Red Hat übernimmt CoreOS

Laut einer recht prominent platzierten Mitteilung wird Red Hat CoreOs übernehmen.

Das Unternehmen CoreOS wurde 2013 gegründet und zählt zu den Pionieren im Bereich Container-basierter Linux-Lösungen. Anfangs gab es eine enge Zusammenarbeit mit Docker; nach Uneinigkeit über die weitere Ausrichtung von Docker ging CoreOS  aber eigene Wege und  hat diverse Produkte entwickelt, wie z. B. die eigene Container-Distribution oder Tectonic, eine auf Kubernetes basierende Container-Managementlösung. Zudem hat CoreOS im Jahr 2014 selbst mit  Quay.io einen Anbieter von Container-Lösungen übernommen.

CoreOS und OpenShift

Red Hat sichert sich damit den Zugriff auf die CoreOS-Technologien, um damit z. B. sein Cloud- und  Virtualisierungsportfolio effizient zu erweitern und um neue Lösungen zu ergänzen.

So sollen z. B. die von CoreOS entwickelte Container-Lösungen und Erweiterungen unter anderem auch in Red Hat OpenShift einfließen. Der Kauf hat aber im Kontext von Docker und im umkämpften Container-Markt sicher auch strategische Gründe.

Mega Deal

Rein wirtschaftlich ist der Kauf von CoreOS mit einem Volumen von 250 Millionen US-Dollar eine der größten je von Red Hat getätigten Akquisitionen. Ob die Übernahme allerdings unter dem Einfluss von Red Hat auch zu einer Öffnung von Tectonic führen wird, lässt sich im Moment noch nicht sagen, wenngleich Red Hat in der Vergangenheit bei ähnlichen Akquisitionen erworbene Technologien häufig der Öffentlichkeit zugänglich gemacht hat.

Suse Studio schließt Morgen

Suse betreibt mit dem Open Build Service und Suse Studio seit geraumer Zeitgleich zwei Dienste mit ähnlicher Zielgruppe. Das Suse Studio diente in erster Linie dem Generieren von Images etwa für die Installation von Linux (nicht nur Suse) auf Hardware, VMs, Containern oder in der Cloud.

Beim Open Build Service hingegen ging es ursprünglich primär um das Generieren von Paketen, obwohl der Dienst  inzwischen ebenfalls  jede Art von Images erstellen kann. Daher kündigte Suse seit Ende des vergangenen Jahres mehrfach die Einstellung von Suse Studio zum 15.02.2018 an und wies auf die Notwendigkeit einer  Migration bestehender Daten hin. Die dazu erforderliche Prozedur lässt sich einem von Suse veröffentlichen Blog-Eintrag entnehmen.

Bessere Sicherheitsarchitekturen durch softwarebasierte WANs

Unternehmensweite Weitverkehrsnetze (Wide Area Networks) spielen im Bereich Internet of Things (IoT) eine wichtige Rolle. Über WANs werden beispielsweise die Daten von IoT-Komponenten an Edge-Devices wie Gateways übermittelt. Außerdem dienen Weitverkehrsstrecken zum Transport von IoT-Daten in ein Unternehmens- oder Cloud-Rechenzentrum und zu IT-Systemen in einer Niederlassung. Daher müssen sich Unternehmen, die IoT einsetzen, mit der Absicherung von WAN-Verbindungen auseinandersetzen.

Aber nicht nur aus diesem Grund. Denn mittlerweile nimmt in Unternehmen der Internet-Datenverkehr drastisch zu, vor allem in Niederlassungen. Das ist auf die verstärkte Nutzung von Software aus der Cloud (Software as a Service, SaaS) zurückzuführen. Das Problem dabei: Bislang mussten Unternehmen Kompromisse eingehen, um solchen Daten zu schützen. Die eine Option bestand darin, den gesamten Internet-Traffic über ein MPLS-WAN (Multi-Protocol Label Switching) zu einer zentralen Firewall im Unternehmensrechenzentrum zu leiten. Dort wurden Datenpakete analysiert. Die zweite Möglichkeit war, in jeder Außenstelle Firewall-Systeme zu installieren.

SD-WAN-Edge vereinfacht Schutz von Verbindungen

Heute haben IT-Abteilungen eine dritte Möglichkeit. WAN-Edge-Systeme in Verbindung mit Software-Defined WANs erlauben es, Datentransfers abhängig von der jeweiligen Applikation zu schützen. Das erfolgt mithilfe von Regelwerken (Policies), die Netzwerk-Administratoren konfigurieren. Solche Policies können beispielsweise folgende Regeln vorgeben:

  • Gast-WLANs und vertrauenswürdige SaaS-Anwendungen dürfen direkt über einen lokalen Zugang auf das Internet zugreifen.
  • Applikationen für den persönlichen Gebrauch werden zu einer cloudbasierten Firewall (Web-Services-Gateway) umgeleitet.
  • Nur unbekannte oder verdächtige Daten werden in das Unternehmensrechenzentrum übermittelt und dort untersucht.

Dies ist nur ein Beispiel, wie sich Netzwerk-Policies implementieren lassen. Der wahre Nutzen von Internet-Zugängen („Breakouts“), die mit einem SD-WAN orchestriert werden, ist ein anderer: Ein Unternehmen kann im Detail Regeln definieren, die aus Geschäftssicht Sinn machen. Netzwerkverwalter können festlegen, dass nur suspekter Datenverkehr einer eingehenden Untersuchung durch ein kostspieliges UTM-System (Unified Threat Management) unterzogen wird. Es ist nicht notwendig, in jeder Außenstelle, die einen lokalen Internet-Zugang nutzt, solche IT-Sicherheitslösungen zu installieren. Das heißt niedrigere Kosten.

Zudem haben Netzwerkspezialisten die Option, parallel IT-Security-Systeme unterschiedlicher Anbieter einzusetzen. So muss nicht zwangsläufig jede Niederlassung mit Lösungen desselben Herstellers ausgestattet werden. Das verringert die Abhängigkeit von einzelnen Anbietern.

Mit einem SD-WAN lassen sich für unterschiedliche Datenarten und Anwendungen separate „Overlays“ einrichten. Sie orientieren sich an Faktoren wie Geschäftsanforderungen und dem Schutzbedarf von Daten und Applikationen. (Quelle: Silver Peak)

Mikrosegmentierung von Datenverkehr

Ein weiterer Pluspunkt eines SD-WAN ist, dass es eine feinkörnige Segmentierung des Datenverkehrs erlaubt. Das gilt für den gesamten Transportvorgang über ein Weitverkehrsnetz, vor der Quelle bis zum Ziel, etwa einer Niederlassung. Diese Mikrosegmentierung beziehungsweise ein „Zero-Trust Networking“ kommt in zunehmendem Maß in Rechenzentren zum Einsatz. Statt jede Virtual Machine mit jeder anderen VM „sprechen zu lassen“, legt Mikrosegmentierung fest, welche VM miteinander kommunizieren dürfen. Das erfolgt auf Basis von Regeln. Der Vorteil ist, dass sich dadurch der Schaden begrenzen lässt, wenn beispielsweise eine Virtual Machine mit Malware infiziert wurde.

Auf vergleichbare Weise werden Unternehmen und Organisationen künftig SD-WAN-Lösungen einsetzen, um in Niederlassungen den Datenverkehr in Segmente aufzuteilen. Solche Mikrosegmente sind beispielsweise IoT-Daten, Kreditkarten-Informationen, interne Web-Applikationen und externe Anwendungen.

Ein Vorteil eines softwarebasierten WAN ist, dass sich diese Trennung durchgängig aufrechterhalten lässt, also auf der gesamten WAN-Strecke. Hinzu kommt, dass Netzwerk-Administratoren die Mikrosegmentierung zentral orchestrieren können. Dies bedeutet, dass Unternehmen mithilfe einer segmentierten SD-WAN-Architektur die Effekte von Sicherheitslecks und Cyber-Attacken isolieren können. Ein erfolgreicher Angriff auf eine Business-Anwendung führt beispielsweise nicht automatisch dazu, dass auch IoT-Daten und entsprechende Komponenten gefährdet werden. Die vorhandenen IT-Sicherheitssysteme werden somit um weitere Security-Maßnahmen auf der Netzwerkebene ergänzt.

Einigen SD-WAN-Lösungen erkennen bereits beim Eintreffen der ersten Datenpakete, von welcher Applikation sie stammen und wie mit ihnen zu verfahren ist. (Quelle: Silver Peak)

Konsistentes Sicherheitsniveau

Neben Policies und Mikrosegmentierung bietet ein SD-WAN eine dritte Option, um die IT-Sicherheit in Niederlassungen zu verbessern: durch ein konsistentes Sicherheitsniveau in allen Außenstellen. In einem herkömmlichen Netzwerk nutzen Administratoren häufig Konsole und Kommandozeile (Command Line Interface), um gewissermaßen im Handbetrieb die Router und Firewalls an jedem Standort zu konfigurieren.

Mit der Zeit führt dies dazu, die Systeme kaum merkliche Unterschiede in ihren Konfigurationseinstellungen aufweisen. Doch das kann negative Folgen haben, etwa in Form von Sicherheitslöchern und Performance-Probleme. Solche Effekte müssen wiederum von Hand beseitigt werden. Das kostet Zeit und erhöht die Belastung der IT-Abteilung.

Anders ist die Situation, wenn eine fortschrittliche SD-WAN-Lösung zum Zuge kommt. In diesem Fall ist es nicht erforderlich, jedes Endgerät separat „anzufassen“. Regelwerke, die auf den jeweiligen Einsatzzweck und Geschäftsnutzen ausgerichtet sind, werden auf der Netzwerk-Ebene definiert und umgesetzt – durch eine zentrale Orchestrierungs-Instanz. Dadurch sind stets alle Netzwerkkomponenten auf „einer Linie“, sprich verfügen über dieselben Konfigurationseinstellungen und Patches.

Sicherheit heißt nicht „viele UTM-Features“

Abschließend lässt sich festhalten: Wie sicher ein SD-WAN ist, bemisst sich nicht an der Zahl der Funktionen, die ein UTM-System bereitstellt oder den Exploits, die ein SD-WAN-System blockiert. Es geht vielmehr um folgende Punkte:

  • In welchem Umfang es eine SD-WAN-Lösung erlaubt, die passende Kombination von Sicherheitsservices vor Ort, aus einer Cloud und aus dem Unternehmens-Rechenzentrum bereitzustellen. Die Grundlage bilden die individuellen Anforderungen der Anwendungen und des Unternehmens.
  • Ob ein SD-WAN mithilfe von Policies eine Segmentierung des Datenverkehrs erlaubt. Diese Segmentierung sollte sich im gesamten Netzwerk umsetzen lassen.
  • Wie gut sich mit einem SD-WAN-System Netzwerk- und Sicherheitsvorgaben konsistent im Wide Area Network umsetzen lassen.

Noch ein Tipp zum Abschluss: Wer ein SD-WAN implementieren möchte, sollte prüfen, mit welchen IT-Sicherheitsunternehmen der SD-WAN-Anbieter zusammenarbeitet. Beruhigend ist, wenn die Liste namhafte Firmen enthält, insbesondere solche, die auch Produkte für die Absicherung von IoT-Umgebungen anbieten. Denn im Zusammenspiel bieten softwaredefinierte WAN-Lösungen und IT-Security-Komponenten einen optimalen Schutz.

 

Applikations-Sicherheit als Qualitätsproblem: 6 Test-Tipps für die Praxis

Kürzlich las ich auf LinkedIn einen Beitrag, in dem nach dem Unterschied zwischen den verschiedenen Anbietern statischer Analyseprodukte gefragt wurde. Eine Person, bei der es sich – was kaum überraschen dürfte – um einen Anbieter handelte, antwortete, die von seinem Unternehmen angebotene Lösung sei die bessere, denn während andere Anbieter auf Qualität und Security fokussiert seien, würde sich sein Unternehmen ausschließlich dem Thema Security widmen.

Vielleicht ist diese Einstellung kennzeichnend für das Problem mit der Applikations-Sicherheit, das derzeit in der Branche immer mehr an Bedeutung gewinnt. Zum Beispiel gibt es Organisationen, die versuchen, ihr Security-Team vollkommen losgelöst vom übrigen Softwareentwicklungs-Prozess, also sowohl von den Entwicklungs- als auch von den Prüf-Maßnahmen, zu betreiben. Nach diesem Konzept führt das Security-Team seine eigenen Tests durch (meist wird dabei versucht, die Software zu knacken), und die gefundenen Bugs werden dem Entwicklungs-Team mitgeteilt. Mit anderen Worten: Man versucht, den Code durch Testen sicher zu machen. Ich kann Ihnen versichern, dass das genauso erfolgreich ist als wenn Sie versuchen würden, Ihrem Code durch Testen Qualität zu verleihen.

Security-Tests reichen nicht aus

Damit hier kein Zweifel aufkommt: Natürlich sind Security-Tests dieser Art notwendig, aber sie reichen nicht aus. Die Software zu knacken, ist sicherlich sinnvoll. Wenn man es aber als Methode zur Verbesserung der Sicherheit nutzt, führt dies dazu, dass Fehler zu spät gefunden werden und unter den Tisch fallen. Insbesondere tiefere Ursachen wie ungeeignete Frameworks und Algorithmen werden gern unter den Teppich gekehrt. Denn die Abwägung, ob der Code neu geschrieben oder das Release einfach herausgegeben wird, geht oft zugunsten der Einhaltung des Zeitplans aus.

In dem eingangs erwähnten LinkedIn-Kommentar verleitet der Anbieter einen arglosen potenziellen Kunden auf gefährliche Weise zu der Annahme, seine Software sei irgendwie besser. Dabei bleibt unausgesprochen, in welcher Weise oder weshalb sie besser ist. Ich möchte hier keinem bestimmten Toolanbieter etwas anhängen, zumal ich ja selbst für ein solches Unternehmen arbeite. Mich frustrieren aber solche hohlen Argumente, die einen glauben lassen sollen, dort würde eine Art Wundermittel angeboten. In diesem Fall mag das Produkt des betreffenden Anbieters tatsächlich eine Reihe interessanter und einzigartiger Features bieten. Es wird jedoch der Eindruck vermittelt, dass Security auf geheimnisvolle Weise etwas anderes ist als Qualität. Dies aber reduziert unser Verständnis von Applikations-Sicherheit und macht uns alle etwas weniger sicher.

Qualitätsproblem gleich Sicherheitsproblem

Security und Qualität müssen gleichbehandelt werden, und Qualität muss sich auf ausgereifte technische Verfahrensweisen stützen. Tatsache ist doch: Wenn Sie ein Qualitätsproblem haben, haben Sie auch ein Sicherheitsproblem. Schließlich zeigen Untersuchungen, dass es sich bei 50 bis 70 Prozent der Security-Defekte um Qualitäts-Defekte handelt. Oder, um es mit anderen Worten zu sagen: Die guten alten Qualitätsmängel stellen sich als Schwachstellen heraus, die von Angreifern (bzw. Hackern oder anderen Böswilligen) genutzt werden, um Ihre Applikation zu knacken (wir nennen das ‚Zero Days‘).

Forscher sind übereinstimmend der Auffassung, dass es sich mindestens bei der Hälfte, vielleicht sogar bei 70 % der Software-Schwachstellen um grundlegende Codequalitäts-Probleme handelt, die sich durch das Schreiben von besserem Code vermeiden ließen. Nachlässige Programmierung also.“  – (Jim Bird “Building Real Software”)

Beispiele aus den CWE Top 25

Wenn Sie sich immer noch nicht sicher sind, in welcher Weise sich Qualität und Security überschneiden, sehen Sie sich doch ein paar Beispiele aus den CWE Top 25 an. Die folgenden möglichen Security-Folgen entstammen dem CWE Technical Impact:

  • 3: CWE 120 – Puffer-Kopie, ohne die Größe des Eingangswerts zu überprüfen (der klassische Pufferüberlauf). Dies kann zur Ausführung von nicht autorisiertem Code oder Befehlen, möglichen nicht autorisierten Datenzugriffen oder Denial-of-Service (DoS) führen.
  • 20: CWE 131 – Unkorrekte Berechnung der Puffergröße (mit der Folge eines Pufferüberlaufs). Mögliche Folgen sind DoS, die Ausführung von nicht autorisiertem Code oder Befehlen und das mögliche nicht autorisierte Lesen/Modifizieren von Speicherinhalten.
  • 25: CWE 190 – Integer-Überlauf oder Wraparound (mit der Folge von undefiniertem Verhalten oder Abstürzen). Mögliche Folgen sind DoS, die Modifikation von Speicherinhalten, die Ausführung von nicht autorisiertem Code oder Befehlen oder die Ausführung von beliebigem Code.

Wenn Sie sich genauer mit der kompletten, mehr als 800 Punkte umfassenden CWE-Liste befassen, finden Sie noch viele weitere Beispiele – darunter jegliche Arten von Über- und Unterlauf, Initialisierung, unkontrollierter Rekursion usw. All dies sind gängige Security-Attacken, gleichzeitig aber auch offensichtliche Qualitätsmängel.

Security von Anfang an einbauen

Die Softwaresysteme nehmen rapide an Komplexität zu, und es ist deshalb nahezu unmöglich, alle denkbaren Variationen zu testen. Es gilt die Aussage von Richard Bender: „Die Zahl der potenziellen Tests übersteigt die Zahl der Moleküle im Universum“. Er sagt damit auf spaßige Weise, dass wir es hier mit einer nicht zu bewältigenden Aufgabe zu tun haben. Jim Bird drückt es so aus: „Bei einem großen System müssten unendlich viele Pen Tester unendlich lange an unendlich vielen Tastaturen arbeiten, um vielleicht alle Fehler zu finden.“

Sicherheit und Zuverlässigkeit müssen also von Anfang an eingebaut werden, denn sie lassen sich nicht durch Testen nachrüsten. Solange die Security als ‚Extra‘ behandelt wird, wird sie Mängel aufweisen.

Was kann man tun?

Es folgen einige Tipps dazu, was Sie tun können, um sowohl die Security als auch die Qualität Ihrer Software zu verbessern:

  1. Schulen Sie Ihre Entwickler in der Entwicklung sicherer Software. Wenn Sie Ihre Entwickler richtig in die Entwicklung sicherer Software einweisen, können sie Security-Probleme entweder von vornherein vermeiden oder sie zumindest finden und beseitigen.
  2. Entwerfen und bauen Sie Ihre Systeme mit einer bewussten Fokussierung auf Qualität und Security. Vermeiden Sie Code, der zwar funktioniert, aber nicht wirklich gut ist, weil er potenzielle Security-Probleme (und damit auch Probleme mit der funktionalen Sicherheit) birgt. Die statische Analyse kann Ihnen hierbei helfen, indem sie Ihren Code nicht nur auf Bugs prüft, sondern auch auf die Einhaltung der bekannten optimalen Verfahrensweisen.
  3. Verlassen Sie sich nicht mehr auf Edge-Tools. Machen Sie sich Ihre tatsächliche Risiko-Exposition und Ihre Angriffsoberfläche bewusst. Firewalls und Virenschutz können die Mängel von unsicherem Code nicht kompensieren. Stattdessen sind Sie gefordert, Ihre Applikation angriffsresistent zu machen.
  4. Sammeln und messen Sie Defektdaten und nutzen Sie diese zur Beurteilung und Verbesserung Ihrer Entwicklungspraktiken. Welcher Code und welche Komponenten bringen die meisten Probleme? Welcher Code ist am besten? Wie wurden diese Teile geprüft? Wiederholen Sie gute Ideen und verwerfen Sie die schlechten.
  5. Nutzen Sie eine strikte statische Analyse. Akzeptieren Sie nicht einfach die Einschätzung eines Anderen, ein gemeldeter Defekt sei unwichtig oder ein Fehlalarm. Wenden Sie gute Regeln an, die Detektierung und Vermeidung beinhalten, und befolgen Sie sie. Am besten geht das mit einem auf optimalen Verfahrensweisen (Best Practices) gestützten Konzept. Hier kommen Codierstandards wie CWE, CERT und OWASP ins Spiel. Am besten lässt sich die Einhaltung der optimalen Verfahrensweisen mit der statischen Analyse gewährleisten.
  6. Machen Sie von der Laufzeit-Analyse Gebrauch. Sie deckt reale Probleme (insbesondere hinterhältige Speicherprobleme) auf und zeigt Ihnen ohne Fehlalarme genau, was an welcher Stelle schiefgegangen ist.

Wir müssen damit beginnen, Security gleich von Anfang an in den Code einzubauen. So wird der Code von Grund auf angriffsresistent, und man muss keine bekannten Sicherheitslücken nachträglich stopfen. Wenn Sie alle Ihre Softwareentwicklungs-Ergebnisse aus Codierung, Build und Test in einen zentralen Bestand einbringen, ist für Kontrollierbarkeit, Messbarkeit und Rückverfolgbarkeit gesorgt, was die beste Basis für künftige Verbesserungen darstellt.

Vergessen Sie nie, dass die Aufwendungen für solide Sicherheitsvorkehrungen geringer sind als die Kosten, die durch schlechte oder unsichere Software entstehen. Es gibt also keine Ausflüchte.

Passwörter: Wenn die Bequemlichkeit zum Sicherheitsrisiko wird

In der realen Welt müssen sich Anbieter, Integratoren und Benutzer ständig zwischen Anwendungskomfort und Sicherheit entscheiden. Dabei müssen sie zwischen zwei Punkten abwiegen: Wie schwer möchten sie es ihren Angreifern machen und welche aufwendigen Sicherheitsvorkehrungen wollen sie den Mitarbeitern dabei zumuten?

Es liegt in der Natur des Menschen, die bequemste Option zu wählen – so wechseln beispielsweise die wenigsten Menschen von Zeit zu Zeit das Passwort ihres WLAN-Routers, obwohl dies angebracht wäre. Denn das würde bedeuten, dass sie das Passwort auf allen eigenen Geräten und jenen von weiteren Familienmitgliedern ändern müssen. So wird der Einfachheit halber das bestehende Passwort einfach weiterverwendet. Auch komplexe Passwörter sind selten im privaten Bereich.

Bequem statt sicher

Leider haben die jüngsten Ereignisse gezeigt, dass auch die IoT-Branche oftmals Bequemlichkeit der Sicherheit vorzieht, was viele Unternehmen und Organisationen gefährdet. Anwender, seien es kleine oder große Unternehmen, erwidern oft: „Aber wir sind kein potenzielles Ziel“, oder „Warum sollte jemand in unsere Kameras schauen wollen?“. Was sie jedoch nicht wissen, ist, dass Cyber-Angriffe heute weitaus breiter gestreuter stattfinden als je zuvor. Ein Angreifer interessiert sich möglicherweise nicht für die Kamera oder das Unternehmen direkt. Vielleicht sucht er aber nach einem Weg, um bei einem ihrer Lieferanten oder Kunden einzudringen. Inzwischen sind alle so stark miteinander verknüpft, dass die eigene Sicherheit auch andere Unternehmen und Personen betrifft.

Angreifer sind auch nicht länger Computerfreaks, die sich zum Spaß irgendwo einhacken. Es sind Profis, deren Geschäftsmodell u.a. auf dem Hacken von IoT-Geräten beruht. Riesige Botnets, die mehrere 100.000 Geräte umfassen, sind Beleg für eine immer umfangreichere Aktivität in diesem Bereich.

Das richtige Passwort als grundlegende Maßnahme

Wie können sich Unternehmen also dagegen schützen? Welche Sicherheitsmaßnahmen sind erforderlich? Müssen es biometrische Methoden sein und muss alles auf der höchstmöglichen Sicherheitsstufe abgeschottet werden?

Ein Anfang wäre es zumindest die Grundlagen zu beherzigen. Kein Gerät sollte mit dem öffentlich dokumentierten Default-Password benutzt werden. Die Passwörter sollten nicht nur einfache Zeichenketten oder gar Wörter sein, hier sind komplexere Zeichenfolgen mit einer Mischung aus Sonderzeichen, Buchstaben, Ziffern und Groß- und Kleinschreibung empfehlenswert. Zyklisch das Passwort zu ändern bietet sich an.

Auch sollten Mitarbeiter von Fremdunternehmen ausschließlich mit temporären Passwörtern arbeiten, nur vorher geprüfte Datenträger verwenden dürfen und einen Remote-Zugriff nur in Abstimmung mit der unternehmenseigenen IT durchführen.

Fazit

Erst wenn diese Dinge so selbstverständlich wie das Händewaschen werden, macht es Sinn sich über die weiteren Schritte Gedanken zu machen. Es bringt wenig, die Haustür aufwändig zu verschließen, wenn man ein Fenster weit offen lässt.

Jeder von uns könnte einen Anfang machen: Mit der Änderung des eigenen Passwortes für den WLAN Router. Dieser Schritt wird für die meisten eine ziemliche Hürde darstellen. Es gibt schließlich genügend oberflächliche Gründe dies nicht zu tun.

Mittelstand sucht Unternehmergeist

Es ist keine Neuigkeit, dass Deutschlands Mittelstand Schätzungen zufolge allein bis zum Jahr 2025 durch konsequente Digitalisierung bis zu 126 Milliarden Euro zusätzliche Wertschöpfung erzielen könnte. Und auch, dass die Möglichkeiten bis heute weitestgehend unausgeschöpft bleiben, ist längst bekannt. Der Grund hierfür ist jedoch keineswegs eine fehlende, technologische Innovationskraft – hierfür ist der deutsche Mittelstand nach wie vor weltweit geschätzt und bestens gerüstet. Das Problem ist jedoch, dass die Digitalisierung zu oft als nächste Stufe der Automatisierung und damit als reines Technologie-Thema missverstanden wird. Denn ohne die entsprechenden Voraussetzungen, welche nur durch gravierende Kultur- und Prozessveränderungen geschaffen werden können, ist der Einsatz neuer Lösungen weder möglich noch erfolgsversprechend.

Allein der nach wie vor hohe Anteil von Customizing-Aufwänden bei der Einführung eines neuen ERP-Systems ist hierfür ein deutlicher Indikator. Statt einen Branchenstandard zu übernehmen, halten viele Unternehmen an altbekannten Strukturen fest und investieren Millionen in die Individualisierung. Andere wiederum halten die neu geschaffene Möglichkeit, einen Urlaubsantrag oder die Spesenrechnung endlich online einreichen zu können als Digitalisierungsmaßnahme. Für eine gesteigerte Wertschöpfung birgt dies jedoch nur geringes Potenzial.

Den Größenvorteil nutzen

Umdenken ist also die Devise. Das betrifft Gründerväter, Unternehmenslenker und Investoren gleichermaßen. Da kurzfristige Wachstumsziele dem Mittelstand langfristig die Existenz kosten werden, muss ganz oben auf der Agenda stehen, sich der wirklichen Langfristmöglichkeiten bewusst zu werden, welche eben weit über eine digitale Abbildung einzelner Arbeitsschritte hinausgehen. Diese Horizonterweiterung muss zugleich der Startschuss für strategisch richtige Entscheidungen sein – und zwar hinsichtlich Zielvorgaben, Budget, Personalplanung und Organisation. Wichtig ist hierbei, dass Rückschläge – gerade bei der folgenden, zielgerichteten Umsetzung der festgelegten Maßnahmen als Teil eines Entwicklungsprozesses angenommen und nicht gefürchtet werden dürfen.

Dabei sollten sich die Verantwortlichen ins Bewusstsein rufen, dass sie trotz geringer finanzieller Spielräume für die erfolgreiche Durchführung von Change Prozessen gegenüber Konzernen, welche diesen Weg ebenso gehen müssen, dieses Mal einen enormen Größenvorteil haben. Denn Fakt ist: Ein kleines Boot wendet sich deutlich einfacher und schneller als ein Tanker. Ebenso verhält es sich mit kleineren, notwendigen Kurskorrekturen.

Zurück an die Spitze

Der deutsche Mittelstand hat alles, was es technologisch für eine erfolgreiche, digitale Transformation bedarf. Um die Potenziale wirklich zu verstehen und auszuschöpfen, muss jedoch der Gründergeist neu entdeckt werden und mit ihm der Mut für Veränderung und Visionen in die Unternehmen zurückkehren.  Die Kombination von fachspezifischem Know-how und einigen wenigen, strategisch richtigen Entscheidungen wird die Mittelständler schnell wieder auf die oberen Listenplätze von Studien und Umfragen und damit in eine erfolgreiche Zukunft katapultieren.

*Volker Altwasser arbeitet bei der expertplace networks Group AG.

Data Science: Warum Daten sammeln allein Unternehmen nicht weiterbringt

Es ist bereits ein paar Jahre her, seit der Harvard Business Review den Data Scientist 2012 zum „Sexiest Job of the 21st Century“ gekürt hat. Mittlerweile wissen wir, dass diese Prognose die heutige Realität trifft: Datenwissenschaftler werden in vielen Unternehmen händeringend gesucht, um die vorhandenen Datenberge für die Analyse zu organisieren. Gerade in Zeiten von Industrie 4.0 benötigen Unternehmen, die große Datenmengen produzieren, zunehmend sinnvolle Auswertungen darüber. Denn um Wettbewerbsvorteile gegenüber der Konkurrenz zu erzielen, müssen Unternehmen die richtigen Entscheidungen treffen. Um die richtigen Entscheidungen zu treffen, müssen Unternehmen die richtigen Daten zusammenführen und auswerten. Doch welche Rolle nehmen Datenwissenschaftler im Unternehmen genau ein, was unterscheidet Data Science von Business Intelligence (BI) und warum ist Data Science eigentlich so wichtig für Unternehmen?

Was ist die Aufgabe von Data Scientists im Unternehmen?

Fangen wir bei den Grundlagen an: Data Science – eine Wissenschaft, deren Ursprünge bis in die 60er Jahre zurückreichen – hat mit dem Hype um Schlagworte wie Big Data neuen Ruhm erlangt. Data Science ist ein Teilbereich von BI. Doch liegt der Fokus von Data Science nicht unbedingt auf den Daten selbst, sondern vielmehr auf der Art und Weise, diese Daten zu verarbeiten, aufzubereiten und zu analysieren. Für den Aufbau eines effizienten und modernen Data Warehouses ist Data Science eine strategisch unerlässliche Disziplin. Mit Techniken und Theorien aus Bereichen der Mathematik, Statistik, Machine Learning und Operations Research gewinnen Data Scientists Antworten auf analytische Fragestellungen. Ziel ist es, aus den Unternehmensdaten mathematische Modelle abzuleiten, die sowohl Umsatz- als auch Absatzsteigerungen ermöglichen.

Was unterscheidet Data Science von Business Intelligence?

BI-Systeme ermöglichen es Anwendern, Daten zu erforschen. BI ist also explorativ und führt nicht immer zu der Antwort auf eine bestimmte Frage. Beispielsweise kann man auf einem BI-Dashboard sehen, dass die Maschinenausfälle an einem bestimmten Tag in der Produktion gestiegen sind. Warum dieser Anstieg erfolgt ist, erfährt man im BI-Bericht noch nicht, hier wäre eine weitere Analyse nötig. Data Science hingegen könnte den Grund für die Maschinenausfälle aufzeigen und darüber hinaus noch die Frage beantworten: „Sollten wir X oder Y machen, um effizienter zu werden?“. Data Science geht also noch einen Schritt weiter. Es geht nicht allein darum, den kausalen Zusammenhang zu entdecken, sondern eine Lösung oder eine Gegenmaßnahme zu finden. Am Anfang jedes Data Science Prozesses steht jedoch die Formulierung der konkreten Fragen, die beantwortet werden sollen.

Ein weiterer Unterschied zwischen Data Science und Business Intelligence ist, dass Data Science mit Hilfe von Predictive Analytics bestimmte Unternehmenskennzahlen wie Absätze oder Maschinenwartungen anhand historischer Daten vorhersagt und so zukünftige Entwicklungen interpretiert. BI hingegen befasst sich mit vergangenen und aktuellen Daten. Insofern liefert BI durch detaillierte Berichte, KPIs und Trends eine gute Entscheidungsgrundlage für Unternehmen. BI sagt aber nicht durch beispielsweise Mustererkennung oder Experimente voraus, wie diese Daten in Zukunft aussehen könnten.

Wohin geht der Data Science Trend?

Datenwissenschaftler sind auf dem Jobmarkt gefragt. Laut dem Beratungsunternehmen Gartner werden bis zum Jahr 2020 jedoch mehr als 40 Prozent der datenwissenschaftlichen Aufgaben automatisiert sein. Diese Entwicklung soll zu einer höheren Produktivität und breiteren Nutzung von Daten und Analysen führen. Dabei geht es um monotone und manuelle Aufgaben, die kein tiefgründiges Wissen im Bereich Data Science verlangen, und daher automatisch ausgeführt werden können. Das bedeutet, dass weniger Datenwissenschaftler benötigt werden, um den gleichen Arbeitsaufwand zu bewältigen. Für fortgeschrittene Datenforschungsprojekte ist das Expertenwissen ausgebildeter Datenwissenschaftler jedoch zwingend nötig.

Fazit: Data Science schafft den Mehrwert von Big Data

In Zeiten von steigendem Kosten- und Wettbewerbsdruck ist es wichtig, die richtigen Entscheidungen im Unternehmen schnell und proaktiv zu treffen. Business Intelligence bildet die Basis für brauchbare Daten. Data Science in Verbindung mit Predictive Analytics ermöglicht es Unternehmen dann, detaillierte Einblicke in ihre Daten zu gewinnen und Zukunftsprognosen zu erstellen. In einer Welt mit steigenden Datenfluten gewinnt die Datenanalyse in vielen Unternehmen an Bedeutung. Der Data Scientist entwickelt sich dadurch zunehmend zum Helden der Gegenwart, da er diese Datenfluten zielgerichtet sowie strukturiert organisiert und auswertet – langjährige Geschäftsprobleme werden so gelöst, ineffiziente Prozesse identifiziert sowie Chancen und Risiken im Unternehmen frühzeitig erkannt. Indem er Mehrwert aus Daten schafft, treibt der Data Scientist auch die Digitalisierung in Unternehmen voran. Sein Job ist und bleibt also weiterhin sehr attraktiv.

Wie sehen Sie die Rolle des Data Scientists im Unternehmen? Welche Vorteile sehen Sie im Einsatz der Datenwissenschaftler?

8 Stolpersteine bei der Umsetzung Ihres IoT-Projekts

1. Technologie in den Vordergrund stellen

Die wichtigste Grundregel eines jeden IoT-Projekts ist: „Technology follows Business Model“. Definieren Sie in einem ersten Schritt was Sie genau machen möchte. Was ist der (Kunden-)Nutzen und welche Revenue Streams werden generiert. Lassen Sie sich in ihrem Denken nicht von technischen Spezifikationen einschränken. In dieser ersten Phase definieren Sie Ihre Anwendung völlig grenzenlos. Schließlich ist heutzutage beinahe alles bereits technisch realisierbar. Nur mit einem klar definierten Kundennutzen können Sie Produkte entwickeln, die gebraucht werden.

2. Think small

Zu Beginn werden Sie Ihre Applikation vielleicht nur in einem Land oder in einer Stadt launchen, um so das Risiko zu minimieren. Legen Sie dennoch bereits bei ihrem ersten Prototypen Wert auf die Skalierbarkeit. Was passiert wenn sich plötzlich tausende Geräte mit ihrem Server verbinden möchten? Wie können Sie die Software bei diesen tausenden Geräten bei einem Fehler oder einem Update aktualisieren? Wie findet die Inbetriebnahme der Geräte statt? Was für ein paar wenige Stück vielleicht noch lästige manuelle Tätigkeiten sind, wird später zu einem unrentablen Mehraufwand?

3. Zu viele Features

Oftmals ist es verlockend diverse Features und zusätzliche Sensoren in sein Produkt zu integrieren. Bedenken Sie jedoch, dass jedes zusätzliche Feature höhere Kosten bedeutet. Bei jedem weiteren Feature fallen Kosten für die Herstellung, Integration und das anschließende Testen an. Dabei steigt die Komplexität der Tests bei zunehmenden Features. Halten Sie deshalb die Features so gering wie möglich. Implementieren Sie nur was Sie wirklich benötigten, um den zuvor definierten Kundennutzen zu erzielen. Gerade im Hinblick auf einen schnell Proof of Concept ist es wichtig, das Produkt nicht mit unzähligen Features aufzublasen. So gelangen Sie schneller zu Ihrem lauffähigen Produkt.

4. Big Data für IoT-Projekte

Während bei Big Data eine riesige Menge an Daten ungefiltert übertragen und gespeichert wird, werden die Daten bei Smart Data vor der Übertragung bereits beurteilt und verdichtet. Überlegen Sie welche Daten Sie für Ihre Applikation wirklich benötigen und übertragen Sie lediglich diese. So sparen Sie Kosten und die für eine Übertragung benötigte Energie. Machen Sie sich Gedanken wo die Logik sitzt. Schnelle Berechnungen zur Auswertung und Erfassung der Situation sowie das Absetzen von Alarmen werden direkt am Gerät initiiert. Beachten Sie dabei immer, dass am Gerät lediglich beschränkte Ressourcen zur Verfügung stehen. Durch die getrennte Architektur von Modem und Prozessor können die Daten energiesparender verarbeitet werden. Aufwendige Rechenoperationen oder historische Auswertungen werden erst am zentralen Server durchgeführt. Hier spielen Rechenleistung, Energieverbrauch und Speicherplatz nur eine untergeordnete Rolle.

5. Komplexität unterschätzen

Daten von A nach B zu schicken, klingt im ersten Moment recht einfach. Unterschätzen Sie die Komplexität eines IoT-Projekts auf keinen Fall. Ein umfangreiches Wissen ist für das Gelingen Ihres IoT-Projekts von Nöten. Holen Sie sich einen Partner an Bord, der unter anderem  Kompetenzen bei der Auswahl der Hardware (Modem, SIM, Antenne…), Implementierung des Prozesses und der Auswahl der zentralen Serverplattform /Cloud vorzuweisen hat.

6. Schnittstellenproblematik

Das Zusammenspiel der einzelnen Komponenten ist ein weiterer Stolperstein. Jeder Teil Ihrer Applikation muss mit den anderen sprechen. Sie können sich viel Zeit und Mühe sparen, indem Sie sich für eine Komplettlösung aus Hardware, Software und Datenübertragung entscheiden.

Stellen Sie sicher, dass die Daten über eine API zur Verfügung gestellt werden. So können Sie die Daten direkt in Ihre Systeme integrieren. Müssen sich die User nicht mit neuen Programmen zurechtfinden und können weiterhin mit ihren gewohnten Tools arbeiten, sinkt die Hemmschwelle für den Einsatz der neuen Technologie.

7. Sich zukünftigen Entwicklungen verschließen

Auch wenn Sie Ihr Geschäftsmodell vor der technischen Konzeption definieren, ist die Wahl der Technologien besonders für die Kommunikation sehr wichtig. Das bei uns weit verbreitete 2G Netz steht beispielsweise in den USA, Japan und Australien nicht zur Verfügung. Was bedeutet dies für einen weltweiten Rollout Ihres Produktes? Achten Sie auf eine getrennte Architektur von Prozessor und Modem bzw. Uplink-Baustein. So können Sie den Uplink-Baustein je nach Auslieferungsland frei wählen. Aufgrund der getrennten Architektur müssen Sie Ihre Software allerdings nur einmal schreiben und testen. Der Uplink-Baustein fungiert völlig frei von der Applikation und dem Skript. So wird nicht nur ein weltweiter Rollout mit geringem Aufwand ermöglicht, auch für zukünftige Entwicklungen sind Sie gerüstet.

8. Keine Möglichkeit für Updates

IoT-Projekte benötigten Updates, nicht nur um eventuelle Fehler in der Firmware oder Software zu korrigieren. Gerade im Bereich der Sicherheit gibt es ständig neue Erkenntnisse. Was vor einigen Jahren noch als sicher galt, kostet Hackern heute nur mehr ein müdes Lächeln. Deshalb sollten Sie eine Möglichkeit finden, um Updates auch aus der Ferne – over-the-air – auf Ihre Geräte zu installieren. Techniker, die lokal auf jedem Gerät ein Update installieren müssen, bedeuten enorme Kosten. Informieren Sie User in der Applikation über ein Update und ermöglichen Sie die Installation auf Knopfdruck oder führen Sie diese automatisch durch.  Mit der Möglichkeit Updates over-the-air zu installieren, können Sie diese Aufgabe komfortabel und kostengünstig erledigen.

Wenn Sie sich diesen Stolpersteinen bereits zu Beginn Ihres IoT-Projekts bewusst sind, können Sie diese gekonnt umgehen und so die Erfolgschance Ihres Projekts drastisch erhöhen.

Configuration Manager Trace Log Tool nutzen

Mit dem Configuration Manager Trace Log Tool (CMTrace.exe) aus dem Verzeichnis „SMSSETUP\TOOLS“ der Installations-DVD von SCCM die Protokolldateien von SCCM öffnen. Nachdem Sie das Tool gestartet haben, können Sie mit „File\Open“ die Protokolldateien auf dem lokalen Server und den anderen SCCM-Servern im Netzwerk öffnen. Zur Überprüfung des Downloads und der Installation von Updates überprüfen Sie die Dateien:

Dmpdownloader.log (Informationen zum Download)

Cmupdate.log (Status der Aktualisierung)

Schlägt die Aktualisierung fehl, sehen Sie in der Protokolldatei das genaue Problem und können danach recherchieren. Wenn Sie den Fehler behoben haben, können Sie die Installation neu starten.

Update zu SCCM 2016 Version 1710 starten

Hier sind auch Aktualisierungen zu neuen Unterversionen (1706, 1710 oder neuer) zu sehen. In der Spalte „Zustand“ sehen Sie, ob das Update derzeit verfügbar ist, bereits heruntergeladen wird, oder bereit zur Installation ist.

Über das Kontextmenü von „Updates und Wartung“ können Sie die Suche nach Updates erneut starten lassen. Dazu wählen Sie die Option „Auf Updates prüfen“. Erst wenn bei einem aktuellen Update in der Spalte „Zustand“ die Option „Bereit zum Installieren“ angezeigt wird, können Sie das Update über das Kontextmenü auch in der Umgebung installieren. Stellen Sie also über das Kontextmenü sicher, dass Sie das aktuelles Update herunterladen. Bereits installierte Updates werden in der Spalte „Zustand“ mit „Installiert“ angezeigt.