Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

IT-Infrastruktur im Mittelstand

Unified Communications braucht sorgfältige Planung

Die enge Verzahnung der unterschiedlichen Kommunikationswege und deren Integration in IT-Anwendungen verspricht eine ganze Reihe von Vorteilen. Deshalb erfreut sich Unified Communications gerade im Mittelstand zunehmender Beliebtheit. Doch ist sorgfältige Planung nötig, damit der Technologiewechsel nicht zum Desaster wird.

 

U

nified Communications ist momentan in aller Munde. Doch bevor ein Unternehmen auf diese Weise seine Geschäftsprozesse verbessern kann, ist zunächst ein Technologiewechsel notwendig – der Umstieg auf Voice over IP (VoIP). Denn erst mit der Zusammenführung von Telekommunikation und Informationstechnologie auf der Basis des Internet-Protokolls (IP) wird die technische Grundlage für Unified-Communications-Funktionalitäten gelegt. Und so verwundert es nicht, dass beispielsweise die Marktforscher von Gartner VoIP für die kommenden Jahre einen enormen Boom voraussagen. Zwei Drittel der deutschen Unternehmen – so die Experten – werden wohl bis 2011 auf Voice over IP umsteigen.

Ein Unterfangen, dass allerdings oft unterschätzte Risiken birgt, denn: Im Gegensatz zur klassischen leitungsgebundenen Telefonie ist eine IP-Infrastruktur durch Angriffe von außen massiv bedroht. Viren und Würmer gehören ebenso dazu wie DoS-Attacken (Denial of Service). Es leuchtet also ein, dass mit dem Wechsel zu einer IP-basierten Kommunikationsplattform auch eine Planung vorhanden sein sollte, wie die Geschäftskontinuität im Fall eines Angriffs auf die Systeme sichergestellt werden kann. »Doch obwohl die Risiken bei diesem Technologiewechsel umfangreich und bekannt sind, ist das Bewusstsein dafür gerade im Mittelstand eher unterentwickelt«, konstatiert Martin Weigel, Consultant für Informationssicherheit bei Siemens Enterprise Communications in München.

Gesetzliche Anforderungen

Und dabei sind mögliche Hacker- oder Virenangriffe nur ein Teil des Problems. Ein weiteres: Auch die Informations- und Kommunikationstechnologie muss als Teil der unternehmerischen Tätigkeit auf Basis der gesetzlichen Grundlagen betrieben werden (Security Governance). Gemeinsam mit den branchenspezifischen Anforderungen ergeben sich daraus bestimmte Verhaltensmaßregeln, die im Unternehmensalltag zu befolgen sind – die sogenannte IT-Compliance. »Und seit dem entsprechenden Grundsatzurteil des Bundesgerichtshofs aus dem Jahr 1997 bestehen beim Ausfall der Informationstechnologie je nach der Rechtsform des Unternehmens für Geschäftsführer, Vorstände und IT-Leiter persönliche Haftungsrisiken, deren Ausmaß nicht unterschätzt werden darf«, betont Weigel.

Schaut man sich die rechtlichen Grundlagen für unternehmerische Tätigkeiten an, so sind mittelständische Firmen vor allem von dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) betroffen. Es sieht vor, dass Firmen mit der Rechtsform einer AG oder einer GmbH ein Risikomanagement nicht nur einführen, sondern auch aktiv betreiben müssen. Dabei zeigt sich in der Praxis, dass die eingesetzte Informationstechnologie häufig als Mittel zum Zweck betrachtet wird, ohne dass die Tragweite der rechtlichen Anforderungen wahrgenommen würde. Das führt wiederum dazu, dass die Risiken, die der Ausfall der Informationstechnologie für die unternehmerische Tätigkeit bedeuten kann, zumeist stark unterschätzt werden.

Den Stellenwert der IT erkennen

Weigel: »Oft wird nicht erkannt, wie wichtig die eingesetzte Technologie für die Mehrheit der Geschäftsprozesse tatsächlich ist, und dass ihr Funktionieren zumeist nicht wirklich gegen mögliche Bedrohungen wie Ausfälle oder Missbrauch abgesichert ist. Risiken werden in der Regel kaum analysiert und bewertet.« Die Gründe dafür seien vielfältig – sei es, dass sich der Wandel von geschlossenen hin zu offenen Systemen derzeit sehr schnell vollzieht. Sei es, dass die Vernetzung untereinander und mit dem Internet immer weiter fortschreitet. Hinzu kommt, dass Kommunikationsdienste wie zum Beispiel E-Mail ja erst in den letzten Jahren Teil der unternehmenseigenen Abläufe geworden sind.

Doch wenn dieser Dienst heute für mehrere Stunden ausfällt, kommen die meisten Unternehmen in ernsthafte Schwierigkeiten. Auch deshalb kann es sich kein mittelständischer Betrieb erlauben, das Risikomanagement zu vernachlässigen oder die gesetzlichen Anforderungen nicht umzusetzen. Und das betrifft die gesamte Architektur aus Telekommunikation und Informationstechnologie: vom Schutz der Server gegen Einbruch, Überhitzung und Brand über Datensicherung und Abschirmung der Unternehmensnetze gegen Zugriffe von außen bis hin zur Zugangskontrolle zu Hard- und Software und dem Umgang mit den enthaltenen Informationswerten.

Dabei gilt es zum einen, die gesamte IT-/TK-Landschaft sowie die darauf basierenden Geschäftsprozesse gegen potenzielle Gefahren abzusichern. Zum anderen muss jedes einzelne System hinsichtlich seiner spezifischen Sicherheitsproblematik untersucht werden. So ist das Thema Datenschutz ja beispielsweise nicht nur bei der Sprachkommunikation, sondern auch für eine Anwendung wie das Customer Relationship Management (CRM) von großer Bedeutung. »Hier sind wichtige Details zu beachten, um den gesetzlich geforderten Umgang mit den anvertrauten personenbezogenen Daten zu gewährleisten«, so Martin Weigel. Werden diese nicht beachtet, hat dies zudem nicht nur rechtliche Konsequenzen. Auch das Image des Unternehmens wird im Zweifelsfalle schwer in Mitleidenschaft gezogen, wie mehrere Fälle in der jüngsten Vergangenheit eindrucksvoll gezeigt haben.

Regelwerke wichtig

»Grundsätzlich sollte jedes Unternehmen deswegen ein Regelwerk (Information Security Policy) haben, wie mit der Informationstechnik generell verfahren wird«, fordert Consultant Weigel. Ein probates Mittel hierfür ist eine Informationssicherheits-Leitlinie des Managements, die beispielsweise folgende Punkte kommuniziert: Welche Rolle spielt die Informationssicherheit im Unternehmen? Warum ist sie wichtig? Wie wird damit umgegangen? Wie wird sie organisatorisch abgebildet? In den Ebenen darunter sollten Unternehmensstandards und bereichsspezifische Richtlinien definiert werden. Darin wird festgelegt, was für bestimmte Abteilungen oder Personengruppen notwendig ist, um die Vorgaben des Managements umzusetzen. In der untersten Ebene geht es danach zusätzlich um technische Richtlinien, wie bestimmte Systeme zu handhaben und bestimmte Verfahren anzuwenden sind.


Äußerst hilfreich sind dabei beispielsweise die Vorgaben, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt, die Handlungsanweisungen des ISO-Standards 27001 sowie die Best Practices nach der IT Infrastructure Library (ITIL). Doch obwohl sich diese Vorgaben mittlerweile als Standards durchgesetzt haben, ist ihre Anwendung in mittelständischen Unternehmen bis heute noch eher die Ausnahme. Ob das Regelwerk letztendlich auch beachtet wird, sollte außerdem in einem Audit regelmäßig überprüft werden.  

In technologischer Hinsicht schließlich erfordert die Einführung von VoIP in einem Unternehmen eine ganzheitliche Infrastruktur, die die Geschäftsprozesse, Dienste und Kommunikationsabläufe auf der Basis des Internet-Protokolls (IP) abbildet und zuverlässig zur Verfügung stellt. Eine schichtbasierte Sicherheitsarchitektur wird diesen Anforderungen optimal gerecht, denn sie bietet durch verschiedene Maßnahmen den bestmöglichen Schutz.

So können integrierte Security-Netzwerkelemente bei der ersten Verbindung eines Endgeräts mit der Infrastruktur Informationen darüber austauschen, wann und wo der potenzielle Risikofaktor Kontakt zum Netzwerk aufgenommen hat. Durch die Authentifizierung von Endgeräten und Nutzern über Verschlüsselungsmechanismen wird zudem mit hoher Wahrscheinlichkeit sichergestellt, dass ausschließlich befugte Zugriffe auf das Netzwerk erfolgen. Zusätzlich bestimmen spezielle Lokalisierungsmethoden die Standorte von Endgeräten und Nutzern der Infrastruktur, um die Suche nach fehlerhaften Geräten, die Bearbeitung von Notrufen sowie die Fehlerbeseitigung zu erleichtern. Die Autorisierung der User sorgt dafür, dass der Zugriff auf Applikationen anhand definierter Rollenprofile vergeben wird, was die Rate möglicher Angriffe oder Missbräuche ebenfalls senkt.

Yvonne Giebels

____________________________________

Yvonne Giebels ist freie Fachjournalistin in Düsseldorf.

 

 

 

Vier Schritte für eine gute IT-Compliance

  • Analyse

Die wichtigste Frage ist hier, welche gesetzlichen Vorschriften außer dem KonTraG noch zum Tragen kommen. Die individuell zutreffenden Regeln müssen dann definiert und auf ihre Wechselwirkungen hin untersucht werden.

  • Transformation

In diesem zweiten Schritt des Prozesses wird jede zutreffende Vorschrift auf jeden einzelnen IT-Prozess transformiert. Auf diese Weise lassen sich dann beispielsweise Vorschriften zur Absicherung von Rechenzentren herleiten.

  • Integration

Die in der Transformationsphase gewonnenen Erkenntnisse müssen in einem dritten Schritt in den täglichen Umgang mit Systemen und Informationswerten integriert werden. Deshalb sollten die Mitarbeiter ebenfalls darüber Bescheid wissen, beispielsweise durch eine unternehmensweite Richtlinie. Sie regelt im Fall des Umgangs mit personenbezogenen Daten unter anderem die Fragen, welche Informationen überhaupt verarbeitet werden dürfen und wann Informationen wieder gelöscht werden müssen.

  • Überprüfung

Im vierten und letzten Schritt schließlich geht es um die Überprüfung und Bewertung der Funktionsweise der eingeführten Sicherheitsmechanismen. Fällt die Bewertung negativ aus, so erfolgt in einer Fehlerbehebungsphase eine entsprechende Meldung mit allen notwendigen Informationen. Auf diese Weise werden letztendlich auch der administrative Aufwand und die Ausfallzeiten minimiert.

 

 

 

 

 

 

 

 

Folgen Sie »manage it« auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH