Welche Konsequenzen kann ITSM aus Heartbleed ziehen?

Seit einigen Tagen bin ich als Internetnutzer verunsichert. Welcher der vielen Dienst, die ich nutze ist denn nun tatsächlich von Heartbleed (umfangreiche englische Informationen) betroffen? Wo muss ich mein Passwort ändern? Die Frage, die mich etwas abstrakter bewegt: Wie kann es zu so einem Chaos kommen? Ist es rein die Informationspolitik der Unternehmen, die davon ausgehen, dass nur ein Bruchteil ihrer Kunden betroffen ist? Eine offene Stellungsnahme würde zu Verunsicherung und damit Imageverlust führen. Also schweigt man lieber. Oder wissen manche Unternehmen, gar nicht ob und wie sie betroffen sind?

Was kann die IT beitragen?

Das bringt mich zu folgendem Punkt: Welche Voraussetzungen muss eine IT-Organisation erfüllen, um auf eine solche Situation reagieren zu können. Online-Nutzung, Mobilität und Cloud-Computing werden weitere katastrophale Ereignisse wie Heartbleed befördern. Sicherheitslücken und Passwortdiebstahl werden zu unseren Begleitern. Somit besteht die Notwendigkeit schnell die Auswirkung zu ermitteln und die Lücke zu schließen.

Folgende Punkte sind meiner Meinung nach für die IT-Organisation entscheidend:

• Zusammenarbeit zwischen Entwicklung und Betrieb: Eine Organisation muss die Fähigkeit besitzen, Änderungen der Software schnell in den Betrieb zu überführen. Das gelingt in der Regel nur, wenn beide Seiten darin Übung haben und es einen hohen Automatisierungsgrad gibt. Das bedeutet, dass Continuous Integration, Delivery und Deployment zu den grundlegenden Prinzipien in der IT-Organisation gehören muss. Nur wenn immer und immer wieder der Prozess der Inbetriebnahme in der Produktionsumgebung praktiziert wird, wird es auch unter Druck in einer Notsituation funktionieren. Dieses Prinzip firmiert insbesondere unter dem Begriff DevOps.

• Change- und Release-Management: Sind sich Entwicklung und Betrieb einig, dann muss die Prozesswelt der IT-Organisation das auch hergeben. Es verlangt nach leichtgewichtigen und angemessenen Prozessen im Change- und Release-Management. Das Change-Management muss Wege kennen, dass eine Änderung innerhalb kürzester Zeit in den Betrieb überführt werden kann. Und ich glaube nicht, dass das Umgehen des Prozesse das richtige Mittel ist. Eine IT-Organisation braucht eine Vorgehensweise für „Urgent / Emergency Changes“. 

• Configuration-Management: Damit die Auswirkungen auch unter Zeitdruck richtig eingeschätzt werden können, ist die Abbildung der Beziehungen und Abhängigkeiten innerhalb der IT-Landschaft von entscheidender Bedeutung. Die Pflege der CMDB als integrativer Bestandteil aller Prozesse ist die Grundlage dafür. Nur so lässt sich unabhängig vom Wissen der einzelnen Mitarbeiter und in kürzester Zeit einschätzen, was alles betroffen ist. Ob es sinnvoll ist, an dieser Stelle auch zu pflegen, welche Version der einzelnen Komponenten (bei Heartbleed die OpenSSL Bibliothek) verwendet wird, muss man im Einzelfall entscheiden. Auf jeden Fall sollte eine gute Inventarisierungslösung vorhanden sein, die diese Frage beantwortet. Die Integration als Datenquelle in die CMDB wäre natürlich ideal.

• Kommunikation: Eine klare und verbindliche Kommunikation rundet das Verhalten in einer Krisensituation ab. Die Verantwortlichen im Geschäft und die Kunden sind darauf angewiesen und wollen sich darauf verlassen. Es kommt nicht nur darauf an, eine Krise schnell zu meistern. Es kommt darauf an, dass man sich als verlässlicher Partner etabliert.

Ich denke, dass es sich auf jeden Fall lohnt, zu prüfen, wie sich die eigene IT-Organisation in einer solchen Situation verhalten hätte.