Analyse: Wie riskant ist Cloud Computing?

Ressourceneffizient, flexibel, preiswert - die Vorteile von Cloud Computing sind unbestritten. Wie aber bekommen Schweizer Unternehmen die Risiken der Cloud den Griff?

Professor Hans Rudolf Trüeb: Sicherheit kaum realisierbar.

» Von Michael Kurzidim, 09.09.2009 18:04.

Mit Cloud Computing (CC) reduzieren Schweizer Unternehmen ihre Betriebsaufwände und fahren kurzfristig Kapazitäten hinauf oder herunter. Je nachdem, in welche Richtung das Konjunkturbarometer gerade ausschlägt. Bezahlt wird dabei streng nach Verbrauch, wie Strom aus der Steckdose. Dieses Mantra der CC-Provider haben Schweizer Unternehmer lange und oft genug gehört, und 60 Prozent leuchten die Vorteile von Cloud Computing auch durchaus ein (Avanade-Studie unter 500 Firmen weltweit)). Trotzdem sorgen sich 90 Prozent der Schweizer (72 Prozent weltweit) um die Sicherheit ihrer Daten und warten mit den Services aus der Wolke erstmal ab.

"Da stehen Sie mit einem Bein im Gefängnis"

Nicht ganz ohne Grund, wie Rechtsanwalt Professor Trüeb auf dem Asut-Workshop "Cloud Computing" in Zürich ausführte. Einige Auszüge: In der Schweiz sind im Gegensatz zu anderen Ländern nicht nur Personendaten, sondern auch Unternehmensdaten, also die Daten juristischer Personen, geschützt. Schon E-Mail- und IP-Adressen sind aus juristischer Perspektive Personendaten, die dem Datenschutzrecht unterstehen. Eine Bekanntgabe ins Ausland verbietet sich, wenn dort ein angemessener Schutz fehlt. Unter diesen strengen Vorgaben seien Datensicherheit und -integrität in der Cloud kaum realisierbar, weil dort der physische Speicherort gar nicht lokalisierbar sei. "Da stehen Sie schon mit einem Bein im Gefängnis", meint Trüeb.

Schweizer Banken: Finger weg von Cloud Computing

Das Bundesgesetz über die Banken und Sparkassen (BankG47) und die Schweizer Verordnung über die Führung und Aufbewahrung von Geschäftsbüchern (GeBüV) machen Finanzhäusern und Unternehmen strenge Auflagen Sie schreiben unter anderem vor, dass Geschäftsbelege vor unbefugtem Zugriff zu schützen seien. Ohne die Grenzen der Cloud zu kennen, prognostiziert deshalb Trüeb provokant, werde Cloud Computing im geschäftlichen Bereich kein grosser Erfolg werden. Schweizer Banken bleibe wegen dieser Risiken gar nichts anderes übrig, als ihre Daten in der Schweiz zu halten.

Christian Haas von Avanade: Vorab IT-Assessment nötig.

Christian Haas, Director Technology Consulting bei Avanade Schweiz, nimmt diese Bedenken sehr ernst und rät dringend, vor der Einführung von Diensten aus der Cloud ein IT-Assessment durchzuführen. Wie verhält es sich mit der Sicherheit, Stabilität und Verfügbarkeit der offerierten Services? Welche Applikationen sind überhaupt für die Cloud geeignet? Haas empfiehlt, HR-Lösungen beispielsweise als "packaged applications" fertig einzukaufen, aber aus Gründen des Datenschutzes unternehmensintern zu betreiben. CRM und ERP-Funktionalität etwa hat der US-amerikanische CC-Provider Salesforce im Angebot. Allerdings betreibt Salesforce kein Rechenzentrum in der Schweiz, so dass Daten ausserhalb des Landes gespeichert würden - für hochsensible Informationen ein Problem.

Kundenfang mit proprietären CC-Plattformen

"Uns fehlen bisher noch die Standards, die wir brauchen", beklagt Haas, und spielt dabei auf den berüchtigten "vendor lock-in" an. Schweizer Unternehmen, die heute schon Cloud Computing nutzen, könnten in Zukunft beim Providerwechsel Probleme bekommen, weil allgemein verbindliche Migrationspfade fehlen. Cloud Computing als Einbahnstrasse, ganz und gar nicht im Sinne des Erfinders.

Aus diesem Grund haben sich für Florian Benne von VMware Schweiz die Beschaffungsmodelle Software-as-a-Service (SaaS) und Platform-as-a-Service (PaaS) mehr oder minder kompromittiert. Das seien proprietäre Lösungen, die zukünftige Risiken bergen. Infrastructure-as-a-Service (IaaS) aber funktioniere, betont Benne, und eröffne Migrationspfade, die im Fall der Fälle den Providerwechsel erleichtern. Der technische Hintergrund: Virtualisierungssoftware von VMware erstellt standardisierte Virtuelle Maschinen (VM), also transportable, sogenannte VM-Container. Iaas-Provider bieten dann die virtualisierten Umgebungen an, in denen VM-Container unabhängig von Hardware und Betriebssystem laufen. Wegen der bereits erreichten hohen Standardisierung sei der Wechsel von einem IaaS-Provider zum anderen leicht zu bewerkstelligen, meint Benne.

T-Systems nutzt bereits vCloud API

Für Benne sind die Übergänge zwischen unternehmensinternen und externen Clouds fliessend. Auf der VMworld, die vor wenigen Tagen in San Francisco zu Ende ging, präsentierte VMware die standardisierte Management-Schnittstelle vCloud API. Damit lassen sich externe Ressourcen so verwalten, als würden sie intern bereitstehen. vCloud API verschweisst interne mit externen Clouds und enthält Funktionalitäten wie ein Task- und Katalog-Management, Upload-/Download-Funktionen und Inventory-Listen. T-Systems Schweiz hat die vCloud API bereits im Einsatz.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.