200610g proRZ Vom Cost zum Profit Center
|
|
|
»manage
it«
als
|
Sicherheitsbudgets optimal eingesetztDurch Clevere IT-Strukturen rechtssicher und zukunftsfähig Viele Arbeitsprozesse werden elektronisch gesteuert und große Mengen von Informationen sind digital gespeichert, werden verarbeitet und in Netzen übermittelt. Damit sind die Institutionen in Wirtschaft und Verwaltung und jeder Bürger von dem einwandfreien Funktionieren der eingesetzten IT abhängig.
ie Vielzahl von möglichen technischen, organisatorischen und personellen Sicherheitsmaßnahmen in der IT wirft immer häufiger die Frage auf, wie und mit welchen Hilfsmitteln man Sicherheitsprojekte angehen kann. In der albtraumähnlichen Situation, eines Morgens den Raum, in dem sich die IT des Unternehmens befindet, überschwemmt zu sehen, hat leider schon viele IT-Verantwortliche eingeholt. Wohl wissend, dass man z.B. die Platzierung der IT im 2. Untergeschoss nicht gerade als artgerechte Daten- und Systemhaltung bezeichnen kann. Hochwasser, elektrische Spannung, unberechtigter Zutritt sowie Klimaanlagen, die den enormen Wärmeabgaben der Rechner schon lange nicht mehr gewachsen sind, das sind nur einige der Beweggründe, schnellstmöglich für Abhilfe zu sorgen. Fatal ist dabei ist nicht ein möglicher Wassereintritt, sondern vielmehr, dass der temporäre Ausfall der IT heutzutage absolute Handlungsunfähigkeit zur Folge hat. Ein regelmäßiges und lückenloses Datenbackup wird mehr und mehr als selbstverständlich angesehen, aber was nutzen sorgsam verpackte Medien, wenn der eigentliche Motor defekt ist? Erschwerend kommt noch hinzu, dass ganze Controllingabteilungen inzwischen aufgerufen sind, Mängel aufzudecken und die Übeltäter zur Rechenschaft zu ziehen. Im schlimmsten Fall wirft man dem IT-Leiter neben einer technischen Fürsorgeverletzung auch noch grobe Fahrlässigkeit vor. Ausschluss von Haftungsrisiken Wie eine aktuelle Umfrage unter 200 IT-Leitern und Geschäftsführern mittelständischer Unternehmen beweist, bereitet der Ausschluss von Haftungsrisiken Kopfzerbrechen. Gesetzt den Fall, ein IT-Verantwortlicher oder aber auch ein Geschäftsführer kennt die Missstände in der IT und behebt diese nicht, dann wird er im Schadenfall definitiv zur Rechenschaft gezogen. Man spricht dann von einer groben Fahrlässigkeit, der man sich durch das rechtzeitige Einleiten von präventiven Maßnahmen hätte entziehen können. Um einen weiteren Supergau zu vermeiden, fragen spätestens jetzt viele IT-Manager bei Herstellern und Dienstleistern von Sicherheitslösungen an. Betrachtet man die Angebote kritisch, so variieren sie in einer nicht nachvollziehbaren Art und Weise in Preis und Leistung. Diese Intransparenz trägt nicht gerade zur Entscheidungsfindung bei. So werden oftmals Lösungen angeboten, die überdimensioniert und damit viel zu teuer sind. Verständlich ist auch, dass ein Hersteller von IT-Lösungen dem Kunden nie als neutraler Berater zur Seite stehen kann. Betrachtet man den IT-Dienstleistungssektor, so tummeln sich neben seriösen Beratern auch einige schwarze Schafe, die nur eines im Kopf haben: Überdimensionierte Lösungen zu einem indiskutablen Preis. Doch wie umgeht man nun ein solches Dilemma? Schon im Vorfeld sollten IT-Verantwortliche und Geschäftsführer den in Frage kommenden Beratungsunternehmen gehörig auf den »Zahn« fühlen. Nur so trennt sich schnell die Spreu vom Weizen. Das favorisierte Unternehmen kann nur selten die »Eierlegende Wollmilchsau« sein, sollte jedoch grundlegende Bereiche wie Analyse, Planung, Projektierung, Finanzierung etc. aus einer Hand anbieten. Auf die Praxis übertragen, kann das wie folgt aussehen: Der Einsatz moderner Hochleistungssportler wie Blade-Server-Technologien erzeugt zunächst einen Plus an Leistung und ein Weniger an Wartung. Was vielfach aber unterschätzt wird, dass die - wie in vielen mittelständischen Unternehmen - gewachsene Struktur eine Überlastung der Klimatisierung und Elektroversorgung zur Folge haben kann. Tritt dann eines schönen Tages ein Defekt auf, so nimmt der IT-Verantwortliche im Regelfall den Kontakt zu einem Klimahersteller auf und lässt sich ein Angebot für eine leistungsstärkere Anlage unterbreiten. Dann werden Facility- Management oder ein externer Elektriker beauftragt, die Arbeiten umzusetzen. Dass oftmals keiner der Beiden Experte für die Kompatibilität der eingesetzten Lösungen ist, wird vergessen. Schließlich sorgen diese Techniker doch auch dafür, dass in der Betriebsküche die Kaffeemaschine läuft. Ganzheitliche Planung und Umsetzung In einem Fall hat eine Providerfirma ähnlich gehandelt. Man vergab die physikalische Sicherheit, nämlich den Bau von unterschiedlichen Serverräumen, an ein Spezialunternehmen und kümmerte sich dann selbst um die unterschiedlichen Gewerke wie Elektrik, Klimatisierung etc. Die Folge: Die implementierten Lösungen waren einzeln betrachtet gut, korrespondierten aber leider nicht miteinander. Um die Inkompatibilität der Technik zu beheben, vergab man schließlich die komplette Optimierung der vorhandenen Infrastruktur an die proRZ Rechenzentrumsbau GmbH, die sich auf die ganzheitliche Planung und Umsetzung von solchen Projekten spezialisiert hat. Aber nicht nur der Bau von neuen Serverräumen und Rechenzentren steht bei den Spezialisten aus Betzdorf in Rheinland-Pfalz im Fokus; vielmehr kümmern sich die Projektverantwortlichen, die an der Realisierung von über 1.000 Rechenzentren beteiligt waren, auch um die Ertüchtigung bestehender Flächen. Dies erfolgt herstellerneutral und kann nur gewährleistet werden, weil das Unternehmen keine eigenen Produkte fertigt. Vielmehr greift man auf einen Pool von Spezialisten zurück, deren Produkt- und Leistungsspektrum optimale, auf die individuellen Anforderungen abgestimmte Lösungen anbietet. Dass dies immer unter dem Gesichtspunkt der Wirtschaftlichkeit geschieht, kann zum enormen Vorteil für den Kunden werden. »Warum soll man dem Kunden zum Kauf eines Luxuswagens raten, wenn ein funktionsgerechter LKW den Ansprüchen genügt’«, fragt Ralf Siefen, technischer Geschäftsführer des Generalplaners und ergänzt: »Um glaubwürdig am Markt aufzutreten und das Vertrauen der Klienten nicht zu verspielen, setzen wir alles daran, dem Kunden nicht nur zu einem Höchstmaß an IT-Sicherheit zu verhelfen, sondern gleichermaßen, einen monetären Vorteil aufzuzeigen.« Ist es nicht der Traum eines jeden IT-Verantwortlichen, aus dem ihm vorgehaltenen Cost-Center doch noch einen Profit-Center zu machen? Dabei führen clevere und moderne Energie- und Klimakonzepte zu nachweisbaren Einsparpotenzialen von bis zu 30 Prozent und reduzieren das Restrisiko. In vielen Fällen können vorhandene Flächen zukunftssicher genutzt werden. »Gesetzt den Fall, dass vorhandene Flächen der IT-Strategie der kommenden Jahre entsprechen, dann erarbeiten wir eine sogenannte ‚Ertüchtigung’ des bestehenden Daten- und Serverzuhauses«, so Thomas Sting, kaufmännischer Geschäftsführer der proRZ. Schritt für Schritt Um das individuelle Maximum an Sicherheit zu erlangen, wird zunächst die komplette Struktur unter die Lupe genommen. Der dann zum Vorschein kommende Status zeigt schnell auf, wo die eigentlichen Schwachstellen der IT und ihres Umfelds liegen. Im zweiten Schritt wird gemeinsam mit dem Kunden ein realistischer »Schlachtplan« entworfen, der binnen kürzester Zeit zu einer zeit, -temperatur- und belastungsunabhängigen Funktionsfähigkeit verhilft. Dabei können oftmals simple, kostengünstige Ideen zu einer erheblichen Verbesserung führen. Im Falle eines Automobilzulieferers bauten die Spezialisten vor den Hoch- und Grundwassergefährdeten Sicherheitsraum eine Schwelle von 20 cm. Auch der Schwachpunkt der über dem Raum befindlichen Wasserleitung, die im Katastrophenfall Daten und Systeme lahm gelegt hätte, ließ sich durch eine einfache, effektive Maßnahme ausschließen. Man baute eine Wannenkonstruktion oberhalb des Raumes, so dass eventuell eintretendes Wasser in einen Nebenraum geleitet werden kann, in dem sich die Pumpe befindet. Fakt ist, dass es sich bei diesen Lösungen keineswegs um Improvisation handelt, sondern langjährige Erfahrungswerte. Bei den einzelnen Gewerken achtet die proRZ darauf, dass die bestmögliche Technologie für die individuelle Anforderung gefunden wird. Sei es der Einsatz von unterbrechungsfreien Stromversorgungen, Brandfrühesterkennung, Zutrittskontrollen, Überwachungssystemen oder von Klimatisierungen. Risikopotenzial »Vergangene Projekte belegen eindeutig, dass es für jedes noch so komplizierte IT-Projekt Spezialisten gibt«, so Thomas Sting. Bei der Planung und Projektierung berücksichtigt der Anbieter strikt die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) sowie aktuelle Regularien wie das KonTraG und SOX. Der Sarbanes-Oxley Act wurde 2002 von der amerikanischen Administration als Antwort auf die großen Bilanzskandale amerikanischer Unternehmen verabschiedet. Ziel war und ist es, das Anlegervertrauen wieder herzustellen. Um dieses Ziel zu erreichen, ist von amerikanischen börsennotierten Unternehmen sowie all ihrer Tochtergesellschaften ein internes Kontrollsystem zu implementieren und zu dokumentieren. Im Einzelnen geht es im Sarbanes-Oxley Act um die Initiierung, Durchführung, Aufzeichnung und Veröffentlichung von rechnungslegungsrelevanten Geschäftsprozessen und ihrer Ergebnisse. Da diese immer mit Hilfe von IT-Systemen erfolgt, beziehen sich die Vorschriften von SOX sowohl auf den Bereich Financials als auch den Bereich IT. Welchen geldwerten Vorteil ein nach den Vorgaben durchgeführtes Projekt haben kann, spürte kürzlich ein mittelständischer Hersteller von Kunststoffteilen. Nach der Besichtigung des durch die proRZ ertüchtigten Serverraums stufte der Versicherer das Risikopotenzial wesentlich geringer als vorher ein und reduzierte die Prämien um wenige Prozente. Catrin Jansen
|
|
