Der Weg in die Cloud ist unumgänglich

Mittelständische Unternehmen sind Experten in ihrer Nische. Um spezifische Aufgaben zu lösen, nutzen sie oft sehr spezifische IT-Lösungen, die die Effizienz im jeweiligen Arbeitsumfeld erhöhen. Diese Teilspezifizierung der IT ist einerseits notwendig, steht aber andererseits häufig der Entwicklung und Umsetzung einer IT- und Digitalisierungsstrategie im Weg. Fehlt diese übergreifende Strategie, finden viele Prozesse, die man mittels Software optimieren könnte, zu wenig Beachtung. Unmengen an Daten und Systemen sind dann nicht in die IT-Systemlandschaft integriert. Zudem haben viele Mittelständler nicht genügend IT-Fachpersonal und laufen darum Gefahr, den Anschluss an die fortschrittlichere Konkurrenz zu verlieren. Die Lösung: eine zukunftsweisende IT-Strategie, die ein gut positionierter CIO zielstrebig verfolgt.

Strategische Beratung und Unterstützung

Zu den Hauptaufgaben eines CIO zählt es heute komplexe, zerklüftete und heterogene IT-Strukturen, die über die Jahre als Ergebnis lokal optimierter Einzellösungen entstanden sind, aufzulösen. Solch eine Integration stellt angesichts einer siloartigen IT-Architektur und der fehlenden Gesamt-Roadmap häufig eine große Herausforderung dar. In solch einem Fall empfiehlt sich die Zusammenarbeit mit einem professionellen IT-Dienstleister, der Unternehmen strategisch berät und begleitet. Er unterstützt und berät bei der Anpassung der Geschäftsmodelle, erarbeitet eine passende IT-Strategie und migriert die gewünschten Lösungen in die Cloud – im Sinne eines Smart-Shift. Diese Transformation, die alle Cloud-Ebenen (PaaS, IaaS, SaaS) berücksichtigt, sollte schrittweise, bedarfsorientiert und im laufenden Betrieb erfolgen. Ein Smart-Shift ist zugleich strukturiert und risikoarm, und er kann im individuellen Tempo des Mittelständlers geschehen.

Multi-Cloud-Ansatz ist empfehlenswert

Die größtmögliche Flexibilität bietet ein Multi-Cloud-Ansatz. Die Entscheidung, welche Lösungen man in der Private-Cloud eines deutschen Anbieters betreibt und welche Anwendungen und Systeme man in internationale Public-Clouds auslagert, ist nicht leicht. Ein IT-Dienstleister zeigt verschiedene Möglichkeiten auf, skizziert adäquate Szenarien und erarbeitet eine bedarfsgerechte Kombination von dedizierten IT-Lösungen und verschiedenen Clouds. Er lagert Applikationen und Systeme in die Private-Cloud aus, bindet Public-Clouds möglichst sicher an die IT-Infrastruktur an und sorgt dafür, dass sich bei Bedarf im Projektverlauf weitere Services aus der Public-Cloud einbinden lassen.

Agilität ist Trumpf

Die Modernisierung veralteter IT-Strukturen ist ein Aspekt. Viele Mittelständler wollen aber auch ebenso agil, flexibel und effizient arbeiten können wie Startups. Eine cloudbasierte IT-Infrastruktur ist eine wichtige Voraussetzung für Agilität. Entscheidend ist zudem der richtige Mix aus Standardisierung und Individualisierung: Die Software-Basis sollte möglichst homogen sein, während einzelne Lösungen funktional angepasst sein müssen. Eine agile Arbeitsweise kommt mittelständischen Unternehmen bei der eigenen Transformation und bei Kundenprojekten zugute. Um agil arbeiten zu können, müssen sich Mittelständler von etablierten, aber schwerfälligen Prozessen verabschieden. Es gilt, mutig zu sein und sich schnell zu entscheiden. Anstatt monatelang ein Pflichtenheft zu erarbeiten, braucht es kurze Sprints, in denen IT-Experten kleine Teilaufgaben umsetzen – und dann analysieren, ob Ergebnis und Herangehensweise sinnvoll sind. Ist das der Fall, bilden solche Quick-wins eine optimale Basis für das weitere agile Vorgehen. Entpuppt sich ein Ansatz als wenig erfolgsversprechend, sollten Unternehmen das Ergebnis verwerfen und einen neuen Versuch starten. Flexibilität ist auch bei der Projektarbeit gefordert. Es braucht ein Kern-Team, das ein Projekt über seine gesamte Dauer begleitet und für Stabilität sorgt. Daneben ist es sinnvoll, Mitarbeiter mit ergänzenden Fähigkeiten für spezielle Aufgaben ins Boot zu holen. Sie können unvoreingenommen an eine Herausforderung herangehen, sie mit anderen Augen sehen und kreative Lösungsansätze entwickeln.

Kleine Schritte – große Wirkung: Drei Grundsätze für eine erfolgreiche Digitalisierung

Schritt 1: Notwendigkeit erkennen

Anzeichen für die Notwendigkeit, über Digitalisierungsvorhaben dringend nachdenken zu müssen, gibt es viele und auf fast jeder Unternehmensebene. Doch es gilt, sie zu erkennen und ernst zu nehmen.

So ist etwa die Tatsache, sich bei weitreichenden Entscheidungen auf das Bauchgefühl statt auf valide Kennzahlen verlassen zu müssen, für viele Manager heute noch bittere Realität und sollte die Verantwortlichen aufhorchen lassen. Regelmäßig wird es vor Strategie-Meetings hektisch, und Mitarbeiter müssen für das Erstellen flüchtiger Reports Überstunden machen. In der Regel fehlt es anschließend auch noch an einer Vernetzung der Daten, um eine Aussage zu überprüfen oder um ‚hier‘ gewonnene Erkenntnisse ‚dort‘ nutzbringend zu verarbeiten.

Ein anderes Problem und sicheres Signal für notwendige Veränderungen sind die ‘ungeschliffenen Rohdiamanten‘ in der Produktion. Dort wird Telemetrie gerne noch mit dem Klemmbrett gleichgesetzt, statt vernetzte Mess- und Regelsysteme auch über große Entfernungen (IoT) anzusprechen und zu nutzen. Ein sicheres Alarmsignal ist schließlich, wenn Daten ‘immer wieder‘ statt ‘ständig‘ aufgenommen werden müssen und unvernetzte Steuerungsprozesse nicht die Ausnahme, sondern die Regel sind.

Schritt 2: Mut zur Technik

Sind die Notwendigkeit und die Stellschrauben, an denen gedreht werden muss, erkannt, gilt es die technologischen Optionen abzuklopfen. Denen sind heute kaum mehr Grenzen gesetzt. Aussagen wie „An der Maschine ist aber kein Netzanschluss möglich!“ oder „Die Datenbank ist in Ihrer Größe begrenzt!“ können und dürfen heute nicht mehr Gründe für einen mangelnden Fortschritt der Digitalisierung sein. Wer hier zögert, sollte einen Blick in den südamerikanischen Dschungel wagen. Hier liefern heute Telemetriedaten die Basis für die Beauftragung einer Wartungscrew, da die Leitstelle in Frankfurt am Main erkannt hat, dass der Druck einer Pipeline um 0,001 mbar abgesunken ist. Alles in Echtzeit und über vernetzte Systeme.

Schritt 3: Prozesswissen im eigenen Haus

Die Auftragslage für externe Berater in allen Bereichen war noch nie so gut wie heute. In fast jedem Projekt sind die Schlüsselrollen mit Business-Analysten der TOP-Beratungshäuser besetzt, die eigenen Leute übernehmen die kleinteilige Arbeit. Nie zuvor war das Risiko höher, sich in eine andauernde und zudem teure Abhängigkeit zu begeben wie im Rahmen eines Digitalisierungsvorhabens, welches nicht hinreichendes, internes Wissen/Kompetenz aufweisen kann. Schritt drei heißt also, einen eigenen Chief Digital Officer als kreativen Kopf des Vorhabens einzusetzen und die Schlüsselrollen durch interne Experten zu besetzen. Auch wenn der Know-how-Aufbau ein Digitalisierungsvorhaben zunächst etwas verzögern mag, ist er der Schlüssel zur unabhängigen Nachhaltigkeit nach der Realisierung.

Kleine Schritte mit großer Wirkung

Natürlich ist es mit Schritt eins bis drei längst nicht getan. Auch Fragen etwa nach dem Budget oder dem Changeability-Potenzial eines Unternehmens spielen für den Erfolg von Digitalisierungsstrategien wichtige Rollen. Doch wem es gelingt, überhaupt Notwendigkeiten zu erkennen, eigene Teams aufzubauen und nicht an der technischen Umsetzung zu zweifeln, der schafft es auch, Budgetfragen realistisch zu bewerten und seine Mitarbeiter mit Empathie und Vertrauen mit auf die Reise zu nehmen.

So werden intelligente Städte sicher

Städtische Infrastrukturen werden immer stärker digitalisiert und vernetzt. Aber mit der Zunahme von Smart-City-Lösungen wächst auch die Angriffsfläche, die Cyberkriminelle für ihre Zwecke ausnutzen können. Städte dürfen die genutzten Daten und die öffentliche Infrastruktur jedoch keinem hohen Risiko aussetzen. Daher müssen sie vor allem zwei große Schwachstellen vermeiden: eine unzureichende Absicherung von öffentlichen WiFi-Netzen sowie Sicherheitslücken bei den eingesetzten IoT-Geräten und -Sensoren.

Gerade letzteres wird häufig unterschätzt. Tatsächlich weisen viele IoT-Geräte nur voreingestellte Passwörter auf, die sich zum Teil nicht verändern lassen. Solche Standard-Passwörter sprechen sich aber in Hacker-Kreisen schnell herum, so dass Angriffen Tür und Tor geöffnet wird. Attacken können dann Infrastrukturen empfindlich stören, zum Beispiel Verkehrsinformationen und Leitsysteme oder Steuerungen für Parkplätze, Laternen, Luft- und Lärmmessungen, die auf die Sensorik des Internet of Things zurückgreifen.

Eine Absicherung der Geräte und Sensoren durch Security-Software ist aber aufgrund der geringen Speicher- und Rechenkapazitäten kaum möglich. Daher müssen sie durch eine Art Schutzwall aus Systemen mit ausreichenden Ressourcen abgesichert werden. Entsprechend benötigen Städte ein durchgängiges Sicherheitskonzept. Gleichzeitig müssen die Hersteller konsequent aktuelle Security-Standards nutzen und weiterentwickeln, um ihre IoT-Produkte besser zu schützen.

Ganze Strukturen gefährdet

Neben Geräten werden auch ganze Systeme und Technologien für Smart Cities immer noch ohne geeignete Sicherheitsarchitekturen oder Lösungen zur Abwehr von Bedrohungen entwickelt. Diese Nachlässigkeit kann eine Reihe von Schwachstellen verursachen, die wiederum ernsthafte Probleme nach sich ziehen. Ein Hacker, der eine intelligente Parkuhr kontrolliert, kann lästig sein, aber ein cyberkriminelles Eindringen in die Verkehrsleitstruktur könnte katastrophale Folgen haben.

Auf der diesjährigen Black-Hat-Konferenz untersuchte das X-Force Red Team von IBM bestehende kommunale Technologien, um die Möglichkeit von groß angelegten Angriffen zu ermitteln. Die Nachforschungen konzentrierten sich auf vier gängige Systeme und fanden 17 Schwachstellen, von denen neun als kritisch eingestuft wurden. Ein europäisches Land benutzte ein empfindliches Gerät zur Strahlungsdetektion. In den USA war es ein System zur Überwachung der Verkehrsregelung. Die fraglichen Schwachstellen waren bei beiden Gelegenheiten nicht komplex. Die Anbieter hatten es einfach versäumt, grundlegende Sicherheitsmaßnahmen zu implementieren.

Zudem simulierten die Forscher von IBM einen Angriff auf Geräte, die den Wasserstand in Staudämmen überwachen. In weniger als einer Minute konnten sie die umliegenden Gebiete überfluten. Der simulierte Hack fand auf einer häufig verwendeten, aber leicht zu kapernden Hardware für Smart Cities statt.

Neue Gesetze und Verordnungen dürften die Sicherheitslage aber nicht wesentlich verbessern, da sie ohnehin nicht mit der technischen Entwicklung Schritt halten können. Daher helfen nur eher allgemein gefasste Rahmenbedingungen wie das IT-Sicherheitsgesetz sowie einheitliche Regelungen, die bereits heute von verantwortungsvollen Herstellern entwickelt und befolgt werden. In Zukunft müssen sie aber die technischen Möglichkeiten noch konsequenter und zeitnäher umsetzen, um kritische Infrastrukturen besser zu schützen, die bereits heute jeden Tag angegriffen werden.

Der Wettlauf um die Entwicklung

Ein einfaches Weiter-so und Ignorieren der Entwicklung bringt Städte aber nicht weiter. Denn schon heute befinden sie sich in einem Wettlauf um Bürger und Unternehmen. So müssen sie moderne, attraktive Infrastrukturen bieten, damit sie auch weiterhin erfolgreich sind. Gerade hier leisten Smart-City-Lösungen einen wichtigen Beitrag. Damit lassen sich umfassende Erkenntnisse aus unzähligen Sensoren, Interaktionen und Verhaltensweisen gewinnen. Laut einem aktuellen Whitepaper von ABI Research könnten weltweite Smart-City-Technologien im nächsten Jahrzehnt dadurch mehr als 20 Billionen Dollar an zusätzlichen wirtschaftlichen Vorteilen erschließen.

Europa verfolgt dabei große Ambitionen. Gemäß einer Untersuchung des Europäischen Parlaments aus dem Jahr 2017 gibt es hier bereits 240 Städte mit über 100.000 Einwohnern, die zumindest über einige intelligente Lösungen verfügen. Dazu gehört Technologie zur Verbesserung der Energienutzung, der Verkehrssysteme oder anderer Infrastrukturen. Die Europäische Innovationspartnerschaft Smart Cities and Communities sagt voraus, dass bis Ende 2019 sogar 300 Städte intelligent sind.

Die Zukunft gestalten

Führungskräfte, Vordenker, Entwickler, Dienstleister und Städteplaner müssen daher die Zusammenarbeit mit Regulierungsbehörden und Systempartnern dringend intensivieren. Nur gemeinsam können sie die Einführung sicherer Netzwerke und Geräte gewährleisten. Die gesamte Technologiebranche sollte auch mehr tun, um das Prinzip ‚Security-by-Design‘ konsequent in der gesamten Entwicklung von Infrastrukturen umzusetzen. Darüber hinaus muss die Ende-zu-Ende-Sicherheit verbessert werden, einschließlich strenger Authentifizierung der Benutzer sowie Richtlinien für alle Kommunikationswege. Gleichzeitig sollten Dienstleister ihre Verschlüsselungsfunktionen für den Datenschutz mit aktueller Software erweitern.

So müssen alle Beteiligten die Warnzeichen für eine zunehmende Cyberkriminalität bei städtischen Infrastrukturen ernst nehmen. Außerdem sind Cybersicherheitsexperten in allen Phasen einzubeziehen –von der Planung und dem Bau bis zum Infrastrukturmanagement. Städte müssen intelligenter werden. Das gilt nicht nur für die Nutzung der Daten, sondern auch für die Abwehr von Gefahren durch Cyberkriminelle. Die bislang geschlossenen städtischen Systeme waren von der Außenwelt abgekoppelt. Doch bei den offenen Smart-City-Lösungen hilft nur eine agile Sicherheitsarchitektur, welche die neuesten Security-Standards und -Funktionen voll ausschöpft und sich ständig weiterentwickeln lässt.

Digitale Transformation – agil einsteigen ins IIoT

Aktuell sucht sich die deutsche Wirtschaft ihren Weg in die Industrie 4.0. Allerdings hat der Mittelstand immer noch große Probleme, die richtigen Schritte zu machen. Das zeigt eine Studie der Unternehmensberatung McKinsey: Nur jeder zweite Mittelständler sieht in der Digitalisierung eine Chance. Dabei prognostiziert McKinsey eine zusätzliche Wertschöpfung von 126 Milliarden Euro für deutsche Unternehmen bis 2025 bei konsequenter Digitalisierung[1]. So können Unternehmen mit Innovationsfreude und Mut schnell Wettbewerbsvorteile erzielen, die anderen laufen Gefahr, abgehängt zu werden. Um dem aus dem Weg zu gehen und den Anschluss nicht zu verlieren, muss die Industrie jetzt erste Schritte planen und sich für neue Prozesse zur Integration des IIoT öffnen. Dabei ist es für Unternehmen entscheidend, inwieweit sie in der Lage sind, agile Strukturen aufzubauen und so – zumindest in Teilen – wieder zum Startup zu werden.

Agile Transformation erfordert Umdenken

Da beim Eintritt ins IIoT agile Strukturen besonders wichtig sind, müssen Unternehmen zunächst umdenken. Denn bei IIoT-Projekten sollte nicht der Return of Investment an erster Stelle stehen, sondern die Innovationsbereitschaft. Das heißt, es geht nicht um eine ausführliche und womöglich anstrengende Planung, sondern um den Entdeckergeist. Schritt für Schritt wird in einem kreativen Prozess das Geschäftsmodell entwickelt. Hierfür ist beispielsweise die Arbeitstechnik „Sprint“ hilfreich. Das vom Wagniskapital-Finanzierungsunternehmen Google Ventures entwickelte Verfahren soll Unternehmen helfen, in nur fünf Tagen selbst kritische Probleme zu lösen. Bevor die Herausforderung „Einstieg ins IIoT“ angegangen werden kann, muss zunächst ein flexibles Team gebildet werden, das erste Schritte plant und kleine Ziele erarbeitet, die im Anschluss überprüft werden. So wird zu Anfang ein vorläufiger Prototyp entwickelt, der als zusätzlicher Ideengeber dienen soll. Danach beginnt die „Serienfertigung“ – so zumindest die Theorie.

Allerdings sieht es in der Praxis oftmals anders aus: Anstelle eines agilen Prozesses, welcher Richtungswechsel erlaubt, ja diese sogar ausdrücklich wünscht, werden einmal eingeschlagene Wege sehr selten wieder verlassen. So besteht die Gefahr, sich zu früh an eine Vorgehensweise und damit an einen Partner oder auch an eine bestimmte IIoT-Plattform zu binden. Die IIoT-Entwicklung zeichnet sich jedoch gerade dadurch aus, dass sich Modelle immer wieder verändern. Entscheidet man sich beispielsweise zu schnell für eine Plattform und legt sich auf diese fest, könnte es sich herausstellen, dass die gewählte Technologie weniger zukunftsfähig ist als zunächst gedacht. Dadurch werden Prozesse schnell statisch. Deshalb sollte man zu Beginn eher auf individuelle Lösungen setzen, etwa auf eine Microservice-Architektur, in welcher einzelne Services später ausgetauscht oder erweitert werden und so immer auf die aktuellen Bedürfnisse und Gegebenheiten angepasst werden können.

Agilität entlang der gesamten Wertschöpfungskette

Allerdings reicht es auch nicht mehr aus, für ein einzelnes Projekt agil zu sein. Letztendlich muss die gesamte Arbeitsweise innerhalb eines Unternehmens transformiert werden. Dadurch entsteht eine Geschwindigkeit, die die Wettbewerbsfähigkeit des Unternehmens hochhält. Nicht nur große Softwarefirmen wie Google und Amazon stehen vor diesen Herausforderungen, auch die Industrie muss diese Arbeitsweise annehmen und verinnerlichen, um kundenorientiert arbeiten zu können. Bisher wurden Projekte in der Industrie nach bestimmten Anforderungen geplant. Anschließend entwickelten die Techniker zwei bis drei Jahre lang, oftmals ohne sich zwischendurch umfassendes Feedback einzuholen und eventuelle Anpassungen vorzunehmen. Mittlerweile erwarten Kunden allerdings, dass ihr Feedback schnell aufgenommen und umgesetzt wird. Das bedeutet: Agilität wird auch immer mehr zur Anforderung an die Industrie, die sich dadurch entscheidende Wettbewerbsvorteile verschaffen kann.

 

Cassandra-Integrationen von Instaclustr

Der erste Teil der Verbesserungen besteht darin, einen Weg zu bieten, wie Kubernetes sich besser in Cassandra integrieren kann.

„Während der Betrieb von Cassandra auf Kubernetes relativ einfach sein kann, bietet Kubernetes nur ein begrenztes Verständnis der Datenbankfunktionalität: Es ist blind für wichtige Details der Datenbank, in die geschrieben wird, und hat unvollständige Fähigkeiten zur Speicherung von Daten im Zustand“, schreibt das Unternehmen in der Pressemitteilung.

Der Cassandra-Operator wurde entwickelt, um eine konsistente Umgebung und Best Practice-Betriebsabläufe bereitzustellen, so dass die Verwaltung von Bereitstellung und Betrieb weniger abhängig vom Benutzer ist. Dieser kann sich jetzt besser auf die Produktentwicklung konzentrieren , sagt das Unternehmen.

Instaclustr stellte auch fest, dass seine Kunden eine LDAP-Integration in Cassandra benötigen, und antwortete mit einer weiteren Open-Source-Lösung – dem LDAP-Authentifikator-Plugin, das mit Cassandras bestehendem Authentifizierungstool CassandraAuthorization arbeitet, um sichere LDAP-Verbindungen ohne Ausfallzeiten einzurichten.

Die letzte von Instaclustr’s Open-Source-Versionen ist der Keberos-Authentifikator, der eine sichere Single-Sign-On-Funktion für Cassandra-Entwickler bietet und auch in einer Version erhältlich ist, die den Cassandra Java-Treiber unterstützt.

„Unser Engagement für die Bereitstellung von 100% Open-Source-Datenschichtlösungen für unsere verwaltete Plattform erstreckt sich auch auf die Entwicklung neuer Open-Source-Tools – insbesondere wenn wir spezifische Anforderungen unserer Kunden erkennen“, sagt Ben Bromhead, CTO von Instaclustr, in der Pressemitteilung.

„Mit diesen Open-Source-Projekten haben wir uns zum Ziel gesetzt, jeden Entwickler zu unterstützen, der Cassandra mit Kubernetes koppeln oder die Vorteile der LDAP- oder Kerberos-Authentifizierung in seinen Cassandra-Implementierungen nutzen möchte. Wir laden alle Interessierten ein, sich unserer Gemeinschaft von Mitwirkenden anzuschließen und Verbesserungen an diesen Open-Source-Projekten vorzuschlagen oder anzubieten.“

Alle Projekte sind auf der GitHub-Seite von Instaclustr verfügbar.

Visual Studio Code November 2018 Release jetzt verfügbar

In Visual Studio Code (VSC) wurde die Unterstützung für die mehrzeilige Suche hinzugefügt. Diese ermöglicht es Entwicklern  mehrzeiligen Text zu suchen, ohne dafür einen regulären Ausdruck erstellen zu müssen, so Microsoft.

Nach diesem Update ist der benutzerdefinierte Titel und die Menüleiste unter Linux standardmäßig aktiviert und nicht nur eine weitere Option. Weitere Verbesserungen der Benutzeroberfläche umfassen das Scrollen von Menüs, ein Überlaufmenü in der Menüleiste und die Referenzansicht. Außerdem wurden die Einstellungen der Editoraktionen in die Editor-Titelzeile verschoben.

Im Editor hat Microsoft neue Snippet-Variablen hinzugefügt, um Zeilen- oder Blockkommentare einzufügen, neue Befehle zur Deklaration von Symbolen und eine flüssigere Cursor-Animation.

Die neueste Version enthält nun Unterstützung für TypeScript 3.2.2, verbessert die Anzeige von JavaScript- und TypeScript-Rückrufen, Umbenennungen behandeln JavaScript und TypeScript-Destrukturierung korrekt.

Im Hinblick auf die Debugging-Funktionen von VS Code bietet die neueste Version eine vereinfachte anfängliche Debug-Konfiguration, die Möglichkeit Debug-Konsolen zu löschen, und verbesserte Benutzereingabevariablen von Debug-Konfigurationen.

Ab diesem Release können Aufgaben nun so eingestellt werden, dass sie automatisch ausgeführt werden, wenn ein Ordner geöffnet wird. Es wurde auch die Möglichkeit hinzugefügt, das Task-Terminal zu löschen und Aufgaben erneut auszuführen Die neue Version bietet verbesserte Benutzereingabevariablen für Aufgaben- und Debug-Konfigurationen.

Microsoft erlaubt Anwendern von VSC, dass sie zu früheren Versionen von Erweiterungen zurückkehren können, wenn es ein Problem mit der aktuellen Version gibt.

Eine vollständige Liste der Funktionen finden Sie  auf der Webseite von VSC.

 

Das gehört zum Sicherheitsportfolio

Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.

Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:

  • eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials – BOM)
  • das Managen von Open-Source-Schwachstellen
  • die Sicherstellung von Open-Source-Compliance
  • die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)

Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.   

Das entgeht statischen Analyse-Tools

Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.

Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.

Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.

Tests für die Anwendungssicherheit

Blitztest für Open Source Software

Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:

  • “Nutzen wir die neueste Version von Apache Struts 2?”

Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt  145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.

  • “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“

Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.

  •  „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”

SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.

Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.

Hyper-V mit dem Windows Admin Center verwalten

Nach der Installation sind auf einem Server die beiden Menüpunkte „Virtuelle Computer“ und „Virtuelle Switches“ zu finden. Hierüber werden die VMs und virtuellen Switches des ausgewählten Hyper-V-Hosts verwaltet.

 

Mit dem Menüpunkt „Inventar“ erhalten Sie Zugriff auf die VMs des Servers und können diese über den Menüpunkt „Mehr“ auch verwalten.

Über den Menüpunkt „Einstellungen“ unten links lassen sich serverspezifische Einstellungen im Windows Admin Center vornehmen. Hier lassen sich zum Beispiel auch die Hyper-V-Einstellungen eines Hyper-V-Hosts vornehmen.

Im Windows Admin Center ist auch die neue Funktion Windows Server System Insights über den Menüpunkt „Systemdaten“ integriert. Hier kann über einen Assistenten zum maschinellen Lernen ein Hyper-V-Host überwacht werden. Dazu kann Insights auch Prognosen erstellen, wann es zum Beispiel auf einem Server zu Engpässen kommen kann.

Windows Admin Center und Microsoft Azure

Um das Windows Admin Center mit Microsoft Azure zu verbinden, müssen Sie die entsprechende Konfiguration nur auf dem Server vornehmen, auf dem das Admin Center-Gateway verbunden ist. Sobald die Anbindung einmal erfolgt ist, erhalten Administratoren, die mit dem Webbrowser auf das Gateway zugreifen, auch Zugriff auf die Funktionen in Microsoft Azure.

Zur Anbindung rufen Sie im Windows Admin Center über das Zahnradsymbol die Einstellungen auf. Über den Menüpunkt „Azure“ können Sie mit „Registrieren“ den Vorgang starten. Danach erscheint auf der rechten Seite ein Code, den Sie für die Anmeldung benötigen. Kopieren Sie den Code in die Zwischenablage.

Klicken Sie auf den Link „Geräteanmeldung“ und melden Sie sich mit Ihrem Azure-Konto an. Fügen Sie den Code im Fenster ein. Danach ist das Windows Admin Center mit dem entsprechenden Azure-Abonnement verbunden. Als nächstes müssen Sie im Azure-Portal die Berechtigungen für das Windows Admin Center steuern.

Sobald das Windows Admin Center in Microsoft Azure registriert ist, wird der Status im Windows Admin Center angezeigt. Sie können an dieser Stelle die Berechtigungen auch wieder entfernen.

Im Azure-Portal müssen Sie noch die Berechtigungen für das Windows Admin Center freischalten. Dazu klicken Sie im Windows Admin Center in den Einstellungen bei Azure auf „In Azure anzeigen.“

Klicken Sie im Azure-Portal bei der registrierten App auf „Einstellungen“ und dann auf „Erforderliche Berechtigungen“. Danach klicken Sie auf „Berechtigungen erteilen“.

API? Bitte effizient und sicher!

Sicherheit von Anfang an

Merkwürdig bleibt die Erkenntnis, dass viele Unternehmen unabhängig von ihrer Branche bereits praktische Erfahrungen mit solchen negativen Auswirkungen gemacht haben – dennoch wird die IT-Sicherheit in der Entwicklung meist viel zu spät oder gar nicht betrachtet. Das ist nicht nur verwunderlich, sondern hat im Ernstfall fatale Folgen. Darum sollte das Thema „IT-Sicherheit“ in einem professionell geplanten „Secure Software Development Life Cycle“ (SSDLC) in jedem Schritt integriert sein. Insbesondere im boomenden Bereich der „Internet of Things“ (IoT) -Applikationen ist verstärkt darauf zu achten, dass eine ausreichende Sicherheitsbetrachtung bereits in der Design-Phase erfolgt. Kostspielige Anpassungen nachträglich sichtbar werdender Schwachstellen können so bereits im Vorfeld vermieden werden. Eine Korrektur ist in diesem frühen Zustand deutlich einfacher umzusetzen.

Auch in Industrieanlagen ist mit Blick auf I.40 Anwendungen ein starker Anstieg von APIs feststellbar. Der Vorteil, einen einfachen REST-API-Aufruf aufzubauen, abzuschicken und ggf. das Ergebnis zu verarbeiten, benötigt in den meisten Fällen nur wenig Rechenkapazität. Auch hier kann der fehlende Fokus auf die IT-Sicherheit die angedachten Vorteile einer digitalen Transformation des innerbetrieblichen Logistikwesens schnell neutralisieren.

Fünf Faktoren für sichere APIs

Um Schnittstellen (APIs) sicher entwickeln zu können, sollten stets diese fünf Faktoren beachtet werden:

  • Erster Schritt: Identifizierung & Authentifizierung. Zuerst muss klar sein, wer oder was auf die eigenen Ressourcen zugreifen möchte. Nur, wenn diese Daten vorliegen, sollte ein Zugriff erlaubt werden.
  • Zweiter Schritt: Autorisierung. Nach einer erfolgreichen Authentifizierung sollte eine separate Autorisierung erfolgen, um einen Zugriff / Nutzbarkeit entsprechend der Benutzerberechtigung bereitzustellen.
  • Dritter Schritt: Hiernach ist eine Überprüfung erforderlich, ob ein API-Aufruf  Informationen über die dahinter liegende Architektur preisgibt. Denn das darf in niemals der Fall sein.
  • Vierter Schritt: API Keys sind keine Secrets. Daher muss sicher gestellt sein, dass diese auch nicht als solche behandelt werden.
  • Fünfter Schritte: Nun können Input-, Data- und Plausibilitätskontrollen folgen.

Natürlich gibt es neben den fünf genannten Faktoren noch weitere, welche in der Entwicklung und im Lifecycle beachtet werden sollten.

Beispielarchitektur

Im Kontext der industriellen Nutzung von APIs und IoT-Geräten würde eine Architektur wie folgt aussehen (siehe Abbildung 1). Die Grafik veranschaulicht beispielhaft, wie Sensoren oder andere IoT- Geräte an Maschinen einer Produktion über eine (Micro-) API-Architektur angebunden werden könnten. Hierbei hat jede Maschine eigene IoT Geräte, welche jeweils eine andere Funktion erfüllen. Jene sind durch diverse Anwendungsfälle definiert, wie beispielsweise das Messen der Temperatur, Luftfeuchtigkeit, die Position der Produkte oder deren Abmessung. Dabei koordiniert ein API-Gateway die Schnittstellen, damit die IoT-Geräte die Anfragen an eine zentrale Stelle schicken. An dieser Stelle können dann entsprechende Sicherheitsmechanismen platziert werden. Das API- Gateway leitet die Anfragen an die einzelnen Endpunkte zu Verarbeitung weiter. Zusätzlich helfen Micro Gateways dabei, die Micro Services zu koordinieren und zu managen.