Cloud Computing: Sicher genug für Geschäftsdaten?

Netzwerke

Cloud ist derzeit mehr gefragt denn je. Auch kleinere Unternehmen zeigen immer mehr Interesse. Doch im Fokus der IT-Manager stehen zunächst Fragen nach Datensicherheit und Verfügbarkeit.

Mit Cloud Computing vollzieht sich ein Paradigmenwechsel: Unternehmen erhalten damit erstmals eine flexible IT-Landschaft, bei der sowohl die IT-Infrastruktur als auch Softwareanwendungen dezentral und in Echtzeit als Service über das Internet oder innerhalb eines Firmennetzwerkes bereitgestellt werden. Hierbei werden bekannte Technologien mit neuen Konzepten kombiniert, was neuartige Geschäftsmodelle für Anbieter wie Anwender ermöglicht, beispielsweise die Abrechnung nach Nutzung. Wie bei allen Outsourcing-Modellen spielen Datensicherheit, Verfügbarkeit und Vertrauen in den Anbieter eine große Rolle.

Aktionskonzept des Branchenverbands Bitkom
Kaum verwunderlich, dass jetzt auch der Branchenverband Bitkom tätig wird und ein Aktionskonzept zur Cloud aufstellt. »Cloud Computing wird die Informationswirtschaft, ihre Technologien und ihre Geschäftsmodelle nachhaltig verändern«, erklärte Bitkom-Präsident August-Wilhelm Scheer bei dem Expertengespräch vor kurzem. In weniger als zehn Jahren würden viele Unternehmen ohne hausinterne IT und Rechenzentren auskommen und demnach Cloud Computing nutzen – wenn nicht vollständig, dann zumindest ergänzend. »Ich wünsche mir eine Gründungswelle im Zusammenhang mit der Cloud. Und ich möchte, dass Deutschland im Datenschutz und in der Datensicherheit eine weltweit führende Rolle übernimmt«, so Scheer.

Umsatzsteigerung durch Cloud-Dienste
Die Anwenderseite zögert derzeit eher noch bei der Einführung von Cloud Computing. Dabei sprechen handfeste Vorteile für das neue Konzept. So zeigt die aktuelle Studie »SMB IT and Hosted IT Index 2010«, mit der Microsoft Vanson Bourne beauftragte, dass gerade kleine und mittelständische Unternehmen, die auf Cloud- oder Hosting-Dienste setzen, deutliche Umsatzsteigerungen erzielen.

So berichteten 40 Prozent von den weltweit rund 3200 befragten KMUs von einer Steigerung der Umsätze um 30 Prozent oder mehr in den vergangenen zwölf Monaten. Unternehmen, die solche Services nicht nutzen, erlitten hingegen 90 Prozent Umsatzeinbußen.

Überraschende Studienergebnisse
»Ein zentraler Faktor für diesen Unternehmenserfolg war dabei die Nutzung von Informationstechnologien«, erklärt Martin Berchtenbreiter, Senior Direktor Mittelstand & Partner bei Microsoft Deutschland, die überraschenden Studienergebnisse. »Von den Unternehmen, die IT als geschäftskritisch identifiziert hatten, konnten sich 60 Prozent über Umsatzsteigerungen freuen. Firmen, für die Informationstechnologien keine besondere Rolle spielen, hatten es da schon schwieriger. Nur knapp ein Drittel von ihnen erzielte steigende Umsätze«.

Laut der Studie »SMB IT and Hosted IT Index 2010« profitieren KMUs durch Cloud-Anwendungen von Umsatzsteigerungen. (Quelle: Microsoft)

35 Prozent der befragten Unternehmen stufen die flexible Anmietung von IT-Lösungen als attraktiv ein. Das Potenzial von Cloud Computing ist allerdings immer noch groß. Laut der Studie nutzen derzeit erst 21 Prozent der KMUs in Deutschland die Wolke. Deutlich beliebter sind derzeit Hosting-Dienste, die bereits 65 Prozent aller mittelständischen Unternehmen nutzen.

Vorsichtig sind deutsche KMUs, wenn es um Backup-Daten geht: 78 Prozent halten diese Daten on-premise, also im eigenen Unternehmen, vor. Jedoch nutzen schon 27 Prozent der Unternehmen hierzulande Collaboration-Tools im Cloud- oder Hosting-Modell.

Nischenanbieter entdecken Cloud-Markt
Microsoft mit seiner Windows-Azure-Plattform gehört derzeit genauso wie Google, Amazon AWS oder IBM zu den Schwergewichten auf dem Cloud-Computing-Markt. Die CeBIT 2010 zeigte aber auch, dass viele kleinere Anbieter Nischen erobern wollen. So hat beispielweise die auf Collaboration-Lösungen spezialisierte Group Business Software AG mit Group Live eine Plattform für die Entwicklung, den Betrieb sowie das Management komplexer Anwendungsumgebungen in der Cloud entwickelt.

Materna: Training in a Cloud
Der IT-Dienstleister Materna präsentierte ebenfalls eine eigene Plattform für Cloud Computing. Mit »Training in a Cloud« können Anbieter von Fortbildungen virtuelle Schulungsumgebungen einrichten. Weitere Einsatzbereiche für seine Cloud-Plattform sieht Materna in Client-Management, Software on Demand und der Bereitstellung von Entwicklungs- und Abnahmeumgebungen. »Aktuell arbeiten wir intensiv daran, neue und für unsere Kunden attraktive Einsatzszenarien zu entwickeln«, sagt Uwe Scariot, Geschäftsbereichsleiter bei Materna. Mithilfe von Cloud Computing könnten IT-Organisationen ihre Leistungen flexibel an die Anforderungen der Kunden anpassen.

Mit der Materna-Plattform »Training in a Cloud« können Anbieter von Trainings- und Fortbildungsmaßnahmen virtuelle Schulungsumgebungen betreiben. (Quelle: Materna)

Faktor Mensch beeinflusst Sicherheit und Vertrauen
Neben Kostenreduzierung sind für Anwender – wie schon erwähnt – Datensicherheit und Compliance von großer Bedeutung. So befasste sich kürzlich eine Konferenz des Münchner Kreises mit dem Thema: »Trust in IT – wann vertrauen Sie Ihr Geschäft der Internet Cloud an?«. Wichtigstes Ergebnis: Mehr Vertrauen schafft man nicht allein durch den vermehrten Einsatz von Technologien, denn der Faktor »Mensch« wird weiterhin Datensicherheit und IT-Governance beeinflussen. »Spätestens, wenn geschäftskritische, sensible Daten eines Unternehmens oder auch private Daten dem Internet preisgegeben werden, stehen dringende Fragen zu Sicherheit, Verfügbarkeit und vor allem zum Vertrauen im Raum«, sagte Prof. Arnold Picot, Vorstandsvorsitzender des Münchner Kreis e.V., auf der Cloud-Konferenz.

Prof. Arnold Picot, Vorstandsvorsitzender des Münchner Kreis e.V., warnte auf der Cloud-Konferenz davor, geschäftskritische Daten ins Internet zu stellen, ohne Fragen wie Sicherheit und Verfügbarkeit vorab geklärt zu haben. (Quelle: Münchner Kreis e.V.)



Geschäftskritische Daten gehören in die Private Cloud
Auch Alexander Duisberg von der Rechtsanwaltskanzlei Bird & Bird zeigte sich skeptisch bei der Frage nach der Datensicherheit von Cloud-Anwendungen. »Aufgrund der technischen Verknüpfung dezentral organisierter Rechnerleistungen wird es in Zukunft immer weniger nachvollziehbar, zu welchem Zeitpunkt an welchem Standort und nach welcher Rechtsordnung IT-Leistungen erbracht werden«, so Duisberg.

Vor diesem Hintergrund müsse sich der Anwender fragen, welche Daten er überhaupt in die Cloud hineingeben oder auslagern dürfe.
Michael Auerbach von T-Systems International sprach sich für eine differenzierte Sichtweise aus: »Auch wenn das Thema Sicherheit zu Recht eines der wichtigsten Aspekte in einer digitalen Welt darstellt, werden in dieser Diskussion allzu gern verschiedene Dinge in einen Topf geworfen«. Mit einer privaten Cloud würden Kunde und Dienstleiste vereinbaren, in welchen Rechenzentren und auf welchen Serverpools die anvertrauten Daten verarbeitet werden. Der Unterschied zwischen Cloud Computing und dem klassischen, schon länger praktizierten Outsourcing läge im Übrigen nur in Details.

IBM-Professor Dueck setzt auf Vertrauen
Prof. Gunter Dueck, der IBM Deutschland auf der Konferenz vertrat, geht davon aus, dass sich das Vertrauen in Cloud Computing langsam einstellen wird: »Die IT selbst kann die Entwicklung beschleunigen oder verzögern, je nachdem wie schnel
l sie die Anforderungen der Kunden und deren Wünsche nach einheitlichen Standards und transparenten Preisen erfüllt.« Die Vertrauensforschung weise darauf hin, dass Vertrauen in abstrakte Systeme dann aufgebaut und gepflegt würde, wenn die Repräsentanten an den Zugangspunkten und die das System kontrollierenden Experten vertrauenswürdig seien. So entscheidet also doch wieder der Faktor Mensch.
(Stefan Girschner/mt)

Weblinks
Bitkom
Microsoft Windows Azure
Group Live
Materna
Münchner Kreis
IBM
Experton Group

Lesen Sie auf Seite 3: Interview mit Wolfram Funk von Experton Group

Interview: 3 Fragen an Wolfram Funk

Wolfram Funk ist Senior Advisor & Program Manager Information Security Experton Group AG

eWeek: Worin liegen die wesentlichen Unterschiede zwischen einer Cloud-Anwendung und herkömmlichem IT-Outsourcing?
Wolfram Funk: Typisch für Cloud Services ist, dass sich unterschiedliche Nutzergruppen oder Unternehmen gemeinsame ICT-Ressourcen nach Bedarf (on demand) teilen. Dem einzelnen Kunden ist also kein spezifisches und von anderen Kunden abgegrenztes System zugeteilt. Dies ist ders wesentliche Unterschied zum klassischen Outsourcing und Hosting von Anwendungen.

Inwieweit sind Bedenken hinsichtlich der Datensicherheit von Cloud-Anwendungen berechtigt? Was zeichnet sichere Cloud-Anwendungen und -Umgebungen aus, welche Methoden sollten angewendet werden?
Grundsätzlich ermöglichen es externe Cloud Services der Mehrzahl der Unternehmen, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben.

Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben. Sicherheitsbedenken sind aber dennoch berechtigt: Kritisch ist insbesondere die Arbeitsteilung zwischen Kunde und Dienstleister, zudem herrscht vielerorts noch mangelnde Transparenz mit Blick auf die Sicherheitsmaßnahmen, die die Anbieter von Cloud Service ergreifen. Wenn auch die Diskussion heute oftmals auf technologischer Ebene geführt wird, liegt doch der wahre Schlüssel zum Erfolg in den Aktivitäten rund um Risikoanalysen, Service Level Agreements und Provider Management.

Wolfram Funk ist Senior Advisor & Program Manager Information Security bei Experton Group AG. (Quelle: Experton Group AG)


Wie können kleinere und mittlere Unternehmen Cloud -Umgebungen zu ihrem Vorteil nutzen? Was sollten sie bei der Wahl der Anbieter beachten?

Wenn ein kleines oder mittelständisches Unternehmen einen standardisierten Service mit hoher Qualität und einer transparenten Kostenstruktur beziehen möchte, ist Cloud Computing oft die richtige Wahl. SaaS-Dienste sind in der Regel auch für Unternehmen mit geringer IT- und Security-Kompetenz sicher nutzbar. Bei Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) muss genauer auf die bereits angesprochene Arbeitsteilung mit dem Provider geschaut werden.

Hier kann ein externer Sourcing-Berater helfen. Verbindliche Sicherheitsstandards für Cloud Services gibt es noch nicht – wohl aber Sicherheitsleitfäden für Anwender wie etwa von der Cloud Security Alliance und auch der Experton Group.
(Stefan Girschner/mt)