Unternehmen der kritischen Infrastruktur (KRITIS) müssen das IT-Sicherheitsgesetz 2.0 einhalten und die geforderten Nachweise bringen – und die nächste Novelle kommt bestimmt, in der weitere Anforderungen formuliert werden und den Kreis der betroffenen Unternehmen nochmals ausweitet.
Dass ein besserer Schutz der Infrastruktur nötig ist, kann wohl niemand bestreiten. Zwar werden für die aktuellen Verschärfungen insbesondere Mängel beim physischen Zugang angeführt, nachdem „Klimakleber“ mehrfach in Sicherheitsbereiche von Flughäfen vorgedrungen waren und großflächige Zugausfälle aufgrund der Zerstörung von praktisch ungeschützten Kabeln die halbe Republik lahmgelegt haben.
Cybersecurity unter Druck
Aber auch wochenlange Produktionsausfälle von Industriebetrieben, Banken und Dienstleistern aufgrund von Ransomware, massenhafte Angriffs- und Störversuche und aufgeflogene Spionage-Aktivitäten machen klar: Bei der Absicherung von Unternehmensnetzwerken gibt es noch viel zu tun. Die Netzwerkkommunikation ist ein entscheidender Faktor für den Geschäftsbetrieb. Gleichzeitig nehmen die Cyberbedrohungen weiter zu.
So sind Unternehmen – nicht nur aufgrund von KRITIS-Anforderungen – gezwungen, stetig in die Anwendungs- und Netzwerkinfrastruktur zu investieren. Drei Ziele stehen dabei im Fokus:
- das Risiko von Datenverlusten und Ausfallzeiten zu verringern;
- die allgemeine digitale Widerstandsfähigkeit zu erhöhen;
- Zero-Trust-Strategien zu entwickeln.
Eine besondere Herausforderung entsteht aus heterogener Netzwerk-Infrastruktur. Größere Netzwerke bestehen in der Regel aus Hardware verschiedener Hersteller. Jede Komponente bringt eigene Firmware, OS und/oder Anwendungen mit, für die in mehr oder minder großen Abständen Sicherheits-Updates herausgegeben werden. So können, über das gesamte Netzwerk hinweg, im Jahr mehr als 100 Software-Aktualisierungen notwendig sein.
Gefährliche Kosten-/Risiko-Kalkulation
Den Aufwand, die vorhandenen Komponenten im Netzwerk zu tracken und auf vorhandene Updates zu überprüfen, können Xantaro-Kunden mit effizienten Tools reduzieren. Jedoch kann kein Hardware-Anbieter garantieren, dass die spezifischen Funktions- und Skalenkombinationen eines jeden Kunden von neuen Versionen unberührt bleiben.
Die Folgen können drastisch sein, von neuen Sicherheitsrisiken über Instabilitäten im Unternehmensnetz bis zum Totalausfall. Wird der Geschäftsbetrieb sichtbar beeinträchtigt, drohen weitere Folgeschäden: Umsatz- und Ertragsausfälle, Regressansprüche von Kunden, Reputationsverlust, Kosten für die Fehlerbehebung und Zeitverlust bei der Weiterentwicklung des Netzwerks.
Angesichts solcher Risiken muss man sich fragen, warum Unternehmen die eingespielten Patches und Updates nicht vorab testen. Die Antwort offenbart eine gefährliche Abwägung. Denn Release-Management ist eine anspruchsvolle und zeitaufwändige Aufgabe, die zudem enorme Kosten verursachen kann. Ein fähiger Testingenieur verursacht Vollkosten von mindestens 80.000 Euro pro Jahr, eher mehr. Aufbau und Pflege einer Testumgebung schlagen nochmals mit mehreren 100.000 Euro zu Buche. Da flüchtet sich mancher IT-Verantwortliche mit begrenztem Budget doch eher in eine „rheinische“ Gelassenheit: „Et hätt noch emmer joot jejange“ sagt man in Köln. Zu deutsch: „Es ist bisher noch immer gut gegangen.“
Doch das „Prinzip Hoffnung“ sollte nicht die beherrschende Strategie der IT-Abteilung sein. Dass es auf Dauer nicht trägt, kann jeder anhand einiger weniger Fragen an den Unternehmensentscheider bzw. den Leiter der IT leicht überprüfen:
- Hatten Sie schon einmal Ausfallzeiten Ihres Netzwerks (oder Teilen davon) nach der Einführung von ungetesteten Software-Upgrades?
- Haben Ihre Kunden (intern oder extern) dies bemerkt?
- Musste Ihre Support-Organisation Eskalationsanrufe von betroffenen Kunden beantworten, die durch einen Netzwerk- oder Service-Ausfall negativ beeinflusst wurden?
- Und nicht zuletzt: Können Sie die Kosten für diese Ausfälle beziffern?
Sparen mit Outsourcing
Doch auch wer sich für den sicheren Weg entscheidet, muss sich etlichen Fragen stellen. Das beginnt schon damit, ob überhaupt die technischen und personellen Ressourcen vorhanden sind, um entsprechende Tests durchzuführen. Wird im laufenden Betrieb erfasst, welche internen Kosten im Zusammenhang mit Softwaretests anfallen? Und würden Sie nicht gerne die Kosten für das Release-Management senken?
Nicht selten stehen IT-Administratoren auch angesichts des Fachkräftemangels vor einem Dilemma: Entweder das Risiko für das Unternehmensnetzwerk zu senken, oder die verfügbaren Netzwerk-Experten für andere Aufgaben einzusetzen, so dass beispielsweise neue Dienste schneller zur Marktreife gebracht werden können.
In dieser Situation bietet sich ein Outsourcing des Releasemanagements an. Mit XFAST (Xantaro Fully Automated Software Testing) bietet Xantaro ein Rundum-Sorglos-Paket für Software-Tests an, die auf automatisierten Routinen beruhen. XFAST erzielt reproduzierbare und präzise Ergebnisse in kürzerer Zeit und zu kalkulierbaren Kosten. Die Tests können entweder vor Ort in einer unternehmenseigenen Laborumgebung oder im XT3-Lab von Xantaro durchgeführt werden. Sie berücksichtigen die spezifische Herstellerumgebung und umfassen alle Geräte, Features und Funktionen, die der Kunde nutzt. Dabei können auch spezielle Anforderungen des Netzwerks einbezogen werden. Die Spezialisten von Xantaro übernehmen den kompletten Testumfang und auf Wunsch auch die Koordination der Fehlerbehebung. Ebenso unterstützen sie bei Upgrades auf qualifizierte Software-Release. Den genauen Umfang des Outsourcings bestimmt der Kunde. Um die unterschiedlichen Bedürfnisse abzubilden, bietet Xantaro verschiedene maßgeschneiderte XRMS-Leistungspakete an.
Für Unternehmen bietet dieses Vorgehen gleich mehrere Vorteile. Zum einen wird durch ein systematisches Release-Management und -Testing das Risiko für Netzwerkausfälle oder -beeinträchtigungen gesenkt und zugleich der Zeit- und Kostenaufwand reduziert. Nicht zuletzt werden so die Know-how-Träger des Unternehmens entlastet und können für andere, Business-nahe IT-Aufgaben eingesetzt werden – eine echte Win-Win-Win-Situation.
Teilen Sie Ihre Meinung mit uns!
Ihre Perspektive zählt! Hinterlassen Sie einen Kommentar zu unserem Blogartikel und lassen Sie uns wissen, was Sie denken.