Cloud-Risiken

Gute Gründe für einen sicheren Weg in die Cloud

Computerleistung bei Bedarf zu erhalten, ohne dabei viel Verwaltungsaufwand zu betreiben, sind hervorragende Argumente für kostenbewusste Unternehmen. Mit dieser Virtualisierungstechnik bietet sich für Unternehmen nun eine Vielzahl von Implementierungsmöglichkeiten.

Mit Cloud Computing hat sich die Art und Weise wie Geschäftsprozesse umgesetzt, angewendet und gemanagt werden, wesentlich verändert. Die Veränderung kann mit dem Aufkommen des Personal-Computers verglichen werden, welcher die IT-Nutzung ebenfalls revolutioniert hat. Mit Cloud sind nun die wesentlichen Komponenten schneller und flexibler einsetzbar geworden. Einige der Treiber, welche die Aufmerksamkeit der Entscheidungsträger innerhalb der Unternehmen auf sich gezogen haben, sind:

  • Optimierte Ressourcennutzung: Die typischen Auslastungen von Serverrechnerleistungen liegt in Unternehmen durchschnittlich bei 15 bis 20 Prozent. Der Rest der vorhandenen und bezahlten Kapazität bleibt ungenutzt. Wenn nun ein Model zur Verfügung steht, bei dem Ressourcen nur bezahlt werden, wenn diese tatsächlich benötigt werden, dann ist damit ein fast perfektes Model zur Ressourcenoptimierung gefunden worden.
  • Kosteneinsparungen: Der Wechsel von eingekauften und gewarteten Rechnerleistungen hin zu gemieteten Cloud-Services hat einen Paradigma Wechsel von Investitionsausgaben (CAPEX) hin zu reinen Betriebsausgaben (OPEX) zur Folge. Es besteht ein Potential zur Einsparung von Gesamtkosten. Man denke nur an die Möglichkeiten von flexiblen Rechnerleistungen für Testzwecke ohne dabei erhebliche Investitionen tätigen zu müssen. Zudem wird durch die Verrechnung der effektiven Nutzungsleistungen der Kapazitätsbedarf transparent gemacht.
  • Erhöhte Reaktionsfähigkeit: Durch On-Demand (Bedarfsgestützt), agile, skalierbare und flexible Services, welche zudem noch in kürzester Zeit der Organisation bereitgestellt werden können, bieten Unternehmen Fähigkeiten, schnell auf veränderte Situationen und Spitzenzeiten reagieren zu können.
  • Schnellere Innovationszyklen: Durch die Verwendung von Cloud-Lösungen können Innovationen schneller abgewickelt werden, als wenn dies rein intern im Unternehmen durchgeführt würde. Oftmals ist ein Wechsel hin zu einer neuen Software-Version eine einfache Anpassung der URL-Adresse im Browser.
  • Reduzierte Implementationszeiten: Mit Cloud Computing können Rechnerleistungen und Datenspeicher nach effektivem Bedarf und quasi in Echtzeit zur Verfügung gestellt werden. Die Umsetzung intern dauert in der Regel Wochen und Monate und bindet sehr viel Investitionsbudget (CAPEX).
  • Zuverlässigkeit: Der Ausfall einer einzelnen Komponente in einem Cloud-basierten System hat eine kleinere Auswirkung auf die allgemeine Service Verfügbarkeit und reduziert damit das Risiko eines Totalausfalls. Gosse und kritische Systeme müssen intern oft mit sehr komplexen ausfallsicheren Mechanismen (High Availability Options) ausgestattet werden.

Je nach Anforderungen der Unternehmen genügen eines oder mehrere dieser Argumente, um Cloud-Computing als Alternative Lösung zu betrachten. Insbesondere wenn es um Kosteneinsparungen geht, ist das Modell des Pay-per-use, der nutzungsabhängigen Verrechnung bestechend. Aber jede Cloud Lösung hat nicht nur Vorteile, sondern auch Risiken zu betrachten. Die Unternehmen müssen die Chancen und Risiken abwägen, um entscheiden zu können, ob die Cloud eine valable Lösung ist.

Cloud-Service-Modelle

Cloud-Service-Modelle

Die Vorteile und Risiken im Zusammenhang mit Cloud Lösungen variieren auf Basis folgender Faktoren:

  • Art des Cloud Service Models: Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) und damit verbundene Service-Modelle wie Security as a Service (SecaaS), Storage as a Service (StaaS) usw.. Jedes Cloud Service-Modell adressiert unterschiedliche Geschäftszwecke und entsprechend unterschiedliche Risiken
  • Robustheit des bestehenden IT-Betriebs innerhalb des Unternehmens: Die Unternehmen müssen sicherstellen, dass ihre aktuelle Governance, Risiko Management und Informations-Security Enabler gut definiert und durch den bestehenden IT-Betrieb gesteuert werden. Mit der Cloud können neue Bedrohungen und Schwachstellen identifiziert werden. Aber wenn das Unternehmen vorbereitet ist und der IT-Betrieb in der Lage ist, diese Probleme entsprechend zu bearbeiten, dann ist das Gesamtrisiko für das Unternehmen niedriger zu erwarten.
  • Aktuelle Höhe der Geschäftsrisikoakzeptanz: Die Höhe des Risikos, welche ein Unternehmen bereit ist zu akzeptieren variiert zwischen Unternehmen und Branchen.
  • Aggregierter Wert der Daten, welcher in die Cloud verschoben werden sollen: Unternehmen müssen den Wert der Daten ermitteln, welcher diese für Menschen mit krimineller Absicht haben könnten.
  • Interne Sicherheits-Klassifizierung der Daten, welche in die Cloud gestellt werden sollen: Auch der interne Wert und Schutzbedarf der Daten soll ermittelt werden, um die Daten im Eigentum des Unternehmens zu belassen und nicht der Öffentlichkeit preisgeben zu wollen.
  • Die Compliance Verpflichtungen von geteilten Daten innerhalb der Cloud identifizieren: Daten, welche den persönlichen Datenschutz betreffen, oder Informationen des Finanzberichtes sind Beispiele, welche durch Compliance-Anforderungen speziell geschützt sind.
  • Cloud Service Provider (CSP) Risiken: Unternehmen sind gut beraten, eine Due Diligence bei potentiellen Cloud Service Providern durchzuführen. Da heute noch keine allgemeine und konsistente Sicherheitsstandards im Cloud-Umfeld gibt (es ist zurzeit ein Standard „ISO 37500 Guidance on Outsourcing“ in der Entwicklung), hat jeder CSP seine eigenen Ansätze und trüben so die Sicht auf die Sicherheit. CSPs sollen Best Practice Ansätze wie COBIT oder ITIL anwenden und international anerkannten Standards folgen.

 

Cloud-Risiken

Cloud-Risiken

Das Schlüsselelement in der Cloud heisst Vertrauen

Die kritischen Barrieren für Cloud Services sind Sicherheits- und Datenschutzbedenken. Cloud-Anwender und –Kunden können in Service Level Agreements (SLAs) festhalten, dass der Cloud Service Provider gewisse Kontrollziele einhalten muss. Letztlich kommt es aber immer auf das Schlüsselelement des Vertrauens an, was ein Kernelement im Cloud Computing Geschäftsmodell ist. Wenn das Vertrauen fehlt, dann können noch so viele Kontrollen definiert werden – die Bedenken würden nicht gemildert.

Bei der Berücksichtigung von Cloud Lösungen ist es daher eminent wichtig, alle Beteiligten und die Standorte zu kennen. Die Beteiligten beschränken sich nicht bloss auf den CSP und seine Mitarbeiter. Auch jene, welche mit dem Cloud Service Provider in Kontakt stehen und Service-Leistungen (zum Beispiel Support) bereitstellen. Es ist wichtig sicherzustellen, dass alle vertrauenswürdig sind. So zum Beispiel dass niemand in betrügerischen Tätigkeiten involviert ist und dass die Beteiligten finanziell abgesichert und solvent sind. Eine gute Regel ist, CSPs auszuwählen, welche bereits grosse Erfahrungen und eine entsprechende Cloud-Historie aufweisen können und zudem noch über solide Geschäftsreferenzen verfügen und zur Verfügung stellen.

Es braucht neue Skills: beim Provider wie auch beim Kunden

Nicht nur beim Cloud Service Provider CSP sondern auch beim Unternehmen, welcher diese Cloud Services bezieht, sind spezifische Fähigkeiten und Kompetenzen notwendig. Um ein Unternehmen professionell und sicher mit Cloud Diensten zu versorgen, sind Kenntnisse in folgenden Bereichen notwendig:

  • Prinzipien des Cloud Computing
  • Implementierung und steuern der Cloud
  • Nutzung der Cloud
  • Security und Compliance
  • Der Business Case bei der Evaluation von Cloud Computing
  • Lieferanten und Vertrags-Management

Bei Unternehmen, welche vermehrt Cloud Services im Einsatz haben, werden in Zukunft folgende Rollen immer zentraler:

a)     Cloud Service Owner

Er ist verantwortlich für den gesamten Lebenszyklus des Cloud Services, von der Service Strategie, Design, Transition (in und out) sowie dem Betrieb und der kontinuierlichen Verbesserung:

  • Managing des Cloud Service Portfolios
  • Repräsentation des Cloud Services im gesamten Unternehmen (Single Point of Contact)
  • Definition der Cloud Service Levels, Metriken und Messverfahren
  • Unterstützung der Prozessverantwortlichen im Umgang mit der Cloud (Managen der Unternehmensarchitektur, Service Level Management, Lieferanten Management, Risiko Management, Information Security Management)
  • Ausrichten des Cloud Service Management Modells auf die Governance der Unternehmens IT

b)     Cloud Service Manager

Der Cloud Service Manager ist für die Bereitstellung der Cloud Services zum Business gemäss SLA verantwortlich:

  • Reporting der Cloud Service Qualitätsparameter gegenüber Cloud Service Owner
  • Verantwortlich für die Abnahme der Service Akzeptanzkriterien zwischen Service Transition und Service Operation
  • Unterstützung bei der Definition der Service Level Agreements
  • Management der Cloud Administrations Rollen
  • Überwachung der Betriebs- und Support-Prozessleistungen (insbesondere Incident Management und Request Fulfilment, Problem Management, IT Service Continuity Management, Information Security Management, Availability und Capacity Management)

Service Management ist imme rnoch die Paradedisziplin. Die Management Anforderungen verschieben sich jedoch vom reinen Betrieb hin zu mehr Strategie und Governance. Lesen Sie dazu auch unsere früheren Beitrage:


 

 

No Comments

Post a Comment