IT aus der Steckdose: Flexibel, günstig und riskant Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.02.2010 Martin Kuppinger*/Thomas Mach

IT aus der Steckdose: Flexibel, günstig und riskant

Cloud Computing, SaaS, PaaS und IaaS sind Hypethemen der IT-Industrie. Viele Unternehmen fragen sich jedoch, ob das Sicherheitsrisiko nicht zu hoch ist, um den Schritt in die Cloud zu wagen.

Vorab gilt es, den Begriff Cloud Computing erst einmal genauer zu definieren. Wie bei allen populären Themen gibt es unzählige Definitionen, die sehr oft von den Marketing-Abteilungen der Hersteller entsprechend vorhandener oder auch neuer Produktangebote geprägt werden. Die Quintessenz von Cloud Computing ist der Schritt zu einer serviceorientierten IT, die in der Lage ist, die für die Business-Anforderungen notwendigen Dienste flexibel bereitzustellen und dabei unterschiedliche IT-Services zu orchestrieren. Diese Services können intern oder extern erbracht werden. Deutlich wird, dass es in erster Linie um eine optimale Service-Erbringung geht und erst im zweiten Schritt um externe Dienste, die eben manchmal besser geeignet sind, um die Ziele zu erreichen, manchmal aber auch nicht.

Das erklärt auch, warum so viel über verschiedene Clouds wie eine Public Cloud, die Private Cloud oder die Hybrid Cloud gesprochen wird, wobei auch diese Begriffe keineswegs eindeutig definiert sind. Letztlich kann man aber von einer externen, einer internen und einer gemischten Leistungserbringung sprechen. Mit Blick auf die Gesamt-IT ist dabei heute schon der hybride Ansatz die Regel. Welches Unternehmen bezieht nicht schon einzelne Leistungen – vom Backup über E-Mail-Services, Updates von Virendefinitionen, Web-Hosting oder Web Conferencing bis hin zu spezialisierten Leistungen – von externen IT-Dienstleistern? Auch Outsourcing kann durchaus als eine sehr spezialisierte Form des Cloud Computings mit individuellen statt generischen Leistungen verstanden werden. Wie so oft zeigt sich also bei näherer Betrachtung, dass keineswegs alles neu ist. Cloud Computing ist ein neuer Dachbegriff für eine Entwicklung, die schon sehr viel früher begonnen hat. Themen wie Software as a Service oder On-Demand-Computing spielen in der IT-Branche schon seit Jahren eine Rolle.

Das bedeutet aber, dass auch die Sicherheitsthemen rund um Cloud Computing keineswegs ganz neu sind. Denn die grundsätzlichen Fragestellungen gibt es schon, seit Unternehmen begonnen haben, IT-Leistungen nach außen zu vergeben. Allerdings verändern sich manche dieser Herausforderungen mit Cloud Computing und es ergeben sich wegen technischer Änderungen durchaus auch neue Anforderungen.

TAKTISCHE NUTZUNG Einer der wichtigsten Aspekte beim Cloud Computing ist, dass dieses den Übergang von einer taktischen, opportunistischen Nutzung einzelner externer Dienste hin zu einem strategischen Ansatz darstellt, in dem der jeweils beste Diensterbringer flexibel ausgewählt und auch gewechselt werden kann. Das birgt Chancen und Risiken. Die Chance liegt darin, dass man in einem solchen strategischen Ansatz standardisiert und mit festen Kriterien entscheidet und damit das Thema Sicherheit potenziell genauer beleuchtet als das oft bei ad-hoc-Entscheidungen der Fall ist. Das Risiko liegt darin, dass zukünftig mit deutlich mehr externen Leistungserbringern zusammen gearbeitet werden muss und damit natürlich auch die Überwachungsanforderungen steigen.

Neue Anforderungen entstehen zudem durch zunehmende Virtualisierung, die einige spezielle technische Herausforderungen birgt. Nicht unterschätzt werden dürfen auch die Compliance-Anforderungen bei Cloud Computing. Im Bereich des Datenschutzes gilt die Faustregel, dass eine Verarbeitung von personenbezogenen und anderen sensitiven Daten außerhalb der EU bedenklich ist, da hier teilweise unterschiedliche Regelungen beispielsweise der USA mit europäischem Recht in Konflikt stehen.

Der erste Schritt hin zu sicherem Cloud Computing heißt IT-Risikomanagement. Unternehmen müssen die Risiken kennen, um entscheiden zu können, welche Services unter welchen Voraussetzungen wo ausgeführt werden können. Das setzt eine Risikobewertung von Diensten und der von diesen zu verarbeitenden Daten voraus. Es setzt aber auch eine konsistente Service-Beschreibung voraus, zu der neben Risiken auch die Ausführungsbedingungen gehören. Dort muss beispielsweise festgehalten sein, welche Sicherheitsanforderungen gestellt werden und wo die Verarbeitung erfolgen soll. Auch spezifische Anforderungen wie eine verschlüsselte Übertragung und Speicherung sind hier zu nennen und müssen in Service Level Agreements (SLA) gefasst werden. Service-Beschreibungen können mit den vorgegebenen SLA von Anbietern abgeglichen werden, um zu erkennen, ob die Voraussetzungen beispielsweise für eine Externalisierung gegeben sind.

* Martin Kuppinger ist Gründer des Beratungs- und Analystenhauses Kuppinger Cole.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: