Welche technischen Kriterien muss ein Cloud-Anbieter erfüllen?
Köhler: Grundsätzlich ist das ganz einfach: Verfügbarkeit, Skalierbarkeit und Sicherheit sind die zentralen Aspekte jeder Cloud-Infrastruktur. Die zentrale Frage ist, wie erreiche ich das. Letztendlich muss der Kunde den konkreten Weg dem Anbieter überlassen oder seine eigene Cloud-Struktur aufbauen.
Was bei der ganzen Diskussion insgesamt ein wenig zu kurz kommt ist das Thema "Ende-zu-Ende"-Service. Hier wären eigentlich die Telcos prädestiniert, dem Kunden eine entsprechende Garantie bis hin zum Anwender zu schaffen und sich so einen Vorsprung gegenüber Anbietern ohne eigenes Netz zu schaffen, aber entsprechende Angebote muss man bisher mit der Lupe suchen.
Angebote sind heute schon weitgehend ausgereift
Sind die Angebote heute schon ausgereift?
Köhler: Zum großen Teil ja! Wir haben für einige Kunden Tests durchgeführt. Diese verliefen durchweg positiv.
Experten behaupten, dass die Herstellerabhängigkeit aufgrund mangelnder Standards und proprietärer Schnittstellen sehr groß sei. Was bedeutet das für einen eventuellen Anbieterwechsel?
Köhler: In der Tat ist Interoperabilität heute die zentrale Herausforderung. In gewissen Bereichen funktioniert das bereits, aber "vendor lock in" ist noch immer eine starke Motivation bei der Gestaltung von Services. Letztendlich müssen die Anbieter befürchten, bei aus Anwendersicht identischen, weil standardisierten, Services und niedrigen Wechselhürden ähnlich austauschbar zu werden wie die Telcos es heute aus Sicht zahlreicher Kunden bereits sind. Das zeigt die Diskussion um die "bitpipe". Wie bei jedem Outsourcing-Projekt sollte man auch beim Cloud-Computing bereits bei Vertragsabschluss eine klar definierte Vorgehensweise für eine Rückabwicklung vereinbart haben.
Gartner-Analyst Daryl Plummer rät dazu, Services in der Cloud, die nicht sicherheitsrelevant sind, einfach auszuprobieren. Er geht davon aus, dass es Fehler geben wird, aus denen aber alle lernen werden. Wird die technische Entwicklung Ihrer Meinung nach auf dem Rücken der Anwender ausgetragen?
Köhler: Dem kann man für nicht-unternehmenskritische Services durchaus zustimmen. Es ist letztendlich auch eine Frage der Risikoabwägung wann und wie man sich dem Thema nähert. Unbestritten ist Cloud Computing das große Thema für die Weiterentwicklung der Unternehmens-ICT.
Sicherheitsaspekte auszublenden ist grob fahrlässig
Experten raten, nicht blind den Versprechen der Cloud-Provider zu glauben, sondern die Sicherheit ihrer Security-Infrastruktur eingehend zu prüfen. Wie soll das funktionieren?
Köhler: Selbst kann man das nur begrenzt testen, man kann jedoch erwarten, dass der Anbieter sich von unabhängigen Prüf- und Überwachungsorganisationen zertifizieren lässt.
Wir beobachten bei den Anbietern verschiedene Strategien, auf solche Anfragen zu reagieren. Einige setzen auf "Security by Obscurity", das heißt, sie geben nur sehr beschränkt Details nach außen, verraten unter Umständen nicht mal ohne weiteres die Serverstandorte oder beschränken technische Informationen durch NDAs. Andere spielen mit offenen Karten und gewähren detaillierte Einblicke in Technik wie Ausbauplanung - wenn man nur danach fragt.
Die größten Bedenken haben CIOs und IT-Verantwortliche in puncto Sicherheit. Schützenswerte Daten und Informationen virtuell auf Servern oder in Rechenzentren mit anderen teilen - kann das überhaupt gut gehen?
Köhler: Das ist zunächst einmal eine Frage geeigneter technischer Maßnahmen. Leider zeigen Pressemeldungen immer wieder gravierende Mängel auf. Wie oben bereits benannt empfehlen wir daher, besonders werthaltige Informationen nicht in Cloud-Umgebungen zu übertragen, dort zu speichern oder zu bearbeiten. Auch die Frage nach dem Serverstandort und den daraus unter Umständen resultierenden Zugriffsmöglichkeiten fremder Geheimdienste muss dabei berücksichtigt werden. Dies auszublenden, wäre dem Unternehmen, seinen Mitarbeitern und Anteilseignern gegenüber grob fahrlässig.