IT-Security-Strategie der UEFA

"Der US-Markt ist weiter als der europäische"

Simon Hülsbömer
Simon verantwortet redaktionell leitend die Themenbereiche IT-Sicherheit, Web und Datenschutz. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter und ab und an die iPad-Ausgaben der COMPUTERWOCHE. Aufgaben als Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Email:
Connect:
Nicht nur Fußballfans, auch IT-Verantwortliche des Europäischen Fußballverbandes UEFA sind an Spieltagen der Champions League im Einsatz - so auch heute, wenn die letzten Vorrundenentscheidungen fallen. Ein Gespräch mit Weynand Kuijpers, Senior Service Delivery Manager bei der UEFA im schweizerischen Nyon.

CW: Wie viele IT-Fachkräfte sind bei der UEFA beschäftigt?

KUIJPERS: Knapp 100, die an unserem Hauptsitz in Nyon zumeist im On-Premise-Bereich tätig sind.

CW: Arbeiten Sie darüber hinaus mit IT-Dienstleistern zusammen?

Weynand Kuijpers ist Senior Service Delivery Manager bei der UEFA in Nyon.
Weynand Kuijpers ist Senior Service Delivery Manager bei der UEFA in Nyon.
Foto: UEFA

KUIJPERS: Ja, einige unserer Partner programmieren unter anderem Management-Software für die von uns organisierten Wettbewerbe. Andere virtualisieren unsere Server-Infrastruktur. Auch im Security-Bereich setzen wir auf externes Know-how. Ich würde sagen, dass wir zehn große Partner haben und um diese herum ein ganzes Netzwerk von rund 40 weiteren Dienstleistern beschäftigen, die unser Web-Angebot mit teils innovativen Ideen bereichern. Teils sind es auch Zulieferer von Inhalten, die wir in Echtzeit benötigen - beispielsweise Live-Ergebnisse und Statistiken während eines Fußballspiels. Das können wir mit internen Ressourcen nicht kurzfristig bereitstellen. Insgesamt sind es also um die 50 Partnerunternehmen.

CW: Wie wählen Sie Ihre Partner aus?

KUIJPERS: Weil wir eine europäische Organisation sind, liegt unser Fokus auf europäischen Unternehmen - besonders auf denen, mit denen wir in derselben Zeitzone zusammenarbeiten können. Es ist zudem nicht einfach, sich mit nichteuropäischen Partnern auf einen adäquaten Datenschutzlevel zu einigen. Werden Online-Services zugekauft, ist deren Stabilität und Performance ein weiteres Entscheidungskriterium. Darüber hinaus gibt es unsererseits aber keine Beschränkungen, was globale Kooperationen angeht - beispielsweise mit Unternehmen aus den USA. Besonders im Sportbereich ist der US-Markt ein sehr kreativer und auch weiter entwickelt als der europäische, was Online-Services und entsprechende Geschäftsmodelle angeht. Wir haben deshalb schon häufiger mit nordamerikanischen Dienstleistern zusammengearbeitet.

CW: Wie steht es um den interkontinentalen Erfahrungsaustausch innerhalb des Weltfußballverbands FIFA?

KUIJPERS: Wir tauschen uns zweimal jährlich mit den anderen Kontinentalverbänden darüber aus, wie wir neue Technologien und IT-Entwicklungen einsetzen können, um das Fußballerlebnis der Fans auf der ganzen Welt zu verbessern. Es ist aber nicht so, dass wir dauerhaft zusammenarbeiten würden. Stattdessen stehen wir von der UEFA in ständigem Austausch mit den großen US-Sportverbänden wie der MLB (Major League Baseball) oder der NFL (National Football League), die ein Sports-Entertainment-Angebot im Web betreiben, von dem wir uns noch etwas abschauen können.

Gegen böswillige Fußballfans

CW: Lassen Sie uns über die Sicherheit Ihrer Web-Dienste sprechen. Wie schützen Sie Server, Anwendungen und Inhalte?

KUIJPERS: Zwei Aspekte treiben unsere IT-Security-Strategie. Zum einen sind es unzufriedene Fußballfans, die nach umstrittenen Spielen, Schiedsrichterentscheidungen oder anderen Vorkomnissen auf dem Platz und außerhalb, unsere Website als Plattform nutzen möchten, um ihrem Unmut Luft zu verschaffen. Zum anderen sind es persönliche Informationen über Spieler oder Schiedsrichter, die wir auf unseren Servern hosten. Da diese nicht für die Öffentlichkeit bestimmt sind, müssen wir sie besonders schützen. Was die Umsetzung angeht, lassen wir das meiste von Dienstleistern erledigen, damit wir uns auf unser Kerngeschäft Fußball konzentrieren können.

Um die physikalische Sicherheit der Rechenzentren, die redundante Verfügbarkeit von Daten und Services kümmert sich beispielsweise Interoute, das die Server-Infrastruktur samt Firewall-Systemen und den kompletten Storage betreut. Um uns vor öffentlichen Attacken zu schützen, haben wir DDoS-Mitigation-Dienste innerhalb des Netzwerks einrichten lassen. Was interne Dienste angeht, ermöglichen wir privilegierten Nutzergruppen und Partner via VPN den sicheren Zugriff auf interne Services von außerhalb. Das betrifft zum Beispiel die Planung von Wettbewerben, die logistische Abwicklung einzelner Veranstaltungen oder auch die Schiedsrichteransetzungen. Zu guter Letzt sorgen ID/IP-Systeme (Intrusion Detection und Intrusion Prevention) dafür, dass die Datenpakete, die die anderen Sicherheitssysteme bereits passiert haben, im internen Netz kein Unheil anrichten können.

CW: Wie häufig kommt es vor, dass Sie Ihre Server gegen Fans verteidigen müssen?

KUIJPERS: Gelegentlich gibt es Hochrisiko-Spiele und andere Situationen, nach und in denen das vorkommt. Jüngstes Beispiel war der Protest von Tierschutzaktivisten im Vorfeld der Europameisterschaft, als bekannt wurde, dass die ukrainische Regierung die Spielorte von Straßenhunden "befreite". Die UEFA hatte nichts damit zu tun - trotzdem ist es auf uns als Turnierveranstalter zurückgefallen. Es gab daraufhin einige DDoS-Angriffe von Anonymous-Hacktivisten auf unsere Server. Das können wir weder verhindern noch kontrollieren - wir müssen aber sicherheitstechnisch darauf vorbereitet sein. Es darf nicht passieren, dass unsere Webpräsenz verschwindet, gehackt und verändert wird, um beispielsweise auf fremde Inhalte zu verweisen. Das Schlimmste wäre nämlich, wenn die Marke UEFA durch solche Vorfälle Schaden nähme - das müssen wir unbedingt verhindern.

Lesen Sie auf der nächsten Seite: Wie das erhöhte Besucheraufkommen im Online-Ticketing abgefedert wird, warum die UEFA ihre Rechenzentren in Amsterdam und Genf betreibt und wie es um mobile Services für Fußballfans im Stadion steht...

Newsletter 'CP Business-Tipps' bestellen!