfall

des Erstsystems und der wiedererlangten

vollen Einsatzfähigkeit

über das redundante Speichersystem.

Folglich geht es hierbei darum,

einen möglichst geringen

Wert oder sogar Null zu erreichen. Vielen

Unternehmen ist die Wichtigkeit des möglichst

geringen RTOs aber nicht wirklich

bewusst, und es wird oft nicht ins Kalkül

gezogen, wie verheerend schon minimale

Ausfallzeiten für ein Unternehmen sein

können.

Wie wichtig das RTO ist, hängt sicher vom

Unternehmen und dessen Hauptaufgabe

ab. Während einige Unternehmen mit mittelguten

RTOs gut leben können, sind andere

wesentlich stärker auf eine extrem

schnelle Wiederherstellung des Betriebs

oder gar auf eine komplett unterbrechungsfreie

Produktion angewiesen. Die Wichtigkeit

des RTOs lässt sich am praktischen



Beispiel leicht verdeutlichen: Hat beispielsweise

eine moderne Großbäckerei

den Betrieb weitgehend digitalisiert, hängen

nicht nur die Verwaltung des Unternehmens

am Tropf der IT, sondern auch

die gesamte Produktion.

Kurzer IT-Ausfall

mit gravierenden Folgen

Nun könnte man denken, dass eine halbe

Stunde IT-Ausfall vielleicht zu verkraften

ist. Schließlich muss die Bäckerei nur auf

das redundante System umschalten, ein

paar Server und Datenbanken starten, und

schon ist sie wieder einsatzbereit. Bestellungen,

Dispositionen und Auslieferungen

würden in einem solchen Szenario vielleicht

etwas ins Stocken geraten, aber irgendwie

wäre es vielleicht nach 30 Minuten

IT-Ausfall wieder möglich, in den täglichen

Arbeitstakt zurückzufinden.

Diese Annahme täuscht jedoch: Ab dem

Moment, in dem die Produktion steht, befinden

sich hunderte von Backwaren in den

Öfen, die dort innerhalb von 30 Minuten

verbrennen – denn ohne IT bleibt auch die

hochmoderne Backstraße stehen. Das bedeutet,

dass die Bäckerei die Öfen abkühlen

und anschließend penibel reinigen sowie

wieder aufheizen muss, um im Anschluss

die Produktion wieder anzufahren.

Dabei verrinnen nicht nur die 30 Minuten

IT-Ausfall, sondern mehrere Stunden und

die Auslieferungen sind völlig außer Takt.

Eventuell fällt sogar eine ganze Tagesproduktion

aus, nur weil die Daten von einem

Backup erst nach einer halben Stunde wieder

zur Verfügung standen. Es gibt sicherlich

noch deutlich eindrucksvollere Szenarien,

wenn man beispielsweise an Chemiewerke

oder gar an Kritis-Einrichtungen

denkt. Das bedeutet, dass der RTO bei bestimmten

Unternehmen gleich Null sein

sollte.

Transparenter Failover vs.

unterbrechungsfreier Betrieb

Während moderne Enterprise-Speichersysteme

in sich unterbrechungsfrei hochverfügbar

(RTO = 0) sein können, trifft das

für die Konzepte mit entfernten Ausfallrechenzentren

leider meistens noch nicht zu.

Und auch hier gilt es, zwei wichtige Begrifflichkeiten

eindeutig zu unterscheiden:

transparenter Failover versus unterbrechungsfreier

Betrieb. Mit einem transparenten

Failover lassen sich die Ausfallzeiten

zwischen dem Hauptrechenzentrum

und einem Ausfallrechenzentrum auf ein

Minimum begrenzen.

Mit aktuellen Technologien versucht man

ein RTO nahe Null zwischen redundanten

Rechenzentren zu schaffen. Damit verringert

ein transparenter Failover das betriebliche

Risiko bereits erheblich. Doch auch

ein transparenter Failover (Failure and take

over) ist ein Umschaltprozess und damit

per se keine unterbrechungsfreie Technologie.

Unternehmen müssen daher gemeinsam

mit ihren IT-Dienstleistern genau verifizieren,

wie die Ansprüche an Unterbrechungsfreiheit

– ganz unabhängig von den

verfügbaren Budgets – tatsächlich sind.

Beim Beispiel mit der Großbäckerei und

einem weitgehend automatisierten Produktionsprozess

dürften die Ansprüche

sehr hoch sein. In Unternehmen, die hingegen

mit einer Datenunterbrechung über einen

kurzen Zeitraum gut auskommen, reichen

weniger anspruchsvolle Systeme für

einen möglichst niedrigen RTO aus. Ist ein

Betrieb aber sowohl beim RPO als auch

beim RTO mit einem Wert von Null angewiesen,

gilt eine wichtige Regel: Eine

hohe Sicherheit lässt sich über eine redundante

Datenhaltung lokal und in Verbindung

mit Ausfallrechenzentren erreichen.

Eine echte Ausfallsicherheit ist heute nur

mit sehr hochwertigen Speichersystemen

und nur im primären Rechenzentrum möglich.

Wie man dabei die Anforderungen

und die technische Realisierbarkeit mit

den Budgets in Einklang bringt, bleibt am

einzelnen Fall auszuarbeiten.

Robert Meiners/ts

Robert Meiners ist Practice Lead Cloud Germany bei

MTI Technology, www.mti.com.

Marktübersicht: Backup-Lösungen

Hersteller

Acronis

Arcserve

Ashampoo

AWS

Barracuda Networks

Carbonite

Cohesity

Commvault

Dell EMC

Fujitsu

GCP

HPE

HYCU

IBM

Ionos

Langmeier

Microsoft Azure

MIT Technology

Web

www.acronis.com

www.arcserve.com

www.ashampoo.com

www.aws.amazon.com/de/backup

www.barracuda.com

www.carbonite.com

www.cohesity.com

www.commvault.com

www.dellemc.com/de-de/data-protection/

www.fujitsu.com/de/services/infrastructure/iaas/baas

https://cloud.google.com

www.hpe.com/de/de/storage/data-protection-solutions.html

www.hycu.com

www.ibm.com/de-de/services/business-continuity/backup-data-protection

www.ionos.de

www.langmeier-software.com

www.azure.microsoft.com

www.mti.com

Hersteller

NetApp

Netgear

NovaStor

Nutanix

Oracle

Qnap

Quantum

Rubrik

SEP

SoftwareOne

Strato

Synology

Unitrends

Veeam

Veritas

Waxar

Zealbox

Zerto

Web

www.netapp.com

www.netgear.com

www.novastor.de

www.nutanix.de

www.oracle.com

www.qnap.com

www.quantum.com

www.rubrik.com

www.sepsoftware.com

www.softwareone.com

www.strato.de/business-solutions/storage-backup/

www.synology.com

www.unitrends.com

www.veeam.com

www.veritas.com

www.waxar.eu

www.zealbox.com

www.zerto.com



Backup und DR in der Multi-Cloud

Orientierung durch

Orchestrierung

Bei der Umsetzung einer Backup- und Disaster-Recovery-Strategie

in Multi-Cloud-Umgebungen sind einige Hürden zu bewältigen.

Neue Orchestrierungs-Tools können die Verwirklichung der Backup-

und DR-Pläne erheblich vereinfachen.

Immer mehr Unternehmen versuchen, die

Flexibilität und Kosteneffizienz der Public

Cloud mit den unterschiedlichen Anforderungen

ihrer Workloads in Einklang zu

bringen. Dies äußert sich im Trend zu Multi-Cloud-Umgebungen,

also der Nutzung

von Public-Cloud-Diensten verschiedener

Anbieter oder deren Kombination mit einer

Private Cloud.

Damit verändern sich jedoch auch die Anforderungen

an Backup und Disaster Recovery

(DR). Egal, wo die Daten nun abgelegt

sind, ob teilweise im eigenen Rechenzentren

und in der Public Cloud,

Stichwort Hybrid Cloud, oder verteilt auf

mehrere Cloudumgebungen nach dem

Multi-Cloud-Prinzip: Stets geht es darum,

Daten zu sichern sowie diese vor Cyberkriminellen

zu schützen und eine zuverlässige

Wiederherstellbarkeit im Notfall zu gewährleisten.

Den Hürdenlauf bewältigen

Bei der Umsetzung einer Backup- und DR-

Strategie auf Multi-Cloud-Basis sind jedoch

einige Hürden zu bewältigen. Backup und

DR in der Multi-Cloud bedeutet, die geschäftskritische

Ressourcen an einen zweiten

Cloudanbieter in einer weiter entfernten

Region zu replizieren. Aus Compliance-

Gründen sollte dieser Standort innerhalb nationaler

oder zumindest der EU-Grenzen

liegen, um die rechtlichen Vorgaben der DS-

GVO einzuhalten.

Der Hürdenlauf setzt sich fort mit unterschiedlichen

Management-Portalen und

-Diensten der Cloudanbieter. Dies betrifft

im Falle von IaaS (Infrastructure as a Service)

auch verschiedene On-Disk-Formate

der virtuellen Maschinen, etwa Amazon

Machine Image (AMI) und Azures Virtual

Hard Disk (VHD). So sind Backup- und

Disaster-Revovery-Dienste nicht für den

Austausch zwischen verschiedenen Cloudbetreibern

konzipiert.

Flexible DR-Konzepte

sind gefragt

Die Vielzahl der verfügbaren Optionen für

die Bereitstellung und Wartung von Anwendungen,

ob vor Ort oder in Cloudumgebungen,

sorgt für weitere vielfältige, fast

unüberschaubare Varianten. Angesichts

von Containern, Micro-Services und Serverless-Plattformen

stellt sich sehr bald die

Frage, ob und wie diese Komplexität überhaupt

zu bewältigen ist.

Klassische Backup- und DR-Tools bieten

viele Funktionen, waren bislang jedoch

eher auf herkömmliche lokale Umgebungen

ausgerichtet. Für Cloud-Szenarien

greifen viele Unternehmen auf die teilweise

eingeschränkten Optionen aus dem

Portfolio der jeweiligen Cloudbetreiber

zurück. Cloudorientierte Unternehmen

wollen jedoch flexible DR-Konzepte lokaler

Umgebungen in der Cloud – oder gar

mehreren Clouds – umsetzen.

Plattformen und Tools für Cloud-Data-

Management (CDM) haben generell das

Datenhandling, ebenso wie die Möglichkeiten

für Backup und Disaster Recovery,

in hybriden Umgebungen verbessert. Die

jüngsten Lösungen dieser Art bieten die

Möglichkeit, verschiedene Clouds zu überspannen,

wodurch sich die Umsetzung einer

Multi-Cloud-basierten Backup- und

DR-Strategie erheblich vereinfachen lässt.

Zentrales Daten-Management

für die Multi-Cloud

Die erforderliche „Multi-Cloud-Flexibilität“

versprechen zeitgemäße Lösungen für

Datenklassifizierung, automatisierte Disaster-Recovery-Orchestrierung

und kontinuierliche

Datensicherung auf einer CDModer

SaaS-Plattform. Für Unternehmen eröffnet

sich hierbei die Möglichkeit, eine

zentrale Lösung für die Verwaltung,

Governance und Orchestrierung von Daten

in eigenen Rechenzentren und verschiedenen

Clouds nutzen. Dieser Ansatz ist eine

Antwort auf die Vielzahl unterschiedlicher

Tools und nicht-integrierter Prozesse, die

bislang mit Data Governance, Disaster Recovery

Compliance sowie Daten- und Anwendungsresilienz

einhergingen.

Die Erkennung und Klassifizierung sensibler

Daten sowie zugehöriges Reporting

in der gesamten Unternehmensumgebung

lassen sich heute über eine SaaS-Plattform

abwickeln, ohne dass eine zusätzliche Infrastruktur

erforderlich ist. Der Einsatz von

maschinellem Lernen begegnet dem zunehmenden

Risiko von Datenschutzverletzungen

und Compliance-Strafen. So stellen

Unternehmen fest, wo sich bestimmte

Arten von Daten befinden, ohne die Produktionsumgebung

zu beeinträchtigen.

Da immer mehr Anwendungen auf Public-

Cloud-Plattformen wie AWS ausgeführt

werden, wünschen sich Unternehmen

cloudnative Datensicherung und automatisierten

Failback bei gleichzeitiger Minimierung

der Kosten für ausgehenden Datenverkehr.

Durch die Verwendung einer

einzigen Lösung, die Backup, Replikation,

DR-Orchestrierung und Cloudinstanziierung

vereint, können Unternehmen den

Einsatz mehrerer punktueller Lösungen,

eine komplexe Verwaltung und unnötige

Kosten vermeiden.

Die Automatisierung der DR-Orchestrierung

ist ein entscheidender Baustein zur

Steigerung der Agilität in modernen Multi-



Cloud-IUmgebungen. Dies leistet eine nativ

integrierte Disaster-Recovery-Orchestrierung

von Failover/Failback, Tests und

Anwendungsmigration von eigenen Rechenzentren

zur jeweiligen Public Cloud.

Unternehmen können beispielsweise in einer

Amazon Virtual Private Cloud (Amazon

VPC) VM-Snapshots in Amazon EC2-

Instanzen umwandeln und so RTOs im Minutenbereich

realisieren.

Eine moderne CDM-Plattform bietet

dank kontinuierlicher Datensicherung die

Möglichkeit, für VMware-Umgebungen

RPOs von nahezu Null zu erzielen. Der

kontinuierliche Strom von Wiederherstellungspunkten

trägt entscheidend dazu bei,

Datenverluste bei einem Ausfall oder

Ransomware-Angriff zu minimieren. In

einer SLA-Richtlinien-Engine lässt sich

die kontinuierliche Datensicherung für

die kritischsten VMs festlegen, ohne die

Komplexität der Installation und Verwaltung

einer weiteren punktuellen Lösung

für diese Aufgabe. Die Verwendung von

vSphere-APIs für I/O-Filterung auf der

CDM-Plattform hilft Unternehmen, VMware-Datenverluste

in Rechenzentren und

Clouds zu minimieren, indem RPOs innerhalb

weniger Sekunden zur Verfügung

stehen.

Komplexität einer Multi-Cloud

einfach verwalten

Entscheidend bei einer Multi-Cloud-Nutzung,

die Backup- und DR-Szenarien mit

einschließt, ist die einfache Verwaltung

komplexer, zunehmend cloudnativer Unternehmensumgebungen.

So gibt es immer

mehr Unternehmen, die AWS- und Azure-

Ressourcen verstärkt einsetzen. Diese Unternehmen

können ihre physischen, virtuellen

und cloudbasierten Anwendungen

und Daten, die auf mehrere Clouds und

Rechenzentren verteilt sind, nun auf einer

einheitlichen SaaS-basierten Oberfläche

verwalten, einschließlich einheitlicher

SLA-Richtlinien.

Herkömmliche Ansätze, mit denen sich

Daten und Anwendungen in der Vor-

Cloudära schützen ließen, lassen sich spätestens

mit einer Multi-Cloud nicht mehr

umsetzen. Heute kommt es auf eine unternehmensweite

Datenrichtlinie an, die sich

automatisch übersetzen und über die gesamte

Bandbreite der Datenstandorte hinweg

anwenden lässt.

Ein zeitgemäßer Daten-Management-Ansatz

konzentriert sich auf eine einheitliche

und mühelose Orchestrierung.

Roland Stritt/ts

Roland Stritt ist Director Channels EMEA bei Rubrik,

www.rubrik.com.


Datensicherung mit Flash-to-Flash-to-Cloud

Heiße, warme

und kalte Daten

Unternehmen arbeiten mit riesigen Mengen an heißen Daten.

Gleichzeitig gibt es immer mehr warme und weniger kalte Daten.

Mit einer Kombination aus Flash und Cloud lassen sich die neuen

Anforderungen an Datensicherung und -wiederherstellung meistern.

Flash-to-Flash-to-Cloud (F2F2C) hat das Potenzial, den bisherigen

Backup-Ansatz Disk-to-Disk-to-Tape (D2D2T) abzulösen.

Das Wachstum des Datenvolumens ist eine

bekannte Herausforderung für Unternehmen,

aber nicht die einzige. Unternehmen

mit intensiver Datennutzung müssen zwischen

„heißen“, „warmen“ und „kalten“

Daten unterscheiden. Heiße Daten müssen

sofort verfügbar sein, da man sie ständig

nutzt, um geschäftskritische Entscheidungen

in Echtzeit zu treffen. Warme Daten

benötigt ein Unternehmen nicht regelmäßig,

es sollte sie aber für den Fall der Fälle

leicht verfügbar halten. Auf kalte Daten ist

ein Unternehmen nur sporadisch angewiesen.

Deswegen sollte es diese so kosteneffizient

wie möglich aufbewahren.

Da heiße Daten jederzeit verfügbar sein

müssen, werden sie in der Regel in einem

schnell zugänglichen Speicher vorgehalten.

In hybriden Speicherumgebungen ist

dies in der Regel Flash-Speicher. Warme

Daten und kalte Daten hingegen sind die

Daten, auf die weniger häufig beziehungsweise

sehr selten zugegriffen wird. Daher

ergibt es Sinn, diese auf langsameren und

kostengünstigeren Speicherelementen abzulegen

– vor Ort oder in der Cloud.

Heiße Daten kühlen

immer schneller ab

Die größte Herausforderung besteht darin,

dass heiße Daten schneller als je zuvor zu

kalten Daten altern. Das heißt, dass Daten,

die man heute als heiß einstuft und auf die

man permanent zugreift, morgen schon

warm sind und kurz darauf als kalte Daten

in einem staubigen Datenarchiv landen.

Auf viele dieser Daten greift seit Monaten

oder sogar Jahren niemand mehr zu, dennoch

muss der IT-Verantwortliche sie noch

verwalten, was hohe Kosten verursacht.

Auch die Speicherung großer Datenmengen

auf dem Primärspeicher ist aufwendig.

Unternehmen wissen, dass ein großer Teil

der Daten warm und kalt ist, aber es fehlen

ihnen die Werkzeuge, um regelmäßig den

Primärspeicher zu bereinigen und Daten

auf einen kostengünstigeren Speicher oder

in die Cloud zu verschieben. Darüber hinaus

wollen die Fachabteilungen über ihre

üblichen Anwendungen auf ihre Daten zugreifen

und nicht über separate Zugriffspfade

nach alten Daten suchen müssen.

Backup als Herausforderung

Eine weitere Herausforderung ist das Thema

Backup. Da Daten strategisch immer

wichtiger werden, müssen sie auch ihrer

geschäftskritischen Rolle entsprechend gesichert

und wiederherzustellen sein. Recovery

Time Objectives (RTOs), also Wiederherstellungszeitziele,

die bisher nur auf

kritische Workloads beschränkt waren, haben

sich mittlerweile zum neuen Standard

für die meisten Produktions-Workloads

entwickelt. Viele Unternehmen können

diese strengeren Backup- und Recovery-

Anforderungen jedoch nicht erfüllen,

selbst wenn sie die Daten erfolgreich gesichert

haben.

Die herkömmliche Backup-Architektur,

die in vielen Unternehmen noch zum Einsatz

kommt, basiert auf Festplatten und

Bandspeicher. Bei dieser Backup-Strategie,

bezeichnet als Disk-to-Disk-to-Tape,

speichert man eine Kopie der Daten zunächst

auf einer plattenbasierten Backup-

Appliance und anschließend auf Band. Die

Festplattenkopie bietet eine bessere Wiederherstellungsleistung

als Band allein. Da

Festplatten teurer sind als Bandspeicher,

nutzen Backup-Appliances die Deduplizierung,

um eine relativ kostengünstige

plattenbasierte Backup-Lösung bereitzustellen.

Selbst deduplizierte Festplatten

sind immer noch nicht so günstig wie

Band, aber die Kostendifferenz ist durch

besseres Management mehr als gerechtfertigt.

Der D2D2T-Ansatz ermöglicht eine

schnellere Datenwiederherstellung von der

Backup-Appliance und nutzt Bandspeicher

somit für langfristige Aufbewahrung.

Datenwachstum führt zu Problemen

bei der Datensicherung

D2D2T löste einige der Management-Probleme

bei der Handhabung von Bändern.

So müssen Backup-Administratoren nicht

mehr nach Bändern suchen, um eine Wiederherstellung

durchzuführen, oder sich

Gedanken machen, ob ein Satz Bänder

vollständig ist. Da Backup-Appliances

Festplatten zum Speichern von Backups

verwenden, verbessern sie auch die Wiederherstellungszeiten.

Dadurch ist es möglich,

Datensätze in TByte-Größe in Stunden

wiederherzustellen.

D2D2T hat das Backup im Vergleich zu

früheren Methoden stark modernisiert.

Das Datenwachstum hat zudem verdeutlicht,

dass sich Backup-Appliances nicht

gut skalieren lassen. Wenn die Kapazität

einer Appliance erschöpft ist, muss das

Unternehmen immer wieder eine weitere

anschaffen. Jede weitere hinzugefügte Appliance

ist jedoch eine neue Deduplizierungs-

und Verwaltungszone, was letztendlich

zu Ineffizienzen führt.

Obwohl sie schneller als Bänder sind, sind

die meisten Backup-Appliances auch bei



F2F2C nutzt lokalen

Flash-Speicher für

effiziente Snapshots

und schnelle Wiederherstellungen.

Für die

langfristige Speicherung

von kalten Daten

nutzt die Architektur

Object Storage in der

Public Cloud.

Bild: Pure Storage

der Wiederherstellung von Daten ineffizient.

Sie sind so konzipiert, dass sie Backup-Daten

so schnell wie möglich aufnehmen

können, während die Wiederherstellungsleistung

zweitrangig ist. Für eine

schnellstmögliche Wiederherstellung sollten

sie die Daten jedoch so schnell bereitstellen,

wie der Primärspeicher sie aufnehmen

kann. Wenn sich die Festplatten der

Appliance füllen, kann die Wiederherstellungsgeschwindigkeit

noch niedriger werden.

Dies erschwert es zusätzlich, ein System

effizient zu betreiben.

Vorteile von Flash bei Backup

und Wiederherstellung

Flash-Speicher bietet deutliche Leistungssteigerungen

gegenüber Festplatten. Die

Speichertechnik erlaubt es, dass die Wiederherstellung

von Produktionssystemen

so schnell erfolgen kann, wie die All-

Flash-Produktionssysteme die Daten aufnehmen.

Flash-Backups lassen sich zudem

verwenden, um mehr gleichzeitige Server-

Backups auszuführen, zugunsten einer

besseren Auslastung. Durch die Koppelung

von Flash und Datenreduktion lassen

sich außerdem eine hohe Wirtschaftlichkeit

und Wiederherstellungsleistung erzielen.

Aber es gibt noch einen weiteren Teil des

Backup-Problems. Selbst wenn ein Unternehmen

Flash-Speicher verwendet, um

Rapid-Restore-Funktionen bereitzustellen,

muss es weiterhin große Mengen kalter

und warmer Daten außerhalb der eigenen

Umgebung speichern, um Archivierungsund

Compliance-Richtlinien einzuhalten.

Hierfür kommt vielerorts weiterhin das

Tape zum Einsatz, was nicht nur komplex

und langsam ist: Der eigentliche Nachteil

der Bandspeicherung ist, dass die Daten irgendwo

offline weggesperrt sind – und somit

keinen Wert für das Unternehmen generieren

können.

Eine Option ist es, Bandspeicher endgültig

durch kostengünstigen Cloud-Objektspeicher,

etwa Amazon S3, zu ersetzen. Die

neue Backup-Strategie Flash-to-Flash-to-

Cloud (F2F2C) wurde für bessere Skalierung

und die Umsetzung moderner Backup-Anforderungen

konzipiert. Sie bietet

flexiblere Backup- und Wiederherstellungsoptionen

sowie schnellere Wiederherstellungen

zur Erfüllung anspruchsvoller

RTOs. Hinzu kommen einfachere und

effizientere Abläufe sowie die Kostenvorteile

der Cloud.

Lokaler Flash-Speicher für

Snapshots und Wiederherstellungen

Diese Architektur nutzt den lokalen Flash-

Speicher für effiziente Snapshots und

schnelle Wiederherstellungen. Gleichzeitig

wird eine kostengünstige, hochbelastbare,

externe und selbstgeschützte Public

Cloud für die langfristige Aufbewahrung

genutzt. Entscheidend ist, dass Wiederherstellungsdaten,

sobald sie sich in der Cloud

befinden, einen zusätzlichen Geschäftswert

liefern, indem man sie für andere Anwendungsfälle

wie Test/Entwicklung oder

Analysen wiederverwenden kann. Der

Backup-Markt befindet sich derzeit an einem

Wendepunkt, an dem Flash und die

Cloud eine transformative Rolle spielen.

Wenn Unternehmen Backup-Daten in die

Cloud transferieren, lassen diese sich für

Migration, Entwicklung/Test, Analysen

etc. wiederverwenden.

Aus dem kalten Archiv

in die warme Cloud

Aus kalten Daten im verstaubten Bandarchiv

werden somit warme Daten in der

Cloud, die jederzeit über eine entsprechende

F2F2C-Plattform schnell zugänglich

sind.

Bei der Datensicherung geht es nicht mehr

nur darum, Daten zu speichern und die

Kosten für eine gute Kopie zu minimieren.

Es geht um flexible Sicherungen, schnelle

Wiederherstellungen und vor allem darum,

wertvolle Daten für andere Anwendungen

stets verfügbar zu haben, die den Geschäftswert

steigern.

In dieser Welt des konstanten Datenflusses

wird Disk-to-Disk-to-Tape den Anforderungen

nicht mehr gerecht. Flash-to-Flashto-Cloud

hingegen ist für die Datenmengen

und -anwendungsfälle von heute konzipiert.

Es hilft dabei, mehr aus den Daten

herauszuholen, indem man wertvolle Erkenntnisse

aus ihnen gewinnt.

Markus Frau/ts

Markus Frau ist Principal Systems Engineering bei

Pure Storage, www.purestorage.com.



Datensicherung in heterogenen IT-Infrastrukturen

Durchblick beim

Backup

Beim Thema Cloud haben Unternehmen die Qual der Wahl. Viele

entscheiden sich daher für den Multi-Cloud-Ansatz, wenn es um die

Speicherung ihrer Daten angeht. Dies führt jedoch dazu, dass die

Sicherung der Daten komplexer wird. Abhilfe schaffen Lösungen,

die ein übergreifendes Backup-Management ermöglichen.

Viele Unternehmen wollen in Sachen Cloud

keinem einzelnen Anbieter den Vorzug geben

– und nutzen in Multi-Cloud-Umgebungen

beispielweise Amazon Web Services

und Microsoft Azure zur Datenablage

parallel. Dafür benötigen sie allerdings eine

Lösung, die sämtliche Backup-Daten unabhängig

vom Speicherort analysiert und dem

Anwender eine ganzheitliche Sicht auf die

vorliegenden Informationen bietet.

So können Unternehmen die Komplexität

des Backup-Managements reduzieren und

gewährleisten, dass die gewählte Plattform

sämtliche Backups erfolgreich durchgeführt

hat, die richtige Menge an Speicherkapazitäten

für die Informationen bereitstellt

und Compliance-Vorschriften einhält.

Nutzt ein Unternehmen beispielsweise einen

neuen Server, kann es passieren, dass

Mitarbeiter ihn versehentlich mit keiner

Backup-Software bekanntmachen.

Um das zu erkennen, hilft eine herstellerunabhängige

Lösung, die automatisch

und kontinuierlich ein erfolgreiches Backup-Management

sicherstellt. IT-Verantwortliche

sehen dann, wo Backup-Daten

fehlen, bekommen aber auch Informationen

darüber, wie es um kopierte Daten bestellt

ist.

Anhand von Änderungsraten der Informationen

lassen sich außerdem Anomalien

identifizieren, etwa ob Daten ungewöhnlich

stark verändert wurden. Verwenden

Mitarbeiter die Daten ganz normal, liegt

die Änderungsrate bei rund fünf Prozent.

Steigt sie an und weist hohe zweistellige

Werte auf, sollten Unternehmen genauer

hinsehen. Denn dann spricht vieles dafür,

dass sich Cyberkriminelle Zugriff auf die

Informationen verschafft haben könnten.

Backup-Prozesse

bis zur Fertigstellung verfolgen

Damit Unternehmen auch im Falle eines

Hackerangriffs keinen Schaden davontragen,

müssen Sicherheitskopien für sämtliche

Daten vorhanden sein. Daher darf auch

in komplexen Backup-Umgebungen, in

denen gleichzeitig mehrere tausend Backup-Aufträge

verarbeitet werden, der Überblick

nicht verloren gehen. Eine Reporting-

und Management-Lösung, die die

gesamte Backup-Infrastruktur mitsamt

Backup-Servern, Clients und Richtlinien

automatisch erfasst, ist für große Konzerne

mit heterogenen Infrastrukturen somit unverzichtbar.

Sie verfolgt Backup-Aufträge vom Anfang

bis zum Ende, validiert erfolgreiche Abläufe

und weist auf fehlgeschlagene Prozesse

hin. Zudem schlägt die Lösung

Alarm, sollte das Backup-System fälschlicherweise

davon ausgehen, dass Sicherheitskopien

bestimmter Daten vorliegen,

obwohl sie nicht erstellt wurden. Erst dann

ist das Unternehmen bei einem Ausfall

oder Hackerangriff abgesichert. Gezielte

Datenanalysen helfen außerdem dabei, dass

die benötigten Speicherkapazitäten der

Backup-Daten planbar und optimal ausgelastet

sind.

Dadurch können die Nutzer feststellen,

wann sie aller Voraussicht nach zusätzliche

Kapazitäten bereitstellen müssen. Reportings

geben zudem darüber Auskunft, ob

es sich bei dem untersuchten Speicher um

einen physischen oder virtuellen Speicher

handelt, oder auch ob er mit Oracle- oder

SQL-Servern betrieben wird.

Bei physischen Speichern wie Virtual Tape

Libraries (VTL) bekommen Unternehmen

die Möglichkeit, mit bestimmten VTL-Anwendungen

etwa die aktuelle Auslastung

in der Gegenwart zu bestimmten und für

die Zukunft zu prognostizieren. Mithilfe

von Command Line Interfaces (CLI) und

Simple Network Management Protocols

(SNMP) können Administratoren den Reportings

beispielsweise die Information entnehmen,

dass in der VTL kein freier Speicherplatz

mehr vorhanden ist.

Unternehmen sollten Werkzeuge zur Datenanalyse

auch dafür nutzen, um festzustellen,

ob Sicherheitskopien bestimmter

Informationen Compliance-konform sind.

Administratoren sind gut beraten, täglich

sämtliche Informationen auf ihre datenschutzrechtlichen

Anforderungen zu überprüfen.

Compliance-Berichte geben Aufschluss

über Änderungen an den Informationen

und weisen auf drohende Regelverstöße

hin. Sie sind außerdem unerlässlich,

wenn es darum geht, Service-Level-Agreements,

internen Compliance-Anforderungen

und externen Sicherheitsaudits zu entsprechen.

Je anschaulicher die Analysen für die Anwender

aufbereitet sind, desto einfacher

lassen sie sich auswerten. Übersichtlich

gestaltete Dashboards helfen Unternehmen,

schnell und unkompliziert auf Informationen

zuzugreifen und als Entscheidungsgrundlage

zu nutzen. Von besonderem

Vorteil sind anpassbare Dashboards.

Ein Beispiel für eine flexible Lösung bietet

Veritas, das mit der Plattform Aptare maßgeschneiderte

Reportings bereitstellt.

Sascha Oehl/ts

Sascha Oehl ist Director Technical Sales DACH bei

Veritas, www.veritas.com.


News

vFilO virtualisiert bestehende Speichersysteme

DataCore stellt neue SDS-Lösung für File und Object Storage vor

Damit Unternehmen große Datenmengen

lokal oder in der

Cloud besser organisieren, optimieren

und kontrollieren können,

hat DataCore mit vFilO

eine neue SDS-Lösung (Software-Defined

Storage) vorgestellt.

Die Lösung nutze eine

speziell für verteilte Datei- und

Objektspeicher entwickelte

Virtualisierungstechnik der

nächsten Generation, die die

hauseigenen Datendienste von

SANsymphony ergänzen soll.

vFilO biete sowohl ein Scale-

Out-Dateisystem für unstrukturierte

Daten als auch die Möglichkeit,

bestehende Speichersysteme

zu virtualisieren. Unternehmen,

die ihre Dateien

über mehrere Datei-Server,

NAS-Geräte und Objektspeicher

verteilt haben, sollen dadurch

in der Lage sein, ihre Daten

zu finden, zu teilen, zu

schützen und diese Silos unter

einem globalen Namensraum

zu assimilieren. Letzterer sei

über die Standard-Protokolle

NFS, SMB und S3 zugänglich

und lasse die Daten unverändert.

So erfolge der Datenzugriff

über die Plattform unabhängig

vom Standort. Zudem

stellt die Lösung verschiedene

Dokumentensammlungen und

Multimedia-Inhalte in einem

einheitlichen, globalen Katalog

bereit, wie man es aus der Objektspeicherung

kennt.

Der Vorteil von vFilO

sei jedoch, dass es diese

Funktionalität mit

der Reaktionsfähigkeit

und Konsistenz eines

leistungsstarken, verteilten

Dateisystems

kombiniert.

Dabei verfolgt die Plattform einen

richtlinienbasierten Ansatz,

der unter anderem Leistungsbedarf,

Ausfallsicherheit,

Kosten und Alterung berücksichtigt,

und platziert die Daten

dynamisch über die verfügbaren

Ressourcen hinweg. Dies

geht laut Herstellerangaben mit

einer angemessenen Lastverteilung

einher. Auch Zugriffsrechte

und -kontrollen sollen

bestehen bleiben.

Häufig abgerufene Daten überträgt

die SDS-Lösung auf das

schnellste Speichersystem,

während sie selten genutzte

Daten auf kostengünstigeren

Speicher migriert. Mittels ML

(maschinelles Lernen), das auf

Echtzeit- und historischer Telemetrie

basiert, erstelle die Software

ein klares Bild des Leistungs-

und Latenzprofils jedes

verfügbaren Speichersystems,

um so den passenden Speicherort

für jedes Datenelement zu

bestimmen.

Bei Bedarf archiviert, dedupliziert

und komprimiert vFilO

laut DataCore die Daten in der

Public Cloud oder im lokalen

Objektspeicher, um Speicherplatz

und Kosten einzusparen.

Dabei seien die archivierten

Daten auch weiterhin vollständig

verfügbar.

ts

Info: DataCore

Web: www.datacore.com

Neue Generation an Storage-Lösungen

Fujitsu: All-Flash-Arrays und hybride Speichersysteme

Speicherkosten reduzieren

StorCycle automatisiert das Daten-Management

Mit neuen Speichersystemen

will Fujitsu Unternehmen bei

der Bewältigung des Datenwachstums

unterstützen. Für

kleine Unternehmen oder

Zweigniederlassung sei etwa

das Einstiegsmodell Eternus

AF150 S3 ausgelegt. Laut Hersteller

ist es für extrem kurze

Reaktionszeiten und für Datenmengen

von bis zu 92 TByte

optimiert.

Für größere Unternehmen ist

hingegen das hybride Speichersystem

DX900 S5 vorgesehen.

Es soll hohe Leistungen bieten

und auf bis zu vier Controller

skalierbar sein.

Laut Hersteller speichert es bis

zu 70 PByte. Die hardwarebeschleunigte

Komprimierung

mit vollautomatischem Service-Level-Management

mache

das System effizienter.

Außerdem hat Fujitsu die dritte

Generation des Eternus AF All-

Flash-Arrays und die fünfte

Generation der Eternus DX

Hybridspeicherfamilie vorgestellt,

wie der Konzern bor

Kurzem bekannt gegeben hat.

Zu den Neuerungen für die AF-

S3- und die HX-S5-Linien gehören

mehr Rechenleistung,

größere Systemspeicher, NV-

Me-Cache in den Midrange-

Hybridspeichersystemen sowie

eine hardwarebeschleunigte

Kompressions- und Deduplizierungstechnik.

ts

Info: Fujitsu

Web: www.fujitsu.com

Die Storage-Management-

Software StorCycle von Spectra

Logic soll Unternehmen dabei

helfen, ihre Daten zu identifizieren,

zu verwalten, zu

schützen und abzurufen. Obwohl

laut Hersteller 80 Prozent

der Daten eines Unternehmens

inaktiv sind, würden diese auf

teuren Primärspeicher aufbewahrt.

Dies sei nicht nur teuer,

sondern beanspruche auch

wertvolle Speicherkapazität.

Die Speicherverwaltungssoftware

Storcycle bietet nach

Spectra-Angaben die Möglichkeit,

diese inaktiven Daten einfach

zu identifizieren.

Die Lösung durchsuche automatisch

den Primärspeicher

nach inaktiven Daten und migriere

diese anschließend auf

eine kosteneffizientere Speicherebene

(Perpetual Tier). Dabei

könne es sich um eine beliebige

Kombination aus

Cloud-Speicher, Objektspeicher,

NAS und Tape handeln.

Auf diese Weise sollen Unternehmen

ihre Datenmenge auf

der teuren, primären Speicherebene

reduzieren können. Neben

der Kosteneffizienz minimiere

man so auch das Backup-

und Wiederherstellungsfenster,

vermindere den Bedarf

an zusätzlichem Speicher und

erhöhe die Gesamtleistung der

Storage-Infrastruktur, so der

Hersteller weiter. ts

Info: Spectra Logic

Web: www.spectralogic.com



IT-Sicherheit und Storage

Backups vor

Ransomware schützen

Ransomware bedroht die Verfügbarkeit von Systemen, Anwendungen

und Dateien. Auch das Backup kann Zielscheibe oder Ausgangspunkt

für Malware werden. Nur Sicherheitslösungen, die

gemeinsam mit dem Backup sowie der Datenwiederherstellung

agieren, sorgen nach Einschätzung von Experten für weitreichenden

Schutz vor Verschlüsselungstrojanern.

Ransomware-Angriffe haben verheerende

Auswirkungen und sind nicht umsonst in

den Schlagzeilen. Sowohl Sophos als auch

andere Experten beziffern die Kosten einer

erfolgreichen Ransomware-Attacke im

Schnitt auf rund 130.000 Dollar. Doch was

dabei in die Kalkulationen einbezogen

wird, ist nicht immer klar: Betriebsausfälle

und notwendige Neuausstattung der Infrastruktur

trieben etwa die Kosten des Locky-Angriffs

auf das Neusser Lukas-Krankenhaus

2016 auf eine Höhe von rund einer

Million Euro. Dabei hat das Krankenhaus

dank eines vorhandenen Backups

noch nicht mal ein Lösegeld für die Entschlüsselung

bezahlt.

Laut den Angaben der Malware-Experten

von Sophos zielen 34 Prozent aller Angriffe

mittlerweile nicht mehr auf Endpunkte,

IT-Sicherheit und Backup bieten überlappenden Schutz.

sondern direkt auf die Server. Denn dort

befinden sich wertvolle und unternehmenskritische

Informationen und Anwendungen.

Gehen diese verloren, wird Produktivität

unmittelbar zerstört. Eine Sicherheitslücke

auf dem Server erschließt

zudem weitere Angriffsmöglichkeiten über

die gesamte Infrastruktur hinweg.

Ransomware zielt dabei auch auf Backup-

Server oder deren Sicherungen. Komplexe

Varianten korrumpieren oder löschen sie.

Andere Schadanwendungen verschlüsseln

Sicherungen 30 Tage bevor die Angreifer

eine Zahlung von Lösegeldern verlangen.

Wenn Sicherungen im Rahmen des Backup-Plans,

um Kapazitäten zu schonen, nur

einen Monat lang vorgehalten und dann gelöscht

werden, verfügt ein Unternehmen im

Ernstfall über kein hinreichend aktuelles

Bild: Arcserve

Backup mehr. Nicht wenige Firmen sahen

sich daher genötigt, Lösegeld zu bezahlen,

selbst wenn sie über ein verwertbares Backup

verfügten: Durch ein zu langes Recovery

Time Objective – also die benötigte Zeit zur

Wiederherstellung – oder ein zu großes Recovery

Point Objective – also eine zu weit

zurückliegende Datensicherung – haben

sich Systeme, Informationen und Anwendungen

nicht schnell beziehungsweise nicht

aktuell genug wiederherstellen lassen.

Zu den Maßnahmen gegen Ransomware

gehören neben einer fortschrittlichen Malware-Abwehr

außerdem zentrale Lösungen

in den Bereichen Backup, Wiederherstellung

und Hochverfügbarkeit. Nur so

lassen sich die Datensicherungen effizient

gegen verschiedene Angriffsvarianten

schützen. Ebenso dürfen klassische Backup-Konzepte

nicht fehlen, um die zusätzlichen

Sicherungen der Reichweite von Angriffen

entziehen.

IT-Abteilungen brauchen innovativen Malware-Schutz

über alle Sicherungen in der

gesamten Backup-Infrastruktur hinweg.

Die klassischen signaturbasierten Lösungen

werden zunehmend wirkungslos, weil

viele Angriffe ohne irgendeine erkennbare

ausführbare Datei arbeiten. Software zur

Malware-Abwehr muss zudem immer

mehr und neue, noch unbekannte Angriffsarten

allein an ihrem Verhalten erkennen.

Eine wirksame Abwehr baut daher auf

künstliche Intelligenz.

Deep-Learning-Ansätze erkennen Ransomware-Angriffe

durch die typische Vorgehensweise

einer Verschlüsselungsattacke

und isolieren böswillige Prozesse.

Wichtig sind auch besondere Abwehrfunktionen:

Neue Techniken erkennen unautorisierte

Verschlüsselungsvorgänge innerhalb

von Sekunden und stellen falls nötig

die unverschlüsselten Originaldateien automatisch

wieder her. Sie blocken außerdem

unerlaubte Aktivitäten, etwa böswillige

Manipulationen des Boot-Sektors einer

Festplatte.

Ganzheitliche Lösungen beginnen mit der

Verteidigung schon im Vorfeld eines Angriffs

und erkennen sowie verhindern etwa

Credential Harvesting, also das Verwenden

von MITM-Angriffen (Man in the Middle),

DNS Spoofing, Phishing etc., um Zu-



gangsdaten zu stehlen. Sie identifizieren

auch Lateral-Movement-Angriffe, die über

Umwege Zugriff auf sensible Nutzerkonten

erreichen, oder Angriffe durch Privilegieneskalation.

Als letzte Verteidigungslinie

der IT-Security-Abwehr erfolgt der

Lockdown einer Server-Konfiguration.

Komplexe Backup- und Wiederherstellungslandschaften,

die aus mehreren Lösungen

zusammengesetzt sind und deren

Sicherungen sich dadurch an mehreren Orten

befinden, bieten nicht nur einen fehleranfälligen

Flickenteppich von Backup-Lösungen,

sondern auch eine breite Angriffsfläche.

Die Verteidiger tun sich schwer,

solche unübersichtlichen Infrastrukturen

zu schützen und das Fehlen von Malware –

in diesem Fall die Unmöglichkeit einer unberechtigten

Verschlüsselung – in den Sicherungen

zu garantieren.

Backup-Lösungen helfen der IT-Abwehr

daher sowohl durch ihre effektive Sicherung

und Wiederherstellung von Systemen,

Informationen und Anwendungen, als auch

durch einen Malware-Schutz des einheitlichen

zentralisierten Sicherungsortes. Allin-One-Plattformen

sichern zentral Daten,

Systeme und Anwendungen von zentralen

Server- und Endpunkt-Systemen, SAN

oder NAS, Cloud-Workloads oder Cloud-

Storage-as-a-Service-Lösungen und ermöglichen

damit eine effektive Malware-

Abwehr. Geschützt sind damit Anwendungen,

Informationen und Systeme von Windows-

oder Linux-Infrastrukturen, virtuelle

Umgebungen, Datenbanken, Shares oder

auch Sicherungen von Cloud-Diensten.

Auch den Schutz der Appliance an sich gegen

Malware darf der IT-Verantwortliche

nicht vergessen.

Der Malware-Scan der gesicherten Daten,

Systeme und Anwendungen erfolgt dabei

über ihren ganzen Lebenszyklus hinweg.

Denn bisweilen werden verborgene Verschlüsselungsangriffe

genau dann aktiv,

wenn eine Wiederherstellung starten soll.

Eine vollständige Abwehr umfasst den

Schutz und den Anti-Malware-Scan der

Daten im Moment ihrer Sicherung, at Rest

im Verlauf der gesamten Datenvorhaltung

sowie im Fall der Wiederherstellung.

Wirkliche Datensicherheit bietet eine umfangreiche

Anti-Malware-Software erst in

Kombination mit einer engmaschigen Sicherung

hinreichend aktueller Daten, die

sich auch hinreichend schnell wiederherstellen

lassen.

Eine Hochverfügbarkeitslösung, die fast in

Echtzeit jede Veränderung asynchron repliziert,

ermöglicht das punktgenaue Zurückspulen

auf frühere Systemzustände

vor der Infektion mit Ransomware oder

dem Beginn einer Verschlüsselungsangriffs.

Wenn Unternehmen den Start einer

solchen Attacke bemerken, können sie mit

den High-Availability-Lösungen auch Systemzustände

wiederherstellen, die nur wenige

Minuten zurückliegen.

Bei reinen Backup-Lösungen können geeignete

Service Level Agreements und

KPIs das Zahlen eines Lösegeldes auch bei

einem erfolgreichen Angriff überflüssig

machen. Das Recovery Time Objective

(RTO) – also die Zeit, die vom Eintritt des

Schadens bis zur vollständigen Wiederherstellung

des Systems höchstens vergehen

darf – muss dabei niedrig sein, damit sich

der Betrieb wieder schnell aufnehmen lässt

und Folgeschäden durch Anwendungsausfall

möglichst niedrig sind. Das Recovery

Point Objective (RPO) – also der Zeitpunkt

zwischen den Sicherungen – spielt

eine ebenso wichtige Rolle: Je engmaschiger

die Wiederherstellungspunkte gesetzt

sind, umso weniger Transaktionen und Informationen

gehen beim Aufrufen früherer

Recovery Points verloren. Dies minimiert

die Schadenhöhe im Vergleich zum fälligen

Lösegeld.

Ein wichtiger Bestandteil einer Ransomware-Abwehr

ist es, Sicherungen aus der

Reichweite von Malware-Angriffen zu

bringen.

Eine isolierte Sicherung, die sich in der

Netzwerktopologie an einem anderen Ort

als der Produktiv-Server befindet, oder

eine Replikation von Wiederherstellungspunkten

auf einem zweiten Backup-Server

bieten eine Rückversicherung, falls ein

erster Angriff doch sein Ziel erreichte.

Klassische Backup-Strategien wie eine

Auslagerung von Sicherungen in Cloud-

Speicher oder auf Band entziehen das

Backup ebenso der Reichweite einer Malware.

Sven Haubold/ts

Sven Haubold ist Territory Account Director bei

Arcserve, www.arcserve.com.

News

Lösung mit integriertem Kostenkalkulator für die Amazon-Cloud

Veeam ermöglicht Datensicherung auf AWS

Veeam hat seine Lösung Veeam

Backup nun auch für AWS verfügbar

gemacht. Die neue Version

der Datensicherungslösung

biete einen cloudnativen

Datenschutz für die Amazon

Elastic Compute Cloud (EC2)

und soll über den AWS Marketplace

zu beziehen sein. Durch

die Integration mit der hauseigenen

Lösung „Backup & Replication“

sei es möglich, sämtliche

cloudbasierte, virtuelle

oder physische Daten über eine

zentrale Management-Plattform

zu verwalten. Ebenso lassen

sich Workloads so nativ

schützen, unabhängig davon,

ob die Daten in derselben

Cloud (überregional oder kontoübergreifend),

On-Premise

oder in jeder anderen unterstützten

Umgebung, etwa VMware

vSphere, Microsoft Hyper-V

oder Nutanix AHV, gesichert

und wiederhergestellt

werden.

Der integrierte Kostenkalkulator

helfe außerdem bei der

Kostenplanung.

ts

Info: Veeam

Web: www.veeam.com


News

Datenzugriffs- und -Portierungsanfragen zu langsam bearbeitet

Talend: DSGVO-Konformitätsquote bleibt niedrig

Bromium: KI-basierende Sicherheitssysteme sind kein Allheilmittel

KI-Sicherheits-Tools: Mehr Komplexität, gleiche Gefahr

58 Prozent aller global befragten

Unternehmen gelingt es

nicht, Anträge von Einzelpersonen,

die auf Grundlage der Datenschutz-Grundverordnung

eine Kopie ihrer persönlichen

Daten angefordert haben, innerhalb

der in der Verordnung

festgelegten Frist von einem

Monat zu bearbeiten. Dies zeige

eine Untersuchung von Talend.

Im September 2018 veröffentlichte

der Cloud-Integrationsanbieter

die Ergebnisse

seiner ersten DSGVO-Vergleichsstudie.

Damit sollte die

Fähigkeit von Unternehmen bewertet

werden, die Zugangsund

Portabilitätsanforderungen

der Verordnung einzuhalten. 70

Prozent der untersuchten Unternehmen

waren damals nicht

in der Lage, Daten einer betroffenen

Person innerhalb eines

Monats zur Verfügung zu stellen.

Ein Jahr später befragte Talend

erneut diejenigen Unternehmen,

die im ersten Benchmark

die DSGVO-Vorgaben

nicht einhalten konnten.

Gleichzeitig befragte man auch

neue Unternehmen aus der

Zielgruppe. Zwar erhöhte sich

der Gesamtanteil derjenigen

Unternehmen, die eine Einhaltung

der Vorschriften vermeldeten,

auf 42 Prozent, dennoch

bleibt die Quote 18 Monate

nach Inkrafttreten der Verordnung

vergleichsweise niedrig.

„Diese neuen Ergebnisse zeigen

deutlich, dass die Zugangsrechte

für betroffene Personen

für die meisten Unternehmen

immer noch eine Achillesferse

sind“, so Jean-Michel Franco,

Senior Director of Data Governance

Products. Dies gelte besonders

wegen der Tatsache,

dass bald mehrere Datenschutzverordnungen

in den USA, im

APAC-Raum und in Lateinamerika

in Kraft treten. jos

Info: Talend

Tel.: 089/9440275-0

Web: www.talend.com

Klassische Sicherheits-Tools

können nur einen Teil der Cyberangriffe

verhindern. Anbieter

entwickeln deshalb zunehmend

KI-gestützte Tools. Allerdings

bieten auch sie keine hundertprozentige

Sicherheit. Nur die

konsequente Isolation aller Gefahren

verspricht Erfolg, meinen

die Experten vom IT-Sicherheitsanbieter

Bromium.

Angesichts der nach wie vor hohen

Gefährdungslage nutzen

Unternehmen in der IT verstärkt

neue Lösungen. Im Trend liegen

vor allem KI-gestützte Applikationen

(künstliche Intelligenz).

Solche Sicherheitssysteme nutzen

unter anderem Lernverfahren,

Mustererkennungen oder

statistische Prognosemodelle.

Zentrale Vorteile des KI-Einsatzes

sind das Durchforsten großer

Datenmengen und die Suche

nach Angriffsmustern oder

Anomalien. Auf dieser Basis

lassen sich proaktiv Abwehrmaßnahmen

ergreifen. Allerdings

ist keinesfalls gewährleistet,

dass KI-Programme auch

alle Indizien für eine vermeintliche

Gefahr identifizieren, so

Bromium. Darüber hinaus sei es

keine Seltenheit, dass Anomalien

vorschnell als gefährlich eingestuft

werden – mit der Folge,

dass unnötige False Positives

enstehen. Auch neue KI-gestützte

Lösungen können somit

keine einhundertprozentige Erfolgsquote

bei der Gefahrenerkennung

vorweisen. jos

Info: Bromium

Tel.: 0044/1223-314914

Web: www.bromium.com

Digitale Long-Distance-Übertragung für 6G- und 12G-Anwendungen

Sommer Cable offeriert Verkabelung für hochaufgelöste Bildübertragung

Das Auge eines Adlers hat im

Vergleich zum Auge des Menschen

etwa die drei- bis vierfache

Auflösung. Laut Hersteller

Sommer Cable ermöglicht der

12G-UHD-SDI-Übertragungsstandard

so hohe Bildauflösungen,

dass sie das menschliche

Auge nicht mehr vom Originalschauplatz

unterscheiden kann.

Sommer Cable offeriert in diesem

Umfeld sein SC-Vector-

Plus-1.3/5.7-Kabel, das durch

einen kompakten Durchmesser

von 8 mm im kälteflexiblen

PVC-Mantel und einen optimierten

Schirmungsaufbau aus

zwei robusten AL/PTE-Folien

sowie ein dichtes verzinntes

Kupfergeflecht punkten soll.

Die Konstruktion sorge für

äußerst niedrige Dämpfungswerte

und verhindere

Einstreuungen auf die

elektrischen Werte, wie

man es bisher nur von

wesentlich

dickeren

Kabeln kennt, so der

Hersteller weiter. Als

Leiter ist ein versilberter

Massivdraht mit

niedrigsten Toleranzen im

Einsatz, der in eine innen

und außen geglättete gas-

geschäumte Isolation (Skin/

Gas/Skin) eingebettet ist. Diese

Parameter garantieren laut

Sommer Cable eine perfekte

und fehlerfreie Übertragung

nach den Standards SDI (520

m), 6G-SDI (136 m) und

12G-UHD-SDI (94 m).

Zur Assemblierung empfiehlt

der Hersteller den

Das SC-Vector-Plus-1.3/5.7-

Kabel von Sommer Cable soll

durch einen kompakten

Durchmesser von 8 mm im

kälteflexiblen PVC-Mantel und

einen optimierten Schirmungsaufbau

punkten.

Bild: Sommer Cable

passenden BNC-Crimpstecker

BNC1.3/5.7-6G sowie den

Knickschutz KS-1357. Auch

eine konfektionierte Version ist

lieferbar (Bestellbeispiel 1 Meter:

VZ6G-0100-SW-SW), laut

Sommer Cable auf Wunsch

auch auf Trommel. Das Kabel

eigne sich somit besonders gut

für Breitband, Antennen und

Video sowie in der Rundfunk-,

Broadcast- und Überwachungstechnik

oder auch im

Stadionbau.

jos

Info: Sommer Cable

Tel.: 07082/49133-0

Web: www.sommercable.com


IT Service Guide

Netzwerkzubehör/RZ-Ausstattung

FICONET

systems GmbH

Neue Wildenauer Str.7

08237 Steinberg

Tel.: 037462/6360-0, Fax: 037462/6360-699

E-Mail: sales@ficonet.de

Homepage: www.ficonet.de

Hersteller und Distributor von: strukturierten Verkabelungssystemen,

LWL- und Cu-Datenkabel, Kabelkonfektionen,

Spleissverteiler, Stecker, LWL-Kupplungen,

19" Netzwerk- und Serverschränke, Glasfasermuffen, Datacenter-Solutions,

Trunksysteme, Spleissgeräte, Messtechnik,

Werkzeuge, LWL-Reinigungszubehör, FTTx-

Lösungen, SFP / SFP+ / QSFP+ / CFP Transceiver 1G

bis 100G

Avanis GmbH

Thomas Passlack, Geschäftsführer

Am Fichtenbrink 38, 33659 Bielefeld

Tel.: 0521/26012-0, Fax: 0521/26012-12

E-Mail: info@avanis.de

Homepage: www.avanis.de

Spezialdistributor im Netzwerkbereich mit breitem Markensortiment:

Medienkonverter, Switche, Netzwerkadapter,

Breitband-Kommunikation, IT-Kameras, Kabel,

Software, Wireless LAN, Zubehör. Avanis bietet: Hohen

Qualitätsstandard, benutzerfreundliche Produkte und

kundenorientierte Beratung.

EFB-Elektronik GmbH

Striegauer Straße 1, 33719 Bielefeld

Tel.: 0521/40418-0

Fax: 0521/40418-50

E-Mail: info@efb-elektronik.de

Homepage: www.efb-elektronik.de

Service: Hersteller und Systemanbieter für die strukturierte

Gebäudeverkabelung und Sicherheitstechnik.

EUROMICRON

Werkzeuge GmbH

Zur Dornheck 32 – 34,

35764 Sinn-Fleisbach

Tel.: 02772/57559-0, Fax: 02772/57559-19

E-Mail: sales@euromicron-fo.de

Homepage: www.euromicron-fo.de

Apfel & Waschke

Datentechnik e. K.

Herr Apfel, Inhaber

Flughafen-Ring 201,

47652 Weeze

Tel.: 02837/664820, Fax: 02837/6648228

E-Mail: apfel.waschke@t-online.de

Homepage: www.apfel-waschke.de

Datennetze aller Anwendungssysteme, Glasfaserkabel-

Konfektionierung, Beleuchtungsanlagen-Thermografie

NEFTEC

Herr Fred Tegtmeier

Zeisigweg 31

50829 Köln

Tel.: 0221/938878-0, Fax: 0221/938878-28

E-Mail: info@neftec.de

Homepage: www.neftec.de

Service: Qualitativ hochwertige passive Kupfer- und

LWL Komponenten für FTTx- , LAN- und Telekommunikations-Anwendungen.

Individuelle kundenspezifische

Sonderkonstruktionen wie auch Standard Komponenten:

Adapter-/Patchkabel, Spleißboxen, Faser-/Kabelpigtails

APC, MTP usw runden unser Lagersortiment ab.

ServiceNet EDV-

Vertriebsgesellschaft GmbH

Provinzialstraße 40

53859 Niederkassel

Tel. 0228/7228-0, Fax: 0228/7228-199

E-Mail: info@lichtleiterkabel.com

Homepage: www.lichtleiterkabel.com

Ihr Spezialist für LWL-Kabel und Sonderkonfek tionen.

Anschlussfertige LWL-Kabel in jeder benötigten Ausführung,

mit allen Steckern (LC, SC, ST, FC, DIN,

E2000 ® , MTP ® /MPO, etc.) in jeder gewünschten Länge.

Datenkabel in Standardlängen (Kupfer bis 100 m/Glasfaser

bis 500 m) sofort ab Lager lieferbar.

IT-BUDGET GmbH

Mike Spormann,

Senior Account Manager

Nassaustraße 12,

65719 Hofheim

Tel. 06122/92789-0, Fax: 06122/92789-20

E-Mail: m.spormann@it-budget.de

Homepage: www.it-budget.de

Distributor und Hersteller für Serverschränke, 19”-Verteiler,

Datenkabel (LWL, Kupfer), Stromverteilung/

19”-Speziallösungen für Industrie (Schutzgrad), Büro

(SILENCE RACK)/Montageservice für Schrankaufbau

und Bestückung, RZ-Montagen/Individuelle Lösungen

nach Kundenwunsch: Schränke & Gehäuse, Datenkabel,

Steckdosenleisten

Dätwyler Cables GmbH

Auf der Roos 4-12,

65795 Hattersheim

Tel. +49 (0)6190 8880-0, Fax: +49 (0)6190 8880-80

E-Mail: info.cabling.de@datwyler.com

Homepage: www.cabling.datwyler.com

Dätwyler ist Entwickler, Hersteller und – gemeinsam

mit kompetenten Partnern – Komplettanbieter von hochwertigen

Gesamtlösungen für die Elektro- und ICT-Infrastruktur

von Zweckgebäuden, Rechenzentren und

FTTx-Netzen.

CobiNet Fernmelde- und

Datennetzkomponenten

GmbH

Uwe Tanner

Robert-Bosch-Str. 33, 68542 Heddesheim

Tel.: 06203/4900-0, E-Mail: info@cobinet.de

Homepage: www.cobinet.de

Entwickler, Hersteller und Komplettanbieter von Fernmelde-,

Datennetz-, LWL-Komponenten u. -systemen

wie LSA-/LSA-HD ® -Leisten, Verteiler, Patchfelder/

-kabel, Datenschränke/-dosen/-kabel, Spleißbox, LWL-/

Consolidation-Point-Kabel, vorkonfekt. Kabel, strukt.

Verkabelung, Planungsunterlagen/Planung, Seminare.

Ernst Granzow

GmbH & Co. KG

Abteilung Datentechnik/Herr Weiss

Hertichstraße 27, 71229 Leonberg

Tel.: 07152/18-0, Fax: 07152/18-108

E-Mail: Richard.Weiss@Granzow.de

Homepage: www.granzow.de

Service: Komp. f. strukturierte Verkabelung, KAT 5/6/7.

Messgerätetechnik, Glasfaserkabel u. LWL-Komponenten,

Spleiß-/Messarbeiten, Planung + Beratung von

EDV-Verkabelungen, professionelle Lösungen für TK-

Systeme sowie aktive Netzwerkkomponenten

BKT Kabeltechnik

GmbH

Thomas Lux,

Geschäftsführer

Franz-Josef-Delonge-

Str. 5, 81249 München

Tel. 089-829241-0, Fax: 089-829241-31

E-Mail: info@bkt-kabeltechnik.de

Homepage: www.bkt-kabeltechnik.de

GROSSHANDEL UND IT-SYSTEMHAUS, FTTx,

Glasfasertechnik, Kupfersysteme, Netzwerktechnik,

Datentechnik, Datenkabel, Sonderkonfektionierungen,

Netzwerkschränke, Consulting und Planung

HUBER+SUHNER GmbH

Mehlbeerenstraße 6,

82024 Taufkirchen

Tel. +49 89 61201-0,

Fax: +49 89 61201-162

E-Mail:

info.de@hubersuhner.com

Homepage:

www.hubersuhner.de

Rosenberger-OSI GmbH & Co. OHG

Optical Solutions & Infrastructure

Endorferstraße 6, 86167 Augsburg

Tel. 0821/24924-0, Fax: 0821/24924-929

E-Mail: info-osi@rosenberger.com

Homepage: www.rosenberger.com/osi

Seit 1991 gilt Rosenberger OSI europaweit als Experte

für faseroptische Verkabelungs- und Servicelösungen für

Datacom, Telecom und Industrie. Neben der Entwicklung

und Herstellung des breiten Portfolios an LWL- und

Kupferverkabelungssystemen, bietet Rosenberger OSI

eine Vielzahl an Services wie Planung, Installation und

Instandhaltung von Verkabelungsinfrastrukturen an.

LWL-Sachsenkabel GmbH

Hauptstraße 110

09390 Gornsdorf

Tel.: +49 (0)3721 39 88-0

E-Mail: info@sachsenkabel.de

Homepage: www.sachsenkabel.de

Die LWL-Sachsenkabel GmbH steht für mehr als 25

Jahre Kompetenz in Glasfaser. Basierend auf langjähriger

Erfahrung und höchsten Qualitätsansprüchen entwickelt

und fertigt Sachsenkabel leistungsfähige sowie

wirtschaftliche Verkabelungssysteme für Rechenzentren.

Unser Team von Experten unterstützt Sie bei allen Herausforderungen,

von der Planung über die Implementierung

bis zum Betrieb Ihres Rechenzentrums. So entstehen

maßgeschneiderte Kundenlösungen die Ihnen zwei

entscheidende Faktoren garantieren: absolute Betriebsund

Zukunftssicherheit.

Serverschränke

serverschrank.de

netzwerkschrank.de

Nassaustraße 12, 65719 Hofheim

Tel. 06122/92789-0, Fax: 06122/92789-20

eMail: info@serverschrank.de

Homepage: www.serverschrank.de

Das Beschaffungsportal serverschrank.de / netzwerkschrank.de

bietet die größtmögliche Übersicht über die Produkte

und Anbieter von 19"-Technik – aber auch 10" und

21"-Technik – in Deutschland, kombiniert mit einem möglichst

einfachen Beschaffungsablauf. Vorteile für Nutzer:

+ größte Übersicht und Auswahl zu Netzwerk-, Serverschränken,

Datacentern, Containments

+ einfache Konfiguration des oder der benötigten Racks

+ herstellerunabhängige Beratung und Angebotserstellung

durch ausgebildete Techniker

+ zusätzlich direkte Kontaktmöglichkeit zu Herstellern

und Importeuren

+ herstellerübergreifende Montage-Dienste als Vormontage

(Off-Site) oder am Verwendungsort (On-Site)

+ klare, leicht kalkulierbare, einheitliche Versandkonditionen

+ flexible Zahlungsmodelle

Verkabelungsspezialisten

EFB-Elektronik GmbH

Striegauer Straße 1, 33719 Bielefeld

Tel.: 0521/40418-0

Fax: 0521/40418-50

E-Mail: info@efb-elektronik.de

Homepage: www.efb-elektronik.de

Service: Hersteller und Systemanbieter für die strukturierte

Gebäudeverkabelung und Sicherheitstechnik.


IT Service Guide

ACOME GmbH

Herr Alfred Jansen, Vertriebsleiter

Eutelis-Platz 1, 40878 Ratingen

Tel.: 02102/30975-11, Fax: 02102/30975-50

E-Mail: vertrieb@acome.de

Homepage: www.acome.de

Service: Sichere und wirtschaftliche Verkabelungssysteme,

Glasfaser- und Kupferkabel für Daten- und

Tele kommunikation

Apfel & Waschke

Datentechnik e. K.

Herr Apfel, Inhaber

Flughafen-Ring 201,

47652 Weeze

Tel.: 02837/664820, Fax: 02837/6648228





Dätwyler Cables GmbH

Auf der Roos 4-12,

65795 Hattersheim

Tel. +49 (0)6190 8880-0, Fax: +49 (0)6190 8880-80

E-Mail: info.cabling.de@datwyler.com

Homepage: www.cabling.datwyler.com

Dätwyler ist Entwickler, Hersteller und – gemeinsam

mit kompetenten Partnern – Komplettanbieter von hochwertigen

Gesamtlösungen für die Elektro- und ICT-Infrastruktur

von Zweckgebäuden, Rechenzentren und

FTTx-Netzen.

CobiNet Fernmelde- und

Datennetzkomponenten

GmbH

Uwe Tanner

Robert-Bosch-Str. 33, 68542 Heddesheim

Tel.: 06203/4900-0, E-Mail: info@cobinet.de

Homepage: www.cobinet.de

Entwickler, Hersteller und Komplettanbieter von Fernmelde-,

Datennetz-, LWL-Komponenten u. -systemen

wie LSA-/LSA-HD ® -Leisten, Verteiler, Patchfelder/

-kabel, Datenschränke/-dosen/-kabel, Spleißbox, LWL-/

Consolidation-Point-Kabel, vorkonfekt. Kabel, strukt.

Verkabelung, Planungsunterlagen/Planung, Seminare.

Sommer Cable GmbH

Humboldtstraße 32 – 36,

75334 Straubenhardt

Tel. 07082/49133-0, Fax 07082/49133-11

E-Mail: info@sommercable.com

Homepage: www.sommercable.com

Intelligente Verkabelungs- & Installationslösungen.

Modulare, kundenspezifische Verteilsysteme (Rack-,

Tisch-, Boden- & Wandintegration) für Audio-/Video-/

Netzwerk- & Medientechnik. Zusätzlich Meterware-

Kabel, Hybridleitungen, passende Steckverbinder, Konfektionskabel,

aktive Komponenten und Zubehör.

Auch Ihre Anzeige

könnte hier stehen!

Werben Sie kostengünstig und effektiv

mit Ihrer Anzeige im IT Service Guide.

Ihre nächste Möglichkeit:

Ausgabe 2/2020

Anzeigenschluss:

9. Januar 2020

Ihr Kontakt:

truchsess-jacobi@ctj-media.de

Netzwerkdienstleister

HUBER+SUHNER GmbH

Mehlbeerenstraße 6,

82024 Taufkirchen

Tel. +49 89 61201-0,

Fax: +49 89 61201-162

E-Mail:

info.de@hubersuhner.com

Homepage:

www.hubersuhner.de

Frings Building Solutions

GmbH, Herr André Rütters,

Vertriebsleitung

Kleinhülsen 42, 40721 Hilden

Tel. +49 (2103) 58 77 -180, Fax: +49 (2103) 58 77 -320

E-Mail: andre.ruetters@frings-building.de

Homepage: www.frings-building.de

Service: Netzwerk- & Systemlösungen, bundesweit.

Projektierung, Installation, 24h-Service, LAN/WAN;

Inastallation, Betrieb & Wartung aktiver & passiver

Netzwerke, Kupfer- & LWL-Verkabelungssysteme.

Zertifiziert u.a. Dätwyler, Leoni, Corning, R&M, Axis,

Cisco, HP. Bundesweite Standorte: Leipzig, Hannover,

Hamburg, München, Düsseldorf und Frankfurt am Main

Apfel & Waschke

Datentechnik e. K.

Herr Apfel, Inhaber

Flughafen-Ring 201,

47652 Weeze

Tel.: 02837/664820, Fax: 02837/6648228





TP Networks Dienstleistungs

GmbH

Herr Endres, Abteilungsleiter

IT-Dienstleistungen

Klausenburger Str. 9, 81677 München

Tel.: 089/357151-0, Fax: 089/357151250

E-Mail: info@tpnetworks.de

Homepage: www.tpnetworks.de,

www.sicher-daten-entsorgen.de

Service: Projektierung, Installation und Wartung von aktiven

und passiven Netzwerken, WLAN-Ausleuchtung

und Messung, IT/RZ-Umzüge und Gerätelogistik, Dokumentation

FNT Command, Datenträgervernichtung

dtm Datentechnik Moll GmbH

Herr Jan Moll

Benzstr. 1, 88074 Meckenbeuren

Tel.: 07542/9403-0

Email: info@dtm-group.de

Homepage: www.dtm-group.de

Service: Von der Beratung zum maßgeschneiderten IT-

Konzept, wir sind Ihr Komplettanbieter für hochwertige

und individuelle IT-Infrastrukturen in Ihrem Unternehmen.

Planung, Ausführung und Dokumentation von

Rechenzentren, Office-Verkabelungen & Industrievernetzungen.

USV-Anlagen

Riello UPS GmbH

Wilhelm-Bergner-Straße 9b

21509 Glinde

Tel.: 040/527211-0, Fax: 040/527211-200

E-Mail: vertrieb@riello-ups.de

Homepage: www.riello-ups.de

Die Riello UPS GmbH bietet USV-Anlagen mit Leistungen

von 400 VA bis 6,4 MVA, individuelle Beratung

sowie einen kompetenten Werkskundendienst.

Notstromtechnik-Clasen GmbH

Kurt-Fischer-Straße 39, 22926 Ahrensburg

Tel.: 04102 2102-0, Fax: 04102 2102-20

E-Mail: info@ntc-gmbh.com

Homepage: www.ntc-gmbh.com

NTC ist Ihr Partner für hochverfügbare, unterbrechungsfreie

und energieeffiziente Notstromversorgung. Wir bieten

Ihnen alle Leistungen von A bis Z aus einer Hand.

Professionell und herstellerunabhängig. Von der Analyse

über Konzeption, Vertrieb und Montage bis hin zur Wartung.

NTC – Sicherer ist das!

U.T.E. Electronic

GmbH & Co. KG

www.ute.de

Friedrich-Ebert-Str. 86, 58454 Witten

Tel. 02302/282830, E-Mail: info@ute.de

Seit über 25 Jahren der Spezialist in NRW für Unterbrechungsfreie

Stromversorgung (USV) in allen Leistungsbereichen.

– Vertrieb von Neuanlagen, auch in kundenspezifischen

Ausführungen

– Breites Serviceangebot mit eigener Werkstatt.

– Wartungsverträge mit unterschiedlichsten Leistungsumfängen

und Reaktionszeiten.

– Montage, Reparaturen, Wartung und Batteriewechsel

an ein- und dreiphasige USV Anlagen verschiedenster

Hersteller.

Besuchen Sie unser Democenter in Witten (Ruhrgebiet)

und klären Sie alle Fragen rund um das Thema USV mit

unseren Spezialisten. Zahlreiche Anlagen stehen vorführbereit

zur Ansicht und Erklärung zur Verfügung.

Wöhrle Stromversorgungssysteme

GmbH

Lerchenstraße 34,

71144 Steinenbronn

Tel. 07157/7374-0, Fax: 07157/7374-44

E-Mail: verkauf@woehrle-svs.de

Homepage: www.woehrle-svs.de

Wöhrle bietet ein- und dreiphasige USV-Anlagen im

Leistungsbereich von 1 kVA bis zu mehreren MVA, eine

individuelle Beratung sowie umfangreiche Service- und

Supportleistungen für höchste Zuverlässigkeit und Verfügbarkeit.

Zusätzlich können Sonderlösungen realisiert

werden.

ABB Automation Products GmbH

Am Fuchsgraben 2 – 3

77880 Sasbach

Tel. 07841/609680, Fax: 07841/609681

E-Mail: ups-deabb@de.abb.com

Homepage: www.abb.de/ups

Energieeffiziente 1- bis 3-phasige USV-Anlagen (1 kVA

– 5 MVA). Dezentrale Parallele Architektur (DPA TM)

für höchste modulare Verfügbarkeit.

Netzwerkanalyse

Viavi Solutions Deutschland

GmbH

Johann Tutsch, Sales Account Manager

Arbachtalstr. 5, 72800 Eningen u. A.

Tel. 07121/86-1571, Fax: 07121/86-1222

E-Mail: Johann.Tutsch@viavisolutions.com

Homepage: www.viavisolutions.de

Viavi ist ein führender Anbieter von Netzwerktestequipment,

Monitoring und Assurance für LWL-, Kupferund

Mobilfunk-Netze. Viavi-Lösungen liefern Transparenz

über physische, virtuelle und hybride Infrastrukturen.

Hierzu bietet Viavi Messgeräte, Systeme, Software

und Dienstleistungen für den Lebenszyklus eines

Netz werkes.

Softing IT Networks

Matthias Caven, Head of Sales

Richard-Reitzner-Allee 6,

85540 Haar

089 45 656 660

info.itnetworks@softing.com

itnetworks.softing.com

Ihr Spezialist für Messtechnik zur Qualifizierung, Zertifizierung

und Dokumentation der Leistungsfähigkeit von

Verkabelungen in IT-Systemen, basierend auf weltweit

führenden technologischen Standards. Profitieren Sie

von unserem kompetenten Support und zukunftssicheren

Lösungen für jedes Budget.


IT Service Guide

IT-/RZ-Stromversorgung

Notstromtechnik-Clasen GmbH

Kurt-Fischer-Straße 39, 22926 Ahrensburg

Tel.: 04102 2102-0, Fax: 04102 2102-20

E-Mail: info@ntc-gmbh.com

Homepage: www.ntc-gmbh.com

NTC ist Ihr Partner für hochverfügbare, unterbrechungsfreie

und energieeffiziente Notstromversorgung. Wir bieten

Ihnen alle Leistungen von A bis Z aus einer Hand.

Professionell und herstellerunabhängig. Von der Analyse

über Konzeption, Vertrieb und Montage bis hin zur Wartung.

NTC – Sicherer ist das!

Doppelboden für Serverräume

Indotec Doppelbodensysteme

GmbH

Herbert Spitz

Bühlinger Straße 23, 53577 Neustadt/Wied

Tel. 02683/967340, Fax: 02683/967342

E-Mail: info@indotec-gmbh.de

Homepage: www.indotec-gmbh.de

Service: Lieferung und Montage von Doppelböden/

Schaltwartenböden in Server,- Elektro- und Technikräumen.

Fachliche Beratung und Planung (Meisterbetrieb).

Änderungs,- Reparatur- und Instandsetzungsarbeiten.

Zubehörteile für Doppelböden. Maßgefertigte

Treppenstufen/Rampen/Sonderplatten in eigener Werkstatt.

Fachkompetenz seit über 25 Jahren.

IT Security

GORDION Data Systems

Technology GmbH,

Lösungen für komplexe Rechner-Netzwerke

Oliver Lindlar, Network Consulting

Mottmannstraße 13, 53842 Troisdorf

Tel.: 02241/49040, Fax: 02241/490490

E-Mail: info@gordion.de

Homepage: www.gordion.de

Lösungen zu LAN / WAN / WLAN – Security – Analyzing,

insb.: NAC, Security Gateways, Sandboxing, Web Application

Firewalling, VPN.

RZ-Infrastruktur, Monitoring und

Messtechnik

Laser 2000 GmbH

Argelsrieder Feld 14

82234 Wessling

Tel.: +49 8153 405 0

E-Mail: info@laser2000.de

Homepage: www.laser2000.de

Komponenten und Lösungen für Datencenter und

Glasfaserdienstleister. Anbieter passiver und aktiver

Komponenten mit Schwerpunkt Faseroptik, Systemtechnik

bzw. Übertragungstechnik, Netzwerk-Monitoring

und Cyber-Security, Messtechnik (Glas und Kupfer),

Spleißtechnik. Service- und Zubehör-Center.

Rechenzentrum

Hochsicherheits-Rechenzentrum im Atomschutzbunker

Hochsicherheits-Rechenzentrum im ex. Atomschutzbunker

für kritische Infrastrukturen mit Premium

Internet

www.colocationIX.de/Lanline | sales@colocationix.de

ColocationIX bietet Ihr eigenes Rack ab € 695 netto /

Monat

Leistungen: Rechenzentrum, Colocation Racks, Server

Housing, Private Cloud Services, Managed Services,

Infrastruktur Services, CDN, Cybersecurity, Standortvernetzung,

1G/10G/100G IP-Transit für Ihr Autonomes

System (AS), 100Gbit/s Internet Exchange, China

Direkt Verbindung 160ms

Features: 2m Stahlbeton, permanente Sauerstoffreduktion,

500x 42HE Racks in 10 Sicherheitszonen,

Sicherheitsdesign DIN EN 50600 Klasse 4, CO 2 -

neutral, Energieeffizienzklasse A+++, Erbebenfrei

Zertifizierungen: ISO 27001, ISO 27018,

EcoStep ISO 9001, ISO 14001, ISO 45001, ISO 50001

Erleben Sie, welche Vorteile die Auslagerung zu

ColocationIX für Ihr Unternehmen hat.

Mehr Infos finden sie auf www.colocationix.de/Lanline

oder fragen Sie uns am Telefon unter 0421 33388-0

Telefonielösungen

Frings Informatic Solutions

GmbH, Herr Christian Gaul,

Vertriebsleitung

Kleinhülsen 42, 40721 Hilden

Tel. +49 (2103) 58 77 -274, Fax: +49 (2103) 58 77 -310

E-Mail: christian.gaul@frings-informatic.de

Homepage: www.frings-informatic.de

Systemhausgruppe, MS Office 365, Cloud- und Backup-

Services, IP-Telefonie aus dem eigenem Rechenzentrum.

ITIL-HelpDesk-24h-Service, Field-Services bundesweit

Zertifiziert u.a. Swyx, Cisco, Microsoft, Unify, Citrix,

AudioCodes, Baramundi und HP. Bundesweite Standorte:

Hamburg, Hannover, Düsseldorf, Frankfurt a. M.

und München

PDU

PROCOM GmbH

Landsberger Straße 63, D-82110 Germering

Tel. +49 (0)89 840 5717 0, Fax: +49 (0)89 840 5717 1

E-Mail: info@procom-pdu.de

Web: www.procom-pdu.de

Power Distribution Units von Raritan ® und Legrand ®

• i-PDUs (aktive Steckdosenleisten) für eine zentrale

oder dezentrale Echtzeit-Überwachung der Stromzufuhr

über IP.

• PDUs (passive Steckdosenleisten) für den horizontalen

und vertikalen Einbau, Kabelabziehschutz,

Alugehäuse

Einfachste Montage in Netzwerk- oder Verteilerschränken.

Inserentenverzeichnis

ColocationIX GmbH 3

Deutsche Messe AG 19

envia TEL GmbH 7

Kentix GmbH 4

KIOXIA Europe GmbH 2

Mazda Motors (Deutschland) GmbH 68

NovaStor GmbH 55

Paessler AG 27

Waveline-mar.com 13

WEKA FACHMEDIEN GmbH 5,9,65,67

aktuell.

modern.

mobil.

Bild: LANline, Model: Aleksandar Tomic-123rf

lanline.de

Vorschau

Die Ausgabe 2/2020

erscheint am 28. Januar 2020

Schwerpunkt

Datacenter-Management

Mit fortschreitender Digitalisierung gewinnen

Rechenzentren und damit auch

deren Management weiter an Bedeutung.

Die Herausforderungen reichen

dabei von der Kontrolle und Optimierung

des energieeffi zienten Betriebs

über Sicherheitsaspekte bis hin zur

Verwaltung von virtuellen Netzen und

containerisierten Applikationen.

Schwerpunkt

Verkabelung

Mobilfunk, Telcos und Cable-TV-Betreiber

sorgen momentan für die stetig

steigende Verbreitung von synchronem

Ethernet für 5G-Access und 100GbE-

Backbones. Dies erfordert unter anderem

neue Messtechnik. Auch modernes

KVM basiert heute auf einem leistungsfähigen

Ethernet. Mit Marktübersicht

LWL-Kabel und -Stecker.

Produkte/Services

Thycotic Secret Server im Test

Die Verwaltung von privilegierten Konten

ist für Administratoren eine wahre

Herausforderung. Excel-Listen mit Zugangsdaten

oder die überaus praktische

Keepass-Software von Dominik Reichl

sind für Unternehmen schlicht nicht

ausreichend. Thycotics Secret Server

wäre eine professionelle Alternative.

Vorschau auf kommende LANline-Schwerpunkte

Ausgabe 3/2020

erscheint am 25.2. 2020

Datacenter Computing

Mit Marktübersicht

HCI-Systeme

Endpoint-Management

Mit Marktübersicht

UEM-Lösungen

Ausgabe 4/2020


Industrie 4.0 und IoT

Mit Marktübersicht

IoT-Gateways

RZ-Infrastruktur/-Betrieb

Mit Marktübersicht

Anbieter von RZ-Kühlung

Ausgabe 5/2020


Strukturierte Verkabelung

Mit Marktübersicht

Kategorie-7/7 A /8.2-Kabel

Wireless-Technik

Mit Marktübersicht

WLAN Access Points

Redaktionsschluss 20.12. 2019 Redaktionsschluss 28.01. 2020 Redaktionsschluss 25.02. 2020

Impressum

REDAKTION

Anschrift: Redaktion LANline, WEKA FACHMEDIEN GmbH,

Richard-Reitzner-Allee 2, 85540 Haar,

Tel. + 49 89 25556-1000, Fax + 49 89 25556-1199

Chefredakteur: Dr. Jörg Schröper (jos)

Redaktion: Timo Scheibe (ts)

Autoren dieser Ausgabe: Markus Frau, Dr. Wilhelm

Greiner (wg), Sven Haubold, Alexander Haugk, Thomas

Hefner, Henrik Jorgensen, Dr. Sven Krasser, Christoph

Lange, Robert Meiners, Stefan Mennecke, Ulrich Meyer,

Stefan Mutschler, Sascha Oehl, Detlev Pacholke, Dr.

Constantin Söldner, Roland Stritt, Richard Werner

Layout: JournalMedia GmbH, 85540 München-Haar

Titelbild: Wolfgang Traub

Gekennzeichnete Artikel stellen die Meinung des Autors,

nicht unbedingt die der Redaktion dar. Für unverlangt

eingesandte Manuskripte keine Gewähr. Alle in der

LANline erscheinenden Beiträge sind urheberrechtlich

geschützt. Alle Rechte, auch Übersetzungen, vorbehalten.

Reproduktionen, gleich welcher Art, nur mit schriftlicher

Genehmigung des Verlages.

Aus der Veröffentlichung kann nicht geschlossen werden,

dass die beschriebenen Lösungen oder verwendeten

Bezeichnungen frei von gewerblichem Schutzrecht sind.

Erfüllungsort und Gerichtsstand ist München.

MEDIABERATUNG

Verlagsrepräsentantin: Cornelia Truchseß-Jacobi,

Tel. + 49 170 3372234 oder +49 89 71940003,

E-Mail truchsess-jacobi@ctj-media.de,

cornelia.truchsess@lanline.de

Verantwortl. für den Anzeigenteil: Eric Weis,

Tel. + 49 89 25556-1390

Zurzeit gilt Anzeigenpreisliste Nr. 32 / 2020

VERLAG

Anschrift: WEKA FACHMEDIEN GmbH

Richard-Reitzner-Allee 2, 85540 Haar,

Tel. +49 89 25556-1000, Fax + 49 89 25556-1199

HRB 119806, Amtsgericht München

Geschäftsführung: Kurt Skupin, Wolfgang Materna

Verlagsleitung: Matthäus Hose, Peter Eberhard

Vertriebsleitung: Marc Schneider,

Tel. +49 89 25556-1509

Herstellungsleitung: Marion Stephan

Druck: Vogel Druck und Medienservice GmbH,

Höchberg

Erscheinungsweise: monatlich

ISSN: 0942–4172

HIER KÖNNEN SIE BESTELLEN

Fragen zu Ihrem Heftbezug

Bestell- und Abonnement-Service:

WEKA FACHMEDIEN GmbH,

c/o ZENIT Pressevertrieb GmbH,

Postfach 810640, 70523 Stuttgart

Tel. + 49 711 7252210, Fax + 49 711 7252333

E-Mail: abo@weka-fachmedien.de

Shop: www.weka-fachmedien.de/shop

Bezugspreise:

Jahresabonnement

(12 Ausgaben, inkl. Mwst. und Versand)

Inland Euro 107,60

Ausland Euro 119,60

Einzelheft Euro 10,00 (inkl. Mwst., zzgl. 3,– Euro Versand)

Bankverbindung: Postbank München, BLZ 70010080,

Kontonummer 9339809

Bezugszeit: Das Abonnement kann jederzeit, spätestens

jedoch sechs Wochen zum Ende des Bezugsjahres

gekündigt werden. Ansonsten verlängert sich das Abonnement

um weitere zwölf Monate.

Bei Nichterscheinen aus technischen Gründen oder

höherer Gewalt entsteht kein Anspruch auf Ersatz.

66 LANline 1/2020

Kostenfreie Teilnahme

mit VIP-Code

20TF01MUCPA

28.-29. JANUAR 2020

HOLIDAY INN MÜNCHEN

Das LANline Tech Forum bietet Ihnen die Plattf orm für neuste

Entwicklungen und Trends im Bereich Verkabelung, Netze und

Infrastruktur. Hier treff en Sie Experten, Branchen-Insider und

Fachleute aus der Kabelbranche sowie Kollegen aus Planung,

Realisierung und Betrieb der Verkabelungsinfrastruktur für ein

intensives Networking innerhalb der Fach-Community.

In herstellerneutralen Technikvorträgen ebenso wie bei der Präsentati

on neuer Lösungen in Produktvorträgen erfahren Sie alle

Neu entwicklungen bei Technik, Normierung und bei Produkten.

Schwerpunkte:

■ Was kommt nach 10GbE:

100, 400 und mehr GBit/s

■ Single Pair Ethernet und IoT

■ Multi mode und Singlemode

■ Alle Spielarten von Kategorie 8

■ Aktuelle Normierungen für

Kabel und Steckverbinder

■ Topologie-gerechte

Verkabelung im RZ

Agenda, Anmeldung und Details finden Sie unter

www.lanline.de/events

Eine Veranstaltung von:

ERFOLG VORPROGRAMMIERT

Der Mazda CX-5 ist der neue Treiber in Ihrem Unternehmen.

Mit innovativer Skyactiv Motorentechnologie und Mazda Connect

kommen Sie besser voran und bleiben immer in Verbindung.

MAZDA CX-ḅ

Mazda Business Leasing ab 209 € ohne Anzahlung*

Kraftstoffverbrauch im Testzyklus: innerorts 7,7 l/100 km, außerorts 5,6 l/100 km,

kombiniert 6,4 l/100 km. CO 2 -Emission: 146 g/km. CO 2 -Effizienzklasse: C.

MAZDA CARE PLUS

I N K L U S I V E

WARTUNG & VERSCHLEISS

* Monatliche Rate (netto) – ein Leasingangebot für gewerbliche Kunden der Mazda Finance – einem Service-Center der Santander Consumer Leasing GmbH (Leasinggeber), Santander-

Platz 1, 41061 Mönchengladbach – bei 0,00 € Sonderzahlung mit 36 Monaten Laufzeit und 60.000 km Gesamtfahrleistung für einen Mazda CX-5 Prime-Line Skyactiv-G 165 FWD

(2,0-l-Benziner) und Abschluss einer GAP-Vereinbarung gemäß den Allgemeinen Geschäftsbedingungen und Regelungen für Kilometerleasingverträge zum Preis von 5,00 €. Gültig für

Neuwagenbestellungen von Gewerbekunden, Freiberuflern oder Selbstständigen ohne Mazda Rahmenabkommen bis zum 31.12.2019. Beinhaltet Kundenrabatt teilnehmender

Mazda Vertragshändler. Beinhaltet nicht das Mazda Care Wartungspaket. Alle Preise zzgl. Überführungs- und Zulassungskosten. Beispielfoto eines Mazda CX-5. Die Ausstattungsmerkmale

des abgebildeten Fahrzeuges sind nicht Bestandteil des Angebotes.

DRIVE TOGETHER

LANline 1/2020

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?