Computerwelt: Aktuelle IT-News Österreich


08.11.2016 Klaus Lorbeer

Mit IT-Knowhow Brücken bauen

Die Wiener Sphinx IT Consulting blickt auf mehr als zwei Jahrzehnte IT-Erfahrung zurück, ist aber technisch stets up-to-date geblieben. Ein Gespräch mit Gründerin und Geschäftsführerin Ingrid Kriegl sowie den technischen Consultants Wolfgang Klinger und Ernst Stippl über das Thema Security und das Überbrücken von Gaps.

V.l.n.r.: Die technischen Berater Wolfgang Klinger und Ernst Stippl sowie Sphinx-IT-Geschäftsführerin Ingrid Kriegl.

V.l.n.r.: Die technischen Berater Wolfgang Klinger und Ernst Stippl sowie Sphinx-IT-Geschäftsführerin Ingrid Kriegl.

© Sphinx IT

Security sei ein schwieriges Thema und es bedürfe eines großen Knowhows sowie guter Kommunikationsfähigkeiten, um diesen Bereich in österreichischen Unternehmen auch wirklich zu einem Thema zu machen, erklärt Ingrid Kriegl, Geschäftsführerin und Co-Gründerin von Sphinx IT. Sicherheit sei wichtig, werde aber von Kundenseite als Kostenfaktor gesehen. "Security hat einen Versicherungscharakter und bringt keinen Business-Nutzen", bringt es Kriegl auf den Punkt. Es falle den IT-Abteilungen daher schwer, dafür Budgets zu bekommen. Wichtig sei es, den Zusatznutzen eines Security-Produkts zu kommunizieren, wie beispielsweise ein zu erwartender Stabilitätssprung oder das bessere Ausnutzen der Ressourcen, weil das Security-Produkt hilft, Transparenz zu schaffen.  

ArgumentionsHilfe für die IT
Dass das Bewusstsein bei der IT-Abteilung in Sachen Sicherheit gehoben werden müsse, glaubt Kriegl nicht, da es ohnedies vorhanden sei. Es gehe vielmehr darum, der IT-Abteilung mehr Argumente an die Hand zu geben, anhand derer sie einen Business-Nutzen darstellen kann, der sich tatsächlich realisieren lässt, um letztlich bei der Geschäftsführung das dafür nötige Budget zu lukrieren.

Auf die Frage nach den größten Security-Bedrohungen weist Wolfgang Klinger, Technology Consultant bei Sphinx IT darauf hin, dass die Unternehmen grundsätzlich gute Security-Systeme im Einsatz hätten. Doch werde das Monitoring vernachlässigt, weil das Auswerten der Log-Files, also der Protokolle, welche Zugriffe stattgefunden haben, ein sehr hoher Aufwand sei. Das Problem sei, so Klinger, dass die Unternehmen oft nicht wüssten, ob die bereits implementierten Sicherheitsmechanismen auch die gewünschten Bereiche abdeckten, weil nicht bekannt sei, welche Zugriffe tatsächlich passierten. 

Das sehe man jedoch mit Monitoring ganz genau. Und der vorhin angesprochene Zusatznutzen ist auch klar: So gibt es Applikationen, die Statements absetzen, welche z.B. auf nicht vorhandene Tabellen verweisen. Das führt zu Performanceproblemen, deren Ursache auf den ersten Blick unbekannt ist. Das System zu tunen oder die Hardware zu vergrößern, sind hier die falschen Schritte. Erst indem man den oben erwähnten tatsächlichen Grund findet, könne die Leistungsfähigkeit des Systems erhalten werden, so Klinger. 

Obgleich die meisten Produkte auch Monitoring inkludiert haben, gibt es Produkte, die etwas mehr bieten als nur die Rohdaten zu zeigen. Da werden Reports generiert, die dann bei Bedarf automatisch verteilt werden, oder es werden Alerts direkt verschickt, die zeitnah auf das Problem hinweisen, damit man nicht erst auf den Report am Monatsende warten muss. "Derzeit sehen sich die Unternehmen die Logs im Nachhinein an", erklärt Ingrid Kriegl und fügt hinzu: "Das ist aber nicht der Sinn der Sache, es geht doch darum, den Schaden vorher abzuwenden - SIEM-Produkte (SIEM= Security Information and Event Management, Anm.) leisten das." Aufgrund dieses Mehrwerts hat SphinxIT diese Produkte ins Portfolio genommen.

Erst eine echte Betroffenheit aus dem Umfeld der Menschen schaffe ein Verständnis für Security-Maßnahmen, z.B. wenn durch einen CryptoLocker-Virus alle Daten unlesbar geworden sind, weiß Ingrid Kriegl. IT gehöre jedoch normalerweise nicht zum Erlebnisumfeld der Menschen, sondern wird als Kostenfaktor gesehen.

Die End-Point-Security, also die Sicherheit bei den Endgeräten bzw. den Mobile Devices sei aber kein Schwerpunkt bei Sphinx IT für Wolfgang Klinger hinzu. Ernst Stippl, technischer Consultant bei Sphinx IT, ergänzt jedoch, dass im Bereich Security im Endgeräte-Bereich eine Sache immer wichtiger werde, nämlich das Konzept des "Zero Trust". Stippl: "Bedrohungen kommen nicht nur von außen, sondern können auch innerhalb des Unternehmens vorhanden sein. Nicht nur der Hacker im fernen China ist gefährlich, sondern auch ein Mitarbeiter, der es mit den Daten der Firma nicht so gut meint. All das kann mit SIEM-Produkten überwachen, erkennen und abwehren. Man kann solcherart überprüfen, ob ein Datentransfer und welcher Art Datentransfer zu oder von einem einem vonstatten geht und sollte dieser nicht erlaubt sein, kann man das gegebenenfalls unterbinden."

Kommunikative Brücken bauen
Gefragt, ob ihr Unternehmen nicht kommunikative Brücken zwischen IT und Geschäftsführung schlagen könne, verweist Kriegl auf den Unternehmensslogan "Mastering the Gap", wobei sie mit "Gap" alle möglichen Gaps meine - Gaps zwischen technischen Komponenten, aber es gibt auch die Gaps (bei großen Unternehmen) zwischen dem Datenbankadministrator, dem Netzwerker und dem Storageverantwortlichen, oder das Gap zwischen IT-Abteilung und der für das IT-Budget verantwortlichen Geschäftsführung. 

Auch Wolfgang Klinger sieht die Kommunikation zwischen IT und dem Management oft als verbesserungswürdig. "Beide Abteilungen reden eine andere Sprache. Wir sehen uns nicht als Managementberatung, aber als Übersetzer, der ein Verständnis für die Technik erweckt."

Etwas, das die Berater der Sphinx IT oft antreffen, sind gewachsene IT-Landschaften, in denen es viele Einzellösungen gibt. Wenn die Sphinx-IT-Berater gerufen werden, gibt es dort meist ein konkretes Problem. Beim Problemfinden bauen Kriegl und ihre Mitarbeiter auf eine langjährige Erfahrung und auf eine erprobte Methodik auf, um das Problem zu lösen. Dabei sei der Ansatz, so Kriegl, höchste Wertschätzung des Kunden und seiner Ausstattung. Das Problem werde möglichst nicht mit neu zu kaufenden Produkten gelöst, sondern mit dem was bereits da ist. Selten, quasi als letzter Schritt, schlage man auch die Trennung von einer bestehenden Lösung vor, zumal wenn wirklich etwas Besseres auf dem Markt vorhanden ist.

Beratungen hinsichtlich der EU-DSGVO mache man nicht, so Ernst Stippl. Man achte jedoch darauf, dass mit den eingesetzten Lösungen und Technologien die legalen Forderungen erfüllt sind. Zudem arbeite man hinsichtlich der EU-DSGVO mit Partnern zusammen. Für Ingrid Kriegl ist für die Umsetzung der EU-DSVGO ganz klar die Geschäftsführung zuständig, "denn die Lösung alleine von der IT-Abteilung zu erwarten, ist eine Überforderung derselben."

Knowhow für KMU
Österreich ist ein Land der KMU, die haben zwar "dieselben Themen wie die Großen, aber weniger IT-Abteilung," so Kriegl. Deswegen bietet Sphinx IT jetzt das eigene Portfolio von der Softwareentwicklung bis zum Betrieb unter dem Namen myIT auch KMU an. "Das ist der verlängerte Arm der eigenen IT-Abteilung des Kunden mit dem Knowhow, das wir uns bei den Großen täglich antrainieren - auf KMU-Bedarf heruntergedampft. Es profitiert immer auch der nächste Kunde vom vorigen. Und das KMU von alldem, was wir bei den Großen lernen." Das komme gut an, weil die KMU das Angebot aus einer Hand sehr schätzten, berichtet Kriegl.  

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: