Die Zukunft liegt wohl (oder übel) in der Cloud, auch wenn es nach wie vor vielfältige IT-Prozesse geben wird, die ein hohes Maß an Sicherheit erfordern. Es stellt sich mittlerweile auch nicht mehr die Frage, ob die Cloud kommt, sondern nur wann und wie.

Wolkige Aussichten

Im Prinzip ist das Konzept, dass sich hinter dem wolkigen Begriff „Cloud IT“ verbirgt, auch gar nicht wirklich neu. Wesentliche Elemente basieren auf den bereits seit den 1960er Jahren verbreiteten Großrechnersystemen (Mainframes), die vor allem in Banken, Versicherungen, großen Unternehmen und in der öffentlichen Verwaltung zum Einsatz kamen. Diese Systeme zeichnen sich dadurch aus, dass sie weit über die Kapazitäten eines Personal Computers (PC) hinausgehen und vor allem Massendaten zuverlässig und schnell verarbeiten können. Mainframes sind eine Zeit lang aus der Mode gekommen, der PC hat sich als preisgünstige Alternative in vielen Anwendungsbereichen etabliert und die teuren und eher unflexiblen Großrechner zunehmend verdrängt. Erst das Internet und vor allem die mittlerweile hohen Bandbreiten bei der Datenübertragung haben dem „alten“ Mainframe-Gedanken eine ungeahnte Renaissance verschafft. Die Bereitstellung von Rechnerkapazität und Software über das Web – in einer Cloud – eröffnet sowohl wirtschaftliche Vorteile als auch eine deutlich höhere Flexibilität. Dem gegenüber steht aber die ganz zentrale Frage der Sicherheit: Wer kann möglicherweise auf vertrauliche Daten extern zugreifen und diese ohne Einwilligung für eigene Zwecke verwenden? Dabei müssen nicht einmal kriminelle Machenschaften im Vordergrund stehen. Es gibt auch viele legale Wege vertrauliche oder zumindest schützenswerte Daten für kommerzielle Zwecke zu nutzen. Amazon, eBay, Facebook, Google & Co sind hier nur die bekanntesten Player.

Vor diesem Hintergrund gilt es Ansätze und Lösungswege zu finden, um die Vorteile von Cloud IT ohne Einbußen bei der Sicherheit zu nutzen. Der Artikel beleuchtet neben verschiedenen Bedrohungsszenarien aktuelle Initiativen, Projekte und konkrete Lösungen.

Sicherheit UND Flexibilität in der ­hybriden Cloud

Wenn von Cloud Computing gesprochen wird, ist damit in vielen Fällen die sogenannte „Public Cloud“ gemeint. Aus dieser öffentlich zugänglichen Rechner-Wolke können Privatpersonen wie Unternehmen Dienste verschiedenster Art, z. B. Textverarbeitung oder E-Mail-Services, via Internet beziehen. Übrigens stammt die Bezeichnung „Cloud“ aus der Welt der Programmierer. Die Entwickler zeichneten das Internet kurzerhand als Wolke, die nicht näher spezifiziert werden musste. Ob dieser aus der Programmierwelt übernommene Begriff zur Vertrauensbildung bei Nicht-Entwicklern wirklich hilfreich ist, sei mal dahingestellt…

In der Tat beruht die Idee des Cloud Computing auf den überschüssigen Rechnerkapazitäten von einigen besonders schnell wachsenden Internet-Unternehmen, wie Amazon, Google und Yahoo. Diese Unternehmen standen vor der wirtschaftlichen Problematik, ihren Nutzern jederzeit genügend Rechnerkapazität zur Verfügung stellen zu müssen, deren Nutzung aber sehr stark schwankte. So verzeichnete etwa Amazon im Jahr 2006 eine Spitzenlast (beispielsweise im Weihnachtsgeschäft), die zehnmal höher war als die Grundlast im Tagesgeschäft. Deshalb entschied sich das Unternehmen dafür, die nicht permanent benötigte Rechnerkapazität auch zu vermarkten. Rund um den Globus können seitdem Internet-Nutzer benötigte Rechnerleistung – nicht nur bei Amazon – nach Bedarf einkaufen; in der Regel wird stundenweise abgerechnet. Schnell wurde diese Form der Bereitstellung von Infrastruktur (Infrastructure-as-a-Service = IaaS) durch weitere Angebote, wie Plattformdienste (Platform-as-a-Service = PaaS) etwa in Form von Speicherkapazität oder Webkonferenzen und Applikationen (Software-as-a-Service = SaaS) ergänzt. Vor allem im Bereich SaaS gibt es mittlerweile eine Vielzahl von Angeboten quer über alle Anwendungsbereiche: Von der Buchhaltung oder dem Beziehungsmanagement (Customer Relationship Management) bis hin zu branchenspezifischen Speziallösungen etwa für Transport und Logistik. Wichtige Leistungsmerkmale sind generell vor allem der netzwerkbasierte Zugang, Selbstbedienung, Ressourcen-Pooling, hohe Elastizität und messbare Datenqualität. Ein wesentliches Merkmal der öffentlichen Wolke besteht dabei vor allem darin, dass der Nutzer des Services nicht unbedingt nachvollziehen kann, wo und von wem genau die Daten verarbeitet werden. Wenn ein Cloud Provider Subunternehmen einschaltet, ist oft nicht ersichtlich, in welchen Ländern die Daten tatsächlich gespeichert sind. Dabei kann es durchaus passieren, dass die Provider die Daten in Rechtsgebiete verschieben, die keine ausreichenden Schutzvorkehrungen haben. Viele Anbieter von Services aus der Public Cloud sind deshalb zunehmend bemüht, ihren Kunden nachzuweisen, was mit ihren Daten passiert und vor allem wo diese verarbeitet werden.

Private Cloud

Der Public Cloud steht die Private Cloud gegenüber. Die Bereitstellung von Services aus einer privaten Wolke hat viele Vorteile, oft allerdings zu Lasten der Flexibilität (und der Kosten). In einer privaten Cloud werden Ressourcen typischerweise dem Nutzer und dessen Organisation fest zugeordnet. Mit einer Private Cloud lassen sich durchaus vergleichbare Effekte wie in der Public Cloud – inklusive Self-Services und Skalierbarkeit – erzielen. Durch die dedizierten Ressourcen werden aber mehr Kontrolle und Anpassungsmöglichkeiten sichergestellt. Eine private Cloud kann übrigens sowohl durch einen externen Betreiber – analog zum Hosting bzw. Outsourcing – erfolgen, wie auch im eigenen Unternehmen. Hier spricht man dann von einer „Corporate“ oder „Enterprise“ Cloud. Der große Nachteil dieser hauseigenen Cloud IT besteht natürlich in der begrenzten Verfügbarkeit von eigenen Ressourcen einschließlich dem höherem administrativen Aufwand. Die IT müsste nämlich wieder so großzügig dimensioniert werden, dass sämtliche Lastspitzen abgedeckt sind und jederzeit ausreichend Rechnerkapazität zur Verfügung steht. Werden beispielsweise Arbeitsplätze abgebaut oder Unternehmensteile verlagert, bestehen die IT-Kosten unabhängig davon erst einmal weiter. Darüber hinaus entstehen erhebliche Aufwände für den Betrieb der Infrastruktur und Applikationen mit eigenem Personal, die nicht mit anderen Marktteilnehmern geteilt („ge-shared“) werden können.

Community Cloud

Als weitere spezifische Ausprägung von Cloud Computing ist hier noch die sogenannte „Community Cloud“ zu nennen. Dabei schließen sich Unternehmen oder Interessengruppen zusammen, um sich eine private Cloud mit den entsprechenden Vorteilen zu erschließen, aber beispielsweise branchenspezifische Anforderungen besser als in einer öffentlichen Wolke abzudecken. So gibt es in verschiedenen Branchen naturgemäß spezielle Sicherheitsanforderungen und Compliance-Vorschriften, wenn es etwa um personenbezogene Datenverarbeitung geht. Die deutsche Versicherungswirtschaft diskutiert derzeit eine „Trusted German Insurance Cloud – TGIC“. Hier geht es um die Weiterentwicklung eines zertifizierten Branchennetzes des Gesamtverbands der Deutschen Versicherungswirtschaft e. V. in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI). Ein weiteres Beispiel findet sich mit dem Projekt „Logistics Mall“, einem virtuellen Einkaufszentrum, in dem Software-Anbieter und -Anwender sowie Logistik- Dienstleister zusammenkommen (siehe hierzu u. a. User-Group „Cloud Computing für Logistik“, Fraunhofer-Institut für Materialfluss und Logistik IML).

Vereinfacht kann man festhalten, dass sich bei den unterschiedlichen Cloud-Typen die Sicherheit umgekehrt proportional zur Flexibilität – zumeist auch den Kosten – verhält. Insofern muss jeder (potenzielle) Cloud-Nutzer sein individuelles Chancen-Risiken-Profil ermitteln und daraus die passende Cloud-Strategie ableiten. Aber um welche Sicherheitsbedürfnisse geht es überhaupt? Welche Themen sind relevant (siehe Abb. 1)?

CP-312_49_Abb_2_S1_Kategorisierung-von-Cloud-Anwendungen

Sicherheit und Risiken der Cloud

Zum einen geht es um potenzielle Datenverluste, etwa durch Ausfall der Serverwolke. Als prominentes Beispiel kann hier der Ausfall des Cloud Services Amazon EC2 in 2011 aufgeführt werden, bei dem eine unbekannte Anzahl an Daten unwiederbringlich verloren ging. Auch die Versuche zur manuellen Wiederherstellung waren dabei vergeblich. Hierbei sollte aber – bei aller berechtigter Kritik an der von Amazon als „bombensicher“ gepriesenen Cloud IT – nicht vergessen werden, dass das Risiko von Datenverlusten auch in der herkömmlichen IT-Landschaft trotz oft ausgeklügelter Backup-Strategien erschreckend häufig auftritt. So gehen allein etwa drei Millionen Personaldatensätze durchschnittlich jeden Tag durch Unachtsamkeit, wie Verlust von Datenträgern – USB Sticks, Notebooks oder Mobiltelefonen, auf denen die Daten nicht verschlüsselt wurden – verloren (siehe hierzu die „Globale Studie zu Verlusten von Unternehmens- und vertraulichen Daten 2011“ von InfoWatch).

Neben der Gefahr des physischen Datenverlusts in der Wolke steht aber vor allem der Datenschutz im Vordergrund. Ein deutsches Unternehmen ist zunächst einmal an das deutsche Datenschutzrecht gebunden. Gegebenenfalls müssen darüber hinaus auch noch diverse international relevante Regeln eingehalten werden. Hier ist insbesondere der Patriot Act zu erwähnen, der bei deutschen IT-Verantwortlichen Angst und Schrecken verbreitet. So müssen amerikanische Cloud Provider, wie Amazon, Google, Rackspace oder Salesforce, die auf ihren Servern gespeicherten Informationen jederzeit auf Anfrage im Namen der Terrorbekämpfung und Spionageabwehr an US-Geheimdienste abtreten (vgl. Arnd Böken, „Patriot Act und Cloud Computing – Zugriff auf Zuruf?, heise online).

In jedem Fall gilt aber: Jedes Unternehmen, das personenbezogene Daten in der Cloud verarbeiten will, also etwa Daten von Mitarbeitern, Kunden oder Lieferanten, muss das Bundesdatenschutzgesetz (BDSG) beachten. Sofern die Datenverarbeitung (nachweislich) innerhalb der EU bzw. dem Europäischen Wirtschaftsraum (EWR) erfolgt, ist man auf der sicheren Seite. In diesem Fall handelt der Cloud Provider de facto wie ein internes Rechenzentrum. Beachtet werden muss dabei allerdings, dass ein schriftlicher Vertrag vorliegt, der die relevanten Bestimmungen zu Datensicherheit und Datenschutz explizit enthält. Diverse Cloud-Anbieter, auch mit internationalen Wurzeln, haben sich bereits auf diese Besonderheit in der deutschen Cloud-Landschaft eingestellt und bieten entsprechende vertragliche Regelungen.

Eine vergleichsweise einfache Methode zur Standortbestimmung und Einordnung der verschiedenen Anwendungen besteht darin, alle Verfahren und Applikationen anhand des Standardisierungsgrads und der Sicherheitsanforderungen zu kategorisieren. Auf dieser Basis lässt sich dann recht schnell feststellen, was in die öffentliche oder private Cloud passt und wovon man besser die Finger lassen sollte (Abb. 2).

An praktischer Unterstützung mangelt es auch sonst nicht. Für den Einstieg in die Cloud kann man sich schon heute gut anhand von praxisnahen Leitfäden und Checklisten, etwa vom IT-Branchenverband BITKOM oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI), orientieren. Hier werden Aspekte wie Vertragsgestaltung, Betriebssicherheit oder Anbieterwechsel ausführlich behandelt. Allerdings muss man sich schon etwas Zeit nehmen, um die recht umfassenden Kataloge durchzugehen. Konzerne wie SAP sprechen sich deshalb auch dafür aus, dass die Branche möglichst einen globalen „Gold-Standard“ für Datensicherheit, Verfügbarkeit, Vertrauenswürdigkeit und Integrität für die wolkigen Dienste festlegt.

Erste Anstrengungen hinsichtlich einer Zertifizierung von Cloud Services werden auch bereits auf nationaler und internationaler Ebene unternommen. So bietet der Verband der deutschen Cloud Computing-Industrie EuroCloud Deutschland_eco (www.eurocloud.de), Ableger des paneuropäischen EuroCloud-Netzwerks, ein Audit zur SaaS-Zertifizierung an. Auch andere Institutionen, wie das SaaS-EcoSystem (www.saas-ecosystem.org) oder TÜV Trust IT (www.it-tuv.com) bieten Gütesiegel für Cloud-Lösungen.

Unterstützt werden die IT-brancheninternen Anstrengungen letztlich auch durch politisch motivierte Initiativen wie „Trust in Cloud“ (www.trusted-cloud.de) des Bundesministeriums für Wirtschaft und Technologie. Hier geht es darum, innovative, sichere und rechtskonforme Cloud Computing-Lösungen zu entwickeln und mit Pilotanwendungen zu erproben. Vor allem mittelständische Kunden sollen davon profitieren und den Aufwand für umfassende eigene Recherchen und Evaluationen deutlich senken können.

Fazit

Auch wenn sich viele IT-Verantwortliche heute noch nicht mit dem Gedanken anfreunden können (oder wollen), ihre Daten in eine private oder öffentlicheCloud zu verlagern, sollte man mit aller gebotenen Vorsicht die ersten Schritte zeitnah wagen. Mittel- bis langfristig führt wohl kein Weg an der (hybriden) Cloud vorbei. Nur wer sich konsequent mit den Möglichkeiten und Grenzen anhand konkreter Einsatzszenarien auseinandersetzt, hat die Chance, schneller als der Wettbewerb von den Vorteilen zu profitieren. Hierbei stehen dann nicht nur Skaleneffekte und Kosteneinsparungen im Vordergrund, sondern vor allem auch die Möglichkeit ganz neue Geschäftsmodelle via Cloud zu etablieren. So wird Cloud Computing beispielsweise in der Fertigungsindustrie eine immer größere Rolle spielen.

Die Cloud wird zum Treiber von Prozess- und Produktinnovationen, bei denen etwa die Kommunikation mit enormen Datenmengen in Echtzeit erfolgen muss und Objekte in der Produktion quasi miteinander „verhandeln“, um den besten Weg zu finden etwa zur Oprimierung der Kapazitätsauslastung: Stichwort „Industrie 4.0“ (www.produktion.de, 18.05.2012: „Cloud-IT – Enabler für die Industrie 4.0“).

Ausblick

Last but not least sollte man bedenken, dass der Sicherheitsstandard externer, spezialisierter Rechenzentren meist deutlich höher ist, als von hauseigenen Administratoren und Systemen gewährleistet werden kann. Gerade bei kleinen und mittleren Unternehmen umfasst die IT-Abteilung nur einen oder wenige Mitarbeiter, die eine Vielzahl von Aufgaben zu bewältigen haben. Der Aufbau professioneller Abwehrmechanismen gegen Angriffe von außen oder auch nur die schlichte Datensicherung durch Backup-Systeme, in Verbindung mit knappen IT-Budgets, sind in diesen Unternehmen kaum möglich. Selbst Großunternehmen sind nicht vor Datenlecks gefeit, wie das Beispiel Sony mit Verlust von 100 Millionen Kundendaten durch einen Cyberangriff zeigt. Demnach waren die von Sony für die Auftritte im Internet verwendeten Steuerungsprogramme nach Einschätzung von Software-Spezialisten schlichtweg veraltet.

Nicht vergessen sollte man, dass der Datenklau in den meisten Fällen gar nicht durch technische Angriffe und Außenstehende erfolgt, wie weithin vermutet, sondern durch Unternehmensangehörige (siehe hierzu z. B. die SiFo-Studie 2009/10: Know-how-Schutz in Baden-Württemberg, Ferdinand-Steinbeis-Institut in Kooperation mit der School of Governance, Risk & Compliance der Steinbeis-Hochschule Berlin, 2010).

Unabhängig davon, ob 40, 50 oder gar 60 % der IT zukünftig aus der Wolke bezogen wird – der Siegeszug des Cloud Computing dürfte kaum aufzuhalten sein. Zumindest in den nächsten zehn bis 20 Jahren wird sich kein Unternehmen und auch keine öffentliche Verwaltung oder sonstige Organisation komplett vom Trend zum Cloud Computing abkoppeln können. Die Schleusen sind bereits dank Social Media und stetig steigender Apps, weit geöffnet. Die wesentliche Herausforderung für die Unternehmensführung und allen voran die IT-Chefs wird darin bestehen, zunächst den jeweils richtigen Mix zwischen „on-premise“ und „as-a-Service“ zu definieren und dann bei den Services deren Verteilung auf die verschiedenen Clouds umzusetzen.

Anschrift des Verfassers:
Dr. Mathias Petri
Vorstand SIBB e. V.
Alt-Moabit 91d
10559 Berlin
E-Mail: mathias.petri@stoneone.de

Dr. Mathias Petri
Jahrgang 1960
Studium der Betriebswirtschafts­lehre an der Freien Universität ­Berlin und der ­Ludwig-Maximilians-Universität München

  • 1989 – 1993: Geschäftsführer ­Signum GmbH
  • 1993 – 1996: Geschäftsstellenleitung ­Computer Gesellschaft Konstanz mbH
  • 1996 – 1998: Leitung Product Unit DMS ­Siemens Nixdorf AG
  • 1998 – 1999: Head Sales&Marketing SiDoc Infomatics GmbH
  • 1999 – 2005: Vorstand SAPERION AG
  • 2005 – 2007: General Manager Beta ­Systems Software AG
  • 2007: Aufsichtsratsvorsitzender ­StoneOne AG
  • Seit 2007: Geschäftsführer
  • docs&rules GmbH
  • Seit 2008: Vorstand StoneOne AG
  • Seit 2010: Vorstand des SIBB Verband der Software-, Informations- und Kommunika­tions-Industrie in Berlin und Brandenburg
  • Seit 2010: Mit-Gründer und Vorstand des SaaS-EcoSystem e. V., ­einem überregionalen Netzwerk für SaaS und Cloud Business