LANline 1/2020
Hier können Sie die gesamte Ausgabe der LANline 1/2020 digital erleben.
Hier können Sie die gesamte Ausgabe der LANline 1/2020 digital erleben.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
10,–
Januar 2020
20. Dezember
IT Network Datacenter
www.lanline.de
Backup und Archivierung
Unterbrechungsfreie
Datenspeicherung
Disaster Recovery
in der Cloud
Mit Marktübersicht
Backup-Lösungen
Januar 2020
Malware Protection
auf Legacy-Systemen
Sicherheitsmaßnahmen
für den Altbestand
AWS re:Invent
in Las Vegas
ML-Tools, Outposts
und neue Prozessoren
Schwerpunkt: End-
User-Computing
Microsoft entdeckt den
DaaS-Markt für sich
Editorial
32. Jahrgang, Ausgabe Januar 2020
#JLUoffline
Timo Scheibe,
Redakteur LANline
Meine ehemalige Hochschule, die Justus-Liebig-Universität
Gießen, hat Anfang Dezember aufgrund eines schwerwiegenden
IT-Sicherheitsvorfalls ihre Server aus Sicherheitsgründen herunterfahren
und vom Netz nehmen müssen. Internet, E-Mail-Systeme
und interne Netzwerke waren somit für mehrere Tage nicht
mehr nutzbar. Immerhin blieben die Systeme und Patientendaten
der Uni-Klinik anscheinend von dem Zwischenfall verschont.
Die Universität teilte mit, dass die Ursache ein Cyberangriff mit
einer bislang unbekannten Variante einer Schadsoftware ist. Bis
Redaktionsschluss standen das genaue Ausmaß und die Art und
Weise des Angriffs jedoch noch nicht fest.
Das Beispiel zeigt recht deutlich, wie sehr wir von einer funktionierenden
IT-Infrastruktur abhängen. Zumal Cyberkriminelle
immer professionellere Angriffsvarianten entwickeln, um zum
Ziel zu kommen. Auf der IT-Security-Seite setzen die Hersteller
verstärkt auf Machine Learning, UEBA und Zero-Trust, um mithalten
zu können, wie LANline-Autor Dr. Wilhelm Greiner im
zweiten Teil seiner IT-Security-Trends ab Seite 10 hervorhebt.
Wenn alle Stricke reißen, kann – etwa bei einem Datenverlust
– die richtige Backup-Strategie dazu dienen, Schlimmeres zu
verhindern. Müssen die wichtigsten Server nach einem Ausfall
schnellstmöglich wieder online gestellt werden, kann nur eine
Disaster-Recovery-Plattform helfen.
Auch hier wird die Cloud vor allem für kleinere Unternehmen,
die sich kein Ausweichrechenzentrum leisten können, immer
interessanter. Was es dabei jedoch bezüglich Latenz, Zugriffsmöglichkeiten
und weiteren technischen Rahmenbedingungen
zu beachten gilt, lesen Sie ab Seite 48 im Schwerpunkt „Backup
und Archivierung“.
Falls es Sie interessiert, was die Ursache und weitere Auswirkungen
des IT-Sicherheitsvorfalls an der JLU Gießen waren,
lege ich Ihnen den Twitter-Hashtag #JLUoffline ans Herz. Dort
informiert die Uni über den aktuellen Status.
Ihr
www.lanline.de LANline 1/2020 3
Inhalt
Kentix MultiSensor ®
SmartMonitoring
Schützt Ihre
IT Infrastruktur
Schwerpunkt
Backup und Archivierung
Für den Schutz vor Standortausfällen bietet
sich die Cloud als kostengünstige Disaster-Recovery-Alternative
(DR) an. Unternehmen sparen
sich damit die Kosten für ein Ausweich-RZ
und sind dennoch in der Lage, im DR-Fall
wichtige Server schnell wieder online zu bringen.
LANline untersucht, welche technischen
Rahmenbedingungen dabei zu beachten sind.
Seite 48
Schwerpunkt
End-User Computing
Heute arbeitet man – sofern die Art des
Jobs es zulässt – zeit-, geräte- und ortsunabhängig.
Nicht umsonst sind Cloud-
Services hier beliebt. DaaS (Desktop as a
Service) erlaubt es sogar, ganze Arbeitsumgebungen
aus der Cloud zu beziehen
– neuerdings mischt auch Microsoft in
diesem Markt mit.
Seite 28
Data-Center +IT-Rack +
kritische Infrastruktur
Markt
Phishing und gezielte Angriffe
Teil 2 des Berichts über den IT-Security-Markt
befasst sich mit der Endgeräte- und Endanwenderseite.
Es geht somit um Phishing,
Ransomware und automatisierte Angriffskampagnen,
auf Verteidigerseite um passwortlose
Authentisierung, Zero-Trust, User and Entity
Behavior Analytics (UEBA) sowie Endpoint
Detection and Response (EDR).
Seite 10
KLIMA
MONITORING
BRAND
EINBRUCH
E-MAIL /SMS /SNMP
APP
Komplette
Software integriert!
kentix.com
Technik
Robotic Process Automation
Automatisierung macht Prozesse effizienter
und für Anwender besser zu handhaben.
Doch die technische Integration verschiedener
Systeme in großen Unternehmen ist
aufwändig. Robotic Process Automation
(RPA) ist dagegen einfach zu implementieren
und macht sich oft schnell bezahlt.
Seite 44
4 LANline 1/2020 www.lanline.de
Inhalt
Markt
AWS re:Invent 2019, Las Vegas: ML-Tools, Outposts und neue Prozessoren . . . . 6
IT-Security-Trends, Teil 2: Phishing und gezielte Angriffe. . . . . . . . . . . . . . . . . . . . . 10
Security-Software für MSSPs: Starthilfe für Systemhäuser . . . . . . . . . . . . . . . . . . . . 14
Extreme Networks Fabric Automation: Automatisierung für das RZ . . . . . . . . . . . . 16
Marcus Busch von Leaseweb im Gespräch: Gaming ist ein interessanter Markt . . 18
Produkte/Services
HCI-Testreihe, Teil 4: HCI-Plattform von Red Hat . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Dell stellt Dell EMC PowerOne vor: Automationsmaschine . . . . . . . . . . . . . . . . . . . 23
HPE Container Platform: Kubernetes kommt ins Unternehmens-RZ . . . . . . . . . . . . 24
IBM Cloud Pak for Security: Offene Plattform zur Angriffsabwehr . . . . . . . . . . . . . 26
Schwerpunkt: End-User Computing
Digitale Workspaces für die Zukunft der Arbeit: Die Illusion des Vertrauten . . . . . 28
Datenquelle und Angriffswerkzeug: Twitter in der IT-Sicherheit . . . . . . . . . . . . . . . 32
Marktübersicht: Virtual-Workspace-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
KI-gestützte Endpunktsicherheit: Dem Angreifer voraus . . . . . . . . . . . . . . . . . . . . . . 36
Mobile-Content-Management: Container vs. native Datentrennung . . . . . . . . . . . . 38
Anforderungen an ein EMM-Tool: Sichere Nutzung mobiler Endgeräte . . . . . . . . . 40
Technik
Schutz für Legacy-Systeme: Aus Alt mach Sicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Robotic Process Automation: Softwareroboter in der Automatisierung . . . . . . . . . . 44
Erklärbare KI soll für Transparenz sorgen: KI beeinflusst Business Intelligence . . 46
Schwerpunkt: Backup und Archivierung
Kostengünstige Alternative: Disaster Recovery in der Cloud . . . . . . . . . . . . . . . . . . . 48
Unterbrechungsfreier Speicherbetrieb: Jederzeit auf Abruf . . . . . . . . . . . . . . . . . . . . 52
Marktübersicht: Backup-Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Backup und DR in der Multi-Cloud: Orientierung durch Orchestrierung . . . . . . . . 54
Datensicherung mit Flash-to-Flash-to-Cloud: Heiße, warme und kalte Daten . . . . 56
Datensicherung in heterogenen IT-Infrastrukturen: Durchblick beim Backup . . . . 58
IT-Sicherheit und Storage: Backups vor Ransomware schützen . . . . . . . . . . . . . . . . 60
News
Produktneuheiten und Aktuelles aus den Bereichen Netze,
Daten- und Telekommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35, 43, 47, 59, 61
28– 29
Januar
2020
München
Jetzt anmelden
Die BatteryWorld ist die Erweiterung
des erfolgreichen Entwicklerforums
Batterien, Akkus & Ladekonzepte. Es
vermittelt in einem ganztätigen Basiskurs
Grundlagenwissen zu Li-Akkus und deren
Weiterentwicklung.
In spezialisierten Sessions erhalten Sie
als Teilnehmer vertiefendes Wissen über
Themen, die für Einsatz und Entwicklung
von Batteriesystemen wichtig sind.
● Highlights: Basisseminar: Li-Batterien
und deren Weiterentwicklung
● Keynotes: CO2-Bilanz von Akkus,
Batteriefertigung in Deutschland
● Podiumsdiskussion:
Schnellladen – Anforderung an Akkus
und Netz-/Leistungselektronik
● Ladeverfahren und Batteriemanagement
● Zellchemie und -verhalten
● Batteriesysteme
● Batterie-Sicherheit
● Messverfahren, Charakterisierung
● Second Life und
Recycling
Partner
Light Sponsor
28.01.
Besichtigung und
Abendessen in
der Allianz-Arena,
München
Classic Sponsors
Rubriken
Editorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
IT Service Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Inserentenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Vorschau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Impressum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Eine Veranstaltung von
www.lanline.de LANline 1/2020 5
www.battery-world.de
Markt
AWS re:Invent 2019, Las Vegas
ML-Tools, Outposts
und neue Prozessoren
Auf seiner alljährlichen re:Invent-Konferenz geizte Cloud-Gigant
AWS nicht mit Superlativen: Mehr als 65.000 Teilnehmer waren
nach Las Vegas gekommen, um die vielen Ankündigungen, technische
Deep Dives in mehr als 2.800 Sessions und natürlich das
Netzwerken mit dem Hersteller, Ausstellern und Kollegen mitzunehmen.
Eine Portion Geduld und Sitzfleisch mussten die Teilnehmer
mitbringen: AWS-CEO Andy Jassy machte in einer dreistündigen
Keynote eine Fülle von Ankündigungen. Spannende Entwicklungen
gab es vor allem bei Machine Learning (ML), Data Lakes sowie
hybriden Infrastrukturen. Aber auch im klassischen Infrastrukturbereich
bleibt AWS nicht stehen, sondern treibt konsequent die
Weiterentwicklung eigener ARM-Prozessoren voran.
Ankündigung eines hauseigenen ARM-basierten
Prozessors Graviton überrascht hatte,
stellte der Cloud-Gigant nun mit dem
Graviton2 dieses Jahr die nächste Generation
vor – ein klarer Schlag gegen Intel und
AMD. Graviton2 liegt den neuen EC2-Instanztypen
M6g, C6g sowie R6g zugrunde.
Während die M6g-Klasse auf den Alltagseinsatz
abzielt, fokussieren C6g auf rechen-
und R6g auf speicherintensive Anwendungsfelder.
Im Vergleich zu Intels
Xeon-basierten M5-Instanzen seien Leistungssteigerungen
von bis zu 40 Prozent
zu erwarten, die Instanzen aber gleichzeitig
bis zu 20 Prozent günstiger, so AWS.
Einen weiteren Höhepunkt der Konferenz
stellte die Abschluss-Keynote von CTO Dr.
Werner Vogels dar. Vogels gab darin tief
technische Einblicke in die Infrastrukturwelt
von AWS, darunter Details der hauseigenen
Nitro-Hypervisor-Architektur. Dank
dieser nähern sich virtuelle Maschinen in
AWS immer mehr der Bare-Metal-Latenz
und -Performance an. Dies gelingt durch
die Auslagerung des Netzwerk-Stacks und
der I/O-Verarbeitung vom Hypervisor in
spezialisierte Nitro-Karten, proprietäre
Amazon-Hardware, die in allen Nitro-
Hosts verbaut ist. Zudem soll die Architektur
eine deutlich verbesserte VM-Isolation
erreichen. Von den Performance-Verbesserungen
profitieren nicht nur klassische
VMs, sondern auch Amazons Angebot für
MicroVMs (Firecracker).
Trotz des langanhaltenden Trends zu PaaS
und Serverless Computing legt AWS einen
starken Fokus auf die Bereitstellung eines
breiteren Angebots von virtuellen Servern
(Amazon EC2-Instanzen). So bietet AWS
heute viermal mehr verschiedene EC2-Instanztypen
als noch vor zwei Jahren an.
Nachdem AWS bereits letztes Jahr mit der
Viele News zu Machine Learning
Eine Ankündigungswelle gab es zu ML.
AWS arbeitet verstärkt daran, ML-Frameworks
wie TensorFlow, MXNet oder Py-
Torch auf die eigenen Plattform abzustimmen.
Die spannendsten Neuerungen betrafen
aber eindeutig das ML-Flagschiff
Amazon SageMaker. SageMaker ist Amazons
Kerndienst zum Erstellen, Trainieren
und Implementieren von ML-Modellen.
Jetzt veröffentlicht AWS eine Reihe von
Developer Tools für SageMaker, um ML-
Entwicklern Werkzeuge an die Hand zu
geben, wie man sie aus der klassischen
Softwareentwicklung kennt. Im ML-Bereich
setzt AWS damit neue Maßstäbe.
So bekommen Entwickler mit SageMaker
Studio eine Web-basierte IDE an die Hand,
die alle notwendigen Werkzeuge zusammenführt:
Eine einzige Anwendung unterstützt
Codeerstellung, Experimente, Visualisierung,
Debugging und Monitoring. So
AWS lockte mehr als 65.000 Teilnehmer zu
seiner Hausmesse re:Invent nach Las Vegas.
Bild: Dr. Constantin Söldner
6 LANline 1/2020 www.lanline.de
Haben Sie
noch alle Server
im Schrank?
Der sichere Serverbetrieb im eigenen Haus ist für viele Unternehmen
äußerst zeit- und kostenintensiv. Das Datacenter Leipzig bietet ideale
Bedingungen für den reibungslosen Betrieb Ihrer IT-Infrastruktur.
Server zu uns – Sicherheit für Sie.
Jetzt informieren unter: enviaTEL.de/rechenzentrum
Kostenfreie Servicenummer
0800 0 008407
info@enviaTEL.de
Markt
integriert die IDE verschiedene neu angekündigte
Services: SageMaker Notebooks,
SageMaker Debugger, SageMaker Model
Monitor, SageMaker Autopilot und Sage-
Maker Experiments. Damit verspricht
AWS, den ganzen ML-Entwicklungszyklus
zu verbessern.
SageMaker Notebooks (noch im Preview)
stellt die im ML-Bereich populären Jupyter
Notebooks als Managed Service bereit. Anwender
können zwischen Hardwarekonfigurationen
wechseln, ohne sich um die Infrastruktur
zu kümmern. SageMaker Experiments
richtet sich an die Trainingsphase
der ML-Modellerstellung. Typischerweise
trainiert man dabei viele verschiedene Modelle,
um möglichst hohe Präzision zu erreichen.
Ein Experiment ist nichts anderes
als eine Sammlung von Trials, bestehend
aus mehreren Trainingsstufen. SageMaker
Experiments soll die Durchführung solcher
Experimente erheblich vereinfachen. Ihre
Visualisierung kann wiederum in SageMaker
Studio erfolgen.
Ein weiterer Bereich, den AWS angeht, ist
das Debugging von ML-Trainings. So können
ML-Experten herausfinden, ob das
Modell bestimmte Dimensionen nicht berücksichtigt
oder zu viele Dimensionen berücksichtigt
werden. Das Debugging basiert
auf der Fähigkeit, Tensors (multidimensionale
Vektoren) während des Trainings
aufzuzeichnen. Dafür muss der
Entwickler den Training Code entsprechend
instrumentieren.
Probleme können nicht nur während der
initialen Trainingsphase auftreten, sondern
auch bei bewährten ML-Modellen, die im
Laufe der Zeit keine akkuraten Ergebnisse
mehr vorhersagen. Besonders das Problem
des „Concept Drifts“ stellt ML-Modelle
vor Herausforderungen, die AWS nun mit
SageMaker Model Monitor adressiert: Das
Tool überwacht ML-Modelle, die bereits
produktiv sind, und erzeugt Alarme, wenn
Probleme mit der Datenqualität auftreten.
Ebenfalls neu: Statt selbst aufwendig den
passendsten ML-Algorithmus zu identifizieren,
kann man diese Aufgabe an Sage-
Maker Autopilot abgeben. „Anwender von
SageMaker Autopilot können die Erfahrung
eines Data Scientists quasi as a Service
nutzen“, so Constantin Gonzalez,
Principal Solutions Architect bei AWS, gegenüber
LANline. Die neuen SageMaker-
Kapazitäten richten sich vor allem an ML-
Experten. Daneben weitet AWS sein Portfolio
populärer ML-Anwendungsszenarien
aus, die der Anwender direkt als Service beziehen
kann. So will AWS mit Amazon
Transcribe Medical die Arbeit von Ärzten
erleichtern, die immer mehr Arbeitszeit für
manuelle Datenerfassung verwenden müssen.
Per Spracherkennung lässt sich die erforderliche
klinische Dokumentation automatisieren.
Ein anderes Szenario, für das
sich ML gut eignet, ist das Erkennen von
Betrugsfällen bei Geschäftstransaktionen.
Amazon Fraud Detector kann Anomalien
aufdecken, die auf Betrug hindeuten.
Ein weiteres Beispiel für einen ML-gestützten
Dienst ist Contact Lens for Amazon
Connect. Amazon Connect ist ein
Dienst, den Unternehmen zum Contact-
Center-Aufbau nutzen. Contact Lens basiert
auf der automatisierten Transkription
der im Contact Center aufgezeichneten
Texte. Diese lassen sich zum Beispiel anhand
von Stimmungsanalysen kategorisieren,
sodass der Benutzer nach Kundenreaktionen
filtern kann.
Hybrid Cloud mit AWS Outposts
Bereits letztes Jahr hatte Amazon mit AWS
Outposts einen Dienst angekündigt, um
eine Lücke in der Hybrid-Cloud-Strategie
zu schließen. Das Pendant zu Microsoft
Azure Arc und Google Anthos dient dazu,
native AWS-Dienste auf Amazon-eigener
Hardware im lokalen RZ bereitzustellen.
Dabei übernimmt AWS auch die Einrichtung
von Outposts im lokalen RZ, sodass
ein Unternehmen sich nur um Stellplatz
und Stromversorgung kümmern muss.
Der Formfaktor ist ein Rack, dessen Ausstattung
der Kunde je nach Rechenanforderung
anpassen kann. Die Hardware entspricht
den gleichen Servern, die auch in
den AWS-Rechenzentren zum Einsatz
kommen. Einzelne Module lassen sich
austauschen. Wählen können Unternehmen
zwischen den Standard-EC2-Server-
Einheiten C5, C5d, M5, M5d, R5, R5d, G4
und I3en. Auf der Storage-Seite kommen
dabei mit EBS gp2 Amazons General-Purpose-SSD-Volumes
zum Einsatz.
Die Auswahl an AWS-Diensten für Outposts
ist allerdings noch begrenzt. Derzeit
bietet Outposts mit EC2, EBS und VPC die
wichtigsten IaaS-Dienste und unterstützt
die Container-Orchestrierungs-Tools ECS
und EKS sowie den Big Data-Dienst EMR.
Die lokalen Anwendungen können jedoch
auch reguläre Dienste wie S3, DynamoDB
etc. aus der AWS-Region direkt beziehen.
Outposts zielt vor allem auf Unternehmen,
die zwar gerne Cloudtechnik einsetzen wollen,
aber lokale Datenverarbeitung und vor
allem niedrige Latenz benötigen. Im Gespräch
hob Michael Hanisch, Head of Technology
Deutschland bei AWS, den Nutzen
für die Fertigungsindustrie hervor: „Gerade
wenn man im Bereich der Maschinensteuerung
direkt in die Produktion eingreifen
will, ist man auf geringe Latenzzeiten angewiesen.“
Bei der Keynote von Werner Vogels
zeigte sich Volkswagen mit einem Auftritt
von Group-CIO Dr. Martin Hofmann
als Outposts-Nutzer. Native AWS Outposts
sind ab sofort verfügbar, VMware Cloud
auf AWS soll 2020 folgen.
Data Lakes und
Containertechnologien
Weitere Ankündigungen von CEO Jassy
betrafen vor allem Data Lakes und Data
Warehousing. Mit Amazon S3 Data Access
Point lässt sich der Zugriff auf S3, Amazons
Kern-Storage-Dienst für die Umsetzung
von Data Lakes, besser steuern und
absichern. Viele neue Features gab AWS
auch für seine Data-Warehouse-Lösung
Redshift bekannt, die die Query-Performance
und die Kosten optimieren sollen.
Mit dem Amazon Managed Apache Cassandra
Service nimmt AWS einen weiteren
NoSQL-Datenbanken-Vertreter in die Liste
der gemanagten Datenbanken auf.
Im Bereich Kubernetes ist vor allem die
neueingeführte Unterstützung von Fargate
für den Kubernetes-Dienst Amazon EKS
hervorzuheben. Bei Fargate for Amazon
EKS kümmert sich AWS komplett transparent
um die Worker-Instanzen, auf denen
die Container laufen. Dies kommt Entwicklern
entgegen, da diese sich häufig
nicht um den Betrieb von Infrastrukturressourcen
kümmern wollen.
Dr. Constantin Söldner/wg
8 LANline 1/2020 www.lanline.de
Kostenfreie
Teilnahme mit
VIP-Code
20LLVA1DSC12
HANAU
19 FEB 20
KÖLN
07 MAI 20
BERLIN *
04 JUN 20
STUTTGART *
08 JUL 20
MÜNCHEN
15-16 SEP 20
Datacenter stellen das Herz
heutiger Unternehmen dar und
müssen sowohl eine hohe Leistung
erbringen als auch stetig steigende
Anforderungen an die Energie- und
Kosten effi zienz erfüllen. Sie als Verantwortlicher
und Entscheider aus dem
RZ- und IT-Umfeld benötigen dazu aktuelles
Fachwissen.
Nutzen Sie das LANline Datacenter
Symposium zum Austausch, Networking
und Kontaktaufnahme mit Experten.
Hochkarätige Vorträge und praxisorientierte
Workshops bringen Sie
detailliert und objektiv auf den aktuellen
Entwicklungstand der Branche.
*Jetzt mehr Wissen sichern! Kombinieren Sie Tech
Forum und Datacenter Symposium an zwei aufeinanderfolgenden
Tagen in Berlin & Stuttgart. Mehr
Vorträge, mehr Ausstellung, mehr Wissen.
Schwerpunkte:
■ Dauerbrenner-Thema: Optimierung des Ressourcenverbrauchs
■ Aktuelle Entwicklungen bei Cooling und Klimatisierung
■ Technischer Fortschritt bei USVs und PDUs
■ EN 50600 in der Praxis und internationale RZ-Normen
■ Datacenter-Management: Ganzheitlicher Ansatz
■ Wie geht das RZ mit dem Wandel bei der Stromerzeugung um?
■ Wärmerückgewinnung
Eine Veranstaltung von:
Agenda, Anmeldung und Details finden Sie unter
www.datacenter-symposium.de
Markt
IT-Security-Trends, Teil 2
Phishing und gezielte
Angriffe
Im Umfeld der Nürnberger Messe It-sa befragte LANline Security-
Anbieter zu aktuellen IT-Security-Trends. Nachdem sich Teil 1 auf
Industrievernetzungs-, Cloud- und Datensicherheit konzentrierte
(siehe „Sichere Daten in unsicheren Zeiten“, LANline 12/2019, S.
10 ff.), richtet Teil 2 den Fokus auf die Endgeräte- und Endanwenderseite.
Es geht somit nun um Phishing, Ransomware und automatisierte
Angriffskampagnen, auf Verteidigerseite um passwortlose
Authentisierung, Zero-Trust, User and Entity Behavior Analytics
(UEBA) sowie Endpoint Detection and Response (EDR).
Der aktuelle „State of the Internet“-Sicherheitsbericht
2019 des Edge-Plattformbetreibers
Akamai bestätigt einen schon länger
bekannten Trend: Cyberkriminelle entwickeln
Angriffe zunehmend auf professionelle,
ja sogar industrielle Weise. Dabei,
so Akamai Research, attackieren sie gerne
große Technologiekonzerne wie Microsoft,
PayPal, DHL und Dropbox. Phishing
ist laut dem Report längst nicht mehr nur
auf E-Mail beschränkt, sondern bezieht
heute auch Social Media und Mobilgeräte
Angriffe auf Unternehmen sind immer ausgefeilter, gezielter und stärker automatisiert. Die
Security-Branche hält mit einer Vielzahl von Abwehrlösungen dagegen – im Bild Kaspersky Anti
Targeted Attack Platform.
Bild: Kaspersky
mit ein. Die Kriminellen entwickeln, so
warnen die Forscher, laufend neue Angriffsmethoden
und -techniken, zum Beispiel
für den Finanzbetrug per E-Mail
(Business E-Mail Compromise, BEC).
Nach Angaben der US-Bundespolizei FBI
haben BEC-Angriffe zwischen Oktober
2013 und Mai 2018 weltweit Verluste von
über zwölf Milliarden Dollar verursacht.
Laut Akamais Bericht nehmen die Kriminellen
bei ihren organisierten Aktionen bevorzugt
die globalen Top-Marken verschiedenster
Branchen und deren Nutzer
ins Visier, zum Beispiel mittels Phishing as
a Service. Dazu setzt die Angreiferseite
unter anderem auf Phishing-Kits. Diese
vorgefertigte Tools erleichtern es anhand
von Web-Designprogrammen, Templates
und Verteilungsmechanismen wie Massen-
E-Mails, Betrugskampagnen durchzuführen.
Während des Beobachtungszeitraums
zielten laut dem Report die meisten
Phishing-Angriffe auf die Hightech-Industrie
ab: mittels 6.035 neu eingerichteter
oder aber gekaperter Domains und 120
Kit-Varianten. Auf Platz zwei folgte die
Finanzbranche mit 3.658 Domains und 83
Kit-Varianten. Beim Online-Handel waren
1.979 Domains und 19 Kit-Varianten involviert.
Allein für Angriffe auf Microsoft
zählte Akamai 3.897 Domains und 62 Kit-
Varianten.
Auch der aktuelle Phishing and Fraud Report
von F5 Networks belegt: Phishing ist
die häufigste Methode für Angriffe auf Daten.
Laut F5 sind jedoch die Bereiche Finanzen,
Gesundheit, Bildung, gemeinnützige
Organisationen und das Rechnungswesen
am stärksten gefährdet. Der Bericht
basiert auf Informationen von Webroot
und F5s eigenen weltweiten Security Operation
Centers (SOCs). Der Anbieter warnt
vor Websites, die auf den ersten Blick vertrauenswürdig
erscheinen: „Einer der
wichtigsten Trends ist weiterhin, dass
Phisher Glaubwürdigkeit vortäuschen, wobei
bis zu 71 Prozent der Phishing-Websites
über die Nutzung von HTTPS als legitim
erscheinen“, erläutert Ralf Sydekum,
Technical Manager DACH bei F5 Networks.
In den F5 Labs habe man festgestellt,
dass 85 Prozent der analysierten
Phishing-Websites, die digitale Zertifikate
verwenden, diese von einer vertrauenswürdigen
Zertifizierungsstelle (CA) signieren
lassen. Ein weiterer wichtiger Trend sei die
steigende Zahl von Phishern, die ihre Angriffe
per Automatisierung optimieren.
Der britische Security-Spezialist Sophos
bestätigt: Ransomware-Angreifer setzen
verstärkt auf automatisierte Angriffe. Solche
Angriffe wenden laut Sophos vertraute
Management-Tools gegen die Unternehmen,
umgehen Sicherheitskontrollen und
deaktivieren Sicherungskopien, um so in
10 LANline 1/2020 www.lanline.de
Markt
kürzester Zeit größtmögliche Durchschlagskraft
zu erlangen. „Die Bedrohungslandschaft
entwickelt sich weiter –
rasant, in großem Ausmaß und immer weniger
vorhersehbar“, so John Shier, Senior
Security Advisor bei Sophos. „Die einzige,
worüber wir echte Gewissheit haben, ist
das, was in diesem Moment passiert“ –
keine allzu beruhigende Aussage.
Anti-Malware-Spezialist Malwarebytes
wiederum konstatiert in seinem CTNT-Report
(Cybercrime Tactics and Techniques)
für das dritte Quartal einen deutlichen Anstieg
von Angriffen auf Einrichtungen des
Gesundheitswesens, auch hier zum Beispiel
mittels Ransomware. Das Gesundheitswesen
hat sich zum attraktiven Ziel
für Cyberkriminelle entwickelt. Die Gründe:
eine häufig veraltete IT-Infrastruktur,
niedrige IT-Budgets und die branchentypische
Fülle wertvoller personenbezogener
Daten.
Vor allem Trojaner wie Emotet und Trick-
Bot machten den IT-Verantwortlichen zu
schaffen: Laut Malwarebytes’ Produktdaten-Auswertung
stieg das Trojaner-Aufkommen
im dritten Quartal gegenüber
dem Vorquartal um 82 Prozent.
Die Empfehlungen der Security-Anbieter,
wie man mit dieser Gefahrenlage denn nun
fertig wird, umspannen ein breites Spektrum:
von der Evaluierung des Status quo
(nach dem Motto „man kann nur verteidigen,
von dem man weiß, dass man es hat“)
über die Authentifizierung und Autorisierung,
die laufende Überwachung des Verhaltens
von Nutzern und Endpunkten
(UEBA) bis hin zum Aufspüren von Angriffen
und der Reaktion darauf (Detection
and Response, auf Endpunktseite Endpoint
Detection and Response, kurz EDR).
„Gerade in großen Unternehmen merken
IT-Sicherheitsteams, dass sie effizienter
werden müssen“, sagt Markus Auer, Regional
Manager Central Europe bei Threat-
Quotient. Denn Cyberkriminelle seien immer
besser organisiert und nutzten immer
ausgefeiltere Techniken, um in Systeme
und Netzwerke einzudringen. „Weil die
Schlagzahl an Attacken so hoch ist, müssen
die Security-Experten in Organisationen
und bei Dienstleistern schneller eine
Übersicht über die Gefahrenlage und den
Ist-Zustand von IT-Landschaften gewinnen“,
so Auer.
Hat man den Status quo einmal ermittelt,
ist die Absicherung der Identitäten und Zugriffsrechte
(Authentifizierung, Autorisierung)
der nächste Schritt. Hier bewegt sich
die Branche endlich mit Nachdruck weg
von der klassischen – und höchst angreifbaren,
da rein wissensbasierten – Kombination
aus Benutzername und Passwort,
etwa durch Mehr-Faktor-Authentifizierung
oder biometrische Tokens. „Passwortloser
Log-in wird weiter an Bedeutung gewinnen“,
prognostiziert Alexander Koch, VP
Sales DACH and CEE beim Security-Token-Hersteller
Yubico. „Angesichts täglicher
Berichte über Datenlecks und gestohlene
Passwörter ist es für Betriebe wichtiger
denn je, Konten von Mitarbeitern am
Arbeitsplatz zu schützen.“ Dies zeige auch
eine aktuelle Studie des Ponemon Institutes:
Hier gaben 57 Prozent der Befragten
IT- und IT-Security-Experten eine Präferenz
für passwortlose Anmeldungen zu
Protokoll.
Laut Nevis-CPO Stephan Schweizer hat
das klassische Passwort ebenfalls „ausgedient“:
„Mit Hilfe von Device Finger Print,
Geolokation, Tippverhalten und kontinuierlicher
Verhaltensanalyse werden Anomalien
besser erkannt und Missbrauch verhindert“,
so Schweizer. Dies gelte es allerdings
mit der Bedienbarkeit zu harmonisieren,
denn Benutzerfreundlichkeit sei ein
wichtiger Wettbewerbsvorteil.
Null Vertrauen im Netz
„Die IT-Security
muss sich weg
von Indicators of
Compromise
(IoCs) hin zu
Indicators of
Behavior (IoBs)
bewegen“, sagt
Forcepoint-CTO
Nicolas Fischbach.
Bild: Forcepoint
In diesem Kontext propagieren Fachleute
immer öfter den sogenannten „Zero-
Trust“-Ansatz („Null Vertrauen“). Dieses
Sicherheitskonzept geht von der Prämisse
aus, dass Anwender und Endgeräte grundsätzlich
nicht vertrauenswürdig sind. Man
unterscheidet nicht mehr zwischen Nutzern
„von innen“ und „von außen“, sondern
fordert zunächst prinzipiel stets für
jeden Service eine Authentisierung ein,
bevor man eine granulare Autorisierung
erteilt. Anschließend überwacht Monitoring-Software
Nutzer und Gerät laufend
auf Abweichungen vom Soll-Verhalten hin
(darauf zielt UEBA ab). Zero-Trust soll Situationen
vermeiden, in denen sich ein Angreifer,
ist er erst einmal ins Unternehmensnetz
eingedrungen, dort frei oder zumindest
unauffällig „seitwärts“ – zu seinem
eigentlichen Angriffsziel – bewegen
kann. Das laufende Monitoring soll Auffälligkeiten
aufdecken, beispielsweise
nicht plausible geografische Sprünge (erkenntlich
anhand eines plötzlichen IP-Adresswechsels)
oder auch ein Abweichen
vom nutzerrollenkonformen Verhalten.
„Die IT-Security muss sich weg von Indicators
of Compromise (IoCs) hin zu Indicators
of Behavior (IoBs) bewegen“, fordert
Forcepoint-CTO Nicolas Fischbach.
„Der Mensch ist die Konstante in einer
sich ständig wandelnden Bedrohungslandschaft.
Im Fokus sollte also der vertrauliche,
sichere Umgang mit Daten im Unternehmen
stehen: Wo befinden sich meine
Daten? Um welche Art von Daten handelt
es sich und wie interagieren Menschen und
Maschinen mit diesen?“ Nach Ansicht von
Dr. Lars Lippert, Vorstand von Baramundi
aus Augsburg, „werden uns Mechanismen
für Angriffe ‚von innen‘ vermehrt beschäftigen“.
Kontrollierte Einschränkungen des
Zugriffs von Geräten und Benutzern auf
andere Systeme und Netzwerke – also
Zero Trust – erlauben hier laut Lippert
„neue Ansätze für die IT Sicherheit“.
Zu diesen Ansätzen zählt die letzthin heiß
diskutierte Nutzung von Machine Learning
(ML) oder, allgemeiner und plakativer
formuliert, von künstlicher Intelligenz
(KI) für die Security-Analyse. „KI ist ein
Hype, der sicher die letzten Monate hochgekocht
wurde“, kommentiert Eckhard
Schaumann, DACH Manager bei RSA. Es
gebe viel Verwirrung um den Begriff. „Machine
Learning ist eine Teilmenge der KI,
die eine leistungsstarke Technik ist, um
www.lanline.de LANline 1/2020 11
Markt
Verhalten zu verstehen“, so Schaumann.
UEBA sei ein Sicherheitsbereich, in dem
KI-Technik zum Einsatz komme. Ein Beispiel:
KI kann bei auffälligen Abweichungen
vom statistisch errechneten Normalverhalten
eines Nutzers oder Endgeräts
Alarm schlagen, zum Beispiel bei einem
plötzlichen Ansteigen von Datenspeicherungen
auf externe Speichermedien. Das
Reaktionsspektrum reicht von der Aufforderung,
sich erneut zu authentisieren, bis
hin zum automatischen Abbruch einer als
Sicherheitsverstoß erkannten Aktion mit
Benachrichtigung des SOC-Teams.
Stand heute will sich aber das Gros der Anbieter
wie auch der Anwender nicht auf
eine KI-gestützte Vollautomation von Reaktionen
auf Sicherheitsvorfälle festlegen.
So meint zum Beispiel Peter Aicher, Senior
Presales Engineer bei Kaspersky: „Angriffe,
die schwer zu erkennen sind, werden
zunehmen. Sie werden mit legitimen
Tools durchgeführt oder ihre Aktivitäten
ähneln legitimen Aktionen – sie werden
gezielt so entwickelt, dass sie der Erkennung
durch Antiviren- und Endpoint-Lösungen
entgehen. Zum Schutz vor solchen
Angriffen ist daher die Kombination aus
fortgeschrittenen Technologien mit Machine
Learning und menschlicher Expertise
nötig.“ Diese Expertise könne man auch
als Service zukaufen. Aber ohne diese
menschliche Intervention kommt die Security-Branche
offenbar vorerst nicht aus, allem
Hype um KI zum Trotz.
Der Rummel um die KI/ML-gestützte Security-Analyse
hat inzwischen offenbar
seinen Zenit überschritten. „Der Hype um
einzelne Schutztechnologien flaut ab, da
festzustellen ist, dass Angreifer leider immer
wieder Wege finden, diese zu überwinden“,
berichtet Richard Werner, Business
Consultant bei Trend Micro. Das zeige
nicht zuletzt die aktuelle Welle von dateilosen
Angriffen wie Emotet. „Die
Branche reagiert darauf mit Lösungen zur
Früherkennung von Angriffen und ihrer
Beseitigung unter dem Schlagwort ,Detection
and Response’ – nicht zuletzt als Managed
Service.“
Manche Anbieter propagieren allerdings
weiterhin punktuelle Abwehrtechniken.
Bromium zum Beispiel setzt zum Endgeräteschutz
auf ein konkretes Verfahren: die
Mikrovirtualisierung. „Herkömmliche Client-basierte
Lösungen, die zur Abwehr auf
die Erkennung von Malware angewiesen
sind, haben kaum noch eine Chance, fortschrittlichen
Attacken standzuhalten. Die
einzig logische Alternative sind Lösungen,
die nicht auf die Detektion, sondern auf die
Isolation von Schadcode abzielen“, so Jochen
Koehler, bei Bromium verantwortlich
für den Vertrieb in Europa. Die derzeit effektivste
Variante für eine solche Isolation
basiere auf Virtualisierungstechnik: „Bei
der sogenannten Mikrovirtualisierung
wird jede riskante Anwenderaktivität wie
das Öffnen eines E-Mail-Anhangs oder
das Downloaden eines Dokuments in einer
eigenen Mikro-VM gekapselt“, erläutert
Koehler. Dies schütze selbst vor bislang
unbekannter Malware.
Ziel: Einheitliche Sicherheitskette
Oliver Bendig, CEO des Frankfurter Softwarehauses
Matrix42, plädiert dafür, den
gesamten IT-Lifecycle in den Blick zu
nehmen: „Für die nächste Welle der Security-Innovation
wird vor allem die Integration
von Security und Operations für den
Digital Workspace zu einem ,Security Automation,
Orchestration, and Response’-
Modell immer wichtiger werden“, betont
der Matrix42-Chef. Bereits bei der Erstellung
von Apps und Services müsse Security
inhärent sein, um mehr Sicherheit am
Ende der Kette – am Endpoint – zu erzeugen.
Damit werden laut Bendig künftig die
Disziplinen UEM (Unified-Endpoint-Management),
ITSM (IT-Service-Management)
und Endpoint Protection immer stärker
interagieren.
In die gleiche Kerbe schlägt Matthias Canisius,
Regional Director CEE bei SentinelOne.
Er sieht drei Themen an Bedeutung
gewinnen: „Ganz allgemein ist und
bleibt das Bestreben von Unternehmen ungebrochen,
ihre IT-Sicherheitsinfrastruktur
weiter zu konsolidieren und Integration
und Automatisierung voranzutreiben. Die
zweite Entwicklung, die mit der erstgenannten
einhergeht, ist, dass Technologien
weiter konvergieren werden.“ Dies habe
man vor vielen Jahren bereits im Bereich
Firewall und Intrusion Prevention gesehen.
Ähnliches sei in den nächsten ein, zwei
Jahren im Zusammenspiel von Endpoint
Protection mit Detection and Response zu
erwarten. „Drittens werden KI-basierte
Technologien auch zunehmend im Bereich
der IoT-Discovery und -Security zu finden
sein sowie zur Absicherung der rasant
wachsenden containerbasierten Infrastrukturen“,
so Canisius.
Fazit
Die Angreiferseite geht heute nach der Art
industrieller Organisationen hochgradig
arbeitsteilig vor, bis hin zu Modellen wie
„Malware as a Service“. Mit Ransomware
haben die Cyberkriminellen ein Geschäftsmodell
gefunden, das eine einfach reproduzierbare,
direkte Monetarisierung eines
Angriffsmusters erlaubt. Dabei erweist
sich Phishing – in zunehmend geschickt
getarnter Form – als ungebrochen wirksamer
Angriffsvektor. Doch auch die Verteidigerseite
hat Fortschritte zu vermelden,
um dieser Bedrohungslage etwas entgegenzusetzen:
Mehr-Faktor-Authentifizierung
bis hin zum passwortlosen Log-in ersetzt
die angreifbare, weil rein wissensbasierte
Authentisierung per Benutzername
und Passwort. Große Hoffnungen setzt die
Branche darauf, KI/ML-Instanzen so trainieren
zu können, dass sie Angriffe und
sonstiges auffälliges Verhalten verlässlich
identifizieren – nicht zuletzt im Rahmen
von Zero-Trust-Modellen, die ein kontinuierliches
Monitoring des Nutzer- und Endpunktverhaltens
auf Netzwerk-, Applikations-
und Service-Ebene vorsehen.
Sicherheitskonzepte wie kontinuierliche
ML-Auswertungen, UEBA und Zero-Trust
dürften manch einem Betriebsrat oder Datenschützer
kalte Schauer über den Rücken
jagen. Verfechter solcher Ansätze betonten
aber in Gesprächen mit LANline immer
wieder, man gehe davon aus, sich selbst
mit skeptischen Stakeholdern gütlich einigen
zu können: Monitoring und Analyse
erfolgten schließlich zumindest bis zum
konkreten Verdachtsfall anonymisiert –
und die Alternative zur fortlaufenden Security-Überwachung
wäre letztlich ein in
jeder denkbaren Bedeutung des Wortes
„unsicherer“ Arbeitsplatz.
Dr. Wilhelm Greiner
12 LANline 1/2020 www.lanline.de
Dortmund,
04. –05.März2020
SICHER IMCYBERSPACE
FÜHRENDE UNTERNEHMENSLÖSUNGEN, DIE SIE WEITERBRINGEN
Messe | Event | Kongress | Erlebniswelt
Besuchen Sie vom 04. –05. März 2020 das Cyber Security Fairevent in Dortmund.
Innovative Cyber Security-Unternehmen präsentieren Ihnen auf 5.000 qm
Lösungen, die Sie sicher imCyberspace weiterbringen.
Erleben Sie das neue CSF-Veranstaltungsformat und sichern Sie sich
Ihr kostenloses Gastticket –for professionals only:
www.cybersecurity-fairevent.com/register
Unsere Medienpartner
Ihr Gastticket-
Code: LANLCSF20
&
Markt
Security-Software für MSSPs
Starthilfe für
Systemhäuser
Auf die komplexe, dynamische IT-Bedrohungslage können kleine
und mittlere Unternehmen (KMU) heute nicht mehr allein reagieren.
MSSPs (Managed Security Service Provider) könnten hier
Sicherheitsaufgaben übernehmen, doch weite Teile des Channels
tun sich schwer damit, sich in diese Richtung zu entwickeln.
Mandantenfähige Cloud-Lösungen helfen Systemhäusern und
Resellern, den Weg ins Security-Service-Geschäft zu fi nden.
Kleine und mittelgroße Unternehmen sehen
meist nicht, welche Gefahr von Ransomware
und Co. auch für sie ausgeht. So
besteht die Abwehrstrategie bislang meist
aus punktuellen Sicherheitslösungen, für
die ihr Systemhaus die Hardware implementiert
hat. Jedoch überfordern Betrieb
und Wartung der Security-Appliances oft
die eigenen IT-Mitarbeiter. Die Gefährdung
steigt weiter, weil sich KMUs immer
digitaler aufstellen und so die Angriffsfläche
erhöhen. Vor diesem Hintergrund wollen
viele KMUs ihre IT-Sicherheit an einen
MSSP auslagern. Zeitgleich trägt die DS-
GVO dazu bei, dass viele Unternehmen
ihre Sicherheitsstrategie überprüfen.
Systemhäuser nicht auf
MSSP-Trend vorbereitet
Systemhäusern und Resellern fällt es jedoch
schwer, ihr Geschäft auf MSS (Managed
Security Services) auszurichten. Zu
Mandantenfähige Endpoint-Security-Lösungen ebnen Systemhäusern und Resellern den Weg zum
MSSP.
Bild: Avast
diesem Ergebnis kommt eine Studie, die
das Analystenhaus Techconsult im Auftrag
des Security-Anbieters Avast durchgeführt
hat. Demnach räumte über die Hälfte der
befragten IT-Häuser (59 Prozent) ein, dass
sie hauptsächlich oder sogar ausschließlich
reines Systemhaus- und Reseller-Geschäft
betreiben. Immerhin erkennt die
Mehrheit die Notwendigkeit, sich auf die
Verschiebung im Vertriebskanal für IT-Sicherheitslösungen
einzustellen.
Um den IT-Betrieb von KMUs kümmern
sich vielerorts externe Dienstleister, die
von einem Fakt profitieren: Mit der steigende
Cloud-Nutzung hat sich die Auslagerung
von IT-Services verbreitet. KMUs
setzen inzwischen Cloud-Services, Mobile
Computing und andere IT-Ressourcen
überall ein. Die Netzwerke haben sich weiterentwickelt
und sind weniger anfällig gegenüber
altbekannten Stolpersteinen wie
Hardwareausfällen und falschen Anwendungskonfigurationen.
Dadurch fällt es
Service-Providern schwer, sich über den
IT-Betrieb kritischer Ressourcen zu profilieren.
Die Chance zur Differenzierung
liegt im Bereich der IT-Sicherheit.
Die Studie beleuchtet die Herausforderungen,
denen sich Systemhäuser und Reseller
auf dem Weg zum MSSP ausgesetzt sehen.
Bemerkenswert ist dabei, dass alle
Top-Nennungen eng mit dem Thema Personalmangel
verknüpft sind.
Fach-Know-how zu
Security-Themen gefragt
Um die steigenden Anforderungen zu erfüllen,
rechnet rund jedes dritte Unternehmen
mit steigendem Bedarf an Sicherheitsexperten.
Denn die Lösungen sind zunehmend
komplex, und die Anwenderunternehmen
agieren heute verteilt an
zahlreichen Standorten.
Laut der Umfrage betreut fast die Hälfte
(49 Prozent) der befragten 150 Systemhäuser
und Reseller mit drei bis 75 Mitarbeitern
jede Lösung pro Kunde einzeln. 16
Prozent der Studienteilnehmer verwenden
eine zentrale Oberfläche oder nutzen wenige
Dashboards, um mehrere Lösungen pro
Kunde zu managen. 42 Prozent betreuen
einen Standort wie einen einzelnen Kunden.
Die vielen Oberflächen binden Perso-
14 LANline 1/2020 www.lanline.de
Markt
nal und erschweren die Buchhaltung. Das
Systemhaus muss dann oft je nach Lösungskombination,
Betriebsmodell und
Bezahlmodell jeden einzelnen Standort separat
abrechnen.
Ein Viertel der Befragten räumte dabei ein,
dass ihnen Kapazitäten, Kompetenz und
Erfahrung fehlen, um Managed Services
zu erbringen. Ebenso viele Systemhäuser
finden kein Managed-Services-fähiges
Produkt. Falls doch, schrecken sie vor der
komplexen Lizenzierung zurück.
Drei Herausforderungen für den
Einstieg ins MSSP-Geschäft
Insgesamt stellt der Einstieg ins MSS-Geschäft
Systemhäuser und Reseller vor drei
wesentliche Herausforderungen: individueller
Service, steigende QoS-Anforderungen
(Quality of Service) und hohe Fachkompetenz
des Personals. Alle drei Aspekte
hängen direkt mit der Verfügbarkeit von
Security-Experten zusammen. Denn individueller
Service ist immer personalintensiv.
Daneben verlangen QoS-Vorgaben
spätestens bei Reparaturen höheren Personaleinsatz.
Im Fokus muss daher für Systemhäuser
und Reseller zunächst stehen, wiederkehrende,
ähnliche oder identische Prozesse
zu automatisieren. Sie benötigen ein Tool,
das ganze Prozessketten über Entscheidungsregeln
abdeckt, zum Beispiel Deployment,
Patching und Lizenzierung.
Selbst in komplexen Situationen muss der
Sicherheitsspezialist dann oft nur eine initiale
Entscheidung treffen, um die Routine
auszulösen, denn einfache Aufgaben laufen
im Hintergrund. Das Systemhaus kann
sich dadurch besser auf die wesentlichen
und anspruchsvolleren Aufgaben konzentrieren.
Mandantenfähigkeit und
Cloud-Hosting als Chance
Viele Anbieter von Sicherheitslösungen
haben das Szenario „ein Kunde, mehrere
Standorte“ im Blick. Sie machen ihre Anwendungen
mandantenfähig, was Systemhäusern
und Resellern die Arbeit erleichtert.
So können sie Kunden anlegen und
über eine gemeinsame Oberfläche Services
ausrollen, administrieren und leis-
Pro Anwenderunternehmen müssen sich Security-Richtlinien individuell einstellen lassen.
tungsgerecht abrechnen. In dem Zuge
empfiehlt es, auf Lösungen zu setzen, die
sich aus der Cloud heraus beziehen und
steuern lassen. Der Cloud-Betrieb erleichtert
es, die Leistung an verschiedenen
Standorten zu erbringen. Das schließt das
Übertragen automatisierter Prozesse von
einem auf den nächsten Kunden ein.
Stammt die Cloud-basierte Lösung aus einer
Hand, kann ein MSSP verschiedene
Kunden selbst über mehrere Standorte hinweg
in einer zentralen Oberfläche verwalten.
Eine solche Konsole vereinfacht das
Anpassen der Lizenzierung nach aktuellen
Bedürfnissen, das Bündeln von Sicherheitsmeldungen
und Bereitstellen individueller
Reports. Ein weiterer Vorteil: Security-Hersteller
aktualisieren heute ihre
Cloud-Lösungen mit aktuellen Bedrohungsdaten
in Echtzeit.
Die Kooperation mit Herstellern eröffnet
Systemhäusern und Resellern die Möglichkeit,
Hindernisse auf dem Weg zum
MSSP schneller zu überwinden. Synergien
lassen sich wie folgt nutzen: Kleinere Systemhäuser
und Reseller identifizieren Kunden
in ihrer Region, wickeln grundsätzlich
den Vertrieb ab und konzentrieren sich auf
die Kundenbetreuung; die Hersteller übernehmen
den Teil des Vertriebs, der tiefgehende
Lösungsexpertise erfordert. Die Zusammenarbeit
ist umso fruchtbarer, wenn
Hersteller die Reseller durch persönliche
Bild: Avast
Online-Trainings, Webinare sowie Partnerportale
mit detaillierten Schulungsreihen
und Best Practices unterstützen.
Attraktive Aussichten für
Sicherheitsspezialisten
KMUs benötigen heute einen dynamischen
Sicherheitsansatz, der sich anpasst,
sobald sich die Bedrohungslage sowie
Tools und Methoden der Cyberkriminellen
ändern. Da viele Unternehmen nicht das
notwendige Know-how haben, sind externe
Sicherheitsspezialisten gefragter denn
je. Den steigenden MSS-Bedarf haben viele
IT-Security-Anbieter erkannt. Sie trimmen
ihr Lösungsangebot auf Mandantenfähigkeit
und Software as a Service. So befähigen
sie Vertriebspartner, in das Security-Service-Geschäft
einzusteigen. Dadurch
steht auch kleinen Systemhäusern und Resellern
die Entwicklung zum MSSP offen,
was für sie bis dato ausgeschlossen war.
Denn ihnen fehlte schlicht das Personal für
die intensive Betreuungstätigkeit. Schaffen
sie es nun, zusätzlich zu ihren bestehenden
Dienstleistungen ein robustes MSS-Portfolio
anzubieten, macht sie das für neue
Anwender attraktiv. Mit dem klassischen
Geschäft gelingt das vermutlich nicht.
Thomas Hefner/wg
Thomas Hefner ist Senior Sales Manager DACH bei
Avast, www.avast.com.
www.lanline.de LANline 1/2020 15
Markt
Extreme Networks Fabric Automation
Automatisierung für
das Rechenzentrum
Auf seinem jährlichen Europa-Event für Partner und Kunden
präsentierte sich Extreme Networks als Cloud-Company vom
Scheitel bis zur Sohle. Auch wenn Hardware wie Switches – zwei
neue Geräte wurden in Athen angekündigt – weiterhin im Programm
bleiben: Der Fokus liegt nun klar auf cloudbasiertem
Netzwerk-Management. Eingeleitet hat Extreme diesen Schwenk
bereits im Sommer 2019 mit der Übernahme von Aerohive. Zu dem
daraus entstandenen Tool ExtremeCloud IQ gesellt sich nun mit
Extreme Fabric Automation (EFA) ein Cloudwerkzeug, um das
RZ-Management zu vereinfachen.
EVPN (Ethernet VPN) und VXLAN (Virtual
Extensible LAN) mit drei einfachen
Befehlen innerhalb von Sekunden aus der
Anwendung heraus bereitstellen lassen.
Vor der Ausführung der automatischen
Konfiguration prüft das Tool die ausgewählte
Netzwerktopologie. Dies soll sicherstellen,
dass man immer die bestmögliche
Konfiguration aktiviert. Die gleiche
Methode verwendet EFA, um weitere
Switches zur Fabric hinzuzufügen oder daraus
zu löschen. Die so gewonnene Elastizität
soll IT-Teams in die Lage versetzen,
ihre Netzwerke schnell und einfach nach
oben und unten zu skalieren und somit
dem Bedarf flexibel anzupassen.
Wesentlicher Bestandteile der Software
sind speziell für diese Aufgaben entwickelte
Mandanten- und Edge-Port-Services.
Sie sollen für Computer, Speicher und
Anwendungen alle benötigten Verbindungen
bereitstellen. Bei der Einrichtung
übernimmt die Software die Erstellung
von Mandanten als separate logische Einheiten,
die jeweils Ressourcen in der Fabric
reserviert haben. Zu diesen Ressourcen
gehören Assets wie Switch-Ports, Port-Kanäle,
VLANs etc., zugeordnet zu die Endpunktgruppen,
also Sammlungen von Assets,
die sich einen gemeinsamen Satz von
Eigenschaften teilen.
Das Netzwerk ist heute eine geschäftskritische
Komponente für den Erfolg der IT.
Eine Infrastruktur zu haben, die einfach,
intelligent und anpassungsfähig ist und
sich mit Cloudgeschwindigkeit bereitstellen
lässt, gilt als eine der wichtigsten Anforderungen.
In besonderem Maße trifft
dies auf das Rechenzentrum als digitalem
Nervensystem eines jeden Unternehmens
zu. Vor diesem Hintergrund hat Nabil Bukhari,
Chief Product and Engineering Officer
bei Extreme, in Athen neue RZ-Softund
Hardware für die Netzwerkautomatisierung,
Integrationen und Bereitstellung
von Ressourcen angekündigt.
Extreme Fabric Automation
In Sachen Software geht es um den Ausbau
von Extreme Fabric Automation zur umfassenden
RZ-Automatisierungsplattform:
Das Tool soll alle Aufgaben im Zusammenhang
mit Überprüfung, Test und Betrieb
von Fabric-Netzwerken in Rechenzentren
automatisieren. Die IP-Fabric eines
Rechenzentrums – sofern es sich um
Switches und Router aus dem SLX-Portfolio
von Extreme handelt – soll sich auf Basis
von BGP (Border Gateway Protocol),
Bei der Einrichtung übernimmt die Software
Extreme Fabric Automation das Erstellen von
Mandanten als separate logische Einheiten, für
die Ressourcen in der Fabric reserviert sind.
Bild: Extreme Networks
Erste Switches mit Broadcom-ASICs
Die EFA-Software lässt sich am einfachsten
auf Gast-VMs betreiben, die in Extremes
SLX-Switches der neueren Generation
integriert sind. Diese Switch-Generation
hat Extreme nun um zwei neuen Modelle
erweitert: den Leaf-Switch SLX 9150
und den Spine-Switch SLX 9250. Beide
Modelle basieren auf den Trident-
3-Switch-ASICs von Broadcom, seit Oktober
2019 der bevorzugte Kooperationspartner
von Extreme in Sachen Unternehmenslösungen.
Die ASICs sollen dieselben
Telemetriefunktionen bieten, die auch führende
Hyperscale Cloud Provider nutzen.
Extreme lässt darauf seine Flow-Analysesoftware
laufen, ein Gespann, das in Sachen
Leistung und Stabilität neue Maßstäbe
setzen soll.
Die EFA-Software indes ist keineswegs an
die Gast-VMs der SLX-Switches gebunden.
Alternativ lässt sie sich auch auf einem
beliebigen Standard-Server und künftig
auch in der Cloud betreiben. Zudem
lässt sie sich laut Bukhari in Orchestrierungssoftware
wie OpenStack, VMware
vCenter und Microsoft SCVMM integrieren.
Jede Integration beruht auf einem separaten
Micro-Service und nutzt die Fab-
16 LANline 1/2020 www.lanline.de
Markt
ric-Informationen von EFA. Weitere Integrationen
sollen in zukünftigen Versionen
verfügbar sein.
„Im Rechenzentrum geht es nicht mehr nur
um Geschwindigkeit und Bandbreite – hier
wird die digitale Transformation gewonnen
oder verloren“, so Abby Strong, Vice
President Product Marketing bei Extreme
in Athen. „Extreme Fabric Automation basiert
auf einer originären Cloudarchitektur
mit einem erweiterten Funktionsspektrum
für Fabric-Orchestrierung und
-Management. Die Lösung macht mit ihrer
einfachen Bedienung manuelle Switchfür-Switch-Konfigurationen
überflüssig.
So können sich IT-Teams im Tempo ihres
Unternehmens bewegen – mit Cloudgeschwindigkeit.“
Große Pläne mit ExtremeCloud IQ
Die Transformation von Extreme zur
Cloud-Company bekam mit der Übernahme
von Aerohive immensen Schwung
(LANline berichtete, siehe dazu lanl.
in/2JgGEDt). In Athen schaffte es das Top-
Management, die eigene Begeisterung ob
dieses Wandels auf die anwesenden 175
Partner zu übertragen. Die in fast allen
Sessions gehypte ExtremeCloud-IQ-Lösung
(siehe lanl.in/2Jf9Vzn) nimmt immer
konkretere Gestalt an und soll Extreme dabei
unterstützen, schon im kommenden
Jahr HPE/Aruba von Platz zwei der Anbieter
für cloudbasiertes Infrastruktur-Management
zu verdrängen – für Jahr darauf
hat man die derzeitige Nummer eins Cisco/Meraki
im Visier. Juniper Networks,
seit der Übernahme von Mist ebenfalls ein
wichtiger Player in diesem Markt, soll
nach hinten weiter auf Abstand bleiben.
Die für die Copilotfunktion von Extreme-
Cloud IQ angekündigten Use Cases (hinterlegte
Einsatzszenarien) verzögern sich
zwar noch einige Monate, als erste Branchen
stehen aber zum Beispiel Transport/
Logistik, Gesundheitswesen, Industrie und
die öffentliche Hand fest. Noch im Jahr
2019 soll es mit „Store in a Box“ ein Paket
für den Handel geben.
Zudem ist geplant, die Funktionen von ExtremeCloud
IQ in vier Stufen anzubieten,
damit Anwender sie genauer an den konkreten
Bedarf anpassen können:
Nabil Bukhari, Chief Product and Engineering
Officer bei Extreme, kündigte in Athen neue
RZ-Soft- und Hardware für Netzwerkautomatisierung,
Integrationen und Bereitstellung von
Ressourcen an.
Bild: Stefan Mutschler
1. Geräte-Management: Basisfunktionen
für Konfiguration und Monitoring von
Access-Points und Switches,
2. Infrastruktur-Management: netzwerkweite
Konfiguration und Analyse,
3. intelligentes Management: Machine-
Learning-unterstützte Funktionen sowie
4. gesichertes Management: Automatisierung
durch KI-Funktionen (künstliche
Intelligenz).
Das Geräte-Management ist im Grundpreis
enthalten. Die Funktionen in den höheren
Stufen kann ein Unternehmen kostenpflichtig
hinzubuchen.
Gemäß den Hauptthemen der Konferenz –
was Extreme von anderen Anbietern unterscheidet
(„The Extreme Difference“) und
„Cloud-Driven Networking“ – griff Abby
„Im Rechenzentrum geht es nicht mehr nur um
Geschwindigkeit und Bandbreite – hier wird die
digitale Transformation gewonnen oder
verloren“, so Abby Strong, Vice President
Product Marketing bei Extreme. Bild: Stefan Mutschler
„Eine Verbindung von EFA mit ExtremeCloud IQ
ist definitiv geplant, aber über die konkrete Ausformung
und einen Zeitplan wird noch diskutiert“,
so Olaf Hagemann, SE Director DACH bei
Extreme.
Bild: Stefan Mutschler
Strong diese an den Bedarf beim Anwender
anpassbare Lösungsabstufung noch
einmal als einen von fünf Punkten auf. Als
einzige Netz-Management-Lösung aus der
Cloud biete Extreme zudem ein durchgängiges
Ende-zu-Ende-Management vom
Netzwerkrand (Edge) bis ins Rechenzentrum.
Ebenso hob sie die Wahlfreiheit bei
der Implementierung hervor: Extreme unterstütze
flexibel Private und Public Cloud
ebenso wie den Betrieb im eigenen Rechenzentrum.
Auch Hybridmodelle seien
realisierbar. Nicht zuletzt führte sie auch
die Betriebskosten ins Feld, hier liege Extreme
mindestens 30 Prozent unter den
Kosten anderer Anbieter.
Über ein mögliches Zusammenspiel von
EFA mit ExtremeCloud IQ war in Athen
noch nicht viel zu erfahren. „Extreme-
Cloud IQ verfügt über APIs, die eine Integration
mit anderen Anwendungen technisch
sehr einfach erlauben“, so Olaf Hagemann,
SE Director DACH bei Extreme,
im Gespräch mit LANline. „Eine Verbindung
mit EFA über diese Schnittstellen ist
definitiv geplant, aber über die konkrete
Ausformung und einen Zeitplan wird noch
diskutiert.“
In EMEA agiert Extreme besonders erfolgreich.
Seit 2017 konnte das Unternehmen
seine Umsätze hier gut verdoppeln
(von 2017 bis 2020). Mit rund 462 Millionen
Dollar liegen die Umsätze hier nur wenig
unter dem, was der Anbieter in den
USA umsetzt (482 Millionen Dollar).
Stefan Mutschler/wg
www.lanline.de LANline 1/2020 17
Markt
Im Interview: Marcus Busch, Leaseweb
Gaming ist ein
interessanter Markt
Im LANline-Gespräch erklärt Marcus Busch, Managing Director von
Leaseweb Deutschland, warum der Gaming-Markt auch auf der
Infrastrukturseite spannend und lukrativ ist. Leaseweb bietet Infrastructure
as a Service, dedizierte Server, Content Delivery Networking
und Cloudhosting unter anderem in diesem Segment an.
LANline: Herr Busch, das Angebot von
Leaseweb ist ziemlich umfangreich. Wo
liegen die aktuellen Schwerpunkte?
Busch: Wir legen großen Wert darauf,
dass unser Portfolio unseren Kunden eine
hohe Flexibilität in Bezug auf die richtige
Infrastruktur für ihre Leistungsanforderungen
bietet. Wir sind fest davon überzeugt,
dass die Lösung in der Kombination
unterschiedlicher Infrastrukturarten
liegt, also im Angebot dieser verschiedenen
Arten und vor allem in der Möglichkeit,
diese zu verbinden. Unser Fokus liegt
auf der Erweiterung dieses Modells, sowohl
horizontal als auch vertikal. Die
Auswahl an Rechen-, Speicher- und Netzwerkangeboten
werden wir weiter vergrößern
und damit auch mehr Möglichkeiten
schaffen, diese Dienste miteinander zu
kombinieren.
LANline: Wie hat sich das Angebot in den
vergangenen Jahren verändert?
Busch: Das Portfolio hat sich definitiv aufgrund
der sich ändernden Anforderungen
der Kunden geändert. Unsere Kunden sind
geografisch gewachsen, ihre Märkte sind
globaler geworden. Auch wir haben unsere
globale Präsenz weiter ausgebaut. Auf der
anderen Seite haben erweiterte Anforderungen
an die Cloud zu umfangreichen virtualisierten
Computing-Angeboten geführt.
Schließlich möchten sich Kunden
mehr auf ihr Kerngeschäft konzentrieren
Marcus Busch, Managing Director von Leaseweb
Deutschland: „Eine richtig gestaltete
Backend-Infrastruktur ist skalierbar, programmierbar
und infrastrukturunabhängig.“
Bild: Leaseweb
und uns Teile des Managements ihrer Infrastruktur
überlassen. Das Hauptthema für
uns ist, auf die Bedürfnisse unserer Kunden
fokussiert zu bleiben.
LANline: Sie stellen unter anderem Infrastruktur
für das Gaming zur Verfügung.
Wie hat sich speziell dieser Bereich entwickelt?
Busch: Das ist richtig. Gaming ist ein interessanter
Markt, da hier sowohl die Notwendigkeit
einer skalierbaren Hochleistungsinfrastruktur
besteht, als auch typischerweise
ein konkurrenzfähiges Preis-
Leistungs-Verhältnis unabdingbar ist.
LANline: Was sind die Besonderheiten in
technischer und ökonomischer Hinsicht?
Busch: Gaming-Kunden müssen häufig
skalieren, up and down. Sie investieren daher
mehr in einen Aufbau von Hybrid-Systemen,
indem sie unsere leistungsstarke
Bare-Metal-Infrastruktur als Basislast-
Plattform nutzen und die Cloudinfrastruktur
für den flexiblen Teil ihrer Setups einsetzen.
Wir stellen aktuell verstärkt fest,
dass diese Art der Architektur nicht nur im
Gaming-Segment immer beliebter wird.
LANline: IT-Dienste, zum Beispiel Gaming
oder Entertainment, sind Teil des
Alltags geworden. Wie muss eine passende
Infrastruktur auf der Backend-Seite künftig
aussehen?
Busch: Das berührt ein breites Spektrum.
Eine richtig gestaltete Backend-Infrastruktur
ist skalierbar, programmierbar und infrastrukturunabhängig.
Die Verwendung von
Betriebs- und Bereitstellungs-Tools, die für
Bare-Metal-, Public- und Private-Cloud-
Anwendungen geeignet sind und unabhängig
von den zugrunde liegenden IaaS-
Diensten bereitgestellt werden können, ist
nahezu unabdingbar. So wird Flexibilität
beim Bewegen der Infrastruktur ermöglicht,
wenn sich Anforderungen oder Arbeitslast
ändern. Zudem erlaubt dies Anpassungen
an sich änderndes Benutzerverhalten.
LANline: Und was muss auf Anwenderseite
technisch passieren, etwa bei 5G?
Busch: 5G ist in verschiedener Hinsicht
wichtig, da das damit verbundene Computing
on the Edge eine solide Netzwerkverbindung
zu einem Rechenzentrum erfordert,
das seinerseits genügend Rechenleistung
aufbringt, um die zentrale Verarbeitung
und Speicherung durchzuführen.
Edge-Computing kann nur mit einem darauf
ausgelegten Backend-Rechenzentrum
funktionieren, das in eine hervorragende
Vernetzung eingebunden ist.
LANline: Herr Busch, vielen Dank für das
Gespräch.
Dr. Jörg Schröper
18 LANline 1/2020 www.lanline.de
KLARTEXT, nicht BUZZWORDS
17. – 19.
MÄRZ
2020
Auf der TWENTY2X finden Sie konkrete
Antworten auf die vielen Fragen zur Digitalisierung
und Prozessoptimierung im Mittelstand.
Produkte/Services
HCI-Testreihe, Teil 4
HCI-Plattform von
Red Hat
RHHI-V von Red Hat stellt einen ausfallsicheren Cluster-Verbund als
Hyper-Converged Infrastructure (HCI) bereit. LANline hat im vierten
Teil der Testreihe die Softwarelösung unter die Lupe genommen.
Der Linux-Spezialist Red Hat hat mit Red
Hat Hyperconverged Infrastructure for Virtualization
(RHHI-V) eine HCI-Lösung
entwickelt, die Standard-Server-Hardware
in einen hochverfügbaren Compute-, Storage-
und Network-Cluster verwandelt.
RHHI-V verwendet in Version 1.6 den Red
Hat Virtualization Host 4.3 als Server-Virtualisierungsplattform
und die Lösung Red
Hat Gluster Storage 3.4 für eine ausfallsichere
Bereitstellung der lokalen Speicherressourcen
der Cluster-Nodes.
Als Einsatzszenarien für RHHI-V sieht
Red Hat unter anderem Zweigstellen von
größeren Unternehmen, die damit eine von
der Zentrale unabhängige, ausfallsichere
IT-Infrastruktur erhalten. Für Service-Provider
bietet Red Hat mit RHHI-C eine eigene
Lösung an, die OpenStack mit Ceph-
Storage auf hyperkonvergenten Systemen
verbindet. Größere Unternehmen können
zudem die konvergente Plattform Open-
Shift Container Storage 3 (OCS3) nutzen.
Die von LANline getestete RHHI-V-Lösung
benötigt für eine hochverfügbare
Konfiguration mindestens drei physische
Server und skaliert in 3-Node-Schritten
derzeit auf bis zu zwölf Server pro Cluster.
Für sehr kleine Außenstellen, die keine
Hochverfügbarkeit benötigen, ist es zudem
möglich, die RHHI-V-Software auf einem
einzigen Server zu installieren. In kleineren
Umgebungen sollte jeder Server über
mindestens zwölf CPU-Cores, 64 GByte
RAM, 48 TByte lokalen Plattenspeicher
und zwei Netzwerkkarten verfügen. Die
Die Verwaltung der RHHI-V-Plattform erfolgt über eine grafische Web-Konsole.
Installation ist aber auch auf Systemen mit
weniger Cores möglich. Für den LANline-
Test verwendeten wir drei Dell PowerEdge
T640 Server, die mit je einer Intel-Xeon-
10-Core-CPU, 64 GByte RAM und sechs
SAS-10k-Disks mit einer Raw-Kapazität
von 3,3 TByte sowie einer SAS-15k-Disk
für das Red-Hat-Betriebssystem ausgerüstet
waren.
Vorbereitung der Installation
Die Verwaltung der von den Cluster-Nodes
bereitgestellten Ressourcen erfolgt über
eine spezielle Hosted-Engine-VM. Diese
VM wird automatisch hochverfügbar konfiguriert
und kann auf jedem Knoten des
Clusters laufen. Für die Kommunikation
der Cluster-Nodes und der darauf laufenden
VMs kommen ein Frontend-Management-Netzwerk
und außerdem ein Backend-Storage-Netzwerk
mit mindestens
10-GBit/s-Ethernet zum Einsatz.
Als lokalen Datenspeicher empfiehlt Red
Hat aus Leistungsgründen den Einsatz von
SSDs. Falls man aus Kostenerwägungen
HDDs nutzt, lässt sich ein SSD-Laufwerk
als LVM-Cache (Logical Volume Manager)
hinzufügen, um die Datenzugriffe zu
beschleunigen. RHHI-V lässt sich sowohl
auf Servern mit per HBA angebundenen
JBOD-Disks als auch auf Systemen mit
RAID-Controllern und RAID-5- oder
RAID-6-Konfiguration installieren. Die
RAID-Controller müssen über einen batteriegepufferten
Write-Cache verfügen.
Unabhängig von der physischen Disk-
Konfiguration stellt RHHI-V die Redundanz
der Daten im Cluster-Verbund sicher,
indem es jeden Datenblock standardmäßig
per Replikation immer auf mehrere Nodes
schreibt. Der Administrator kann vorgeben,
dass RHHI-V die Daten auf alle drei
Nodes verteilt oder nur zwei Datenkopien
erstellt und der dritte Node lediglich die
zugehörigen Metadaten speichert. Mit dem
Typ Distributed Volume lassen sich Daten
zudem auch ohne Redundanzkopie auf nur
einem Laufwerk ablegen.
Vor dem Setup von RHHI-V muss der Administrator
entscheiden, ob er für eine effiziente
Nutzung der Speicherressourcen die
Thin-Provisioning-Funktion oder den Virtual
Data Optimizer (VDO) nutzen will,
20 LANline 1/2020 www.lanline.de
Produkte/Services
Tested by
Red Hat RHHI-V 1.6
www.redhat.com
Stabile und ausfallsichere HCI-
Plattform für die Bereitstellung von
virtuellen Linux- und Windows-VMs
Grafische Web-Konsolen vereinfachen
Management-Aufgaben
Umfangreiche Red-Hat-Werkzeugsammlung
für Automatisierung
nutzbar
Setup-Wizard erkennt Multi-Path-
Disks nicht
der eine Deduplizierung und Komprimierung
der gespeicherten Daten durchführt.
Es ist bislang nicht möglich, beide Funktionen
gleichzeitig einzusetzen. Für den
LANline-Test verwendeten wir für die Volumes
der Guest-VMs die Thin-Provisioning-Funktion.
Damit das Setup alle beteiligten Systeme
korrekt ansprechen kann, muss die DNS-
Namensauflösung inklusive Reverse Lookup
fehlerfrei funktionieren. IPv6 wird für
RHHI-V bislang nur als Technology Preview
mit begrenztem Support unterstützt.
Um die Basis für den RHHI-V-Cluster zu
erzeugen, installierten wir im ersten Schritt
auf den drei physischen Servern das Linux-Betriebssystem
Red Hat Enterprise
Virtualization Host 4.3 (RHEV) und konfigurierten
eine Netzwerkkarte für die Verbindung
mit dem Testnetz. Für das OS verwendeten
wir eine lokale SAS-15k-HDD.
Die sechs Daten-Disks wurden noch nicht
konfiguriert. Damit das RHHI-V-Setup
sich vom ersten RHEV-Host aus mit den
anderen Hosts verbinden kann, wird der
Host-Key des ersten Hosts in der known_
hosts-Datei aller drei Server hinzugefügt.
Zudem muss der Administrator auf dem
ersten Host ein Public- und Private-Key-
Paar erzeugen und den Public-Key auf die
anderen Hosts kopieren, damit der Setup-
Wizard sich per SSH an den Hosts anmelden
kann, ohne einen Benutzer und ein
Passwort anzugeben.
Nachdem wir alle Vorarbeiten abgeschlossen
hatten, starteten wir auf dem ersten
Host den Wizard für das Setup von RHHI-
V. Der Assistent ist in der Web-Management-Konsole
der RHEV-Hosts enthalten,
die sich in einem Web-Browser über den
Port 9090 öffnen lässt. Bei den Volumes
wählten wir die JBOD-Konfiguration und
übernahmen die standardmäßig vorgeschlagenen
drei Volumes Engine für die
Management-VM, Data für die VM-Datenpartitionen
und VMstore für die VM-
OS-Partitionen. Der Administrator kann
bei Bedarf an dieser Stelle weitere Volumes
hinzufügen. Bei der Brick-Konfiguration
wiesen wir pro Host jedem Volume
eine eigene physische Disk (sdb, sdc, sdd)
zu und aktivierten das Thin-Provisioning.
Als wir das RHHI-V-Setup gestartet hatten,
erschien relativ schnell eine Fehlermeldung,
dass die von uns im Wizard angegebenen
physischen Disks auf dem ersten
Host nicht verfügbar seien. Der Red-
Hat-Support konnte die Ursache schnell
herausfinden. Wir hatten den ersten Host
vor dem Start des Wizards neugestartet.
Dies hatte zur Folge, dass Red Hat die lokalen
Disks automatisch als Multi-Path-
Devices konfiguriert und der Wizard sie
dadurch nicht mehr erkannt hat. Die Lösung
bestand darin, das Multi-Pathing zu
deaktivieren. Dafür wird in der Konfigurationsdatei
/etc/multipath.conf unter dem
Abschnitt blacklist der Eintrag devnode
“*“ hinzugefügt. Dann werden die Pfade
mit dem Befehl multipath -F neu eingelesen.
Diese Anpassung führten wir auf allen
drei Hosts durch. Anschließend starteten
wir das RHHI-V-Deployment neu. Diesmal
erkannte der Assistent die Platten und
das Gluster-Setup lief erfolgreich bis zum
Ende durch.
Die Redeployment-Schaltfläche des Wizards
erlaubt es beim Auftreten von Fehlern,
die Konfigurationsdatei manuell zu
editieren oder den Wizard neu zu beginnen.
Es ist zudem möglich, eine bereits
durchgeführte Konfiguration auf dem ersten
Host mit dem Ansible-Playbook gluster_cleanup.yml
komplett zu bereinigen.
Nachdem die Gluster-Konfiguration abgeschlossen
war, öffneten wir den Wizard für
die Erstellung der Hosted-Engine-VM. Sie
benötigt mindestens vier GByte RAM und
2 vCPUs. Die Hosted Engine wird automatisch
als hochverfügbare VM konfiguriert
und in der Storage Domain hosted_storage
platziert, in der sich keine anderen VMs
befinden sollten. Im Assistenten sind nur
wenige Daten wie Name, IP-Adresse und
Administrator-Passwort einzugeben.
Zum Abschluss des RHHI-V-Setups muss
man noch das Gluster-Network einrichten
und der zweiten Netzwerkkarte zuordnen.
Da wir für unsere Testinstallation nur eine
Netzwerkkarte konfiguriert hatten, fügten
wir die Funktionen Migration und Gluster
zum vorhandenen Management-Netzwerk
hinzu.
RHHI-V-Management
Für die Verwaltung von RHHI-V-Clustern
stehen dem Administrator mehrere Werkzeuge
zur Verfügung. Die Hosted-Engine-
VM verfügt über eine Web-basierte grafische
Konsole, mit der sich die Compute-,
Network- und Storage-Ressourcen des
HCI-Clusters zentral verwalten lassen.
Auch die Fencing-Policies für einen automatischen
Neustart von Servern bei Host-
Ausfällen lassen sich darüber steuern.
Wenn neue Nodes oder Laufwerke hinzukommen,
kann der Administrator sie auch
über die Web-basierte Management-Oberfläche
der physischen Hosts konfigurieren.
Der hier integrierte Gluster-Wizard ermöglicht
es zum Beispiel, neue Volumes und
neue Bricks anzulegen oder einen Cluster
um drei weitere physische Hosts zu erweitern.
Neue Volumes lassen sich alternativ
auch über die Storage-Konfigurationsmenüs
der einzelnen Hosts oder mittels spezieller
Kommandozeilen-Tools wie gdeploy
einrichten.
Zum Teil muss der Administrator in den
grafischen Management-Konsolen ein wenig
suchen, bis er den jeweils benötigten
Menüpunkt gefunden hat. Ein neues Gluster-Volume
muss man immer zunächst mit
Disks von drei Nodes anlegen, um es dann
im zweiten Schritt auf weitere Nodes ausdehnen
zu können.
Einrichtung und Verwaltung von VMs
Um die Funktionen des RHHI-V-Clusters
zu testen, installierten wir über die Hosted-
Engine-Web-Konsole drei VMs mit Windows
2019, Windows 2016 und Ubuntu Li-
www.lanline.de LANline 1/2020 21
Produkte/Services
nux. Im ersten Schritt konfiguriert der Administrator
die VM-Hülle mit mindestens
einer virtuellen Festplatte, einer Netzwerkkarte
sowie der gewünschten RAM-Größe
und vCPU-Anzahl. VMs lassen sich alternativ
auch mit der VM-Portal-Web-Konsole
erstellen und verwalten. Über die Schaltfläche
Run Once kann der Administrator
die Boot-Optionen für die VM wählen und
ein virtuelles CD-Laufwerk mit der passenden
Betriebssystem-ISO-Datei sowie
ein virtuelles Floppy-Drive mit zusätzlich
benötigten Treibern anbinden. Bei der Installation
von Windows muss der Administrator
im Setup-Dialog die Virtio-Treiber
für den Storage-Controller hinzufügen.
Wir verbanden deshalb die Windows-VMs
mit einem virtuellen Diskettenlaufwerk,
das diese Treiber enthielt.
Für den Zugriff auf die VM-Konsole installierten
wir auf unserem Administrationsrechner
die von Red Hat mitgelieferte
Remote-Viewer-Konsole. Über die Konsole
lässt sich auch die ISO-Datei des virtuellen
CDROM-Laufwerkes anbinden und
entfernen. Die ISO-Dateien muss der IT-
Verantwortliche zuvor in eine Storage-Domain
des Clusters hochladen, damit das
System sie an die VMs anbinden kann. Die
Installation der drei VMs verlief erfolgreich,
und wir konnten auf die Windows-
Server anschließend per RDP und auf das
Ubuntu-System per Putty zugreifen.
RHHI-V unterstützt auch Templates und
zahlreiche Automatisierungs- und Workflow-Tools
wie Red Hat Ansible, um VMs
in größeren Stückzahlen automatisiert und
standardisiert bereitzustellen.
Die Red-Hat-Virtualisierungsplattform beherrscht
die marktüblichen Verfahren für
einen möglichst unterbrechungsfreien Betrieb
von VMs. So lassen sich VMs jederzeit
im laufenden Betrieb auf andere Hosts
LANline HCI-Testreihe
1. Windows Server 2019 Storage Spaces
Direct (S2D)
2. VMware Virtual SAN (vSAN)
3. Datacore One Hyperconverged Virtual
SAN
4. Red Hat Hyperconverged Infrastructure
(RHHI-V)
verschieben. Eine automatische Lastverteilung
zählt ebenfalls zum Funktionsumfang.
Wird ein Host in den Wartungsmodus
genommen, verschiebt RHHI-V die darauf
laufenden VMs automatisch auf die anderen
Cluster-Nodes. Wir hatten zuvor für
eine VM eine Host Affinity Rule konfiguriert.
Diese Regel sorgte dafür, dass die
VM automatisch wieder auf diesen Host
zurückverschoben wurde, nachdem wir
den Wartungsmodus beendet hatten.
Eine Storage-Migration ist ebenfalls möglich.
Sie lässt sich über das Disk-Menü einer
VM mit dem Move-Befehl starten. Wir
verlagerten eine Test-VM im laufenden
Betrieb von der Storage-Domain Data in
die Domain Vmstore. Die Migration dauerte
rund 15 Minuten.
VM-Snapshots
RHHI-V unterstützt auch Snapshots auf
VM- und auf Volume-Ebene. Der Administrator
kann zudem von einem VM-
Snapshot einen Clone oder ein Template
für das VM-Deployment erstellen. Der
Snapshot lässt sich wahlweise mit oder
ohne RAM-Inhalt erstellen.
Wir erstellten von einer VM an einem
Abend einen Snapshot und setzten die VM
am darauffolgenden Nachmittag auf den alten
Snapshot-Stand zurück. Dazu fuhren
wir die VM herunter und klickten in der
RHHI-V-Konsole im VM-Snapshot-Menü
zunächst die Schaltfläche Preview an. Damit
lässt sich prüfen, ob der VM-Snapshot
den gewünschten Systemzustand enthält.
In den Event-Logs konnten wir sehen, dass
die letzten Einträge vom Vorabend waren.
Mit einem Klick auf Commit setzten wir
die VM auf diesen Stand zurück. Die Erstellung
einer Clone-VM funktionierte
ebenfalls reibungslos und die neue VM ließ
sich direkt hochfahren, sobald der Clone-
Vorgang abgeschlossen war.
Für ein Disaster Recovery (DR) unterstützt
RHHI-V eine Georeplikation zu einem
entfernten Standort, die allerdings auf ein
Volume beschränkt ist. Red Hat empfiehlt,
das Volume mit den Datenpartitionen der
VMs an den DR-Standort zu replizieren.
Zusätzlich benötigt die Georeplikation ein
Shared-Storage-Volume. Das Ziel-Volume
muss von einem eigenen Red-Hat-Virtualization-Manager-System
verwaltet werden
und die Kommunikation muss bislang über
IPv4 erfolgen.
Um die Datenredundanz zu testen, entfernten
wir im laufenden Betrieb aus dem Host
RHHIH2 die Festplatte, auf der eine Kopie
des Data-Volumes lag. Der Disk-Ausfall
hatte auf die auf dem Data-Volume gespeicherten
VMs keinerlei Auswirkungen, da
noch zwei Replika-Kopien vorhanden waren.
Die VMs liefen ohne Unterbrechung
weiter. Nachdem wir die Platte wieder eingeschoben
hatten, konnten wir sie mit den
anderen zwei Kopien synchronisieren.
Zum Abschluss testeten wir den Ausfall eines
kompletten Hosts, indem wir den Server
RHHIH3 über den Power-Button hart
ausschalteten. Zuvor hatten wir bei zwei
Windows-VMs in den VM-Einstellungen
die Hochverfügbarkeitsoption aktiviert
und sie auf dem RHHIH3 platziert. Beide
VMs waren nach dem Ausschalten des
Hosts zunächst nicht mehr verfügbar, wurden
aber von RHHI-V nach etwa einer Minute
auf einem der aktiven Hosts automatisch
wieder hochgefahren. Nachdem wir
den dritten Host wieder eingeschaltet hatten,
wurde die VM, für die wir den
RHHIH3 als bevorzugtes System konfiguriert
hatten, nach wenigen Minuten wieder
auf diesen Host zurückverschoben.
Die RHHI-V-Konsole hat sowohl beim
Disk- als auch beim Host-Ausfall eine
Warnmeldung angezeigt. Der Administrator
kann für die verschiedenen Events eine
Alarmierung per SNMP-Traps oder per E-
Mail konfigurieren.
Fazit
Abgesehen von dem Multi-Path-Problem
bei der Installation lief die HCI-Plattform
stabil und zeigte auch bei den Ausfalltests
keine Schwächen. Die Speicherkapazität
lässt sich durch eine Erweiterung vorhandener
Volumes oder durch die Anlage neuer
Volumes mit zusätzlichen Disks sukzessive
ausbauen. Host-Erweiterungen müssen
aufgrund des verwendeten Datenredundanz-Verfahren
jeweils mit drei zusätzlichen
Nodes durchgeführt werden.
Für die Verwaltung stehen leicht verständliche
Web-Konsolen zur Verfügung.
Christoph Lange/ts
22 LANline 1/2020 www.lanline.de
Produkte/Services
Dell stellt Dell EMC PowerOne vor
Automationsmaschine
Dell Technologies‘ Infrastrukturlösung Dell EMC PowerOne soll die
Bereitstellung, Verwaltung und Nutzung von IT vereinfachen. Dazu
integriert sie PowerEdge-Compute-Systeme, PowerMax-Speicher,
PowerSwitch-Netzwerklösungen und VMware-Virtualisierung – das
Prinzip ist von HCI (Hyperconverged Infrastructure) bekannt. Dell
ergänzt dies aber um eine intelligente Automatisierungs-Engine.
Mit PowerOne will Dell ein selbstverwaltetes
„Datacenter as a Service“ gemäß dem
„Infrastructure as Code“-Ansatz liefern.
Der Hersteller vergleicht die Funktionalität
der Automatisierungs-Engine mit einem
autonomen Auto, bei dem der Insasse
nur noch das gewünschte Ziel eingeben
muss. Auf ähnliche Weise könne nun der
Administrator das gewünschte Geschäftsergebnis
angeben – das System berechne
dann den besten Weg und erledige den
Rest. Wichtig für diesen hohen Automationsgrad:
Das System ist von außen adressierbar.
PowerOne bietet dazu laut Dell
eine einheitliche API auf Systemebene, die
es Anwendern erlaubt, Ressourcenpools zu
erstellen. Die API lasse
sich in Tools wie
etwa Service-Portale
einbinden.
Damit ersetze man
den manuellen durch
einen programmierbaren
IT-Betrieb. So
könne man zum Beispiel
mit nur wenigen
Klicks einsatzbereite
VMware-Cluster erstellen.
Dells HCI-Lösung Dell
EMC PowerOne ist dank
integrierter Automations-Engine
auf den
möglichst autonomen
IT-Betrieb ausgelegt.
Bild: Dell Technologies
Für diese Automatisierung des IT-Betriebs
umfasst das System diverse Assistenzfunktionen.
So beschleunigt ein Launch-Assistent
laut Dell die Installation und Konfiguration
mittels integrierter Workflows, die
auf validierten Designs von VMware und
Best Practices von Dell EMC basieren. Ein
Lifecycle-Assistent senke Risiken, indem
er Betrieb und Lifecycle-Management
durch automatisierte modulare System-
Updates und -Validierungen erleichtere.
Die Software prüfe kontinuierlich die
Hardware- und Firmware-Einstellungen.
Der Expansion-Assistent schließlich passe
die Infrastruktur den Geschäftsanforderungen
an. Er könne Ressourcen automatisiert
hinzufügen, entfernen oder
neu zuweisen, so Dell.
Das All-in-One-System
kommt in einem MX7000-
Chassis. Es unterstützt laut
Datenblatt bis zu zehn Server
pro Chassis, bis zu 80
pro Compute Domain und
bis zu 240 pro Pod. Die Automations-Engine
Power-
One Controller liefert Dell in
Form einer Appliance. Diese
nutzt eine Kubernetes-Micro-Services-Architektur
und
Ansible-Workflows, um die
Konfiguration, Bereitstellung
und das Lifecycle-Management
der Komponenten
zu automatisieren. Ansprechbar
ist der Controller
über die erwähnte API oder das PowerOne
Navigator Web-Interface.
Als Rechenbasis dient der modulare Server
PowerEdge MX mit Midplane-freien
Design. Dies ermöglicht es laut Dell, mehrere
Generationen von Bausteinen wie Mikroprozessoren,
Speichertypen und Vernetzungslösungen
– auch künftige – zu unterstützen.
PowerOne automatisiere deren
Einsatz und weise bei Bedarf dynamisch
Ressourcen zu. Dell nennt diesen Ansatz
„kinetische Infrastruktur“. Zugleich senke
PowerOne die Komplexität der Vernetzung,
indem das System die Switch-Hardware
abstrahiert und automatisiert. So stehe
automatisch ein virtuelles Netzwerk für
VMware-Workloads bereit. Als Switches
kommt auf Leaf-Seite der Dell EMC Networking
S5232F-ON zum Einsatz, in den
IO-Modulen des MX7000-Chassis die PowerEdge
MX9116 Fabric Switching Engine
(FSE) und PowerEdge MX7116 Fabric-
Erweiterungsmodule.
Für die Virtualisierung setzt Dell wie erwähnt
auf Technik der Tochter VMware.
Das System nutzt ESXi, vSphere, NSX
(im Management-Cluster) und vCenter
Server. Dell betont aber, man unterstütze
auch Bare-Metal-Installationen. Auf Storage-Seite
verringere das Storage Array
PowerMax (2000E, 2000P, 8000E, 8000P)
die Komplexität durch automatisierte
Speicherbereitstellung inklusive Zoneneinteilung.
Das Speichersystem erweitere
Cluster-Gruppen dynamisch, wenn es neue
Ressourcen erkennt.
Der letzte Bestandteil schließlich ist Dells
PowerProtect-Datensicherungsportfolio.
Dieses umfasse Cloud-fähigen Speicher,
integrierte Appliances und softwaredefinierte
Lösungen.
PowerOne ist über Dells neu angekündigtes
„On Demand“-Lizenzmodell erhältlich.
On Demand soll die Agilität der
Cloud mit der Kontrolle und Leistung einer
lokalen Infrastruktur vereinen: Das
Anwenderunternehmen bezahle nur für
das, was es auch wirklich nutzt.
Dr. Wilhelm Greiner
■ Info: Dell Technologies
Web: www.dellemc.com/de-de/
www.lanline.de LANline 1/2020 23
Produkte/Services
HPE Container Platform
Kubernetes kommt ins
Unternehmens-RZ
Hewlett Packard Enterprise hat die „HPE Container Platform“
vorgestellt. Sie sei, so HPE, die branchenweit erste Kubernetesbasierte
Softwareplattform für den Containerbetrieb im Unternehmen,
die für cloudnative ebenso wie für monolithische Anwendungen
mit persistentem Datenspeicher entwickelt ist. Damit sollen
Unternehmen die Entwicklung neuer und die Modernisierung
vorhandener Applikationen beschleunigen können. Die Software
läuft auf Bare Metal ebenso wie in der Public Cloud, virtualisierten
Umgebungen und auf Infrastrukturen am Netzwerkrand (Edge).
In der Public Cloud haben sich Container
als Standard für die Bereitstellung von Applikationen
etabliert, und mit ihnen die
Management-Werkzeuge wie Docker und
Kubernetes. Im Unternehmen sieht die
Lage anders aus, hat man es doch anders
als in der Cloud mit zustandsorientierten
Applikationen (Stateful Applications) zu
tun, die über Sessions hinweg Zugriff auf
persistente Datenbestände benötigen.
Hewlett Packard Enterprise will hier mit
seiner neuen „HPE Container Platform“
die Brücke schlagen und damit Containern
HPE Container Platform eignet sich laut Hersteller für den Betrieb cloudnativer wie auch nicht
cloudnativer Applikationen im Unternehmens-RZ, in der Cloud sowie am Edge.
Bild: HPE
wie auch Kubernetes den Weg ins Unternehmen
bahnen.
HPEs Container Platform basiert auf der
Open-Source-Orchestrierungslösung Kubernetes
sowie auf Technik der Anbieter
BlueData und MapR. Diese hatte der Konzern
Ende 2018 beziehungsweise im August
dieses Jahres akquiriert. Die Plattform
greift für das Container-Management auf
die mit BlueData erworbene Epic-Software
zurück, die für den schnellen Container-Rollout
konzipiert ist. Epic nutzte dafür
zunächst Docker-Container. Im Sommer
2018 hatte BlueData allerdings die
BlueK8s-Initiative angekündigt, um sich
per API für Kubernetes zu öffnen. Mit Kubernetes
Director hatte der Anbieter zeitgleich
auch eine Initiative für eine Lösung
angekündigt, um verteilte Stateful-Applikationen
mit Kubernetes ausbringen und
verwalten zu können.
HPEs neue Softwareplattform soll laut
Hersteller Kosten und Komplexität senken,
indem sich Container flexibel auf Bare Metal
wie auch auf virtuellen Maschinen und
Cloudinstanzen aufsetzen lassen. Sie ist damit
laut einem Blog-Post von Phil Davis,
President of Hybrid IT bei HPE, ein Kernbaustein
des hauseigenen Lösungs-Stacks
für Hybrid Clouds. Ziel ist es, die Effizienz,
Auslastung und Performance des Containerbetriebs
erhöhen – und dies für cloudnative
wie eben auch für nicht cloudnative
Applikationen. Die Software unterstützt
damit laut HPE-Angaben zahlreiche Anwendungsfälle:
von maschinellem Lernen
(ML) und Analysen am Netzwerkrand
(Edge Analytics) bis zu CI/CD-Pipelines
(Continuous Integration/Continuous Delivery)
und der Applikationsmodernisierung.
Sie eigne sich selbst für umfangreiche Kubernetes-Implementierungen.
Schlüsselfertige Lösung
HPE bezeichnet die Container Platform als
„schlüsselfertige Lösung“. Sie kommt mit
der BlueData-Software als Steuerungsebene
für das Container-Management, dem
verteilten Dateisystem von MapR für Datenpersistenz
beim Containereinsatz und
Kubernetes für die Containerorchestrierung.
Dieser Ansatz erweitere den Nutzen
von Containern über Cloud-native Anwendungen
mit Micro-Services-Architektur
hinaus: Er ermögliche es, monolithische
Anwendungen mit persistenter Datenspeicherung
zu containerisieren, ohne sie von
Grund auf neu entwickeln zu müssen.
Unternehmen nutzen laut Analysten Containerisierung
– und damit oft auch Kubernetes
– in zunehmendem Maße, um ihre
Applikationslandschaften zu modernisieren,
zum Beispiel für neue Datenanalyseoder
Edge-Anwendungen: Gemäß Gartner-Schätzungen
vom September sollen in
drei Jahren über 75 Prozent der Unterneh-
24 LANline 1/2020 www.lanline.de
Produkte/Services
Für die Verwaltung und Orchestrierung der Container setzt HPE auf den
De-facto-Standard Kubernetes (K8s).
Bild: HPE
Die Container Platform soll es erleichtern, Kubernetes-Cluster mit
mandantenfähiger Containerisolierung einzurichten.
Bild: HPE
men weltweit produktive Containeranwendungen
betreiben. Dieser Anteil liegt derzeit
noch bei unter 30 Prozent. Laut einer
Umfrage von 451 Research basieren 95
Prozent der neu entwickelten Applikationen
auf Containertechnik. Wenn Unternehmen
den Container- und Kubernetes-Einsatz
auf Produktionsumgebungen ausweiten,
so mahnt man bei HPE, müssen sie allerdings
wichtige Aspekte wie Sicherheit,
Multi-Cluster-Management und Lastverteilung
(Load Balancing) berücksichtigen.
Problemfall Stateful-Applikationen
Ein erheblicher Teil der Unternehmensanwendungen
ist nicht cloudnativ, sprich:
nicht für die Nutzung dynamischer Public-
Cloudressourcen konzipiert. Die Wartung
solcher monolithischer Legacy-Anwendungen
ist mit hohen Kosten verbunden.
Deshalb würden laut HPE viele von Containerisierung
profitieren. Bestandsanwendungen
komplett als cloudnative Applikationen
neu zu entwickeln (Re-Architecting,
Refactoring) ist jedoch aufwendig
und teuer. Zugleich stellen sie die zustandslose
(stateless) Kubernetes-Welt vor
Probleme. Denn Kubernetes ist ursprünglich
für zustandslose Micro-Services konzipiert,
nicht für Stateful-Applikationen.
Zu diesen zählen nicht nur Legacy-Anwendungen,
sondern auch diverse moderne
Applikationen, darunter zum Beispiel
eine ML-Analysesoftware wie Tensor-
Flow, die prinzipbedingt umfangreiche
Datenbestände auswerten muss.
Diese Kluft zwischen Stateful und Stateless
will HPE nun mit dem einheitlichen
Framework der neuen Containerplattform
überbrücken. Eine IT-Organisation kann
laut HPE auf der neuen Containerplattform
mehrere Kubernetes-Cluster mit mandantenfähiger
Containerisolierung verwalten.
Dabei sorge die Plattform durch Automation
von Arbeitsschritten für die einfache
und schnelle Provisionierung von Kubernetes-Clustern,
auf Wunsch inklusive automatischer
Bereitstellung von vorab integriertem
persistentem Storage. Entwickler
wiederum erlangen damit laut HPE sicheren
On-Demand-Zugriff auf die Umgebungen
und können so Anwendungen schneller
entwickeln und Releases zügiger bereitstellen.
Da Container portabel sind,
lasse sich einmal erstellter Code plattformübergreifend
einsetzen. Ein App Store mit
Applikations-Templates erleichtere den
Bezug von Applikationen für diverse Einsatzfälle
wie zum Beispiel KI/ML oder
Data Analytics. Ergänzend will HPE mit
seinen Consultants von Pointnext Beratungsdienstleistungen
offerieren. Diese beruhen
laut Angaben des Konzerns auf den
Best Practices aus der Übernahme von
Cloud Technology Partners und RedPixie
sowie auf der Erfahrung aus über 1.000
Hybrid-Cloud-Projekten.
Reine Softwarelösung statt HCI
Für den Kubernetes-Einsatz im Unternehmen
bietet Wettbewerber IBM sogenannte
Cloud Paks: Containersoftware mit IBM-
Middleware und vorgefertigten Konfigurationen
für diverse Einsatzfälle. Die Bereitstellung
erfolgt über IBMs Cloud Pak System,
ein konvergentes System aus IBM-
Hardware, VMware-Virtualisierung und
Red Hat OpenShift. Das entsprechende
Angebot des Konkurrenten Dell wiederum
nennt sich Dell EMC HCI für Kubernetes
(HCI: Hyperconverged Infrastructure).
Mittels VMware PKS und Cloud Foundation
auf der VxRail-Plattform von Dell
Technologies ist auch diese Lösung dafür
konzipiert, die Entwicklung cloudnativer
Anwendungen zu beschleunigen, während
man zugleich auch herkömmliche und virtualisierte
Anwendungen ausführen kann.
Das HPE-Angebot hingegen ist eine reine
Softwareplattform, der Betrieb auf HPEeigener
Hardware ist somit nicht erforderlich.
Unter dem Namen Synergy offeriert
HPE allerdings eine sogenannte Composable
Infrastructure. Dieses schnell rekonfigurierbare
Komplettsystem eignet sich laut
HPE-Bekunden ebenfalls für den einheitlichen
Betrieb von Alt- und Neuanwendungen
auf einer gemeinsamen Hardwareplattform.
Die Markteinführung der Container Platform
hat HPE für Anfang 2020 in Aussicht
gestellt. Zeitgleich sollen dann auch die
zugehörigen Beratungs-, Implementierungs-
und Support-Dienstleistungen verfügbar
sein. Dr. Wilhelm Greiner
■ Info: Hewlett Packard Enterprise
Web: www.hpe.com
www.lanline.de LANline 1/2020 25
Produkte/Services
IBM Cloud Pak for Security
Offene Plattform zur
Angriffsabwehr
IBM hat mit Cloud Pak for Security eine offene Sicherheitsplattform
vorgestellt, die standardbasiert und damit über Clouds und Umgebungen
hinweg Informationen mit anderen Security-Lösungen
austauschen kann. Die Plattform bietet Automationsfunktionen,
um die Reaktion auf Angriffe zu beschleunigen.
Per Kommunikation mit STIX (Standard
Threat Information Expression) verbindet
Cloud Pak for Security Datenquellen, die
dieses maschinenlesbare Datenformat unterstützen.
Föderierte Abfragen erübrigen
die Replikation von Datenbeständen und
sollen es erleichtern, versteckte Bedrohungen
zu erkennen und risikobasiert Entscheidungen
zu treffen. Security-Analysten
können die Bedrohungsermittlung laut
IBM mit der Data-Explorer-Anwendung
des Cloud Paks optimieren, statt manuell
in den diversen Tools nach Bedrohungsindikatoren
suchen zu müssen.
Die Lösung umfasst laut IBM ein vollständiges
Incident-Response-Werkzeug. Dahinter
steckt die Software von Resilient
Systems, eines Anbieters, den der Konzern
2016 akquiriert hat. Die Plattform dient
der Koordination der Sicherheitsabläufe
aus einer einheitlichen Benutzeroberfläche
und mit automatisierten Playbooks.
Cloud Pak for Security lässt sich lokal, in
einer Private oder Public Cloud installieren.
Dafür sorgt IBMs Cloud-Pak-Ansatz:
Containerisierte Software auf der Basis der
Kubernetes-Plattform Red Hat OpenShift
erlaubt die flexible Bereitstellung über
Plattformgrenzen hinweg. Für den Betrieb
offeriert IBM auch sein Cloud Pak System,
bei dem Cloud Paks, VMware-Virtualisierung
und OpenShift vorintegriert sind.
Neben STIX-basierter Kommunikation
bietet die Security-Plattform laut Hersteller
Schnittstellen für die Integration mit
gängigen Sicherheits-Tools: Neben hauseigenen
Werkzeugen und der IBM Cloud
umfasst die Liste Lösungen von Carbon
Black, Splunk, Tenable, Elastic und Big-
Fix. Noch dieses Jahr sollen Schnittstellen
für die Anbindung an AWS und Azure folgen.
Ein Development Framework erlaube
es Anbietern und Partnern, eigene Schnittstellen
und Applikationen zu entwickeln.
Sonja Gresser, Technical Sales Architect
bei IBM Security Software, erläuterte den
Einsatz der Lösung gegenüber LANline
wie folgt: Sobald eine Information zu einer
neuen Bedrohung vorliegt, muss der Security-Analyst
im SOC wissen, ob es auch in
seiner Umgebung Hinweise darauf gibt.
Dafür könne er nun eine föderierte Suche
nach der Checksumme über die angebundenen
Security-Werkzeuge hinweg per
STIX oder Konnektoren anstoßen. Das Ergebnis
werde dann in Cloud Pak aufbereitet
und mit Angaben wie Datenquelle, IP-
Adressen, URLs, Benutzer etc. dargestellt.
Die Visualisierung erfolge als tabellarische
Übersicht, als Verlaufsgrafik oder als Darstellung
im STIX-Format. Der Analyst erhalte
Informationen, welche Prozesse und
Payloads mit dem Indikator erfasst wurden,
auch die Kritikalität der Bedrohung
lasse sich ersehen. Auf dieser Basis könne
er einen Case initiieren und bei Bedarf Level-2/3-Analysten
für Abwehrmaßnahmen
hinzuziehen. Bereits abgefragte Daten stehen
laut Gresser für weitere Queries zur
Verfügung. Zudem könne man über die
Resilient-Plattform weitere Informationen
hinzufügen, um die Reaktion besser orchestrieren
zu können, sowie Workflows
anstoßen, etwa Genehmigungen, die Information
weiterer Analysten, das Beenden
von Prozessen etc.
IBM Cloud Pak for Security ist ab sofort
weltweit verfügbar. Lizenziert wird die
Lösung nach der Zahl der Server, die Telemetriedaten
liefern, unabhängig von der
Zahl der Analysten. Zur Frage, ob man die
Lösung auch als Managed Service anbieten
will, machte IBM gegenüber LANline
keine Angaben. Dr. Wilhelm Greiner
Darstellung eines Suchergebnisses von Cloud Pak for Security mit Zeitverlauf.
Bild: IBM
■ Info: IBM
Web: www.ibm.com
26 LANline 1/2020 www.lanline.de
anzeige
Wenn’s im Data Center spukt:
Monitoring statt Geisterjäger
Viele Rechenzentren werden heimgesucht: nicht nur von externen Gefahren, sondern auch
von hauseigenen Geistern. Die Virtualisierung spielt verrückt, das Unified Computing macht
sein eigenes Ding, hyperkonvergente Systeme treiben den Admin in den Wahnsinn – alles wie
verhext! Neue Technologien bringen zahlreiche Vorteile, können aber teils extreme Belastungen
der RZ-Infrastruktur verursachen. Was tun? Geisterjäger können hier nicht weiterhelfen.
Mit einem umfassenden IT-Monitoring
überwachen IT-Administratoren
und RZ-Betreiber ihre gesamte IT-Infrastruktur.
Die Tools überwachen die
Verfügbarkeit von Geräten, Rechnern,
Diensten und auch virtuelle Systeme
rund um die Uhr. In festgelegten Intervallen
fragen sie über Standardschnittstellen
den jeweiligen Gerätezustand
sowie Umgebungs- und Umwelteinflüsse,
Sicherheitsfaktoren oder technische
Funktionen ab.
Um auch die Gebäudesicherheit
im Blick zu behalten werden verschiedene
Sicherheitssysteme
in die Überwachung integriert:
Schließanlagen, Rauch- und Gasmelder,
Temperaturfühler, aber
auch Überwachungskameras.
Die Monitoring-Sensoren senden
die gesammelten Daten an
eine zentrale Installation. Für
den verantwortlichen Mitarbeiter werden
Informationen auf einem Dashboard
übersichtlich dargestellt. Werden
zuvor definierte Schwellenwerte
erreicht oder treten nicht vorhersehbare
Probleme auf, alarmiert das Tool
den Ad ministrator. Das kann auch via
SMS oder E-Mail geschehen. So sind
die Mitarbeiter immer informiert und
können Unregelmäßigkeiten unter die
Lupe nehmen, bevor sie zu Problemen
werden.
Mit „Anti-Spuk“-Sensoren
Um den Aufwand für das IT-Team gering
zu halten, sollte die Monitoring-
Software möglichst viele Komponenten
im Rechenzentrum „out-of-thebox“
unterstützen. Das ist natürlich
nur für gängige Geräte und Applikationen
möglich. Daher ist es wichtig, dass
die Monitoring-Lösung eine API und
Templates mitbringt, die das Einbinden
aller Komponenten nicht nur grundsätzlich
erlauben, sondern auch möglichst
einfach machen.
Dem Spuk ein Ende setzen
Seltsame Erscheinungen im Rechenzentrum
sind nicht ungewöhnlich, aber
dank Netzwerk-Monitoring verlieren
sie ihren Schrecken: Wer das ganze
Rechenzentrum stets im Blick hat,
erkennt erste Anzeichen drohender
Gefahren und kann rechtzeitig
Maßnahmen ergreifen. Darüber
hinaus werden langfristige
Trends sichtbar und ermöglichen
vorausschauendes Planen und
damit das Vorbeugen von Engpässen.
So spuken keine Anomalien
mehr umher.
PRTG Network Monitor von
Paessler ist eine Monitoring-Lösung,
die all diese Vorteile und
Funktionen „out-of-the-box” mitbringt.
Für die Einbindung alter oder außergewöhnlicher
Geräte bietet PRTG zusätzlich
eine RESTful API-Anbindung sowie
Templates. Testen Sie die Software 30
Tage lang bei voller Funktionalität:
www.paessler.de/rechenzentrum
Schwerpunkt: End-User Computing
Digitale Workspaces für die Zukunft der Arbeit
Die Illusion des Vertrauten
Das Karussell des Fortschritts rotiert immer schneller,
und die resultierende Fliehkraft hat schon
längst eine Vielzahl vertrauter Dinge von der
Schreibtischplatte gefegt: Desktop-PC, Tischtelefon
und vieles mehr. Nun zerrt diese Kraft am Schreibtisch
selbst: Microsoft will den Desktop neuerdings
in die Cloud exportieren, in Kooperation mit Citrix,
VMware und anderen. Geht es nach Citrix, verschwindet
der Desktop sogar ganz: An seine Stelle
tritt ein Feed à la Facebook – jenes Interface, das
vielen Mitarbeitern heute am vertrautesten ist.
Der Mensch ist viel mehr Gewohnheitstier,
als er zugeben will. Denn seine Psyche
scheint dafür prädestiniert, nur das wahrzunehmen,
was er auch wahrnehmen will –
Fachleute sprechen vom „Cognitive Bias“,
kognitiver Verzerrung. Dass man sich heute
dank Social Media rund um die Uhr in einer
Echokammer Gleichgesinnter bewegen
kann, kommt da natürlich gerade recht.
Dennoch gibt es Umbrüche, die so radikal
sind, dass wir Gewohnheitstiere uns genötigt
sehen, den Kopf aus dem Sand zu ziehen
und der Veränderung – sei es unerwarteter
Fortschritt oder unbequeme Wahrheit
– ins Auge zu schauen. So lebte der Homo
Sapiens seit Hunderttausenden von Jahren
ganz gut davon, seine Umwelt nach Gusto
auszubeuten – und doch reift nun (wenn
auch zögerlich) angesichts von Klimakrise
und Plastikflut die Erkenntnis, dass das
nicht ewig so weitergehen kann. Weiteres
Beispiel: „Never touch a running system“
lautete einst das Mantra des IT-Betriebs –
doch dann kamen Cloud-Computing und
agile Softwareentwicklung. „Läuft und
läuft und läuft“, das wollte man in der deutschen
Automobilindustrie so lange vom
Verbrennungsmotor glauben, bis man sich
mit Vorwürfen bombardiert sah, die Wende
zur Elektromobilität verpasst zu haben.
Und geradezu legendär ist die Vehemenz,
mit der Steve Ballmer, damals Microsoft-
CEO, 2007 das Potenzial des frisch vorgestellten
iPhones nicht erkannte – oder nicht
erkennen wollte.
Deutschen Autobauern nicht unähnlich
schien Microsoft jahrelang einen wichtigen
Trend zu verschlafen: den zu cloudbasierten
Arbeitsumgebungen (Desktop as
a Service, DaaS). Obwohl Cloudvorreiter
AWS schon 2013 ein DaaS-Angebot vorgestellt
hatte (seit 2016 sogar mit Abrechnung
im Stundentakt), schien der König
des klassischen Desktops das Feld seinem
langjährigen Partner Citrix, den Cloudkon-
28 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
kurrenten VMware und AWS sowie einigen
weiteren Playern zu überlassen. Doch
2019 war es vorbei mit „Never touch a running
desktop“: Microsoft gab bekannt,
man werde die von Marktkennern und Anwenderunternehmen
längst herbeigesehnte
Multi-Session-Version von Windows 10
herausbringen – jedoch ausschließlich für
den Bezug aus der hauseigenen Azure-
Cloud. Was als jahrelanges Zögern erschien,
kann man im Rückblick durchaus
auch als geschicktes Timing des Konzerns
verstehen: In mehrfach praktizierter Manier
wartete man in Redmond zunächst ab,
bis eine Nische Massenmarktpotenzial
entwickelt, um dann mit der geballten Power
des nach wie vor weltgrößten Softwarehauses
einzusteigen: Zum 30. September
2019 war der Windows Virtual
Desktop (WVD) offiziell international (in
54 Regionen) verfügbar.
Dieser DaaS-Einstieg war von langer Hand
vorbereitet: Mit Office 365 hatte Microsoft
seine Unternehmenskundschaft zunächst
damit vertraut gemacht, traditionell lokal
implementierte Funktionalität der Office-
Standardapplikationen aus der Cloud zu
beziehen. Mit Microsoft 365 steht zudem
ein Bundle aus Windows 10, Office 365
und Verwaltungswerkzeugen in der Wolke
bereit. Da ist es dann – zumindest in der
Theorie – nur noch ein kleinerer Schritt,
die digitalen Arbeitsplätze komplett in
Redmonder Hände zu legen und auf Azure
hosten zu lassen. Außerdem lockt Microsoft
Bestandskunden, die trotz Extended-Support-Ende
am 20. Januar 2020 immer
noch bei Windows 7 geblieben sind,
mit der Option, beim WVD-Abonnement
nochmals drei Jahre Support-Verlängerung
zu erhalten. Für deutsche Unternehmen
wichtig: Der US-Konzern hatte 2018 verkündet,
in Deutschland zwei Cloudregionen
für Azure aufzubauen, um das unbeliebte
Cloud-Treuhändermodell der T-Systems-Kooperation
zu ersetzen. Dies kann
der Hyperscaler nun deutschen Bedenken
bezüglich Datenhaltung und Datensicherheit
entgegensetzen.
Der sichere Zugriff auf Windows Virtual Desktop erfordert das Zusammenspiel von Microsoft-Azure-
Umgebung und lokaler IT-Infrastruktur des Anwenderunternehmens.
Bild: Microsoft
gemacht hat. Neuerdings spannt er einen
interessanten Bogen vom mobilen Arbeiten
per Smartphone und Cloud zum Thema
E-Mobilität: Das iPhone war laut Dediu
„disruptiv“, weil es das Mobiltelefon auf
eine neue Grundlage stellte. Schließlich ist
das iPhone nicht einfach nur ein „smartes
Telefon“, sondern vielmehr ein sehr kleiner
und sehr vielseitiger Computer, dem es
dank Fokus auf Daten statt Sprache und
mittels App-Ökosystem gelang, ein ganz
neues Marktsegment zu schaffen. Ein solches
Disruptionspotenzial sieht Dediu
auch bei der E-Mobilität – allerdings nicht
beim E-Auto, sondern bei der Mikromobilität,
die er als „urbane Mobilität“ bezeichnet:
E-Fahrzeuge von unter 500 kg, also E-
Bikes, E-Lastenräder, E-Trikes, E-Scooter
etc. Den iPhones ähnlich, sind sie – gegenüber
dem klassischen Automobil, egal ob
Verbrenner oder Elektro – klein, flexibel,
leicht bedienbar sowie, etwa bei den Fahrradverleihfirmen,
intelligent vernetzt. Damit,
so Dediu, revolutionieren sie nach
iPhone-Art den Markt der urbanen Mobilität
– und dieses Marktsegment wächst
deutlich schneller als der nach wie vor
dümpelnde E-Automobilmarkt.
Der hippe, urbane Mitarbeiter von heute
steht nicht stundenlang im Stau, um dann
von neun bis fünf am Schreibtisch zu sitzen:
Er fährt die Kinder mit dem Fahrrad
oder E-Bike zur Kita und setzt sich dann
mit Notebook, Smartphone und/oder Tablet
mal ins Home Office, mal ins Büro, mal
in den bevorzugten „Third Place“. So nennen
Soziologen jenen dritten Ort, der weder
Zuhause noch Arbeitsstätte ist, an dem
man sich aber dennoch bevorzugt aufhält
– also zum Beispiel jene Art von Kaffeeausschank,
in der für alles gesorgt ist, was
der moderne Digitalnomade so braucht:
bequeme Sitzecke, Barista, WLAN.
Unser moderner Nomade hat im Alltag somit
oft weder direkten Zugriff auf ein Unternehmens-LAN,
lokale Backup-Medien
oder einen lokalen Drucker, noch trifft er
Kollegen aus dem Nachbarbüro für die
spontane Besprechung zwischen Tür und
Angel. Damit verlagert sich sein Arbeitsplatz
geradezu zwangsläufig in die Cloud:
Internet statt Enterprise-(W)LAN, Filesha-
Smart, mobil, vernetzt, urban
Horace Dediu ist ein Wirtschaftsanalyst,
der sich als Apple-Kenner einen Namen
Einrichtung von Applikationen mit dem WVD-Management-Portal.
Bild: Microsoft
www.lanline.de LANline 1/2020 29
Schwerpunkt: End-User Computing
Citrix ersetzt die klassische Desktop-Oberfläche durch einen Feed nach Social-Media-Art mit
Direktzugriff auf vorgeschlagene nächste Schritte (im Bild rechts oben).
Bild: Citrix
ring statt „siehe Attachment“, Cloud-
Backup, Cloud Printing, cloudbasierte
Collaboration per Messaging und Web-
Conferencing. Da liegt es nahe, gleich den
gesamten digitalen Workspace aus der
Cloud zu beziehen: Dies erleichtert das geräteübergreifende
Arbeiten, erspart dem
Anwender Software-Updates wie auch
Patches und minimiert den Schaden, falls
doch mal ein Latte Macchiato aufs Mac-
Book kippt. Schließlich gilt bei DaaS das
Thin-Client-Prinzip: Selbst im Worst Case
geht nur dumme Hardware verloren.
Nicht nur die
Latte-Macchiato-Fraktion
Anbieter Lösung Web-Adresse
AWS Workspaces aws.amazon.com/workspaces
Die genannten Anbieter von DaaS-Lösungen im Überblick.
Anders als Apple, Google oder AWS-Mutter
Amazon wurzelt Microsofts Business
in der Consumer- wie auch in der Unternehmenswelt.
So verwundert es nicht, dass
man in Redmond mit WVD weniger den
hippen Third-Place-Einzelkämpfer als
vielmehr durchaus umfangreiche und
komplexe Unternehmensszenarien ins Visier
nimmt. Ein Whitepaper, das Microsoft
zum WVD-Launch herausbrachte, nennt
als Einsatzfälle für Windows Virtual Desktops
neben mobilen oder externen Mitarbeitern
auch regulierte Organisationen,
Umgebungen mit besonders hohen Sicherheitsanforderungen,
Szenarien mit dynamischen
Nutzerzahlen oder zeitlich begrenzter
Nutzung oder auch Umgebungen
mit Sonderanforderungen wie etwa die –
heute oft geografisch verteilte – Softwareentwicklung.
Entsprechend bietet Microsoft mit WVD
Single-Session- wie auch Multi-Session-
Konfigurationen auf der Basis von VDI
(Virtual Desktop Infrastructure) oder Windows
10 Multi-Session, App-Masking (regelbasierte
nicht-persistente Windows-
Umgebungen mittels Technik von FSLogix),
die Weiternutzung bestehender Windows-Server-Images
(ab Windows Server
2012 R2) sowie Support für bestehende
Active-Directory-Strukturen (per Azure
AD Connect).
Zudem betont Microsoft, für WVD verfüge
man über mehr als 90 Sicherheits- und
Compliance-Zertifizierungen, darunter neben
der obligatorischen ISO 27001 zum
Beispiel auch Konformität mit den BaFin-
Vorgaben sowie das C5-Testat des BSI.
Citrix Managed Desktop www.citrix.com/de-de/products/citrix-managed-desktops
Citrix Workspace www.citrix.com/de-de/products/citrix-workspace/
Microsoft Windows Virtual Desktop azure.microsoft.com/de-de/services/virtual-desktop/
VMware Horizon Cloud www.vmware.com/de/products/horizon-cloud-virtual-desktops.html
VMware Workspace One www.vmware.com/de/products/workspace-one.html
VMware begegnet Datenschutzbedenken zur
ML-Dauerüberwachung mit einer App, die über
erfasste Daten Auskunft gibt.
Bild: VMware
Ins Auge fällt, dass Microsoft zum WVD-
Start auf eine Reihe von Kooperationen
verwies, darunter nicht nur – wie zu erwarten
– der langjährige Virtual-Desktop-Partner
Citrix, sondern auch VMware, Microsofts
großer Konkurrent im Server-Virtualisierungsmarkt:
Mit VMware Horizon
Cloud auf Microsoft Azure will man Unternehmen
die Möglichkeit geben, Azure-
Instanzen und Horizon-Cloud-Umgebungen
zu integrieren, um eine sichere Cloudumgebung
für den Betrieb virtueller Applikationen
und Desktops zu schaffen. Neben
Horizon offeriert VMware mit Workspace
One auch eine eigene Virtual-Workspace-
Plattform für den Betrieb im lokalen RZ
oder in der Cloud. Auf der VMworld 2019
stellte das Softwarehaus den Workspace
One Intelligent Hub vor, der als zentraler
Startpunkt für alle Applikationen, Workflows
und Benachrichtigungen dienen soll.
Mittels eines virtuellen Assistenten und
Sprachsteuerung (hier setzt VMware auf
IBM Watson) will man IT- und HR-Workflows
erleichtern und zum Beispiel für ein
schnelleres Onboarding (Neuregistrierung)
von Mitarbeitern sorgen (LANline
berichtete, siehe lanl.in/2Rc7y5d). Machi-
30 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
ne Learning (ML) soll es der IT-
Organisation dabei erleichtern,
Abweichungen vom normalen
Benutzerverhalten aufzudecken.
Höchste Priorität hat hier die IT-
Sicherheit. Um angesichts kontinuierlicher
Überwachung des
Mitarbeiter- und Geräteverhaltens
Bedenken bezüglich des Datenschutzes
abzumildern, gibt
Workspace One dem
Endanwender über eine
App Auskunft über alle
Daten, die das System über ihn sammelt.
Außerdem, so VMware, sei es möglich,
den Betriebsrat bei Änderungen an datenschutzrelevanten
Abläufen Workflow-basiert
zu informieren.
Feilen an der Employee Experience
ThinPrint bietet mit Ezeep eine
Cloud-Printing-Lösung für das
doch noch nicht so papierlose
Arbeiten mit WVD. Bild: ThinPrint
Wie bei VMware, so steht auch bei Citrix
die sogenannte „Employee Experience“
im Fokus, also die Art und Weise, wie ein
Mitarbeiter sein digitales Arbeitsumfeld
wahrnimmt und mit diesem interagiert.
Beide Digital-Workspace-Anbieter wollen
dem Endanwender den Alltag möglichst
mühelos gestalten, und beide setzen dabei
auf Machine Learning. Citrix sieht ML jedoch
nicht nur als Hilfsmittel für die Security-
oder Performance-Überwachung
durch die Administratoren, sondern auch
für die Endanwender selbst – und damit
zur direkten Optimierung der Employee
Experience: Citrix’ Lösung namens Workspace
– die ebenfalls on-premises laufen
oder aber auf WVDs aufsetzen kann und
kurz vor deren Start angekündigt wurde –
nutzt als Ausgangspunkt für den Endanwender
einen Feed in Social-Media-Manier
– somit also ein Interface, in dem sich
alle Digital Natives und auch das Gros der
älteren Endanwender ohne Schulung zu
Hause fühlen dürften.
Der Citrix-Workspace-Feed bündelt relevante
Informationen und „Call to Actions“,
also Buttons, die dem Endanwender den
nächsten anstehenden Workflow-Schritt
per Mausklick direkt zugänglich machen
(LANline berichtete, siehe dazu lanl.
in/2LXqi79). Diese basieren auf sogenannten
Micro-Apps: Monolithische Applikationen
zerlegt die Software in Funktionshäppchen,
um dem Endanwender in
möglichst vielen Situationen den „kurzen
Dienstweg“ zu ebnen. Dabei, so Citrix,
priorisiere und präsentiere der Workspace
die anstehenden Aktionen intelligent und
gerätebezogen (also am Smartphone anders
als am PC). Im Hintergrund soll Machine
Learning es dabei ermöglichen, dass
sich der Workspace im Lauf der Zeit immer
besser an die Bedürfnisse des Endanwenders
anpasst. Ergänzend nutzt Citrix
natürlich seine Management-Werkzeuge
für die schnelle Provisionierung und Skalierung
digitaler Workspaces sowie für die
Performance-Optimierung bei der Nutzung,
unter anderem über das hauseigene
Fernzugriffsprotokoll HDX. Citrix wie
auch VMware bieten zudem SD-WAN-Lösungen
für den optimierten Zugang zu den
WVD-Instanzen auf Azure.
Neben Citrix und VMware, die Microsoft
beim WVD-Start besonders hervorhob,
sind 17 weitere Partner zur Ergänzung der
Windows Virtual Desktops von Anfang an
mit an Bord. Dazu zählen diverse Anbieter
von Management-Werkzeugen zur schnellen
Provisionierung von Cloudressourcen
und digitalen Workspaces sowie für deren
optimierte Verwaltung und Absicherung,
darunter ControlUp mit seiner gleichnamigen
Analyse- und Automationsplattform,
Ivanti mit der Lösung User Workspace
Manager, Lakeside mit seiner Systrack-
Software für die Leistungsüberwachung
und -optimierung oder auch Liquidware
mit der gleichnamigen Verwaltungs- und
Optimierungslösung.
Zu der Anbieterschar zählen auch zwei
deutsche Unternehmen: der Bremer Anbieter
Igel – mit seinem Thin-Client-Betriebssystem
Igel OS und der
Universal Management Suite zur
Endpoint-Verwaltung – sowie
das Berliner Softwarehaus Thin-
Print mit seiner gleichnamigen
Druck-Management-Lösung
und der
Cloud-Printing-Lösung
Ezeep. Dass sich von den 19 WVD-Partnern
mit PrinterLogic, Printix, Tricerat
und ThinPrint gleich vier dem Thema Drucken
verschrieben haben, zeigt: Auch das
Büro in der Cloud funktioniert offenbar
noch nicht ganz so papierlos, wie sich das
viele Nutzer seit Jahren erhoffen.
2020 und darüber hinaus
Microsofts Einstieg in das DaaS-Geschäft
lässt mancherorts in der Branche die Hoffnung
keimen, dass 2020 das Jahr sein
könnte, an dem sich cloudbasierte digitale
Arbeitsplätze als ebenbürtige Desktop-Bereitstellungsoption
etablieren können.
Doch man sollte eines nicht vergessen: Ob
Smartphone, urbane Mobilität oder die Zukunft
des Arbeitens, Disruptionen dauern
ihre Zeit. Denn letztlich sind die Entscheider
im Unternehmen wie auch die Endanwender
– und in seinem tiefsten Herzen sicher
auch der E-Bike-fahrende Digitalnomade
– eben doch Gewohnheitstiere: Man
möchte, dass alles so funktioniert, wie es
schon immer funktioniert hat, vor allem
schnell und verlässlich. Der DaaS-Erfolg
hängt damit wesentlich von flächendeckender
Verfügbarkeit schneller Internetanbindung
ab – und hier hapert es in
Deutschland bekanntlich an allen Ecken
und Enden: Sobald man sich leichtsinnigerweise
von der Arbeitsstätte, dem Home
Office oder dem Lieblingscafé mit Gratis-
WLAN entfernt, ist es schnell vorbei mit
der Illusion, in der Cloud „so wie früher“
arbeiten zu können. Die frühen Anwender
disruptiver Technik mussten eben schon
immer hart im Nehmen sein. Darauf einen
Double-Shot Latte Macchiato mit Sojamilch!
Dr. Wilhelm Greiner
www.lanline.de LANline 1/2020 31
Schwerpunkt: End-User Computing
Datenquelle und Angriffswerkzeug
Twitter in der
IT-Sicherheit
Für einen neuen Forschungsbericht nahmen die Bedrohungsforscher
von Trend Micro das soziale Netzwerk Twitter unter die Lupe.
Sie analysierten eine große Menge an Twitter-Daten, um Beziehungen
zwischen Akteuren und Anomalien zu erkennen. Das Ergebnis:
Twitter kann Sicherheitsexperten wertvolle Erkenntnisse bieten,
lässt sich gleichzeitig aber auch für Angriffe missbrauchen.
Soziale Netzwerke können für IT-Sicherheitsfachkräfte
mehr sein als nur ein Mittel
zur Kommunikation: Security-Experten
können aus ihnen auch wertvolle Informationen
zu Schwachstellen, Exploits und
Malware sowie zu Bedrohungsakteuren
und Anomalien gewinnen. Laut einer Forrester-Studie
[1] betreiben bereits 44 Prozent
der befragten Unternehmen eine solche
Auswertung von Informationen aus sozialen
Medien (Social Media Intelligence,
SocMInt) im Rahmen ihrer Cybersicherheitsstrategie.
Dabei ist jedoch Vorsicht
geboten: Man sollte die aus sozialen Medien
gewonnenen Erkenntnisse stets validierten
und mit Kontext versehen, bevor
sie Entscheidungen zu Lösungen und Strategien
beeinflussen.
Es gibt dabei verschiedene Wege zur Gewinnung
von Rohdaten. Erstens kann man
diese durch Web-Scraping mittels Open-
Source-Tools wie Twint [2] erfassen.
Zweitens bietet Twitter auch die Möglichkeit,
über APIs [3] auf zahlreiche Daten
zuzugreifen. Drittens besteht die Option,
bereits bestehende Datensätze tiefergehend
zu analysieren. Für die aktuelle Untersuchung
haben die Sicherheitsforscher
gemäß Twitter-Nutzungsbedingungen eine
öffentliche API genutzt und zudem alle
entdeckten Indicators of Compromise
(IoCs) an Twitter gemeldet. Aus den analysierten
Daten konnten sie die Beziehungen
und Interaktionen zwischen verschiedenen
Accounts ebenso darstellen wie die behandelten
Themen. Dabei fanden sie nicht nur
menschliche Nutzer, sondern auch einige
Bots, die für Sicherheitsfachleute nützliche
Informationen wie aktuelle IoCs und
sogar Erkennungsregeln teilen.
Schwachstellen- und IoC-Monitoring
Die schnelle Übermittlung von Informationen
macht Twitter zu einer ernstzunehmenden
Vorgehensweise, um zu überwachen,
ob die Angreiferseite bekannte
Schwachstellen tatsächlich ausnutzt. Mit
diesem Wissen können Unternehmen die
Situation besser einschätzen und die sich
ständig verändernden Umgebungen verstehen.
Sicherheitsverantwortliche können
damit zudem besser einschätzen, ob ihre
Daten verwundbar oder zugänglich sind.
Um die Nutzung von Social Media bei der
Bedrohungsüberwachung zu demonstrieren,
suchten die Forscher nach Keywords
wie „0-day“, „CVE-“, „CVE-2018-*“,
„CVE-2019-*“ und „Bugbounty“. Somit
konnten sie die Kontextverteilung pro Erwähnung
von „CVE“-bezogenen Keywords
auf Twitter sehen. Die Verwendung
zusätzlicher Keywords ermöglichte einen
tieferen Einblick in die Suchergebnisse
und ergab weitere Details zu kürzlich veröffentlichten
Schwachstellen. IT-Sicher-
Die Einschränkung der Suche auf eine feste Anzahl von Twitter-Konten führte zu einem Diagramm der sozialen Interaktion, das interessante Accounts
und die nützlichsten Gespräche über bestimmte CVEs zeigt.
Bild: Trend Micro
32 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
heitspersonal kann damit feststellen, ob es
Proofs of Concept (PoCs) zur Ausnutzung
dieser Schwachstellen gibt. Die Suche
nach Kombinationen von Keywords wie
„GitHub“ und „CVE“ kann zudem Git-
Hub-Repositories mit PoCs für bekannte
Schwachstellen liefern.
Die Einschränkung der Suche auf eine feste
Anzahl von Twitter-Konten führte zu einem
Diagramm der sozialen Interaktion,
das interessante Accounts und die nützlichsten
Gespräche über bestimmte CVEs
zeigt (Bild 1). Ein genauerer Blick in diese
Grafik zeigt Twitter-Konten, die als Aggregatoren
von Nachrichten aus der Cybersicherheit
dienen. Ein Twitter-basiertes Monitoring
von Bedrohungen kann sich auf
diese Konten konzentrieren, da sie verwandte
und aktuelle Informationen liefern.
Diese Accounts lassen sich durch die Anzahl
ihrer Retweets oder Follower validieren.
Dabei ist allerdings zu berücksichtigen,
dass diese grundsätzlich auch durch
Social-Media-Bots manipulierbar sind.
Social-Media-Kanäle wie Twitter lassen
sich zudem als zusätzliche Quelle für IoC-
Mining nutzen. Hashtags wie #ThreatHunting
können Informationen über laufende
oder aktuelle Cybercrime-Kampagnen,
Datenschutzverletzungen und Cyberangriffe
liefern.
Informationsaustausch
Der Wissensaustausch ist in der IT-Security-Community
tief verankert. Das Teilen
von Techniken zur Bewältigung von Vorfällen
kann anderen Sicherheitsteams in ähnlichen
Situationen wertvolle Zeit sparen.
Diese Techniken reichen von NetFlow-
Analyse-Tools und Open-Source-Repositories
mit JavaScript-Bibliotheken, die größere
Sicherheit ermöglichen, bis hin zu Wissensdatenbanken
mit Reaktionsplänen für
bestimmte Vorfälle. Viele Sicherheitsforscher
teilen in sozialen Medien auch Regeln
zur Erkennung von Bedrohungen entweder
manuell oder automatisch. Artefakte wie
YARA-Regeln können für die Dateianalyse
und den Endpunktschutz Verwendung finden.
Sie können auch als zusätzliche Gegenmaßnahmen
gegen Bedrohungen dienen.
Öffentlich geteilte Netzwerk-IDS-Regeln
lassen sich zudem zur Verbesserung
Visualisierung von Keywords im Zusammenhang mit CVE-2019-3396, aufgeschlüsselt nach den
Informationsquellen.
Bild: Trend Micro
der Angriffserkennungsrate verwenden. Ein
Security-Team muss sie jedoch unbedingt
validieren, um sich vor sogenannten Poisoning-Angriffen
zu schützen.
Eine bösartige oder verdächtige Binärdatei
gibt Anlass zur Beunruhigung, insbesondere
wenn sie in einer sicherheitsrelevanten
Umgebung auftritt. Selbst wenn ein
IPS oder eine Endpunkt-Sicherheitslösung
die Bedrohung blockiert, muss das Security-Team
sie noch weiter bewerten oder untersuchen.
Rechtzeitig bereitgestellte Kontextinformationen
sind deshalb wichtig für
die Reaktion auf Vorfälle. Folgende Einschätzungen
können nützlich sein, wenn in
Zukunft ähnliche Vorfälle auftreten:
– die Dauer des Angriffs im kompromittierten
Netzwerk und laterale Bewegungen,
– der Ausgangspunkt der Kompromittierung
und die Phase der Kill Chain, in der
man den Angriff erkannte,
– die ausgenutzten Angriffsvektoren und
Schwachstellen sowie
– die Art des Angriffs: zielgerichtet oder
opportunistisch.
IT-Sicherheitskräfte müssen zudem beurteilen,
welche Aufgaben sie priorisiert erledigen
müssen und wie viel Aufwand und
Ressourcen dafür erforderlich sind, während
sie gleichzeitig andere Bedrohungen
kontinuierlich überwachen und erkennen.
Social Media kann hier Kontextinformationen
für spezifische Bedrohungen liefern
– etwa wie Angreifer eine Schwachstelle
tatsächlich ausnutzen. Beispielsweise sahen
die Forscher Tweets über eine Bedrohung,
die eine Schwachstelle in Adobe
Flash (CVE-2018-15982) ausnutzt, um
möglicherweise eine medizinische Einrichtung
in Russland anzugreifen.
Außerdem ist es möglich, die semantische
Analyse des Kontextes von Schwachstellen
zu automatisieren. Das verwendete
Tool analysierte Diskussionen über
Schwachstellen und konnte diese dadurch
mit Schlüsselwörtern in Verbindung bringen,
die die betroffene Software und die
Auswirkungen der Schwachstelle beschreiben.
Beispielsweise wurde CVE-
2019-3396 mit dem Schlüsselwort „confluence“
gematcht. Dies steht im Einklang
mit der Erkenntnis, dass Angreifer ein Exploit
für diese Schwachstelle in einen
DDoS-Bot (Distributed Denial of Service)
www.lanline.de LANline 1/2020 33
Schwerpunkt: End-User Computing
gescriptet haben. Durch die weitere Visualisierung
der Verbreitung von CVE-,
CVSS- und CVE-2019-3396-bezogenen
Tweets (Bild 2) konnten die Security-Forscher
feststellen, dass nach einiger Zeit
Keywords wie „infiziert“ auftauchten.
Dies kann zusätzlichen Kontext für eine
Schwachstelle liefern, da es zeigt, ob diese
aktiv genutzt wird. Doch wie bei allen Informationen
aus Social Media gilt es auch
hier, die Informationen zu prüfen und die
Reputation der Quelle zu berücksichtigen,
bevor man die Erkenntnisse aktiv nutzt.
Tech-Support-Scams
Leider brachte die Forschung auch unerfreuliche
Ergebnisse zutage: Cyberkriminelle
nutzen Twitter für betrügerische Aktivitäten.
Zum Beispiel geben sie sich mittels
gefälschter Accounts als Support-Abteilungen
von Technikherstellern aus. Die
Account-Profile fordern Nutzer dazu auf,
dort genannte Telefonnummern anzurufen,
um mit dem vermeintlichen Helpdesk des
Unternehmens zu sprechen. Daraufhin
bringen die Kriminellen die Anrufer dazu,
ihre Kreditkartendaten preiszugeben oder
bösartigen Content auf ihrem Computer zu
installieren. Sie bedienen dabei meist mehrere
Kanäle, neben Twitter beispielsweise
auch YouTube, Facebook, Telegram und
andere.
Zudem nutzen sie zunehmend Techniken
der Suchmaschinenoptimierung (SEO),
um das Suchmaschinen-Ranking ihrer gefälschten
Support-Websites zu erhöhen.
Solche Betrügereien mit technischen Mitteln
zu verhindern ist schwierig, da die Betrüger
nicht auf bösartige Dateien oder Hacking-Tools
angewiesen sind. Stattdessen
überlisten sie ihre meist ahnungslosen Opfer
durch Social Engineering. Glücklicherweise
setzt Twitter seine Richtlinien gegen
Missbrauch aktiv durch: Viele betrügerische
Accounts, die das Forscherteam während
der Recherche entdeckte, löschte
Twitter schnell.
Vermittler für C&C-Server
Im Rahmen der Forschung kam auch zutage,
dass bestimmte Malware-Familien darauf
programmiert sind, sich mit sozialen
Netzwerken zu verbinden und diese als
Vermittler für ihren C&C-Server (Command
and Control) zu nutzen. Zum Beispiel
überprüft die Android-Banking-Malware
Anubis mittels Twitter und Telegram
ihren C&C-Server. Dabei übermitteln die
Botnet-Betreiber von Anubis auch die
C&C-Informationen an das infizierte Android-Gerät.
Die Forscher entdeckten einige
sehr aktive Twitter-Accounts, die zur Verteilung
von C&C-Informationen Verwendung
fanden. Zudem gelang es, mehrere
Malware-Arten zu identifizieren, die mit
bestimmten Twitter-Konten in Verbindung
stehen.
Anubis ist nur eine von zahlreichen Bedrohungen,
die soziale Medien missbrauchen.
Auch die Android-Malware FakeSpy ist
dafür bekannt, Social-Media-Plattformen
für ihre C&C-Kommunikation heranzuziehen.
Bedrohungen wie Elirks, das in Cyberspionage-Kampagnen
zum Einsatz
kommt, missbrauchen ebenfalls Social
Media und Microblogging-Dienste, um
ihre C&C-Informationen abzurufen. Die
Betreiber von Elirks nutzten dafür Social-
Media-Kanäle, die in den Ländern ihrer
Opfer besonders beliebt sind, um möglichst
wenig Aufmerksamkeit zu erregen.
Ergänzend verbargen sie ihre eigentlichen
C&C-Server hinter öffentlichen DNS-
Diensten.
Eine weitere Missbrauchsmöglichkeit von
Twitter besteht darin, die Routinen und
Konfigurationen von Malware oder von
Angreifern genutzte Domains zu verschleiern.
Ein Beispiel: Eine Bedrohung,
deren Infektion durch Exploit-Kits oder
gezielte Angriffskampagnen erfolgt, lädt
mittels Steganographie – also dem Verstecken
von Code oder Daten in einem Bild –
ihre endgültige Payload herunter.
Dies ist bei einer kürzlich entdeckten Malware
zum Datendiebstahl der Fall: Sie verbindet
sich mit einem Twitter-Konto und
sucht nach dort in Bildern eingebetteten
HTML-Tags. Dann lädt sie das entsprechende
Bild herunter und analysiert es, um
versteckte Befehle zum Abrufen von C&C-
Konfigurationen, zur Erstellung von
Screenshots und zum Stehlen von Daten
zu extrahieren.
Social Media Intelligence nutzen
Unternehmen, die Social Media Intelligence
in ihre Cybersicherheitsstrategie integrieren
wollen, sollten zunächst den konkreten
Anwendungsfall identifizieren.
Zweifellos können diese Informationen für
Sicherheitsexperten wichtig sein. Ihr Wert
hängt jedoch entscheidend davon ab, wie
man sie zur Risikominderung nutzt. Effektive
SocMInt erfordert zudem saubere Daten,
deren Validität man stets prüfen sollte.
Richard Werner/wg
Richard Werner ist Business Consultant bei Trend
Micro, www.trendmicro.de.
Die gleiche Diskussion über CVE-2019-3396, diesmal aber aufgeschlüsselt nach dem Kontext der
Konversation über die Schwachstelle.
Bild: Trend Micro
Weitere Informationen
[1] Vgl. The Forrester New Wave: Digital Risk
Protection, Q3 2018.
[2] https://github.com/twintproject/twint
[3] Detaillierte Informationen unter https://developer.
twitter.com
34 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
Marktübersicht: Virtual-Workspace-Management
Anbieter Lösung Web
Amazon Web Services
Citrix
Workspaces, Workspaces
Application Manager
Analytics, App Layering, Workspace,
Virtual Apps and Desktops
aws.amazon.com
www.citrix.de
ControlUp Insights, Real-Time www.controlup.com
Dell Technologies
Dell Provisioning for VMware
Workspace One, Unified Workspace
www.dellemc.com
Ivanti User Workspace Manager www.ivanti.com
Lakeside Software SysTrack www.lakesidesoftware.com
Liquidware
Flexapp, Profileunity,
Stratusphere UX
www.liquidware.com
Anbieter Lösung Web
Login VSI Login VSI Enterprise Edition www.loginvsi.com
Matrix42 MyWorkspace www.matrix42.com/de
Microsoft
VMware
FSLogix
Windows Virtual Desktop
Windows Virtual Desktop
Diagnostics
Windows Virtual Desktop
Management UX
AppVolumes, Horizon 7,
Horizon Apps, Horizon Cloud,
Workspace One
www.microsoft.com
azure.microsoft.com/de-de
azure.microsoft.com/de-de
azure.microsoft.com/de-de
www.vmware.com/de
Alle Marktübersichten finden Sie unter www.lanline.de/marktuebersicht.
News
Adaptivas Schwachstellen-Management-Lösung Evolve VM
Tausende Endpunkte in Minuten nach Lücken scannen
Das Schwachstellen-Management-Tool Evolve VM untersucht laut Hersteller
Adaptiva automatisch Tausende Endpunkte in wenigen Minuten. Bild: Adaptiva
Das Schwachstellen-Management-Tool
Evolve VM untersucht
laut Hersteller Adaptiva
automatisch Tausende Endpunkte
in wenigen Minuten
und beseitigt Schwachstellen
gleich nach deren Entdeckung.
Für die schnelle Behebung der
Abweichungen vom Soll-Wert
nutzt Adaptiva hauseigene
Peer-to-Peer-Technik. Dank
dieser, so das Softwarehaus,
könne die Lösung skalieren,
ohne dabei die Performance
des Unternehmensnetzwerks
zu schmälern. Im aktuellen Release
bietet das Tool laut Hersteller
Tausende Status-, Compliance-
und Schwachstellenprüfungen
für Windows-Systeme.
Zur Unterstützung der
Compliance-Assessments importiere
es Inhalte des NIST
via SCAP (Security Content
Automation Protocol), zudem
unterstütze es OVAL (Open
Vulnerability Assessment Language)
für den Informationsaustausch.
Mittels einer integrierten
grafischen Orchestrierungs-Engine
könne man neue
Scans und Behebungsmaßnahmen
visuell gestalten. Evolve
VM lasse sich in Fremdsysteme
wie ServiceNow integrieren
und dadurch in vorhandene
Prozesse einbinden. Evolve
VM läuft auf Adaptivas hauseigener
Evolve-Plattform. Bestandskunden
benötigen damit
lediglich einen Lizenzschlüssel
für die Nutzung des Tools. wg
Info: Adaptiva
Web: www.adaptiva.com
Riverbed stellt SteelConnect EX vor
SD-WAN plus Sicherheit plus App-Beschleunigung
Riverbeds neue Softwarelösung
SteelConnect EX vereint SD-
WAN (Software-Defined WAN)
mit integrierter Anwendungsbeschleunigung
und Security-Services.
Damit will es Riverbed
Unternehmen erleichtern, selbst
bei großen und komplexen Netzen
die Herausforderungen der
Netzwerktransformation zu bewältigen.
Riverbed SteelConnect
EX soll dabei mittels eines
Carrier-Grade-Routing-Stacks
sicherstellen, dass das SD-WAN
mit Bestandsnetzwerken interoperabel
ist. Der Baustein Steel-
Connect EX SD-WAN erlaube
es, WAN-Kapazität kosteneffizient
auszubauen. Außerdem
könne man neue Zweigstellen
schneller anbinden und Anwendungen
sowie Prozesse optimieren.
Das Modul SteelConnect
EX App Acceleration stelle Anwendungsbeschleunigung
und
Optimierungsfunktionen bereit.
SteelConnect EX Security wiederum
sorge für vollständig integrierte,
mehrstufige Security-Services.
Zudem hat Riverbed
seine NPM-Lösung (Network-Performance-Management)
deutlich erweitert. Die
Software umfasse jetzt neue
Cloud-Monitoring-Funktionen
für bessere Performance-Kontrolle
in Private-, Hybrid- und
Multi-Cloud-Umgebungen. wg
Info: Riverbed
Web: www.riverbed.com
Riverbeds NPM-Lösung umfasst neue Cloud-Monitoring-Funktionen. Bild: Riverbed
www.lanline.de LANline 1/2020 35
Schwerpunkt: End-User Computing
KI-gestützte Endpunktsicherheit
Dem Angreifer voraus
Künstliche Intelligenz (KI) erscheint vielen als Allzwecklösung für
Herausforderungen der digitalen Welt. Ganz so einfach ist es
jedoch nicht. Häufi g ist es erst das Zusammenspiel zwischen
Mensch und Maschine, das den Einsatz künstlicher Intelligenz zum
Erfolg führt, so zum Beispiel beim Schutz von Endpunkten.
Knapp ein Drittel (30 Prozent) aller deutschen
Unternehmen ist bereits Opfer eines
Ransomware-Angriffs geworden. 29 Prozent
gaben an, dass sie schon Hacking-
Versuche beobachtet haben, diese aber abwenden
konnten. Das geht aus einer Studie
von KPMG und Kantar Emnid hervor. Auf
globaler Ebene kommt CrowdStrike in seinem
Overwatch Report 2019 zu dem Ergebnis,
dass kriminelle Aktivitäten 61 Prozent
aller bislang in 2019 beobachteten
Angriffe ausmachen. Allerdings sind auch
Angriffe durch Nationalstaaten nicht zu
unterschätzen. Besonders die Endpunkte
des Unternehmensnetzwerks sind in Gefahr.
Denn die meisten erfolgreichen Cyberangriffe
gehen auf menschliches Fehlverhalten
zurück – zum Beispiel auf Anwender,
die auf eine Phishing-E-Mail reagieren.
Zudem sind die Endpunkte häufig
auch schlechter geschützt als andere Teile
der IT-Infrastruktur.
Antivirenprogramme nutzt praktisch jedes
Unternehmen. Auf die immer intelligenteren
Angriffe wissen jedoch viele keine ausreichende
Antwort. Moderne Security-Lösungen
gehen längst mehrere Schritte weiter
und setzen auf einen vielschichtigen
Ansatz, der Virenabwehr mit der Analyse
von Angriffsindikatoren, Verhaltensanalyse
sowie menschlicher und künstlicher Intelligenz
kombiniert.
Die klassische Virenabwehr setzte auf die
Auswertung von Signaturen. Dafür werden
„Fingerabdrücke” von Malware erstellt,
die für das Schadprogramm charakteristische,
einzigartige Eigenschaften auflisten.
Antivirenprogramme nutzen diese
Merkmale, um Malware auf der Festplatte,
im Arbeitsspeicher oder im Netzwerk-
Traffic (Indicators of Compromise, IoCs)
zu identifizieren. Der signaturbasierte Ansatz
birgt jedoch mehrere Nachteile: Signaturen
gibt es lediglich für bekannte
Schadprogramme, Sicherheitsbeauftragte
müssten Schutzsysteme deshalb täglich
aktualisieren. Angreifer können einen rein
signaturbasierten Ansatz schon mit geringfügigen
Anpassungen der Schadsoftware
umgehen. Außerdem haben sich die Bedrohungsszenarien
in den letzten Jahren
stark verändert und sind vielfältiger geworden
– die schiere Menge an Malware
zuverlässig mit klassischen Malware-Signaturen
abzudecken ist schlicht unmöglich.
Und schließlich kommen auch immer
mehr Angriffe ohne Malware aus: Angreifer
spionieren beispielsweise Zugangsdaten
aus und missbrauchen diese, um sich
im Unternehmensnetz „seitwärts“ von Maschine
zu Maschine zu bewegen (Lateral
Movement).
Deswegen setzen viele Unternehmen auf
einen heuristischen Ansatz. Dabei beschreibt
ein von Experten erstelltes Regelwerk
die Eigenschaften bösartiger Dateien.
Dieses Verfahren macht die Virenerkennung
deutlich flexibler, weil es die
Merkmale zur Identifikation breiter interpretiert
und nicht nach einer bestimmten
Zeichenfolge im Code sucht. Auch diese
Heuristiken sind jedoch permanent anzupassen,
und auch sie basieren stets auf bereits
bekannten Merkmalen von Schadprogrammen.
Die Arbeit mit Heuristiken stößt
deshalb relativ schnell an ihre Grenzen:
Zum einen müssen die Regeln breit genug
gefasst sein, um eine ausreichende Abdeckung
neuer Schadsoftware zu erzielen;
zum anderen müssen sie eng genug formuliert
sein, um nicht irrtümlich legitime Dateien
als Schadsoftware einzuordnen.
Mit dem großen Volumen an neuer Schadsoftware
und der großen Variation an legitimen
Applikationen ist dies zudem eine
außerordentliche Herausforderung für manuell
generierte Regeln.
Die Herausforderung beim Machine Learning
liegt darin, eine Entscheidungsgrenze für
Instanzen zweier Klassen – etwa normaler
Code/Schadcode – zu etablieren. Bild: Crowdstrike
36 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
Die statistische Analyse umfangreichen Datenmaterials erlaubt es ML-gestützter Security-Software,
eine Schwelle für die Schadcode-Differenzierung zu finden.
Bild: Crowdstrike
Das heuristische Vorgehen ist unabdingbar,
greift jedoch heute zu kurz. Deshalb
entwickeln Sicherheitsexperten den heuristischen
Ansatz konsequent weiter und
setzen dabei auf künstliche Intelligenz –
genauer gesagt auf maschinelles Lernen
(ML). Algorithmen ersetzen dabei die manuelle
Auswertung. Der Vorteil: Die Algorithmen
können riesige Datenmengen mühelos
kategorisieren, analysieren und auswerten.
An die Stelle des statischen Regelmodells
tritt damit ein statistisches Modell,
das zwischen Bedrohungen und legitimer
Nutzung differenzieren kann. Dieser erweiterte
Ansatz vergrößert gleichzeitig die
Möglichkeiten der Angriffsabwehr: KI
kann helfen, frühzeitig selbst unbekannte
Angriffe zu entdecken.
Dies liegt überwiegend an einem Vorteil
des ML-Ansatzes: an der großen Datenmenge,
die sich so verarbeiten lassen. Und
zwar in doppelter Hinsicht: Zum einen gelingt
es mit vielen Daten besser, Trends
und Unregelmäßigkeiten zu erkennen. Gerade
cloudbasierte Lösungen können beispielsweise
die Daten und Ereignisse von
Angriffen aus verschiedenen Systemen
weltweit in die Analyse einbeziehen. Das
verringert die Chance deutlich, dass Angreifer
einen Virus verbreiten oder einen
neuen Angriffsvektor nutzen können. Die
Skalierungsflexibilität der Cloud ermöglicht
es, eine größere Anzahl und Vielfalt
von Datensätzen in die Analyse einzubeziehen.
Zum anderen lassen sich auch
mehr Attribute und Merkmale pro Datensatz
in die Analyse einbeziehen, um eine
größere Datenbasis zu generieren. Individuelle
Datensätze können daher komplexer
sein und mehr Informationen beinhalten.
Dies ermöglicht eine globale Bedrohungsanalyse
und bringt sogar schwache
Bedrohungssignale ans Licht.
Im Bereich der Cyberabwehr ist KI keine
einzelne Anwendung, die bisherige
Schutzmaßnahmen ablöst. Vielmehr handelt
sich um ein neue Art von Werkzeugen,
die allesamt helfen, mehr Angriffe zu erkennen
und Wege zu finden, diese zu vereiteln.
Das übergeordnete Ziel dieser KI-Lösungen
ist es, Bedrohungen zu erkennen,
selbst wenn keine klassischen Indikatoren
vorliegen – also auch in den Fällen, in denen
signaturbasierte Ansätze oder IoC-
Heuristiken nicht greifen, da die Malware
keiner bisher bekannten Familie zuzuordnen
ist. Hier kommt der große Vorteil der
maschinellen Datananalyse zum Tragen.
Die reine Integration eines ML-Algorithmus
in ein Anti-Virus-Tool ist dabei das
kleinere Problem. So bietet der Markt inzwischen
einige Lösungen, die datenbasierte
Entscheidungen unterstützen. Die
wirkliche Herausforderung ist das Training
der Algorithmen: Wie werden sie
schlauer als die Angreifer? Hier gilt: Viel
hilft viel – je größer die Trainingsdatenmenge,
desto besser. Marktführende Sicherheitslösungen
analysieren jeden Tag
Hunderte Milliarden Ereignisse. Diese
Analyseergebnisse fließen in das KI-Training
ein und erlauben es den Trainingsalgorithmen,
akkurate statistische Prognosen
zu erstellen. Die Datenbasis ergänzt
man dazu kontinuierlich mit aktuellen Daten,
Erfahrungen und Rückschlüssen.
Eine umfassende, aktuelle Datenbasis ist
das A und O, will man die fortschrittlichsten
und neuesten Bedrohungen erkennen.
Denn jeder zusätzliche Datensatz liefert
ein weiteres kleines Puzzlestück für die
Beurteilung einer Bedrohungslage. Anti-
Malware-Werkzeuge sind demnach heute
weit mehr als eine Software, die regelmäßig
aktualisiert wird: Viren- und Bedrohungsabwehr
erfordern einen streng definierten
Prozess mit möglichst vielen qualitativ
hochwertigen Datenquellen und
Rückkopplungsschleifen.
KI ist kein Allheilmittel, sondern unterliegt
Limitationen. Die Algorithmen sind sehr
komplex, die Berechnungen deshalb fehleranfällig
und nicht immer eindeutig interpretierbar.
Sicherheitsexperten in Unternehmen
sollten die Ergebnisse deshalb immer
im Auge behalten und mit der eigenen
Expertise prüfen, ob die Ergebnisse Sinn
ergeben. Gute KI-Lösungen renommierter
Sicherheitsanbieter arbeiten deshalb immer
Hand in Hand mit menschlichen Sicherheitsexperten.
Denn dabei lernt die
Maschine vom Menschen und umgekehrt
der Mensch von der Maschine.
Dennoch: An einer KI-gestützten Lösung
zum Schutz der Endpunkte wird künftig
kein Unternehmen vorbeikommen. Cyberbedrohungen
nehmen sprunghaft zu, und
nicht nur die Sicherheitslösungen machen
Fortschritte, sondern auch die Angreifer.
Ob Nationalstaaten oder professionelle
kriminelle Angreifer, beide verfolgen heutzutage
konkrete Ziele, und den meisten ist
jedes Mittel recht, um diese zu erreichen.
KI ist eine leistungsstarke Ergänzung im
Bereich der Cybersecurity.
Dr. Sven Krasser/wg
Dr. Sven Krasser ist Chief Scientist bei CrowdStrike,
www.crowdstrike.com.
www.lanline.de LANline 1/2020 37
Schwerpunkt: End-User Computing
Mobile-Content-Management
Container vs. native
Datentrennung
Im Unternehmen sind Notebooks, Tablets und Smartphones
mittlerweile der Standard. Die Entwicklung kommt dem Wunsch
von Arbeitnehmern nach mehr Flexibilität und einer verbesserten
Work-Life-Balance entgegen. Gleichzeitig ist sie auch im Sinn der
Arbeitgeber. Da diese heute mehr denn je um junge Talente werben,
müssen sie sich möglichst attraktiv präsentieren. Zudem
versprechen sie sich von zunehmender Flexibilität auch mehr
Agilität. Doch das Mobile Offi ce hat auch seine Schattenseiten,
insbesondere bezüglich der Datensicherheit.
Bei der Bereitstellung unternehmenseigener
IT für die Nutzung in den eigenen vier
Wänden oder unterwegs gehen Struktur
und Kontrolle schnell verloren: IT-Administratoren
sehen sich mit der privaten
Nutzung dienstlicher Geräte und umgekehrt
konfrontiert. Dies erschwert die Abgrenzung
betrieblicher Daten, das Risiko
der Abwanderung vertraulicher Informationen
steigt.
Gefährliche Grauzone
Bei der Nutzung von Smartphones entsteht
eine Grauzone, da viele Anwender es mit
dem Datenschutz nicht immer so genau
nehmen. Zu verlockend ist es, das Diensthandy
am Wochenende oder im Urlaub im
Büro zu lassen und die E-Mails auf dem
privaten Handy zu checken oder doch mal
eine WhatsApp-Message an Kollegen oder
Kunden zu verschicken. Umgekehrt ist es
praktisch, das Diensthandy auch mal zu
nutzen, um eine private Nachricht zu senden
oder ein privates Anliegen wie eine
Online-Bestellung zu erledigen. Um
dienstliche von privaten Daten auf mobilen
Endgeräten wirksam zu trennen, wählen
Unternehmen oft Containerlösungen. Der
Mitarbeiter kann dabei auf seinem Smartphone
Unternehmensdaten nur innerhalb
einer geschützten Umgebung bearbeiten,
und datenschutzrechtlich fragwürdige
Apps können nicht auf dienstliche Kontaktdaten
zugreifen.
Jedoch hat diese im Prinzip gute Lösung
einige eklatante Nachteile. Unabhängig
davon, ob der Anwender sein Endgerät
vorrangig privat oder dienstlich nutzt,
müssen Administratoren jeden Container
verwalten. Das Einspielen von System-
Updates kann nur in enger Ansprache mit
dem Hersteller erfolgen. In letzter Konsequenz
entstehen so eine höhere Abhängigkeit
und vermeidbare Betriebskosten. Zudem
haben diese Container meist nur rudimentäre
Möglichkeiten zur Bearbeitung
von Dokumenten, zum Datenaustausch
und zur Zusammenarbeit mit anderen
Apps – ganz zu schweigen davon, dass
eine solche Container-App auch zwangsläufig
mit einer veränderten Benutzerfreundlichkeit
einhergeht. Deshalb zögern
einige Nutzer, die darin vorhandenen Anwendungen
für E-Mail, Kontakte und Kalender
anzunehmen und zu nutzen.
Containerlösungen erschweren folglich in
vielerlei Hinsicht das mobile Arbeiten,
statt es – wie ursprünglich beabsichtigt –
zu erleichtern.
Datentrennung und Onboarding
Eine Alternative ist ein EMM-Werkzeug
(Enterprise-Mobility-Management), das
ohne Container arbeitet und bei der Datentrennung
am Betriebssystem selbst ansetzt.
So gibt es im Bereich Android Enterprise
die Pakete „Work Profile“ und „Fully Managed
Device“. Nutzt der IT-Administrator
die Profile, können sie die Endgeräte im
für dienstliche Belange vorgesehenen Bereich
kontrollieren. Hier deckt das EMM
neben dem von Google geforderten Mindestumfang
die Kundenanforderungen an
Sicherheitseinstellungen und konfigurierbare
Einschränkungen ab. Bei der Nutzung
eines Containers oder einer gekapselten
Anwendung sind Administratoren zudem
stets vom Hersteller bei der Implementierung
neuer System-Updates abhängig,
während eine native Lösung integraler Bestandteil
der Firmware ist. Zum Einspielen
der Updates verwendet eine solche EMM-
Plattform die vom jeweiligen Hersteller
Android unterstützt mit Android Enterprise eine
Unterteilung in privaten und geschäftlich
genutzten Bereich des Betriebssystems.
Bild: Baramundi
38 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
des Mobilgeräts bereitgestellte Management-Schnittstelle.
Im Idealfall ergänzt die
Management-Plattform den Standardumfang
um zusätzliche Funktionen, bereitgestellt
etwa durch einen eigenen Agenten.
Ein derartiges Management-System bietet
ferner mehrere Methoden, um die verschiedenen
Betriebssysteme der Mobilgeräte in
Rahmen eines Enrollments zu koppeln:
iOS-Geräte lassen sich so im Optimalfall
direkt beim Bestellvorgang anlegen. Dazu
reicht es, dass der Benutzer sein Gerät einschaltet,
damit es automatisch dem Management
beitritt. Zusätzlich besteht die
Möglichkeit, dass Mitarbeiter mit einem
noch nicht integrierten iOS-Gerät einen
QR-Code scannen und es in das Management
einschreiben. Bei Android-Geräten ist
die Erfassung ähnlich unkompliziert: Die
Management-Suite kann Android-Geräte
direkt bei der Inbetriebnahme als „Fully
Managed Device“ aufnehmen oder zu einem
späteren Zeitpunkt mit dem „Work
Profile“ hinzufügen. Beide Fälle erfordern
ebenfalls den Scan eines QR-Codes.
Windows 10 bietet mit Windows Information
Protection (WIP) seit Version 1603
und Windows Autopilot seit Version 1703
ähnliche Optionen für Datentrennung und
einfaches Enrollment. Um WIP einsetzen
zu können, bedarf es im Unternehmen einer
geeigneten Management-Lösung. Administratoren
können mit WIP Datenrichtlinien
durchsetzen, die Datenweitergabe
im Unternehmen steuern sowie geschäftlich
genutzte Daten und Apps unabhängig
von privaten Elementen administrieren
und gegebenenfalls zurücksetzen.
Windows Autopilot ist seit Version 1703
verfügbar und setzt Azure Active Directory
voraus, um eine „Out of Box Experience“
(OOBE) beim Enrollment von Notebooks
und PCs zu ermöglichen. Microsoft ist mit
diesen Optionen später als die Mobilplattformen
auf den Markt gekommen – und
dies wohl nicht ohne Grund: Während das
Management von Smartphones und Tablets
von Anfang an Fragen nach Trennung
von privaten und geschäftlichen Daten und
OOBE aufgeworfen haben, waren diese
Themen beim klassischen PCs bisher mit
eher niedriger Priorität angesiedelt.
Sauber aufgeräumt
Mittels des nativen Ansatzes existieren Arbeits-
und Privatprofil sauber getrennt voneinander.
Der Anwender erkennt geschäftliche
Daten anhand eines entsprechenden
Symbols und kann die Informationen aus
den verschiedenen genutzten Kreisen nicht
mehr unbeabsichtigt vertauschen. Entsprechend
weiß er jederzeit, in welcher Umgebung
er sich gerade befindet. Dabei spielt
auch Verschlüsselung eine große Rolle.
Durch den passwortgeschützten Zugang
kann das System nicht nur verhindern,
dass der Anwender Bereiche verwechselt,
sondern auch, dass Unbefugte bei Verlust
des mobilen Endgerätes auf die Daten zugreifen.
Zusätzlich schiebt das Management-System
privat genutzten Anwendungen
einen Riegel vor: Administratoren
können von Haus aus unterbinden, dass
Anwender vertrauliche Unternehmensinformationen
zum Beispiel über ihr privates
WhatsApp-Konto versenden. Doch auch
der Nutzer gewinnt für seine eigenen Daten
an Sicherheit: Befinden sich diese nicht
im vom Unternehmen administrierten Bereich,
können IT-Verantwortliche nicht darauf
zugreifen. Sie besitzen lediglich Zugriff
auf den vom Firmenprofil definierten
Bereich, den sie über das Mobile-Device-
Management ändern oder löschen können.
Zudem können Administratoren die von
ihnen definierten „Pflichtanwendungen“
ohne Konfigurationskonflikte mit dem privaten
Profil auch im geschäftlichen Profil
installieren. Diese Unterteilung in zwei
Ein Mobile-OS mit nativer Datentrennung sorgt
für Orientierung, indem es geschäftliche Apps
und Ordner mittels Icons kenntlich macht.
Bild: Baramundi
App-Zonen dient nicht zuletzt der Sicherheit
der Arbeitsumgebung auf dem Smartphone:
Manche frei verfügbare App kommt
trotz Überprüfung in der Download-Plattform
der Betriebssystemhersteller mit Programmierfehlern,
die die Stabilität der
Umgebung beeinträchtigen können. Zugleich
verlangen viele Apps Zugang zu
den Funktionen des Mobilgeräts, die sie
für ihren Programmablauf nicht benötigen
und lediglich zur Datensammlung nutzen.
Insbesondere im Hinblick auf Anwendungen,
die in der Vergangenheit durch einen
eher laschen Umgang mit dem Datenschutz
auffällig geworden sind, ist dieser
Zugang problematisch. Eine saubere Unterteilung
in dienstlich und privat genutzte
Daten ist nicht zuletzt aus Datenschutzgründen
im ureigensten Interesse des Unternehmens.
So könnten Mitarbeiter wenig
begeistert reagieren, wenn ihr Arbeitgeber
plötzlich Zugriff auf private Daten hat.
Zwar ist eine solche Trennung auch durch
Containerlösungen gewährleistet, doch
demgegenüber stehen die erwähnten technischen
Nachteile dieser Option.
Zusätzlich bietet eine ausgereifte Management-Plattform
Funktionen, die eine
schlichte Nutzung von Containern nicht
vorsieht. So inventarisiert sie Rechner wie
auch Netzwerkumgebung und ermöglicht
die automatisierte Installation und Aktualisierung
des Betriebssystems. Ebenso stattet
sie das System mit den benötigten Anwendungen
aus, die der IT-Administrator
gemäß standardisierten Anwendungsszenarien
definiert hat. Um jederzeit den sicheren
Betrieb der Systeme zu gewährleisten,
stellt das Management-System die aktuellen
Updates und Patches für Standardsoftware
zur Verteilung bereit und
informiert über den aktuellen Zustand des
gesamten Netzwerks und einzelner Endpoints.
Insgesamt sollten IT-Verantwortliche
ein natives Datentrennungsmodell
dem containerbasierten Ansatz vorziehen.
Mehr Sicherheit, eine striktere Datentrennung
und weitaus bessere Performance
sollten keine Fragen mehr offenlassen.
Alexander Haugk/wg
Alexander Haugk ist Produkt Manager bei
Baramundi Software, www.baramundi.de.
www.lanline.de LANline 1/2020 39
Schwerpunkt: End-User Computing
Anforderungen an ein EMM-Tool
Sichere Nutzung
mobiler Endgeräte
Die Allgegenwart von Smartphones und ähnlichen mobilen Endgeräten
stellt IT-Teams vor riesige Herausforderungen. Sind die
Geräte nicht gesichert, drohen Konsequenzen aus mehreren
Perspektiven, darunter Datenverlust oder -missbrauch, Geräteausfall
und damit verbunden der Verlust der vorher gewonnenen
Produktivität oder Kundenzufriedenheit. Die Frage lautet also, wie
man diese Geräte am besten betriebssystemübergreifend absichert
und dabei den Datenschutz gemäß DSGVO (Datenschutz-
Grundverordnung) garantiert.
Jedes Mobilgeräte-Betriebssystem verfügt
über eine Art integrierten Basisschutz. Für
sehr kleine Unternehmen reicht dieser womöglich
aus. Jedoch ist das Management
und der sichere Betrieb vieler Geräte, die
womöglich unter verschiedenen Betriebssystemen
und mitunter an verschiedenen
Standorten, zumindest aber außerhalb des
Firmengeländes zum Einsatz kommen,
eine enorme Herausforderung für die IT-
Abteilung.
Android, das verbreitetste Mobilgeräte-
Betriebssystem, war ursprünglich als Verbraucherprodukt
positioniert. Allerdings
hat Google ständig neue Sicherheits- und
Verwaltungsverbesserungen eingeführt,
um sein Linux-basiertes Betriebssystem
unternehmensfreundlicher zu machen –
Stichwort Android Enterprise. Die Fragmentierung
von Android-Geräten und Betriebssystemversionen
macht die Entwicklung
von Apps aufwendiger – auch die Sicherheit
von Daten bleibt als Aufgabe
bestehen. Auf Betriebssystemebene bietet
Android die gleiche Sicherheit wie der Linux-Kernel:
Es bietet eine Anwendungs-
Mobilgeräte-Betriebssysteme – im Bild Android Enterprise – bieten heute diverse Funktionen, um
die Geräteverwaltung zu erleichtern. Im Unternehmensalttag reicht dies jedoch nicht aus. Bild: Google
Sandbox, einem verifizierten Boot-Vorgang,
eine Rooting-Erkennung sowie
Kryptografiewerkzeuge. Android-Geräte
bieten umfassende Unterstützung für gängige
Lösungen zur Geräte- und App-Verwaltung.
Manche Hardwarehersteller, die
Android für ihre Geräte nutzen, haben proprietäre
APIs implementiert, um zusätzliche
Verwaltungs- und Sicherheitsfunktionen
hinzuzufügen.
Android vs. iOS vs. Windows 10
Apples App-Ökosystem wiederum ist umfangreich,
und die iOS-App-Entwicklung
ist die einfachste aller großen Mobilgeräte-
Plattformen. Apple VPP (Volume Purchase
Program) gestaltet die Bereitstellung und
Verwaltung von Unternehmensanwendungen
schnell und einfach. Zudem gibt es
keine Gerätefragmentierung, da ausschließlich
Apple selbst Geräte mit iOS
entwickelt und vermarktet. Das Betriebssystem
bietet Tools, um die Geräte- und
Datensicherheit zu gewährleisten: eine sichere
Startkette, Mehr-Faktor-Authentifizierung,
AES-256-Verschlüsselung und
eine Vielzahl weiterer Sicherheitsfunktionen.
iOS bietet eine breite Auswahl an
Funktionen zum Verwalten von Geräten
inklusive Apps, während Apple DEP (Device
Enrollment Program, neuerdings ersetzt
durch Apple Business Manager) sowie
Configurator die Geräteregistrierung
und -bereitstellung beschleunigen.
Bei Windows 10 schließlich sorgt die Strategie
„Eine Windows-Plattform“ für ein
einheitliches Betriebssystem für alle Geräte-Formfaktoren.
Diese Strategie umfasst
die Universal Windows Platform (UWP),
mit der Entwickler universelle Apps erstellen
können, die auf allen Plattformen und
Geräteklassen funktionieren. Mit UWP
lassen sich Apps für jeden Formfaktor einfach
entwickeln. Microsoft Windows 10
enthält viele Funktionen, die es ideal für
Unternehmen machen. Im Bereich der mobilen
Geräte findet Windows 10 bei der
Augmented-Reality-Brille Hololens Verwendung.
Technologiestrategie nötig
Angenommen, ein Mitarbeiter erhält von
seinem Unternehmen zwei mobile Geräte,
40 LANline 1/2020 www.lanline.de
Schwerpunkt: End-User Computing
mit denen er von überall aus arbeiten kann:
ein Smartphone und ein Tablet. Für ein
Unternehmen mit 500 Mitarbeitern sind
das 1.000 Geräte – teils direkt im Unternehmen
im Einsatz, teils dort, wo sich der
Mitarbeiter gerade befindet. Es ist unmöglich,
diese Anzahl an mobilen Geräten, die
ein Unternehmen normalerweise bereitstellt,
manuell zu verwalten und zu sichern.
Deshalb ist eine Strategie erforderlich,
die sicherstellt, dass das Unternehmen
kontinuierlich die fortschrittlichste
Mobilitäts- und IoT-Lösung implementiert,
um seinen Mitarbeitern die optimale
und zugleich sichere Nutzung mobiler
Technologien zu ermöglichen.
Teil dieser Strategie muss es sein, Richtlinien
für die Zuweisung und Verwendung
von Mobilgeräten und Apps im Unternehmen
festzulegen. Derlei Richtlinien beantworten
wichtige Fragen, beispielsweise
wer innerhalb des Unternehmens welche
Art von Mobilgerät (Laptop, Tablet oder
Smartphone) erhalten und nutzen soll.
Welche Apps benötigen Mitarbeiter, wer
darf selbst Apps installieren? Wer erhält
Zugriff auf welche Dokumente und Dateien,
und von wo aus darf man darauf zugreifen?
Hat ein Unternehmen diese Fragen
beantwortet, gilt es, alle Geräte effizient
zu verwalten, zu überwachen und zu
warten. Dies fügt den Faktoren, die bei der
Implementierung zu berücksichtigen sind,
eine weitere Komplexitätsebene und neue
IT-Herausforderungen hinzu.
EMM-Werkzeuge helfen
Sind die Richtlinien erstellt, sollte das Unternehmen
eine EMM-Lösung (Enterprise-
Mobility-Management) implementieren,
um alle mit dem Netzwerk verbundenen
Endpunkte zu verwalten. Die EMM-Software
steuert die Gerätesicherheit, verwaltet,
wer welche Apps und Inhalte erhält,
und ermöglicht die Behebung von Gerätestörungen
aus der Ferne – und das über
deren gesamten Lebenszyklus hinweg: von
der Inbetriebnahme und der ersten Absicherung
des Geräts über dessen Überwachung
und Steuerung während des täglichen
Gebrauchs bis zur Stilllegung. Für
jede Phase des Mobilgeräte-Lebenszyklus
empfiehlt sich eine Reihe von Best Practices,
um Sicherheitsbedrohungen für Mobilgeräte
zu reduzieren.
Essenziell ist zunächst die Möglichkeit einer
Inventarisierung aller im Einsatz befindlichen
mobilen Endgeräte. Denn nur so
lässt sich jederzeit feststellen, welche Geräte
innerhalb des Unternehmens tatsächlich
Verwendung finden und inwieweit diese
Zugang zu Unternehmensdaten, E-
Mail-Verkehr und anderen sensiblen Informationen
haben. Auch einer intelligenten
Rechtezuweisung kommt eine besondere
Bedeutung zu. Sie entscheidet darüber,
welche Legitimation ein bestimmtes Gerät
besitzt, zum Beispiel in welchem Maße es
Zugang zum Netzwerk oder Zugriffsrechte
auf Daten hat.
Bei Verlust oder Diebstahl muss sich ein
Gerät durch ein Geo-Tracking jederzeit
wiederfinden und gegebenenfalls sperren
lassen, um Unternehmensdaten zu schützen.
Weitere wichtige Schutzmechanismen
sind das sogenannte Geo-Fencing und ein
integrierter Lockdown-Modus. Beim Geo-
Fencing handelt es sich um eine Technik,
die Daten lediglich in einem ausgewählten
Bereich abrufbar macht, beispielsweise
nur auf dem Unternehmensgelände. Verlässt
ein Endgerät dieses klar definierte
Areal, verweigert die EMM-Software den
Zugriff auf die Informationen automatisch.
Durch den Lockdown-Modus lassen sich
auf allen Geräten nur genehmigte Applikationen
verwenden, während nur das IT-
Team Einstellungen vornehmen kann. Dies
kann Datenmissbrauch durch Malware
verhindern und die Weitergabe sensibler
Informationen an organisationsfremde
Apps unterbinden. Darüber hinaus sollte
die EMM-Lösung einen sicheren Browser
oder vordefinierte Einstellungen bieten,
um Man-in-the-Middle-, Phishing- und
Social-Engineering-Angriffe zu minimieren.
Ein EMM-Tool kann zudem die Verwendung
komplexer Kennwörter erzwingen
und kritische von nicht kritischen Daten
trennen.
Um all diese Funktionen einfach und zentral
steuern zu können, muss das IT-Team
im Fernwartungsmodus ortsunabhängig
auf alle Geräte zugreifen und eventuell
auftretende Probleme beheben können.
Darüber hinaus muss es möglich sein, sicherheitsrelevante
Updates für ein Gerät
und die verwendeten Apps zu installieren
und so Sicherheitslücken schnell zu schließen.
Zudem sollte das IT-Team jederzeit
Einblick in umfassende Analysen zur Gesamtleistung
des Geräts haben, einschließlich
der Leistung des Akkus, der Daten-,
Netzwerk- und App-Nutzung beziehungsweise
Nutzungsdauer sowie des Gerätestandorts.
All diese Faktoren tragen zur effektiven
Verwaltung von Unternehmensgeräten
bei und bieten der IT-Organisation
im Idealfall die Möglichkeit, Geräteprobleme
zu identifizieren und zu lösen, noch
bevor sie auftreten.
Fazit: Bordmittel reichen nicht
Diese Überlegungen verdeutlichen: Die
manuelle Verwaltung der Geräte, die ein
Unternehmen bereitstellt, oder die Verwendung
integrierter Bordmittel reichen
nicht aus, um sicherzustellen, dass Mobility-
und IoT-Initiativen sicher und kosteneffizient
bleiben. Ein Unternehmen benötigt
vollständige Transparenz und Kontrolle
über seine Mobil- und IoT-Geräte. Von der
Bereitstellung über die Verwaltung und
Überwachung bis hin zur Wartung muss
das Unternehmen in der Lage sein, seine
Mitarbeiter stets einsatzbereit zu halten.
Moderne Mobilgeräte haben dazu beigetragen,
unsere Arbeitsweise grundlegend
zu verändern und so Effektivität wie auch
Produktivität zu steigern.Die zunehmende
Vernetzung birgt jedoch auch ein erhöhtes
Sicherheitsrisiko wie etwa die Kompromittierung
vertraulicher Daten. Leistungsstarke
Mobility- und IoT-Management-Lösungen
tragen dazu bei, dieses Risiko auf
ein Minimum zu reduzieren und das technische
Potenzial der Geräteinfrastruktur
auszuschöpfen. Die Management-Plattform
sollte deshalb alle erforderlichen
Komponenten für das Enterprise-Mobilityund
IoT-Management integrieren und die
Kernprobleme lösen, mit denen das Unternehmen
konfrontiert ist. So kann man Ausfallzeiten
minimieren, Kosten reduzieren
und die Produktivität wie auch die Effizienz
steigern. Stefan Mennecke/wg
Stefan Mennecke ist Vice President Sales Central
and Eastern Europe bei SOTI, www.soti.net.
www.lanline.de LANline 1/2020 41
Technik
Schutz für Legacy-Systeme
Aus Alt mach Sicher
Legacy-Betriebssysteme spielen in vielen Unternehmen nach wie
vor eine wichtige Rolle. Eine besondere Herausforderung stellt ihr
Schutz dar. Mit einigen einfachen Maßnahmen können Unternehmen
allerdings auch die mit kritischen Anwendungen bestückten
Altsysteme spürbar sicherer machen.
Aktuelle Betriebssysteme umfassen in aller
Regel einen Basisschutz in Form eines
signaturbasierenden Virenscanners, zum
Beispiel Microsoft Windows 10 mit Windows
Defender. Dieser bietet zudem eine
Verhaltenserkennung und kann damit auch
Zero-Day-Malware aufspüren. Anders
sieht es aber bei Legacy-Betriebssystemen
aus, auf denen zahlreiche kritische Anwendungen
laufen. So sind Microsoft Windows
2000, 2003, NT oder XP immer noch
in vielen Unternehmen im Einsatz. Gerade
im industriellen Umfeld kommen Windows
XP für Scada-Anwendungen (Supervisory
Control and Data Acquisition) sowie
Windows 2000 oder NT-Server für ältere
Anlagensteuerungen weiterhin als
Standard-Basissysteme zum Einsatz. Für
diese älteren Betriebssysteme gibt es meist
weder Updates noch Patches. Auch eine
Überprüfung auf Schadsoftware erfolgt in
den wenigsten Fällen.
Selbst wenn Patches zur Verfügung stehen,
ignoriert das Anwenderunternehmen sie
oft. Der Grund: Da das Patchen einen Neustart
und damit einen Ausfall des Geräts
zur Folge haben könnte, unterlassen viele
Systemverantwortliche solche aus Sicherheitssicht
eigentlich unerlässlichen Maßnahmen.
Einen Systemausfall will man
auch deshalb nicht riskieren, da die eigentliche
Funktion eines älteren Systems oft
nur teilweise bekannt ist. Für die IT-Verantwortlichen
sind die Folgen eines Ausfalls
für den laufenden Betrieb gar nicht
abschätzbar, deshalb lässt man lieber die
Finger davon. Es liegt auf der Hand, dass
solche Systeme für Angreifer perfekte Einfallstore
sind, zumal Systemlücken und deren
Ausnutzung zum Beispiel durch Remote-Trojaner
ausreichend dokumentiert
sind. Bester Beleg ist WannaCry: Die Erpressersoftware
befiel ältere Systeme, die
keinen Patch gegen SMB-Angriffe (Server
Message Block) aufwiesen.
So stellt sich die Frage, welche Maßnahmen
ein Unternehmen ergreifen kann, um
auch Legacy-Systeme ausreichend zu
schützen. Zunächst ist festzuhalten, dass
eine IT-Organisation nur schützen kann,
was sie auch sieht – oder genauer: erkennt.
Zudem will die jeweilige Kritikalität ermittelt
sein. Hilfestellung bieten hier Netzwerkscanner
und systemlokale Scanner.
Netzwerkscanner erkennen Betriebssysteme,
deren Version und die damit verbundenen
Schwachstellen. Sie sind in aktive und
passive Scanner zu unterscheiden. Aktive
Netzwerkscanner haben den Nachteil, dass
bereits ein einziger Scanvorgang einen
Systemausfall verursachen kann. Eine Alternative
bieten passive Scanner wie Tenables
Nessus Network Monitor oder die
Nutzung einer agentenlosen Security-Appliance,
wie sie beispielsweise Forescout
mit eyeSight liefert. Letztere erkennt vor
allem IoT-Geräte anhand des systemspezifischen
Verhaltens im Netzwerk. Passive
Scanner beeinflussen Systeme selbst im
Betrieb nicht und bieten Administratoren
einen wertvollen Überblick über laufende
Systeme, Anwendungen und mögliche
Schwachstellen.
Lösungen wie Cylance-
Protect erlauben
ML-basiert auch die
Absicherung von
Altsystemen.
Bild: BlackBerry/Cylance
42 LANline 1/2020 www.lanline.de
Technik
Systemlokale Scanner können je nach Zugang
und Zugriffsmöglichkeit – etwa von
einem Wechselmedium aus – den Zustand
eines Geräts erkennen und detailliert Auskunft
geben, welche Prozesse und Anwendungen
systemkritisch sind. Sogenannte
YARA Rule Scanner erkennen neben
Schwachstellen auch Malware, Rootkits
oder unerwünschte Software anhand vordefinierter
und spezifischer Muster (YARA
Rules). Neben dem frei verfügbaren Loki
Scanner gibt es den Thor Scanner von
Nextron Systems mit sehr genauen Systemanalysen,
die auch für forensische Untersuchungen
Verwendung finden. Im Hinblick
auf den Geräte- oder Systemschutz
selbst bieten sich dann Lösungen an, die
auf ML (maschinelles Lernen) basieren.
Sie ermöglichen die Erkennung von Malware
und unterbinden die Ausführung
schädlicher Prozesse. Für Legacy-Systeme
wie Windows XP und Windows Server
2003 etwa bietet sich CylanceProtect von
Cylance an (der Anbieter wurde Anfang
2019 von BlackBerry übernommen, d.
Red.). Die Software erkennt Schadprogramme
sicher und hat keine negative Auswirkung
auf Performance oder Anwendungen.
Von Vorteil ist, dass CylanceProtect
dank der ML-Engine weder regelmäßige
Updates noch eine permanente Internetverbindung
benötigt. Für die Malware-Erkennung
bei Betriebssystemen wie Windows
Embedded, die vor allem im Internet
der Dinge oft zum Einsatz kommen, empfiehlt
sich Symantecs Lösung Critical System
Protection.
Eine weitere Maßnahme zum Schutz von
Endgeräten ist das Application Whitelisting,
das seit Windows XP dafür sorgen
kann, dass das Betriebssystem nur erlaubte
Anwendungen ausführt. Die Whitelist ist
eine einfache Liste von Anwendungen, deren
Ausführung der Benutzer oder Administrator
gestattet hat. Wenn eine Anwendung
zu starten versucht, erfolgt ein automatischer
Abgleich mit dieser Liste. Falls
die Anwendung dort aufgeführt ist, ist ihr
die Ausführung erlaubt. Gegebenenfalls
muss die User Account Control oder ab
Windows XP der Administrator dies manuell
bestätigen.
Für mehr Sicherheit kann das IT-Team ein
Endgerät oder eine einzelne Anwendung
auch virtualisieren. Selbst bei älterer Hardware
ist es möglich, diese im laufenden
Betrieb einer virtuellen Maschine (VM)
zuzuweisen und damit das Gesamtsystem
als Einheit zu klonen. Als VM kann die IT
das Gerät oder die Anwendung dann mit
weniger Aufwand warten und sichern. Darüber
hinaus lassen sich einzelne Anwendungen
ab Windows XP in eine eigenständige
Umgebung isolieren, die nur dedizierte
Systemressourcen nutzt und gegen Angriffe
von außerhalb der Umgebung
geschützt ist (Sandboxing). Auf Servern
lässt sich dies mit Docker-Containern realisieren.
Ein Container fasst eine einzelne
Anwendung einschließlich aller Abhängigkeiten
wie Bibliotheken, Hilfsprogramme
oder statischen Daten in einer Image-
Datei zusammen, ohne aber ein komplettes
Betriebssystem zu beinhalten.
Abgesehen vom Gerät selbst lässt sich
auch der Weg zum System schützen. Zum
einen kann die IT-Organisation ein Gerät
in ein eigenes Netzwerksegment (VLAN)
verschieben. Zum anderen kann sie es mit
einem Netzwerk-IPS (Intrusion-Preven-
tion-System) vor äußeren Angriffen und
Einflüssen sichern. Ein modernes IPS wie
TippingPoint von Trend Micro hätte den
Ausbruch einer Schadsoftware wie WannaCry
sicher erkannt und durch TCP Resets
unterbunden.
Nicht zuletzt gilt es zu berücksichtigen,
dass auch Rechner ohne LAN-Anbindung
gefährdet sind. Schließlich gehören USB-
Schnittstellen und -Sticks nach wie vor zu
den Haupteinfallstoren von Schadsoftware.
Lässt sich ein System nur physisch erreichen,
bietet sich eine regelmäßige manuelle
Prüfung per USB und spezialisierter Scan-
Engine eines Antivirenherstellers an. Manuelles
Scannen ist allerdings aufwendig und
nicht bei allen Systemen möglich – Windows
NT zum Beispiel bietet keine USB-
Unterstützung. Vor allem bei Anlagensteuerungen
im industriellen Umfeld aber kommt
dieses manuelle Verfahren zum Einsatz. Es
findet auch in den „Industrial Control and
Systems: General Requirements“ des USamerikanischen
Fachverbands NEMA (National
Electrical Manufacturers Association)
als Vorgabe für Prüfungen und Auditierung
Verwendung.
Mit mehr oder weniger Aufwand können
Unternehmen somit entscheidende Maßnahmen
ergreifen, um den Status mit kritischen
Anwendungen bestückter Systeme
zu überprüfen und hohe Sicherheit zu gewährleisten.
Sofern es möglich ist, muss
dabei aber immer das Patchen der Systeme
bis zum letzten unterstützten Update an
erster Stelle stehen. Detlev Pacholke/wg
Detlev Pacholke ist Senior Solution Architect
Datenklassifizierung und Datenschutz, Digital
Workforce and Mobility bei NTT, www.ntt.com.
News
Aagon präsentiert Update-Management-Werkzeug Cawum
Gezielte Windows-Updates ohne WSUS
Aagon hat unter dem knalligen
Namen „ACMP Cawum“
(Complete Aagon Windows
Update Management) ein Tool
vorgestellt, das Windows-Updates
erleichtern soll. Die Software
ersetzt laut Hersteller Microsofts
WSUS komplett. Das
Tool lade und installiere anders
als WSUS ausschließlich jene
Updates, die die einzelnen Clients
tatsächlich benötigen. Damit
entfallen, so betont Aagon,
die üblichen, meist mehrere
GByte großen WSUS-Updates.
Das Werkzeug scanne anhand
Microsofts Online-Datenbank
täglich nach aktuellen Updates
und installiere die erforderlichen
Patches automatisch, also
nicht nur am monatlichen
„Patch Day“.
wg
Info: Aagon
Web: www.aagon.de
www.lanline.de LANline 1/2020 43
Technik
Robotic Process Automation
Softwareroboter in
der Automatisierung
Automatisierung macht Prozesse effizienter und für Anwender
besser zu handhaben. Dies gilt auch für die Administration und den
Support von IT. Doch die technische Integration verschiedener
Systeme in großen Unternehmen ist zeitraubend und teuer. Robotic
Process Automation (RPA) ist dagegen einfach zu implementieren
und macht sich in den meisten Fällen schnell bezahlt, wenn
Unternehmen den Einsatz strategisch angehen.
Softwareroboter arbeiten mit den verschiedenen
Anwendungen, die an einem Geschäftsprozess
beteiligt sind, genau wie
menschliche Mitarbeiter. Wo diese per
Bildschirm, Maus und Tastatur mit Programmen
interagieren, greifen die Roboter
direkt auf die Elemente der Benutzerschnittstelle
wie Eingabefelder, Menüs
und Buttons zu.
Roboter ist nicht gleich Roboter
Für einen typischen IT-Help-Desk bedeutet
dies: Beim Öffnen einer Mail und ihrer
Anhänge in verschiedenen Programmen
spart der Softwareroboter jedes Mal ein
bisschen Zeit, ebenso beim Weiterleiten an
einen Spezialisten oder
bei der Antwort an den
Absender. Diese Einsparungen
summieren sich
schnell zu ganzen Arbeitstagen.
Und da der „Digital
Worker“ keine Anhangsöffnung
und keine Prüfoption
vergisst, steigt in der
Regel die Closing Rate im
First-Level-Support drastisch.
Damit profitieren
sowohl die Nutzer als
auch die IT-Abteilung und
das Unternehmen als
Ganzes von der Automatisierung.
Das Prinzip, das hinter dieser bislang
wenig beachteten Form der Automatisierung
von hoch repetitiven Tätigkeiten
liegt, heißt Robotic Process Automation
(RPA) – nicht zu verwechseln mit Robotic
Desktop Automation (RDA). Zwar lassen
sich auch mit RDA Abläufe einfach automatisieren,
beispielsweise indem ein Programm
das Vorgehen eines Mitarbeiters
auf dem Desktop aufzeichnet. Allerdings
fehlt dabei die Transparenz über die auf
unterschiedlichen Desktops verteilten
Softwareroboter. Damit ist die wichtigste
Voraussetzung für Sicherheit und Compliance
von Unternehmensprozessen nicht
gegeben.Bei RPA hingegen werden die
Eine der größten Stärken heutiger RPA-Lösungen besteht darin, dass ihre Anwender
Softwareroboter nutzen können, ohne sie programmieren zu müssen. Bild: BluePrism
Softwareroboter nicht auf den Desktops
einzelner Mitarbeiter, sondern auf einer
zentralen RPA-Plattform konfiguriert, gespeichert
und verwaltet. Damit sind sie vor
unkontrollierten Veränderungen und versehentlichem
Löschen geschützt. Dies unterstützt
neben Sicherheit und Compliance
auch die Skalierbarkeit der Lösung.
Besonders wertvoll ist RPA beispielsweise
dann, wenn Unternehmen neue Anwendungen
ausrollen, Updates einspielen oder IT-
Services reorganisieren – entweder im eigenen
Unternehmen oder als Dienstleister
für externe Kunden. In diesen Fällen benötigen
sie häufig kurzfristig mehrere zusätzliche
Arbeitskräfte, die FAQs beantworten,
einfaches Bugfixing ausführen oder Tickets
aufnehmen. Oft jedoch haben Unternehmen
und Behörden in Deutschland Probleme,
Mitarbeiter für Administration und
Support ihrer Rechenzentren und Netzwerke
zu finden. Dann kann RPA helfen: Für
eine moderne RPA-Lösung ist es eine
leichte Übungen, kurzfristig mehrere digitale,
hoch verfügbare, ermüdungs- und fehlerfreie
Arbeitskräfte bereitzustellen. Per
Tastendruck lässt sich ein einmal erstellter
„Digital Worker“ vervielfältigen – ohne zusätzliche
Schulungen und Einarbeitungszeit.
Bei cloudbasierenden Systemen
wächst sogar die zugrunde liegende IT-Infrastruktur
automatisch mit. Vor allem große
Unternehmen setzen daher zunehmende
strategisch auf digitale Arbeitskräfte.
Geeignete Prozesse identifizieren
Typischerweise sind es vor allem Aufgaben
in IT-Administration
und Support, bei denen
sich die Softwareroboter
rasch bezahlt machen.
Daten und
Dokumente erfassen,
kategorisieren und weiterleiten
– diese Arbeitsschritte
kommen vor allem
in größeren IT-Service-Einheiten
besonders
häufig vor. Immer
wieder sind die Mitarbeiterinnen
und Mitarbeiter
dort mit den gleichen
oder ähnlichen
44 LANline 1/2020 www.lanline.de
Technik
Fragen konfrontiert. Dabei ist es für Menschen
oft nicht leicht, auch am Ende eines
langen Tags sachlich und hilfsbereit auf
jede Frage einzugehen. Digitale Arbeitskräfte,
die eingehende Mails, Kurznachrichten
oder Anrufe mit Natural Language
Processing (NLP) analysieren und beantworten,
entlasten dadurch menschliche
Service-Mitarbeiter, indem sie mehr Anfragen
in kürzerer Zeit beantworten.
Eine der größten Stärken heutiger RPA-
Lösungen besteht darin, dass ihre Anwender
Softwareroboter nutzen können, ohne
sie programmieren zu müssen. Dabei
kommt es vor allem in der Anfangsphase
darauf an, die Mitarbeiter der Fachabteilungen,
die mit digitalen Arbeitskräften
zusammenarbeiten, als „Führungskräfte“
für die Digital Worker auszubilden. Generell
hat sich in der RPA-Praxis eine enge
Zusammenarbeit zwischen IT und Fachabteilungen
bewährt, in der die Aufgaben
klar verteilt sind. Management und
Fachabteilungen legen fest, welche Abläufe
zu automatisieren sind. Sie geben die
Rahmenbedingungen für den standardisierten
Prozess ebenso vor wie das gewünschte
Ergebnis. Die IT-Abteilung stellt
die benötigte Infrastruktur bereit, gibt
Tipps für mögliche Prozessoptimierungen
– vor allem im Zusammenspiel mit mehreren
unterschiedlichen IT-Anwendungen –
und sorgt für die technische Sicherheit der
Lösung entweder im eigenen Rechenzentrum
oder durch entsprechende Service-Level-Vereinbarungen
mit einem Cloudanbieter.
Damit legt die IT die Basis dafür,
dass im laufenden Betrieb die Mitarbeiter
der Fachabteilungen ihre digitalen Arbeitskräfte
selbst steuern. Besondere Unterstützung
erfahren sowohl IT- als auch Business-Mitarbeiter
im Umgang mit ihrer
„Digital Workforce“ durch das innovative
Konzept der Connected RPA.
Die Connected-RPA-Plattform bietet eine
Vielfalt unterschiedlicher Funktionen als
vordefinierte Elemente zur Auswahl. Damit
können Anwender sowohl bestehende
Abläufe effizient automatisieren als auch
komplett neue automatisiert bereitstellen.
Per Drag and Drop entstehen innerhalb
weniger Stunden oder Tage einsatzbereite
Softwareroboter, die auch externe Dienste
Kernelemente des RPA-Betriebsmodells - Leitfaden
– Die Vision: Wie kann ein Unternehmen von RPA profitieren? Dazu identifiziert man
die möglichen Geschäftsvorteile und formuliert die konkrete Erwartungen auf Basis
der Unternehmensstrategie. Positive Haltung und Kommunikation des Managements
zur Automatisierung gibt den Beteiligten Orientierung angesichts des Wandels.
– Das Unternehmen: RPA verändert Abläufe über Positionen und Abteilungsgrenzen
hinweg. Anwender definieren daher eine Organisation, die RPA bestmöglich nutzt und
sich dabei an der Unternehmensstrategie und -kultur orientiert.
– Governance und Pipeline: Man legt ein Vorgehen zur Auswahl der besten Prozesse
für die RPA-Pipeline fest. Schnelle Erfolge sind die beste Motivation für alle Beteiligten.
Transparente Kriterien für die Priorisierung von Prozessen schaffen Planungssicherheit
und sorgen dafür, dass das Unternehmen den Nutzen seiner Investition
realisiert.
– Die Umsetzungsmethodik: Schnelle Skalierbarkeit ist der wichtigste Hebel, um RPA
unternehmensweit zu nutzen. Grundlage dafür ist eine Umsetzungsstrategie mit
klaren Richtlinien dazu, wie RPA-Prozesse strukturiert, kontrolliert und nachvollziehbar
implementiert werden.
– Das Service-Modell: Nutzer richten ein Modell zur Unterstützung der operativen
Prozesse ein, und definieren dann, wer wann welche Aufgaben im Geschäftsalltag
übernimmt.
– Die Menschen: Zu bestimmen sind zunächst die Rollen und Verantwortlichkeiten für
die Bereitstellung und den Support von RPA-Prozessen. Danach ist es erforderlich,
den Teams das erforderliche Know-how zu vermitteln.
– Technologie: Bei der Auswahl der Technik kommt es auf Flexibilität und Skalierbarkeit
an. Dabei können vor allem cloudbasierende Systeme punkten. Effiziente
Wartungsprozesse, Bereitstellung von zusätzlichen Softwarerobotern per Mausklick
und automatisierte Disposition der „Digital Workforce“ sollen einen größtmöglichen
wirtschaftlichen Nutzen garantieren.
aus der Cloud enthalten können. Passende
Apps auf Basis innovativer Technik wie
Blockchain, Machine Learning oder künstlicher
Intelligenz (KI) bieten Hersteller in
einer Art App-Store zum Download an.
Auf diese Weise können Unternehmen die
KI-Engines der Tech-Giganten oder auch
spezielle Lösungen innovativer Startups in
ihre eigenen Prozesse einbinden. Darüber
hinaus machen KI-Funktionen innerhalb
von Connected-RPA-Plattformen den Einsatz
digitaler Arbeitskräfte künftig einfacher
und wirkungsvoller.
RPA in der Praxis
Was geschieht, wenn mehr als 160 Softwareroboter
15 Kernprozesse eines Telekommunikationskonzerns
übernehmen
und 400.000 bis 500.000 Transaktionen
pro Monat ausführen? Vor dieser Frage
standen vor wenigen Jahren die Verantwortlichen
bei Telefónica O2. Zwölf Monate
später erwies sich das Projekt als rentabel.
In der Folge sparte man Hunderte
von Full Time Equivalents (FTE) ein, und
der Return on Investment (ROI) betrug 650
Prozent in einem Zeitraum von drei Jahren.
In einem anderen groß angelegten
Projekt automatisierte die weltweit agierende
Siemens AG im Jahr 2017 zunächst
50 Prozesse mit 80.000 Arbeitsstunden.
Nach Abschluss der Lernphase folgten 170
weitere Prozesse und über 280.000 zusätzliche
Stunden. Als Hauptnutzen verzeichnete
Siemens neben sinkenden Kosten eine
höhere Qualität und kürzere Reaktionszeiten
in den Abläufen. Angesichts solcher
Ergebnisse überlegen immer mehr Unternehmen
weltweit nicht mehr, ob und wann
sie RPA einführen, sondern wie. Im Kern
geht es dabei nicht um einen Projektplan
für die Einführung einer Technik, sondern
um ein komplettes Betriebsmodell für digitale
Arbeitskräfte. Dieses Betriebsmodell
besteht aus sieben Komponenten, die
jedes Unternehmen entsprechend seinen
Business-Anforderungen gestaltet, um
möglichst stark vom RPA-Einsatz zu profitieren
(siehe Kasten). Ulrich Meyer/jos
Ulrich Meyer ist Director Alliances DACH bei Blue
Prism, www.blueprism.com.
www.lanline.de LANline 1/2020 45
Technik
Erklärbare KI soll für Transparenz sorgen
KI beeinflusst
Business Intelligence
Netzwerke werden immer komplexer bei gleichzeitig wachsenden
Herausforderungen an Leistungsfähigkeit und Verfügbarkeit. Auch
die Ansprüche an die IT-Abteilungen erhöhen sich stetig bei gleichbleibender
Personalausstattung. IT-Tools wie intelligente Chatbots
– etwa bei der Kennworterstellung – oder Predictive Maintenance
sollen in diesem Umfeld entlasten und möglichst reibungslose
Abläufe gewährleisten. Um das volle Potenzial von künstlicher
Intelligenz und Machine Learning zu nutzen, ist allerdings Vertrauen
in die Abläufe der hinterlegten komplexen Algorithmen notwendig.
Menschen wollen verstehen, warum und vor allem wie die
künstliche Intelligenz ihre Entscheidungen fällt.
Die Vorteile von künstlicher Intelligenz
(KI) und Machine Learning (ML) sind in
der IT-Welt mittlerweile weithin anerkannt.
Deutschland und Europa sollen zu
einem führenden Standort für KI werden.
Eines ist klar: KI muss wie alles in der digitalen
Transformation dem Menschen
dienen. Doch mit neuen Techniken sind
stets auch Ängste verbunden. Damit KI tatsächlich
etwas bewegen kann, muss sie
Immer mehr Abteilungen und Rollen können heute mit Daten arbeiten, nicht zuletzt durch den
Einsatz entsprechender Self-Service-Lösungen, die auch Mitarbeitern mit wenig Datenkompetenz
Zugang zu geschäftsfördernden Erkenntnissen ermöglichen.
Bild: Tableau Software
vertrauenswürdig sein. Dazu gehört eine
nachvollziehbare, transparente Erklärung,
wie Informationen verarbeitet werden und
wie eine KI zu ihren Ergebnissen gelangt.
Außerdem muss KI aufkommende Fragen
dynamisch beantworten und so Daten für
Menschen verständlicher machen.
Künstliche Intelligenz weckt die Erwartung,
dass Maschinen dem Menschen
durch automatisierte Entscheidungen zu
besseren Erkenntnissen verhelfen. Immer
mehr Unternehmen verlassen sich deshalb
auf Modelle der künstlichen Intelligenz
und des maschinellen Lernens. Die Verantwortlichen
fragen sich jedoch auch: Wie
können wir sicherstellen, dass automatische
Empfehlungen und Modelle vertrauenswürdig
sind? Die Algorithmen und Logiken,
auf denen Entscheidungen und
Empfehlungen beruhen, sind bei vielen
Machine-Learning-Anwendungen nicht
nachvollziehbar. Adrian Weller, Senior Research
Fellow für Machine Learning an der
Universität Cambridge, erklärt daher zu
Recht, dass „Transparenz oft als wesentliche
Voraussetzung für eine effektive Bereitstellung
intelligenter Systeme in der
Praxis“ gilt. Diese Forderung nach Transparenz
wird den Aufstieg der so genannten
„erklärbaren künstlichen Intelligenz“ (Explainable
Artificial Intelligence) entscheidend
vorantreiben. Erklärbare KI gibt Einblicke
in Machine-Learning-Modelle und
ermöglicht damit ein Verständnis für deren
Funktionsweise.
Viele Führungskräfte verlangen daher
schon jetzt von ihren Data-Science-Teams,
aber auch zunehmend von ihren IT- und
Netzwerkadministratoren, dass sie besser
erklärbare Modelle anwenden, die verständliche
Ergebnisse liefern und Fragen
dynamisch beantworten können. Vor diesem
Hintergrund werden Datenfachleute
zunehmend BI-Plattformen einsetzen, mit
denen sie Schlussfolgerungen interaktiv
untersuchen und prüfen können.
Ethikregeln und Transparenz
in den BI-Modellen
Aktuelle Entwicklungen beim Datenschutz
werden die Verbreitung erklärbarer
KI zusätzlich vorantreiben. Angesichts
neuer Datenschutzvorschriften wie der Da-
46 LANline 1/2020 www.lanline.de
Technik
tenschutz-Grundverordnung (DSGVO) der
EU müssen sich Unternehmen zunehmend
mit den ethischen Aspekten des Datenumgangs
befassen. Hinzu kommt, dass die EU
einen dreistufigen Prozess im Rahmen einer
KI-Strategie-Entwicklung festgelegt
hat. Dazu hatte die EU-Kommission erst
im Frühjahr Empfehlungen für Ethikregeln
für die Entwicklung und Anwendung von
KI in Europa vorgelegt.
In der derzeitigen Pilotphase können diese
Richtlinien getestet und noch bis 2020 Erfahrungen
daraus mitgeteilt werden. Anschließend
sollen auf Basis der gemachten
Erfahrungen entsprechende Gesetzesvorschläge
folgen. Dies bedeutet, dass die
Themen Ethik und Datenschutz beim Einsatz
von KI die Geschäftswelt auch noch
die kommenden Jahre stark beschäftigen
werden.
Diskussionen über Datenethik und Datenschutz
im Kontext der täglichen Geschäftspraktiken
werden im Wesentlichen zwei
Konsequenzen haben: Erstens die vermehrte
Entwicklung von Ethikkodizes. Viele Berufsgruppen
sind bereits grundsätzlich an
einen Ethikkodex gebunden. Da Daten allerdings
viele Geschäftsabläufe immer stärker
durchdringen, müssen die Verantwortlichen
Unternehmen auch darüber nachdenken,
welche ethischen Grundsätze sich auf
ihre Data-Analytics-Praktiken anwenden
lassen. Sie sollten einen Rahmen für künftige
Infrastruktur-, Governance- und Personalentscheidungen
setzen. Viele Führungskräfte,
vor allem Chief Data Officers
(CDOs), entwickeln bereits im Rahmen der
digitalen Transformation interne Richtlinien
für den unternehmensweiten Umgang
mit Daten. Dies ergab eine 2017 durchgeführte
Gartner-Umfrage unter CDOs. Sie
zeigt, dass die Zahl der CDOs, die ethische
Fragen als Teil ihres Aufgabenbereiches begreifen,
zwischen 2016 und 2017 um zehn
Prozentpunkte gestiegen ist.
Einhaltung gesetzlicher Regelungen
Viele Unternehmen hinterfragen aktuell
zudem den ganzen Lebenszyklus ihrer Daten,
von der ersten Erfassung, über die Bearbeitung
bis hin zur Analyse. Damit lässt
sich die komplette Daten-Management-
Strategie durchleuchten. Zudem ist die
Einhaltung gesetzlicher Regelungen und
interner ethischer Vorgaben zu sichern. Allerdings
sind derartige Überprüfungen keine
einmalige Sache. Wie Accenture in dem
Bericht Universal Principles of Data Ethics
(Universelle Grundsätze für Datenethik)
unterstreicht, sollten „Governance-Praktiken
gut durchdacht, allen Teammitgliedern
vermittelt und regelmäßig überprüft werden“.
Hinzu kommt, dass sie mit Wachstum
und Entwicklung des Unternehmens
als Ganzes Schritt halten müssen.
Datenexpertise wandert
in die Fachabteilung
KI transparent und somit nachvollziehbar
zu machen, ist nur eine der vielen Aufgaben,
die auf Data Scientists in Zukunft vermehrt
zukommen wird. Andere – wie die
Erstellung von Reports oder Auswertung
von Daten – wandern dafür in die Fachabteilungen.
Dies verschiebt die Definition von Data
Science und lässt die Grenzen zwischen
den traditionellen Datenexperten der IT
und Mitarbeitern mit hoher Datenkompetenz
verschwimmen. Heutige Data Scientists
geben nicht mehr nur Ergebnisse weiter
– sie wirken an ihrer Umsetzung im
Unternehmen direkt mit und nehmen zunehmend
beratende Funktionen ein. Dies
erleichtert die Transformation zum datengetriebenen
Unternehmen.
Henrik Jorgensen/jos
Henrik Jorgensen ist Country Manager DACH bei
Tableau Software, www.tableau.com.
News
EcoStruxure IT Advisor: Cloudbasierende Planungshilfe für Rechenzentren
Schneider Electric: RZ-Monitoring mit weiteren Funktionen
Eine Komponente namens
EcoStruxure IT Advisor ergänzt
ab sofort die Schneider-
Electric-Monitoring-Lösung
IT Expert mit professionellen
Operations- und Management-
Funktionen für Rechenzentren.
IT Advisor soll IT-Leitern,
MSPs und Colocation-Anbietern
detaillierte Optionen bieten,
um den Betrieb ihrer Rechenzentren
effizienter zu gestalten,
Risiken zu minimieren
und IT-Service-Workflows zu
automatisieren, so das Versprechen.
Zum Anwendungsumfang
des neuen Planungs- und
Modellierungs-Tools gehören
unter anderem Funktionen wie
das IT-Asset-Management mit
genauer Bestandsaufnahme.
Dabei werden die Inventarisierungsdaten
auf Etagen- oder
Rack-Ebene über eine 3D-Karte
abgebildet. Diese enthält
genaue Gerätedetails und Asset-Attribute
wie Temperatur,
Stromverbrauch oder Statusinformationen.
Das Modul Risikoplanung
ermögliche es RZ-
Betreibern zudem, ein proaktives
Incident-Management zu
IT Advisor soll IT-Leitern, MSPs und
Colocation-Anbietern detaillierte
Optionen bieten, um den Betrieb
ihrer Rechenzentren effizienter zu
gestalten.
Bild: Schneider Electric
realisieren, so Schneider Electric.
Spezielle Reports zur Wirkungsanalyse
sollen die komplexen
Abhängigkeiten zwischen
einzelnen Systemen
sichtbar machen und zeigen,
wie sich potenzielle Störungen
oder Service-Vorfälle auf weitere
Geräte und Infrastrukturkomponenten
auswirken können.
Die Funktion Change-
Management unterstützt bei
Hardwareergänzungen und Änderungen
der IT-Infrastruktur.
Die integrierte Workflow-Automatisierung
stelle dabei sicher,
dass menschliche Fehler
reduziert und Best Practices
ordnungsgemäß umgesetzt
werden.
jos
Info: Schneider Electric
Tel.: 02102/4046000
Web: www.se.com
www.lanline.de LANline 1/2020 47
Schwerpunkt: Backup und Archivierung
Kostengünstige Alternative
Disaster Recovery
in der Cloud
Für den Schutz vor Standortausfällen
bietet sich die Cloud als kostengünstige
Disaster-Recovery-Alternative (DR) an.
Unternehmen sparen sich damit die
Kosten für ein Ausweichrechenzentrum
und sind dennoch in der Lage, im DR-
Fall wichtige Server schnell wieder
online zu bringen. LANline untersucht,
welche technischen Rahmenbedingungen
dabei zu beachten sind, und geht
darüber hinaus auf die DR-Lösungen
von Veeam und Zerto näher ein.
48 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
Ob sich eine Cloudlösung für ein Unternehmen
als Disaster-Recovery-Plattform
eignet, hängt von verschiedenen Faktoren
ab. Unter anderem ist im Vorfeld zu prüfen,
ob sich die Anwendungen aus der
Cloud mit annähernd derselben Performance
bereitstellen lassen, wie im regulären
Vor-Ort-Betrieb. Für Anwendungen,
die eine sehr niedrige Latenz benötigen,
kann der Zugriff über eine WAN-Verbindung
ein K.-o.-Kriterium sein. Zudem
muss sichergestellt sein, dass im Krisenfall
der Zugriff auf die Anwendungen auf allen
Wegen inklusive Mobilzugang über das Internet
möglich ist.
Ebenso muss ein Unternehmen klären, wie
es im DR-Fall mit physischen Servern umgehen
will. Können diese temporär als virtuelle
Replica beim Cloud-Provider laufen?
Oder benötigt es hierfür physische Ersatzsysteme,
die der Provider in seinem
Rechenzentrum (RZ) bereitstellen muss?
Kleinere und mittelständische Unternehmen
wählen deshalb für ihre DR-Cloud-
Strategie nicht selten einen Managed Service
Provider (MSP), statt selbst Hyperscaler
wie AWS oder Microsoft Azure zu
nutzen. Ein MSP ist in der Lage, individuelle
DRaaS-Angebote (Disaster Recovery
as a Service) zu erstellen und zum Beispiel
einen Pool an physischen Servern vorzuhalten,
die ein Kunde im DR-Fall für ein
Bare-Metal-Recovery nutzen kann. Auch
Compliance-Anforderungen, die beispielsweise
vorschreiben, dass man bestimmte
Backup-Bänder aus der Tape Library entnehmen
und an einem anderen Ort in einem
Safe aufbewahren muss, kann ein
MSP eher erfüllen als die großen Cloud-
Provider.
Cloud als DR-Plattform ist für kleine
Unternehmen interessant
Die Cloud als DR-Plattform für virtualisierte
Server zu nutzen, ist insbesondere
für kleinere und mittelständische Unternehmen
interessant. Großunternehmen haben
in der Regel mindestens zwei RZs an
räumlich voneinander entfernten Standorten,
sodass sie ihre wichtigen Systeme in
das jeweils andere RZ replizieren können.
Wobei es auch Beispiele gibt, dass Firmen
ihre DR-Strategie für virtualisierte Workloads
komplett auf Cloud-Provider umstellen
und die bisher selbst betriebenen Ausweich-RZs
schließen.
Wenn ein Unternehmen die Cloud als DR-
Plattform nutzen will, muss es zunächst
überlegen, welche DR-Szenarien es damit
abbilden will. Ein gängiges Verfahren ist
es, die im eigenen RZ laufenden VMs zum
Cloud-Provider zu replizieren. Fällt der
komplette Unternehmensstandort längerfristig
aus, tritt der DR-Plan in Kraft. Er
startet die in der Cloud gespeicherten Replica-VMs
und bringt sie online, sodass sie
die ausgefallenen Anwendungen schnell
wieder bereitstellen können.
Damit das reibungslos funktioniert, ist für
den DR-Fall eine sorgfältige Planung der
Netzkonfigurationen und der IP-Adressierung
erforderlich. So muss zum Beispiel
sichergestellt sein, dass die Replica-Instanz
eines MS-Exchange-Frontend-Servers
im Krisenfall für die Benutzer über
das öffentliche Internet oder per VPN-Verbindung
erreichbar ist. Einige Hersteller
von DR-Lösungen bieten hierfür Orchestrierungslösungen
an, mit denen sich die
Anbindung der Netze und eine Rekonfiguration
von Netz- und IP-Adressen weitgehend
automatisiert durchführen lassen.
Die schnellste Lösung, um einzelne ausgefallene
Systeme wiederherzustellen, ist
nach wie vor eine lokale Replikation im eigenen
RZ. Für Unternehmen, die sich die
dazu erforderliche Storage-Infrastruktur
und die höheren Kosten für die DR-Softwarelizenzen
leisten können, ist dies eine
sinnvolle Ergänzung des DR-Konzepts.
Voraussetzung ist, dass die DR-Lösung in
der Lage ist, eine primäre Replikationskopie
auf einem DR-Speichersystem im eigenen
RZ zu speichern und zusätzlich eine
zweite Replikationskopie zu einem Cloud-
Provider oder an einen anderen Standort
zu übertragen.
Ob sich auch die in einem Unternehmen
vorhandenen physischen Server per Physical-to-Virtual-Conversion
(P2V) in eine
VM-Replica umwandeln lassen und diese
im DR-Fall die jeweiligen Anwendungen
aus der Cloud performant bereitstellen
kann, gilt es im Einzelfall zu prüfen. P2Vund
V2V-Funktionen unterstützen die
meisten DR-Lösungen, wobei es Unterschiede
beim Cross-Hypervisor-Support
gibt. Bei den von den Hyperscalern wie
AWS mit CloudEndure oder Microsoft
mit Azure Site Recovery angebotenen Replikations-Tools
ist in der Regel nur eine
Umwandlung von physischen oder virtuellen
Servern in das VM-Format der eigenen
Plattform vorgesehen.
Andere DR-Lösungen wie die von Veeam
oder Zerto unterstützen zudem eine Umwandlung
von beispielsweise AWS-VMs
in Azure-VMs oder von VMware vSphere
nach Hyper-V sowie in die jeweils umgekehrte
Richtung. Dadurch sind auch Migrationen
von einem Cloud-Provider zu einem
anderen möglich.
DR-Techniken von
Veeam und Zerto
LANline hat sich die DR-Lösungen von
Veeam und Zerto genauer angeschaut. Bei
Veeam Backup & Replication handelt es
sich um eine Software, die sowohl ein regelmäßiges
Backup von Servern als auch
eine Replikation von VM-Images zu einem
anderen RZ-Standort oder in die Cloud unterstützt.
Die replizierten VM-Images aktualisiert
die Lösung regelmäßig zum Beispiel
täglich oder stündlich. Dies kann offline
geschehen, ohne dass man die Replica-VM
vorher starten muss.
Die von Zerto entwickelte DR-Software
verfolgt einen anderen technischen Ansatz.
Zerto überträgt mittels einer Hypervisorbasierten
Replikation fortlaufend alle IOs
einer VM asynchron zur Replica-VM und
ist dadurch im Zusammenspiel mit einem
Change-Journal in der Lage, VMs sekundengenau
wiederherzustellen. Diese Replikation
erfolgt offline. Die Replica-VMs
werden erst im DR-Fall oder für DR-Tests
erstellt und hochgefahren. Die im Herbst
2019 fertig gestellte Version 7.5 bezeichnet
Zerto als IT-Resilienzplattform, die in
der Lage sein soll, alle Unternehmensdaten
jederzeit Plattform- und Multi-Cloudübergreifend
in ihrem aktuellen oder einem
zeitlich zurückliegenden Zustand
wiederherzustellen.
Zerto ist vor rund zehn Jahren als reines
DR-Produkt gestartet, entwickelt sich
mittlerweile aber immer stärker in Richtung
Backup-Lösung. Die 7.5-Version un-
www.lanline.de LANline 1/2020 49
Schwerpunkt: Backup und Archivierung
terstützt mit dem Elastic Journal eine
Langzeitarchivierung mit Indizierungsfunktionen,
für die sich kostengünstige
Secondary-Storage-Systeme nutzen lassen.
Veeam dagegen bietet schon immer
eine Backup- und DR-Lösung an und arbeitet
derzeit gewissermaßen in umgekehrter
Richtung daran, ähnlich wie Zerto
eine Continuous Data Protection (CDP)
zu unterstützen.
Zu den wichtigsten Fragen beim
Entwurf einer DR-Strategie
zählt, wie schnell die IT-Infrastruktur
beziehungsweise die
kritischsten IT-Systeme wieder
laufen müssen. Hierbei ist auch
festzulegen, welche Recovery
Point Objectives (RPO) und Recovery
Time Objectives (RTO)
für die verschiedenen Anwendungen
gelten sollen. Beim
RPO geht es darum, zu welchem
Zeitpunkt sich die Daten wiederherstellen
lassen und wie
groß damit die maximale Zeitspanne
ist, für die Daten verloren
gehen dürfen. Die RTO-Angabe
bezieht sich auf die maximale
Dauer, bis die ausgefallenen
Systeme und ihre Anwendungen
spätestens wieder verfügbar sein müssen.
In den meisten Fällen wird es sinnvoll
sein, für den DR-Fall einen abgestuften
Wiederanlaufplan zu erstellen. Dieser definiert
unter anderem, welche Replica-
Systeme die Lösung als erstes hochfahren
muss, in welcher Reihenfolge sie diese
starten soll und welche Systeme unkritisch
sind und nicht repliziert werden müssen.
Bei der Erstellung eines DR-Konzeptes
sollte ein Unternehmen auch überprüfen,
ob es für das Backup die 3-2-1-Regel
anwendet. Sie besagt, dass die verwendete
Backup-Lösung von den Originaldaten
immer zwei Kopien erstellen sollte, die es
auf zwei unterschiedlichen Speicher-
Techniken speichert, wovon eine Kopie
nicht am selben Standort hinterlegt ist.
Um sich vor Ransomware-Attacken zu
schützen, kann es zudem sinnvoll sein,
eine Kopie auf Offline-Medien wie Bändern
zu speichern und diese an einem anderen
Ort in einem Tresor zu lagern.
Eine wichtige Rolle spielt bei Cloud-DR-
Konzepten naturgemäß die Art der WAN-
Anbindung. Am kostengünstigsten sind
Verbindungen über das öffentliche Internet,
die man durch den Einsatz von VPN-
Gateways im eigenen RZ und beim Provider
absichern sollte. Eine hohe Sicherheit
bieten private WAN-Anbindungen, die
sich direkt zwischen dem eigenen RZ und
dem Cloud-Provider-RZ schalten lassen.
Bei der Konfiguration von Replica-VMs spielen die Netzwerk- und
IP-Einstellungen eine wichtige Rolle.
Bild: Christoph Lange
In beiden Fällen ist es wichtig, gemeinsam
mit dem Provider ein Netz- und IP-Adressenkonzept
zu entwickeln, damit im DR-
Fall der Zugriff auf die dann von den Replica-VMs
bereitgestellten Anwendungen
für alle Mitarbeiter möglich ist. Auch den
Fallback-Plan sollte das Unternehmen bereits
im Vorfeld erstellen, damit klar ist,
wie sich der aktuelle Stand der DR-Systeme
nach der Wiederherstellung wieder zurück
auf die Originalsysteme übertragen
lässt.
Hierbei ist zu beachten, dass Provider für
den Datenverkehr von der Cloud zum
Kunden meist deutlich höhere Gebühren
verlangen als für den Upstream-Traffic.
Auswahlkriterien für eine
Cloud-DR-Lösung
Bei der Auswahl einer Cloud-DR-Lösung
sind vor allem die vom jeweiligen Produkt
unterstützten Funktionen von Interesse.
Unterschiede gibt es zum Beispiel beim
Hypervisor-Support. VMware ESX und
Microsoft Hyper-V werden in der Regel
von den meisten Lösungen unterstützt.
Bei KVM, Citrix Xen oder Nutanix AHV
ist die Auswahl jedoch schon kleiner. Zudem
sollte die DR-Software möglichst
viele Cloud-Provider unterstützen, damit
ein späterer Wechsel zu einem anderen
Provider mit einem vertretbaren Aufwand
möglich ist.
Für die initiale Replikation ist es hilfreich,
wenn ein sogenanntes Seeding
unterstützt wird. Dabei speichert
das Unternehmen die zu
replizierenden Daten auf einem
physischen Speichermedium,
das zum Provider transportiert
und dann dort eingelesen
wird.
Auch der Betriebssystem-
Support für Replikationsagenten
sowie die Möglichkeiten
für eine Replikation von physischen
Systemen sind zu betrachten.
Des Weiteren ist zu prüfen, ob
die Software applikationskonsistente
Backups zum Beispiel
für Datenbanken unterstützt
und ob sich Server mit gegenseitigen
Abhängigkeiten in Replikationsgruppen
zusammenfassen lassen. Um Szenarien
mit lokaler und zusätzlicher
Cloudreplikation abbilden zu können,
muss die Lösung eine One-to-Many-Replikation
unterstützen. Für eine möglichst
ressourcenschonende Replikation sollte
sie zudem eine Datenkomprimierung und
Deduplizierung unterstützen. Bei Imagebasierten
Replikationslösungen reduzieren
inkrementelle Updates das zu übertragende
Datenvolumen. Auch die WAN-
Übertragung sollte sich durch Komprimierungstechniken
optimieren lassen. Eine
Verschlüsselung der gespeicherten Daten
und der Datenübertragungen schützt vor
Datenmissbrauch.
Für den Schutz vor Ransomware integrieren
einige DR-Lösungen inzwischen Machine-Learning-Funktionen,
um Angriffe
zu erkennen. Einige DR-Produkte bieten
außerdem Sandbox-Funktionalitäten für
automatisierte DR-Tests. Nützlich sind
hierbei zudem Reporting-Funktionen, um
50 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
nachzuweisen, dass man regelmäßig DR-
Tests durchgeführt hat. Wichtig ist ein externer
Zugang zur DR-Management-Konsole,
der auch dann nutzbar ist, wenn ein
Unternehmens-RZ komplett ausfällt.
Besonders für größere Unternehmen ist es
wichtig, dass sich im DR-Fall die Replica-
Systeme möglichst automatisiert online
bringen lassen. Hierfür stehen je nach Hersteller
unterschiedliche Orchestrierungswerkzeuge
zur Verfügung. Für eine Langzeitarchivierung
von Replica-VMs sollte
die verwendete Lösung eine Speicherung
auf Object-Storage-Systemen unterstützen.
In der Cloud ist dieser Speicher deutlich
günstiger als der Standard-Block-Storage.
Die Integration mit anderen Anwendungen
sollte über offene Schnittstellen
wie eine REST-API möglich sein.
Disaster Recovery in der Cloud
Die Cloud-Appliance von Zerto integriert die DR-Lösung mit Cloud-Providern wie Azure oder AWS.
Bild: Zerto
Der Aufwand für die Einrichtung einer
Cloud-DR-Lösung hängt stark von der Anzahl
der zu sichernden VMs ab. Kleinere
Unternehmen, die nur ein oder zwei Dutzend
VMs in die Cloud replizieren möchten,
können mit Tools wie Veeam ihre VMs
relativ einfach zu AWS oder Azure übertragen,
um eine Replica-Kopie zu erstellen.
Die Cloud-Anbindung lässt sich mit
wenigen Mausklicks unter Angabe der
Cloud- und Storage-Account-Zugangsdaten
erledigen. Dies haben wir anhand der
LANline-Testumgebung mit Veeam in der
Praxis ausprobiert.
Bei größeren Unternehmen mit einer Vielzahl
zu schützender VMs muss man auf
beiden Seiten die vom jeweiligen DR-Hersteller
angebotenen Steuerungs-VMs installieren.
Zerto benötigt beispielsweise auf
den Hypervisor-Hosts des Kunden sogenannte
Virtual Replication Appliances und
in der Cloud eine Zerto Cloud Appliance.
Gesteuert wird die Replikation sowie der
Failover und Failback über den Zerto Virtual
Manager, der mit anderen VM-Management-Systemen
wie VMware vCenter
oder Microsoft Virtual Machine Manager
zusammenarbeitet und im DR-Fall die
Netz- und IP-Adressenkonfiguration automatisiert
anpasst. Hinzu kommt bei Bedarf
die Virtual Backup Appliance, die einzelne
Dateien und Verzeichnisse wiederherstellen
kann. Für Service-Provider bietet Zerto
mit dem Cloud Manager zudem eine mandantenfähige
DRaaS-Lösung an.
Wer mit Veeam eine größere Zahl an VMs
in die Cloud replizieren will, sollte ebenfalls
beim Provider Veeam Backup & Replication
sowie dedizierte Cloud-Gateways
installieren. Für die WAN-Anbindung
bietet Veeam neben einer VPN-
Lösung auch eine Network-Extension-Appliance
an, die einen Layer-2-Tunnel zum
Provider aufbaut. Die Replica-VMs verwenden
damit dieselben IP-Adressen wie
die Quell-Maschinen. Mit Cloud Connect
Backup bietet Veeam ebenfalls eine auf
Service-Provider zugeschnittene DRaaS-
Lösung an.
VM-Backup in der Cloud
Um die Cloudanbindung mit Veeam zu testen,
fügten wir im Konfigurationsmenü einen
Azure- und einen AWS-Test-Account
hinzu. Im AWS-Konto erstellten wir zudem
einen neuen S3-Bucket, den wir in
Veeam als externes Repository konfigurierten.
Bei Azure konnten wir dafür den
vorhandenen Storage-Account nutzen.
Anschließend richteten wir einen Backup-
Job ein, der die VM zunächst in ein lokales
Repository sicherte und von dort automatisiert
jeden Abend zu Azure und zu AWS
replizierte.
Nach einigen Tagen löschten wir die virtuelle
Disk dieser virtuellen Maschine und
konnten sie aus dem Cloud-Backup erfolgreich
wiederherstellen.
Der kleine Test zeigte, dass sich ein VM-
Backup in die Cloud mittlerweile relativ
einfach einrichten lässt. Um eine Cloud-
DR-Lösung aufzubauen, die bei einem
Standortausfall alle Replica-VMs schnell
online bringt und mit der richtigen IP- und
DNS-Konfiguration für die Anwender erreichbar
macht, sind allerdings wie beschrieben
deutlich mehr Installations- und
Konfigurationsarbeiten erforderlich.
Fazit
Viele Backup- und DR-Lösungen bieten
heutzutage die Möglichkeit, die Cloud als
Disaster-Recovery-Plattform zu nutzen.
Um ein tragfähiges Cloud-DR-Konzept zu
erstellen, ist eine sorgfältige Planung erforderlich.
Ein besonderes Augenmerk
sollte ein IT-Verantwortlicher dabei auf die
Netzanbindung und die damit verbundenen
Themen wie IP-Adressierung und
DNS-Konfiguration legen. Bei der Auswahl
einer geeigneten DR-Lösung ist zudem
zu beachten, dass sich damit die gewünschten
RPO- und RTO-Zeiten einhalten
lassen.
Darüber hinaus sollte man nicht vergessen,
dass auch eine optimal geplante Cloud-
DR-Lösung im Zweifelsfall ins Leere
läuft, wenn sie der IT-Verantwortliche
nicht regelmäßig testet.
Christoph Lange/ts
www.lanline.de LANline 1/2020 51
Schwerpunkt: Backup und Archivierung
Unterbrechungsfreier Speicherbetrieb
Jederzeit auf Abruf
Viele Unternehmen sind der Meinung, dass ein Backup der eigenen
Daten ausreicht. Dabei übersehen sie, dass viele der heutigen
Anwendungen eine ständige Verfügbarkeit der Daten voraussetzen.
Bereits kurze Ausfälle können in einer solchen Umgebung gravierende
Auswirkungen haben.
Im Allgemeinen geht es beim Thema Datensicherheit
um die Sicherung. Dies bedeutet
zum einen, die Daten vor Beschädigung
und Verlust in Sicherheit zu bringen.
Zum anderen erfordert dies heute vielleicht
mehr denn je, dass Daten möglichst
immer zur Verfügung stehen. Und
genau an diesem Punkt unterscheiden
sich Strategien von den
Lösungen. Denn wenn es lediglich
darum geht, Daten redundant
auf anderen Systemen, möglichst
an einem anderen Ort, quasi als
Kopie aufzubewahren oder zu archivieren,
sind viele Unternehmen
ausreichend gerüstet. Doch
wenn es um die Datensicherheit
in Bezug auf Verfügbarkeit und
den uneingeschränkten und insbesondere
unterbrechungsfreien Zugriff
geht, besteht noch Handlungsbedarf.
Betrachtet man das gesamte
Spektrum beider Optionen, dann spricht
man von Data Safety.
Viele Unternehmen haben heute annehmbare
bis sehr gute Backup- und Recovery-
Lösungen im Einsatz. Sie sichern die unternehmenseigenen
Daten in regelmäßigen
Zeitabständen auf ein separates Medium.
Fällt das primäre System aus oder gehen
Daten aufgrund von mechanischen Defekten,
menschlichen Fehlern oder aufgrund
eines Ransomware-Angriffs verloren, lassen
sie sich meist vom zweiten System
wiederherstellen. Möglichst kurze Backup-Zyklen
helfen dabei, die Menge der
Verluste gering zu halten, sodass das Unternehmen
gut geschützt ist – zumindest
was die Bestände anbelangt.
Mit dieser Annahme wähnen sich viele Betriebe
in Sicherheit, da sie davon ausgehen,
dass sie die Informationen problemlos
wiederherstellen können. Heutzutage geht
es jedoch nicht mehr darum, Daten in einer
bestimmten Zeit wiederherzustellen, sondern
einen komplett uneingeschränkten
Betrieb zu gewährleisten, der keinen Ausfall
zulässt.
RPO und RTO
machen den Unterschied
IT-Verantwortliche und IT-Unternehmen
sollten sich beim Thema Data Safety um
zwei Kennzahlen kümmern: Geht es darum,
möglichst wenige Daten zu verlieren,
ist sicherlich das Recovery Point Objective
(RPO) maßgeblich. Beim RPO geht es darum,
die Unterschiede der Datensätze auf
dem Primärsystem mit denen des Backup-
Systems möglichst gering zu halten. Moderne
Technologien bieten die entsprechenden
Optionen, Daten redundant und
ohne nennenswerte Unterschiede zu speichern.
Hin und wieder wird dies irrtümlicherweise
mit dem Spiegeln auf RAID-
Systemen verwechselt. Das RPO wendet
man jedoch immer auf die redundante Datenhaltung
auf physisch unterschiedlichen
Speichermaschinen an.
Denn auch bei einem RAID kommt es zu
einem Totalausfall, wenn beispielsweise
der Strom ausfällt oder Cyberkriminelle
die Daten verschlüsseln. Ein RAID dient
lediglich zum Schutz vor Medienfehlern,
beispielsweise Lese-Schreibfehlern und
damit verbundenen Ausfällen von Festplatten
in einem System.
Durch geeignete und funktionelle Technologien
lassen sich hervorragende RPO-Ergebnisse
erzielen. Ein RPO gleich Null,
also das Vorhalten absolut identischer Datensätze
ist durchaus möglich.
Damit ist für die Data Safety der
erste wesentliche Schritt getan.
Der zweite Schritt ist hingegen
wesentlich komplexer und auch
deutlich aufwendiger umzusetzen.
Ausschlaggebend ist das Recovery
Time Objective (RTO). Je
niedriger der RTO, desto geringer
ist die Zeit zwischen dem Ausfall
des Erstsystems und der wiedererlangten
vollen Einsatzfähigkeit
über das redundante Speichersystem.
Folglich geht es hierbei darum,
einen möglichst geringen
Wert oder sogar Null zu erreichen. Vielen
Unternehmen ist die Wichtigkeit des möglichst
geringen RTOs aber nicht wirklich
bewusst, und es wird oft nicht ins Kalkül
gezogen, wie verheerend schon minimale
Ausfallzeiten für ein Unternehmen sein
können.
Wie wichtig das RTO ist, hängt sicher vom
Unternehmen und dessen Hauptaufgabe
ab. Während einige Unternehmen mit mittelguten
RTOs gut leben können, sind andere
wesentlich stärker auf eine extrem
schnelle Wiederherstellung des Betriebs
oder gar auf eine komplett unterbrechungsfreie
Produktion angewiesen. Die Wichtigkeit
des RTOs lässt sich am praktischen
52 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
Beispiel leicht verdeutlichen: Hat beispielsweise
eine moderne Großbäckerei
den Betrieb weitgehend digitalisiert, hängen
nicht nur die Verwaltung des Unternehmens
am Tropf der IT, sondern auch
die gesamte Produktion.
Kurzer IT-Ausfall
mit gravierenden Folgen
Nun könnte man denken, dass eine halbe
Stunde IT-Ausfall vielleicht zu verkraften
ist. Schließlich muss die Bäckerei nur auf
das redundante System umschalten, ein
paar Server und Datenbanken starten, und
schon ist sie wieder einsatzbereit. Bestellungen,
Dispositionen und Auslieferungen
würden in einem solchen Szenario vielleicht
etwas ins Stocken geraten, aber irgendwie
wäre es vielleicht nach 30 Minuten
IT-Ausfall wieder möglich, in den täglichen
Arbeitstakt zurückzufinden.
Diese Annahme täuscht jedoch: Ab dem
Moment, in dem die Produktion steht, befinden
sich hunderte von Backwaren in den
Öfen, die dort innerhalb von 30 Minuten
verbrennen – denn ohne IT bleibt auch die
hochmoderne Backstraße stehen. Das bedeutet,
dass die Bäckerei die Öfen abkühlen
und anschließend penibel reinigen sowie
wieder aufheizen muss, um im Anschluss
die Produktion wieder anzufahren.
Dabei verrinnen nicht nur die 30 Minuten
IT-Ausfall, sondern mehrere Stunden und
die Auslieferungen sind völlig außer Takt.
Eventuell fällt sogar eine ganze Tagesproduktion
aus, nur weil die Daten von einem
Backup erst nach einer halben Stunde wieder
zur Verfügung standen. Es gibt sicherlich
noch deutlich eindrucksvollere Szenarien,
wenn man beispielsweise an Chemiewerke
oder gar an Kritis-Einrichtungen
denkt. Das bedeutet, dass der RTO bei bestimmten
Unternehmen gleich Null sein
sollte.
Transparenter Failover vs.
unterbrechungsfreier Betrieb
Während moderne Enterprise-Speichersysteme
in sich unterbrechungsfrei hochverfügbar
(RTO = 0) sein können, trifft das
für die Konzepte mit entfernten Ausfallrechenzentren
leider meistens noch nicht zu.
Und auch hier gilt es, zwei wichtige Begrifflichkeiten
eindeutig zu unterscheiden:
transparenter Failover versus unterbrechungsfreier
Betrieb. Mit einem transparenten
Failover lassen sich die Ausfallzeiten
zwischen dem Hauptrechenzentrum
und einem Ausfallrechenzentrum auf ein
Minimum begrenzen.
Mit aktuellen Technologien versucht man
ein RTO nahe Null zwischen redundanten
Rechenzentren zu schaffen. Damit verringert
ein transparenter Failover das betriebliche
Risiko bereits erheblich. Doch auch
ein transparenter Failover (Failure and take
over) ist ein Umschaltprozess und damit
per se keine unterbrechungsfreie Technologie.
Unternehmen müssen daher gemeinsam
mit ihren IT-Dienstleistern genau verifizieren,
wie die Ansprüche an Unterbrechungsfreiheit
– ganz unabhängig von den
verfügbaren Budgets – tatsächlich sind.
Beim Beispiel mit der Großbäckerei und
einem weitgehend automatisierten Produktionsprozess
dürften die Ansprüche
sehr hoch sein. In Unternehmen, die hingegen
mit einer Datenunterbrechung über einen
kurzen Zeitraum gut auskommen, reichen
weniger anspruchsvolle Systeme für
einen möglichst niedrigen RTO aus. Ist ein
Betrieb aber sowohl beim RPO als auch
beim RTO mit einem Wert von Null angewiesen,
gilt eine wichtige Regel: Eine
hohe Sicherheit lässt sich über eine redundante
Datenhaltung lokal und in Verbindung
mit Ausfallrechenzentren erreichen.
Eine echte Ausfallsicherheit ist heute nur
mit sehr hochwertigen Speichersystemen
und nur im primären Rechenzentrum möglich.
Wie man dabei die Anforderungen
und die technische Realisierbarkeit mit
den Budgets in Einklang bringt, bleibt am
einzelnen Fall auszuarbeiten.
Robert Meiners/ts
Robert Meiners ist Practice Lead Cloud Germany bei
MTI Technology, www.mti.com.
Marktübersicht: Backup-Lösungen
Hersteller
Acronis
Arcserve
Ashampoo
AWS
Barracuda Networks
Carbonite
Cohesity
Commvault
Dell EMC
Fujitsu
GCP
HPE
HYCU
IBM
Ionos
Langmeier
Microsoft Azure
MIT Technology
Web
www.acronis.com
www.arcserve.com
www.ashampoo.com
www.aws.amazon.com/de/backup
www.barracuda.com
www.carbonite.com
www.cohesity.com
www.commvault.com
www.dellemc.com/de-de/data-protection/
www.fujitsu.com/de/services/infrastructure/iaas/baas
https://cloud.google.com
www.hpe.com/de/de/storage/data-protection-solutions.html
www.hycu.com
www.ibm.com/de-de/services/business-continuity/backup-data-protection
www.ionos.de
www.langmeier-software.com
www.azure.microsoft.com
www.mti.com
Hersteller
NetApp
Netgear
NovaStor
Nutanix
Oracle
Qnap
Quantum
Rubrik
SEP
SoftwareOne
Strato
Synology
Unitrends
Veeam
Veritas
Waxar
Zealbox
Zerto
Web
www.netapp.com
www.netgear.com
www.novastor.de
www.nutanix.de
www.oracle.com
www.qnap.com
www.quantum.com
www.rubrik.com
www.sepsoftware.com
www.softwareone.com
www.strato.de/business-solutions/storage-backup/
www.synology.com
www.unitrends.com
www.veeam.com
www.veritas.com
www.waxar.eu
www.zealbox.com
www.zerto.com
www.lanline.de LANline 1/2020 53
Schwerpunkt: Backup und Archivierung
Backup und DR in der Multi-Cloud
Orientierung durch
Orchestrierung
Bei der Umsetzung einer Backup- und Disaster-Recovery-Strategie
in Multi-Cloud-Umgebungen sind einige Hürden zu bewältigen.
Neue Orchestrierungs-Tools können die Verwirklichung der Backup-
und DR-Pläne erheblich vereinfachen.
Immer mehr Unternehmen versuchen, die
Flexibilität und Kosteneffizienz der Public
Cloud mit den unterschiedlichen Anforderungen
ihrer Workloads in Einklang zu
bringen. Dies äußert sich im Trend zu Multi-Cloud-Umgebungen,
also der Nutzung
von Public-Cloud-Diensten verschiedener
Anbieter oder deren Kombination mit einer
Private Cloud.
Damit verändern sich jedoch auch die Anforderungen
an Backup und Disaster Recovery
(DR). Egal, wo die Daten nun abgelegt
sind, ob teilweise im eigenen Rechenzentren
und in der Public Cloud,
Stichwort Hybrid Cloud, oder verteilt auf
mehrere Cloudumgebungen nach dem
Multi-Cloud-Prinzip: Stets geht es darum,
Daten zu sichern sowie diese vor Cyberkriminellen
zu schützen und eine zuverlässige
Wiederherstellbarkeit im Notfall zu gewährleisten.
Den Hürdenlauf bewältigen
Bei der Umsetzung einer Backup- und DR-
Strategie auf Multi-Cloud-Basis sind jedoch
einige Hürden zu bewältigen. Backup und
DR in der Multi-Cloud bedeutet, die geschäftskritische
Ressourcen an einen zweiten
Cloudanbieter in einer weiter entfernten
Region zu replizieren. Aus Compliance-
Gründen sollte dieser Standort innerhalb nationaler
oder zumindest der EU-Grenzen
liegen, um die rechtlichen Vorgaben der DS-
GVO einzuhalten.
Der Hürdenlauf setzt sich fort mit unterschiedlichen
Management-Portalen und
-Diensten der Cloudanbieter. Dies betrifft
im Falle von IaaS (Infrastructure as a Service)
auch verschiedene On-Disk-Formate
der virtuellen Maschinen, etwa Amazon
Machine Image (AMI) und Azures Virtual
Hard Disk (VHD). So sind Backup- und
Disaster-Revovery-Dienste nicht für den
Austausch zwischen verschiedenen Cloudbetreibern
konzipiert.
Flexible DR-Konzepte
sind gefragt
Die Vielzahl der verfügbaren Optionen für
die Bereitstellung und Wartung von Anwendungen,
ob vor Ort oder in Cloudumgebungen,
sorgt für weitere vielfältige, fast
unüberschaubare Varianten. Angesichts
von Containern, Micro-Services und Serverless-Plattformen
stellt sich sehr bald die
Frage, ob und wie diese Komplexität überhaupt
zu bewältigen ist.
Klassische Backup- und DR-Tools bieten
viele Funktionen, waren bislang jedoch
eher auf herkömmliche lokale Umgebungen
ausgerichtet. Für Cloud-Szenarien
greifen viele Unternehmen auf die teilweise
eingeschränkten Optionen aus dem
Portfolio der jeweiligen Cloudbetreiber
zurück. Cloudorientierte Unternehmen
wollen jedoch flexible DR-Konzepte lokaler
Umgebungen in der Cloud – oder gar
mehreren Clouds – umsetzen.
Plattformen und Tools für Cloud-Data-
Management (CDM) haben generell das
Datenhandling, ebenso wie die Möglichkeiten
für Backup und Disaster Recovery,
in hybriden Umgebungen verbessert. Die
jüngsten Lösungen dieser Art bieten die
Möglichkeit, verschiedene Clouds zu überspannen,
wodurch sich die Umsetzung einer
Multi-Cloud-basierten Backup- und
DR-Strategie erheblich vereinfachen lässt.
Zentrales Daten-Management
für die Multi-Cloud
Die erforderliche „Multi-Cloud-Flexibilität“
versprechen zeitgemäße Lösungen für
Datenklassifizierung, automatisierte Disaster-Recovery-Orchestrierung
und kontinuierliche
Datensicherung auf einer CDModer
SaaS-Plattform. Für Unternehmen eröffnet
sich hierbei die Möglichkeit, eine
zentrale Lösung für die Verwaltung,
Governance und Orchestrierung von Daten
in eigenen Rechenzentren und verschiedenen
Clouds nutzen. Dieser Ansatz ist eine
Antwort auf die Vielzahl unterschiedlicher
Tools und nicht-integrierter Prozesse, die
bislang mit Data Governance, Disaster Recovery
Compliance sowie Daten- und Anwendungsresilienz
einhergingen.
Die Erkennung und Klassifizierung sensibler
Daten sowie zugehöriges Reporting
in der gesamten Unternehmensumgebung
lassen sich heute über eine SaaS-Plattform
abwickeln, ohne dass eine zusätzliche Infrastruktur
erforderlich ist. Der Einsatz von
maschinellem Lernen begegnet dem zunehmenden
Risiko von Datenschutzverletzungen
und Compliance-Strafen. So stellen
Unternehmen fest, wo sich bestimmte
Arten von Daten befinden, ohne die Produktionsumgebung
zu beeinträchtigen.
Da immer mehr Anwendungen auf Public-
Cloud-Plattformen wie AWS ausgeführt
werden, wünschen sich Unternehmen
cloudnative Datensicherung und automatisierten
Failback bei gleichzeitiger Minimierung
der Kosten für ausgehenden Datenverkehr.
Durch die Verwendung einer
einzigen Lösung, die Backup, Replikation,
DR-Orchestrierung und Cloudinstanziierung
vereint, können Unternehmen den
Einsatz mehrerer punktueller Lösungen,
eine komplexe Verwaltung und unnötige
Kosten vermeiden.
Die Automatisierung der DR-Orchestrierung
ist ein entscheidender Baustein zur
Steigerung der Agilität in modernen Multi-
54 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
Cloud-IUmgebungen. Dies leistet eine nativ
integrierte Disaster-Recovery-Orchestrierung
von Failover/Failback, Tests und
Anwendungsmigration von eigenen Rechenzentren
zur jeweiligen Public Cloud.
Unternehmen können beispielsweise in einer
Amazon Virtual Private Cloud (Amazon
VPC) VM-Snapshots in Amazon EC2-
Instanzen umwandeln und so RTOs im Minutenbereich
realisieren.
Eine moderne CDM-Plattform bietet
dank kontinuierlicher Datensicherung die
Möglichkeit, für VMware-Umgebungen
RPOs von nahezu Null zu erzielen. Der
kontinuierliche Strom von Wiederherstellungspunkten
trägt entscheidend dazu bei,
Datenverluste bei einem Ausfall oder
Ransomware-Angriff zu minimieren. In
einer SLA-Richtlinien-Engine lässt sich
die kontinuierliche Datensicherung für
die kritischsten VMs festlegen, ohne die
Komplexität der Installation und Verwaltung
einer weiteren punktuellen Lösung
für diese Aufgabe. Die Verwendung von
vSphere-APIs für I/O-Filterung auf der
CDM-Plattform hilft Unternehmen, VMware-Datenverluste
in Rechenzentren und
Clouds zu minimieren, indem RPOs innerhalb
weniger Sekunden zur Verfügung
stehen.
Komplexität einer Multi-Cloud
einfach verwalten
Entscheidend bei einer Multi-Cloud-Nutzung,
die Backup- und DR-Szenarien mit
einschließt, ist die einfache Verwaltung
komplexer, zunehmend cloudnativer Unternehmensumgebungen.
So gibt es immer
mehr Unternehmen, die AWS- und Azure-
Ressourcen verstärkt einsetzen. Diese Unternehmen
können ihre physischen, virtuellen
und cloudbasierten Anwendungen
und Daten, die auf mehrere Clouds und
Rechenzentren verteilt sind, nun auf einer
einheitlichen SaaS-basierten Oberfläche
verwalten, einschließlich einheitlicher
SLA-Richtlinien.
Herkömmliche Ansätze, mit denen sich
Daten und Anwendungen in der Vor-
Cloudära schützen ließen, lassen sich spätestens
mit einer Multi-Cloud nicht mehr
umsetzen. Heute kommt es auf eine unternehmensweite
Datenrichtlinie an, die sich
automatisch übersetzen und über die gesamte
Bandbreite der Datenstandorte hinweg
anwenden lässt.
Ein zeitgemäßer Daten-Management-Ansatz
konzentriert sich auf eine einheitliche
und mühelose Orchestrierung.
Roland Stritt/ts
Roland Stritt ist Director Channels EMEA bei Rubrik,
www.rubrik.com.
Schwerpunkt: Backup und Archivierung
Datensicherung mit Flash-to-Flash-to-Cloud
Heiße, warme
und kalte Daten
Unternehmen arbeiten mit riesigen Mengen an heißen Daten.
Gleichzeitig gibt es immer mehr warme und weniger kalte Daten.
Mit einer Kombination aus Flash und Cloud lassen sich die neuen
Anforderungen an Datensicherung und -wiederherstellung meistern.
Flash-to-Flash-to-Cloud (F2F2C) hat das Potenzial, den bisherigen
Backup-Ansatz Disk-to-Disk-to-Tape (D2D2T) abzulösen.
Das Wachstum des Datenvolumens ist eine
bekannte Herausforderung für Unternehmen,
aber nicht die einzige. Unternehmen
mit intensiver Datennutzung müssen zwischen
„heißen“, „warmen“ und „kalten“
Daten unterscheiden. Heiße Daten müssen
sofort verfügbar sein, da man sie ständig
nutzt, um geschäftskritische Entscheidungen
in Echtzeit zu treffen. Warme Daten
benötigt ein Unternehmen nicht regelmäßig,
es sollte sie aber für den Fall der Fälle
leicht verfügbar halten. Auf kalte Daten ist
ein Unternehmen nur sporadisch angewiesen.
Deswegen sollte es diese so kosteneffizient
wie möglich aufbewahren.
Da heiße Daten jederzeit verfügbar sein
müssen, werden sie in der Regel in einem
schnell zugänglichen Speicher vorgehalten.
In hybriden Speicherumgebungen ist
dies in der Regel Flash-Speicher. Warme
Daten und kalte Daten hingegen sind die
Daten, auf die weniger häufig beziehungsweise
sehr selten zugegriffen wird. Daher
ergibt es Sinn, diese auf langsameren und
kostengünstigeren Speicherelementen abzulegen
– vor Ort oder in der Cloud.
Heiße Daten kühlen
immer schneller ab
Die größte Herausforderung besteht darin,
dass heiße Daten schneller als je zuvor zu
kalten Daten altern. Das heißt, dass Daten,
die man heute als heiß einstuft und auf die
man permanent zugreift, morgen schon
warm sind und kurz darauf als kalte Daten
in einem staubigen Datenarchiv landen.
Auf viele dieser Daten greift seit Monaten
oder sogar Jahren niemand mehr zu, dennoch
muss der IT-Verantwortliche sie noch
verwalten, was hohe Kosten verursacht.
Auch die Speicherung großer Datenmengen
auf dem Primärspeicher ist aufwendig.
Unternehmen wissen, dass ein großer Teil
der Daten warm und kalt ist, aber es fehlen
ihnen die Werkzeuge, um regelmäßig den
Primärspeicher zu bereinigen und Daten
auf einen kostengünstigeren Speicher oder
in die Cloud zu verschieben. Darüber hinaus
wollen die Fachabteilungen über ihre
üblichen Anwendungen auf ihre Daten zugreifen
und nicht über separate Zugriffspfade
nach alten Daten suchen müssen.
Backup als Herausforderung
Eine weitere Herausforderung ist das Thema
Backup. Da Daten strategisch immer
wichtiger werden, müssen sie auch ihrer
geschäftskritischen Rolle entsprechend gesichert
und wiederherzustellen sein. Recovery
Time Objectives (RTOs), also Wiederherstellungszeitziele,
die bisher nur auf
kritische Workloads beschränkt waren, haben
sich mittlerweile zum neuen Standard
für die meisten Produktions-Workloads
entwickelt. Viele Unternehmen können
diese strengeren Backup- und Recovery-
Anforderungen jedoch nicht erfüllen,
selbst wenn sie die Daten erfolgreich gesichert
haben.
Die herkömmliche Backup-Architektur,
die in vielen Unternehmen noch zum Einsatz
kommt, basiert auf Festplatten und
Bandspeicher. Bei dieser Backup-Strategie,
bezeichnet als Disk-to-Disk-to-Tape,
speichert man eine Kopie der Daten zunächst
auf einer plattenbasierten Backup-
Appliance und anschließend auf Band. Die
Festplattenkopie bietet eine bessere Wiederherstellungsleistung
als Band allein. Da
Festplatten teurer sind als Bandspeicher,
nutzen Backup-Appliances die Deduplizierung,
um eine relativ kostengünstige
plattenbasierte Backup-Lösung bereitzustellen.
Selbst deduplizierte Festplatten
sind immer noch nicht so günstig wie
Band, aber die Kostendifferenz ist durch
besseres Management mehr als gerechtfertigt.
Der D2D2T-Ansatz ermöglicht eine
schnellere Datenwiederherstellung von der
Backup-Appliance und nutzt Bandspeicher
somit für langfristige Aufbewahrung.
Datenwachstum führt zu Problemen
bei der Datensicherung
D2D2T löste einige der Management-Probleme
bei der Handhabung von Bändern.
So müssen Backup-Administratoren nicht
mehr nach Bändern suchen, um eine Wiederherstellung
durchzuführen, oder sich
Gedanken machen, ob ein Satz Bänder
vollständig ist. Da Backup-Appliances
Festplatten zum Speichern von Backups
verwenden, verbessern sie auch die Wiederherstellungszeiten.
Dadurch ist es möglich,
Datensätze in TByte-Größe in Stunden
wiederherzustellen.
D2D2T hat das Backup im Vergleich zu
früheren Methoden stark modernisiert.
Das Datenwachstum hat zudem verdeutlicht,
dass sich Backup-Appliances nicht
gut skalieren lassen. Wenn die Kapazität
einer Appliance erschöpft ist, muss das
Unternehmen immer wieder eine weitere
anschaffen. Jede weitere hinzugefügte Appliance
ist jedoch eine neue Deduplizierungs-
und Verwaltungszone, was letztendlich
zu Ineffizienzen führt.
Obwohl sie schneller als Bänder sind, sind
die meisten Backup-Appliances auch bei
56 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
F2F2C nutzt lokalen
Flash-Speicher für
effiziente Snapshots
und schnelle Wiederherstellungen.
Für die
langfristige Speicherung
von kalten Daten
nutzt die Architektur
Object Storage in der
Public Cloud.
Bild: Pure Storage
der Wiederherstellung von Daten ineffizient.
Sie sind so konzipiert, dass sie Backup-Daten
so schnell wie möglich aufnehmen
können, während die Wiederherstellungsleistung
zweitrangig ist. Für eine
schnellstmögliche Wiederherstellung sollten
sie die Daten jedoch so schnell bereitstellen,
wie der Primärspeicher sie aufnehmen
kann. Wenn sich die Festplatten der
Appliance füllen, kann die Wiederherstellungsgeschwindigkeit
noch niedriger werden.
Dies erschwert es zusätzlich, ein System
effizient zu betreiben.
Vorteile von Flash bei Backup
und Wiederherstellung
Flash-Speicher bietet deutliche Leistungssteigerungen
gegenüber Festplatten. Die
Speichertechnik erlaubt es, dass die Wiederherstellung
von Produktionssystemen
so schnell erfolgen kann, wie die All-
Flash-Produktionssysteme die Daten aufnehmen.
Flash-Backups lassen sich zudem
verwenden, um mehr gleichzeitige Server-
Backups auszuführen, zugunsten einer
besseren Auslastung. Durch die Koppelung
von Flash und Datenreduktion lassen
sich außerdem eine hohe Wirtschaftlichkeit
und Wiederherstellungsleistung erzielen.
Aber es gibt noch einen weiteren Teil des
Backup-Problems. Selbst wenn ein Unternehmen
Flash-Speicher verwendet, um
Rapid-Restore-Funktionen bereitzustellen,
muss es weiterhin große Mengen kalter
und warmer Daten außerhalb der eigenen
Umgebung speichern, um Archivierungsund
Compliance-Richtlinien einzuhalten.
Hierfür kommt vielerorts weiterhin das
Tape zum Einsatz, was nicht nur komplex
und langsam ist: Der eigentliche Nachteil
der Bandspeicherung ist, dass die Daten irgendwo
offline weggesperrt sind – und somit
keinen Wert für das Unternehmen generieren
können.
Eine Option ist es, Bandspeicher endgültig
durch kostengünstigen Cloud-Objektspeicher,
etwa Amazon S3, zu ersetzen. Die
neue Backup-Strategie Flash-to-Flash-to-
Cloud (F2F2C) wurde für bessere Skalierung
und die Umsetzung moderner Backup-Anforderungen
konzipiert. Sie bietet
flexiblere Backup- und Wiederherstellungsoptionen
sowie schnellere Wiederherstellungen
zur Erfüllung anspruchsvoller
RTOs. Hinzu kommen einfachere und
effizientere Abläufe sowie die Kostenvorteile
der Cloud.
Lokaler Flash-Speicher für
Snapshots und Wiederherstellungen
Diese Architektur nutzt den lokalen Flash-
Speicher für effiziente Snapshots und
schnelle Wiederherstellungen. Gleichzeitig
wird eine kostengünstige, hochbelastbare,
externe und selbstgeschützte Public
Cloud für die langfristige Aufbewahrung
genutzt. Entscheidend ist, dass Wiederherstellungsdaten,
sobald sie sich in der Cloud
befinden, einen zusätzlichen Geschäftswert
liefern, indem man sie für andere Anwendungsfälle
wie Test/Entwicklung oder
Analysen wiederverwenden kann. Der
Backup-Markt befindet sich derzeit an einem
Wendepunkt, an dem Flash und die
Cloud eine transformative Rolle spielen.
Wenn Unternehmen Backup-Daten in die
Cloud transferieren, lassen diese sich für
Migration, Entwicklung/Test, Analysen
etc. wiederverwenden.
Aus dem kalten Archiv
in die warme Cloud
Aus kalten Daten im verstaubten Bandarchiv
werden somit warme Daten in der
Cloud, die jederzeit über eine entsprechende
F2F2C-Plattform schnell zugänglich
sind.
Bei der Datensicherung geht es nicht mehr
nur darum, Daten zu speichern und die
Kosten für eine gute Kopie zu minimieren.
Es geht um flexible Sicherungen, schnelle
Wiederherstellungen und vor allem darum,
wertvolle Daten für andere Anwendungen
stets verfügbar zu haben, die den Geschäftswert
steigern.
In dieser Welt des konstanten Datenflusses
wird Disk-to-Disk-to-Tape den Anforderungen
nicht mehr gerecht. Flash-to-Flashto-Cloud
hingegen ist für die Datenmengen
und -anwendungsfälle von heute konzipiert.
Es hilft dabei, mehr aus den Daten
herauszuholen, indem man wertvolle Erkenntnisse
aus ihnen gewinnt.
Markus Frau/ts
Markus Frau ist Principal Systems Engineering bei
Pure Storage, www.purestorage.com.
www.lanline.de LANline 1/2020 57
Schwerpunkt: Backup und Archivierung
Datensicherung in heterogenen IT-Infrastrukturen
Durchblick beim
Backup
Beim Thema Cloud haben Unternehmen die Qual der Wahl. Viele
entscheiden sich daher für den Multi-Cloud-Ansatz, wenn es um die
Speicherung ihrer Daten angeht. Dies führt jedoch dazu, dass die
Sicherung der Daten komplexer wird. Abhilfe schaffen Lösungen,
die ein übergreifendes Backup-Management ermöglichen.
Viele Unternehmen wollen in Sachen Cloud
keinem einzelnen Anbieter den Vorzug geben
– und nutzen in Multi-Cloud-Umgebungen
beispielweise Amazon Web Services
und Microsoft Azure zur Datenablage
parallel. Dafür benötigen sie allerdings eine
Lösung, die sämtliche Backup-Daten unabhängig
vom Speicherort analysiert und dem
Anwender eine ganzheitliche Sicht auf die
vorliegenden Informationen bietet.
So können Unternehmen die Komplexität
des Backup-Managements reduzieren und
gewährleisten, dass die gewählte Plattform
sämtliche Backups erfolgreich durchgeführt
hat, die richtige Menge an Speicherkapazitäten
für die Informationen bereitstellt
und Compliance-Vorschriften einhält.
Nutzt ein Unternehmen beispielsweise einen
neuen Server, kann es passieren, dass
Mitarbeiter ihn versehentlich mit keiner
Backup-Software bekanntmachen.
Um das zu erkennen, hilft eine herstellerunabhängige
Lösung, die automatisch
und kontinuierlich ein erfolgreiches Backup-Management
sicherstellt. IT-Verantwortliche
sehen dann, wo Backup-Daten
fehlen, bekommen aber auch Informationen
darüber, wie es um kopierte Daten bestellt
ist.
Anhand von Änderungsraten der Informationen
lassen sich außerdem Anomalien
identifizieren, etwa ob Daten ungewöhnlich
stark verändert wurden. Verwenden
Mitarbeiter die Daten ganz normal, liegt
die Änderungsrate bei rund fünf Prozent.
Steigt sie an und weist hohe zweistellige
Werte auf, sollten Unternehmen genauer
hinsehen. Denn dann spricht vieles dafür,
dass sich Cyberkriminelle Zugriff auf die
Informationen verschafft haben könnten.
Backup-Prozesse
bis zur Fertigstellung verfolgen
Damit Unternehmen auch im Falle eines
Hackerangriffs keinen Schaden davontragen,
müssen Sicherheitskopien für sämtliche
Daten vorhanden sein. Daher darf auch
in komplexen Backup-Umgebungen, in
denen gleichzeitig mehrere tausend Backup-Aufträge
verarbeitet werden, der Überblick
nicht verloren gehen. Eine Reporting-
und Management-Lösung, die die
gesamte Backup-Infrastruktur mitsamt
Backup-Servern, Clients und Richtlinien
automatisch erfasst, ist für große Konzerne
mit heterogenen Infrastrukturen somit unverzichtbar.
Sie verfolgt Backup-Aufträge vom Anfang
bis zum Ende, validiert erfolgreiche Abläufe
und weist auf fehlgeschlagene Prozesse
hin. Zudem schlägt die Lösung
Alarm, sollte das Backup-System fälschlicherweise
davon ausgehen, dass Sicherheitskopien
bestimmter Daten vorliegen,
obwohl sie nicht erstellt wurden. Erst dann
ist das Unternehmen bei einem Ausfall
oder Hackerangriff abgesichert. Gezielte
Datenanalysen helfen außerdem dabei, dass
die benötigten Speicherkapazitäten der
Backup-Daten planbar und optimal ausgelastet
sind.
Dadurch können die Nutzer feststellen,
wann sie aller Voraussicht nach zusätzliche
Kapazitäten bereitstellen müssen. Reportings
geben zudem darüber Auskunft, ob
es sich bei dem untersuchten Speicher um
einen physischen oder virtuellen Speicher
handelt, oder auch ob er mit Oracle- oder
SQL-Servern betrieben wird.
Bei physischen Speichern wie Virtual Tape
Libraries (VTL) bekommen Unternehmen
die Möglichkeit, mit bestimmten VTL-Anwendungen
etwa die aktuelle Auslastung
in der Gegenwart zu bestimmten und für
die Zukunft zu prognostizieren. Mithilfe
von Command Line Interfaces (CLI) und
Simple Network Management Protocols
(SNMP) können Administratoren den Reportings
beispielsweise die Information entnehmen,
dass in der VTL kein freier Speicherplatz
mehr vorhanden ist.
Unternehmen sollten Werkzeuge zur Datenanalyse
auch dafür nutzen, um festzustellen,
ob Sicherheitskopien bestimmter
Informationen Compliance-konform sind.
Administratoren sind gut beraten, täglich
sämtliche Informationen auf ihre datenschutzrechtlichen
Anforderungen zu überprüfen.
Compliance-Berichte geben Aufschluss
über Änderungen an den Informationen
und weisen auf drohende Regelverstöße
hin. Sie sind außerdem unerlässlich,
wenn es darum geht, Service-Level-Agreements,
internen Compliance-Anforderungen
und externen Sicherheitsaudits zu entsprechen.
Je anschaulicher die Analysen für die Anwender
aufbereitet sind, desto einfacher
lassen sie sich auswerten. Übersichtlich
gestaltete Dashboards helfen Unternehmen,
schnell und unkompliziert auf Informationen
zuzugreifen und als Entscheidungsgrundlage
zu nutzen. Von besonderem
Vorteil sind anpassbare Dashboards.
Ein Beispiel für eine flexible Lösung bietet
Veritas, das mit der Plattform Aptare maßgeschneiderte
Reportings bereitstellt.
Sascha Oehl/ts
Sascha Oehl ist Director Technical Sales DACH bei
Veritas, www.veritas.com.
58 LANline 1/2020 www.lanline.de
News
vFilO virtualisiert bestehende Speichersysteme
DataCore stellt neue SDS-Lösung für File und Object Storage vor
Damit Unternehmen große Datenmengen
lokal oder in der
Cloud besser organisieren, optimieren
und kontrollieren können,
hat DataCore mit vFilO
eine neue SDS-Lösung (Software-Defined
Storage) vorgestellt.
Die Lösung nutze eine
speziell für verteilte Datei- und
Objektspeicher entwickelte
Virtualisierungstechnik der
nächsten Generation, die die
hauseigenen Datendienste von
SANsymphony ergänzen soll.
vFilO biete sowohl ein Scale-
Out-Dateisystem für unstrukturierte
Daten als auch die Möglichkeit,
bestehende Speichersysteme
zu virtualisieren. Unternehmen,
die ihre Dateien
über mehrere Datei-Server,
NAS-Geräte und Objektspeicher
verteilt haben, sollen dadurch
in der Lage sein, ihre Daten
zu finden, zu teilen, zu
schützen und diese Silos unter
einem globalen Namensraum
zu assimilieren. Letzterer sei
über die Standard-Protokolle
NFS, SMB und S3 zugänglich
und lasse die Daten unverändert.
So erfolge der Datenzugriff
über die Plattform unabhängig
vom Standort. Zudem
stellt die Lösung verschiedene
Dokumentensammlungen und
Multimedia-Inhalte in einem
einheitlichen, globalen Katalog
bereit, wie man es aus der Objektspeicherung
kennt.
Der Vorteil von vFilO
sei jedoch, dass es diese
Funktionalität mit
der Reaktionsfähigkeit
und Konsistenz eines
leistungsstarken, verteilten
Dateisystems
kombiniert.
Dabei verfolgt die Plattform einen
richtlinienbasierten Ansatz,
der unter anderem Leistungsbedarf,
Ausfallsicherheit,
Kosten und Alterung berücksichtigt,
und platziert die Daten
dynamisch über die verfügbaren
Ressourcen hinweg. Dies
geht laut Herstellerangaben mit
einer angemessenen Lastverteilung
einher. Auch Zugriffsrechte
und -kontrollen sollen
bestehen bleiben.
Häufig abgerufene Daten überträgt
die SDS-Lösung auf das
schnellste Speichersystem,
während sie selten genutzte
Daten auf kostengünstigeren
Speicher migriert. Mittels ML
(maschinelles Lernen), das auf
Echtzeit- und historischer Telemetrie
basiert, erstelle die Software
ein klares Bild des Leistungs-
und Latenzprofils jedes
verfügbaren Speichersystems,
um so den passenden Speicherort
für jedes Datenelement zu
bestimmen.
Bei Bedarf archiviert, dedupliziert
und komprimiert vFilO
laut DataCore die Daten in der
Public Cloud oder im lokalen
Objektspeicher, um Speicherplatz
und Kosten einzusparen.
Dabei seien die archivierten
Daten auch weiterhin vollständig
verfügbar.
ts
Info: DataCore
Web: www.datacore.com
Neue Generation an Storage-Lösungen
Fujitsu: All-Flash-Arrays und hybride Speichersysteme
Speicherkosten reduzieren
StorCycle automatisiert das Daten-Management
Mit neuen Speichersystemen
will Fujitsu Unternehmen bei
der Bewältigung des Datenwachstums
unterstützen. Für
kleine Unternehmen oder
Zweigniederlassung sei etwa
das Einstiegsmodell Eternus
AF150 S3 ausgelegt. Laut Hersteller
ist es für extrem kurze
Reaktionszeiten und für Datenmengen
von bis zu 92 TByte
optimiert.
Für größere Unternehmen ist
hingegen das hybride Speichersystem
DX900 S5 vorgesehen.
Es soll hohe Leistungen bieten
und auf bis zu vier Controller
skalierbar sein.
Laut Hersteller speichert es bis
zu 70 PByte. Die hardwarebeschleunigte
Komprimierung
mit vollautomatischem Service-Level-Management
mache
das System effizienter.
Außerdem hat Fujitsu die dritte
Generation des Eternus AF All-
Flash-Arrays und die fünfte
Generation der Eternus DX
Hybridspeicherfamilie vorgestellt,
wie der Konzern bor
Kurzem bekannt gegeben hat.
Zu den Neuerungen für die AF-
S3- und die HX-S5-Linien gehören
mehr Rechenleistung,
größere Systemspeicher, NV-
Me-Cache in den Midrange-
Hybridspeichersystemen sowie
eine hardwarebeschleunigte
Kompressions- und Deduplizierungstechnik.
ts
Info: Fujitsu
Web: www.fujitsu.com
Die Storage-Management-
Software StorCycle von Spectra
Logic soll Unternehmen dabei
helfen, ihre Daten zu identifizieren,
zu verwalten, zu
schützen und abzurufen. Obwohl
laut Hersteller 80 Prozent
der Daten eines Unternehmens
inaktiv sind, würden diese auf
teuren Primärspeicher aufbewahrt.
Dies sei nicht nur teuer,
sondern beanspruche auch
wertvolle Speicherkapazität.
Die Speicherverwaltungssoftware
Storcycle bietet nach
Spectra-Angaben die Möglichkeit,
diese inaktiven Daten einfach
zu identifizieren.
Die Lösung durchsuche automatisch
den Primärspeicher
nach inaktiven Daten und migriere
diese anschließend auf
eine kosteneffizientere Speicherebene
(Perpetual Tier). Dabei
könne es sich um eine beliebige
Kombination aus
Cloud-Speicher, Objektspeicher,
NAS und Tape handeln.
Auf diese Weise sollen Unternehmen
ihre Datenmenge auf
der teuren, primären Speicherebene
reduzieren können. Neben
der Kosteneffizienz minimiere
man so auch das Backup-
und Wiederherstellungsfenster,
vermindere den Bedarf
an zusätzlichem Speicher und
erhöhe die Gesamtleistung der
Storage-Infrastruktur, so der
Hersteller weiter. ts
Info: Spectra Logic
Web: www.spectralogic.com
www.lanline.de LANline 1/2020 59
Schwerpunkt: Backup und Archivierung
IT-Sicherheit und Storage
Backups vor
Ransomware schützen
Ransomware bedroht die Verfügbarkeit von Systemen, Anwendungen
und Dateien. Auch das Backup kann Zielscheibe oder Ausgangspunkt
für Malware werden. Nur Sicherheitslösungen, die
gemeinsam mit dem Backup sowie der Datenwiederherstellung
agieren, sorgen nach Einschätzung von Experten für weitreichenden
Schutz vor Verschlüsselungstrojanern.
Ransomware-Angriffe haben verheerende
Auswirkungen und sind nicht umsonst in
den Schlagzeilen. Sowohl Sophos als auch
andere Experten beziffern die Kosten einer
erfolgreichen Ransomware-Attacke im
Schnitt auf rund 130.000 Dollar. Doch was
dabei in die Kalkulationen einbezogen
wird, ist nicht immer klar: Betriebsausfälle
und notwendige Neuausstattung der Infrastruktur
trieben etwa die Kosten des Locky-Angriffs
auf das Neusser Lukas-Krankenhaus
2016 auf eine Höhe von rund einer
Million Euro. Dabei hat das Krankenhaus
dank eines vorhandenen Backups
noch nicht mal ein Lösegeld für die Entschlüsselung
bezahlt.
Laut den Angaben der Malware-Experten
von Sophos zielen 34 Prozent aller Angriffe
mittlerweile nicht mehr auf Endpunkte,
IT-Sicherheit und Backup bieten überlappenden Schutz.
sondern direkt auf die Server. Denn dort
befinden sich wertvolle und unternehmenskritische
Informationen und Anwendungen.
Gehen diese verloren, wird Produktivität
unmittelbar zerstört. Eine Sicherheitslücke
auf dem Server erschließt
zudem weitere Angriffsmöglichkeiten über
die gesamte Infrastruktur hinweg.
Ransomware zielt dabei auch auf Backup-
Server oder deren Sicherungen. Komplexe
Varianten korrumpieren oder löschen sie.
Andere Schadanwendungen verschlüsseln
Sicherungen 30 Tage bevor die Angreifer
eine Zahlung von Lösegeldern verlangen.
Wenn Sicherungen im Rahmen des Backup-Plans,
um Kapazitäten zu schonen, nur
einen Monat lang vorgehalten und dann gelöscht
werden, verfügt ein Unternehmen im
Ernstfall über kein hinreichend aktuelles
Bild: Arcserve
Backup mehr. Nicht wenige Firmen sahen
sich daher genötigt, Lösegeld zu bezahlen,
selbst wenn sie über ein verwertbares Backup
verfügten: Durch ein zu langes Recovery
Time Objective – also die benötigte Zeit zur
Wiederherstellung – oder ein zu großes Recovery
Point Objective – also eine zu weit
zurückliegende Datensicherung – haben
sich Systeme, Informationen und Anwendungen
nicht schnell beziehungsweise nicht
aktuell genug wiederherstellen lassen.
Zu den Maßnahmen gegen Ransomware
gehören neben einer fortschrittlichen Malware-Abwehr
außerdem zentrale Lösungen
in den Bereichen Backup, Wiederherstellung
und Hochverfügbarkeit. Nur so
lassen sich die Datensicherungen effizient
gegen verschiedene Angriffsvarianten
schützen. Ebenso dürfen klassische Backup-Konzepte
nicht fehlen, um die zusätzlichen
Sicherungen der Reichweite von Angriffen
entziehen.
IT-Abteilungen brauchen innovativen Malware-Schutz
über alle Sicherungen in der
gesamten Backup-Infrastruktur hinweg.
Die klassischen signaturbasierten Lösungen
werden zunehmend wirkungslos, weil
viele Angriffe ohne irgendeine erkennbare
ausführbare Datei arbeiten. Software zur
Malware-Abwehr muss zudem immer
mehr und neue, noch unbekannte Angriffsarten
allein an ihrem Verhalten erkennen.
Eine wirksame Abwehr baut daher auf
künstliche Intelligenz.
Deep-Learning-Ansätze erkennen Ransomware-Angriffe
durch die typische Vorgehensweise
einer Verschlüsselungsattacke
und isolieren böswillige Prozesse.
Wichtig sind auch besondere Abwehrfunktionen:
Neue Techniken erkennen unautorisierte
Verschlüsselungsvorgänge innerhalb
von Sekunden und stellen falls nötig
die unverschlüsselten Originaldateien automatisch
wieder her. Sie blocken außerdem
unerlaubte Aktivitäten, etwa böswillige
Manipulationen des Boot-Sektors einer
Festplatte.
Ganzheitliche Lösungen beginnen mit der
Verteidigung schon im Vorfeld eines Angriffs
und erkennen sowie verhindern etwa
Credential Harvesting, also das Verwenden
von MITM-Angriffen (Man in the Middle),
DNS Spoofing, Phishing etc., um Zu-
60 LANline 1/2020 www.lanline.de
Schwerpunkt: Backup und Archivierung
gangsdaten zu stehlen. Sie identifizieren
auch Lateral-Movement-Angriffe, die über
Umwege Zugriff auf sensible Nutzerkonten
erreichen, oder Angriffe durch Privilegieneskalation.
Als letzte Verteidigungslinie
der IT-Security-Abwehr erfolgt der
Lockdown einer Server-Konfiguration.
Komplexe Backup- und Wiederherstellungslandschaften,
die aus mehreren Lösungen
zusammengesetzt sind und deren
Sicherungen sich dadurch an mehreren Orten
befinden, bieten nicht nur einen fehleranfälligen
Flickenteppich von Backup-Lösungen,
sondern auch eine breite Angriffsfläche.
Die Verteidiger tun sich schwer,
solche unübersichtlichen Infrastrukturen
zu schützen und das Fehlen von Malware –
in diesem Fall die Unmöglichkeit einer unberechtigten
Verschlüsselung – in den Sicherungen
zu garantieren.
Backup-Lösungen helfen der IT-Abwehr
daher sowohl durch ihre effektive Sicherung
und Wiederherstellung von Systemen,
Informationen und Anwendungen, als auch
durch einen Malware-Schutz des einheitlichen
zentralisierten Sicherungsortes. Allin-One-Plattformen
sichern zentral Daten,
Systeme und Anwendungen von zentralen
Server- und Endpunkt-Systemen, SAN
oder NAS, Cloud-Workloads oder Cloud-
Storage-as-a-Service-Lösungen und ermöglichen
damit eine effektive Malware-
Abwehr. Geschützt sind damit Anwendungen,
Informationen und Systeme von Windows-
oder Linux-Infrastrukturen, virtuelle
Umgebungen, Datenbanken, Shares oder
auch Sicherungen von Cloud-Diensten.
Auch den Schutz der Appliance an sich gegen
Malware darf der IT-Verantwortliche
nicht vergessen.
Der Malware-Scan der gesicherten Daten,
Systeme und Anwendungen erfolgt dabei
über ihren ganzen Lebenszyklus hinweg.
Denn bisweilen werden verborgene Verschlüsselungsangriffe
genau dann aktiv,
wenn eine Wiederherstellung starten soll.
Eine vollständige Abwehr umfasst den
Schutz und den Anti-Malware-Scan der
Daten im Moment ihrer Sicherung, at Rest
im Verlauf der gesamten Datenvorhaltung
sowie im Fall der Wiederherstellung.
Wirkliche Datensicherheit bietet eine umfangreiche
Anti-Malware-Software erst in
Kombination mit einer engmaschigen Sicherung
hinreichend aktueller Daten, die
sich auch hinreichend schnell wiederherstellen
lassen.
Eine Hochverfügbarkeitslösung, die fast in
Echtzeit jede Veränderung asynchron repliziert,
ermöglicht das punktgenaue Zurückspulen
auf frühere Systemzustände
vor der Infektion mit Ransomware oder
dem Beginn einer Verschlüsselungsangriffs.
Wenn Unternehmen den Start einer
solchen Attacke bemerken, können sie mit
den High-Availability-Lösungen auch Systemzustände
wiederherstellen, die nur wenige
Minuten zurückliegen.
Bei reinen Backup-Lösungen können geeignete
Service Level Agreements und
KPIs das Zahlen eines Lösegeldes auch bei
einem erfolgreichen Angriff überflüssig
machen. Das Recovery Time Objective
(RTO) – also die Zeit, die vom Eintritt des
Schadens bis zur vollständigen Wiederherstellung
des Systems höchstens vergehen
darf – muss dabei niedrig sein, damit sich
der Betrieb wieder schnell aufnehmen lässt
und Folgeschäden durch Anwendungsausfall
möglichst niedrig sind. Das Recovery
Point Objective (RPO) – also der Zeitpunkt
zwischen den Sicherungen – spielt
eine ebenso wichtige Rolle: Je engmaschiger
die Wiederherstellungspunkte gesetzt
sind, umso weniger Transaktionen und Informationen
gehen beim Aufrufen früherer
Recovery Points verloren. Dies minimiert
die Schadenhöhe im Vergleich zum fälligen
Lösegeld.
Ein wichtiger Bestandteil einer Ransomware-Abwehr
ist es, Sicherungen aus der
Reichweite von Malware-Angriffen zu
bringen.
Eine isolierte Sicherung, die sich in der
Netzwerktopologie an einem anderen Ort
als der Produktiv-Server befindet, oder
eine Replikation von Wiederherstellungspunkten
auf einem zweiten Backup-Server
bieten eine Rückversicherung, falls ein
erster Angriff doch sein Ziel erreichte.
Klassische Backup-Strategien wie eine
Auslagerung von Sicherungen in Cloud-
Speicher oder auf Band entziehen das
Backup ebenso der Reichweite einer Malware.
Sven Haubold/ts
Sven Haubold ist Territory Account Director bei
Arcserve, www.arcserve.com.
News
Lösung mit integriertem Kostenkalkulator für die Amazon-Cloud
Veeam ermöglicht Datensicherung auf AWS
Veeam hat seine Lösung Veeam
Backup nun auch für AWS verfügbar
gemacht. Die neue Version
der Datensicherungslösung
biete einen cloudnativen
Datenschutz für die Amazon
Elastic Compute Cloud (EC2)
und soll über den AWS Marketplace
zu beziehen sein. Durch
die Integration mit der hauseigenen
Lösung „Backup & Replication“
sei es möglich, sämtliche
cloudbasierte, virtuelle
oder physische Daten über eine
zentrale Management-Plattform
zu verwalten. Ebenso lassen
sich Workloads so nativ
schützen, unabhängig davon,
ob die Daten in derselben
Cloud (überregional oder kontoübergreifend),
On-Premise
oder in jeder anderen unterstützten
Umgebung, etwa VMware
vSphere, Microsoft Hyper-V
oder Nutanix AHV, gesichert
und wiederhergestellt
werden.
Der integrierte Kostenkalkulator
helfe außerdem bei der
Kostenplanung.
ts
Info: Veeam
Web: www.veeam.com
www.lanline.de LANline 1/2020 61
News
Datenzugriffs- und -Portierungsanfragen zu langsam bearbeitet
Talend: DSGVO-Konformitätsquote bleibt niedrig
Bromium: KI-basierende Sicherheitssysteme sind kein Allheilmittel
KI-Sicherheits-Tools: Mehr Komplexität, gleiche Gefahr
58 Prozent aller global befragten
Unternehmen gelingt es
nicht, Anträge von Einzelpersonen,
die auf Grundlage der Datenschutz-Grundverordnung
eine Kopie ihrer persönlichen
Daten angefordert haben, innerhalb
der in der Verordnung
festgelegten Frist von einem
Monat zu bearbeiten. Dies zeige
eine Untersuchung von Talend.
Im September 2018 veröffentlichte
der Cloud-Integrationsanbieter
die Ergebnisse
seiner ersten DSGVO-Vergleichsstudie.
Damit sollte die
Fähigkeit von Unternehmen bewertet
werden, die Zugangsund
Portabilitätsanforderungen
der Verordnung einzuhalten. 70
Prozent der untersuchten Unternehmen
waren damals nicht
in der Lage, Daten einer betroffenen
Person innerhalb eines
Monats zur Verfügung zu stellen.
Ein Jahr später befragte Talend
erneut diejenigen Unternehmen,
die im ersten Benchmark
die DSGVO-Vorgaben
nicht einhalten konnten.
Gleichzeitig befragte man auch
neue Unternehmen aus der
Zielgruppe. Zwar erhöhte sich
der Gesamtanteil derjenigen
Unternehmen, die eine Einhaltung
der Vorschriften vermeldeten,
auf 42 Prozent, dennoch
bleibt die Quote 18 Monate
nach Inkrafttreten der Verordnung
vergleichsweise niedrig.
„Diese neuen Ergebnisse zeigen
deutlich, dass die Zugangsrechte
für betroffene Personen
für die meisten Unternehmen
immer noch eine Achillesferse
sind“, so Jean-Michel Franco,
Senior Director of Data Governance
Products. Dies gelte besonders
wegen der Tatsache,
dass bald mehrere Datenschutzverordnungen
in den USA, im
APAC-Raum und in Lateinamerika
in Kraft treten. jos
Info: Talend
Tel.: 089/9440275-0
Web: www.talend.com
Klassische Sicherheits-Tools
können nur einen Teil der Cyberangriffe
verhindern. Anbieter
entwickeln deshalb zunehmend
KI-gestützte Tools. Allerdings
bieten auch sie keine hundertprozentige
Sicherheit. Nur die
konsequente Isolation aller Gefahren
verspricht Erfolg, meinen
die Experten vom IT-Sicherheitsanbieter
Bromium.
Angesichts der nach wie vor hohen
Gefährdungslage nutzen
Unternehmen in der IT verstärkt
neue Lösungen. Im Trend liegen
vor allem KI-gestützte Applikationen
(künstliche Intelligenz).
Solche Sicherheitssysteme nutzen
unter anderem Lernverfahren,
Mustererkennungen oder
statistische Prognosemodelle.
Zentrale Vorteile des KI-Einsatzes
sind das Durchforsten großer
Datenmengen und die Suche
nach Angriffsmustern oder
Anomalien. Auf dieser Basis
lassen sich proaktiv Abwehrmaßnahmen
ergreifen. Allerdings
ist keinesfalls gewährleistet,
dass KI-Programme auch
alle Indizien für eine vermeintliche
Gefahr identifizieren, so
Bromium. Darüber hinaus sei es
keine Seltenheit, dass Anomalien
vorschnell als gefährlich eingestuft
werden – mit der Folge,
dass unnötige False Positives
enstehen. Auch neue KI-gestützte
Lösungen können somit
keine einhundertprozentige Erfolgsquote
bei der Gefahrenerkennung
vorweisen. jos
Info: Bromium
Tel.: 0044/1223-314914
Web: www.bromium.com
Digitale Long-Distance-Übertragung für 6G- und 12G-Anwendungen
Sommer Cable offeriert Verkabelung für hochaufgelöste Bildübertragung
Das Auge eines Adlers hat im
Vergleich zum Auge des Menschen
etwa die drei- bis vierfache
Auflösung. Laut Hersteller
Sommer Cable ermöglicht der
12G-UHD-SDI-Übertragungsstandard
so hohe Bildauflösungen,
dass sie das menschliche
Auge nicht mehr vom Originalschauplatz
unterscheiden kann.
Sommer Cable offeriert in diesem
Umfeld sein SC-Vector-
Plus-1.3/5.7-Kabel, das durch
einen kompakten Durchmesser
von 8 mm im kälteflexiblen
PVC-Mantel und einen optimierten
Schirmungsaufbau aus
zwei robusten AL/PTE-Folien
sowie ein dichtes verzinntes
Kupfergeflecht punkten soll.
Die Konstruktion sorge für
äußerst niedrige Dämpfungswerte
und verhindere
Einstreuungen auf die
elektrischen Werte, wie
man es bisher nur von
wesentlich
dickeren
Kabeln kennt, so der
Hersteller weiter. Als
Leiter ist ein versilberter
Massivdraht mit
niedrigsten Toleranzen im
Einsatz, der in eine innen
und außen geglättete gas-
geschäumte Isolation (Skin/
Gas/Skin) eingebettet ist. Diese
Parameter garantieren laut
Sommer Cable eine perfekte
und fehlerfreie Übertragung
nach den Standards SDI (520
m), 6G-SDI (136 m) und
12G-UHD-SDI (94 m).
Zur Assemblierung empfiehlt
der Hersteller den
Das SC-Vector-Plus-1.3/5.7-
Kabel von Sommer Cable soll
durch einen kompakten
Durchmesser von 8 mm im
kälteflexiblen PVC-Mantel und
einen optimierten Schirmungsaufbau
punkten.
Bild: Sommer Cable
passenden BNC-Crimpstecker
BNC1.3/5.7-6G sowie den
Knickschutz KS-1357. Auch
eine konfektionierte Version ist
lieferbar (Bestellbeispiel 1 Meter:
VZ6G-0100-SW-SW), laut
Sommer Cable auf Wunsch
auch auf Trommel. Das Kabel
eigne sich somit besonders gut
für Breitband, Antennen und
Video sowie in der Rundfunk-,
Broadcast- und Überwachungstechnik
oder auch im
Stadionbau.
jos
Info: Sommer Cable
Tel.: 07082/49133-0
Web: www.sommercable.com
62 LANline 1/2020 www.lanline.de
IT Service Guide
Netzwerkzubehör/RZ-Ausstattung
FICONET
systems GmbH
Neue Wildenauer Str.7
08237 Steinberg
Tel.: 037462/6360-0, Fax: 037462/6360-699
E-Mail: sales@ficonet.de
Homepage: www.ficonet.de
Hersteller und Distributor von: strukturierten Verkabelungssystemen,
LWL- und Cu-Datenkabel, Kabelkonfektionen,
Spleissverteiler, Stecker, LWL-Kupplungen,
19" Netzwerk- und Serverschränke, Glasfasermuffen, Datacenter-Solutions,
Trunksysteme, Spleissgeräte, Messtechnik,
Werkzeuge, LWL-Reinigungszubehör, FTTx-
Lösungen, SFP / SFP+ / QSFP+ / CFP Transceiver 1G
bis 100G
Avanis GmbH
Thomas Passlack, Geschäftsführer
Am Fichtenbrink 38, 33659 Bielefeld
Tel.: 0521/26012-0, Fax: 0521/26012-12
E-Mail: info@avanis.de
Homepage: www.avanis.de
Spezialdistributor im Netzwerkbereich mit breitem Markensortiment:
Medienkonverter, Switche, Netzwerkadapter,
Breitband-Kommunikation, IT-Kameras, Kabel,
Software, Wireless LAN, Zubehör. Avanis bietet: Hohen
Qualitätsstandard, benutzerfreundliche Produkte und
kundenorientierte Beratung.
EFB-Elektronik GmbH
Striegauer Straße 1, 33719 Bielefeld
Tel.: 0521/40418-0
Fax: 0521/40418-50
E-Mail: info@efb-elektronik.de
Homepage: www.efb-elektronik.de
Service: Hersteller und Systemanbieter für die strukturierte
Gebäudeverkabelung und Sicherheitstechnik.
EUROMICRON
Werkzeuge GmbH
Zur Dornheck 32 – 34,
35764 Sinn-Fleisbach
Tel.: 02772/57559-0, Fax: 02772/57559-19
E-Mail: sales@euromicron-fo.de
Homepage: www.euromicron-fo.de
Apfel & Waschke
Datentechnik e. K.
Herr Apfel, Inhaber
Flughafen-Ring 201,
47652 Weeze
Tel.: 02837/664820, Fax: 02837/6648228
E-Mail: apfel.waschke@t-online.de
Homepage: www.apfel-waschke.de
Datennetze aller Anwendungssysteme, Glasfaserkabel-
Konfektionierung, Beleuchtungsanlagen-Thermografie
NEFTEC
Herr Fred Tegtmeier
Zeisigweg 31
50829 Köln
Tel.: 0221/938878-0, Fax: 0221/938878-28
E-Mail: info@neftec.de
Homepage: www.neftec.de
Service: Qualitativ hochwertige passive Kupfer- und
LWL Komponenten für FTTx- , LAN- und Telekommunikations-Anwendungen.
Individuelle kundenspezifische
Sonderkonstruktionen wie auch Standard Komponenten:
Adapter-/Patchkabel, Spleißboxen, Faser-/Kabelpigtails
APC, MTP usw runden unser Lagersortiment ab.
ServiceNet EDV-
Vertriebsgesellschaft GmbH
Provinzialstraße 40
53859 Niederkassel
Tel. 0228/7228-0, Fax: 0228/7228-199
E-Mail: info@lichtleiterkabel.com
Homepage: www.lichtleiterkabel.com
Ihr Spezialist für LWL-Kabel und Sonderkonfek tionen.
Anschlussfertige LWL-Kabel in jeder benötigten Ausführung,
mit allen Steckern (LC, SC, ST, FC, DIN,
E2000 ® , MTP ® /MPO, etc.) in jeder gewünschten Länge.
Datenkabel in Standardlängen (Kupfer bis 100 m/Glasfaser
bis 500 m) sofort ab Lager lieferbar.
IT-BUDGET GmbH
Mike Spormann,
Senior Account Manager
Nassaustraße 12,
65719 Hofheim
Tel. 06122/92789-0, Fax: 06122/92789-20
E-Mail: m.spormann@it-budget.de
Homepage: www.it-budget.de
Distributor und Hersteller für Serverschränke, 19”-Verteiler,
Datenkabel (LWL, Kupfer), Stromverteilung/
19”-Speziallösungen für Industrie (Schutzgrad), Büro
(SILENCE RACK)/Montageservice für Schrankaufbau
und Bestückung, RZ-Montagen/Individuelle Lösungen
nach Kundenwunsch: Schränke & Gehäuse, Datenkabel,
Steckdosenleisten
Dätwyler Cables GmbH
Auf der Roos 4-12,
65795 Hattersheim
Tel. +49 (0)6190 8880-0, Fax: +49 (0)6190 8880-80
E-Mail: info.cabling.de@datwyler.com
Homepage: www.cabling.datwyler.com
Dätwyler ist Entwickler, Hersteller und – gemeinsam
mit kompetenten Partnern – Komplettanbieter von hochwertigen
Gesamtlösungen für die Elektro- und ICT-Infrastruktur
von Zweckgebäuden, Rechenzentren und
FTTx-Netzen.
CobiNet Fernmelde- und
Datennetzkomponenten
GmbH
Uwe Tanner
Robert-Bosch-Str. 33, 68542 Heddesheim
Tel.: 06203/4900-0, E-Mail: info@cobinet.de
Homepage: www.cobinet.de
Entwickler, Hersteller und Komplettanbieter von Fernmelde-,
Datennetz-, LWL-Komponenten u. -systemen
wie LSA-/LSA-HD ® -Leisten, Verteiler, Patchfelder/
-kabel, Datenschränke/-dosen/-kabel, Spleißbox, LWL-/
Consolidation-Point-Kabel, vorkonfekt. Kabel, strukt.
Verkabelung, Planungsunterlagen/Planung, Seminare.
Ernst Granzow
GmbH & Co. KG
Abteilung Datentechnik/Herr Weiss
Hertichstraße 27, 71229 Leonberg
Tel.: 07152/18-0, Fax: 07152/18-108
E-Mail: Richard.Weiss@Granzow.de
Homepage: www.granzow.de
Service: Komp. f. strukturierte Verkabelung, KAT 5/6/7.
Messgerätetechnik, Glasfaserkabel u. LWL-Komponenten,
Spleiß-/Messarbeiten, Planung + Beratung von
EDV-Verkabelungen, professionelle Lösungen für TK-
Systeme sowie aktive Netzwerkkomponenten
BKT Kabeltechnik
GmbH
Thomas Lux,
Geschäftsführer
Franz-Josef-Delonge-
Str. 5, 81249 München
Tel. 089-829241-0, Fax: 089-829241-31
E-Mail: info@bkt-kabeltechnik.de
Homepage: www.bkt-kabeltechnik.de
GROSSHANDEL UND IT-SYSTEMHAUS, FTTx,
Glasfasertechnik, Kupfersysteme, Netzwerktechnik,
Datentechnik, Datenkabel, Sonderkonfektionierungen,
Netzwerkschränke, Consulting und Planung
HUBER+SUHNER GmbH
Mehlbeerenstraße 6,
82024 Taufkirchen
Tel. +49 89 61201-0,
Fax: +49 89 61201-162
E-Mail:
info.de@hubersuhner.com
Homepage:
www.hubersuhner.de
Rosenberger-OSI GmbH & Co. OHG
Optical Solutions & Infrastructure
Endorferstraße 6, 86167 Augsburg
Tel. 0821/24924-0, Fax: 0821/24924-929
E-Mail: info-osi@rosenberger.com
Homepage: www.rosenberger.com/osi
Seit 1991 gilt Rosenberger OSI europaweit als Experte
für faseroptische Verkabelungs- und Servicelösungen für
Datacom, Telecom und Industrie. Neben der Entwicklung
und Herstellung des breiten Portfolios an LWL- und
Kupferverkabelungssystemen, bietet Rosenberger OSI
eine Vielzahl an Services wie Planung, Installation und
Instandhaltung von Verkabelungsinfrastrukturen an.
LWL-Sachsenkabel GmbH
Hauptstraße 110
09390 Gornsdorf
Tel.: +49 (0)3721 39 88-0
E-Mail: info@sachsenkabel.de
Homepage: www.sachsenkabel.de
Die LWL-Sachsenkabel GmbH steht für mehr als 25
Jahre Kompetenz in Glasfaser. Basierend auf langjähriger
Erfahrung und höchsten Qualitätsansprüchen entwickelt
und fertigt Sachsenkabel leistungsfähige sowie
wirtschaftliche Verkabelungssysteme für Rechenzentren.
Unser Team von Experten unterstützt Sie bei allen Herausforderungen,
von der Planung über die Implementierung
bis zum Betrieb Ihres Rechenzentrums. So entstehen
maßgeschneiderte Kundenlösungen die Ihnen zwei
entscheidende Faktoren garantieren: absolute Betriebsund
Zukunftssicherheit.
Serverschränke
serverschrank.de
netzwerkschrank.de
Nassaustraße 12, 65719 Hofheim
Tel. 06122/92789-0, Fax: 06122/92789-20
eMail: info@serverschrank.de
Homepage: www.serverschrank.de
Das Beschaffungsportal serverschrank.de / netzwerkschrank.de
bietet die größtmögliche Übersicht über die Produkte
und Anbieter von 19"-Technik – aber auch 10" und
21"-Technik – in Deutschland, kombiniert mit einem möglichst
einfachen Beschaffungsablauf. Vorteile für Nutzer:
+ größte Übersicht und Auswahl zu Netzwerk-, Serverschränken,
Datacentern, Containments
+ einfache Konfiguration des oder der benötigten Racks
+ herstellerunabhängige Beratung und Angebotserstellung
durch ausgebildete Techniker
+ zusätzlich direkte Kontaktmöglichkeit zu Herstellern
und Importeuren
+ herstellerübergreifende Montage-Dienste als Vormontage
(Off-Site) oder am Verwendungsort (On-Site)
+ klare, leicht kalkulierbare, einheitliche Versandkonditionen
+ flexible Zahlungsmodelle
Verkabelungsspezialisten
EFB-Elektronik GmbH
Striegauer Straße 1, 33719 Bielefeld
Tel.: 0521/40418-0
Fax: 0521/40418-50
E-Mail: info@efb-elektronik.de
Homepage: www.efb-elektronik.de
Service: Hersteller und Systemanbieter für die strukturierte
Gebäudeverkabelung und Sicherheitstechnik.
www.lanline.de LANline 1/2020 63
IT Service Guide
ACOME GmbH
Herr Alfred Jansen, Vertriebsleiter
Eutelis-Platz 1, 40878 Ratingen
Tel.: 02102/30975-11, Fax: 02102/30975-50
E-Mail: vertrieb@acome.de
Homepage: www.acome.de
Service: Sichere und wirtschaftliche Verkabelungssysteme,
Glasfaser- und Kupferkabel für Daten- und
Tele kommunikation
Apfel & Waschke
Datentechnik e. K.
Herr Apfel, Inhaber
Flughafen-Ring 201,
47652 Weeze
Tel.: 02837/664820, Fax: 02837/6648228
E-Mail: apfel.waschke@t-online.de
Homepage: www.apfel-waschke.de
Datennetze aller Anwendungssysteme, Glasfaserkabel-
Konfektionierung, Beleuchtungsanlagen-Thermografie
Dätwyler Cables GmbH
Auf der Roos 4-12,
65795 Hattersheim
Tel. +49 (0)6190 8880-0, Fax: +49 (0)6190 8880-80
E-Mail: info.cabling.de@datwyler.com
Homepage: www.cabling.datwyler.com
Dätwyler ist Entwickler, Hersteller und – gemeinsam
mit kompetenten Partnern – Komplettanbieter von hochwertigen
Gesamtlösungen für die Elektro- und ICT-Infrastruktur
von Zweckgebäuden, Rechenzentren und
FTTx-Netzen.
CobiNet Fernmelde- und
Datennetzkomponenten
GmbH
Uwe Tanner
Robert-Bosch-Str. 33, 68542 Heddesheim
Tel.: 06203/4900-0, E-Mail: info@cobinet.de
Homepage: www.cobinet.de
Entwickler, Hersteller und Komplettanbieter von Fernmelde-,
Datennetz-, LWL-Komponenten u. -systemen
wie LSA-/LSA-HD ® -Leisten, Verteiler, Patchfelder/
-kabel, Datenschränke/-dosen/-kabel, Spleißbox, LWL-/
Consolidation-Point-Kabel, vorkonfekt. Kabel, strukt.
Verkabelung, Planungsunterlagen/Planung, Seminare.
Sommer Cable GmbH
Humboldtstraße 32 – 36,
75334 Straubenhardt
Tel. 07082/49133-0, Fax 07082/49133-11
E-Mail: info@sommercable.com
Homepage: www.sommercable.com
Intelligente Verkabelungs- & Installationslösungen.
Modulare, kundenspezifische Verteilsysteme (Rack-,
Tisch-, Boden- & Wandintegration) für Audio-/Video-/
Netzwerk- & Medientechnik. Zusätzlich Meterware-
Kabel, Hybridleitungen, passende Steckverbinder, Konfektionskabel,
aktive Komponenten und Zubehör.
Auch Ihre Anzeige
könnte hier stehen!
Werben Sie kostengünstig und effektiv
mit Ihrer Anzeige im IT Service Guide.
Ihre nächste Möglichkeit:
Ausgabe 2/2020
Anzeigenschluss:
9. Januar 2020
Ihr Kontakt:
truchsess-jacobi@ctj-media.de
Netzwerkdienstleister
HUBER+SUHNER GmbH
Mehlbeerenstraße 6,
82024 Taufkirchen
Tel. +49 89 61201-0,
Fax: +49 89 61201-162
E-Mail:
info.de@hubersuhner.com
Homepage:
www.hubersuhner.de
Frings Building Solutions
GmbH, Herr André Rütters,
Vertriebsleitung
Kleinhülsen 42, 40721 Hilden
Tel. +49 (2103) 58 77 -180, Fax: +49 (2103) 58 77 -320
E-Mail: andre.ruetters@frings-building.de
Homepage: www.frings-building.de
Service: Netzwerk- & Systemlösungen, bundesweit.
Projektierung, Installation, 24h-Service, LAN/WAN;
Inastallation, Betrieb & Wartung aktiver & passiver
Netzwerke, Kupfer- & LWL-Verkabelungssysteme.
Zertifiziert u.a. Dätwyler, Leoni, Corning, R&M, Axis,
Cisco, HP. Bundesweite Standorte: Leipzig, Hannover,
Hamburg, München, Düsseldorf und Frankfurt am Main
Apfel & Waschke
Datentechnik e. K.
Herr Apfel, Inhaber
Flughafen-Ring 201,
47652 Weeze
Tel.: 02837/664820, Fax: 02837/6648228
E-Mail: apfel.waschke@t-online.de
Homepage: www.apfel-waschke.de
Datennetze aller Anwendungssysteme, Glasfaserkabel-
Konfektionierung, Beleuchtungsanlagen-Thermografie
TP Networks Dienstleistungs
GmbH
Herr Endres, Abteilungsleiter
IT-Dienstleistungen
Klausenburger Str. 9, 81677 München
Tel.: 089/357151-0, Fax: 089/357151250
E-Mail: info@tpnetworks.de
Homepage: www.tpnetworks.de,
www.sicher-daten-entsorgen.de
Service: Projektierung, Installation und Wartung von aktiven
und passiven Netzwerken, WLAN-Ausleuchtung
und Messung, IT/RZ-Umzüge und Gerätelogistik, Dokumentation
FNT Command, Datenträgervernichtung
dtm Datentechnik Moll GmbH
Herr Jan Moll
Benzstr. 1, 88074 Meckenbeuren
Tel.: 07542/9403-0
Email: info@dtm-group.de
Homepage: www.dtm-group.de
Service: Von der Beratung zum maßgeschneiderten IT-
Konzept, wir sind Ihr Komplettanbieter für hochwertige
und individuelle IT-Infrastrukturen in Ihrem Unternehmen.
Planung, Ausführung und Dokumentation von
Rechenzentren, Office-Verkabelungen & Industrievernetzungen.
USV-Anlagen
Riello UPS GmbH
Wilhelm-Bergner-Straße 9b
21509 Glinde
Tel.: 040/527211-0, Fax: 040/527211-200
E-Mail: vertrieb@riello-ups.de
Homepage: www.riello-ups.de
Die Riello UPS GmbH bietet USV-Anlagen mit Leistungen
von 400 VA bis 6,4 MVA, individuelle Beratung
sowie einen kompetenten Werkskundendienst.
Notstromtechnik-Clasen GmbH
Kurt-Fischer-Straße 39, 22926 Ahrensburg
Tel.: 04102 2102-0, Fax: 04102 2102-20
E-Mail: info@ntc-gmbh.com
Homepage: www.ntc-gmbh.com
NTC ist Ihr Partner für hochverfügbare, unterbrechungsfreie
und energieeffiziente Notstromversorgung. Wir bieten
Ihnen alle Leistungen von A bis Z aus einer Hand.
Professionell und herstellerunabhängig. Von der Analyse
über Konzeption, Vertrieb und Montage bis hin zur Wartung.
NTC – Sicherer ist das!
U.T.E. Electronic
GmbH & Co. KG
www.ute.de
Friedrich-Ebert-Str. 86, 58454 Witten
Tel. 02302/282830, E-Mail: info@ute.de
Seit über 25 Jahren der Spezialist in NRW für Unterbrechungsfreie
Stromversorgung (USV) in allen Leistungsbereichen.
– Vertrieb von Neuanlagen, auch in kundenspezifischen
Ausführungen
– Breites Serviceangebot mit eigener Werkstatt.
– Wartungsverträge mit unterschiedlichsten Leistungsumfängen
und Reaktionszeiten.
– Montage, Reparaturen, Wartung und Batteriewechsel
an ein- und dreiphasige USV Anlagen verschiedenster
Hersteller.
Besuchen Sie unser Democenter in Witten (Ruhrgebiet)
und klären Sie alle Fragen rund um das Thema USV mit
unseren Spezialisten. Zahlreiche Anlagen stehen vorführbereit
zur Ansicht und Erklärung zur Verfügung.
Wöhrle Stromversorgungssysteme
GmbH
Lerchenstraße 34,
71144 Steinenbronn
Tel. 07157/7374-0, Fax: 07157/7374-44
E-Mail: verkauf@woehrle-svs.de
Homepage: www.woehrle-svs.de
Wöhrle bietet ein- und dreiphasige USV-Anlagen im
Leistungsbereich von 1 kVA bis zu mehreren MVA, eine
individuelle Beratung sowie umfangreiche Service- und
Supportleistungen für höchste Zuverlässigkeit und Verfügbarkeit.
Zusätzlich können Sonderlösungen realisiert
werden.
ABB Automation Products GmbH
Am Fuchsgraben 2 – 3
77880 Sasbach
Tel. 07841/609680, Fax: 07841/609681
E-Mail: ups-deabb@de.abb.com
Homepage: www.abb.de/ups
Energieeffiziente 1- bis 3-phasige USV-Anlagen (1 kVA
– 5 MVA). Dezentrale Parallele Architektur (DPA TM)
für höchste modulare Verfügbarkeit.
Netzwerkanalyse
Viavi Solutions Deutschland
GmbH
Johann Tutsch, Sales Account Manager
Arbachtalstr. 5, 72800 Eningen u. A.
Tel. 07121/86-1571, Fax: 07121/86-1222
E-Mail: Johann.Tutsch@viavisolutions.com
Homepage: www.viavisolutions.de
Viavi ist ein führender Anbieter von Netzwerktestequipment,
Monitoring und Assurance für LWL-, Kupferund
Mobilfunk-Netze. Viavi-Lösungen liefern Transparenz
über physische, virtuelle und hybride Infrastrukturen.
Hierzu bietet Viavi Messgeräte, Systeme, Software
und Dienstleistungen für den Lebenszyklus eines
Netz werkes.
Softing IT Networks
Matthias Caven, Head of Sales
Richard-Reitzner-Allee 6,
85540 Haar
089 45 656 660
info.itnetworks@softing.com
itnetworks.softing.com
Ihr Spezialist für Messtechnik zur Qualifizierung, Zertifizierung
und Dokumentation der Leistungsfähigkeit von
Verkabelungen in IT-Systemen, basierend auf weltweit
führenden technologischen Standards. Profitieren Sie
von unserem kompetenten Support und zukunftssicheren
Lösungen für jedes Budget.
64 LANline 1/2020 www.lanline.de
IT Service Guide
IT-/RZ-Stromversorgung
Notstromtechnik-Clasen GmbH
Kurt-Fischer-Straße 39, 22926 Ahrensburg
Tel.: 04102 2102-0, Fax: 04102 2102-20
E-Mail: info@ntc-gmbh.com
Homepage: www.ntc-gmbh.com
NTC ist Ihr Partner für hochverfügbare, unterbrechungsfreie
und energieeffiziente Notstromversorgung. Wir bieten
Ihnen alle Leistungen von A bis Z aus einer Hand.
Professionell und herstellerunabhängig. Von der Analyse
über Konzeption, Vertrieb und Montage bis hin zur Wartung.
NTC – Sicherer ist das!
Doppelboden für Serverräume
Indotec Doppelbodensysteme
GmbH
Herbert Spitz
Bühlinger Straße 23, 53577 Neustadt/Wied
Tel. 02683/967340, Fax: 02683/967342
E-Mail: info@indotec-gmbh.de
Homepage: www.indotec-gmbh.de
Service: Lieferung und Montage von Doppelböden/
Schaltwartenböden in Server,- Elektro- und Technikräumen.
Fachliche Beratung und Planung (Meisterbetrieb).
Änderungs,- Reparatur- und Instandsetzungsarbeiten.
Zubehörteile für Doppelböden. Maßgefertigte
Treppenstufen/Rampen/Sonderplatten in eigener Werkstatt.
Fachkompetenz seit über 25 Jahren.
IT Security
GORDION Data Systems
Technology GmbH,
Lösungen für komplexe Rechner-Netzwerke
Oliver Lindlar, Network Consulting
Mottmannstraße 13, 53842 Troisdorf
Tel.: 02241/49040, Fax: 02241/490490
E-Mail: info@gordion.de
Homepage: www.gordion.de
Lösungen zu LAN / WAN / WLAN – Security – Analyzing,
insb.: NAC, Security Gateways, Sandboxing, Web Application
Firewalling, VPN.
RZ-Infrastruktur, Monitoring und
Messtechnik
Laser 2000 GmbH
Argelsrieder Feld 14
82234 Wessling
Tel.: +49 8153 405 0
E-Mail: info@laser2000.de
Homepage: www.laser2000.de
Komponenten und Lösungen für Datencenter und
Glasfaserdienstleister. Anbieter passiver und aktiver
Komponenten mit Schwerpunkt Faseroptik, Systemtechnik
bzw. Übertragungstechnik, Netzwerk-Monitoring
und Cyber-Security, Messtechnik (Glas und Kupfer),
Spleißtechnik. Service- und Zubehör-Center.
Rechenzentrum
Hochsicherheits-Rechenzentrum im Atomschutzbunker
Hochsicherheits-Rechenzentrum im ex. Atomschutzbunker
für kritische Infrastrukturen mit Premium
Internet
www.colocationIX.de/Lanline | sales@colocationix.de
ColocationIX bietet Ihr eigenes Rack ab € 695 netto /
Monat
Leistungen: Rechenzentrum, Colocation Racks, Server
Housing, Private Cloud Services, Managed Services,
Infrastruktur Services, CDN, Cybersecurity, Standortvernetzung,
1G/10G/100G IP-Transit für Ihr Autonomes
System (AS), 100Gbit/s Internet Exchange, China
Direkt Verbindung 160ms
Features: 2m Stahlbeton, permanente Sauerstoffreduktion,
500x 42HE Racks in 10 Sicherheitszonen,
Sicherheitsdesign DIN EN 50600 Klasse 4, CO 2 -
neutral, Energieeffizienzklasse A+++, Erbebenfrei
Zertifizierungen: ISO 27001, ISO 27018,
EcoStep ISO 9001, ISO 14001, ISO 45001, ISO 50001
Erleben Sie, welche Vorteile die Auslagerung zu
ColocationIX für Ihr Unternehmen hat.
Mehr Infos finden sie auf www.colocationix.de/Lanline
oder fragen Sie uns am Telefon unter 0421 33388-0
Telefonielösungen
Frings Informatic Solutions
GmbH, Herr Christian Gaul,
Vertriebsleitung
Kleinhülsen 42, 40721 Hilden
Tel. +49 (2103) 58 77 -274, Fax: +49 (2103) 58 77 -310
E-Mail: christian.gaul@frings-informatic.de
Homepage: www.frings-informatic.de
Systemhausgruppe, MS Office 365, Cloud- und Backup-
Services, IP-Telefonie aus dem eigenem Rechenzentrum.
ITIL-HelpDesk-24h-Service, Field-Services bundesweit
Zertifiziert u.a. Swyx, Cisco, Microsoft, Unify, Citrix,
AudioCodes, Baramundi und HP. Bundesweite Standorte:
Hamburg, Hannover, Düsseldorf, Frankfurt a. M.
und München
PDU
PROCOM GmbH
Landsberger Straße 63, D-82110 Germering
Tel. +49 (0)89 840 5717 0, Fax: +49 (0)89 840 5717 1
E-Mail: info@procom-pdu.de
Web: www.procom-pdu.de
Power Distribution Units von Raritan ® und Legrand ®
• i-PDUs (aktive Steckdosenleisten) für eine zentrale
oder dezentrale Echtzeit-Überwachung der Stromzufuhr
über IP.
• PDUs (passive Steckdosenleisten) für den horizontalen
und vertikalen Einbau, Kabelabziehschutz,
Alugehäuse
Einfachste Montage in Netzwerk- oder Verteilerschränken.
Inserentenverzeichnis
ColocationIX GmbH 3
Deutsche Messe AG 19
envia TEL GmbH 7
Kentix GmbH 4
KIOXIA Europe GmbH 2
Mazda Motors (Deutschland) GmbH 68
NovaStor GmbH 55
Paessler AG 27
Waveline-mar.com 13
WEKA FACHMEDIEN GmbH 5,9,65,67
aktuell.
modern.
mobil.
Bild: LANline, Model: Aleksandar Tomic-123rf
lanline.de
Vorschau
Die Ausgabe 2/2020
erscheint am 28. Januar 2020
Schwerpunkt
Datacenter-Management
Mit fortschreitender Digitalisierung gewinnen
Rechenzentren und damit auch
deren Management weiter an Bedeutung.
Die Herausforderungen reichen
dabei von der Kontrolle und Optimierung
des energieeffi zienten Betriebs
über Sicherheitsaspekte bis hin zur
Verwaltung von virtuellen Netzen und
containerisierten Applikationen.
Schwerpunkt
Verkabelung
Mobilfunk, Telcos und Cable-TV-Betreiber
sorgen momentan für die stetig
steigende Verbreitung von synchronem
Ethernet für 5G-Access und 100GbE-
Backbones. Dies erfordert unter anderem
neue Messtechnik. Auch modernes
KVM basiert heute auf einem leistungsfähigen
Ethernet. Mit Marktübersicht
LWL-Kabel und -Stecker.
Produkte/Services
Thycotic Secret Server im Test
Die Verwaltung von privilegierten Konten
ist für Administratoren eine wahre
Herausforderung. Excel-Listen mit Zugangsdaten
oder die überaus praktische
Keepass-Software von Dominik Reichl
sind für Unternehmen schlicht nicht
ausreichend. Thycotics Secret Server
wäre eine professionelle Alternative.
Vorschau auf kommende LANline-Schwerpunkte
Ausgabe 3/2020
erscheint am 25.2. 2020
Datacenter Computing
Mit Marktübersicht
HCI-Systeme
Endpoint-Management
Mit Marktübersicht
UEM-Lösungen
Ausgabe 4/2020
erscheint am 25.03. 2020
Industrie 4.0 und IoT
Mit Marktübersicht
IoT-Gateways
RZ-Infrastruktur/-Betrieb
Mit Marktübersicht
Anbieter von RZ-Kühlung
Ausgabe 5/2020
erscheint am 24.04. 2020
Strukturierte Verkabelung
Mit Marktübersicht
Kategorie-7/7 A /8.2-Kabel
Wireless-Technik
Mit Marktübersicht
WLAN Access Points
Redaktionsschluss 20.12. 2019 Redaktionsschluss 28.01. 2020 Redaktionsschluss 25.02. 2020
Impressum
REDAKTION
Anschrift: Redaktion LANline, WEKA FACHMEDIEN GmbH,
Richard-Reitzner-Allee 2, 85540 Haar,
Tel. + 49 89 25556-1000, Fax + 49 89 25556-1199
Chefredakteur: Dr. Jörg Schröper (jos)
Redaktion: Timo Scheibe (ts)
Autoren dieser Ausgabe: Markus Frau, Dr. Wilhelm
Greiner (wg), Sven Haubold, Alexander Haugk, Thomas
Hefner, Henrik Jorgensen, Dr. Sven Krasser, Christoph
Lange, Robert Meiners, Stefan Mennecke, Ulrich Meyer,
Stefan Mutschler, Sascha Oehl, Detlev Pacholke, Dr.
Constantin Söldner, Roland Stritt, Richard Werner
Layout: JournalMedia GmbH, 85540 München-Haar
Titelbild: Wolfgang Traub
Gekennzeichnete Artikel stellen die Meinung des Autors,
nicht unbedingt die der Redaktion dar. Für unverlangt
eingesandte Manuskripte keine Gewähr. Alle in der
LANline erscheinenden Beiträge sind urheberrechtlich
geschützt. Alle Rechte, auch Übersetzungen, vorbehalten.
Reproduktionen, gleich welcher Art, nur mit schriftlicher
Genehmigung des Verlages.
Aus der Veröffentlichung kann nicht geschlossen werden,
dass die beschriebenen Lösungen oder verwendeten
Bezeichnungen frei von gewerblichem Schutzrecht sind.
Erfüllungsort und Gerichtsstand ist München.
MEDIABERATUNG
Verlagsrepräsentantin: Cornelia Truchseß-Jacobi,
Tel. + 49 170 3372234 oder +49 89 71940003,
E-Mail truchsess-jacobi@ctj-media.de,
cornelia.truchsess@lanline.de
Verantwortl. für den Anzeigenteil: Eric Weis,
Tel. + 49 89 25556-1390
Zurzeit gilt Anzeigenpreisliste Nr. 32 / 2020
VERLAG
Anschrift: WEKA FACHMEDIEN GmbH
Richard-Reitzner-Allee 2, 85540 Haar,
Tel. +49 89 25556-1000, Fax + 49 89 25556-1199
HRB 119806, Amtsgericht München
Geschäftsführung: Kurt Skupin, Wolfgang Materna
Verlagsleitung: Matthäus Hose, Peter Eberhard
Vertriebsleitung: Marc Schneider,
Tel. +49 89 25556-1509
Herstellungsleitung: Marion Stephan
Druck: Vogel Druck und Medienservice GmbH,
Höchberg
Erscheinungsweise: monatlich
ISSN: 0942–4172
HIER KÖNNEN SIE BESTELLEN
Fragen zu Ihrem Heftbezug
Bestell- und Abonnement-Service:
WEKA FACHMEDIEN GmbH,
c/o ZENIT Pressevertrieb GmbH,
Postfach 810640, 70523 Stuttgart
Tel. + 49 711 7252210, Fax + 49 711 7252333
E-Mail: abo@weka-fachmedien.de
Shop: www.weka-fachmedien.de/shop
Bezugspreise:
Jahresabonnement
(12 Ausgaben, inkl. Mwst. und Versand)
Inland Euro 107,60
Ausland Euro 119,60
Einzelheft Euro 10,00 (inkl. Mwst., zzgl. 3,– Euro Versand)
Bankverbindung: Postbank München, BLZ 70010080,
Kontonummer 9339809
Bezugszeit: Das Abonnement kann jederzeit, spätestens
jedoch sechs Wochen zum Ende des Bezugsjahres
gekündigt werden. Ansonsten verlängert sich das Abonnement
um weitere zwölf Monate.
Bei Nichterscheinen aus technischen Gründen oder
höherer Gewalt entsteht kein Anspruch auf Ersatz.
66 LANline 1/2020
Kostenfreie Teilnahme
mit VIP-Code
20TF01MUCPA
28.-29. JANUAR 2020
HOLIDAY INN MÜNCHEN
Das LANline Tech Forum bietet Ihnen die Plattf orm für neuste
Entwicklungen und Trends im Bereich Verkabelung, Netze und
Infrastruktur. Hier treff en Sie Experten, Branchen-Insider und
Fachleute aus der Kabelbranche sowie Kollegen aus Planung,
Realisierung und Betrieb der Verkabelungsinfrastruktur für ein
intensives Networking innerhalb der Fach-Community.
In herstellerneutralen Technikvorträgen ebenso wie bei der Präsentati
on neuer Lösungen in Produktvorträgen erfahren Sie alle
Neu entwicklungen bei Technik, Normierung und bei Produkten.
Schwerpunkte:
■ Was kommt nach 10GbE:
100, 400 und mehr GBit/s
■ Single Pair Ethernet und IoT
■ Multi mode und Singlemode
■ Alle Spielarten von Kategorie 8
■ Aktuelle Normierungen für
Kabel und Steckverbinder
■ Topologie-gerechte
Verkabelung im RZ
Agenda, Anmeldung und Details finden Sie unter
www.lanline.de/events
Eine Veranstaltung von:
ERFOLG VORPROGRAMMIERT
Der Mazda CX-5 ist der neue Treiber in Ihrem Unternehmen.
Mit innovativer Skyactiv Motorentechnologie und Mazda Connect
kommen Sie besser voran und bleiben immer in Verbindung.
MAZDA CX-ḅ
Mazda Business Leasing ab 209 € ohne Anzahlung*
Kraftstoffverbrauch im Testzyklus: innerorts 7,7 l/100 km, außerorts 5,6 l/100 km,
kombiniert 6,4 l/100 km. CO 2 -Emission: 146 g/km. CO 2 -Effizienzklasse: C.
MAZDA CARE PLUS
I N K L U S I V E
WARTUNG & VERSCHLEISS
* Monatliche Rate (netto) – ein Leasingangebot für gewerbliche Kunden der Mazda Finance – einem Service-Center der Santander Consumer Leasing GmbH (Leasinggeber), Santander-
Platz 1, 41061 Mönchengladbach – bei 0,00 € Sonderzahlung mit 36 Monaten Laufzeit und 60.000 km Gesamtfahrleistung für einen Mazda CX-5 Prime-Line Skyactiv-G 165 FWD
(2,0-l-Benziner) und Abschluss einer GAP-Vereinbarung gemäß den Allgemeinen Geschäftsbedingungen und Regelungen für Kilometerleasingverträge zum Preis von 5,00 €. Gültig für
Neuwagenbestellungen von Gewerbekunden, Freiberuflern oder Selbstständigen ohne Mazda Rahmenabkommen bis zum 31.12.2019. Beinhaltet Kundenrabatt teilnehmender
Mazda Vertragshändler. Beinhaltet nicht das Mazda Care Wartungspaket. Alle Preise zzgl. Überführungs- und Zulassungskosten. Beispielfoto eines Mazda CX-5. Die Ausstattungsmerkmale
des abgebildeten Fahrzeuges sind nicht Bestandteil des Angebotes.
DRIVE TOGETHER