Suchen

Zehn Fragen an Dr. Carlo Velten, Chef-Analyst bei Crisp Research Unternehmen werfen nach NSA-Skandal ihre Cloud-Konzepte um

Autor: Elke Witmer-Goßner

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.

Firmen zum Thema

Cyberkriminalität nimmt zu und wird immer vielfältiger. Dagegen kann künftig nur ein integrierter Mix aus digitaler und physischer Sicherheit helfen.
Cyberkriminalität nimmt zu und wird immer vielfältiger. Dagegen kann künftig nur ein integrierter Mix aus digitaler und physischer Sicherheit helfen.
(Bild: Yabresse, Fotolia)

Götz Piwinger: Mittelständische Unternehmen gehen vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Dr. Carlo Velten: In der Tat ist es für viele Anwender in kleinen wie auch in großen Unternehmen nicht leicht ersichtlich, wie gut ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies liegt einerseits an der mangelnden Transparenz vieler Anbieter, die vielfach nicht offenlegen, wer im Rahmen der Leistungserbringung von der Infrastruktur- und Managementseite her eingebunden ist. Cloud Dienste sind in diesem Sinne vergleichbar mit einem Bauprojekt, das von einem Generalunternehmer gesteuert wird. Man hat in diesem Fall keinen Überblick und Zugriff auf die handelnden Sub-Unternehmer, sondern muss sich auf die Aussagen des Generalunternehmers verlassen. Andererseits muss ehrlicherweise gesagt werden, dass in vielen Unternehmen nur wenige Mitarbeiter über das notwendige technische Know-how und vor allem die Zeit verfügen, sich vertieft mit der Materie zu beschäftigen. Daher bleiben viele Diskussionen oft an der Oberfläche und man lässt sich von seinem Bauchgefühl leiten. Zudem haben viele Unternehmen ihre eigenen Risiken noch nicht sauber analysiert und definiert. In diesem Fall haben es Cloud-Provider immer schwer, die richtigen Antworten zu geben. Bedenkt man allerdings, welche extremen Aufwendungen und Investitionen große Provider wie Google oder die Deutsche Telekom in die IT-Sicherheit stecken, sollte man sich fragen, ob der Eigenbetrieb der IT der bessere bzw. sichere Weg ist.

Piwinger: Sie beraten mittelständische und große Unternehmen in Sachen Cloud Strategie und sagen: „Cloud Computing ist kein Hype, sondern ein strategischer Imperativ für CIOs“. Ist Cloud Computing wirklich ein reines CIO-Thema?

Dr. Velten: Für IT-Entscheider in großen Unternehmen, ist es essentiell, die Auswirkungen von Cloud Computing auf das eigene Unternehmen vollständig zu erfassen. Denn einen großen Unternehmenstanker kann man nicht so schnell umsteuern. Der Weg in die Cloud ist gerade für die Großen und langer und teils steiniger Weg. Hier haben es kleine und mittelständische Unternehmen vielfach einfacher, von den möglichen Cloud-Vorteilen zu profitieren. Denn sie sind vom Cloud-Trend ebenso betroffen und haben heute eine einmalige Chance: erstmalig können sie die gleichen IT-Innovationen nutzen, wie große Unternehmen mit Multi-Millionen IT-Budgets. Modern IaaS- oder SaaS-Lösungen haben keine Einstiegshürden und kosten auch für kleine Unternehmen (fast) dasselbe wie für Großkunden.

Piwinger: In der aktuellen Presse stoßen wir nahezu täglich auf Datenpannen, auch bei größeren und angesehenen Unternehmen und Institutionen. Allein mit einer technischen Lösung scheint dem nicht beizukommen zu sein. Was kann ihrer Meinung nach zur mehr Aufklärung der Unternehmen in Sachen Datenschutz bei der Nutzung von Cloud-Technologien zusätzlich unternommen werden?

Dr. Velten: Wenn in der digitalen Wirtschaft der Rubel rollt, dann geht dies natürlich nicht ohne „digitale Kriminalität“ ab. Die Verfahren, Tools und Taktiken von Cyberkriminellen werden immer ausgefeilter und professioneller. Auch ist eine enorme Kreativität am Werk, wenn es darum geht, in Firmennetzwerke einzubrechen und Daten zu entwenden. Für die Anwender stellt sich die Frage, ob sie selbst ein ausreichendes Sicherheitsniveau garantieren können, oder ob dies besser ein Cloud-Service-Provider kann, der über entsprechende Ressourcen verfügt. Am Anfang sollte eine Analyse – und unternehmensinterne Aufklärung – stehen, welche Datenbestände im Unternehmen als kritisch gelten und wie diese zu schützen sind. Die Themen Intrusion Detection, Physical Security und Data Protection (bzw. Data Leakage Protection) sowie Virtualisierungssicherheit und Verschlüsselung werden in den kommenden Jahre eine zentrale Rolle spielen. Man sollte sich allerdings nichts vormachen, denn mit dem steigenden Vernetzungsgrad geht auch ein ansteigender Verletzungsgrad einher. In der einer Welt in der Daten in Echtzeit verarbeitet, analysiert und kommerzialisiert werden, wird es immer vereinzelt zu Schadensfällen kommen. Man sollte darauf vorbereitet sein, Stichwort Disaster Recovery Management.

Piwinger: Datenschutz und Datensicherheit sind zu Prozessthemen geworden. Einerseits geht es im Top Management um Reduktion des Haftungsrisikos. Andererseits um wichtige Performancesteigerung. Dieses Bewusstsein sollte in der gesamten Belegschaft verinnerlicht sein. Welche Rolle spielt Informationssicherheit und Compliance in Ihrer Arbeit?

Dr. Carlo Velten, Managing Director Crisp Research.
Dr. Carlo Velten, Managing Director Crisp Research.
(Bild: Experton Group)

Dr. Velten: Das Thema wird bei uns natürlich groß geschrieben. Als Marktforschungs- und Beratungsunternehmen gehen wir in vielen Fällen mit sensiblen Daten um, die geschützt werden müssen. Zudem haben wir eigene Cloud-basierte Informationsdienste für IT-Entscheider entwickelt. Auch hier müssen wir auf entsprechende Standards achten und unsere Systeme, Daten sowie die User- und Nutzungsdaten unserer Anwender schützen. Derzeit liegt der Schwerpunkt allerdings auf sogenannten „Risk Heatmaps“, die den sogenannten „Risikoappetit“ eines Unternehmens definieren und festlegen, welche Risiken eingegangen, gemessen und kontrolliert werden müssen. Interessant sind vor allem die vielen Abhängigkeiten, die sich innerhalb der Geschäftsprozesse ergeben. So kann der Ausfall eines ursprünglich unkritischen IT-Systems in der Folge trotzdem großen Schaden anrichten. Diese Abhängigkeiten zu identifizieren und zu bewerten und dann ggf. in die Compliance- bzw. Risk Management-Richtlinien aufzunehmen. ist harte Arbeit.

Piwinger: Sie beraten bei Crisp Research prominente Unternehmen. Kommen Ihre Kunden aktiv mit der Forderung nach einer Lösung nach deutschen Datenschutzrichtlinien auf Sie zu?

Dr. Velten: Es gibt in der Tat viele Kunden für die wir IT-Betriebskonzepte entwerfen, die hauptsächlich auf lokale IT-Service Provider zugeschnitten sind. In vielen Branchen gelten klar definierte gesetzliche Regeln, welche Daten außerhalb der Landesgrenzen verarbeitet werden dürfen. Zudem ist der Anteil an Unternehmen, die nach dem Hochkochen des NSA-Skandals ihre Konzepte umgeworfen haben, enorm gestiegen. Gerade große Unternehmen richten sich wieder gemütlich in ihren eigenen Rechenzentren mit „Private Clouds“ ein, auch wenn ursprünglich erste Schritte in Richtung „Public Cloud“ geplant waren. Generell ist der deutsche Datenschutz derzeit so etwas wie ein gutes, solides Markenzeichen. Im globalen Vergleich werden hier sicherlich Maßstäbe gesetzt. Derzeit sieht Crisp Research verstärkt globale Cloud-Player auf den deutschen Markt drängen. Dies hat natürlich nicht primär mit dem deutschen Datenschutz zu tun, sondern hauptsächlich mit der Größe des Marktes und der Anforderung der Kunden, mit einem hohen Quality-of-Service und nach deutschen Datenschutzstandards bedient zu werden. Und das ist absolut nachvollziehbar.

Piwinger: Die Deutsche Börse geht mit dem Projekt „Cloud Exchange“ 2014 an den Markt. Ähnlich der Strombörse können dort Rechenleistung und Speicherkapazität gehandelt werden. Derzeit ist geplant, nur nach US- und EU-Anbietern auszuwählen. Beim Stromhandel kann ich zum Beispiel rein regenerative Lösungen wählen. Beim Cloud-Speicher wäre eine Auswahlmöglichkeit „Green Cloud“ und „German Cloud“ wünschenswert. Wie ist Ihre Meinung dazu?

Dr. Velten: Nach meinem Kenntnisstand befindet sich das ambitionierte Projekt derzeit noch in der Konzeptions- und Designphase. Die Grundidee ist bestechend. Sicherlich wäre es klug und wünschenswert die Rechenzentrumsstandorte möglichst granular auswählen zu können. Sonst werden sich nur schwer Kunden finden lassen. Ich würde allerdings davon ausgehen, dass solche Wahloptionen in der finalen Version des Marktplatzes zur Verfügung stehen.

Piwinger: Welche nächsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Märkte?

Dr. Velten: Oh, da gibt es natürlich eine ganze Menge. In 2014 wird sich verstärkt die Frage nach der Auswahl geeigneter und vor allem standardkonformer Cloud-Management-Software stellen. In diesem Kontext wird die Einschätzung und Verbreitung des Open-Source-basierten Openstack-Frameworks eine wichtige Rolle spielen. Hier wird Crisp Research in Kürze ein paar interessante Ergebnisse vorlegen. Und der Blick wird sich von der Server-Virtualisierung hin in Richtung Netzwerk-Virtualisierung (Software Defined Networks) richten. Denn hier ist meist der Flaschenhals in komplexen Cloud-Umgebungen zu finden, wenn Workloads flexibel und effizient zwischen verschiedenen Servern, Infrastrukturen und Rechenzentren hin- und herwandern sollen. Letztlich wird sich in 2014 zeigen, ob und wie erfolgreich sich Cloud-Services über Marktplätze verkaufen lassen.

Piwinger: Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung von Smartphones und Firmenanwendungen. Während man sich bemüht, Firmendaten zu schützen, erlaubt man fast jeder Smartphone-App, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?

Dr. Velten: In professionell gemanagten IT-Umgebungen in größeren Unternehmen wird heute standardmäßig auf entsprechend Mobile-Device-Management-Lösungen gesetzt, die zumindest einen Großteil dieser Risiken reduzieren. Hier lassen sich auch entsprechende Policies umsetzen, nach denen geregelt ist, was die Nutzer und was die Unternehmen dürfen. Im besten Fall sind diese Vereinbarungen mit dem Betriebsrat abgestimmt, so dass auch die Mitarbeiter wissen, was auf ihrem Gerät getrackt wird und was nicht. Ich persönlich empfehle all denjenigen, die hier besonders auf ihre Privatsphäre achten wollen, die gute alte Regel: eins fürs Business, eins fürs Private!

Piwinger: Wie verändert sich das Management von IT-Sicherheit in Zeiten des Cloud Computings? Wo sieht Crisp Research das größte Bedrohungspotenzial und die damit verbundenen wichtigsten Handlungsfelder?

Dr. Velten: Wir stellen fest, dass sich die Bedrohungsszenarien wandeln. Wurden noch vor fünf Jahren viele Angriffe auf Firmennetzwerke von passionierten Hackern ohne Hintergrund in der organisierten Kriminalität verübt, so hat sich dieses Verhältnis umgekehrt. Angriffe werden heute mit den neuesten Technologien, teils hohem Kapitaleinsatz und höchst professionell geführt. Wir sprechen hier von sogenannten „High-Level-Incidents“ – also zum Beispiel Angriffen auf Banken oder Infrastrukturbetreiber. Hinzu kommt, dass sich die Angriffsmethoden und Taktiken verändern. So hatten sich kürzlich Bankräuber, als IT-Administratoren eines IT-Dienstleisters verkleidet, Zugang zu den Computern in einer Londoner Bankfiliale verschafft. Per Remote Dongle (USB-Stick mit Fernwartungsfunktion) ging es dann daran, Millionen auf andere Konten umzuleiten. Hier zeigt sich, dass wir zukünftig einen integrierten Mix aus digitaler und physischer Sicherheit brauchen. Wenn wir langsam aber sicher den Weg in die Data Economy beschreiten und Daten das neue Gold sind, dann wird Data Leakage Protection eines der zentralen IT-Sicherheitsthemen. Auch das Thema Identity & Access Management wird wohl eine Renaissance erleben.

Piwinger: Der deutsche Markt für Cloud Computing verspricht enorme Wachstumsraten. Wird sich die Rolle der Berater und Integratoren dadurch verändern?

Dr. Velten: Die Rolle der Integratoren und Berater ist nicht zu unterschätzen. Sie spielen bei der Transformation und Implementierung eine wichtige Rolle. Vielfach wird noch so getan, als würden SaaS-Lösungen mit einem Klick gekauft und dann via Self-Service eingeführt. Dem ist in der Praxis natürlich nicht so. Selbst bekannte Lösungen wie Salesforce werden selten ohne spezialisiertes Integrationsniveau von Partnern, wie beispielsweise Tquila, implementiert. Die Herkulesaufgabe ist allerdings anderer Natur: Die Evaluierung und Einführung der Cloud-Services muss alle Anwender mitziehen, damit sich von Beginn an eine hohe Akzeptanz einstellt. Denn nur so lassen sich Supportkosten senken und die Produktivität wirklich erhöhen.

Artikelfiles und Artikellinks

(ID:42369322)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de