Best of IP Insider

www.ip-insider.
de
BEST OF
MANAGEMENT & STRATEGIE
Wird SD-WAN MPLS verdrängen?............................................................................................................................................................. 3

So funktioniert eine DNS-basierte Security-Strategie............................................................................................................. 7
Wunsch und Wirklichkeit bei der Cloud-Migration.....................................................................................................................11
Ohne moderne Workplace-Technologien geht es nicht.....................................................................................................16
Netzwerke als Wegbereiter des Edge Computings................................................................................................................20
Warum das Festhalten an MPLS gefährlich ist.............................................................................................................................24
Technologien für das Internet der Dinge............................................................................................................................................28
Warum am Software-Defined WAN kein Weg vorbei führt...............................................................................................31
PAM: Privileged Account Management..............................................................................................................................................36
Die nächste Ebene der Integration: DataOps................................................................................................................................ 41
Wann, warum und für wen sich Dark Fiber lohnt.........................................................................................................................45
Die Bedeutung der digitalen Transformation für den CIO..................................................................................................50
TECHNOLOGIE & ZUKUNFT
Was ist NBASE-T und auf was kommt es dabei an..................................................................................................................54

PRTG versus Nagios.............................................................................................................................................................................................59
6 Kernanforderungen für sichere SD-WANs.................................................................................................................................65
Die Ära der SD-WAN Router hat begonnen...................................................................................................................................69
Worauf es bei Application Visibility & Control ankommt......................................................................................................72
Schlanke Alternative für weltweite IoT-Konnektivität..............................................................................................................76
Remote Desktop Services in Windows Server 2019.............................................................................................................79
Die Vorteile des Software Load-Balancings...................................................................................................................................83
Ist SD-WAN genauso sicher wie MPLS?............................................................................................................................................88
So behalten Sie im Netzwerk die Übersicht....................................................................................................................................92
Sigfox, LoRA, MIOTY und NB IoT (LTE-M) im Vergleich.........................................................................................................97
So schaffen Sie konsistente und schnelle Firmennetzwerke......................................................................................101
IMPRESSUM Inhaltlich Verantwortliche gemäß § 55 Absatz 2 RStV:

Vogel IT-Medien GmbH Nico Litzel, Florian Karlstetter, Ulrike Ostler, Stephan Augsten, Andreas Donner, Peter Schmitz, Dr. Jürgen Ehneß
Max-Josef-Metzger-Straße 21 (Anschrift siehe Verlag)
86157 Augsburg
Tel.: +49 (0) 821-2177-0 Vogel IT-Medien
Fax: +49 (0) 821-2177-150 Die Vogel IT-Medien GmbH, Augsburg, ist eine 100prozentige Tochtergesellschaft der Vogel Communications Group, Würzburg.
Email: zentrale@vogel-it.de Seit 1991 gibt der Verlag Fachmedien für Entscheider heraus, die mit der Produktion, der Beschaffung oder dem Einsatz von In-
Internet: www.vogel-it.de formationstechnologie beruflich befasst sind. Dabei bietet er neben Print- und Online-Medien auch ein breites Veranstaltungs-
portfolio an. Die wichtigsten Angebote des Verlages sind: IT-BUSINESS, eGovernment Computing, BigData-Insider, CloudCom-
Handelsregister Augsburg puting-Insider, DataCenter-Insider, Dev-Insider, IP-Insider, Security-Insider, Storage-Insider.
HRB 1 19 43
Umsatzsteueridentifikationsnummer: Vogel Communications Group
DE 127502716 Das Fachmedienhaus Vogel Communications Group ist einer der führenden deutschen Fachinformationsanbieter mit rund 100
Fachzeitschriften und 60 Webseiten sowie zahlreichen internationalen Aktivitäten. Hauptsitz ist Würzburg. Die Print- und Online-
Geschäftsführer: Werner Nieberle Medien bedienen vor allem die Branchen Industrie, Automobil, Informationstechnologie und Recht/Wirtschaft/Steuern.
BESTOF Ip-Insider.de
Software-Defined Wide Area Networking vs. Multi-

Protocol Label Switching
Wird SD-WAN MPLS verdrängen?

Unternehmen transformieren ihre Netzwerke, um die
Möglichkeiten von SDN und Technologien wie IoT und KI
zu nutzen. Diesen Transformierungsprozess haben eini-
ge Marktteilnehmer dazu genutzt, um irreführende Infor-
mationen zu verbreiten – so zum Beispiel, dass MPLS nun
überflüssig ist und verschwinden wird. Doch die Realität
sieht anders aus!
SDN und SD-WAN sind Netzwerkansätze, die eine neue Ebene
der Skalierbarkeit und Flexibilität im Netzwerkmanagement
einführen, indem sie die Routing-Steuerelemente von den Da-
tenweiterleitungsaufgaben trennen. Zusammen mit Virtuali-
sierung und Automatisierung versprechen Software-Defined
Networking und SD-WAN als diesbezügliche Untergruppe
eine deutliche Verbesserung der Geschäftsprozesse durch fle-
xiblere, dynamischere und anwendungsorientierte Netzwer-
kressourcen mit zentralisierter Steuerung.
SDN, SD-WAN und andere Netzwerktechniken verändern die
Architektur und den Betrieb von Netzwerken, aber sie erset-
zen nicht die Funktionalität, die MPLS bietet. Es stimmt, dass
SD-WAN dazu beigetragen hat, Netzwerkarchitekturen mit
kostengünstigen Breitband- und öffentlichen Internetverbin-
dungen zu erweitern, um eine hybride Vernetzung zu ermög-
lichen. SD-WAN ersetzt jedoch nicht den Bedarf an höherwer-
tigen MPLS-Verbindungen für kritische Anwendungen, wie
einige OTP- Netzanbie
Anstatt MPLS-Netzwerke im
WAN zu verdrängen, wird SD-
Bild: © sergeyvasutin - stock.adobe.com
WAN in vielen Fällen MPLS für

das Sicherheits- und Traffic-
Management benötigen.
SEITE 3
ter (Over the Top) glauben machen wollen. Im Gegenteil: beide

Technologien werden nebeneinander existieren, und tatsäch-
lich werden SDN und SD-WAN für das Traffic Management
und die Sicherheit auf MPLS angewiesen sein, denn dies sind
genau die Eigenschaften, die MPLS-Netzwerke so zuverlässig
und begehrt gemacht haben.
Neue Datenverkehrsmuster sind im Entstehen

Jüngste Trends wie Media-Streaming, Social Media und die
verstärkte mobile Nutzung haben zu riesigen Datenmengen
geführt, die von unzähligen Endgeräten kontinuierlich in die
Netzwerke fließen bzw. aus diesen gezogen werden. Jetzt, da
IoT-, KI- und Edge-Computing-Umgebungen in Betrieb gehen,
werden die Datenmengen noch größer.
Aktuell werden täglich 2,5 Exabyte an Daten generiert. Cisco
schätzt, dass bis 2021 pro Jahr weitere 24 Prozent hinzukom-
men. Entwicklungen wie Cloud-Computing, Streaming, IoT
und Mobilität haben die Art und Weise, wie Unternehmen An-
wendungen nutzen, verändert und damit auch den Bandbrei-
tenbedarf und die (WAN-) Traffic-Muster.
So gesehen sind Unternehmen in Bezug auf Skalierbarkeit,
Sicherheit und Netzwerk-Performance enorm gefordert. Das
Datenaufkommen in Netzwerken ist nicht prognostizier-
bar; zahlreiche Quellen, verteilt über private und öffentliche
Cloud-Infrastrukturen sowie Datenzentren, befeuern den Da-
tenfluss.
Bei Unternehmen, die zum Betrieb ihrer Netzwerke mehrere
Anbieter nutzen, rücken die Grenzen der Skalierbarkeit sowie
Sicherheitsbedenken deutlich stärker in den Vordergrund. Wie
die Zuverlässigkeit des Netzwerks selbst variieren auch die Si-
cherheitsrichtlinien und -lösungen von Anbieter zu Anbieter.
So bieten zum Beispiel OTP-Netzwerkprovider Sicherheit auf
Anwendungslayer-Ebene, denn das verwendete Netzwerk ge-
hört ihnen nicht. Dadurch sind die von ihnen bewegten Daten
beim Überqueren von Netzwerkgrenzen anfälliger gegen Ver-
letzungen.
Das liegt daran, dass verschiedene Bestandteile der verwen-
deten Netzwerke von unterschiedlichen Serviceanbietern ge-
managt werden. Und die kommunizieren oder kooperieren
oft nicht miteinander. Im Gegensatz dazu kann ein Anbieter, SEITE 4
dem die zugrundeliegende Netzwerkinfrastruktur gehört, ein

sicheres Netzwerk entwerfen, das den Anforderungen des Un-
ternehmens entspricht.
Den Datenfluss smart ausbalancieren

Damit Unternehmen das Optimum aus ihrer Investition in
SD-WAN herausholen, sollten sie sich für einen Provider ent-
scheiden, der MPLS für kritische Anwendungen und Stand-
orte anbietet und Breitband lediglich ergänzend für weniger
kritischen Datenverkehr nutzt. MPLS verfügt über jene Sicher-
heit und Skalierbarkeit, die sich ein modernes Unternehmen
wünscht. Netzwerkprovider, die gleichzeitig Eigentümer des
zugrundeliegenden Netzwerks sind, können solide Schutzvor-
kehrungen gegen die immer häufiger vorkommenden Formen
von Cyberangriffen, wie DDoS (Distributed Denial of Service),
Ransomware und Zero-Day-Bedrohungen, bereitstellen.
Außerdem benötigen Unternehmen heute smarte Netzwerke,

die dem Datenaufkommen anhand der verwendeten Anwen-
dungen Prioritäten zuordnen, sowohl am Point-of-Entry als
auch dort, wo die Daten das Netzwerk wieder verlassen. Intel-
ligente Netzwerke priorisieren jede Anwendung und teilen ihr
eine jeweils angemessene Bandbreite zu. Zum Beispiel unter-
scheidet das Netzwerk zwischen Audio- und Videoanwendun-
gen, die eine höhere Priorität als das gelegentliche Surfen im
Internet erfordern.
Diese verfeinerte Herangehensweise an das Ausbalancieren
des Traffic ist über öffentliche Internet-Anbindungen nicht
möglich, wohl aber durch die Zusammenarbeit mit einem
Provider, der private MPLS-Verbindungen anbietet und diese
rund um die Uhr mit Blick auf Performance, Skalierbarkeit
und Sicherheit überwacht.
MPLS bietet Sicherheit

Ein MPLS-Provider, der gleichzeitig Eigentümer des verwen-
deten Netzwerks ist, sorgt für ein starkes Sicherheitsmoment
durch die Art und Weise wie das Netzwerk aufgebaut ist. Über
private Verbindungen ist der Provider in der Lage, IP-Ad-
ressen von Routern zu trennen und die interne Struktur des
Kern-Netzwerks gegenüber der Außenwelt zu verbergen. OTP-
Anbieter können das nicht. SEITE 5
Darüber hinaus sollte ein MPLS-Provider in der Lage sein, zu-

sätzliche, auf die spezifischen Bedürfnisse eines Unternehmens
zugeschnittene Kontrollen zu liefern. Solche maßgeschneider-
ten Kontrollen helfen üblicherweise bei der Einhaltung von
Compliance-Vorgaben branchenspezifischer Richtlinien oder
unterstützen Standards wie HIPAA (Health Insurance Portabi-
lity and Accountability Act) für den Gesundheitssektor und PCI
DSS (Payment Card Industry Data Security Standard) für den
Einzelhandel oder Firmen, die Kreditkarteninformationen wei-
terverarbeiten.
Fazit: Das Beste aus beiden Welten

Software-Defined Networking ist dabei, die Art und Weise,
wie Netzwerke gemanagt werden, komplett zu verändern. Da-
raus entsteht jene dringend benötigte Flexibilität und Skalier-
barkeit, mit der Unternehmen ihr Serviceangebot ganz nach
Bedarf hoch- oder runterfahren können.
Wenn also Unternehmen ihr Netzwerk mithilfe der SDN-Tech-
nologie modernisieren wollen, werden sie optimale Resultate
mit einem Provider erzielen, der das Beste aus beiden Wel-
ten bieten kann: die Steuerungs- und Kontrollfunktionen von
SDN, kombiniert mit den Funktionen von MPLS.
★ Stefica Divkovic
SEITE 6
Netzwerk-Absicherung mit Fokus auf das Domain

Name System
So funktioniert eine DNS-basierte

Security-Strategie
Das Domain Name System (DNS) ist ein zentraler Punkt je-
des Netzwerks und essentiell für die Kommunikation über
das Internet. Längst haben Cyber-Kriminelle das DNS als
Schwachstelle für Attacken ausgemacht. Doch besser als
das DNS bloß gegen Angriffe zu sichern ist es, das System
aktiv zur Verteidigung einzusetzen!
Die große Mehrheit der Unternehmen wird wohl ihre Cyber-
security-Ausgaben im laufenden Jahr erhöhen – mit Schwer-
punkten auf Netzwerk- und Cloud-Security sowie Security
Analytics. Die Gründe hierfür sind offensichtlich: Es vergehen
kaum ein paar Wochen, ohne dass neue Datenlecks oder ge-
stohlene persönliche Daten durch die Medien gehen.
2017 gab es laut ESG Research [PDF] 612 bekannte Datenlecks,
bei denen 1,9 Milliarden Datensätze entwendet wurden: Eine
unvorstellbar hohe Zahl innerhalb nur eines Jahres.
Zudem werden die Angriffe immer spezifischer. Etwa 80 bis
90 Prozent der neu auftauchenden Malware wurde so konzi-
piert, dass sie exakt auf ein spezielles System zugeschnitten
ist. Und genau das macht es so schwierig, diese Arten von
Angriffen zu entdecken und zu verhindern. Viele bösarti-
ge IP-Adressen oder Web-Domains existieren nur etwa eine
Stunde lang oder kürzer, sodass es quasi unmöglich ist, diese
mit herkömmlichen Sicherheitsmaßnahmen zu blocken oder
überhaupt zu entdecken.
DNS muss keine

Schwachstelle im System
sein. Im Gegenteil; es
kann sogar als vorderste
Verteidigungslinie dienen –
sagt Frank Ruge von
Infoblox.
SEITE 7
Bild: Infoblox
Eine weitere Bedrohung der letzten Zeit ist Ransomware, wo-

von insbesondere Gesundheits- und Verkehrswesen betroffen
waren. Die Wannacry-Ransomware befiel über 300.000 Gerä-
te in 150 Ländern weltweit. Der gesamte durch Ransomware
verursachte Schaden betrug 2017 sieben Milliarden US-Dollar
– ein extremer Anstieg, denn 2016 betrug der Schaden „nur“
eine Milliarde US-Dollar.
Allzweckwaffe Domain Name System

Das Domain Name System (DNS) löst IP-Adressen in Domain-
Namen auf oder umgekehrt. Gibt ein Nutzer eine bestimmte
URL in den Browser ein, ergänzt das DNS die entsprechen-
de IP-Adresse des Servers. Um den Hostnamen zu erkennen,
muss der Server eine DNS-Anfrage starten: der Reverse Loo-
kup spricht die IP-Adresse des Clients an. Damit gilt das DNS
als Telefonbuch für das Internet.
Das in den 1980er Jahren entwickelte DNS verfügt über kei-
nerlei Sicherheitsfunktion und basiert auf der Annahme, dass
Menschen und Unternehmen auch tatsächlich diejenigen sind,
für die sie sich ausgeben. In dieser Zeit konnte man nicht vor-
hersehen, dass die Entwicklung des Internets zum zentralen
Angelpunkt unseres täglichen Lebens auch die Grundlage für
diverse kriminelle Machenschaften bilden würde. Die Proble-
matik liegt an der offenen und verteilten Architektur des DNS.
Cyberkriminelle missbrauchen das altgediente System heute
als Schlupfloch für ihre Aktivitäten. Ob Abgreifen vertrauli-
cher Unternehmensdaten (Data Exfiltration), Einschleusen
von Malware in gestückelten Paketen (Data Infiltration) oder
der Bau von Tunneln, um Daten unbefugt zu transportieren:
Hacker haben das DNS für sich entdeckt, um in fremde Syste-
me einzudringen, Daten zu verschlüsseln, Informationen zu
stehlen – oder gar Daten zu zerstören.
Das DNS verteidigt in vorderster Front

Viele Unternehmen haben die Schwachstelle DNS bereits er-
kannt und versuchen, diese Lücke mit dedizierten DNS Ser-
vern, regelmäßigen Scans und Schwachstellen-Software zu
schließen. Doch über die reine Security-Hygiene hinaus, er-
kennen immer mehr Unternehmen den Wert des DNS als aktive
Verteidigungslinie, eingebettet in ein tiefgreifendes und um-
fassendes Sicherheitskonzept.Dies ist sinnvoll, denn das DNS SEITE 8
ist Bestandteil jeglicher Netzwerkverbindung – egal ob bösar-

tig oder harmlos. Das DNS ist im Netzwerk einzigartig positio-
niert, um als zentraler Kontrollpunkt zu entscheiden, ob eine
gutartige oder eine bösartige Anfrage eingeht.
Vorbeugung und Integration auf allen Ebenen

Eine DNS-basierte Security-Strategie legt Wert auf vorbeu-
genden Schutz. Als verbindendes Element zwischen Nutzern,
Browsern und Webinhalten kann ein sicherer DNS-Security-
Service Security-Policies durchsetzen und verdächtige Ver-
bindungen blockieren. So können beispielsweise Inhalte wie
Pornografie, Glücksspiele und so genannte Hate Sites gefiltert
werden.
Als Mittelsmann jeglicher Netzwerkverbindung ist das DNS

eine allwissende Informationsquelle über 300 Millionen In-
ternet Domain-Namen und 4 Milliarden aktiven IP-Adressen.
Diese können mit den TTPs (Tactics, Techniques and Proce-
dures) der Hacker, Cyberkriminellen und Geheimdienste ab-
geglichen werden. DNS Threat Intelligence kann mit anderen
Open-Source- und weiteren Threat-Intelligence-Feeds sowie
Analytics-Systemen wie EDR (Endpoint Detection and Res-
ponse) und SIEM (Security Information and Event Manage-
ment) integriert werden und so ein ganzheitliches und situati-
onsorientiertes Bild der Sicherheitslage liefern.
DNS Security Services unterstützen die Abstimmung der Stör-

fallbeseitigung indem IOCs (Indicators of Compromise) sowie
IOAs (Indicators of Attacks) mit anderen Sicherheitstechno-
logien wie Firewalls, Netzwerk-Proxys, Endpunkt-Security,
NACs und Schwachstellenscannern geteilt werden und diesen
reichhaltige Kontextinformationen zur Verfügung stellen.
Worauf man bei der Auswahl einer DNS-Security-Lö-

sung achten sollte
Wichtig ist die Fähigkeit, bösartige Domains, URLs sowie IP-
Adressen in Echtzeit zu erkennen und zu blockieren. Integrati-
onen mit DNS Firewalls, DNS Threat Intelligence Services sowie
der weiteren Security-Infrastruktur sollten im Paket enthalten
sein. SEITE 9
Mit Hilfe von Verhaltensanalysen werden DNS-Pakete genaues-

tens untersucht nach Größe, Zeit, Art der Verschlüsselung und
weiterer Anomalien. Nur so kann dem Missbrauch des DNS für
das Abgreifen von Daten ein Riegel vorgeschoben werden. Eine
hybride Architektur bestehend aus On-Premises Appliances
und Cloud-basierten Komponenten bietet optimale Sicherheit
für Zweigniederlassungen, Home Offices und das Arbeiten von
unterwegs.
Das zentrale Management für jeglichen DNS-Datenverkehr ist
ein weiterer elementarer Bestandteil. Nur durch Verwaltungs-
funktionen für Policies, Konfigurationen und Reporting kann
das Security-Team Überblick über sämtliche Alerts, den Sta-
tus der eingeloggten Geräte und potentielle Bedrohungen be-
halten.
Nicht zuletzt sollte auf einen Hersteller gesetzt werden, der
Integrationen und Allianzen mit anderen Security-Hersteller
bietet. In der weitverzweigten Security-Landschaft wird Inte-
gration die Zukunft sein. Nur wenn zwischen den verschiede-
nen Komponenten Interoperabilität herrscht, und alle Zugriff
auf die relevanten Informationen haben, kann Sicherheit in
Echtzeit gewährleistet werden.
Fazit
Beim Thema IT-Sicherheit sollte langfristig gedacht und ge-
plant werden. Nur mit modernsten Security-Lösungen können
Unternehmen sich auch vor zukünftigen Bedrohungen schüt-
zen. Denn was die nächste Welle bahnbrechender Technologi-
en wie Internet der Dinge, autonomes Fahren und künstliche
Intelligenz noch alles an Bedrohungspotential mit sich brin-
gen wird, können wir bestenfalls erahnen.
★ Frank Ruge
SEITE 10
Unternehmen auf dem Weg in die Cloud
Wunsch und Wirklichkeit bei der

Cloud-Migration
Es wird immer einfacher die Vorteile cloudbasierter Wor-
kloads zu nutzen, je ausgereifter die Produkte von Cloud-
Dienstanbietern (CSP) werden. Und wenn diese Vorteile
der cloudbasierten Workloads von Unternehmen richtig
eingesetzt werden, wirkt sich das auch deutlich auf den
Umsatz der Unternehmen aus. Doch die Integration von
Clouddiensten in die Unternehmens-Infrastruktur ist oft
komplex.
Vorstände halten ihre Unternehmen unabhängig von ihrer
Größe und Branche aktuell vermehrt dazu an, das IT-Budget
für Cloud-Dienste zu erhöhen. Gartner erwartet einem aktuel-
len Bericht zufolge, dass der weltweite Public-Cloud-Markt im
Jahr 2018 um 21,4 Prozent von 153,5 Milliarden USD im Jahr
2017 auf insgesamt 186,4 Milliarden USD steigen wird.
Die im SolarWinds IT Trends Report 2018 befragten IT-Experten
gaben jedoch an, dass Cloud und hybride IT die größten Her-
ausforderungen darstellen, wenn es um die Implementierung,
den Rollout und die alltägliche Leistung geht. Diese Tatsache
verdeutlicht den Zwiespalt zwischen der Vorstandsebene, die
vorankommen und die Cloud für Innovation nutzen möchte,
und den IT-Experten, die grundlegenderes, praxiserprobtes
Wissen zu Unternehmensanwendungen, Workloads und den
realistischen Möglichkeiten des Cloud Computings besitzen.
Aus Sicht der Unternehmensleitung bietet die Cloud viele Mög-
lichkeiten: Durch die Umstellung können sowohl Kapital- als
Die Cloud bietet Unterneh-

men zweifellos eine Vielzahl
an Vorteilen – doch so ein-
fach wie es oft scheint, ist
eine Cloud-Migration nicht!
Bild: © Jakub Jirsák - stock.adobe.com

SEITE 11
auch Betriebskosten gesenkt werden, eine höhere Kundenzu-

friedenheit und zusätzliche Einnahmen und Wettbewerbsvor-
teile können durch cloudbasierte oder mobile Anwendungen
erzielt werden. Für viele Geschäftsführer ist die Cloud schlicht
zu verlockend, um sie zu ignorieren – und die IT-Experten ha-
ben letztlich die Aufgabe, die Lücke zwischen Phantasie und
Realität zu schließen.
Die ernüchternde Cloud-Realität

Auch wenn die Vorteile der Cloud-Migration für Unterneh-
men außer Frage stehen, ist die Realität von Migration- und
Managementanpassungen ernüchternd. Wenn die Unterneh-
mensleitung auf größere Investitionen in das Cloud Compu-
ting drängt, sollte man auch entsprechend vorbereitet sein,
um auf die Herausforderungen der Migration hinzuweisen.
Obwohl Cloud Computing gewissermaßen als Workload „in
der Infrastruktur von anderen“ ausgeführt werden kann, un-
terliegt das Rechenzentrum des Cloud-Dienstanbieters den-
selben physischen Gegebenheiten und Ausfallrisiken, wie
vergleichbare Infrastruktur im eigenen Unternehmen. Das
bedeutet, dass IT-Experten weiterhin darauf vorbereitet sein
müssen, Verfügbarkeitsbeeinträchtigungen und auch poten-
ziellen Risiken für Ihre Anwendungen zu minimieren, und da-
bei eine gewisse Übersicht über die ausgelagerten Workloads
zu behalten.
Darüber hinaus neigt Cloud Computing dazu, die zugrunde-
liegende Architektur noch mehr zu verschleiern als vor einem
Jahrzehnt die Shared Colocation. Für IT-Experten bedeutet
das zusätzlichen Arbeitsaufwand, um herauszufinden, wel-
che Fehlerquellen in der Infrastruktur vorliegen und wie die-
se minimiert werden können.
Bei einer übereilten Cloud-Migration werden schnell auch
scheinbar unwichtige Faktoren übersehen, die oft genug zu
großen Hindernissen werden und dem erwarteten Cloud-Er-
folg im Wege stehen. Jedes Unternehmen verfügt über Pro-
zesse und Anwendungen, die ständig Umsätze für das Unter-
nehmen generieren – und damit quasi den Betrieb am Laufen
halten – und die nicht einfach aus- und wieder eingeschaltet
werden können. Die Rechenzentrumsstrategie muss also auf
durchdachten Verfahren und Regeln basieren.
Gleichzeitig sollte nicht unterschätzt werden, dass eine SEITE 12
schnelle Umstellung auf die Cloud häufig mit unzureichen-

den Kenntnissen einhergeht. Wer gerade seine ersten Schrit-
te in Richtung einer gehosteten Umgebung wagt, besitzt ver-
mutlich nur stark isolierte Fähigkeiten. Häufig kennt sich ein
Team beispielsweise mit Hyper-V und vSphere aus, aber nicht
mit Amazon Web Services, Microsoft Azure oder dem komple-
xen Aufbau von SLAs. Und daraus resultiert eine berechtigte
Sorge: Ohne umfassende Recherchen und Kenntnisse zu den
Diensten, Funktionen und den damit verbundenen Kosten
jedes Cloud-Anbieters, kann es einem Unternehmen jedoch
schnell passieren, dass die Servicequalität für den Endbenut-
zer im Vergleich zum aktuellen lokalen Setup drastisch ab-
fällt.
Cloud muss nicht immer die günstigste Wahl sein

Gleichzeitig sollten IT-Experten im Cloud-Zeitalter auch Softs-
kills wie Produkt- und Projektmanagement nicht vernachläs-
sigen und in der Lage sein, den Mehrwert von Cloud-Diensten
deutlich zu machen.
Denn auch wenn die Kosteneffizienz einen der Hauptgrün-
de für die Migration darstellt, ist die Cloud letztendlich nicht
immer die günstigste Option. Jedes Unternehmen wünscht
sich individuelle Lösungen für seine Probleme, doch die füh-
renden Cloud-Dienstanbieter konzentrieren sich stärker auf
Mainstream-Angebote als auf extrem individualisierte An-
gebote, die üblicherweise direkt im Unternehmen entwickelt
werden. Netflix entwickelt beispielsweise ein eigenes Toolset,
um die handelsüblichen Dienste von AWS zu ergänzen. Bei
„einfachen“ individuell gehosteten Diensten ist immer eine
Kostenabwägung wichtig.
Die Lücke schließen: Best Practices für die Bereitstel-

lung in der Cloud
Die Vorteile und Möglichkeiten des Cloud Computings bringen
mehr Vorstandsmitglieder als je zuvor dazu, sich mit dem Re-
chenzentrum zu beschäftigen. Letztendlich interessiert sich
der Vorstand jedoch weniger dafür, wo Dienste herkommen,
als dafür, wie sie die Kundenzufriedenheit verbessern kön-
nen.
Die wichtigste Aufgabe eines IT-Experten besteht nun darin,
eine realistische Migrationsstrategie zu entwerfen, die gleich-
zeitig das Unternehmen voranbringt und ein gleichbleibend SEITE 13
gutes Kundenerlebnis sicherstellt. Die folgenden Best Practi-

ces helfen dabei, sich darauf vorzubereiten:
Fähigkeiten: In der heutigen IT-Landschaft ist es enorm

wichtig, sich regelmäßig im Hinblick auf neue Technologi-
en und Cloud-Dienste weiterzubilden, um so die Kontrolle
über die eigene berufliche Laufbahn zu behalten. IT-Exper-
ten sollten eine breite Palette an Fähigkeiten und Kenntnis-
sen erwerben und es vermeiden, nur auf einen Anbieter zu
setzen. Stattdessen ist es sinnvoll, unterschiedliche Ange-
bote und Dienste sowie deren jeweilige Vorteile gut zu ken-
nen, um das Beste aus der Cloud herauszuholen. Auch das
Wissen zu abstrakten Technologien wie Containern und Mi-
croservices ist wichtig. Wer seine technischen Kompeten-
zen nicht ständig erweitert, riskiert bald ins Hintertreffen
zu geraten.
Baselines: Ein Spruch sagt: „Was man nicht weiß, macht

einen nicht heiß.“ In unserem Fall könnte man sagen:
Wer nicht weiß, was „normal“ ist, kann auch nicht sagen,
wann etwas nicht stimmt. Um die Anwendungs- oder Inf-
rastrukturanforderungen in der Cloud genauer feststellen
zu können, benötigt man umfassende Überwachungs- und
Verwaltungslösungen, die Baselines zu Performance und
Ressourcenauslastung erstellen können. Zugleich können
diese Baselines auch dazu beitragen, die aktuelle Effizi-
enz des Rechenzentrums zu dokumentieren, um später im
Vergleich die Vorteile eines zur Cloud migrierten Projekts
messen zu können. Hat beispielsweise die Anwendung hin-
sichtlich Verfügbarkeit, Skalierbarkeit oder Nutzung vor-
definierter Dienste von CSPs zugelegt? Wurde Zeit bei den
Entwicklern und IT-Mitarbeitern eingespart?
Nur wer sein aktuelles Rechenzentrum sehr genau kennt,

kann auch die Änderungen nach einer Umstellung auf die
Cloud und/oder notwendigen Abweichungen von einem Mig-
rationsplan erfolgreich kommunizieren.
Zusammenarbeit: Zusammenarbeit hat viele Gesichter. Die in

der Cloud erforderlichen Technologien und Fertigkeiten – von
der Geschäftsstrategie über das Projektmanagement bis hin
zum Vertrieb – sind so vielfältig, umfangreich und schnell-
lebig, dass es umso wichtiger wird, Communities und ge-
schäftliche Beziehungen zu nutzen und eine Möglichkeit zu SEITE 14
finden, um all diese Informationen an einem zentralen Ort

zusammenzuführen. Durch die Nutzung von Cloud-Diensten
wird außerdem sichergestellt, dass Projekte auf verschiedene
Standorte und Regionen verteilt werden. IT-Abteilungen, die
alle Informationen rund um die Performance-Anforderungen
von Anwendungen und Workloads zentral speichern, können
ihr Budget effektiver nutzen und die entsprechenden Fähig-
keiten erfolgreicher aufbauen.
Fazit
Die Cloud bietet Unternehmen zweifellos eine Vielzahl an
Vorteilen, die auch die Vorstandsebene nicht mehr ignorieren
kann. Auf den ersten Blick mag es scheinen, als könne man
eine vorhandene Infrastruktur einfach unverändert in die
Cloud übertragen, doch aus Sicht der IT sind deutlich mehr
Vorüberlegungen und strategische Erwägungen erforderlich,
als man anfangs denken könnte. IT-Experten haben daher die
wichtige Aufgabe, zu kommunizieren, was durch die Migra-
tion zur Cloud realistischerweise erreicht werden kann – so-
wohl hinsichtlich der möglichen Vorteile als auch aus Sicht
des IT-Managements und in Bezug auf die Servicebereitstel-
lung. ★ Thomas LaRock
SEITE 15
Worauf IT-Abteilungen bei der „Workforce Trans-

formation“ achten müssen
Ohne moderne Workplace-

Technologien geht es nicht
Wer sein Geschäft nicht transformiert, verliert Kunden.
Wer seine Arbeitsplätze nicht transformiert, Mitarbeiter.
An der Unterstützung flexibler Arbeitsmodelle führt für
Unternehmen kein Weg mehr vorbei. Für ihre IT-Abteilun-
gen bringen sie allerdings neue Herausforderungen mit
sich. Und das betrifft vor allem die Sicherheit.
Die Digitalisierung verändert nicht nur Geschäftsprozesse und
Geschäftsmodelle. Auch die Arbeitswelt wandelt sich nach-
haltig. Mobilgeräte, die breite Verfügbarkeit des Internets und
digitale Kommunikationsmittel wie Messenger, Video-Chat-
Systeme oder Conferencing-Tools ermöglichen neue flexible
Arbeitsmodelle und verdrängen damit zunehmend die traditi-
onellen Strukturen.
„Die Arbeit“ ist immer weniger ein Ort, an den man geht und
an dem man sich acht oder neun Stunden am Tag aufhält. Sie
wird zunehmend zu einer Tätigkeit, der man jederzeit und über-
all nachgehen kann, sei es unterwegs, im Home-Office oder
an irgendeinem anderen Ort seiner Wahl. So vollzieht sich im
Rahmen der Digitalen Transformation auch eine „Workforce
Transformation“. Ihr können sich die Unternehmen genauso
wenig verweigern wie der generellen Digitalisierung – denn
auch hier riskieren sie bei einer Nicht-Transformation erhebli-
che Wettbewerbsnachteile.
Im Wettbewerb um qualifizier-
te Nachwuchskräfte müssen
Unternehmen dafür sorgen,
dass individuelle Entfaltung
und anspruchsvolle Tätig-
keit miteinander kombiniert
werden können, sagt Marcus
Reuber von Dell. (
Bild: Dell
SEITE 16
Höhere Produktivität und zufriedenere Mitarbeiter

Das fängt bei den Produktivitätssteigerungen an, auf die sie
in solch einem Fall verzichten würden. Können die Beschäf-
tigten auch auf Geschäftsreise im Zug oder im Flughafen-Ter-
minal arbeiten, werden Übergangs- und Wartezeiten besser
ausgenutzt. Im Home-Office sind Mitarbeiter oft konzentrier-
ter als im Büro und deshalb auch effizienter. Können sie an
Orten arbeiten, die sie als besonders inspirierend empfinden,
steigt ihre Kreativität. Haben sie die Möglichkeit, jederzeit und
überall sofort loszulegen, wenn ihnen eine gute Idee kommt,
geht keine Zeit verloren. Und je flexibler sie ihre Arbeit gestal-
ten können, desto mehr fühlen sie sich wie ihr eigener Chef;
und umso zufriedener, motivierter und produktiver sind sie.
Außerdem droht Unternehmen bei der Nicht-Transformation

der Verlust von Know-how. Die Mitarbeiter wissen natürlich
um die Möglichkeiten der modernen Technologien. Sie erwar-
ten von ihrem Arbeitgeber zunehmend, dass er sie auch aus-
schöpft, um ihren individuellen Vorstellungen und Lebens-
entwürfen Rechnung zu tragen. Tut er das nicht, besteht die
Gefahr, dass sie sich nach einem neuen Arbeitgeber umsehen,
der ihnen flexible Modelle für Arbeitsplatz, Arbeitszeiten und
Arbeitsorganisation bietet. In Zeiten notorischen Fachkräfte-
mangels kann es verheerende Folgen haben, wenn es einem
Unternehmen nicht gelingt, seine Know-how- und Leistungs-
träger an sich zu binden.
Ähnliche Folgen hat eine Nicht-Transformation im „War for

Talents“ – dem harten Wettbewerb um die begehrten Nach-
wuchskräfte. Die junge Generation, die mit dem Internet und
seinen flexiblen Möglichkeiten aufgewachsen ist, legt beson-
ders großen Wert auf flexible Arbeits- und Lebenszeitmodel-
le, die Freiräume für eine individuelle Lebensgestaltung las-
sen. Die einen wollen vielleicht eine Familie gründen, andere
pflegen Angehörige, wieder andere verfolgen ein individuelles
Projekt oder möchten sich sozial engagieren. Wollen Unterneh-
men junge und kreative Nachwuchskräfte gewinnen, müssen
sie dafür sorgen, dass sie individuelle Entfaltung und einen
anspruchsvollen Beruf miteinander kombinieren können.
Mehrschichtiger Ansatz verspricht bestes Schutzniveau

Der Einsatz moderner Arbeitsplatztechnologien ist für Unter-
nehmen schlicht alternativlos. Für ihre IT-Abteilungen brin- SEITE 17
gen sie aber neue Herausforderungen mit sich. Die Mobilge-

räte und die Desktop-PCs im Home-Office, die die flexiblen
Arbeitsmodelle unterstützen, befinden sich außerhalb des
Unternehmensnetzwerks. Die Geräte selbst und die Unterneh-
mensdaten, die mit ihnen verarbeitet und gespeichert werden,
sind dadurch schwieriger zu verwalten und vor allem abzusi-
chern.
Das beste Schutzniveau verspricht ein mehrschichtiger An-

satz, der verschiedene Sicherheitsmaßnahmen auf unter-
schiedlichen Ebenen miteinander kombiniert. Zunächst soll-
ten die Endgeräte auf Hardware-Ebene geschützt werden.
Das ist vor allem für Mobilgeräte wichtig, denn sie können
im Gegensatz zu Home-Office-Desktops verloren gehen oder
gestohlen werden. Mit Hardware-basierten Lösungen für die
Authentifizierung lässt sich der Zugriff seitens Findern oder
Dieben auf die Daten der Geräte unterbinden. Dazu zählen
etwa Fingerabdruck- und Smartcard-Lesegeräte oder Kameras
mit Iris-Scan. Eine Mehr-Faktor-Authentifizierung, die solche
Features untereinander oder mit zusätzlichen Methoden wie
einer PIN-Eingabe verknüpft, erhöht die Sicherheit noch ein-
mal zusätzlich.
Zudem müssen die Mobilgeräte und Home-Office-PCs natür-

lich vor Schadsoftware geschützt werden. Als zeitgemäß gel-
ten Anti-Viren- und Anti-Malware-Lösungen, die künstliche
Intelligenz und dynamische mathematische Modelle nutzen,
um Dateien vor ihrer Ausführung zu analysieren und so zu er-
mitteln, ob diese sicher sind. Dadurch sind sie den herkömm-
lichen verhaltens- oder signaturbasierten Systemen deutlich
überlegen. Diese können nur auf bereits bekannte Verhaltens-
weisen oder Muster zurückgreifen und damit nur reagieren
statt agieren. Das macht sie gegen Zero-Day-Bedrohungen und
gezielte Angriffe wie Spear Phishing und Ransomware zuneh-
mend wirkungslos.
Für einen noch tiefergehenden Schutz vor Schadsoftware

können die KI-basierten und mathematischen Erkennungs-
methoden um weitere, gestaffelte Maßnahmen ergänzt wer-
den. Dazu zählen etwa Web-Schutz-Funktionen, hostbasierte
Firewalls oder Festplattenverschlüsselung. SEITE 18
Spezielle Unternehmensplattformen für digitale Arbeits-

plätze
Darüber hinaus sollten die Zugriffe der Endgeräte auf Unter-
nehmensressourcen abgesichert und die Verwendung von
mobilen Apps und Cloud-Diensten kontrolliert werden. Die
beste Möglichkeit dazu bieten spezielle Unternehmensplatt-
formen, die gezielt für die Einrichtung sicherer digitaler Ar-
beitsplätze konzipiert sind. Sie erlauben es Endnutzern, über
ein Selbstbedienungs-Portal ihr individuelles Portfolio aus
Unternehmensanwendungen sowie freigegebenen Apps und
SaaS-Lösungen zusammenzustellen und per Single-Sign-On
auf alle davon zuzugreifen.
Eine Kombination aus Identitäts- und Gerätemanagement-
Funktionen sorgt dabei für Datensicherheit. Bevor die Endge-
räte Zugriff erhalten, werden sie auf ihre Übereinstimmung
mit zuvor definierten Richtlinien geprüft. Für besonders ge-
schäftskritische Daten lassen sich dabei etwa biometrische
Identifizierungsverfahren oder Multi-Faktor-Authentifizie-
rung festlegen. Dieser Ansatz gibt Unternehmen die Möglich-
keit, nicht nur ihre eigenen, sondern auch BYOD-Geräte ihrer
Mitarbeiter einfach zu verwalten und sicher zu bedienen.
Fazit
Mit dem richtigen Ansatz und den richtigen Lösungen können
Unternehmen nicht nur die Kosten einer Nicht-Transformation
vermeiden. Sie halten auch die Kosten für die Transformation
so niedrig wie möglich.
★ Marcus Reuber
SEITE 19
Edge-Netzwerke im Fokus
Netzwerke als Wegbereiter des

Edge Computings
Ohne funktionierende Netze gibt es kein Edge Computing!
Deshalb ist es gerade im Edge-Bereich so wichtig, Anoma-
lien identifizieren zu können. Ein umfassendes Monitoring
mit aussagekräftiger Visualisierung ist daher unerlässlich,
wenn Edge Computing moderne IT-Infrastrukturen beflü-
geln soll!
Man stelle sich einmal vor, wie es wäre, mit der Geschwindig-
keit einer Einwahlverbindung Milliarden von Geräten zu ver-
netzen oder autonome Fahrzeuge zu steuern. Die Geräusch-
kulisse beim Verbindungsprozess (wer erinnert sich noch an
diese Geräusche?) wäre schon schlimm genug, aber die Latenz
wäre noch viel schlimmer.
Damit in der digitalen Welt alles funktioniert, kommt heute
das Edge Computing ins Spiel – und Netzwerke gehören dabei
zu den wichtigsten Wegbereitern. Der Rand (Edge) des Netz-
werkes muss schnell und sicher sein. Damit das möglich ist,
muss man über die richtige Netzwerkinfrastruktur verfügen,
den Datenverkehr optimieren und dafür sorgen, dass Patches
immer auf dem aktuellen Stand sind.
Das Internet ist nicht mehr, was es einmal war

Das Wachstum des Edge Computings zeugt von einer verbes-
serten Wertschätzung des Internets und somit auch des Netz-
werks. Man kann es sich ganz ähnlich wie den eigenen
Ohne Edge Computing geht

es in Zeiten von IoT nicht
Bild: © AliFuat - stock.adobe.com
mehr – und ohne vernünftig

überwachte Netzwerke klappt
Edge Computing nicht!
SEITE 20
Datentarif vorstellen: Auch wenn viele Tarife mittlerweile als

unbegrenzt beworben werden, gibt es Situationen, in denen
eine zu hohe Nutzung mit einer verlangsamten Geschwindig-
keit bestraft wird.
Schließlich muss genug Spielraum für Datenverkehr in Notfäl-
len bleiben – und für mehrere Millionen Dollar schwere Kun-
den. Wenn die Endnutzer dieser Großkunden Verbindungs-
probleme haben, kann das schnell zu enormen geschäftlichen
Schwierigkeiten führen.
Im Edge-Bereich vervielfachen sich die Probleme, daher ist
eine robuste Netzwerkinfrastruktur zur Bewältigung der
Nachfrage unverzichtbar. Zu diesem Zweck bauen sowohl tra-
ditionelle Netzwerkbetreiber als auch neue, unkonventionelle
Akteure weltweit Glasfasernetze aus, um einen Mehrwert zu
bieten und einen Return of Invest (ROI) sicherzustellen.
Außerhalb der wichtigsten Märkte gibt es in ländlichen Gegen-

den, in denen sich der Glasfaser-Ausbau schwieriger gestaltet,
Herausforderungen und neue Möglichkeiten. Hier kommen
Mobilfunknetze ins Spiel und eröffnen Telekommunikations-
anbietern einen riesigen Markt. Der dezentrale Charakter des
Edge Computings lässt sich gut mit der Verteilung von Mobil-
funkmasten verbinden. Zahlreiche IoT-Geräte nutzen Mobil-
funkdaten.
Derartige Bemühungen zum Schaffen größerer und besserer
Netzwerke sind keine neue Entwicklung, doch für eine höhe-
re Bandbreite muss auch der Datenverkehr optimiert werden.
Der Datenverkehr sollte so gesteuert werden, dass wichtige
und dringende Daten immer durchgestellt werden.
Edge-Sicherheit ist besser

Das Edge-Gateway fasst neue Sicherheitsmaßnahmen per Ver-
schlüsselung oder X.509-Zertifikaten zusammen, die wie ein
Protokollübersetzer mehrere Geräte in ein einzelnes Protokoll
konvertieren können. Man kann sich das Edge-Netzwerk wie
ein kleines privates Netzwerk mit individuellen Authentifi-
zierungen vorstellen, in dem nichts zurück in die Cloud oder
ans Unternehmen geleitet werden muss. Diese Kommunikati-
onsebene verhindert viele Man-in-the-Middle-Angriffe, da die
Verschlüsselung direkt im Edge-Bereich stattfindet. SEITE 21
Für die Langstreckenkommunikation kommunizieren die

Edge-Gateways über eine Orchestrierungsebene miteinander
oder auch mit einer zentralen Cloud-Plattform.
Ohne Patching geht es nicht

Edge geht nur mit einem sicheren Netzwerk – und es gibt kein
sicheres Netzwerk ohne Patching. Auf Edge-Geräten und -Sen-
soren muss immer die neueste Version der Firmware instal-
liert sein. Fast jeden Tag gibt es einen neuen ausgeklügelten
Angriff und Systeme müssen darauf vorbereitet und richtig
geschützt sein.
Remote-Funktionen zum regelmäßigen Updaten aller End-
punkte sind beim Edge-Patching besonders wichtig. Bei eini-
gen IoT- Geräten war das nicht immer möglich: Die Sicherheit
stand nicht im Vordergrund und das Gerät musste für Updates
extra angeschlossen werden. Beim Edge Computing wird mitt-
lerweile mehr Wert auf die Sicherheit gelegt und Unternehmen
sollten immer einen Schritt voraus sein, um Sicherheitsverlet-
zungen zu verhindern.
Ein Netzwerk mit Aussicht

Aufgrund ihrer verschachtelten Infrastruktur und ihres ver-
teilten Charakters sind Edge-Netzwerke sehr komplex. Visuel-
le Dashboards sind daher besonders hilfreich, um diese Um-
gebungen zu verwalten. Man kann den Status auf einen Blick
überprüfen und die Netzwerküberwachung unkompliziert vi-
sualisieren.
So finden sich schnell Antworten auf Fragen wie: Sind die
Load-Balancer aktiv? Was ist die Anwenderbasis in diesem
Moment? Wie sieht der Stack in meiner Anwendung aus? Mit
diesen Antworten wird es einfacher, Implementierungen zu
visualisieren und eine bessere Netzwerkinfrastruktur zu ge-
stalten und zu organisieren.
So kann man beispielsweise bei Cisco ASA unkompliziert fest-
stellen, ob IPSec-Tunnel betriebsbereit sind oder nicht. Man
muss sich nicht darauf verlassen, dass man eine VPN-Verbin-
dung erstellt hat und weiß, wann diese abreißen wird. Mit ei-
nem umfassenden Monitoring-Dashboard lassen sich Remote-
Verbindungen und standortübergreifende Verbindungen und
Tunnel visualisieren und überprüfen. SEITE 22
Funktionen zur Netzwerküberwachung ermöglichen es bei-

spielsweise, die möglichen Routen des Datenverkehrs sowie
Kommunikationsmuster zu erkennen. Man kann erkennen, ob
Latenzen auftreten und welches Gerät sie verursacht. Wenn es
um mehrere Geräte geht, ist es wichtig zu wissen, woher der
Datenverkehr kommt, um sicherzustellen, dass die richtigen
Richtlinien und Protokolle aktiv sind.
Visuelle Dashboards spielen eine wichtige Rolle, wenn es um
Informationen zu Stacks geht, da diese bekanntermaßen voll-
ständig redundant sein sollten. Wenn diese Informationen je-
doch nicht visualisiert werden, steht man vor der schwierigen
Aufgabe, Hunderte von Kabeln zu kontrollieren.
Regeln für das Edge-Computing

Auch im Edge-Bereich ist es sehr wichtig, Anomalien identi-
fizieren zu können. Dabei sollte die Sicherheit an erster Stelle
stehen und auch die Netzwerkauslastung spielt eine zentrale
Rolle, wenn es darum geht, den Datenverkehr zu optimieren,
neue Protokolle zu erstellen und Geräte oder Redundanz hin-
zuzufügen.
Wer sein Edge-Netzwerk nicht überwacht, sieht Probleme
nicht, bis es zu spät ist.
★ Destiny Bertucci
SEITE 23
Barrieren für die Nutzung von SD-WAN durchbrechen
Warum das Festhalten an MPLS

gefährlich ist
Heutzutage müssen die meisten Unternehmen nicht mehr
davon überzeugt werden, sich digital aufzustellen, um ihre
Agilität zu verbessern. Die dringlichere Frage ist, wie und
wann sie ihr Vorhaben auch umsetzen. Das starre Festhal-
ten an MPLS-Netzen ist im Zeitalter Cloud-basierter Unter-
nehmen sicher der falsche Weg! Software-Defined heißt
dagegen das Zauberwort.
Die Cloud ist hier und heute in vollem Einsatz. Unternehmen,
die sie nutzen, können aus neuen Geschäftsmodellen neue
Umsatzquellen generieren, effizientere Geschäftspraktiken
einführen und innovativere Wege der Interaktion mit ihren
Kunden vorantreiben. Kein Wunder also, dass viele unterneh-
menskritische Anwendungen inzwischen in die Cloud ver-
schoben werden.
Doch da die Geschwindigkeit bei der Entwicklung von Cloud-
Anwendungen zunimmt, konnten viele Unternehmen mit dem
Wandel nicht Schritt halten. Ihre bestehenden Weitverkehrs-
netze (Wide Area Networks; WANs) sind oft zu langsam, un-
flexibel, teuer und nicht auf eine optimale Cloud-Performance
ausgelegt.
Während viele Unternehmen daran interessiert sind, ihr Netz-
werk zu überdenken und mit einem SD-WAN-Overlay zu kom-
binieren, wirft jede Modifikation dieser kritischen Infrastruk-
tur einige grundlegende Fragen auf:
• Wie problematisch wird die Implementierung sein und wie
wird sie mit der bestehenden Infrastruktur funktionieren?
Bild: © momius - stock.adobe.com
Will man auch in

Zukunft erfolgreich
global agieren, ist
es Zeit, MPLS-
Dienste abzulösen!
SEITE 24
•W
ie sicher kann ein Edge-to-Edge-Netzwerk wirklich sein?
• Wie hoch ist die Visibilität der IT-Entscheidungsträger über
das gesamte Netzwerk? Inwiefern können sie Service Level
gewährleisten?
• Ist die eingesetzte Lösung auf zukünftige technologische In-
novationen, die sich später durchsetzen könnten ausgerich-
tet?
•U
nd vor allem, wie nahtlos integriert sind das zugrunde
liegende neue Hybrid-Netzwerk und das SD-WAN-Overlay
wirklich?
Diese Fragen sind nicht ungewöhnlich. Die Branchenanalys-
ten von IDC vor einiger Zeit eine Umfrage bei über 1.200 Un-
ternehmen durchgeführt und IT-Entscheider gebeten, die drei
größten Herausforderungen des WAN zu benennen, denen sie
sich gegenübersahen. Das Whitepaper Predictable Internet
Connectivity and Investment Protection beschreibt die Ergeb-
nisse von IDC im Detail. Von Sicherheitsbedenken bis hin zur
Notwendigkeit besserer Analysen gaben die Teilnehmer einige
Bedenken an, die sie bisher bei der Umsetzung zurückhielten.
Der Bericht liefert wertvolle Informationen, anhand derer IT-
Entscheider sich bei der Einführung eines SD-WANs orientie-
ren können. Der Schwerpunkt liegt dabei auf den zentralen
Problemstellungen und deren Behebung.
Was spricht dafür, was dagegen?

Die Vorteile von SD-WAN sind zahlreich, aber viele Unterneh-
men würden dennoch lieber an dem festhalten, was sie ken-
nen, nämlich Multi-Protocol Label Switching (MPLS). Obwohl
kostspielig und unflexibel bietet MPLS zumindest immer ei-
nen deterministischen und berechenbaren Standard. Und da
IT-Entscheider seit Jahren IT-Budgets in MPLS-WANs in ihren
Netzwerken investiert haben, zögern sie verständlicherweise,
diese Assets über Nacht abzuschreiben.
Da Unternehmen sich nicht sicher sind, ob ein SD-WAN die

gleiche Leistung wie ein MPLS-Netzwerk leisten kann, sind
sie vorsichtig und verpassen möglicherweise den Anschluss.
Sie wollen kein Early Adopter sein und die entsprechenden Ri-
siken tragen und sind sich nicht sicher, ob sie in virtuelle Rou- SEITE 25
ter investieren sollten. Sie warten daher ab, was geschieht, be-
vor sie ihren nächsten Schritt tun. Doch gleichzeitig ist auch
ihr Anspruch, die digitale Transformationswelle zu reiten,
ebenfalls hoch.
Einige Führungskräfte beginnen, das große Potenzial von SD-

WANs zu begreifen und erkennen den Wert, den die Technolo-
gie im Rahmen ihrer gesamten Unternehmenstransformation
darstellt. Visteon beispielsweise, ein führender Automobil-
zulieferer für innovative Cockpit-Elektronik und autonomes
Fahren, verfolgt einen ähnlichen Ansatz. Der Übergang zu
einer Cloud-First-Strategie wurde durch die bestehende un-
flexible Infrastruktur angestoßen, da diese Innovationen und
das rasante Geschäftswachstum beeinträchtigten. Mit einer
SD-WAN-Lösung konnte Visteon schnell in einen agilen Mo-
dus wechseln, und damit das Kundenerlebnis, die Unterneh-
mensflexibilität und die Expansion in verschiedene Regionen
steigern, ohne die IT-Sicherheit zu beeinträchtigen.
SD-WAN ist wirtschaftlich sinnvoll

Hier ein Beispiel zur Erläuterung, ob SD-WAN auch wirt-
schaftlich sinnvoll ist: Ein Unternehmen will sein Niederlas-
sungsnetz um fünf weitere internationale Standorte erwei-
tern. Die Cloud ermöglicht es dem Unternehmen, innerhalb
weniger Minuten multiple Nutzer seinem SaaS-Angebot hin-
zuzufügen. Das Unternehmen sollte aber auch weitere Aspek-
te berücksichtigen, die für das Unternehmensnetzwerk von
entscheidender Bedeutung sind – nämlich Sicherheit, integ-
rierte Service Levels, optimierte User Experience und Bereit-
stellungsrichtlinien für Remote- und Büromitarbeiter.
Diese Anforderungen führen zur Implementierung eines hyb-
riden SD-WAN-fähigen Netzwerks. Denn es schafft eine agile,
flexible Plattform für geschäftliches Wachstum und ermög-
licht gleichzeitig ein nahtloses Management des Netzwerks
durch ein enges Zusammenspiel von Overlay und Underlay.
Darüber hinaus führt das neue Netz zu erheblichen Kosten-
einsparungen, da es dem IT-Team ermöglicht, den Netzwerk-
verkehr zu managen und sogar Anwendungen weltweit in
Echtzeit bereitzustellen. Was ein globales Unternehmen mit
Tausenden von Mitarbeitern früher Tage oder Wochen be-
schäftigt hätte, kann heute in einer Stunde umgesetzt werden. SEITE 26
Den ersten Schritt machen

Während sich WANs dahingehend entwickeln, Anwendun-
gen direkt aus der Cloud zu unterstützen, kann ein SD-WAN
zukunftsorientierten Unternehmen nicht nur Agilität, Ska-
lierbarkeit und Netzwerkintelligenz bieten, sondern auch die
Flexibilität, bereits für die digitale Transformation getätigte
Investitionen für zukünftige Expansionen mitzunehmen.
Schließlich geht es bei einer SD-WAN-Bereitstellung nie nur
um das Netzwerk, sondern darum, die Grundlagen für eine
organisationsweite Digitalisierung zu schaffen. Für zukunfts-
orientierte Unternehmen wie DHL, das Spitzentechnologien
einsetzt, um seinen CO2-Ausstoß zu reduzieren und die Zu-
kunft der gesamten Branche zu gestalten, ist das Netzwe
Um diesen geschäftskritischen Wert zukunftssicher zu ma-
chen und den Erfolg von digitalen Disruptoren wie Visteon
und DHL zu wiederholen, arbeiten immer mehr Unternehmen
mit globalen Netzwerkspezialisten zusammen. Sie können
IT-Entscheidungsträgern helfen, die Barrieren der SD-WAN-
Einführung zu überwinden und sie durch die Komplexität zu
leiten, die auf dem Weg dahin entstehen könnte.
★ Bob Laskey
SEITE 27
IoT-Prognosen von Thingstream
Technologien für das Internet

der Dinge
Das Internet of Things (IoT) bietet enormes Potenzial für
industrielle Anwendungen und wird auch in diesem Jahr
weiter Top-Thema sein. Thingstream erwartet, dass sich
der Nebel im Konnektivitäts-Dschungel jetzt zügig lichten
wird und sich praxistaugliche, einsatzbereite Lösungen
durchsetzen werden.
Die Einführung von Consumer-orientierten und industriellen
IoT-Anwendungen (IIoT), die über das Internet der Dinge be-
reitgestellt werden, wird 2019 schnell voranschreiten. Derzeit
wird das Internet der Dinge von Consumer-Anwendungen do-
miniert. GSMA Intelligence prognostiziert, dass bis 2025 die
Anzahl industrieller IoT-Verbindungen höher sein wird als im
Consumer-Bereich, mit 13,8 Milliarden gegenüber 11,4 Milliar-
den.
Typische industrielle Einsatzgebiete sind Fertigungsautoma-
tisierung und Anlagensteuerung basierend auf M2M-Kommu-
nikation (Machine-to-Machine). IoT-Anwendungen werden
bereits in diesem Jahr zunehmend auch in den Bereichen Ver-
kehrssteuerung, Logistik und autonomes Fahren sowie Um-
weltschutz und Landwirtschaft zum Einsatz kommen.
Die Fortsetzung der IoT-Erfolgstory im Jahr 2019 wird davon
abhängen, ob globale, grenzüberschreitende mobile IoT-Kon-
nektivität zu vertretbaren Kosten zur Verfügung gestellt wer-
den kann. Das derzeit fragmentierte Konnektivitätsangebot
und die sich größtenteils erst im Aufbau befindliche Infra-
struktur stellte bislang eine wesentliche Hürde auf dem Weg
zu flächendeckenden IoT-Anwendungen dar.
Gerade in diesem Jahr wird

sich die Frage stellen, wie viel
Aufwand überhaupt nötig ist,
um kompakte Nachrichten
von stationären und mobilen
„Dingen“ an IoT-Plattformen
anzubinden.
Bild: © ZinetroN - stock.adobe.com SEITE 28

Mehr Licht in den Konnektivitätsdschungel bringen

Für die Entwicklung neuer IoT-Geräte wird vor allem eine ener-
gie- und kosteneffiziente Konnektivitätstechnologie erforder-
lich sein, die Interoperabilität, Sicherheit und Skalierbarkeit
bietet. Aktuell gibt es verschiedene Ansätze, was den Über-
blick etwas erschwert. Die Betreiber sollten daran arbeiten,
mehr Transparenz in den Markt zu bringen und realistische
Prognosen bezüglich Abdeckung und grenzüberschreitendem
Einsatz zu liefern.
Zu den derzeit führenden lizenzierten LPWAN-Technologien

(Low Power Wide Area Network) zählen die zwei konkurrie-
renden Standards NB-IoT (Narrowband-IoT) und Cat-M1, ba-
sierend auf dem LTE/4G-Mobilfunknetz, das jedoch noch nicht
flächendeckend vorhanden und Roaming-fähig ist. Parallel
bringen sich nicht-lizenzierte Technologien wie Sigfox, LoRa,
Weightless, nWave und Ingenu in Stellung. Der kostenaufwän-
dige Ausbau dieser proprietären Netze beschränkt sich derzeit
überwiegend auf Ballungsgebiete.
Lizenzierte und nicht-lizenzierte IoT-Konnektivitätsdienste
gewinnen generell an Bedeutung, werden aber auch 2019 von
einer flächendeckenden und grenzüberschreitenden Verfüg-
barkeit teils noch weit entfernt sein. Dies wird auch im gerade
angelaufenen Jahr die Realisierung von uneingeschränkt mo-
bilen IoT-Anwendungen vor Probleme stellen.
Was es mit 5G auf sich hat

Zwischenzeitlich forcieren die großen Carrier bereits den Aus-
bau des 5G-Netzes und verweisen dabei auf das Potenzial für
das IoT. 2019 wird 5G jedoch definitiv noch nicht praxisrele-
vant sein. Auch 2020 bis 2022 ist noch nicht mit einer flächen-
deckenden Verfügbarkeit in Deutschland zu rechnen, die erst
für 2025 anvisiert ist. 5G wird für Unternehmen jedoch eine
Alternative zu Glasfaser sein, wenn sich der Bedarf an Kon-
nektivität vorerst auf eine begrenzte Region oder lokale An-
wendungen beschränkt.
Dabei ist jedoch zu berücksichtigen, dass in gängigen indus-
triellen IoT-Szenarien keine so großen Datenvolumina über-
tragen werden, wie sie mit 5G bewältigt werden können. So
tauschen bei industriellen IoT-Anwendungen die Geräte über-
schaubare Datenmengen aus, die in einem einzigen 127-Byte- SEITE 29
Datenpaket Platz finden – und das nur beispielsweise alle 15

Minuten. Eine mobile Internetverbindung ist daher generell
nicht unbedingt erforderlich. Speziell 5G wäre für viele IoT-
Anwendungen sogar völlig überdimensioniert oder schlicht
zu teuer. Es ist daher zu erwarten, dass sich schlankere, kos-
tengünstigere IoT-Konnektivitätslösungen durchsetzen wer-
den, und gegenüber 5G auch von einem zeitlichen Vorsprung
profitieren können.
Schlanke IoT-Konnektivität über das bestehende GSM-

Netz
Gerade in diesem Jahr wird sich die Frage stellen, wieviel
Aufwand überhaupt nötig ist, dass kompakte Nachrichten
von stationären und mobilen „Dingen“ die IoT-Plattform errei-
chen, und das in möglichst stabiler Servicequalität.
Thingstream liefert hier einen effizienten Ansatz, der auf dem

Messaging-Protokoll USSD (Unstructured Supplementary Ser-
vice Data) basiert. USSD ist ein in jedem GSM-Netz enthalte-
nes Signalisierungsprotokoll und kann winzige Datenpakete
mit maximal 160 Byte übertragen. Über USSD kann MQTT-SN
(Message Queue Telemetry Transport for Sensor Networks),
ein schlankes Publish-/Subscribe-Messaging-Protokoll für
M2M-Telemetrie in Umgebungen mit geringer Bandbreite,
kommunizieren. MQTT-SN verfügt über integrierte Service-
qualität, die für IoT-Anwendungen wichtig ist. Dies macht die
Kommunikation bei mobilen IoT-Anwendungen, etwa in der
Logistik, einfacher und zuverlässiger.
Thingstream sieht für 2019 Anwendungsbereiche seiner be-

reits verfügbaren und einsatzbereiten IoT-Konnektivitätslö-
sung unter anderem in den Bereichen Asset-Tracking, Logis-
tik, Supply Chain & Facility Management, Energieversorgung
und Umweltüberwachung. Ein weiterer großer Vorteil der
GSM-basierten IoT-Konnektivität ist zweifellos die Sicherheit,
die auch 2019 ein Thema sein dürfte. Da die IoT-Konnektivität
bei Thingstream ohne TCP/IP erfolgt, können gängige An-
griffsvektoren von vornherein ausgeschlossen werden.
★ Neil Hamilton
SEITE 30
Die Zukunft des Weitverkehrs-Netzwerks
Warum am Software-Defined
WAN kein Weg vorbei führt
Unsere Netzwerke sind veraltet. Ein Software-definiertes
Netzwerk mit SD-WAN verspricht sichere und stabile Kon-
nektivität bei gleichzeitig hoher Performance und bildet
die Grundlage für ein Virtual Cloud Network. Mittel- und
Langfristig wird es daher nicht ohne Software-Defined
Wide Area Networks gehen!
Sei es im Gesundheitswesen, im Einzelhandel oder im Gast-
stättengewerbe, in quasi jeder Branche hält die Digitalisie-
rung Einzug. Kaum ein Unternehmen kann es sich leisten,
nicht mit der Zeit zu gehen. Alle müssen ihren Kunden den
besten und schnellsten Service liefern. Doch was nützt der in-
novative Web-Auftritt, die moderne Applikation oder das gut
durchdachte CRM-System, wenn die Netzwerke mit den An-
forderungen nicht Schritt halten? Herkömmliche Netzwerke
sind nicht dafür ausgelegt, den heutigen Anforderungen von
leistungsstarken Anwendungen gerecht zu werden.
Die Lösung präsentiert sich in Form des Software-Defined
Network. Ein relevanter Teil davon ist das Software-definierte
Wide Area Network (SD-WAN). Ein SD-WAN ist ein Overlay-
Netzwerk, das auf der bestehenden Infrastruktur eines Unter-
nehmens läuft.
Steigende Anforderungen des Gesundheitswesens

Ein simples Anwendungsbeispiel, warum ein hoch performan-
tes, zuverlässiges Netzwerk wichtig sein kann, zeigt sich im Ge-
sundheitswesen: Der zunehmende Einsatz von Telemedizin er
Warum an SD-WAN kein Weg

mehr vorbei führt, erläutert
Martin Rausche von Vmware
Bild: Vmware
SEITE 31
möglicht es Praxis- und Klinikärzten mit Patienten über eine

Live-Video-Verbindung zu sprechen, sie optisch zu untersu-
chen und – gerade bei Folgeuntersuchungen gut praktikabel
– Krankheits- und Heilungsverlauf zu diagnostizieren. Beson-
ders für ältere Menschen und immobile Patienten verbessert
die Telemedizin die medizinische Versorgung. Das Marktfor-
schungsunternehmen Databridge Market Research prognos-
tiziert für den europäischen Telemedizinmarkt ein jährliches
Wachstum um 25 Prozent bis 2024.
Zwei weitere wichtige Trends betreffen den Zugriff von Ge-
sundheitsdienstleistern und Pflegekräften auf Daten. Zum
einen nimmt in Krankenhäusern die Virtual Desktop Inf-
rastructure (VDI) zu. Daten werden zentral gespeichert und
über Smart Terminals abgerufen. Die mobile Gesundheitsfür-
sorge ermöglicht es Anbietern, auf EPAs und Anwendungen
von mobilen Geräten ihrer Wahl, wie z.B. Tablets, zuzugrei-
fen, während sie sich zwischen den Patientenzimmern bewe-
gen oder auf Hausbesuchen sind.
Gleichzeitig werden die Wide Area Networks (WANs) von Ge-

sundheitsorganisationen immer komplexer, da diese durch
die Privatisierung von Krankenhäusern und Zusammenle-
gung von Notfallzentren stetig wachsen. Traditionelle Netz-
werklösungen sind in der Regel zur Bewältigung der oben ge-
nannten Herausforderungen zu unflexibel.
Mit einem Virtual Cloud Network können Gesundheitsorgani-
sationen dagegen eine durchgängige softwarebasierte Netz-
werkarchitektur erstellen, die Dienste für Anwendungen und
Daten bereitstellt, unabhängig davon, wo sie sich befinden,
und zwar von Anfang bis Ende, mit konsistenter, durchgängi-
ger Konnektivität und Sicherheit. Mit einem SD-WAN gestaltet
sich das Zusammenlegen von Weitverkehrsinfrastrukturen
einfacher und die Performance von kritischen Anwendungen
wird verbessert.
Einzelhandel unter Druck

Auch der Einzelhandel steht unter Druck. Die jüngsten Schlie-
ßungen von Toys R US in den USA haben die deutschen Stand-
orte in Alarmbereitschaft versetzt und zeigen, wie wichtig
es ist, die traditionellen Grenzen bei der Kundenbindung zu
überschreiten. Wechselndes Kundenverhalten und steigende
Erwartungen erfordern technologische Innovationen. SEITE 32
Kundenorientierte Technologien wie digitales Marketing, in-

telligente Einkaufswagen, Couponing und mobile Apps sol-
len die Menschen in den Laden – und vor allem auch später
wieder dorthin zurück – bringen. Hinter den Kulissen tut sich
viel, was zum allgemeinen Einkaufserlebnis der Kunden bei-
trägt, wie z.B. der Einsatz von RFID auf Artikelebene oder ro-
buste Scanner für ein besseres Bestandsmanagement.
Cloud-Anwendungen erleichtern es Filialmitarbeitern stand-
ortübergreifend zusammenzuarbeiten. Dies alles erfordert
hohe Bandbreiten, zuverlässige Konnektivität und sicheren
Zugang zu Point-of-Sale-Anwendungen (POS). Doch das ver-
bindende Element, die Wide Area Networks (WANs), ist kom-
plex, teuer und basiert häufig auf jahrzehntealten Konzepten,
die für die digitale Transformation ungeeignet sind.
SD-WAN und das Virtual Cloud Network ermöglichen es Ein-

zelhändlern, eine digitale Geschäftsstruktur zur Verbindung
und Sicherung von Anwendungen, Daten und Benutzern im
gesamten Netzwerk in einer hyper-distribuierten Welt zu
schaffen. Durch die Bereitstellung und Implementierung von
Cloud-SD-WAN vereinfachen Einzelhändler das Netzwerk-
und WAN-Management, optimieren den Cloud-Zugriff von al-
len Standorten aus, gewährleisten eine hohe Leistung selbst
für die anspruchsvollsten Anwendungen und erlauben die
zentrale Konfiguration von Sicherheitsvorgaben und damit
einfachere Einhaltung von Compliance-Richtlinien im gesam-
ten Netzwerk an jedem Standort des Geschäfts.
Digitale Transformation im Gastgewerbe

Ähnlich verhält es sich im Gastgewerbe. Der Erfolg in der
Hotellerie oder in der Gastronomie erfordert mehr als das
bequeme Bett, die köstliche Speisekarte oder das luxuriöse
Spa. Sowohl hinter den Kulissen als auch in den Händen der
Gäste kann Technologie das Kundenerlebnis in unzähliger
Weise steigern. Das Erlebnis beginnt bereits vor der Ankunft
des Gastes, denn der erste Eindruck wird durch Websites, Re-
servierungssysteme und Treueprogramme geprägt und diese
Prägung manifestiert sich während des Besuchs. Die Palette
reicht dabei von Selbstbedienungskiosken bis hin zu persona-
lisierten Diensten, die auf gespeicherten Präferenzen und his-
torischen Daten basieren. Alles ist darauf ausgerichtet, dass
sich der Gast willkommen fühlt. SEITE 33
Viele gastorientierte Dienste stellen hohe Anforderungen

an die Netzwerkinfrastruktur. Business Services wie digita-
le Konferenzen, Audio, Video, Datenkonnektivität aber auch
Dienste für die Gästezimmer wie Voice over Internet Protocol
(VoIP) oder Internet-Fernsehen (IPTV) sind nur einige Beispie-
le. Nicht wenige Unternehmen migrieren zudem ihre Backof-
fice- und Gastmanagementsysteme in die Cloud und setzen
internetfähige Geräte zur Steuerung von Heizung, Beleuch-
tung und anderen Einrichtungen ein, was die Anforderungen
an die Zuverlässigkeit der Netzwerkinfrastruktur signifikant
erhöht.
Die Netzwerkkonzepte der letzten zwei Jahrzehnte wird diese

Betriebe nicht in die Zukunft führen. Dies wird nur mit einem
virtualisierten Netzwerk funktionieren. Das trifft alle Berei-
che, die ein Virtual Cloud Network abdecken kann. Im Fal-
le von SD-WAN, gibt es verschiedene Lösungsansätze, wobei
für die vorgenannten Beispiele ein Betrieb über eine Cloud-
Lösung die besten Ergebnisse verspricht.
Gründe für ein SD-WAN aus der Cloud

Bei der Nutzung von SD-WAN aus der Cloud kann jede beliebi-
ge Kombination von Transportmethoden verwendet werden,
was IT-Abteilungen die Flexibilität verschafft, bei Bedarf mehr
Bandbreite hinzuzufügen, um mehr Anwendungen zu niedri-
geren Kosten zu unterstützen. So macht man sich von teuren
MPLS-Privatanschlüssen (Multi-Protocol Label Switching) un-
abhängig und kann von anderen, effizienteren Transportme-
thoden, einschließlich Hochgeschwindigkeitsbreitband oder
mobilen Lösungen wie LTE oder zukünftig 5G profitieren.
Zero-Touch-Implementierungen erlauben den Versand von

Endgeräten an den jeweiligen Standort und das einfache Ver-
kabeln derselben ohne Fachpersonal vor Ort. Die Geräte rufen
dann Konfigurationen von einem zentralen Orchestrator ab,
installieren sich selbst und sind zeitnah einsatzbereit. Da-
durch wird der gesamte Standort mit den durch eine vorgege-
bene zentrale Richtlinie definierten Funktionen in das Netz-
werk eingebunden, ohne dass ein Besuch eines IT-Experten
erforderlich ist. SEITE 34
Der Kunde hat eine unabhängig vom Transportmechanis-

mus garantierte Performance. Netzparameter wie Brownouts
(Stromausfälle), Paketverluste oder Jitter (Laufzeitvarianz von
Datenpaketen in einem Netzwerk) werden überwacht und der
Datenverkehr dynamisch über die besten verfügbaren Verbin-
dungen geleitet, um die Leistungen einzelner Anwendungen
inklusive Sprach- und Videodiensten zu optimieren. Außer-
dem können Paketverluste durch zusätzliche Fehlervermei-
dungsstragien ausgeglichen werden, um den Durchsatz der
unternehmenskritischen Applikationen zu verbessern.
Für Cloud-Dienste wie z.B. Office365 oder SAP muss der Da-
tenverkehr durch eine direkte Verbindung von allen Standor-
ten zur Cloud nicht mehr erst in ein zentrales Rechenzentrum
zurückgeführt werden. Cloud-basierte Gateways gewährleis-
ten Zuverlässigkeit, Leistung und Sicherheit für den gesam-
ten Cloud-basierten Datenverkehr, unabhängig davon, woher
er stammt, sowie einen schnellen und sicheren Zugriff auf in
der Cloud gespeicherte Daten, Informationssysteme und Soft-
ware-as-a-Service-Anwendungen (SaaS).
Durch einen Cloud-basierten Orchestrator ist die Verwaltung

und Überwachung unternehmensweit über eine zentrale Ins-
tanz möglich, die entsprechend redundant und unabhängig
von anderen Services abgesichert ist.
Fazit
Unabhängig von der Branche – die Zukunft des Netzwerks ist
Software, und das Netzwerk der Zukunft ist das Virtual Cloud
Network. SD-WAN und die Virtuelle Cloud werden es Unter-
nehmen und Organisationen jeglicher Couleur ermöglichen,
eine flexible aber einfach zu managende digitale Geschäfts-
struktur für die Verbindung und Sicherung von Anwendun-
gen, Daten und Benutzern über physische Netzwerkgrenzen
hinaus zu schaffen.
★ Martin Rausche
SEITE 35
Die Sicherheitsrisiken privilegierter Admin-Konten
PAM: Privileged Account Ma-

nagement
Ganz gleich ob sie „nur“ Zugriff auf die Betriebssysteme
oder (was wohl häufiger der Fall sein dürfte) auf das ge-
samte Unternehmensnetzwerk haben: Administratoren
haben sehr viel Macht sowohl über die IT- als auch über
die Business-Ressourcen. Ihre „Privilegierten Konten“
können sich dabei allerdings auch schnell zu einer Gefahr
entwickeln: Ein Überblick über PAM-Techniken und -An-
sätze, die solche Probleme lösen sollen.
„Passwörter sind unsicher, Passwörter sind ‚out‘ und kein ver-
nünftiges Unternehmen nutzt diese archaische Anmeldemetho-
de noch – schon gleich überhaupt nicht in komplexen Netzwer-
kumgebungen“, so kann man es aktuell häufig von Analysten,
Sicherheitsspezialisten und deren Unternehmen hören. Und
auch, wenn Single-Sign-On-Lösungen in Netzwerk- und Cloud-
Umgebungen schon sehr oft zum Einsatz kommen und Endge-
räte mittels biometrischer Methoden wie etwa „Windows Hello“
gesichert werden können, ist die traditionelle Anmeldemethode
mit Nutzernamen und Passwort nach wie vor sehr verbreitet.
Das ist eine bekannte Gefahr – doch was ist mit den Konten
selbst und den Zugriffsmöglichkeiten, die sie denjenigen bieten,
die das Konto nutzen? Hand aufs Herz bei dieser Frage an Ad-
ministratoren und Netzwerkverantwortliche: Wissen Sie genau,
wer auf ihren Systemen und im Netzwerk mit erhöhten oder gar
absoluten Zugriffsrechten arbeiten kann? Wer ist beispielswei-
se nicht als Domänen-Administrator tätig, besitzt aber trotzdem
dessen weitreichenden Zugriffsrechte auf die Ressourcen des
Unternehmensnetzwerks?
Administrations-Konten
haben oft sehr weitreichende
Rechte im Netzwerk – und
sind selten selbst gut über-
wacht und geschützt. Ein
großes Manko!
Bild: © artinspiring - stock.adobe.com

SEITE 36
Es ist wichtig, sich Gedanken über „privilegierte“ Kon-

ten zu machen
Dabei dürfte es jedem IT-Verantwortlichen und CIO klar sein:
Es existieren hochprivilegierte Konten, wie etwa „root“ oder
„Administrator“, mit deren Einsatz ein Nutzer auf sehr viele
Informationsbereiche Zugriff hat und/oder weitreichende Sys-
temeinstellungen durchführen kann. IT-Profis nutzen diese
Zugänge, um Daten im Netzwerk freizugeben, Software zu in-
stallieren und auszuführen oder kritische Netzwerkgeräte zu
überwachen und zu verwalten. Nicht zuletzt kommen sie auch
zum Einsatz, um das Netzwerk vor Bedrohungen von innen
und außen zu bewahren.
Geht es dabei um kleinere Unternehmen und Bürogemeinschaf-
ten, sollte die Verwaltung der privilegierten Konten einfach
sein: So könnten die Mitarbeiter das Passwort für das adminis-
trative Konto beispielsweise regelmäßig alle paar Tage ändern
und sich dann über das aktuelle Kennwort informieren. Wenn
das konsequent durchgehalten wird und das Passwort für den
administrativen Account nicht am schwarzen Brett oder in ei-
ner öffentlichen WhatsApp-Gruppe landet, dürfte ein Teil der
Gefahr gebannt sein.#
Allerdings sieht die Realität zumeist anders aus: Es gibt viele
IT-Mitarbeiter, von denen jeder einzelne über ein administra-
tives Konto und ein reguläres Konto mit geringeren Rechten
für das Tagesgeschäft verfügt. Das primäre Administrator-
konto der Domäne wird nur selten verwendet und deshalb ist
auch das Passwort seit Jahren das gleiche. Dazu passt es, dass
laut „US State of Cybercrime Survey“ 21 Prozent aller Unter-
nehmen davon überzeugt sind, dass derzeitige und ehemalige
Mitarbeiter die größte Gefahr für die Cyber-Security darstel-
len – und das trifft dann häufig auch auf noch so kleine Un-
ternehmen zu: Denn wer weiß in diesen Fällen zweifelsfrei,
welcher ehemaliger Mitarbeiter immer noch administrativen
Zugriff auf das Netzwerk hat?
Active Directory allein kann es nicht stemmen – IAM

auch nicht
Kommt das Gespräch auf die privilegierten Benutzerkonten,
so verweisen IT-Abteilungen teilweise darauf, dass sie diese
Probleme durch den Einsatz von Active Directory oder auch
durch Lösungen für das Identity Access Management (IAM) SEITE 37
vollständig im Griff haben. So erleichtert ein Verzeichnis-

dienst ganz sicher die zentrale Verwaltung von Benutzer-
konten und ebenso deutlich die Arbeit der Administratoren.
Erzwingt er in der Regel doch die Einhaltung von Passwort-
regeln. Und das sichere Abspeichern von Passwörtern und
Benutzernamen, das schaffen auch Freeware-Tools wie etwa
Keepass oder LastPass.
Aber gerade im Netzwerk ist es wichtig, dass die Zugriffsricht-

linien zuverlässig und auf Identitäten basierend durchgesetzt
werden. Da einfache Lösungen so etwas in einer komplexen
Netzwerkumgebung sicher nicht leisten können, kommen
IAM-Lösungen zum Einsatz, die den grundsätzlichen Zugriff
der Nutzer auf Ressourcen wie Anwendungen, Datenbanken,
Storage und die Netzwerke richtlinienkonform regeln können.
Sie authentifizieren die Nutzer, autorisieren deren Zugriffe und
provisionieren diese auch, in dem sie die Zugriffe zuweisen
oder auch wieder entziehen können. Schließlich können sie
die Zugriffe und Rechte über entsprechende Audits dokumen-
tieren. Braucht es da noch eine PAM-Software, mit deren Hilfe
die privilegierten Konten aufgespürt und überwacht werden?
Auf jeden Fall, denn leider entziehen sich die privilegierten

Nutzerkonten im Netzwerk oftmals den vorgenannten Kon-
trollmechanismen. Tätig sind hier „spezielle Nutzer“, die
beispielsweise auch direkt auf die Einstellungen der Konten
zugreifen und diese ändern können. Dabei existieren diese
„Super-User“ sowohl aus der Sicht der Business-Anwendun-
gen als aus Sicht der reinen IT-Lösungen. Im Business-Umfeld
greifen sie dabei beispielsweise ebenso auf sensitive Daten
aus dem HR-Bereich wie auf Finanzunterlagen oder gar Daten
zu Patenten zu. Im reinen IT-Umfeld finden sich hier mehr die
Nutzer mit den klassischen Administrator-Rechten, die bei-
spielsweise eine kritische Infrastruktur lahmlegen oder sen-
sible IT-Adressen unberechtigt benutzen können.
PAM-Lösungen kontrollieren diese speziellen Nutzergruppen

im Idealfall in allen Bereichen und können dort wirken, wo
die Standardmechanismen der IAM-Lösungen – die sich um
die „normalen Nutzer“ kümmern – einfach nicht mehr greifen. SEITE 38
Die Analysten von Gartner veröffentlichten dazu in ihrem

Report zum „Magic Quadrant for Privileged Access Manage-
ment“ im Dezember 2018 folgende Vermutungen: Bis zum Jahr
2021 werden 50 Prozent der Unternehmen, die DevOps nutzen,
auf PAM-basierte Produkte und dort auf so genannte „Secret
Management“-Produkte setzen. Ein Beispiel dafür ist der Se-
cret Server der Firma Thycotic, der auch in einer Freeware-
Version bereitsteht, die sich unter anderem gut dazu eignet,
im kleinen Rahmen in diese Thematik einzusteigen. Liegen
die Analysten mit dieser Aussage richtig, so würde das einen
enormen Anstieg beim Einsatz solcher Lösung bedeuten, da
es nach Aussagen von Gartner aktuell weniger als 10 Prozent
der Unternehmen sind, die auf derartige Software setzen. Bis
zum Jahr 2022 sehen die Gartner-Leute dann den Einsatz vom
PAM-Werkzeugen bei mehr als der Hälfte der Enterprise-Un-
ternehmen.
Zudem werden die beiden Disziplinen IAM und PAM zusam-

menwachsen. Denn es scheint, dass die Anbieter erkannt ha-
ben, dass die Unternehmen wohl beide Ansätze in Betracht
ziehen wollen und müssen. Das zeigt beispielsweise auch die
Tatsache, dass der ungarische Anbieter Balabit, der sich auf
den Bereich PAM spezialisiert hatte, im letzten Jahr vom Identi-
ty-Anbieter One Identity (ehemals Teil von Quest) übernommen
wurde.
Fazit: Netzwerkadministratoren müssen die „Super-

User“ im Blick behalten
In vielen IT-Abteilungen herrscht (leider) immer noch ein ge-
wisses „Silo-Denken“: So wollen sich die Netzwerkleute viel-
fach nicht um die Sicherheit kümmern, denn das ist ja die
Aufgabe der Mitarbeiter aus dem Bereich Security (und umge-
kehrt). Doch gerade, wenn es um die „Superuser“ und anderen
privilegierten Konten im Netzwerk geht, sind Fachverstand und
Überblick der Netzwerktruppe extrem gefragt.
Ganz aktuell sorgte Ende Januar eine Zero-Day-Lücke im Ex-

change-Server für Aufsehen, durch die Angreifer mittels eines
(gehackten) E-Mail-Kontos die Administratorrechte für den
Domänen-Controller erlangen konnten. Obwohl dieses Angriff-
Szenario nicht unbedingt trivial war, konnte ein Angreifer da- SEITE 39
mit seine Nutzerrechte so erweitern, dass er die Rechte des pri-

vilegierten Domänen-Kontos erlangen konnte. Auch für solche
Fälle kann eine PAM-Lösung, die entsprechende Zugriffe auch
protokolliert, eine wichtige Maßnahme sein, um die Angriffs-
fläche des gesamten Netzwerks und der Server-Systeme deut-
lich zu verringern.
¨ Frank-Michael Schlede, Thomas Bär
SEITE 40
Wer DevOps, DevSecOps und DevNetOps sagt,

muss auch DataOps sagen
Die nächste Ebene der Integrati-

on: DataOps
Der DevOps-Ansatz findet in der Unternehmens-IT zuneh-
mend Akzeptanz. Zwar organisiert nicht jedes Team sei-
ne Arbeit in Sprints, aber DevOps hat sich dennoch wirk-
lich bewährt. Und viele Teams implementieren dann auch
gleich weitere *Ops, wie etwa DevSecOps oder DevNetOps.
Ist das erfolgreich gelangt man unwillkürlich zu einem der
intelligentesten Ansätze: DataOps.
Alle *Ops-Ansätze verfolgen im Grunde die gleichen Ziele:
mehr Agilität, schnellere Bereitstellung, verbesserte Benut-
zerfreundlichkeit und „intelligente“ operative Entscheidun-
gen. Was DataOps so intelligent macht, sind die zugrunde
liegenden Kultur- und Prozessveränderungen. Nicht radikal
neue Technologien, sondern Daten sind die Basis von DataOp
– und sie sind im IT-Infrastrukturmanagement das A und O.
Indem bestehende Datensätze auf neue Art und Weise erfasst
und analysiert werden, können fundierte operative Entschei-
dungen im Unternehmen schneller gefällt werden. Die Fähig-
keit zur systematischen Erfassung valider Daten ist dabei das
Alleinstellungsmerkmal von DataOps gegenüber den Stan-
dardpraktiken.
Nach DevOps, DevSecOps

und DevNetOps kommt
DataOps, sagt SolarWinds-
Head-Geek Patrick Hubbard.
Bild: © Cifotart - stock.adobe.com
SEITE 41
DataOps: Wachstum durch Datenbasiertheit

Die Implementierung eines DataOps-Ansatzes wird für IT-
Teams, die bereits nach DevOps-Prinzipien arbeiten, ein logi-
scher Schritt für die Weiterentwicklung sein. Schließlich nutzt
auch DataOps die Fähigkeiten und Tools, die in einer DevOps-
Umgebung zum Einsatz kommen. Heutzutage sind leistungs-
starke Werkzeuge zur Analyse enormer Datenmengen verfüg-
bar und selbst Machine Learning und Deep Learning können
ganz ohne promovierte Data Scientists genutzt werden.
Um DataOps möglichst reibungslos implementieren zu kön-
nen, sollte ein Team idealerweise mit Konstrukten für agile
Umgebungen wie den drei Säulen der Beobachtbarkeit – Pro-
tokolle, Metriken und Ablaufverfolgung – vertraut sein und
DataOps zugleich den Verantwortlichen überzeugend präsen-
tieren können. Dabei müssen wertvolle, für das Unternehmen
nützliche Daten auch an Verantwortliche ohne technischen
Hintergrund verständlich vermittelt werden können. Damit
werden IT- und Betriebsabteilungen vom bloßen Kostenfaktor
zu zentralen Wissensträgern.
Trotz seiner unverkennbaren Vorteile kämpft DataOps noch
vielerorts mit Startschwierigkeiten. Die fünfte jährliche Um-
frage von NewVantage Partners unter Führungskräften aus
den Bereichen Geschäftsführung und Technologie hat ge-
zeigt, dass bei 85 Prozent der Befragten datenbasierte Ansätze
im Unternehmen zwar eingeführt worden waren, aber nur 37
Prozent konnten auch über den Erfolg solcher Initiativen be-
richten. Die häufigsten Hindernisse sind oft mangelnde Ein-
sicht auf der Führungsebene, Fehlabstimmungen und allge-
meiner Widerstand im Unternehmen.
Diesem scheinbaren Widerspruch aus der Notwendigkeit be-
lastbarer Daten für die Geschäftsabläufe und das Geschäfts-
ergebnis sowie dem Widerstand des Unternehmens, sich einer
datengestützten Herangehensweise zu öffnen, kann mit etwas
Neuem begegnet werden: einem Data Mindset.
Die Auswirkungen von DataOps auf Technikexperten

Der DataOps-Ansatz geht über die Hauptaufgabe eines Tech-
nikexperten weit hinaus. Auch werden die täglichen Abläu-
fe, wie die Servicebereitstellung oder die Entschlüsselung
von Anwendungen, mitunter nicht unmittelbar optimiert. Es
ist vielmehr ein wichtiger Schritt hin zu einem anderen und SEITE 42
erweiterten Verständnis der Rolle von Technikexperten. Die

Erkenntnisse, die IT- und Operations-Teams einem Unterneh-
men anhand der erfassten und analysierten Daten liefern kön-
nen, verändern die Bedeutung von Mitarbeitern und ganzen
Abteilungen und macht sie zu einer Quelle zuverlässiger Kom-
petenz.
Best Practices für erfolgreiche DataOps-Einführung

Zum Data Scientist werden: Nach den Prinzipien von DataOps
gehen Technikexperten viel wissenschaftlicher und analyti-
scher an den Umgang mit Daten heran. Daten werden als Un-
ternehmenswert verstanden und nicht allein über ihren Platz
in einer Datei oder einer Tabelle und ganz losgelöst von ihrem
Wert definiert. Dazu stehen verschiedene Tools zur Verfügung,
die Einblick in Protokolle oder Systemmetriken geben und In-
formationen aus den gesammelten Daten extrahieren helfen.
Im Wesentlichen verbinden Technikexperten geschäftliche
Kennzahlen durch Daten, die sie mit der Geschäftsführung
teilen sollten.
Analytik über eine formale Herangehensweise erlernen: Ein

Data Mindset zu entwickeln, ist nur der erste Schritt bei der
Integration von DataOps. Die dann folgende Analytik ist eine
Wissenschaft für sich und erfordert eine systematische Vorge-
hensweise. Das ist umso sinnvoller, je integrierter ein Tech-
nikexperte arbeitet; mathematisches Verständnis etwa wird
unerlässlich sein, da sich DevOps-Profis zunehmend mit Mo-
delldefinitionen und dem Training von Algorithmen befassen.
Die meisten Fachleute müssen hier ein ganz neues Skillset
entwickeln.
Daten nutzen, um eine Geschichte zu erzählen: Die Orien-

tierung in endlosen Datenmengen und das Extrahieren und
Analysieren dieser Daten sind die Grundlage für erfolgreiche
DataOps-Abläufe. Danach müssen sie jedoch destilliert und in
einen verständlichen Kontext gebracht werden, mit dem jeder
im Unternehmen, insbesondere Führungskräfte, etwas anfan-
gen können. Daher müssen Daten, auch Nischendaten, die für
bestimmte Geschäftseinheiten oder Anwendungsfälle gesam-
melt wurden, aufbereitet und so präsentiert werden, dass das
gesamte Unternehmen davon profitiert. Als Analysten müs- SEITE 43
sen Technikexperten schließlich auch verstehen, worauf Füh-

rungskräfte aus sind.
Die Rechtsabteilung mit einspannen: Auch die Konformität

der erhobenen Daten und operativen Kennzahlen mit den
Richtlinien des Unternehmens darf nicht vernachlässigt wer-
den. Unternehmen setzen der Auffindbarkeit von Kennzahlen
mitunter selbst Grenzen. Daher muss unbedingt sichergestellt
sein, dass die erfassten und analysierten Daten den Rechts-
vorschriften entsprechen. Daten können zwar einen erheb-
lichen Mehrwert für ein Unternehmen darstellen, doch die
Erfassung von Daten, die nicht allgemein kursieren dürfen,
kann auch Schaden anrichten.
Wissen mithilfe regelmäßiger Reports teilen: DataOps unter-

stützt die Zusammenarbeit von Produktmanagement, Data En-
gineering, Data Science und Business Operations. Sind Skills
und Herangehensweisen für eine erfolgreiche DataOps-Imple-
mentierung im Unternehmen verbreitet, dann bringt das nicht
nur das Unternehmen voran, sondern auch die DataOps-Spe-
zialisten selbst. Zudem befördert der Austausch während der
Entwicklung von Metriken und während des Analyseprozes-
ses auch die Problemlösung bei Datenverwaltung und -analy-
se sowie den Erkenntnisgewinn: Vier Augen sehen auch bei
der Datenanalyse mehr als zwei und ein anderer Blickwinkel
sowie ein anderes Hintergrundwissen über die Nutzungsmög-
lichkeiten steigern den Nutzen von DataOps zusätzlich. Wenn
man Außenstehende einbezieht, kann dies auch das Interesse
an DataOps fördern und die Akzeptanz innerhalb des Unter-
nehmens verbessern.
Fazit
Alles in allem verspricht die Einführung eines DataOps-An-
satzes Vorteile für das Geschäft und das IT-Management glei-
chermaßen. Die Workload mag zunächst gefühlt steigen, doch
die gewonnenen Daten sind die Grundlage für eine optimierte
Entscheidungsfindung und erleichtern allen beteiligten Tech-
nikexperten die Arbeit. Wenn Technikexperten nämlich wie-
der Daten sammeln, analysieren und extrahieren können, ge-
winnt das gesamte Unternehmen.
¨ Patrick Hubbard SEITE 44
Glasfaser-WAN für zukunftsorientierte Netzwerke
Wann, warum und für wen sich

Dark Fiber lohnt
Unternehmen, Einrichtungen und Behörden stützen sich
maßgeblich auf die IT. Aber IT ist mehr als nur Hard- und
Software, denen meist die größte Aufmerksamkeit gilt.
Konnektivität führt derzeit noch ein Schattendasein, ob-
wohl sie das wahre Rückgrat jeder modernen Organisation
ist. Zeit, sich insbesondere der Weitverkehrsvernetzung
anzunehmen.
Daten und Anwendungen befinden sich immer öfter außer-
halb der eigenen Büro- oder Produktionsumgebung. Die Ver-
schiebung von On-Premises zu Off-Premises sehen wir bei
kleinen und großen Unternehmen. So sehr sie sich auch un-
terscheiden, die Vorteile der Datenübertragung zu einem ex-
ternen Standort sind für alle gleich. Und die Entwicklung ist
in vollem Gange, wodurch immer mehr möglich ist und die
Verwendung mehrerer Cloud-Dienste immer öfter zum Nor-
malfall wird. Ein Begriff, der in diesem Zusammenhang häu-
fig verwendet wird, ist der des „digitalen Wandels“.
Grundlegende Entscheidungen
Ob sich eine Organisation für eine Off-Premises-Infrastruk-
tur entscheidet oder ausschließlich Anwendungen in einer
oder mehreren Clouds verwendet oder beides – es ist stets
die Konnektivität, die dies ermöglicht. Konnektivität verdient
deshalb einen hohen Rang in jeder IT- und Strategieagen
Die Nutzung von Dark-Fiber-

Verbindungen kann für Un-
ternehmen höchst interessant
sein – wir
zeigen, unter welchen
Voraussetzungen.
(Bild: © kmls - stock.adobe.com)

SEITE 45
da. Viel zu oft ist Konnektivität jedoch lediglich eine For-

malität oder eine Randerscheinung, obwohl gerade sie nach
grundlegenden Entscheidungen verlangt. Sie ist ein Muss,
um zu vermeiden, dass IT-Architektur langfristig unbrauch-
bar oder unbeherrschbar wird. Dies verlangt nach einem
konkreten Anforderungskatalog in Sachen Konnektivität.
Selbst die Kontrolle behalten

Konnektivität sorgenfrei mit managed Dark Fiber Glasfaser be-
treiben – also einer unbeschalteten Glasfaserleitung, deren Si-
gnaleinspeisung ein Service-Provider übernimmt – ist schön,
bringt aber auch einige Beschränkungen mit. Insbesondere
wenn ein Unternehmen eine langfristige Strategie verfolgt, zu
der auch der digitale Wandel zählt, oder wenn schnell auf ex-
terne Entwicklungen reagiert werden muss.
Solche Unternehmen möchten selbst die Kontrolle behalten
und nicht von externen Lieferanten abhängig sein. Deshalb
entscheiden Sie sich häufig für unbeschaltete Glasfaser mit ei-
gener Signaleinspeisung via WDM (Wavelength Division Mul-
tiplexing). Hierbei handelt es sich um eine eigene Verbindung
mit einer CAPEX-Komponente und zahlreichen Vorteilen, die
mit verwalteter unbeschalteter Glasfaser nicht zu realisieren
sind. Insbesondere die Finanzwelt und das Gesundheitswesen
– Sektoren, in denen Sicherheit und Datenschutz eine wichti-
ge Rolle spielen – entscheiden sich häufig für unbeschaltete
Glasfaser mit eigener WDM-Apparatur. Damit haben sie selbst
maximale Kontrolle über die Dienste, die über die Glasfaser-
verbindung genutzt werden.
Für wen ist ein eigenes Dark Fiber-Netzwerk geeignet?

Für die Einrichtung eines eigenen Netzwerks fallen Investi-
tionen an: Für die Anschaffung von Routern, für die Herstel-
lung von Verbindungen und fallweise auch die für Verlegung
der „letzten Meile“, also der Glasfaserverbindung bis zu einem
Unternehmensgebäude. Trotzdem ist dies langfristig oft kosten-
günstiger als die Entscheidung für einen Bandbreitendienst.
Im letzteren Fall mietet man Kapazität bei einem Service-Provi-
der und benutzt diese gemeinsam mit anderen Kunden im Sinne
eines shared Mediums. Dabei ist man einerseits abhängig vom
Angebot der Dienste, andererseits fallen auch noch Mehrkosten
an, wenn man zusätzliche Dienste oder Bandbreiten braucht. SEITE 46
Darüber hinaus ist ein eigenes Netzwerk besonders geeignet

für Unternehmen, in denen die Datensicherheit unbedingt ge-
währleistet sein muss. So hat man alles selbst in der Hand
und ist der einzige Benutzer des Netzwerks. Damit haben wir
auch gleich die Frage beantwortet, für wen eine eigene Dark
Fiber-Lösung geeignet ist: Größere Unternehmen und Organi-
sationen, die auf stabile, zuverlässige und sichere Verbindun-
gen angewiesen sind.
Skalierbarkeit
Meistens besteht bei diesen Betrieben oder Organisationen
auch Bedarf an einer großen verfügbaren Bandbreite, wäh-
rend man auch großen Wert auf vollständige Kontrolle über
das eigene Netzwerk legt. Exemplarisch seien hier Rechenzen-
tren, Netzwerkbetreiber, ISPs, Hosting-Anbieter und System-
integratoren genannt. Aber auch Unternehmen in der Groß-
kundenversorgung, Organisationen im Gesundheitswesen
oder Behörden nutzen oft Dark Fiber.
Was versteht man unter Dark Fiber?

Mit dem Begriff Dark Fiber (man spricht manchmal auch von
unbeleuchteten oder unbeschalteten Fasern) sind Glasfaser-
verbindungen gemeint, an die noch keine aktiven optischen
Komponenten angeschlossen sind. Die aktiven Komponenten
werden für den Versand und Empfang der Daten über die Glas-
faserverbindung benötigt. Ohne diese aktiven Komponenten
bleibt die Faser somit unbeleuchtet, also im wahrsten Sinne
des Wortes dunkel (Dark).
Die Vorteile von Dark Fiber

Dark Fiber bietet die Grundlage für ein eigenes, auf die Zukunft
ausgelegtes Netzwerk. Weil es in unserem Land schon so viele
Glasfaser-Netze gibt, ist es gar nicht erforderlich, selbst ein
Netzwerk zu bauen bzw. Kabel zu verlegen. Oft kann ein be-
reits bestehendes Netzwerk genutzt werden, wobei dann nur
die „letzte Meile“ zum Standort gebaut bzw. verlegt werden
muss. Mit dem Systemlieferanten Ihrer Wahl können Sie auf
Grundlage eines Dark Fiber-Netzwerks also Ihr eigenes Netz-
werk aufbauen, das ganz auf Ihren Bedarf abgestimmt ist. Im
Detail sind die Vorteile von Dark Fiber:
SEITE 47
Unbegrenzte Bandbreite
Eine Dark Fiber-Lösung kann einer Organisation eine enorme
Bandbreite bieten – ja eigentlich sogar eine unbegrenzte. Das
ermöglicht eine schnelle Datenübertragung und eine optima-
le Konnektivität für den Nutzer. Sie zahlen nur für die Glasfa-
serverbindung und die Komponenten, es wird also nicht nach
Mbits oder Gbits abgerechnet, wie das bei einem Bandbreiten-
Dienst der Fall ist.
Skalierbarkeit
Ein weiterer Vorteil besteht in der Skalierbarkeit. Weil Sie
selbst die Kontrolle über die Übertragungssysteme haben,
können Sie ausgehend von Ihrem eigenen Konnektivitätsbe-
darf hochskalieren. Sollten Sie also einem bestimmten Dienst
mehr Bandbreite zuweisen wollen oder dem Netzwerk zusätz-
liche Dienste hinzufügen wollen, ist das im Handumdrehen
geregelt. Dafür brauchen Sie keine zusätzliche Bandbreite da-
zuzukaufen.
Alles selbst im Griff

Sie haben alles selbst im Griff. So kann eine Organisation ihr
eigenes Netzwerk aufbauen und folglich ihre eigene Netzwerk-
strategie entwickeln. Alle strategischen Entscheidungen im
Umfeld von Einrichtung, Management und Absicherung des
Netzwerks treffen Sie selbst. Sie können selbst bestimmen,
mit welchen Dienstleistern Sie zusammenarbeiten wollen,
beispielsweise, von wem Sie die Internet-Dienste beziehen
wollen. Auf den Punkt gebracht: Sie begeben Sich nicht in die
Abhängigkeit Dritter, sondern haben Management, Wartung
und Kosten des Netzwerks komplett selbst im Griff.
Verschlüsselung
Immer öfter müssen Organisationen – besonders im Gesund-
heitswesen, in Behörden oder Finanzinstituten – den Nachweis
erbringen können, dass sie die datenschutzgerechte Verarbei-
tung von personenbezogenen Daten und anderen vertrauli-
chen Informationen im Griff haben. Eine besonders wichtige
Rolle spielt dabei natürlich die EU-Datenschutzgrundverord-
nung (EU-DSGVO), zu deren Einhaltung alle Unternehmen
und Organisationen seit dem 25. Mai 2018 verpflichtet sind. SEITE 48
Darum ist die Sicherheit von Datenverbindungen zurzeit ein

topaktuelles Thema. In dieser Hinsicht kann Dark Fiber gro-
ße Vorteile bieten. Sowohl Mietverbindungen als auch Dark-
Fiber-Kabel verlaufen durch öffentliche Bereiche – das heißt,
dass sich „Einbrüche“ nie völlig ausschließen lassen.
Aber weil sich bei Dark Fiber die Systemtechnik in eigener
Regie befindet, können Sie die Sicherheit einer Verbindung
(besser) kontrollieren. Außerdem kann eine zusätzliche Ver-
schlüsselung auf das Signal implementiert werden. Anders
ausgedrückt: Eine extra Portion Datensicherheit, weil Sie nach
Wellenlänge (Farbe) absichern, also pro Verbindung.
Ein Vorteil der Verschlüsselung auf der Glasfaser-Ebene be-

steht darin, dass dies erheblich weniger Verzögerungen als
die Verschlüsselung in höher angeordneten Ebenen verur-
sacht. Die Implementierung der Verschlüsselung ist vor allem
für Organisationen relevant, die mit sensiblen Daten arbeiten.
Dark Fiber bietet ebenfalls verbesserte Cloud- und Backup-Mög-

lichkeiten. Auch das trägt zusätzlich zur Datensicherheit bei.
¨ Jan Willem Tom
SEITE 49
So sehen die Anforderungen und Herausforderun-

gen aus
Die Bedeutung der digitalen

Transformation für den CIO
Wir leben im digitalen Zeitalter – und wollen Unternehmen
die Nase vorne behalten, ist Digitalisierung Pflicht. Grün-
de dafür sind etwa steigende Kundenanforderungen oder
neue Mitbewerber. Aber: weil sich die Technologie schnell
weiterentwickelt und Geschäftsmodelle sich komplett än-
dern, ist die Digitale Transformation ein Langstrecken-
lauf, bei dem viele komplexe Herausforderungen auf CIO
und Management warten.
Kein Digitalisierungs-Projekt gleicht dem anderen. Je nach-
dem, ob CIOs in einem Cloud basierten Startup loslegen oder
ein traditionelles Unternehmen transformieren: Sie sollten
sich von Beginn an über die gewünschten Ergebnisse im Kla-
ren sein.
Was will das Unternehmen durch die digitale Transformation
eigentlich erreichen? Geht es darum, Legacy Infrastrukturen
aufzubrechen oder darum, neue Umsatzquellen zu schaffen?
Außerdem brauchen CIOs grundlegenden Einblick in die Ge-
schäftsmodelle ihres Unternehmens, um abschätzen zu kön-
nen, was genau die Digitalisierung beeinflusst.
Flexibel auf Herausforderungen reagieren

Erst das Wissen um diese Feinheiten und Ziele ermöglicht es
CIOs, die Umstellung effektiv umzusetzen. Im Idealfall geht
Einige Herausforderungen
Bild: © Olivier Le Moal - stock.adobe.com
und Faktoren entscheiden

über den Erfolg der digitalen
Transformation – und die wei-
tere Karriere des CIOs!
SEITE 50
die digitale Transformation von einer guten Geschäftsidee

oder bestimmten Prämisse aus, die CIO und IT Abteilung auf-
greifen und dann alles Nötige bereitstellen, um diese umzu-
setzen.
Hier klingt eine neue Realität an: Die Rolle des CIOs wandelt
sich bei digitalen Geschäftsmodellen. CIOs müssen bei diesen
Initiativen über das Unternehmen hinweg und von Anfang an
mit ihren Managementkollegen zusammenarbeiten. Denn im
digitalen Zeitalter beschränkt sich die Rolle der IT nicht län-
ger auf traditionelle Effizienzziele. Es geht vielmehr darum,
primäre Unternehmensziele, wie Wachstum, Rentabilität oder
Innovation, zu ermöglichen. Die Kolleginnen und Kollegen di-
rekt an Bord zu holen, erleichtert nicht nur die Umsetzung der
Initiativen, sondern bietet die Chance, Veränderungen früh-
zeitig zu messen und auf gesteckte Ziele hinzuarbeiten. Auch
wenn es nicht rund läuft, bringt Kooperation dabei Vorteile:
Dann können CIOs und IT einen Schritt zurücktreten, heraus-
finden, wo es bei einer digitalen Initiative hakt und das Prob-
lem lösen, bevor die Initiative voll ausgerollt ist.
Jede digitale Initiative birgt Chancen und Risiken, weshalb

die richtige Balance zwischen Flexibilität und Risikomini-
mierung wichtig ist. Ohne Flexibilität keine Innovation, ohne
jedes Risiko aber eben auch. Die Verantwortlichen müssen
deshalb dabei den nötigen Spielraum haben, etwas auszupro-
bieren und herauszufinden, ob sie die gewünschten Ergebnis-
se dabei erreichen. Das kann einerseits den üblichen Umgang
mit Projekten und Investments beeinflussen (etwa, weil es sie
verlangsamt). Andererseits bietet sich bei Erfolg die Gelegen-
heit zu expandieren und zu skalieren. Zusammengefasst: Es
ist entscheidend, dass alle beteiligten Business Partner eine
Vision teilen und am gleichen Strang ziehen.
Geschwindigkeit, Skalierbarkeit und ROI verbinden

Hat eine neue Lösung für digitale Prozesse die ersten Hürden
genommen und ist bereit für Funktionstests mit einer Pro-
begruppe, muss sie schnell skalierbar sein und bei der Ziel-
gruppe eingesetzt werden können. Neue Anwendungen und
Services einzuführen, erfordert genaue Planungen seitens der
Unternehmen. Viele vergessen dabei, die neue Lösung kon-
tinuierlich zu überwachen. Denn obwohl alles oberflächlich
reibungslos läuft, könnte es Probleme geben. Integriertes Per- SEITE 51
formance Management in Produktion und weiteren Releases

einzubinden, ist deshalb entscheidend.
Warum? Die Verantwortlichen können es sich nicht erlauben,
dass digitale Anwendungen oder Systeme auf einmal nicht
mehr funktionieren. Die Anwender und Kunden sind es ge-
wohnt, dass sie mit einem Klick alles Benötigte bekommen
– Ausfälle werden nicht toleriert. Ein Beispiel: Große Logis-
tikunternehmen transportieren weltweit riesige Mengen an
Fracht auf unzähligen Schiffen. Die Anwendungen für Logis-
tik und Timing sind dafür extrem wichtig, weil es im hart um-
kämpften Markt auf jede Minute ankommt. Jeder Ausfall der
Anwendungen wird entsprechend teuer.
Was müssen Unternehmen tun, um die Digitalisierung erfolg-
reich umzusetzen? Sie sollten einen Schritt weiter gehen, als
nur in die Digitale Transformation zu investieren. Stattdessen
sind dazu Performance Management Lösungen nötig, um in
Echtzeit für Einblicke und Transparenz in jeden Aspekt der
Endnutzererfahrung sorgen. Erst so können Unternehmen
messen, was funktioniert und was nicht, um schnell darauf
zu reagieren. So können CIOs und IT Abteilungen nicht nur
gute und schlechte Performance erfassen. Es stellt ihnen die
nötigen Einblicke bereit, um dem Management den ROI zu be-
legen und zu zeigen, wieviel Zeit und Geld sie gespart oder
welche „digitale Katastrophe“ sie verhindert haben.
Trotz Veränderungen alle an Bord holen

Heutzutage hat im Grunde jede C Level Funktion, vom CMO
zum CEO, einen Anteil am digitalen Erfolg eines Unterneh-
mens. Tatsächlich ist Digitalisierung so bedeutsam geworden,
dass manche Firmen neue Positionen dafür schaffen – etwa die
des Chief Digital Officer (CDO). Sie haben oft unterschiedliche
Aufgabenprofile, doch geht es in der Regel darum, Geschäfts-
modelle technologiebasiert weiterzuentwickeln. Müssen sich
CIOs deswegen Sorgen machen? Nein. Das enorme Interesse
an digitalen und neuen Technologien kann dem CIO sogar die
Chance bieten, eine größere Rolle zu spielen – indem er sich in
die Diskussionen über die Rolle und Stoßrichtung der Techno-
logie im Unternehmen einklinkt.
Denn ein Teil der Herausforderungen an CIOs ist es, alle Aufga-
ben im Unternehmen zu ermöglichen und wertvolle Technolo-
gieerfahrung einzubringen, damit die allgemeinen Geschäfts-
ziele erreicht werden. Wenn sich allerdings im Unternehmen SEITE 52
das Gefühl breitmacht, der CIO unterstützt die digitale Trans-

formation nicht ausreichend, kann er die Kontrolle verlieren.
Der Trick, rollenübergreifend alle bei der Stange zu halten
und zur weiteren Kooperation zu motivieren, besteht aus ver-
schiedenen Aspekten: Zum einen muss ein Dialog mit allen
Beteiligten und Positionen geführt, zum anderen Fachwissen
kontinuierlich bewiesen und ausgebaut werden. Zu guter Letzt
geht es darum, ununterbrochen Engagement zu beweisen, um
das Unternehmen als Ganzes voranzubringen.
Fazit
Was CIOs immer im Kopf behalten sollten: Es gibt keine Ver-
änderung ohne Herausforderung. Die Digitale Transformation
ist eben ein Langstreckenlauf, der als Initiative startet, sich
ständig weiterentwickelt und sich mit aufkommenden, neuen
Technologien oder Trends immer wieder verändert. Zugleich
ist der Wandel eine der größten Chancen für den CIO, sein
Unternehmen zu stärken, Einblicke zu liefern, Expertise und
Führungsstärke zu beweisen und so dazu beizutragen, das
Unternehmen zukunftssicher aufzustellen sowie Umsätze zu
sichern.
¨ Jörg Knippschild
SEITE 53
Schnelles Ethernet nach 802.3bz für Bestandsver-

kabelungen
Was ist NBASE-T und auf was

kommt es dabei an
Weltweit sind immer noch viele LAN-Installationen in
Kategorie 5e oder 6 bzw. Klasse D oder E ausgeführt. Auf
diesen Verkabelungen läuft heute maximal Ethernet mit
1000 Mbit/s. Der IEEE-Standard 802.3bz erlaubt 2,5 und 5
Gigabit/s, nennt sich NBASE-T und kann auch für mehr
Performance in Bestandsverkabelungen sorgen.
Mittlerweile drängen immer mehr neue Applikationen auf den
Markt, die weit höhere Bandbreiten als Gigabit-Ethernet in der
Tertiärverkabelung benötigen – also auf den Strecken vom
Etagenverteiler bis zum Arbeitsplatz. Eines der bekanntesten
Anwendungsgebiete ist hier die Verkabelung von WLAN Ac-
cess Points mit mehr als 1Gbit/s.
Da es eine sehr große installierte Basis an Gigabit-Ethernet-
Verkabelung nach Cat-5e- oder Cat-6-Standard gibt, aber den-
noch der Wunsch nach höheren Geschwindigkeiten besteht,
hat die IEEE im Jahr 2016 mit IEEE 802.3bz die Übertragungs-
standards für das Ethernet mit 2,5 und 5 Gigabit/s eingeführt.
Hersteller, die Geräte für diese Anwendungen anbieten sind in
der so genannten NBASE-T-Alliance organisiert.
ANSI/TIA und ISO/IEC haben sich ebenfalls dieser Marktanfor-
derung angenommen und mit der TIA TSB 5021 und der ISO/IEC
Wer NBASE-T über seine CAT-

5e- oder Cat-6-Verkabelung
laufen lassen will, muss
sicherstellen, dass das auch
Bild: © xiaoliangge - stock.adobe
spezifikationsgemäß funkti-
oniert.
SEITE 54
TR 11801-9904 Spezifikationen für die passive Gebäudeverka-

belung entwickelt, um die NBASE-T Ethernet-Geschwindig-
keiten unterstützen zu können. Doch wofür kann man welche
Norm verwenden und was ist in der Praxis bei Bestandsverka-
belungen zu beachten?
NBASE-T auf Bestandsverkabelungen nach Kategorie 5e

oder 6
Für Neuverkabelungen, die auch NBASE-T-Geschwindigkeiten
gewachsen sin sollen, empfiehlt die ISO 11801 bzw. EN50173
mindestens Kategorie-6A-Komponenten (Cat 6a) zu verwen-
den. Hier ist nach wie vor die Abnahmemessung nach Klasse
EA mit einem Kabelzertifizierer das Mittel der Wahl. Richtig
interessant ist jedoch das Thema NBASE-T auf Bestandsver-
kabelungen.
Die IEEE-Normen spezifizieren aktive Übertragungstechni-
ken, nach welchen Hersteller von aktiven Komponenten wie
Switches oder Netzwerkkarten entsprechende Geräte herstel-
len können. TIA und ISO definieren hingegen die Verkabe-
lungsnormen, um neue Übertragungsstandards mit passiver
Infrastruktur unterstützen zu können.
Für die Betreiber einer Bestandsanlage stellt sich dabei die
Frage, ob eine alte Klasse-D- oder -E-Verkabelung noch die
neuen Übertragungsstandards unterstützen kann. Allgemein
kann man sagen, dass es auf alle Fälle riskant ist, für teures
Geld neue und schnellere Übertragungstechnik anzuschaffen,
wenn man sich nicht sicher sein kann, dass die alte Bestands-
verkabelung die neuen Standards auch unterstützen wird.
Wie kann ich mich vor einer Fehlinvestition schützen?

Es ist dringend zu empfehlen, eine Klasse-D- oder -E-Verkabe-
lung vor der Beschaffung von schnelleren aktiven Komponenten
nachzumessen. Hierzu gibt es prinzipiell zwei Möglichkeiten:
Die erste Möglichkeit besteht in einer Abnahmemessung mit
einem Kabelzertifizierer nach ISO/IEC TR11801-9904:2017.
Dieser technische Report gibt eine Anleitung für die allgemei-
ne Bewertung von Verkabelungen für die Unterstützung von
2,5 und 5 Gbit/s Ethernet.
Bemerkenswert sind hierbei vor allem folgende Punkte: Für
den Betrieb von 2,5 Gbit/s Ethernet sind alle HF Parameter bis SEITE 55
100 MHz spezifiziert, für den Betrieb von 5 Gbit/s Ethernet

sind 250 MHz vorgesehen. Dies bedeutet, dass 5 Gbit/s Ether-
net auf einer alten CAT-5e- / Klasse-D-Anlage zumindest nach
ISO/IEC nicht spezifiziert ist.
Wie schon bei CAT 6A und Klasse EA wird auch bei NBASE-T
Fremdnebensprechen, das sog. „Alien Crosstalk“, spezifiziert.
Hier muss das Übersprechen zwischen Kabeln in Kabelbün-
deln gemessen werden. Auch bei ungeschirmten CAT-6A- und
Klasse-EA-Verkabelungen müsste diese Messung durchge-
führt werden. Führende Hersteller garantieren aber in der
Regel, dass deren CAT-6A-Produkte die geforderten Alien
Crosstalk-Grenzwerte einhalten, da diese Messung im Feld
aufgrund des immensen messtechnischen Aufwandes so gut
wie nie durchgeführt wird. Diese extrem aufwändige Mes-
sung sollte nun auch auf alten CAT-5e- / CAT-6- bzw. Klasse-
D/E-Bestandsanlagen durchgeführt werden.
Zusätzlich zu den bekannten Alien-Crosstalk-Messungen

sollte auch das „ALSNR“ oder „Alien Signal to Noise Ratio“
gemessen werden, also der durch Fremdnebensprechen re-
duzierte Signal Rauschabstand. Ähnlich wie die Alien Cros-
stalk-Messung ist auch die Bestimmung des ALSNR im Feld
mit einem extrem hohen Aufwand verbunden. Zusätzlich zu
den Spezifikationen für die Verkabelung geben ANSI/TIA und
ISO/IEC Tabellen an, wie hoch das Risiko ist, dass eine Verka-
belung durch ALSNR gestört wird (siehe Tabellen 1 und 2 in
der Bildergalerie).
Als „Victim“ wird in den Tabellen eins und zwei die Strecke
bezeichnet, auf der 2,5 bzw. 5 Gbit/s laufen soll. Wie man se-
hen kann, gibt es Konfigurationen, bei denen ein geringes
Risiko für Störungen besteht, z.B. wenn man 2,5 Gbit/s auf
kurzen Kabelbündeln betreiben will. Allerdings gibt es auch
Konfigurationen mit mittlerem bis hohem Risiko für Störun-
gen, z.B. für 5 Gbit/s auf langen Klasse-D-und -E-Strecken in
langen Kabelbündeln.
Obige Tabellen existieren auch für Klasse EA- Verkabelungen.
Hier wird das Risiko für alle Konfigurationen durch die Bank
als „None“, sprich kein Risiko angegeben. SEITE 56
Eine Nach-Zertifizierung einer Bestandsanlage ist grundsätz-

lich aufwändig. Die Alien-Crosstalk- und ALSNR-Messungen
würden allerdings den Rahmen komplett sprengen. Deshalb
werden wohl sehr wenige Bestandverkabelungen in Zukunft
mit einem Zertifizierer nach TSB 5021 oder ISO/IEC TR 11801-
9904 nachgemessen werden.
Die zweite Möglichkeit der Investitionsabsicherung ist die

Messung mit einem Qualifizierer. Qualifizierer, oder Transmis-
sions-Tester, arbeiten nicht nach einer ANSI/TIA oder ISO/IEC
Norm, sondern verwenden die original IEEE-Spezifikationen
für Bitfehlerraten als Fehlerschwelle für eine gut/schlecht-
Bewertung von Strecken. Hierzu wird auf einer Strecke eine
Ethernet-Verbindung aufgebaut und darüber Ethernet-Pakete
gesendet und empfangen. Zusätzlich zur Bitfehlerrate werden
auch noch Parameter wie Laufzeit, Laufzeit-Unterschied, Sig-
nal-Rausch-Abstand und Länge einer Strecke gemessen.
Moderne Qualifizierer, wie der Softing NetXpert 10 G, können

so Strecken mit 1, 2.5, 5 und sogar 10 Gbit/s messen und sind
somit für NBASE-T Anwendungen bestens gerüstet.
Qualifizierung vs. Nachzertifizierung

Einer der Hauptanwendungen für NBASE-T ist, wie bereits er-
wähnt, der Betrieb von schnellen Access Points mit mehr als
1 Gbit/s, während die meisten Strecken im Netzwerk nach wie
vor von „langsameren“ Arbeitsplätzen mit maximal 1 Gbit/s
belegt sein werden.
Wenn man sich die eigentliche Verwendung von NBASE-T vor

Augen führt, ist ein Test einer Bestandsverkabelung mit ei-
nem Qualifizierer wesentlich praxisnaher als eine Nachzerti-
fizierung, da der Qualifizierer einen Test unter realen Umge-
bungsbedingungen mit echtem Ethernet auf genau der Strecke
durchführt, auf der später NBASE-T laufen soll.
Die Störquelle Alien Crosstalk, also das Übersprechen zwi-
schen Kabeln und Kabelbündeln, muss währen einer solchen
Qualifizierung nicht simuliert werden. Denn die Störer sind in
dieser Anwendung echte Ethernet-Strecken, die echtes Über-
sprechen auf die zu messende Strecke ausstrahlen. SEITE 57
Ein Qualifizierer kann somit bei dem Test direkt ermitteln, wie
viele Ethernet-Pakete im laufenden Betrieb der Anlage verlo-
ren gehen. Ein Qualifizierer ist also ein sehr gutes Werkzeug,
um Strecken in einem bestehenden Netzwerk vorab auf ihre
NBASE-T-Tauglichkeit zu testen. Zusätzlich können die Geräte
auch im Störungsfall verwendet werden um herauszufinden,
ob Übertragungsfehler auf der passiven Strecke stattfinden.
Neben dem Qualifizierungstest ist auch noch die Diagnose an
aktiven Ports äußerst wichtig. Hier wird unter anderem getes-
tet, welche Geschwindigkeiten von einem Switch zur Verfü-
gung gestellt werden und ob der DHCP-Server, der DNS-Server
oder das Internet erreichbar sind.
Da viele Access Points und IP-Kameras über PoE bzw PoE+

ferngespeist werden, ist es zudem wichtig, dass Qualifizierer
PoE-Klassen erkennen, PoE-Spannungen messen und Leis-
tung von einem PoE-Switch abgreifen können.
Fazit
NBASE-T ist eine interessante Ethernet-Ausprägung, die es
Anwendern ermöglicht, auch auf bestimmten Bestandsverka-
belungen Ethernet-Geschwindigkeiten jenseits der altbekann-
ten 1000 Mbit/s zu nutzen.
Aufgrund der verglichen mit 1-Gbit/s-Ethernet verschärften

Spezifikationen ist es jedoch ratsam, Bestandsverkabelungen
zu prüfen, bevor NBASE-T Anwendungen installiert werden
oder entsprechende aktive Komponenten angeschafft werden.
Eine Re-Zertifizierung der Strecken ist dabei eine messtech-
nisch umfangreiche und äußerst zeit- und kostenintensive
Methode. Die Messung mit einem Qualifizierer hingegen bie-
tet eine wesentlich schnellere, einfachere, kostengünstigere
und praxisnähere Methode, um Bestandsverkabelungen auf
Tauglichkeit für NBASE-T-Anwendungen zu prüfen.
★ Konstantin Hüdepohl
SEITE 58
Kommerzielle Monitoring-Software gegen Open

Source
PRTG versus Nagios

Fällt eine Komponente im Unternehmens-Netzwerk aus
oder verlässt die zuvor vom IT-Profi definierten Paramet-
ergrenzen, protokolliert eine Monitoring-Software diese
Ereignisse und beginnt im Idealfall mit automatisierten
Gegenmaßnahmen oder der Aktivierung einer Benach-
richtigungskette. Doch welche Lösung ist die beste? Wir
haben das kostenpflichtige Paessler PRTG dem kostenfrei-
en Nagios gegenübergestellt.
Was eine Monitoring-Lösung ist und macht, dürfte den meisten
Lesern bereits bekannt sein. Aus dem Open Source Lager ist
Nagios Core sicherlich die bekannteste Lösung als kostenfrei-
es Herzstück der Nagios-basierten Überwachungsprogramme.
Auf der anderen Seite existiert ein großer und gut bestückter
Markt für kommerzielle Monitoring-Programme, indem sich
PRTG einer hohen Beliebtheit erfreut. Der vergleichende Test
will die Vor- und Nachteile beider Lösungsansätze kritisch
unter die Lupe nehmen.
Freie Software: Nagios

Nagios ist eine freie Software unter GNU GPL zur Überwa-
chung von IT-Infrastruktursystemen. Die freie Lizenz be-
schränkt sich bei Nagios auf die Kern-Software selbst. Die vom
ursprünglichen Entwickler 2007 gegründete Nagios Enterpri-
ses LLC bietet kommerzielle technische Unterstützung und
Dienstleistungen an. Aus Nagios heraus sind zudem weitere
Überwachungsplattformen entstanden, beispielsweise das im
deutschsprachigen Raum ebenfalls verbreitete Icinga.
Bild: © Gorodenkoff - stock.adobe.com
Nagios gilt in Sachen

Monitoring für viele
immer noch als das
Maß der Dinge
– aber stimmt das?
SEITE 59
Wie bei beinahe alle Monitoring-Lösungen arbeitet der Admi-

nistrator auch bei Nagios über eine Web-Schnittstelle. Wäh-
rend jedoch die Mehrzahl der kommerziellen Lösungen auf
der Windows-Plattform aufsetzt, arbeitet Nagios auf Unix-
artigen Systemen. Die Core-Edition von Nagios ist tatsächlich
kostenfrei, enthält aber nicht viel mehr als die eigentliche Mo-
nitoring-Engine. Alle weiteren Funktionen muss der Anwen-
der selbst hinzufügen – Nagios ist vom Konzept her also eine
Art Baukastensystem.
Was für eine typische Überwachungsumgebung erforderlich
ist, muss der IT-Profi somit noch nachrüsten oder die kosten-
pflichtige XI-Variante verwenden. Die Installation von Nagios
ist mitunter eher knifflig. Da Nagios verschiedene Unix-Deri-
vate unterstützt, gibt es ebenso viele verschiedene Anleitun-
gen. Dokumentationen, Demovarianten von Turnkey-ähnli-
chen virtuellen Appliances oder ganze Demoinstallationen,
die der interessierte IT-Profi im Internet finden kann. Diese
sind allerdings mitunter hoffnungslos veraltet.
Mit Nagios überwachen Administratoren viele verschiedene
Netzwerkservices, wie beispielsweise SMTP, POP3, http oder
NNTP. Darüber hinaus protokolliert die Software die Nutzung
von Ressourcen wie Speicher- oder Netzwerkdurchsätzen,
Festplattennutzung oder die Auslastung der CPU-Kerne. Die
Anzahl so genannter Plug-Ins, mit denen sich die Funktiona-
lität von Nagios nach den eigenen Wünschen erweitern lässt,
nähert sich aktuell der 4000er-Marke. Bewaffnet mit Kennt-
nissen in C, Perl oder Python ist ein erfahrener Administrator
oder Entwickler in der Lage, eigene Plug-Ins zu erstellen.
Für die Überwachung von Windows-Servern und Computern
kommt entweder das weitverbreitete Plug-In „Check WMI
Plus“, der NCPA-Agent (NCPA steht für „Nagios Cross Platform
Agent“) oder häufig der NSClient++ zum Einsatz. Das Ausbrin-
gen eines lokalen Software-Agents setzt jedoch eine zusätzli-
che Verteilungs-Software voraus. Das Check WMI Plus-Plugin
sammelt neben den klassischen Windows-Parametern auch
die Informationen von SQL-Servern, Exchange-Installationen,
dem IIS-Webserver oder von Terminal Services. Die Konfigu-
ration der Überwachung geschieht auf Basis von INI-Dateien.
Auch für die Ermittlung der Daten vom NCPA-Agent, der als
eine Art Proxy-Service zwischen Windows- und Nagios-Server
fungiert, sind einige Konfigurationsschritte auf der Konsole
erforderlich. SEITE 60
Eine Scan-Funktion für Nagios Core sucht der Anwender ver-

geblich. Eine automatische Einbindung von Geräten und die
Identifikation der vom Host gebotenen Services, die sich viel-
leicht für eine Überwachung lohnen würden, gibt es somit
nicht. Wie bei vielen anderen Fragestellung rund um Nagios
liest der Interessent, dass das gesuchte Feature der kosten-
pflichtigen XI-Version vorbehalten ist.
Grundsätzlich sollte ein Administrator für Nagios tiefgreifen-

de Linux-Kenntnisse mitbringen. Für den schnellen Blick auf
die kommerzielle Variante, Nagios XI, eignen sich die 60-Tage-
Versionen als Appliance für VMware-, Hyper-V- oder XEN-Hy-
pervisoren. Außer den Einstellungen bezüglich des Datastores
zur Speicherung und der Auswahl des passenden Netzwerks,
gibt es für den IT-Profi nichts einzustellen. Nach dem Start der
VM zeigt diese in der Konsole das gezogene IP-Lease und das
Standardpasswort für den Browser-Zugriff.
Die kommerzielle Variante Nagios XI schlägt jedoch in der
kleinsten Variante für 100 zu überwachende Knoten bereits
mit rund 2.000 US-Dollar zu Buche. Der Preis steigt auf über
6.000 US-Dollar pro Jahr in einer unlimitierten Enterprise-
Version. Das ist üblicherweise nicht mehr die Preisregion für
das KMU-Umfeld. Aber eine kleine Ausnahme gibt es doch:
für bis zu sieben zu überwachende Host-Systeme ist auch XI
kostenfrei.
Platzhirsch aus Deutschland: PRTG

PRTG tickt gänzlich anders als Nagios Core. Für die On-Premi-
ses Installation eignet sich jede derzeit gängige Version von
Microsoft Windows. Eine weitere Alternative stellt die Anmie-
tung einer gehosteten Variante dar. Neben der deutschspra-
chigen Oberfläche kann der Administrator die Software auf
Englisch, Spanisch, Französisch, Portugiesisch, Niederlän-
disch, Russisch, Japanisch oder vereinfachtem Chinesisch be-
treiben.
Die Installation und Ersteinrichtung ist sehr einfach und be-
schränkt sich auf die Beantwortung einiger Fragen. Alle be-
nötigten Software- und Plattformbestandteile installiert der
Assistent. Das mitgelieferte Reporting liefert die historischen
Datenübersichten im PDF-, HTML-, CSV- und XML-Format.
Die Macher hinter PRTG haben zudem bereits eine API für Py- SEITE 61
thon, die Unterstützung für Visual Basic, Batch-Scripting und

die PowerShell in die Software integriert.
Der IT-Profi arbeitet an PRTG in erster Linie mit dem Browser.
Anpassungen an irgendwelchen INI- und Konfigurationsda-
teien oder manuelle Anpassungen in den Systemtiefen sind
hier nicht erforderlich. Stattdessen erfreut sich der Anwender
über moderne Ajax-Technologien für Firefox, Chrome & Co.
oder startet die Apps für iOS und Android.
Die Software nutzt primär standardisierte Netzwerkproto-
kolle zur Bandbreitenüberwachung wie SNMP, WMI, Packet
Sniffing, NetFlow, jFlow und sFlow. Mit vielen Hundert unter-
schiedlichen Sensoren für die gebräuchlichen Netzwerk- und
Applikationsdienste wie Ping, http, SMTP, FTP, POP3, Packet
Sniffing-, SQL-Sensoren für Oracle, MS-SQL und MySQL dürf-
ten IT-Verantwortliche beinahe alle gängigen Geräte überwa-
chen können. Auf der Liste der Sensorentypen entdeckt der
Administrator bekannte Namen wie den „Amazon CloudWatch
EC2 Sensor“, jüngere Technologien wie den „Docker Container
Status Sensor“ aber auch Spezialitäten wie den „HL7 Sensor“
zur Kontrolle des automatischen Austauschs von Informati-
onssystemen im Gesundheitswesen.
Je nach gesetzten Parametern und Vorstellungen des IT-Ver-

antwortlichen meldet sich die Software per E-Mail, Pager,
SMS oder startet automatisch Skript-Jobs oder Executables.
PRTG benötigt keine zusätzliche Client-Software auf den zu
überwachenden Systemen. Für einige Aufgabengebiete gibt es
jedoch so genannte „Remote Probes“, die eine noch tieferge-
hende Überwachung ermöglichen.
Was bei jedem Test von PRTG überzeugt, ist die Qualität der
automatischen Erkennung von Geräten und die Empfehlung
der zu sammelnden Datensensoren. In unserem Test lieferte
selbst ein an sich für das SOHO-Umfeld gedachter Drucker Sei-
tenzählstände per SNMP an die Software. Die Erkennung für
VMware ESX, Microsoft SQL und Exchange steuert die passen-
den Daten zur Systemauslastung der einzelnen VMs auf dem
Host-System bei, ohne dass der IT-Profi auch nur einen Sensor
von Hand anpassen müsste. Die Überwachung der Auslastung
der Platten unter Windows in Prozent oder der Nutzungsgrad
der Auslagerungsdatei, Reaktionszeiten der Netzwerkkarten
oder Ping-Laufzeiten zu Systemen und Websites gelingen im
Test ohne Probleme. SEITE 62
Die lange Historie der Software zeigt sich beim Versionszäh-

ler, der nunmehr die 18 geknackt hat. Während so mancher
Marktbegleiter nur noch eher kosmetische Anpassungen vor-
nimmt, sind die Entwickler bei Paessler offensichtlich nicht
durch mit ihren Ideen. Schon die Vorgängerversion bot die
Unterstützung zu Microsoft SQL 2016 und LitLab. Der Map De-
signer erlaubte bereits die Rücknahme von 50 Arbeitsschritten
in der Historie und die Oberfläche wurde um einen Abmel-
de-Countdown erweitert. Mit der jüngsten Version wurde die
Einbindung von Active Directory Gruppen vereinfacht und die
Verwendung negativer Filtereinstellungen im WMI-Event ein-
geführt.
Praktischerweise bietet der Hersteller das komplette Pro-

gramm als Freeware-Variante mit einer Limitierung auf 100
Sensoren kostenfrei an. Wer sich mit dem Programm intensi-
ver auseinandersetzen möchte, kann es also gleich „richtig in-
stallieren“ und bei Bedarf später über einen Lizenzschlüssel
in eine Vollversion wechseln. Und wer mit den verwendeten
Sensoren zaghaft umgeht, kann eine kleine Edition kostenfrei
nutzen. Ansonsten benötigt die klassische Überwachung ei-
nes Microsoft Exchange Servers ungefähr 50 Sensoren.
Fazit
Bei dem direkten Vergleich von Nagios und PRTG gibt es einen
ganz klaren Sieger: die Lösung aus dem Hause Paessler. PRTG
ist schnell eingerichtet, liefert die notwendigen automatischen
Erkennungstechniken gleich mit und bietet ausgezeichnete
Hilfestellungen, wenn es mal doch nicht auf Anhieb klappen
sollte. Die nächste Strophe im Loblied gilt der grafischen Aus-
wertung der gesammelten Daten und mündet in das gut durch-
dachte Reporting.
Selbst im Vergleich zur kommerziellen Nagios XI-Version hat
sich das entstandene Meinungsbild kaum verändert. In unseren
Tests mussten wir feststellen, dass Nagios XI bei der automati-
schen Identifizierung der Netzwerkkomponenten danebenlie-
gen kann. So wurde aus einem Zyxel-Switch im Testnetzwerk
ein Gerät von Hewlett-Packard auf Basis von eCos 3.0. Die
sprachliche Lokalisierung macht aus dem Switch zudem einen
„Schalter“ und einen VMware ESXi 5.x-Server stellte die Soft-
ware als unbekanntes Gerät dar. Zwischen Windows-Worksta- SEITE 63
tions und Windows-basierten Servern vermag Nagios ohne die

optionalen Agent-Komponenten gar nicht unterscheiden. Feh-
lerhafte Erkennungen münden schlussendlich in aufwendige
manuelle Nacharbeit.
Ohne solides Grundwissen über die Linux-Shell sollten sich
Administratoren eher von Nagios fernhalten. Es gibt zwar ei-
nige Ergänzungen, beispielsweise NConf, um die Konfigura-
tion von Nagios Core auch über das Webinterface vorzuneh-
men, doch diese ersetzen langfristig keine Expertise. Für den
Bastler, der die Monitoring-Software auf einem Raspberry Pi
unterbringen möchte, ist Nagios wiederum kaum zu schlagen.
Wie so oft greift auch hier die „Bastler- und Nerd-Argumentati-
on“: Das Open Source Programm erlaubt beliebige Anpassun-
gen für diejenigen, die am liebsten die Software gleich selbst
geschrieben hätten. Wer sich im Tagesgeschäft primär um die
Systeme kümmert, die es zu überwachen gilt, und sich aus
zwingender Notwendigkeit mit dem Thema Monitoring ausei-
nandersetzt, ist dagegen bei Paesslers PRTG an der richtigen
Adresse.
Sollte jedoch der Eindruck entstanden sein, dass „coole Pro-

jekte“ mit PRTG nicht möglich seien, so gilt es, dies zu revi-
dieren. Selbst eine nur über Port 502 anzusteuernde Wohn-
raumlüftungsanlage mit MODUBS-RS485-Ansteuerung aus
dem Hause Pluggit, ist mit einem PowerShell-Script in die
Monitoring-Software einzubinden. Messwerte wie Tempera-
tur, Filterlebensdauer oder die Drehzahlen der Lüfter landen
so in der Protokollierung von PRTG. Flexible Anpassbarkeit,
die Überwachung selbst exotischerer Geräte und die Vortei-
le einer ausgereiften und anwendungsfreundlichen Software
schließen einander also nicht aus.
Die Aussage, dass mit Nagios Core eine kostenfreie Monitoring-
Lösung verfügbar ist, stimmt zudem nur unter Vorbehalt. Bis die
Überwachung, Protokollierung und Benachrichtigung mit Na-
gios Core umfänglich eingerichtet ist, vergehen sehr viele Arbeits-
stunden. Nur wenn dieser Aufwand unberücksichtigt bleibt,
ist die Lösung tatsächlich kostenlos. Wer im Unternehmens-
umfeld eine verlässliche und aussagekräftige Überwachung
aufbauen möchte, greift demnach lieber gleich zu PRTG.
★ Frank-Michael Schlede, Thomas Bär
SEITE 64
Sicherheitskonzept für verteilte Netzwerke
6 Kernanforderungen für sichere

SD-WANs
Unternehmen setzen zunehmend auf SD-WAN und lösen
damit ihre MPLS-Leitungen ab. Jedoch ist es wichtig, in
diesem Zuge auch neue Sicherheitskontrollen für alle Re-
mote-Standorte einzuführen. Für eine sichere SD-WAN-Be-
reitstellung müssen sechs Kernanforderungen erfüllt sein.
Unternehmen, deren Standorte landes- oder weltweit verteilt
sind, verbinden diese häufig seit Jahren, wenn nicht seit Jahr-
zehnten, per MPLS-Leitungen (Multiprotocol Label Switching).
Doch vor allem durch den steigenden Einsatz von Cloud-Tech-
nologien ist diese Architektur mittlerweile veraltet. User, Da-
ten und Anwendungen sind heutzutage weit verstreut, Ange-
stellte arbeiten von überall aus und nutzen eine Vielzahl an
Geräten.
Vor dieser Entwicklung war die Implementierung von Sicher-
heitskontrollen relativ einfach – dahingehend, dass ein de-
finierter Perimeter um alle zu schützenden Vermögenswerte
eines Unternehmens existierte. So konnten IT-Teams eine Viel-
zahl von Sicherheitstechnologien zentral einsetzen. Remote-
Standorte wurden in diesen Sicherheitsbereich einbezogen,
indem der gesamte Verkehr über MPLS zu einer großen zent-
ralen Firewall umgeleitet wurde. Diese sorgte für die Traffic-
Regulierung und Durchsetzung der Sicherheitsrichtlinien.
Wenn Anwendungen in die

Cloud wechseln, sollte die
Security-Lösung auch den
Datenverkehr zu und von den
Cloud-Anwendungen regu-
lieren.
Bild: © – leowolfert – stock.adobe.com

SEITE 65
Herausforderungen durch weit verteilte Infrastrukturen

Der Netzwerkrand löst sich auf, wenn Anwendungen und Be-
nutzer darüber hinausgehen. Dies macht die Implementierung
von Sicherheitskontrollen mit bestehenden Tools komplexer.
Zudem sind Anwendungen, die früher im Rechenzentrum ge-
hostet wurden, in gewisser Weise in die Cloud migriert (ent-
weder durch SaaS oder Public Cloud). Diese Anwendungen
können bei der Ausführung an Remote-Standorten an Perfor-
mance einbüßen, hauptsächlich aufgrund der Latenzzeit, die
von all den MPLS-Schaltungen verursacht wird, die für die
Rückführung des Datenverkehrs zum Hauptstandort sorgen.
Man nehme z.B. Office 365, das früher als Exchange-Server im

Rechenzentrum stand. Oft erleben Unternehmen eine schlechte
Nutzererfahrung oder schleppende Performance, weil sie den
Datenverkehr per MPLS zum Unternehmenshauptsitz holen
und dann ins Internet schicken. Um dieses Problem zu lösen,
benötigen Remote-Standorte die direkte Verbindung zur Cloud.
Genau das bietet SD-WAN. Jedoch ist es wichtig, in diesem Zuge
auch neue Sicherheitskontrollen für alle Remote-Standorte ein-
zuführen.
Entsprechende Lösungen sind in der Regel kosteneffizient zu

implementieren und einfach skalierbar, und da Anwendun-
gen in die Cloud wechseln, sollte die Security-Lösung auch
den Datenverkehr zu und von den Cloud-Anwendungen regu-
lieren. Unternehmen können mit diesem Ansatz die Benutzer-
freundlichkeit optimieren und gleichzeitig ihre Betriebs- und
Investitionsausgaben senken. Eine sichere SD-WAN-Bereit-
stellung muss folgende sechs Kernanforderungen erfüllen:
1. Zero-Touch-Bereitstellung
Verfügt ein Unternehmen über 50, 100, 1000 oder mehr Re-
mote-Standorte, ist es unrealistisch, jeden dieser Standorte
für die SD-WAN-Bereitstellung einzeln besuchen zu wollen.
Mittels Zero-Touch-Bereitstellung sowie einem zentralisierten
Management genügt ein Mitarbeiter vor Ort, der die Lösung
per Knopfdruck in Betrieb nimmt.
SEITE 66
2. WAN-Optimierung
Komprimierung und Deduplizierung sind zwei Möglichkeiten,
um den Datenverkehr zu optimieren bzw. die Bandbreite zu
verbessern. Datenpakete lassen sich anhand von Hashwerten
identifizieren. So kann bereits übertragener Content auf der
Appliance zwischengespeichert bzw. komprimiert werden,
sodass lediglich noch der viel kleinere Hashwert übertragen
werden muss. Die Deduplizierung reduziert die wiederholte
oder parallele Übertragung gleicher Daten im WAN. Häufig
angeforderte Informationen werden lokal zwischengespei-
chert oder identische Inhalte zusammengeführt. Letztendlich
bestimmt die eingesetzte Lösung, welche Methoden zur WAN-
Optimierung genutzt werden.
3. Advanced Firewalling
Um an Remote-Standorten genauso gut abgesichert zu sein
wie am Hauptstandort, erfordert es eine Firewall, die für ver-
teilte Umgebungen konzipiert ist und zentralisierte Richtlini-
en und Verwaltung in großem Umfang nutzt. Dazu gehören
Anwendungs- und Benutzerkontrollen, IDS/IPS, Webfilterung
und Routingfunktionen.
4. Erweiterter Schutz vor Bedrohungen

Benutzer, Anwendungen und Daten müssen vor allen Bedro-
hungen geschützt sein, die das Internet zu bieten hat. Viele
Unternehmen haben dies mit einer zentralen Sandbox umge-
setzt, aber für eine verteilte Architektur, bei der das Backhau-
ling minimiert werden soll, ist eine cloudbasierte Advanced
Threat Protection die ideale Lösung.
5. Zentralisierte Verwaltung
Alle Firewallfunktionen, unabhängig von der Konfiguration
von Sicherheit, Content, Traffic-Management, Netzwerk, Zu-
griffsrichtlinien oder Software-Updates, sollten zentral ver-
waltet werden. So lassen sich die Kosten für Sicherheit und
Lifecycle-Management senken, und dies alles bei gleichzeiti-
ger Bereitstellung von Funktionen zur Fehlerbehebung und
Konnektivität. SEITE 67
6. Cloud-Integration
Als einer der Treiber für SD-WAN geht es bei der Migration von
Workloads in die Cloud sowohl um die Sicherstellung einer
hohen Anwendungsperformance als auch um den sicheren
Zugriff auf die Workloads. Ein VPN kann diese Aufgabe über-
nehmen, doch wenn Unternehmen erst einmal in der Cloud
sind, entstehen neue Herausforderungen: Da wären nicht nur
die Workload-Anforderungen, sondern auch Anforderungen
an Sicherheitskontrollen, Bereitstellungsmethoden und eine
reibungslose Lizenzierung. Wichtig hierfür ist ein Firewall/
SD-WAN-Gerät, das nicht nur eng mit Cloud-Plattformen in-
tegriert ist, sondern auch die Anwendungsfälle in der Cloud
erfüllt.
Fazit
Wenn Unternehmen ihren SD-WAN-Rollout ausloten, gibt es
eine Menge zu beachten, doch durch ein im Vorfeld gut durch-
dachtes Konzept können sie die passende Sicherheit für ihr
verteiltes Netzwerk schaffen und einen soliden Migrations-
pfad in die Cloud bereitstellen. Die Integration der oben ge-
nannten Funktionen in die SD-WAN-Bereitstellung können
die Netzwerkarchitektur erheblich vereinfachen, die Sicher-
heit erhöhen, Uptime optimieren und Kosten reduzieren.
★ Hatem Naguib
SEITE 68
Traditionelles Routing behindert Unternehmen und

Mitarbeiter
Die Ära der SD-WAN Router hat

begonnen
Wenn sich Benutzer von SaaS-, IaaS- oder in Rechenzen-
tren gehosteten Applikationen über unterdurchschnittli-
che Anwendungsleistungen beschweren, ist es an der Zeit,
über herkömmliches Routing hinauszudenken und ein un-
ternehmensgesteuertes SD-WAN einzusetzen.
Mitarbeiter beschweren sich oft, dass SaaS-Anwendungen wie
z.B. Salesforce.com, Office365 oder Workday, von zuhause aus
reaktionsschneller arbeiten als im Büro. Dies liegt nicht zuletzt
daran, dass herkömmliche Router-zentrierte WAN-Architektu-
ren typischerweise den gesamten SaaS- und IaaS-Verkehr an
das Rechenzentrum zurückführen, um eine erweiterte Sicher-
heitsüberprüfung zu ermöglichen, als dies normalerweise an
Zweigstellen möglich ist.
Backhaul, das in der Regel auf teuren MPLS-Übertragungen
(Multiprotokoll Label Switching) basiert, ist oft in seiner Band-
breite eingeschränkt und erhöht die Latenz, die die Leistung
von SaaS-Anwendungen und IaaS-Diensten beeinträchtigt.
Das Ergebnis: Mitarbeiter sind frustriert von der Qualität und
arbeiten ungern in der Niederlassung. Noch schlimmer ist es,
wenn dadurch die Arbeitsproduktivität beeinträchtigt wird,
die Betriebskosten steigen und oder sogar der Umsatz sinkt.
Kristian Thyregod,
Vice President Europe,
Middle East and Africa
bei Silver Peak, sieht das
Ende traditioneller
WAN-Router gekommen.
Bild: Silver Peak
SEITE 69
Warum verbindet man die Nutzer im Büro nicht direkt mit den
Clouddienstleistern über das Internet, um die höchste und
konsistenteste SaaS- und IaaS-Performance zu ermöglichen?
Wieso nicht den Traffic über Highspeed-Breitbandverbindun-
gen senden, die oft günstiger sind als Mietleitungs-MPLS-Ser-
vices? Die Herausforderung dabei ist, die Bedenken in puncto
Zuverlässigkeit und Sicherheit des Internets für Unterneh-
mensanwendungen zu überwinden.
Mit einem fortschrittlichen, geschäftsorientierten SD-

WAN ist das nun möglich:
Zuverlässigkeit: Internetanbieter sind anfällig für Zeiträu-
me, in denen Paketverlust und Latenz die annehmbaren
Grenzwerte überschreiten (Brownout), was die SaaS- und
IaaS-Performance beeinträchtigen kann. Jedoch kann diese
Herausforderung durch Verwendung von zwei oder mehr Breit-
bandanbietern, bevorzugt von verschiedenen Providern oder
mindestens unterschiedlich geroutet, angenommen werden.
Wenn ein Anbieter einen Brownout aufweist, kann ein ge-

schäftsgesteuertes SD-WAN, das kontinuierlich Paketverlust
und Latenz überwacht, automatisch den Traffic zu der besten
Verbindung umleiten, um so eine hohe SaaS- und IaaS-Perfor-
mance für eine ideale User Experience zu garantieren. Wenn
der beeinträchtigte Service sich erholt, wird er automatisch
wieder verfügbar für den WAN-Transportbandbreitenpool.
Sicherheit: Nicht alle Web-Apps werden auf gleiche Weise er-

stellt. Daher muss die SD-WAN-Plattform fähig sein, anwen-
dungsspezifische Sicherheitsrichtlinien zentral zu definieren
und durchzusetzen. Eine zentraldefinierte Richtlinie kann die
vertrauenswürdigen SaaS-Anwendungen (wie Salesforce, Of-
fice365, Workday, Box and Dropbox) automatisch zum Inter-
netservice der Niederlassung leiten, da Unternehmen sich hier
auf die Sicherheitsmaßnahmen, die den Anwendungen eigen
sind, verlassen können. Für Freizeit- oder unbekannten Web-
Traffic gibt die Richtlinie entsprechend striktere Sicherheits-
überprüfungen vor.
Eine fortschrittliche, anwendungsbewusste SD-WAN-Lösung

kann diesen Datenverkehr intelligent und automatisch entwe- SEITE 70
der über cloudbasierte Sicherheitsdienste oder über Firewalls

und IDS/IPS-Dienste der nächsten Generation im Hauptquar-
tier durch bloßes Drag and Drop von Serviceketten im Or-
chestrator steuern.
Die SD-WAN-Plattform muss auch mit sich ständig ändernden

IP-Adresstabellen Schritt halten, die von gängigen SaaS-An-
wendungen wie Office365, Salesforce.com, Box und anderen
verwendet werden. Diese Updates müssen erfasst und täglich
sowie automatisch an alle Seiten verteilt werden – ähnlich
den Updates für Virenschutzsignaturen auf einem Laptop.
Grundlegende SD-WAN-Lösungen, die eine manuelle Neupro-
grammierung von IP-Adressen oder die Verwendung von Sig-
naturbibliotheken von Drittanbietern für jedes einzelne Gerät
erfordern, können hier einfach nicht mithalten.
★ Kristian Thyregod
SEITE 71
Umfassende Anwendungstransparenz im WLAN

dank AVC
Worauf es bei Application Visibili-

ty & Control ankommt
Die IT und mit ihr das Business verändern sich wie nie zu-
vor. Sie durchlaufen einen umfassenden Wandel in Bezug
auf Anwendungsarten, deren Lieferung und Gerbrauch.
Wie lassen sich vor diesem Hintegrund die nötigen Er-
kenntnisse erlangen, um Kontrolle über die Leistung von
Anwendungen im Netzwerk zu erhalten und diese zu opti-
mieren?
Noch vor Kurzem war die Netzwerküberwachung und -verwal-
tung weitaus weniger komplex. Es gab weniger Anwendun-
gen, die unterstützt werden mussten. Und diese waren jeweils
an bestimmte Schnittstellen und Protokolle gebunden. Jetzt
durchlaufen mehrere Anwendungen dieselben Protokolle und
Schnittstellen. Das erschwert die Unterscheidung zwischen
den verschiedenen Anwendungen und Diensten deutlich.
Netzwerke effektiv steuern

Eine Unterscheidung ist aber nicht nur komplexer, sie wird zu-
dem auch immer kritischer. Während der freie Austausch be-
stimmter Daten für das Unternehmen unerlässlich ist, können
andere eine weit geringere Priorität haben, im Widerspruch zu
den Unternehmensrichtlinien stehen oder gar bösartig sein.
Administratoren müssen zwischen einem Benutzer, der seine
Lieblingsserie auf Netflix streamt oder einem, der ein wich-
tiges Online-Meeting durchführt, unterscheiden können und
die Ressourcen und Richtlinien entsprechend verwalten. Nur
so können sie ihre Netzwerke effektiv steuern.
AVC-Funktionen geben Admi-

nistratoren die
nötige Transparenz und Kon-
trolle, um das Netzwerk- und
Bild: Aerohive Networks
Anwendungsverhalten der
Nutzer zu verstehen, sagt
Martin Scheller von Aerohive.
SEITE 72
Die Application Visibility and Control – kurz AVC – ist daher

ein wichtiges Element, das auch bei einer WLAN-Lösung be-
rücksichtigt werden sollte. Diese Funktion bietet einen voll-
ständigen Überblick über Anwendungen, Benutzerauthen-
tifizierung und Datenschutz. Zudem werden daneben auch
andere kritische Dienste betrachtet. AVC ermöglicht es Un-
ternehmen zu sehen, welche Anwendungen im Netzwerk ver-
wendet werden, wer sie verwendet und wie viel Bandbreite sie
verbrauchen – einschließlich Peer-to-Peer-Anwendungen. So
kann sichergestellt werden, dass die verfügbare Bandbreite
auch wie beabsichtigt genutzt wird.
Bessere Sichtbarkeit auch bei BYOD

Diese Art der Transparenz war bislang nur innerhalb des
Netzwerks über Intrusion-Detection- und Intrusion-Preventi-
on-Systeme verfügbar. AVC ist allerdings auch bei der Einfüh-
rung eines BYOD-Modells erstaunlich hilfreich.
Ein spannendes Anwendungsgebiet für AVC ist beispielswei-
se das Bildungswesen. Heutzutage haben viele Schüler und
Studenten ein tieferes Computer- und Netzwerknutzer-Wissen
und mehr Erfahrung als viele Lehrer und Mitarbeiter der Bil-
dungseinrichtungen. Das führt oft zu einem scheinbar unlös-
baren Problem: Zentralisierte Prüfungen, Online-Tests oder
schlicht der Wunsch, Lehrpläne zeitgemäß anzubieten, ma-
chen die Nutzung mobiler Geräte fast unumgänglich.
BYOD ist in der Lage sicherzustellen, dass die größtmögliche
Anzahl von Schülern und Studenten Zugang zur besten ver-
fügbaren Infrastruktur hat. Die ungewollte Nutzung der Netz-
werke dagegen frisst Bandbreite, bremst die Performance und
kostet am Ende des Tages Geld. Die Folgen: Schüler verwen-
den wieder Stift und Papier, was wiederum den Wert eines
Wechsels zu computergestützten Lehrplänen mindert.
Worauf muss man achten?

Es gibt mehrere Aspekte, die bei der Aktivierung von AVC im
Fokus stehen sollten. Jede WLAN-Architektur, die damit ar-
beitet, sollte unterschiedliche Vorgehensweisen anbieten. Ein
wichtiger Punkt ist die Methode, mit der eine Anwendung vi-
sualisiert und identifiziert wird.
Wenn sich die Architektur beispielsweise nur auf die DNS
oder die URL des Datenverkehrs konzentriert, kann sie nicht
wirklich aufzeigen, ob der Endbenutzer eine Anwendung für SEITE 73
einen legitimen Zweck (zum Beispiel im Zusammenhang mit

Studienarbeiten) oder einfach nur zur Unterhaltung nutzt.
Ein weiteres Problem ist der Umgang der Lösung mit neuen
oder benutzerdefinierten Anwendungen. Werden nur vorein-
gestellte Signaturen verwendet, um den Datenverkehr nach-
zuverfolgen, wird möglicherweise eine wichtige Anwendung
übersehen. Da es schwierig ist, bei der Entwicklung von An-
wendungen immer auf dem neuesten Stand zu bleiben, sollte
das System dem Benutzer die Möglichkeit geben, seine eige-
nen benutzerdefinierten Signaturen zu erstellen und zu pfle-
gen. Noch eine weitere wichtige Frage ist, ob die Lösung aty-
pische Anwendungen wie Peer-to-Peer-Traffic erkennen kann.
Wie wird die Kontrolle gewährleistet?

Die bisherige Anwendungskontrolle bestand darin, uner-
wünschten Datenverkehr zu verbieten. Die heutigen Benutzer
aber stimmen solchen strikten Richtlinien nur selten zu. An-
statt bestimmte Webseiten oder Apps vollständig zu blocken,
kann alternativ die Menge an Bandbreite gedrosselt werden,
die von der jeweiligen App verbraucht werden darf. Eine wei-
tere Möglichkeit sind QoS-Regeln, um so den bevorzugten Da-
tenverkehr zu priorisieren.
Neben dem reibungslosen Betrieb des Netzwerks und der Pri-

orisierung wichtigen Datenverkehrs, stellen AVC-Funktionen
auch Informationen bereit, die Administratoren helfen, das
tatsächliche Geschehen im Netzwerk besser zu verstehen. Eine
gute Lösung schlüsselt dem Administrator genau auf, wie die
Bandbreite genutzt wird: von wem, zu welcher Zeit und mit
welchem Gerät. Diese Informationen sind für die Kapazitäts-
planung extrem wertvoll. So entfällt das Rätseln, wofür die
Bandbreite gerade verbraucht wird und warum das Netzwerk
langsam läuft.
Mit den richtigen Fragen anfangen

Mit einer ganzen Reihe verschiedener AVC-Anbieter lohnt sich
eine ausführliche Markt-Evaluation für Unternehmen: Wie
werden Daten gesammelt? Welche Infrastruktur ist für AVC
erforderlich? Wie viel Fachwissen wird benötigt, um aussage-
kräftige Ergebnisse zu erzielen? Weitere wichtige Fragen, die
berücksichtigt werden sollten, sind unter anderem: SEITE 74
• M it welchen Methoden werden die Anwendungen erfasst?

Wird Full Deep Packet Inspection (DPI) oder etwas anderes
verwendet? Um welche andere Methode handelt es sich da-
bei?
• Kann das System Bandbreitenfresser wie Bit-Torrent-Daten
erkennen? Wenn ja, wie? Lässt sich dies blockieren?
• Sind benutzerdefinierte Signaturen erstellbar? Wie werden
sie eingeben?
• Woher kommt die Signaturdatenbank und wie oft wird sie
aktualisiert?
• Ist AVC ein integriertes Feature, oder erfordert es zusätzliche
Hardware, Software oder Lizenzen? Wenn ja, was ist erfor-
derlich?
Die Herausforderungen überwinden

Ohne eine umfassende Anwendungstransparenz stehen Netz-
werkadministratoren heute vor schnell wachsenden Heraus-
forderungen. In den heutigen, sehr komplexen Netzwerken
wird es immer schwieriger und zeitaufwändiger, Fehler und
Leistungsprobleme zu isolieren und zu beheben.
AVC-Funktionen innerhalb der WLAN-Architektur geben Be-
triebsteams die nötige Transparenz und Kontrolle, um das
Netzwerk- und Anwendungsverhalten der Nutzer zu verstehen.
So sind sie in der Lage, die Richtlinien, Konfigurationen und
Investitionen umzusetzen, die sicherstellen, dass die wich-
tigsten Unternehmensdienste stets optimal funktionieren.
★ Martin Scheller
SEITE 75
Vorhandenen GSM-Infrastrukturen sinnvoll nutzen
Schlanke Alternative für weltweite

IoT-Konnektivität
Das Internet der Dinge wächst, das Potenzial ist riesig, doch
alles steht und fällt mit der Konnektivität. Derzeit gibt es
verschiedene Ansätze von LPWA-Netzwerken (Low Power
Wide Area) für das Internet der Dinge. Eine sinnvolle Nut-
zung der vorhandenen GSM-Infrastruktur liefert dabei IoT-
Konnektivität ohne mobiles Internet und 5G.
Frequenzen für lizenzierte IoT-Konnektivitätsdienste müssen
Netzbetreiber zuvor beim Staat ersteigern. Bei nicht-lizenzier-
ten IoT-Konnektivitätsdiensten ist dies nicht erforderlich. Die
Betreiber müssen aber eigene Netze aufbauen oder auf die
Infrastruktur der großen Carrier zurückgreifen, die auch auf
nicht-lizenzierten Frequenzen funken. Ebenso können Unter-
nehmen ihre eigene nicht-lizenzierte Infrastruktur aufbauen.
Zu den führenden lizenzierten LPWAN-Technologien zählen
die zwei konkurrierenden Standards NB-IoT (Narrowband-
IoT) und Cat-M1. Diese basieren auf dem LTE/4G-Mobilfunk-
netz, das jedoch nicht flächendeckend vorhanden ist. Zudem
ist die grenzüberschreitende Interoperabilität bei der IoT-Kon-
nektivität eingeschränkt.
Die großen Carrier forcieren zwischenzeitlich bereits den Aus-
bau des 5G-Netzes und verweisen dabei auf die strategische
Bedeutung für das IoT. Vor 2020 bis 2022 ist jedoch nicht mit
einer halbwegs flächendeckenden Verfügbarkeit in Deutsch-
land zu rechnen. Zudem werden in gängigen industriellen
IoT-Szenarien keine so großen Datenmengen übertragen, die
derart große Bandbreiten erfordern.
Bild: © zapp2photo - stock.adobe.com
Thingstream setzt in Sachen

IoT-Konnektivität auf den
alten aber etablierten GSM-
Standard.
SEITE 76
Nicht-lizenzierte Technologien wie LoRaWAN, Sigfox, LoRa,

Weightless, nWave und Ingenu sind ebenfalls verfügbar.
Der kostenaufwändige Ausbau dieser proprietären Netze be-
schränkt sich aber überwiegend auf Ballungsgebiete. Nur in
kleineren Ländern wie den Niederlanden und der Schweiz
ist beispielsweise LoRaWAN nahezu flächendeckend verfüg-
bar. In größeren Ländern wie Deutschland gibt es derzeit kei-
nen nicht-lizenzierten flächendeckenden IoT-Konnektivitäts-
dienst, während die IoT-Konnektivität im lizenzierten mobilen
Datennetz für viele Anwendungen schlicht zu teuer ist.
Wie viel Bandbreite ist nötig?

Zudem stellt sich generell die Frage, welche Datenmengen
überhaupt transferiert werden müssen. Tatsächlich geht es im
Internet der Dinge meist nur um kleine Datenpakete. Eine mo-
bile Internetverbindung ist somit nicht unbedingt erforderlich
und die Bandbreite von 5G dürfte in den meisten Fällen sogar
völlig überdimensioniert sein.
Bei gängigen industriellen IoT-Anwendungen tauschen die
Geräte überschaubare Datenmengen aus, die in einem einzi-
gen IEEE-802.15.4-Datenpaket mit 127 Byte Platz finden. Ab-
gesetzt werden die Daten zudem nicht permanent, sondern in
zeitlichen Abständen, wie etwa alle 15 Minuten. Somit stellt
sich die Frage, wieviel infrastruktureller Aufwand überhaupt
nötig ist, damit kompakte Nachrichten von stationären und
mobilen „Dingen“ in möglichst stabiler Servicequalität die
IoT-Plattform erreichen.
Effizient-pragmatischer Ansatz statt teurer Netzausbau

Der Schweizer IoT-Konnektivitätsspezialist Thingstream ver-
folgt hier einen alternativen Ansatz: die Kommunikation mit-
tels MQTT-SN über das USSD-Protokoll im globalen, nahezu
flächendeckend verfügbaren GSM-Netz. USSD (Unstructured
Supplementary Service Data) ist ein in jedem GSM-Netz ent-
haltenes Signalisierungsprotokoll und kann winzige Datenpa-
kete mit maximal 160 Byte übertragen.
Die Übertragung erfolgt über global standardisierte SS7-Si-
gnalisierungskanäle. MQTT-SN (Message Queue Telemetry
Transport for Sensor Networks) wiederum ist ein schlankes
Publish-/Subscribe-Messaging-Protokoll für M2M-Telemetrie
in Umgebungen mit geringer Bandbreite. Es verfügt über inte- SEITE 77
grierte Servicequalität und wickelt, falls erforderlich, die er-

neute Übertragung ab. Dies gewährleistet die Zustellung der
Nachricht, trotz temporärer Funklöcher, wie bei mobilen Lo-
gistikanwendungen.
Sicher und zuverlässig

Dieser Ansatz ermöglicht es, industriell genutzte Hardware
sicher, zuverlässig und vor allem kostengünstig mit IoT-
Plattformen zu verbinden. Mit einer End-to-End-Konnektivi-
tätslösung, bestehend aus einem IoT-Modul, einem Compa-
nion-Baseboard sowie einer SIM-Karte, können Entwickler
innerhalb kurzer Zeit IoT-Anwendungen aufbauen und testen.
Prädestinierte Anwendungsbereiche sind Asset Tracking, Lo-
gistik, Supply Chain & Facility Management, Energieversor-
gung und Umweltüberwachung. Mobile batteriebetriebene
IoT-Sensoren können zudem mittels Ein/Aus-Setup besonders
energieeffizient betrieben werden, indem sie nur bei Bedarf
kleine Datenmengen senden. Unternehmen bezahlen dann
nur für die Daten, die tatsächlich übertragen werden, statt für
„Always-on“-Konnektivität mit großer Bandbreite.
Fazit: Insgesamt punktet der Ansatz von Thingstream hin-

sichtlich Skalierbarkeit, Interoperabilität und Kosten im Ver-
gleich zu bisherigen Mobilfunk- und Wireless-Optionen und
als kostengünstige Alternative zu 5G. Ein weiterer vorteil-
hafter Aspekt ist die Sicherheit. Da die IoT-Konnektivität hier
ohne TCP/IP erfolgt, können Angriffsvektoren aus dem Inter-
net von vornherein ausgeschlossen werden. Somit steht eine
zuverlässige, effiziente und praxisnahe Konnektivitätslösung
zur Verfügung, die für viele industrielle IoT-Anwendungen ge-
eignet ist.
★ Neil Hamilton
SEITE 78
So nutzen Sie virtuelle Windows-10-Desktops
Remote Desktop Services in

Windows Server 2019
Mit Windows Server 2019 verbessert Microsoft auch die
Remotedesktop-Server-Funktionen im neuen Betriebs-
system. Es gibt einen neuen Client und bessere Grafikun-
terstützung. Es wird also auch in lokalen Rechenzentren
weiterhin Funktionen für den Remotedesktop geben. Wir
zeigen, was Administratoren dazu wissen müssen.
Da Microsoft immer mehr Funktionen in die Cloud auslagert,
vor allem Richtung Microsoft Azure und Office 365, kommt bei
vielen Administratoren immer wieder die Sorge auf, dass mit
jeder nächsten Server-Version Funktionen gestrichen werden.
Da die Remote Desktop Services (RDS) aber auch in Windows
Server 2019 verfügbar sind, und sogar Neuerungen erhalten
haben, müssen sich Unternehmen in diesem Bereich keine
Sorgen machen.
Remote Desktop Services werden somit auch in Zukunft lokal
im Rechenzentrum verfügbar sein. Die Multipoint-Services
hat Microsoft aus Windows Server 2019 dagegen ersatzlos ge-
strichen. Hier gibt es aktuell keine Alternative für Unterneh-
men, die diese Technik genutzt haben. Die einzige Möglich-
keit besteht darin, Multipoint-Services mit Windows Server
2016 einzusetzen.
Remote Desktop Services aus der Cloud

Neben den Remote Desktop Services, die in Windows Server
2019 zur Verfügung stehen, will Microsoft auch einige RDS-
Funktionen in Microsoft Azure zur Verfügung stellen. Der RDS-
Broker, das Gateway und der Webzugriff lassen sich in Zukunft
Die Remote Desktop Services

(RDS) sind in Windows Server
2019 nicht nur verfügbar son-
dern wurden sogar ausgebaut.
Bild: Joos / Microsoft SEITE 79

auch in Microsoft Azure nutzen. Dazu stellt Microsoft Remote

Desktop modern Infrastructure (RDmi) zur Verfügung.
Mit RDmi sollen verschiedene Funktionen aus RDS ganz oder
teilweise in die Cloud integriert werden. Auch die Speicherung
von Daten ist in Microsoft Azure möglich. Wer seine Profile für
RDS-Umgebungen ebenfalls in der Cloud speichern will, kann
auf Azure Files und andere Speicherfunktionen in der Cloud
setzen.
Natürlich lassen sich bereits jetzt RDS-Infrastrukturen als vir-

tuelle Server in der Cloud zur Verfügung stellen, allerdings
bietet eine solche Umgebung keine nennenswerten Vorteile
für den Betrieb. Microsoft strebt an, dass einzelne Dienste aus
RDS in Azure zur Verfügung stehen, ohne dass die Installati-
on von VMs in Microsoft Azure erfolgen muss. Die Authenti-
fizierung erfolgt in diesem Fall über Azure Active Directory.
Remote Desktop Services in Microsoft Azure

Die generelle Installation von RDS entspricht in Windows
Server 2019 noch den Möglichkeiten in Windows Server 2016.
Wollen Unternehmen Remote Desktop modern Infrastructure
nutzen, ist das aktuell nur direkt in Microsoft Azure möglich.
Um hybride Bereitstellungen durchzuführen, müssen aktuell
noch virtuelle Server in Microsoft Azure installiert werden. Es
ist aber zu erwarten, dass Microsoft diese Dienste verschmel-
zen wird.
HTML5-Client in RDS 2019

In Windows Server 2019 ist über Remote Desktop Web Access
auch ein HTML5-Client verfügbar. Der Client bietet ähnlich
Funktionen, wie der Standard-RDP-Client, der auch für Win-
dows und andere Betriebssysteme zur Verfügung steht. Der
Vorteil des neuen HTML5-Clients besteht darin, dass Anwen-
der nichts installieren müssen. Aktuelle Browser, die HTML5
beherrschen, unterstützen automatisch die Anbindung an Re-
mote Desktop Web Access.
Der neue HTML5-Client, aber auch der Remotedesktop-Webzu-

griff, verbrauchen weniger CPU-Last auf dem Client und dem
Server. Auch die notwendige Bandbreite wird reduziert. SEITE 80
Effektiveres Arbeiten mit RDS in Windows Server 2019

Nutzen Anwender Windows 10, können Remote-Apps in den
Remote Desktop Services auch die Benachrichtigungen in
Windows 10 nutzen, um Anwender über Aktionen der Anwen-
dung zu informieren. Dadurch lassen sich zum Beispiel einge-
hende E-Mails im Nachrichtencenter von Windows 10 anzei-
gen, wenn Outlook als Remote-App genutzt wird. Aber auch
andere Anwendungen unterstützen diese Funktion.
Druck- und Videofunktionen

Drucken wird in RDS 2019 ebenfalls einfacher und übersicht-
licher. So zeigt RDS in Windows Server 2019 den Fortschritt
eines Druckvorgangs an. Auch das Verwenden von Videokon-
ferenzen wird mit RDS 2019 besser. Sind Geräte für Videokon-
ferenzen an einem lokalen Rechner angeschlossen, lassen sich
diese auch in RDS-Sitzungen verwenden. Dabei wird auch die
Qualität wesentlich besser.
In Windows Server 2019 führt Microsoft GPU Partitioning ein.
Dabei lassen sich virtuellen Rechnern mit Windows 10 und
Hyper-V deutlich bessere Zugriffsmöglichkeiten auf die Gra-
fikadapter zuteilen. Die Technik funktioniert auch mit Remo-
tedesktop-Sitzungshosts. Der Vorteil besteht vor allem darin,
dass Grafikanwendungen in Sitzungen deutlich besser funkti-
onieren. Microsoft will die Technik weiter verbessern, sodass
Remote-Apps noch besser auf die Grafikadapter von Servern
zugreifen können.
Einfachere Infrastruktur in RDS 2019

Unternehmen, die den Zugriff mit Remote Desktop Web Ac-
cess nutzen, benötigen nicht unbedingt die Installation eines
RDS-Gateways. Greifen Anwender nur von intern mit Remote
Desktop Web Access auf einen Remotedesktop-Sitzungshost
zu, ist kein Gateway mehr erforderlich. Aber auch wenn kein
Gateway zum Einsatz kommt, ist der HTML5-Client in Win-
dows Server 2019 dennoch verfügbar. Der Client ist in der neu-
en Version direkt in den Webzugriff der Remote Desktop Ser-
vices integriert.
Mehr Hochverfügbarkeit
Mit Windows Server 2019 kann endlich auch der Lizenz-Server
in der Remotedesktop-Umgebung hochverfügbar zur Verfü- SEITE 81
gung gestellt werden. Bis Windows Server 2019 war das nicht
möglich. In der neuen Version kann ein Lizenzserver seine
Daten in einer SQL-Datenbank speichern, auf die weitere Li-
zenzserver zugreifen können. Außerdem wurde die Zusam-
menarbeit zwischen Lizenz-Server, Active Directory und Re-
motedesktop-Sitzungs-Host verbessert. Die Benutzerlizenzen
werden jetzt vom Lizenz-Server an den Sitzungs-Host überge-
ben, der die Lizenzen dann in Active Directory hinterlegt. Hier
ist zukünftig auch die Anbindung von mehreren Domänen
möglich.
RDS-Verwaltung weiterhin mit dem Server-Manager

Aktuell hat Microsoft die Funktionen der Remote Desktop
Services noch nicht in das Windows Admin Center integriert.
Das heißt, die Verwaltung der Dienste erfolgt weiterhin mit
dem Server-Manager. Es ist aber zu erwarten, dass Microsoft
in neuen Versionen des Windows Admin Centers auch RDS in-
tegrieren wird.
★ Thomas Joos
SEITE 82
Traditionelle proprietäre Hardware-Appliances vs.

Software
Die Vorteile des Software Load-

Balancings
Im Rahmen der Virtualisierung verbreiteten sich soft-
warebasierte Load Balancer rasant und machten den tra-
ditionellen proprietären Hardware-Appliances mehr und
mehr Konkurrenz. Heute bieten softwarebasierte Ansät-
ze bei richtiger Architektur eine überlegene Plattform für
die Verwaltung moderner Anwendungen. Doch was ge-
nau sind die Unterschiede zwischen software- und hard-
warebasierten Lastverteilern?
Load Balancer wurden vor etwa zwei Jahrzehnten zu Beginn
des Internetzeitalters notwendig. Ihre Aufgabe war es, die Leis-
tung der neu erstellten Webseiten zu optimieren und sicherzu-
stellen, dass Endbenutzer beim Besuch einer Webseite nicht
durch lange Ladezeiten am Surfen gehindert wurden. Die Ge-
räte spielten sozusagen den Verkehrspolizisten am Frontend,
um mittels Algorithmen den Traffic auf die Backend-Webser-
ver zu optimieren.
Load Balancer verbessern im Prinzip bis heute die Stabilität,
Effizienz, Sicherheit und die Verfügbarkeit des Datenverkehrs
im Netzwerk für jegliche Server, inklusive Applikationen und
Dienste. Aber heutzutage sind die Aufgaben von Load Balan-
cern längst nicht mehr nur auf die einfache Optimierung des
Datenverkehrs begrenzt.
Moderne Load Balancer können darüber hinaus die Server-
auslastung reduzieren, die Leistung steigern, Single Points of
Hardware Load-Balancing
hat (nahezu) ausgedient
Bild: © vallepu - stock.adobe.com
– heute ist die Zeit der Soft-

ware Load Balancer.
SEITE 83
Failure durch Redundanzen reduzieren, Workloads bei Ser-

verausfällen ausgleichen und die Skalierbarkeit durch den
Einsatz neuer Server verbessern.
Im Zuge der Virtualisierung kamen neben den proprietären
Hardware-Appliances auch immer mehr Software-basierte
Load Balancer zum Einsatz, deren Leistung dank Fortschrit-
ten der Performance bei Intel-Architekturservern auch nicht
mehr hinter den Hardware-Appliances hinterherhinkten. Tat-
sächlich sollen softwarebasierte Ansätze bei richtiger Archi-
tektur eine überlegene Plattform für die Verwaltung moderner
Anwendungen bieten können. Was sind also im Detail die Un-
terschiede zwischen software- und hardwarebasierten Last-
verteilern?
Hardware-basiertes Load-Balancing
Hardware Load Balancer erfordern eine physikalische Hard-
ware-Appliance. In den späten 90er und frühen 2000er Jah-
ren waren sie die einzigen verfügbaren Load Balancer. Ein
entscheidendes Merkmal eines Hardware Load-Balancings ist
seit jeher die exakt definierte und damit limitierte Anzahl an
SSL-Verbindungen und maximalem Datendurchsatz. Sobald
diese Grenzen überschritten werden, stoppt der Load Balan-
cer einfach die Annahme neuer Verbindungen. Um die Server-
kapazität zu erhöhen, müssen also auch mehr Load Balancing
Appliances installiert werden.
Über die Jahre hatten sich Unternehmen daran gewöhnt, pro-
prietäre Load Balancing Appliances analog zum Wachstum
ihres Internetverkehrs zu kaufen.
Einer der letzten Vorteile der Geräte im Vergleich zu aufkom-
menden Softwarelösungen bestand lange Zeit darin, dass die
Hardwarelösungen mehr Leistung boten als die neuen, rein
Software-basierten Systeme. Durch die Fortschritte und den
Performance-Zuwachs von Intels Serverarchitektur wurde
dieser Vorteil jedoch stetig kleiner und kann heute im Prinzip
vernachlässigt werden.
Software-basiertes Load-Balancing
Obwohl speziell entwickelte Hardware Load Balancer tat-
sächlich schneller sein können, als Software, die auf einem
einzelnen x86-Server läuft, haben softwarebasierte Lösungen
zahlreiche Vorteile gegenüber ihren älteren Geschwistern. Sie SEITE 84
bieten bessere Elastizität, Programmierbarkeit und sehr einfa-

che horizontale Skalierung. Sie können natürlich auch verti-
kal skaliert werden, indem x86-Server mit mehr Rechenkernen
verwendet werden. Darüber hinaus gibt es jedoch zahlreiche
weitere Vorteile, einen softwarebasierten Load-Balancer ge-
genüber einem hardwarebasierten einzusetzen:
Cloud-Native Anwendungen
Moderne Anwendungen sind für den Einsatz in jedem Re-
chenzentrum oder jeder Cloud-Umgebung konzipiert und
nutzen die Vorteile der gegebenen Infrastruktur, da sie auf
Bare-Metal-Servern, virtuellen Maschinen oder Containern
ausgeführt werden können. Software Load Balancer spiegeln
diese Fähigkeiten wider und sind die einzige praktikable Lö-
sung für Mikroservices und containerbasierte Anwendungen.
Skalierbarkeit
Software Load Balancer können nach oben oder unten skalie-
ren, da sie x86-Serverressourcen anstelle separater dedizier-
ter Hardware verwenden. Diese Flexibilität ermöglicht eine
bessere Kapazitätsplanung und On-Demand-Skalierbarkeit,
basierend auf den aktuellen Anforderungen von Anwendun-
gen.
Load Balancing pro Anwendung

Ein wesentlicher Vorteil einer Software-definierten Strategie
für Load Balancing besteht darin, dass Administratoren be-
nutzerdefinierte Anwendungsdienste auf Anwendungsbasis
bereitstellen können, anstatt mehrere Anwendungen auf ei-
ner einzigen monolithischen Hardware-Appliance einzurich-
ten. Diese Strategie bietet natürlich Vorteile wie Isolierung
von Workloads, bessere Verfügbarkeit, Eliminierung von
Überprovisionierung und Kosteneinsparungen im Vergleich
zu Hardware-Appliances.
Hybrid-Cloud-Anwendungen
Software Load Balancer bieten eine konsistente Architektur
für die Anwendungsbereitstellung in verschiedenen Cloud-
Umgebungen. Dadurch entfällt die Notwendigkeit der Erstel-
lung einer neuen Architektur von Anwendungen bei der Mig-
ration in die Cloud oder zwischen Clouds. SEITE 85
Zentrales Management über Clouds hinweg

Plattformen für Software Load Balancer, die mit einer sepa-
raten Daten- und Steuerungsebene ausgestattet sind, bieten
eine einzige Oberfläche zur Verwaltung einer verteilten Da-
tenebenen der Software Load Balancern. Administratoren
erhalten zentrale Transparenz und Kontrolle über alle konfi-
gurierten virtuellen Dienste und die zugehörigen Pools. An-
wendungseigner können sich an Selbstbedienung erfreuen
und Software Load Balancer auf jedem Server an jedem Ort
und in jeder Umgebung installieren, ohne die Zeit und den
Aufwand für ein Support-Ticket für die Installation dedizier-
ter Hardware.
Anwendungeinblicke
Software Load Balancer, die mit einer separaten Daten- und
Steuerungsebene ausgestattet sind, können ihre strategische
Position im Pfad des Anwendungsverkehrs nutzen, um Ver-
kehrsmuster zu analysieren und Anwendungseinblicke zu ge-
winnen. Diese Erkenntnisse helfen Administratoren bei der
Anwendungsverwaltung.
Wartung
Da es keine physischen Hardware-Appliances gibt, die gewar-
tet oder aktualisiert werden müssen, wird der laufende Be-
trieb vereinfacht und die Wartung ist weniger problematisch.
Wenn ein einzelner Software Load Balancer oder x86-Server
ausfällt, kann die Steuerungsebene die Entscheidung treffen,
einfach eine weitere Instanz zu starten und sofort in Betrieb
zu nehmen.
Redundanz/Resilienz
Wenn ein Server, auf dem der Load-Balancer läuft, herunter-
gefahren wird, können andere Load Balancer schnell akti-
viert werden, um den Schlupf zu beseitigen und Dienstunter-
brechungen zu vermeiden.
Einfache Bereitstellung
Da es keine Hardware zu konfigurieren oder zu installieren
gibt, kann der Einsatz neuer Load-Balancer innerhalb weni- SEITE 86
ger Minuten aus der Ferne erfolgen. Die meisten Bereitstel-

lungs- und Konfigurationsvorgänge können mit REST-APIs
automatisiert werden. Anwendungs-Bereitstellungen lassen
sich erheblich beschleunigen; niemand muss wie bisher meh-
rere Tage oder Wochen auf die Bereitstellung neuer VIPs oder
Load-Balancer warten.
Fazit
Die Liste positiver Argumente für Software Load Balancer ist
tatsächlich lang und überzeugend. Es überrascht kaum, dass
viele Anbieter in den letzten Jahren begonnen haben, Soft-
ware-basierte Lösungen anzubieten.
★ Richard Kunkel
SEITE 87
Software-Defined WAN vs. Multi-Protocol Label

Switching
Ist SD-WAN genauso sicher wie

MPLS?
Keith Langridge, Vice President Networking bei BT, unter-
sucht, welche Schritte notwendig sind, um die Netzwerk-
Sicherheit bei der Einführung von SD-WAN aufrechtzuer-
halten.
Vor kurzem wurde ich von einem multinationalen Kunden
gefragt, ob SD-WAN so sicher sei wie sein MPLS-Netzwerk.
Meine übliche Antwort auf solche allgemeinen Fragen ist „es
kommt darauf an“, aber diesmal sagte ich mit Überzeugung:
„Nein, ist es nicht“.
Ein MPLS-Netzwerk ist ein privates Netzwerk. Der einzige Weg,
um hineinzukommen, sind die vom Dienstanbieter zugewie-
senen Ports. Der Zugang zum und vom Internet erfolgt in der
Regel über eines Ihrer Rechenzentren, in dem die Sicherheit
des Perimeters zentral überwacht wird und die Verkehrsströ-
me konfiguriert und begrenzt werden. Da die tatsächlich über-
mittelten Nachrichten nur von Personen und Anwendungen
innerhalb Ihrer privaten Netzwerkdomäne gesehen werden
können, ist der MPLS-Verkehr in der Regel nicht verschlüsselt.
Die Bereitstellung von SD-WAN über ein MPLS-Netzwerk wäre

ebenso sicher wie die Verschlüsselung des gesamten Daten-
verkehrs, der Ihr Netzwerk durchquert, würde aber erfordern,
dass
Wenn Keith Langridge, Vice Pre-

sident Networking bei BT, gefragt
wird, ob man auch ein SD-WAN
sicher betreiben kann, lautet seine
Antwort: „Es kommt darauf an!“
Bild: BT
SEITE 88
SD-WAN-Geräte den gesamten Datenverkehr an Spokes, Hubs

und Cloud-Gateways abwickeln. Es gibt jedoch viel einfachere
Möglichkeiten, die Funktionen zur Anwendungssichtbarkeit
und Leistungsoptimierung von SD-WAN mit den in MPLS be-
reits integrierten Features zu erreichen.
Die meisten SD-WAN-Installationen sind entweder mit einer
Änderung des zugrundeliegenden Netzwerks verbunden, um
internetbasierten Transport mit einzubeziehen, oder mit ei-
ner Änderung der Architektur, um von einem zentralisierten
Internet-Breakout am Hub (der stark durch Firewalls gesichert
und durch Policies kontrolliert ist) zu dezentralen Internet-
Breakouts an jeder „Spoke“-Lokation zu wechseln.
Internetbasierter Datentransport
Der Wechsel zum Internet-Transport und die Verschlüsselung
Ihrer Daten in IPSec-Tunneln (wie bei allen SD-WANs üblich)
ist eigentlich eine sehr gute Möglichkeit, sie sicher zu halten.
Aber im öffentlichen Internet wird die Beschaffenheit Ihrer
Verkehrsströme sichtbar. Diese Informationen, die in einer
MPLS-Welt für Außenstehende verborgen wären, können ver-
wendet werden, um herauszufinden, von welchen Orten und
zu welchen Zeiten des Tages, der Woche oder des Monats gro-
ße Informationsmengen an einem bestimmten Hub zusam-
menlaufen. Unter der Annahme, dass diese Datenströme für
den Betrieb Ihres Unternehmens oder die Einhaltung regu-
latorischer Vorschriften wichtig sind, kann dieser Hub dann
zu einem potenziellen Ziel für erpresserische DDoS-Angriffe
werden.
Im Gegensatz zu MPLS-Netzen verfügen SD-WAN-Netze über
zentrale Controller, die sich im Internet befinden. Wenn diese
nicht gut gesichert werden, können sie Schwachstellen auf-
weisen. In einer aktuellen Studie wurden rund 5000 IP-Adres-
sen untersucht, die zu 2000 Hosts gehören. Es handelte sich
offenbar um Schnittstellen von SD-WAN-Controllern, von de-
nen die meisten veraltete Software-Versionen mit bekannten
Schwachstellen ausführten.
Dadurch besteht die Gefahr, dass ein Angreifer in den Besitz
der Schlüssel für die IPSec-Verschlüsselung gelangen kann.
Außerdem besteht die Möglichkeit, den Zugriff auf einen SD-
WAN-Management-Server zu unterbrechen. Dies kann dazu
führen, dass Sie den Überblick über das Netzwerk verlieren SEITE 89
– und dass das Routing manipuliert werden könnte. Nach ei-

ner gewissen Zeit können die Standorte keine aktualisierten
Schlüssel mit dem Key-Server mehr austauschen, interpretie-
ren dies als Netzwerkfehler und stellen daher das Routing ein.
Lokaler Internet-Break-Out
Während der Umstieg auf Internet-Transport und SD-WAN Si-
cherheitsrisiken eröffnen kann, gibt es einen noch viel bedeu-
tenderen Einflussfaktor: Die Nutzung der Internetverbindung
der individuellen Standorte für den lokalen Internet-Break-
Out. Die lokale Ausleitung des Internetverkehrs wird meist als
einer der wesentlichen Vorteile von SD-WAN angeführt – der
Traffic, der für ein Ziel im Internet bestimmt ist, wird direkt
„an der Quelle“ abgeleitet und entlastet so das Netzwerk.
Dadurch wird jedoch der Perimeter, also der streng überwach-

te und geregelte Übergang zum Internet, von einer überschau-
baren Anzahl großer Rechenzentrumsstandorte auf eine Viel-
zahl von entfernten Lokationen verlagert. Für unsere größten
globalen Kunden können das schon mal 3000 Standorte in
140 Ländern sein.
Es gibt nun zwei Ansätze, die man verfolgen kann. Man kann
versuchen, diesen nun stark vergrößerten Perimeter als un-
durchdringliche Barriere aufrechtzuerhalten. Die zweite Mög-
lichkeit ist, sich mehr auf interne Sicherheitsansätze wie Iden-
titätskontrollen und Mikrosegmentierung zu konzentrieren.
Die meisten SD-WAN-Lösungen verfügen über eine Access

Control List (ACL), die eine eingehende Kommunikation über
die WAN-Ports und die Managementkanäle verhindern soll.
Viele Kunden kombinieren dies dann mit der Verwendung
eines Cloud-basierten Proxys für die ausgehende Kommuni-
kation. Sie nutzen eine Funktionalität, die in vielen SD-WAN-
Lösungen enthalten ist, um GRE- oder IPSec-Verbindungen zu
Cloud-Security-Knoten herzustellen und zu sichern. Diese Lö-
sung bietet zwar eine angemessene Sicherheit für den ausge-
henden Verkehr, ist aber relativ schwach für den eingehenden
Verkehr. Für einen erfahrenen Hacker ist es nicht sehr schwer,
den Datenverkehr so zu manipulieren, dass er an der ACL-Lö-
sung vorbeikommt. Die Sicherheit des Perimeters hängt daher SEITE 90
stark davon ab, wie gut und konsistent die ACL-Richtlinien im

gesamten Firmennetz angewandt werden.
Ich treffe häufig auf globale Unternehmen, die an vielen
Standorten bereits über geeignete Firewalls verfügen, sodass
der lokale Internet-Break-Out über SD-WAN eine risikoarme
Option ist.
Da wir darauf vertrauen können, dass der Datenverkehr zwi-

schen verschiedenen SD-WAN-Geräten sicher ist, kann die lo-
kale Internet-Anbindung zu sicheren Diensten in der Cloud,
wie beispielsweise der Microsoft-Azure-Hosting-Umgebung
des Kunden, durch Hinzufügen virtueller SD-WAN-Geräte in-
nerhalb der IaaS-Lösung erreicht werden. Alternativ kann die
Anbindung auch durch einen traditionellen MPLS-Link zu ei-
nem Dienstanbieter wie AWS, Azure usw. erfolgen. Dadurch
ist man auf diesem letzten Stück nicht von der Qualität der
Internetverbindung abhängig. An dieser Stelle müssen jedoch
Cloud-Sicherheitskontrollen zusammen mit der Verwendung
von Netzwerkzugangskontrolle und Identitätsmanagement-
kontrollen in Betracht gezogen werden, je nachdem, wie sen-
sibel die Daten sind, auf die zugegriffen werden soll.
Wie kann ich SD-WAN einsetzen und die Sicherheit auf-

rechterhalten?
Auch wenn SD-WAN-Netzwerke nicht so sicher sind wie tradi-
tionelle MPLS-Netzwerke – wenn ich gefragt werde „Wie kann
ich SD-WAN einsetzen und die Sicherheit aufrechterhalten“,
dann bin ich wieder bei meiner Standard-Antwort: Es kommt
darauf an. Es hängt davon ab, wie Sie das SD-WAN nutzen
werden, von Ihren Sicherheitsrichtlinien und den Geräten,
die Sie bereits an den Standorten haben, von den Richtlini-
en Ihres Unternehmens und den Vorschriften, die es befolgen
muss. Und wie immer hängt es auch von Ihrer Risikobereit-
schaft ab. Sie müssen die Auswirkungen eines möglichen Si-
cherheitsvorfalls oder eines Verlustes der Netzwerkkonnekti-
vität abwägen gegen die Kosten für zusätzliche Sicherheit im
Netzwerk. Das alles sollte in den Business Case für die SD-
WAN-Transformation einfließen.
¨ Keith Langridge
SEITE 91
Playbooks, Runbooks & Co: Netzwerk-Dokumenta-

tion im Fokus
So behalten Sie im Netzwerk die

Übersicht
Immer wieder stößt man in Unternehmen auf unbekannte
Bereiche in der IT – auch und besonders gern in den Netz-
werken. Dabei sollte es keine Frage mehr sein, dass das
Netzwerk gut dokumentiert sein muss – es ist die Basis für
den sicheren Betrieb der IT-Infrastruktur!
Bei einfachen Strukturen mag es noch möglich sein, das Netz-
werk „von Hand“ zu erfassen. Liegen heterogene Netzwerke
oder ein Software-Defined Network (SDN) vor, kann dies aber
bereits rasch nahezu unmöglich werden. Doch auf eine lü-
ckenlose Dokumentation der IT-Landschaft können Unterneh-
men wegen der Vorgaben des Gesetzgebers – etwa bei Com-
pliance Audits, Sicherheitsrichtlinien oder Standards – nicht
verzichten.
Statische Dokumentation hilft nicht weiter

IT-Entscheider müssen dabei die Art und Weise der Dokumen-
tation auf ihre Praktikabilität hin prüfen: Komplexe und stati-
sche Dokumentationen großer Netzwerke können bei spezifi-
schen Fragestellungen oft nicht weiterhelfen – die IT-Experten
sehen ab einem gewissen Umfang sozusagen den Wald vor
lauter Bäumen nicht mehr.
Eine gute Netzwerk-Doku-

mentation ist die Basis eines
vernünftigen Netzwerk-Be-
triebs – aber eine statische
Dokumentation hilft nicht
weiter!
Bild: NetBrain Technologies

SEITE 92
Noch schwerer wiegt jedoch der Zeitfaktor. Aufgrund der stän-

digen Veränderungen im Netzwerk kann eine manuelle bezie-
hungsweise statische Dokumentation nie den letzten Stand
widerspiegeln und ist daher bereits bei der Fertigstellung
schon wieder völlig veraltet. Deswegen empfiehlt sich eine
dynamische Dokumentation, die sich ständig aktualisiert, die
Zusammenhänge einzelner Komponenten auf Wunsch sicht-
bar macht und die ständigen Änderungen im Netzwerk zuver-
lässig anzeigt. So können auch einfach Vorher- und Nachher-
Zustände miteinander verglichen werden, die für eine schnelle
Fehlerbeseitigung notwendig sind.
Eine akkurate Netzwerkdokumentation bietet jederzeit Auf-
schluss über grundlegende Informationen, wie etwa Topo-
logie oder Netzwerkdesign, und bildet diese übersichtlich in
einem Diagramm und einer Bestandsliste ab. Sie bildet die Ba-
sis für eine profunde Dokumentation des Fachwissens, sodass
sich Netzwerk-Administratoren jederzeit eines Wissens-Pools
bedienen können und eine Lösung nicht immer wieder neu
erarbeiten zu müssen.
Nicht zuletzt dient eine Dokumentation auch ei
ner besseren Zusammenarbeit bei Problemdiagnosen. So
können Netzwerk- und Sicherheitsteams beziehungsweise
Support-Ingenieure mit unterschiedlichen Fähigkeiten, Er-
fahrungsschatz und Wissen miteinander an einem Problem
arbeiten, wobei jedes Teammitglied seine eigene Sichtweise
einbringen kann.
So trägt die Dokumentation beispielsweise im Supportfall zu
einer erheblichen Zeitersparnis bei. In diesem Fall erfassen
die Support-Mitarbeiter beziehungsweise Netzwerktechniker
zunächst nach der Erstellung eines Support-Tickets die aktu-
elle Situation im Dokumentationssystem und stellen sie damit
der allgemeinen Nutzung zur Verfügung. Kann das Problem
nicht sofort gelöst werden, können Eskalations-Teams direkt
auf die Informationen zugreifen, ohne durch erneute Erfas-
sung der Problemstellung Zeit zu verlieren.
Schnelle Übersicht durch Dynamic Maps

Einer der Bestandteile der dynamischen Dokumentation sind
Dynamic Maps. Für viele Aufgaben im Netzwerkmanagement
wird nicht der Überblick über alle Komponenten benötigt.
Sind zu viele Informationen auf den Netzwerkkarten abge- SEITE 93
bildet, müssen sich die IT-Experten mühsam durch die Mas-

se an Informationen arbeiten. Mit einer kontextorientierten
Sichtweise auf die betroffenen Komponenten können sie sich
schneller auf die Lösung eines Problems konzentrieren, da
der Netzwerkbereich bei der Analyse bereits vorab bekannt ist
und End-to-End-Verbindungen abgebildet werden. Die Ansicht
wird automatisch immer wieder neu aus dynamischen Daten
für die entsprechende Aufgabe erstellt. Dabei ist die Perspek-
tive skalierbar: Von der grundsätzlichen Topologie bis hin zu
komplexen Design-Attributen ist jeder Maßstab möglich. Als
Basis dienen sowohl Daten aus dem eigenen System als auch
solche, die von Drittanbietern bezogen wurden.
Gesamte Struktur auf einem Blick

Um die grundsätzliche Struktur des Netzwerks nachvollziehen
zu können, kann eine visuelle Darstellung helfen – schließ-
lich können Netzwerk-Teams ihre Fehlersuche nicht optimal
abschließen, wenn einzelne Netzwerkkomponenten unbe-
achtet bleiben. Eine Dynamic Map bietet einen grafischen
Überblick, der die relevanten Informationen in einer Ansicht
zusammenfasst. Sie gibt außerdem Einsicht in die ursprüng-
liche Konzeption der Netzwerkarchitektur, die sich üblicher-
weise mit der Zeit ändert. Hier ist auch das Zusammenspiel
mehrerer Netzwerke dokumentiert, was bei heterogenen Netz-
werkstrukturen oder der Einbettung von Software-Defined
Networks hilfreich ist.
Playbooks als Referenz

Eine große Rolle bei der Netzwerkanalyse spielen so genannte
(statische) Playbooks. Dabei handelt es sich um eine Samm-
lung von Routinen, die der Systemadministrator durchführen
muss, wie das Starten, Stoppen, Überwachen und Debuggen
des Systems. Playbooks dienen den IT-Teams als Referenz, in-
dem sie typische Situationen widerspiegeln – beispielsweise
das Erstellen von System-Backups oder das Überprüfen von
Sicherheitsprotokollen für einen Administrator.
Allerdings kann es vorkommen, dass ihre Verwendung für
die Problemlösung von Nachteil ist – insbesondere, wenn die
vorliegende Situation nur teilweise von einem Playbook abge-
deckt wird und seine Anwendung dann zu falschen Schlüs-
sen führt. Daher sind Playbooks als Empfehlungen zu sehen
und nicht als Schritt-für-Schritt-Anleitungen. SEITE 94
Eine der Hürden bei der Erstellung oder Aktualisierung von

Playbooks ist die dafür benötigte Zeit. Meist sind die daran
beteiligten Experten auch mit anderen – auch zeitkritischen
– Aufgaben betraut und so kommt es zu Problemen in der Pri-
orisierung. Das führt dazu, dass sich Playbooks nicht immer
auf einem aktuellen Stand befinden.
In den meisten Fällen kommt noch verschärfend hinzu, dass

sich die Dokumentation nicht an einem zentralen Punkt befin-
det. Die Playbooks stehen in Folge bei der Fehlersuche nicht
sofort zur Verfügung, sondern müssen von den Netzwerkex-
perten mühsam gesucht werden. Im schlimmsten Fall werden
mögliche vorhandene Lösungsansätze nicht sofort erkannt,
sondern von Grund auf neu entwickelt. Dies führt zu einer
teilweise gravierenden Verzögerung in den Prozessen und zu
sich wiederholenden Playbooks, die isoliert voneinander de-
zentral zur Verfügung stehen und teilweise unterschiedliche
Lösungsansätze beinhalten.
Schnellere Fehlersuche durch Automatisierung der Do-

kumentation
Abhilfe bietet hier eine automatisierte Verwaltung. Während
Playbooks Gefahr laufen, zu veralten, bieten sich ausführbare
Runbooks als Alternative an. Sie beinhalten programmierbare
Verfahren, mit denen Experten gewisse Netzwerkdaten auto-
matisiert sammeln und analysieren können. Diese Runbooks
bilden eine Bibliothek, die einen schnellen Zugriff auf den ak-
tuellen Status bietet. So können Administratoren bei Bedarf
die Informationssammlung nicht nur einsehen, sondern ihren
Inhalt zeitnah aktualisieren. Mit automatisierten Runbooks
können alle Beteiligten diejenigen Workflows, die Netzwerko-
perationen betreffen, übersichtlich definieren, orchestrieren,
verwalten und analysieren.
Die Automation führt dabei zu einem einheitlichen digitali-

sierten Format. Durch die Dokumentation nicht nur der Lö-
sungsansätze, sondern auch der dadurch erzielten Erkennt-
nisse, verbessert sich die Qualität des betreffenden Runbooks
von Anwendung zu Anwendung. Dabei bietet es nicht nur
einen möglichen Ablaufstrang, sondern kann über „Wenn-
Dann“-Verzweigungen mögliche Alternativen vorschlagen.
SEITE 95
Ein weiterer sehr hilfreicher Punkt bei der Fehlerbehebung ist

die Fähigkeit der Netzwerkdokumentationslösung zur Zusam-
menarbeit verschiedener IT-Experten beziehungsweise Teams.
Bei einem engen Zeitplan ist es den einzelnen Experten nicht
immer möglich, sich mit ihren Kollegen abzusprechen, wel-
che Tests bereits durchgeführt worden sind und welche noch
ausstehen. Deshalb sollte bei automatisierten Runbooks eine
Live-Diagnose zur Verfügung stehen, die jederzeit Aufschluss
darüber gibt, welche Tests mit welchen Ergebnissen bereits
gemacht wurden.
Im Gegensatz zu den statisch hinterlegten Playbooks, die

dezentral von den entsprechenden Teams abgelegt wurden,
stellt die Automatisierung eine geradezu lebende Struktur be-
reit. Diese ermöglicht es, nachfolgenden, mit derselben Frage-
stellung betrauten Teams, an dem Problem weiterzuarbeiten,
ohne sich erst mit ihren Vorgängern zeitraubend abstimmen
zu müssen.
Zusätzlich spielen Runbooks ihre Qualitäten bei der Vorsor-

ge aus: Sie können proaktiv eingesetzt werden, um mögliche
Fehlerquellen noch vor Entstehung von Problemen auszu-
schalten. Dabei zeigt eine gute Dokumentation Schwachstel-
len bereits lange vor einer kritischen Situation an.
Bei den immer komplexeren Netzwerkstrukturen werden IT-
Verantwortliche an einer intelligenten Netzwerkdokumenta-
tion kaum vorbeikommen können. Eine stabile Netzwerkar-
chitektur ist für Unternehmen von essentieller Bedeutung, da
sich Unterbrechungen in der IT nachteilig auf die Abläufe im
Unternehmen und somit auch die Stabilität des Unternehmens
allgemein auswirken können.
¨ Christian Köckert
SEITE 96
LPWAN ist nicht gleich LPWAN – welche Lösung

eignet sich wofür?
Sigfox, LoRA, MIOTY und NB IoT

(LTE-M) im Vergleich
Eine wesentliche Voraussetzung für das IoT ist die optima-
le Verbindung der „Dinge“ mit dem Internet. Dazu stehen
auf dem Markt unterschiedliche Technologien zur Verfü-
gung; von Kabelverbindungen über Bluetooth und WLAN
bis hin zu Low Power Wide Area Network (LPWAN). Die
Differenzierungsmerkmale der einzelnen LPWAN-Techni-
ken sind teilweise marginal – aber dennoch oft entschei-
dend. Wir haben uns die vier wichtigsten Techniken ange-
sehen.
Low Power Wide Area Network (LPWAN) revolutionierte spezi-
ell in der letzten Zeit das IoT, da Geräte hier häufig nur mit ei-
ner Batterie bestückt über mehrere Jahre und mehrere Kilome-
ter Entfernung ihre Daten an den Empfänger senden können.
Auch wenn sich LPWAN-Lösungen teilweise nur durch wenige
Merkmale differenzieren, können gerade diese Unterschiede
den Erfolg eines IoT-Projekts ausmachen. Was jedoch für ein
Projekt ausschlaggebend ist, kann beim nächsten schon ein
striktes Ausschlusskriterium darstellen. Deshalb ist es wich-
tig, vor dem Projektstart die individuellen Anforderungen im
Blick zu haben und eine passende Lösung auszuwählen.
Aufgrund der großen Reichweite bei niedrigem Stromver-
brauch eignet sich das LPWAN für viele Einsatzbereiche, in
Low Power Wide Area Net-

work (LPWAN) ist für viele
IoT-Projekte die Netzwerkan-
(Bild: © kstudija - stock.adobe.com)
bindung der Wahl – doch

auch hier gibt es Unterschiede
zwischen den Technologien/
Anbietern zu beachten.
SEITE 97
denen sich andere Technologien als unzulänglich erweisen.

In der Regel ist dies immer dann der Fall, wenn es um die An-
bindung einfacher
Sensorik an Orten ohne einfach verfügbare Stromversorgung

geht – bei gleichzeitig großen zu überbrückenden Entfernungen.
Vor allem in den Bereichen Logistik, Smart City oder Smart
Agriculture, aber auch bei vielen Szenarien in der Industrie
hat LPWAN daher die Nase vorn. Den LPWAN-Markt beherr-
schen derzeit im Wesentlichen die vier unterschiedlichen An-
bieter beziehungsweise Technologien Sigfox, LoRA, MIOTY,
und NB IoT (LTE-M).
Sigfox – Abdeckung über große Entfernungen

Sigfox stellt derzeit eine umfassende Sende- und Empfangsin-
frastruktur in ca. 60 Ländern bereit. Die Abdeckung variiert,
denn manche Länder wie beispielsweise Frankreich oder Dä-
nemark sind nahezu komplett abgedeckt, während sie sich bei-
spielsweise in den USA noch hauptsächlich auf die Ballungs-
zentren beschränkt. Deutschland verfügt derzeit über eine
Abdeckung von etwa 85 Prozent. Darüber hinaus deckt Sigfox
nahezu alle wichtigen Flughäfen weltweit ab und schafft so-
mit einen Vorteil für Logistik- und Tourismusprojekte.
Die Technologie des französischen Unternehmens limitiert

das Sensorgerät auf 140 Datenübermittlungen pro Tag und
12 Byte pro Nachricht. Diese Lösung ermöglicht autarke Sen-
der, die mit einer Batterie über mehrere Jahre einsetzbar sind.
Dazu nutzt Sigfox einen offenen Standard, der auf Sub-GHz-
Frequenzbändern (868 MHz in Europa und 900 MHz in den
USA) arbeitet und von jedem Funkanbieter genutzt werden
kann. Anschließend werden die Daten in die Sigfox-Cloud ge-
sendet, wo der Kunde sie über ein API abholen kann.
Damit bietet sich Sigfox besonders für Projekte im Bereich Lo-

gistik oder Smart City an. So arbeitet beispielsweise eine fran-
zösische Luxusmarke mit Sigfox zusammen, um ihren Kun-
den mit Sendern ausgestattete Reisekoffer zu bieten, die sich
jederzeit über eine App lokalisieren lassen. SEITE 98
LoRa – lokal begrenzte Projekte mit sensiblen Daten

Die Technologie LoRa (Long Range) wurde vom Chiphersteller
Semtech entwickelt und wird von der LoRa Alliance verbrei-
tet. Hierbei handelt es sich nicht um einen offenen Standard,
da die Lösung die Verwendung des Chips von Semtech erfor-
dert. Insbesondere in den europäischen Märkten hat LoRa an
Fahrt gewonnen, und es wurden bereits etliche Projekte mit
dieser Technologie realisiert.
Bei LoRa muss, anders als bei Sigfox, die Netzwerkinfrastruk-

tur selbst aufgebaut bzw. es muss mit lokalen Netzbetreibern
zusammengearbeitet werden. Das bedeutet, dass LoRa in ers-
ter Linie für Projekte mit räumlicher Begrenzung interessant
ist. Ein Vorteil dieser Lösung ist, dass der Anwender die Ab-
hängigkeit von einem Netzbetreiber durch den Aufbau eines
eigenen Netzes vermeiden und so die Kontrolle über seine
Daten behalten kann. Gerade daher eignet sich LoRa vor al-
lem für lokal begrenzte Projekte mit sensiblen Daten, die mög-
lichst nicht über die Infrastruktur eines Dienstleisters laufen
sollten. So setzt beispielsweise ein deutscher Stromversorger
auf diese Lösung, um in einer begrenzten Region die Strom-
zähler seiner Kunden auszulesen.
MIOTY – Versand größerer Datenmengen durch Telegram-

Splitting
Die Softwarelösung MIOTY vom Fraunhofer Institut verwendet
ein effizientes Kanalcodierungsschema, das seine Reichweite
gegenüber herkömmlichen 868-MHz-Funksystemen um den
Faktor 10 erhöht. Da es wenig Eigeninterferenz erzeugt, kann
das System bis zu einer Million gleichzeitige Sender unterstüt-
zen. Während die anderen LPWAN-Technologien komplette
Datenpakete verschicken, zerlegt MIOTY diese in Sub-Pake-
te (Telegram-Splitting) und kann so deutlich mehr Daten pro
Nachricht befördern.
Die Sender basieren auf handelsüblichen Chips von Herstellern

wie Silabs oder Chipcon und zeichnen sich durch ein kompak-
tes Design und einen erweiterten Batteriebetrieb bis zu meh-
reren Jahrzehnten aus. Die Empfänger, die mit digitalen Sig-
nalprozessoren ausgestattet sind, ermöglichen aufgrund ihres
SEITE 99
flexiblen Designs die Anpassung an spezifische Kundenanwen-

dungen; sie können sowohl für stationäre als auch für mobile
Anwendungen eingesetzt werden und sind für beide Umgebun-
gen optimierbar.
Wie bei LoRa muss der Kunde mit MIOTY sein Sender-Empfän-
ger-Netzwerk selbst aufbauen und warten, behält aber auch
hier wieder die Datenhoheit.
So setzt beispielsweise ein großer deutscher Automobilherstel-
ler MIOTY ein, um Umweltfaktoren wie Feinstaubbelastung,
Luftfeuchtigkeit oder Temperatur in einer seiner Fabriken zu
überwachen. Ähnlich wie bei LoRa geht es um das Versenden
sensibler Daten über einen begrenzten Raum.
NB-IoT (und LTE-M) – Kommunikation mit niedriger

Bandbreite
Die Anforderungen an das Narrowband-IoT (NB-IoT) wurden
Anfang 2016 festgelegt. Diese neue Schmalbandfunktechno-
logie bietet eine geeignete LTE-Kategorie für IoT-Geräte mit
niedriger Bandbreite. NB-IoT nutzt die bestehende Infrastruk-
tur von LTE- und GSM-Netzanbietern, um die Kommunikation
mit niedriger Bandbreite für IoT-Geräte zu ermöglichen.
Wie bei Sigfox kann der Kunde hier auf eine bestehende Infra-
struktur zugreifen und muss diese nicht kostenintensiv selbst
aufbauen und warten. Dafür befinden sich die Daten zeitwei-
se außerhalb der Kontrolle des Kunden. LTE-M ist Teil des Re-
lease 13 des 3GPP-Standards, der den Stromverbrauch senken,
die Kosten der Geräte reduzieren und eine tiefere Abdeckung
ermöglichen soll. So sollen anspruchsvolle Standorte, wie bei-
spielsweise tief in Gebäuden, erreicht werden. Dieser Standard
wird das NB-IoT in puncto Bandbreite verbessern. Darüber hi-
naus bietet diese Lösung den wahrscheinlich höchsten Sicher-
heitsstandard der hier vorgestellten LPWAN-Technologien.
Vor allem der Ausblick auf 5G verspricht für NB-IoT dank des
hohen Potenzials hinsichtlich Reichweite und Datenmenge in-
teressante Einsatzbereiche in der IoT-Welt, wie beispielsweise
als Schlüsseltechnologie für selbstfahrende Autos. Die große
Frage dabei ist allerdings, wann 5G flächendeckend kommen
wird und wo sich NB-IoT dann preislich einordnet.
¨ Christian Zeh SEITE 100
Secure SD-WAN
So schaffen Sie konsistente und

schnelle Firmennetzwerke
Unternehmen brauchen heute hohe Geschwindigkeiten
und stabile Verbindungen für ihre Business-Anwendungen
– auch in den Zweigstellen. SD-WAN ermöglicht dies. Aber:
Das schafft auch neue Security-Risiken für Unternehmen.
Veraltete Daten in lokalen Systemen und unzuverlässige Netz-
werkverbindungen zur Zentrale: So sah die Realität in Zweig-
stellen lange aus. In Zeiten der Digitalisierung ist das nicht
mehr tragbar. Zweigstellen können nicht mehr als Satelliten
mit langsamen und unzuverlässigen Verbindungen fungieren.
Unternehmen brauchen heute überall im verteilten Netzwerk
Flexibilität und schnelle Reaktionszeiten für Transaktionen,
Workflows, Applikationen und Datenanfragen.
MPLS-Lösungen (Multiprotocol Label Switching), die traditi-
onell im WAN eingesetzt werden, bremsen die digitale Trans-
formation allerdings aus. Sie sind meist nicht nur teuer, son-
dern auch unflexibel. Für digitale Geschäftskonzepte sind sie
daher nur bedingt geeignet. So hat MPLS zum Beispiel Proble-
me mit der Masse an Daten, die mittlerweile durch Netzwerke
fließt.
Nutzer und Nutzertypen haben zugenommen, genauso wie
das Datenvolumen durch Sprach- und Video-Traffic. Unter-
nehmen brauchen daher immer mehr Bandbreite und steigen
zunehmend von MPLS auf Breitband um. Ebenfalls angestie-
gen ist die Nutzung der Geschäftsanwendungen mit Verbin-
dungen zu Zweig
"Ob in der Zentrale oder in Au-

ßenstellen – Unternehmen be-
nötigen heute hohe Geschwin-
digkeiten und konsistente
Verbindungen", sagt Josef
Meier, Director Sales Enginee-
ring Germany bei Fortinet,
und zeigt, wie SD-WAN hier
helfen kann.
Bild: Fortinet
SEITE 101
stellen. Das schließt Cloud-basierte Netzwerke und Dienste

wie Infrastructure-as-a-Service (IaaS) und Software-as-a-Ser-
vice (SaaS) mit ein.
Problematisch ist auch, dass Router bei klassischen WAN-
Verbindungen keine Sichtbarkeit in Traffic und Applikationen
bieten. Das ist allerdings eine Grundvoraussetzung, um Busi-
ness-Applikationen mit der nötigen Bandbreite und möglichst
geringer Latenz zu versorgen. Software-definierte Wide Area
Networks (SD-WAN) sollen die Probleme von MPLS beseitigen
und den Weg zur digitalen Transformation bereiten.
SD-WAN unterstützt digitale Transformation in Unter-

nehmen
SD-WAN wurde entwickelt, um die Herausforderungen her-
kömmlicher MPLS-basierter Filial-Netzstrategien zu bewäl-
tigen. Es bietet den Nutzern in den Zweigstellen flexiblen
Zugriff auf Ressourcen – überall im verteilten Netzwerk. Zu-
sätzlich ermöglicht SD-WAN den Nutzern, auf Anwendungen
zuzugreifen, komplexe Workflows zu generieren und Cloud-
basierte Services auf zahlreichen Geräten zu nutzen – wozu
auch die privaten Endgeräte der Mitarbeiter zählen.
Zudem erlaubt SD-WAN eine tiefe Sichtbarkeit in Anwendun-
gen sowie First Packet Classification. Das bedeutet, es analy-
siert Traffic automatisch und teilt ihn in Kategorien wie Typ,
Nutzer, Quelle und Ziel ein. Kritische Applikationen werden
dann über Pfade geleitet, die eine entsprechende Bandbreite
anbieten und somit eine minimale Latenz ermöglichen. Zu-
sammen mit einer vereinfachten Ausfallsicherung kann eine
SD-WAN-Lösung geschäftskritische Anwendungen besser un-
terstützen. SD-WAN bietet Unternehmen somit einige Vorteile
gegenüber klassischen WAN-Lösungen. Doch die Technologie
bringt auch Herausforderungen für die Sicherheit mit sich, die
Unternehmen adressieren müssen.
Neue Technologien fordern Umdenken in der Security

Unternehmen nutzen zunehmend SaaS-Lösungen. Dadurch
erhöht sich auch der verschlüsselte Datenverkehr im Netz-
werk. Cyber-Kriminelle können diese Verschlüsselung für
ihre Zwecke nutzen, indem sie darüber Malware einschleu-
sen. Viele Security-Geräte geraten allerdings an ihre Grenzen,
wenn sie verschlüsselten Traffic auswerten müssen. Abhilfe
schafft eine SSL-Inspektion am WAN-Edge. Diese sollte tief- SEITE 102
gehend und leistungsstark sein, um Malware zu überwachen

und für Transparenz zu sorgen.
Außerdem erhalten im SD-WAN kritische Anwendungen Inter-
netzugang und können so zum Einfallstor für Bedrohungen
werden. Um hier für Sicherheit zu sorgen, sollten Unterneh-
men eine Next Generation Firewall (NGFW) der Enterprise-
Klasse einsetzen. Diese bietet Bedrohungs- und Erkennungs-
schutz – ohne die Performance von Geschäftsanwendungen
zu beinträchtigen.
Die größte Schwäche eines SD-WAN ist gleichzeitig seine größ-
te Stärke: seine hohe Vernetzung und Flexibilität. Alle Teile
des Netzwerks können zu Einfallstoren für Malware werden
– das betrifft Cloud-Verbindungen und externe Nutzer genau-
so wie IoT-Geräte und die Außenstellen. Ein solch komplexes
System braucht speziell darauf abgestimmte Security.
Security- und Netzwerklösung müssen zusammenarbeiten

Um einer SD-WAN-Architektur gerecht zu werden, muss Se-
curity bereits Teil der Planung sein und ein ähnliches Design
nutzen. Das heißt: Sie muss schnell, flexibel und skalierbar
sein. Das erreichen Unternehmen, wenn sie die drei folgenden
Elemente für Sicherheit in verteilten Netzwerken beachten.
Eine große Palette an Security-Werkzeugen muss überall im
SD-WAN verfügbar sein – nicht nur in der Zentrale, sondern
ebenso in den Zweigstellen. Zu diesem Repertoire gehören
beispielsweise eine NGFW, Intrusion-Detection- (IDS) und In-
trustion-Prevention-Systeme (IPS) sowie Anti-Viren und -Mal-
ware-Tools.
Ideal ist es, die SD-WAN-Funktion direkt über die NGFW zu
beziehen. Ist sie nativ eingebettet, stellt nicht nur genug Leis-
tung für den Betrieb der Security Tools bereit und kann auch
mit einer einzigen Konsole verwaltet werden. Das bedeutet we-
niger Zusatzgeräte und weniger Aufwand für das IT-Personal.
Die Sicherheitsfunktionen des SD-WAN sollten zudem mit den
verwendeten Security-Tools überall im verteilten Netzwerk
kompatibel sein. Nur so können Unternehmen Bedrohungen,
Daten und Maßnahmen in Relation setzen. Denn, indem Un-
ternehmen Bedrohungsinformationen sammeln, korrelieren
und adressieren, verbessern sie die Sicherheit überall im ver-
teilten Netzwerk. SEITE 103
Digitale Transformation braucht SD-WAN – mit integ-

rierter Security
Ob in der Zentrale oder in Außenstellen – Unternehmen benö-
tigen heute hohe Geschwindigkeiten und konsistente Verbin-
dungen. SD-WAN bietet dies und löst zunehmend traditionelle
MPLS-basierte WAN-Lösungen ab. Unternehmen sollten dabei
von Anfang an die Security bedenken. Denn Sicherheitstools
nachträglich hinzuzufügen ist aufwändig und komplex. Ideal
ist eine Lösung, die umfassende Security Tools bietet, nativ in
das SD-WAN eingebettet ist und perfekt mit anderen Security-
Lösungen im Netzwerk zusammenspielt. So schaffen Unter-
nehmen nicht nur mehr Sicherheit, sondern senken auch die
Betriebskosten des SD-WAN.
¨ Anna Kobylinska
SEITE 104
CIOBRIEFING
Technology-Update für IT-Manager
Regelmäßig
kostenlos lesen?
www.bigdata-insider.de/cio www.blockchain-insider.de www.cloudcomputing-insider.de/cio www.datacenter-insider.de/cio
www.dev-insider.de/cio www.ip-insider.de/cio www.security-insider.de/cio www.storage-insider.de/cio

Best of IP Insider

Hochgeladen von

Dokumentinformationen

Beschreibung:

Originaltitel

Copyright

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Beschreibung:

Copyright:

Best of IP Insider

Originaltitel:

Hochgeladen von

Beschreibung:

Copyright:

www.ip-insider.

Wird SD-WAN MPLS verdrängen?............................................................................................................................................................. 3

TECHNOLOGIE & ZUKUNFT

Was ist NBASE-T und auf was kommt es dabei an..................................................................................................................54

IMPRESSUM Inhaltlich Verantwortliche gemäß § 55 Absatz 2 RStV:

Software-Defined Wide Area Networking vs. Multi-

Wird SD-WAN MPLS verdrängen?

WAN in vielen Fällen MPLS für

ter (Over the Top) glauben machen wollen. Im Gegenteil: beide

Neue Datenverkehrsmuster sind im Entstehen

dem die zugrundeliegende Netzwerkinfrastruktur gehört, ein

Den Datenfluss smart ausbalancieren

Außerdem benötigen Unternehmen heute smarte Netzwerke,

MPLS bietet Sicherheit

Darüber hinaus sollte ein MPLS-Provider in der Lage sein, zu-

Fazit: Das Beste aus beiden Welten

Netzwerk-Absicherung mit Fokus auf das Domain

So funktioniert eine DNS-basierte

DNS muss keine

Eine weitere Bedrohung der letzten Zeit ist Ransomware, wo-

Allzweckwaffe Domain Name System

Das DNS verteidigt in vorderster Front

ist Bestandteil jeglicher Netzwerkverbindung – egal ob bösar-

Vorbeugung und Integration auf allen Ebenen

Als Mittelsmann jeglicher Netzwerkverbindung ist das DNS

DNS Security Services unterstützen die Abstimmung der Stör-

Worauf man bei der Auswahl einer DNS-Security-Lö-

Mit Hilfe von Verhaltensanalysen werden DNS-Pakete genaues-

Unternehmen auf dem Weg in die Cloud

Wunsch und Wirklichkeit bei der

Die Cloud bietet Unterneh-

Bild: © Jakub Jirsák - stock.adobe.com

auch Betriebskosten gesenkt werden, eine höhere Kundenzu-

Die ernüchternde Cloud-Realität

schnelle Umstellung auf die Cloud häufig mit unzureichen-

Cloud muss nicht immer die günstigste Wahl sein

Die Lücke schließen: Best Practices für die Bereitstel-

gutes Kundenerlebnis sicherstellt. Die folgenden Best Practi-

Fähigkeiten: In der heutigen IT-Landschaft ist es enorm

Baselines: Ein Spruch sagt: „Was man nicht weiß, macht

Nur wer sein aktuelles Rechenzentrum sehr genau kennt,

Zusammenarbeit: Zusammenarbeit hat viele Gesichter. Die in

finden, um all diese Informationen an einem zentralen Ort

Worauf IT-Abteilungen bei der „Workforce Trans-

Ohne moderne Workplace-

Höhere Produktivität und zufriedenere Mitarbeiter

Außerdem droht Unternehmen bei der Nicht-Transformation

Ähnliche Folgen hat eine Nicht-Transformation im „War for

Mehrschichtiger Ansatz verspricht bestes Schutzniveau

gen sie aber neue Herausforderungen mit sich. Die Mobilge-

Das beste Schutzniveau verspricht ein mehrschichtiger An-

Zudem müssen die Mobilgeräte und Home-Office-PCs natür-

Für einen noch tiefergehenden Schutz vor Schadsoftware

Spezielle Unternehmensplattformen für digitale Arbeits-

Netzwerke als Wegbereiter des

Das Internet ist nicht mehr, was es einmal war

Ohne Edge Computing geht

mehr – und ohne vernünftig

Datentarif vorstellen: Auch wenn viele Tarife mittlerweile als

Außerhalb der wichtigsten Märkte gibt es in ländlichen Gegen-

Edge-Sicherheit ist besser

Für die Langstreckenkommunikation kommunizieren die

Fähigkeiten: In der heutigen IT-Landschaft ist es enorm

Baselines: Ein Spruch sagt: „Was man nicht weiß, macht