Eine aktuelle IDC-Befragung zum Thema Cloud Computing in Deutschland bestätigt: Cloud Services setzen sich immer weiter durch. Nach Angaben der befragten IT-Entscheider nutzt oder implementiert fast die Hälfte (45 Prozent) der deutschen Unternehmen inzwischen Cloud Services, weitere 36 Prozent befinden sich in der Planungsphase oder beschäftigen sich mit der Thematik – und das sind vor allem mittelständische Betriebe mit weniger als 1.000 Mitarbeitern.
Die bekannten Vorteile von Cloud Services – Reduzierung des IT-Betriebsaufwands, Skalierbarkeit, schnellere Einführung neuer Lösungen, einfache Nutzung durch die User, etc. – sind die wesentlichen Treiber für die Verbreitung der “as-a-Service” Angebote.
Anwenderunternehmen müssen bei der Migration in die Cloud allerdings zahlreiche Aspekte berücksichtigen. Die Bedenken hinsichtlich der Sicherheit und der Einhaltung der strengen deutschen Gesetze sind hierzulande besonders ausgeprägt. Die NSA-Affäre hat die Sicherheitsdiskussion zusätzlich befeuert und zu einer weiteren Verunsicherung geführt.
Ein angemessener Level an Due Diligence ist also zwingend erforderlich, wenn Organisationen über die Nutzung von Cloud Services nachdenken. Diese sorgfältige Risikoprüfung ist deshalb wichtig, da die Verpflichtung der Einhaltung der Datenschutzgesetze und sonstiger Compliance-Vorgaben nicht auf einen Cloud-Provider “abgewälzt” werden kann. Die Verantwortung bleibt in den Händen des Anwenderunternehmens. Dies gilt insbesondere für personenbezogene Daten der eigenen Mitarbeiter, von Kunden oder Lieferanten.
Vor dem Hintergrund einer angemessenen Due Diligence lässt sich die Migration in die Cloud in drei wesentliche Phasen einteilen:
IDC-Befragungen in Deutschland zeigen, dass sich die Zielsetzungen für die Nutzung von Cloud Services verändern. Eine einseitige IT-Kostenbetrachtung greift inzwischen viel zu kurz. Die wesentlich agilere Reaktion der IT auf neue Anforderungen des Managements und die bessere Unterstützung der Geschäftsprozesse rücken zunehmend in den Mittelpunkt. Damit soll der Beitrag der IT zum Kerngeschäft deutlich gesteigert werden. Diese Anforderungen sind aus Sicht der Geschäftsleitungen inzwischen “Pflicht” und nicht mehr nur die “Kür” für die IT. Als IT-Leiter müssen Sie deshalb in enger Abstimmung mit den Geschäftsbereichen entscheiden, welche Bereiche und Workloads mit welchem Cloud-Modell betrieben werden sollen. Die Erfüllung der Business-Anforderungen darf dabei aber nicht zu Lasten der Sicherheit und der Einhaltung der relevanten Datenschutzgesetze und branchenspezifischen Compliance-Vorgaben gehen.
Bei der Festlegung der Auswahlkriterien ist vor allem darauf zu achten, dass diese mit den unternehmensinternen Sicherheitsvorgaben übereinstimmen. Falls Sie solche unternehmenseigenen Richtlinien aber noch nicht oder nur sehr vage formuliert haben, sollten Sie sich zunächst die Zeit nehmen, diese klar zu definieren. Nur so können Sie sicherstellen, den für Ihr Unternehmen richtigen Cloud Provider auszusuchen.
Um mögliche Risiken der Migration in die Cloud zu minimieren sollten sich Anwenderunternehmen bei der Auswahl des richtigen Cloud Providers folgende Fragen stellen:
Dies erfolgt in der Praxis unter anderem durch den Nachweis, dass der Cloud Provider Standards wie ISO2700x erneuert und das jeweils aktuelle Zertifikat vorlegt. Außerdem ist sicherzustellen, dass die versprochenen Sicherheitsanforderungen kontinuierlich erfüllt werden. Eine Kontrolle der Sicherheitsmaßnahmen des Cloud Providers sollte zumindest einmal jährlich erfolgen.
Die Verantwortung für die Sicherheit der Daten und Workloads können Sie mit der Nutzung von Cloud Services nicht ablegen. Bei der Risikoanalyse sollten Sie aber berücksichtigen, dass Cloud Provider oftmals über mehr Know-how verfügen, umfassendere Sicherheitsmaßnahmen umsetzen und kurzfristiger auf neuen Bedrohungsszenarien reagieren können, als Ihnen dies – vor allem als mittelständischer Betrieb – selbst möglich ist. Diese Fähigkeiten sollten Ihnen die Cloud-Anbieter anhand von aktuellen Zertifikaten nachweisen.
Selbstverständlich sind bei der Entscheidung, ob und für welche Bereiche Sie Cloud Services nutzen, weitere Aspekte zu berücksichtigen. Dazu zählen etwa die ausreichende Performance der eigenen IT-Umgebung, die erforderliche Anpassung der Geschäftsprozesse an die neuen technischen Möglichkeiten von Cloud Services oder die mögliche Verknüpfung der eigenen IT-Umgebung mit externen Cloud Services zu Hybrid Clouds. Die Themen Sicherheit und Compliance sind aber die entscheidenden Hemmfaktoren und können “Show-Stopper” darstellen. Due Dilligence muss deshalb im Mittelpunkt Ihrer Überlegungen stehen, wenn Sie die Migration in die Cloud planen.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
View Comments
Ein sehr interessanter und diskussionswürdiger Artikel, bei dem auch der Hinweis auf eine Risikoinventur nicht fehlt. Allerdings ist dieses Thema etwas zu knapp geraten. Zwar wird auf das Thema Security und Compliance eingegangen und am Schluss werden noch weitere Themen angeschnitten. Allerdings vermisse ich den Hinweis, dass Cloud-Services sog. "Auslagerungen" darstellen und daher bei einigen Firmen gem. (aufsichts-)rechtlicher Vorgaben verpflichtend sind. In diesem Zusammenhang sollte man auch die Risiken erwähnen, die durch die Verträge einhergehen (!), mangelhaftes IKS, Notwendigkeit durchzuführender Audit-Prüfungen beim (externen) Dienstleister, (negative) Auswirkungen auf die bestehenden Geschäftsprozesse (es gilt immer noch der Grundsatz: "Organisation vor Technik"), Qualität der Services, Komplexitätsrisiken und Konzentrationsrisiken, Reputationsrisiken, Partnerrisiken, Durchführbarkeit / Aufwände von Changes, Vorgehensweise bei Exits, Auswirkungen auf die eigenen Mitarbeiter, Risiken durch die eigenen oder die fremden Mitarbeiter etc. So wird auch in diesem Beitrag NUR das Thema "Security" (ohne den Aspekt Safety zu berücksichtigen) herausgehoben und auf Zertifikate hingewiesen. Was bringen 27001-Zertifikate, die nur einen elementaren "Grundschutz" bieten ? Was ist mit Zertifikaten bzgl. 27005 oder ISO 31000 ? (gibt es nicht) Auch muss bei Zertifikaten darauf geachtet werden, WER diese erstellt hat, WANN diese erstellt bzw. WIE OFT diese aktualisiert werden, auf WELCHEN Service sich diese beziehen etc. Schade ... ;-)