Der Netzwerk Insider Oktober 2020 - Der Flaschenhals der Cloud - ComConsult
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Der Netzwerk Insider Oktober 2020
Der Flaschenhals der Cloud
von Stephan Bien
Im heutigen Zeitalter ist vieles vernetzt. Die Remote-Zugänge waren in vielen Un-
Dieser Trend geht unumstößlich wei- ternehmensnetzen überlastet, und an etli-
ter. Cloud-Ressourcen nehmen in vie- chen Stellen fehlte es an ausreichenden
len Bereichen eine immer größere und Lizenzen. In Konsequenz profitierten auf
nicht mehr wegzudenkende Rolle ein. den ersten Blick die Unternehmen, die be-
Besonders in der Anfangsphase der Co- reits ihre Kommunikation in die Cloud ver-
ronavirus-Krankheit-2019 (COVID-19) lagert hatten.
sind viele Arbeitsplätze fast ausschließ-
lich in die heimischen vier Wände ver-
lagert worden. Dies hat den bereits vor- weiter ab Seite 4
handenen Ansturm auf Cloud-basierte
Dienste beschleunigt.
Ein präsentes Beispiel aus dem privaten
und geschäftlichen Umfeld sind Webkon-
ferenzen, bei denen Menschen mit ande-
ren Menschen weiter in Kontakt bleiben.
Ausschreibung von IT-Dienstleistungen
von Martin Egerter
Es gibt wohl kaum ein Unternehmen, Eines haben sie jedoch gemeinsam – kann insbesondere bei öffentlichen Aus-
eine Institution oder Behörde, deren IT- sie sollen (im Idealfall) – nach klar vorge- schreibungen ein hohes Maß an Komple-
Abteilungen nicht auf die Leistungen gebenen „Spielregeln“ wirtschaftlich er- xität erreichen, da die unterschiedlichen
eines oder gar mehrerer externer IT- bracht werden. Vergabeverfahren an strikte gesetzliche
Dienstleister zurückgreifen. Vorgaben gebunden sind.
Typischerweise werden diese Dienst-
Die Leistungsinhalte können dabei äußerst leister auch nicht einfach freihändig be- Auch wenn hier auf den typischen Ab-
unterschiedlich sein und z.B. einen Mana- auftragt, sondern im Zuge eines Aus- lauf eines Vergabeverfahrens einge-
ged-WAN-Service, die Entwicklung einer schreibungsverfahrens nach bestimmten gangen wird, so steht doch die Leis-
Spezial-Software, die Betriebsunterstüt- Kriterien wie z.B. Leistungsfähigkeit, tungsbeschreibung als wesentliches
zung oder sogar die volle Verantwortung Wirtschaftlichkeit, etc. ausgewählt. Kernelement der Ausschreibungsunterla-
für den Betrieb der LAN- und Security-Inf- gen im Vordergrund.
rastruktur umfassen. Ein solches Ausschreibungsverfahren weiter ab Seite 13
Geleit
Risiken veralteter IT
ab Seite 2
Standpunkt
Zentrale Ereignisprotokollierung -
leichter gesagt als getan
ab Seite 18
Neue Zertfizierung
ComConsult Certified Wireless Engineer
ab Seite 17
Aktuelle Sonderveranstaltung Kostenloses Webinar der Woche
Implementierung von IPv6 – Microsoft Teams - die
Erkenntnisse und ultimative Plattform für
Erfahrungen alle?
auf Seite 12 auf Seite 11
Der Netzwerk Insider Oktober 20 Seite 2
Geleit
Risiken veralteter IT
In den 00er Jahren verabschiedete sich gen. In einem aktuellen Projekt wurde die
ein ehemaliger IT-Manager von mir vor Ursache eines Problems zunächst bei den
seinem Übergang in den Ruhestand. Multiplexern gesucht. Gelöst wurde das
Er teilte mir mit, er würde gerne gele- Problem aber mit einem Reset der Netz-
gentlich arbeiten und verwies auf sei- adapter auf dem Mainframe.
ne COBOL-Kenntnisse. Das Jahr 2000
war schon vorbei, und die Überprüfung Auch die Frage nach dem tolerierba-
alter Software auf zwei oder vierstelli- ren Abstand zwischen zwei Großrech-
ge Jahreszahlen war nicht mehr erfor- nern desselben Verbunds bleibt in der Re-
derlich. Deshalb teilte ich meinem alten gel offen. Oder sie wird lapidar mit dem
Bekannten mit, dass ich nicht mit Auf- Satz beantwortet, das hänge von den Ap-
trägen rechne, bei dessen Ausführung plikationen ab. Diese Antwort könnten an-
COBOL-Kenntnisse erforderlich wä- dere Hersteller auch geben. Das tun sie
ren. Ich bekam die folgende abschlie- aber nicht. Von Firmen wie VMware, Orac-
ßende Antwort: „OK, ich hätte lieber le und Dell/EMC bekommt man teilweise
in COBOL programmiert als zuhause sehr präzise Angaben.
Staub gesaugt. Dann eben Staub sau-
gen.“ Das hat seine Frau bestimmt ge- Kein böser Wille
freut. Und da ich beide Eheleute ken-
nengelernt habe, revidiere ich meine Drei Jahrzehnte danach wollte dersel- Ich möchte niemandem bösen Willen un-
damalige Antwort nicht. Aber Anlass be altgediente EDV-Leiter die ganze Fir- terstellen. Ingenieurstätigkeit lebt von Er-
dafür gäbe es. ma mit Netzkomponenten von IBM aus- fahrung. Wenn die Erfahrenen alle in Ren-
statten. Ich habe davon abgeraten, weil te sind und die meisten Jüngeren eine
Wenn eine Programmiersprache es eine bessere Lösung gab. Unter dem Programmiersprache mit einem chemi-
mit einem chemischen Element Druck der Entwicklungsabteilung wurde schen Element verwechseln, ist nicht viel
verwechselt wird meine Empfehlung befolgt. Wenige Jahre zu erwarten.
danach überließ IBM die eigene „Network
Millionen US-Amerikaner haben wäh- Hardware Division“ genau demselben Her- Laut dem IEEE-Magazin Spectrum, Ausga-
rend der Pandemie wochenlang auf staat- steller, dessen Lösung in dem besagten be September 2020, gaben Unternehmen
liche Unterstützung warten müssen, weil Unternehmen statt der IBM-Lösung zum und Staaten in den letzten 10 Jahren ca.
alte COBOL-Programme den Behörden Zuge gekommen war. Dort ist über 20 35.000 Milliarden US-Dollar für IT aus. Da-
Probleme bereiteten. Als Reaktion darauf Jahre später der in den 90ern eingeführte von entfielen drei Viertel, also über 26.000
meinte der Gouverneur des Bundesstaa- Hersteller immer noch der Haus- und Hof- Milliarden US-Dollar, auf Betrieb und In-
tes New Jersey, es müsse geklärt wer- lieferant. Was von dieser neuen jahrzehn- standhaltung bestehender Technik. Und von
den, wie zum Kuckuck es zum dringen- telanger Treue zu halten ist, ist hier nicht den restlichen 9.000 Milliarden Dollar mach-
den Bedarf nach „Cobalt“-Programmierern das Thema. ten gescheiterte Projekte zum Ersetzen alter
gekommen sei. COBOL ist mit seinen 61 Technik 720 Milliarden US-Dollar aus.
Jahren schon so alt, dass ein führender Nicht nur die Programme
Politiker nie davon gehört hat. machen Probleme Im Grunde folgen die IT-Entscheider der
Parole „Never touch a running system“.
Viele Mainframe-Programme sind in der Mit IBM-Netzkomponenten verschwanden Das ist aber sehr kurzfristig gedacht. Ein
1959 entwickelten Programmierspra- die Großrechner nicht. Sie wurden besser laufendes System kann morgen schon ins
che COBOL geschrieben. Die Entschei- und schneller, die darauf laufenden Pro- Stocken geraten. Wenn es keine Herstel-
der in der IT (damals hieß die IT Elekt- gramme blieben. Und es gibt die Groß- lerunterstützung und keine Expertise dafür
ronische Datenverarbeitung, EDV) haben rechner mit den darauf laufenden COBOL- gibt, kann es dann nicht nur zum Stocken,
jahrzehntelang nach der Devise gehan- Programmen immer noch. Wehe, wenn sondern zum Infarkt kommen.
delt, dass niemand gefeuert werde, der man sie ändern und darin Fehler beseiti-
bei IBM einkaufe. („Nobody is fired be- gen muss. COBOL stand schon während Gerade sehr zuverlässige Systeme, wie
cause of buying IBM.“) In den 1990er meiner Studienzeit in den 1980er Jahren Mainframes nun mal sind, laufen Gefahr,
Jahren habe ich einen unserer Kunden nicht mehr auf dem Lehrprogramm der so unauffällig zu werden, dass mit der Zeit
dabei beraten, leistungsfähige Netze auf- Unis; stattdessen habe ich die Assembler- niemand mehr da ist, der weiß, wie sie
zubauen. In jener Firma gab es die Tech- sprache der /360er IBM-Großrechner ge- funktionieren. Oder die Wissenden haben
nik-Fraktion, die schon Ethernet-Netze lernt. Das heißt, COBOL-Programmierer es schon vergessen. Das kennt man auch
betrieb, und die kaufmännische IT mit ih- sind fast ausnahmslos älter als ich, bes- vom privaten Alltag. Der DSL-Router läuft
rem Großrechner und Token-Ring-Net- tenfalls in ihren 60ern. jahrelang vor sich hin, ohne auszufallen.
zen als Mainframe-Anhängsel. Mir wurde Dann muss man irgendeine Konfiguration
die Anekdote erzählt, der EDV-Leiter sei Aber tickende Zeitbomben sind nicht nur ändern. Wie ging das nochmal?
in den 1960er Jahren im Zuge der Ein- die COBOL-Programme. Auch die Groß-
führung des IBM-Großrechners zu sei- rechner-Hardware wird von kaum einem Und was ist mit Security?
nem Posten gekommen, nachdem es Aktiven mehr beherrscht. Mainframe-Be-
auf dem Vorgänger-System Probleme treiber, die RZ-Georedundanz einführen Hardware bzw. Software, die nicht ak-
mit Gehaltsabrechnungen gegeben hat- und die Großrechnerkopplung über Infini- tualisiert wird, birgt bekanntlich Sicher-
te und der IBM-Großrechner im Eiltempo band und DWDM-Multiplexer implemen- heitsrisiken. Großrechner und die darauf
eingeführt wurde. tieren müssen, können ein Lied davon sin- laufenden Betriebssysteme und Program-
Der Netzwerk Insider Oktober 20 Seite 4
Der Flaschenhals in der Cloud
Der Flaschenhals Stephan Bien ist seit 2008 Berater bei der Com-
Consult GmbH. Als Mitarbeiter des Competence
in der Cloud Center Implementierung + Betrieb hat er um-
fangreiche Praxiserfahrungen bei der Planung,
Fortsetzung von Seite 1 Projektüberwachung, Qualitätssicherung und
Implementierung von LAN- und WLAN-Infra-
strukturen gesammelt. Als Senior Consultant
führt Herr Bien regelmäßig Netz-Redesigns und
WLAN-Planungen durch.
Nutzung von Cloud Computing Mit der Datenverarbeitung und –speiche- kunde wurde im Vergleich zum vorherigen
rung in der Cloud und dem veränderten Rekord im Dezember 2019 mit 8 Terabit
Um eine Cloud-Nutzung kommt ein Un- Nutzerzugriff findet eine Erweiterung und pro Sekunde eine Steigerung um mehr als
ternehmen kaum mehr herum. Dabei do- Verlagerung der Sicherheitsinfrastruktur 12 Prozent beobachtet (siehe [3]). Daraus
minieren hybride Cloud-Architekturen statt. Doch die Absicherung von zentra- wird ersichtlich, dass zumindest die zentra-
mit einem Anteil aus privater und öffent- len Komponenten der Cloud-Anbieter lässt len Knotenpunkte über ausreichend Kapa-
licher Cloud. Das Angebot an verfügba- sich vom Kunden kaum kontrollieren. Da- zitätsreserven verfügen. Für die verteilten
ren Cloud-Diensten ist riesig und erstreckt mit verlagern sich Verantwortungsbereiche Provider-Infrastrukturen abseits der Haupt-
sich von Software-as-a-Service (SaaS) für unternehmenskritische Umgebungen in knotenpunkte trifft dies nicht unbedingt zu.
über Infrastructure-as-a-Service (IaaS) bis die Zuständigkeit der Cloud-Anbieter.
hin zu Platform-as-a-Service (PaaS), um Es sollte nicht außer Acht gelassen wer-
nur einige bekannte Dienste zu benennen. Mit dem Inkrafttreten der EU-Datenschutz- den, dass mit Hilfe von Premium-Rou-
Grundverordnung (DSGVO) im Mai 2018 ting-Diensten – also direktes / priorisiertes
Nach Nutzung einer klassischen On-Pre- und dem EuGH-Urteil zum US-Privacy- Routing zu den Cloud-Anbietern - die Per-
mises-Architektur sind Hersteller mittler- Shield im Juli 2020 (siehe [2]) sind besonde- formance verbessert und Ausfälle verrin-
weile dazu übergangen, ihre Lösungen als re Anforderungen an die Datenverarbeitung gert werden können.
hybride Architektur anzubieten. Viele von und Nutzung von Cloud-Strukturen entstan-
ihnen gehen einen Schritt weiter und bie- den. Die Nutzer und Anbieter werden hier Der Internet-Performance-Report des
ten ihre Produkte ausschließlich mit einer gleichermaßen in die Pflicht genommen, die Netzanalyse-Unternehmens Thousan-
Cloud-Architektur an. Lösung rechtskonform zu nutzen. dEyes zeigt, dass die seit März 2020 an-
gestiegene Verkehrslast durch die Cloud-
Anders als die zunächst vorsichtige Nut- Störungserkennung und Provider besser verarbeitet werden kann
zung mit nur unkritischen Daten werden Ursachenforschung als durch die ISP-Netzwerke. Jedoch geht
vermehrt auch kritische Geschäftsinforma- daraus auch klar hervor, dass sich eine
tionen in der öffentlichen Cloud verarbei- Stößt man bei der Nutzung von Cloud- Störung oder ein Ausfall innerhalb einer
tet und gespeichert. Dazu gehören eben- Diensten auf ein Problem, muss zunächst Cloud-Struktur eher auf die Benutzer aus-
so Kommunikationsdaten, die mit Kunden die Frage beantwortet werden, wer die wirkt (siehe [4]).
ausgetauscht werden. Bei vergleichswei- möglichen Verursacher sind. Stellt man
se neuen digitalen Technologien aus dem bei der Fehleranalyse fest, dass man Pro- Teilausfall oder Störung einer Cloud kann
Bereich Internet of Things (IoT) und künst- bleme in der eigenen IT ausschließen verschiedene Ursachen haben. Die fol-
licher Intelligenz (KI) wurde die Nutzung kann, fällt der Fokus auf die Internet- und genden Gründe sind zu nennen:
der Cloud bereits frühzeitig forciert. Cloud-Provider.
• Unzureichende Dimensionierung von
Der Bildungssektor als ein Bereich, Mit dem lokalen Internet-Service-Provi- Ressourcen
der bisher vergleichsweise weniger auf der (ISP) besteht prinzipiell ein Service- • Konfigurationsfehler
Cloud-Dienste zurückgegriffen hat, ist Vertrag, über den Störungen eingesehen • Komponentenausfall
vom digitalen Wandel betroffen. Grund und gemeldet werden können. Die nach- • Wartungsarbeiten
hierfür ist die seitens der Bundesregie- gelagerten Internetknoten und Cloud-Inf- • Distributed Denial of Service (DDoS)
rung ins Leben gerufene Umsetzungs- rastrukturen werden aus Monitoring-Sicht als Angriff auf oder aus der Cloud-Infra-
strategie, die mit dem DigitalPakt Schule häufig als Black Box wahrgenommen. struktur
und einem Finanzvolumen von fünf Mil-
liarden Euro über eine Laufzeit von fünf Im März 2020 wurde in Frankfurt beim Für die Anwendungsbetreuer ist es wich-
Jahren diesen Wandel beschleunigen soll Deutschen Commercial Internet Exchange tig, die Hintergründe einer Störung zu er-
(siehe [1]). Erste Implementierungen von (DE-CIX) – der weltweit führende Betreiber fahren, um Transparenz für die Nutzer zu
Cloud-managed-WLAN, Schul-Messen- von Internetknoten – ein neuer Weltrekord schaffen. Zudem lassen sich so Gegen-
ger und Cloud-Speicher sind DSGVO- im Datendurchsatz an einem Internetkno- maßnahmen einleiten und mögliche Alter-
konform im Einsatz. ten gemessen. Mit über 9,1 Terabit pro Se- nativen eruieren.
Der Netzwerk Insider Oktober 20 Seite 5
Der Flaschenhals in der Cloud
Skalierungsgrenzen und
Ressourcenverteilung
Auf eine durch COVID-19 gesteigerte
Cloud-Nutzung waren die Anbieter nicht
vorbereitet. Prominentes Beispiel ist der
Teilausfall der Kollaborationslösung Mi-
crosoft Teams am 16. und 17.03.2020, der
viele Nutzer in Europa betraf. Anwender
beklagten Probleme bei der Nutzung der
Messaging-Dienste (siehe Abbildung 1).
Ursache war laut Hersteller ein untergela-
gerter Dienst.
Abbildung 1: Microsoft-Teams-Störung, 16.03.2020 Quelle: Downdetector.com
Es sollte nicht unerwähnt bleiben, welche
drastische Nutzungsänderung die aktuelle te der Dienststatus erfasst und mögliche wichtigen Informationen wie Zugangsver-
Pandemie zur Folge hatte. Nach Aussage Vorfälle und Hinweise verifiziert werden. fahren (z.B. Ethernet, Wi-Fi, Mobile), da-
des Herstellers erzielte Microsoft Teams Dabei wird auf Basis der angebotenen mit verbundene Details wie MTU-Größe
Ende März 2020 einen neuen Tagesrekord Dienste zwischen Vorfällen (= kritisches oder WLAN-Signalfeldstärke sowie Nut-
von 2,7 Milliarden Besprechungsminuten. Dienstproblem) und Hinweisen (= Dienst- zung eines VPN-Zuganges sind hier ent-
Im Folgemonat waren es dann sogar 4,1 problem mit begrenztem Umfang oder halten. Auch die Angaben der beiden ver-
Milliarden Minuten an Besprechungen. Vor Auswirkung) unterschieden (siehe Abbil- wendeten Internetzugangspunkte und die
dem Ausbruch der Pandemie wurden Ta- dung 2). verwendeten Medien-Relay-Server (MR),
geswerte von üblicherweise 900 Millionen über die die Echtzeitkommunikation ge-
Minuten genannt (siehe [5]). In einer nachgelagerten Ansicht lassen führt wird, sind dargestellt. Wie die nach-
sich u.a. der Verlauf, die damit verbunde- folgende Abbildung zeigt, lässt sich mit
Ungeachtet eines konkreten Cloud-Diens- nen Auswirkungen und die eigentliche Ur- den oben erwähnten Parametern die Pa-
tes sind die Ressourcen in der Cloud eben sache für die vergangenen 30 Tage erken- ketverfolgung in großen Teilen abbilden.
auch nicht unendlich, jedoch dafür umso nen. Darüber hinaus können auch eigene
skalierbarer. Allerdings gibt es auch hier Probleme gemeldet und verwaltet werden. Mit diesen und weiteren Informationen
Grenzen und eine gewisse Reaktionsver- lassen sich viele typische Problemfelder
zögerung spielt ebenfalls eine Rolle. Wie Für Microsoft Teams steht eine weitere identifizieren oder zumindest besser ein-
bereits in der Vergangenheit geschehen, Administrationsoberfläche bereit, die eine grenzen.
kann der Dienstanbieter die ihm oblie- spezifische Analyse von Problemfällen auf
genden Ressourcen wie Netz- und Verar- Basis eines Anrufverlaufs je Benutzer er- Anwendungsbeispiel
beitungskapazitäten innerhalb der ange- laubt (siehe Abbildung 3). App-Gebäudesteuerung
botenen Dienste dynamisch zuteilen. So
können selbst genutzte Cloud-Applikatio- Neben Informationen zu den eingesetzten Im Folgenden wird als Beispiel ein Last-
nen trotz gesamtheitlich hoher Ressour- Endgeräten werden je Kommunikations- und Performance-Test zur Verifizierung
cenverfügbarkeit durch den Anbieter be- richtung Parameter über das Laufzeitver- der Skalierungsgrenzen und Engpässe im
nachteiligt werden. Die Steuerung und halten und der Paketverlustrate zur Aus- Umfeld einer Cloud-basierten Anwendung
Gewichtung liegt in den Händen der An- wertung angeboten. Die für eine Analyse beschrieben. Bei der eingesetzten Lösung
bieter. Der Nutzer hat in der Regel kei-
nen oder eher geringen Einfluss auf die
interne Nutzung der Cloud-Ressourcen.
Selbst Einblicke in dieses Regelwerk sind
schwierig und auf Grundlage der fort-
schreitenden Automatisierung wenig
transparent.
Fehlersuche in der Cloud am Beispiel
Microsoft
Selbstverständlich kommt es auch bei den
großen Cloud-Anbietern aufgrund laufen-
der Migrationen, Erweiterungen und Aus-
fällen zu Störungen. Um nun im Fall einer
Anwendungsstörung die Cloud-Infrastruk-
tur als möglichen Verursacher zu identifi-
zieren, stellen die Cloud-Anbieter für Ad-
ministrations- und Supportmitarbeiter
Oberflächen bereit, mit denen eine Kor-
relation zwischen den gemeldeten Vorfäl-
len in der Cloud und den Kunden-internen
Störungen festgestellt werden kann.
Für Anwendungen im Rahmen von Mi-
crosoft 365 können über die Portalsei- Abbildung 2: Microsoft-365-Dienststatus
Der Netzwerk Insider Oktober 20 Seite 13
Ausschreibung von IT-Dienstleistungen
Ausschreibung Martin Egerter ist seit 2010 als Senior Consul-
tant im Cpetence Center Kommunikationslö-
von IT-Dienst- dungen bei ComConsult GmbH beschäftigt. Der
Fokus seiner Arbeit liegt in der Planung, dem
leistungen Design und der Implementation von LAN und
WAN zur Anbindung von Außenstandorten, der
Neuinstallation und Migration im Bereich Sys-
Fortsetzung von Seite 1 tem Management, der Entwicklung von sicheren
Kommunikationslösunagen, Client-Server-Ap-
plikationen und der Optimierung interner IT-
Prozesse.
1. Einleitung wurde unter der Federführung der Zent- Ausschreibungsunterlage ist die Benen-
ralstelle für IT-Beschaffung des Beschaf- nung eines Projektleiters, die Bildung ei-
Zunächst vorab: Hier handelt es sich um fungsamts des Bundesministeriums des nes entsprechenden Projektteams und die
einen Fachartikel aus der IT und nicht um Innern im Jahre 2018 auf Basis der aktuel- Definition einer dazugehörigen Projektor-
eine juristische Abhandlung öffentlicher len Rechtslage nach der letzten großen Re- ganisation.
oder nicht-öffentlicher Ausschreibungen form im Ober- und Unterschwellenbereich
von IT-Dienstleistungen und auch nicht um des Vergaberechts vollständig überarbeitet. Hierbei ist je nach Ausschreibungsgegen-
Anforderungen, die sich aus dem Vergabe- stand zu klären, welche Stakeholder an
recht für öffentliche Auftraggeber ergeben. Dieses umfassende Dokument gibt auch dem Projekt zu beteiligen sind. Hierzu ge-
Hier sind die eigene Rechtsabteilung oder nicht-öffentlichen Auftraggebern ein gu- hören regelmäßig die Fachabteilungen
externe Rechtsberater zu konsultieren. tes Werkzeug zur Unterstützung bei Aus- und der Einkauf. Ebenso sind die Rechts-
schreibungen von IT-Dienstleistungen an abteilung und das Controlling beteiligt.
In diesem Artikel steht, wie oben bereits die Hand, auch wenn einzelne Aspekte der
erwähnt, die Leistungsbeschreibung als UfAB keinen rechtsverbindlichen Charak- Dieses Projektteam ist primär für die Er-
wesentliches Kernelement einer jeden ter für nicht-öffentliche Auftraggeber ha- stellung der Ausschreibungsunterlage zu-
Ausschreibungsunterlage im Vordergrund. ben. Denn auch in der Privatwirtschaft ständig. Dies ist eine äußerst verantwor-
Das öffentliche Vergaberecht hat zunächst können Aufträge nicht mehr „einfach so“ tungsvolle Aufgabe, denn unzulängliche
die Wirtschaftlichkeit eines Auftrags im Vi- vergeben werden. oder unvollständig formulierte Ausschrei-
sier. Schließlich geht es hier um Steuer- bungsdokumente führen später zu Ärger
gelder. Das Vergaberecht soll damit den Heutzutage zwingen klare Vorgaben an und erheblichem Mehraufwand für Auf-
sparsamen und wirtschaftlichen Umgang die Compliance zu hoher Transparenz und traggeber und Auftragnehmer und können
mit öffentlichen Mitteln sicherstellen. Revisionssicherheit bei der Auswahl von den Projekterfolg bereits vor Auftragsver-
Dienstleistungspartnern im Rahmen von gabe zum Scheitern verurteilen.
Weitere Ziele des Vergaberechts sind: IT-Ausschreibungen. Jedoch muss auch
die Anforderung an die Wirtschaftlichkeit Zunächst ist zwischen privatrechtlichen
• Transparenz: Damit soll nachvollziehbar und damit einhergehend der Mehrwert ex- und öffentlich-rechtlichen Ausschreibun-
dokumentiert und begründet werden, tern vergebener Aufträge für den Auftrag- gen zu unterscheiden. Während öffentlich-
weshalb ein bestimmter Auftragnehmer geber gegeben sein. In diesem Zusam- rechtliche Ausschreibungen gesetzlichen
den Zuschlag erhalten hat. menhang taucht immer wieder die Frage und nicht ganz unkomplizierten Vorgaben
• Wettbewerb: Das Vergaberecht för- „Make or Buy“ auf, also welche Varian- wie dem deutschen oder europäischen
dert ausdrücklich den Wettbewerb zwi- te aus wirtschaftlichen Gesichtspunkten Vergaberecht unterliegen, sind privatrecht-
schen den Anbietern, um über den Zeit- günstiger ist, d.h. eine („Standard“-)Leis- liche Ausschreibungen in der Regel un-
raum der Vertragslaufzeit in den Genuss tung mit eigenem Personal zu erbringen bürokratischer. Dennoch sollten sowohl
von Innovationen bei einem adäquaten oder von einem externen Dienstleister er- öffentlich-rechtliche wie auch privatrecht-
Preis-Leistungs-Verhältnis zu kommen. bringen zu lassen. liche Auftraggeber bestimmte Punkte be-
• Gleichbehandlung: Grundsätzlich sollen achten, um sicherzustellen, dass auch
alle Anbieter die gleichen Chancen haben, Ganz abgesehen davon ist eine geregel- diejenigen Leistungen ausgeschrieben
einen öffentlichen Auftrag zu erhalten. te Ausschreibung auch für nicht-öffentliche werden, die tatsächlich benötigt werden.
Auftraggeber das einzig sichere Mittel, tech-
Eine weitere Erläuterung des öffentlichen nologische Innovationen sicherzustellen und Doch dabei gibt es eine Reihe von Stol-
Vergaberechts an dieser Stelle würde den die eigene Verhandlungsposition hinsichtlich perfallen, die es zu umschiffen gilt. Ein
Rahmen dieses Artikels sprengen. Deshalb vertraglicher Regelungen zu sichern. Beispiel hierfür sind nicht eindeutig formu-
sei noch einmal darauf hingewiesen, dass lierte Texte. Die Ausschreibungsunterlage
die Konsultation eines Rechtsberaters in 2. Erstellung und Aufbau einer sollte zunächst über eine klare und nach-
diesem Zusammenhang dringend zu emp- Ausschreibungsunterlage vollziehbare inhaltliche Struktur verfügen,
fehlen ist. Ein sehr guter Einstieg in diese d.h. in den Dokumenten sind kürzere und
Thematik bietet hierzu auch die sogenann- 2.1 Erstellung einer nicht verschachtelte Sätze zu verwenden.
te „Unterlage für Ausschreibung und Be- Ausschreibungsunterlage Gewisse Formulierungen und Wörter wie
wertung von IT-Leistungen“ (UfAB). Sie Der erste Schritt bei der Erstellung einer „zum Beispiel“, „insbesondere“ oder „etc.“
Der Netzwerk Insider Oktober 20 Seite 14
Ausschreibung von IT-Dienstleistungen
sollten vermieden werden, die einen „nach bungen eher selten vor. Die häufigste Art technische Ausstattungen sein, die für die
oben offenen Leistungsumfang“ beschreiben ist eine Mischform. Insbesondere bei der Leistungserbringung erforderlich sind.
anstatt die erwarteten Leistungen klar und Ausschreibung von IT-Dienstleistungen
eindeutig zu beschreiben und abzugrenzen. wie dem Betrieb oder der Wartung von In- Zentraler Bestandteil der Leistungsbe-
frastrukturen. schreibung ist ferner die Spezifikation und
Welche Dokumente gehören zu einer Aus- Abgrenzung des Leistungsumfangs so-
schreibungsunterlage? 2.2.1.2 Inhalte der Leistungsbeschreibung wie die Beschreibung der Anforderungen,
Die Leistungsbeschreibung bildet, wie die daran gestellt werden. Dies beinhal-
Für öffentlich-rechtliche Auftraggeber gibt oben bereits erwähnt, die Grundlage für tet neben den technischen Spezifikatio-
die bereits erwähnte „Unterlage für Aus- die inhaltliche Angebotserstellung und die nen insbesondere auch die Beschreibung
schreibung und Bewertung“ (UfAB) eine Preiskalkulation durch den Anbieter. Da sie der Rahmenbedingungen, die bei der Leis-
Empfehlung hierzu, die auch für privat- Teil der Vertragsunterlagen ist und damit tungserbringung erwartet werden. Hierzu
rechtliche Auftraggeber geeignet ist. bei Auftragserteilung zum Vertragsbestand- gehören z.B. Service Levels hinsichtlich
teil wird, sollten hier umfassende Angaben Response- und Wiederherstellungszeiten,
Diese Struktur lässt sich nach Verga- zu vertragsrelevanten und preisbeeinflus- Eskalationsstufen sowie Prozessbeschrei-
be- und Vertragsunterlagen unterteilen. senden Fragestellungen gemacht werden. bungen bzgl. der Priorisierung von Inci-
Die Vergabeunterlagen enthalten die Re- dents und Service Requests sowie dem
geln für die Durchführung des Vergabe- Von daher sind hier zunächst die grund- Incident-, Problem-, Change- und Service
verfahrens. Dazu gehören beispielsweise legenden Rahmenbedingungen vollstän- Request Management.
Informationen zum Auftraggeber, Kurz- dig und mit möglichst genauen Angaben
beschreibung des Ausschreibungsgegen- zu erläutern. Dazu gehören eine kurze, Der Detaillierungsgrad dieser Beschrei-
standes, Ansprechpartner, Termine und einführende Beschreibung des Ausschrei- bungen kann durchaus zu einer Gratwan-
Fristen, etc. bungsgegenstandes und des Ziels, das derung werden. Dazu aber später mehr.
erreicht werden soll.
Die Vertragsunterlagen werden bei Be- Eine mögliche und durchaus bewährte
auftragung zum Vertragsbestandteil und Durch die Angabe von Terminen, Fristen Struktur einer Leistungsbeschreibung sieht
regeln die Auftragsausführung. Sie und zeitkritischen Abhängigkeiten sowie folgendermaßen aus und kann als „In-
umfassen mindestens die Leistungsbe- die Benennung von technischen und kauf- haltsverzeichnis“ dienen:
schreibung, den Kriterienkatalog, der der männischen Ansprechpartnern aufseiten
Bewertung der Angebote dient, ein Preis- des Auftraggebers sollten die organisato- Einleitung
blatt sowie ggf. weitere Anlagen. rischen Rahmenbedingungen vorgegeben • Inhalt des Ausschreibungsgegenstan-
werden. Dazu zählen auch Angaben zu des: Hier wird der eigentliche Kern und
2.2 Die Leistungsbeschreibung Organisationseinheiten und evtl. Projekt- Inhalt des Ausschreibungsgegenstandes
Die Leistungsbeschreibung gibt dem An- gremien, die zu berücksichtigen sind oder beschrieben
bieter detaillierte Informationen zu den mit denen eine gemeinsame Koordination • Ausschreibendes Unternehmen/Behörde
ausgeschriebenen Leistungen sowie den der Aktivitäten abzustimmen ist. • Ziele der Ausschreibung
Rahmenbedingungen, unter denen die Er-
bringung dieser Leistungen vom Auftrag- Ebenso sind die technischen Rahmenbe- Teilnahmebedingungen
geber erwartet wird. Die darin beschrie- dingungen sowie die Beschreibung der • Beschreibung der angesprochenen An-
benen Inhalte, Umfänge und die erwartete Ist-Situation in diesem Zusammenhang re- bieter
Güte der ausgeschriebenen Leistung sind levant. Hierbei ist es wichtig, dem Anbieter • Zeitlicher Fahrplan (Roadmap)/Termin/
die Grundlage für die Angebotserstellung alle für die Planung der Leistungserbrin- Fristen
und haben maßgeblichen Einfluss auf die gung erforderlichen technischen Parame- • Definition der technischen und kaufmän-
Preiskalkulation durch die Anbieter. ter mitzuteilen. nischen Ansprechpartner
• Umgang mit Bieterfragen, ggf,
2.2.1.1 Arten der Leistungsbeschreibung Je nach Ausschreibungsgegenstand kön- Bieterkonferenz(en)
Grundsätzlich kann zwischen konstrukti- nen auch räumliche Rahmenbedingun-
ven und funktionalen Leistungsbeschrei- gen wie Standorte, Zugangsmodalitäten IST-Darstellung
bungen unterschieden werden. zu den Räumlichkeiten des Auftraggebers • Beschreibung Ausgangssituation
oder auch unterschiedliche Leistungsemp-
Die konstruktive Leistungsbeschreibung fänger in der Leistungsbeschreibung ent- Leistungsbeschreibung / anzubietende
beschreibt die Leistung in ihren wesentli- halten sein. Leistungen
chen Merkmalen und konstruktiven Ein- • Das ist der wesentliche Kern der Leis-
zelheiten, indem sie z.B. Abmessungen, Dass die Leistungsbeschreibung Angaben tungsbeschreibung
technische Werte, zu verwendende Mate- zu Mengengerüsten enthalten sollte, liegt
rialien, usw. weitgehend festlegt. auf der Hand. Sofern jedoch keine festen Beistellungs-/Mitwirkungsleistungen
Abnahmemengen zugesagt werden kön- des Auftraggebers
Die funktionale Leistungsbeschreibung nen, sollte die Verpflichtung zur Abnahme
hingegen beschreibt die zu erbringende der angegebenen Mengen ausdrücklich Preismodell
Leistung hinsichtlich ihres Zwecks, ihrer ausgeschlossen werden. • Erklärung Preisblatt
Funktion sowie der sonstigen daran ge- • Mengengerüste
stellten Anforderungen. Damit ist es den Ferner sind die Mitwirkungsleistungen des • Zahlungsbedingungen/Zahlungsziele/
Anbietern überlassen, konkrete Lösungen Auftraggebers anzugeben, da der jeweili- Rechnungsstellung
zu entwickeln und anzubieten. ge Umfang erheblichen Einfluss auf die
Preiskalkulation haben kann. Solche Mit- Vertragsmodalitäten
In der Praxis kommen rein konstruktive wirkungsleistungen können z.B. interne • Laufzeit des Vertrages
und rein funktionale Leistungsbeschrei- Personalressourcen, Räumlichkeiten oder • Verlängerungsoption(en)Der Netzwerk Insider Oktober 20 Seite 18
Standpunkt
Zentrale Ereignisprotokollierung -
leichter gesagt als getan
Nehmen wiran, dass Systeme aus ei-
Der Standpunkt von Dr. Simon Hoff greift ner Internet-DMZ unter Verwendung von
als regelmäßiger Bestandteil des Com- Syslog (als standardisiertes Protokoll zur
Consult Netzwerk Insiders technologische Übertragung der Event-Logs) in die zen-
Argumente auf, die Sie so schnell nicht in trale Protokollierung aufgenommen wer-
den öffentlichen Medien finden und korre- den sollen. Dabei würden die DMZ-Sys-
liert sie mit allgemeinen Trends. teme Syslog-Nachrichten unmittelbar
an den Protokollierungsserver schicken,
Die systematische Protokollierung von Er- d.h. ein direkter IP-basierter Zugriff vom
eignissen ist eine wesentliche Grundlage DMZ-Bereich auf ein schützenswertes in-
für die Analyse und Behandlung von (In- ternes System würde stattfinden. Das
formationssicherheits-)Vorfällen und ist widerspricht aber gängigen Sicherheits-
daher traditionell Bestandteil der Maßnah- anforderungen, die hier statt eines Push
menkataloge der Informationssicherheit. aus dem DMZ-Bereich auf den Protokol-
Der Standard ISO 27001 fordert hier lapi- lierungsserver ein Pull vom Protokollie-
dar in Maßnahme A.12.4.1 zur Ereignis- rungsserver fordern. Es müsste also eine
protokollierung: „Ereignisprotokolle, die Ausnahmegenehmigung in Verbindung
Benutzertätigkeiten, Ausnahmen, Störun- mit der Durchführung einer Risikobetrach-
gen und Informationssicherheitsvorfälle Produkte sowohl für das reine Log Ma- tung eingeholt werden.
aufzeichnen, werden erzeugt, aufbewahrt nagement als auch für SIEM sind seit
und regelmäßig überprüft.“ Jahren auf dem Markt verfügbar (z.B. Daher arbeitet man hier gerne mit vorge-
Graylog, Splunk und QRadar) und ent- schalteten Satellitensystemen (Kollekto-
Es ist klar, dass eine rein dezentrale Pro- sprechend bewährt. Man unterschätzt da- ren oder Log-Forwarder) und nur noch für
tokollierung auf IT-Systemen hier nicht bei jedoch oft die Herausforderungen, de- diese Systeme müssten Freischaltungen
viel hilft, denn wie sollen den Forderun- nen man sich bei der Einführung einer vorgenommen werden. Sofern es von der
gen nach Aufbewahrung und regelmä- zentralen Protokollierung stellen muss. Protokollierungslösung unterstützt wird,
ßiger Prüfung nachgekommen werden? kann hier dann auch das beschriebene
Erst eine zentrale Protokollierung kann Herausforderung 1: Verantwortlichkeit Pull-Prinzip realisiert werden.
einen wirklichen Sicherheitsgewinn lie-
fern. Dementsprechend wird dies typi- Wer ist verantwortlich für die zentrale Pro- Herausforderung 3: Anbindung
scherweise von der Informationssicherheit tokollierungslösung und wer kümmert sich der IT-Landschaft an die zentrale
ebenfalls gefordert, wie die Anforderung um systemübergreifende Dashboards und Protokollierung
OPS.1.1.5.A6 „Aufbau einer zentralen entsprechende Analysen? Falls bereits
Protokollierungsinfrastruktur (S)“ des Bau- eine Organisationseinheit für das zentra- Wer entscheidet, ob eine Anwendung
steins OPS.1.1.5 Protokollierung des BSI le IT-Monitoring besteht, könnte die Pro- oder ein IT-System in die zentrale Proto-
IT-Grundschutz-Kompendiums zeigt [1]. tokollierungslösung hier angesiedelt wer- kollierung aufgenommen werden soll und
den. Genauso ist es denkbar, dass sich welche Daten dann auch protokolliert wer-
Wenn eine zentrale Protokollierung kein die Partei, die für die operative Informati- den sollen? Hier müssen die jeweiligen
„Datengrab“ sein soll, das nur bei forensi- onssicherheit verantwortlich ist, auch um Anwendungs- bzw. Systemverantwortli-
schen Analysen von Incidents geöffnet wird, die Protokollierungslösung kümmert. chen mit der Informationssicherheit zu-
hilft es nichts — es muss eine automatisier- sammenarbeiten, und je nach Inhalt der
te kontinuierliche Auswertung von Logs her. Herausforderung 2: IT-Integration der Protokolle müssen dabei auch der Daten-
So kann Analysten ein aktuelles Lagebild in Protokollierungslösung selbst schutzbeauftragte und der Betriebs- oder
Dashboards vermittelt werden, und es kön- Personalrat konsultiert werden.
nen automatisiert in Echtzeit Anomalien er- Eine zentrale Protokollierungslösung hat in
kannt, entsprechende Alarme erzeugt und der Regel einen hohen Schutzbedarf hin- In diesem Zusammenhang ist auch zu
ggf. kann sogar automatisch reagiert wer- sichtlich Vertraulichkeit und Integrität der klären, wie die Anbindung an die zent-
den. Hier fordert beispielsweise der Baustein Daten und muss daher entsprechend abge- rale Protokollierung erfolgen soll. Man-
DER.1 „Detektion von sicherheitsrelevanten sichert werden. Eine typische Maßnahme ist che Systeme unterstützen beispielswei-
Ereignissen“ für einen normalen Schutzbe- hier, dass die Server der Protokollierungs- se nicht Syslog und es kann sogar eine
darf zwar nur die „Nutzung einer zentralen lösung einer ggf. dedizierten Sicherheitszo- zusätzliche spezielle Software (ggf. als
Protokollierungsinfrastruktur für die Auswer- ne zugeordnet werden und die Kommunika- Agent auf dem System) zur Anbindung
tung sicherheitsrelevanter Ereignisse“ (An- tion durch eine Firewall gefiltert wird. Dies an die Protokollierungslösung erforder-
forderung DER.1.A11), jedoch bei erhöhtem hätte zunächst die Folge, dass für jedes IT- lich sein.
Schutzbedarf auch die „Zentrale Detektion System, das seine Event-Logs der Proto-
und Echtzeitüberprüfung von Ereignismel- kollierungslösung bereitstellen möchte, eine Außerdem muss berücksichtigt werden,
dungen“ (Anforderung DER.1.A15). Damit ist Freischaltung an der Firewall vorgenommen dass die Aktivierung einer Protokollierung
man auf direktem Weg von einem zentralen werden müsste. Außerdem muss berück- auf einem IT-System die Performance des
Log Management hin zu einem Security In- sichtigt werden, dass an der Firewall nun Systems möglicherweise deutlich reduzie-
formation and Event Management (SIEM). eine erhöhte Last zu bewältigen ist. ren kann.Sie können auch lesen
