Details zur Analyse unter http://www.bitkom.org/de/mittelstand/41803.aspx

von Julia Haigis (Team discuss & discover)

Finanzierung zu null Prozent. IT-Renovierung zum Nix-Tarif. Wenn Banken mit Krediten geizen, lassen sich Hersteller und Anbieter den Banken-Bypass einfallen und stützen ihre Kunden und deren IT-Projekte mit großzügigen Mitteln, so genannten Übergangsfinanzierungen.

Wer kaum Mittel hat, um seine IT am Laufen zu halten, segelt hart am Wind. Die Informationstechnologie ist, man wagt es kaum noch zu erwähnen, ein für den Unternehmenserfolg, entscheidender Faktor. Doch die Milliarden-Kredite und -Bürgschaften, mit denen Regierungen gegen den Kollaps des internationalen Finanzmarktes ankämpfen, kommen bei den wenigsten Unternehmen, die in der Kredit-Klemme sitzen, an. Und so haben einige ITK-Anbieter wie die IBM Rettungspakete für ihre Kunden geschnürt, um deren notwendige IT-Projekte zu finanzieren.

Das Handelsblatt berichtet

Das Bundesdatenschutzgesetz verpflichtet heute eigentlich alle Unternehmen zur Bestellung eines Betriebsdatenschutzbeauftragten (BDSB). Unternehmen, in denen mindestens 9 Arbeitnehmer mit der automatisierten Datenverarbeitung befasst sind oder Unternehmen, in denen 20 Personen personenbezogene Daten auf andere Art und Weise erheben, verarbeiten oder nutzen, haben schriftlich einen Beauftragten für Datenschutz zu bestellen. Zu den Aufgaben des Betriebsdatenschutzbeauftragten rechnet der Gesetzgeber zum Beispiel:

• die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben, insbesondere des Bundesdatenschutzgesetzes,
• die Überwachung der ordnungsgemäßen Anwendung der EDV Systeme, mit deren Hilfe personenbezogene Daten verarbeitet werden,
• die Bearbeitung datenschutzrechtlicher Beschwerden und Auskunftsersuchen von Betroffenen,
• die Schulung der für die speziellen EDV Systeme zuständigen Mitarbeiter bezüglich des Datenschutzes,
• die Vorabkontrolle automatisierter Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen,
• die Bereitstellung von Angaben über Verfahren automatisierter Verarbeitungen in geeigneter Weise auf Antrag.

Zur Erfüllung seiner Aufgaben verfügt der Betriebsdatenschutzbeauftragte über umfassende Rechte im Unternehmen. Dabei ist es gleichgültig, ob es sich bei ihm um einen festen Mitarbeiter handelt, der nach Bedarf für diese Aufgabe freigestellt wird, oder ob es sich um einen externen Spezialisten handelt. In jedem Fall ist der Geschäftsführer eines Unternehmens dafür verantwortlich, dass ein solcher Betriebsdatenschutzbeauftragter benannt wird und dass er über die notwendigen Qualifikationen und Instrumente verfügt.

Die Ergebnisse unserer Umfrage: 6,7 Prozent der befragten Unternehmen haben keinen BDSB bestellt. Weitere 5,3 Prozent der Befragten wissen nicht, ob es in ihrem Unternehmen einen BDSB gibt. Nur 9,3 Prozent der Befragten verlassen sich auf die Expertise externer Experten.

Die meisten der großen IT-Anbieter haben inzwischen eigens Programme für die Umstellung ihrer ISV-Partner auf das SaaS-Zeitalter aufgelegt. So betrachtet zum Beispiel IBM das eigene SaaS Partnerprogramm als Teil der IBM Cloud Computing Strategie und konzentriert sich auf ISVs, die ihren Kunden künftig ihre eigens entwickelten Anwendungen auf Mietbasis zur Verfügung stellen wollen.

Welche Vorteile bietet SaaS für ISVs?

Die Vorteile für ISVs, die sich einem der Programme der großen IT-Anbieter anschließen liegen auf der Hand:

1. Höhere Wettbewerbsfähigkeit
2. Flexible Bereitstellung von neuen Features und Funktionen je nach Bedarf
3. Attraktive Preismodelle und niedrige Vorlaufinvestitionen
4. Spürbare Zeit- und Kostenersparnis
5. Beschleunigte Erschließung neuer Märkte und neuer Kundengruppen
6. Schneller Ausbau des Geschäfts mit Bestandskunden

Vernünftige ISV-Programme decken alle SaaS Entwicklungsphasen ab

Die ISV-Programme der großen IT-Anbieter sollten den ISV in allen Phasen der SaaS-Implementierung unterstützen. Am Beispiel der „SaaS Enablement Roadmap” des IBM SaaS Partnerprogramms wird diese „mitwachsende” Unterstützung deutlich:

Phase 1 – Business Strategie

In dieser Phase steht die Entwicklung einer effizienten Business-Strategie im Fokus. Dabei kann der ISV die Tiefe der Unterstützungsleistung bestimmen, ob er in einem kostenfreien Workshop die Erfahrungen aus den Best Practices nutzt oder tief greifende Business-Analysen benötigt.

Phase 2 – Lösungsarchitektur

IBM prüft gemeinsam mit dem Kunden, wie die Anwendung für SaaS angepasst werden können und berät bei der Festlegung und dem Design der Architektur.

Phase 3 – Umsetzung der Lösungsarchitektur

In der dritten Phase geht es an die Umsetzung des SaaS-Projekts. IBM bietet dabei Unterstützung beim Projektmanagement, bei der Anwendungsarchitektur, bei der Implementierung und über den gesamten Lifecycle der Anwendung hinweg.

Phase 4 – Betrieb der Lösung

IBM stellt seinen Kunden Managed Hosting Services zur Verfügung und unterstützt so Anforderungen an den Betrieb. SaaS-Lösungen werden in zertifizierten, professionellen Rechenzentren der IBM in Deutschland mit höchsten Sicherheits- und Verfügbarkeitsstandards betrieben. Auf Wunsch kann die Lösung auch in jedem anderen EU-Mitgliedsland, in Asien oder Amerika gehostet werden – bei gleichen Sicherheits- und Verfügbarkeitsstandards.

Phase 5 – Absatz

In der fünften Phase kommt professionelle Marketingunterstützung durch IBM hinzu, um die Marktpräsenz der SaaS-Lösung zu steigern und den Erfolg zu fördern.

ISV-Programme der anderen großen IT-Anbieter für SaaS-Anbieter sehen ähnlich aus. Die discuss & discover ist ein guter Rahmen, um mit potenziellen Hosting-Partnern über neue Business Opportunities zu sprechen und sich mit Gleichgesinnten in konzentrierter Atmosphäre über eigene Erfahrungen auszutauschen.

Eines Tages wird es sich für viele Unternehmen einfach nicht mehr lohnen, eigene Server zu betreiben. Philipp Huber, COO des Cloud-Providers XCalibre Communications, drückt es so aus: „Es wird wahrscheinlich nur noch ein bis zwei Jahre dauern, bis Cloud Computing effizienter ist als die weltweit bestgeführten IT-Organisationen in Unternehmen.”

Vom SaaS-Paradigma unterscheidet sich Cloud Computing wie folgt:

1. Die Infrastruktur des Cloud Computing ist vorgegeben und unterliegt anders als bei SaaS nicht den Entscheidungen des Anwenders.
2. Die Serverstruktur in der Cloud ist fast immer vollständig virtualisiert.
3. Die Cloud selbst ist in aller Regel hochverfügbar und weitgehend ausfallsicher.
4. Die Abrechnung der Cloud-Services erfolgt zumeist auf der Basis konkreter CPU-Stunden oder Datenmengen.

Unternehmen, die heute bereits ihre IT-Strukturen virtualisieren oder moderne Grid-Technologien einsetzen, können schnell, sanft und kostengünstig ins Cloud Computing migrieren. Dabei können einzelne Projekte jederzeit – auch zeitlich befristet – in die Cloud verschoben werden, wofür man mit dem Provider in aller Regel keine langfristigen Verträge abschließen muss.

Alle großen IT-Unternehmen bieten heute eine mehr oder weniger umfangreiche und konsistente Produkt- und Lösungspalette für das Arbeiten in der Cloud an.

Betrachten wir als Beispiel einmal Oracle: Zu den zentralen Elementen für eine Oracle-basierte Cloud gehören

1. Oracle Real Application Clusters (RAC) unterstützt den Einsatz einer einzelnen Datenbank in einem Cluster von Servern mit hoher Fehlertoleranz und Skalierbarkeit, ohne dass Anwendungen geändert werden müssen.
2. Oracle Automatic Storage Management (ASM) vereinfacht das Storage Management quer über alle Server- und Speicher-Plattformen.
3. Oracle Virtual Machine (VM) als Teil des Oracle On Demand Managed Services Grid, das  neben Oracle Applikationen auch Applikationen anderer Anbieter, sowie Fusion Middleware und Linux unterstützt.
4. Oracle Application Grid vereinfacht die Verteilung von Hardware-Ressourcen auf die Applikationen und steigert so die Effizienz, die Skalierbarkeit und die Service Levels.

Mit diesen Werkzeugen realisieren Unternehmen jeder Größe unabhängig von der Branche, der sie angehören, heute zentrale Vorteile:

1. Reduzierung des Platzbedarfs für die IT um bis zu 80 Prozent
2. Senkung der IT-bezogenen Energiekosten um bis zu 60 Prozent
3. Verbesserte Service Level Agreements
4. Kostensenkung für Anwendungen um bis zu 30 Prozent
5. Senkung der Personalkosten
6. Effizientere Nutzung der Ressourcen durch Ausgleich von Spitzenlasten
7. Flexibilisierung der Geschäftsprozesse

Dabei reicht der Einsatzbereich von Business Intelligence und Collaboration über CRM, Digital Asset Management, Enterprise Content Management und ERP,  bis hin zu Storage und Supply Chain Management.

Besonders schnell wird sich das neue IT-Paradigma – folgt man den Experten von Forrester – bei Web-Konferenzen, CRM und im Storage-Bereich durchsetzen.

Software as a Service hat den Durchbruch längst geschafft. Heute gibt es klassische Kauf-Software, wie zum Beispiel traditionelle SAP-Anwendungen, aber auch reine SaaS-Angebote, wie zum Beispiel die Services von Salesforce.com. Die meisten Softwareangebote aber liegen irgendwo zwischen reiner Kauf- und reiner SaaS-Software.

Künftige Produktentwicklungen verzichten kaum mehr auf Service-Komponenten. Die Entwicklung der nächsten Generation von Microsoft Office oder künftige Windows-Varianten („Azure”) sind hierfür ein Beispiel. Vielfach werden die Grenzen gar nicht mehr sichtbar.

Es geht also nicht um die Frage „Kauf-Software oder Miet-Software”, sondern darum, wie künftig mit heterogener Kauf-Miet-Software optimal umzugehen ist:

• Wann lohnen Miet-Komponenten?
• Welche Formen von Miet-Software gibt es überhaupt? (die Spanne reicht von kostenloser, weil werbefinanzierter, Software über Cost-per-use bis zur beinahe klassischen Mietlösung)
• Welche Vorteile gibt es und was sind die Voraussetzungen dafür, dass sich die Vorteile auch wirklich realisieren lassen?
• Wie ist ein optimales Software Asset Management aufzusetzen?

Der Markt für IT as a Service ist gigantisch

• IDC erwartet für SaaS für 2009 ein Marktwachstum von 40,5 Prozent.
• Gartner erwartet für SaaS für 2009 bis 2011 ein Marktwachstum von 100 Prozent.
• Allein der Markt für ERP as a Service für den Mittelstand liegt laut SAP weltweit bei 1,2 Millionen Unternehmen bzw. mehr als 11 Milliarden Euro.
• Der weltweite Markt für Unified Communications als SaaS liegt laut Radicati Group schon im Jahr 2012 bei mehr als 20 Milliarden Euro.

IT as a Service geht jeden an

Dabei geht das Thema IT as a Service heute jeden an, der sich mit IT beschäftigt. Denn jeder kann aus dem neuen Geschäftsmodell Nutzen ziehen:

Allein durch den Einsatz von SaaS-Strategien im Bereich CRM erwartet Gartner für mittelständische Unternehmen ein Einsparungspotenzial zwischen 25 und 40 Prozent. Grund genug, sich auf der discuss & discover nach SaaS-Alternativen umzusehen!

Mobile Schädlinge stehen noch nicht im Fokus der Weltöffentlichkeit. Doch Viren für Handys, Smartphones und PDAs sind im Kommen. Blickt man etwa auf die Liste der Top-Ten-Bedrohungen des SANS-Instituts (www.sans.org), sieht man, dass die mobilen Schädlinge immerhin Platz vier belegen – noch vor Spyware und Social Engineering.

Den Trend bestätigt Alexander Gostev, Senior Virenanalyst bei Kaspersky Lab: „Schon im letzten Jahr waren mobile Viren sehr aktiv.” Dabei verteilen sich die neuen Schädlinge ziemlich gleichmäßig auf die vier wichtigsten Angriffsziele mobiler Viren: auf die Plattformen Symbian, Windows Mobile, J2ME und iPhone. „Doch auch vor den mobilen Schädlingen kann man sich schützen. So gibt es verschiedene Lösungen für Smartphones, etwa Kaspersky Mobile Security”, so Gostev weiter.

Malware-Schutz to go
Zur Grundausstattung der Handy-Sicherheit gehört wie auch bei Security-Software für Computer ein Echtzeitschutz für das Dateisystem. Dabei sollten alle Dateien, die über drahtlose Verbindungen empfangen werden, eingehende Nachrichten und der Datenverkehr bei der Synchronisierung mit dem PC untersucht werden. Zudem müssen natürlich auch alle Dateien geprüft werden, die auf dem mobilen Gerät geöffnet werden.

Schutz vor Handy-Spam bieten auch hier Anti-Spam-Module, die Spam versendende Telefonnummern sowie unerwünschte Wörter oder Phrasen auf eine Blacklist setzen. Alle Einträge aus dem Adressbuch des Anwenders landen dagegen auf der Liste mit vertrauenswürdigen Absendern.

Datenschutz bei Handy-Verlust
Doch die beste Schutz-Software nützt nichts, wenn die Geräte verlorengehen oder gestohlen werden. Datensicherheit bei Verlust ist deshalb fester Bestandteil einer Rundum-Schutzlösung: Wird das Telefon gestohlen, sollten die enthaltenen Daten per SMS-Befehl gelöscht oder verschlüsselt werden können. Dann haben Diebe keine Chance, die Daten auszuwerten und zu verkaufen.

Mit der Zunahme verschiedener Security-Komponenten auf den Endgeräten werden Aspekte wie zentrales Client Management, Konsolidierung der Sicherheitssoftware und TCO wichtiger. Einige Hersteller versprechen dafür „totale” oder „komplette” Sicherheitslösungen. Was ist davon zu halten und worauf sollte man achten?

Virenscanner alleine reicht nicht
Lange Zeit gab es genau ein Security-Produkt, das als Basisschutz angesehen wurde – der Virenscanner. Mit der wachsenden Bedrohung kamen immer neue Sicherheitsprodukte hinzu: Festplattenverschlüsselung, Personal Firewall/IPS oder Schnittstellenkontrolle, zum Teil ergänzt um weitere Lösungen wie VPN Client, NAC Client oder ein DLP System.

Trend zur Komplettlösung
Und wie lässt sich bei dieser Vielfalt von Sicherheitsprodukten auf dem Client noch sinnvoll arbeiten? Performance-Probleme und regelmäßig auftretende Bluescreens durch nicht aufeinander abgestimmte Lösungen behindern das Tagesgeschäft massiv.

Die Anbieter von Sicherheitslösungen bieten dafür komplette Suiten an. In der Theorie klingen die Versprechungen der Hersteller natürlich sehr gut: Kompatibilitätsprobleme sollen durch umfangreiche Tests der Hersteller und Abstimmung zwischen den einzelnen Modulen ausgeschlossen werden. Auch Performance soll kein Thema mehr sein. Inwieweit werden diese Versprechungen allerdings in der Praxis eingehalten? Wer sich etwas mit der Historie der einzelnen Komplettlösungen befasst, kann die Frage fast schon selber beantworten.

Übernahmen in der IT-Security
Anbieter von kompletten Endpoint Security Suiten wie beispielsweise Checkpoint, Sophos und McAfee erweitern ihre Kernkompetenzen durch zahlreiche Übernahmen. 

Doch die versprochenen Vorteile können nach einem Aufkauf noch nicht alle umgesetzt sein. Während Sophos mit der Integration von Utimaco wahrscheinlich erst im Laufe des Jahres beginnen wird, ist McAfee hier schon einen Schritt weiter und bietet zumindest eine zentrale Softwareverteilung über einen einheitlichen Installer. Am weitesten ist momentan Checkpoint, die seit Mitte August einen einheitlichen Client mit einem Installer und mit einer Oberfläche für den Endanwender bieten.

Es stellt sich somit die Frage, ob die angekündigten Suiten kurz- bis mittelfristig die richtige Lösung bieten oder, ob mit einem gemischten Best-of-Breed-Ansatz bessere Ergebnisse erzielt werden können.

In Zukunft Clients sichern!
Fakt ist: Die wachsende Bedrohung erfordert eine steigende Anzahl von Sicherheitsmaßnahmen am Client. Einzelne Pakete werden sich auf Dauer nicht sinnvoll betreiben lassen können. Wir raten dazu, sich heute mit den Einschränkungen der Suiten vertraut zu machen sowie die – finanziellen und technischen – Vorteile mitzunehmen.

Auch wenn die Hersteller ihre Systeme als Komplettpakete bezeichnen, sollte jedem klar sein, dass damit nur ein kleiner, wenn auch wichtiger, Schritt in Richtung sicherem Client getan ist.

Nachhilfe nötig bei Authentifizierung und Training
Keiner der Hersteller bietet heute eine sinnvolle Authentifizierungslösung sowie ein Training der Endanwender. Aber eine sichere Authentifizierung ist die Basis für fast alle Sicherheitslösungen auf einem Client.

Werden Endpoint Security-Suiten sinnvoll eingesetzt, d.h. mit einer Authentifzierungslösung sowie einer Endanwendersensibilisierung kombiniert mit einem Training, kann bereits das beste Verhältnis von Sicherheit zu Aufwand erreicht werden. Bei NAC und DLP Lösungen kommt es auf ein stimmiges Gesamtkonzept an, das auch Gateway und Netzwerk berücksichtigt.

Wir demonstrieren gerne den aktuellen Stand der Systeme mit Hilfe des Integralis Solution Campus bei unseren Kundenveranstaltungen (http://www.integralis.de) und auf der discuss & discover (http://blog.discuss-discover.com). Hier zeigen wir Ihnen auch, welche Vor- aber auch Nachteile ein Umstieg auf eine Security Suite gegenüber einem Best-of-Breed-Ansatz bringt.

Noch vor wenigen Jahren war eine typische Bedrohung beispielsweise ein Virus, das in Form eines E-Mail-Anhangs zugestellt wurde. Viren waren auf schnelle Verbreitung angelegt und daher eher einfach aufgebaut.

Durch regelmäßige Pattern-Updates der Antiviren-Software wurde das Problem in der Regel behoben. Heutige Bedrohungen sind ungleich raffinierter und daher gefährlicher als je zuvor. Angetrieben von technisch versierten und profitgierigen Cyber-Kriminellen bestehen webbasierte Bedrohungen aus mehrdimensionalen, koordinierten Angriffen, die erheblichen Schaden anrichten können. Anonymität, steigende Benutzerzahlen und fortschreitende Technologien erzeugen immer wieder neue Schwachstellen. Bei jedem Besuch im Internet und jedem Klick auf einen Link in einer E-Mail setzen wir uns und andere gefährlichen Bedrohungen aus.

Die Sicherheitslösungen von gestern schützen nicht mehr vor den Bedrohungen von heute. Um Cyber-Kriminelle zu überlisten, ist ein umfassenderer Sicherheitsansatz erforderlich. Dieser muss mehrere Schutzschichten bieten sowie eine breite Vielfalt an Sicherheitsmaßnahmen beinhalten. Um auf die sich permanent weiter entwickelnden Bedrohungen schnell reagieren zu können, ist eine enge Integration der einzelnen Sicherheitsbausteine erforderlich und auch ein Informationsaustausch zwischen den Schichten, so dass alle Layer des Schutznetzwerks immer auf dem neuesten Informationsstand sind. Vier verschiedene Layer sollten ein Unternehmen schützen:

1. „in-the-cloud”, das heißt bevor der Verkehr das Internet-Gateway erreicht,
2. am Internet-Gateway,
3. auf den Netzwerk-Servern, 
4. an den Endpunkten, beispielsweise am Client. 

Mit dem Smart Protection Network von Trend Micro beispielsweise gibt es einen einzigartigen Ansatz, der Anti-Spam, Anti-Virus, Anti-Phishing mit Web Reputation, URL-Filtering und http-Traffic-Scanning vereint und damit auf die Heterogenität der Angriffe vorbereitet ist. Das Smart Protection Network arbeitet integriert, denn die Dienste koordinieren die Abwehr, unterbrechen die Infektionskette und verhindern damit die Malware-Ausbreitung im Netzwerk. Es verbindet webbasierte Technologien mit leichteren Clients. Dadurch sind die Daten sofort und automatisch geschützt; egal, von wo aus sich ein Anwender verbindet – zu Hause, im Unternehmensnetzwerk oder unterwegs.