Auf den Ausbruch von COVID-19 reagierten viele Unternehmen mit Ad-Hoc-Maßnahmen. Die Pandemie hat der digitalen Transformation einen Schub gegeben. Doch für die Zukunft sind nun Strategien und gut durchdachte Ansätze gefragt, mit deren Hilfe sich Organisationen nachhaltig resilient aufstellen lassen. Wie können Unternehmen ihre IT krisensicher machen – und was gilt es jetzt zu beachten?
Für viele IT-Verantwortliche und ihre Beschäftigten in den Fachabteilungen der Unternehmen waren in den vergangenen Monaten Überstunden angesagt. Infolge der COVID-19-Pandemie wechselten Millionen Beschäftigte für die Arbeit vom Büro in die heimischen vier Wände. Unternehmen mussten innerhalb kürzester Zeit dezentrales Arbeiten organisieren. Für das Aufsetzen detaillierter Pläne oder das Erproben spezifischer Anwendungslösungen blieb oftmals keine Zeit.
Die Krise wurde zu einem Belastungstest für die Resilienz der Unternehmen und ihrer IT-Infrastruktur. Die Zahl der Remote-Zugriffe auf Ressourcen und Anwendungen erhöhte sich drastisch. Bei der Rückkehr in die neue Normalität wird allerdings gerade die Resilienz zum entscheidenden Faktor – und die Cloud zum Lösungsweg. Geht es um Themen wie Sicherheit und Flexibilität führt an ihr nämlich kein Weg vorbei; und genau diese beiden Komponenten sind jetzt gefragt.
Im engeren Sinne beschreibt Resilienz nämlich die Fähigkeit einer Organisation, nach einer Krise wieder in den gewohnten Zustand zurückzukehren. Doch Resilienz birgt auch das Potenzial, noch einen Schritt weiter zu gehen, gewohnte Infrastrukturen zu durchbrechen und so gestärkt aus der Krise herauszugehen.
Anpassungsfähige IT ist gefordert
Für die IT waren Veränderungen schon immer Teil des Geschäfts, doch es galt stets einen Kompromiss zwischen Anpassungsfähigkeit und Qualität zu finden. Microservices, Container und virtuelle Maschinen helfen, beides in Einklang zu bringen. Mit dem Cloud Computing haben sie zugleich die Komplexität solcher Systeme, die sich automatisch skalieren lassen, drastisch erhöht. Solche IT-Systeme, die sich in ständiger Bewegung befinden, gleichen damit in der Tat eher komplexen Umweltsystemen. In einem solchen System steht nicht mehr das Vermeiden von Ausfällen im Mittelpunkt – ein Microservice lässt sich in Millisekunden neu starten –, sondern die Frage nach den Folgen und wie effektiv sich das Gesamtsystem im Bedarfsfall anpassen kann.
Mit Chaos Engineering zu mehr Resilienz
Um die Resilienz in solchen komplexen Systemen zu erhöhen, ist ein proaktiver Ansatz notwendig: das Chaos Engineering. Es nutzt Experimente, die dabei helfen, das jeweilige System kennenzulernen, die Anpassungsfähigkeit zu untersuchen und mögliche Schwachstellen aufzudecken, die womöglich zu Ausfällen führen könnten. Bekanntestes Beispiel dafür ist der Chaos Monkey von Netflix, der zufällig Instanzen der System-Architektur zerstört, um zu überprüfen, wie unabhängig diese voneinander arbeiten. Beim Chaos Engineering wird eine Hypothese zu einer möglichen Schwachstelle im System formuliert – und anschließend versucht, diese mithilfe eines Experiments zu falsifizieren. Eine Methode, die auch wir bei Microsoft dabei nutzen, ist die sogenannte Fehlerinjektion (Failure Injection). Mit ihr lassen sich Ausnahmezustände, Störungen und ungewöhnliche Belastungen des Systems herbeiführen, Resilienz testen und gegebenenfalls verbessern.
Strategie für Cyber Resilience notwendig
Eingebettet sind solche Ansätze und Methoden in eine umfassende Cyber-Resilience-Strategie, die neben möglichen internen Fehlern auch Gefahren mit Blick hat, die von außen drohen. So ist mit der Zunahme der Remote-Arbeit das Risiko von Cyber-Angriffen gestiegen, wie Cloud Computing, IoT und mobile Geräte ohnehin die Anforderungen der IT-Sicherheit verändern. Durch das Social Engineering steht dabei nicht selten der Mensch am Anfang vieler dieser Attacken. 91 Prozent der Cyber-Angriffe beginnen mit einem einfachen Phishing, also dem Abgreifen von Passwörtern und anderen sensiblen Daten. Dafür bedarf es keiner aufwendigen Technologie: 84 Prozent aller Menschen würden nämlich beispielsweise ihr Passwort schon für ein Stück Schokolade eintauschen. Eine Cyber-Resilience-Strategie muss daher neben technologischen Aspekten, den dafür passenden Cloud-Services und festgelegten internen Abläufe im Falle von Fehlermeldungen und unerwarteten Situationen auch die Mitarbeiterinnen und Mitarbeiter stets miteinbeziehen.
Resilienz mit Azure
Mit Azure bietet wir unseren Kunden eine Vielzahl von integrierten Resilienzdiensten, die Kunden angepasst an ihre individuellen Anforderungen und im Rahmen der eigenen Cyber-Resilience-Strategie einsetzen können. Ganz grundlegende Verfügbarkeitsansätze stellen beispielsweise sicher, dass virtuelle Maschinen über verschiedene Netzwerkknoten im Cluster verteilt laufen, durch die Verfügbarkeitszonen schützen wir die Anwendungen und Daten vor Ausfällen an einzelnen Standorten. Hinzu kommen Dienste wie Azure Backup oder die Georeplication für Azure, die im Falle von Ausfällen, Fehlern und sonstigen Problemen bei der schnellen Wiederherstellung des Systems helfen. Wenn Unternehmen technisch weitergehen wollen, trennen Sie sich von anfälligeren Servern und nutzen leichtgewichtigeres „Serverless Computing“ mit Azure Functions oder Azure Kubernetes Service. Damit kann die technologische Grundlage einer jeden Resilienzstrategie geschaffen werden. Mit Azure DevOps gehen wir darüber hinaus und bieten unseren Kunden moderne Entwicklungsdienste, um hochagile Systeme zu erschaffen – und letztlich jedem Unternehmen seinen eigenen „Chaos Monkey“ zu ermöglichen.
Patrick Schidler,
Business Manager Cloud & Enterprise, Microsoft Deutschland GmbH
