Red Hat, Subskriptionen und Sicherheit

Warum Subskriptionen bei Open-Source-Produkten für mehr Sicherheit im Unternehmen sorgen, erklärt Marco Bill-Peter, Vice President Customer Engagement und Experience bei Red Hat im Interview mit silicon.de.

silicon.de: Open Source bedeutet nicht automatisch gratis. Will ich Technologien von Red Hat verwenden, kann ich das ja auch über CentOS kostenlos tun und das auch, ohne ein rechtliches Risiko einzugehen oder einen Urheberrechtsverstoß zu begehen. Warum aber nutzen Unternehmen dennoch die kostenpflichtigen Subskriptionen von Red Hat? 

Bill-Peter: Weil sie einen großen Mehrwert in unseren Subskriptionen sehen. Sie beinhalten nicht nur den bekannten Support von Red Hat, sondern bieten auch garantierte Sicherheits-Updates, Zertifizierungen, verlässliche Produktlebenszyklen und Zugang zu unserem Kundenportal. Bei kostenlosen Linux-Versionen müssten die Unternehmen sich um Upgrades, Sicherheit und viele andere Dinge selbst kümmern. Deshalb bringen viele große, aber auch kleinere Unternehmen, die  Subskriptionskosten für die Leistungen von Red Hat gerne auf.

Außerdem glauben wir, dass wir beim Support für unsere Produkte bessere Leistungen bieten als unsere Mitbewerber. Wir haben mehr als eine Million Support-Fälle erfolgreich abgeschlossen und eine Wissensbasis mit rund 30.000 einzelnen Lösungen für Support-Fälle aufgebaut. Dieses Wissen in Kombination mit der technischen Expertise unserer Support-Mitarbeiter ist einzigartig, denn sie gibt uns die Möglichkeit, unseren Kunden sehr tiefgehende technische Produktinformationen zu verschaffen.

Marco Bill-Peter, Vice President Customer Engagement and Experience bei Red Hat. (Bild: Red Hat)
Marco Bill-Peter, Vice President Customer Engagement und Experience bei Red Hat, sieht durch kostenpflichtige Red-Hat-Subskriptionen deutliche Vorteile für Anwender. (Bild: Red Hat)

Entscheidend ist auch, dass wir gemeinsam mit unseren Kunden Mehrwerte erzeugen. Wir arbeiten eng mit ihnen zusammen, um ihnen genau die Lösung zu liefern, die sie benötigen. Das ist vielen Unternehmen wichtiger als kostenloses Linux zu verwenden. Mit Red Hat haben sie die Möglichkeit, Dinge wie Produkt-Roadmaps und die generelle Weiterentwicklung der Produkte zu beeinflussen.

silicon.de: Wenn ich eine Red-Hat-Subskription abonniert habe, kann ich dann eventuell an anderer Stelle Einsparungen realisieren, etwa dadurch dass ich mir externe Berater einsparen kann? Kann ein Anwender beispielweise auch von automatisierten Prozessen profitieren?

Bill-Peter: Die Subskriptionen von Red Hat erlauben System-Managern, mehr Systeme zu verwalten als sie mit kostenlosem Linux in der Lage wären. Sie müssen nicht sämtliche technischen Arbeiten selbst durchführen. Das bedeutet ganz reale Einsparungen. Kostenloses Linux zu pflegen heißt, den kompletten Lebenszyklus zu unterstützen, sich um die Sicherheit des Produkts zu kümmern und die Deployment- und Verteilungsmechanismen aufzusetzen. Um ihre Konfigurationen zu pflegen, müssten die Unternehmen mit Tools wie Puppet oder Chef hantieren. Mit Red Hat müssen sie sich darüber keine Gedanken machen, und das zahlt sich im wahrsten Sinne des Wortes aus.

silicon.de: Eine Lösung wie Red Hat Enterprise Linux kann sehr komplex sein, nicht immer ist im Anwender-Unternehmen für jeden Bereich entsprechendes Know-how vorhanden. Nicht alle Anwender wollen schnelle Produkt-Upgrades und stets die aktuellsten Funktionen. Vielfach wollen Unternehmen dauerhafte Lösungen. Welchen Einfluss haben hier Subskriptionen?

Bill-Peter: Das ist richtig, viele Unternehmen möchten Lösungen einmal einführen und dann über viele Jahre betreiben. Genau hier kann eine Subskription ihre Stärke ausspielen. So hat beispielsweise Red Hat Enterprise Linux standardmäßig einen Lebenszyklus von zehn Jahren.

Bestimmte Releases bieten einen erweiterten Support, der sogar über diesen Zeitraum hinausgeht. Durch diese langen Lebenszyklen können große und kleine Unternehmen ständige Änderungen vermeiden und wenn nötig, gezielt Sicherheits-Patches einspielen oder minimale Veränderungen vornehmen. Diesen Mehrwert erhalten Unternehmen mit kostenlosen Linux-Versionen nicht. Diese verändern sich ständig und bescheren Unternehmen damit eine hohe Austauschrate, was Kosten verursacht.

silicon.de: Auch wenn man nicht immer neue Funktionen wünscht, so brauchen Unternehmen doch sichere Lösungen. Shellshock, Poodle oder Heartbleed beherrschten im zurückliegenden Jahr die Medien. Welche Vorteile hatten Subskriptions-Kunden von Red Hat gegenüber anderen Open-Source-Nutzern?

Bill-Peter: Red Hat verfügt über ein bestens aufgestelltes Product Security Team mit einer sehr guten Bilanz beim Umgang mit bekannten Schwachstellen. In dem Moment, in dem eine neue Schwachstelle bekannt gegeben wird – das geschieht üblicherweise innerhalb eines Tages – hat das Team bereits ein Sicherheits-Update veröffentlicht. Das gilt nicht nur für aktuelle Produktversionen; wir patchen auch ältere Versionen, was diesen eine längere Lebensdauer gibt. Wie gesagt: Das ist ein Teil des Mehrwerts, den die Subskriptionen von Red Hat bieten.

Außerdem ist unser Product Security Team mit anderen Teams von Red Hat organisatorisch verknüpft. Tritt beispielsweise eine Schwachstelle auf, arbeitet es eng mit unserem Kundenportal-Team zusammen, um sicherzustellen, dass eine Dokumentation mit Informationen zu Patches und Fixes zur Verfügung steht. Unsere Security-Experten kooperieren aber auch mit den Software-Ingenieuren der Red Hat Access Labs. Wenn nötig, steht ein Lab zur Verfügung, das ihnen dabei hilft, die nötigen Schritte zur Behebung einer Schwachstelle zu entwickeln, oder das Kunden dabei unterstützt, gefährdete Umgebungen zu identifizieren. So haben wir beispielsweise in den Fällen Shellshock und Heartbleed nicht nur Patches bereitgestellt, sondern auch Apps, mit denen unsere Kunden ihre tatsächliche Gefährdungslage überprüfen konnten.

Durch die Integration über unsere ganze Organisation hinweg stellen wir darüber hinaus sicher, dass die Kunden über eine ganze Reihe unterschiedlichster Kanäle Informationen erhalten. Wir schicken E-Mails, veröffentlichen Mitteilungen oder posten in sozialen Medien, beispielsweise dem Red Hat Support Twitter Feed.

silicon.de: Es gibt auf der einen Seite stabile und ausgereifte Enterprise-Lösungen, andererseits bleibt die Linux-Welt nicht stehen. Docker, Hadoop, OpenStack sind junge Technologien, die aber mit großem Interesse verfolgt werden. Welche Vorteile hat ein Anwender, wenn er mit solchen Technologien experimentiert oder diese bereits produktiv einsetzt?

Bill-Peter: Es ist generell das Schöne an Open Source, dass Unternehmen bereits sehr früh Zugang zu Produkten erhalten und sich mit ihnen vertraut machen können. Auf Basis von OpenStack oder Docker können Unternehmen so in der Tat effektive Lösungen aufbauen. Sie können sie zunächst gemeinsam mit dem Support-Team von Red Hat testen, und dann damit in den Produktivbetrieb gehen. Indem sie mit diesen Technologien experimentieren, haben sie die Möglichkeit, etwas zu ihrer Weiterentwicklung beizutragen. Sie können bestimmte Gebiete und Aspekte beeinflussen und sich damit einen Wettbewerbsvorteil verschaffen.

Derzeit experimentieren beispielsweise viele Telekommunikations-Unternehmen mit den Network-Function-Virtualization-Tools von OpenStack, weil sie sich davon signifikante Kosteneinsparungen erwarten. Und dabei steuern sie auch Programmcode bei. Dadurch erhalten sie am Ende ein besseres Produkt, denn ihre Beiträge werden in eine Distribution einfließen, zu der Red Hat eine Subskription anbietet.

Aus der Möglichkeit, Beiträge zu leisten und damit das Produkt mitzugestalten, ziehen die Unternehmen einen ganz konkreten Nutzen: Innovation für sich selbst. Die Verlässlichkeit des Supports von Red Hat und ein zuverlässiger Lebenszyklus sorgen dann zusätzlich für sichere Implementierungen.