Studie von ISACA und PwC

Cloud Governance in Deutschland

Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Markus J Neuhaus ist freiberuflicher Senior Advisory Consultant und seit 20 Jahren in der IT- und TK-Branche tätig. Als Auditor für IT und Datenschutz sowie studierter Betriebswirt und Wirtschaftsmediator, konzentriert er sich speziell auf die Themen Sicherheit durch Mitarbeiter-Awareness und praxisnahe Hilfen für mittelständische Unternehmen in Fachbeiträgen und Vorträgen. Weitere Informationen zu Markus J Neuhaus sind auf der Seite von marim consult unter www.marim.de zu finden.
Immo Regener ist Betriebswirt M.A. und Senior Consultant im Bereich Risk Assurance Solutions bei PwC. Zu seinen Schwerpunkten gehört unter anderem das Durchführen von Cloud Readiness und Risiko-Analysen, die Beratung bei der Auswahl des geeigneten Cloud-Anbieters oder Compliance-Prüfungen gemäß etablierter Standards wie bspw. SOC oder PS951. Immo Regener berät Unternehmen zudem beim Optimieren ihrer internen Kontrollsysteme.
Cloud Computing ist in den Unternehmen angekommen. Die Steuerung der Cloud-Services ist jedoch noch verbesserungsfähig. Die Studie von ISACA und PwC beleuchtet die Hintergründe.

Erstmals wurden in Deutschland gezielt IT Governance-Experten, das heißt Fachkräfte vor allem aus den Bereichen IT, Risikomanagement sowie Revision und Audit zum Stand des Cloud Computings in ihren Unternehmen befragt.

Wenn ein Fachverband für IT-Prüfung und -Steuerung (ISACA) gemeinsam mit einer Wirtschaftsprüfungs- und Beratungsgesellschaft (PwC) in Deutschland eine Umfrage zum Thema Cloud Computing durchführt, lässt sich erahnen, dass Cloud-Services nicht mehr nur ein Thema für die IT-Zukunftslabore sind.

Unternehmen erwarten von Dienstleistern nachvollziehbare, transparente und vergleichbare Sicherheits- und Governance-Ansätze, die zu denen im eigenen Unternehmen passen.
Unternehmen erwarten von Dienstleistern nachvollziehbare, transparente und vergleichbare Sicherheits- und Governance-Ansätze, die zu denen im eigenen Unternehmen passen.
Foto: maxkabakov, Fotolia.com

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Abseits euphorischer Marktentwicklungsstudien und Diskussionen über das disruptive Potenzial der Cloud wollten die Initiatoren wissen, wie es wirklich um den Einsatz von Cloud Services in Deutschland steht: Wie ist die Durchdringung, wer ist Treiber oder Bremser, welche Erfolgsfelder und welche Defizite werden wahrgenommen und vor allem: wie beeinflussen die Cloud-Services die Steuerung der IT-Landschaft.

Mit Hilfe eines Marktforschungsinstituts wurde das Stimmungsbild von mehr als 300 ISACA Mitgliedern erhoben, die sowohl den deutschen Mittelstand als auch global agierende Konzerne repräsentieren. Hierbei handelt es sich um Einschätzungen aus weit über 300 Unternehmen, da die ISACA Mitglieder teilweise als freie Mitarbeiter in unterschiedlichen Unternehmen arbeiten.

Die Cloud ist angekommen

Cloud Computing ist in den Unternehmen angekommen: Sieben von zehn befragten Unternehmen setzen bereits Cloud Computing ein. Es sind häufig die IT-Abteilungen, die den Einsatz von Cloud-Services vorantreiben und sich zugleich auf eine Weiterentwicklung der eigenen Rolle einstellen. Größere Unternehmen nutzen Cloud-Services intensiver als kleinere und haben öfter eine Cloud-Strategie. Vor allem Unternehmen aus den Branchen "Technologie, Medien und Kommunikation" sowie "Automotive" haben häufiger eine Cloud-Strategie als Unternehmen anderer Branchen.

Sorge um die Sicherheit

Oftmals werden Cloud-Services pauschal mit dem Argument abgelehnt, sie seien nicht sicher genug oder erschweren das Erfüllen gesetzlicher oder regulatorischer Anforderungen. Auch die Studie zeigte, dass bei etwa drei von vier Unternehmen, die noch keine Cloud-Services nutzen, vor allem Sicherheitsbedenken und Compliance-Sorgen einer Nutzung entgegenstehen. Doch das ist nicht immer so: Interessanterweise erwartet etwa ein Viertel der Befragten eine höhere Informationssicherheit, wenn Cloud-Services eingesetzt werden.

Für neun von zehn der Befragten sind Informationssicherheit und Compliance entsprechend die entscheidenden Kriterien bei der Auswahl eines Cloud-Services und des dazugehörigen Cloud-Anbieters. Stark an Bedeutung gewonnen hat der Serverstandort. Dies lässt darauf schließen, dass die Cloud-Nutzer es als immer wichtiger einschätzen, welchem Rechtsrahmen der Cloud-Anbieter unterliegt.

Wenig überraschend sieht über die Hälfte der Fachbereiche für IT-Sicherheit und Datenschutz das Cloud Computing eher skeptisch. Die Fachbereiche Produktion, Vertrieb oder das Management dagegen sehen die Vorteile von Cloud-Services und befürworten diese teilweise deutlich.

Die Nutzung von Public Clouds stößt in den Unternehmen allerdings immer noch auf Vorbehalte. Nur jeder zweite Befragte ist bereit, eine Public Cloud zu nutzen, sofern die Daten verschlüsselt sind. Etwa 90 Prozent von ihnen setzen allerdings voraus, dass sie die Schlüssel selbst kontrollieren können.

Neuland Exit

Die Studie hat gezeigt, dass bisher nur wenige Unternehmen ihre Daten und Anwendungen wieder aus der Cloud zurückgeholt haben. Auch den Anbieter haben bisher nur wenige gewechselt. Die Beweggründe für einen Exit waren der Studie zufolge meist gestiegene Kosten, nicht erfüllte Erwartungen oder auch ein eingestellter Service. Unter den Studienteilnehmern überwiegen die positiven Erfahrungen, die mit einem Aus- oder Umstieg verbunden sind.

Wunsch nach mehr Orientierung

Viele Unternehmen binden heute Services in ihre IT-Landschaft ein, die von externen Dienstleistern bereitgestellt werden. Die Lieferketten für die IT werden länger und globaler, so dass die IT-Landschaften zunehmend komplexer werden. IT-Steuerungsmodelle versprechen, diese Komplexität zu systematisieren, zu steuern und damit auch zu beherrschen.

Die meisten Unternehmen, die solche IT-Steuerungsmodelle nutzen, sind mit diesen auch grundsätzlich zufrieden. Dennoch decken sie offensichtlich die Anforderungen für die Steuerung von Cloud-Services nur unzureichend ab.

So wünscht sich fast die Hälfte der Befragten mehr Orientierung. Dieser Wunsch bezieht sich beispielsweise auf Cloud-spezifische Vorgaben und Richtlinien, insbesondere zu Risikomanagement, Prüfbarkeit und Rechtssicherheit (siehe Abbildung).

Aufstellung der Bereiche, in denen sich 40 Prozent der Befragten mehr Orientierung für die Nutzung der Cloud wünschen.
Aufstellung der Bereiche, in denen sich 40 Prozent der Befragten mehr Orientierung für die Nutzung der Cloud wünschen.
Foto: ISACA/PwC

Veränderungen der IT

Die Mehrheit der Befragten rechnet damit, dass sich der vermehrte Einsatz von Cloud-Services deutlich auf die IT Governance und den aufzubringenden Aufwand auswirken wird. Dies erscheint insbesondere vor dem Hintergrund der seit langem verfolgten Standardisierungsbemühungen bemerkenswert.

Vermehrte Aufmerksamkeit wird laut den Befragten vor allem das Management der IT-Sicherheit erfordern. Auch der Aufwand, der beispielsweise für juristische Prüfungen sowie Audits bei Dienstleistern anfällt, wird aus Sicht der großen Mehrheit steigen.

Rund drei Viertel der Befragten sehen einen erhöhten Aufwand für die IT-Sicherheit auf das Unternehmen zukommen.
Rund drei Viertel der Befragten sehen einen erhöhten Aufwand für die IT-Sicherheit auf das Unternehmen zukommen.
Foto: ISACA/PwC

Fazit

Die vorliegende Studie zeigt: Cloud Computing ist schon lange kein Trend mehr - das neue Paradigma ist in den Unternehmen bereits zur Realität geworden. Aus den Ergebnissen lassen sich drei Erkenntnisse ableiten:

  • Erstens: Die Intensität der Nutzung von Cloud-Services und der erforderliche Management-Aufwand werden steigen.

  • Zweitens: Informationssicherheit und Compliance sowie entsprechende Zertifizierungen sind und bleiben Schlüsselthemen.

  • Drittens: Die Rolle der IT und ihre Aufgabenschwerpunkte werden sich verändern.

Genau für diese Bereiche fehlt es jedoch noch an Orientierung beispielsweise in Form von Richtlinien, Prüfleitfäden oder auf Cloud abgestimmten IT-Steuerungsmodellen. Unternehmen erwarten von Dienstleistern nachvollziehbare, transparente und vergleichbare Sicherheits- und Governance-Ansätze, die zu denen im eigenen Unternehmen passen. ITIL/ISO 20000 und ISO 27001 sind bereits jetzt bevorzugte Standards, reichen für die Steuerung von Cloud Computing jedoch nicht aus.

Da sich auch die Politik bereits seit längerem mit den Auswirkungen von Cloud Computing befasst, sind in den nächsten Monaten mehrere, teilweise gravierende Veränderungen hinsichtlich der Compliance-Anforderungen zu erwarten. Die Verantwortungsträger müssen ihre Governance immer wieder überprüfen und anpassen. Denn letztendlich haftet für die Informationssicherheit stets die Unternehmensführung. (bw)

 

Oliver Keizers

Schöner Artikel, er beschriebt genau das, was ich bei allen Kunden immer wieder sehe: Ein Tänzchen aus zwei Schritte vor, ein Schritt zurück. Ich will in die Cloud, aber ich habe Angst um meine Daten oder Sorgen um Compliance.

Ich denke, daß man mittlerweile sich nicht mehr Sorgen um die Sicherheit bei Anbietern wie Salesforce oder ServiceNow machen muss, im Gegenteil, die haben deren Security Mechanismen weitaus besser im Griff, als die meisten Unternehmen, die eine eigene Infrastruktur betreiben. Sie nehmen sich den Problemen wie Speicherort der Daten auch erfolgreich an, so wird Salesforce demnächst ein deutsches Datacenter eröffnen und bietet der Gesetzgebung konforme Vertragswerke an. Wieso ist es trotzdem noch so, daß Kunden besorgt sind?

Wenn ich mit wenig sensiblen Daten umgehe, dann sind das vollkommen ausreichende Varianten, um die Cloud-Nutzung zu ermöglichen und auch als gerechtfertigt erscheinen zu lassen. Und wenn ich mit entsprechend sensibleren Daten umgehen will, dann kann ich immer noch Verschleierungstechniken wie Tokenisierung/Pseudonymisierung oder eben Verschlüsselung einsetzen, wobei ich an letzteres nicht glaube, da jede Verschlüsselung mathematisch reversibel ist.

Das ideale Konzept ist mehrfach beschrieben und sehr einfach umsetzbar: Die sensiblen Inhalte einiger Felder werden durch beliebig erzeugte Token ersetzt, so daß in der Cloud nur der "nutzlose" Ersatzwert steht. Im Unternehmen selber liegt dann eine separate Datenbank, welche Token und Klartext-Werte miteinander speichert und zur Laufzeit der Applikation diese wieder ersetzt.

Macht für den Nutzer keinen Unterschied und die sensiblen Daten verlassen niemals das Unternehmen. Die Technologien sind mittlerweile auch soweit, daß dies nahezu ohne Funktionsverlust der Cloudanwendung abläuft, so daß auch dies keine Sorge mehr darstellen sollte.

Und was die Kontrolle über die Schlüssel der Verschlüsselungstechnologien anbelangt, nun ja, wenn ich nichts verschlüsseln muss, habe ich das Problem nicht, es kann manchmal so simpel sein.

Ich diskutiere gerne, wie eine solche Pseudonymisierungsmaßnahme für einen Cloud Service Provider aussehen kann, einfach nachfragen und hier kommentieren. Ich freue mich darauf.

comments powered by Disqus