Cloud Security 2016

Warum die Wahl des Cloud-Providers Vertrauenssache ist

10.11.2016

Von

Harald Lutz lebt und arbeitet als Fachjournalist und Technikredakteur sowie in der Presse- und Öffentlichkeitsarbeit in Frankfurt am Main. Spezialgebiete: Informations- und Kommunikationstechnik (IKT), Logistik, Informationslogistik, Wissenschaft und Forschung.

Alle Posts des Autors

Was macht einen guten Cloud-Provider aus? Worauf müssen Anwender bei der Wahl des Dienstleisters achten? Und wie stark ist die Public Cloud im deutschen Markt bereits tatsächlich? Diese und andere Fragen haben wir mit Accenture-Experten diskutiert.

In einigen Industrien ist die erste Welle des Betriebsmodells Cloud Computing schon durch. Andere wiederum legen erst allmählich so richtig los. Stets im Fokus steht dabei die IT-Sicherheit. Auf Basis der Ergebnisse der aktuellen IDG-Studie "Cloud Security 2016" von COMPUTERWOCHE, CIO, CHANNELPARTNER und TECCHANNEL haben wir diesen Themenkomplex mit den führenden Cloud-Experten der Unternehmensberatung Accenture debattiert. Mit im Gespräch waren Leah Blessin, der Leiterin des Bereichs Accenture Cloud First Applications, und in dieser Rolle verantwortlich für Beratung und Implementierung nativer Software-as-a-Service-Lösungen, der Leiter Security und Cyber Defense, Marius von Spreti, Spezialist für IT-Sicherheit in der Cloud, und Arne Bleyer, der Leiter Cloud aus dem Bereich Infrastruktur.

Die IDG-Studie "Cloud Security 2016" ist ab sofort im COMPUTERWOCHE-Aboshop erhältlich.
Foto: IDG

CW: Cloud-Security ist offenbar Chefsache - die Security-Verantwortung bei den Unternehmen, insbesondere im Mittelstand und bei den KMUs, liegt nur selten bei dezidierten Security-Managern. Etwas besser sieht es bei den Konzernen aus. Wieso traut man in der Branche den CIOs oder IT-Projektleitern in puncto IT-Sicherheit so wenig zu?

MARIUS VON SPRETI: Wenn wir uns die klassischen Unternehmenstypen anschauen - Enterprise-Unternehmen, Mittelständler und kleiner Mittelstand -, fällt auf, dass die Rollen von dezidierten Security-Verantwortlichen in kleineren Unternehmen meist gar nicht besetzt werden können. Diese Arbeitgeber sind für ausgewiesene Security-Experten nicht sehr attraktiv.

Damit stellt sich im Umkehrschluss die Frage: Wo arbeiten die besten Security-Experten? Unserer Einschätzung nach sind das die 100 größten Unternehmen dieser Welt sowie die Cloud-Service-Provider (CSPs), die beide als Arbeitgeber für diesen Personenkreis sehr beliebt sind. Wir sehen diesen Punkt daher weniger unter dem Vertrauensaspekt als dem des verfügbaren, geeigneten Personals und der Menge an Themen, die eine solche Rolle bei KMUs nicht rechtfertigen würde. Aber auch bei den Enterprise-Unternehmen, die die Rollen eines CIO oder Chief Information Security Officer (CISO) personell gut besetzen können, gibt es einen Pferdefuß: Die Vorstandmitglieder haften persönlich für die Sicherheit der Unternehmensdaten. Deshalb kann dort zwar der Aufgabenbereich IT-Sicherheit, nicht aber die Verantwortung dafür an Security-Manager und andere Spezialisten delegiert werden.

Marius von Spreti beschäftigt sich für Accenture intensiv mit dem Thema Cloud Security.
Foto: Accenture GmbH

"Es reicht heute nicht mehr aus, sich einmal für eine Strategie zu entscheiden"

CW: Welche zentralen Argumente für und wider die Auslagerung von Diensten in die Cloud gibt es wirklich?

LEAH BLESSIN: Insbesondere bei Software-as-a-Service (SaaS) steht das Thema Time-to-Market im Vordergrund. Die Cloud bringt vielfältige Möglichkeiten, Anwendungen und Prozesse flexibel an neue strategische Anforderungen anzupassen, die der Markt den Unternehmen stellt. Darüber hinaus stellen die SaaS-Anbieter den Firmen kontinuierlich Release-Upgrade mit neuen Funktionalitäten zur Verfügungen und geben ihnen so Zugriff auf Innovationen. Zudem entsteht ein regelrechtes Ökosystem an Anbietern rund um die SaaS-Plattform-Provider, die wiederum innovative Lösungen für die Unternehmen im Angebot haben.

Auch das Thema Agilität ist ein wichtiger Grund für unsere Kunden, in die Cloud zu gehen. Firmen, die sich für die Cloud entschieden haben, erkennen zunehmend, dass es nicht mehr ausreicht, sich einmal für eine Strategie zu entscheiden. Niemand weiß heute mit Sicherheit, welche Anforderungen in den nächsten fünf Jahren auf uns zukommen. Unternehmen müssen sehr schnell auf sich verändernde Anforderungen reagieren können.

Leah Blessin kennt sich als Leiterein von Accenture Cloud First Applications sehr gut mit Software-as-a-Service-Themen aus.
Foto: Accenture GmbH

"Es gibt für Unternehmen keine Alternative zur Cloud"

CW: Hat die Public Cloud bei sensiblen Daten überhaupt noch eine Chance, oder bleibt es landläufig eher bei dem Motto ‚Private Cloud only‘?

VON SPRETI: Accenture geht bei Industrielösungen auch mittelfristig von hybriden Cloud-Strategien aus: Neben der Public Cloud existieren gleichzeitig Private-Cloud-Lösungen, also virtualisierte Umgebungen, die in eigenen Rechenzentren betrieben werden. Auch bei der Umsetzung von Cloud-Lösungen gibt es verschiedene Möglichkeiten; das sind vor allem Infrastructure (IaaS)- oder Platform-Cloud (PaaS) oder Software-as-a-Service (SaaS). Alles in allem gibt es für Unternehmen heute keine Alternative zur Cloud. Ganz besonders die Zahl der Anwendungen in der Public Cloud wird in den nächsten Jahren dramatisch ansteigen.

In der Übergangszeit wird es einige Randbereiche mit besonders vertraulichen Daten geben wie etwa Patienten- und Kundendaten, die nur innerhalb der EU verarbeitet werden dürfen und damit weiter im eigenen Rechenzentrum verbleiben. Doch auch für diese Bereiche arbeiten die Cloud Provider mittlerweile an Lösungen, um ihr Angebot den regulatorischen Anforderungen wie der Speicherung der Daten innerhalb von Europa oder dem Zutritt zum Rechenzentraum für Auditzwecke anzupassen.

Accenture Cloud Platform
Die "Accenture Cloud Platform" bietet eine zentrale Sicht auf Nutzungsdaten und Abrechnungsinformationen.
Atos Canopy
IT-Dienstleister Atos vermarktet seine Cloud-Management-Lösung unter der Marke Canopy auch als Teil von Cloud-Transformationsprojekten.
Capgemini
Capgeminis "Cloud-Choice"-Portfolio umfasst auch einen Self-Service-Marktplatz für Benutzer.
CGI Unify360
Das Management-Framework “Unify360 Hybrid Cloud Management” kombiniert kommerzielle Softwareprodukte mit Open-Source-Lösungen.
Cognizant Cloud360
Cognizants Cloud-Management-Plattform "Cloud360" bietet Orchestrierungs- und Governance-Funktionen.
CSC Agility Platform
Die „Agility Platform“ von CSC basiert auf einem Produkt der 2013 zugekauften Softwareschmiede ServiceMesh.
EPAM Cloud Orchestrator
Der EPAM Orchestrator beinhaltet unter anderem einen Cloud Integration Layer.
Fujitsu Cloud Services Management
Fujitsus “Cloud Services Management” verwaltet Public- und Private-Cloud-Ressourcen.
HCL MyCloud
HCL „MyCloud“ lässt sich mit ITSM-, Automation- und Monitoring-Tools verbinden.
HPE Cloud Service Automation
HPE Cloud Service Automation unterstützt sowohl HPEs eigene Private-Cloud-Systeme als auch Public-Cloud-Infrastrukturen von Drittanbietern.
IBM cloudMatrix
Im Rahmen seiner „Brokerage Services“ vertreibt IBM die mit Gravitant übernommene Brokerage-Lösung „cloudMatrix“.
Infosys IMS
Seine Hybrid-Cloud-Lösung Infrastructure Management Services (IMS) offeriert Infosys ausschließlich als Managed Service.
Tata ICMP
Tata Consultancy Services entwickelte seine Integrated Cloud Management Platform (ICMP) in Eigenregie. Sie enthält unter anderem ein Dashboard für die Kostenkontrolle.
Tech Mahindra mPAC
Die „Managed Platform for Adaptive Computing“ (mPAC) von Mahindra verwaltet Public- und Private-Cloud-Services und bietet diverse Abrechnungsfunktionen.
T-Systems CIC
Das Cloud Integration Center (CIC) von T-Systems basiert zu großen Teilen auf Software von Hewlett-Packard Enterprise (HPE).
Unisys CMP
In seiner „Cloud Management Platform“ (CMP) verwendet Unisys unter anderem Komponenten von ServiceNow und Cloudify.
UST Global FogPanel Cloud Hub
Das „FogPanel Cloud Hub“ von UST Global bietet Orchestrierungs-, Brokerage- und Abrechnungsfunktionen.
Wipro BoundaryLess Data Center
„BoundaryLess Data Center“ nennt Wipro sein Framework für die Integration und Verwaltung komplexer IT-Infrastrukturen.

ARNE BLEYER: Diesen Trend beobachte ich genauso. Der Anteil an Public-Cloud-Lösungen wird in den nächsten Jahren weiter zunehmen. Ein Grund ist, dass die Provider vermehrt Services und Lösungen anbieten, um die hohen Security-Anforderungen ihrer Kunden zu erfüllen. Andererseits wird es kurz- und mittelfristig immer noch einen Bedarf an On-Premise-Hosting geben, um regulatorische Anforderungen zu erfüllen. Insbesondere für Unternehmen aus den Bereichen Pharmazie, Banken und Versicherungen sowie Energiewirtschaft sind solche Lösungen relevant. Für diese Unternehmen ist die Hybrid Cloud ein guter Weg, um dennoch von Innovationen aus der Cloud für die gesamte Applikationslandschaft zu profitieren.

Arne Bleyer ist Leiter Cloud im Accenture-Geschäftsbereich Infrastruktur.
Foto: Accenture GmbH

CW: Die Datensicherheit in der Cloud soll in manchen Fällen höher sein als in einem eigenen Unternehmens-Rechenzentrum. Ist das nur eine steile Beraterthese oder bereits Realität?

VON SPRETI: Viele dieser Dinge, über die wir heute sprechen, sind in der Public Cloud sicherer als in einem hauseigenen Rechenzentrum (RZ), für die einem Konzern eben oft nicht die besten Security-Experten, Technologien und Prozesse zur Verfügung stehen. Wie bereits angesprochen, arbeiten diese begehrten Spezialisten bei Apple, Microsoft, Salesforce, PayPal oder in der Beratung, weil sie dort ihre Fähigkeiten in einem größeren und skalierbareren Umfeld einsetzen und weiterentwickeln können. Unternehmensdaten werden daher langfristig in einer Public Cloud sicherer sein als in einer eigenen RZ-Lösung. Das gilt insbesondere auch für die in der IDG-Studie angesprochenen Themen Ausfallsicherheit, Desaster Recovery und Backup. Cloud-Provider mit verteilten Strukturen haben in diesen Punkten deutliche Vorteile.

Erarbeitung einer umfassenden Cloud-Strategie
Der Weg in die Cloud ist nicht ausschließlich ein Technologiethema. Die Unternehmensberatung Accenture empfiehlt daher allen Unternehmen, die sich auf den Weg in die Wolke begeben, zuallererst eine übergreifende Cloud-Strategie zu entwickeln. Neben der sorgfältigen Auswahl des Cloud-Providers und der benötigten Cloud-Services sollten auch Fragen der institutionellen Rahmenbedingungen (Governance), der zugrundeliegenden Prozesse, des Cloud-Operating-Modells unter anderem in eine Gesamtstrategie einbezogen werden. <br /><br />Arne Bleyer, Accenture-Spezialist für Cloud-Infrastruktur: "Mit dem Weg in die ‚Wolke‘ werden sich auch die konkreten Arbeitsweisen ändern. Deshalb sind Unternehmen gut beraten, im Vorfeld ihre lang- und mittelfristige Servicestrategie und das Serviceportfolio zu klären."
Ist-Erfassung bei Mittelstand und Enterprise-Unternehmen
Es erweist sich als ratsam, der Migration in die Cloud eine umfassende Assessment- und Planungsphase vorzuzuschalten. Über ein Applikations-Cluster gilt es, eine geeignete Transformationsstrategie festzulegen. Bleyer: „Das kann in der Praxis auch zu einer Konsolidierung der bestehenden IT-Landschaft bis hin zu deren Ablösung führen.“ Hintergrund: Sowohl Mittelstand als auch große Konzerne verfügen bei ihren Erstüberlegungen, in die Cloud zu gehen, oftmals nur über unzureichende Informationen über ihre aktuelle IT-Anwendungslandschaft.
Externe Partner für die Transformation auswählen
Nur die wenigsten internen IT-Abteilungen sind für alle notwendigen Schritte auf dem Weg in die Cloud gerüstet. Somit stelle sich letztendlich die Frage, welche externen Partner für welchen Bereich der Transformation ins Haus geholt werden müssen...

"Eine Frage von Fokus oder Fähigkeiten"

Im Übrigen gilt, wie für die meisten anderen Themenfelder, auch für die Cloud-Sicherheit: Komplexität skaliert. Wenn Sie sich die Anwendungslandschaft oder RZ-Infrastruktur eines großen, möglicherweise durch Zukäufe gewachsenen Unternehmens anschauen, werden Sie feststellen, dass dort sehr viele unterschiedliche heterogene Anwendungs- und Infrastrukturlandschaften betrieben werden. Das ist eine der entscheidenden Schwachstellen. Wir sprechen hier über ein asynchrones Bedrohungspotenzial: Einem Angreifer genügt eine einzige Schwachstelle, um einzudringen. Das Unternehmen dagegen muss die gesamte Bandbreite, von der Infrastruktur über die Plattform, Business-Anwendungen bis hin zum Anwender, selbst absichern.

Bei einer so hohen Komplexität - so unsere zentrale These - gibt es keine vollkommene Sicherheit. Es ist nur eine Frage von Fokus oder Fähigkeiten, die klassischen Sicherheitsmechanismen zu überwinden. Gleiches gilt, allerdings mit einer weit höher aufgelegten Hürde, auch für Cloud-Unternehmen. Bei den Cloud-Providern aber schützen die professionellsten Sicherheitsexperten am Markt die anvertrauten Daten mit allem, was heute technisch und fachlich möglich ist. Letztendlich basiert das Cloud-Geschäftsmodell vor allem auch auf Vertrauen.

CW: Sind eher die großen oder kleinen Cloud-Anbieter am Markt gefragt?

BLEYER: Bei den global agierenden Großunternehmen sind überwiegend die großen Cloud-Anbieter gefragt. Die meisten Firmen verfolgen jedoch eine Multi-Vendor-Strategie für die Public Cloud. Die regionalen Cloud-Anbieter richten sich vor allem an die Zielgruppe der kleinen und mittleren Unternehmen (KMU), sie können aber auch durch mehr Flexibilität punkten. So bieten sie ihren Kunden nicht selten maßgeschneiderte Services zu attraktiven Preisen.

VON SPRETI: Auf diese Frage gibt es einfach keine richtige oder falsche Antwort. Es hängt von den fachlichen, regulatorischen oder sicherheitsbezogenen Anforderungen ab, welcher Cloud-Provider den Zuschlag bekommen sollte. Daneben wird ‚Digital Trust‘ zum entscheidenden Differenzierungsmerkmal: Ein Cloud-Provider, bei dem ein größerer Sicherheitsvorfall bekannt geworden ist, wird mit hoher Wahrscheinlichkeit sehr schnell vom Markt verschwinden.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren