das Neueste:
Home | IT | Cloud-Produkte werden reifen – der nächste Schritt in der Evolution der Informationstechnologie

Cloud-Produkte werden reifen – der nächste Schritt in der Evolution der Informationstechnologie

cloud

Ein IT-Sicherheitsexperte (Mark Semmler), der einen Vortrag über Cloud-Computing-Sicherheit hielt: „Clouds sind nicht per se sicher, aber immer noch besser als die Sicherheit in einem typischen Klein- oder mittelständischen Unternehmen“ Wortwörtlich: „So sch*** wie die in der Regel abgesichert sind, so schlecht kann eine Cloud gar nicht sein“.

Vorteile

Cloud Computing ist der nächste Schritt in der Evolution der Informationstechnologie, allerdings ist es mehr als ein reines IT- oder das Technologie-Management Thema. Denn durch die stärkere Unabhängigkeit von Geschäftsprozessen und den IT-Ressourcen sind Unternehmen flexibler und können schneller Innovation hervor bringen.

Einfachheit

Bei vielen Cloud-Diensten kann man sich online anmelden und die Dienste direkt danach nutzen. Viele Dienste, wie die Online-CRM Anwendungen von Salesforce, abstrahieren komplexe Prozesse für die Benutzer. So kann eine komplexe Anwendung die auf vielen Servern läuft einfach über ein Webinterface bedient werden.

Kostenersparnis

Bei Cloud-Computing können schnell Ressourcen gebucht werden, die im Moment benötigt werden. Gerade durch die „Bezahlung nach Nutzung“ müssen Ressourcen nicht gezahlt werden die normalerweise nur zur Sicherheit vorgehalten werden müssen. So nutzt das Online-Empfehlungsportal Qype die Google Apps für die Nutzung von E-Mails und Kalendern. Damit musste keine eigene kostenintensive Mail-Server-Infrastruktur installiert und gepflegt werden. Die Kosten können je nach Unternehmensgröße um 20 – 60% gesenkt werden.

Skalierbarkeit

Kleine Unternehmen müssen keine Infrastruktur aufbauen, sondern nutzen die Dienste der Cloud. Und damit können sie benötigte Ressourcen je nach Bedarf buchen. Flickr, die Plattform für den Austausch von Fotos, speichert beispielsweise alle Daten in der Cloud von Amazon. So konnten sich die Entwickler auf die Programmierung des Systems konzentrieren und Flickr konnte kontinuierlich wachsen, ohne dass es einen Engpass bei der Speicherkapazität gab.

Zukunftssicherheit

Der Vorteil bei Cloud Computing ist, dass sich Spezialisten in großen Rechenzentren um tausende einzelner Rechner kümmern. Durch den Charakter von Cloud-Angebote können einzelne Rechner ausgetauscht werden ohne dass der Betrieb beeinträchtigt wird. Damit lassen sich während des Betriebs Hardware-Komponenten austauschen und Software aktualisieren. Damit regeneriert sich die Cloud von selbst und ist immer auf dem neuesten Stand. So nutzt man bei der Online-Office Variante von Microsoft Office 365 immer die neuesten Versionen.

Nachhaltigkeit

Green-IT ist in letzter Zeit eines der Hype-Themen und auch bei Cloud-Computing kommt es zum Zuge. So können große zentrale Rechenzentren effizienter betrieben werden als viele kleine lokale Zentren, da deren Auslastung konstanter ist. In kleinen Zentren liegen zur Pufferung von Lastspitzen jedoch oft viele Ressourcen brach. Amazon nutzt diesen Aspekt für die eigenen Rechenzentren und die Cloud Angebote geschickt aus. So greifen in der Vorweihnachtszeit sehr viele Benutzer auf Amazon zu, und es wird mehr Leistung als sonst für die eigene Website benötigt. Im Gegenzug befi nden sich aber viele Mitarbeiter des Unternehmens im Urlaub und somit werden die Cloud-Dienste nicht so stark wie normal genutzt.

Nachteile

Den Vorteilen stehen natürlich auch einige Nachteile gegenüber. Die grundlegende Eigenschaft der Cloud, dass Daten “irgendwo” gespeichert werden, kann schnell zu einem Nachteil werden. So werden geschäftsinterne Daten und das Know-how des Unternehmens extern gespeichert und verwaltet.

Abhängigkeit

Werden Geschäftsprozesse in die Cloud verlagert, begibt sich ein Unternehmen in eine starke Abhängigkeit vom jeweiligen Anbieter. Geht dieser Anbieter insolvent oder muss aus anderen Gründen den Geschäftsbetrieb einstellen, steht es schlecht um die Kundendaten. Oftmals besteht keine Chance, auf die Rohdaten direkt zuzugreifen. Außerdem können diese Daten oft ohne die passende Software nicht mehr weiterverwendet werden.

Internetzugang

Da auf viele Dienste über das Internet zugegriffen wird, entstehen zusätzliche Abhängigkeiten. Besteht keine Internetverbindung zum Anbieter, ist kein Arbeiten mehr möglich. Es kann an einer Unterbrechung des eigenen Internetanschlusses liegen oder an einer Unterbrechung im jeweiligen Rechenzentrum. Da die benötigte Netzwerkinfrastruktur deutlich komplexer ist als beim lokalen Betrieb, erhöht sich das Risiko einer Unterbrechung.

Verwaltung

Dabei spielen auch Einflussfaktoren eine Rolle, die nicht auf den ersten Blick offensichtlich sind. So ist es dem Internet-Start-Up Radio.de ergangen. 48 Stunden war das Unternehmen lahmgelegt. Es konnten weder E-Mails versendet oder empfangen werden noch konnten interne Dokumente geöffnet werden. Und das an beiden Standorten, in Hamburg und Innsbruck, obwohl die Netzwerkinfrastruktur in Ordnung war. Der Grund für diesen Blackout war ein Fehler in der Abrechnung. Radio.de nutzt für die Büroanwendungen die Dienste von Google. Durch einen Fehler im Bezahlsystem konnte sich kein Mitarbeiter mehr einloggen.

Verlässlichkeit

Die Zentralisierung hat auch dazu geführt, dass mehrere Unternehmen von einem Anbieter abhängig sind. So hat eine Störung bei Amazon dafür gesorgt, dass die bekannten Dienste Foursquare, Quora und Reddit gleichzeitig mit Störungen zu kämpfen hatten. Diese Störung war so gravierend, dass Daten unwiederbringlich verloren gegangen sind.

Interoperabilität

Der Wechsel eines Cloud-Anbieters ist nicht ohne weiteres möglich, da ein automatischer Umzug nicht vorgesehen ist und die Anbieter untereinander inkompatibel sind. Mittlerweile gibt es zwar erste Ansätze für die Entwicklung von Standards im Cloud Computing, um beispielsweise Daten zwischen Anbietern auszutauschen und somit einen Wechsel des Anbieters vorzunehmen. Jedoch braucht diese Entwicklung noch einige Zeit um sich als Standard zu etablieren.

Sicherheit & Datenschutz

Die beiden Punkte Sicherheit und Datenschutz stellen zusammen die größten Nachteile im Vergleich mit anderen Infrastrukturen dar und damit die größten Hürden für die Verwendung von Cloud Computing. Im Nachfolgenden werden diese beiden Punkte genauer betrachtet.

Einer der noch nicht vollständig geklärten Aspekte ist der datenschutzkonforme Umgang mit den Daten in der Cloud, wobei sich der Begriff „Datenschutz“ im deutschen Recht im Wesentlichen auf personenbezogene Daten bezieht. Wenn die Daten auf Servern in verschiedenen Ländern verteilt werden, unterliegen diese auch den jeweiligen landestypischen Gesetzen. Somit wird einer der größten Vorteile des Cloud-Computings, die hohe Abstraktion, zu einem Problem.

Daher muss bei der Auswahl des Anbieters darauf geachtet werden, in welchen Ländern und damit nach welchen Gesetzen die Daten gespeichert werden. Es kommt zum Beispiel zu Problemen, wenn personenbezogene Daten außerhalb der Europäischen Union gespeichert werden. Die außereuropäischen Länder gelten als datenschutzrechtlich kritisch bzw. unsicher. Als Ausnahme ist hier die USA zu sehen, da zwischen der USA und der EU eine Safe-Harbor-Vereinbarung existiert.

Neben personenbezogenen Daten unterliegen jedoch auch andere Dokumente rechtlichen Vorschriften, so müssen beispielsweise steuerlich relevante Dokumente grundsätzlich im Inland aufbewahrt bzw. archiviert werden. Das gleiche gilt, gemäß des deutschen Handelsrechts auch für Buchungsbelege und Handelsbriefe. Der Tatsache, dass die Unternehmen, die die persönlichen Daten erheben für die Sicherheit und den Datenschutz verantwortlich sind und nicht der Cloud Computing-Anbieter sind zu beachten. Wichtig ist auch zu berücksichtigen, dass viele Cloud-Anbieter selbst ein Subunternehmen beauftragen. So werden die Daten von Dropbox in der Cloud von Amazon gespeichert, wodurch die Daten den Regelungen von Amazon unterliegen. Gerade diese Unsicherheit macht eine eigene private EU-Cloud für Unternehmen interessant.

Eines der Hauptprobleme ist, dass die Cloud-Anbieter nicht alle Schritte und Maßnahmen offenlegen. So wird in der Regel nicht veröffentlicht welche Prozesse angewandt werden um Daten vor unbefugten Zugriffen zu schützen. Die fehlende Transparenz in diesem Bereich verhindert heutzutage noch den breiten Einsatz von Cloud-Computing.

Transparenz

Oftmals praktizieren heutige Anbieter Sicherheit durch Verschleierung, allerdings kann ein hoher Sicherheitlevel nur mit Transparenz erreicht werden. Solange die Anbieter nicht offenlegen, wie die Daten und System gesichert sind und wo sich die dazugehörigen Infrastrukturen befinden, ist kein Vergleich und vor allem keine Kontrolle über die eigenen Dienste und Daten möglich. Aber vor allem ist dadurch nicht klar wer theoretischen Zugriff hat, und welche Maßnahmen zur Sicherung angewendet werden. Durch die fehlenden Informationen können deshalb Public Clouds nicht ohne weiteres datenschutzkonform genutzt werden.

Außerdem stehen sie oftmals auch im Widerspruch zu vorhandenen IT-Compliance Regeln. Ein dokumentiertes Datenschutzmanagement und ein veröffentlichtes IT-Sicherheitsmanagement Konzept ist derzeit leider noch bei fast keinem Anbieter anzutreffen. Ein Ansatz um für mehr Transparenz zu sorgen ist die Einführung von Cloud-Compliance um die nachweisbare Einhaltung von unternehmensinternen und vertraglichen Regelungen zur Nutzung oder Bereitstellung von Cloud-Computing Leistungen zu garantieren. Damit kann Cloud-Compliance die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud-Computing reduzieren.

Allerdings müssen dabei die beiden Herausforderungen der Neuartigkeit und der Komplexität bewältigt werden. Dadurch dass unterschiedliche Anbieter auf Grund ihrer unterschiedlichen Leistungen nicht verglichen werden können, müssen jeweils individuelle Vereinbarungen getroffen werden. Allerdings können die Cloud-Compliance Regelungen auf den klassischen und bereits vorhandenen IT-Compliance-Anforderungen aufbauen, da es sich ja um eine neue Nutzungsmethode handelt und nicht um eine neue Technik. Duch dieses Vorgehen sollten also die klassischen IT-Risiken wie Sicherheit, Verfügbarkeit, Vollständigkeit und Nachvollziehbarkeit bereits abgedeckt sein.

Zusammenfassung

Cloud-Computing hat die IT-Branche stark verändert und wird die zukünftige Entwicklung noch weiter stark beeinflussen. Ein oft gezogener Vergleich ist die Entwicklung in der Stromwirtschaft am Ende des 19. Jahrhunderts. Damals erfolgte eine Umstellung von vielen kleinen Stromerzeugern hin zu einem landesweiten Stromnetz mit zentralen Großkraftwerken. Dasselbe geschieht nun gerade in der IT-Branche.

Ressourcen wie Speicherplatz und Rechenleistung werden von Cloud-Anbietern in großen Rechenzentren bereitgestellt. Dieser Prozess fördert eine Art Demokratisierung der IT-Branche. Ein kleines Start-Up kann per Cloud mit einem globalen Unternehmen konkurrieren, ohne eine eigene Infrastruktur aufbauen zu müssen. Zudem treibt die schnelle Entwicklung bei den mobilen Plattformen die Weiterentwicklung zusätzlich flott voran. Durch diese Entwicklung verschieben sich auch die Sicherheitsmaßnahmen weg von einzelnen Rechner und Server bis hin zu zentralen Systemen.

Cloud-Computing unterliegt grundsätzlich den gleichen Angriffsgefahren wie eine traditionelle Infrastruktur. Allerdings steigt die Gefahr eines Angriffs durch die Vereinfachung und Zentralisierung. So kann zum Beispiel ein Angreifer durch das Ausspähen von Zugangsdaten Zugriff auf eine komplette Infrastruktur mit mehreren Servern bekommen. Durch diese Komplexität müssen neuen Prozesse entwickelt werden, zum Beispiel die Schulung von Personal gegen Social Engineering Angriffe, um die Sicherheit zu erhöhen.

Und gerade in Public Clouds und auf geteilten Infrastrukturen wandelt sich der Aufbau von Schutzmechanismen. So müssen Systeme nicht mehr nur vor Angriffen von außerhalb geschützt werden, sondern auch vor Angriffe von innen heraus. Mit der Verteilung auf verschiedenen und unbekannten Systemen erhöht sich die Komplexität und die Anzahl potentiellen Angriffspunkte deutlich. Nur eine sichere Verschlüsselung, die durch den Kunden selbst und nicht durch den Cloud-Anbieter erfolgt, kann einen zuverlässigen Schutz seiner Daten gewährleisten. Ebenso sind starke Authentizität- und Zugangskontrollen notwendig um sicherzustellen, dass kein unbefugter Zugriff ausgeführt wird.

In Bereich der Transparenz haben Cloud-Anbieter noch starken Aufholbedarf und müssen neue Methoden entwickeln um rechtskonforme Dienste zu ermöglichen und damit auch das berechtigte Vertrauen der Kunden zu gewinnen. Neben der Anstrengungen der Anbieter müssen jedoch auch die Forschung, die Wirtschaft und Behörden gemeinsam neue Schutzstandards erarbeiten und entwickeln um eine gemeinsam rechtliche Basis zu schaffen.