Chancen und Risiken der Cloud

Dr. Markus Müller, Chief Information Officer (CIO) der Deutschen Telekom
Dr. Markus Müller, Deutsche Telekom

Die Cloud und IT-Gefahren

Im Interview: Dr. Markus Müller, Chief Information Officer (CIO) der Deutschen Telekom

 

Herr Dr. Müller, Sie sind jetzt seit über einem Jahr CIO bei der Deutschen Telekom. Wie fällt Ihr erstes Fazit aus?

 

Wir haben sehr viel geschafft. Ich bin wirklich stolz auf unsere Mannschaft. In nur einem Jahr haben wir aus drei großen, unabhängig voneinander agierenden IT-Einheiten im Telekom-Konzern ein Team geformt und unter dem Dach der T-Systems zusammengeführt. Wir haben unser Ziel, die IT-Kosten bis 2015 auf Benchmark-Niveau zu senken, fast zur Hälfte erreicht, gleichzeitig die Stabilität der IT-Plattformen verbessert und große Projekt-Aufträge erfüllt. Dazu bekommen wir auch sehr gutes Feedback von unseren Kunden innerhalb der Deutschen Telekom.

Welche Baustellen sind derzeit und für die Zukunft die wichtigsten, die Sie zu beackern haben?

 

Stabilität und Kostensenkung bleiben weiterhin ganz oben auf der Liste. Daneben gehen wir aktiv Business-Innovationen an mit dem Ziel, unser Produktportfolio durch die Umstellung auf IP zu modernisieren und dabei gleichzeitig flexibler zu gestalten. So haben wir bereits im letzten Jahr ein tiefgreifendes IT-Architekturumbauprogramm gestartet. Damit werden wir mittelfristig ein schnelleres time to market neuer Produkte sicherstellen. Zwei Beispiele: Bis 2017 sollen unsere Kunden in der Lage sein, ihre bevorzugten Dienste von jedem Endgerät aus überall zu nutzen. Zieht ein Kunde um, wird er sich lediglich von seinem neuen Anschluss aus anmelden müssen. Das Netz erkennt seinen Adresswechsel und hinterlegt diesen in allen relevanten Datenbanken. Natürlich wird alles in einer Rechnung abgebildet sein,  die permanent online verfügbar ist. Das bedeutet für die IT eine enorme Transformation, an der wir bereits mit Hochdruck arbeiten.

Sehen Sie sich dabei eher als Sachverwalter oder als Innovator und wie untermauern Sie Ihre Rolle?

 

Als CIO ist man immer ein Stück weit beides. Innovationen muss man treiben, gleichzeitig muss man darauf achten, dass die IT ›aufgeräumt‹ bleibt – also frei von Alt-Applikationen und Redundanzen. Ich begreife unsere Rolle aber ganz klar als ›Business Enabler‹ und somit auch als Innovationstreiber. Unsere Aufgabe ist es, für neue Geschäftsmodelle die optimale IT-Infrastruktur zu bauen und hier der Fachseite auch beratend in allen Fragen beizustehen.

Sie haben Android praktisch völlig aus Ihrem Intranet gestrichen und dafür sicherlich nicht nur Applaus bei den Mitarbeitern geerntet. Warum dieser drastische Schritt?

 

Das ist so nicht ganz richtig. Wir haben eine Lösung, bei der Mitarbeiter Email, Kalender und Adressbuchdaten mit dem Intranet synchronisieren können. Zudem statten wir eine Reihe von Servicetechnikern mit Android basierten Geräten aus. Einen vollen Zugang haben wir allerdings nicht realisiert, um kein unnötiges Risiko zu tragen. Für Androids gibt es 300.000 Schadprogramme – als offenes Betriebsystem wird es sehr häufig angegriffen. Hier hat ein CIO natürlich eine große Verantwortung, die Sicherheit unserer Kunden- und Mitarbeiterdaten sicherzustellen. Der Bedarf an Usability ist von Mitarbeiter zu Mitarbeiter verschieden und potenziert sich in einem Großunternehmen 100.000-fach. Die Grenzen werden hier vor allem bei der Integration in die Legacy-Architektur und bei der Berücksichtigung von Sicherheitsaspekten schnell erreicht. Wir erklären das unseren Mitarbeitern und sie verstehen das auch.

Inwiefern sind Smartphones und andere tragbare Devices mittlerweile von Angriffen betroffen und wie reagieren Sie darauf?

 

Smartphones sind tatsächlich einer der Hauptangriffspunkte von Cyber-Attacken. Das sind für die Angreifer ideale Geräte, weil sie viel Rechenkraft haben und die meiste Zeit am Tag gar nicht benutzt werden und dank LTE über eine sehr breitbandige Internetverbindung verfügen. Es ist daher enorm wichtig, Smartphones wie normale Computer zu betrachten und diese genauso mit entsprechender Sicherheitssoftware auszustatten. Da, wo das nicht möglich ist, muss man dann eben auch in den sauren Apfel beißen und Zugangsmöglichkeiten einschränken. Wir arbeiten hier eng mit unseren Kollegen von der IT-Security zusammen. Ich bin auch ein Stück weit stolz darauf, dass wir hier eine innovative Zugangsplattform gebaut haben, die wir auch unseren externen Kunden anbieten.

Wie steuern Sie angesichts von weit mehr als 200.000 Mitarbeitern weltweit der Tatsache entgegen, dass viele Mitarbeiter die Devices mit in die Arbeit bringen, die für sie gerade aktuell sind, und dadurch immer neue und andere Sicherheitslücken entstehen können?

 

Wir lassen Endgeräte unserer Mitarbeiter intern noch nicht zu. Natürlich gibt es Überlegungen, wie wir den Trend ›bring your own device (BYOD)‹ auch bei uns möglich machen können. Aber das muss gut durchdacht und sorgfältig geplant sein. Als Alternative stellen wir unseren Mitarbeitern Endgeräte wie das iPhone, Blackberry oder das iPad zur Verfügung, die vorher sorgfältig in unsere IT-Landschaft integriert wurden. Damit sind die Mitarbeiter sehr zufrieden.

Um Angriffe abzuwehren, haben sie rund 100 sogenannter Honeypots installiert. Wie funktionieren diese und welche Erfolge können Sie damit verzeichnen?

 

Das sind Geräte, die unsere Security-Kollegen zum Teil selbst entwickelt haben und die leicht angreifbare IT-Systeme und auch Smartphones simulieren. Wir sammeln diese IP-Adressen und setzen sie auf eine Blacklist. Wir lernen dabei auch extrem viel. Wenn zum Beispiel Microsoft ein neues Update bringt, können wir erkennen, wie oft die damit geschlossene Sicherheitslücke anzugreifen versucht wird. Sind die Attacken dann nicht ganz so stark, kann man sich auch mal ein paar Tage Zeit für die Abwehr lassen. Gelegentlich müssen wir den Honeypots neue IP-Adressen geben, denn auch die Angreifer arbeiten mit Blacklists. Wenn sie merken, dass einzelne IP-Adressen dazu führen, dass ihre Angriffe geblockt werden, kommen sie nicht mehr vorbei. Identifizierte Angreifer sperren wir sofort aus. Aber wir müssen natürlich aufpassen, dass Angreifer das automatische Aussperrungsverfahren nicht dazu nutzen, ganz viele Angriffe zu simulieren und die Telekom mit dem eigenen Warnsystem lahm zu legen.

Auf welche anderen Herausforderungen der Zukunft in Ihrem Bereich sollten sich IT-Studenten Ihrer Auffassung nach künftig fokussieren?


Ich würde sagen, dass man mit einer breiten Ausbildung, die eine gute Balance aus Geschäfts- und Technologieverständnis darstellt, sehr gut aufgestellt ist. Programmier-Kenntnisse allein reichen heute nicht mehr aus. Durch den Wandel der IT zum Unterstützer des Geschäfts, ist auch strategisches Know-how und ein gutes Verständnis des Geschäfts des jeweiligen Unternehmens absolut notwendig.

Seit Jahren wird vom Megatrend Cloud gesprochen. Welche Optionen ergeben sich für einen weltweit agierenden Konzern wie die Deutsche Telekom in der Wolke und inwiefern haben Sie dieses Potenzial bereits nutzen können?

 

Wir haben circa 30 Prozent unserer Geschäftsanwendungen in der Cloud und nutzen die Cloud zum Beispiel zur Virtualisierung unserer Arbeitsplätze. So haben wir die 4.500 virtuellen Arbeitsplätze der Telekom Shops in mehrere, voneinander abgetrennte Server-Segmente gepackt. Fällt ein Segment aus, sind alle anderen Arbeitsplätze noch arbeitsfähig. Damit versuchen wir, einem Großausfall so weit wie möglich vorzubeugen. Zudem ist die IT-Plattform, auf der wichtige Telekom-Applikationen wie die Disposition der technischen Servicekräfte oder die Logistik der SIM-Karten laufen, redundant aufgebaut und hochgradig gegen Ausfälle geschützt.

Warum scheint sich die Cloud trotzdem langsamer durchzusetzen als angenommen?

 

Dafür gibt es drei Hauptursachen: Die Datensicherheit ist aus Sicht vieler Unternehmen nicht hoch genug und die aktuellen Diskussionen in den Medien haben auch noch ein wenig mehr Verunsicherung bei unseren Kunden erzeugt. Das Ausfallrisiko ist zwar gering – die Auswirkungen eines Ausfalls sind aber oft sehr breit. Darüber hinaus ist die Integration komplexer Applikationen in die Cloud nicht einfach zu meistern. Aber die Cloud kommt und jeder CIO sollte eine passende Strategie für die Nutzung der Cloud intern bereithalten.

Teile diese Seite

Offene Stellen für Informatiker:

Artikelsuche