Cloud Security 2016

Warum die Wahl des Cloud-Providers Vertrauenssache ist

10.11.2016
Von 
Harald Lutz lebt und arbeitet als Fachjournalist und Technikredakteur sowie in der Presse- und Öffentlichkeitsarbeit in Frankfurt am Main. Spezialgebiete: Informations- und Kommunikationstechnik (IKT), Logistik, Informationslogistik, Wissenschaft und Forschung.

Wettbewerbsvorteil "deutsche Cloud"?

CW: Die ersten Cloud-Rechenzentren lagen anfangs phy­sisch meist in Asien und anderswo. Insbesondere bei den Themen Vertrags­gestal­tung und RZ-Auswahl legen die für die Studie be­fragten Unternehmen mittlerweile gro­ßen Wert auf deutsches oder europäi­sches Recht sowie einem RZ-Standort möglichst in Deutsch­land oder zumindest in der EU. Ent­spricht das auch Ihren Erfahrun­gen und wenn ja, wie geht Accenture damit um?

VON SPRETI:Auf diese Anforderungen reagieren die meisten Cloud-Provider mittler­weile. Auch Amazon beispielsweise hat eine Strategie für Unternehmen entwickelt, die ihre Daten aus­schließlich in der EU ablegen möchten: Das kann man jetzt in Frankfurt am Main, Dublin oder an beiden Standorten haben. Früher gab es diese Transparenz nicht in dieser Form und es war auch nicht klar, wo die Daten physisch gespeichert sind. Auch andere werden, sofern sie es noch nicht getan haben, nachzie­hen.

BLESSIN: Ich sehe es als absoluten Wettbewerbsvor­teil und fast schon geschäfts­kritisch an, eine Cloud in Deutschland oder zumindest in der EU an­bieten zu können.Wenn man in unserer Region groß in das Geschäft einsteigen will, geht es gar nicht mehr ohne. Auch die einstigen Cloud-Pioniere wie Sales­force bieten mittlerweile Rechenzentren in Deutschland an; allerdings sind nicht alle gängigen US-Produkte auch in der deut­schen Cloud verfügbar. Bei vielen unse­rer Kunden stellen wir daher fest, dass diejenigen Pro­dukte und Services, die nicht in der deutschen Cloud zur Verfügung stehen, we­sentlich seltener einge­setzt werden. In der Finanzwirtschaft etwa, also bei Banken und Versicherungen, ist Datenhaltung in Nicht-EU-Staaten meist ein absolutes No-Go.

CW: Unternehmen legen der Cloud-Security-Studie zufolge großen Wert auf Com­pliance, Daten­sicherheit und Verschlüsselung. Kann diese Erwartungshal­tung von den Anbietern überhaupt erfüllt werden?

VON SPRETI:Ja! Die Cloud Provider beherrschen heute die Themenfelder Compliance, Datensicherheit und Verschlüsselung aus dem Effeff; das ist deren Geschäfts­grund­lage. Gerade was das Thema Compliance betrifft, sind viele Cloud-Provider heute so aufge­stellt, dass sie die gängigen Best Practices, Industry Practices oder auch die gän­gigen gesetzlichen Regelungen innerhalb der einzelnen Länder verwirklicht haben. Das wäre in der eige­nen IT oder in der Private Cloud nur mit sehr hohem Aufwand möglich.

Das Thema Verschlüsselung ist absoluter Standard, aber auch nur ein kleiner Baustein in einer Ende-zu-Ende-Sicherheit. Diese geht heute so weit, dass der Cloud-Provider noch nicht einmal den Schlüssel für einen Datenzugriff hat, der Anwender sich also hundertprozentig sicher sein kann, dass nur er die Daten sehen kann. Das ist die Ge­schäftsgrund­lage eines Cloud-Unter­nehmens und wird zu Recht auch eingefordert.

Die Accenture Cloud Plattform beispielsweise bildet ein komplettes Ökosystem ab.
Die Accenture Cloud Plattform beispielsweise bildet ein komplettes Ökosystem ab.
Foto: Accenture GmbH

"Gegen Geheimdienste wird man sich nicht absichern können"

CW: Ein weiterer spannender Punkt der IDG-Studie Cloud Security 2016 ist die Skepsis vieler Anwender gegenüber Techniken aus China, Russland oder auch den USA. Es herrschen Ängste vor, dass indirekt Informationen in diese Länder abge­zogen werden...

VON SPRETI: Das ist ein spannendes und zugleich auch ein philosophisches Thema. Damit kommt gleichzeitig ein neuer Faktor in die Gleichung hi­nein: Die Cloud-An­wender wollen nicht, dass Geheimdienste ihre Daten ausspionie­ren können, dass möglicherweise eine ‚Backdoor‘ in Tier-1-Netzwerkdevices einge­baut ist, um die globale Kommu­nikation, die über solche Geräte abläuft, zu extrahie­ren.

Wenn wir alle diese potenziellen Risiken ausschließen wollen, wird das Thema Si­cherheit unbezahlbar werden. Das Schutzniveau muss in einem sinnvollen Maß zu den tatsächlichen Business-Risiken stehen. Gegen hochpro­fessionelle und mit Milliarden­budgets ausgestattete Geheimdienste wird man sich nach menschlichem Ermessen niemals wirklich absichern können.

CW: Gibt es bei den zentralen Studienergebnissen weitere Punkte, die aus Ac­cen­ture-Sicht in puncto Relevanz oder auch wegen kontroverser Sichtweise in den Fo­kus gerückt werden sollten?

BLESSIN: Die Studie bestätigt unsere Erfahrung im SaaS-Umfeld: die Pharma- und Life-Science-Bran­chen, wo es durchaus um sensible Daten geht, sind ein Zugpferd dieser Entwicklung. Hier ist die erste Welle an großen Transformationen auf Basis von SaaS bereits umgesetzt. Unstrittig ist: Einige Industrien sind Vorreiter in der Cloud, bei an­deren wiederum geht es mit dem Cloud Computing jetzt erst richtig los, so bei­spielsweise in der Produktion und dem ‚Industrial Equip­ment‘. Dort wie auch im Konsumgüterumfeld und im Handel sehen wir zurzeit die größte Dy­namik. Im Ban­ken- und Versicherungsbereich dagegen tut sich die Cloud noch schwer.

VON SPRETI: Im Großen und Ganzen sind uns bei der Lektüre der IDG-Studie "Cloud Security 2016" keine Dinge untergekommen, wo wir eine komplett entgegengesetzte Sicht vertreten. An einzelnen Stellen ist unsere Gewichtung eben eine etwas andere. Wir haben in 2016 aber auch keine 335 Unternehmen zu dem Thema Cloud-Security befragt, sondern verfügen aktuell über einen guten Querschnitt von Enterprise- und gehobenen Mittelstands-Unternehmen, die wir in Deutschland oder auch global bera­ten. Insofern handelt es sich in der Summe um eine gute, gelungene Studie. An der einen oder anderen Stelle hätte ich mir allerdings mehr Details gewünscht, beispielsweise zu der Frage, wie hoch denn die Durchdringung des Unternehmens mit Cloud-Anwendun­gen - also die ´Cloud Adoption Rate‘ wirklich ist. Sie deckt auf jeden Fall einen großen Teil der Fragestellungen ab, mit denen auch wir uns beschäftigen.

BLEYER: Da kann ich voll und ganz zustimmen, vieles deckt sich mit dem Ein­druck aus unseren Kundengesprächen. Überrascht hat mich vor allem, dass den Stu­dienteilnehmern das Thema "Schatten-IT" keine größeren Sorgen berei­tet. Gene­rell wird davon ausgegangen, dass von IT-Seite aus alles unter Kontrolle ist. Wir erfahren aber in Kundengesprächen immer wieder: "Das Business macht da schon was in Richtung SaaS-Lösung, aber die IT ist nicht mit im Boot." Das kommt in der Studie so nicht vor. (sh)

Die COMPUTERWOCHE-Studie "Cloud Security 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download. Dort können Sie ebenfalls ein Print-Exemplar der Studie (inkl. PDF-Download) bestellen.