Wie man Hürden im Cloud-Business überwindet

5 Hemmfaktoren beim Cloud-Einsatz

Jörg Mecke beschäftigt sich seit 18 Jahren mit der Bereitstellung von Infrastrukturen und Anwendungen. Seine Spezialthemen sind Hybrid Cloud Computing, Cloud Trends, Cloud Projekt Marketing und Cloud Akzeptanz.

Ratgeber des BSI, des BMWi und des Düsseldorfer Kreises

Zwei aktuelle Initiativen versuchen, einheitliche Zertifizierungs- und Prüfverfahren zu vereinen. Das Bundeswirtschaftsministerium (BMWi) hat im Frühjahr 2015 mit Industrie, Verbänden, Forschung und Datenschutzbehörden im Technologieprogramm "Trusted Cloud" einen Prüfkatalog namens "Trusted Cloud - Datenschutzprofil für Cloud-Dienste" (TCDP) erarbeitet. Dieser teilt zertifizierbare Cloud-Angebote in drei Schutzklassen ein. Die Prüfkriterien basieren auf der ISO/IEC 27018 und dem Bundesdatenschutzgesetz (BDSG). Das Pilotprojekt, das ausgewählte Cloud-Service-Anbieter prüft und zertifiziert, endet im April 2016.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) wiederum stellte Ende 2015 einen Kriterienkatalog vor. Er berücksichtigt sechs gängige Empfehlungskataloge zur IT-Sicherheit und legt den Fokus auf Sicherheitsprüfung. Ob dieser oder das Label "Trusted Cloud" besser in der Praxis ankommt, wird sich zeigen. Genauso, ob künftige Zertifizierungen neben Cloud-Providern auch Integratoren und Dienstleister einschließen, die Clouds für Kunden entwickeln und betreiben. Dabei muss ein Branchenstandard auch Lieferketten für IT-Services klar abbilden und auch Insolvenzen von Cloud-Providern regeln. Es muss klar sein, was in so einem Fall mit den Kundendaten passiert.

Auch Kunden, die in Public oder Hybrid Clouds wollen, sollten die ISO/IEC 27018 erfüllen. In beiden Szenarien stehen Anbieter und Anwender für die Cloud-Sicherheit ein. Berater empfehlen Cloud-Neulingen, die "Orientierungshilfe - Cloud Computing" des Düsseldorfer Kreises zu lesen - gerade wegen der sicherheitsrelevanten Aspekte. Cloud-Interessierten schadet ein kurzer Exkurs in Verschlüsselungsprotokolle (TSL, SSL, S/MIME) und -algorithmen (PGP, AES-256) nicht. IT-Sicherheit muss eben auch technisch gewährleistet werden. Ein Anwender darf auch wissen, wie der meist cloudbasierte Cloud Access Security Broker (CASBs) den Datenstrom in der Cloud kontrolliert und bei Angriffen effektiv eingreift.

3. Das Ganze kalkuliert - Transparenz auch beim Preis

Transparenz räumt Anwender-Bedenken aus. Zum Beispiel bei der Frage: Rechnet sich das ausgewählte Cloud-Modell? Cloud Service Brokerage schafft die technische Voraussetzung, um öffentliche Cloud-Services mit bestehender IT unter einer gemeinsamen Oberfläche zu kombinieren. Die Brokerage-Plattform ruft über Schnittstellen verfügbare Angebote und Preise der Public-Cloud-Services aktuell ab.

Dafür gibt es bereits Business-Szenarien mit realen Daten. Bei uns werden beispielsweise die Preise gegenübergestellt, etwa von einem Public-Cloud-Service (Exchange Online Postfach pro Monat bei Office 365 im Eigenbetrieb), einer Private-Cloud-Lösung (Exchange 2016 im Eigenbetrieb pro Postfach) sowie einer Managed-Cloud-Lösung (Externer Betrieb der Exchange Online Lösung pro Postfach).

Darin fließen neben Nutzungsgebühren für Service und Betrieb die nicht-metrischen Mehrwerte der eigenen IT-Abteilung ein. Letzteres bezieht sich auf Verfügbarkeit, Innovationsfunktion, interne Beratung und die Rolle als Wegbereiter für die digitale Transformation. Als Ergebnis zeigt sich häufig, dass extern betriebene Cloud-Angebote IT-Infrastruktur- und Plattformfragen am besten lösen, wogegen Applikationen in der Hand von Unternehmen besser aufgehoben sind.

Zur Startseite