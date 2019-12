Es war einmal … vor langer, langer Zeit, (Im Zeitalter der Digitalisierung kann man durchaus von damals im Jahr 2003 erzählen) als die Veröffentlichung des Artikels "IT Doesn´t Matter" in der Havard Business Review hohe Wellen geschlagen hat.

Die Story von Nicholas G. Carr in Kürze: Unternehmen werden zukünftig nicht mehr über Wettbewerbsvorteile verfügen, wenn sie in Informationstechnologien investieren. IT wird einfach nur eine Infrastruktur-Technologie aus der Steckdose sein - so wie man Strom bei Bedarf kauft, wird man das zukünftig auch mit IT tun.

Die Anbieter und Anwender von maßgeschneiderten On-Premise-Installationen rehabilitierten ihre Lösungen damals heftig mit der These, dass sie Unternehmen individuelle Vorteile bringe, und zwar ganz besonders dann, wenn sie mit Geschäftsprozessen verdrahtet sind - so entstehe den Unternehmen ein spürbarer Wettbewerbsvorteil. Sie haben dabei ganz besonders auf den Unterschied zwischen bedeutsamen Daten und Informationen gegenüber bedeutungslosen Elektronen hingewiesen.

Für Unternehmen sollte es bei der Modernisierung der IT, heute wie damals, insbesondere um die Kontrolle der eigenen Werte (Daten und Informationen) gehen, um geschäftsrelevante Prozesse zu optimieren. Für die Mehrheit an IT-Verantwortlichen scheint dabei klar zu sein, dass kein Weg an Cloud Computing vorbeiführt. Aber kann eine strak standardisierte IT aus der Cloud den Wertbeitrag im Unternehmen steigern, um auch zukünftig ein Differenzierungsmerkmal im Wettbewerb zu schaffen? Oder ist doch eine On-Premise-Installation beziehungsweise Outsourcing oder CoLocation geeigneter, um Kosten zu minimieren und Nutzen zu steigern?

Basistechnologie für Daten und Informationen

Ob Public, Private, Hybrid oder Multi Clouds, ob SaaS, PaaS, IaaS oder XaaS: allen Varianten gemein ist, dass die Unternehmen Leistungen von Anbietern in Anspruch nehmen, die über das Netz erreicht werden können und die wegen ihrer Skalierbarkeit flexibel an den jeweils aktuellen Bedarf angepasst werden können.

Also vergleichbar zu Strom aus der Steckdose, kann die IT aus der Cloud nach der tatsächlichen Leistung bezahlt werden. Die Cloud-Computing-Varianten unterscheiden sich jedoch im Umfang und Art der Dienstleistung, der Bestimmt- oder Unbestimmtheit der Verarbeitungsorte sowie den Einflussmöglichkeiten der Anwender. Unterschiedlich sind auch die datenschutzrechtlichen und informationssicherheitstechnischen Rahmenbedingungen. Diese Vielfältigkeit und die Einflussmöglichkeiten auf das Informationsmanagement sowie die Anforderungen an rechtssichere Datenverarbeitung zeigen, das IT bis heute nicht so einfach wie Strom bezogen werden kann. Aber es gibt durchaus Cloud-Angebote, die einem Vergleich standhalten.

Dr. Michael von der Horst, Managing Director CyberSecurity, Cisco Systems GmbH

"Die IDG-Studie zu Cloud Security hat viele interessante Erkenntnisse geliefert. Die Bedeutung von Security scheint mittlerweile bei den Unternehmen angekommen zu sein. Hier hat die Einführung der DSGVO viel geholfen. Der Fokus auf Datenschutz greift jedoch viel zu kurz - Cloud Security ist viel mehr. <br /><br />Methoden wie CASB, virtuelle Firewalls oder auch DNS-Schutz müssen eingeführt werden. Im besten Fall sind derzeit über 60 Prozent der Unternehmen noch ungeschützt. Zudem ist eine 360 Grad - Integration in eine On-Premise Security-Architektur wesentlich - die meisten Unternehmen haben hybride Strukturen und sind nicht Cloud-Only." Thomas Snor, A1 Digital, Director Security

"Security als Business Enabler zu sehen und nicht als Blocker: das ist unser Mindset bei A1 Digital. Digitalisierung ja, aber sicher – ist unser Credo für Ihr Unternehmen." Alexander Neff, Vice President DACH, MicroFocus GmbH

"Die Flexibilität und Agilität, die Cloud-Lösungen mit sich bringen, sind für Business-Entscheider ein wichtiges Argument. Dieser Schritt in Richtung Digitalisierung zieht eine generelle und kulturelle Veränderung im Umgang mit der IT Infrastruktur nach sich. Wir helfen Unternehmen auf dieser Reise in Bezug auf Datenschutz und Datensicherheit." Elmar Witte, Product Marketing Manager Security, Akamai

"Die jüngste IDG-Studie zur Cloud Security zeigt, dass fast die Hälfte aller befragten Unternehmen schon einmal Cyber-Angriffen ausgesetzt waren - weit verbreitet sind besonders DDoS-Attacken, mit denen Internetdienste überlastet werden sollen. Abgesehen von diesen Angriffen gegen die Verfügbarkeit von Diensten, befürchten Unternehmen vor allem, dass Hacker sensible Unternehmens- oder Kundendaten entwenden.<br /><br /> Interessant in Bezug auf diese Ängste ist, dass Datenschutz zwar theoretisch von allen Unternehmen als wichtig erachtet wird, bei der Frage nach den größten Security-Risiken aber nur acht Prozent mangelhaften Datenschutz als große Gefahr sehen. Er steht erst an fünfter Stelle in der Liste der Top 10 Sicherheitsrisiken." Stephan Ilaender, CTO PlusServer GmbH

"Als Managed Cloud Service Provider gehört es auch zu unseren Aufgaben, unsere Kunden bei der Planung und Umsetzung einer Cloud-Security-Strategie zu unterstützen. Dazu setzen wir unter anderem entsprechende Redundanz- sowie Disaster-Recovery-Konzepte gemeinsam mit den Kunden um.<br /><br /> In der Studie berichten 47 Prozent der Unternehmen von Cyberangriffen wie zum Beispiel DDoS. In diesem Bereich haben wir eine Partnerschaft mit Akamai geschlossen, um unseren Kunden ein Portfolio an DDoS-Mitigation-Lösungen für verschiedene Anforderungen zu bieten. So auch speziell für kleinere Unternehmen, die nach unserer Erfahrung immer häufiger Opfer solcher Angriffe werden." Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security, NTT Security

"Unternehmen sollten auf dem Weg in die Cloud die Modernisierung ihrer Standardarchitekturen und -prozesse überdenken, da sich viele Angriffe durch eine innovative Servicearchitektur bereits im Vorfeld vermeiden lassen. Allerdings werden mit dem zunehmenden Einsatz von Cloud-Diensten altgediente Security-Konzepte in Frage gestellt.<br /><br /> Der alte Sicherheitsperimeter schwindet und klassische Schutzmaßnahmen reichen oft nicht mehr aus. Unternehmen müssen ihre Sicherheitskonzepte deshalb anpassen und sich stärker mit der Kontrolle von Identitäten und den Prozessen befassen." Matthias Ochs, Geschäftsführer genua GmbH

"Die Cloud mit allen ihren Vorteilen setzt sich durch und die Security genießt dabei hohe Priorität - dies ist aus Sicht eines IT-Sicherheitsherstellers ein gutes Ergebnis. Denn wer nachhaltig von den Vorteilen profitieren möchte, muss die Risiken in den Griff kriegen.<br /><br />Anbieter sollten ihre Produkte regelmäßig und umfassend von externen Experten prüfen und zertifizieren lassen. Denn nur der ständige kritische Review von mehreren Seiten führt zu einem hohen Sicherheitsniveau, das angesichts der rasch zunehmenden Komplexität bei der IT dringend erforderlich ist." Fabian Guter, Sales Director Europe, SecurEnvoy GmbH

"Erfreulicherweise haben die befragten Firmen den gesicherten Zurgriff als das wichtigste Auswahlkriterium identifiziert. Das bestätigt unsere Aktivitäten, das Bewusstsein für die Notwendigkeit starker Authentifizierung gerade bei Cloud-Anwendungen zu stärken.<br /><br /> Bei den technischen Vorkehrungen ist Zugangs- und Rechtekontrolle ebenfalls als eine der meist umgesetzten Maßnahmen. Dennoch sehen wir hier auch noch Nachholbedarf: Immerhin findet Datendiebstahl, der von den Teilnehmern als eines der größten Risiken empfunden wird, sehr häufig durch den Missbrauch von Zugangsdaten statt. Und eine starke Authentifizierung gehört zu den kostengünstig umsetzbaren Maßnahmen mit hohem Sicherheitsgewinn. Das für alle Cloud-Services zum Standard-Sicherheitspaket gehören sollte."

Multi Cloud: Beschaffung von Rechenleistung und Speicher

Die wirtschaftlichen Vorteile des Cloud Computing für die Beschaffung der IT-Infrastruktur sind nicht zu übersehen:

starke Reduktion der selbst noch vorzuhaltenden Infrastruktur;

Verringerung des Bedarfs an eigenem IT-Fachpersonal;

Vermeidung von Risiken der Über- und Unterkapazitäten;

bessere Übersichtlichkeit der Kosten für die Datenverarbeitung.

Das sind gute Gründe, eine Beauftragung von Cloud-Computing-Anbietern in Betracht zu ziehen.

Unternehmen können dazu heute auf die hybride Cloud zurückgreifen, um die wachsende Nachfrage nach agilen, skalierbaren und kosteneffizienten IT-Lösungen zu befriedigen. Die Vorteile von Hybrid Clouds sind zukunftssichere Investitionen für Unternehmen in Skalierbarkeit, Sicherheit und Flexibilität. Ein paralleler Bezug der Cloud-Ressourcen bei mehreren Anbietern für gleiche oder unterschiedliche Workloads, bei denen sämtliche Cloud-Ressourcen über eine Verwaltungsschnittstelle orchestriert werden (Multi Cloud), bietet neue Möglichkeiten für den Wertbeitrag der IT.

Vergleichbar zu einer eigenen Solaranlage bei der Strombeschaffung, kann eine Infrastructure as a Service (IaaS) aus der Private Cloud beziehungsweise CoLocation eine günstige Grundversorgung sicherstellen. Allerdings macht es auch bei IaaS wirtschaftlich häufig keinen Sinn, eigene Ressourcen auch für alle vor- und unvorhersehbaren Belastungsspitzen aufzubauen. Diese Workloads können bei Bedarf kostengünstiger von Public-Cloud-Anbietern bereitgestellt werden.

Grundlage für eine reibungslose Multi-Cloud-Nutzung sind offene Standards (z.B. API), die eine einfache Nutzung der verschiedenen Infrastruktur-Services gewährleisten. Der Trend hin zur Multi Cloud wird insbesondere deshalb befeuert, weil die unterschiedlichen Anbieter ihre individuellen Stärken und Schwächen haben und in den geografischen Regionen unterschiedlich stark vertreten sind. Die Anwenderunternehmen sind gut beraten eine Multi-Cloud-Strategie zu verfolgen, um die Bindung an einzelne Anbieter zu vermeiden und um zu gewährleisten, dass alle Daten und Informationen in einem vertrauensvollem RZ unter eigener Kontrolle bleiben.

Also kurz: Multi Cloud Computing hat das Potenzial, die Ressourcenauslastung zu steigern, damit Kosten zu senken und durch verzahnte Datenverarbeitung bei einem geeigneten IT-Dienstleister einen positiven Wertbeitrag der IT zu ermöglichen.

Der geeignete IT-Dienstleister

Im Grunde entscheiden die Anforderungen der Unternehmen über die Wahl des IT- beziehungsweise Cloud- Dienstleisters und den Standort des Rechenzentrums (RZ). Es gibt allerdings einige Kriterien, die die Wahl des Standortes und des IT-Dienstleisters beeinflussen: Sicherheit, Konnektivität, Energieeffizienz und Nachhaltigkeit, Brandschutz, Klima/Kühlung sowie nicht zuletzt der Service und somit ein zunehmend wichtiger werdender Faktor: Regionalität.

Besonders zu betrachten sind die Compliance-Anforderungen. Es muss verhindert werden, dass die Verantwortung für die eigene Datenverarbeitung, durch das Cloud Computing untergraben wird.

Zu verlangen sind mindestens:

offene, transparente und detaillierte Informationen über die technischen, organisatorischen und rechtlichen Rahmenbedingungen einschließlich der Sicherheitskonzeption;

transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung;

die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;

die Vorlage aktueller Zertifikate für die Cloud Services durch anerkannte und unabhängige Prüfungsorganisationen, die zur Gewährleistung der Informationssicherheit beitragen.

Zur Gewährleistung einer rechtmäßigen Weitergabe personenbezogener Daten an einen Cloud-Anbieter bedarf es in erster Linie der Verwendung von Vertragsklauseln mit einer Beschreibung der Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Cloud Computing kann allerdings bei den Compliance-Anforderungen unterstützen, wenn die Datenbearbeitung in einem hoch sicheren und zertifizierten Rechenzentrum (wie es Unternehmen selbst kaum wirtschaftlich betreiben können) eines Service Providers erfolgt.

Ein Gesetz für alle

EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. "Recht auf Vergessen"

Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. "Opt-in" statt "Opt-out"

Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). Recht auf Transparenz

Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. Zugang und Portabilität

Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. Schnellere Meldung

Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. Weniger Behördenchaos

Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. Grenzübergreifend

Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. Erweiterter Geltungsbereich

Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. Höhere Bußgelder

Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. Bürokratieabbau

Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. Erst ab 16

Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. Stärkung der nationalen Aufsichtsbehörden

Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Vorsicht ist geboten, wenn ein Cloud Service Provider mit Sitz im Ausland ins Spiel kommt. Denn sowohl für die Aufbewahrung von Dokumenten und Informationen als auch für den Austausch von personenbezogenen Daten ist es zwar zulässig, dass ein Nutzer von Cloud Services Unternehmensdaten an seinen Service Provider übermittelt - das gilt jedoch nur für Cloud-Service-Anbieter, die ihren Sitz in der EU oder dem Europäischen Wirtschaftraum (EWR) haben.Wird ein Anbieter mit Sitz außerhalb von Deutschland beauftragt, müssen zusätzliche Anforderungen erfüllt werden, damit alle Vorgaben entsprechend der deutschen Gesetzgebung berücksichtigt sind. Das macht das Aufsetzen eines rechtssicheren Vertrages "auf Augenhöhe" komplizierter.

Lesetipp: Gaia-X FAQ - Was Sie zur Europäischen Cloud wissen müssen

Der bessere Weg besteht oft darin, auf regionale Service Provider mit eigenem Rechenzentrum und einer optimalen Anbindung an das Glasfasernetz zurückzugreifen. Dabei ist es für eine schnelle und sichere Konnektivität entscheidend, mehrere Internetknoten als direkte Peerings über redundante und unterschiedliche Trassen nutzen zu können. Die größten Peering Points in Europa sind beispielsweise DE-CIX in Frankfurt und AMS-IX in Amsterdam.Eine kurze Distanz zwischen RZ- und Firmenstandort bietet häufig weitere Vorteile: Aufgrund der geringen Entfernung verringert sich die Latenzzeit - die Daten können also schneller und sicherer übertragen werden, da bei kürzerer Distanz das Risiko für Störungen während der Datenübertragung niedriger ist.

IT als Treiber für Geschäftsprozesse und moderne Arbeitsplätze

Die IT-Mitarbeiter in Unternehmen werden immer stärker in die Rolle des Beraters für Informationstechnologien kommen, um diese dann optimal an die vom Business vorgegebene Nutzung anzupassen. Also, wie Nicholas G. Carr schon damals im Jahr 2003 formulierte: "IT doesn´t matter - business processes do".

Heute und in Zukunft geht es für IT-Verantwortliche also insbesondere darum, moderne IT-Umgebungen bereitzustellen. Sie bestehen aus interner IT-Infrastruktur in sicheren Rechenzentren (CoLocation) und verschiedenen Cloud Services. Damit schaffen Unternehmen die Voraussetzung für eine agile IT, die Geschäftsprozesse schneller unterstützen und Lastspitzen abfangen kann. Der Betrieb sollte aus Sicherheits- und Kostengründen über einen regionalen IT-Dienstleister mit eigenem, zertifiziertem Rechenzentrum und optimaler Breitbandanbindung (Glasfaser) gewährleistet werden. Die Kontrolle der IT - beziehungsweise besser der Daten, Informationen und Prozesse - bleibt so bei den Unternehmen, die ihre sensiblen Daten besser schützen, gesetzliche Vorgaben einfacher einhalten und moderne Arbeitsplätze bereitstellen können.

Cloud Readyness schafft also in Zukunft eine wesentliche Voraussetzung für den Wertbeitrag der IT im Unternehmen denn, … wenn sie nicht ausschließlich On-Premise sind, dann leben sie noch lange. (bw)