PwC-Manager Markus Vehlow im CW-Interview

"Die Cloud-Anbieter müssen Fakten liefern"

Wolfgang Herrmann ist Deputy Editorial Director der IDG-Publikationen COMPUTERWOCHE und CIO. Zuvor war er Chefredakteur der Schwesterpublikation TecChannel und stellvertretender Chefredakteur COMPUTERWOCHE. Zu seinen thematischen Schwerpunkten gehören Cloud Computing, Data Center, Virtualisierung und Big Data.
Markus Vehlow, verantwortlich für Cloud Computing bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC, fordert im CW-Interview mehr vertrauensbildende Maßnahmen von den Cloud-Providern.

CW: Wieviele Ihrer Kunden kamen auf die CeBIT, um sich gezielt über Cloud-Lösungen zu informieren?

Vehlow: Cloud Computing ist für die Kunden ein strategisches Thema und deshalb allgegenwärtig. Abhängig von der Firmengröße sehen wir zwei unterschiedliche Tendenzen: Die großen Unternehmen sind nahezu durchgängig an Cloud-Lösungen interessiert, und zwar auf allen Ebenen. Das reicht vom CIO über den CFOund COO bis hin zum CEO.

Markus Vehlow, verantwortlich für Cloud Computing bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.
Markus Vehlow, verantwortlich für Cloud Computing bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.
Foto: PwC

Doch natürlich können auch mittelständische Unternehmen von Cloud-Services profitieren. Der Mittelstand ist jedoch im Vergleich zu den Großunternehmen noch etwas zurückhaltend. Das liegt nach unserer Einschätzung aber gar nicht an der Cloud selbst. Diejenigen Mittelständler, die Cloud-Services nutzen, sind damit hochzufrieden. Das bestätigt auch unsere letzte Studie. Das Problem sind eher die fehlende Transparenz und die unzureichende Aufklärung. Dabei ist allerdings zu berücksichtigen, dass die IT als solche in den kleinen und mittelständischen Unternehmen traditionell nicht die strategische Rolle spielt wie in großen Unternehmen.

CW: Welche Art von Cloud-Services fragen deutsche Unternehmen verstärkt nach?

Vehlow: Software as a Service (SaaS) steht auf der Agenda der Cloud-Nutzer ganz oben. Hier geht es meist um klassische Business-Anwendungen wie ERP, HR, ECM oder CRM. Das war auch so zu erwarten. Plattform as a Service (PaaS) ist immer mehr im Kommen. Die Unternehmen lernen Cloud Computing als Werkzeugkasten zu begreifen, mit dem sich ein Mehrwert schaffen lässt, wenn die einzelnen Cloud Services in Einklang gebracht werden. Im Umgang mit Infrastructure as a Service (IaaS) haben viele Unternehmen schon seit längerem Übung.

CW: Mangelnde Transparenz und Aufklärung sind das eine. Viele deutsche Unternehmen hegen aber auch Sicherheitsbedenken und interessieren sich deshalb vorwiegendfür Private-Cloud-Szenarien. Wann wird sich das ändern?

Vehlow: Bei den Implementierungsformen gewinnt, neben der reinen Private-Cloud-Variante, die Kombination aus Private Cloud und Public Cloud immer mehr an Bedeutung. Mit diesem Hybrid-Modell lassen sich die Vorteile der Public Cloud mit der Sicherheit einer Private Cloud zu verknüpfen. Doch auch Public Clouds werden weiterhin intensiv genutzt. Das zeigen die beeindruckenden Erfolge der Public-Cloud-Pioniere.

CW: Was müssen die Cloud-Anbieter tun, um den Sicherheitsbedenken zu begegnen?

Vehlow: Sicherheit zählt zu den menschlichen Grundbedürfnissen und hat viele Facetten. Sicherlich geht es auch um Emotionen. Die Anbieter müssen jetzt jedochFakten liefern. Das geht am besten über Referenzen, Leuchtturmprojekte, die zeigen, wie Cloud-Szenarien sicher in der Praxis funktionieren. Auf der technischen Seite sind weitere Innovationen in puncto Sicherheit erforderlich. Ein wichtiges Thema, um das Vertrauen der Nutzer zu gewinnen, sind Cloud-Standards und Zertifizierungen.

CW: Zum Beispiel?

Vehlow: Im Zusammenhang mit dem Sarbanes Oxley Act wurden die Nachweise der Providerüber den Standard SAS 70erbracht. Er war lange Zeit das Maß aller Dinge, um die Qualität und Sicherheit einer IT-Dienstleistung zu belegen. Dabei geht es auch um Themen, die insbesondere uns als Wirtschaftsprüfer interessieren: Was passiert mit den Daten in puncto Sicherheit oder Betrieb?

Foto: Jakub Jirsak, Fotolia.de

Kann es hier etwa zu einer materiellen Falschdarstellungvon Werten in der Bilanz des Mandanten kommen? Die Kriterien für SAS 70 waren sehr anspruchsvoll und auf die jeweilige Service-Erbringung zugeschnitten. Seit kurzem gibt es aber einen weiterentwickelten Standard, der von derselben Organisation - dem American Institute of Certified Public Accountants (AICPA) - definiert wurde.

Er nennt sich SOC (Service Organisation Control) und ist in drei Varianten ausgearbeitet. Beim SOC 3 geht es ganz konkret um Themen wie Verfügbarkeit, Integrität, Sicherheit und Datenschutz. Damit sind viele Kernelemente abgedeckt, die das Vertrauen in Cloud-Lösungen ausmachen.

CW: Was halten Sie von national geprägten Initiativen wie "Trusted Cloud" des Bundeswirtschaftsministeriums oder auch "Cloud Services Made in Germany"? Können sie das Vertrauen in Cloud-Services wirklich stärken?

Vehlow: Ja. Und die Kunden honorieren solche Initiativen auch. Sie wollen genau wissen, wo ihre Daten liegen und in welchen Staaten die Cloud-Dienste angeboten werden. Das sind enorm wichtige Kriterien für die Auswahl eines Providers. Dabei spielt es keine Rolle, ob es sich bei den Kunden um große, kleine oder mittelständische Unternehmen handelt. (wh)