Wettbewerbsvorteil "deutsche Cloud"?
CW: Die ersten Cloud-Rechenzentren lagen anfangs physisch meist in Asien und anderswo. Insbesondere bei den Themen Vertragsgestaltung und RZ-Auswahl legen die für die Studie befragten Unternehmen mittlerweile großen Wert auf deutsches oder europäisches Recht sowie einem RZ-Standort möglichst in Deutschland oder zumindest in der EU. Entspricht das auch Ihren Erfahrungen und wenn ja, wie geht Accenture damit um?
VON SPRETI:Auf diese Anforderungen reagieren die meisten Cloud-Provider mittlerweile. Auch Amazon beispielsweise hat eine Strategie für Unternehmen entwickelt, die ihre Daten ausschließlich in der EU ablegen möchten: Das kann man jetzt in Frankfurt am Main, Dublin oder an beiden Standorten haben. Früher gab es diese Transparenz nicht in dieser Form und es war auch nicht klar, wo die Daten physisch gespeichert sind. Auch andere werden, sofern sie es noch nicht getan haben, nachziehen.
BLESSIN: Ich sehe es als absoluten Wettbewerbsvorteil und fast schon geschäftskritisch an, eine Cloud in Deutschland oder zumindest in der EU anbieten zu können.Wenn man in unserer Region groß in das Geschäft einsteigen will, geht es gar nicht mehr ohne. Auch die einstigen Cloud-Pioniere wie Salesforce bieten mittlerweile Rechenzentren in Deutschland an; allerdings sind nicht alle gängigen US-Produkte auch in der deutschen Cloud verfügbar. Bei vielen unserer Kunden stellen wir daher fest, dass diejenigen Produkte und Services, die nicht in der deutschen Cloud zur Verfügung stehen, wesentlich seltener eingesetzt werden. In der Finanzwirtschaft etwa, also bei Banken und Versicherungen, ist Datenhaltung in Nicht-EU-Staaten meist ein absolutes No-Go.
CW: Unternehmen legen der Cloud-Security-Studie zufolge großen Wert auf Compliance, Datensicherheit und Verschlüsselung. Kann diese Erwartungshaltung von den Anbietern überhaupt erfüllt werden?
VON SPRETI:Ja! Die Cloud Provider beherrschen heute die Themenfelder Compliance, Datensicherheit und Verschlüsselung aus dem Effeff; das ist deren Geschäftsgrundlage. Gerade was das Thema Compliance betrifft, sind viele Cloud-Provider heute so aufgestellt, dass sie die gängigen Best Practices, Industry Practices oder auch die gängigen gesetzlichen Regelungen innerhalb der einzelnen Länder verwirklicht haben. Das wäre in der eigenen IT oder in der Private Cloud nur mit sehr hohem Aufwand möglich.
Das Thema Verschlüsselung ist absoluter Standard, aber auch nur ein kleiner Baustein in einer Ende-zu-Ende-Sicherheit. Diese geht heute so weit, dass der Cloud-Provider noch nicht einmal den Schlüssel für einen Datenzugriff hat, der Anwender sich also hundertprozentig sicher sein kann, dass nur er die Daten sehen kann. Das ist die Geschäftsgrundlage eines Cloud-Unternehmens und wird zu Recht auch eingefordert.
Foto: Accenture GmbH
"Gegen Geheimdienste wird man sich nicht absichern können"
CW: Ein weiterer spannender Punkt der IDG-Studie Cloud Security 2016 ist die Skepsis vieler Anwender gegenüber Techniken aus China, Russland oder auch den USA. Es herrschen Ängste vor, dass indirekt Informationen in diese Länder abgezogen werden...
VON SPRETI: Das ist ein spannendes und zugleich auch ein philosophisches Thema. Damit kommt gleichzeitig ein neuer Faktor in die Gleichung hinein: Die Cloud-Anwender wollen nicht, dass Geheimdienste ihre Daten ausspionieren können, dass möglicherweise eine ‚Backdoor‘ in Tier-1-Netzwerkdevices eingebaut ist, um die globale Kommunikation, die über solche Geräte abläuft, zu extrahieren.
Wenn wir alle diese potenziellen Risiken ausschließen wollen, wird das Thema Sicherheit unbezahlbar werden. Das Schutzniveau muss in einem sinnvollen Maß zu den tatsächlichen Business-Risiken stehen. Gegen hochprofessionelle und mit Milliardenbudgets ausgestattete Geheimdienste wird man sich nach menschlichem Ermessen niemals wirklich absichern können.
CW: Gibt es bei den zentralen Studienergebnissen weitere Punkte, die aus Accenture-Sicht in puncto Relevanz oder auch wegen kontroverser Sichtweise in den Fokus gerückt werden sollten?
BLESSIN: Die Studie bestätigt unsere Erfahrung im SaaS-Umfeld: die Pharma- und Life-Science-Branchen, wo es durchaus um sensible Daten geht, sind ein Zugpferd dieser Entwicklung. Hier ist die erste Welle an großen Transformationen auf Basis von SaaS bereits umgesetzt. Unstrittig ist: Einige Industrien sind Vorreiter in der Cloud, bei anderen wiederum geht es mit dem Cloud Computing jetzt erst richtig los, so beispielsweise in der Produktion und dem ‚Industrial Equipment‘. Dort wie auch im Konsumgüterumfeld und im Handel sehen wir zurzeit die größte Dynamik. Im Banken- und Versicherungsbereich dagegen tut sich die Cloud noch schwer.
VON SPRETI: Im Großen und Ganzen sind uns bei der Lektüre der IDG-Studie "Cloud Security 2016" keine Dinge untergekommen, wo wir eine komplett entgegengesetzte Sicht vertreten. An einzelnen Stellen ist unsere Gewichtung eben eine etwas andere. Wir haben in 2016 aber auch keine 335 Unternehmen zu dem Thema Cloud-Security befragt, sondern verfügen aktuell über einen guten Querschnitt von Enterprise- und gehobenen Mittelstands-Unternehmen, die wir in Deutschland oder auch global beraten. Insofern handelt es sich in der Summe um eine gute, gelungene Studie. An der einen oder anderen Stelle hätte ich mir allerdings mehr Details gewünscht, beispielsweise zu der Frage, wie hoch denn die Durchdringung des Unternehmens mit Cloud-Anwendungen - also die ´Cloud Adoption Rate‘ wirklich ist. Sie deckt auf jeden Fall einen großen Teil der Fragestellungen ab, mit denen auch wir uns beschäftigen.
BLEYER: Da kann ich voll und ganz zustimmen, vieles deckt sich mit dem Eindruck aus unseren Kundengesprächen. Überrascht hat mich vor allem, dass den Studienteilnehmern das Thema "Schatten-IT" keine größeren Sorgen bereitet. Generell wird davon ausgegangen, dass von IT-Seite aus alles unter Kontrolle ist. Wir erfahren aber in Kundengesprächen immer wieder: "Das Business macht da schon was in Richtung SaaS-Lösung, aber die IT ist nicht mit im Boot." Das kommt in der Studie so nicht vor. (sh)
Die COMPUTERWOCHE-Studie "Cloud Security 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download. Dort können Sie ebenfalls ein Print-Exemplar der Studie (inkl. PDF-Download) bestellen.