Die beste Software hilft nicht, wenn sie nicht zuverlässig betrieben wird. In der heutigen Welt aus Kubernetes-Clustern, virtuellen Netzwerken und globalen Load Balancing ist der Betrieb aber nicht mehr damit erledigt, einen Server zu kaufen und in das Rack im eigenen Serverraum zu schieben. Gleichzeitig stellt die globale digitale Sicherheitslage Betreiber:innen immer vor neue Herausforderungen.
Aus diesem Grund übernehmen wir für eine stetig wachsende Anzahl unserer Kunden nicht nur die Konzeption und Umsetzung von Software, sondern anschließend auch einen gesicherten Betrieb.
Erfolgsfaktoren eines stabilen IT-Betriebs
Ein umfassender IT-Betrieb besteht nicht nur daraus, eine Software schnell und günstig global zugänglich zu machen. Weitere wesentliche Erfolgsfaktoren, die wir in unseren Produkten implementieren, sind:
- Implementierung eines leistungsfähigen Backupkonzepts
Auf die unterste Ebene heruntergebrochen, ist selbst jedes Cloud-Projekt von funktionierender Hardware abhängig: Stromversorgung, Netzanbindungen, Festplatten, … – und überall, wo Hardware zum Einsatz kommt, ist ein Ausfall lediglich eine Frage der Wahrscheinlichkeit. Die entscheidende Frage ist jedoch nicht „ob“, sondern die Frage des Umgangs. Liegen vollständige Backups aus unterschiedlichen zeitlichen Horizonten vor? Wurden die Backups auf ihre Wiedereinspielbarkeit getestet? Können die Backups in kurzer Zeit wiederhergestellt werden? Oder müssen sie erst über Stunden oder Tage vom NAS on premise wieder hochgeladen werden? Wurde für die Zwischenzeit mittels Redundanz für einen lückenlosen Weiterbetrieb gesorgt? - Verfügbarkeit eines kompetenten Supports
Viele Infrastruktur-Anbieter machen verlockende Angebote, bis es dazu kommt, mit dem Support kommunizieren zu müssen. Denn nichts ist nervenaufreibender als das bange Warten auf den eventuellen Rückruf eines Supports, nachdem irgendetwas nicht mehr funktioniert. Neben der grundsätzlichen Frage nach einem Support steht gleichermaßen auch die Frage im Raum, ob für eine ausreichende Redundanz gesorgt ist? Oder handelt es sich in Wirklichkeit eigentlich um eine “One-Man-Show”? Und ist der Support in der Lage, unkompliziert und trotzdem prozesskonform für Abhilfe zu schaffen? - Betrieb eines aktiven Patch- und Updatemanagements
Software verwildert zwangsläufig mit der Zeit. Bibliotheken und andere Bestandteile werden weiterentwickelt und sind eventuell nicht mehr kompatibel, neue Sicherheitslücken werden gefunden oder andere Umsysteme haben sich weiterentwickelt. Die Frage ist also, ob eine regelmäßige Wartung und das Einspielen von Updates im Gesamtkonzept berücksichtigt werden? Und werden beispielsweise Wartungszeitfenster geplant? - Umfassendes, proaktives Security-Monitoring
Wie eingangs erwähnt, wird die Sicherheitslage im digitalen Raum zunehmend bedrohlicher und Angriffe folgen immer komplexeren Mustern. Ein einfacher Betrieb einer Anwendung wird damit schnell zum Risiko. Werden Anwendungen also auch systemübergreifend permanent auf typische Angriffsmuster überwacht? Werden regelmäßig selbst Pentests durchgeführt? Werden Angriffsvektoren geprüft und reduziert? Und werden Mitarbeitende regelmäßig über neue Exploits informiert? - Aufsetzen eines Desaster-Recovery-Konzepts
Auch wenn zu hoffen ist, dass es nie gebraucht wird: Jeder (Komplett-)Ausfall ist nur halb so tragisch, wenn die Abläufe und Mechanismen regelmäßig durchgegangen und geübt wurden. Das setzt allerdings voraus, dass entsprechende Übungen konzipiert und umgesetzt werden. Wichtig dabei: Ist klar definiert, wie ein Wiederanlauf erfolgen kann? Ist klar, welche Parteien mit welchen Informationen in welcher Frequenz zu versorgen sind? Wird sichergestellt, dass auch im Wiederanlauf alle rechtlichen Vorgaben (KRITIS, DSGVO, …) eingehalten und nicht durch Prozessabkürzungen übergangen werden?
Um einen umfassenden Betrieb anbieten zu können, der auch diese Punkte berücksichtigt, setzen wir mittels Docker, Ansible und Continuous Deployment auf einen hochgradig automatisierten Betrieb. Zur Reduktion von Risiken setzen wir auf mehrere Cloud-Provider in unterschiedlichen Regionen und betreiben übergreifend ein in Sicherheitszonen getrenntes Netzwerk. Um möglichst viele Risiken adressieren zu können, erfolgt der gesamte Betrieb ISO 27001-konform, was intern wie extern regelmäßig überwacht wird.
Auf diese Weise betreiben wir mittlerweile über 250 Systeme für unsere Kunden mit täglich mehreren Millionen Zugriffen weltweit.
Open Source als Wettbewerbsfaktor
Neben dem Betrieb eigener Entwicklungen betreiben wir für Kunden ebenfalls ein breites Angebot an Open-Source-Lösungen. Von manchen eher skeptisch beäugt, bietet die Open-Source-Community eine immer größer werdende Welt an spannenden Anwendungen, die sich häufig mit geringem Aufwand in die eigene IT-Landschaft integrieren lassen. Die Vorteile liegen dabei klar auf der Hand:
- Da umfassende Lizensierungen und damit verbunden langlaufende Verträge wegfallen, entfällt auch der größte Teil eines möglichen Lock-In-Effekts. Sollte eine Software eines Tages den Anforderungen nicht mehr genügen, ist kein kostenspieliger Weiterbetrieb notwendig, nur weil die Verträge es erfordern.
- Viele Open-Source-Anwendungen bringen bereits eine breite Palette an Integrationsmöglichkeiten und Schnittstellen mit sich, die eine Einbindung in die eigenen Prozesse einfach werden lässt.
- Dadurch, dass hinter den meisten großen Open-Source-Projekten eine breite Entwicklercommunity steht, ist gesichert, dass die Software auch weiterhin Bestand haben wird. Eine Übernahme durch einen anderen Konzern mit darauffolgender Einstellung zugunsten eines anderen Produkts ist damit nicht zu erwarten.
- Zuletzt hat die Veröffentlichung des gesamten Quelltextes einer Anwendung eine massive Auswirkung auf die IT-Sicherheit. Lücken können unabhängig und gezielt gesucht und geprüft werden und Auditoren können die Sicherheit einer Anwendung unabhängig und umfassend prüfen.
Sollten Sie Interesse an möglichen Open-Source-Anwendungen für Ihr Einsatzgebiet haben, kontaktieren Sie uns gerne! Wir haben Spaß daran, mit Ihnen gemeinsam zu prüfen, welche Möglichkeiten die Community für Sie bietet und ob eine etwaige Lösung für den Einsatz in Ihrem Unternehmen geeignet ist.
Übrigens: Als Frachtwerk tragen wir auch selbst zur Open-Source-Community bei! In unserem github-Repository veröffentlichen wir mit “Essencium” insbesondere die Basisplattform unserer eigenen Softwareentwicklung. Schau gerne einmal rein!