Auf die Auswahl des Providers kommt es an – und einer Prüfüng der Sicherheitsvorkehrungen beim potenziellen Cloud-Partner auf Herz und Nieren. Denn es sei ein weit verbreitetes Vorurteil, das mit dem Auslagern von IT-Aufgaben in die Public Cloud automatisch die Sicherheitsrisiken gleichsam ins Unkalkulierbare steigen.
In der aktuellen Studie „Having Confidence in Cloud Computing - Addressing Enterprise Security Concerns” haben die Experten der Accenture Technology Labs sich der Sicherheitsbedenken von IT-Verantwortlichen angenommen und versucht, die realen Risiken des Cloud Computing einzuschätzen.
Foto: Accenture
Fazit: Dienste aus der Public-Cloud führen keineswegs zwangsläufig zu einem erhöhten Risiko – es kann auch das exakte Gegenteil der Fall sein. „Schließlich sind es die IBMs, Googles, Amazons und Microsofts dieser Welt, die über die technischen, finanziellen und personellen Mittel verfügen, die bestmöglichen Sicherheitsmaßnahmen zu realisieren“, schreiben die Studienautoren.
Insofern sei es nicht ausgeschlossen, dass eben diese mit der zunehmenden Verantwortung in ihrer Funktion als Cloud-Anbieter in punkto Sicherheit neue Maßstäbe und Standards setzen könnten. Standards, die für kleinere Unternehmen schlechthin nicht erreichbar seien, und auch für große Unternehmen, deren Kerngeschäft eben nicht der Betrieb des Rechenzentrums ist, nur unter erheblichen Aufwand zu realisieren sind.
Vier Fragen zur Sicherheit
„Wenn – was zunehmend der Fall ist – Cloud Provider höhere Sicherheitsstandards als ihre Kunden realisieren, werden die Anwender mit Cloud Computing nicht nur ihre Kosten senken, sondern gleichzeitig ihre IT-Sicherheitsrisiken verringern“, resümieren die Accenture-Experten. Beim Auslagern von IT-Aufgaben in die Public Cloud sind es vor allem vier Fragen in punkto Sicherheit, die IT-Verantwortlichen zu schaffen machen:
-
IT-Entscheider tun sich schwer mit der sich verändernden Anbieterlandschaft. Mit der zunehmenden Akzeptanz von Cloud-Services treten neue und unbekannte Provider in den Markt ein. Es gibt noch viel Unsicherheit: Werden diese Anbieter die Kundendaten mit der gleichen Sorgfalt behandeln, wie die interne Unternehmens-IT? Wo exakt werden die Daten gespeichert?
-
Kunden haben noch große Zweifel, ob Cloud-Anbieter eine hinreichende Sicherheit ihrer Infrastruktur gewährleisten können, etwa um Hacker-Angriffe abzuwehen und die physische Sicherheit zu garantieren.
-
Sind die Provider in der Lage, ihre IT-Infrastruktur und Services nach verbindlichen Industrie-Standards zu managen, KPIs und Reporting nach anerkannten und verbreiteten Regeln zu gewährleisten. Und können sie bei Nichterfüllung zur Verantwortung gezogen werden?
-
Wie lassen sich klare und verlässliche SLAs vereinbaren und deren Einhaltung garantieren? Beim Cloud Computing sind Antwortzeiten kaum exakt festzulegen, weil der Zugriff über das Internet erfolgt und damit teilweise außerhalb des Einflusses auch des Providers liegen. Wie sieht es mit Hochverfügbarkeit und Business Continuity aus? IT-Entscheider müssen Gewissheit haben, ob der Cloud-Anbieter über adäquate Datensicherungs- und Recovery-Strategien verfügt.
Die Accenture-Autoren antworten auf diese Sicherheitsbedenken: „Gute Sicherheitsvorkehrungen sind überall gut – egal wo sie zum Einsatz kommen.“ Wenn der Provider die gleichen Sicherheitsmaßnahmen nutzt - nach den gleichen gesetzlichen Regelungen und Richtlinien – sei nicht erkennbar, wieso sich das Risiko des Kunden erhöhen sollte. Wenn das allerdings nicht der Fall ist, erhöht sich zwangsläufig das Risiko des Anwenders und der setzt sich sogar der Gefahr von Strafen oder rechtlicher Verfolgung aus.
Gute Sicherheitsvorkehrungen sind überall gut
Deshalb ist es nach Ansicht von Accenture unerlässlich, leidenschaftslos mit dem Provider dessen Sicherheitsstandards zu diskutieren und diese gründlich zu prüfen. Auf der anderen Seite müssen die Unternehmen im Hinblick auf Cloud-Services auch im eigenen Hause ihre Hausaufgaben machen: “IT-Verantwortliche müssen Mittel entwickeln, um die Bedrohungen und angemessene Sicherheitsmechanismen für unterschiedliche Cloud-Applikationen oder -Ressourcen richtig abzuschätzen.“ Erst daraus ließen sich dann Risiko-Richtlinien und Regeln für den Einsatz von Cloud-Services im Unternehmen ableiten.
Die Accenture-Experten sind indes optimistisch: Auf Seiten der Anbieter sei die Frage nach der Sicherheit als essenzielle Grundlage für den zukünftigen Erfolg im Markt für Cloud Computing angekommen. So zitiert die Studie den CEO eines (nicht genannten) großen Cloud-Anbieters mit folgenden Worten: „Normalerweise unterziehen sich Unternehmen eines viertel- oder halbjährlichen Security-Audits – bei uns findet das jede Woche statt. Wir haben verstanden, dass es nach oben keine Grenze gibt, wenn es um Sicherheit geht. Das ist heute wichtiger als je zuvor.“