Hybrid sind heute nicht nur Autos, sondern auch die IT-Infrastrukturen von Unternehmen. Wer hier den Überblick behalten will braucht vor allem eines: Saubere Daten.
Cloud, SaaS, Remote Workspace – die IT-Landschaft in Unternehmen hat im Zuge der digitalen Transformation eine erstaunliche Expansion an den Tag gelegt. Was früher in einen Serverschrank passte, ist zu einem IT-Estate herangewachsen, auf dem sich weit verstreut tausende von Anwendungen, Geräte und Services von hunderten Anbietern tummeln. Viele davon sind am Boden geblieben (On-Premise), immer mehr zieht es in die Cloud und wieder andere finden sich irgendwo dazwischen (Edge). Die IT übernimmt in diesem Szenario die Rolle des Gutsverwalters, der über das Anwesen wacht, Sicherheitslücken an den Grenzen schließt, veraltete IT-Assets beseitigt oder erneuert und dabei immer die Wirtschaftlichkeit bzw. die Kosten im Auge behält.

IT-Estate auf wackeligen Beinen

Ein schönes Bild, das aber leider nicht ganz der Realität entspricht. Der Grund: Es fehlt an Transparenz. IT-Verantwortliche tun sich schwer damit, eine ganzheitliche Sicht auf alle IT-Assets zu gewinnen und den gesamten Umfang der hybriden IT-Infrastruktur im Detail zu verstehen und zu verwalten. Nach einer Umfrage von Symantec [1] finden sich in Organisationen und Unternehmen viermal mehr Anwendungen als den IT-Verantwortlichen bekannt ist.

Können IT-Asset-Managementlösungen (ITAM) solche blinden Flecken auf der IT-Landkarte nicht ausmerzen? Theoretisch ja. Aber auch das smartestes ITAM-Tool ist nur so gut, wie die Daten, mit denen es arbeitet. Und hier liegt das Problem: Die IT-Asset-Daten in Unternehmen sind oft fehlerhaft, unvollständig oder fehlen gänzlich. Dazu gehören EOL/EOS-Daten, Software Vulnerabilities, Versionsnummern, Herstellername, Lizenzierungs-/Paketierungsoptionen und sogar Angaben zum Stromverbrauch. Fehlen diese Bestandsdaten lassen sich grundsätzliche Fragen nicht beantworten. Welche IT-Assets werden wie und von wem genutzt? Wie hoch sind die Kosten und sind diese gerechtfertigt? Welche Assets sind von Software Vulnerabilities betroffen? Wann erreicht welche Version ihr EOL/EOS?

Im Grunde ist es wie mit jedem größeren Bauvorhaben: Mangelt es am Fundament, wackelt später das ganze Haus. Vor allem wenn es schnell gehen muss, kann es leicht zu einer Schieflage kommen. Auf der Baustelle der digitalen Transformation sorgte im letzten Jahr insbesondere COVID-19 für mächtig Druck und katapultierte viele Unternehmen in Sachen IT mit viel Schwung nach vorne. Dieser Spurt zum hybriden IT-Estate hat IT-Verantwortliche vor neue Herausforderungen gestellt, wobei saubere und aktuelle IT-Asset-Daten ganz oben auf der Liste stehen.

Daten-Fundament sanieren

Wie lässt sich ein fehlerhaftes oder lückenhaftes Datenfundament ausbessern? Ganz am Anfang steht hier die Normalisierung der Daten. Die Bestandsdaten werden überprüft und anschließend konsolidiert, um überflüssige oder doppelte Informationen zu eliminieren. Auf diese Weise wird einen gemeinsame IT-Sprache möglich und Namenskonventionen und Versionen sind eindeutig definiert. Wichtig ist, eine sorgfältig kuratierte und aggregierte IT-Taxonomie als Basis, um nach getaner Arbeit auf eine konsistente Nomenklatur blicken zu können.

Viele IT-Profis investieren bereits in bessere IT-Asset-Daten. Laut dem Flexera 2021 State of IT Visibility Report [2] nutzen 71% der Unternehmen ein Drittanbieter-Tool zur Normalisierung der Daten. Einziger Haken: Der Erfolg lässt auf sich warten. In über der Hälfte der Unternehmen (56%) sind weniger als 50% der Bestandsdaten bereits normalisiert, keine Einschätzung möglich oder noch keine Prozesse implementiert.

Sharing is Caring: Weg mit den Datensilos

Ein weiteres altbekanntes Problem sind Datensilos. Allzu oft ist die IT-Management-Strategie fragmentiert, was es schwierig macht, an die Daten zu kommen, die für die strategische Planung essenziell sind. An einigen Fronten läuft die gemeinsame Nutzung von IT-Daten über Abteilungen hinweg schon ganz gut. Insbesondere zwischen den Teams des ITAMs und der Security Operations (SecOps) findet ein regelmäßiger Austausch statt, wenn es darum geht Schwachstellen in Anwendungen zu schließen.

Das ist jedoch nicht in allen IT-Bereichen Standard. Zwischen den Teams für Cloud Management, Enterprise Architecture (EA) und IT Financial Management (ITFM) beispielsweise findet kaum ein Austausch statt. Das kann frustrierend sein und schafft unnötige Hürden bei der Planung und Umsetzung wichtiger IT-Geschäftsinitiativen.

Den Blick (nicht) in den Wolken verlieren

Einen Unterschied gibt es auch zwischen On-Premise und Cloud. Während ein Großteil der Unternehmen sich bei On-Premise-Hardware und Software auf der sicheren Seite wägt, sinkt die Sichtbarkeit bei SaaS und Cloud-Instanzen auf 41% bzw. 46% (Abb 02). Auf den ersten Blick mag das verwundern. Wirbt die Cloud doch mit mehr Kontrolle, höherer Flexibilität und weniger IT-Administrationsaufwand. Führt man sich jedoch die zahllosen und sich ständig verändernden Preis- und Nutzungsmodelle von AWS, Azure, Google, Oracle & Co. vor Augen wird klar, wie komplex das Cloud-Management tatsächlich ist. Eine einzige Monatsrechnung kann Millionen von Einzelposten aufweisen. Gleichzeitig gilt es Rabatte und Sonderaktionen zu berücksichtigen, Workloads nach Feierabend herunterzufahren, Cloud-Sprawl zu beseitigen und die passende Lizenz für Projekte zu bestimmen. Dass 25% der getätigten Cloud-Ausgaben [2] keinen direkten ROI erzielen, stellt daher keine Überraschung dar.

In drei Schritten zu mehr IT Visibility

Grundsätzlich gibt es drei Best Practices für Unternehmen, um ihre IT-Transparenz zu verbessern:

1. Daten, Daten, Daten: Wer sich frühzeitig mit der Pflege von IT-Asset-Daten beschäftigt, profitiert langfristig. Die Frage, wo man in bestehenden IT-Estates am besten mit der Normalisierung beginnt, unterscheidet sich von Unternehmen zu Unternehmen. Auf jeden Fall sollten Bestandsdaten dann umfassend dokumentiert werden, wenn Software- oder Hardware-Ressourcen aktualisiert oder ersetzt werden müssen. Dabei lassen sich Daten konsolidieren und abgekündigte Produktlinien, neueste Versionen und Upgrade-Pfade hervorheben.

2. Verfallsdatum Software und Hardware: EOL/EOS-Daten sind nicht automatisch in IT-Assets hinterlegt. Das macht das Sammeln und Überprüfen der Daten nicht ganz einfach. Viele Softwarehersteller verstecken die Infos in umständlichen Support-Richtlinien, die tief vergraben auf Webseiten veröffentlicht werden. Manche Anbieter kündigen EOL überhaupt nicht an. Fehlt es an automatisierten IT-Managementtools, müssen IT- und Security Manager die Daten erst aufwändig erfassen und in eine zentrale Ansicht bringen. Es gilt, Millionen von Benennungskonventionen für Millionen von Hardware- und Softwareprodukte verschiedener Anbieter zu sichten. Die Arbeit lohnt sich jedoch. Ist bekannt, wo und wann Assets ihr Lebensende erreichen, lassen sich auch entsprechende Updates planen und priorisieren.

3. Ganzheitliche Unternehmensstrategie: Das End-of-Life von IT-Assets hat unternehmensweite Auswirkungen – für die Compliance, für die Sicherheit, die Finanzabteilung, den allgemeinen Geschäftsbetrieb und für die IT. Datensilos helfen hier niemanden. Um also ein einheitliches Management des Lebenszyklus von IT-Assets sicher zu stellen, heißt es eine Single-Source-of-Truth zu schaffen, auf die alle Abteilungen Zugriff erhalten. Eine Konfigurationsmanagement-Datenbank (CMDB) oder ein anderes zentrales Daten-Repository mit konsolidierten, normalisierten Bestandsdaten ist dafür oft die einfachste Lösung.

IT-Verantwortliche müssen als gute Verwalter wissen, was innerhalb ihres IT-Estates vorgeht. Nicht nur um frühzeitig Sicherheitsrisiken durch EOL/EOS-Anwendungen zu entschärfen. Um den Anschluss an die digitale Transformation nicht zu verlieren, heißt es auch das technologische Investment im Sinne einer Technology Value Optimization (TVO) kontinuierlich zu prüfen und zu verbessern. Die freie Sicht auf bestehende IT-Assets ebnet so auch den Weg für kommende Technologien – und den nächsten Schritt in Richtung digitale Transformation.

Quellen und Referenzen:

[1] https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=78261cc6-fd54-4c08-8f98-df2e2720b2b5&CommunityKey=6b86e47e-31d4-4898-95b2-d3e8a135b59d&tab=librarydocuments

[2] https://info.flexera.com/ITV-REPORT-State-of-IT-Visibility-DE?lead_source=PR