Ratgeber des BSI, des BMWi und des Düsseldorfer Kreises
Zwei aktuelle Initiativen versuchen, einheitliche Zertifizierungs- und Prüfverfahren zu vereinen. Das Bundeswirtschaftsministerium (BMWi) hat im Frühjahr 2015 mit Industrie, Verbänden, Forschung und Datenschutzbehörden im Technologieprogramm "Trusted Cloud" einen Prüfkatalog namens "Trusted Cloud - Datenschutzprofil für Cloud-Dienste" (TCDP) erarbeitet. Dieser teilt zertifizierbare Cloud-Angebote in drei Schutzklassen ein. Die Prüfkriterien basieren auf der ISO/IEC 27018 und dem Bundesdatenschutzgesetz (BDSG). Das Pilotprojekt, das ausgewählte Cloud-Service-Anbieter prüft und zertifiziert, endet im April 2016.
Das Bundesamt für Sicherheit und Informationstechnik (BSI) wiederum stellte Ende 2015 einen Kriterienkatalog vor. Er berücksichtigt sechs gängige Empfehlungskataloge zur IT-Sicherheit und legt den Fokus auf Sicherheitsprüfung. Ob dieser oder das Label "Trusted Cloud" besser in der Praxis ankommt, wird sich zeigen. Genauso, ob künftige Zertifizierungen neben Cloud-Providern auch Integratoren und Dienstleister einschließen, die Clouds für Kunden entwickeln und betreiben. Dabei muss ein Branchenstandard auch Lieferketten für IT-Services klar abbilden und auch Insolvenzen von Cloud-Providern regeln. Es muss klar sein, was in so einem Fall mit den Kundendaten passiert.
Auch Kunden, die in Public oder Hybrid Clouds wollen, sollten die ISO/IEC 27018 erfüllen. In beiden Szenarien stehen Anbieter und Anwender für die Cloud-Sicherheit ein. Berater empfehlen Cloud-Neulingen, die "Orientierungshilfe - Cloud Computing" des Düsseldorfer Kreises zu lesen - gerade wegen der sicherheitsrelevanten Aspekte. Cloud-Interessierten schadet ein kurzer Exkurs in Verschlüsselungsprotokolle (TSL, SSL, S/MIME) und -algorithmen (PGP, AES-256) nicht. IT-Sicherheit muss eben auch technisch gewährleistet werden. Ein Anwender darf auch wissen, wie der meist cloudbasierte Cloud Access Security Broker (CASBs) den Datenstrom in der Cloud kontrolliert und bei Angriffen effektiv eingreift.
3. Das Ganze kalkuliert - Transparenz auch beim Preis
Transparenz räumt Anwender-Bedenken aus. Zum Beispiel bei der Frage: Rechnet sich das ausgewählte Cloud-Modell? Cloud Service Brokerage schafft die technische Voraussetzung, um öffentliche Cloud-Services mit bestehender IT unter einer gemeinsamen Oberfläche zu kombinieren. Die Brokerage-Plattform ruft über Schnittstellen verfügbare Angebote und Preise der Public-Cloud-Services aktuell ab.
Dafür gibt es bereits Business-Szenarien mit realen Daten. Bei uns werden beispielsweise die Preise gegenübergestellt, etwa von einem Public-Cloud-Service (Exchange Online Postfach pro Monat bei Office 365 im Eigenbetrieb), einer Private-Cloud-Lösung (Exchange 2016 im Eigenbetrieb pro Postfach) sowie einer Managed-Cloud-Lösung (Externer Betrieb der Exchange Online Lösung pro Postfach).
Darin fließen neben Nutzungsgebühren für Service und Betrieb die nicht-metrischen Mehrwerte der eigenen IT-Abteilung ein. Letzteres bezieht sich auf Verfügbarkeit, Innovationsfunktion, interne Beratung und die Rolle als Wegbereiter für die digitale Transformation. Als Ergebnis zeigt sich häufig, dass extern betriebene Cloud-Angebote IT-Infrastruktur- und Plattformfragen am besten lösen, wogegen Applikationen in der Hand von Unternehmen besser aufgehoben sind.
- Die Studienteilnehmer
222 Mittelständler nahmen an der Studie teil. Zwei Drittel davon planen mit allen Cloud-Modellen. - Teilnehmende Branchen
Der größte Anteil der Teilnehmer kommt aus dem produzierenden Gewerbe. - Rolle der Cloud
Die Zahl der "Cloud-Verweigerer" liegt heute bei nicht einmal mehr 15 Prozent. - Zukunft gehört Multi-Cloud-Umgebungen
Die Zukunft liegt in Hybrid- und Multi-Cloud-Ansätzen. - Gründe für Cloud-Initiativen
Die Kundenanforderungen lassen Mittelständlern keine Wahl: der Weg führt in die Cloud. - IT-Abteilung entscheidet
IT-Abteilungen haben in Sachen Cloud den Hut auf. Doch kleine Mittelständler haben oft keine, dort entscheidet der Chef selbst. - Cloud-Anteil am IT-Budget
Vier von fünf Mittelständlern investieren weniger als 30 Prozent ihres IT-Budgets in Cloud-Technologien. - Flexibilität ist Trumpf
Anwender möchten flexibler und agiler werden. der Kostenaspekt ist nicht ganz so wichtig. - Immer noch Sicherheitssorgen
Datensicherheit und Datenschutz bleiben die hemmenden Faktoren. - Sichtbare Fortschritte
Die meisten Betriebe sind entweder in der konkreten Planungs- oder bereits in der Implementierungsphase. - Das wandert in die Cloud
E-Mail und Collaboration sind die bevorzugten Cloud-Anwendungen. - Vorhandenes wird verlagert
Am häufigsten werden bestehende Workloads migriert. - Offenheit ist Auswahlkriterium
Ein Public-Cloud-Anbieter muss vor allem offen sein und Integrationsmöglichkeiten bieten. - Bevorzugte Anbieter
AWS, Microsoft und SAP genießen die höchste Aufmerksamkeit im Mittelstand. - Cloud-Management
Als Cloud-Management-Lösungen sind VMware-Lösungen besonders beliebt. - Verantwortung beim Provider
Wer in die Public Cloud geht, sieht die Verantwortung für Betrieb und Sicherheit schwerpunktmäßig beim Anbieter. - Wann Externe ins Spiel kommen
Integration, Betrieb und Architektur sind Themen, bei denen Mittelständler Hilfe suchen. - Wichtig: Skills und Projekterfahrung
Cloud-Integratoren sollten gute Leute und Projekterfahrung haben. - Keine Alleingänge
Anwender arbeiten mit Externen zusammen.