IT-Standards
In der IT gibt es drei Arten von Standards: Offizielle Standards, inoffizielle Standards und de-facto Standards, die von Herstellern geschaffen werden. Die Implementierung der offiziellen und inoffiziellen Standards und die Ausgestaltung der gebotenen Funktionalität ist hersteller- und produktspezifisch. 1:1 austauschbar sind meist nur Computer, und das auch nur gegen Geräte mit dem gleichen Betriebssystem. Bei Netzwerk- und Sicherheitsgeräten sieht es anders aus, genauso wie bei Applikationen.
Hat man sich in einem Teilbereich für Produkte eines Herstellers entschieden, so bleiben diese Produkte Teil des Ökosystems des Anbieters. Das Ziel des Herstellers ist es, dass ein Kunde möglichst viele Produkte aus dem proprietären Ökosystem des Herstellers verwendet. Nur innerhalb des herstellerspezifischen Ökosystems ist ein nahtloses Zusammenspiel und eine koordinierte Administration gegeben. Solche herstellerspezifische Ökosysteme sind der de-facto Standard für die jeweiligen Hersteller.
Herstellerspezifische Ökosysteme haben einen grossen Einfluss auf die IT von Unternehmen und werden von den Geschäftsleitungen trotz der sich ergebenden Abhängigkeiten zu wenig beachtet. Abhängigkeiten sind Geschäftsrisiken und sollten als solche behandelt werden. Hersteller haben kein Interesse daran, dass ihre Produkte einfach gegen Konkurrenzprodukte ausgetauscht werden können. Das würde die Marktposition schwächen.
Wieso offizielle Standards?
Offizielle Standards sind unerlässlich, damit Produkte unterschiedlicher Anbieter miteinander interoperabel sind. Interoperabel in Bezug auf Kommunikation, Datenaustausch und Verwaltbarkeit. Für Anbieter ist der Verweis auf Unterstützung von Standards (compliance with standards) ein wichtiges Verkaufsargument. So wird im Herstellermarketing Interoperabilität suggeriert.
Ein Anbieter muss seine Produkte allerdings auch von der Konkurrenz differenzieren. Deshalb werden Standards meist proprietär implementiert. Volle Einhaltung von Standards und Interoperabilität ist nur in Bezug auf Netzwerk und Datenaustausch unerlässlich. Für die restliche Implementierung der Produktfunktionalität hat die Differenzierung von Angeboten anderer Hersteller Vorrang. Oft sind solche Differenzierungen auch Voraussetzung für die Integration in das Ökosystem eines Herstellers.
Offizielle Standards sind für die Interoperabilität zwischen Produkten unterschiedlicher Hersteller unerlässlich. In der Realität schränken Hersteller diese Interoperabilität so ein, dass nur ihre Produkte voll, inklusive Administration, miteinander interoperabel sind.
Wer veröffentlicht offizielle IT Standards?
Standards wurden ursprünglich von nationalen Normierungsorganisationen bestimmt und veröffentlicht. Diese sind in der International Standards Organisation (ISO) international zusammengeschlossen. Es gibt entsprechend internationale und nationale Standards. Dies bedeutet allerdings nicht, dass sich die nationalen Organisationen mit ihren Standards an die internationalen Standards halten müssen.
Deshalb gibt es unterschiedliche internationale Standards für das Gleiche und nationale Standards, die bewusst von internationalen Standards abweichen. Ein gutes Beispiel dafür ist die US-Standardorganisation NIST, welche selbst bei den neuen Vorgaben für die Evaluation von kryptographischen Modulen (FIPS 140-3) von der entsprechenden ISO-Normen (ISO/IEC 19790:2012, ISO/IEC 24759:2017) abweicht, obwohl sie sich auf die ISO-Normen beruft.
Standards werden von unterschiedlichen Organisationen veröffentlicht, deren Zielsetzung unterschiedlichen Interessen dient. Und das sind oft die Interessen der involvierten Anbieter und der nationalen Politik.
Standardisierungs-Organisationen, die für IT relevant sind
Relevant in diesem Kontext heisst, dass es sich bei den von diesen Organisationen um veröffentlichte Standards handelt, die in einer Vielzahl von Produkten verwendet werden.
Die Verwendung von Standards bedeutet allerdings nicht, dass Produkte unterschiedlicher Hersteller in allen Bereichen interoperabel sind.
Die ISO (International Standards Organisation)
Die ISO (International Standards Organisation entwickelt und publiziert Standards. Darunter sind auch etliche, welche die IT in Bezug auf Organisation, Prozesse und Produkteigenschaften betreffen. So standardisiert ISO 27001/27002 die Organisation und die Prozesse für die Sicherheit von digitalen Daten. Das Problem von ISO-Standards für IT liegt im Aktualisierungsprozess der Standards. Da ist alles langwierig und auf Konsens ausgelegt. So kommt es, dass ISO-Standards teilweise nicht mehr den aktuellen Erfordernissen genügen und die Praxis weiter ist als die ISO-Standards. Ein weiterer Punkt liegt darin, dass ISO-Standards nicht bindend sind.
Die ITU (International Telecommunication Union)
Standards sind vor allem in der Kommunikation unerlässlich. Die ITU, die International Telecommunication Union, wurde ursprünglich geschaffen, um Standards in der Telefonie und Telegraphie zu entwickeln, so dass eine weltweite Interoperabilität gewährleistet ist. Sie ist eine Unterorganisation der Vereinten Nationen (UNO) und hat ihre Tätigkeit auf digitale Infrastruktur ausgeweitet. Bei den technischen Standards der ITU, ITU-T, handelt es sich um Empfehlungen, deren nationale Umsetzung freiwillig ist.
Das IEEE (Institute of Electrical and Electronic Engineers)
Das IEEE (Institute of Electrical and Electronic Engineers) ist nach eigener Aussage die weltweit grösste technische Fachorganisation, die sich für den Fortschritt der Technologie zum Wohle der Menschheit einsetzt. Der Hauptzweck des IEEE besteht darin, technologische Innovationen und Spitzenleistungen zum Nutzen der Menschheit zu fördern.
Im Alltag finden sich viele Produkte, die IEEE-Standards einsetzen, sowohl in der IT als auch ausserhalb. Das Problem der IEEE liegt in der «Thought Leadership», die von den Anbietern kommt und an deren kommerziellen Interessen orientiert ist. Vieles, was die IEEE in Sachen Standards macht, ist gut. Aber nicht alles. Und in Bezug auf Sicherheit, sollte man den jeweiligen Anwendungszweck beachten, wenn man auf IEEE-Standards setzt. Sonst bleibt der Schutz limitiert und Sicherheitslücken sind eingebaut.
Ein gutes Beispiel ist MACsec für die Verschlüsselung von Ethernet-Netzwerken. Für die Verwendung in einem LAN eine kosteneffiziente und adäquate Lösung, für die Verwendung in einem MAN oder WAN, ist die gewährte Sicherheit limitiert. MACsec ist gegen simple Denial-of-Service-Attacken anfällig, gegen die kein Schutz der Kontrollebene vorhanden ist. Das steht mittlerweile auch explizit im entsprechenden Standard-Dokument auf Seite 34:
"MACsec does not protect against brute force denial of service attacks that can be mounted by abusing the operation of particular media access control methods through degrading the communication channel or transmitting erroneous media access method specific control frames."
Solche Attacken gehören zum normalen Bedrohungsszenario, sobald Verbindungen über öffentlichen Grund führen. Trotzdem setzt die NSA und damit die USA selbst für Netzwerksicherheit auf höchster Stufe auf MACsec. Das, obwohl es auf dem Markt etablierte Lösungen gibt, welche diese Sicherheitsschwäche nicht haben. Aus amerikanischer Entwicklung gibt es zur Zeit nichts besseres.
Die IETF (Internet Engineering Task Force)
Die IETF (Internet Engineering Task Force) hat sich zum Ziel gesetzt, das Internet besser funktionieren zu lassen, indem sie qualitativ hochwertige, relevante technische Dokumente erstellt, welche die Art und Weise beeinflussen, wie Menschen das Internet gestalten, nutzen und verwalten. Diese Dokumente sind als RFC (Request for Comment) öffentlich und kostenfrei zugänglich. Auch bei der IETF kommen weitgehend Anbieterinteressen zum Zug.
"We make standards based on the combined engineering judgement of our participants and our real-world experience in implementing and deploying our specifications.”
Aktive Mitarbeit in einer Workgroup hat Auswirkung auf die Gestaltung eines Standards. Und Anbieter haben die meisten Ressourcen für die Mitarbeit in einer Workgroup. Ein Teil dieser Problematik ist exemplarisch in einem RFC beschrieben. Die Dominanz der Anbieter macht die IETF zu einem politischen Schlachtfeld, das weder den Standards noch der Ausgestaltung der Standards gut tut. Zu beachten ist, dass RFCs zwischen «MUST» und «SHOULD» differenzieren. Volle Interoperabilität ist nur bei mehrseitiger Einhaltung von «MUST» und «SHOULD» gegeben. Die wichtigsten Wahrheiten über Grundprinzipien von Netzwerken finden sich im (scherzhaften) RFC.
Das W3C (Worldwide Web Consortium)
Das Worldwide Web Consortium (W3C) ist nach eigenem Verständnis eine internationale Gemeinschaft, die offene Standards entwickelt, um das langfristige Wachstum des Internets zu gewährleisten. Das ist insofern etwas hoch gegriffen, als das Web oberhalb des Internet Protokolls angesiedelt ist. Nichtsdestotrotz ist das W3C für die Weiterentwicklung des Web und der Veröffentlichung entsprechender Standards die wichtigste Organisation. Sowohl wenn es um Web-Applikationen als auch um Daten, Dateien und deren Nutzung geht, können W3C-Standards die Grundlage für Interoperabilität beim Web (Design) und den Austausch von Daten mit Kontext (Semantic Web) und Dateien (XML) bilden.
Das MEF
Das MEF wurde 2001 als gemeinnütziges internationales Industriekonsortium gegründet und war ursprünglich auf Carrier-Ethernet-Netze und -Dienste ausgerichtet. Ab 2015 weitete das MEF seinen Arbeitsbereich erheblich aus, um zusätzliche Underlay-Konnektivitätsdienste wie optischen Transport und IP sowie Overlay-Dienste wie SD-WAN einzubeziehen. Dann nahm das MEF die Orchestrierung und Automatisierung mit seinem Lifecycle Services Orchestration (LSO) Framework und den zugehörigen Schnittstellen-Referenzpunkten und APIs in Angriff.
Das MEF ist als Industriekonsortium auf die Interessen der Anbieter, Carrier und Produkthersteller ausgerichtet. Im Gegensatz zu anderen Standardorganisationen bietet das MEF auch Zertifizierungsdienste an, welche die Einhaltung von Standards überprüfen und bescheinigen. Der Tätigkeitsbereich überlappt mit der ITU.
Nationale Standardisierungs-Organisationen
Nationale Standards und Normungen sind keine internationalen Standards, sondern nach nationalen Begebenheiten und nationalen Interessen, insbesondere Wirtschaftsinteressen, ausgerichtet. In den USA ist die Standardisierungsbehörde NIST dem Wirtschaftsministerium unterstellt. In der Schweiz kümmert sich die Schweizerische Normen-Vereinigung (SNV) um Normungen. Sie ist auch Mitglied in der ISO. Zu den meistverkauften Normen gehören ISO-Standards. In Deutschland ist das Deutsche Institut für Normung (DIN) zuständig. Nationale Standardisierungs- und Normungsorganisationen sind auch in der ISO vertreten und verkaufen ISO-Standards.
Proprietäre Implementierung von offiziellen Standards in der IT
Die meisten Standards lassen bei der Umsetzung etliche Freiräume und decken zudem nur einen Teilbereich eines Produktes ab. In der IT verwendet der Kunde Produkte und ist von der Umsetzung des Standards durch den gewählten Hersteller abhängig. Deshalb sollte man vor dem Kauf oder dem Abschluss eines Nutzungsvertrags abklären, inwieweit Interoperabilität mit den bereits vorhandenen und mit alternativen Produkten gegeben ist. Diese Abklärung darf nicht eindimensional sein und sich auf die Funktionalität (FUNCTIONALITY) beschränken. Ohne Berücksichtigung von Überwachung und Monitoring (RUN) und Konfigurationsmanagement (CHANGE) sind Probleme vorprogrammiert.
Zudem muss die Zukunftsfähigkeit berücksichtigt werden. Wird ein Produkt nicht laufend weiterentwickelt, so veraltet es relativ schnell und wird zur technischen Schuld (technical debt). Diese technischen Schulden müssen bezahlt werden, entweder laufend oder dann angehäuft in der absehbaren Zukunft. Proprietäre Implementierungen dienen Herstellern zur Differenzierung ihrer Produkte, können zu einem Lock-in führen und die Betriebskosten erhöhen. Beides sind ungewollte Aspekte eines Produktkaufs oder einer Nutzung. Bei der Implementierung von Produkten machen offizielle Standards nur einen geringen Anteil aus. Auch wenn ein Produkt Standards berücksichtigt, bleibt es in der Regel proprietär. Das gilt übrigens auch für Open-Source, nur kann bei Open-Source der Code den eigenen Bedürfnissen angepasst werden.
Inoffizielle Standards
Inoffizielle Standards sind öffentlich zugängliche Standards, die nicht von einer Standardisierungs-Organisation veröffentlicht worden sind. Sie können aber trotzdem standardmässig als Teil anderer Produkte ausgeliefert werden und sind insofern herstellerunabhängige de-facto Standards. Ein typisches Beispiel für einen inoffiziellen Standard ist WireGuard, ein Verschlüsselungsprotokoll für IP, das Internet Protokoll. Es ist mittlerweile Teil des Linux-Kernels und wird mit praktisch allen Linux-Distributionen ausgeliefert. Es ist auch integriert in Android und deshalb weitverbreitet. Speziell im Bereich Remote Access kommen WireGuard-basierte Lösungen immer öfter zum Einsatz. Sowohl die kryptographischen als auch die netzwerkorientierten Eigenschaften von WireGuard sind besser als die von IPSec und von SSL-VPN. Wie bei den Alternativen kommt es auch bei WireGuard auf die entsprechende Implementierung durch einen Anbieter an.
De-facto Standards
Bei de-facto Standards handelt es sich um herstellerspezifische Standards, die sich auf dem Markt als Standards durchgesetzt haben, ohne dass sie von einer Standardisierungs-Organisation so als Standard definiert wurden. Sämtliche Betriebssysteme in all ihren Variationen sind de-facto Standards. Das gilt auch für die Mehrzahl der Standard-Programme und insbesondere von Applikationen, die im Unternehmenseinsatz sind, wie zum Beispiel SAP, MS Office, MS-Exchange, MS-Active Directory, Oracle Applikationen, etc. Selbst wenn mittlerweile zumindest XML-basierte Dateiformate unterstützt werden und normiert sind, so sind die darin enthaltenen Daten nur bei Unterstützung sämtlicher Programmfunktionen, die bei der Erstellung der Datei verwendet wurden, auch durch ein anderes Programm voll nutzbar.
Cloud-gestützte Applikation wie MS Teams sind ebenfalls de-facto Standards und führen dazu, dass der Kunde zur Nutzung von Exchange und Active Directory in der Azure-Cloud gedrängt wird. Für volle Funktionalität muss sich der Kunde damit arrangieren, dass es nur mit Microsoft 365 geht.
Viele Standards, aber doch kein Standard
Es gibt ihn kaum, den einzig wahren Standard. Denn dann wären Produkte beliebig austauschbar. In der Praxis herrscht eine Vermischung von offiziellen mit inoffiziellen und de-facto Standards, die proprietär implementiert werden. Innerhalb des Ökosystems eines Herstellers funktioniert die Interoperabilität einigermassen gut, doch sieht das in der Kombination von Ökosystemen unterschiedlicher Anbieter nicht mehr so rosig aus. Trotz Standards.