Warum die Wahl des Cloud-Providers Vertrauenssache ist

In einigen Industrien ist die erste Welle des Betriebsmodells Cloud Computing schon durch. Andere wiederum legen erst allmählich so richtig los. Stets im Fokus steht dabei die IT-Sicherheit. Auf Basis der Ergebnisse der aktuellen IDG-Studie "Cloud Security 2016" von COMPUTERWOCHE, CIO, CHANNELPARTNER und TECCHANNEL haben wir diesen Themenkomplex mit den führenden Cloud-Experten der Unternehmensberatung Accenture debattiert. Mit im Gespräch waren Leah Blessin, der Leiterin des Bereichs Accenture Cloud First Applications, und in dieser Rolle verantwortlich für Beratung und Implementierung nativer Software-as-a-Service-Lösungen, der Leiter Security und Cyber Defense, Marius von Spreti, Spezialist für IT-Sicherheit in der Cloud, und Arne Bleyer, der Leiter Cloud aus dem Bereich Infrastruktur.

CW: Cloud-Security ist offenbar Chefsache - die Security-Verantwortung bei den Unternehmen, insbesondere im Mittelstand und bei den KMUs, liegt nur selten bei dezidierten Security-Managern. Etwas besser sieht es bei den Konzernen aus. Wieso traut man in der Branche den CIOs oder IT-Pro­jektleitern in puncto IT-Si­cherheit so wenig zu?

MARIUS VON SPRETI: Wenn wir uns die klassischen Unternehmenstypen anschauen - Enter­prise-Unternehmen, Mittelständler und kleiner Mittelstand -, fällt auf, dass die Rollen von dezidierten Security-Verantwortli­chen in kleineren Unternehmen meist gar nicht be­setzt werden können. Diese Arbeitgeber sind für ausgewiesene Security-Ex­perten nicht sehr attraktiv.

Damit stellt sich im Umkehrschluss die Frage: Wo arbeiten die besten Security-Ex­perten? Unserer Einschätzung nach sind das die 100 größten Unter­nehmen dieser Welt sowie die Cloud-Service-Provider (CSPs), die beide als Arbeitgeber für diesen Per­sonen­kreis sehr beliebt sind. Wir sehen diesen Punkt daher weniger unter dem Vertrauensaspekt als dem des verfügbaren, geeigneten Personals und der Menge an Themen, die eine solche Rolle bei KMUs nicht rechtfertigen würde. Aber auch bei den Enterprise-Unternehmen, die die Rollen eines CIO oder Chief In­formation Secu­rity Officer (CISO) personell gut besetzen können, gibt es einen Pferde­fuß: Die Vor­standmitglieder haften persönlich für die Sicherheit der Unterneh­mens­daten. Deshalb kann dort zwar der Aufgabenbereich IT-Sicherheit, nicht aber die Verantwortung da­für an Security-Manager und andere Spezialisten delegiert werden.

"Es reicht heute nicht mehr aus, sich einmal für eine Strategie zu ent­scheiden"

CW: Welche zentralen Argumente für und wider die Auslagerung von Diensten in die Cloud gibt es wirklich?

LEAH BLESSIN: Insbesondere bei Software-as-a-Service (SaaS) steht das Thema Time-to-Market im Vordergrund. Die Cloud bringt vielfältige Mög­lichkeiten, Anwendungen und Prozesse flexibel an neue strategische Anforderungen anzupassen, die der Markt den Unternehmen stellt. Darüber hinaus stellen die SaaS-Anbieter den Firmen konti­nuierlich Release-Upgrade mit neuen Funktionalitäten zur Verfügungen und geben ihnen so Zugriff auf Innovationen. Zudem entsteht ein regelrechtes Ökosystem an An­bietern rund um die SaaS-Plattform-Provider, die wiederum innovative Lösungen für die Unternehmen im Angebot haben.

Auch das Thema Agilität ist ein wichtiger Grund für unsere Kunden, in die Cloud zu gehen. Firmen, die sich für die Cloud entschieden haben, erkennen zunehmend, dass es nicht mehr ausreicht, sich einmal für eine Strategie zu entscheiden. Niemand weiß heute mit Sicherheit, welche Anforderungen in den nächsten fünf Jahren auf uns zu­kommen. Unternehmen müssen sehr schnell auf sich verändernde Anforderungen re­agieren können.

"Es gibt für Unternehmen keine Alternative zur Cloud"

CW: Hat die Public Cloud bei sensiblen Daten überhaupt noch eine Chance, oder bleibt es landläufig eher bei dem Motto ‚Private Cloud only‘?

VON SPRETI: Accenture geht bei Industrielösungen auch mittelfristig von hybriden Cloud-Strategien aus: Neben der Public Cloud existieren gleichzeitig Private-Cloud-Lösungen, also virtualisierte Umgebun­gen, die in eigenen Rechenzentren betrieben werden. Auch bei der Umsetzung von Cloud-Lösungen gibt es verschiedene Möglich­keiten; das sind vor allem Infra­s­tructure (IaaS)- oder Platform-Cloud (PaaS) oder Software-as-a-Service (SaaS). Alles in allem gibt es für Unternehmen heute keine Al­terna­tive zur Cloud. Ganz besonders die Zahl der Anwendungen in der Public Cloud wird in den nächsten Jahren drama­tisch ansteigen.

In der Übergangszeit wird es einige Randbereiche mit besonders vertraulichen Daten geben wie etwa Patien­ten- und Kun­dendaten, die nur innerhalb der EU verarbeitet werden dürfen und damit weiter im eigenen Rechenzentrum verbleiben. Doch auch für diese Bereiche arbeiten die Cloud Provider mittlerweile an Lösungen, um ihr Angebot den regulatorischen Anforderun­gen wie der Speicherung der Daten innerhalb von Europa oder dem Zutritt zum Rechenzentraum für Auditzwecke anzupassen.

ARNE BLEYER: Diesen Trend beobachte ich genauso. Der Anteil an Public-Cloud-Lö­sungen wird in den nächsten Jahren weiter zunehmen. Ein Grund ist, dass die Provider vermehrt Services und Lösungen anbieten, um die hohen Security-Anforderungen ihrer Kunden zu erfüllen. Andererseits wird es kurz- und mittelfristig immer noch einen Bedarf an On-Premise-Hosting geben, um regulatorische Anforderungen zu er­füllen. Insbesondere für Unternehmen aus den Bereichen Pharmazie, Banken und Ver­sicherungen sowie Energiewirtschaft sind solche Lösungen relevant. Für diese Unternehmen ist die Hybrid Cloud ein guter Weg, um dennoch von Innovationen aus der Cloud für die gesamte Applikationslandschaft zu profitieren.

CW: Die Datensicherheit in der Cloud soll in manchen Fällen höher sein als in einem eigenen Unternehmens-Rechenzentrum. Ist das nur eine steile Beraterthese oder bereits Realität?

VON SPRETI: Viele dieser Dinge, über die wir heute sprechen, sind in der Pu­blic Cloud sicherer als in einem hauseigenen Rechenzentrum (RZ), für die einem Konzern eben oft nicht die besten Security-Experten, Technologien und Prozesse zur Verfügung stehen. Wie be­reits angesprochen, arbeiten diese begehrten Spezialisten bei Apple, Microsoft, Salesforce, PayPal oder in der Beratung, weil sie dort ihre Fähigkeiten in einem größe­ren und ska­lierbareren Umfeld einsetzen und weiterentwi­ckeln können. Unternehmensdaten werden daher langfris­tig in einer Public Cloud si­cherer sein als in einer eigenen RZ-Lösung. Das gilt insbe­son­dere auch für die in der IDG-Studie angesprochenen Themen Ausfallsicherheit, De­saster Recovery und Backup. Cloud-Provi­der mit verteilten Struk­turen haben in diesen Punkten deutliche Vorteile.

"Eine Frage von Fokus oder Fähigkeiten"

Im Übrigen gilt, wie für die meisten anderen Themenfelder, auch für die Cloud-Si­cherheit: Kom­plexität skaliert. Wenn Sie sich die Anwendungslandschaft oder RZ-Infrastruktur eines großen, möglicherweise durch Zukäufe gewach­senen Unter­neh­mens an­schauen, werden Sie feststellen, dass dort sehr viele unterschiedliche heterogene An­wendungs- und Infra­strukturlandschaften betrieben werden. Das ist eine der entschei­denden Schwachstellen. Wir sprechen hier über ein asynchrones Bedrohungs­potenzial: Einem Angreifer genügt eine einzige Schwach­stelle, um einzudringen. Das Unter­nehmen da­gegen muss die gesamte Bandbreite, von der Infrastruktur über die Platt­form, Busi­ness-Anwen­dungen bis hin zum Anwender, selbst absichern.

Bei einer so hohen Kom­plexität - so unsere zentrale These - gibt es keine vollkommene Sicher­heit. Es ist nur eine Frage von Fokus oder Fähigkeiten, die klassischen Sicher­heits­mechanismen zu über­winden. Gleiches gilt, allerdings mit einer weit höher auf­geleg­ten Hürde, auch für Cloud-Unternehmen. Bei den Cloud-Providern aber schützen die professionellsten Si­cherheitsexperten am Markt die anvertrauten Daten mit allem, was heute technisch und fachlich mög­lich ist. Letztendlich basiert das Cloud-Ge­schäfts­modell vor allem auch auf Vertrauen.

Zum Video: Warum die Wahl des Cloud-Providers Vertrauenssache ist

CW: Sind eher die großen oder kleinen Cloud-Anbieter am Markt gefragt?

BLEYER: Bei den global agierenden Großunternehmen sind überwiegend die gro­ßen Cloud-Anbieter gefragt. Die meisten Firmen verfolgen jedoch eine Multi-Vendor-Strategie für die Public Cloud. Die regionalen Cloud-Anbieter richten sich vor allem an die Zielgruppe der kleinen und mittleren Unternehmen (KMU), sie können aber auch durch mehr Flexibilität punkten. So bieten sie ihren Kunden nicht selten maßge­schneiderte Services zu attraktiven Preisen.

VON SPRETI: Auf diese Frage gibt es einfach keine richtige oder falsche Antwort. Es hängt von den fachlichen, regu­latorischen oder sicherheitsbezogenen Anforderungen ab, welcher Cloud-Provider den Zuschlag bekommen sollte. Daneben wird ‚Digital Trust‘ zum entscheidenden Dif­ferenzie­rungsmerkmal: Ein Cloud-Provi­der, bei dem ein größerer Sicherheitsvorfall bekannt geworden ist, wird mit hoher Wahrscheinlich­keit sehr schnell vom Markt ver­schwinden.

Wettbewerbsvorteil "deutsche Cloud"?

CW: Die ersten Cloud-Rechenzentren lagen anfangs phy­sisch meist in Asien und anderswo. Insbesondere bei den Themen Vertrags­gestal­tung und RZ-Auswahl legen die für die Studie be­fragten Unternehmen mittlerweile gro­ßen Wert auf deutsches oder europäi­sches Recht sowie einem RZ-Standort möglichst in Deutsch­land oder zumindest in der EU. Ent­spricht das auch Ihren Erfahrun­gen und wenn ja, wie geht Accenture damit um?

VON SPRETI:Auf diese Anforderungen reagieren die meisten Cloud-Provider mittler­weile. Auch Amazon beispielsweise hat eine Strategie für Unternehmen entwickelt, die ihre Daten aus­schließlich in der EU ablegen möchten: Das kann man jetzt in Frankfurt am Main, Dublin oder an beiden Standorten haben. Früher gab es diese Transparenz nicht in dieser Form und es war auch nicht klar, wo die Daten physisch gespeichert sind. Auch andere werden, sofern sie es noch nicht getan haben, nachzie­hen.

BLESSIN: Ich sehe es als absoluten Wettbewerbsvor­teil und fast schon geschäfts­kritisch an, eine Cloud in Deutschland oder zumindest in der EU an­bieten zu können.Wenn man in unserer Region groß in das Geschäft einsteigen will, geht es gar nicht mehr ohne. Auch die einstigen Cloud-Pioniere wie Sales­force bieten mittlerweile Rechenzentren in Deutschland an; allerdings sind nicht alle gängigen US-Produkte auch in der deut­schen Cloud verfügbar. Bei vielen unse­rer Kunden stellen wir daher fest, dass diejenigen Pro­dukte und Services, die nicht in der deutschen Cloud zur Verfügung stehen, we­sentlich seltener einge­setzt werden. In der Finanzwirtschaft etwa, also bei Banken und Versicherungen, ist Datenhaltung in Nicht-EU-Staaten meist ein absolutes No-Go.

CW: Unternehmen legen der Cloud-Security-Studie zufolge großen Wert auf Com­pliance, Daten­sicherheit und Verschlüsselung. Kann diese Erwartungshal­tung von den Anbietern überhaupt erfüllt werden?

VON SPRETI:Ja! Die Cloud Provider beherrschen heute die Themenfelder Compliance, Datensicherheit und Verschlüsselung aus dem Effeff; das ist deren Geschäfts­grund­lage. Gerade was das Thema Compliance betrifft, sind viele Cloud-Provider heute so aufge­stellt, dass sie die gängigen Best Practices, Industry Practices oder auch die gän­gigen gesetzlichen Regelungen innerhalb der einzelnen Länder verwirklicht haben. Das wäre in der eige­nen IT oder in der Private Cloud nur mit sehr hohem Aufwand möglich.

Das Thema Verschlüsselung ist absoluter Standard, aber auch nur ein kleiner Baustein in einer Ende-zu-Ende-Sicherheit. Diese geht heute so weit, dass der Cloud-Provider noch nicht einmal den Schlüssel für einen Datenzugriff hat, der Anwender sich also hundertprozentig sicher sein kann, dass nur er die Daten sehen kann. Das ist die Ge­schäftsgrund­lage eines Cloud-Unter­nehmens und wird zu Recht auch eingefordert.

"Gegen Geheimdienste wird man sich nicht absichern können"

CW: Ein weiterer spannender Punkt der IDG-Studie Cloud Security 2016 ist die Skepsis vieler Anwender gegenüber Techniken aus China, Russland oder auch den USA. Es herrschen Ängste vor, dass indirekt Informationen in diese Länder abge­zogen werden...

VON SPRETI: Das ist ein spannendes und zugleich auch ein philosophisches Thema. Damit kommt gleichzeitig ein neuer Faktor in die Gleichung hi­nein: Die Cloud-An­wender wollen nicht, dass Geheimdienste ihre Daten ausspionie­ren können, dass möglicherweise eine ‚Backdoor‘ in Tier-1-Netzwerkdevices einge­baut ist, um die globale Kommu­nikation, die über solche Geräte abläuft, zu extrahie­ren.

Wenn wir alle diese potenziellen Risiken ausschließen wollen, wird das Thema Si­cherheit unbezahlbar werden. Das Schutzniveau muss in einem sinnvollen Maß zu den tatsächlichen Business-Risiken stehen. Gegen hochpro­fessionelle und mit Milliarden­budgets ausgestattete Geheimdienste wird man sich nach menschlichem Ermessen niemals wirklich absichern können.

Zum Video: Warum die Wahl des Cloud-Providers Vertrauenssache ist

CW: Gibt es bei den zentralen Studienergebnissen weitere Punkte, die aus Ac­cen­ture-Sicht in puncto Relevanz oder auch wegen kontroverser Sichtweise in den Fo­kus gerückt werden sollten?

BLESSIN: Die Studie bestätigt unsere Erfahrung im SaaS-Umfeld: die Pharma- und Life-Science-Bran­chen, wo es durchaus um sensible Daten geht, sind ein Zugpferd dieser Entwicklung. Hier ist die erste Welle an großen Transformationen auf Basis von SaaS bereits umgesetzt. Unstrittig ist: Einige Industrien sind Vorreiter in der Cloud, bei an­deren wiederum geht es mit dem Cloud Computing jetzt erst richtig los, so bei­spielsweise in der Produktion und dem ‚Industrial Equip­ment‘. Dort wie auch im Konsumgüterumfeld und im Handel sehen wir zurzeit die größte Dy­namik. Im Ban­ken- und Versicherungsbereich dagegen tut sich die Cloud noch schwer.

VON SPRETI: Im Großen und Ganzen sind uns bei der Lektüre der IDG-Studie "Cloud Security 2016" keine Dinge untergekommen, wo wir eine komplett entgegengesetzte Sicht vertreten. An einzelnen Stellen ist unsere Gewichtung eben eine etwas andere. Wir haben in 2016 aber auch keine 335 Unternehmen zu dem Thema Cloud-Security befragt, sondern verfügen aktuell über einen guten Querschnitt von Enterprise- und gehobenen Mittelstands-Unternehmen, die wir in Deutschland oder auch global bera­ten. Insofern handelt es sich in der Summe um eine gute, gelungene Studie. An der einen oder anderen Stelle hätte ich mir allerdings mehr Details gewünscht, beispielsweise zu der Frage, wie hoch denn die Durchdringung des Unternehmens mit Cloud-Anwendun­gen - also die ´Cloud Adoption Rate‘ wirklich ist. Sie deckt auf jeden Fall einen großen Teil der Fragestellungen ab, mit denen auch wir uns beschäftigen.

BLEYER: Da kann ich voll und ganz zustimmen, vieles deckt sich mit dem Ein­druck aus unseren Kundengesprächen. Überrascht hat mich vor allem, dass den Stu­dienteilnehmern das Thema "Schatten-IT" keine größeren Sorgen berei­tet. Gene­rell wird davon ausgegangen, dass von IT-Seite aus alles unter Kontrolle ist. Wir erfahren aber in Kundengesprächen immer wieder: "Das Business macht da schon was in Richtung SaaS-Lösung, aber die IT ist nicht mit im Boot." Das kommt in der Studie so nicht vor. (sh)

Die COMPUTERWOCHE-Studie "Cloud Security 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download. Dort können Sie ebenfalls ein Print-Exemplar der Studie (inkl. PDF-Download) bestellen.