In Zeiten hyperaktiver Geheimdienste kann die Security-Frage nicht ausbleiben. Die Vizepräsidentin der EU-Kommission, Viviane Reding, sagte: "Der Prism-Skandal zeigt, dass Clouds der bevorzugte Ort für alle sind, die Daten abgreifen wollen." Für Anbieter wie Lufthansa Systems sind solche Aussagen tödlich, oder?
Jörg Liebe: Unsere Kunden können sich auf die Einhaltung der gesetzlichen Bestimmungen für Datenverarbeitung in Deutschland verlassen. Konkret bedeutet dies, dass in Deutschland eine behördlich erzwungene Dateneinsicht à la Patriot Act beziehungsweise FISA-Court-Anweisungen nicht möglich ist. Dies wird von unseren Spezialisten bei der Entwicklung der kundenspezifischen Lösung berücksichtigt. Das hat zur Folge, dass entsprechend sensitiv bewertete Daten oder Anwendungen unserer Kunden ausschließlich in Deutschland verarbeitet werden, um damit einen Zugriff von außerhalb der deutschen Rechtsprechung zu verhindern.
Nach einer Comscore-Untersuchung trauen 57 Prozent aller deutschen Unternehmen der Cloud nicht. Was halten Sie dagegen, um die Zweifel zu zerstreuen?
Jörg Liebe: Da muss zunächst die Rückfrage erlaubt sein, was die Untersuchung in dem Zusammenhang unter "trauen" versteht, und vor allem: Bezogen auf welche Cloud-Variante haben die Teilnehmer geantwortet? Da gibt es große Unterschiede. Ausgangspunkt für uns ist in jedem Fall eine gründliche Schutzbedarfsanalyse, die es uns ermöglicht, die Daten und ihre Verarbeitungsprozesse individuell zu kategorisieren.
Entsprechend der ermittelten Schutzbedarfe beraten wir unsere Kunden umfassend über die möglichen Implementierungsszenarien, einschließlich der Frage einer Umsetzung in einer Private oder Public Cloud oder der Datenhaltung innerhalb Deutschlands. Auf dieser Basis verabschiedet der Kunde dann ein auf seine spezifischen Anforderungen abgestimmtes Konzept. Dieses beinhaltet nicht nur Fragen der IT-Security, sondern auch Themen wie beispielsweise Verfügbarkeit und Skalierbarkeit.
Der nach Durchsatz wahrscheinlich größte weltweite kommerzielle Internet-Knoten German Commercial Internet Exchange, kurz DE-CIX, in Frankfurt am Main war oder ist noch Ziel von Spähaktionen. Wie kann Lufthansa Systems ernsthaft versprechen, dass die Kundendaten in Ihrer Cloud sicher vor Zugriffen sind? In Ihren Rechenzentren mag das ja zutreffen. Auf dem Weg dorthin dürften aber erhebliche Sicherheitsrisiken auftreten. Was sagen Sie dazu?
Jörg Liebe: Lufthansa Systems kann zunächst nur in ihrem direkten Zugriffsbereich (Infrastruktur, Applikationen etc.) für die gesicherte und hochverfügbare Bereitstellung entsprechender Private-Cloud-Services Sorge tragen. Der Zugriff auf die Daten und Anwendungen erfolgt über verschlüsselte Datenverbindungen. Die angewandten Verschlüsselungsverfahren sind nach heutigem Kenntnisstand als sicher zu bewerten. Die sachgerechte Implementierung ermöglicht darauf aufbauend eine sichere Ende-zu-Ende-Datenverarbeitung.
Das wird von unseren IT-Sicherheitsexperten kontinuierlich überwacht und mittels PEN-Tests (Penetration-Tests beispielsweise zum Ausschluss von Man-in-the-Middle-Attacken) überprüft und gegebenenfalls auf Basis neuer Angriffsszenarien entsprechend angepasst und gehärtet. Dazu hat Lufthansa Systems ein dediziertes CERT (Computer Emergency Response Team) aufgebaut. Dessen Mitarbeiter erarbeiten auf Basis ihrer Einblicke in aktuelle technische und sicherheitsrelevante Entwicklungen Empfehlungen. Diese sind Grundlage der Maßnahmen, die wir unseren Kunden vorschlagen, um die jeweiligen Anforderungen entsprechend der ermittelten Schutzbedarfskategorien zu erfüllen.
Direkt gefragt: Können Sie guten Gewissens versprechen, dass Kundendaten in Ihrer Cloud sicher sind? Wie können Sie das garantieren?
Jörg Liebe: Eine hundertprozentige Sicherheit kann niemand garantieren. Das gilt ja nicht nur für IT-Sicherheit und sollte allen Unternehmen bewusst sein. Auf Basis des aktuellen Kenntnisstands und der ergriffenen technischen und organisatorischen Maßnahmen sind wir aber überzeugt, dass die Lufthansa-Systems-Cloud für unsere Kunden sicher ist. Dies wird auch durch entsprechende Zertifizierungen wie beispielsweise ISO 27001 belegt.
IBM und Accenture schneiden in einer internationalen IDC-Untersuchung als Cloud-Dienstleister sehr gut ab. Beide fokussieren sich auf branchenspezifische Lösungen. Ist das ein Weg, den Lufthansa Systems ebenfalls einschlagen könnte?
Jörg Liebe: Solange Private- oder Public-Cloud-Angebote im Umfeld von Infrastructure as a Service im Fokus stehen oder gegebenenfalls branchenunspezifische Backoffice-Anwendungen wie Microsofts Office 365, ist es nicht zwingend erforderlich, sich mit seinem Angebot an ausgewählte Branchen zu halten. Bei den Themen Software beziehungsweise Platform as a Service (SaaS, PaaS) sind branchenspezifische Kenntnisse für eine erfolgreiche Marktpositionierung dagegen erforderlich.
Dabei haben wir uns auf hochverfügbare und mit einem entsprechenden Service-Level-Agreement versehene sichere Private-Cloud-Angebote für die Bereiche Industrie und Services sowie Logistik für international agierende Unternehmen fokussiert. Als Beispiel sei hier unser vor Kurzem in Betrieb gegangener Private-Cloud-Kunde Tecosim genannt: Aus unserer Private Cloud bezieht der Kunde im Rahmen eines IT-Komplett-Outsourcings Leistungen wie Server-Applikationen und zentralen Speicherplatz sowie die Office-Umgebung.
Lufthansa Systems nutzt Virtual-Desktop-Infrastructure-(VDI-)Technologie, um zu den unter Linux laufenden Anwendungen von Tecosim (CAE-Software) die unter Windows laufenden Office-Anwendungen virtuell dazuzuschalten. Dieser Ansatz schont Ressourcen und ist flexibel, schnell und einfach zu warten. Tecosim kann dadurch sowohl einen High-Performance-Computing-Cluster für Simulationen - zum Beispiel Crashtests in der Automobilindustrie - als auch alle Workstations zur Vor- und Nachbearbeitung der Simulation in unserem Rechenzentrum nutzen.
Cloud Vendor Benchmark 2013
Lufthansa Systems taucht nicht im "CloudVendor Benchmark 2013" der Experton Group auf - in keiner von acht Disziplinen. Dabei hat Lufthansa Systems doch ehrgeizige Pläne bezüglich ihrer Rolle als Cloud-Dienstleister...
Jörg Liebe: Lufthansa Systems hat ein breites Portfolio an IT-Lösungen, die als Private-Cloud-Lösungen unseren Kunden zur Verfügung gestellt werden. Neben einer Reihe von Airline-spezifischen Lösungen wie etwa Navigationskarten, die wir auch als App anbieten, oder unserer Inflight-Entertainment-Lösung BoardConnect gehören dazu: ein auf SAP-Basis entwickeltes Vertriebs- und Anzeigensystem für Medienunternehmen und Verlage, ein integriertes Vertriebs- und Abrechnungssystem für den Personennahverkehr sowie das Guest-Service-Portal Velimo, das erfolgreich auf Kreuzfahrtschiffen und Bussen eingesetzt wird.
Wir sind mit den Erfolgen unserer Lösungen auf Basis der Private Cloud sehr zufrieden. Zudem haben wir ein Public-Cloud-Angebot an den Markt gebracht. Mit der neuen "CloudLounge" können Kunden im Online-Portal über Schieberegler die benötigten Ressourcen Rechenleistung, Arbeitsspeicher, IP-Adressen und Speicherplatz konfigurieren. Sie bekommen unmittelbar den Preis für die ausgewählte Konfiguration angezeigt. Wir sprechen damit neue Kunden insbesondere im Mittelstand an.
Die reine Lehre unterscheidet zwischen Private, Public und Hybrid Clouds. Welchen Typen bevorzugen Ihre Kunden bei Lufthansa Systems?
Jörg Liebe: Bisher haben unsere Kunden fast ausschließlich Private-Cloud-Angebote genutzt. Nur in vereinzelten Einsatzfällen wurden Public-Angebote eingesetzt oder Public- und Private-Cloud-Angebote im Sinne einer Hybrid Cloud integriert verwendet. Allerdings gibt es bei unseren Kunden ein verstärktes Interesse an einer sinnvollen Kopplung der verschiedenen Optionen.
Daher stellt ihnen Lufthansa Systems mit "CloudLounge" seit Oktober dieses Jahres erstmals ein eigenes Public-Cloud-Angebot zur Verfügung. Der entscheidende Vorteil von CloudLounge gegenüber anderen Public-Cloud-Angeboten liegt darin, dass Daten und Applikationen im Rechenzentrum in Deutschland gehostet werden. Das bedeutet, es gelten deutsches Recht und die hohen Sicherheitsstandards, die für die Luftfahrtindustrie und andere besonders sensible Branchen unverzichtbar sind. Ausschlaggebend für die Entwicklung war der Wunsch vieler unserer Kunden, die die Sicherheit und Zuverlässigkeit der Private Cloud von Lufthansa Systems schätzen, nach gesicherten Umgebungen für Tests neuer Routinen und Ideen.
Beispielsweise werden reale, historische Daten über Flugplan, Ticketverkauf und Auslastung einer Airline genutzt, um neue Ansätze für Vorhersagen auf die Entwicklung des Ticketverkaufs und der Flugzeugauslastung zu validieren und zu optimieren. Auch wenn es sich dabei um historische Daten handelt, sind diese trotzdem schützenswert, weil sich daraus Informationen über Verkehrsströme ableiten ließen, deren Kenntnis wettbewerbsrelevant wäre. Mit CloudLounge haben wir ein Angebot geschaffen, das dem Wunsch nach kostengünstigen, flexiblen und kurzfristig verfügbaren Ressourcen bei hoher Sicherheit für die verarbeiteten Prozesse und Daten gerecht wird. Gerade mit diesem Public-Cloud-Angebot erwarten wir eine deutliche Zunahme an Hybrid-Cloud-Nutzung.
Wenn man sich Ihre Cloud-Kunden ansieht: Kommmen sie gehäuft aus bestimmten Branchen? Weisen sie eine typische Größe auf?
Jörg Liebe: In jeder der von Lufthansa Systems betreuten Branchen werden Cloud-basierte Angebote genutzt. In der Airline-IT gibt es bereits seit Jahrzehnten für bestimmte IT-Dienstleistungen Cloud-ähnliche nutzungsabhängige Abrechnungsmethoden. Die Migration vieler Host-basierter Airline-Kernsysteme auf hochverfügbare Client-Server-Infrastrukturen und deren Betrieb als virtualisierte Instanzen hat die Affinität der Airline-Branche zu (Private-)Cloud-Lösungen weiter verstärkt.
Allerdings nehmen Interesse und Nutzung auch in den anderen Branchen zu. Dabei gibt es einen deutlichen Zusammenhang zwischen der Unternehmensgröße und der Zielsetzung, die damit verbunden ist. Große Unternehmen lagern eher die weniger unternehmenskritischen Systeme in die Private oder Public Cloud aus, um ihre IT-Kosten zu senken. Mittelständische Unternehmen sind aufgrund von intern nur mit hohem Aufwand abzubildenden Sicherheitsanforderungen eher interessiert, unternehmerische Kernsysteme in einer möglichst sicheren, hochverfügbaren Private Cloud zu betreiben. Ein Beispiel ist die schon vorhin genannte Tecosim, die mit der Lufthansa Systems Private Cloud sicherstellt, dass die hohen Sicherheitsanforderungen der Automobilindustrie in Bezug auf die verwendeten Daten erfüllt werden.
Vertrauen Unternehmen, die Kunden von Lufthansa Systems sind, auch Klassiker wie HR- oder Finanzanwendungen der Cloud an?
Jörg Liebe: Auf jeden Fall! Unsere Kunden betreiben in der Lufthansa Systems Private Cloud sowohl HR- als auch Finanzanwendungen. Bei ihnen erkennen wir insgesamt ein starkes Vertrauen in den sicheren und hochverfügbaren Betrieb der Lufthansa Systems Private Cloud. Wie schon gesagt, wurden wir genau aus diesem Grund gebeten, auch einen entsprechenden Public-Cloud-Ansatz anzubieten, so dass wir nun auch die CloudLounge zur Verfügung stellen.
Welche Anwendungen verlagern Unternehmen garantiert nicht in die Cloud?
Jörg Liebe: Das hängt anscheinend von der Unternehmensgröße und damit von den intern verfügbaren Ressourcen ab. Große Konzerne beispielsweise betreiben ihre Forschungsabteilungen zum Teil außerhalb der sonstigen Unternehmens-IT und können sich dafür eine Cloud-basierte Abbildung der IT nicht vorstellen. Für mittelständische Unternehmen dagegen sind die Anforderungen an eine hochverfügbare und sichere IT gerade ein starkes Argument, sich mit Private Cloud zu beschäftigen und die entsprechenden Anwendungen Cloud-basiert zu betreiben.