Sicherer digitaler Geschäftsauftritt, Teil 3

Kritisch oder unkritisch?

Deshalb sollte aufgrund der begrenzten Kontroll- und Einflussmöglichkeiten vor der Auslagerungsentscheidung genau analysiert werden, wie sicherheits- oder geschäftskritisch die einzelnen Datenbestände und Anwendungen sind. Daten und Anwendungen hoher Kritikalität sollten unter eigener Kontrolle verbleiben, am besten abgesetzt von der Corporate-Cloud innerhalb einer abgeschotteten IT-Infrastruktur. Die Kontrolle in Eigenregie sollte das Unternehmen auch über Daten und Anwendungen behalten, die immer noch geschäfts- oder sicherheitskritisch sind. Sie sollten innerhalb der Corporate-Cloud gespeichert, ausgeführt und verarbeitet werden. Nur weniger schutzwürdige Daten und Anwendungen und solche Daten, die ohnehin über das Internet bereitgestellt werden, sollten ausgelagert werden. Für diese Vorsichtsstrategie spricht nicht nur die strategiekonforme, direkte und tendenziell vollständige Kontrolle in Eigenregie. Auch mit Blick auf die Compliance-Vorschriften, für deren nachweisliche Einhaltung das Unternehmen auch im Fall der Auslagerung haftet, empfiehlt es sich, kritische Daten und Anwendungen besser unter eigener Kontrolle und Dokumentation zu belassen. Würde das Unternehmen stattdessen für mehr Sicherheit und Compliance der Daten auf deren Speicherung und Verarbeitung auf dedizierten Speichersystemen und Servern innerhalb der virtualisierten Cloud des Dienstleisters bestehen, würde auch das deutlich mehr kosten.

Standard oder optimiert?

Kostensenkung ist das hervorstechende Argument, das von Cloud-Dienstleistern oder solchen, die ihnen zuarbeiten, immer wieder ins Feld geführt wird. Doch nicht nur die vielen Zusatzleistungen rund um die Sicherheitsdienste der Cloud-Anbieter ziehen für das Unternehmen satte Aufpreise nach sich, auf Kosten der propagierten Einsparungen. Reichen für das Unternehmen die bereitgestellten Standard-Services und -Schnittstellen nicht aus, entstehen durch die Optimierung und Integration der maßgeschneiderten Services erhebliche Mehrkosten. Parallel steigt auf der Seite des Cloud-Dienstleisters mit der höheren Service- und Schnittstellenkomplexität der Betriebs- und Administrationsaufwand. Parallel wächst auf der Seite des Unternehmens der Kontrollaufwand, was die herausgestellten Einsparungen weiter minimiert. Die gegenseitige Anpassung von Services und Schnittstellen an die Vorgaben des Unternehmen sowie die technische Tiefenintegration bringt einen weiteren Nachteil mit sich: Dadurch wächst die Bindung des Unternehmens an den Servicelieferanten. Die Folge: Ein späterer Wechsel zu einem anderen Cloud-Anbieter ist nur unter hohem Kosten- und Zeitaufwand möglich. Wichtig zu wissen: Kleinere und mittlere Cloud-Anbieter sind eher dazu bereit, ihre Services zu optimieren und an denen ihrer Kunden anzupassen. Große Cloud-Anbieter bieten hingegen Standard-Services, an denen sich die Kunden auszurichten haben. Auch das macht die Unternehmen abhängig vom Servicelieferanten.
Bis heute sind die meisten Cloud-Dienstleister für ihre Kunden nicht über Standard-Services wie E-Mail, Dateiablage, Office und Sharepoint hinausgekommen. Denn die externe Bereitstellung optimierter Services, die zudem in der Regel höhere Sicherheits- und Performance-Anforderungen nach sich ziehen, rechnet sich für beide Seiten kaum. Steuert der Cloud-Dienstleister dennoch optimierte Services zu durchgehenden Geschäftsabläufen bei, leidet darunter meist die Stabilität und Verfügbarkeit der Service- und damit der Geschäftsprozessketten. Mit der fortschreitenden Service- und Prozessautomatisierung könnten Cloud-Dienstleister, die dazwischen treten, noch mehr zur Sollbruchstelle für reibungslose und integre Geschäftsabläufe werden.

Innovationsfähigkeit versus Innovationseinbußen

Ob Unternehmen durch die Auslagerung von Daten und Anwendungen mehr Zeit für die Entwicklung von Innovationen haben und ob sie von den Vorteilen einer eventuell höher entwickelten externen RZ-Infrastruktur profitieren können, ist allein von ihrer Innovationsfähigkeit und dem technischen Stand der eigenen IT-Infrastruktur abhängig. Die Frage, ob sich Unternehmen diese Innovationsfähigkeit und Installationsbasis leisten können oder sollten, stellt sich ohnehin nur für kleinere oder weniger innovative Firmen. Sie können aus Kostengründen oder aufgrund weniger innovativer Produkte oder Dienstleistungen ihre Innovationsfähigkeit eher preisgeben. Für alle anderen Unternehmen ist eine eigene Innovationsfähigkeit als Motor für das Geschäft unverzichtbar, somit auch nicht delegierbar. Je mehr das Unternehmen den Cloud-Dienstleister für die erforderlichen IT-Innovationen in die Pflicht nimmt, um so mehr unterhöhlt es auf Dauer seine eigene Innovationsfähigkeit. Parallel wächst die Abhängigkeit von der IT-Infrastruktur des Cloud-Anbieters. Ein späterer Provider-Wechsel, so wenn die gebotenen Leistungen und Services sich als unzureichend herausstellen sollten, ist dadurch äußerst aufwendig und schwierig.

Was zusätzlich bedacht werden sollte

In einer Zeit, in der Unternehmen nicht sicher sein können, ob Verschlüsselungssysteme kompromittiert werden oder bereits kompromittiert worden sind, sollte diese potenzielle Gefahr im Fall der Auslagerung von Daten und Anwendungen unbedingt thematisiert werden. Verschlüsselungssysteme aus Staaten, die für Ausspähungen berüchtigt sind, sollte das Unternehmen eine generelle Absage erteilen. Aber auch für Systeme aus vermeintlich vertrauensvoller Quelle empfiehlt es sich, sich vom Cloud-Dienstleister die Gewalt für die dort verwendeten Schlüssel vollständig übertragen zu lassen. Das sollte auch für die Schlüssel gelten, die der Anbieter innerhalb seiner Cloud zur Kodierung der Unternehmensdaten verwendet, was allerdings bei einer virtualisierten Verarbeitung und Speicherung kaum möglich ist. Neben der vollständigen Schlüsselgewalt sollte das Unternehmen auf ein Identity and Access-Management (IAM) unter eigener Regie drängen. Dazu gehört, dass sich der Cloud-Dienstleister über entsprechende Schnittstellen ins IAM-System und Identity-Federation-Modell seiner Unternehmenskunden einklinkt, und nicht umgekehrt. Nur unter dieser Voraussetzung hat und behält das Unternehmen die Kontrolle über den kompletten Zugriffsschirm, dessen Administration, die notwendigen Anpassung daran und über sämtliche Audits und Reports zu den Zugriffen, um Compliance nachzuweisen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Sicherer digitaler Geschäftsauftritt, Teil 3
2. Kritisch oder unkritisch?
3. Expertenkommentar: IT-Administration in hoher Qualität sicherstellen
4. Expertenkommentar: Services aus einer Hand
5. Expertenkommentar: Trusted Domains
6. Expertenkommentar: Delegation kompletter Serviceketten
7. Expertenkommentar: Überwachungslösung auf unterschiedliche Datentypen ausrichten
8. Expertenkommentar: Multi-Provider-Management

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Server, Datacenter

Direktanschluss an Atomkraftwerk

Amazon plant 20-Milliarden-Investition in Rechenzentren

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden