Vor- und Nachteile von Cloud Computing
Raus aus dem Nebel, rein in die Cloud
Geschäfts- und IT-Prozesse überschreiten inzwischen oftmals die Grenzen des einzelnen Unternehmens. Diese „Grenzüberschreitungen“– zum Beispiel durch private Endgeräte, Lieferketten, Innovations-Management oder soziale Netzwerke – bringen signifikante Herausforderungen mit sich. Ein Lösungsweg ist der so genannte „Everything as a Service“-Ansatz, der sich immer weiter verbreitet. Er ermöglicht neue, attraktive Geschäftsmodelle, birgt aber auch neue Risiken.
Cloud Computing ist nicht nur eine Modeerscheinung, sondern ein fundamentaler Wandel in der IT. Er verändert die Machtstrukturen in der IT-Branche und verbessert branchenübergreifend die Flexibilität von Unternehmen sowie den Zugang zu Rechen- und Kommunikationskapazität. Ein bekanntes Marktforschungsinstitut brachte die aktuelle Entwicklung wie folgt auf den Punkt: "Welcome to the New Mainstream". Die Ernst & Young-Studien "Global Information Security Survey" (GISS) aus den Jahren 2010 und 2011 bestätigen diesen Trend (Bild Seite 23).
Immer mehr Unternehmen nutzen Cloud Computing, oftmals mit dem Ziel, Kosten zu senken. Zwar existieren viele IT-Dienstleistungen und -Techniken, die man heute mit dem Schlagwort Cloud Computing bezeichnet, schon seit einigen Jahren, jedoch machten sie bislang nur einen Bruchteil der Erträge der gesamten Branche aus. Dies ändert sich derzeit: In den vergangenen Jahren stieg das entsprechende Service-Angebot an Hardware und Software via Internet deutlich. Die Verbraucher nahmen eine Vielzahl von Cloud-Services an: Dazu zählen etwa E?Mail, Bildbearbeitung und Anwendungen für Smartphones sowie soziale Netzwerke.
Die Trendwende von herkömmlicher Inhouse-IT hin zu Cloud Computing ist jedoch noch lange nicht abgeschlossen: Unternehmen stehen noch vor einer Vielzahl schwieriger Transformationen und Entscheidungen, insbesondere in den Bereichen Personal und Organisation, Sicherheit und Datenschutz sowie Governance, Compliance und Risiko-Management. Zunehmend verlagern konventionelle und unkonventionelle Geschäftsbereiche nicht nur ihre Informationen, sondern auch ihr gesamtes Geschäftsmodell in die Cloud, um so ihr Geschäft durch Smartphone-Anwendungen, soziale Netzwerke und geteilte IT-Infrastrukturen und -Dienste virtuell zu erweitern. Aber diese Verlagerung ganz neuer Bereiche in die Cloud birgt erhebliche Risiken, wie die GISS von Ernst & Young ergaben. Der Druck auf das IT-Management, kurzfristig Antworten auf die damit verbundenen Fragen zu finden, steigt.
Von der Innovationsbremse zum Innovationsbeschleuniger
Cloud-Services sind zwar kostengünstiger als viele unternehmensinterne Alternativen, erhöhen jedoch die Komplexität für Dienstanbieter und -nutzer. Einerseits verursachen Cloud-Services neue, vielschichtige Ertragsströme. Andererseits entstehen für Provider und Kunden gleichermaßen schwer zu beantwortende Fragen der Sicherheit, des Datenschutzes, der Besteuerung sowie damit zusammenhängender Compliance- und Kontrollaspekte. Keiner dieser Aspekte stellt jedoch eine unüberwindliche Hürde dar. Cloud-Service-Provider (CSPs) können bei adäquater Vorgehensweise viele Services kostengünstiger als die Kundenunternehmen anbieten und sich sogar zu einem echten Innovationsbeschleuniger entwickeln. Dennoch ist abzusehen, dass die Einführung des Cloud Computings insbesondere für große Organisationen und Regierungen eine langwierige und komplexe Angelegenheit ist. Zu den Innovationshemmnissen gehören zum Beispiel ein "Kulturschock", die Veränderungsresistenz in IT-Abteilungen, der Kontrollverlust, die Informationssicherheit, der Datenschutz, intransparente Datenmodelle, Aspekte der Rechnungslegung und der Besteuerung, aufsichtsrechtliche Vorschriften sowie fehlende Standards.
Die neue virtuelle Welt fordert eine neue Fähigkeit, Informationssicherheit adäquat bereitzustellen. Dies ist ein wichtiger Aspekt und eine neue Vorbedingung für den künftigen Erfolg vieler Unternehmen. Der IT-Advisory-Bereich von Ernst & Young identifiziert drei Trends, die einen signifikanten Einfluss auf die Rolle und Bedeutung der Informationssicherheit haben werden:
1. Die physischen Grenzen eines Unternehmens verschwinden durch die Datenübertragung via Internet. Mitarbeiter, Kunden, Lieferanten und andere Interessensgruppen haben unabhängig von Zeit und Raum Zugriff auf Unternehmensdaten. Dieser Trend verstärkt sich durch die zunehmende geschäftliche Nutzung mobiler Endgeräte.
2. Die Veränderungszyklen werden kürzer. Dies führt zur Transformation ganzer Industriezweige vom Automobilsektor über das Verlagswesen bis hin zum Handel. Alle müssen den Wandel von "physisch" zu "digital" erfolgreich meistern. Softwarebasierte Geschäftsmodelle lösen zunehmend traditionelle Modelle ab: Bücher werden zu E?Books, CDs zu MP3s, und die modernen Automobile werden bereits durch Software gesteuert. Der Nutzen für die Kunden liegt darin, Zugang zu Produkten in Echtzeit zu erhalten und eine Ware mit einem höheren Wert nutzen zu können.
3. Das IT-Outsourcing entwickelt sich von den traditionellen Verträgen hin zu nutzungsabhängigen Cloud-Dienstleistungsangeboten. Sobald Unternehmen einen Mehrwert darin sehen, das traditionelle Geschäftsmodell in die Cloud zu verlagern und das Vertrauen in ein Cloud-basiertes Geschäftsmodell wächst, werden auch mehr kritische Anwendungen bis hin zu kompletten IT-Infrastrukturen in die Cloud verlagert. Dies führt zu einer langfristigen und zum Teil unumkehrbaren Veränderung des Geschäftsmodells als auch der IT-Funktion des Unternehmens.
Im Zuge der Digitalisierung von Organisationen und der Auflösung von Unternehmensgrenzen verändert sich auch das Risikoumfeld: 72 Prozent der von Ernst & Young befragten Unternehmen sehen eine Risikozunahme durch größere externe Gefahren. Trotzdem passte nur knapp ein Drittel der Befragten ihre IT-Sicherheitsstrategie an das sich verändernde Risikoumfeld an.
Die Informationssicherheit ist ein kritischer Faktor, um die Transformation in die Cloud erfolgreich zu bestreiten. Die erwähnten Trends - grenzenlose Unternehmen, die Digitalisierung des Unternehmens und IT-Dienste aus der Cloud - erfordern eine gut durchdachte Strategie und entsprechende Antworten. Ad-hoc-Lösungen mögen in der Vergangenheit noch kurzfristig geholfen haben, sind aber zukünftig nicht nachhaltig. Es ist wichtig zu erkennen, dass eine größere Investition allein nicht den notwendigen Schutz garantieren kann. Wichtig ist, richtige Rahmenbedingungen zu schaffen, um effektive und nachhaltige Maßnahmen zu treffen.
Eine pragmatische und vorausschauende Herangehensweise ist also notwendig: Das Thema "Informationssicherheit" gehört auf die Agenda der Geschäftsleitung, was bislang lediglich bei zwölf Prozent der Befragten der Fall ist. Mit 49 Prozent geben knapp die Hälfte der Befragten an, dass die Funktion der Informationssicherheit in ihrem Unternehmen den Bedarf des Unternehmens adäquat deckt. Dabei werden die Reputation eines Unternehmens und ein langfristiger Geschäftserfolg zukünftig deutlich stärker von der Informationssicherheit beeinflusst. Warum sollten Kunden einem Unternehmen persönliche Daten anvertrauen, wenn das Sicherheitsniveau des Unternehmens suboptimal ist?
Ein ungewöhnliches, vielleicht sogar einzigartiges Merkmal der Cloud-Services ist, dass sie die Schwierigkeiten von heute in die Impulsgeber von morgen verwandeln können. Die Überprüfung vieler Quellen bestätigte dieses augenscheinliche Paradoxon. IT-Manager beispielsweise antworten auf die Frage, warum sie mit der Einführung von Cloud-Services zögern, öfter mit Sicherheitsaspekten als mit anderen Problemfaktoren. Jedoch wird auch erwartet, dass innerhalb der kommenden fünf Jahre das Thema Cloud Security ein primärer Treiber für die Einführung von Cloud Computing wird. Dies liegt darin begründet, dass CSPs erwartungsgemäß stärker und nachhaltiger in die Entwicklung ihrer Sicherheitsumgebung und ihres Know-hows investieren werden als andere Unternehmen.
Die Einhaltung aufsichtsrechtlicher Vorschriften stellt für viele Länder - insbesondere im Hinblick auf Datenschutz und Datenstandorte - eine weitere Herausforderung auf dem Weg zur Einführung von Cloud Computing dar. Hier gibt es bereits Ansätze für die Bildung spezieller "Compliant Clouds": Diese könnten die nachweisliche Einhaltung spezifischer aufsichtsrechtlicher Vorschriften bieten, darunter gegebenenfalls auch die Gewährleistung, Daten innerhalb der Grenzen eines Landes zu speichern und zu verwalten.
Risikobetrachtung
Die Cloud ist im Vormarsch und dennoch wissen viele Unternehmen noch nicht, mit welchen konkreten Auswirkungen sie planen müssen. So gaben die befragten Unternehmen an, in den kommenden zwölf Monaten im Bereich Cloud Computing die höchsten Investitionen zu tätigen. Diese Investitionen sind sinnvoll, denn risikobehaftete Entscheidungen im Zusammenhang mit Cloud-Dienstleistungen treffen derzeit noch oft Personen, denen die entsprechende Expertise oder Erfahrung fehlt. Mit der zunehmenden Nachfrage nach externen Cloud-Services steigt auch die Abhängigkeit von Dritten und damit die Gefahr, dass sich das Verständnis für die inneren Abläufe von Geschäftsprozessen mindert. Die Abhängigkeit von Dritten erhöht auch die Risiken in Verbindung mit Compliance, Gesetzen, Verträgen und der Integration der Dienstleistung. Cloud Computing bedeutet demnach Change-Management und die vollständige Transformation von Geschäftsprozessen, einschließlich der damit verbundenen Risiken.
Trotz der Weiterentwicklung des Cloud Computings und der Fähigkeit von Cloud-Service-Providern, nutzenorientierte und in der Anwendung einfache Lösungen zu präsentieren, ist es für Unternehmen eine Herausforderung, externe Cloud-Lösungen in ihr Geschäft zu integrieren. 48 Prozent der Befragten gaben an, dass die Implementierung von Cloud-Dienstleistungen eine schwere oder sehr schwere Aufgabe darstellt. Über die Hälfte der Befragten sind der Meinung, dass sie noch keine Kontrollen implementiert haben, um den Risiken des Cloud Computings zu begegnen. 20 Prozent der Befragten kontrollieren am häufigsten die vertraglichen Beziehungen mit Cloud-Dienstleitern. Andere Parameter werden weniger oder gar nicht kontrolliert. Dies zeugt von einem sehr hohen oder auch falschen Maß an Vertrauen. In Ermangelung klarer Richtlinien und Standards treffen viele Unternehmen demnach Entscheidungen auf der Basis falscher Annahmen. Die Folge hiervon kann sein, dass Unternehmen zum Beispiel blauäugig in die Cloud gehen oder diese Möglichkeit komplett ablehnen.
Ein großer Teil der für GISS Befragten treffen vertrauensbasierte Entscheidungen. Richtigerweise benötigen sie neben Vertrauen jedoch auch Validierung, Verifizierung und Zertifizierung. Der Bedarf an unabhängigen Verifizierungen und Zertifizierungen wurde erkannt. Fast 90 Prozent bevorzugen eine externe Zertifizierungen und die Hälfte (45 Prozent) fordern hierfür einen entsprechenden Standard. Viele Unternehmen haben den Prozess einer entsprechenden Governance begonnen und begegnen den Herausforderungen durch diverse Maßnahmen. Große Fortschritte hinsichtlich eines einheitlichen Vertrauensmodells wurden bereits erzielt, so zum Beispiel durch die Cloud Security Alliance mit der "Security, Trust, and Assurance Registry" (CSA STAR) oder der globalen SOC-2-Zertifizierung auf der Basis standardisierter "Trust Services Principles and Criteria" des American Institutes of CPAs. Diese Entwicklung kann eine zunehmende Akzeptanz von Cloud-Dienstleistern bewirken, die sich an diesen Vertrauensmodellen beteiligen.
Die Cloud-Industrie muss sich weiterentwickeln. Derzeit überwiegt bei vielen das Versprechen von Flexibilität und niedrigen Kosten, das die Inanspruchnahme von Cloud-Dienstleistungen vorantreibt. Jedoch existieren reale Risiken. Diese Risiken muss man gegen den Nutzen der Dienste abwägen. Das Vertrauen in Cloud-Dienste muss wachsen und durch die Entwicklung regulierter Vertrauensstandards gestützt werden. Es genügt nicht, sich auf Externe zu verlassen, um den Risiken des Cloud Computings adäquat zu begegnen. Diese Risiken können zu gravierenden Veränderungen für Geschäftsprozesse führen, sodass man ihnen durch formale Risiko-Management-Prozesse innerhalb der Fachabteilungen wie auch der IT begegnen sollte.
Handlungsempfehlungen von Ernst & Young
Etablieren Sie eine Governance und Richtlinie für die Nutzung mobiler Endgeräte und damit verbundene Sicherheitsmaßnahmen.
Setzen Sie auf Verschlüsselungstechniken.
Führen Sie vor dem Einsatz mobiler Apps externe Sicherheitsüberprüfungen dieser Apps durch.
Geben Sie Verifizierung und Zertifizierung den Vorzug gegenüber bloßem Vertrauen.
Bringen Sie in Erfahrung, wo identifizierte Risiken liegen, bei Ihrem Service-Provider oder bei Ihnen.
Bereiten Sie sich auf Notfälle vor und wählen Sie Dienstleister, die Transparenz bieten hinsichtlich ihrer Notfallpläne, Datensicherungsmechanismen und Wiederherstellungstests.
Wenden Sie konsequent standardisierte IT-Sicherheitsprozesse und -techniken an, die sich in der Vergangenheit als effektiv erwiesen haben, auch dann, wenn Sie diese in der Cloud auslagern.
Orientieren Sie Ihre Informationssicherheitsstrategie an der Unternehmensstrategie und evaluieren Sie Ihre Compliance-Risiken regelmäßíg.
Messen Sie Ihre Informationssicherheitsstrategie am aktuellen Risikoumfeld.
Fokussieren Sie vorrangig auf die Grundlagen, nicht auf die neuesten Sicherheits-Tools.
Implementieren Sie eine strukturierte und pragmatische Vorgehensweise zur effektiven Steuerung Ihrer IT-Risiken. Sehen Sie das Thema Governance, Risiken und Compliance (GRC) als eine wesentliche zukünftige Investition in Ihr Unternehmen.
Beziehen Sie das gesamte IT-Spektrum in Ihr GRC-Programm mit ein, nicht nur das Thema Informationssicherheit.
Etikettenschwindel "Private Cloud"
Den Begriff "Private Cloud" hält Peter Coffee, Vice President und Head of Platform Research bei Salesforce, für irreführend. Im LANline-Interview argumentierte er, das Konzept "Private Cloud" gleiche dem Einsatz privater Firmen-Jets: Dies könne man zwar eine "Fluglinie" nennen, es sei aber keine; ebensowenig sei eine Private Cloud mit Public-Cloud-Services vergleichbar. Vielmehr sei eine Private Cloud der beste Weg für eine IT-Abteilung, sich selbst wegzurationalisieren: Denn sind Workloads einmal virtualisiert und automatisiert bereitgestellt, ließen sie sich schnell in eine Public Cloud auslagern.
Salesforce, so Coffee, gelte zwar als SaaS-Anbieter, sei aber im Grunde ein PaaS-Provider (Software/Platform as a Service): Alle Salesforce-Anwendungen liefen auf der hauseigenen Plattform Force.com. "Wir stellen einen Stack dar, keine Sammlung von Silos", so Coffee mit Seitenblick auf die Konkurrenten Microsoft und Co.
Die Force.com-Plattform sorge für Mandantenfähigkeit, Elastizität und dynamische Skalierung: So werde jeder POD (virtueller Container), der mit über 50 Prozent Last laufe, automatisch in zwei geteilt. So skaliere die Salesforce-Umgebung, ohne dass der Kunde dies bemerke. Zudem führe Salesforce 800 Feature-Releases und drei größere Upgrades pro Jahr durch, die automatisch für alle Kunden zur Verfügung stünden - in einem herkömmlichen Softwaremodell undenkbar. Dennoch sieht Coffee nicht alle Workloads in die Public Cloud abwandern: Anwendungen wie High-Frequency Trading im Bankenbereich würden im Hause verbleiben, so der Salesforce-VP. Für die meisten Transaktionstypen sei die Geschwindigkeit jedoch nicht derart kritisch. Ein Unternehmen müsse sich deshalb entscheiden: Welchen Mitarbeitern stellt sie tatsächlich einen "Privat-Jet", welche verweist sie auf öffentliche Fluglinien?
Bei der Frage der Datensicherheit verweist Coffee auf die hohen Salesforce-Standards beim RZ-Betrieb, ein rigoroses Trust-Modell und die Möglichkeit der Datenverschlüsselung. Mit der Partnerlösung Ciphercloud könne ein Unternehmen zum Beispiel Telefonnummern verschlüsseln, nicht jedoch die Vorwahl, sodass sich die Datensätze weiterhin nach Ortsvorwahl sortieren und durchsuchen ließen. Künftig soll es auch möglich werden, bestimmte Datenfelder lokal zu speichern und aus der Cloud darauf zuzugreifen, so Salesforce-Vordenker Coffee.
Dr. Wilhelm Greiner
Wesentliche Risiken und Herausforderungen
Compliance und Datenschutz: Cloud Computing ist oft "grenzenlos?, Compliance jedoch nicht. Für Cloud-Nutzer ist es oft nicht klar, wo die Daten liegen. Dies birgt Herausforderungen für rechtliche Compliance und Datenschutz. Zum Beispiel spielen hier die Anforderungen von Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA) in den USA, Payment Card Industry Data Security Standard (PCI/DSS ), des US Patriot Acts wie auch die Datenschutzanforderungen der EU und Deutschlands eine wesentliche Rolle.
Informationssicherheit und Datenintegrität: Der Datenverarbeitung bei einem Cloud-Dienstleister folgt in der Regel eine Kommunikation über das Internet. Die Daten bleiben nicht mehr innerhalb eines Unternehmensnetzwerks. Damit steigen die Risiken in Zusammenhang mit Datenübertragung, -verarbeitung und -haltung. Zu nennen sind insbesondere die unautorisierte Veränderung wie auch Löschung von Systemen und Daten. Mit der Cloud sind daher neue Herausforderungen verbunden in Bezug auf Anwendungssicherheit, Identitäts-Management, Authentifizierung, Verschlüsselung und Datenklassifizierung.
Verträge und rechtliche Aspekte: Vertragliche Risiken resultieren im Wesentlichen aus den Typen von Verträgen, die im Cloud-Umfeld abgeschlossen werden. Solche Verträge sollten die essenziellen Service Level Agreements (SLAs) und die wichtigsten Key Performance Indicators (KPIs) enthalten, um Einigkeit über die Leistung an sich sowie eine Basis für die Leistungsmessung zu schaffen. Man braucht Erfahrung und Fachkompetenz, um die komplexen Dienstleisterbeziehungen zu managen. Die Komplexität erhöht auch die Gefahr, nicht zu erkennen, an welcher Stelle man ein Risiko eingeht.
Governance, Risiko-Management und Assurance: Wenn ein Unternehmen sich dazu entschließt, in die Cloud zu gehen, sollte es sicherstellen, dass dieser Weg auch zu den geschäftlichen Zielen hinsichtlich Nutzen und Risiken passt. Daher benötigt es ein Governance-Modell und eine Cloud-Strategie, inklusive eines Ansatzes für ein Cloud-Risiko-Management.
Zuverlässigkeit und ununterbrochener Geschäftsbetrieb: Die Kontinuität des Geschäftsbetriebes ist essenziell. Daher ist es äußerst wichtig zu verstehen, in welchen geografischen Gebieten der Cloud-Provider agiert und wie dies die Cloud-Nutzer tangiert. Die Cloud-Nutzer sind schließlich von der Notfallplanung, der Betriebsfähigkeit, dem Incident-Management und den Helpdesk-Funktionen des Cloud-Dienstleisters abhängig.
Integration und Interoperabilität: Die Integration von Systemen in Cloud-Infrastrukturen ist ein wesentlicher Schritt. Die Systeme müssen in der Lage sein, miteinander zu kommunizieren, auf Seiten des Cloud-Nutzers wie auch des Cloud-Dienstleisters. In einigen Fällen werden Integrationsdienste mit in die Verträge aufgenommen, zum Beispiel das Testing. Jedoch sollte man auch fortlaufende Veränderungen und System-Upgrades an den Systemen bedenken: Es muss klar sein, wie diese Veränderungen kontrolliert erfolgen können.
Lesen Sie mehr zum Thema
