Mit IT-Knowhow Brücken bauen

Das Wiener Unternehmen Sphinx IT Consulting blickt auf mehr als zwei Jahrzehnte IT-Erfahrung zurück, ist aber technisch stets up-to-date geblieben. Die COMPUTERWELT sprach mit Gründerin und Geschäftsführerin Ingrid Kriegl über Security und das Überbrücken von Gaps. [...]

„Security ist ein schwieriges Thema und es bedarf eines großen Knowhows sowie guter Kommunikationsfähigkeiten, um diesen Bereich in österreichischen Unternehmen auch wirklich zu einem Thema zu machen“, erklärt Ingrid Kriegl, Geschäftsführerin und Co-Gründerin von Sphinx IT. Sicherheit sei wichtig, werde aber von Kundenseite als Kostenfaktor gesehen. „Security hat einen Versicherungscharakter und bringt keinen Business-Nutzen“, bringt es Kriegl auf den Punkt. Es falle den IT-Abteilungen daher schwer, dafür Budgets zu bekommen. Wichtig sei es, den Zusatznutzen eines Security-Produkts zu kommunizieren, wie beispielsweise ein zu erwartender Stabilitätssprung oder das bessere Ausnutzen der Ressourcen, weil das Security-Produkt hilft, Transparenz zu schaffen.

Argumentionshilfe für die IT

Dass das Bewusstsein bei der IT-Abteilung in Sachen Sicherheit gehoben werden müsse, glaubt Kriegl nicht, da es ohnedies vorhanden sei. Es gehe vielmehr darum, der IT-Abteilung mehr Argumente an die Hand zu geben, anhand derer sie einen Business-Nutzen darstellen kann, der sich tatsächlich realisieren lässt, um letztlich bei der Geschäftsführung das dafür nötige Budget zu lukrieren. Erst eine echte Betroffenheit aus dem Umfeld der Menschen schaffe ein Verständnis für Security-Maßnahmen, z.B. wenn durch einen CryptoLocker-Virus alle Daten unlesbar geworden sind, weiß Ingrid Kriegl. IT gehöre jedoch normalerweise nicht zum Erlebnisumfeld der Menschen, sondern wird als Kostenfaktor gesehen.
Auf die Frage nach den größten Security-Bedrohungen weist Wolfgang Klinger, Technology Consultant bei Sphinx IT darauf hin, dass die Unternehmen grundsätzlich gute Security-Systeme im Einsatz hätten. Doch werde das Monitoring vernachlässigt, weil das Auswerten der Log-Files, also der Protokolle, welche Zugriffe stattgefunden haben, ein sehr hoher Aufwand sei. Das Problem sei, so Klinger, dass die Unternehmen oft nicht wüssten, ob die bereits implementierten Sicherheitsmechanismen auch die gewünschten Bereiche abdeckten, weil nicht bekannt sei, welche Zugriffe tatsächlich passierten. Das sehe man jedoch mit Monitoring ganz genau. Und der vorhin angesprochene Zusatznutzen ist auch klar: So gibt es Applikationen, die Statements absetzen, welche z.B. auf nicht vorhandene Tabellen verweisen. Das führt zu Performanceproblemen, deren Ursache auf den ersten Blick unbekannt ist. Das System zu tunen oder die Hardware zu vergrößern, sind hier die falschen Schritte. Erst indem man den oben erwähnten tatsächlichen Grund findet, könne die Leistungsfähigkeit des Systems erhalten werden, so Klinger.
Obgleich die meisten Produkte auch Monitoring inkludiert haben, gibt es Produkte, die etwas mehr bieten als nur die Rohdaten zu zeigen. Da werden Reports generiert, die dann bei Bedarf automatisch verteilt werden, oder es werden Alerts direkt verschickt, die zeitnah auf das Problem hinweisen, damit man nicht erst auf den Report am Monatsende warten muss. „Derzeit sehen sich die Unternehmen die Logs im Nachhinein an“, erklärt Ingrid Kriegl und fügt hinzu: „Das ist aber nicht der Sinn der Sache, es geht doch darum, den Schaden vorher abzuwenden – SIEM-Produkte (SIEM= Security Information and Event Management, Anm.) leisten das.“ Aufgrund dieses Mehrwerts hat SphinxIT diese Produkte ins Portfolio genommen.
Kommunikative Brücken bauen
Gefragt, ob ihr Unternehmen nicht kommunikative Brücken zwischen IT und Geschäftsführung schlagen könne, verweist Kriegl auf den Unternehmensslogan „Mastering the Gap“, wobei sie mit Gap alle möglichen Gaps meine – Gaps zwischen technischen Komponenten, aber es gibt auch die Gaps (bei großen Unternehmen) zwischen dem Datenbankadministrator, dem Netzwerker und dem Storageverantwortlichen, oder das Gap zwischen IT-Abteilung und der für das IT-Budget verantwortlichen Geschäftsführung. Auch Wolfgang Klinger sieht die Kommunikation zwischen IT und dem Management oft als verbesserungswürdig. „Beide Abteilungen reden eine andere Sprache. Wir sehen uns nicht als Managementberatung, aber als Übersetzer, der ein Verständnis für die Technik erweckt.“
Etwas, das die Berater der Sphinx IT oft antreffen, sind gewachsene IT-Landschaften, in denen es viele Einzellösungen gibt. Wenn die Sphinx-IT-Berater gerufen werden, gibt es dort meist ein konkretes Problem. Beim Problemfinden bauen Kriegl und ihre Mitarbeiter auf eine langjährige Erfahrung und auf eine erprobte Methodik auf, um das Problem zu lösen. Dabei sei der Ansatz, so Kriegl, höchste Wertschätzung des Kunden und seiner Ausstattung. Das Problem werde möglichst nicht mit neu zu kaufenden Produkten gelöst, sondern mit dem was bereits da ist. Selten, quasi als letzter Schritt, schlage man auch die Trennung von einer bestehenden Lösung vor, zumal wenn wirklich etwas Besseres auf dem Markt vorhanden ist.
Beratungen hinsichtlich der EU-DSGVO mache man nicht, so Ernst Stippl, technischer Consultant bei Sphinx IT. Man achte jedoch darauf, dass mit den eingesetzten Lösungen und Technologien die legalen Forderungen erfüllt sind. Zudem arbeite man hinsichtlich der EU-DSGVO mit Partnern zusammen. Für Ingrid Kriegl ist für die Umsetzung der EU-DSVGO ganz klar die Geschäftsführung zuständig, „denn die Lösung alleine von der IT-Abteilung zu erwarten, ist eine Überforderung derselben“.
Knowhow für KMU
Österreich ist ein Land der KMU und „die haben zwar dieselben Themen wie die Großen, aber weniger IT-Abteilung“, so Kriegl. Deswegen bietet Sphinx IT jetzt das eigene Portfolio von der Softwareentwicklung bis zum Betrieb unter dem Namen myIT auch KMU an. „Das ist der verlängerte Arm der eigenen IT-Abteilung des Kunden mit dem Knowhow, das wir uns bei den Großen täglich antrainieren auf KMU-Bedarf heruntergedampft. Es profitiert immer auch der nächste Kunde vom vorigen. Und das KMU von alldem, was wir bei den Großen lernen.“ Das komme gut an, weil die KMU das Angebot aus einer Hand sehr schätzten, berichtet Kriegl.

Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*