Startups: Cloud-Storage ist der Normalfall
Für sehr kleine Unternehmen und vor allem auch für Startups liegt der Vorteil der Speicherung in der Cloud oft auf der Hand: Sie haben meist weder finanzielle Mittel noch große Umsätze, um eine aufwändige IT-Infrastruktur im eigenen Haus aufzubauen. Viele junge Firmen arbeiten zudem geografisch verteilt, müssen also permanent Daten und Informationen austauschen. Aufgaben, die stark regelgebunden erledigt werden müssen, wie etwa die E-Mail-Archivierung, überfordern solche Firmen schlicht organisatorisch.
Hier dürfte die Zukunft von Cloud-Diensten wie dem der Datev oder auch de-Mail gehören: Sie bieten den Kleinen einen Rundum-Service zu überschaubaren Kosten und sind allgemein anerkannt, meist auch in irgendeiner Weise zertifiziert.
Eine junge Firma, die bislang keine eigene Storage-Infrastruktur betreibt, ist der Wagnisfinanzierer HackFwd. Er beschäftigt zwar nur eine Handvoll Mitarbeiter, diese aber in immerhin fünf Ländern. Deshalb muss das Unternehmen Daten, auf die alle zugreifen sollen, ortsunabhängig und gleichzeitig sicher bereithalten. Dafür nutzt HackFwd den Service des deutschen Cloud-Storage-Dienstleisters CloudSafe aus Frankfurt, dessen Speicherressourcen seit rund anderthalb Jahren online sind.
Foto: CloudSafe
Roberto Valerio, Geschäftsführer von Cloudsafe, betreibt seine Cloud-Storage-Infrastruktur "im Terabyte-Bereich" in einem Frankfurter Rechenzentrum, und nur dort. Seine Kunden müssen daher nicht fürchten, dass ihre Daten irgendwann von amerikanischen Agenten durchforstet werden oder die Verantwortlichen in den Kundenfirmen juristische Probleme bekommen, weil ihre Datenhaltung nicht den europäischen Vorschriften entspricht. Außerdem werden alle Daten "im Cloudsafe" mit einem Public/Private-Key-Verfahren verschlüsselt.
"Wir haben uns von Anfang an auf Geschäftskunden konzentriert", sagt Valerio. Dabei gehe es vor allem um die Datenbereitstellung für mobile Nutzer und Backup-Lösungen für kleine Unternehmen. Außerdem offeriere man anspruchsvollen Privatkunden eine Alternative zu Lösungen wie Dropbox. Seine Kunden findet Cloudsafe derzeit vor allem unter kleineren Firmen in den Branchen IT, Technik und Finanzen. Aber auch Großunternehmen seien interessiert; derzeit realisiere man eine Storage-Lösung mit 300.000 Arbeitsplätzen für ein Mobilfunkunternehmen, das diese dann seinen Kunden anbieten will.
- Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a> - Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. - Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter. - In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist. - Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben. - Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
Social Games in der Cloud
Foto: Wooga
Wie selbstverständlich Cloud-Storage sein kann, wenn man dem Web vertraut oder es gar zur Geschäftsgrundlage macht, beweist das Berliner Unternehmen Wooga, das Social Games entwickelt. Die Spiele werden geografisch verteilt auf Facebook oder anderen Online-Plattformen gespielt, ohne das Internet läuft also nichts. Wooga wurde 2009 gegründet und beschäftigt bereits 150 Mitarbeiter aus 28 Nationen.
Angesichts der konsequenten Internet-Orientierung ist es nachvollziehbar, dass die Firma auch die IT vollständig ins Web verlagert hat. Genutzt werden sowohl SaaS-, und PaaS- als auch IaaS-Storage-Dienste. Die Quellcodes der Spiele werden beim Web-Hoster GitHub gespeichert. Mit einem Monitoring-Tool kann Wooga direkt die Abrufzahlen überwachen oder Spiele aus der Cloud abrufen. Die Arbeitsdaten aus den Büroprogrammen lagern in Google Apps. Amazon Web Services und der Dienstleister Hetzner Online stellen die Infrastruktur, um einige Spiele, Spieldaten und Datenbanken zu speichern. Server oder größere Storage-Systeme gibt es in den Wooga-Büros nicht.
"Wir nutzen die Cloud wegen der schnellen Skalierung und der enormen Ressourcen, die dort immer und von überall her verfügbar sind", sagt Sina Kamala Kaufmann, Head of Communications and Partnerships bei Wooga. "Außerdem wollen wir uns auf das Entwickeln von Social Games fokussieren, nicht auf die Administration eines Rechenzentrums. Wenn wir Autos bauen würden, würden wir uns auch nur um unser Produkt kümmern."
Foto: Wooga
Folgerichtig gibt es im Unternehmen auch keinen CIO, sondern einen CTO, der sich auch um das Kerngeschäft kümmert. Negative Erfahrungen mit Cloud-Anbietern hat Wooga noch nicht gesammelt. Insofern eröffnet die junge Firma aus Berlin vielleicht einen Blick in die informationstechnische Zukunft vieler Unternehmen. Analysten halten das nicht für unwahrscheinlich. "Cloud Storage wird sich auf mittlere Sicht im breiten Markt durchsetzen", erwartet Karsten Leclerque vom Marktanalyse- und Beratungshaus PAC (Pierre Audoin Consultants) in München.