Consumerization, Cloud, Compliance
IT-Sicherheit 2011: Das kommt auf Admins zu
Die sieben Todsünden beim Umgang mit der Cloud
Die Cloud ist eine weitere Technologiegattung, die inzwischen ihrem Buzzword-Status entwachsen ist. Das liegt auch daran, dass die verschiedenen Angebote ausgereift sind: Cloud-basierter Storage oder Anti-Spam-Lösungen zeigen, wie sich die Cloud sinnvoll nutzen lässt. Voraussetzung dafür ist allerdings, dass die jeweilige Lösung von den Unternehmensrichtlinien mit abgedeckt sind.
Problematisch wird es allerdings, wenn Cloud-Dienste ohne Kenntnis der IT-Abteilung verwendet werden. Im Rahmen der Konferenz warnte Adrian Davis vom Information Security Forum vor sieben Kardinalfehlern:
-
Ignoranz: Nur weil das Unternehmen offiziell keine Cloud-Lösung anbietet, heißt das nicht, dass einzelne Teams oder Nutzer sie nicht verwenden.
-
Ungewissheit: In Verträgen mit den jeweiligen Anbietern werden wichtige Punkte, etwa Datensicherheit, Standort der Storage-Datencenter oder SLAs, vergessen oder nicht abschließend geklärt
-
Zweifel: Es ist relativ schwierig, die Wirksamkeit von Sicherheitskonzepten zu beweisen, denn im besten Fall wehren diese alle Attacken ab.
-
Ungewolltes Übertreten: Möglicherweise sind die Gesetze, nach denen sich der Anbieter der Cloud-Lösung richtet, komplett unterschiedlich zu denen, die das Unternehmen zu befolgen hat. Dementsprechend ist es wichtig, dass man sowohl die eigenen rechtlichen Vorgaben kennt als auch die des Anbieters.
-
Chaos: Tritt auf, wenn es keine einheitliche Verwaltung, Klassifizierung und Kontrolle über die Daten gibt, die in die Cloud ausgelagert werden.
-
Einbildung: Meist gehen Firmen davon aus, dass die bisherige Sicherheits-Infrastruktur auch Cloud-basierte Angebote mit abdecken kann. Das ist aber nicht immer der Fall.
-
Nachlässigkeit: Die Cloud-Infrastruktur ist ebenfalls anfällig für Stromausfälle oder Hardwaredefekte - deswegen sollte man in jedem Fall SLAs sowie Backup-Pläne besitzen, um nicht für unbestimmte Zeit von den eigenen Diensten und Daten abgeschnitten zu sein.
Firmen, die sich mit Cloud-Systemen auseinandersetzen, sollten diese Anbieter ebenso behandeln, wie sie bei sonstigen externen Anbietern vorgehen, so Davis. Dazu gehört etwa, dass man Service Level Agreements aushandelt und das bereits in der Firma vorhandene Know-how der IT-Abteilung in die Entscheidungen mit einbindet.
- Die Anbieter im Härtetest
In der Studie werden die Cloud-Services folgender Anbieter analysiert: Amazon, Deutsche Telekom AG Geschäftskundensegment (DTGK), Fujitsu Technology Solutions (FTS), Google, Hewlett-Packard (HP), IBM, Microsoft, Nionex, Pironet NDH, Salesforce.com, T-Systems. - Public-Cloud: So positioniert Experton die Anbieter
Nur fünf der elf untersuchten Hersteller bieten Public Cloud- Services ohne Zugangsbeschränkungen über das Internet an. Das Feld wird beherrscht von US-amerikanischen Anbietern. Ihre Verträge und SLAs - wenn es welche gibt – sind zumeist in englischer Sprache. - Public-Cloud-Anbieter Amazon:
Schon vor acht Jahren hat Jeff Bezos die eigenen Rechenkapazitäten anderen Anwendern zur Nutzung angeboten. Mit diesem großen Erfahrungsvorsprung hat sich Amazon laut Experton-Einschätzung einen Spitzenplatz verdient. - Public-Cloud-Anbieter Microsoft:
Microsoft hat in kurzer Zeit zu Amazon aufgeschlossen. Der Softwarehersteller nutzt seine Marktpräsenz offensiv aus. - Public-Cloud-Anbieter Nionex:
Nionex fordert mit seinem IaaS-Angebot die etablierten Hersteller heraus. Die Bertelsmann-Tochter überzeugte Experton mit Transparenz und einem deutschen Rechenzentren. - Cloud-Angebote für den Mittelstand
Der Mittelstand hat deutlich breitere Anforderungen an Cloud- Anbieter und deren Leistungen. Reine IaaS- und PaaS-Angebote im Public-Modus decken nur einen Teil der Anforderungen ab. - Privat-Cloud im Mittelstand, Microsoft:
Gutes Produktspektrum und hohes Vertrauen: Microsoft ist für mittelständische Anwender mit Interesse an Cloud-Diensten eine gute Anlaufstation. <br/> Quelle: Microsoft. - Privat-Cloud im Mittelstand, IBM:
Auch IBM kann im Mittelstandssegment punkten. Dem Unternehmen kommt vor allem zugute, dass es hohes Vertrauen genießt. - Privat-Cloud im Mittelstand, Deutsche Telekom:
Der Geschäftskundenbereich der Deutschen Telekom bietet unter anderem auch Telco-Cloud-Services und deckt laut Experton-Einschätzung nahezu alle Use-Cases ab. - Privat-Cloud im Mittelstand, Nionex:
Die Bertelmann-Tochter betreibt Server- und Storage-Dienste. Weil Rechenzentren in Deutschland stehen und alle Unterlagen in Deutsch geschrieben sind, bietet sich Nionex als Alternative an. - Privat-Cloud im Mittelstand, HP:
Die Cloud-Angebote von HP sind noch verbesserungsdürftig, meinen die Experton-Analysten. Zudem fehlt das eindeutige Bekenntnis des obersten Managements zum Cloud-Geschäft. - Privat-Cloud im Mittelstand, Amazon:
Google bietet günstige Preise, richtet sich mit den Services jedoch vor allem an den Massenmarkt. Wer bei Bedarf einen lokalen Ansprechpartner benötigt, wird bei Google selten fündig. - Privat-Cloud im Mittelstand, Amazon:
Das gleiche gilt für Amazon. Selbstversorger sind hier bestens aufgehoben. Doch das vertrauen im Mittelstand muss sich Amzon noch erarbeiten.