Erstmals wurden in Deutschland gezielt IT Governance-Experten, das heißt Fachkräfte vor allem aus den Bereichen IT, Risikomanagement sowie Revision und Audit zum Stand des Cloud Computings in ihren Unternehmen befragt.
Wenn ein Fachverband für IT-Prüfung und -Steuerung (ISACA) gemeinsam mit einer Wirtschaftsprüfungs- und Beratungsgesellschaft (PwC) in Deutschland eine Umfrage zum Thema Cloud Computing durchführt, lässt sich erahnen, dass Cloud-Services nicht mehr nur ein Thema für die IT-Zukunftslabore sind.
Abseits euphorischer Marktentwicklungsstudien und Diskussionen über das disruptive Potenzial der Cloud wollten die Initiatoren wissen, wie es wirklich um den Einsatz von Cloud Services in Deutschland steht: Wie ist die Durchdringung, wer ist Treiber oder Bremser, welche Erfolgsfelder und welche Defizite werden wahrgenommen und vor allem: wie beeinflussen die Cloud-Services die Steuerung der IT-Landschaft.
Mit Hilfe eines Marktforschungsinstituts wurde das Stimmungsbild von mehr als 300 ISACA Mitgliedern erhoben, die sowohl den deutschen Mittelstand als auch global agierende Konzerne repräsentieren. Hierbei handelt es sich um Einschätzungen aus weit über 300 Unternehmen, da die ISACA Mitglieder teilweise als freie Mitarbeiter in unterschiedlichen Unternehmen arbeiten.
Die Cloud ist angekommen
Cloud Computing ist in den Unternehmen angekommen: Sieben von zehn befragten Unternehmen setzen bereits Cloud Computing ein. Es sind häufig die IT-Abteilungen, die den Einsatz von Cloud-Services vorantreiben und sich zugleich auf eine Weiterentwicklung der eigenen Rolle einstellen. Größere Unternehmen nutzen Cloud-Services intensiver als kleinere und haben öfter eine Cloud-Strategie. Vor allem Unternehmen aus den Branchen "Technologie, Medien und Kommunikation" sowie "Automotive" haben häufiger eine Cloud-Strategie als Unternehmen anderer Branchen.
Sorge um die Sicherheit
Oftmals werden Cloud-Services pauschal mit dem Argument abgelehnt, sie seien nicht sicher genug oder erschweren das Erfüllen gesetzlicher oder regulatorischer Anforderungen. Auch die Studie zeigte, dass bei etwa drei von vier Unternehmen, die noch keine Cloud-Services nutzen, vor allem Sicherheitsbedenken und Compliance-Sorgen einer Nutzung entgegenstehen. Doch das ist nicht immer so: Interessanterweise erwartet etwa ein Viertel der Befragten eine höhere Informationssicherheit, wenn Cloud-Services eingesetzt werden.
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz
Für neun von zehn der Befragten sind Informationssicherheit und Compliance entsprechend die entscheidenden Kriterien bei der Auswahl eines Cloud-Services und des dazugehörigen Cloud-Anbieters. Stark an Bedeutung gewonnen hat der Serverstandort. Dies lässt darauf schließen, dass die Cloud-Nutzer es als immer wichtiger einschätzen, welchem Rechtsrahmen der Cloud-Anbieter unterliegt.
Wenig überraschend sieht über die Hälfte der Fachbereiche für IT-Sicherheit und Datenschutz das Cloud Computing eher skeptisch. Die Fachbereiche Produktion, Vertrieb oder das Management dagegen sehen die Vorteile von Cloud-Services und befürworten diese teilweise deutlich.
Die Nutzung von Public Clouds stößt in den Unternehmen allerdings immer noch auf Vorbehalte. Nur jeder zweite Befragte ist bereit, eine Public Cloud zu nutzen, sofern die Daten verschlüsselt sind. Etwa 90 Prozent von ihnen setzen allerdings voraus, dass sie die Schlüssel selbst kontrollieren können.
Neuland Exit
Die Studie hat gezeigt, dass bisher nur wenige Unternehmen ihre Daten und Anwendungen wieder aus der Cloud zurückgeholt haben. Auch den Anbieter haben bisher nur wenige gewechselt. Die Beweggründe für einen Exit waren der Studie zufolge meist gestiegene Kosten, nicht erfüllte Erwartungen oder auch ein eingestellter Service. Unter den Studienteilnehmern überwiegen die positiven Erfahrungen, die mit einem Aus- oder Umstieg verbunden sind.
- Managed Services - die besten Systemhäuser
Hier stellen wir Ihnen die Systemhäuser vor, die die besten Noten von ihren Anwendern im Segment Managed Services bekommen haben. - Platz 3: Bechtle
Note 1,90 <br/><br/> Vorjahr Ranking <br> Platz: 2 <br> Note: 2,03 - Platz 2: Cancom
Note 1,59 <br/><br/> Vorjahr Ranking <br> Platz: 3 <br> Note: 2,41 - Platz 1: MR Systeme
Note 1,21 <br/><br/> Vorjahr Ranking <br> Platz: - <br> Note: -
Wunsch nach mehr Orientierung
Viele Unternehmen binden heute Services in ihre IT-Landschaft ein, die von externen Dienstleistern bereitgestellt werden. Die Lieferketten für die IT werden länger und globaler, so dass die IT-Landschaften zunehmend komplexer werden. IT-Steuerungsmodelle versprechen, diese Komplexität zu systematisieren, zu steuern und damit auch zu beherrschen.
Die meisten Unternehmen, die solche IT-Steuerungsmodelle nutzen, sind mit diesen auch grundsätzlich zufrieden. Dennoch decken sie offensichtlich die Anforderungen für die Steuerung von Cloud-Services nur unzureichend ab.
So wünscht sich fast die Hälfte der Befragten mehr Orientierung. Dieser Wunsch bezieht sich beispielsweise auf Cloud-spezifische Vorgaben und Richtlinien, insbesondere zu Risikomanagement, Prüfbarkeit und Rechtssicherheit (siehe Abbildung).
Veränderungen der IT
Die Mehrheit der Befragten rechnet damit, dass sich der vermehrte Einsatz von Cloud-Services deutlich auf die IT Governance und den aufzubringenden Aufwand auswirken wird. Dies erscheint insbesondere vor dem Hintergrund der seit langem verfolgten Standardisierungsbemühungen bemerkenswert.
Vermehrte Aufmerksamkeit wird laut den Befragten vor allem das Management der IT-Sicherheit erfordern. Auch der Aufwand, der beispielsweise für juristische Prüfungen sowie Audits bei Dienstleistern anfällt, wird aus Sicht der großen Mehrheit steigen.
Fazit
Die vorliegende Studie zeigt: Cloud Computing ist schon lange kein Trend mehr - das neue Paradigma ist in den Unternehmen bereits zur Realität geworden. Aus den Ergebnissen lassen sich drei Erkenntnisse ableiten:
Erstens: Die Intensität der Nutzung von Cloud-Services und der erforderliche Management-Aufwand werden steigen.
Zweitens: Informationssicherheit und Compliance sowie entsprechende Zertifizierungen sind und bleiben Schlüsselthemen.
Drittens: Die Rolle der IT und ihre Aufgabenschwerpunkte werden sich verändern.
Genau für diese Bereiche fehlt es jedoch noch an Orientierung beispielsweise in Form von Richtlinien, Prüfleitfäden oder auf Cloud abgestimmten IT-Steuerungsmodellen. Unternehmen erwarten von Dienstleistern nachvollziehbare, transparente und vergleichbare Sicherheits- und Governance-Ansätze, die zu denen im eigenen Unternehmen passen. ITIL/ISO 20000 und ISO 27001 sind bereits jetzt bevorzugte Standards, reichen für die Steuerung von Cloud Computing jedoch nicht aus.
Da sich auch die Politik bereits seit längerem mit den Auswirkungen von Cloud Computing befasst, sind in den nächsten Monaten mehrere, teilweise gravierende Veränderungen hinsichtlich der Compliance-Anforderungen zu erwarten. Die Verantwortungsträger müssen ihre Governance immer wieder überprüfen und anpassen. Denn letztendlich haftet für die Informationssicherheit stets die Unternehmensführung. (bw)