Search Icon
ConnectProfessional Logo
Search Icon

Serie Identity- and Access-Management

Sicherer digitaler Geschäftsauftritt, Teil 3

24. November 2015, 12:45 Uhr | Hadi Stiel, freier Journalist und Kommunikationsberater in Bad Camberg
© fotolia.com

Die Digitalisierung der Geschäfte bringt es mit sich: Unternehmen, Rechenzentrumsbetreiber und Internet-Dienstleister müssen die Art und Weise, wie sie IT-Services bereitstellen und die daran beteiligten Daten schützen, völlig neu überdenken. Die Messlatte für beides liegt hoch. Geschäftsprozess-tragende Services dürfen weder ausfallen noch sind für die Kunden lange Wartezeiten tolerabel. Das eine wie das andere würde schnell zu geschäftlichen Einbußen und Imageverlusten führen.

Zudem müssen die IT-Services und die IT-Prozesse, die sie stützen, immer wieder den sich verändernden Kundennachfragen und den stark schwankenden Nutzerzahlen angepasst werden. Das erfordert einen gewissen Grundzuschnitt aus Prozessautomatisierung und Servicekonfektionierung. So als wäre dies nicht genug, geraten mit der offensiven Geschäftspräsenz im Internet die Daten in Gefahr, von allen Seiten attackiert zu werden. Es drohen Datendiebstahl, -manipulation und -zerstörung. Auch solche Attacken können die digitalen Geschäfte schnell zu Fall bringen. Zu alledem sehen sich die Unternehmen abhängig von ihrer Branchenzugehörigkeit mit hohen bis sehr hohen Compliance-Anforderungen konfrontiert, denen sie nachkommen müssen, ob sie es wollen oder nicht.

Cloud-Computing gehört die Zukunft. Ob externe Dienstleistungs-Clouds, was IT-Security und IT-Services betrifft, in absehbarer Zeit mit den Sicherheits- und Serviceleistungen umgesetzt in Eigenregie werden mithalten können, ist jedoch fraglich. Auch wenn so genannte neutrale Analysten sowie Dienstleister und Interessensverbände weiterhin versuchen, die Unternehmen von einer weitergehenden Auslagerung von Daten, Anwendungen, Leistungen und Services zu überzeugen: Für anspruchsvolle Sicherheitsdienste und IT-Services sind externe Clouds keine Alternative

Vermarktungsversuche

Nutzer externer Clouds könnten sich schon heute rundum sicher fühlen, meint „cloud world“. Für das achtköpfige Team aus Marketing-,Business- und Cloud-Experten ist das Imageproblem externer Clouds, sie seien unsicher, gefährdeten die Daten und Compliance und seien ein bevorzugtes Angriffsziel von Hackern, schon heute passé. Als Begründung für diese Behauptung führt „cloud world“ eine Studie von „ReportsnReport“ ins Feld. Danach soll der Cloud-Software-Markt im Bereich Sicherheit in den nächsten vier Jahren um fast 50 Prozent wachsen. Je mehr Privatpersonen und Unternehmen Anwendungen und Daten in die Cloud verlagern würden, desto besser und flexibler würden die Sicherheitsvorkehrungen werden, versucht Frank Müller, Cloud-Experte und Gründer von „cloud world“, die vermeintliche aktuelle Sicherheit externer Clouds mit einer mehr oder weniger wahrscheinlichen Marktentwicklung in den kommenden Jahren zu begründen. „cloud world“ hat als Marktplatz für Cloud-Produkte und -Dienstleistungen ein reges Interesse daran, dass Unternehmen vermehrt auf Cloud-Dienste setzen. Die US-stämmige „ReportsnReport“ poolt weltweite Marktvorhersagen von knapp hundert Analysten und Publizisten und hält sie für Anbieter und Interessensgruppen vor, damit die ihr Marktsegment puschen können.
Mit der Realität, was die Bereitstellung von IT-Sicherheit durch externe Clouds betrifft, haben solche interessenseingefärbten Prognosen und Argumentationsversuche wenig zu tun. Auch Aussagen und Prognosen in eigener Sache zur Qualität von IT-Services, erbracht von Cloud-Anbietern, sollten die Unternehmen nicht für bare Münze nehmen. Der Marktforscher Dynamic Markets, der im Auftrag von Cloud- und Rechenzentrumsdienstleister Marktbeobachtungen durchführt, sieht in seiner Studie „Managing Growth, Risk and the Cloud“ für Unternehmen im Outsourcing von Daten, Anwendungen und Leistungen in eine Cloud nur Vorteile. Sie gewönnen durch die Auslagerung im Schnitt ein Fünftel mehr an Zeit, die sie für die Entwicklung von Innovationen nutzen könnten. Zumal, so der Cloud- und RZ-Dienstleister, 81 Prozent der Firmen vom Zugang zu einer hochentwickelten RZ-Infrastruktur profitieren, die sie sich aus eigenen Mitteln nicht leisten könnten. Weitere laut der Studie propagierte Vorteile: Kostensenkung (71%), Entlastung des eigenen Personals (59%), höhere Stabilität und Verfügbarkeit der Services (58%) und bessere Skalierbarkeit (33%). Befragt wurden, kaum repräsentativ, 301 IT-Führungskräfte in Deutschland, Großbritannien und der Türkei. Die britische Dynamic Markets, die hinter der Studie steht, bezeichnet sich als unabhängig, arbeitet aber als Research und Consulting-Dienstleister nach eigenen Angaben für Größen wie Microsoft, Oracle und HSBC sowie Start-up-Unternehmen mit hohem Wachstumspotenzial.
Die Analysten sitzen als Marktförderer mit den Anbietern und Interessensgruppen meist in einem Boot. Deshalb werden die Fragen für die Erhebungen so gestellt, dass die Antworten zu den erwünschten Ergebnissen führen. Für Outsourcing relevante Kriterien wie „drohender Kontrollverlust“, „Kritikalität von Daten und Anwendungen“, „Art der Services“ und „Innovationsfähigkeit des Unternehmens“ werden bei den Fragestellungen bewusst ausgespart. Ebenso ausgeblendet wird die steigende Gefahr für Unternehmen durch Wirtschaftsspionage, wenn sie geschäftskritische Daten und Anwendungen an Cloud-Dienstleister abgeben. Das gilt insbesondere für Cloud-Anbieter mit Hauptsitz in den USA und Großbritannien, die von den Geheimdiensten dieser Staaten offensichtlich mit mehr oder weniger Nachdruck zur Zusammenarbeit gezwungen werden.

Zwischen Kontrolle und Kontrollverlust

IT-Outsourcing ist und bleibt für Unternehmen ein Wagnis, auch wenn auf dem Etikett „Cloud“ steht. Demzufolge hat sich auch an der generellen Leitlinie nichts geändert: Vertrauen ist gut, Kontrolle ist besser, blindes Vertrauen geht in Zeiten der Ausspähungen gar nicht. Gibt das Unternehmen Daten und Anwendungen an einen Cloud-Dienstleister ab, delegiert es die Kontrolle für diese Daten und Anwendungen. An die Stelle einer intern sowohl organisatorisch als auch technisch gut durchsetzbaren Kontrolle durch eigene Manager und durch eigenes Personal tritt eine externe Überwachung, die entfernt durch fremdes Personal ausgeübt wird und sich vorrangig an den geschäftlichen Vorgaben des Cloud-Dienstleisters orientiert. Wie verlässlich das Fremdpersonal Daten, Anwendungen und Systeme schützt, das kann das Unternehmen lediglich mit Verzug daran ablesen, ob vereinbarte Service-Level-Agreements (SLAs) für Sicherheitsdienste eingehalten wurden oder nicht, und auch nur dann, wenn der Cloud-Dienstleister dem Unternehmen dafür alle notwendigen Informationen bereitstellt. Für Sicherheitsdienste, für die keine SLAs vereinbart und im System hinterlegt wurden, bleibt demzufolge die Qualität der externen Überwachung für das Unternehmen im Dunkeln.
Zwar kann das Unternehmen gegenüber dem Cloud-Anbieter darauf bestehen, dass es periodisch wie sporadisch Reports zu den dort auditierten Sicherheitsdienstleistungen abrufen darf, um auf diese Weise das Kontrollniveau anzuheben. Doch auch dieses Plus hat seinen Preis und ändert nichts daran, dass das Unternehmen nur mittelbar, unvollständig und mit Zeitverzug die Qualität der extern erbrachten Sicherheitskontrollen beeinflussen kann. Lückenlose Audits und Reports zu den Zugriffen und Prozessen speziell ihrer Administratoren stellen Cloud-Dienstleister erst gar nicht bereit, damit kein Zweifel an ihrer Verlässlichkeit aufkommt. Dabei können von diesen Administratoren aufgrund ihrer weitgehenden Berechtigungen, direkt wie indirekt, besonders große Gefahren für die Daten und Anwendungen ausgehen. Ob Cloud-Anbieter ihre Sicherheitsdienste, -systeme und Fachkräfte immer wieder bereitwillig und zeitnah der sich ändernden Security-Strategie des Unternehmens anpassen werden, darf zumindest bezweifelt werden. Solche Leistungen wären für den Cloud-Anbieter äußerst kosten- und personalintensiv. Außerdem müsste er dazu über alle Unternehmenskunden, die Geschäftsprozesse, Services sowie alle daran beteiligten IT-Ressourcen, Arbeitsplätze und Tätigkeitsprofile vollständig kennen und nachvollziehen können. Das funktioniert weder verfahrenstechnisch noch aus Gründen der Geheimhaltung, weil das Unternehmen ungern Geschäftsinternas dem Cloud-Anbieter preisgibt.

Anbieter zum Thema

Rittal GmbH & Co. KG
OpenText Security Solutions
Matchmaker+
zu Matchmaker+
  1. Sicherer digitaler Geschäftsauftritt, Teil 3
  2. Kritisch oder unkritisch?
  3. Expertenkommentar: IT-Administration in hoher Qualität sicherstellen
  4. Expertenkommentar: Services aus einer Hand
  5. Expertenkommentar: Trusted Domains
  6. Expertenkommentar: Delegation kompletter Serviceketten
  7. Expertenkommentar: Überwachungslösung auf unterschiedliche Datentypen ausrichten
  8. Expertenkommentar: Multi-Provider-Management

Das könnte Sie auch interessieren

Datacenter-Sicherheit

Sicherer digitaler Geschäftsauftritt

Serie Identity- and Access-Management

Sicherer digitaler Geschäftsauftritt, Teil 2

Verwandte Artikel

connect professional

Quantenalgorithmus Algorithmus

Von Entwickler Quandela

OVHcloud erwirbt seinen ersten Quantencomputer…

Cyberversicherung, Police

Cyberversicherungen und PAM

Reaktive Sicherheit stellt Versicherer nicht mehr…

Geld, Geschäftsmodell

Geschäftsmodelle in der Digital Society

Wachstumstreiber Subscription Economy

Matchmaker+
OpenText Security Solutions

OpenText Security Solutions
EPOS Germany GmbH

EPOS Germany GmbH
sysob IT-Unternehmensgruppe GmbH & Co. KG

sysob IT-Unternehmensgruppe GmbH & Co. KG
Gamma Communications GmbH

Gamma Communications GmbH

WEKA FACHMEDIEN GmbH

WEKA FACHMEDIEN GmbH
d.velop AG

d.velop AG