"Wir setzen keine SLAs auf, die nur gut aussehen"

CW: Erklären Sie kurz, wie AWS und das Retail-Geschäft von Amazon zusammenhängen.

STEPHEN SCHMIDT: AWS ist als Dienstleister für das Retail-Geschäft von Amazon.com tätig. Wir stellen Speicher und IT-Services für den Shop bereit, verkaufen das Gleiche aber auch an die breite Öffentlichkeit. Eine beliebte Falschannahme ist, dass AWS Teile der IT-Infrastruktur des Retail-Geschäfts an Dritte vermiete. Das stimmt nicht. Unsere Systeme standen immer schon für sich allein.

CW: Von welcher Größenordnung sprechen wir?

SCHMIDT: Unser bekanntester Service, der Cloud-Speicher Amazon S3 (Simple Storage Service), verwaltet rund 835.000 Transaktionen pro Sekunde. In der S3-Cloud befinden sich insgesamt über 1,3 Billionen Objekte.

CW: Wie rechnen Sie die Services ab?

SCHMIDT: Nach Verbrauch pro Stunde. Weil die Kosten damit transparent sind, können auch kleine Unternehmen oder Privatpersonen unsere Dienste in Anspruch nehmen. Dieses Verbrauchsmodell setzt sich im Markt durch - viele unserer Security-Partner wie Symantec, Trend Micro, Sophos, Astaro, Citrix oder Riverbed, deren Lösungen Sie früher nur als Komplettpaket lizenzieren konnten, bieten ihre Services auf unseren Plattformen ebenfalls stundenbasiert an. Anwender sind damit flexibler. Wer ungefähr einschätzen kann, wie viel er verbraucht, kann auch sogenannte "reservierte Instanzen" buchen - die kosten einen einmaligen Sockelbetrag und einen zusätzlichen Stundenbetrag, der günstiger ist als der übliche Tarif.

CW: Abgesehen von der Skalierbarkeit - warum sollten Unternehmen auf Cloud-Services setzen?

SCHMIDT: Durch das Cloud Computing bekommt die IT eine ganz neue Sichtbarkeit. Beispiel Sicherheit: Die beginnt damit, zu verstehen, was ein Unternehmen besitzt. Sie können nichts schützen, von dem Sie nicht wissen, dass es da ist, um was es sich handelt, wo es sich befindet und wer es besitzt. Viele CIOs haben uns berichtet, dass in ihren traditionellen IT-Umgebung zumeist jährliche Inventuren vorgenommen werden. Dabei wird erfasst, welche Systeme innerhalb des Unternehmensnetzes vorhanden sind. Nicht bekannt ist aber, welche Computer unter jedem einzelnen Schreibtisch stehen oder welche mobilen Geräte im WLAN eingewählt sind. Ganz anders in der Cloud: Weil alles API-gesteuert ist, müssen Kunden uns ganz genau sagen, wo sie welche Daten hin haben möchten - beispielsweise in die Rechenzentren innerhalb der EU. Wir verteilen Informationen nicht einfach weltweit, wie es uns gerade passt, sondern benötigen detaillierte Anweisungen.

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:

Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da

Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.

Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.

Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.

Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.

Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.

Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.

Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Granulare Einstellmöglichkeiten

Das Reporting über das IT-Inventar kann dann auf Wunsch wöchentlich, täglich, stündlich oder sogar minütlich erfolgen. Das vereinfacht übrigens auch den Auditing-Prozess. Auch die Zugriffsberechtigungen lassen sich häufig feiner einstellen als in On-Premise-Umgebungen. Wer Geschäftsunterlagen in Amazon S3 speichert, kann diese mit einem Ablaufdatum versehen, das die gesetzliche Aufbewahrungsfrist von beispielsweise sieben Jahren berücksichtigt, und die Daten anschließend automatisch in eine andere Speicherbereich verschieben lassen. Zudem ist es möglich, Informationen hinzuzufügen, nach denen nur eine ganz bestimmte Person diese Daten nach einer erfolgreichen Multi-Faktor-Authentifizierung löschen darf. Eine andere Einstellung könnte sein, dass nur Person A von seinem Dienstcomputer im Büro aus zwischen 9 und 17 Uhr auf die Information zugreifen darf. Derart granulare Kontrolleinstellungen sind in traditionellen IT-Systemen kaum möglich.

CW: Sind Daten bei AWS sicherer als im eigenen Unternehmen?

SCHMIDT: Viele Kunden berichten uns, dass sie bei uns mehr Möglichkeiten haben, ihre Sicherheitsvorstellungen durchzusetzen als in internen On-Premise-Umgebungen.

CW: Ist die eigene Private Cloud untern Anwendern nicht beliebter als die Public Cloud, wie AWS sie anbietet?

SCHMIDT: Nein. Schauen Sie sich beispielsweise unseren Kunden SAP an, der sehr viele Daten über unsere Cloud-Services verarbeitet und gerade erst seine komplette Software-Suite auf den AWS-Betrieb hat zertifizieren lassen. Das war kein Pappenstiel und zeigt, wie sehr der Konzern an uns glaubt. Kunden, die sich um Datenhaltung, Datensicherheit und Datentrennung sorgen, mögen sich unser Virtual-Private-Cloud-Produkt anschauen, das die Skalierbarkeit und Flexibilität von AWS mit der Funktionalität eines Inhouse-Rechenzentrums verknüpft. Hier können die Kunden ihre eigenen IP-Adressbereiche verwenden, mit bereits vorhandenen Management-Tools weiterarbeiten oder die auch für ihre On-Premise-Dienste festgelegten Firewall-Regelsets nutzen.

SLAs sind verhandelbar - und faktenfest

CW: Ein großes Hindernis für Anwender, in die Cloud zu gehen, stellen undurchsichtige und mutmaßlich unverhandelbare Service-Level-Agreements (SLAs) dar. Lassen Sie mit sich reden?

SCHMIDT: Es stimmt nicht, dass wir SLAs nicht verhandeln. Alle unsere großen Kunden werden Ihnen erzählen, dass wir gerne mit ihnen über die Verträge verhandelt haben. Wichtig ist uns folgende Feststellung: Unsere SLAs sind kein unbelastbares Marketing, wie es andere Cloud-Service-Provider häufig bevorzugen. Wir verwenden valide und nachprüfbare Zahlen und Fakten. So geben wir die garantierte Haltbarkeit von Daten, die in der S3-Cloud gespeichert werden, mit 99,999999999 Prozent an ("elf Neunen") - und eben nicht mit 100 Prozent. Das kommt daher, dass wir genau ausgerechnet haben, wie viele Bits auf wie vielen Laufwerken mit wie vielen Schnittstellen, Netzwerkkabeln für wie lange ausfallen dürfen, damit sie erhalten bleiben. Wir setzen keine SLAs auf, die nur gut aussehen - auf unsere SLAs können sich die Kunden verlassen.

CW: Wie sprechen Sie die deutschen und europäischen Anwender im Neukundengeschäft an?

SCHMIDT: Für unsere europäischen Kunden ist es wichtig, dass AWS Mitglied des Safe-Harbor-Programms der Europäischen Union ist. Damit ist für sie sichergestellt, dass wir uns als Cloud-Provider an bestimmte Regularien und Policies halten. Das betrifft die den EU-Datenschutzgesetzen entsprechende sichere und einheitliche Speicherung und Übertragung von Daten über das gesamte Unternehmen hinweg.

CW: Welche Szenarien bildet AWS in Europa ab?

SCHMIDT: Alle unsere Systeme wurden so entwickelt, dass sie die Daten der Kunden getrennt speichern. Anwender können den Zugriff so weit wie eben möglich eingrenzen oder auch völlig offen gestalten. Der Kunde entscheidet es ganz allein. Einige unserer Kunden aus der Spieleindustrie unterstützen Fernsehsendungen mit cloud-gestützten Gaming-Services, die so vielen Menschen wie möglich zugänglich gemacht werden sollen. Andere wie beispielsweise der Nürnberger Flughafen, der seine Passagierdaten über AWS verarbeitet, beschränken den Zugriff auf entsprechend privilegierte Nutzer.

CW: Wie läuft die Entwicklung neuer Services ab?

SCHMIDT: Dazu sind verschiedene Maßnahmen nötig. Zunächst kommt das Service-Design. Mein Team berät die Entwickler über die notwendigen Schritte, noch bevor eine einzige Zeile Code geschrieben wird. Nur so erreichen wir die Sicherheit der Daten, die Datentrennung zwischen verschiedenen Kunden und die Befehlswege, die für Zertifizierungen nötig sind. Wenn sie mit der Entwicklung von Softwarepaketen beginnen, nehmen wir regelmäßige Tests und Revisionen vor, damit beispielsweise Verschlüsselungstechnologie korrekt implementiert wird oder Zugangssysteme so funktionieren, wie sie sollen.

Wenn die Fertigstellung eines Services näher rückt, kommen Penetrationstests sowohl durch unser eigenes Expertenteam als auch durch externe Dienstleister hinzu. Letztere konzentrieren sich dabei auf zwei verschiedene Verfahren: Beim "White box testing" nehmen sie unsere internen Entwicklungsstufen samt Quellcode unter die Lupe, beim "Black box testing" agieren sie wie ein normaler Nutzer und versuchen, beispielweise per DoS-Attacke oder direkt über das Service-Interface in das System einzubrechen. Die Penetrationsverfahren werden auch nach dem Going-live eines Dienstes in regelmäßigen Intervallen wiederholt. Wir machen das nicht nur, um die Sicherheit unserer Kunden zu gewährleisten, sondern auch, um weltweit geltende Compliance-Vorschriften wie beispielsweise PCI DSS erfüllen zu können. Ein weiterer Grund ist, dass wir durch die Regierungen der USA und Großbritanniens zertifiziert worden sind, die ebenfalls regelmäßige Penetrationstests verlangen.

Einige EU-Staaten gefährlicher als US-Regierung

CW: Sie sprechen die US-Regierung an. Inwiefern bereitet es Ihnen im Marketing Schwierigkeiten, dass diese durch den Patriot Act unter gegebenen Umständen Zugriff auf Cloud-Daten nehmen darf?

SCHMIDT: Es gibt viele Missverständnisse, was den Patriot Act angeht. Die Frage ist, ob unsere Kunden davon überhaupt betroffen sind. Wir betreuen Kunden in 190 Ländern und keiner von denen hat den Eindruck, dass der Patriot Act für ihn oder sie eine Gefahr darstellt. Ohne richterlichen Beschluss darf die US-Regierung nämlich nichts machen. Was viele immer nicht sehen, sind die umfassenden Zugriffsrechte auf IT-Systeme, die sich die Regierungen vieler anderer Länder abseits der USA einräumen lassen. So gibt es beispielsweise innerhalb der EU einige Staaten, in denen eine behördliche Anweisung ausreicht, damit auf Cloud-Daten und IT-Systeme zugegriffen werden darf. Es sind EU-Staaten, die die weltweit umfangreichsten Zugriffsrechte auf Cloud-Daten durch die Behörden gesetzlich verankert haben.

CW: Das EC3 (European Cybercrime Centre) hat in diesem Jahr unter dem Dach von Europol in Den Haag seinen Betrieb aufgenommen, um Cyberkriminalität länderübergreifend zu bekämpfen. Inwieweit arbeitet AWS mit dieser Behörde zusammen?

SCHMIDT: Wie viele andere Cloud-Provider auch werden wir den Strafverfolgern das nötige Wissen darüber zu vermitteln versuchen, wie Cloud Computing forensische Untersuchungen verändert. Bald können sie keine Festplatten mehr untersuchen, wie das bisher der Fall war. Deshalb haben wir einen forensischen Prozess etabliert, mit dem Strafverfolgungsbehörden Daten aus der Cloud erhalten können, wenn ein richterlicher Beschluss vorliegt und der sie zudem mit dem nötigen Basiswissen ausstattet, wie die Daten zu analysieren sind.

CW: Für wie sinnvoll und nachvollziehbar halten Sie die strengen EU-Datenschutzregeln allgemein?

SCHMIDT: Datenschutz an sich ist eine vernünftige Sache. Das Problem sind die von Land zu Land unterschiedlichen Auslegungen der Datenschutzgesetze. Als Service-Provider müssen wir sehr viel Zeit damit verbringen, diese zu analysieren und uns ihnen jeweils anzupassen. Deshalb wäre ein universell geltendes Datenschutzrecht natürlich schön.

Datenschutzgesetze jedem Staat selbst überlassen

CW: Wie bringen sie sich in die laufende Diskussion um die EU-Datenschutzreform ein?

SCHMIDT: Wir sind daran interessiert, dass sich Staaten bemühen, ihren Bürgern den Zugang zu Technologie zu erleichtern und deren Nutzung effizienter zu gestalten. Es liegt nicht an uns, zu entscheiden, wie die EU ihre Gesetze verfasst und die einzelnen Staaten sie umsetzen. Wir können Regierungen aber helfen, potenzielle Veränderungen zu begreifen, die die Fähigkeit ihrer Bürger beeinflusst, neue Technologien zu ihrem Vorteil nutzen zu können.

CW: Wer sind Ihre wichtigsten Wettbewerber?

SCHMIDT: Unsere Kunden, weil sie uns am stärksten fordern. Sie verlangen ständig nach neuen Features oder Benutzeroberflächen. Auf sie müssen wir als allererstes hören.

CW: In erster Linie wollen Ihre Kunden ihre Compliance-Vorgaben erfüllen. Wie unterstützen Sie sie im Auditing?

SCHMIDT: Unser Auditing-Prozess muss weltweit einsetzbar sein. Es gilt, diverse Standards zu erfüllen, die von Land zu Land unterschiedlich sind. In Europa geht es meist um ISO/IEC 27001 samt der ISO-27002-Kontrollmechanismen. In den USA sind es SSAE 16, SOC1 und SOC2, in Japan gibt es eine Serie von JAE-Standards und Singapur wiederum hat eigene Compliance-Regelungen. Wir bewahren sämtliche Standards in einer Art Master-Control-Set auf. Wenn ein Audit ansteht, suchen wir den jeweils zu erfüllenden Standard heraus und übergeben die dazu passenden Informationen und Belege an den Auditor, damit dieser die nötigen Tests vornehmen kann. Das Vorgehen und die Häufigkeit der Tests ist überall auf der Welt verschieden: Während eine Zertifizierung nach ISO 27001, die jeweils für drei Jahre gültig ist, einen Audit pro Jahr voraussetzt, gilt beim US-Standard SOC1 eine Testfrequenz von drei Monaten.

Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.

Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.

In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.

Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.

Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

CW: Wie fällt Ihr Vergleich zwischen europäischen und amerikanischen Standards aus?

SCHMIDT: ISO 27002 beispielsweise definiert ganz genau, welche Kontrollmechanismen bestehen müssen - alle haben sich daran zu halten. SSAE 16 ermöglicht es Service-Providers hingegen, ihre eigenen Kontrollmechanismen einzubringen. Da aber viele unserer Kunden nach ISO zertifizieren lassen, können wir uns das nicht aussuchen.

IT-Abteilungen müssen effizienter werden

CW: Wir beobachten, dass es zunehmend die Fachabteilungen sind, die an der IT-Abteilung vorbei Services aus der Cloud einkaufen und nutzen. Wie schätzen Sie diesen Trend ein?

SCHMIDT: Unsere Kunden werden immer den effizientesten Weg finden, ihr Geschäft am Laufen zu halten. Wir sprechen viel mit den IT-Abteilungen in den Unternehmen, um ihnen klarzumachen, was die Fachabteilungen - ihre "internen Kunden" - mit AWS eigentlich tun. Wir wollen den IT-Abteilungen helfen, wieder effizienter zu werden.

CW: Um noch einmal auf Ihre Partnerunternehmen zurückzukommen - plant AWS, beispielsweise Security-Services demnächst auch selbst anzubieten?

SCHMIDT: Unsere Kunden entscheiden, was wir entwickeln. Derzeit besteht kein Bedarf an solchen Services, weil die Kunden bereits feste Produkte haben, die sie auch in der Cloud weiterbenutzen möchten. Das gilt übrigens auch für Datenbank-Software von IBM, Oracle oder MySQL, die wir über AWS unterstützen - die meisten davon ebenfalls als stundenbasierte Services.

CW: Abschließende Frage - wie sieht ein typischer Arbeitstag im Leben des Stephen Schmidt aus?

SCHMIDT: Jeder Morgen beginnt mit der Analyse von Metriken. Amazon ist ein extrem metrikorientiertes Unternehmen, wir beobachten sehr genau das Verhalten innerhalb unserer direkten Umgebung - sowohl auf Seiten der Technik als auch des Personals. Ich schaue mir genau an, wie wir performen. Wie funktionieren die einzelnen Services, wie die IT-Mitarbeiter? Anschließend geht es an die strategische Entwicklung neuer Features. Das ist auch der Grund, warum ich bei AWS arbeite - um neue Dinge zu kreieren, neue Software und neue Services zu entwickeln. Wir "Amazonians" bewegen uns in komplett neuen Gefilden innerhalb der IT-Branche. Das ist das Spannendste.

10 Prognosen für Cloud Computing 2013
CIOs bekommen dieses Jahr mehr Druck von Finanzchefs, die Kosten für IT aus der Wolke unter Kontrolle zu halten - und die Konkurrenz von Amazon wird stärker.

1. Wir hören auf mit der Behauptung, dass alles in die Cloud wandert
Es wird unterschieden, was in die Wolke passt und was nicht.

2. Cloud und Mobile werden eins
Mobile Apps sind nur dann wertvoll, wenn sie übers Internet an die Back-End-Services angebunden sind, die wahrscheinlich nicht mehr im eigenen Rechenzentrum, sondern irgendwo in der Wolke geleistet werden.

3. Kein Stress mehr wegen Cloud-SLAs
Best Practice für Design und Konfiguration von Cloud-Applikationen sei es, Elastizität in die Anwendung selbst einzubauen anstatt sie von Seiten des Cloud-Betreibers zu erwarten. Auf diesem Weg lasse sich jedes Service Level Agreement (SLA) erreichen, unabhängig von den Basis-SLAs des Providers, so Staten.

4. Klarheit über Kosten-Modelle
Statens Ausgangsthese: Die Cloud ist nicht per se besonders günstig, aber sie kann mit dem richtigen Nutzungsmodell höchstwahrscheinlich einen Kostenvorteil bringen. Deshalb müssten die Anwender rechnen, die wirtschaftlichen Hintergründe verstehen lernen und die Nutzung kontrollieren und optimieren.

5. I&O schafft Freiräume für die App-Entwicklung
2013 sehen die I&O-Teams laut Forrester endlich ein, dass Entwicklung in der Public Cloud stattfindet – ob es ihnen passt oder nicht. Da sei es sinnvoll, den Dialog mit den Software-Entwicklern zu suchen, um Einfluss auf Sicherheit und Gesamtkonzept nehmen zu können. Darin liege auch die Chance, gemeinsam eine formelle Cloud-Strategie zu entwickeln, die definiert, was akzeptabel ist und was nicht.

6. Backup und Disaster Recovery aus der Cloud
Cloud Computing und das Pay-per-Use-Preismodell ermöglichen laut Staten eine langfristige Datenspeicherung. Für die Server müsse nur bezahlt werden, wenn man testen will oder sich tatsächlich ein Ausfall ereignet.

7. Cloud ist nicht mehr mit Massenware gleichzusetzen
Trotz hoher Standardisierung in der Wolke sei es falsch, Cloud Services mit Massenware gleichzusetzen. Bereits jetzt würden in der Cloud Dienstleistungen angeboten, die mit High-End-Hardware abgesichert seien sowie GPUs, SSDs und andere hochwertige Infrastruktur-Optionen beinhalteten.

9. Fortgeschrittene Virtualisierung ist gut, aber keine Cloud
Staten wendet sich direkt an die I&O-Verantwortlichen: „Die optimierte und dynamische virtuelle Umwelt und die On-Demand Private Cloud haben beide ihren Platz im Rechenzentrum“, schreibt der Analyst. „Sie lösen verschiedene Probleme und entsprechen verschiedenen Anforderungen.“ Es sei ein nutzloses Unterfangen, aus dem einen das andere machen zu wollen.

10. Die Entwickler wachen auf
Die Mehrzahl der im Unternehmen vorhandenen Sprachen, Frameworks und Development-Methoden seien auch in der Cloud einsetzbar, so Staten. Anders als gewohnt sei nicht das Codieren an sich, sondern die Service-Orientierung und die Notwendigkeit, eine eigenen Erreichbarkeit und Performance in die App-Konfiguration einzubauen.

Über Stephen Schmidt

Bevor er zu Amazon kam, arbeitete Stephen Schmidt zehn Jahre lang in verschiedenen Positionen für das FBI, die bundespolizeiliche Ermittlungsbehörde der US-Justiz. Er leitete dort unter anderem eine Einheit, die Fälle von unerlaubtem Eindringen in IT-Systeme untersuchte. Bei AWS war er zunächst für den Aufbau einer Virtual Private Cloud zuständig, bevor er vor rund zwei Jahren zum CISO aufstieg.