In einigen Industrien ist die erste Welle des Betriebsmodells Cloud Computing schon durch. Andere wiederum legen erst allmählich so richtig los. Stets im Fokus steht dabei die IT-Sicherheit. Auf Basis der Ergebnisse der aktuellen IDG-Studie "Cloud Security 2016" von COMPUTERWOCHE, CIO, CHANNELPARTNER und TECCHANNEL haben wir diesen Themenkomplex mit den führenden Cloud-Experten der Unternehmensberatung Accenture debattiert. Mit im Gespräch waren Leah Blessin, der Leiterin des Bereichs Accenture Cloud First Applications, und in dieser Rolle verantwortlich für Beratung und Implementierung nativer Software-as-a-Service-Lösungen, der Leiter Security und Cyber Defense, Marius von Spreti, Spezialist für IT-Sicherheit in der Cloud, und Arne Bleyer, der Leiter Cloud aus dem Bereich Infrastruktur.
Foto: IDG
CW: Cloud-Security ist offenbar Chefsache - die Security-Verantwortung bei den Unternehmen, insbesondere im Mittelstand und bei den KMUs, liegt nur selten bei dezidierten Security-Managern. Etwas besser sieht es bei den Konzernen aus. Wieso traut man in der Branche den CIOs oder IT-Projektleitern in puncto IT-Sicherheit so wenig zu?
MARIUS VON SPRETI: Wenn wir uns die klassischen Unternehmenstypen anschauen - Enterprise-Unternehmen, Mittelständler und kleiner Mittelstand -, fällt auf, dass die Rollen von dezidierten Security-Verantwortlichen in kleineren Unternehmen meist gar nicht besetzt werden können. Diese Arbeitgeber sind für ausgewiesene Security-Experten nicht sehr attraktiv.
Damit stellt sich im Umkehrschluss die Frage: Wo arbeiten die besten Security-Experten? Unserer Einschätzung nach sind das die 100 größten Unternehmen dieser Welt sowie die Cloud-Service-Provider (CSPs), die beide als Arbeitgeber für diesen Personenkreis sehr beliebt sind. Wir sehen diesen Punkt daher weniger unter dem Vertrauensaspekt als dem des verfügbaren, geeigneten Personals und der Menge an Themen, die eine solche Rolle bei KMUs nicht rechtfertigen würde. Aber auch bei den Enterprise-Unternehmen, die die Rollen eines CIO oder Chief Information Security Officer (CISO) personell gut besetzen können, gibt es einen Pferdefuß: Die Vorstandmitglieder haften persönlich für die Sicherheit der Unternehmensdaten. Deshalb kann dort zwar der Aufgabenbereich IT-Sicherheit, nicht aber die Verantwortung dafür an Security-Manager und andere Spezialisten delegiert werden.
Foto: Accenture GmbH
"Es reicht heute nicht mehr aus, sich einmal für eine Strategie zu entscheiden"
CW: Welche zentralen Argumente für und wider die Auslagerung von Diensten in die Cloud gibt es wirklich?
LEAH BLESSIN: Insbesondere bei Software-as-a-Service (SaaS) steht das Thema Time-to-Market im Vordergrund. Die Cloud bringt vielfältige Möglichkeiten, Anwendungen und Prozesse flexibel an neue strategische Anforderungen anzupassen, die der Markt den Unternehmen stellt. Darüber hinaus stellen die SaaS-Anbieter den Firmen kontinuierlich Release-Upgrade mit neuen Funktionalitäten zur Verfügungen und geben ihnen so Zugriff auf Innovationen. Zudem entsteht ein regelrechtes Ökosystem an Anbietern rund um die SaaS-Plattform-Provider, die wiederum innovative Lösungen für die Unternehmen im Angebot haben.
Auch das Thema Agilität ist ein wichtiger Grund für unsere Kunden, in die Cloud zu gehen. Firmen, die sich für die Cloud entschieden haben, erkennen zunehmend, dass es nicht mehr ausreicht, sich einmal für eine Strategie zu entscheiden. Niemand weiß heute mit Sicherheit, welche Anforderungen in den nächsten fünf Jahren auf uns zukommen. Unternehmen müssen sehr schnell auf sich verändernde Anforderungen reagieren können.
Foto: Accenture GmbH
"Es gibt für Unternehmen keine Alternative zur Cloud"
CW: Hat die Public Cloud bei sensiblen Daten überhaupt noch eine Chance, oder bleibt es landläufig eher bei dem Motto ‚Private Cloud only‘?
VON SPRETI: Accenture geht bei Industrielösungen auch mittelfristig von hybriden Cloud-Strategien aus: Neben der Public Cloud existieren gleichzeitig Private-Cloud-Lösungen, also virtualisierte Umgebungen, die in eigenen Rechenzentren betrieben werden. Auch bei der Umsetzung von Cloud-Lösungen gibt es verschiedene Möglichkeiten; das sind vor allem Infrastructure (IaaS)- oder Platform-Cloud (PaaS) oder Software-as-a-Service (SaaS). Alles in allem gibt es für Unternehmen heute keine Alternative zur Cloud. Ganz besonders die Zahl der Anwendungen in der Public Cloud wird in den nächsten Jahren dramatisch ansteigen.
In der Übergangszeit wird es einige Randbereiche mit besonders vertraulichen Daten geben wie etwa Patienten- und Kundendaten, die nur innerhalb der EU verarbeitet werden dürfen und damit weiter im eigenen Rechenzentrum verbleiben. Doch auch für diese Bereiche arbeiten die Cloud Provider mittlerweile an Lösungen, um ihr Angebot den regulatorischen Anforderungen wie der Speicherung der Daten innerhalb von Europa oder dem Zutritt zum Rechenzentraum für Auditzwecke anzupassen.
ARNE BLEYER: Diesen Trend beobachte ich genauso. Der Anteil an Public-Cloud-Lösungen wird in den nächsten Jahren weiter zunehmen. Ein Grund ist, dass die Provider vermehrt Services und Lösungen anbieten, um die hohen Security-Anforderungen ihrer Kunden zu erfüllen. Andererseits wird es kurz- und mittelfristig immer noch einen Bedarf an On-Premise-Hosting geben, um regulatorische Anforderungen zu erfüllen. Insbesondere für Unternehmen aus den Bereichen Pharmazie, Banken und Versicherungen sowie Energiewirtschaft sind solche Lösungen relevant. Für diese Unternehmen ist die Hybrid Cloud ein guter Weg, um dennoch von Innovationen aus der Cloud für die gesamte Applikationslandschaft zu profitieren.
Foto: Accenture GmbH
CW: Die Datensicherheit in der Cloud soll in manchen Fällen höher sein als in einem eigenen Unternehmens-Rechenzentrum. Ist das nur eine steile Beraterthese oder bereits Realität?
VON SPRETI: Viele dieser Dinge, über die wir heute sprechen, sind in der Public Cloud sicherer als in einem hauseigenen Rechenzentrum (RZ), für die einem Konzern eben oft nicht die besten Security-Experten, Technologien und Prozesse zur Verfügung stehen. Wie bereits angesprochen, arbeiten diese begehrten Spezialisten bei Apple, Microsoft, Salesforce, PayPal oder in der Beratung, weil sie dort ihre Fähigkeiten in einem größeren und skalierbareren Umfeld einsetzen und weiterentwickeln können. Unternehmensdaten werden daher langfristig in einer Public Cloud sicherer sein als in einer eigenen RZ-Lösung. Das gilt insbesondere auch für die in der IDG-Studie angesprochenen Themen Ausfallsicherheit, Desaster Recovery und Backup. Cloud-Provider mit verteilten Strukturen haben in diesen Punkten deutliche Vorteile.
"Eine Frage von Fokus oder Fähigkeiten"
Im Übrigen gilt, wie für die meisten anderen Themenfelder, auch für die Cloud-Sicherheit: Komplexität skaliert. Wenn Sie sich die Anwendungslandschaft oder RZ-Infrastruktur eines großen, möglicherweise durch Zukäufe gewachsenen Unternehmens anschauen, werden Sie feststellen, dass dort sehr viele unterschiedliche heterogene Anwendungs- und Infrastrukturlandschaften betrieben werden. Das ist eine der entscheidenden Schwachstellen. Wir sprechen hier über ein asynchrones Bedrohungspotenzial: Einem Angreifer genügt eine einzige Schwachstelle, um einzudringen. Das Unternehmen dagegen muss die gesamte Bandbreite, von der Infrastruktur über die Plattform, Business-Anwendungen bis hin zum Anwender, selbst absichern.
Bei einer so hohen Komplexität - so unsere zentrale These - gibt es keine vollkommene Sicherheit. Es ist nur eine Frage von Fokus oder Fähigkeiten, die klassischen Sicherheitsmechanismen zu überwinden. Gleiches gilt, allerdings mit einer weit höher aufgelegten Hürde, auch für Cloud-Unternehmen. Bei den Cloud-Providern aber schützen die professionellsten Sicherheitsexperten am Markt die anvertrauten Daten mit allem, was heute technisch und fachlich möglich ist. Letztendlich basiert das Cloud-Geschäftsmodell vor allem auch auf Vertrauen.
CW: Sind eher die großen oder kleinen Cloud-Anbieter am Markt gefragt?
BLEYER: Bei den global agierenden Großunternehmen sind überwiegend die großen Cloud-Anbieter gefragt. Die meisten Firmen verfolgen jedoch eine Multi-Vendor-Strategie für die Public Cloud. Die regionalen Cloud-Anbieter richten sich vor allem an die Zielgruppe der kleinen und mittleren Unternehmen (KMU), sie können aber auch durch mehr Flexibilität punkten. So bieten sie ihren Kunden nicht selten maßgeschneiderte Services zu attraktiven Preisen.
VON SPRETI: Auf diese Frage gibt es einfach keine richtige oder falsche Antwort. Es hängt von den fachlichen, regulatorischen oder sicherheitsbezogenen Anforderungen ab, welcher Cloud-Provider den Zuschlag bekommen sollte. Daneben wird ‚Digital Trust‘ zum entscheidenden Differenzierungsmerkmal: Ein Cloud-Provider, bei dem ein größerer Sicherheitsvorfall bekannt geworden ist, wird mit hoher Wahrscheinlichkeit sehr schnell vom Markt verschwinden.