In seinem aktuellen silicon.de-Blog räumt Sicherheitsexperte Detlef Eppig mit einigen Vorstellungen auf, die man nach wie vor mit Cloud-Computing in Verbindung bringt, auch damit, dass die Cloud für alle immer die bestmögliche Lösung ist. Jedes Unternehmen müsse seinen eigenen Weg finden, mit der Cloud umzugehen.
IT-Profis wissen: Die Cloud ist längst kein bloßer Hype mehr; sie verändert grundlegend die Art und Weise, wie Unternehmen an die Beschaffung und Nutzung von Informationstechnologie herangehen. Unternehmen machen sich schon seit geraumer Zeit die Vorteile bei Kosten, Flexibilität und Skalierbarkeit der Cloud zunutze. Trotz der Akzeptanz tauchen immer wieder Missverständnisse auf, die der zügigen Cloud-Einführung im Weg stehen. Ich möchte diese Missverständnisse angehen und an dieser Stelle fünf der häufigsten Mythen ins rechte Licht rücken.
Mythos 1: Die Cloud ist nicht sicher.
Dies ist das wohl am häufigsten angesprochene Thema in allen Gesprächen über die Cloud und ein berechtigtes Bedenken obendrein. Die Cloud kann allerdings genauso sicher sein wie eine IT-Umgebung auf dem eigenen Firmengelände. Neben den herkömmlichen Firewalls machen sich Cloud-Provider einen in Schichten gegliederten Sicherheitsansatz zunutze. Da wäre zunächst die physische Sicherheit mit rigorosen Sicherheitskontrollen und ausgereiften Überwachungssystemen. Dann kommt die logische Sicherheit in Form von Netzwerktrennung zwischen den einzelnen Cloud-Mandanten und schließlich durch Firewalls separierte Kontexte für jede vom User gemanagte Umgebung. Hinzu kommen hochmoderne Systeme für Intrusion Protection und zum Schutz vor DDoS, die dazu beitragen, unerwünschte Gäste von der Cloud-Plattform fernzuhalten. Zusätzliche Sicherheit lässt sich weiter durch Verschlüsselung der in der Cloud gespeicherten Daten erreichen sowie durch Ausweitung der unternehmenseigenen Zugangskontrollen und durch rollenbasierten Zugang zur Cloud-Umgebung des Unternehmens.
Mythos 2: Die Cloud ist ein “bestmöglicher Ansatz”.
Toll an Cloud-Computing ist unter anderem die Vielzahl unterschiedlicher Lösungsmöglichkeiten. Von simplen Dingen, wie der persönlichen Webseite oder einem einfachen E-Commerce-Portal für den Online-Vertrieb selbst gebackener Kekse, bis zu den sehr robusten Clouds speziell für Unternehmen. Es gibt Cloud-Lösungen für jeden Bedarf und für jedes Budget; doch wenn es um Cloud-Provider für Unternehmen geht, ändern sich die Argumente. Es gibt weder einen bestmöglichen Ansatz noch eine Einheitslösung. Bei der Cloud geht es um Performance und Verfügbarkeit, gestützt durch sinnvolle und umfassende SLAs, und um Strafen im Fall von Verstößen.
Mythos 3: Wer einmal drin ist, kommt nicht wieder raus.
Anbieterabhängigkeit ist eine der großen Sorgen vieler Unternehmen. Datenmigration ist selbst in der herkömmlichen IT-Welt eine der größten Hürden bei der Einführung einer neuen Technologieplattform. Viele glauben, dass es unmöglich ist, die Daten zurückzuerlangen, wenn sie erst einmal in der Cloud sind, zumindest in einem Format, mit dem man etwas anfangen könnte. Bei der Entscheidung für einen Cloud-Provider sollten Unternehmen darauf achten, welche Praktiken befolgt und welche Branchenstandards eingehalten werden. Die Möglichkeit, offene Application Programming Interfaces (APIs) zu nutzen, virtuelle Maschinen zu im- und exportieren sowie die nahtlose Integration mit privaten Netzwerken und Clouds, muss ein Cloud-Provider seinen Mandanten schon eröffnen.
Mythos 4: Ich büße meine bisherigen Investitionen ein.
Dieser Einwand ist überaus verbreitet bei Unternehmen anzutreffen, die über Jahre in ein eigenes Datenzentrum und dedizierte Hardware investiert haben. Eine öffentliche Cloud zu nutzen, bedeutet jedoch nicht, dass Sie Ihr derzeitiges Equipment stilllegen müssen. In vielen Fällen ergänzt eine Cloud-Umgebung die vorhandene Infrastruktur und sorgt damit für die Agilität und Flexibilität, die Unternehmen dringend benötigen. Dadurch wird übermäßiges investieren in interne Plattformen vermieden.
Mythos 5: Compliance und Cloud – ein Widerspruch in sich.
Heute kämpfen Unternehmen permanent darum, Sicherheitsstandards zu erfüllen. Ob es sich nun um HIPAA, PCI, ISO, SSAE16 oder sonst eine Bestimmung handelt, Compliance stellt jede Branche vor Herausforderungen. Fügt man der Gleichung eine öffentliche Cloud hinzu, dann ist die erste Schlussfolgerung, dass es nun noch komplizierter wird. In der Welt der Cloud-Provider ist Compliance jedoch mindestens ebenso wichtig wie in jeder anderen Branche. Cloud-Provider setzen sich aktiv mit den Anforderungen der Sicherheits-Compliance auseinander, um so ihre Mandanten bei deren Verpflichtungen unterstützen zu können. Das sollte Unternehmen mehr Vertrauen beim Umzug in die Cloud geben und gleichzeitig die internen Compliance-Prozesse ergänzen.
Mythen sind häufig das Ergebnis veralteter Informationen, von Gerüchten oder Schlussfolgerungen, die von falschen Annahmen ausgehen. Am besten schützt man sich vor Problemen, indem man sich kundig macht, welche Lösungen am besten zu den speziellen Anforderungen des eigenen Unternehmens passen. Die eine “richtige” Antwort gibt es ebenso wenig, wie es eine “richtige” Cloud-Umgebung gibt. Die beste Herangehensweise bei der Einführung der Cloud ist sich klar zu machen, was man braucht und will, und dann Provider zu befragen, wie sie Ihren Bedürfnissen nachzukommen gedenken.
Die meisten Unsicherheiten ergeben sich immer noch aus rechtlichen und haftungsrechtlichen Fragen. Viele Unternehmen sind sich angesichsts der nahenden EU-Datenschutzgrundverordnung nicht sicher. Bisher gilt noch das BDSG, und diesbezüglich gibt es von rechtlicher Seite Entwarnung: http://www.recht-freundlich.de/cloud-computing-bitte-die-auftragsdatenverarbeitung-beachten
Das Cloud-Computing ist auch nach deutschem Datenschutzrecht einfach und sicher umzusetzen, auch im EU-Inland. Bei Cloud Anbietern im EU-Ausland müssen mehr Vorschriften beachtet werden, weil sichergestellt werden muss, das dort auch ein einheitliches Datenschutzniveau vorherrscht.