Bringt die Wolken-Lösung tatsächlich Mehrwert?

Gibt es tatsächlich viel Neues am IT-Himmel zu entdecken? Genau genommen eigentlich nicht. Das sogenannte Cloud-Computing gibt es bereits in einfacher Form seit über dreissig Jahren. Damals verarbeiteten Programmierer Daten an separaten Terminals, die mit einem Grossrechner verbunden waren. Später entstanden Plattformen, wie Ebay, die sich dieser Idee bedienen. Heute lassen sich viele Dienste darunter subsummieren wie «Platform as a Service», «Infrastructure as a Servi­ce» oder «Software as a Service». Auch Datenlaufwerke in Rechenzentren werden unter dem Begriff «Cloud» geführt und runden damit eine grosse Palette von rein virtuellen Laufwerken bis zu individualisierten Anwendungen ab.

Grosse Skepsis

So sehr die Wolke bereits seit Jahrzehnten Teil des Alltags ist, wird sie dennoch weiterhin mit Skepsis betrachtet. Hewlett Packard Deutschland befragte, zusammen mit Techconsult, zweihundert mittelständische Unternehmen mit bis zu zweitausend Mitarbeitern. 11 Prozent hatten im vergangenen Vierteljahr bereits auf Cloud-Lösungen zurückgegriffen. Ein erweiterter Blick auf das vergangene Dreivierteljahr zeigt, dass nur wenig Bewegung vorherrscht. Anfang August bestätigte sich diese Skepsis, als in den Nachrichten von einem Blitzschlag berichtet wurde, der die Cloud-Rechenzentren von Amazon.com und Microsoft in Irland teilweise lahmlegte. Mit gewisser Ironie kommentierten Unternehmer den Ausfall, «Dann behalte ich lieber unseren hauseigenen Server. Falls der Blitz dort einschlägt, dann sind wenigstens die Wege kürzer», scherzte der Geschäftsführer eines mittelständischen Autoteilezulieferers.

Doch selbst funktionierenden Cloud-Angeboten wird mit Vorsicht begegnet, wie Apples neueste Errungenschaft, die iCloud, bewies. Statt Euphorie, wie es Apple bei Neupräsentationen gewohnt ist, waren überwiegend kritische Fragen in Fachmagazinen zu lesen. Ist die Cloud sicher? Wie gut sind Daten dort aufgehoben? Wie einfach lassen sich sensible Dateien hacken oder persönliche Informationen nutzen?

All diese Fragen stellen sich nicht nur Privatnutzer, auch mittelständische Unternehmen stehen vor der Frage, wie sehr sie sich der Wolke anvertrauen. Darüber hinaus herrscht Ratlosigkeit, wie Cloud-Anwendungen im Unternehmen konkret nutzbar wären und wie sie zu handhaben sind. Selbst Unternehmen, die bereits eine Cloud-Lösung installiert haben, überwachen die sicherheitsrelevanten Themen ständig weiter, wie eine Umfrage des Ponemon Institutes unter 283 unternehmerischen Cloud-Computing-Nutzern zeigt, und greifen nicht automatisch auf weitere Dienste zu.

Prüfkriterien beachten

Cloud-Computing bietet leistungsstarke Server- und IT-Kapazitäten mit geringem Aufwand und Kosten für jeden Anwender und die genutzten Applikationen. Auch die Kosten für den Aufbau der Peripherie, Implementierung, Anwendung und Instandhaltung reduzieren sich deutlich, weil nur tatsächlich genutzte Ressourcen Kosten verursachen. Es klingt auf den ersten Blick wie eine hervorragende und durchdachte Lösung. Wie jede Lösung passt sie allerdings nicht auf jedes Problem und birgt Risiken. Wer Cloud-Lösungen im Unternehmen implementieren möchte, sollte deshalb zunächst die folgenden vier Punkte prüfen:

Sicherheit

Nicht alle unternehmerischen Informationen sind kritisch bewertet, manche sogar öffentlich zugänglich. Dagegen gibt es sensible Daten wie Forschungsergebnisse, Produktentwicklungen, Unternehmenszahlen und datenschutzrelevante Informationen, die nur einem erlesenen Kreis zugänglich sind. Die Kritikalität der Daten ist damit die erste wichtige Überlegung bei der Entscheidung, in die Wolke zu gehen. Eine Klassifizierung nach Integrität, Vertraulichkeit und Verfügbarkeitsanforderungen hilft bei der Einteilung in mehrere Stufen mit jeweils festgelegten Kriterien zum Umgang mit diesen Informationen. Je höher die Kritikalitätseinstufung der Daten, für die eine Cloud-Lösung gefunden werden soll, desto höher die erforderlichen Sicherheits­auflagen.

Fragen zur Sicherheit

• Welche Daten sollen ausgelagert werden?
• Wie sensibel sind diese Informationen?
• Welche Sicherheitsvorkehrungen werden jetzt zum Datenschutz getroffen?
• Welche Möglichkeiten zum Schutz der Daten bietet die Cloud-Lösung?

Zusatznutzen

Services aus der Cloud bieten zum Teil interessante Zusatznutzen. Gerade für kleinere und mittlere Unternehmen werden dadurch Lösungen zugänglich, die bisher unerreichbar waren. Allerdings geht dies häufig auf Kosten der Skalierbarkeit der Lösungen, da eine kundenspezifische Umsetzung oftmals unmöglich oder nur mit grossem Zusatzaufwand umsetzbar ist. Dies kann auch zur Folge haben, dass Geschäftsprozesse den angebotenen Services folgen müssen und nicht umgekehrt.

Fragen zum Zusatznutzen

• Welchen Zusatznutzen bringt das Cloud-Angebot?
• Auf welche Prozesse müsste stattdessen verzichtet werden?
• Wie müssten bestehende Prozesse verändert werden?
• Überwiegt die Verbesserung gegenüber den Einbussen und Kompromissen?

Administrationsaufwand

Die Lösung in der Wolke verspricht geringeren stationären IT-Aufwand. Vor allem der Betrieb der Applikationen, die Administration und die Aktualisierung bilden dabei die Haupteinsparpotenziale. Der einkaufbare Service von der Stange bietet tatsächlich eine kostengünstige Alternative zu teuren Administratoren. Darüber hinaus wird auch die Betriebs-sicherheit vom Dienstleister der Cloud übernommen.

Fragen zum Administrationsaufwand

• Sind die laufenden Kosten der IT-Abteilung zu hoch?
• Ist eine Kostenreduzierung geplant und ist die Cloud-Applikation ein Verschlankungsansatz?
• Lohnt sich das Einsparpotenzial im Gegensatz zu den anstehenden und notwendigen Veränderungsprozessen während der Implementierung?

Produktivität

Das Hauptziel einer Cloud-Lösung sind der wirtschaftliche Vorteil, die Effizienzsteigerung und Flexibilisierung. Wenn es um die wirtschaftliche Kalkulation geht, sollte allerdings stets berücksichtigt werden, dass die Umstellung eines Unternehmens auf eine standardisierte Cloud-Lösung auch mit hohen Kosten verbunden ist. Schliesslich handelt es sich um einen komplexen Change-Management-Prozess, der für die Anpassung aller Betriebs­abläufe notwendig ist. Diese Kosten sind teilweise höher, als der neue Service selbst und die Einsparmassnahmen relativieren sich dadurch erheblich.

Fragen zur Produktivität

• Welche Abteilungen wären von der Implementierung betroffen?
• Wie hoch ist der zeitliche, pekuniäre und personelle Aufwand?
• Ist dieser Kostenaufwand tatsächlich geringer als die Einsparmöglichkeiten?

Bevor sich ein Unternehmen auf eine Lösung in der Wolke einlässt, sind diese Punkte von Wichtigkeit. Sie entscheiden über die Sinnhaftigkeit einer Implementierung. Je sensibler die Daten, desto grösser der finanzielle und sicherheitstechnische Aufwand.

Implementierungshilfen

Nachdem die Sinnhaftigkeit für das eigene Unternehmen geprüft ist und Cloud-Computing als effiziente Ergänzung oder Ersatz für bestimmte Prozesse identifiziert wurde, dienen die anschliessenden Planungsschritte der Sicherheit. Folgende Gesichtspunkte helfen bei der verantwortungsvollen Implementierung und dem sorgsamen Umgang mit Cloud-Computing.

• Wie flexibel muss die Verfügbarkeit der Cloud-Lösungen sein? Cloud-Lösungen können an allen Orten verfügbar gemacht werden. Je grösser das Einzugsgebiet ist, desto höhere Sicherheitsbedingungen müssen geschaffen werden. Es gibt unterschiedliche Cloud-Varianten, je reduzierter die Verfügbarkeit, desto unkomplizierter ist die Sicherheit zu gewährleisten. Andererseits kann die Cloud sehr behilflich sein, Verfügbarkeitsanforderungen zu erfüllen, bis hin zum Management von Notfallsituationen, wenn Backups aus der Cloud verfügbar sind, um Daten wieder herzustellen (Desaster Recovery aus der Cloud).
• Sogenannte Vertraulichkeitsanforderungen können in einer «private Cloud» einfach und deutlich wirksamer dargestellt werden als in Angeboten von der Stange. Die Verschlüsselungsmöglichkeiten lassen sich so besser den unternehmerischen Bedürfnissen anpassen! Gerade geheime Daten, Forschungs- und Entwicklungsprozesse sind in einer öffentlichen Cloud-Lösung nicht sicher. Hier sind gekapselte Systeme, möglicherweise in einem «on premise»-IT-System, eine bessere Lösung!
• Der Umfang der Cloud bestimmt mitunter den Preis. Um eine passende Cloud zu schaffen, hilft es, den Servicebedarf für die kommenden Jahre zu prognostizieren. Wie viele Nutzerzugriffe werden erwartet, welche Datenmengen sollen verarbeitet werden und mit welchen Geräten soll der Zugriff auf die Wolke erfolgen? Diese Fragestellungen helfen, das passende Paket zu schnüren.
• Denken Sie vor der Bestellung schon an die anstehende Migration der Daten. Wie können die relevanten Daten ohne Verlust transferiert werden? Wie kann während der Migration weiter auf die Daten zugegriffen werden? Wie funktioniert der zukünftige Export der Daten aus der Cloud und wie können Sie unterschiedliche genutzte Formate bedienen? Die Arbeit mit den Daten muss gewährleistet sein, während der Implementierung und natürlich auch im Anschluss. Was hilft eine Wolke sicherer Daten, die keiner nutzen kann?
• Bewerten Sie die wirtschaftlichen Aspekte. Welchen Aufwand löst die Implementierung aus? Welchen Administrationsaufwand haben Sie? Lohnt sich ein Umstieg wirklich?
• Die Wahl des Dienstleisters ist ebenso ein wichtiges Entscheidungskriterium. Wie offen kommuniziert der Dienstleister sicherheitsrelevante Lösungen? Wie werden Sicherheitsanforderungen (z. B. ISO/IEC 270­01) umgesetzt? Besteht eine Zertifizierung des Anbieters nach diesem Informationssicherheitsmanagementsystems? Achtung: Stimmt der Anwendungsbereich der Zertifizierung auch mit dem Service überein, der genutzt werden soll? Wie wird Datenschutz gemanagt? Auch ein vorhandenes Zertifikat ersetzt den kritischen Blick nicht!

Individuelle Entscheidung

Die Wolke ist und bleibt ein Sicherheitsrisiko, allein schon deshalb, weil sich Unternehmen auf externe Dienstleister verlassen müssen. Selbst Zertifikate und Reputation können keine hundertprozentige Sicherheit bieten. Darüber hinaus ist die Wirtschaftlichkeit individuell zu prüfen, denn eine Cloud-Lösung hat mit ihren Implementierungs- und Folgekosten nicht zwingend einen Mehrwert. Unter gewissen Umständen kann sie jedoch Prozesse vereinfachen und dauerhaft Kosten reduzieren, so bleibt es eine Einzelfallentscheidung, ob sich der Umzug in die Wolke lohnt. Die Verantwortung für den ordnungsgemässen Umgang mit sensiblen Daten bleibt jedoch immer beim Unternehmer, selbst wenn eine ordnungsgemässe Durchführung des Services
beauftragt wurde.