Was Unternehmen berücksichtigen sollten

Die Suche nach dem heiligen IaaS-Gral

17.12.2014

Von

René Büst ist Research Director in Gartners Managed Business and Technology Services Team mit Hauptfokus auf Infrastructure Services & Digital Operations. Er analysiert Entwicklungen im Bereich Cloud Computing (Anbieter von Managed Cloud-Services und Public Cloud sowie Cloud-Strategien wie IaaS, PaaS und Multicloud), digitale Infrastrukturen und Managed Services sowie den Einfluss der digitalen Transformation auf die IT. Seit Mitte der 90er Jahre konzentriert sich Herr Büst auf den strategischen Einsatz der IT in Unternehmen und setzt sich mit deren Einfluss auf unsere Gesellschaft sowie disruptiven Technologien auseinander.

Alle Posts des Autors Email: Connect:

Mythos Datenschutz und Datensicherheit

Seit Edward Snowden und dem NSA-Skandal haben sich zahlreiche Mythen um die Themen Datenschutz und Datensicherheit gebildet. Anbieter, insbesondere deutsche, werben seitdem mit einer höheren Sicherheit und mehr Schutz vor Spionage und anderen Angriffen, wenn die Daten in einem deutschen Rechenzentrum gespeichert werden. Die Krux: geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen. Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

Regel 1: Verschlüsselung ist Pflicht!
Einen Cloud-Anbieter ohne sichere Verschlüsselung sollten Sie unbedingt meiden. Denn werden Ihre Daten auf dem Weg zum Anbieter nicht verschlüsselt, so kann sie jeder abhören, der den Kommunikationsweg belauschen kann. Das können Geheimdienste oder polizeiliche Stellen sein, aber auch Cracker und sonstige Bösewichte. Besondere Vorsicht ist geboten, wenn Sie sich in einem öffentlichen Netzwerk befinden – etwa im Gratis-WLAN eines Cafés oder in einem Hotelnetzwerk. Hier kann schon der freundliche Herr mit dem Laptop am Nebentisch Ihre privaten Nachrichten und Bilder mitschneiden, wenn diese nicht verschlüsselt sind. Verschlüsselung auf Webseiten ist leicht zu erkennen – neben der Internet-Adresse (URL) wird ein Schloss-Symbol eingeblendet und oft verfärbt sich auch die Adresszeile. So können Sie prüfen, wer sich hinter Ihrem Cloud-Provider verbirgt. Viele Anbieter versprechen, dass auch nach der Übertragung alle Daten verschlüsselt sind – dieses Versprechen ist aber oft irreführend. Meist reklamiert der Cloud-Provider nämlich für sich die Möglichkeit, mit einem Zweitschlüssel den Klartext Ihrer Daten zu errechnen – viele Funktionen in der Cloud wären sonst nämlich gar nicht möglich.
Regel 2: Made in Germany ist das Maß aller Dinge
Der deutsche Datenschutz gehört zu den strengsten Regelwerken der Welt. Und was vielen ausländischen Cloud-Anbietern Kopfschmerzen bereitet, ist für Sie als Anwender ein unschätzbarer Vorteil. Hält sich Ihr Provider nämlich an das deutsche Datenschutzgesetz, so können Sie davon ausgehen, dass Sie auch konform sind. Das ist für Heimanwender weniger wichtig als für Unternehmen, die verschiedene Aufbewahrungs- und Geheimhaltungspflichten zu beachten haben. Geben Sie Ihre Daten in die Cloud, sollten Sie das bei einem deutschen Anbieter tun, der die Daten in einem deutschen Rechenzentrum ablegt. Das bringt mehr Sicherheit vor dem Zugriff durch ausländische Behörden und hat noch einen weiteren positiven Nebeneffekt: Durch die geographische Nähe Ihrer Daten zu Ihnen erhöht sich oft auch die Performance Ihrer Cloud-Anwendung.
Regel 3: Anbieterbindung vermeiden
Der Weg in die Cloud mag steinig sein, der Weg aus ihr heraus (oder in eine andere Wolke) ist oftmals ganz verbaut. Nicht wenige Anbieter nehmen gespeicherte Daten in eine Art Geiselhaft und machen einen Wechsel unmöglich. Diese Praxis – auch „Vendor Lock-In“ genannt – ist oft nicht einmal Absicht – es fehlen häufig Export-Routinen und vielfach (etwa bei CRM-Systemen oder anderen Enterprise-Anwendungen) sind die Daten ohne die dazugehörige Anwendungslogik schlicht unbrauchbar. Bei der Auswahl eines Cloud-Anbieters sollten Sie also darauf achten, dass er Ihnen auf Anforderung Ihre Daten wieder herausgibt – idealerweise in einem standardisierten Exportformat wie etwa XML. Zusätzliche Gebühren sollte dieser Service keinesfalls kosten.
Regel 4: Sicherheitskonzept prüfen!
Ein guter Cloud Provider ist stolz darauf, alle notwendigen Vorkehrungen für sichere Datenübertragung und -speicherung getroffen zu haben. Er wird sein Sicherheitskonzept also nicht geheim halten. Prüfen Sie vor einem Vertragsschluss, wie der Anbieter es mit der Sicherheit hält: Besonders die verschlüsselte Datenübertragung, ausfallsichere und möglichst verschlüsselte Datenspeicherung und ein zertifiziertes Rechenzentrum für die Cloud-Server sollten selbstverständlich sein. Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren liefern gute Anhaltspunkte. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, fehlen Zertifizierungen oder wird auch auf Anfrage keine Auskunft gegeben, ist Vorsicht geboten.
Regel 5: Einen "Plan B" haben
Geben Sie Ihre Firmen- oder persönlichen Daten in die Cloud, geben Sie sie aus der Hand und machen sich vom Anbieter abhängig. Aufgrund der Vielzahl von Unwägbarkeiten im Cloud Computing sollten Sie also vorher einen "Plan B" aufstellen und umsetzen. Dazu gehört, immer ein aktuelles Backup der Cloud-Daten anzufertigen, wo möglich, und dieses Backup entweder auf den eigenen Computern oder bei einem anderen Cloud-Anbieter abzulegen. Schließlich können Datenverluste jederzeit passieren – oder Ihr Cloud-Provider stellt den Geschäftsbetrieb im schlimmsten Fall gar ganz ein. Das ist in der Vergangenheit aus verschiedenen Gründen bereits mehrfach passiert. So hat der E-Mail-Dienstleister Lavabit aus Protest gegen NSA-Schnüffelvorhaben <a href="http://www.computerwoche.de/a/lavabit-gruender-zur-schliessung-verpflichtet,2544385" target="_blank">seinen Dienst quittiert</a> und der Linux-Anbieter Canonical hat seinen Speicherdienst „Ubuntu One“ hat aus wirtschaftlichen Gründen aufgegeben. Um vorzusorgen, müssen sie also Redundanz schaffen – entweder mit einem zweiten Cloud-Anbieter oder einem lokalen Backup Ihrer Daten. Sonst geraten Sie in Schwierigkeiten, wenn die Familienfotos oder Steuerunterlagen plötzlich unwiderbringlich verloren sind.

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre. Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann. Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten oder Angriffe durch Hacker einen besseren Schutz bietet ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann ist dies einzig und alleine mit der kriminellen Energie verbunden, die er bereit ist aufzuwenden und die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.

Nichtsdestotrotz haben US-amerikanische Cloud-Größen die Bedenken deutscher Unternehmen erkannt und haben angekündigt, ihre Services aus deutschen Rechenzentren anzubieten. Darunter Salesforce (Partnerschaft mit T-Systems) sowie VMware und Oracle. Jüngst hat auch Amazon ein Rechenzentrum in Deutschland eröffnet. Allerdings ist zu beachten, dass ein deutsches Rechenzentrum alleine nichts mit einer höheren Datensicherheit zu tun hat. Es erfüllt lediglich

die technischen Herausforderungen der Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit) und
die rechtlichen Rahmenbedingungen des deutschen Datenschutzniveaus.

Technische Herausforderungen

Bei dem technischen Assessment eines IaaS-Anbieters sollte grundsätzlich auf die folgenden Eigenschaften geachtet werden:

Scale-up- oder Scale-out-Infrastruktur
Container-Unterstützung für eine bessere Portabilität
OpenStack-Kompatibilität für Hybrid- und Multi-Cloud-Szenarien

Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen weiterer Ressourcen wie ganzer Rechnersysteme oder granularer Einheiten wie CPU und Arbeitsspeicher erhöht wird. Das System kann dann mit zunehmender beanspruchter Leistung linear mitwachsen. So lassen sich plötzliche Lastspitzen abfangen, das System bricht unter ihnen nicht zusammen. Zu unterscheiden sind Scale-up und Scale-out.
Scale-out (horizontale Skalierung) steigert die Leistung eines Systems, indem man weitere vollständige Rechner (virtuelle Systeme) zum Gesamtsystem hinzufügt, so wie ein Cluster skaliert, indem es immer um die benötigte Anzahl an Rechnern erweitert wird.
Scale-up (vertikale Skalierung) hingegen steigert die Leistung des Systems durch das Hinzufügen weiterer granularer Ressourcen zum Rechnersystem. Dabei kann es sich um Speicherplatz, CPUs oder Arbeitsspeicher handeln. Betrachtet man die Top-Cloud-Anwendungen, handelt es sich derzeit überwiegend um Startup-Applikationen, unkritische Workloads oder komplett neue Entwicklungen, die in der Cloud verarbeitet werden. Zu beachten ist, dass es das Scale-out-Prinzip für Unternehmen beliebig kompliziert macht, ihre Anwendungen und Systeme in die Cloud zu migrieren. Am Ende läuft es darauf hinaus, dass sie von vorne beginnen müssen, da ein nicht verteilt entwickeltes System nicht so funktioniert, wie es auf einer verteilten Scale-out-Infrastruktur laufen sollte.

IT-Entscheider sollten im Hinterkopf behalten, dass sich ihre IT-Architekten in Zukunft von der unterliegenden Infrastruktur vollständig lösen werden, um Applikationen und Workloads bequem über Anbietergrenzen bei Bedarf hinweg zu verschieben. Container-Technologien wie Docker ermöglichen dies. Die Auswahl eines Anbieters, der Docker unterstützt, ist aus dem Blickwinkel eines IT-Entscheiders somit ein strategisches Werkzeug für die Optimierung von modernen Applikations-Deployments. Docker hilft dabei, die Portabilität einer Anwendung sicherzustellen, die Verfügbarkeit zu erhöhen und das Gesamtrisiko zu minimieren.

Hybrid- und Multi-Cloud-Szenarien sind nicht nur ein Trend sondern spiegeln die Realität wider. Anbieter sollten im Sinne ihrer Kunden handeln und anstatt auf proprietäre Technologien auf Open Source-Lösungen oder einen potenziellen künftigen De-Facto-Standard wie OpenStack setzen. Damit ermöglichen sie die Interoperabilität zwischen den Cloud Service Providern und schaffen damit die Voraussetzungen für ein übergreifendes Ökosystem, bei dem die Anwender einerseits eine bessere Vergleichbarkeit sowie andererseits echte Multi-Cloud-Umgebungen realisieren und verwalten können. Denn nur so können Anwender von den Stärken einzelner Provider und den besten Angeboten am Markt profitieren. Offene Ansätze, wie sie OpenStack verfolgt, fördern die zukünftige Handlungsfähigkeit von IT-Einkäufern über Anbieter- und Rechenzentrumsgrenzen hinweg. Das macht OpenStack zu einem wichtigen Einflussfaktor bei der Anbieterauswahl.

Jeder Weg besteht aus einem individuellen Pfad

Der Weg zum heiligen IaaS-Gral kann je nach Anforderung steinig werden. Insbesondere Enterprise-Workloads sind in der Cloud schwieriger zu handhaben als neuartige Web-Applikationen. Unabhängig davon sollte immer in Betracht gezogen werden, dass Anwendungen die auf IaaS betrieben werden, je nach Anbieter-Infrastruktur, auf der grünen Wiese neu entwickelt werden müssen, um die spezifischen Begebenheiten des Anbieters optimal zu nutzen. Um den individuellen Pfad zu meistern helfen die folgenden Betrachtungsweisen:

Die eigenen Applikationen und Workloads kennen und verstehen
Datenklassifizierung durchführen
Datenschutz nicht mit Datensicherheit verwechseln
Cloud-Modell evaluieren: Self-Service oder Managed-Service
Hybrid- und Multi-Cloud-Szenarien prüfen
Lokale und globale Reichweite einschätzen
Cloud Connectivity nicht unterschätzen
Container-Technologien für die technologische Freiheit der Applikationen evaluieren
OpenStack-Kompatibilität berücksichtigen (bw)

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren