Worauf sollte geachtet werden?
CW: Wir haben viel über das Potenzial der Cloud diskutiert. Woran erkennt man, dass ein Provider vertrauenswürdig ist?
Schramböck: Gute IT-Entscheider werden zuerst auf den Sicherheitsaspekt achten. Entscheidend ist die Frage, ob der Service-Provider in der Lage ist, die nötige Security zu gewährleisten. Wie schon gesagt: Kritische Applikationen, deren Ausfall die Existenz des Unternehmens gefährden kann, gehören zum heutigen Zeitpunkt nicht in die Cloud.
CW: Das heißt in der Praxis?
Schramböck: Unternehmen sollten ihre Sicherheitsanforderungen analysieren und berücksichtigen. Zudem ist eine vorsichtige, schrittweise Migration in die Cloud empfehlenswert. Dabei lassen sich wertvolle Erfahrungen sammeln, insbesondere, ob die Zusammenarbeit mit dem Partner funktioniert. In der Regel sind standardisierbare Anwendungen mit einem geringen Change-Management verbunden und für Cloud-Umgebungen gut geeignet.
CW: Sie haben das Sparpotenzial detailliert beschrieben. Gibt es Bereiche, wo der Anwender vorab investieren muss, um den Sparschatz überhaupt zu heben?
Schramböck: Durchaus. Cloud- und Outsourcing-Ansätze sparen nicht immer kurzfristig Kosten, denn sie bedürfen vorher in gewissen Fällen einer Investition. Deshalb ist ja die TCO-Berechnung - abgesehen von den strategischen Aspekten - von so großer Bedeutung.
CW: Wo verstecken sich teure Überraschungen?
Schramböck: Die finden Sie etwa beim Thema Lizenzen. Wenn Sie wirklich in der Cloud sind, also nicht nur hosten, dann sind bereits vorhandene Lizenzen relativ nutzlos. Die Anbieter verwenden ganz andere Lizenzen für ihre SaaS-Angebote. Deshalb sollten Unternehmen darauf achten, wie lange ihre vorhandenen Lizenzen noch gültig sind, sonst zahlen sie unter Umständen doppelt.
CW: Wenn Sie in die Glaskugel blicken, wo werden wir in zwei bis drei Jahren stehen?
Schramböck: Vermutlich wird in unserem Wirtschaftsraum das Hosted-Modell noch immer das dominierende Cloud-Modell sein.
- Security-Tipps für die Cloud
Wer sich für Cloud Computing entscheidet, sollte den Anbieter nach den Standards ISO 27001 und 27002 fragen. Dieser und sieben weitere Ratschläge von Cyber-Ark. - 1. Management privilegierter Benutzerkonten:
Der Service-Provider muss ein Privileged-Identity-Management-System für die Verwaltung privilegierter Accounts im gesamten IT-Betrieb implementiert haben. Das soll dem Nutzer der Cloud garantieren, dass Policies, Prozesse und Practices seine Anforderungen an die Datensicherheit erfüllen. Dabei sollte der Dienstleister Standards wie ISO 27001 oder 27002 einhalten. - 2. Policy-Konformität:
Die Policies und Prozesse des Privileged Identity Management auf Providerseite müssen denen des Unternehmens entsprechen. Im Idealfall sind alle ISO-basiert. - 3. Evaluierung:
Im Auswahlprozess sollten Entscheider die Security-Struktur des Service-Providers genau überprüfen und evaluieren. Dabei ist insbesondere darauf zu achten, dass Tools für das Privileged Identity Management eingesetzt werden, die die Security-Policies und -Prozesse automatisch unterstützen. - 4. Dokumentation:
Die Richtlinien und Prozesse des Privileged Identity Management müssen Audit- und Reporting-Anforderungen erfüllen. Die verwendeten Lösungen und Technologien sollten dabei schriftlich in Verträgen und Service Level Agreements festgehalten werden. - 5. Definition von Rollen:
Policies müssen den privilegierten User-Zugang regeln und limitieren. Dabei ist eine "Separation of Duties" zwingend erforderlich. - 6. Keine versteckten Passwörter:
Es sollten keine eingebetteten Applikationspasswörter verwendet werden, die Zugang zu Backend-Systemen oder Datenbanken bieten. - 7. Überwachung:
Der Service-Provider muss die privilegierten Benutzerkonten permanent kontrollieren und überwachen. - 8. Reporting:
Zu allen privilegierten User-Accounts muss es hinsichtlich Zugriffen und Aktivitäten Protokolle und Reportings geben. Dabei sollte der Service-Provider seinem Kunden ein wöchentliches oder zumindest monatliches Reporting zur Verwendung privilegierter Accounts zur Verfügung stellen.