Daher drei Botschaften für alle Unternehmer, die sich ein besseres Verständnis zum Cloud-Business wünschen:
Es geht nicht um "Alles oder Nichts"
Es wird auf absehbare Zeit gute Gründe geben, hybride Infrastrukturen zu unterhalten. Allerdings macht es aber meist keinen Sinn, alte Legacy-Anwendungen in die Cloud zu transportieren. Hals über Kopf Teile der Daten und Applikationsfunktionalität zu einem Cloud-Provider geben, kann nicht gut gehen. Sinnvoll erscheint dagegen, Office 365 für bestimmte Anwendergruppen wie Handelsvertreter oder die Produktion zu nutzen. Aus Gründen der Sicherheit, Compliance und diverser Regularien sollte das Active Directory jedoch inhouse betrieben werden.
Cloud und Sicherheit: die Diskussion verläuft woanders
Nur eine Zahl: Laut Forrester waren mangelnde Kenntnis von Mitarbeitern mit 36% die häufigste Ursache für Sicherheitsvorfälle in Rechenzentren amerikanischer und europäischer Unternehmen. Solche Zahlen erregen natürlich weniger Aufmerksamkeit durch die Presse als gehackte Privatfotos von Prominenten oder abhanden gekommene Passwörter.
Ich empfehle die Logik einfach umzudrehen, denn die größeren Gefahren lauern in "On Premise" Datenzentren. Informell erfahren wir in unseren Assessments immer wieder, dass den Beteiligten sehr wohl bewusst ist, wie weit entfernt sie in Sachen Sicherheit den Cloud Infrastruktur Anbietern eigentlich hinterher hinken. Und dies trotz massiver Ausgabenerhöhungen für Infrastruktur durch Risk Management et al. Und allmählich setzt sich auch die Erkenntnis durch, dass sich ein "one size fit's all" der Sicherheit nicht durchhalten lässt.
Die Devise lautet: Daten anstatt "Grenzen" schützen. Und das geht natürlich nur, wenn die Corporate IT die Kontrolle über die Plattform behält. Wenn sie also Infrastruktur als Service (IaaS) bezieht, eine adäquate Sicherheitsschicht einfügt und darauf automatisierte Business Anwendungsplattformen betreibt. Setzt man hingegen gleich von Anfang an auf komplette SaaS-Angebote (Office365, Salesforce.com), gibt man die Kontrolle über die Daten komplett ab. Dem SaaS-Provider muss man glauben, dass er sorgfältig mit den Unternehmensdaten umgeht.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Cloud ist kein Ziel
Cloud Computing ist eine Methode, um IT Betriebskosten zu senken und Wirtschaftlichkeit nachhaltig zu fördern. Wie für unzählige Start-ups, kann die Cloud auch für die Corporate IT zum Treibsatz für neue Business Modelle werden.
Dafür braucht es - wie bei jedem guten Werkzeug- Profis, die damit umgehen können. Natürlich ist es gut, sich bei Analysten und Beratern Rat zu holen. Nichts geht allerdings über die eigene Praxis. Dafür ist es empfehlenswert, gemeinsam mit dem Business, die Themen zu identifizieren, die schnell realisierbar sind und bei denen Fehler weniger weh tun.
Beispiel-Szenarien
* Test- und Demo- Systeme in Entwicklungsumgebungen aufbauen
So lassen sich ohne viel Aufwand neue Softwareversionen, Features oder Möglichkeiten ausprobieren, ohne neue Server anschaffen zu müssen.
* Verlagern von Daten, die ohnehin schon öffentlich sind oder sein werden, in die Cloud.
Dazu können sich zum Beispiel folgende Anwendungen eignen: Web Shop, Website, Marketing-Material oder Kunden-Service.
* interne "Startups"
Die Entwicklung von Produkten (z.B. "Industry 4.0 -ready"), die schon einen hohen Grad an Digitalisierung und Steuerungsschnittstellen aufweisen und für die Software, Management-Tool Sets entwickelt werden, kann durch Einsatz von Cloud-Plattformen beschleunigt werden.
Unter Berücksichtigung dieser Aspekte, zeigt sich sehr schnell, wie gut die Verbindung zwischen Cloud und moderner Business IT sein kann. (bw)