Schlagwort: featured

News KW1-2023: Der Blick in die IT-Glaskugel, Resilienz als Wort des Jahres und Microsoft und ChatGPT

Willkommen im neuen Jahr 2023. Der Jahreswechsel ist immer Anlass für viele Analystinnen und Analysten in die mehr oder weniger nahe Zukunft zu schauen. Hier sind eine wichtige Artikel, die wir wieder kuratiert haben.

6 Trends bei IT-Infrastruktur und Betrieb von Gartner

Laut Gartner haben die Einführung von Cloud und Edge Computing sowie der Remote-Work-Trend die Zugriffsanforderungen substanziell verändert. In den meisten Organisationen befänden sich heute mehr Benutzer, Geräte, Anwendungen, Dienste und Daten außerhalb des Unternehmens als innerhalb.

Gartner-Prognosen für 2023: 6 Trends bei IT-Infrastruktur und Betrieb – computerwoche.de

Gartner hat den IT-Bereich Infrastructure and Operations (I&O) analysiert und die folgenden 6 Trends ausgemacht: Secure Access Service Edge (SASE), Wireless-Technologien, Plattform-Engineering, Branchen-Clouds, Upskilling und nachhaltige Technologien.

Unternehmen lagern aus, um sich auf das Kerngeschäft zu konzentrieren

Der Beitrag zum Thema IT-Outsourcing 2023 ist zwar vom November 2022, aber wir haben ihn bewusst nochmals hier eingebaut, da es uns wichtig erscheint, IT-Outsourcing auch jenseits des Themas Kostenkontrolle zu sehen:

„Kostenreduzierung war das wichtigste Ziel des Outsourcing, aber das ändert sich allmählich. Unternehmen lagern inzwischen nicht mehr nur aus Gründen der Effizienz aus, sondern auch, um effektiv zu arbeiten, Zugang zu Kompetenzen zu erhalten und sich auf das Kerngeschäft, Innovationen, Modernisierungen und Geschäftstransformationen zu konzentrieren.“

Jeffrey Rajamani, Senior Analyst bei Forrester – auf: IT-Outsourcing 2023: Diese Trends sollten CIOs beachten – cio.de

Resilienz als Wort und Aufgabe des Jahres

Resilienz ist für uns das Wort des Jahres. Nicht nur in der IT, sogar im Fußball wird es nun verwendet. Der Trainer von Borussia Mönchengladbach, Daniel Farke, benutzt es sehr häufig. Resilienz heißt – in der IT und im Fußball – in Krisensituationen Stabilität zu zeigen, „auf Disruptionen reagieren zu können, sich möglichst schnell zu erholen und sie im besten Fall für sich zu nutzen.“ 

Der Beitrag auf CIO.DE, von Experten des Strategieberatungsunternehmens PwC geschrieben, beleuchtet die verschiedenen Bereiche, in denen Resilienz eine Rolle spielen sollten, von Kostenkontrolle über eine gründliche Risikobewertung des gesamten Technologie-Sourcings bis hin zu Cyber Resilience.

Rechtliche Compliance ist eine der Herausforderungen des neuen Jahres

Schließlich möchten wir den Blick noch auf ein eher sperriges, meist ungeliebtes Thema richten: „Im Jahr 2023 warten neue rechtliche Regulierungen auf die IT-Welt, viele davon auf EU-Ebene“, so schreibt iX und gibt im Beitrag einen Überblick. Einige neue Regularien der EU wie der Digital Services Act (DSA) und der Digital Markets Act (DMA) sind eher für Internet-Dienstleister und große Plattform-Konzerne wichtig, andere wie der Cyber Resilience Act oder auch das EU-US Privacy Shield spielen aber durchaus für viele Unternehmen und Verwaltungen eine Rolle. Hier geht es zum Beitrag.

Ist Künstliche Intelligenz die Zukunft von Microsoft? ChatGPT und mehr …

Stephan Scheuer vom Handelsblatt hat das Forschungslabor Building 99 von Microsoft besucht und einen ausführlichen Beitrag zum Zustand des Konzerns verfasst. Darin wird sehr oft das Thema Künstliche Intelligenz behandelt und als die bahnbrechende und disruptive Zukunftstechnologie bewertet. Und natürlich wird auch ChatGPT, der von OpenAI entwickelte Chatbot, der auf der KI-Technologie Generative Pre-Trained Transformer (GPT) basiert, behandelt. Das Programm, das hier ausprobiert werden kann, hat in den vergangenen Wochen in Fachkreisen, aber auch in einer breiteren Öffentlichkeit als leistungsfähiger KI-Textgenerator für Aufsehen gesorgt.

Wichtigster Geldgeber von Open AI ist derzeit Microsoft, das die Software wohl bald in seine Suchmaschine Bing integrieren wird. Und nicht umsonst wird wohl Sam Altmann, Chef von OpenAI im Handelsblatt-Artikel erwähnt:

„Microsoft und insbesondere Azure bekommen nicht annähernd genug Anerkennung für die Dinge, die OpenAI auf den Markt bringt.“

„Sie haben die bei Weitem beste KI-Infrastruktur aufgebaut, die es gibt.“

Microsoft: An diesen Zukunftstechnologien arbeitet der Konzern

Im Beitrag werden noch viele weitere Aspekte behandelt, vom Einsatz von Azure und KI bei Mercedes und Volkswagen bis hin zur allgemeinen Dominanz von Microsoft durch Windows und Office. Sehr lesenswert.

Bild von WorldInMyEyes auf Pixabay

Unser CIOKurator-Newsletter ist umgezogen. Wir versenden ihn jetzt direkt aus WordPress heraus. Hier können Sie den Newsletter abonnieren.

Nicht schon wieder? Women in IT – Ein Gespräch mit Kyndryls aus Deutschland

Das Thema von Frauen in der IT ist bereits mehrere Jahrzehnte alt, jedoch ist das Thema aktueller denn je. Da durch den Fachkräftemangel die IT-Branche vor großen Herausforderungen steht, seinen Bedarf an qualifizierten Mitarbeitenden zu decken. Diese Lücke kann durch gezielte Ansprach von Schülerinnen, Studierenden und berufstätigen Frauen verringert werden. Doch wie müssen sich Unternehmen aufstellen, um Frauen für die IT gewinnen zu können. Diese Frage stellt sich auch Service Provider Kyndryl im KyndrylTalk „Woman in IT – Nicht schon wieder ein Beitrag zum Thema Women in IT“.  

Mareike Wysocki im Gespräch mit Carina Himstedt, Claudia Dahl und Benedikt Ernst. Viel Spaß beim Anschauen!  

Hierbei diskutieren Mareike Wysocki mit Kyndryls über Ihren Einstieg, deren Erfahrungen und Herausforderungen in der IT-Branche, um zu ergründen, wo die Branche und Kyndryl heute stehen. Hierbei wird ein Fokus auf die Vorteile von diversen Teams für Unternehmen und die potenziale von inklusiven besetzen Projekt fokussiert.  

Abschließend wird erläutert, wie Kyndryl ein offenes und diverse Arbeitsumfeld schafft, indem alle Mitarbeitenden inkludiert werden. Sowie welche Maßnahmen Kyndryl unternimmt, um weibliche Mitarbeitende und Führungskräfte am Markt zu gewinnen und zu halten.  

An Zero Trust führt kein Weg vorbei – Simon Taylor (Microsoft) und Dominik Bredel (Kyndryl) im Gespräch

Die aktuellen weltpolitischen Geschehnisse zwingen nicht nur Staaten, sondern auch Unternehmen jeder Größe dazu sich mit der Sicherheit seiner IT auseinander zu setzen. Hierbei wird immer wieder das Konzept „Zero Trust“ angesprochen. Doch was genau ist „Zero Trust“. In folgenden Kyndryl Talk erklären Dominik Bredel – Associate Partner bei Kyndryl und Simon Taylor – Cloud Security Architekt bei Microsoft das Konzept Zero Trust.

Viel Spaß beim Anschauen:

Die IT-Welt hat sich in den letzten Jahrzenten stark verändert. Im vergangenen Zeitalter der Großrechner wurden Daten von many-to-one transportiert. Heute in Zeiten von Hybrit- und Multicloud werden Daten an unzählbaren Punkten gesammelt und weiter transportiert (many-to-many). Diese Daten, die überall entstehen müssen, geschützt werden. Hier kommt das Konzept von Zero Trust ins Bild. Eine Umfrage des Cyber-Security Insider zeigt, das Zero Trust kein Buzzword ist, sondern eine Security Konzept, für modernen IT-Landschaften.

Zero Trust ist ein Security Konzept in 5 Domänen – Identitäten, Geräten, Netzwerken, Anwendungen und Daten. Diese beschreiben, welche Mechanismen und Methoden wo eingesetzt werden müssen, um einen moderne IT-Landschaft zu betreiben. Dabei sind drei Leitlinien zu betrachten, welchen in den Kernen des Konzeptes Zero Trust stehen:

  1. Verify explicitly – Das Einbeziehen aller verfügbaren Datenpunkte bei der Autorisierung und Authentifikation.
  2. Least privilege access – Die Einschränkung der Nutzerzugängen auf das geringste Minimum.
  3. Assume breach – Die Annahme, dass es einen Security Breach geben wird. Sodass alle Systeme nach der Minimierung der Ausbreitung des Schadens aufgestellt werden können (Segmentierung).

Abschließen erläutern die Experten, welche Maßnahmen jedes Unternehmen umsetzen kann, um mit der Implementierung des Konzeptes Zero Trust zu starten:

  1. Stärkung der Credentials: Verwenden Sie starke Credentials in Verbindung mit Multi-Faktor-Authentifizierung
  2. Reduzierung der Angriffsflächen: Implementieren Sie ein conditional access, welches Zugriffe erlaubt/ limitiert nach Usern, Geräten, Anwendungen um Lokationen.
  3. Setzen Sie SSO und Self-services Portale ein, um den Aufwand der User bei der Nutzung des Zero Trust Konzeptes zu minimieren.

Wenn Sie noch weitere Fragen haben, können Sie sich gerne an Simon oder Dominik wenden:

Kostenfalle Public Cloud – Ist FinOps die Antwort?

Viele Kunden scheitern daran, die Kosten in der Public Cloud unter Kontrolle zu bekommen. Aber warum ist das ausgerechnet auf der Public Cloud der Fall? Was steckt hinter dem Begriff FinOps und warum sollten sich betroffene Unternehmen damit beschäftigen?

Neulich nahm ich an einem Kyndryl-internen Training teil, in dem es um die Strategie und neusten Portfolio Erweiterungen im Themenbereich FinOps ging. Dem Thema begegnet man bei uns in der Firma gerade ständig, sowohl in Deutschland als auch global. (Falls jemand den Begriff noch nicht gehört haben sollte, findet ihr hier eine gute Definition was dahinter steckt.)

In diesem Workshop fiel die Aussage, dass Kunden „Predictability“ und „Control” lieben – also Vorhersehbarkeit, Planbarkeit und Kontrolle. Aber in der Public Cloud würden sie das nicht bekommen. Viele Kunden, die schon signifikant die Public Cloud nutzen, hätten sogar ein sehr ernstes Problem mit dem Thema was die Planbarkeit und Kontrolle ihrer Ausgaben und Rechnungen für die Hyperscaler angeht. Dazu habe ich zunächst recherchiert, um herauszufinden, ob es dazu auch außerhalb unserer Firma ähnliche Meinungen und Beobachtungen gibt. Der Eindruck, den ich gewonnen habe, ist folgender:

Der Bedarf und die Nachfrage nach Lösungen und Konzepten, um die steigenden, und vor allem unkontrollierbaren Kosten der Hyperscaler in den Griff zu bekommen, scheint bei den Kunden, die schon intensivere Erfahrungen mit Public Clouds gemacht haben, immer größer zu werden. Manche Autoren berichten sogar schon von einem Trend, bestimmte Workloads wieder zurück ins eigene on-premise Rechenzentrum zu holen wie hier. Es wird auch berichtet, dass die Public Cloud in puncto Kosten die Erwartungen ziemlich enttäuscht hat, nachzulesen etwa hier.

Flexibilität verursacht Kosten

Seit vielen Jahren berate ich selbst Kunden im Themenkomplex „Journey to Cloud“. Ich habe die Architekturen dutzender Cloud-Zielumgebungen designt, Reviews durchgeführt und begleitet. Das überzeugende Argument für die Nutzung und die Migration auf eine Public Cloud war dabei immer die leichte Anpassbarkeit der Cloud Services auf schwankende und unvorhergesehene Anforderungen des Geschäfts sowie die einfache Nutzung für Entwickler und die Vielfältigkeit und Aktualität der Services, die den Verantwortlichen der Anwendungen und Geschäftsprozesse so viele Möglichkeiten und Freiräume bieten.

Die großen Hyperscaler bringen dazu eine Vielfalt an Funktionalität frei Haus mit, um die Performance zu überwachen aber auch die Security Settings und Controls und natürlich auch die anfallenden Kosten feingranular auf Mandanten, Organisationseinheiten und Projekte zuzuordnen. Ausgaben können in Echtzeit erfasst werden und es lassen sich sogar automatisiert Budgets auf User Ebene einrichten und verwalten. Diese Funktionalität und der Reifegrad dieser Tools und Services, um das Thema FinOps in Bezug auf Vorhersehbarkeit und Kontrolle in den Griff zu bekommen, übertrifft dabei bei weitem das was ich persönlich im Bereich der traditionellen Datacenter und IT Infrastrukturen – ob selbstbetrieben oder gehostet – gesehen habe.

Wenn aber die Tools und Funktionalitäten vorhanden sind – wo liegt dann das Problem?

Ich hab mir meine eigenen Gedanken gemacht und versucht einen Reim auf diese scheinbar widersprüchlichen Aussagen und Beobachtungen zu finden. Um diese Frage zu beantworten, bin ich dann einmal die typischen Use Cases und Personas einer produktiven Public Cloud durchgegangen und habe die Design-Thinking-Methode und Fragetechniken darauf angewandt.

Ein Beispiel:

  • Ein Fachbereich definiert eine Anforderung, dass eine neue Applikation benötigt wird.
  • Der Applikationsarchitekt identifiziert die funktionellen Anforderungen und wählt mit einem Team aus Cloud SMEs die aus seiner Sicht passenden Services der Public Cloud aus, um diese App zu implementieren.
  • Ein Entwickler Team bekommt den Auftrag die App zu implementieren.
  • Der Fachbereich fordert ein Budget an, das vom Controlling oder Einkauf geprüft und freigegeben wird.
  • Nachdem die App getestet und implementiert wurde, wird die App produktiv geschaltet und an ein Betriebsteam übergeben das die App dann in der Public Cloud nach einem bestimmten Operating Model (zum Beispiel DevSecOps, CloudOps) betreibt.
  • Wenn die App nicht richtig funktioniert, wird ein Incident-Management-Prozess angetriggert um die Fehler zu beheben.

Cloud-Ressourcen zurückfahren, aber wie?

Was passiert, wenn die provisionierten Cloud-Ressourcen gar nicht mehr oder zumindest nicht im geplanten Umfang benötigt werden? Gibt es in der Betriebsabteilung oder den Fachbereichen einen Prozess der angetriggert werden kann, um zu prüfen, ob ein beliebiger Service auch wieder deprovisioniert werden kann? Gibt es Verantwortliche, die die implementierte Architektur regelmäßig überprüfen, auf die aktuellen Anforderungen und technischen Möglichkeiten im Hyperscaler-Portfolio mappen und damit ein kontinuierliches Redesign, Resolutioning und Optimization der Landing Zone und Workloads ermöglichen? Welcher Prozess wird angestoßen, wenn am Ende des Monats auf der Rechnung des Hyperscalers Server stehen von denen keiner weiß, wer sie provisoniert hat und wofür sie gebraucht werden? Oder wen kann man fragen, warum zum Beispiel die Netzwerkkosten in Asien im letzten Monat um 300 Prozent gestiegen sind?

Jetzt könnte man natürlich festlegen das alle Ressourcen, die nicht klar zugeordnet werden können oder die nicht ausgelastet sind, einfach regelmäßig und automatisiert deprovisioniert oder verkleinert werden. Entsprechende Tools und Funktionen gibt es reichlich am Markt.

Aber wer trägt dann die Verantwortung, wenn eine geschäftskritische Anwendung im Unternehmen ausfällt oder aufgrund dieser Veränderung nicht mehr ausreichend performant ist?

Die Antwort auf diese Fragen ist, dass es nicht die eine Person geben kann, die für die Lösung dieser Herausforderungen verantwortlich gemacht werden kann. Vielmehr bedarf es eines orchestrierten Zusammenspieles aus unterschiedlichen Rollen und Skills in der IT Organisation eines Unternehmens wie beispielsweise:

IT Executive – Benötigt eine konsistente Sicht auf den Wert eines Cloud Service. Verbindet technische Entscheidungen mit den daraus resultierenden Geschäftsergebnissen.

IT Operations Manager – Identifiziert und bereinigt nicht ausgelastete Cloud-Ressourcen.

Financial Analyst – Analysiert und organisiert die Auswertung der Cloud Ausgaben.

Lead Architect / Engineer – Versteht die finanziellen Auswirkungen seiner Architekturentscheidungen und prüft diese kontinuierlich auf Potential zur Effizienzsteigerung.

Fazit

FinOps muss ein interdisziplinärer Prozess im Betriebsmodell einer Public Cloud sein, um den Herausforderung der Kostenkontrolle in der Public Cloud Herr zu werden. Das heißt im Betriebsmodell der Landing Zone und Workload-Verantwortlichen der Betriebsorganisation oder des beauftragten externen Service Providers müssen die Abläufe, die Rollen und Skills und die adäquaten, für die Zielumgebung passenden, Tools definiert und implementiert werden. Nur so schafft man es, die Vorteile der Public Cloud voll zu nutzen und gleichzeitig die Übersicht und Kontrolle über die Kosten zu behalten.

Viktor Greve – Executive IT Architect, Cloud Practice bei Kyndryl Deutschland

Bereit für die Cloud? Daniel Kompe von Microsoft und Benedikt Ernst im Kyndryl Tech Talk 

Im aktuellen Video der Reihe Kyndryl Tech Talks spricht Benedikt Ernst, Leiter Cloud Advisory Services bei Kyndryl, mit Daniel Kompe, Technology Strategist bei Microsoft, über das Thema Cloud Readiness, wie bereit Firmen und öffentliche Verwaltung für den Einsatz “der Cloud” sind. 

Unternehmen aus den verschiedensten Branchen denken derzeit darüber nach, ob und wie sie kritische Workloads in die Cloud zu migrieren. Der Microsoft-Experte und der Kyndryl Consultant analysieren gemeinsam den gegenwärtigen Markt und die Ausgangssituation in den Unternehmen. Dabei kommen sie zu dem Schluss, dass die „Cloud Journey“ ganz andere Anforderungen mit sich bringt als klassische IT-Projekte früher.  

Bei der Cloud Transformation geht es um grundlegende, nachhaltige Veränderung. Ziel der Reise ist eine neue Infrastruktur, keine Replikation der alten. Heutzutage ist oft auch gar nicht die IT die treibende Kraft hinter Modernisierungsprojekten. Stattdessen sind oft die Fachabteilungen die Treiber der Transformation. Daher sollten sie von Anfang an aktiv in Projekte eingebunden werden.  

Außerdem fordern die Experten: Unternehmen müssen jetzt mit der Cloud-Transformation beginnen – auch wenn es sich erst einmal nur um ein kleines Projekt handelt. Die neue Welt der Cloud-Infrastrukturen wird letztlich einen Wandel im IT-Skillset notwendig machen und es ist wichtig, diese Skills sukzessive aufzubauen.  

Auf der Grundlage von Erfahrungen aus realen Kundenprojekten, gibt Daniel Kompe Praxistipps und stellt Best Practices vor. Dazu gehört unter anderem auf das Microsoft Cloud Adoption Framework zu setzen und sich von Partnern wie Kyndryl helfen zu lassen.  

Abenteuer in Click-Bait County und warum Zero-Trust Architekturen nur ein Teil der Lösung sind 

Ich halte mich für einen security-affinen Menschen. Meine Systeme (IT/IoT) zu Hause halte ich auf dem aktuellen Firmware- und Patch-Level. Geräte, die von den Herstellern nicht mehr unterstützt werden, müssen gehen. Mein Heimnetzwerk besteht aus mehreren Segmenten (VLANs) und WLANs (SSIDs) um verschiedene Nutzer und Geräte Gruppen halbwegs voneinander getrennt zu halten. Mindestens einmal im Jahr testet unser Arbeitgeber unsere Reaktion in einer Phishing Simulationen. Und ich habe schweren Herzens mein privates Antivirus Abonnement des bekannten schweizerisch/russischen Anbieters nicht verlängert. 

Aber die Zeiten ändern sich. In den letzten Wochen und Monaten hat sich die Sicherheitslage nicht nur offiziell eingetrübt (z.B. Cyber Sicherheitslagebild Ukraine des BSI, Cyber Threat Reports des NCSC oder die ShieldsUp initiative des CISA, Avasant Radarview). Ich bin bei meinen privaten Streifzügen durch das Internet vermehrt in un-eindeutigen Situationen gelandet. 

Gerade diese Woche irritierten mich Emails eines großen Paketdienstes in meiner Firmen-E-Mail, in denen ein Paket aus England angekündigt wurde, das ich nicht erwartet habe. Dann war da die sehr ähnliche E-Mail in meinem privaten Postfach desselben Paketdienstes, die sich dann aber nach 2x hinschauen doch als Phishing Versuch herausgestellt hat. Zuletzt kam auf meiner präferierten News Seite die Werbeeinblendung eines bekanntermaßen seriösen Shops für das eine e-Bike das ich seit einigen Wochen recherchiere und das leider ausverkauft ist.  Hier ging es allerdings nicht zu dem Shop, sondern zu einer der Gewinnspiel Seiten zweifelhaften Rufes – das e-Bike wird warten müssen. 

Alle drei Vorfälle sind mir im Gedächtnis geblieben, weil sie mich Zeit gekostet haben, weil trotz der ganzen technischen Absicherungen meiner E-Mail-Dienste und Arbeitsgeräte doch das Misstrauen mitfährt und ich am Ende froh war “rechtzeitig” (das hoffe ich zumindest) erkannt zu haben, dass es sich entweder um eine korrekte oder halt eine gefälschte Nachricht handelt. 

Sie sind mir aber auch im Gedächtnis geblieben, weil ich glaube, relativ gut auf solche Vorfälle vorbereitet zu sein. Viele Jahre in der IT-Industrie, einige Jahre in besonders sensitiven Bereichen meiner Kunden und schließlich der jahrelange Drill meines Arbeitgebers schaffen in solchen Situationen das Gefühl von Routine. Aber ich weiß, dass meine Familie trotz aller technischen Maßnahmen, die ich ergriffen habe, nicht so gut geschützt ist. Ich weiß, dass viele meiner Freunde und Bekannte nicht den gleichen Drill hatten. Und ich weiß, dass viele meiner Kunden Ihre Umgebungen zwar seit Jahren härten und testen, moderne Sicherheitsarchitekturen und Information Security Management Systeme aufbauen und trotzdem werden Ihre Mitarbeiter nicht die gleichen Chancen haben Angriffe zu erkennen und abzuwehren, wie ich heute. 

Auch modernste Sicherheitskonzepte/-architekturen wie Zero-Trust oder State-of-the Art Informationssicherheits-Prozessframeworks (ISMS) sind am Ende auf das richtige Handeln des Faktor Mensch angewiesen.  

Ich finde es daher wichtig, dass Kyndryl Ihnen nicht nur hilft Ihre Umgebungen technologisch und konzeptionell abzusichern, sondern dass wir genauso hersteller- und anbieterunabhängig mit Ihnen den Schutz Ihrer Mitarbeiter planen, umsetzen, überprüfen und verbessern. 

Für uns bei Kyndryl ist es wichtig das Sicherheitsrisiko Mensch in Ihrer spezifischen (Arbeits-)Umgebung zu reduzieren. Dabei sind Themen wie Phishing und Social Engineering genauso wichtig wie klare Vorgaben und Prozeduren. Der Erfolg kann sich dabei nur einstellen, wenn die Mitarbeiter die Maßnahmen nicht als zusätzliche Belastung empfinden, sondern Ihrerseits ein Verständnis für die spezifischen IT Sicherheit Risiken ihres Arbeitsplatzes entwickeln. 

Zero Trust – always verify – das sind die technischen Schlagworte. Als Menschen müssen wir das erst erlernen. Lassen Sie uns dabei helfen. 

(Hendrik Müller-Hofstede)

Links: 

%%footer%%