Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 1) In die Cloud? Ja, aber überlegt!

Autor / Redakteur: Dr. Daniele Fiebig * / Florian Karlstetter

Mit dem Wandel hin zur hybriden IT-Landschaft – bestehend aus Unternehmens-IT (On-Premise-IT), Outsourcing und Cloud Computing – wird es zunehmend schwieriger, die erforderliche Transparenz über Komponenten, User und Lizenzen zu bewahren. Besonders die IT-Sicherheit erfordert zunehmend Kompromisse.

Anbieter zum Thema

Der Schritt in die Cloud will gut überlegt sein. So sollten bei der Cloud-Einführung einige grundlegende Planungsschritte unbedingt beachtet werden.
Der Schritt in die Cloud will gut überlegt sein. So sollten bei der Cloud-Einführung einige grundlegende Planungsschritte unbedingt beachtet werden.
(Bild: Dr. Daniele Fiebig)

Während auf der einen Seite die IT zum Manager verschiedenster IT-Services wird, fordert das Geschäft mehr Flexibilität und Kosteneinsparung im IT-Bereich. Cloud Computing bietet hier Möglichkeiten und Anreize.

Unternehmen und Behörden können derzeit aus einer wachsenden Zahl an verschiedenen Cloud Services wählen. Trotz der hohen Zahl an Anbietern und der Vielzahl an verschiedenen Angeboten ist das Cloud Computing ein junger Teilbereich der IT – sprich noch ausbau- und entwicklungsfähig.

Auf der einen Seite stecken viele Cloud Services noch in den Kinderschuhen, andererseits ist vielfach die Erwartungshaltung an die Cloud auf Kundenseite unrealistisch. Hier gibt es noch Spielraum für Annäherung und Optimierung.

Die von Compuware beauftragte Studie „Die Kontrolle über Ihre cloud Apps zurückgewinnen: Welche SLAs bieten Ihnen wirklich Schutz" des Research in Action Instituts vom Dezember 2013 zeigt, dass es erheblichen Optimierungsbedarf gibt.

So berichten ca. 3/4 der zum Cloud Computing befragten Unternehmen, dass sie

  • ihren Providern nicht vertrauen,
  • die angebotenen SLAs nicht dem Bedarf entsprechen,
  • ein Mangel an Kontrolle und Transparenz zu verzeichnen ist und dass
  • die Problemlösungszeiten gestiegen sind.

Ergänzendes zum Thema
Klassifikation von Cloud Services

  • Software as a Service (SaaS): Bei Software as a Service wird Software als integrierte Dienstleistung Netzbasiert über die Cloud bereitgestellt.
  • Platform as a Service (PaaS): Bei Platform as a Service ersetzt die Cloud beim Anwender die Dienstleistungen auf der höheren Infrastruktur-Ebene.
  • Infrastructure as a Service (IaaS): Bei Infrastructure as a Service ersetzt die Cloud die IT-Basis-Infrastruktur wie Speicher-, Netz- und Rechenkapazität.
  • Business Process as a Service (BPaaS): Business Process as a Service vereint nicht nur das Bereitstellen von Software, sondern auch die inhaltliche Durchführung von Teilprozessen
  • Security as a Service (SecaaS): Security as a Service verlagert Sicherheitsprozesse in die Cloud.

Häufig lassen sich solche Feststellungen auf eine mangelhafte Planung der Cloud-Nutzung zurückführen. Deshalb sollten bei der Cloud-Einführung die grundlegenden Planungsschritte unbedingt beachtet werden:

1. Klare Zielformulierung

Die Formulierung klarer und erreichbarer Ziele, für die Cloud Computing echte Lösungen bietet, ist der Ausgangspunkt der Planung.

2. Risikoanalyse

Neben den schon bekannten Risiken für die IT-Sicherheit kommen Cloud-spezifische Risiken hinzu. Der Geschäftsführung muss klar sein, dass sie zentrale IT-Aufgaben in fremde Hände gibt, jedoch weiterhin voll für die IT-Sicherheit und den Datenschutz verantwortlich ist.

Die weiteren Planungsschritte auf Seite 2.

3. Wirtschaftlichkeitsbetrachtung

Kein Cloud Computing ohne Ermittlung der Einsparungen und der Kosten für Einführung und Betrieb!

4. ITSM – IT-Service Management

Die Prinzipien des Service Management bieten einerseits Unterstützung bei der Entscheidung für Cloud Services und andererseits können bei konsequenter Anwendung die Prinzipien des Service Management die Qualität der Cloud Services maßgeblich verbessern.

5. Manpower und Knowhow

Cloud Computing macht die IT-Abteilung nicht überflüssig, sondern weist ihr neue Managementaufgaben zu. Es muss sichergestellt sein, dass das Personal entsprechend vorbereitet ist.

6. Vertragsabschluss

Der Vertrag mit dem Provider soll bekannte Risiken minimieren und Abhängigkeiten vermeiden. Deshalb immer einen IT-affinen Juristen ins Boot holen.

7. Cloud-Einführung

Die Cloud-Einführung ist ein Projekt und muss nach Projektmanagementregeln umgesetzt und kontrolliert werden.

8. Cloud-Betrieb

Ein permanentes, revisionssichere Monitoring aller Prozesse muss eingeführt sein. Regelmäßige, nach Möglichkeit unabhängige Prüfungen des Reportings, der Service-Prozesse und der IT-Sicherheit müssen durchgeführt und ausgewertet werden. Wichtig ist auch ein in fixen Abständen angesetzter Penetrationstest.

Aber nicht nur die Cloud-Kunden, sondern auch Forschung & Entwicklung, die Provider und Cloud-Service-Anbieter sowie die Gesetzgeber stehen vor neuen Aufgaben. Die Gründe dafür sind vielfältig.

Auf der nächsten Seite: Pflichten für Provider und Kunden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Pflichten für Provider und Kunden

Während sich die Provider um den Ausbau klarer Service-Management-Strukturen und transparenter Service-Portfolio kümmern müssen, die den unterschiedlichen Geschäftsprozessen ihrer Kunden Rechnung tragen, müssen die Cloud-Kunden ihre Anforderungen und Prozesse klar beschreiben.

Da das Cloud Computing alle Teilbereiche der IT streift, kommen auf Forschung & Entwicklung sowie Technologieanbieter die meisten Aufgaben zu.

So steigt gemäß der aktuellen Studie „Cisco Visual Networking Index Global Forecast and Service Adoption for 2013 to 2018“ der weltweite IP-Datenverkehr in den nächsten vier Jahren um das Dreifache und erreicht 1,6 Zettabyte.

Das bedeutet, dass der Ausbau der Möglichkeiten von IPv6 im Netzwerk sowie von Netzwerk-Technologien wie z. B. SDN (Software Defined Network) oder Networks Functions Virtualization (NFV) für mehr Sicherheit im LAN und WAN vorangetrieben werden müssen.

Im Softwareentwicklungsbereich müssen die Standardisierung und Weiterentwicklungen bei Design Pattern, bei Architekturmodellen, beim Secure Coding und die kryptographischen Methoden vorangebracht werden.

Weiterhin müssen Cloud-spezifische Managementtools entwickelt werden (z. B. für Integration, Monitoring, Reporting, IT-Sicherheit, Test, Identity & Access Management - IAM).

Wichtig ist die Schaffung international einheitlicher rechtlicher Rahmenbedingungen für Cloud Computing sowie die Definition von Basisanforderungen an Cloud Services.

So existieren verschiedene Verbände und Organisationen mit unterschiedlichen Prüfsiegeln und Best Practices wie z. B. die Cloud Security Alliance (CSA), das CloudEco System e.V. mit dem Siegel „Trust in Cloud“, die Euro Cloud mit dem Zeichen „Eurocloud Star Audit SaaS“ und weitere.

Derzeit gibt jedoch keine allgemeingültigen Regelungen und keinen verlässlichen Rechtsrahmen für das Cloud Computing. Hier sind Gesetzgebung und Regierungen gefordert. Trotzdem sollte Cloud Computing an den Stellen, wo es nachweislich mehr Effizienz bringt, eingesetzt werden.

Themenschwerpunkt: In die Cloud? JA, aber überlegt!

Dies ist der erste Teil einer sechsteiligen Artikelreihe, die sich mit grundlegenden Aspekten rund um Cloud Computing beschäftigt.

Die Themen im Überblick:

  • Teil 1 - Einführung: Ist-Situation Cloud Computing
  • Teil 2 – Risikoanalyse mit speziellen Cloud-Risiken
  • Teil 3 – Wirtschaftlichkeitsbetrachtungen für die Cloud-Einführung
  • Teil 4 – Identitäts- und Access Management in der Cloud
  • Teil 5 – IT-Sicherheit in der Cloud
  • Teil 6 – Rechtliche Rahmenbedingungen

* Die Autorin:

Dr. Daniele Fiebig ist freiberuflich als Projektleiter und Berater im IT-Bereich tätig. Zu ihren fachlichen Schwerpunkte gehören IT-Infrastruktur und Softwareentwicklung, IT Service Management und ITIL, Prozess- und Organisationsstrukturen, IT-Sicherheit und Projektmanagement.

Frau Dr. Fiebig ist zudem PRINCE2 Professional, ITIL v3 Expert, ISO/IEC 27001 und ISO/IEC 20000 Consultant und Lead Auditor, Weiterbildung IT-Grundschutz und BPMN 2.0.

(ID:42964521)