Cybersecurity – Der Virenschutz hat ausgedient!?

ksgv.ch – Gewerbeverband – Virenschutz hat ausgedient – Ausgabe Mai 2018 – Fridels_BLOG_F@R

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der “massiven Interkonnektion”, integrierten Schnittstellen und „Collaboration“.

Durch diese sprunghafte und dynamische Weiterentwicklung und völlig neuen Anforderungen an die Mobilität der Mitarbeiter hat der früher vielfach ausreichende Fokus auf die «Sicherheit der Geräte / Hardware» mittels einem Virenschutz längst ausgedient und entspricht längst nicht mehr dem «Stand der Technik».

In der heutig vielfach angestrebten System-Architektur mit der Strategie auf der Basis von «Security by design» zugunsten der gesamtheitlichen ICT-Sicherheit steht die «umfassende Sicherheit des Benutzers» mit dessen Identität, Zugriff, Berechtigungen, Richtlinien und erweiterten Anforderungen an z.B. Verschlüsselung und Self-Service im Vordergrund.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen mit auch sicherer Programmierung mit entsprechendem Fokus auf maximales, auditierbares «Security by design» / «privacy by design» / „Stand der Technik“ unterstützt werden. Durch diesen gesamtheitlichen Ansatz kann dem Ziel der bestmöglichen «Angriffs- und Betriebs-Sicherheit von ICT-Systemen» am besten Rechnung getragen werden.

Die Datenschutz-Regulationen wie z.B. CH-DSG oder EU-DSGVO / GDPR erfordern zudem weitergehende und vorallem nachweisbare Prozesse mit der Sicherstellung von maximalen Datenschutz- / Privacy-Aspekten zugunsten der personenbezogenen Daten.

Solche zunehmenden Anforderungen lassen sich selbsterklärend nicht mehr mit einfachen Virenschutz-Massnahmen bzw. ausgedientem Geräte-Schutz abdecken und bedürfen einen anderen, gesamtheitlichen System-Design-Ansatz.

Durch die stark gestiegene Mobilität der EDV-Benutzer, gestiegenen Sicherheitsanforderungen und die zunehmend verteilten ICT-Systemen in Hybrid Clouds oder Public Clouds ist es empfehlenswert, auch die entsprechenden zentralisierten und vollintegrierten Gesamt-Verwaltungs-Lösungen im Umfeld von «Mobility & Security aus der Cloud» zu beziehen als Service.

Durch solche integrierten Cloud-Lösungen auf Basis «Stand der Technik» und maximalen Erfüllungsgraden von international anerkannten Standards oder Sicherheits-Zertifizierungen können entsprechende Regulations- und Strategie-Anforderungen weitgehend erreicht werden.

Mittels integrierten Funktionalitäten in Bereichen des Monitorings und Reportings können mittels Früherkennung und «predictive advanced analytics / threat protection» gar Trends im Zeitalter der dynamischen Bedrohungslagen früher erkannt und dadurch auch die Eintrittswahrscheinlichkeit und Schadenspotential früher und sehr effektiv reduziert werden.

Dass dann hierbei auch entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit gleichgelagerten Technologien (z.B. „cognitive Security“ , „predictive Security“) zum Zuge kommen müssen und der klassische, einfache «Geräte-Virenschutz» nicht mehr genügt liegt nahe.

Weitergehende Funktionalitäten in Richtung von Software-Verteilung oder Provisionierung und gar automatischer Installation von ganzen Arbeitsumgebungen zugunsten der Homogenisierung, Standardisierung und Automatisierung runden solche cloud-basierten Gesamtlösungen ab.

Mittels zusätzlicher Sensibilisierung der EDV-Anwender bezüglich CyberSecurity mit stufengerecht erklärten Beispielen / KnowHow-Transfer rund um Gefahren wie z.B. Phishing-Mails, Trojaner, Social Engineering, Verhaltensansweisungen im Internet und beim Datenaustausch kann das Gesamt-Schutzniveau zusätzlich optimiert werden zugunsten der System-Resilienz (z.B. Angriffs- und Betriebs-Sicherheit)

Werbeanzeigen

CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

swissICT – swiss IT Magazine – Herausforderungen für eine möglichst souveräne Schweiz im globalen Cyber- und Informationsraum

Publiziertes Interview / Artikel bei swissICT / Swiss IT Magazine im Rahmen der Digitalisierungs- / CyberSecurity-Awareness-Serie von swissICT Redaktions-Mitglied Fridel Rickenbacher.

Der Zuger Ständerat und Sicherheitspolitiker Joachim Eder erläutert im Interview die Herausforderungen für eine möglichst souveräne Schweiz im globalen Cyber- und Informationsraum. Seine und von Kollegen eingereichte Motionen in Bundesbern zugunsten des Schutzes der Schweiz vor Cyber-Risiken sehen vielversprechend aus.

swissICT-Mitgliedermagazin-Nr22018-CyberSecurity-Ständerat-Eder

swissICT-Magazin-Ausgabe-2-2018-Staenderat-Joachim-Eder-Sicherheitspolitik-CyberSecurity-Schweiz

 

Security by design in „massive interconnected“ Systems – BIM – SmartCity – IoT – eHealth

Die Industrie 4.0 und die entsprechende Digitalisierung der Planungs- und Bau-Prozesse mittels BIM fordert integrierte und robuste Prozesse als Rückgrat der “massive interconnected”, integrierten Schnittstellen und Collaboration.

Dies sollte auch auf Basis von resilient orchestrierten ICT-Systemen / sicherem Coding mit dem Fokus auf maximales, auditierbares «Security by design» / „Stand der Technik“ mit dem Ziel der bestmöglichen Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten unterstützt werden.

Ein solches denkbares «Security minded» Modell mit möglichst der Anwendung eines umfassenden „full stack security“ auf allen Ebenen dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren. Entsprechende Akteure Mensch – Prozesse – Technologie sind gemäss deren Stärken und Schwächen zu befähigen und passend einzusetzen.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Digitalisierung und „verteilte Systeme“ wie auch z.B. BIM, CAx, Gebäudetechnik / Gebäudeleitsystem GLS, SmartCity, SmartHome, IoT, Big Data, eHealth ePDG Stammgemeinschaften, Künstliche Intelligenz AI, «Cyberphysical Systems» und „personenbezogenen Daten“ hinterlassen grundlegende technische und prozessuale Konzept- und Security-Fragen. Erschwerend kommt dazu, dass dann diese „verteilten Systeme“ zusätzlich aus regulatorischen oder normativen Compliance-Anforderungen auch noch gar möglichst lückenlos «managed» und «auditiert» werden müssen.

Nächste (R)Evolutions-Stufen der „Industrie 4.0“ / „Digitalisierung“ in Bereichen wie „Künstliche Intelligenz KI / AI“ werden grosse und neuartige Chancen zur „business model maturity“ und „data monetization“ generieren aber auch Risiken und Abhängigkeiten von „verteilten, massive interconnected Systemen“ zur Folge haben.

Jede Medaille hat bekanntlich immer 2 Seiten. Eine solche sogenannte „Dual-Use-Technologie“ wird automatisch auch leider wiederum die „dunkle Seite der Macht“ weiterentwickeln in Richtung von „Malicious Use of Artificial Intelligence“ (die bösartige Nutzung von AI) und daraus werden ernsthafte Risiken und grosse interdisziplinäre Herausforderungen für alle Akteure erwachsen bei der „falschen“ Verwendung neuer mächtigen Technologien.

Dass dann hierbei entsprechend adäquate und hochkomplexer werdende Abwehrmechanismen mit der gleichgelagerten Technologie (z.B. „cognitive Security“ , „predictive Security“)  zum Zuge kommen müssen liegt nahe. Hierbei wird auch im Rahmen der geforderten Interdisziplinarität eine „neue“ hilfreiche Transparenz über Sicherheits-Lücken / -Massnahmen und „best practices“ vonnöten sein zwischen den Technologie-Giganten, Staaten bzw. zwischen allen Akteuren.

Auch Grundsätze zur „Informations Ethik“ werden hier hilfreich sein in einer nötigen gesamtheitlichen Betrachtung und entsprechenden Massnahmen zur Förderung oder Erhaltung der „privacy by design“ bzw. zum Schutz von „personenbezogenen Daten“ der Daten-Subjekte.

Unterschiedliches Verständnis und Verwendung von entsprechenden Begrifflichkeiten (nur schon Security, Privacy, Plattform, Cloud, Open) verunsichern viele Akteure und bedürfen einer gemeinsamen Verständnisfindung und nachhaltige Sensibilisierung.

Neue und noch teilweise in Vernehmlassung stehende Regulationen > Gesetze aus Bundesbern zu Datenschutz-Aspekten (z.B. DSG, e-ID) sind noch nicht spruchreif und die möglichst europäisch / international orientierte Umsetzung (z.B. EU-DSGV0 / GDPR mit auch Privacy by design / Privacy by default / security by design, ePrivacy, eIDAS elektronische Signatur, ePDG) bzw. offene Formulierungen in Richtung „Stand der Technik“ noch verbesserungsfähig.

Ein reiner «Schweizer Datenschutz oder Schweizer Standard» in der Regulierung / Standardisierung / Normierung ist aktiv zu verhindern (bzw. mittels Orientierung an „Stand der Technik“ und europäische Standards und Regulationen zu optimieren), verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten. Dass es letztlich hierbei auch um das marktrelevante Thema der Innovationskraft und des Business Maturitäts-Levels geht liegt auf der Hand.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» und auch Nachfolge-Strategie NCS 2 werden ebenfalls adaptierbare Resultate und „best practices“ von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Militär, Spitäler zu erwarten sein welche wiederum auch den möglichst offen formulierte „Stand der Technik“ mitprägen.

Entsprechend möglichst offen formulierte «Open Systems / Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) mittels „verteilten Systemen“ und basierend auf „Stand der Technik“ als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Das Herz / Core-System gilt es zu intelligent orchestriert zu schützen

Das immer schneller pochende und geforderte „Herz des Core-Systems“ ist die Verfügbarkeit durch optimierte Angriffs- und Betriebs-Sicherheit der „massiven Interkonnektion der verteilten Systeme“.
Zunehmend sind geforderte Verfügbarkeiten und adäquate Ausfallszenarien abhängig von solchen „intelligent orchestrierten (Teil)Systemen“.
Damit alle einzelnen Kettenglieder der Wertschöpfungskette die forderten Dienste und Verfügbarkeit liefern können bedarf es unteranderem auch die Betrachtung der einzelnen „Akteure und Layers der Interkonnektion“.

OSI-Layer als eines von vielen Beispielen der nötigen Gesamtbetrachtung von der Collaboration von „verteilten Systemen“

Ein solches anerkanntes und hier im Kontext bewusst gewähltes, als einfach verständliches Modell ist das „OSI-Modell“. Das international seit über 30 Jahren bewährte OSI-Model ist ein Referenzmodell für Netzwerkprotokolle in der Betrachtung als Schichtenarchitektur der einzelnen Komponenten einer möglichst verlässlichen Kommunikation. Zweck des OSI-Modells ist, Kommunikation über unterschiedlichste technische, verteilte Systeme hinweg zu ermöglichen und die Weiterentwicklung zu begünstigen. Dazu definiert dieses Modell sieben aufeinander folgende Schichten (engl. layers) mit jeweils eng begrenzten Aufgaben zur auch Optimierung von Fehlersuchen und Spezialisierungen.

Im Rahmen der Gesamtbetrachtung der Verfügbarkeit und auch Angriffs- und Betriebs-Sicherheit eines verteilten Systems kommt auch mit dem Beispiel des OSI-Modells sehr klar und gut zum Vorschein, dass z.B. beginnend mit der Verkabelung / Übertragungsmedium (OSI-Layer 0 > 1) bis hoch zur Applikation (OSI-Layer 7) jede Ebene / jeder Akteur inkl. dem inoffiziellen OSI-Layer 8 (der Anwender / Mensch / künftig AI und „cyberphysical Systems“) eine relevante und vitale Rolle einnimmt in der Sicherheit und Verfügbarkeit von verteilten Systemen.

Es ist unschwer zu erkennen, dass viele Fach-Artikel, Produkte, Technologien und auch Hypes sich sehr fokussiert mit „nur“ den höheren OSI-Layern befassen, also mit z.B. der Anwendungsschicht (OSI-Layer 7) und dem Anwender selber (inoffizieller OSI-Layer 8).

Genau darum ist es wichtig, dass ebene sämtliche technische Komponenten, Schichten und prozessuale Methoden, Akteure (also eben als gewähltes Beispiel ALLE OSI-Layer 1 bis 8) bzw. alle Aspekte betrachtet werden.

Weitere Informationen und Checklisten
.

Speziell mit eben der gesamtheitlichen Sicht auf den «Plattform Kapitalismus» und der stetig erhöhten Anforderung an die Verfügbarkeit und Angriffs- und Betriebs-Sicherheit der «massiven Interkonnektion» müssen alle diese Akteuren auch in einer nachhaltigen Interdisziplinarität noch besser miteinander abgestimmt werden mit dem Fokus auf „Stand der Technik“.

Einige, bewusst einfache Beispiele (ohne Anspruch auf Vollständigkeit) zur Verständnisförderung:

  • Keine „massive Interkonnektion“ ohne verfügbare, verlässliche Stromversorgung im Haus / Gebäude / Quartier / Ort / Region / smartGrid / smartEnergy / Schwarm-Versorgung oder Staat.
  • mit Sensoren und IoT-Elemente durchwachsene CyberCity funktioniert nicht ohne Internet, Netzwerk, Strom oder gar benötigte redundant ausgelegte, ausfallgesicherte Netze oder neue Services und Technologien wie 5G.
  • DoS / DDoS Distributed Denial of Service Attacken mittels z.B. Botnetzen und auch beauftragt aus dem „Darknet“ können durch Überlasten oder auch Gegenmassnahmen wie temporär Sperren / Blockaden die Verfügbarkeit der vernetzten oder zentralisierten Systeme reduzieren.
  • Verfügbarkeitsverluste oder vitale Unterbrüche durch mindere Qualität von eingesetzten (Aktiv)Komponenten und Netzwerkkabeln.
  • Suboptiomal orchestriertes oder zu wenig zugunsten Angriffs- und Betriebs-Sicherheit optimiertes Common Data Environment (CDE) oder deren Schnittstellen / Microservices / Middleware / API
  • Bestandesaufnahme, Dokumentation, Lizenzen Verwaltung, Rechtedefinitionen, Daten- und Risiken-Klassifizierungen in einem nachvollziehbaren und beweisbaren Register für den ganzen «Data Life Cycle»
  • Aspekte und Massnahmen zu «system design by weakest user» z.B. auf Baustelle (?) oder ? à „user centric security“
  • Multilayer Security“-Gesamtsystem Ansatz zur Verständigung der möglichen prozessualen und technischen Ansatzpunkte und Notwendigkeiten einer gesamtheitlichen Sicherheits-Strategie. Über den Perimeter bis in den Kern zum „Mission Critical Asset“
  • Adäquate Backup- und Verschlüsselungs-Strategie je nach z.B. Daten-Klassifizierungen (z.B. Schutz von kritischen Daten gegen z.B. auch Verschlüsselungs-Trojaner oder lange nicht entdeckter „Malicous Code“), Aufbewahrung (10 Jahre), Archivierung und Datenschutzregulationen (z.B. Recht auf Löschung)
  • Geräte-, System- und Services-Monitoring mit auch „predicted“ Maintenance und „behaviour analysis“ als proaktives Früherkennungssystem und erste maschinenunterstützte Abwehrlinie.
  • Fokus und offene Formulierungen in ICT-Strategie und ICT-Planung in Richtung „Stand der Technik“, „security by design“, „security by default“, Daten- und Rechte-Minimierung
  • Fehlendes Business Recovery System & Business Contingency Planning
  • ICT-Risk Management, ICT-Risk-Versicherungswesen
  • Gesamtheitliche ICT-Strategie oder nur schon ICT-Planung, Führungsverantwortung (GL und VR) zu CyberSecurity.
  • KnowHow-Management, Personenabhängigkeiten und Stellvertretungen
  • Massnahmen gegen Anti-Shadow-IT (do NOT build new legacy systems)
  • Mitarbeiter Sensibilisierung und Training zur sicheren und effizienten Collaboration – Unkenntnis schafft Unsicherheit …
  • Personal Analytics mittels Assessment und Tests bei Rekrutierung / Anstellung oder Arbeit / Aufgaben / KnowHow in kritischen Projekten
  • Der Akteur Mensch kann (muss!) mittels dem Fakt(or) der möglichst Reduzierung der „human interaction“ und technischen und prozessualen Unterstützung des Automatisierungsgrads werden.

Entsprechend ist die nötige Sicherheits Strategy  BASS (Built Asset Security Strategy) die erste und wichtige Grundlage für eine der vielen Organisations Informations Anforderung OIR der ICT-Gesamtsicherheits-Architektur. Hier legt man die Basis wie die interne oder organisationsübergreifende Architektur adressierte Sicherheitsaspekte definiert und regelt. Diese soll möglichst offen formuliert sich an „Security by design“ und „Stand der Technik“ anlehnen und dadurch aufgefordert dynamisch bleiben in der fortwährenden Dynamik der Bedrohungslage in der CyberSecurity.

Unabhängig vom effektiv benötigtem Umfang und Anwendungstiefe je nach Projekt lohnt es sich in jedem Falle, diese Grundlagen zu definieren und eine umfassende Klassifizierung bezüglich z.B. Schutzniveau, Schutzklasse, Schadenspotential, personenbezogenen Daten umzusetzen und zu unterhalten. Je nach benötigten Überwachungsparameter können mittels adäquaten unterstützenden Automatismen oder Monitoring-Systemen oder Monitoring-Methoden wie z.B. SCADA (Supervisory Control and Data Acquisition) oder Cloud-Monitoring-Systemen das operative bzw. „on going“ Sicherheits-Level (Betriebs- und Angriffs-Sicherheit) integriert überwacht werden.

Mit einem weiteren Hilfsmittel und Methode wie z.B.  BASMP (Built Asset Security Management), der Sicherheits Bewertung AIR (asset of information requirements of security) kann man entsprechende Anwendungsgrade erkennen und anwenden.

Damit ein solches Gesamt-System funktioniert und wirklich gelebt werden kann ist mittels entsprechenden weiteren Massnahmen und KnowHow-Transfer auch die Sicherheit auf Stufe der  Anwender (EIR employer’s information requirements of security) speziell zu integrieren in einem wiederkehrenden, «security minded» Sensibilisierungs-Prozess.

Damit auch externe dritte Akteure die gemeinsame Verantwortung des definierten Gesamt-Sicherheitssystem mittragen können müssen diese möglichst früh sensiblisiert, involviert, befähigt und bei Bedarf sogar zertifiziert werden.

Letztlich kann nach der möglichst umfassenden Integration aller Akteure (inkl. auch Vertragsrelevanzen) und entsprechenden Datenschutzfolgenabschätzungen auch die Organisation und Prozesse definiert werden für ein Incident Response Management mit Vorgaben für z.B. Sicherheitsvorfälle, Meldepflichten, Definition des Data Protection Officers DPO, Krisenkommunikation.

Aufgrund der Komplexität des Security Themas in einer Gesamtsicht ist es unumgänglich, die Zuständigkeit und Verantwortung je nach Projekt und teilnehmenden Akteure neu zu definieren innerhalb der teilnehmenden Akteuren (mit teilweise schon Erfahrungen und adaptierbaren «best practices» hierbei) oder externen Dienstleistern.

Je nach Umfang des Projektes oder Vertrages kann es mitunter nötig sein, weitergehende Analysen und präventive Massnahmen evaluieren zu lassen durch weitere Fachbereichs-Spezialisten für z.B. juristische, vertrags-technische, finanz-technische, ICT-security-technische Aspekte um evaluierte, absehbar weitergehende vitale Risiken zu minimieren.

Die Projektanforderung (das Was) rund um die Sicherheit sind adressiert in der  Sicherheits Bewertung AIR (asset of information requirements of security) und unterscheiden sich bzw. müssen gemappt bzw. stufengerecht adaptiert werden auf die Stufe der  Anwender (das Wie > EIR employer’s information requirements of security).

Bei vielen Bereichen sind unterschiedliche oder nicht abschliessende Definitionen erkennbar bei welchen nicht alles eindeutig festgestellt ist für das «Was», «Wie» und «Wann» und sind deshalb genauer zu definieren, um darauf basierend, auch die adäquat zur Verfügung zu stehenden Services rund um ICT bzw. Security orchestrieren zu können je nach Projekt. Hierzu sollten Elemente und Orientierungspunkte entsprechende schutzklassen-gerechte Anwendung finden aus Normen, Frameworks, Methoden wie z.B. PAS1192-5, CPNI, CEN, ISO (z.B. 27xxx), BSI, BS, OSSTMM, IFC, ITIL, CobIT, NIST, NCSC und anderen internationalen Standards.

Ein höherer BIM-Maturity-Level bzw. „Business Model Maturity“ kann grundsätzlich nur ganzheitlich erarbeitet, erreicht und erhalten werden, wenn alle Elemente auf dem adäquat angepassten Level durchgängig prozessual und technologisch passen und funktionieren >> also auch eine entsprechend passende Maturität der Gesamtsicherheit (Security Maturity Level)

Weitere Artikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

https://fridelonroad.wordpress.com/2018/02/08/bim-startet-durch-es-stellt-sich-aber-die-frage-nach-der-sicherheit/

https://fridelonroad.wordpress.com/2018/03/06/shre-to-evolve-45-licht-in-die-jahrelang-dynamisch-gewachsene-schatten-informatik-shadow-it/

https://fridelonroad.wordpress.com/2018/02/08/100-sicher-ist-die-digitalisierung-ist-durchgestartet-und-etabliert-sich-aber-ist-diese-technologisch-99-sicher-genug/

https://fridelonroad.wordpress.com/2018/01/05/shre-to-evolve-44-ict-glossar-teil-2-sensibilisierung-und-verstaendnisfoerderung-in-digitalisierung/

https://fridelonroad.wordpress.com/2016/01/24/the-bim-bang-heiliger-bim-bam-das-streben-nach-business-excellence-transformiert-die-bauindustrie/

https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-management/

sh@re to evolve #45 – «Licht» in die jahrelang dynamisch gewachsene «Schatten-Informatik» (Shadow IT)

Erst wenn “Licht” in die jahrelang dynamisch gewachsene “Schatten-Informatik”  (Shadow IT) gelangt, kann die befreite Basis und nötige Transformation entstehen für neue Geschäftsmodelle

Beitrag Gewerbeverband ksgv.ch

ksgv.ch – Gewerbeverband – AntiShadowIT – Ausgabe März 2017 – Fridels_BLOG_F@R

 

Hybrid- und Multi-Cloud-Trends

Hybrid- und Multi-Cloud-Trends:

-Strategische «security minded» ICT-Planung und «security minded» ICT-Architecture, angelehnt an die Firmen- bzw. vorallem zugunsten der Digitalisierungs-Strategie zur «Business Model Maturity für growing expectations» und letztlich «data monetization» / «services brokerage»

Siehe auch: https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization

+++

– ICT-Gesamtarchitektur «best out of all clouds» / «services brokerage» / «everything as a service» bzw. intelligenter Orchestrierung von auch «hybrid-/multi-clouds» mit z.b. «microservices», «analytics», «containerization», «IoT», «bots», «machine learning», «artificial intelligence», «serverless computing», «cloud coding» / «software defined everything» / DevOps

Siehe auch: https://fridelonroad.files.wordpress.com/2016/06/holzbau-schweiz-ict-servicesmanagement-hybridcloud-04_hbch_201604_it.pdf

Und Referat an HSLU: (time is running… 2 Jahre her aber immer noch irgendwie passend 😉)

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– «maximized» Automation und ICT-Transformation mit Ziel zu «minimized human interaction but maximized customer self service» und «optimization» / «cost management optimization» / «cloud intelligence»

Siehe auch : in Artikeln

+++

– Vom klassischen System- zum flexiblen, «scalable» Services-Management / Managed Services > Sourcing-Strategie

Siehe auch:
https://fridelonroad.wordpress.com/2015/06/07/evolving-from-system-management-to-services-management-with-best-out-of-all-clouds/

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– Regulation, Compliance, Risk-Management und Assessment / Audit à Auseinandersetzung und «classification» / «regtech» ergibt Chancen gegen «ShadowIT» / «blind spots» und zugunsten «take back control» / «data lifecycle

Siehe auch:
https://fridelonroad.wordpress.com/2017/06/24/privacy-security-ch-dsg-ch-e-id-eu-dsgvo-eu-gdpr-all-for-the-best-privacy-by-design/

und: https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

– «multilayered» Cybersecurity-Strategie / Cloud Security und Massnahmen zur Vision «security by design», «privacy by design», «privacy by default», «regtech», und «full identity and rights management as a managed security service»» (derzeit auch speziell zu CH-DSG und EU-DSGVO / GDPR) mit dynamischen Audit-Zyklen / «incident response management» gegen die dynamischen Bedrohungslagen

Siehe auch:
https://www.mit-group.ch/onprem/ict-security-gesamt-sicherheit-braucht-eine-gesamt-sicht/Und auch mein ISACA.ch-Artikel https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Windows XP (und 7?!) – End of Live eines DeFacto-Industrie-Standards: Auswege mit ICT-Strategie und Transformation

Swiss-IT-Magazine-Artikel_55814_XP-Eol-Auswege-Strategie-April-2014

Image

Sage und schreibe rund 37 Prozent wollen mit dem veralteten end of life Betriebssystem Windows XP derzeit weiterarbeiten.

Auf den ersten Blick scheint das nur Microsoft zu stören als Hersteller von Nachfolge-Lösungen. Auf den zweiten Blick jedoch werden jedoch weitere Probleme und Risiken entstehen innerhalb der gesamten ICT-unterstützten Prozess-Landschaft von Firmen und Organisationen.

Für interne oder externe ICT-Dienstleister entstehen hier weitere Herausforderungen wie z.B. Sicherheit, Updates, Stabilität, Kompatibilität, Risk-Management, Aufrechterhalten des stabilen Business Support durch ICT-Services. Umso mehr überrascht genau diese passive Migrations-Haltung von vielen Entscheidern / GLs / Verwaltungsräten. Eine provokative Analogie könnte im übertragenen Sinne folgendes Bild sein: „Firmenfahrzeuge werden trotz bekannten Problemen mit z.B. den Sicherheits-Einrichtungen“ seitens der verantwortlichen Führung wissentlich und fahrlässig weiterfahren gelassen.

Selbstverständlich muss auch ästimiert werden, dass das (damals moderne) Betriebssystem Windows XP sich damals zurecht als  DeFacto-Industrie-Standard etablierte und leider auch den Kopf herhalten musste über teilweise überbrückende Strecken zugunsten des „schlechtesten“ Betriebssystems aller Microsoft-Zeiten (Windows Vista). Entsprechend wurden dann ein DeFacto-Standard über (zu lange) Zeit etabliert auf der Basis von z.B. Windows XP, Office 2003, Server 2003.

Dieser etablierte Standard und auch das eher unbrauchbare Folgeprodukt Windows Vista bestätigte viele in deren Migrations- und Weiterentwicklungs-Passivität und Konzentration auf andere damalige Bereiche wie z.B. ERP- / CRM-Einführungen, Business-Support durch ICT, Erstberührungen oder Ausbau mit Outsourcing (Cloud).

Die „XP-Ära“ war dadurch gefestigt worden und auch die Software- und System-Anbieter etablierte Standards mit einer mittlerweilen unglaublichen Laufzeit von über 12Jahren. Eine beinahe erschreckende wenn nicht gar fahrlässige Passivität in den Innovations- und Transformations-Prozessen müssen sich einige Hersteller, Lieferanten, Systembetreuer und letztlich Führungsverantwortliche gefallen lassen.

Aufgrund der bekannten Abhängigkeiten und Relationen der Gesamt-System-Komplexitäten und Lieferanten kann man das noch einigermassen nachvollziehen. Es stellt sich jedoch die Frage ob innerhalb den klassischen Führungsaufgaben der ICT-Teilbereich der Firmen-Strategie zu passiv bewirtschaftet wurde.

Offensichtlich wurden schon früher gewisse strategische und planerische Aufgaben nicht rechtzeitig gemacht. Auch stellt sich letztlich die Frage ob all die Audits, Revisionen und Internen Kontrollsysteme (z.B. IKS, Business Contingency System BCS / BCP) nicht gegriffen haben für die frühzeitige Erkennung und Massnahmen von solchen lange bekannten Umständen und Risiken.

Ja! Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Einige Fakten und Möglichkeiten stehen fest und zur Verfügung zur aktuellen Situation:

–       Ohne entsprechende Sicherheitsmassnahmen, Updates (unrealistisches „eigenes“ Servicepack 4) und ohne erweitertem Support ist Windows XP in Firmennetzwerken ein möglicher Störfaktor für andere Systeme, Prozesse und Schnittstellen.
Beispiel aus der Praxis: 1 einzelner ungeschützter Rechner welcher nicht sauber isoliert oder gesperrt ist vom Netzwerk kann die ganze Organisation, den Internet-Zugang oder deren Mail-Infrastruktur auf internationale Mail Spam-Blacklists bringen und lahmlegen für die Mail- oder Internet-Kommunikation.

–       Eine durch aktuellere Webbrowser teil-abgesicherte Internet-Nutzung ist ebenfalls sind nur noch beschränkt möglich da die aktuellsten Webbrowser und Software-Produkte sich gar nicht
mehr oder nur mit mühsamen Umwegen installieren lassen.

–       Sogenannte „Zero Day Attacken“ (gezielte Angriffe am Tag oder zeitnaher Folgezeit der
Sicherheits-Lücke) ab dem EoL 08. April 2014 sind denkbare Szenarien und Zusatz-Risiken und dann die nicht speziell geschützten Windows-XP-Umgebungen und deren teilweise betriebskritischen Umsysteme gefährden.

–       Künftige regulatorische Vorgaben und Empfehlungen von z.B. Behörden / Gesetzen / Verbänden / Revisionsstellen / IKS / Audits für zukunftsorientierte Herausforderungen, neue dynamische Bedrohungslagen und angepasstem Risk-Management sind nicht mehr abbildbar.

–       Einzelne Virenschutz-Software-Hersteller bieten einen weiterlaufenden Support. Hier stellt sich aber eher die Frage ob dann genügend Schwachstellen abgedeckt werden können neben dem „löcherigen“ Betriebssystem Windows XP selber.

–       Der Umstieg auf in grosser Zahl vorhandene Open Source Produkte stellt keine echte Alternative dar – nur schon hinsichtlich teilweise fehlender Kompatibilität, fehlendem internen KnowHow, eingeschränkt verfügbaren Supportorganisationen, ebenfalls offenen Sicherheitsthemen und nicht darauf ausgerichteten Prozessen und Schulungen.

–       Das Isolieren auf Basis des Netzwerkes / Virtualisierung, das Sperren oder Löschen von lokalen Wechseldatenträgern / Firmendaten / USB-Anschlüssen / CD-DVD-Laufwerken für das Verhindern von der Einschleusung von schadhafter Software oder das Deaktivieren des Internets sind nicht immer praktikabel und erhöhen den Gesamt-Betriebsaufwand wiederum.

–       Die Gesamt-Kostenrechnung von solchen zunehmend zu isolierenden Umgebungen steigt
rasch an und auch ein optional sogenannt „erweiterter Support seitens Microsoft“ ist sehr kostenintensiv und vielerorts nicht mehr tragbar aufgrund vom Kostendruck (z.B. Vergleich zu massgeschneiderten Cloud-Services)

–       Ein „Ende mit Schrecken“ durch eine geplante, überprüfte Migration auf z.B. Windows 8.x / Office 2013 / Office 365 / Server 2012 mit vielen verfügbaren guten Tools und Migrationspfaden ist vielfach lohnenswerter als ein „Schrecken ohne Ende“ durch die mühsam aufrechtzuerhaltende Windows XP / Office 2003 Umgebung und dem teilweise auch anwachsenden KnowHow-Vakuum.

–       Migrationen und Transformationen bieten auch Chancen für Innovationen und Weiterentwicklungen in Prozessen und letztlich auch in Personalbelangen.
Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als Überlebensfaktor
im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“

–       Eine sauber geplante Transformation ebnet bei vielen Organisationen auch den Weg und Basis für moderne homogenisierte Cloud-Lösungen (Private / Public / Hybrid) bei flexibleren, besser budgetierbaren Kosten, nutzungsoptimierten Services und auch Unabhängigkeiten von kritischen KnowHow-Trägern und proprietären Systemen.

–       Das sehr stark optimierte Betriebssystem Windows 8.x lässt auch je nach Hardware einen sogenannten „Refresh von bestehender Hardware“, „Clientunabhängiges Windows2Go auf USB-Stick“ oder diverse „Virtualisierungs- / Deployment Szenarien“ zu und hilft dadurch weitere Kosten zu optimieren in Bereichen wie z.B. Flexibilität, Sicherheit und (Hybrid)-Cloud-Umgebungen.

–       Länger bekannte Bedürfnisse in den Bereichen wie „Bring your own Device (BYOD)“, People Centric IT (PCIT), geräte- und standort-unabhängige Workplaces bei maximaler Mobilität sind nicht mehr realisierbar.

–       Die zunehmend gewünschte Verschmelzung von den unterschiedlichen Geräte-/Form-Faktoren wie PC, HomeOffice, Client, Ultrabook, Tablet, Smartphone sind nicht mehr effizient / zentralisiert abbildbar.

–       Moderne, attraktive Arbeitsplätze – mit eben auch einem guten ICT-Business Support – sind zunehmend auch positiv wirkenden Faktoren bei der Personal-Rekrutierung und Arbeitgeber- / Arbeitsplatz-Attraktivität.

–       Die zentrale Verwaltung in Themen wie z.B. Richtlinien, Hardening, Datenschutz, Verschlüsselung / BitLocker, Remote-Zugang per DirectAccess, Audit, Inventarisierung, Softwareverteilung, Lizenzverwaltung, Alerting, Compliance ist mit Windows 8.x speziell in Zusammenarbeit mit z.B. Windows Server 2012 / System Center oder auch Windows Intune ideal abdeckbar.

–       Der KnowHow-Aufbau und interne Schulung von Mitarbeitern wird vereinfacht und intuitiver mit den neuen Versionen von Windows und Office und gegebenen Möglichkeiten der z.B. gemeinsamen Zusammenarbeit, Desktop-Sharing, Remote-Unterstützung, VideoConferencing

–       Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (bzw. bald mal nur noch einem Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Transformations-Potential

–       Weitere Zukunftsthemen wie z.B. zentral verwaltete Enterprise- / CompanyPortal-Apps / Webservices / Streaming per auch „Click to run“ und Nutzung ab auch Smartphones und Tablets sind nur neueren Versionen und Technologien vorbehalten.

–       Cloud-Lösungen wie z.B. Office 365 mit auch Windows Intune können Teilbereiche wie Nach- oder Neu-Lizenzierung von Betriebssystem Windows 8.x oder Office 2013 sehr kostengünstig und mit vielen prozessoptimierenden Zusatz-Funktionen abdecken. Selbstverständlich kann das Unternehmen auch hier entscheiden ob z.B. Office Lizenz / Betriebssystem nur isoliert lokal betrieben werden ohne Daten oder Services in der Cloud (z.B. für auch reine Lizenzierung von Office 2013 und Windows 8.x)

–       Hoffnungsvolle Briefe, Mails und Medien-Meldungen an die Adresse des neuen Microsoft-CEOs mit der Botschaft „Bitte lasst Windows XP länger leben da wir mehr Zeit brauchen“ oder „Wir bitten um Einsicht weil wir nichts dafür haben, dass wir auf Windows XP geblieben sind wegen dem untauglichen Nachfolge-Produkt Windows Vista“ oder „Wir wollen nicht automatisch mit der Cloud verbunden sein mit neueren Betriebssystemen oder Technologien / Services“ werden wenig nützen …

Ach ja! Zu guter Letzt: Wer sich mit Windows 7 derzeit ganz sicher fühlt wird bedenken müssen, dass offiziell gemäss Microsoft auch hier der grundlegende Basis-Support ebenfalls bereits wieder ausläuft ab 2015 gemäss aktuellen Informationen und muss auch bedenken, dass das letzte grosse Windows 7 Servicepack 1 vom Jahr 2011 stammt. Ob auch hier Microsoft eine allfällige Verschiebung dieses Datums macht – aufgrund der forcierten Windows 8.x Markteinführung und angekündigtem Produktelaunch von Windows 9 ab 2015 – ist eher fraglich derzeit. Das Zeitfenster fuer den Erfolg in dieser Transformation ist beschraenkter und kleiner als viele denken.

Daraus publiziertes Zeitungs-Interview: Windows XP end of life – Ende und Transformation eines Industrie-Standards

XP-end-of-life-Artikel-FS-20140304

Daraus publizierter Zeitungsartikel: Swiss IT Magazine – April 2014

Swiss-IT-Magazine-Artikel_55814_XP-Eol-Auswege-Strategie-April-2014

https://twitter.com/fridel_on_road