Wie Cloud Computing die IT-Security verbessern kann
10.02.2014 von Wolfgang Herrmann
Richtig geplant und betrieben kann Cloud Computing die IT-Sicherheit in kleinen und mittelständischen Unternehmen erheblich verbessern. Diese Botschaft vermittelten Experten auf dem Anwenderkongress "Cloud im Mittelstand". Für KMUs gibt es dazu eine Reihe von Initiativen und Hilfestellungen.
"Die Cloud-Adaption im Mittelstand ist hinter den Erwartungen zurückgeblieben", erklärte Bernd Becker, Vorstandsvorsitzender des EuroCloud Deutschland _eco e.V. zum Auftakt der Veranstaltung auf der Fachmesse CloudZone in Karlsruhe. Im Vergleich mit Großunternehmen hinkten kleine und mittelständische Unternehmen deutlich hinterher. Die weitverbreiteten "Ressentiments" gegenüber dem Thema Cloud sieht er vor allem in Sicherheitsbedenken begründet, die durch die NSA-Äffäre noch einmal deutlich zugenommen haben.
Bernd Becker, EuroCloud Deutschland: "Mittelständische Unternehmen hinken bei der Cloud-Adaption hinterher." Foto: EuroCloud Deutschland_eco
Als "Verband der Cloud-Computing-Wirtschaft am Marktplatz Deutschland" hat EuroCloud naturgemäß ein Interesse an einer wachsenden Akzeptanz des Cloud-Computing-Paradigmas auch in kleineren Unternehmen. Vor diesem Hintergrund präsentierten Experten aus der IT-Branche eine ganze Reihe von Initiativen und Hilfestellungen, die das Thema Sicherheit adressieren und KMUs beim Planen und Implementieren von Cloud-Konzepten unter die Arme greifen sollen.
CloudingSMEs - konkrete Hilfen für den Mittelstand
Eine relativ junges Projekt in diesem Kontext trägt den etwas sperrigen Namen "Clouding SMEs". Dahinter steht ein eine Initiative von KMU-Verbänden sowie Cloud- und Mittelstandsexperten, die von der EU gefördert wird. Die Projektbeteiligten entwickeln unter anderem strategische Konzepte und Werkzeuge für einen effektiven und sicheren Cloud-Einsatz. Ziel sei es, KMUs beim Planen, Einrichten und Betreiben von Cloud-Computing-Szenarien zu unterstützen, erläuterte Andreas Weiss, Direktor bei EuroCloud Deutschland_eco. Dazu stellen die Initiatoren beispielsweise Leitfäden, Checklisten, und Musterverträge zur Verfügung, aber auch Modellrechnungen für Kosten- und Rentabilitätsberechnungen. Interessierten Unternehmen will die Plattform zudem eine Übersicht KMU-gerechter Cloud-Dienste bieten und anhand von Anwendungsbeispielen erläutern, wie der Mittelstand von Cloud Computing profitieren kann.
Certified Secure Cloud soll mehr Transparenz bringen
Um das Reizthema Sicherheit dreht sich auch die sogenannte "Certified Secure Cloud". Gemeint ist damit ein Konzept des Bayerischen IT Sicherheitsclusters e.V., an dem Industrievertreter, Hochschulen, Juristen und IT-Security-Spezialisten mitgearbeitet haben. Die Initiatoren verfolgen das Ziel, "durch zertifizierte Berater und Cloud-Anbieter Transparenz im Markt herzustellen und Kundeninteressen zu wahren." In diesem Zusammenhang stelle die Certified Secure Cloud (kurz: CeSeC) einen technischen und organisatorischen Leitfaden für kleine und mittlere Unternehmen bereit, wie Christian Paulus, Vorstandsmitglied des Bayerischen IT Sicherheitsclusters, erläuterte: "Dieser Zielgruppe soll einfach und verständlich erläutert werden, ob und wenn ja wie sie Teile oder ihre gesamte IT-Umgebung in die Cloud migrieren können." Auf Wunsch begleiteten zertifizierte Berater die Unternehmen bei der Migration und unterstützten bei der Planung, Überwachung und Abnahme.
DIN SPEC - ein Phasenmodell für die Cloud-Einführung
Das Management von Cloud-Lösungen in kleinen und mittleren Unternehmen soll eine DIN-Publikation erleichtern. Das Projekt des Deutschen Instituts für Normung gibt Leitlinien für die Organisation von Outsourcing-Vorhaben mit Cloud-Providern vor. KMUs sollen so eine Hilfestellung erhalten, um Cloud-Projekte nach einem Standardvorhaben abzuwickeln. Dafür wurde ein Phasenmodell für die Cloud-Einführung entwickelt.
Macht Cloud Computing die IT unsicherer?
Macht Cloud Computing die IT unsicherer? - Diese Frage stellte Oliver Dehning, Geschäftsführer beim Security-Dienstleister Antispameurope, in seinem Vortrag. Sein klares Nein begründete er unter anderem mit einer BMWi-Studie vom September 2012. Das IT-Sicherheitsniveau der KMUs in Deutschland erscheine weiterhin "stark verbesserungswürdig", steht dort zu lesen. "Hemmnisse bei der Verbesserung der IT-Sicherheit aus Sicht der KMU" identifizierten die Autoren vor allem an drei Punkten: Kosten- und Zeitaufwand, fehlendes Personal sowie fehlende Qualifikation der Mitarbeiter. Mithilfe von Cloud Computing ließen sich solche Hürden überwinden, argumentierte Dehning.
Tatsächlich, so der Manager, könne Cloud Computing die Sicherheit gerade in kleinen und mittelständischen Unternehmen sogar erheblich verbessern. So sei etwa die Infrastruktur der Cloud Provider mit massiv-redundanten und auf mehrere Data Center verteilten Systemen auf eine extrem hohe Ausfallsicherheit mit erprobten Failover-Mechanismen ausgelegt. Auch der physische Zugangsschutz mit Bewachung, Videoüberwachung oder Ausweiskontrolle liege auf einem Niveau, das sich kleinere Unternehmen gar nicht leisten könnten. Hinzu komme ein effizientes und effektives Management von Updates und Einstellungen, die häufig sicherheitsrelevant sind. Gerade der Mittelstand sollte die sich daraus ergebenden Chancen nutzen, resümierte Dehning. Sein Rat: Commodity-Services in die Cloud auslagern, um Kapazitäten freizumachen, beispielsweise für umfassende Sicherheitskonzepte. (wh)
Trends 2014 Natürlich zählen Cloud, Mobility und Big Data zu den wesentlichen Trends 2014. Die Experton Group hat darüber hinaus sieben weitere Themen identifiziert, die IT-Organisationen im Blick behalten sollten.
Mobile Workspace und Apps Seit Jahren ist Mobilität der treibende Faktor für Veränderungen im Arbeitsumfeld und für die IT-Organisation. Über mobile Arbeitsgeräte wie Laptops bis hin zu den Smartphones und Tablets, sind Themen wie Bring your own Device (BYOD) zu Schlagwörtern geworden. <br><br>2014 ist es notwendig, nicht mehr den Arbeitsplatz sondern die Arbeitsumgebung in den Fokus zu rücken, also vom Workplace zum Workspace. Die Mobile Apps gewinnen damit an Bedeutung. Voraussetzung für den Wandel sind eine passende Entwicklungsumgebung, die Unterstützung mehrerer Betriebssysteme, der Zugriff auf Enterprise Daten und Sicherheitsaspekte. Ohne professionellem Mobile Device Management und Service-Partnern sind diese Punkte kaum zu bewerkstelligen.
Cloud Computing Das Hype-Thema Cloud verschwindet nicht einfach wieder, sondern stellt die neue IT-Architektur des Jahrzehntes dar. Die IT-Organisation versuchen mit hybriden Cloud-Modellen das Konzept unter Kontrolle zu bringen, andere schieben Sicherheitsbedenken vor um de Trend abzuwenden. <br><br> Doch für Anwender aus Leitungsebenen und Fachbereichen ist das Angebot genau das, was sie immer schon wollten – IT aus der Steckdose. Damit obliegt der IT-Organisation die Herausforderung, die IT-Infrastruktur - und hier insbesondere die Server- und Speichersysteme – in eine IaaS-Umgebung zu überführen, also zu „cloudifizieren“.
Dynamic Infrastructure Von der internen Cloud-Installation führt der Weg direkt in eine Dynamic Infrastructure. Sie umfasst vorhandene Rechenzentren und beachtet zukünftigen Anforderungen, die etwa im Zug von Big-Data-Projekten sowie von intelligenten Produkten und Services entstehen können. Ziel ist es, für die nächste fünf bis 15 Jahre eine RZ-Strategie mit größtmöglicher Flexibilität zu erarbeiten, die unterschiedlichsten Anforderungen standhält. <br><br> Dabei stellt sich natürlich die Frage, ob und wie viele eigene Rechenzentren noch gebraucht werden? Oft wird diese Antwort „strategisch“ entschieden, sprich emotional. Aber auch das lässt sich sehr gut mit einer zukünftigen Dynamischen-Infrastruktur-Strategie vereinbaren. Hybride Clouds und zumindest ein eigenes RZ werden bis 2020 die dominierenden Lösungen sein.
Social Business Viele Unternehmen stehen dem ausufernden E-Mail-Verkehr hilflos und frustriert gegenüber und suchen neue Lösungen. Bei Social Business geht es nicht darum, bekannte Social-Media-Anwendungen (Facebook etc.) zu nutzen, sondern deren Prinzipien wie zum Beispiel Collaborative Writing, File Sharing, Blogs, Activity Streams, Wikis und Microblogging im Unternehmen anzuwenden. Größtes Hindernis für die Einführung ist aus Sicht der IT, dass kein Bedarf existiert. Die Fachabteilungen hingegen geben als Hauptgrund die Ablehnung durch die IT-Abteilung an.
Big Data Big Data ist eine unweigerliche Entwicklung, weil Informations- und Kommunikationstechnologien schon jetzt fast alle Lebens- und Geschäftsbereiche durchdrungen haben. Für Datenmengen, die bei großen Unternehmen künftig leicht Terabytes und Petabytes umfassen können, sind neue Verfahren, Algorithmen und Geschäftsprozesse hinsichtlich der Verwaltung, Verarbeitung, Analyse und Verteilung erforderlich. <br><br>So lassen sich Mehrwerte aus Informationen in einer heute nicht immer vorstellbaren Art und Weise gewinnen. Big Data erweitert klassische Business-Analytics-Anwendungen. Die Zahl der an Datenquellen wird deutlich zulegen. Gleiches gilt für interne und externe Datennutzer und Verarbeitungsgeschwindigkeit.
Identity Management und Cybersecurity Die Vernetzung via Internet hat den Bedarf nach bewusster Anonymität verstärkt. Der verantwortungsvolle mit der eigenen digitalen Identität gestaltet sich komplex. In Unternehmen ist daher ein Identity-Management mit Schnittstellen zum Access Management sinnvoll. Damit lassen sich Zugriffsrechte verwaltet, Single-Sign-On-Konzepte (SSO) umsetzen und Security-Policies verwalten. <br><br> Die Anforderungen an die Cybersecurity im Unternehmen sind Bestandteil eines alles umfassenden Risiko-Managements. Zu den Aufgaben zählen etwa Risiken identifizieren und bewerten, Richtlinien zu verfassen und zu kontrollieren, Berichtswege etablieren, die Risikosteuerung umzusetzen sowie die Gefahrenlage im Geschäftsbericht zu beschreiben.
ERP, CRM, SCM of the Future Die ERP-Systeme in den meisten Unternehmen ranken sich um SAP-Lösungen. Ob eine ERP-zentrische Applikationswelt für nicht produzierende Unternehmen die richtige Architektur ist, oder vielleicht das CRM – sprich der Kunde – im Mittelpunkt stehen sollte, bleibt dahingestellt. <br><br> In der Zukunft wird es darum gehen, das vernetzte Chaos zu orchestrieren. Die Flexibilisierung der Alt-Systeme mit neuester S-BPM-Methoden (Subjektorientiertes Business Process Management), steht bei vielen Unternehmen auf der Wunschliste. Erst dadurch wird eine schnelle und individuelle Prozessänderung zu günstigen Kosten ermöglicht. <br><br> Das ist wichtig weil der Kostendruck weiter steigen wird. Bislang beliefen sich die ERP-Kosten auf durchschnittlich rund ein Prozent vom Gesamtumsatz. Künftig sollten sich die gemittelten Wert laut Experton-Empfehlung zunächst auf unter 0.8 Prozent und spätestens bis 2017 auf weniger als 0,5 Prozent reduzieren. Damit werden Finanzmittel frei, die sich in innovative Projekte investieren lassen.
Software as a Service (SaaS) SaaS ist ein besonders beachtenswerter Trend, weil er von den Fachabteilungen vorangetrieben wird. Während sich ihr Bedarf an Computing-Power aus öffentlichen IaaS-Plattformen zumeist auf wenige, sehr spezielle Anwendungen etwa für Rendering beschränkt, ist die Nachfrage nach Applikationen aus der Cloud gewaltig.<br><br><br>SaaS erfüllt den schon immer vorhandenen Wunsch, Anwendungen schnell und frei von Beschaffungsbedenken der IT-Organisation nutzen zu können. <br><br> Aber der IT-Organisation ermöglichen SaaS-Lösungen komfortable Wege. Sie erleichtern beispielsweise einen internationale Rollout von Applikationen.
Consumerization Spätestens mit der Einführung des iPhones hielt die IT Einzug in Massenmarkt. Den Anbietern eröffnen sich damit völlig neue Dimensionen. Statt tausende von Unternehmen als Kunden zu gewinnen, geht es nun darum, Milliarden von Nutzern weltweit zu erreichen. Über das Privatkundengeschäft dringen mobile Geräte und Anwendungen in die Unternehmen vor und verändern sowohl die interne IT, als auch das ITK-Geschäft nachhaltig. <br><br> Als Beispiel seien die häufig in Smartphones verbauten ARM-Prozessoren (Advanced RISC Machine) genannt: Sie sind heute auch schon in hoch-performanten, massiv parallelen Server-Systemen zu finden. Das Wettbewerbsumfeld verändert sich demnach, ausgelöst durch Erfolge im Privatkundengeschäft. <br><br> Im Unternehmens-internen Umfeld steigen die Ansprüche. Die privat angeschafften IT-Geräte und Anwendungen übertreffen oftmals die Unternehmens-IT in Sachen Komfort, Innovation, Mobilität und Multi-Media. Zudem sind sie auch noch günstiger. Dieser Entwicklung muss sich die IT-Organisation stellen.
Digitalization - IT als Produkt Die Digitalisierung unseres täglichen Lebens und der Arbeitswelt schreitet unaufhörlich voran. Verbreitung und Durchdringung haben bereits nie gekannte Höhen erklommen, und das Ende ist nicht absehbar. M2M-Anwendungen (Maschine-zu-Maschine) steht in den Startlöchern. Intelligente Werkzeuge, Maschinen und Dienstleistungen schaffen eine Basis dafür, sich gegenüber Wettbewerbern zu differenzieren.