Cloud Security 2016

Warum die Wahl des Cloud-Providers Vertrauenssache ist

Harald Lutz lebt und arbeitet als Fachjournalist und Technikredakteur sowie in der Presse- und Öffentlichkeitsarbeit in Frankfurt am Main. Spezialgebiete: Informations- und Kommunikationstechnik (IKT), Logistik, Informationslogistik, Wissenschaft und Forschung.
Was macht einen guten Cloud-Provider aus? Worauf müssen Anwender bei der Wahl des Dienstleisters achten? Und wie stark ist die Public Cloud im deutschen Markt bereits tatsächlich? Diese und andere Fragen haben wir mit Accenture-Experten diskutiert.

In einigen Industrien ist die erste Welle des Betriebsmodells Cloud Computing schon durch. Andere wiederum legen erst allmählich so richtig los. Stets im Fokus steht dabei die IT-Sicherheit. Auf Basis der Ergebnisse der aktuellen IDG-Studie "Cloud Security 2016" von COMPUTERWOCHE, CIO, CHANNELPARTNER und TECCHANNEL haben wir diesen Themenkomplex mit den führenden Cloud-Experten der Unternehmensberatung Accenture debattiert. Mit im Gespräch waren Leah Blessin, der Leiterin des Bereichs Accenture Cloud First Applications, und in dieser Rolle verantwortlich für Beratung und Implementierung nativer Software-as-a-Service-Lösungen, der Leiter Security und Cyber Defense, Marius von Spreti, Spezialist für IT-Sicherheit in der Cloud, und Arne Bleyer, der Leiter Cloud aus dem Bereich Infrastruktur.

Die IDG-Studie "Cloud Security 2016" ist ab sofort im COMPUTERWOCHE-Aboshop erhältlich.
Die IDG-Studie "Cloud Security 2016" ist ab sofort im COMPUTERWOCHE-Aboshop erhältlich.
Foto: IDG

CW: Cloud-Security ist offenbar Chefsache - die Security-Verantwortung bei den Unternehmen, insbesondere im Mittelstand und bei den KMUs, liegt nur selten bei dezidierten Security-Managern. Etwas besser sieht es bei den Konzernen aus. Wieso traut man in der Branche den CIOs oder IT-Pro­jektleitern in puncto IT-Si­cherheit so wenig zu?

MARIUS VON SPRETI: Wenn wir uns die klassischen Unternehmenstypen anschauen - Enter­prise-Unternehmen, Mittelständler und kleiner Mittelstand -, fällt auf, dass die Rollen von dezidierten Security-Verantwortli­chen in kleineren Unternehmen meist gar nicht be­setzt werden können. Diese Arbeitgeber sind für ausgewiesene Security-Ex­perten nicht sehr attraktiv.

Damit stellt sich im Umkehrschluss die Frage: Wo arbeiten die besten Security-Ex­perten? Unserer Einschätzung nach sind das die 100 größten Unter­nehmen dieser Welt sowie die Cloud-Service-Provider (CSPs), die beide als Arbeitgeber für diesen Per­sonen­kreis sehr beliebt sind. Wir sehen diesen Punkt daher weniger unter dem Vertrauensaspekt als dem des verfügbaren, geeigneten Personals und der Menge an Themen, die eine solche Rolle bei KMUs nicht rechtfertigen würde. Aber auch bei den Enterprise-Unternehmen, die die Rollen eines CIO oder Chief In­formation Secu­rity Officer (CISO) personell gut besetzen können, gibt es einen Pferde­fuß: Die Vor­standmitglieder haften persönlich für die Sicherheit der Unterneh­mens­daten. Deshalb kann dort zwar der Aufgabenbereich IT-Sicherheit, nicht aber die Verantwortung da­für an Security-Manager und andere Spezialisten delegiert werden.

Marius von Spreti beschäftigt sich für Accenture intensiv mit dem Thema Cloud Security.
Marius von Spreti beschäftigt sich für Accenture intensiv mit dem Thema Cloud Security.
Foto: Accenture GmbH

"Es reicht heute nicht mehr aus, sich einmal für eine Strategie zu ent­scheiden"

CW: Welche zentralen Argumente für und wider die Auslagerung von Diensten in die Cloud gibt es wirklich?

LEAH BLESSIN: Insbesondere bei Software-as-a-Service (SaaS) steht das Thema Time-to-Market im Vordergrund. Die Cloud bringt vielfältige Mög­lichkeiten, Anwendungen und Prozesse flexibel an neue strategische Anforderungen anzupassen, die der Markt den Unternehmen stellt. Darüber hinaus stellen die SaaS-Anbieter den Firmen konti­nuierlich Release-Upgrade mit neuen Funktionalitäten zur Verfügungen und geben ihnen so Zugriff auf Innovationen. Zudem entsteht ein regelrechtes Ökosystem an An­bietern rund um die SaaS-Plattform-Provider, die wiederum innovative Lösungen für die Unternehmen im Angebot haben.

Auch das Thema Agilität ist ein wichtiger Grund für unsere Kunden, in die Cloud zu gehen. Firmen, die sich für die Cloud entschieden haben, erkennen zunehmend, dass es nicht mehr ausreicht, sich einmal für eine Strategie zu entscheiden. Niemand weiß heute mit Sicherheit, welche Anforderungen in den nächsten fünf Jahren auf uns zu­kommen. Unternehmen müssen sehr schnell auf sich verändernde Anforderungen re­agieren können.

Leah Blessin kennt sich als Leiterein von Accenture Cloud First Applications sehr gut mit Software-as-a-Service-Themen aus.
Leah Blessin kennt sich als Leiterein von Accenture Cloud First Applications sehr gut mit Software-as-a-Service-Themen aus.
Foto: Accenture GmbH

"Es gibt für Unternehmen keine Alternative zur Cloud"

CW: Hat die Public Cloud bei sensiblen Daten überhaupt noch eine Chance, oder bleibt es landläufig eher bei dem Motto ‚Private Cloud only‘?

VON SPRETI: Accenture geht bei Industrielösungen auch mittelfristig von hybriden Cloud-Strategien aus: Neben der Public Cloud existieren gleichzeitig Private-Cloud-Lösungen, also virtualisierte Umgebun­gen, die in eigenen Rechenzentren betrieben werden. Auch bei der Umsetzung von Cloud-Lösungen gibt es verschiedene Möglich­keiten; das sind vor allem Infra­s­tructure (IaaS)- oder Platform-Cloud (PaaS) oder Software-as-a-Service (SaaS). Alles in allem gibt es für Unternehmen heute keine Al­terna­tive zur Cloud. Ganz besonders die Zahl der Anwendungen in der Public Cloud wird in den nächsten Jahren drama­tisch ansteigen.

In der Übergangszeit wird es einige Randbereiche mit besonders vertraulichen Daten geben wie etwa Patien­ten- und Kun­dendaten, die nur innerhalb der EU verarbeitet werden dürfen und damit weiter im eigenen Rechenzentrum verbleiben. Doch auch für diese Bereiche arbeiten die Cloud Provider mittlerweile an Lösungen, um ihr Angebot den regulatorischen Anforderun­gen wie der Speicherung der Daten innerhalb von Europa oder dem Zutritt zum Rechenzentraum für Auditzwecke anzupassen.

ARNE BLEYER: Diesen Trend beobachte ich genauso. Der Anteil an Public-Cloud-Lö­sungen wird in den nächsten Jahren weiter zunehmen. Ein Grund ist, dass die Provider vermehrt Services und Lösungen anbieten, um die hohen Security-Anforderungen ihrer Kunden zu erfüllen. Andererseits wird es kurz- und mittelfristig immer noch einen Bedarf an On-Premise-Hosting geben, um regulatorische Anforderungen zu er­füllen. Insbesondere für Unternehmen aus den Bereichen Pharmazie, Banken und Ver­sicherungen sowie Energiewirtschaft sind solche Lösungen relevant. Für diese Unternehmen ist die Hybrid Cloud ein guter Weg, um dennoch von Innovationen aus der Cloud für die gesamte Applikationslandschaft zu profitieren.

Arne Bleyer ist Leiter Cloud im Accenture-Geschäftsbereich Infrastruktur.
Arne Bleyer ist Leiter Cloud im Accenture-Geschäftsbereich Infrastruktur.
Foto: Accenture GmbH

CW: Die Datensicherheit in der Cloud soll in manchen Fällen höher sein als in einem eigenen Unternehmens-Rechenzentrum. Ist das nur eine steile Beraterthese oder bereits Realität?

VON SPRETI: Viele dieser Dinge, über die wir heute sprechen, sind in der Pu­blic Cloud sicherer als in einem hauseigenen Rechenzentrum (RZ), für die einem Konzern eben oft nicht die besten Security-Experten, Technologien und Prozesse zur Verfügung stehen. Wie be­reits angesprochen, arbeiten diese begehrten Spezialisten bei Apple, Microsoft, Salesforce, PayPal oder in der Beratung, weil sie dort ihre Fähigkeiten in einem größe­ren und ska­lierbareren Umfeld einsetzen und weiterentwi­ckeln können. Unternehmensdaten werden daher langfris­tig in einer Public Cloud si­cherer sein als in einer eigenen RZ-Lösung. Das gilt insbe­son­dere auch für die in der IDG-Studie angesprochenen Themen Ausfallsicherheit, De­saster Recovery und Backup. Cloud-Provi­der mit verteilten Struk­turen haben in diesen Punkten deutliche Vorteile.

"Eine Frage von Fokus oder Fähigkeiten"

Im Übrigen gilt, wie für die meisten anderen Themenfelder, auch für die Cloud-Si­cherheit: Kom­plexität skaliert. Wenn Sie sich die Anwendungslandschaft oder RZ-Infrastruktur eines großen, möglicherweise durch Zukäufe gewach­senen Unter­neh­mens an­schauen, werden Sie feststellen, dass dort sehr viele unterschiedliche heterogene An­wendungs- und Infra­strukturlandschaften betrieben werden. Das ist eine der entschei­denden Schwachstellen. Wir sprechen hier über ein asynchrones Bedrohungs­potenzial: Einem Angreifer genügt eine einzige Schwach­stelle, um einzudringen. Das Unter­nehmen da­gegen muss die gesamte Bandbreite, von der Infrastruktur über die Platt­form, Busi­ness-Anwen­dungen bis hin zum Anwender, selbst absichern.

Bei einer so hohen Kom­plexität - so unsere zentrale These - gibt es keine vollkommene Sicher­heit. Es ist nur eine Frage von Fokus oder Fähigkeiten, die klassischen Sicher­heits­mechanismen zu über­winden. Gleiches gilt, allerdings mit einer weit höher auf­geleg­ten Hürde, auch für Cloud-Unternehmen. Bei den Cloud-Providern aber schützen die professionellsten Si­cherheitsexperten am Markt die anvertrauten Daten mit allem, was heute technisch und fachlich mög­lich ist. Letztendlich basiert das Cloud-Ge­schäfts­modell vor allem auch auf Vertrauen.

CW: Sind eher die großen oder kleinen Cloud-Anbieter am Markt gefragt?

BLEYER: Bei den global agierenden Großunternehmen sind überwiegend die gro­ßen Cloud-Anbieter gefragt. Die meisten Firmen verfolgen jedoch eine Multi-Vendor-Strategie für die Public Cloud. Die regionalen Cloud-Anbieter richten sich vor allem an die Zielgruppe der kleinen und mittleren Unternehmen (KMU), sie können aber auch durch mehr Flexibilität punkten. So bieten sie ihren Kunden nicht selten maßge­schneiderte Services zu attraktiven Preisen.

VON SPRETI: Auf diese Frage gibt es einfach keine richtige oder falsche Antwort. Es hängt von den fachlichen, regu­latorischen oder sicherheitsbezogenen Anforderungen ab, welcher Cloud-Provider den Zuschlag bekommen sollte. Daneben wird ‚Digital Trust‘ zum entscheidenden Dif­ferenzie­rungsmerkmal: Ein Cloud-Provi­der, bei dem ein größerer Sicherheitsvorfall bekannt geworden ist, wird mit hoher Wahrscheinlich­keit sehr schnell vom Markt ver­schwinden.