Die Vorbereitung auf die Wolke

Was Cloud Readiness wirklich bedeutet

25.02.2015 von Oliver Schonschek

Nicht nur der Datenschutz muss sichergestellt sein, wenn man sich für die Cloud entscheidet. Ein ganzer Aufgabenkatalog wartet auf Cloud-Einsteiger, aber auch einiges an Unterstützung.

Der Markt für Cloud Computing in Deutschland wächst ungebrochen, die Folgen der NSA-Affäre hatten nur eine geringe Auswirkung, so berichtet der Hightech-Verband BITKOM. Trotzdem gibt es kaum eine Studie, die nicht die IT-Sicherheit und den Datenschutz als wesentliche Hindernisse für die weitere Verbreitung von Cloud Computing sieht.

Die meisten Initiativen in Deutschland rund um die Cloud stellen die Sicherheit, das Vertrauen, den Standort und damit auch den Datenschutz in den Fokus. Es wäre allerdings falsch zu glauben, dass alleine zusätzliche Maßnahmen im Datenschutz und in der Datensicherheit den weiteren Erfolg des Cloud Computing sicherstellen würden.

Der Weg in die Wolke erfordert eine gründliche Vorbereitung.
Foto: cherezoff, Fotolia.de

In Befragungen zu den Hemmnissen bei der Implementierung von Cloud-Services werden auch Bedenken hinsichtlich der Leistungsfähigkeit und Zuverlässigkeit von Cloud-Computing-Diensten sowie mangelnde Preistransparenz genannt, wie zum Beispiel in einem Colt Report berichtet wird. Der Global Technology Adoption Index von Dell sieht neben den bekannten Sicherheitsbedenken einen Mangel an Verständnis und Erfahrung bei den Anwenderunternehmen als erhebliche Herausforderungen bei der Implementierung von Cloud Computing.

Cloud-Einsteiger brauchen mehr Vorbereitung

Betrachtet man Unternehmen, die noch kein Cloud Computing einsetzen, muss man häufig feststellen, dass sie die Voraussetzungen zur Nutzung von Cloud-Services falsch einschätzen oder schlicht nicht kennen. Die Erwartungen an den Cloud-Anbieter sind hoch, die Rolle und die Möglichkeiten des Providers werden missverstanden.

Die Cloud Readiness variiert in den einzelnen Ländern (Deutschland auf Platz 3) und hängt auch von Infrastrukturfaktoren wie der verfügbaren Internetbandbreite ab.
Foto: Pyramid Research

Tatsächlich ist es so, dass Cloud Computing nur dann möglich ist und die gewünschten Vorteile bringen kann, wenn sich das Anwenderunternehmen richtig darauf vorbereitet. Hier besteht vielfach Nachholbedarf, so dass die mangelnde Cloud Readiness, also die fehlende interne Vorbereitung auf die Cloud, ebenfalls als ein wesentliches Hemmnis für Cloud Computing bezeichnen werden sollte.

Schließlich wird man nicht dadurch zum erfolgreichen Cloud-Nutzer, indem man einen Cloud-Service beauftragt - denn das ist in aller Regel schnell geschehen. Vielmehr geht es darum, das Unternehmen so vorzubereiten, dass sich Cloud-Lösungen optimal einführen lassen.

Cloud-Ziele müssen bekannt sein

Der Weg in die Cloud sollte damit beginnen, dass die Ziele der Cloud-Einführung definiert werden. Was so selbstverständlich klingt, ist in der Praxis leider nicht einfach. Die Ziele einer Cloud-Nutzung unterscheiden sich innerhalb des Unternehmens; die Geschäftsführung will damit häufig etwas anderes erreichen als die verschiedenen Fachbereiche, die IT-Abteilung oder der einzelne Nutzer.

Ein deutliches Zeichen für die unterschiedlichen Cloud-Ziele ist die oft zitierte Schatten-IT. Fachabteilungen nehmen die Anschaffung ihrer IT-Lösungen zunehmend selbst in die Hand. 75 Prozent der CIOs in Deutschland beobachten diese Entwicklung in ihren Unternehmen, so die Studie "Art of Connecting: creativity and the modern CIO" der BT Group. In vielen Fällen greifen die Fachbereiche zu Cloud-Services, da sich diese leicht beauftragen und beziehen lassen. Die Ursache einer solchen Schatten-IT ist letztlich, dass sich die Ziele der Fachbereiche nicht mit denen der IT-Abteilung oder des zentralen Einkaufs decken.

Vor der Cloud-Einführung sollten die genauen Ziele ermittelt werden. Unterschiedliche Ziele von Geschäftsleitung, IT und Fachbereichen gilt es, in Einklang zu bringen, um Insellösungen oder eine Schatten-IT zu vermeiden, bei der einzelne Interessengruppen eigene Wege gehen.
Foto: IDC

Wie eine IDC-Studie zeigt, ist für die Entscheider aus den Fachbereichen die Verbesserung der Geschäftsprozesse das wichtigste Ziel bei der Einführung von Cloud-Services: Gewünscht werden schnellere und flexiblere Geschäftsabläufe, die kurzfristige Implementierung von neuen Geschäftsprozessen und die Möglichkeit des mobilen Zugriffs der Anwender auf Daten und Unternehmensapplikationen. Die Anforderungen an die IT lauten jedoch meistens Optimierung der IT-Sicherheit und Reduzierung der IT-Kosten.

IDC über den Markt für Private Cloud und Hosted Private Cloud in Deutschland

Entwicklung der Cloud-Modelle in Deutschland
In dem Report „Der Private & Hosted Private Cloud Markt in Deutschland, 2013-2018“ untersucht IDC die Entwicklung der Cloud-Modelle in Deutschland. Die Studie basiert auf Angaben von rund 200 Unternehmen, die die Cloud-Nutzung zumindest erwägen.

Private Cloud vorn
Wer sich für die Cloud entscheidet, setzt meist auf eine Private Cloud. IDC-Analyst Matthias Kraus führt das vor allem auf Sicherheitsüberlegungen zurück.

Marktanteile
Das Marktvolumen für den Aufbau von Private Clouds betrug 2013 in Deutschland mehr als 700 Millionen Euro. Das Geld floss zu 42 Prozent in Services, 37 Prozent in Hardware und 22 Prozent in Software.

CIOs im Regen
Wer letztlich die Entscheidung über den Weg in die Cloud trifft, ist für Kraus ein Indikator der jeweiligen Firmenkultur. Eines steht seiner Beobachtung nach fest: Geschäftsführung und Fachabteilungen üben immer mehr Druck aus auf den IT-Entscheider. Sie blicken nach wie vor auf die Kosten und fordern gleichzeitig, dass die IT Geschäftsprozesse flexibel unterstützt und Business-Innovationen vorantreibt.

Matthias Kraus, Research Analyst bei IDC
IDC-Analyst Matthias Kraus erwartet, dass sich immer mehr Unternehmen für einen Mix verschiedener Cloud-Modelle öffnen. Steht das Rechenzentrum eines Anbieters in Deutschland, gilt hiesiges Vertragsrecht. Das beruhige auch das subjektive Sicherheitsgefühl, so Kraus.

Aufgabenkatalog 1

Cloud Computing ist eine mögliche Antwort auf die vielfältigen Anforderungen an die IT. Vor der Entscheidung für die Cloud sollten die Anforderungen der Geschäftsleitung, der Fachbereiche und der IT gesammelt und in Einklang miteinander gebracht werden.

Die Liste der IT-Anforderungen sollte dann mit den Vorteilen von Cloud-Services abgeglichen werden. Nur bei einem ausreichend hohen Deckungsgrad ist Cloud Computing der Weg der Fall.

Bei Abweichungen zwischen den Zielen der verschiedenen Interessengruppen im Unternehmen ist Vorsicht geboten, denn eine Schatten-IT könnte die Folge sein.

Nicht jedes IT-Verfahren ist für die Cloud geeignet

Eigene Wege beschreiten Fachbereiche und einzelne Nutzer aber auch dann, wenn die eingesetzten Cloud-Services nicht zu den internen Abläufen, Rollen und Aufgaben passen. Wenn eine bestimmte Cloud-Anwendung eine Tätigkeit eher erschwert oder langsamer macht, dauert es nicht lange und die Nutzer suchen sich Alternativen. Das gilt für IT-Verfahren im Allgemeinen, ist aber bei Cloud-Services besonders einfach.

Wie die zuvor genannte IDC-Studie ergab, haben die Fachbereiche deutliche Probleme bei der Anpassung der Geschäftsprozesse auf organisatorischer Ebene sowie bei der Standardisierung und Konsolidierung der Betriebsabläufe, wenn Cloud-Lösungen eingesetzt werden. Das gilt insbesondere dann, wenn Unternehmen aus Kostengründen auf Standardlösungen aus der Cloud setzen, die die individuellen Anforderungen nicht berücksichtigen können.

Ob bestimmte Cloud-Services für das eigene Unternehmen geeignet sind oder nicht, hängt somit auch davon ab, wie speziell bestimmte IT-Verfahren sind, die in die Cloud verlagert werden sollen. Zudem davon, wie die genauen Anforderungen an die Vertraulichkeit und Integrität der Daten sowie an die Verfügbarkeit der Daten und Anwendungen sind.

Ob die notwendige Verfügbarkeit und Schnelligkeit eines IT-Verfahrens auch bei Cloud Computing realisierbar sein wird, hängt unter anderem von der lokalen IT-Infrastruktur ab, darunter die verfügbare Internetbandbreite und die Versorgung mit mobilen Internetverbindungen. Das wird gerne vergessen.

Aufgabenkatalog 2

Welche Services genau aus der Cloud bezogen werden können, hängt von der Eigenart der IT-Verfahren im Unternehmen ab. Die konkreten IT-Verfahren entscheiden über notwendige Privilegien-Systeme, Nutzerrollen, fachliche Funktionen, aber auch über die notwendige Verfügbarkeit und Ausfallsicherheit des Cloud-Services (Service Level Agreements, SLAs).

Checkliste Cloud-SLAs

Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:

Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.

Punkt 2:
Version in der Landessprache des Kunden.

Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.

Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").

Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).

Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).

Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).

Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).

Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).

Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).

Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).

Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.

Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.

Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Bei der Suche nach passenden Cloud-Services gilt es, die Eigenheiten und besonderen Anforderungen der IT-Verfahren zu bestimmen und nach Cloud-Lösungen zu suchen, die dem entsprechen können. Dabei sollte auch an die Anforderungen an die verfügbare Internetverbindung gedacht werden, die nicht an jedem Unternehmensstandort vorausgesetzt werden kann.

Da es generell einfacher ist, weniger anspruchsvolle IT-Verfahren in die Cloud zu bringen, starten viele Unternehmen mit solchen Cloud-Services, die nicht geschäftskritisch sind. Es ist zu bedenken, dass oftmals das höchste Optimierungspotenzial bei den zentralen und kritischen IT-Verfahren besteht. Beschränkt sich also ein Unternehmen auf weniger wichtige Services aus der Cloud, muss man damit rechnen, dass die erzielten Vorteile auch eher gering ausfallen.

Die Cloud muss organisatorisch eingebunden werden

Cloud Computing wird häufig als ein rein technisches Thema gesehen. Deshalb besteht bei vielen Unternehmen die Gefahr, dass die organisatorischen Anpassungen und Vorbereitungen vergessen werden.

Die Veränderungen für den IT-Administrator erscheinen offensichtlich: Der interne Administrator wird zu einem Cloud-Administrator, gleichzeitig auch zu einem IT-Service-Manager und Provider-Manager. Die Verwaltung der internen IT-Infrastruktur wird erweitert um die Administration der Cloud-Services und meist auch der Cloud-Anbieter. Es darf aber nicht übersehen werden, dass es weiterhin interne IT-Aufgaben gibt, denn Cloud Computing wird in der Regel in der hybriden Form genutzt, als Mischung aus internen IT- und externen Cloud-Ressourcen, so auch die Ergebnisse der IDC-Studie "Hybrid Cloud in Deutschland 2014".

Cloud Computing bedeutet zunehmend den Einsatz einer hybriden Cloud, bestehend aus lokaler IT und Cloud-Services. Bestehende IT-Aufgaben werden also nicht einfach durch Cloud-Aufgaben ersetzt, sondern die Administratoren kümmern sich zusätzlich um die Cloud. Das muss bei der Einführung berücksichtigt werden.
Foto: IDC

Welche Aufgaben der internen IT bleiben

Welche Aufgaben auch weiterhin intern in der IT-Abteilung verbleiben, führen wir im Folgenden auf:

Aufstellung, Umsetzung und Kontrolle interner IT-Richtlinien, die auch Maßstab für den externen Cloud-Provider sind
Definition und Überwachung der notwendigen Qualität der Cloud-Dienste (SLA, Service Level Agreement)
Planung, Durchführung und Pflege eines Identitätsmanagements, um den Zugang zu und den Zugriff auf die Cloud-Dienste zu sichern
Installation und Aktualisierung von Anti-Malware-Lösungen, Firewalls und anderen lokalen Sicherheitskomponenten, um eine sichere Verbindung zum Cloud-Provider gewährleisten zu können
Konfiguration der Sicherheitseinstellungen und Schutz der lokalen und mobilen Endgeräte, mit denen auf die Cloud zugegriffen wird
Gewährleistung der internen Netzwerksicherheit (LAN, WLAN) und der Sicherheit der Gateways zur Cloud
Sicherstellung des Backups für lokale Daten und Cloud-Daten
Überwachung der Cloud-Dienstleistung durch Berichte (Reporting) und Kontrollen

Vertragsgestaltung

Eine wichtige Orientierung zu den IT-Sicherheitsanforderungen bei der Cloud-Nutzung liefern das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der BITKOM-Leitfaden zum sicheren Cloud Computing. Neben den IT-Administratoren bzw. den IT-Sicherheitsbeauftragten müssen sich auch der Einkauf und die Vertragsabteilung auf den Einstieg in die Cloud vorbereiten. Hilfreiche Tipps zur Vertragsgestaltung gibt es unter anderem von BITKOM sowie von dem Projekt Trusted Cloud.

5 goldene Regeln für eine sichere Cloud

Regel 1: Verschlüsselung ist Pflicht!
Einen Cloud-Anbieter ohne sichere Verschlüsselung sollten Sie unbedingt meiden. Denn werden Ihre Daten auf dem Weg zum Anbieter nicht verschlüsselt, so kann sie jeder abhören, der den Kommunikationsweg belauschen kann. Das können Geheimdienste oder polizeiliche Stellen sein, aber auch Cracker und sonstige Bösewichte. Besondere Vorsicht ist geboten, wenn Sie sich in einem öffentlichen Netzwerk befinden – etwa im Gratis-WLAN eines Cafés oder in einem Hotelnetzwerk. Hier kann schon der freundliche Herr mit dem Laptop am Nebentisch Ihre privaten Nachrichten und Bilder mitschneiden, wenn diese nicht verschlüsselt sind. <br /><br /> Verschlüsselung auf Webseiten ist leicht zu erkennen – neben der Internet-Adresse (URL) wird ein Schloss-Symbol eingeblendet und oft verfärbt sich auch die Adresszeile. So können Sie prüfen, wer sich hinter Ihrem Cloud-Provider verbirgt. <br /><br />Viele Anbieter versprechen, dass auch nach der Übertragung alle Daten verschlüsselt sind – dieses Versprechen ist aber oft irreführend. Meist reklamiert der Cloud-Provider nämlich für sich die Möglichkeit, mit einem Zweitschlüssel den Klartext Ihrer Daten zu errechnen – viele Funktionen in der Cloud wären sonst nämlich gar nicht möglich.<br />

Regel 2: Made in Germany ist das Maß aller Dinge
Der deutsche Datenschutz gehört zu den strengsten Regelwerken der Welt. Und was vielen ausländischen Cloud-Anbietern Kopfschmerzen bereitet, ist für Sie als Anwender ein unschätzbarer Vorteil. Hält sich Ihr Provider nämlich an das deutsche Datenschutzgesetz, so können Sie davon ausgehen, dass Sie auch konform sind. Das ist für Heimanwender weniger wichtig als für Unternehmen, die verschiedene Aufbewahrungs- und Geheimhaltungspflichten zu beachten haben. <br /><br /> Geben Sie Ihre Daten in die Cloud, sollten Sie das bei einem deutschen Anbieter tun, der die Daten in einem deutschen Rechenzentrum ablegt. Das bringt mehr Sicherheit vor dem Zugriff durch ausländische Behörden und hat noch einen weiteren positiven Nebeneffekt: Durch die geographische Nähe Ihrer Daten zu Ihnen erhöht sich oft auch die Performance Ihrer Cloud-Anwendung.<br />

Regel 3: Anbieterbindung vermeiden
Der Weg in die Cloud mag steinig sein, der Weg aus ihr heraus (oder in eine andere Wolke) ist oftmals ganz verbaut. Nicht wenige Anbieter nehmen gespeicherte Daten in eine Art Geiselhaft und machen einen Wechsel unmöglich. Diese Praxis – auch „Vendor Lock-In“ genannt – ist oft nicht einmal Absicht – es fehlen häufig Export-Routinen und vielfach (etwa bei CRM-Systemen oder anderen Enterprise-Anwendungen) sind die Daten ohne die dazugehörige Anwendungslogik schlicht unbrauchbar. <br /><br /> Bei der Auswahl eines Cloud-Anbieters sollten Sie also darauf achten, dass er Ihnen auf Anforderung Ihre Daten wieder herausgibt – idealerweise in einem standardisierten Exportformat wie etwa XML. Zusätzliche Gebühren sollte dieser Service keinesfalls kosten.<br />

Regel 4: Sicherheitskonzept prüfen!
Ein guter Cloud Provider ist stolz darauf, alle notwendigen Vorkehrungen für sichere Datenübertragung und -speicherung getroffen zu haben. Er wird sein Sicherheitskonzept also nicht geheim halten. Prüfen Sie vor einem Vertragsschluss, wie der Anbieter es mit der Sicherheit hält: Besonders die verschlüsselte Datenübertragung, ausfallsichere und möglichst verschlüsselte Datenspeicherung und ein zertifiziertes Rechenzentrum für die Cloud-Server sollten selbstverständlich sein.<br /><br />Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren liefern gute Anhaltspunkte. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, fehlen Zertifizierungen oder wird auch auf Anfrage keine Auskunft gegeben, ist Vorsicht geboten.<br />

Regel 5: Einen "Plan B" haben
Geben Sie Ihre Firmen- oder persönlichen Daten in die Cloud, geben Sie sie aus der Hand und machen sich vom Anbieter abhängig. Aufgrund der Vielzahl von Unwägbarkeiten im Cloud Computing sollten Sie also vorher einen "Plan B" aufstellen und umsetzen. Dazu gehört, immer ein aktuelles Backup der Cloud-Daten anzufertigen, wo möglich, und dieses Backup entweder auf den eigenen Computern oder bei einem anderen Cloud-Anbieter abzulegen.<br /><br /> Schließlich können Datenverluste jederzeit passieren – oder Ihr Cloud-Provider stellt den Geschäftsbetrieb im schlimmsten Fall gar ganz ein. Das ist in der Vergangenheit aus verschiedenen Gründen bereits mehrfach passiert. So hat der E-Mail-Dienstleister Lavabit aus Protest gegen NSA-Schnüffelvorhaben <a href="http://www.computerwoche.de/a/lavabit-gruender-zur-schliessung-verpflichtet,2544385" target="_blank">seinen Dienst quittiert</a> und der Linux-Anbieter Canonical hat seinen Speicherdienst „Ubuntu One“ hat aus wirtschaftlichen Gründen aufgegeben. <br /><br /> Um vorzusorgen, müssen sie also Redundanz schaffen – entweder mit einem zweiten Cloud-Anbieter oder einem lokalen Backup Ihrer Daten. Sonst geraten Sie in Schwierigkeiten, wenn die Familienfotos oder Steuerunterlagen plötzlich unwiderbringlich verloren sind.<br />

Ein wesentlicher Punkt bei den Cloud-Verträgen ist, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt. Ist die Verarbeitung personenbezogener Daten in der Cloud geplant, sollte grundsätzlich der betriebliche Datenschutzbeauftragte in die Cloud-Vorbereitungen einbezogen werden. Wichtige Hinweise zum Datenschutz in der Cloud liefern die Datenschutz-Aufsichtsbehörden in ihrer Orientierungshilfe Cloud Computing.

Aufgabenkatalog 3

Die organisatorischen Folgen von Cloud Computing müssen ebenso berücksichtigt werden wie die technischen. Betroffen sind nicht nur die direkten Anwender in den Fachbereichen und die IT-Administratoren, sondern auch der Einkauf, die Rechtsabteilung und der oder die Datenschutzbeauftragte. Diese Personen sollten deshalb Teil des Cloud-Vorbereitungsteams sein.

Einstieg und Ausstieg

Bevor die Tür zum Cloud Computing ganz geöffnet wird, sollten Unternehmen Gebrauch machen von kostenlosen Testmöglichkeiten wie zum Beispiel bei Microsoft Azure oder AWS, ohne bereits produktive Daten zu nutzen. Der eigentliche Einstieg erfordert dann mehr als einige Klicks.

Die umzustellenden IT-Verfahren müssen bekannt sein ebenso die Folgen für die interne IT. Die organisatorischen Cloud-Rollen müssen besetzt sein und das IT-Sicherheitskonzept angepasst. Sinnvoll ist die Auswahl bestimmter Pilot-Verfahren, also der IT-Verfahren, die zuerst in die Cloud überführt werden sollen.

Der Start der Cloud-Nutzung sollte dann schrittweise einzelne IT-Verfahren betreffen, wobei nach Möglichkeit immer ein Parallelbetrieb aus bisherigem IT-Betrieb und Cloud-Nutzung stattfinden sollte, um bei möglichen Problemen keinen Ausfall von IT-Verfahren zu erleiden.

Der Plan zur Migration bestimmter IT-Verfahren in die Cloud sollte aber auch den möglichen Ausstieg bereits vorsehen. Es muss also geklärt sein, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können. Wichtig ist es dabei, eine Abhängigkeit von einzelnen Cloud-Anbietern wo immer möglich zu vermeiden.

Der sogenannte Lock-In-Effekt, also die Abhängigkeit von bestimmten Anbietern, trägt nicht zu unterschätzende Risiken in sich. Nicht nur die Vertragsverhandlungen werden dadurch erschwert, wenn es keine Alternativen gibt. Auch ein möglicher Ausfall oder die Einstellung des Cloud-Betriebs haben dann massive Auswirkungen auf die betroffene Unternehmens-IT und die Nutzer.

Aufgabenkatalog 4

Die zuvor genannten Schritte sollten in ein Cloud-Einführungskonzept münden, das durch ein professionelles Projektmanagement umgesetzt werden sollte. Dazu gehört es, einen eventuell notwendigen Ausstieg immer einzubeziehen, also auch Alternativen zum Cloud-Anbieter und zur Cloud generell zur Hand zu haben.

Cloud Assessments können unterstützen

Bei der Bewältigung der Fülle an Aufgaben vor dem Einstieg ins Cloud Computing können verschiedene Tools helfen, die ein erstes Assessment für interessierte Unternehmen durchführen.

Dazu gehören der DsiN-Cloud-Scout zu sicherheitsrelevanten Fragen und das Cisco Cloud Readiness Tool, das Cloud Readiness Assessment von cloudtec, das Online Cloud Readiness Assessment von Dimension Data, die HP Cloud Readiness Scorecard oder das Microsoft Customer Assessment Tool für Selbst-Assessments des Unternehmens sowie Beratungsangebote wie der Cloud Computing Readiness Check von McAfee, der Cloud Readiness Accelerator von EMC und die Cloud Readiness & Management Services von T-Systems.

Ganz gleich, mit welcher Methode ein Unternehmen seine Cloud Readiness bestimmt: Ohne eine Ist-Analyse, Bedarfsanalyse und Risikoanalyse sollte kein Einstieg in das Cloud Computing erfolgen. Nur so können alle Hemmnisse rechtzeitig beseitigt werden, die den Cloud-Erfolg gefährden könnten. (sh)

Die wichtigsten Cloud-Zertifikate

Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten.

EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit".

Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können.

TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft.

SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert.

Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert.

Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.