von René Büst
Die Suche nach einem Cloud-Storage-Anbieter hängt in den meisten Fällen mit den individuellen Anforderungen zusammen, die der Service erfüllen soll. Diese müssen Entscheider im Vorfeld erörtern und festlegen. Dazu gehört vor allem die Klassifizierung der Daten.
Dabei wird definiert, welche Daten in der Cloud und welche in der eigenen On-premise-Infrastruktur gespeichert werden. Bei der Auswahl eines Cloud-Storage-Anbieters sollten Unternehmen folgende Eigenschaften berücksichtigen:
1) Konfiguration und Integration
Der Storage-Dienst sollte sich auf einfache Art und Weise in die bestehende oder eine weitere Cloud-Infrastruktur integrieren lassen. So können Benutzer den vorhandenen Speicher über ein Hybrid-Szenario kostengünstig erweitern. Außerdem lassen sich damit über einen selbst festgelegten Zeitraum die Daten aus dem lokalen Speicher auf den Cloud Storage migrieren. Unterm Strich ergibt sich damit die Option, langfristig für bestimmte Daten auf ein eigenes Speichersystem zu verzichten. Ebenso verhält es sich mit dem unkomplizierten und nahtlosen Export der Daten aus dem Cloud Storage, der sichergestellt sein muss.
Eine weitere wichtige Eigenschaft ist das Zusammenspiel der Cloud-Services mit internen Systemen wie Verzeichnisdiensten (Active Directory oder LDAP), über die Benutzerdaten zentral gesammelt und Applikationen zur Verfügung gestellt werden. Für eine einfache und ganzheitliche Administration der Benutzerzugriffe auf Speicherressourcen ist diese Eigenschaft zwingend erforderlich. Der Anbieter sollte dazu eine offene und gut dokumentierte API bereitstellen, um die Integration zu realisieren. Alternativ kann er zusätzlich native Software mitliefern.
2) Plattformunabhängiger Zugriff auf die Daten von jedem Ort
Die Mobilität der Mitarbeiter wird immer wichtiger. Für Unternehmen ist es daher von entscheidender Bedeutung, sich auf die mobilen Arbeitsgewohnheiten ihrer Mitarbeiter einzustellen und mit entsprechenden Lösungen zu reagieren.
Der Cloud-Provider sollte im besten Fall einen plattformunabhängigen Zugriff auf die Daten ermöglichen, indem er Applikationen für alle gängigen mobilen und lokalen Betriebssysteme bereitstellt sowie einen Zugriff über eine Weboberfläche ermöglicht.
3) Trennung von sensiblen und öffentlichen Daten
Damit die Daten den Mitarbeitern auch über mobile und Web-Applikationen bereitgestellt werden können, sind weitere Sicherheitsmaßnahmen wie DMZs (Demilitarized Zone) und Rechtevergaben auf Dateiebene erforderlich. Ein Cloud-Storage-Anbieter sollte über Funktionen verfügen, um die Trennung von Daten mit einem höheren Sicherheitsbedarf gegenüber öffentlichen Daten zu ermöglichen. Unternehmen, die Daten aus der eigenen Infrastruktur heraus bereitstellen wollen, müssen hier weitere Investitionen in Schutzsysteme vornehmen oder einen Anbieter finden, der diese Sicherheit bereits integriert hat.
4) Anbindung an externe Cloud Services
Cloud Storage kann als eine gemeinsame und einheitliche Datenbasis für unterschiedliche Cloud-Services genutzt werden, um Dienste wie Software-as-a-Service (SaaS) oder Platform-as-a-Service (PaaS) zu intergieren. Der Wolken-Speicher dient dann als zentraler Speicherplatz. Hierzu muss der Anbieter offene APIs zur Verfügung stellen können, um die Anbindung zu realisieren.
Anbieter, Cloud-Storage oder Zertifikate
5) Cloud-Storage - Öko- und Partnersystem
Vor allem bei Storage-Anbietern, die ausschließlich über eine Cloud-Lösung verfügen, ist ein großes Ökosystem von Applikationen und Services attraktiv und wichtig. So lassen sich die Storage-Dienste um Mehrwertfunktionen erweitern. Dazu gehört zum Beispiel eine externe Textverarbeitung, um die Dokumente innerhalb des Storage mit mehreren Mitarbeitern zu bearbeiten.
6) Größe des Anbieters - national und international
Der Track Record eines Anbieters ist ein wichtiges Indiz für seine bisherigen Erfolge und trifft eine Aussage über dessen Bekanntheitsgrad anhand von namenhaften Kunden und erfolgreichen Projekten. Dieser Aspekt kann sowohl auf nationaler wie auch internationaler Ebene betrachtet werden. Bei einem Cloud-Storage-Anbieter spielt neben dessen verfügbaren Kapazitäten und damit seiner technologischen Größe auch die internationale Reichweite eine bedeutende Rolle. Möchte ein Unternehmen seinen weltweiten Mitarbeitern den Zugang zu einem zentralen Cloud Storage ermöglichen, entscheidet sich aber für einen Anbieter, der lediglich Rechenzentren in den USA oder Europa betreibt, kann dies schon aufgrund von Latenzen zu Problemen führen. Insofern ist die Skalierbarkeit sowohl bezüglich der Größe des Speicherplatzes als auch hinsichtlich der Reichweite ein entscheidendes Auswahlkriterium.
Interessant ist zudem die Roadmap des Anbieters: Welche Änderungen und Erweiterungen sind für die Zukunft geplant? Sind diese Erweiterungen für das Kundenunternehmen im Vergleich zu einem anderen potentiellen Anbieter interessant, der diese nicht berücksichtigt?
7) Finanzielle Situation
Ein guter Track Record ist nicht der einzige Grund für die Auswahl eines Anbieters. Nicht zuletzt das Drama um den bankrottem Storage-Provider Nirvanix (http://news.idg.no/cw/art.cfm?id=D082A806-CD8C-7B88-D78A94FFED3AB136) hat gezeigt, dass auch die finanzielle Situation in Betracht gezogen werden muss. Einen Blick auf die finanzielle Situation des Anbieters sollten Unternehmenskunden insbesondere im Rahmen ihrer Risikoprüfung vornehmen.
8) Standort und Rechtsstand
Der Standort, an dem die Unternehmensdaten gespeichert werden, erhält eine immer größere Bedeutung. Die Nachfrage nach der physischen Speicherung der Daten im eigenen Land nimmt stetig zu. Und das ist kein deutsches Phänomen. Auch die Franzosen, Spanier oder Portugiesen erwarten, dass ihre Daten in einem Rechenzentrum (http://research.gigaom.com/report/the-state-of-europes-homegrown-cloud-market/) im eigenen Land gehalten werden. Die Tschechen ziehen ein Rechenzentrum in Österreich einem Standort in Deutschland vor. Entspannter sehen offenbar die Niederländer das Thema. Dabei ist die lokale Speicherung der Daten keineswegs eine Garantie für die Rechtssicherheit der Daten. Allerdings wird es dadurch einfacher, lokales Recht anzuwenden.
Die meisten US-amerikanischen Anbieter können eine „physische Lokalität“ der Daten in jedem europäischen Land nicht erfüllen. Die Rechenzentren stehen entweder in Dublin (Irland) oder Amsterdam (Niederlande) und erfüllen damit auch nur europäisches Recht. Zwar sind sehr viele Anbieter dem Safe Harbor Abkommen beigetreten, das es ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Allerdings handelt es sich dabei um eine reine Selbst-Zertifizierung, die aufgrund des NSA-Skandals vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Frage gestellt wurde.
9) Cloud-Storage - Die Sicherheit
Beim Thema Sicherheit geht es wieder verstärkt um Vertrauen. Das erreicht ein Anbieter nur durch Offenheit; er muss sich von seinen Kunden technologisch in die Karten schauen lassen. Gerade IT-Anbieter stehen oft in der Kritik, wenn es etwa darum geht, Auskunft über ihre proprietären Sicherheitsprotokolle zu geben. Häufig ist die Kritik berechtigt, aber es gibt auch Anbieter, die darüber bereitwillig sprechen.
Diese Unternehmen gilt es zu finden. Neben dem subjektiven Thema Vertrauen ist es insbesondere die implementierte Sicherheit, die eine wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt. Dazu gehören: Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten, Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
Auch die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation nimmt zu. Das bedeutet, dass der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Dies beinhaltet unter anderem: Die Benutzerregistrierung, die Anmeldung, den Datentransfer (Versand/ Empfang), die Übertragung der Schlüsselpaare (Public/ Private Key), den Speicherort auf dem Server, den Speicherort auf dem lokalen Endgerät sowie die Sitzung, während ein Dokument bearbeitet wird.
In diesem Zusammenhang ist von separaten Tools abzuraten, die dafür sorgen sollen, einen nicht sicheren Storage zu verschlüsseln. Sicherheit und Verschlüsselung ist kein Feature, sondern eine Hauptfunktion und gehört in den direkten Aufgabenbereich des Storage-Anbieters. Er muss für eine hohe integrierte Sicherheit bei gleichzeitiger guter Nutzbarkeit sorgen.
In diesem Zusammenhang ist es außerdem wichtig, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Er darf auch nur auf dem lokalen System des Anwenders verschlüsselt gespeichert sein. Der Anbieter darf über keinerlei Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen. Er darf niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt durchaus Cloud-Storage Anbieter, die den privaten Schlüssel wiederherstellen können und die auch auf Daten des Nutzers zugreifen können.
10) Zertifizierungen für die Cloud
Zertifizierungen sind ein weiteres Merkmal für die Qualität eines Storage Anbieters. Neben Normen wie ISO 27001, mit der die Sicherheit von Informationen und IT-Umgebungen bewertet wird, existieren auch nationale oder internationale Prüfzertifikate von anerkannten Zertifizierungsstellen.
Solche unabhängigen und professionellen Zertifizierungen sind notwendig, um eine ehrliche Aussage über die Qualität und Eigenschaft eines Cloud-Service, des Anbieters und aller nachgelagerten Prozesse wie Sicherheit, Infrastruktur, Verfügbarkeit etc. zu erhalten. Je nachdem wie gut der Prozess und die Prüfer sind, führt eine Zertifizierung auch zu einer Produktverbesserung, indem die Prüfer proaktiv Ratschläge zur Sicherheit und weiterer Funktionen geben.
Bei der grundsätzlichen Auswahl eines Cloud Anbieters hilft diese Checkliste. Sie definiert die wichtigsten Kriterien. (rb)