Suchen

TÜV Rheinland i-sec über die Notwendigkeit der Datenwolke Der sichere Weg in die Cloud

Autor / Redakteur: Hendrik A. Reese / Dr. Andreas Bergler

Unsicherheit über die tatsächlichen Sicherheitsrisiken, die Furcht vor Kontrollverlust mit Blick auf die eigenen Daten und die Angst vor Hacker-Attacken zählen zu den größten Befürchtungen.

Firmen zum Thema

Im Rahmen der digitalen Transformation ist die Cloud eine Basistechnologie, in großen Firmen gehört sie zum Standard.
Im Rahmen der digitalen Transformation ist die Cloud eine Basistechnologie, in großen Firmen gehört sie zum Standard.
(Bild: Nmedia_Fotolia)

Laut Bitkom waren es 2014 acht Milliarden Euro, in drei Jahren sollen es mehr als doppelt so viel sein: Mit 20 Milliarden Euro Umsatz bis 2018 sagen Branchen-Auguren dem Cloud Computing für Deutschland blühende Zeiten voraus. Doch auch wenn heute bereits mehr als 40 Prozent der befragten Unternehmens in der Datenwolke unterwegs sind: Viele Betriebe stehen noch auf der Innovationsbremse. Die Folge sind langwierige Diskussionen oder aber eine unkontrollierte Schatten-IT, die Sicherheitslücken ungesteuert noch vergrößert.

Entscheidung auf höchster Ebene

Meist ist es das Top-Management, das mit der Cloud Kostenvorteile, Ergebnisverbesserungen und Innovationspotenziale verbindet. Weitere klare Treiber sind die Fachbereiche. Kostensenkung, Skalierbarkeit, Hochverfügbarkeit, eine beschleunigte Produktentwicklung, Standardisierung oder Zentralisierung: Die Liste der Argumente, die für einen Einsatz der Cloud sprechen, ist lang und selbst Skeptiker dürften sie anerkennen. Dennoch plagen sich viele deutsche Unternehmen nach wie vor mit Sicherheitsbedenken, wobei diese bei den verschiedenen innerbetrieblichen Interessensgruppen unterschiedlich ausgeprägt sind. Während Fachfunktionen und Stakeholder aus den Business-Prozessen vor allem beschleunigte Dynamiken für ihr Geschäft sehen, stehen die Funktionen für IT-Sicherheit und Datenschutz dem Thema erfahrungsgemäß eher kritisch gegenüber.

Auch deshalb ist die Cloud-Frage eine Management-Aufgabe, das heißt sie muss top-down gesteuert werden, denn häufig ist damit nichts weniger als die Zukunftsfähigkeit des Unternehmens verbunden. Die Diskussion über die unterschiedlichen Interessenslagen ist in der Regel unbequem, aber der moderierte interne Dialog ist essenziell und im Interesse der Wettbewerbsfähigkeit des Unternehmens. Er sollte alle Befürchtungen und Gegenargumente aufgreifen ebenso wie die Anforderungen der Fachabteilungen, die ihr Business weiterentwickeln und Ergebnisse bringen müssen. Unternehmen, die sich dem nicht stellen, werden mit einem unkontrollierten Wildwuchs von Lösungen leben müssen. Und das ist definitiv ein Schritt in die falsche Richtung.

Folgende Grundsatzfragen sind eine praxiserprobte Hilfe für den strukturierten internen Dialog rund um die Cloud:

Die Gretchenfrage: Brauchen wir die Cloud?

Wer den Einsatz einer Datenwolke plant, sollte sich fragen: Was wollen, was können wir mit der Datenwolke erreichen? Welche Ziele verbinden wir damit in qualitativer oder quantitativer Hinsicht? Wichtig ist auch, dass alle Beteiligten von Grund auf das gleiche Verständnis des „Cloud“-Begriffs teilen. IT-Abteilungen verbinden mit der Cloud ganz andere Dinge, etwa die Nutzung von IaaS (Infrastructure as a Service) für kritische Workloads, während Mitarbeiter oder das Top-Management bei der Cloud erfahrungsgemäß eher an einfach vorstellbare und „greifbare“ SaaS (Software as a Service) denken. Wenn es um das gesamtheitliche Bild der Fähigkeiten der Cloud für das Unternehmen geht, ist die IT also als Berater gefragt.

Ergänzendes zum Thema
Checkliste für Unternehmen, die über den Einsatz der Cloud nachdenken
  • Haben wir das erforderliche Knowhow rund um die Cloud im Hause? Brauchen wir externe Unterstützung für den Weg in die Cloud, der uns von der Konzeption bis zur Umsetzung begleiten sollte?
  • Welche Ziele verbinden wir mit dem Einsatz der Cloud?
  • Rechnet sich das? Welche Vorteile und Einsparpotenziale sind damit verbunden?
  • Welche Daten sollen / dürfen überhaupt in die Cloud?
  • Ist mein Unternehmen technologisch / personell / prozessual reif für die Cloud? Welche Anforderungen müssen wir erfüllen?
  • Welche Art der Cloud sollte es sein?
  • Provider-Auswahl: Ist der Provider zertifiziert? Nach welchem Standard wurde geprüft, was wurde genau bei ihm geprüft? Gibt es standardisierte Lösungen zertifizierter Provider, die sicher und günstig sind?
  • Service-Level-Agreements: Welche quantitativen und qualitativen Leistungen erbringt der Provider? Wie steht es um unsere Beweispflicht, wenn der Provider seinen vereinbarten Pflichten nicht nachkommt? Welche Backups und Sicherungsprozesse gibt es? Wie steht es um das Business Continuity Management des Providers?

Welche Art der Cloud wird benötigt?

Für die Frage nach der passenden Cloud muss eruiert werden, welche Daten überhaupt – und unter welchen Voraussetzungen – in die Cloud dürfen. Nachgelagert hängt es dann stark vom Use Case ab: Liegt der Fokus im Zuge von Industrie 4.0 auf einem steigenden, bedarfsgerechten Einsatz großer Mengen an Speicherplatz und Rechenleistung, ist der Einkauf von IaaS-Cloud-Ressourcen sinnvoll. Wer entsprechend im globalen Wettbewerb mithalten will, wird Prozesse zunehmend unternehmensübergreifend in Echtzeit steuern müssen, um die komplette Wertschöpfungskette – Hersteller, Zulieferer, Sublieferanten – zu integrieren und die Synergien zu nutzen.

Es ist außerdem davon auszugehen, dass Innovationen möglicherweise neue Formen unternehmensübergreifender Kollaboration erfordern. Im Sinne eines Multi-Sourcing-Ansatzes oder neuer Kollaborationsmodelle gilt es dann aufzupassen, keine neuen Datensilos entstehen zu lassen, sondern verschiedene Cloud Services übergreifend steuern und miteinander integrieren zu können. Gleiches gilt für die Fälle, in denen unternehmensinterne Systeme mit einer Vielzahl von Cloud Services und diese wiederum miteinander interagieren müssen – beispielsweise im Umfeld von Analytics. Damit verbunden ist dann auch die Herausforderung, unterschiedliche Provider und SLAs Compliance-sicher zu managen.

Ein weiterer kritischer Faktor bei der Cloud-Integration, den Manager gern außer Acht lassen oder zu spät berücksichtigen, ist das Thema Schnittstellen und die Frage: „Sind wir überhaupt cloud-fähig?“ Welche Basisinfrastrukturdienste braucht der Cloud-Dienst, welche Schnittstellen gibt es und wie lassen sich diese Schnittstellen sicher in das Cloud Deployment einbinden?

Wer ist der richtige Provider?

TÜV Rheinland hat gute Erfahrungen mit einem eigens entwickelten Cloud-Assessment gemacht. Ein solch strukturiertes Verfahren hilft Unternehmen erfahrungsgemäß nicht nur bei der Entscheidung für die optimale Cloud-Lösung, sondern auch darin, mögliche Lücken in der internen Steuerung von Cloud Sourcing und Informationssicherheit insgesamt zu identifizieren und wirksame Gegenmaßnahmen zu definieren.

Prüfungen des TÜV Rheinland für Cloud Service Provider
Prüfungen des TÜV Rheinland für Cloud Service Provider
(Bild: TÜV Rheinland i-sec)

Im Assessment, bei dem TÜV Rheinland das Unternehmen von der Konzeption bis zur Implementierung der Cloud begleitet, werden die zuvor ermittelten Bedürfnisse des Betriebs mit dem Leistungsprofil unterschiedlicher Cloud Service-Anbieter abgeglichen. Anhand von über 50 Kriterien werden die Provider bewertet, darunter in Bezug auf Performance, Verfügbarkeit, Verantwortlichkeiten oder Notfallmanagement. So entsteht eine nachhaltige Entscheidungsgrundlage für oder gegen das zur Wahl stehende Angebot. Ein besonderes Augenmerk gilt auch den Service-Level-Agreements. SLAs erlauben einen frühzeitigen Blick auf mögliche spätere Probleme mit dem Provider. Enthält die Vereinbarung eine umfassende Beweispflicht des Kunden in Bezug auf Mängel und Minderleistungen, lässt das auf eine möglicherweise weniger serviceorientierte Lieferantenbeziehung schließen – von der eher abzuraten ist.

Cyber Security in der Cloud: ein K.O.-Kriterium

Der Provider sollte über ein umfassendes Sicherheitskonzept verfügen, das sowohl Prozesse, Verantwortlichkeiten als auch die technologischen Grundlagen berücksichtigt. Neben der Konzeption selbst sind das tatsächliche Sicherheitsniveau und die Abwehrfähigkeit gegenüber Cyber-Angriffen entscheidend. Der Anbieter-Markt ist inzwischen von einer Vielzahl an Providern und einer enormen Vielfalt geprägt, was die Vergleichbarkeit der Lösungen und Standards anbetrifft. Zertifikate können eine Orientierungshilfe sein. Zu den international umfassendsten Wertmaßstäben für Qualität, Sicherheit und Compliance in der Cloud zählt das Zertifikat „Certified Cloud Service“ von TÜV Rheinland. Bei dieser Zertifizierung wird auch technisch im Detail geprüft, ob der Provider hält, was er verspricht.

Ebenfalls wird ein hohes Augenmerk auf die Compliance gelegt. Zum Beispiel wird untersucht, ob der Datenschutz gesetzeskonform umgesetzt und nach Vertragsende ein Datenschutz- und rechtskonformer Löschvorgang durchgeführt wird – inklusive aller Backups. Beides sollte auch für den Fall einer Insolvenz des Providers gewährleistet sein. Diese Punkte sind nicht selbstverständlich und ein wichtiges Qualitäts- und Differenzierungsmerkmal. Einfordern sollte man auch die Zusicherung über die Datenportabilität, um die Daten gegebenenfalls zurück in das Unternehmen holen zu können.

Wer steuert die Cloud?

Der Weg in die Datenwolke ist immer auch ein Change-Prozess, denn die Cloud bedeutet loszulassen ohne die Hoheit und Kontrolle über die eigenen Assets abzugeben. Die interne IT nimmt hier die unerlässliche Funktion der Schaltzentrale ein, denn die Anforderungen an den Cloud-Einsatz müssen fachlich richtig gesteuert werden. Dazu bedarf es IT-Know-hows, möglicherweise sind auch neue Prozesse, Kompetenzen und Schnittstellen zu definieren.

Künftig wird es noch wichtiger sein, dass sich die IT-Spezialisten mit den Experten aus den Fachbereichen auseinandersetzen und sich auf allen Seiten ein Verständnis der Möglichkeiten und Herausforderungen in der Zusammenarbeit innerhalb der Cloud entwickelt. Sicher ist: Mit dem richtigen und konstruktiven Weg wird das Unternehmen davon in jeder Hinsicht profitieren.

Ergänzendes zum Thema
Checkliste für Unternehmen, die über den Einsatz der Cloud nachdenken
  • Haben wir das erforderliche Knowhow rund um die Cloud im Hause? Brauchen wir externe Unterstützung für den Weg in die Cloud, der uns von der Konzeption bis zur Umsetzung begleiten sollte?
  • Welche Ziele verbinden wir mit dem Einsatz der Cloud?
  • Rechnet sich das? Welche Vorteile und Einsparpotenziale sind damit verbunden?
  • Welche Daten sollen / dürfen überhaupt in die Cloud?
  • Ist mein Unternehmen technologisch / personell / prozessual reif für die Cloud? Welche Anforderungen müssen wir erfüllen?
  • Welche Art der Cloud sollte es sein?
  • Provider-Auswahl: Ist der Provider zertifiziert? Nach welchem Standard wurde geprüft, was wurde genau bei ihm geprüft? Gibt es standardisierte Lösungen zertifizierter Provider, die sicher und günstig sind?
  • Service-Level-Agreements: Welche quantitativen und qualitativen Leistungen erbringt der Provider? Wie steht es um unsere Beweispflicht, wenn der Provider seinen vereinbarten Pflichten nicht nachkommt? Welche Backups und Sicherungsprozesse gibt es? Wie steht es um das Business Continuity Management des Providers?

Ergänzendes zum Thema
Der Autor

Hendrik A. Reese, Principal Consultant bei TÜV Rheinland i-sec
Hendrik A. Reese, Principal Consultant bei TÜV Rheinland i-sec
( Bild: TÜV Rheinland )

Hendrik A. Reese ist Principal Consultant bei der TÜV Rheinland i-sec und verantwortlich für Cloud Service Prüfungen und Zertifizierungen. Zusätzlich berät er diverse nationale und inter nationale Gremien im Hinblick auf Handlungsempfehlungen zum Cloud Computing für Wirtschaft und Verwaltung.

(ID:43548295)