Im CIO-Erfahrungsaustausch standen am 07.06.2023 die Themen Sicherheit und IT-Modernisierung im Mittelpunkt.
Dirk Ockel hatte in seinem Security-Update deutlich mehr zu berichten als in den Vorwochen. Die Dateiübertragungssoftware MOVEit Transfer von Ipswitch wurde Ende Mai von der Hackergruppe CIOp APT über eine SQL-Injection-Schwachstelle angegriffen. Im Prinzip erlauben es solche Schwachstellen Inhalte und Struktur einer Datenbank remote auszulesen und sie durch Ausführung beliebiger SQL-Statements bis hin zur kompletten Löschung der Inhalte zu manipulieren. Die Hacker haben laut eigenen Aussagen von mehr als 100 Unternehmen – darunter auch deutsche Firmen – Daten stehlen können. Die Hackergruppe droht mit Löschung bestimmter Daten und/oder am 14. Juni mit der Veröffentlichung der erbeuteten Daten. Ockel warnte davor, sich mit dem Einspielen von Updates zu begnügen. Das sei angesichts der langen Zeit zwischen erster Ausnutzung der Lücke und dem Erscheinen der Updates nicht ausreichend. Er empfiehlt die forensische Untersuchung betroffener Systeme.
Patches von Google, Symantec und mal wieder VMWare
Der im Zuge des Ukraine-Kriegs stark umstrittene Sicherheitsanbieter Kaspersky hat eine Schwachstelle in iOS-Geräten entdeckt, die seit mindestens 2019 aktiv sein soll und Zero-Click Expoits über iMessage zur Code-Ausführung mit erhöhten Rechten ermöglicht. Die Analyse von Kaspersky ist nicht abgeschlossen. An wichtigen Patches meldet Ockel die Schließung von 141 Sicherheitslücken in Splunk in Google Chrome bei Symantek und wieder einmal bei VMWare und zwar in Aria Operations.
Von Mittelalter bis Moderne
Bern Schapdick, IT-Direktor des mittelständischen Spezialisten für Brandschutz und Schadensanierung SVT, schilderte sehr eindrücklich, wie er mit Hilf seines Teams eine stark unterinvestierte und zum Teil veraltete IT-Landschaft innerhalb von nur anderthalb Jahren weitgehend wieder auf einen aktuellen Stand gebracht hat, dem das Unternehmen die Möglichkeit gibt, sich auch für die Zukunft gut aufzustellen. SVT ist ein typischer Mittelständler mit rund 300 Millionen Euro Umsatz und mehr als 1600 Mitarbeitenden. Als er vor gut anderthalb Jahren seine Arbeit bei der SVT aufnahm fragte Schapdick die Mitarbeitenden nach ihrer Zufriedenheit mit der IT. Ergebnis: weit verbreitete Frustration im der IT-Landschaft. Eine Aussage lautete: Es fühlt sich an wie in einem mittelalterlichen Netzwerk. Vor allem veraltetete Applikationen Infrastruktur und fehlende Organisation im Service machten den Mitarbeitenden zu schaffen. Daran, so Schapdick, trugen die IT-Leute keine Schuld. Sie waren und sind hochgradig motiviert. Ohne ihr großes Engagement wäre alles noch schlimmer gewesen. Dann wurde SVT auch noch Opfer eines garvierenden Ransomware-Angriffs. Spätestens da war jedem bei SVT klar, dass in der IT dringender Handlungsbedarf bestand.
Sechs große Handlungsfelder von Hausaufgaben bis Prioritäten setzen
Schapdick zerteilte die sehr große Aufgabe in insgesamt 6 Handlungsfelder und Prinzipien:
- Hausaufgaben erledigen – Hier runter fällt die Einführung von ITIL, die Erneuerung von Infrastrukturen und die Ablösung von Legacy-Systemen (noch nicht vollständig).
- Quick Wins – um schnelle Erfolge zu zeigen, wurden kleine Applikationen in die Cloud verlagert, es wurde kleine, schnelle Beiboote geschaffen und dem Business der Nutzen der vermehrten Anstrengungen bewiesen.
- Partnermodelle etablieren – weil man nicht alles selbst machen kann, mussten Partner auf Augenhöhe gefunden und eine sinnvolle Arbeitsteilung mit ihnen gefunden werden.
- Kommunikation – vor allem die Enge Abstimmung mit dem Business und immer wieder zu erklären, warum bestimmte Dinge getan werden müssen, war hier neben dem ständig „auf Sendung“ sein enorm wichtig.
- People first – auch dieses Prinzip nimmt Schapdick sehr ernst. Es war nicht einfach, neue Mitarbeitende zu finden.
- Konzentration aufs Wesentliche. Immer wieder Priotäten überprüfen, keine goldenen Wasserhähne erlauben und natürlich auch die Machbarkeit der entwickelten Pläne immer wieder überprüfen, damit es nicht zu Frustration kommt.
Die Strukturierung in diese Felder hat Schapdick sehr geholfen, die Mammut-Aufgabe bei SVT zu bewältigen, die ihn zufolge noch nicht abgeschlossen ist. Aber er sieht sich auf einem guten Weg.
