Standards, Steuerung, Security
Was Anwendern bei Cloud wichtig ist
- Compliance und Skalierbarkeit zählen zu den wichtigsten Kriterien
- ISO/IEC 27000 ist für das Gros der Unternehmen relevant
- Bitkom-Leitfäden gelten als eher unwichtig
- Anwender wollen mehr Orientierung, Vorgaben und Checklisten für Fachabteilungen
Datensicherheit und ComplianceCompliancebleiben die heiklen Punkte beimCloud ComputingCloud Computing. Das manifestiert sich darin, dass Unternehmen bei Cloud-Anbietern kritischer nach einem sicheren Server-Standort fragen. "Auch Zertifikate und das Image von Cloud-Dienstleistern spielen eine zunehmend wichtige Rolle", berichten die Berater vonPricewaterCoopers (PwC). Für 80 Prozent der Nicht-Nutzer seien Risiken bei DatenschutzDatenschutzund Compliance entscheidende Argumente, die gegen Cloud Computing sprechen. Der Anteil der Cloud-Nutzer unter den deutschen Firmen liegt indes mittlerweile bei 70 Prozent. Alles zu Cloud Computing auf CIO.de Alles zu Compliance auf CIO.de Alles zu Datenschutz auf CIO.de
Die Ergebnisse stammen aus der Studie "Cloud Governance in Deutschland - eine Standortbestimmung". Für diese Erhebung hat PwC in Kooperation mit ISACA Germany Chapter, dem Berufsverband für IT-Prüfer in Deutschland, mehr als 300 Fach- und Führungskräfte aus den Bereichen IT, Finanzen und Revision befragt.
3 Kriterien für Cloud-Provider
Drei Kriterien sind für die Befragten bei der Auswahl eines Cloud-Service beziehungsweise eines Cloud-Anbieters vor allem entscheidend. 91 Prozent nennen hier die Daten- und Informationssicherheit, 89 Prozent die Berücksichtigung der Compliance-Anforderungen und 85 Prozent den Standort der Datenspeicherung und -verarbeitung. Zustimmungsraten von über 70 Prozent erhalten daneben Punkte wie die Vertrauenswürdigkeit des Anbieters, seine Zertifizierung durch Dritte und die Skalierbarkeit der Lösung.
Standards und Zertifikate
Aus der Studie geht hervor, dass insbesondere zwei Standards und Zertifikate aus Anwendersicht wichtig sind. 82 Prozent der Befragten bezeichnen die ISO/IEC 27000-Reihe als für sie relevant. Die Bedeutung dieses Standards ist laut PwC für auf Deutschland fokussierte Firmen mit weniger als einer Milliarde Euro Jahresumsatz größer als für weltweit tätige und umsatzstärkere Unternehmen.
ITIL relevant für 54 Prozent der Befragten
Für diese Gruppe wichtiger ist ITIL beziehungsweise ISO/IEC 20000. Der Standard wird insgesamt von 54 Prozent der Befragten als relevant bezeichnet. Wie die Studie zeigt, ist er für Unternehmen mit einer Cloud-Strategie wichtiger als für jene ohne. "Ebenfalls relativ weit verbreitet sind die ISACA-Frameworks wie etwa COBIT 5, IT Control Objectives for Cloud Computing und Security Considerations for Cloud", ergänzen die Studienautoren. COBIT wird von 47 Prozent als relevant eingestuft, Bitkom-Leitfäden als ausgewähltes Vergleichsbeispiel nur von 27 Prozent.
IT ist 42:28 pro Cloud
Sehr klar zeigt die Studie, dass das Cloud-Thema insbesondere die IT-Abteilung in Befürworter und Gegner spaltet. 42 Prozent der Befragten aus dem Bereich IT bekennen sich explizit zur Cloud. Dieser Anteil ist hoch und wird im Abteilungsvergleich nur vom Marketing mit 46 Prozent an Freunden der Wolke übertroffen.
Angesichts der hohen Zustimmungsrate wäre im Vergleich mit anderen Abteilungen nun zu erwarten, dass es in der IT recht wenige Cloud-Gegner gibt. Der Anteil dieser Gruppe liegt hingegen mit 28 Prozent so hoch wie sonst nur in ausgesprochen Cloud-skeptischen Bereichen wie der Rechtsabteilung oder dem Betriebsrat.
Sicherheit und Compliance
Gesondert betrachten die Studienautoren die für IT-Sicherheit und Compliance zuständigen Befragten, die zu 53 Prozent Gegner der Wolke sind. Gemeinsam mit den Datenschützern bilden sie die gegenüber Cloud Computing skeptischste Gruppe.
Eine große Herausforderung stellt laut Studie nach wie vor die Steuerung von Cloud Computing dar. Drei Viertel der Unternehmen nutzen zwar etablierte Steuerungsmodelle wie ITIL oder ISO 20000 und sind mit diesen auch größtenteils zufrieden. Wünschenswert wäre aus Anwendersicht aber dennoch ein Mehr an Unterstützung. "Nur rund ein Drittel der Befragten ist zufrieden mit der aktuell verfügbaren Literatur", heißt es in der Studie. "Viele wünschen sich mehr Orientierung beim Risiko- und Compliance-Management sowie bei der Prüfbarkeit von Cloud-Services und Cloud-Anbietern."
Cloud-Strategie
84 Prozent der Unternehmen, die individuelle Steuerungsmodelle nutzen, entwickeln auch eine Cloud-Strategie - ein besonders auffälliger Wert unter den Studienergebnissen. Alles in allem haben die Nutzer jedoch mit standardisierten Steuerungsmodellen bessere Erfahrungen gemacht als mit individuellen. "Eine Ausnahme bildet CMMI (Capability Maturity Model Integration), das weniger verbreitet ist und auch in Zusammenhang mit Cloud Computing vergleichsweise schlechter bewertet wird", so PwC.
- 70 Prozent sind in der Wolke
69 Prozent der deutschen Firmen nutzen mittlerweile Cloud-Services. 55 Prozent der Anwender haben eine Cloud-Strategie. - Eine Drittel Überzeugungstäter
Kennen tut Cloud Computing inzwischen fast jeder Anwender. Wichtig ist das Thema für ein Drittel der Befragten. Ähnlich hoch ist der Anteil der Firmen, für die die Cloud eine geringe Rolle spielt. - Gründe gegen die Cloud
Am schwersten wiegen traditionell Sicherheits- und Compliance-Bedenken gegen die Cloud. 54 Prozent der Befragten sehen indes für sich schlichtweg keinen Nutzen in der Wolke. - Erwartungen an die Cloud
Kosteneinsparung ist der Vorteil, denn zwei Drittel der Anwender in der Cloud realisieren wollen. Vier weitere Erwartungen werden von mehr als der Hälfte der Befragten geäußert. - Erfahrungen in der Cloud
So beurteilen die Nutzer ihre Erfahrungen mit den diversen Cloud-Arten. IaaS sorgt für die höchste Zufriedenheit, PaaS ist noch vergleichsweise unbekannt. - Anforderungen an die Public Cloud
Die Public Cloud als Speicherort kommt für die Firmen oft nur unter Umständen in Frage. Zum Beispiel dann, wenn der Speicherort in Deutschland oder der EU liegt.
Wo genau der Schuh drückt, illustriert das Zitat eines Studienteilnehmers: "Hilfreich wären für uns vordefinierte Checklisten für RFQ (Request for Quotation; Preisanfrage), welche die Fachabteilungen an potenzielle Serviceprovider herausschicken könnten. Das aktuell verfügbare Material ist zu detailliert und risikobasierend statt Control based aufgesetzt."
Mehr Orientierung respektive mehr Vorgaben wünschen sich 90 Prozent der Befragten bei der Prüfbarkeit von Cloud-Services. 77 Prozent sehen entsprechende Unterstützungsdefizite bei der Umsetzung rechtlicher Vorgaben, 76 Prozent beim Risiko-Management während der Cloud-Implementierung.
Anwender murren: "Von Flexibilität und Geschwindigkeit nix übrig"
Gegenüber klassischer On-Premise-IT sehen die Befragten vier klare Vorzüge der Cloud: Skalierung, Effizienz hinsichtlich der Bereitstellungsgeschwindigkeit, StandardisierungStandardisierung und Kostenkontrolle. Demgegenüber denkt nur eine Minderheit, dass Sicherheitsvorfälle in der Cloud genauso gut erkannt werden können wie bei klassischer IT. 45 Prozent der Befragten gehen ferner nicht davon aus, mit einer Cloud-basierten Lösung besser oder ebenso geschützt gegen externe Angriffe zu sein wie mit On-Premise-Tools. Alles zu Standardisierung auf CIO.de
Die Hälfte der Studienteilnehmer meint, Anforderungen aus den Fachabteilungen besser mit On-Premise-Software erfüllen zu können als mit Cloud-Services. Zudem ließen sich Schnittstellen besser verwalten und vorhandene Systeme besser integrieren, wenn sie in der eigenen IT betrieben werden.
Auch hierzu eine ausgewählte Teilnehmerstimme: "Von Flexibilität und Geschwindigkeit bleibt in der Regel nicht mehr viel übrig, wenn externe Lösungen mit internen verbunden werden müssen - was eigentlich immer der Fall ist."