Cloud Computing - ja, aber...

Der Autor ist Solution Architect bei der connectis AG. Das «Wettrüsten bei der Datensicherheit» – ein Begriff, den Googles Vizepräsident für Sicherheitstechnik geprägt hat – führt derzeit zu emotionsgeladenen Diskussionen und heizt die Debatte über Cloud-Anwendungen weiter an. Dass nun auch Daten von Internetgiganten wie Google und Yahoo vom amerikanischen und britischen Geheimdienst ausspioniert worden sind, löst weltweit Empörung aus. Obschon längst bekannt war, dass alles, was den geschützten Bereich eines firmeninternen Netzwerks verlässt, nicht mehr sicher ist, wurde diese Tatsache lange Zeit verdrängt oder zumindest als wenig relevant in den Hintergrund gerückt. Wie nun weiter? Diese Frage stellt sich unweigerlich für alle Unternehmen, die vor der Frage stehen, wie sie ihr IT-Firmennetzwerk respektive ihre Speicherkapazitäten erweitern oder moderni­sieren möchten. Studien wie der von CA herausgegebene «Quocirca research report» vom Juli 2013 belegen: Sowohl Cloud-Befürworter als auch Cloud-Skeptiker sehen beim Datenschutz und bei der Datensicherheit die grösste Hürde bei der Einführung von Cloud-Services: Am grössten ist die Skepsis, wenn es darum geht, persönliche Daten in der Cloud zu speichern. Bedenken haben Unternehmen auch wegen der Compliance mit Datenschutzgesetzen oder hinsichtlich der Sicherung des geistigen Eigentums. Vor diesem Hintergrund ist es wichtig, die Unternehmen bei der Implementierung von Cloud-Services zu begleiten und Hilfestellungen zu bieten, wie grösstmögliche Sicherheit erreicht werden kann. Lesen Sie auf der nächsten Seite: Die Varianten der Cloud

Da der Weg in die Cloud nicht über ein Pauschalkonzept führt, muss sich jedes Unternehmen individuell entscheiden, welche Bedürfnisse es wie abdecken kann. Cloud-Lösungen können in verschiedene Kategorien aufgeteilt werden, hier die wichtigsten: Open Cloud bzw. Public Cloud: Dabei handelt es sich um eine standardisierte Cloud-Lösung, deren Hauptmerkmal es ist, dass sie vollautomatisch bereitgestellt und betrieben wird. Durch diese «Industrialisierung» ist sie nicht nur einfach in der Bedienung, sondern auch kostengünstig und in kürzester Zeit bereit zum Einsatz. Das wichtigste Merkmal ist, dass auf Sonderwünsche nicht eingegangen werden kann. Diese Lösung eignet sich am besten für Unternehmen, die über standardisierte Prozesse verfügen. Exclusive Cloud: Die Exclusive Cloud ist quasi eine individuelle öffentliche Cloud-Lösung. Sie wird meist von mittelgrossen Anbietern bereitgestellt und bietet bereits viel mehr Flexibilität als die standardisierte Cloud. Zudem kann in einer Exclusive Cloud auch auf die Prozesse der Kunden eingegangen werden. Die zwei grossen Vorteile bestehen darin, dass der Kunde sich jederzeit an seinen persönlichen Ansprechpartner wenden kann und die meisten Schweizer Anbieter die Daten im Inland speichern. Dadurch ist diese Lösung jedoch teurer als ein standardisiertes Cloud-Angebot. Private Cloud: Der Name sagt es bereits – bei der Private Cloud handelt es sich nicht um eine externe Cloud im eigentlichen Sinne, sondern um eine firmeninterne IT-Lösung. Sie besteht aus serviceorientierten, skalierbaren und nach dem Selfservice-Prinzip strukturierten Dienstleistungen. Bei der Private Cloud befinden sich sowohl Anbieter als auch Nutzer im selben Unternehmen. Dadurch können Datenschutz- und Datensicherheitsprobleme einfacher erkannt und verhindert werden. Zusätzlich zur garantierten Datenhoheit zeichnet sich eine solche Lösung durch grösstmögliche Flexibilität aus. Da aber der Betrieb einer Private Cloud Know-how- und personalintensiv ist, kann diese ohne entsprechendes Fachwissen und ohne eine temporäre Aufstockung personeller Ressourcen während der Aufbauphase kaum betrieben werden. Deshalb sind auch die Initialkosten entsprechend hoch. Ist die Private Cloud erst einmal eingerichtet, ist sie jedoch die kosteneffizienteste Möglichkeit, eine interne IT zu betreiben. Mischformen, hybride Cloud: Zu jeder oben erwähnten Möglichkeit existiert noch die hybride Variante. Das bedeutet, dass ein Teil der Daten in der Cloud liegt und der andere Teil herkömmlich im Unternehmen gespeichert wird. Lesen Sie auf der nächsten Seite: Beispiel für eine Public-Cloud-Migration

Am Beispiel eines realen Kunden-Cases kann am einfachsten aufgezeigt werden, welche wichtigen Punkte in den Entscheidungsprozess für eine Cloud-Lösung einbezogen werden sollten. Im aktuellen Fall hat sich der Kunde nach der Prüfung der Kriterien für die Office 365 Suite von Microsoft entschieden. Die Auswahl kann nach einer sorgfältigen Evaluation zusammen mit einem dedizierten Partner eventuell aber auch zu einer anderen Lösung führen. Hier die vier Hauptkriterien: 1. Business Case: Auf keinen Fall dürfen die versteckten Kosten für die Ablösung und für den Storage (bei der On-Premise-Kostenberechnung) vergessen werden. 2. Technische Integration: Weiter muss der Kunde darauf achten, dass er am Ende des Projekts statt einer Insellösung nicht deren zwei (eine interne und eine externe) hat. Wichtig in diesem Zusammenhang ist die Frage, wie die Koexistenzphase gelöst wird oder ob ein Hybridansatz als permanente Lösung bleibt, weil beispielsweise das Line-of-Business-System (LOB) On-Premise, sprich vor Ort, integriert werden muss oder gewisse Daten nicht in die Cloud gehen dürfen. 3. Datensicherheit und -schutz: Dabei handelt es sich zum einen um Datensicherheit, die mithilfe von Antiviren-, Antispam- und Intrusion-Detection-Lösungen gewährleistet werden kann. Diese Sicherheit ist in der Public Cloud meistens besser als bisherige unternehmensinterne Lösungen. Zum anderen geht es beim Datenschutz um die Kernfrage nach der Vertrauenswürdigkeit des Cloud-Anbieters: Kann ich meinem Cloud-Anbieter vertrauen – ja oder nein. Ein «ja, aber» darf es hier nicht geben. Nicht zu vergessen ist bei der Beantwortung der Frage, dass es auch ausserhalb der Cloud möglich ist, an die Daten zu kommen – egal, wo diese gespeichert sind. Hier darf man sich nicht in falscher Sicherheit wiegen. 4. Compliance: Dieser Parameter ist für alle Unternehmen von Belang, die spezifische Anforderungen (seitens des Gesetzgebers und eventuell noch von weiteren Regulatoren wie etwa der Finma) erfüllen müssen. Solche Anforderungen ändern sich auch dann nicht, wenn sich ein Kunde entscheidet, in die Public Cloud zu gehen. Deshalb muss geprüft werden, ob es neue Massnahmen braucht, um die Erfüllung der Anforderungen weiterhin zu gewährleisten.

Für das Problem der Datensicherheit gibt es kein Standardrezept, sondern lediglich verschiedene Optionen, einen eventuellen Datenmissbrauch so gut als möglich zu verhindern. Die standardisierte Cloud aufgrund der aktuellen Datenschutzproblematik als Auslaufmodell zu bezeichnen, wäre vermessen. So lange Unternehmen keine sensitiven (Kunden-)Daten in der Public Cloud speichern und die restlichen Daten im Unternehmen (= hybride Lösung) bleiben, ist diese eine kostengünstige und effiziente Lösung. Die Sicherheitsaspekte müssen als Ganzes betrachtet und die Daten klassifiziert werden, um die richtige Entscheidung treffen zu können. Im Vergleich zum möglicherweise vorherrschenden, nicht kontrollierbaren Wildwuchs (Dropbox etc.) bietet jede der obengenannten Lösungen garantiert ein Plus an Sicherheit!