Verifizierung des hinterlegten Materials
Im klassischen Lizenzgeschäft wird der hinterlegte Quellcode vom Escrow-Agenten verifiziert, um sicherzustellen, dass er vollständig und lauffähig ist und weiter bearbeitet werden kann. In der Regel folgen hierbei auf eine quantitative Prüfung der Nachbau der Entwicklungsumgebung, die Kompilierung und Installation, ein Test der Lauffähigkeit sowie eine Dokumentation. Letzteres umfasst sowohl die Überprüfung der eingereichten Systemdokumentation als auch die Dokumentation der Prüfung.
Diese Prüfungsreihenfolge wird grundsätzlich auch für das Cloud Computing eingehalten. Vom traditionellen Herangehen unterscheidet sich die Verifizierung von Cloud-Diensten jedoch in der Regel durch:
Eine größere Komplexität, bedingt durch die höhere Anzahl von Komponenten, beteiligten Parteien und Lizenzen, was sich typischerweise in der Anzahl der Applikations-Server, Web-Server und Datenbanken niederschlägt;
Eine im Verhältnis zum geplanten Einsatzzweck überdimensionierte Architektur und Infrastruktur (Stichwort: Mandantenfähigkeit) und einen dadurch höheren Aufwand beim Nachbau;
Proprietäre Entwicklungsplattformen, Laufzeitumgebungen oder andere Komponenten, die außerhalb des Zugriffs der Parteien liegen (z.B. PaaS-Nutzung nur per Onlinezugriff) und deren Verfügbarkeit damit als gegeben angenommen werden muss.
Im Ergebnis bedeutet die Verifizierung der vom Cloud-Service-Provider bereitgestellten Anwendungen beziehungsweise Dienste somit potenziell einen Mehraufwand verglichen mit klassischen Anwendungen, stellt die Parteien aber mit Sicherheit nicht vor unlösbare Aufgaben und bleibt damit ein wesentlicher Baustein der angestrebten Absicherung gegen Cloud-Provider-Ausfälle. Cloud-Verifizierungen sind in der Praxis inzwischen ein normaler Teil des Tagesgeschäfts geworden wie die Nutzung von Cloud-Diensten selbst.
- Cloud Computing und der deutsche Markt 2014
Wie steht es um das Thema Cloud in deutschen Unternehmen? Was machen die großen Cloud Service Provider (CSP), außer ein Data Center nach dem anderen aus dem europäischen und deutschen Boden zu stampfen? Wir haben Zahlen und Fakten zusammengestellt. - Wie Anwender einen Cloud Provider finden
Bei der Auswahl eines Cloud-Service-Providers dominiert zwar mit "Integrationsfähigkeit" der Lösung ein technisches Kriterium. Fast ebenso wichtig sind jedoch Faktoren wie der Firmensitz des Anbieters und der Standort seiner Datacenter. - Das Misstrauen ist weider da
Deutsche Unternehmen hegen ein gewisses Misstrauen gegenüber Cloud-Services von externen Anbietern. Das spiegelt sich in Anforderungen wie der Datenspeicherung in Deutschland und der Vertragsgestaltung wider. - Wenn, dann sind es Konzerne
Laut der Studie Cloud Monitor 2014, welche die Beratungsgesellschaft KPMG im Auftrag des Hightech-Verbandes Bitkom erstellte, standen deutsche Unternehmen bis Ende 2013 Public-Cloud-Diensten skeptisch gegenüber. Nur 15 Prozent griffen auf solche Angebote zurück, vor allem Großfirmen. - Geeignetes Gegenmittel?
Amazon Web Services (AWS) versucht, ein Vertrauensverhältnis zu misstrauischen Kunden aufzubauen. - Hybride Modelle gefragt
Um die Kontrolle über ihre Daten nicht komplett an einen externen Provider abgeben zu müssen, tendieren viele Anwender mittlerweile zu Hybrid-Modellen. - HP Helion
HP setzt mit seiner auf OpenStack basierenden Helion-Architektur sowohl auf Private- als auch Public-Cloud-Ansätze. - Oracle Solaris
"Build for Clouds": Auch Oracle preist gewohnt vollmundig seine Cloud-Infrastruktur-Angebote an. - Die Deutschen dürfen mitspielen
T-Systems geht als größter nationaler CSP einen diversifizierten Weg und offeriert Dienste in allen Bereichen - von Business-Apps über Kommunikations-Dienste und Security bis hin zu PaaS- und BPM-Services. - Hindernisse bleiben
Für die Cloud-Provider sind aber immer noch große Steine zu klopfen: Sicherheitsbedenken, individuelle Wünsche, unternehmensinterne Widerstände und andere Prioritäten bremsen den "vollen Cloud-Umstieg" in vielen deutschen Anwenderunternehmen noch aus. - ... und wenn, dann bitte von hier
Globale Cloud-Provider werden es wohl weiterhin nicht leicht haben - die lokalen Dienstleister und Fachhändler oder stark spezialisierte Provider, die Kundenwünsche gezielt befriedigen können, haben Vorteile.
Datensicherung in der Cloud
Ein zweiter Aspekt neben dem Schutz der Anwendungen in der Cloud ist der Zugriff auf die eigenen Daten. Dies gilt besonders für den Fall, dass kein Backup vor Ort möglich ist - wenn etwa die Fachabteilung den Cloud-Service ohne Abstimmung mit der IT-Organisation bezieht. Die grundsätzliche Sicherung des individuellen Datenbestandes sollte neben der physisch-elektronischen Übermittlung vom Cloud-Provider in eine gesicherte Infrastruktur auch Tests umfassen, ob die übertragenen Daten durch den Anwender überhaupt technisch verarbeitet werden können.
Zugriff auf eigene Daten
Zur Sicherung der eigenen Anwendungsdaten aus der Cloud heraus muss der Anwender fünf offene Punkte klären und sein Sicherheitsniveau abwägen. Dies kann in den meisten Fällen nur in enger Zusammenarbeit mit dem Cloud-Provider sowie im Rahmen der technischen Möglichkeiten gelöst werden:
Fazit
Cloud-Escrow ist eine Antwort auf die Frage, wie ein IT-Service weiterbetrieben werden kann, wenn der Cloud-Provider seine Leistungen nicht mehr erbringt. Das muss nicht gleichbedeutend mit der Insolvenz des Lieferanten sein - es kann sich auch um Probleme entlang der gesamten Wertschöpfungskette handeln. Cloud-Escrow zielt darauf ab, mit dem hinterlegten Material einen Service ohne Mithilfe Dritter nachbauen zu können.
Ein zweiter Bestandteil ist die Rücksicherung von Daten aus der Cloud. In beiden Fällen müssen Unternehmen mit spitzer Feder rechnen, welches Schutzniveau sie für welche Anwendung und welchen Datenbestand benötigen. Grundsätzlich gilt: Je kürzer der zulässige Ausfallzeitraum für Cloud-Anwendungen, desto höher ist der technische Aufwand für die Sicherstellung einer entsprechenden Verfügbarkeit. Oder anders formuliert: Je kritischer eine Anwendung für die Kernprozesse des Anwenders ist, desto größer sollten auch die Anstrengungen für die Absicherung sein. (sh)