Schwerpunkte

Cloud-Computing

Vertrauen ist gut, Wissen ist besser

16. August 2016, 17:14 Uhr   |  Autor: Hadi Stiel /Redaktion: Markus Kien | Kommentar(e)

Vertrauen ist gut, Wissen ist besser
© bajinda - fotolia

Die Auslagerung tendenziell sensibler Geschäftsdaten und -prozesse in eine externe Cloud will gut überlegt sein. Immerhin gibt das Unternehmen mit diesem Schritt die Verantwortung für diese IT- und Geschäftsteile ab, mit allen damit verbundenen Risiken. Und die sind sehr komplex.

Im Zeitalter des Cloud-Computing wird von den Cloud-Providern, aber auch von IT-Analysten, die Auslagerung von Daten, Anwendungen und Systemen angepriesen. Dieser Schachzug, heißt es, sei ein probates Mittel für die Unternehmen, ihre IT-Kosten nachhaltig zu senken, ohne dafür Leistungseinbußen gegenüber dem Eigenbetrieb hinnehmen zu müssen. Gerne unterbeleuchtet werden bei diesen Avancen die Leistungs- und Sicherheitsrisiken, die mit der Abgabe von IT-Verantwortungen an Cloud-Dienstleister einhergehen. Auch die Kostenbeispiele für externe Cloud-Dienste, die teils mit aufgeführt werden, sind mit Vorsicht zu genießen.

Kritische Daten unter Eigenregie

Die Entscheidung, ob Unternehmen in Zeiten der wachsenden Gefahr vor allem aus dem Cyberspace Teile der IT abgeben sollten, steht und fällt mit der Sensibilität der Daten und der Geschäftsprozesse.

Soviel vorweg: Geschäftswichtige Daten und Prozesse gehören nicht in externe Hände. Für diese Strategie sprechen viele Gründe: Mit der Auslagerung gibt das Unternehmen nicht nur die Obhut, sondern auch die Kompetenz zur Absicherung und zum Schutz der Daten sowie Prozesse
ab. Das Unternehmen kann im Fall von Outsourcing weder direkt auf die Absicherung und den Schutz einwirken, noch diese Absicherung und diesen Schutz eigenständig nach Bedarf ausbauen.

Kommt es zu Problemen, kann man nur mittelbar über den Cloud-Provider Gegenmaßnahmen anstoßen. Dabei ist das Unternehmen für eine korrekte Bewertung der Vorfälle auf die Vollständigkeit und Qualität der Informationsgabe des Cloud-Dienstleisters angewiesen. Fehlt es an dem Einen oder Anderen, zum Beispiel weil der Provider Strafzahlungen vermeiden will, wird dies zwangsläufig auf Kosten geeigneter Gegenmaßnahmen und somit der Sicherheit der Daten und Geschäftsprozesse gehen. Davon wäre dann auch die Compliance, also die nachweisliche Einhaltung gesetzlicher Vorschriften, negativ betroffen. Die extern bereitgestellten Compliance-Informationen werden selten die Vollständigkeit und Qualität erreichen, die unternehmensintern mit direkter Weisungsbefugnis umsetzbar sind.

Zudem müssten geschäftswichtige Daten und Prozesse vom Cloud-Dienstleister besser abgesichert und geschützt werden. Standardservices reichen dafür nicht aus. Dies zieht für das Unternehmen höhere Dienstleistungskosten nach sich. Hinzu kämen die internen Kosten, um die Services für die Daten, Anwendungen, Systeme sowie Prozesse im eigenen Haus und die in externer Obhut zu organisieren, zu koordinieren, zu überwachen, zu messen und zu bewerten. Parallel müssten alle damit verbundenen personellen Leistungen schnell und reibungslos ineinandergreifen. Das ist zwischen internen und externen Kräften in der geforderten Qualität oft schwer realisierbar. Bei US-Cloud-Providern käme hinzu, dass Unternehmen nie sicher sein können, dass der Dienstleister geschäftswichtige Kundendaten nicht an US-Geheimdienste weitergibt. Daten, die auf Servern in den USA liegen und verarbeitet werden, sind für US-Geheimdienste meist leicht zugänglich. Gleiches dürfte für Cloud-Provider in Großbritannien und den Geheimdienst GCHQ gelten.

Verschlüsselungssysteme, die US-Provider bereitstellen, könnten kompromittiert sein, indem zuvor die Algorithmen offengelegt wurden. Geheimdienste sollen darüber hinaus Daten an zentralen Knotenpunkten des öffentlichen Netzes abgreifen. Das ist ein Grund mehr, dass geschäftswichtige Informationen und Prozesse besser abgesicherte Unternehmens- oder Partnernetze nicht verlassen sollten.

Daten und Prozesse mittlerer Kritikalität

Vertrauen ist gut, Wissen wäre besser. Ein Unternehmen weiß bei der Auslagerung nie vollständig, was im Hintergrund mit seinen Daten passiert. Würde jeder Cloud-Dienstleister für sein Personal die Hand ins Feuer legen oder personelles Fehlverhalten beziehungsweise nicht abgewehrte Hacking-Attacken öffentlich machen?

Auch bei Daten und Geschäftsprozessen mittlerer Kritikalität ist die Frage, ob Teile der Unternehmens-IT ausgelagert werden können, nicht nur eine Kosten-Leistungsfrage. Damit verbunden ist die Fragestellung, welche Leistungs-, Sicherheits- und Compliance-Risiken das Unternehmen dafür bereit ist, in Kauf zu nehmen oder dafür in Kauf nehmen kann. Um Kosten und Leistungen ins richtige Verhältnis zu setzen, ist es erforderlich, alle Kostenfaktoren für die Bewertung „intern oder extern“ zu berücksichtigen. Dazu zählen zum Beispiel die Projekt-, Bereitstellungs-, Betriebs-, Veränderungs-, Koordinierungs- und Weiterentwicklungskosten.  

Das tatsächliche Leistungsniveau des Cloud-Dienstleisters wird das Unternehmen vorab bestenfalls annähernd bewerten können, beispielsweise über Expertisen anderer Kunden. Auch vom Dienstleister vorgelegte Zertifizierungen sind meist nur bedingt aussagekräftig. Vor der Entscheidung „in oder out“ steht im Unternehmen eine gründliche Analyse an, um die Kritikalität von Datenbeständen und Geschäftsprozessen bewerten und einstufen zu können. Erst danach ist es möglich, die Eigenkosten, um diese Datenbestände und Geschäftsprozesse mittlerer Kritikalität abzusichern und zu schützen, detailliert zu erheben und mit der Offerte beziehungsweise Leistungsbeschreibung des Cloud-Dienstleisters zu vergleichen.

Unabhängig davon, wie stark die Auslagerungstendenz im Unternehmen für Daten mittlerer und geringer Kritikalität ist: Zuvor sollte das Sicherheitskonzept stehen. Wichtig ist in diesem Zusammenhang, dass dieses Konzept ausgehend von den Geschäftsprozessen ganzheitlich betrachtet wird. Denn schließlich geht es für das Unternehmen um die Sicherheit und den Schutz der eigenen Daten und Geschäftsprozesse, unabhängig davon, wo diese residieren und ausgeführt werden.

Seite 1 von 6

1. Vertrauen ist gut, Wissen ist besser
2. Sicherheitskonzept ganzheitlich planen
3. Expertenkommentar: Kriterien für sinnvolles Outsourcing
4. Expertenkommentar: Service mit Brief und Siegel
5. Expertenkommentar: Safe Harbour, Privacy Shield und Co.
6. Expertenkommentar: Compliance unter Kontrolle

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

MATERNA GmbH Information & Com, funkschau