CW: Wieviele Ihrer Kunden kamen auf die CeBIT, um sich gezielt über Cloud-Lösungen zu informieren?
Vehlow: Cloud Computing ist für die Kunden ein strategisches Thema und deshalb allgegenwärtig. Abhängig von der Firmengröße sehen wir zwei unterschiedliche Tendenzen: Die großen Unternehmen sind nahezu durchgängig an Cloud-Lösungen interessiert, und zwar auf allen Ebenen. Das reicht vom CIO über den CFOund COO bis hin zum CEO.
Foto: PwC
Doch natürlich können auch mittelständische Unternehmen von Cloud-Services profitieren. Der Mittelstand ist jedoch im Vergleich zu den Großunternehmen noch etwas zurückhaltend. Das liegt nach unserer Einschätzung aber gar nicht an der Cloud selbst. Diejenigen Mittelständler, die Cloud-Services nutzen, sind damit hochzufrieden. Das bestätigt auch unsere letzte Studie. Das Problem sind eher die fehlende Transparenz und die unzureichende Aufklärung. Dabei ist allerdings zu berücksichtigen, dass die IT als solche in den kleinen und mittelständischen Unternehmen traditionell nicht die strategische Rolle spielt wie in großen Unternehmen.
CW: Welche Art von Cloud-Services fragen deutsche Unternehmen verstärkt nach?
Vehlow: Software as a Service (SaaS) steht auf der Agenda der Cloud-Nutzer ganz oben. Hier geht es meist um klassische Business-Anwendungen wie ERP, HR, ECM oder CRM. Das war auch so zu erwarten. Plattform as a Service (PaaS) ist immer mehr im Kommen. Die Unternehmen lernen Cloud Computing als Werkzeugkasten zu begreifen, mit dem sich ein Mehrwert schaffen lässt, wenn die einzelnen Cloud Services in Einklang gebracht werden. Im Umgang mit Infrastructure as a Service (IaaS) haben viele Unternehmen schon seit längerem Übung.
CW: Mangelnde Transparenz und Aufklärung sind das eine. Viele deutsche Unternehmen hegen aber auch Sicherheitsbedenken und interessieren sich deshalb vorwiegendfür Private-Cloud-Szenarien. Wann wird sich das ändern?
Vehlow: Bei den Implementierungsformen gewinnt, neben der reinen Private-Cloud-Variante, die Kombination aus Private Cloud und Public Cloud immer mehr an Bedeutung. Mit diesem Hybrid-Modell lassen sich die Vorteile der Public Cloud mit der Sicherheit einer Private Cloud zu verknüpfen. Doch auch Public Clouds werden weiterhin intensiv genutzt. Das zeigen die beeindruckenden Erfolge der Public-Cloud-Pioniere.
CW: Was müssen die Cloud-Anbieter tun, um den Sicherheitsbedenken zu begegnen?
Vehlow: Sicherheit zählt zu den menschlichen Grundbedürfnissen und hat viele Facetten. Sicherlich geht es auch um Emotionen. Die Anbieter müssen jetzt jedochFakten liefern. Das geht am besten über Referenzen, Leuchtturmprojekte, die zeigen, wie Cloud-Szenarien sicher in der Praxis funktionieren. Auf der technischen Seite sind weitere Innovationen in puncto Sicherheit erforderlich. Ein wichtiges Thema, um das Vertrauen der Nutzer zu gewinnen, sind Cloud-Standards und Zertifizierungen.
- Aufgepasst beim Kleingedruckten
Cloud Computing ist in der Geschäftswelt angekommen. Auch Compliance-Fragen sind nur noch scheinbar eine Hürde. Aber damit sich Wolken und Regeln nicht ausschließen, ist eine richtige Planung unabdingbar. Folgende Punkte sollten Sie beachten: - Die Vertragsgestaltung ...
sie sollte so effektiv wie möglich sein, um Zuverlässigkeit und Qualität der eingekauften Services beurteilen und potenzielle Risiken minimieren zu können. - Keineswegs kleinlich ...
konkrete Ausfallszenarien müssen unbedingt von Anfang an einkalkuliert werden. - Compliance-Verantwortliche ...
sie gehören schon in der Phase des Anforderungs-Managements mit an den Tisch. - Compliance-Anforderungen ...
sie ergeben sich aus Unternehmensform, Branche und den jeweiligen Best Practises. - Richtige Vorhehensweise ...
das heißt, erst die eigene Cloud-Infrastruktur verstehen, dann den entsprechenden Bedarf ableiten und zuletzt passenden Cloud-Provider auswählen. - Datenspeicherung in der Cloud ...
sie muss nach den zugrunde liegenden Lizenzverträgen respektive den anwendbaren Datenschutzregelungen erfolgen. - Gleichgewicht ...
die Business-Ziele, also wirtschaftliche Vorteile, müssen mit den Anforderungen an Compliance und Sicherheit ausbalanciert werden. - Risiken begrenzen
Anwenderunternehmen sollten Haftungs- und Service-Ansprüche an den Provider vertraglich geltend machen.
CW: Zum Beispiel?
Vehlow: Im Zusammenhang mit dem Sarbanes Oxley Act wurden die Nachweise der Providerüber den Standard SAS 70erbracht. Er war lange Zeit das Maß aller Dinge, um die Qualität und Sicherheit einer IT-Dienstleistung zu belegen. Dabei geht es auch um Themen, die insbesondere uns als Wirtschaftsprüfer interessieren: Was passiert mit den Daten in puncto Sicherheit oder Betrieb?
Kann es hier etwa zu einer materiellen Falschdarstellungvon Werten in der Bilanz des Mandanten kommen? Die Kriterien für SAS 70 waren sehr anspruchsvoll und auf die jeweilige Service-Erbringung zugeschnitten. Seit kurzem gibt es aber einen weiterentwickelten Standard, der von derselben Organisation - dem American Institute of Certified Public Accountants (AICPA) - definiert wurde.
Er nennt sich SOC (Service Organisation Control) und ist in drei Varianten ausgearbeitet. Beim SOC 3 geht es ganz konkret um Themen wie Verfügbarkeit, Integrität, Sicherheit und Datenschutz. Damit sind viele Kernelemente abgedeckt, die das Vertrauen in Cloud-Lösungen ausmachen.
CW: Was halten Sie von national geprägten Initiativen wie "Trusted Cloud" des Bundeswirtschaftsministeriums oder auch "Cloud Services Made in Germany"? Können sie das Vertrauen in Cloud-Services wirklich stärken?
Vehlow: Ja. Und die Kunden honorieren solche Initiativen auch. Sie wollen genau wissen, wo ihre Daten liegen und in welchen Staaten die Cloud-Dienste angeboten werden. Das sind enorm wichtige Kriterien für die Auswahl eines Providers. Dabei spielt es keine Rolle, ob es sich bei den Kunden um große, kleine oder mittelständische Unternehmen handelt. (wh)