i t truly does matter ....

Unabhängig davon, ob man Cloud Computing bzw. dessen besonders aktuelle Ausprägung Private Cloud als zukünftige IT Architektur und wegweisendes IT Betriebsmodell oder aber als überstrapazierter Marketing Hype versteht - IT Organisationen suchen zunehmend nach neuen Wegen, um ihre größte und schwierigste Herausforderung zu bewältigen die darin besteht, durch massive IT Kosten Reduzierungen und durch einen Quantensprung in Flexibilität und Geschwindigkeit wettbewerbsfähig zu bleiben.

1. DEFINITIONEN

Cloud Computing wird auf höchst unterschiedliche Art und Weise und natürlich interessensabhängig definiert; eine übereinstimmende Taxonomie der Begriffe ist nicht in Sicht, was vor dem Hintergrund der Dynamik, die dieser neuen Architektur innewohnt, verständlich ist.

Die US-Bundesbehörde NIST (National Institute of Standards and Technology) hat mir ihren Definitionen des Cloud Computings, deren Charakteristika, Delivery Modelle, Delivery Architekturen und Verwendungsarten (Definitionen) nicht nur für mehr Klarheit gesorgt, sie entwickeln sich vielmehr zur de facto Standarddefinition, zumindest im Bereich der US-Bundesbehörden, die mit ihren riesigen angekündigten Investitionen in Cloud Architekturen einmal mehr eine Vorreiterrolle einnehmen.

Aber unabhängig von theoretische Diskussionen um eher semantisch interessante Fragen und Begrifflichkeiten wie Internal Clouds, Enterprise Clouds und vieler ähnlicher Begriffe, entscheidet letztendlich eine pragmatische Architektur-Roadmap und ein Cloud Maturity Modell über die entscheidenden Wettbewerbsvorteile, die Unternehmen aus und mit diesem neuen IT Paradigma erzielen können.

EMC/VMware sieht, wie im Übrigen auch Gartner (hier), Private Clouds als zukünftig vorherrschende IT Architektur und richten das komplette aktuelle und zukünftige Lösungsangebot, zusammen mit ihrem wichtigsten Kooperationspartner CISCO an diesem Architekturmodell aus.

Private Clouds bestehen, vereinfacht ausgedrückt, aus einem standardisierten, virtualisierten und automatisierten IT Environment (Desktop und Server), kompatibel mit den existierenden Anwendungen, das von der internen IT kontrolliert und betrieben wird und sowohl interne als auch externe IT Ressourcen nutzen kann (Cloud Federation).

Durch eine Private Cloud IT Architektur sind Unternehmen in der Lage, die Vorteile des Cloud Computings (z.B. Ressourcenauslastung, Provisionierung, Automatisierung, Flexibilität) zu nutzen ohne deren heute noch ohne Zweifel existierenden Risiken (z.B. Security, Compliance) tragen zu müssen. Andererseits haben Unternehmen die Wahlfreiheit zu entscheiden, welcher Teil der zu erbringenden Services von externen Cloud Providern bereitgestellt werden kann.

2. MARKTENTWICKLUNGEN

Obwohl deutsche Firmen Cloud Computing angeblich noch nebulös finden (IDC Umfrage 27.5.2009) und Skeptiker auf die weitgehend ungelösten Probleme im Bereich der Security, Performance, Verfügbarkeit, Governance und Compliance hinweisen nebst den natürlich noch gänzlich fehlenden Standards, so ist Cloud Computing doch ein unumkehrbarer Schritt zur Industrialisierung, Kommodisierung und Serviceorientierung der IT.

Und obgleich die massenhafte Implementierung und Nutzung in Form der anspruchsvollsten und kompliziertesten Variante Hybrid Cloud Computing, also die Integration mehrerer Clouds in eine IT Service Delivery Architektur, noch gut und gerne eine Dekade entfernt liegt, so entwickelt sich das Cloud Computing Modell doch rasend schnell von einer futuristischen Technologie zur bevorzugten IT Plattform, deren weitere Entwicklung durch ihren großen geschäftlichen und wirtschaftlichen Nutzen, durch unterschiedliche Marktkräfte und deren enormen Investitionen und durch eine Vielzahl von innovativen Entwicklungen getrieben wird.

• Ein übergeordneter Gesichtspunkt ist die Unzufriedenheit der Unternehmen mit der heutigen IT. Einerseits müssen ca. 75 Prozent der IT Investitionen für den laufenden Unterhalt der bestehenden IT Landschaften aufgewendet werden, sodass nur der geringe Rest von ca. 25 Prozent für die dringend erforderlichen IT Innovationen zur Verfügung stehen. Andererseits müssen Unternehmen ihre IT Kapazitäten notgedrungen auf die Spitzenlast ausrichten, was in der Folge dazu führt, dass Schätzungen zufolge im Distributed Computing bis zu 85 Prozenz der Kapazitäten nicht ausgelastet sind und einen enormen Kostenblock darstellen.

• Cloud Computing wird von verschiedenen Marktkräften im Wechselspiel entwickelt und vorangetrieben. IT Service Provider erkennen zunehmend im Public Cloud Delivery Modell eine Chance, durch massive Standardisierung, Automatisierung und Virtualisierung enorme Skaleneffekte zu realisieren um für kleinere- und mittlere Unternehmen zur bevorzugten Computing Plattform zu avancieren. IT Hersteller wiederum entwickeln ihre traditionellen Lösungen für die Zielgruppe der Public Cloud Provider, andererseits formen sie vermehrt ihre Lösungen in Service Angebote um, damit sie vom Wachstum des Cloud Service Marktes profitieren. Es entsteht in einem bemerkenswerten Wechselspiel ein hochinnovatives Umfeld, das die Entwicklung des Cloud Computings stark vorantreiben wird.

• Die Ära der hoch verfügbaren Highend-Server neigt sich langsam dem Ende entgegen und Standard x86 "Commodity"-Server bilden das kostengünstige Backbone der zukünftigen Cloud Computing Architekturen. Diese Low-Cost-Server bieten eine ständig größere Prozessorleistung bei deutlich reduzierter Leistungsaufnahme und das Gesetz der Massenproduktion wird die Kluft zu RISC-basierenden Prozessoren ständig vergrößern. Damit verlieren auch die darauf basierenden UNIX Betriebssysteme an Relevanz. Die Zukunft gehört Hypervisor Systemen wie z.B. vSphere, basierend auf Windows oder SUSE Linux Systemumgebungen

• Der unaufhaltsame Trend zum Cloud Computing wird in hohem Maße auch von der Software Entwicklungs-Community getrieben. Ähnlich dem Erfolg von Windows, der vor allem dem riesigen Softwareangebot zuzuschreiben ist, entwickeln sich vor allem PaaS (Platform-as-a-Service) Angebote zur bevorzugten Low-Cost Entwicklungsumgebung und sorgen für notwendige Vielfalt an Lösungen. Daraus resultiert auch die extrem strategische Bedeutung von PaaS für deren Anbieter im allgemeinen und die Bedeutung der kürzlichen Übernahme des Java Open Source Marktführers SpringSource (weltweit bekannt durch das populäre Spring Java Framework, benutzt durch weltweit ca. 2 Mio. Java Entwickler) durch VMware im besonderen für die zukünftige (no OS-?) Cloud Applikationsentwicklung und die breite Akzeptanz von vSphere als Industriestandard-Betriebssystem des Cloud Computings.

   

3. WIRKUNGEN

Cloud Computing führt zur Entstehung von Mega Data Centern von enormer Größe und entsprechenden Skaleneffekten. Möglicherweise findet die Marktmacht der heutigen Handelskonzerne in Zukunft ihre IT Entsprechung in diesen Data Centern.

Kleine und mittlere Unternehmen werden zunehmend SaaS Lösungen dieser Public Cloud Anbieter (IT Service Provider, IT Hersteller, IT Unternehmen von Großkonzernen) nutzen um die eigene IT zu begrenzen, zu reduzieren und am Ende komplett zu ersetzen.

Große Unternehmen werden ihre IT in einem Stufenplan von Internal Clouds (voll-virtualisierte Rechenzentren) zu Private Clouds weiterentwickeln und zudem in der Lage sein, durch eigene (Public) Cloud Services neue externe Zielgruppen zu erschließen. Allerdings könnte sich durch das sich ständig vergrößernde Public Cloud Angebot eine Entwicklung des Frühstadiums der PC Ära wiederholen, in der IT Organisationen vorübergehend die Kontrolle über die dezentrale IT verloren durch Endkunden, die ihre eigene IT Anwendungen realisiert haben.

Der IT Markt insgesamt wird sich zu dem am weitesten in der Zukunft liegenden Hybrid Cloud oder Multi Cloud Architekturmodell entwickeln, da es durch die Nutzung unterschiedlicher interner und externer IT Services den höchsten denkbaren Nutzen bieten wird.

4. (EMC) WEGE ZUR ZIELARCHITEKTUR

Der Wandel zu Private Cloud Architekturen ist eine langfristige Zielsetzung und kontinuierliche Entwicklung. Diese Transformation sollte bereits heute auf Basis einer Roadmap begonnen werden, deren Umsetzung mit jedem zusätzlichen erreichten Meilenstein eine Erhöhung der Effizienz und der Flexibilität verursacht, begleitet von einer gesteigerten Kundenzufriedenheit.

EMC selbst arbeitet an einer 100 prozentigen, VMware-basierten Virtualisierung seiner internen IT und hat bis dato eine Standard Konsolidierungsratio von 40:1 erreicht mit einer Kostenersparnis von 55 Mio. USD durch Server- und Speicherkonsolidierung bei einer laufenden Energieeinsparung in Höhe von 64 %. Das Endziel ist eine vollautomatisierte Private Cloud Architektur mit weiteren geplanten Kostenersparnissen im Bereich der Hochverfügbarkeit von 9o %, der Desaster Recovery im Bereich von 70 % und der Infrastruktur Management Kosten im Bereich von 80 % bei einer Verkürzung der Provisionierungszeit um 95 %.

Basistechnologie einer Private Cloud Architektur bildet die Virtualisierung als logische Abstraktion aller physischen IT Ressourcen. Sie erlaubt deren Nutzung als dynamischem Pool, sodass dieser on-Demand allokiert werden kann. Wurden bislang in den Unternehmen lediglich Tier-3 und Tier-2 Anwendungen virtualisiert (Light Virtualization) und damit Piloterfahrungen gesammelt, so beginnen die Unternehmen nun verstärkt damit, ihre kritischen Tier-1 Anwendungen zu virtualisieren (Production Virtualization), wobei der Umsetzung einer Virtual First Policy eine Grundvoraussetzung bildet, um den erwarteten Nutzen in der Realität auch zu erzielen.

Die Erhöhung der Virtualisierungsrate führt notwendigerweise zu einer erhöhten Anforderung an die zugrunde liegende Speicherinfrastruktur, um die sich ständig erhöhende Anzahl von WMware (und anderen) Servern zu unterstützen. Erforderlich sind eine Scale-Out Speicherarchitektur, also eine lineare Erhöhung der Speicherleistung, die vollkommene Umsetzung des Poolingkonzeptes, das den Virtualisierungstechnologien zugrunde liegt und die vollständige Unterstützung der Automation durch Policies. Über V-Max als das bislang weltweit einzige Speichersystem, das für derartige virtualisierte Data Center entwickelt wurde habe ich in einem vorangegangenen Beitrag berichtet.

Backup bildet einen nicht zu unterschätzenden Engpass. Systeme aus der Zeit der physischen Server-Ära erfordern naturgemäß durch die begrenzte Bandbreite der Server eine komplette Neukonzeption und die signifikante Reduzierung des I/O Datenstromes ist der vermutlich einzige Weg um die Virtualisierungsratio weiter erhöhen zu können. Hier bietet EMC mit Avamar die marktführende Quell-Daten-Deduplizierungslösung an mit bis dato nahezu unglaublich erscheinenden Datenreduzierungen ganz besonders in VMware Umgebungen und natürlich nutzt VMware Avamar innerhalb ihrer eigenen IT als zentrale Backup Technologie.

Eine bedeutende Phase auf dem Weg zu Private Cloud Architekturen ist die völlige Neukonzeption der Business Continuity (BC) Architektur. Virtualisierung ermöglicht vollkommen neue Lösungen der BC, Komplexitätsreduzierung, Risikoreduzierung, Kostenreduzierung und ein verbessertes Management. EMC bietet hierfür das wohl umfangreichste und kompletteste Portfolio an unterschiedlichen Lösungen zur Reduzierung der Auswirkungen von geplanten und ungeplanten Downtimes und den unterschiedlichsten Desaster Szenarien an. Ein solches innovatives Beispiel (unter vielen) einer BC Lösung im Zusammenspiel mit CISCO Technologien wird in einem aktuellen CISCO Blog beschrieben. Nur am Rande sei bemerkt, dass eine verbesserte oder kostengünstigere BC Anreiz und Motivation bilden kann, um die Application Owner für die notwendige Virtual First Policy zu gewinnen.

Und schließlich erfordert die Transformation der IT Architektur eine Weiterentwicklung der IT Management Prozesse und deren Unterstützung durch neue IT Managementtools für die virtualisierte und schließlich hoch-automatisierte neue Private Cloud Umgebung. Zeitraubende Provisionierungsprozesse müssen mit Hilfe eines Self-Service Portals und eines Business Service Kataloges (mein Blogbeitrag hier) von Wochen auf Tage oder auch nur Stunden reduziert werden. Neue V2P Managementtools (EMC IONIX Produktfamilie), die eine logische Sicht auf die physikalische Welt ermöglichen (automatische Root-Cause-Analysen, Dependency-Mappings als Beispiele), müssen in die etablierte Management-Tool-Architektur integriert werden. Allerdings erfordert ein hoher Automatisierungsgrad auch eine vorhergehende Standardisierung der Hardwarebasis bis hin zu Single-Vendor-Strategien (mein Blogbeitrag hier).

Die Reise zu Private Clouds erfordern von den Mitarbeitern der IT Organisationen völlig neue Kenntnisse, denn mit der stufenweise Erhöhung der Virtualisierungsrate treten neue Herausforderungen zu Tage. Empfehlenswert ist deshalb die frühzeitige Einbindung der EMC Consultingorganisation, die reichhaltige Erfahrungen im Rahmen von aggressiven Virtualisierungsprojekten in Kundenorganisationen und frühen Private Cloud Projekten sammeln konnte und daher ein spezifisches Umsetzungsknow-how bieten kann.

5. FAZIT

Die Zukunftsarchitektur der IT bildet zweifellos das Cloud Computing Modell. Diese Transformation wird den IT Markt für alle Marktteilnehmer, ob Endbenutzer, IT Organisationen oder IT Anbieter, vollständig auf den Kopf stellen.

In absehbarer Zeit werden Milliarden von Menschen verteilt über den gesamten Erdball "wireless" im Netz verbunden sein und Cloud Architekturen werden die einzig denkbare Möglichkeit darstellen, diese Last effizient abzuwickeln.

Gleichzeitig bietet sie den Unternehmen durch "brutalst-mögliche" (um die Politsprache zu benutzen) Skaleneffekte enorme Reduzierungen ihrer IT Kosten, aber auch eine immense Erhöhung ihrer Agilität. Beides zusammen, Effizienzgewinne und Agilität sind die treibenden Kräfte für das neue IT Delivery Modell.

Die Marktführer VMware, CISCO und EMC werden durch ihre gemeinsame Partnerschaft und gebündelten Entwicklungskräfte (VCE Initiative) die Transformation der heutigen IT zu Private Cloud Architekturen unterstützen und ermöglichen.

Und wer auch nur die geringste Zweifel an der Transformation zum neuen Cloud Computing  Paradigma hat, der gönne sich die hörenswerte ca. 30 minütige Ankündigung von Vivek Kundra vom 16.9.2009 zur amerikanischen Federal Cloud Strategie (hier).

6. AUS MEINEM IT-ZITATENSCHATZ

kurios …

"Ich glaube, es gibt einen weltweiten Bedarf an vielleicht fünf Computern" Thomas Watson, IBM Chef 1949 – 1956

"Es gibt keinen Grund, warum irgend jemand in der Zukunft einen Computer bei sich zu Hause haben sollte" Ken Olson, Gründer von DEC

"It´s complete gibberish ….. It´s insane …. When is this idiocy going to stop?" Larry Ellison, CEO Oracle; 2008 auf die Frage: What is the Cloud?

… aber auch beeindruckend

"If computers of the kind I have advocated become the computers oft the future, then computing may someday be organized as a public utitlity just as the telephone system is a public utility … The computer utility could become the basis for a new and important industry." Prof. John McCarthy, MIT Centennial in 1961.

IT Automatisierung wird nach Aussage von Forrester und Gartner einer der wichtigsten Trends der kommenden Jahre werden.

Die Begründung dafür liegt auf der Hand, ich habe sie in einem meiner vorangegangenen Beiträge beschrieben, ganz allgemein geht es darum, der divergierenden Entwicklung von steigenden Business Anforderungen und reduzierter IT Budgets zu begegnen. Automatisierte Prozesse bewirken außerdem compliance-gerechte, audit-fähige, fehlerfreie und vor allem auch verbesserte Prozesse und im Ergebnis eine verbesserte Produktqualität.

Den Zusammenhang zwischen Prozessverbesserung und Kosten zeigt die nachfolgende anschauliche Grafik.

Einen interessanten Bezug zwischen Prozessverbesserung und Qualität stellen die Prozess "Gurus" Deming, Juran und Crosby in ihren TQM Principles dar:

"The quality of a product is largely determined by the quality oft the process that is used to develop and maintain it".

Und das Software Engineering Instiute (SEI) kommt zu folgenden, durch kontinuierliche Prozessverbesserungen über einen Zeitraum von 5 Jahren, erzielten dramatischen Ergebnissen:

 

Der Service Desk im Zentrum der IT Service Management Automatisierung

Nachdem sich ITIL nun als Best Practice Framework (obwohl es auch andere und auch effektivere Methoden für IT Service Management gibt) in den Unternehmen etabliert hat, sind die Voraussetzungen für den nächsten Schritt im Evolutionsprozess des IT Betriebes, die Automatisierung und Integration der definierten Service Management Prozesse, geschaffen, zur Reduzierung der laufenden Kosten und Erhöhung der Qualität und der Kundenzufriedenheit.

Im Zentrum des Interesses steht, auch nach einer Umfrage der EMA Enterprise Management Associates, der Service Desk, denn die heutige Art des Supports für die Endanwender wird den Anforderungen nicht mehr lange genügen. Der Service-Desk wird auf wesentlich ausgereiftere Abläufe zurückgreifen müssen, um die vielschichtigen Anforderungen der immer anspruchsvolleren Kunden und das ständig ansteigende Volumen zu unterstützen. Mehr als nur der Helpdesk der vergangenen Jahre stellt der Service Desk die erste Kontaktstelle, der "single point of contact" (SPOC) in einer Service Organisation dar.

Damit kommt ihm als der wichtigsten operative Schnittstelle zwischen den Kunden und der IT Organisation eine zentrale Bedeutung zu. Mit seiner Hilfe werden die Interessen der Kunden innerhalb der IT repräsentiert, im Ergebnis prägt seine Arbeit ganz wesentlich das Erscheinungsbild, die Servicequalität und das Image der IT Organisation im Unternehmen, er trägt aber auch substanziell zu einer Senkung der Kosten für IT Services bei.

Aber die Anforderungen an die Funktion Service Desk werden in Zukunft ständig weiter zunehmen. Denn mit der steigenden Abhängigkeit des Business von der IT stellen die Kunden weiter höhere Ansprüche. Der Service Desk wird in Zukunft

• auf integrierte und hoch automatisierte Abläufe zurückgreifen können, um die immer anspruchsvolleren Business Anforderungen fehlerfrei, weil automatisiert, zu unterstützen;

• die vom Service Desk gepflegten Wissensdatenbanken und integrierten Knowledge Management Systeme werden unschätzbare Quelle und Basis sein, um einen weitaus höheren Prozentsatz der Probleme ohne Eskalation und damit schneller bearbeiten zu können (First Call Resolution);

•  im zukünftig virtualisierten Data Center werden Technologien wie z.B. modellbasierte realtime Root Cause Analysen oder automatisierte Application-Discovery und Dependency-Mapping Lösungen (wird übrigens ebenfalls von EMC angeboten, aber dazu mehr in einem späteren Beitrag) unverzichtbar werden, um die Service Levels zu optimieren und Betriebskosten zu senken;

• den Ausgangspunkt für Best-Practice-Initiativen bilden und mit nahezu allen ITIL Domänen hoch integriert sein.

Service Desk Automation mit infraEnterprise

In diesem Umfeld nun kommt der EMC Lösung INFRA eine ganz besondere Bedeutung zu. Obwohl beim Lesen eines Weblog keinesfalls die Anmutung eines Datenblattes aufkommen sollte, komme ich nicht umhin, einige wesentliche, wichtige und keinesfalls selbstverständliche Funktionen von INFRA als Mittelpunkt einer jeglichen ITIL Best Practice Initiative nachfolgend zu erwähnen:

• Infra ist konzipiert um unternehmensweit nahezu alle ITIL Service Management Prozesse integriert zu automatisieren;
• eine best-of-breed EMC Lösung und, als Standardfeature einer "state-of-the-art" Enterprise IT Strategie, zu 100 % web-basiert;
  
• höchstmögliche ITIL Kompatibilitätszertifizierung durch Pink Elephant´s "enhanced PinkVerify ™" und verifiziert als "Knowledge Centered Support (KCS)" konform, einem international anerkannten Best Practice Framework;;
• Unterstützung der ISO20000 Zertifizierung, kontinuierliche Prozessverbesserung und Re-Zertifizierung (Grafik: Beziehung Standard-Framework-Automation );
  
• und, höchst wichtig, mit flexibler, konfigurierbarer "out-of-the-box" Integration in die vorhandene ITSM Toolarchitektur durch eine Vielzahl von verfügbaren Konnektoren;
• integriertes Service Catalog Management (SCM) um manuelle Prozesse zu minimieren (Lean IT) und als Basis zur Entwicklung eines produktiven IT/Business Dialoges - aber auch als notwendige Front-end Funktion eines zukünftig vollautomatisierten, virtualisierten Rechenzentrums;
  
• einfachen zu handhabenden Workflow Funktionen, um End-to-End Prozesse zu automatisieren und
• einem Kunden-Self-Service Portal und einem Knowledge-Management System  zur Erhöhung der Kundenzufriedenheit und Reduzierung der IT Kosten.

 

Schlussfolgerungen

In der RZ Automatisierung liegt eines der größten Einsparpotentiale. Gartner ("through 2012, investments in automation technology will have the highest ROI") kommt in einem Report bereits in 2007 zu dieser Aussage.

Die neue Ausrichtung des Service Desk  ist ein wichtiger Meilenstein, die IT innerhalb des Unternehmens in ihrer veränderten Rolle als Business Enabler wahrzunehmen.

Neben den bekannten "Business Treibern" Kostenreduzierung, Endkundenzufriedenheit, Qualitätsverbesserung wird auch die Notwendigkeit eines sowohl technisch aufwendigen als auch wirtschaftlich enorm teuren Upgrades des installierten Systems bekannter Hersteller einen Grund darstellen, zu INFRA  zu wechseln und diese moderne Automatisationslösung in den Mittelpunkt eigener ITIL basierender Best Practice Initiativen zu stellen.

Und nicht zuletzt hat der integrierte Service Catalog und das integrierte Self-Service-Portal nebst der Web-basierten Architektur und dem dadurch möglichen Zugriff über beliebige Endgeräte eine herausragende Bedeutung für die laufende Transformation zum komplett virtualisierten Data Center und der Bildung von "private Clouds". Diese Entwicklung wird in einem folgenden Beitrag thematisiert werden im, gemeinsam zertifizierten, Zusammenspiel der Architekturen von VMWare/Cisco/EMC (VCE).

Showdown in der Storage Industrie

Mit der Ankündigung der neuen Symmetrix Generation V-Max, dem weltweit ersten Speichersystem für das vollumfänglich virtualisierte Rechenzentrum, revolutioniert EMC abermals die IT Industrie und leitet die neue Ära der Virtuellen Enterprise Storage Systeme ein.

Konzipiert für den

• hyper-konsolidierten

• hoch-automatisierten

• komplett-virtualisierten

IT Betrieb, aber auch für die ökonomischen Realitäten der heutigen Zeit, bildet die Symmetrix V-Max, in einer mit dem Tochterunternehmen VMWare abgestimmten Virtualisierungsstrategie und in enger kooperativer Zusammenarbeit mit CISCO das Rückgrat des virtuellen Data Centers, das in der Lage ist, auf dynamische Business Anforderungen flexibel zu reagieren und eine 24 x forever Applikationsverfügbarkeit bei drastisch reduzierten IT Kosten zur Verfügung zu stellen.

Das System

Das neue Symmetrix System V-Max bietet schier unglaubliche Innovationen:

• eine dreifach verbesserte Performance

• die dreifach höhere nutzbare Kapazität von 3 TB

• eine verdoppelte Konnektivität

• die 24 x forever Applikationsverfügbarkeit

• 20 % weniger Energie pro TB Kapazität

• eine 95 % schnellere Datenzuweisung (Provisioning)

• eine 20 fach schnellere Datenmobilität

 

um nur die wichtigsten Merkmale zu nennen. Dazu kommen bislang nicht verfügbare Funktionen um den IT Betrieb zu automatisieren, zu virtualisieren und um die IT Kosten zu reduzieren:

• Auto-Provisioning und Virtual Provisioning für die schnelle "on-Demand" Bereitstellung

• unterbrechungsfreie Applikations- und Datenmobilität für virtuelle Infrastrukturen

• Policy basierendes Load Balancing und Pfad Failover für virtuelle Infrastrukturen

• Asynchrone Daten Replizierung OHNE Datenverlust für mulit-site Business Continuity

Die Architektur

Vom System zu unterscheiden ist die radikal-revolutionäre V-Max Architektur, die in Zukunft:

• ein voll-automatisiertes Storage Tiering (FAST - Fully Automated Storage Tiering)

• hunderte von VMaxEngines (heute 8)

• zehntausende von Laufwerken (heute 2400)

• hunderte TB an Cache

• hunderttausende von Terabytes

• hunderttausende von virtuellen Servern

• zigtausend Millionen von IOPS

in einer virtuellen Matrix und in einem "Federated System" über geographische Distanzen ermöglichen wird.

War bereits die bis dato und auch in Zukunft weiterhin verfügbare Symmetrix DMX4 in ihrer völlig neuartigen und patentierten Direct Matrix Architektur dem Wettbewerb weit entrückt,

so entschwindet ihm die Symmetrix V-Max mit ihrer revolutionären virtuellen Matrixarchitektur nun in ferne, unerreichbare Galaxien und das Kopfzerbrechen in den beiden Unternehmenszentralen des Wettbewerbs dürfte inzwischen in einen chronischen Verlauf gewechselt haben.

In diesem Zusammenhang ist vielleicht interessant: Mit 1,8 Mrd. Dollar investiert EMC über 12 % seines Umsatzes in Forschung und Entwicklung, das ist nicht nur eine Spitzenposition für alle Branchen, sondern mehr, als alle Wettbewerber vereint in F&E investieren.

Nähere Informationen zur Symmetrix V-Max finden Sie hier:

Overtake the Future with EMC Symmetrix V-Max mit allen Informationen einschließlich der Bewertungen der ersten Produktiv-Anwender, Analysten Reports und White Paper;

Weblog Chuck Hollis, Vice President EMC für eine globale strategische Einordung;

Weblog Barry A. Burke, Chief Strategy Officer für detaillierte fachliche Informationen aus dem Engineering;

Weblog Chad Sakad, Vice President EMC für detaillierte Informationen zur VMWare Integration.

IT-Industrialisierung als der Megatrend der kommenden Jahre bezeichnet die Übertragung bewährter industrieller Methoden und Prozesse auf die Informationstechnik, um auf diese Weise die IT Kosten drastisch zu senken und die Qualität der Serviceerbringung zu steigern. Ziel ist ein hoch standardisierter und hoch automatisierter IT Betrieb für eine kostengünstige Bereitstellung der Serviceprodukte in der geforderten Qualität.


IT Industrialisierung bedeutet unter anderem, dass die Fertigungstiefe der IT sinkt. Auf diesen Aspekt und die dadurch wachsende Bedeutung von Managed Services oder selektivem Outsourcing bin ich bereits im vorangegangenen Beitrag eingegangen.

IT Industrialisierung basiert auf einer weitestgehenden IT Standardisierung und der dadurch möglichen hohen Automatisierung der Service Erbringung. Davon handelt dieser Beitrag.

 

Der Zwang zur IT Standardisierung angesichts der nie ausreichend dimensionierten IT Budgets und der immer höheren Business Anforderungen ist unbestritten und deren Nutzen allerseits anerkannt.

Trotzdem hält sich, ähnlich dem berühmten gallischen Dorf in Armonica, in der wichtigsten und der am schnellsten waschsenden Domäne der IT, dem Bereich der Storage Infrastrukturen, hartnäckig der Glaube an die Notwendigkeit und den Nutzen an eine sog. Dual-Vendor Strategie, die ich prägnanter als Dual-Vendor Dilemma bezeichne.

Attraktiv erscheint eine solche Vorgehensweise vor allem aus zwei Gründen:

• Reduzierung der Abhängigkeit von einem Speicherhersteller

• Nutzung der Wettbewerbssituation bei der Beschaffung von Basissystemen

Unabhängig von der Frage, ob in dem heutigen ökonomischen Umfeld, das allgemein von einer Reduzierung der Fertigungstiefe und einer zunehmende Spezialisierung und damit einer komplexeren Wertschöpfungskette geprägt ist, eine "abhängigkeitsfreie Zone" überhaupt möglich oder gar wünschenswert ist und ob günstige Erstbeschaffungen nicht durch höhere Hochrüstpreise kompensiert werden (müssen), denn kein Lieferant kann auf Dauer von negativen Margen leben,

resultieren gravierende Nachteile aus einer Dual-Vendor Strategie und können die dramatischen Vorteile der Standardisierung des wichtigsten und des am schnellsten wachsenden Bereiches innerhalb  der IT Infrastruktur nicht für das Unternehmen genutzt werden:

• Das Management von zwei völlig unterschiedlichen Architekturen mit unterschiedlichen Bedienoberflächen ist zeit-, personal- und ausbildungsaufwändig;

• Datenmigrationen und Datenreplikationen zwischen den unterschiedlichen Plattformen sind immer problematisch, eine Storage Virtualisierung (a la IBM oder HDS) wird allgemein nicht als zukunftsorientierte Lösung gesehen;

• der Funktionsumfang (zwischen dem Marktführer und einem oder mehreren "Followern") wird immer unterschiedlich sein und erfordert entweder eine Festlegung auf den kleinsten gemeinsamen Nenner oder eben einen erhöhten Managementaufwand;

• ein einheitliches Toolset für das Service Management ist nicht verfügbar, die Lösung liegt in einer aufwendigen ITSM Toolarchitektur oder eben wiederum in erhöhtem personellen Aufwand;

• die Business Continuance und K-Fall-Fähigkeit verbessert sich dramatisch mit der kompromisslosen Festlegung auf eine einzige (die führende) Storage Infrastruktur;

• mit einem drastisch einfacheren und verbesserten Event-, Incident- und Problemmanagement steigt die Qualität der Serviceerbringung und die Zufriedenheit der Kunden;

• eine standardisierte Storage Infrastruktur unterstützt die dringend erforderliche Komplexitätsreduzierung und nutzt die Segnungen (höhere Verfügbarkeit, höhere Servicelevels, höhere Qualität, geringerer Personalaufwand) eines automatisierten RZ Betriebes.

Die Aufzählung lässt sich im Detail beliebig fortsetzen. Die Reduzierung der Anzahl unterschiedlicher Technologien erfüllt genau die oft zitierte Forderung "do more with less". Sie führt zu höherer Flexibilität und Agilität des Unternehmens und zu vereinfachten Geschäftsprozessen.

Aber auch das kaufmännische Argument harter Preisverhandlungen ist wenig überzeugend, wenn an deren Stelle Gesamtrahmenvereinbarungen treten, die alle denkbaren Leistungen des gewählten strategischen Partners umfassen um damit nicht nur das Preisniveau einer Basisinstallation, sondern die gesamte TCO (CAPEX und OPEX) deutlich senken.

Es ist ja auch aus methodischer Sicht wenig überzeugend, wenn eine "Standardisierung" bei zwei unterschiedlichen Architekturen enden soll, kurz bevor das überragende Ergebnis einer richtigen Standardisierung erreicht ist, ähnlich dem Marathonläufer, der seinen Olympiastadion Einlauf bei Kilometer 42 beendet und auf Medaille und Jubel als Lohn seiner Mühen überraschend verzichtet.

Betrachtet man dagegen die Fragestellung aus einer übergeordneten unternehmerischen Sicht, so ist das Ergebnis eindeutig. Die Bedeutung einer vertrauensvollen Zusammenarbeit mit ausgewählten strategischen Partnern spielt eine immer größere Rolle bei allen unternehmerischen Prozessen. Alle führenden und bekannten Unternehmen dieser Welt reduzieren, um ihre Wettbewerbsfähigkeit zu steigern, ihre Zulieferkette gravierend - zugunsten von strategischen Innovationspartnerschaften - indem sie sich frühzeitig das Knowhow, die Ressourcen und die Kompetenzen ihrer strategischen Partner und die Synergie Effekte einer vertrauensvollen Zusammenarbeit auf allen Ebenen zu Nutze machen.

Ein Diskurs über eine Single/Dual-Vendor Strategie im Rahmen einer IT Standardisierung wäre allerdings unvollständig ohne eine Betrachtung dieses Themas aus einer anderen Perspektive. Der kommende Teil 2 dieses Beitrages handelt deshalb von den beiden Strategievarianten "best-of-class" versus "best-of-suit" und der absoluten Notwendigkeit zur Standardisierung der Storage Infrastruktur im Rahmen des zukünftigen virtualisierten Rechenzentrums.

Outtasking, Selective Outsourcing und managed Services sind Bezeichnungen, die im Allgemeinen synonym gebraucht werden. Allerdings betont der managed Service Begriff stärker den Kundennutzen und ordnet sich deshalb, aus meiner Sicht, auch besser ein in den Wandel der IT Organisation zu einer kunden- und businessorientierten Serviceorganisation.

Der vorangegangene Beitrag (hier) beschreibt die Herkules Aufgabe des IT Managements, mit gleichbleibendem oder reduziertem IT Budget die anspruchsvollen und ständig steigenden Anforderungen des Unternehmens im Rahmen eines unterbrechungsfreien IT Betriebes zu erfüllen. 

In immer kürzeren Zeitabständen müssen neue Technologien und neue Architekturen eingeführt und integriert werden, die wiederum die Komplexität und Abhängigkeiten erhöhen und das immense Datenwachstum führt darüber hinaus zu völlig neuen Herausforderungen.

Die Optimierung der Ressourcen im Rahmen der IT Governance ist daher zu einer vorrangigen Herausforderung geworden, die Nutzung kompetenter externer Ressourcen durch managed Services gehört zum Handlungsinstrumentarium des IT Managements mit sowohl taktischer als auch strategischer Bedeutung im Rahmen der immer weitreichenderen IT Sourcing Entscheidungen.

Die geschäftlichen Vorteile von managed Services sind vielfältig:

• Verfügbarkeit, Qualität und Sicherheit der ausgewählten Services werden in einem 24x7x365 Betrieb über SLA Agreements verbindlich garantiert.
• Personalressourcen können hinsichtlich der Routineaufgaben reduziert werden und stehen stattdessen für die Weiterentwicklung und zur verbesserten Ausrichtung der IT an den geschäftlichen Anforderungen zur Verfügung.
• Die kostentreibende Komplexität des Routinebetriebes wird reduziert auf die Überwachung von SLAs und die Überprüfung der definierten KPIs.
• Kosten können reduziert werden durch die hohe betriebliche Effizienz, mit der der externe Partner seine Services bereitstellt.
• Verursachergerechte Abrechnungsmodelle erhöhen die Kostentransparenz und verbessern die Kostenkontrolle. Fixkosten werden in variable Kosten gewandelt mit der Möglichkeit direkter Reaktionen auf veränderte Marktgegebenheiten.
• Ineffektive und ineffiziente Prozessabläufe in immer komplexeren IT Umgebungen können kompensiert werden.
• Teure Ausbildungsinvestitionen (und deren Erhalt) in Spezial-Knowhow wird vermieden.

Verstärkt wird der Trend zum Einsatz von managed Services durch die veränderte und inzwischen ernüchterte Sicht auf das komplette IT Outsourcing. Über die Hälfte der großen Outsourcing Abkommen gelten inzwischen als mehr oder weniger gescheitert, jüngstes Beispiel ist die dieser Tage bekannt gewordene Rückabwicklung der nicht mal 2 Jahre währenden Partnerschaft zwischen EDS und Arcandor, die nicht die erhoffte Effizienzsteigerung erbracht hat.

Dagegen erscheinen managed Service Partnerschaften inzwischen als ideale Sourcing Variante, die die Kostenvorteile von Outsourcing nutzt, aber gleichzeitig die Kontrolle über die IT Landschaft im Unternehmen behält und die IT auch nicht von der Marktdynamik abkoppelt.

Ein wichtiger Erfolgsfaktor für die Integration von externen Services ist naturgemäß die sorgfältige Auswahl eines vertrauenswürdigen zukünftigen Partners. Auch wenn ich hier pro domo spreche, im Bereich der unternehmenskritischen managed Storage Services kenne ich kein anderes Unternehmen, das, gestützt auf die immense eigene Infrastruktur, seinen Kunden ein vergleichbar effizientes, zuverlässiges, sicheres, kostengünstiges und allumfassendes Partnerschaftsangebot unterbreiten kann, wie EMC dazu in der Lage ist.

Gestützt auf eine hochverfügbare Infrastruktur nach dem "follow-the-sun" Prinzip stehen jegliche Optionen, basierend auf einem ITIL Delivery Modell, zur Verfügung. Eine besonders hohe Nachfrage nach Storage Management Services findet sich im Bereich der virtuellen  Infrastrukturen, die EMC (zusammen mit seinem Tochterunternehmen VMWare) naturgemäß liefern kann und die in naher Zukunft in einem allumfassenden IT Service Modell für (private) Cloud Strukturen münden wird.

Zusammenfassend sehe ich im strategischen Outtasking, oder besser, in strategischen managed Service Partnerschaften, das Modell, mit dem IT Organisationen in Zukunft ihre Fertigungstiefe in einem Multi-Sourcing Ansatz verringern werden um externes Knowhow besser für das Unternehmen nutzbar zu machen, die IT Organisation sinnvoll auf die Unternehmensziele auszurichten und um die gesamte Wertschöpfungskette zu optimieren. Und EMC ist in der besonderen Lage, für den wichtigsten Bereich, die IT Infrastruktur und deren Datenmanagement, seinen Kunden einen enormen partnerschaftlichen Nutzen bieten.

Nähere Informationen zum EMC Remote Managed Service firnden Sie in diesem 7-minütigen YouTube Video. 

Die Rolle der IT hat sich in den vergangenen Jahren stark verändert. Business und IT kommen sich allmählich näher, auch dank neuer und verbesserter Methoden, Frameworks und Standards (BPM, BPMN, ArchiMate, TOGAF, COBIT, ITIL V3, SOA u. v. a. m.), die das "Alignment" unterstützen oder auch erst ermöglichen.

In vielen Branchen, denken wir z.B. an Financial Service Unternehmen, bildet die IT heute die maßgebliche und wettbewerbsentscheidende Schnittstelle zu den Kunden und gesamtwirtschaftlich betrachtet nimmt sie wahrscheinlich eine stabilisierende Schlüsselstellung ein bei der Bewältigung der derzeitigen, verheerenden Wirtschaftskrise.

Die zwangsläufige Folge sind natürlich drastisch steigende Anforderungen der Unternehmen an ihre IT Organisation im Hinblick auf eine agile IT Architektur zur Unterstützung eines flexiblen unternehmerischen Operating Modelles und an ein stark verbessertes Service Delivery bzw. Service Management mit dessen Schlüsselelementen Mitarbeiter, Prozesse und IT Technologie.

Andererseits aber müssen die IT Kosten angesichts des explodierenden Wachstums der IT Infrastruktur (Server, Netzwerk Devices, Petabytes an Storage), deren fast unüberschaubare Komplexität und dramatisch ansteigende Infrastruktur Management Kosten (das 2 - 3 fache der Investitionskosten) reduziert werden. Ineffizienzen sind in der Folge von begrenzten IT Budgets nicht mehr tolerierbar

.

Die wichtigste Herausforderung der IT für deren Management im Jahre 2009 lautet deshalb: Verbesserung der Service Delivery bei gleichzeitiger Kostenreduzierung, gleichbedeutend mit der Aufgabe, die IT wie einen eigenständigen Geschäftsbereich zu führen.

Wie kann nun die IT Organisation dieser beschriebenen konfliktbehafteten Situation aus steigenden Anforderungen bei reduzierten Kosten ("do considerably more with substantially less") begegnen?

Die Antwort liefert

• konsequente Automationseinsatz um Kosten zu senken und Service Levels zu verbessern;

• die Nutzung effizienter ITIL kompatibler Workflows anstelle von manuellen und fehleranfälligen Prozessen;

• eine gemeinsame Sicht auf die Infrastruktur und deren Abhängigkeiten um den Service für das Business zu verbessern;
  

• und letztlich natürlich der umfassende Einsatz virtueller Technologien zur Kostenreduzierung und agilen Umsetzung neuer Business Anforderungen.
  

Die Ressource Management Division von EMC ist ein schnell wachsender, dedizierter Geschäftsbereich, der mit einem innovativen Service Management- und Infrastrukturmanagement Portfolio und einer gemeinsamen Sicht auf diese beiden Managementbereiche Lösungen für die geschilderten unternehmerischen Herausforderungen bietet.

Die erforderlichen EMC Lösungsdomänen

• Service Management
  

• IT Operation

• Data Center Automation and Compliance

• Control over Virtualized Environments

werden in nachfolgenden Beiträgen beschrieben werden, wobei für potentielle Nutzer auch die ausgewiesenen Integrationsmöglichkeiten in eine heterogene SM Tool Architektur (die heute benutzten überkomplexen Management Frameworks sind bekannter weise nicht die Antwort für ein effizientes und effektives IT Management) ebenso von großer Bedeutung ist wie auch die immer notwendiger werdenden Lösungen für das Management von virtuellen Data Centern.

Über den Gastautor:

Hanns J. Proenen ist seit vielen Jahren verantwortlich für Informationssicherheit bei GE Commercial Finance in Europa. Er betreibt eine Website mit Informationen rund um Datensicherheit und Datenschutz unter www.data-defenders.de.

Zeitstempel

Mitunter ist das Eingangsdatum einer Post rechtlich relevant. Eingehende Briefpost wird daher in den meisten Unternehmen mit einem Eingangsstempel versehen. Dies ist besonders zur Einhaltung von Fristen kritisch. Auch bei Email ist es möglich, ein- und ausgehende Nachrichten sowie andere Dokumente (PDF, DOC, etc.) mit einem Zeitstempel zu versehen. Dies geschieht über einen akkreditierten Zeitstempel Service, der die Email oder das Dokument über ein Zertifikat (schon wieder) mit Zeitstempel signiert.. Bekannte Zeitstempel Anbieter sind hier, hier und hier.

Vorsteuerabzug bei elektronischen Rechnungen

Um Vorsteuerabzug geltend zu machen, muss eine Originalrechnung vorgelegt werden. Das Deutsche Umsatzsteuergesetz akzeptiert elektronische Rechnungen nur, wenn sie mit einer qualifizierten elektronischen Signatur und einem Zeitstempel versehen sind. Ein simpler Ausdruck der elektronisch übermittelten Rechnung wird für den Vorsteuerabzug nicht anerkannt. Die oben genannten Anbieter von Zeitstempel-Diensten bieten hierzu Komplettpakete an.

Zertifikate und Certifcate Authorities (CA)

Zertifikate werden von sogenannten Certificate Authorities (CA) ausgegeben. Das Vertrauen in ein Zertifikat kann immer nur so hoch sein wie das Vertrauen in die ausstellende CA, ähnlich der ausstellenden Behörde eines Ausweises, deren Glaubwürdigkeit sicher höher ist als wenn eine Firma einen Hausausweis erstellt. Zu den international renommiertesten CA´s zählen Verisign und TC Trustcenter. Letztere ist in Hamburg ansässig und nach $ 15 Abs. 1 des deutschen Signaturgesetztes akkreditiert.

Zertifikate existieren in verschiedenen Vertrauensklassen.

Die Klasse 1 belegt lediglich, dass eine Email tatsächlich von dem angegebenen Email-Absender kommt, also z.B. von Peter.Pan@nirgendwo.de. Wer sich dahinter real verbirgt bleibt weiter unklar. Das stellt schon einen guten Schutz dar, wenn Ihnen diese Emailadresse bekannt ist, z.B. Ihre Bank oder Ihnen bekannte Handelspartner.

Klasse 1 Zertifikate sind für Privatleute kostenfrei bei TC Trustcenter zu erhalten, für den gewerblichen Einsatz werden 13,50 Euro pro Jahr verlangt.

Ein Klasse 2 Zertifikat belegt die Identität der Organisation hinter dem @-Zeichen, also z.B. dass eine Email von "wer-auch-immer@ge.com" tatsächlich von der General Electric Company kommt. Die CA überprüft diesen Sachverhalt. Dies entspricht im wesentlichen der Verwendung von Firmenpapier.

Die Klasse 3 belegt die echte Person hinter einer Email, also z.B.. dass sich hinter petra.musterfrau@musterdomain.de tatsächlich Frau Petra Musterfrau aus Musterort verbirgt. Dazu muss Petra Musterfrau der CA ihre Identität über das Postident-Verfahren nachweisen.

Schließlich gibt es sogenannte qualifizierte Zertifikate, die als verbindliche Unterschrift nach dem Signaturgesetz verwendet werden können.

Zertifikate der Klassen 2 und 3 liegen bei TC Trustcenter bei 69 Euro pro Jahr, jedoch gibt es für Firmen beträchtliche Mengenrabatte.

Technisch gesehen kann man mit kostenloser Software durchaus auch eigene Zertifikate erstellen - diese sind aber als Beleg der Identität völlig nutzlos, da niemand die ausstellende CA kennt.

Zertifikate können von der CA als ungültig widerrufen werden, man nennt dies Revozierung. Dies geschieht zum Beispiel, wenn ein Zertifikat in die falschen Hände geraten ist oder Mitarbeiter ein Unternehmen verlassen. Die CA stellt dazu im Internet Revozierungslisten bereit. Viele Programme (Outlook, Thunderbird, Acrobat Reader, etc.) fragen diese Listen ab und warnen den Empfänger einer Email, dass die signierte Email von einem widerrufenen Zertifikat stammt.

Und was ist mit PGP?

In der öffentlichen Wahrnehmung wird Email Verschlüsselung mit PGP gleichgesetzt (PGP = pretty good privacy). PGP wurde 1991 von Phil Zimmermann entwickelt und funktioniert genau wie oben beschrieben mit öffentlichen und privaten Schlüsseln. Es gibt heute eine kommerzielle Verson von PGP und eine kostenfreie Open Source Realisierung.

PGP/GPG ist eine hervorragende Technologie und vor allem bei Banken weit verbreitet. Genau wie Zertifikate kann PGP verschlüsseln und signieren. Es hat aber gegenüber Zertifikaten zwei wesentliche Nachteile:

• Die Schlüssel werden selber erstellt und nicht von einer vertrauenswürdigen CA. Somit ist die Signatur ziemlich wertlos. Jeder Kriminelle könnte sich einen PGP Schlüssel ausstellen, der ihn als den Papst ausweist

.

• Die PGP oder GPG Software muss extra gekauft (PGP) und installiert werden. Und die Gegenstelle muss diese Software ebenfalls installieren. Gerade in Unternehmen stößt dies oft auf Widerstand der IT Abteilung. Die Nutzung von Zertifikaten ist hingegen bereits fest in Windows, Linux und Mac-OS verankert und wird von vielen Programmen ohne weiter Installation benutzt.

Die besten Firewalls und Antivirenprogramme helfen nicht gegen gefälschte/manipulierte Emails. Was wirklich hilft ist gesunder Menschenverstand. Denn: es gibt keine Patches gegen Dummheit.

Über den Gastautor:

Hanns J. Proenen ist seit vielen Jahren verantwortlich für Informationssicherheit bei GE Commercial Finance in Europa. Er betreibt eine Website mit Informationen rund um Datensicherheit und Datenschutz unter http://www.data-defenders.de/

Email hat in rasantem Tempo die klassische Briefpost im privaten und gewerblichen Umfeld verdrängt. Email ist schneller, billiger und lässt sich einfacher archivieren. Aber die Risiken sind ebenso vielfältig, wie es auch schon bei der Briefpost war. Eine vergleichende Betrachtung lohnt:

Unerwünschte Post/Email

Unerwünschte (Werbe) Email, bekannt als Spam, behandelt man am besten genau so wie unerwünschte Werbepost: Ab in die Mülltonne! Es gibt keinen wirklichen Schutz dagegen. Seriöse Firmen bieten am Ende der Werbemail an, über einen Klick von der Verteilerliste genommen zu werden. Das ist löblich und gesetzeskonform. Leider verwenden weniger seriöse Firmen den gleichen Ansatz, um zu verifizieren, dass die angeschriebene Email-Adresse tatsächlich existiert. Und so führt manche "Abbestellung" leider zu noch mehr Spam.

Fazit: Mit Spam müssen wir genauso leben wie mit Werbeprospekten im Briefkasten. Es tut ja nicht wirklich weh und ist nicht gefährlich. Also einfach löschen und vergessen.

Authentizität des Absenders

Auf einen Briefumschlag kann jeder beliebige Absender eingetragen werden. Ob die Post aber tatsächlich von diesem Absender kommt ist nicht überprüfbar. Bei Email ist es nicht anders. Email, die angeblich von Ihrer Bank kommt, aber es gar nicht ist, gehört inzwischen zur Tagesordnung. Jüngst erhielt eine US-Supermarktkette eine Email von einem Lieferanten, der darum bat, in Zukunft alle Zahlungen auf ein neues Bankkonto vorzunehmen. Nach einigen Wochen rief der Lieferant in der Zentrale der Supermarktkette an und beschwerte sich über ausstehende Rechnungen in Höhe von 1.2 Millionen $. Sie ahnen es, die Email war gefälscht - das Geld wurde nicht mehr aufgefunden.

Schon seit hunderten von Jahren versehen daher Fürsten und Kaufleute ihre Briefe mit einem Siegel, das den Absender einwandfrei identifiziert. Noch heute "siegeln" Behörden, Kirchen, Notare etc. alle wichtigen Schriftstücke und Briefe. Das offizielle Briefpapier von Firmen und Behörden ist ebenfalls ein gutes Indiz für die Authentizität des Absenders. Für Email gibt es ein Pendant: das elektronische Zertifikat. Alle gängigen Email Programme (Outlook, Thunderbird, Notes etc.) können eine Email mit einem Zertifikat signieren. Auch Adobe Acrobat, MS-Office, OpenOffice und viele andere Programme können Dokumente so signieren. Nächste Woche werde ich mehr Details über Zertifikate und Certificate Authorities beschreiben.

Fazit: Trauen Sie niemals einem Email Absender - er könnte gefälscht sein.  Besorgen Sie sich ein Zertifikat und ermutigen Sie Ihre Email Partner dies ebenso zu tun (einige US-Behörden nehmen inzwischen nur noch signierte Emails an).

Unversehrtheit des Inhaltes

Auch wenn der Absender zweifelsfrei feststeht, könnte der Inhalt einer Mitteilung verändert sein. Einem Brief sind schnell einige Worte hinzugefügt. Ebenso lässt sich in einer Email z.B. eine Kontoverbindung ändern. Eine von Ihnen durchaus erwartete Rechnung hat den korrekten Absender und Betrag - nur leider überweisen Sie auf das Konto des Bösewichtes, der dieses Detail in der Email verändert hatte.

Das Siegel hat auch hier seit über 2000 Jahren gute Dienste getan. Ein unversehrtes Siegel auf dem verschlossenen Briefumschlag zeigt dem Empfänger die Unversehrtheit der Botschaft. Die oben erwähnten Digitalen Zertifikate erfüllen genau den gleichen Zweck bei elektronischen Dokumenten. Dazu wird aus dem Originaldokument eine Prüfsumme gebildet, die dann mit dem Zertifikat verschlüsselt wird. Dies kann nur der Autor des Dokuments. Alle wesentlichen Email Programme, der Adobe PDF-Reader, MS-Office und OpenOffice prüfen beim Öffnen, ob die Email bzw. das Dokument noch genau diese Prüfsumme hat. Jede Veränderung würde dem Empfänger sofort als Warnung angezeigt.

Fazit: Trauen Sie niemals der Unversehrtheit einer un-signierten Botschaft. Signieren Sie Ihre Emails und Dokumente mit einem Zertifikat.

Beweiskraft und Unbestreitbarkeit

Ein unterschriebener/gesiegelter Brief hat vor jedem Gericht Beweiskraft. Der Verfasser kann nicht bestreiten, ihn geschrieben zu haben. Bei Email ist das sehr viel komplizierter: der Absender kann behaupten die Email nie geschrieben zu haben. Emails haben daher in der Regel vor Gericht nur bedingte Beweiskraft. Auch hier leistet das Zertifikat gute Dienste. Mit qualifizierten Zertifikaten signierte Emails oder andere Dokumente sind nach dem Bundessignaturgesetz einem handschriftlich unterschrieben Dokument gleichzusetzen. Aber schon Zertifikate einer niedrigeren Vertrauensstufe haben eine gute Beweiskraft.

Fazit: Rechtgeschäfte über Email sind ohne Zertifikat sehr leicht anfechtbar. Bestehen Sie bei Bestellungen und anderen Rechtsgeschäften per Email auf eine digitale Signatur mit Zertifikat.

Vertraulichkeit

Fürsten, Kaufleute und das Militär wollten seit jeher den Inhalt ihrer vertraulichen Dokumente vor Preisgabe an Unbefugte schützen. Verschlossene, gesiegelte Umschläge zeigten zwar unbefugtes Öffnen an, konnten aber nicht verhindern, dass der Feind das Siegel brach und die Botschaft las. Seit über 3000 Jahren werden vertrauliche Schriftstücke daher verschlüsselt. Julius Cäsar übermittelte alle militärischen Dokumente kodiert, indem er das Alphabet um einige Stellen verschob. Die Techniken wurden über die Jahrhunderte immer raffinierter. Das Abfangen eine Email ist technisch gar kein Problem, je nach Umstand nicht einmal strafbar. 202b StGB: "Wer unbefugt sich ........ nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung ........ verschafft, wird ......... bestraft, ........ Das Internet ist leider eine "öffentliche" Datenübermittlung und somit nicht geschützt.

Daher sind vertrauliche Daten per Email zu verschlüsseln. Dies geschieht am einfachsten, Sie ahnen es, über Zertifikate. Jedes moderne Email Programm (Outlook, Thunderbird, Notes etc.) hat die notwendigen Funktionen bereits eingebaut. Zertifikate enthalten einen öffentlichen und einen privaten Schlüssel. Den öffentlichen Schlüssel kann man an Jedermann geben. Jedermann kann mit diesem öffentlichen Schlüssel Emails verschlüsseln. Aber nur der Inhaber des privaten Schlüssels kann die Email wieder entschlüsseln. Dieses Verfahren der "Public Key Encryption" hat sich in Industrie und Militär durchgesetzt, ist sehr einfach zu handhaben und ausgesprochen sicher. Eine vollständige Verschlüsselung ist bereits mit kostenlosen Zertifikaten möglich - siehe unten.

Fazit: Versenden Sie niemals vertrauliche Informationen als unverschlüsselte Email. Verschlüsseln Sie Ihre Nachrichten mit einem Zertifikat und halten Sie Ihre Email Partner zu dem gleichen Verhalten an.

Nächste Woche: Zeitstempel, Vorsteuerabzug bei Elektronischen Rechnungen, Details zu Certificate Authorities sowie PGP

Der Nutzen der IT liegt, in aller Regel und so auch die Lehre, nicht in einem direkten Wertbeitrag zum Business, sondern in den durch die IT ermöglichten Prozessverbesserungen - aber Regeln ohne Ausnahme existieren bekanntlich nicht. Enterprise Flash Drives von EMC sind in dieses Aussagengebilde nicht einzuordnen, sie ermöglichen einerseits sowohl ganz außergewöhnliche Prozessverbesserungen aber eben auch zusätzliche und direkt messbare IT Wertbeiträge durch nachweisliche und hohe Kostenreduzierungen für das Unternehmen.

Die folgende Abbildung ist schematisch dem Zertifikatskurs IT-Governance-Manager der Frankfurt School of Finance & Management entnommen und dient der Illustration dieser Doppelwirkung von EFDs.

 

Bei Enterprise Flash Drives handelt es sich um eine aufsehenerregende EMC Speicherinnovation, die über alle Branchen hinweg von führenden Unternehmen seit mittlerweile einem Jahr mit ganz außerordentlichem Nutzen eingesetzt wird.

EFDs verwenden anstelle von mechanischen und sich drehenden Laufwerken puren Halbleiterspeicher. Dadurch werden bis dahin nicht für denkbar gehaltene Prozessverbesserungen erzielt. Einige Praxisergebnisse seien beispielhaft genannt:

• Ein großes europäisches Finanzdienstleistungs-Unternehmen reduzierte die Antwortzeiten seiner Anwendungen um 50 % und konnte damit die Zufriedenheit seiner Kunden stark erhöhen.

• Ein internationales Investment Banking Unternehmen konnte zusätzliche Umsatzerlöse durch schnellere Auftragsabwicklungen im Wertpapierhandel erzielen.

• Erheblich beschleunigte Analyseergebnisse erbrachten einem Pharmaunternehmen einen deutlichen Wettbewerbsvorteil

• Ein namhaftes Bankinstitut konnte bei wachsendem Zahlungsverkehrsvolumen die kritischen Batch Laufzeiten in den Nachtstunden um 5 Stunden reduzieren.

Ein oft genanntes Argument gegen den Einsatz dieser Technologie sind deren vermeintlich hohen Kosten. Dabei wird aber übersehen, dass der Mehrpreis von solchen, meist nur wenigen, EFDs leicht gegengerechnet werden kann durch die Optimierung der Speicherkonfiguration, eine meist geringere Anzahl von erforderlichen Laufwerken, Strom, Klima, Platzeinsparungen u.v.a.m. Diese Effekte wurden aber bereits ausreichend oft publiziert (hier z.B.).

Sattdessen möchte ich den Blick des geneigten Lesers auf eine selten angestellte Gesamtsystembetrachtung richten, die enorme Kosteneinsparungs-Potentiale eröffnet.

Bereits im Jahre 1987 konstatierten Wissenschaftler der Universität Berkeley die sich vergrößernde Kluft zwischen Rechengeschwindigkeit (laut dem Moorschen Gesetz verdoppelt sich die Rechenkapazität von Mikrochips exponentiell etwa alle 18 Monate) und Speicherzugriffsgeschwindigkeit, die sich nur langsam verringert (Reduktion um etwa ein Drittel in 10 Jahren). Damit wird die Lücke zwischen Prozessorgeschwindigkeit und Speichergeschwindigkeit immer größer.

Diese Zusammenhänge zeigt schematisch die folgende Darstellung:

 

Dieses Delta der nicht nutzbaren Gesamtsystemleistung stellt aus betriebswirtschaftlicher Sicht eine mit knappem IT Budget finanzierte, gleichwohl aber völlig brach liegende Investition dar, die keinerlei betrieblichen Nutzen erbringt - es sei denn, die Speichergeschwindigkeit kann durch den Einsatz von EMC Enterprise Flash Drives auf das Niveau der Rechnerleistung angehoben werden.

Auch dazu ein Praxisbeispiel zur Verdeutlichung des daraus erzielbaren Effektes:

• Durch den Einsatz von EFDs entfiel in einem Kreditkartenunternehmen die Notwendigkeit, den Mainframe Rechner um weitere 1.000 MIPS hochzurüsten einschließlich der erforderlichen Software Upgrades.

In all diesen Fällen tritt die außergewöhnliche und häufig nicht betrachtete Situation auf, dass sich die Investition in diese Technologie vom Tag 1 an amortisiert und unter Umständen gigantische Kosteneinsparungen realisiert werden können - die am Anfang dieses Beitrages beschriebenen hohen Prozessvorteile werden praktisch kostenlos mitgeliefert.

Wie beurteilen Sie den Nutzen dieser Technologie für Ihr Unternehmen?

EFDs sind sowohl in EMC High-end als auch in EMC Midrange Speichersystemen verfügbar. Schicken Sie mir einfach eine kurze Email und ich veranlasse gerne eine genaue TCO Kalkulation für Ihre spezifische IT Umgebung.

Auch wenn sich der vorweihnachtliche vermeintliche Datenskandal um Kundendaten der LBB nur als Heißhunger von Kurierfahrern mit konsequent nachfolgendem Stollenklau und dessen genussvollem Verzehr entpuppte - es besteht dringender Handlungsbedarf in den Unternehmen und Verwaltungen in Sachen Information Risk Management.

Nur drei illustrierende Beispiele hierfür:

• Juni 2006   -   Das weltgrößte Versicherungsunternehmen AIG verlor fast eine Million personenbezogener Datensätze durch Diebstahl eines File Servers

• November 2007   -   Die britische Steuerbehörde musste zugeben, CDs mit Steuerinformationen und Kontodaten von 25 Millionen britischen Bürger (50% der Einwohner !) verloren zu haben

• März 2008   -   Die deutsche Bundesregierung vermeldet das Abhandenkommen von 500 Computern aus Bundesbehörden in den letzten drei Jahren mit zum Teil hochvertraulichen Daten  

Die veröffentlichten Beiträge nehmen weiter zu in Bezug auf das Ausmaß und die Folgen des Datenverlustes und nehmen weiter ab in Bezug auf die Zeitabstände des Auftretens. Der kriminelle Datenhandel blüht und die Dunkelziffer ist hoch, denn im Gegensatz zu den USA  (eine hochinteressante und ständig aktualisierte Quelle der dort auftretenden Fälle finden Sie hier) gibt es keine gesetzliche Pflicht zur Offenlegung und oft wird ein Datenklau nicht bemerkt, weil Daten eben in Realität nicht entwendet sondern illegal kopiert werden.

Allen Beispielen ist gemein: Kein Firewall, kein IDS und keine sonstigen perimeter-gestützten Security Lösung hätten diese Fälle verhindern können. Den Unternehmen drohen Gefahren für die Sicherheit ihrer Geschäftsdaten zunehmend von innen und das Risiko heißt Mitarbeiter (siehe Washington Post, Data Breaches were up 50 % in 2008). Der Grund liegt u. a.

• in den veränderten Business Modellen mit unternehmens-übergreifenden Geschäftsprozessen und einer zunehmend mobileren Belegschaft

• im Technologiefortschritt, mit 64 GB USB Sticks, PDA, Email und Instant Messaging Diensten, ganz neu sind die Gefahren durch die neuen ultra-portablen Laptops, und

• ganz sicher auch in der rückläufigen Konjunktur mit begleitenden Belegschaftsreduzierungen. Einer Umfrage zufolge haben 50 % der Befragten, bezogen auf Deutschland,  zugegeben, im Falle einer Kündigung vertrauliche Daten mitzunehmen

Der Verlust von Business Plänen, Entwicklungs-, Produkt-, Finanz-, Mitarbeiter-, Kunden- und Vertragsdaten kann dramatische Folgen für ein Unternehmen nach sich ziehen.

Die direkten Folgen und Kosten im Innenverhältnis sind wahrscheinlich noch der "harmloseren" Art: Zusatzkosten für die Schadensbehebung, Schadensersatzansprüche, regulatorische Strafzahlungen, Kosten für Audits, etc. sind kalkulierbar - völlig unabsehbar aber sind die Folgen in der Außenwirkung: Imageschaden, Markenbeeinträchtigung, Kundenabwanderung und Plagiatprodukte können ein Unternehmen an den Rand des Abgrundes führen.

Doch ein derartiges Fiasko ist vermeidbar. DLP Lösungen unterstützen Unternehmen wirksam dabei, den Verlust vertraulicher Informationen zu verhindern, sei es versehentlich, durch unsachgemäßen Umgang oder aber in gezielter Absicht.

Speziell bei der EMC/RSA DLP-Suite spielt es keinerlei Rolle, ob die Daten im Rechenzentrum (data at rest) gespeichert sind, sich im Netzwerk befinden (data in motion), oder aber vom Endbenutzer (data in use) verwendet werden, vertrauliche Daten werden

• in SAN/NAS Umgebungen, in Datenbanken oder Content Management Systemen zuverlässig lokalisiert,

• im Netzverkehr überwacht, um Regelverstöße gegen interne Sicherheitspolicies aufzudecken

• oder ermöglichen beim Endbenutzer die Umsetzung der unternehmerischen Sicherheitsrichtlinien

Die folgende Abbildung  zeigt vereinfacht den DLP Gesamtprozess mit dem vereineinheitlichten, zentralen, workflow-basierenden Management aller Infrastrukturkomponenten, end-to-end über alle Applikationen hinweg.

Unternehmen können das Vertrauen der Kunden in die Sicherheit ihrer Daten drastisch erhöhen und das Risiko eines katastrophalen Datenverlustes mit der EMC/RSA Data Loss Prevention Lösung deutlich minimieren. Dabei bildet eine derartige DLP Gesamtlösung gleichzeitig einen wesentlichen Bestandteil einer übergeordneten unternehmensweiten Governance, Risk und Compliance Organisation (über einen weiteres Hauptelement wird in einem späteren Beitrag berichtet).

Kommentare sind wie immer herzlich willkommen.

Der folgende Weblog beschäftigt sich mit einer EMC Innovation, die sich nicht nur dadurch auszeichnet, die Prozesseffektivität zu erhöhen (der Normalfall einer IT Investition), sondern darüber hinaus und gleichzeitig einen ursächlichen Wertbeitrag zum Business liefert (die seltene Ausnahme).

------------------------------------------------------------------------------------

Wenn Sie diesen Beitrag nützlich fanden, könnten Sie sich auch für folgende Zusatzinformationen interessieren: