Foto:
Wie Unternehmen mit dem richtigen Mix aus Private Cloud und Public Cloud eigene und externe IT-Ressourcen effizienter nutzen und dabei ihre Sicherheitsstandards einhalten.
von Petra Adamik (freie Journalistin in München)
Cloud Computing wurde vom deutschen Markt lange Zeit reserviert aufgenommen. Das Blatt hat sich mittlerweile gewendet, wie aktuelle Zahlen belegen. Nach den Ergebnissen des "Cloud Monitors 2013" des Bitkom und der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG nutzten Ende des Jahres 2012 in Deutschland 37 Prozent aller Unternehmen Cloud Computing. Im Jahr zuvor waren es erst 28 Prozent. Weitere 29 Prozent planten oder diskutierten den konkreten Einsatz.
Foto: BT
Doch Cloud ist nicht gleich Cloud. Beim Cloud Computing beziehen Unternehmen klassische IT-Leistungen wie Speicherplatz, Rechenleistung oder Anwendungsprogramme nach Bedarf aus den verteilten Rechenzentren eines externen Dienstleisters (Public Cloud). Alternativ bietet sich der Aufbau einer eigenen Cloud-Lösung im internen Netzwerk an: die Private Cloud. "Aus Sicherheitsgründen und aus Sorge vor Kontrollverlust über ihre Daten setzen große deutsche Firmen bevorzugt auf die private Cloud im eigenen Rechenzentrum", beschreibt Sven Klindworth, Leiter des Beratungsteams für Rechenzentren und Cloud-Lösungen beim Netz- und IT-Dienstleister BT Germany, die Situation.
Ein Problem in der derzeitigen Sicherheitsdebatte sei, dass der Begriff "Public Cloud" oft mit "unsicherer Service irgendwo im Internet" gleichgesetzt werde. Während Angebote für Privatkunden und kleine Unternehmen in der Tat meist über das Internet realisiert werden, gibt es für größere Unternehmen längst andere Möglichkeiten: "Ein Netzbetreiber wie BT kann seine Cloud-Infrastruktur per MPLS oder Ethernet-Anbindung direkt mit dem Firmennetz des Kunden verbinden", erläutert Klindworth. Das sei wesentlich performanter und sicherer als über das Internet.
Durch eine solche Architektur lassen sich hybride Cloud-Lösungen aufbauen, die höchste Anforderungen an Datensicherheit und -schutz erfüllen - denn diese Aspekte sind in jeder Hinsicht ein Thema, wenn es um die Cloud geht. So schreibt der Gesetzgeber in Deutschland, aber auch in zahlreichen anderen europäischen Ländern, den Firmen strenge Regeln vor. Deutsche Unternehmen dürfen bestimmte Finanzdaten beispielsweise nicht ohne Weiteres außerhalb des Landes speichern. Enge Grenzen gelten auch bei der Verarbeitung personenbezogener Daten. Eine Cloud-Lösung, bei der nicht klar definiert ist, wo die Daten liegen, kommt dafür nicht in Frage. "Aus Compliance-Gründen sollten international tätige Unternehmen einen Anbieter wählen, bei dem sie individuell bestimmen können, welche Daten in welchem Land verarbeitet werden", so Klindworth.
- Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing. - Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden - Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden. - Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011 - Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten. - Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.
Public-Cloud-Services sorgen schnell für mehr Kapazität
Sofern das gewährleistet ist, ergibt ein hybrides Modell aus kostengünstiger und flexibel verfügbarer Public Cloud und firmeninterner Private Cloud in vielen Fällen Sinn. Brauchen Unternehmen für bestimmte Projekte oder Anwendungen beispielsweise kurzfristig mehr IT-Ressourcen, als ihnen im Unternehmen zur Verfügung stehen, können sie diese aus der Public Cloud relativ einfach dazuschalten. Eine andere Zielgruppe für die hybride Cloud sind international expandierende Unternehmen, die am Heimatstandort eigene Rechenzentren betreiben, ihre international verteilten Standorte aber nicht mit zusätzlicher eigener Infrastruktur ausstatten möchten. Deren Bedarf kann dann vor Ort über Rechenzentren eines Cloud-Providers gedeckt werden.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).
Die besondere Herausforderung einer hybriden Cloud-Lösung liegt darin, dass die Systeme der Private Cloud mit denen der Public Cloud kommunizieren und nahtlos zusammenspielen müssen, um ein Höchstmaß an Effizienz zu ermöglichen. Damit die Kommunikation zwischen der privaten und der hybriden Cloud reibungslos funktioniert, müssen beispielweise die Application Programming Interfaces (API) entsprechend angesprochen werden. Sie sorgen dafür, dass sich beide Seiten miteinander austauschen können, um dann die Ressourcen bedarfsgerecht anfordern respektive bereitstellen zu können. Hybride Cloud-Lösungen kommen eben nicht von der Stange, sondern verlangen im Vorfeld auch eine klare Projektarbeit, damit alle Anforderungen an Funktionalität und Sicherheit erfüllt werden.