Suchen

TÜV Rheinland i-sec über die Notwendigkeit der Datenwolke Der sichere Weg in die Cloud

| Autor / Redakteur: Hendrik A. Reese / Dr. Andreas Bergler

Unsicherheit über die tatsächlichen Sicherheitsrisiken, die Furcht vor Kontrollverlust mit Blick auf die eigenen Daten und die Angst vor Hacker-Attacken zählen zu den größten Befürchtungen.

Firmen zum Thema

Im Rahmen der digitalen Transformation ist die Cloud eine Basistechnologie, in großen Firmen gehört sie zum Standard.
Im Rahmen der digitalen Transformation ist die Cloud eine Basistechnologie, in großen Firmen gehört sie zum Standard.
(Bild: Nmedia_Fotolia)

Laut Bitkom waren es 2014 acht Milliarden Euro, in drei Jahren sollen es mehr als doppelt so viel sein: Mit 20 Milliarden Euro Umsatz bis 2018 sagen Branchen-Auguren dem Cloud Computing für Deutschland blühende Zeiten voraus. Doch auch wenn heute bereits mehr als 40 Prozent der befragten Unternehmens in der Datenwolke unterwegs sind: Viele Betriebe stehen noch auf der Innovationsbremse. Die Folge sind langwierige Diskussionen oder aber eine unkontrollierte Schatten-IT, die Sicherheitslücken ungesteuert noch vergrößert.

Entscheidung auf höchster Ebene

Meist ist es das Top-Management, das mit der Cloud Kostenvorteile, Ergebnisverbesserungen und Innovationspotenziale verbindet. Weitere klare Treiber sind die Fachbereiche. Kostensenkung, Skalierbarkeit, Hochverfügbarkeit, eine beschleunigte Produktentwicklung, Standardisierung oder Zentralisierung: Die Liste der Argumente, die für einen Einsatz der Cloud sprechen, ist lang und selbst Skeptiker dürften sie anerkennen. Dennoch plagen sich viele deutsche Unternehmen nach wie vor mit Sicherheitsbedenken, wobei diese bei den verschiedenen innerbetrieblichen Interessensgruppen unterschiedlich ausgeprägt sind. Während Fachfunktionen und Stakeholder aus den Business-Prozessen vor allem beschleunigte Dynamiken für ihr Geschäft sehen, stehen die Funktionen für IT-Sicherheit und Datenschutz dem Thema erfahrungsgemäß eher kritisch gegenüber.

Auch deshalb ist die Cloud-Frage eine Management-Aufgabe, das heißt sie muss top-down gesteuert werden, denn häufig ist damit nichts weniger als die Zukunftsfähigkeit des Unternehmens verbunden. Die Diskussion über die unterschiedlichen Interessenslagen ist in der Regel unbequem, aber der moderierte interne Dialog ist essenziell und im Interesse der Wettbewerbsfähigkeit des Unternehmens. Er sollte alle Befürchtungen und Gegenargumente aufgreifen ebenso wie die Anforderungen der Fachabteilungen, die ihr Business weiterentwickeln und Ergebnisse bringen müssen. Unternehmen, die sich dem nicht stellen, werden mit einem unkontrollierten Wildwuchs von Lösungen leben müssen. Und das ist definitiv ein Schritt in die falsche Richtung.

Folgende Grundsatzfragen sind eine praxiserprobte Hilfe für den strukturierten internen Dialog rund um die Cloud:

Die Gretchenfrage: Brauchen wir die Cloud?

Wer den Einsatz einer Datenwolke plant, sollte sich fragen: Was wollen, was können wir mit der Datenwolke erreichen? Welche Ziele verbinden wir damit in qualitativer oder quantitativer Hinsicht? Wichtig ist auch, dass alle Beteiligten von Grund auf das gleiche Verständnis des „Cloud“-Begriffs teilen. IT-Abteilungen verbinden mit der Cloud ganz andere Dinge, etwa die Nutzung von IaaS (Infrastructure as a Service) für kritische Workloads, während Mitarbeiter oder das Top-Management bei der Cloud erfahrungsgemäß eher an einfach vorstellbare und „greifbare“ SaaS (Software as a Service) denken. Wenn es um das gesamtheitliche Bild der Fähigkeiten der Cloud für das Unternehmen geht, ist die IT also als Berater gefragt.

Ergänzendes zum Thema
Checkliste für Unternehmen, die über den Einsatz der Cloud nachdenken
  • Haben wir das erforderliche Knowhow rund um die Cloud im Hause? Brauchen wir externe Unterstützung für den Weg in die Cloud, der uns von der Konzeption bis zur Umsetzung begleiten sollte?
  • Welche Ziele verbinden wir mit dem Einsatz der Cloud?
  • Rechnet sich das? Welche Vorteile und Einsparpotenziale sind damit verbunden?
  • Welche Daten sollen / dürfen überhaupt in die Cloud?
  • Ist mein Unternehmen technologisch / personell / prozessual reif für die Cloud? Welche Anforderungen müssen wir erfüllen?
  • Welche Art der Cloud sollte es sein?
  • Provider-Auswahl: Ist der Provider zertifiziert? Nach welchem Standard wurde geprüft, was wurde genau bei ihm geprüft? Gibt es standardisierte Lösungen zertifizierter Provider, die sicher und günstig sind?
  • Service-Level-Agreements: Welche quantitativen und qualitativen Leistungen erbringt der Provider? Wie steht es um unsere Beweispflicht, wenn der Provider seinen vereinbarten Pflichten nicht nachkommt? Welche Backups und Sicherungsprozesse gibt es? Wie steht es um das Business Continuity Management des Providers?

(ID:43548295)