Abflug in die Wolke mit verlässlichem Fahrplan

IT-Governance oder auch "Cloud Governance" sind wichtige Bausteine auf dem Weg zu professionell gemanagten Cloud-Umgebungen. "Aber nur wenn die Dienstleister ihre Service Level Agreement transparent gestalten und auch einhalten, sowie die interne IT sich mit den notwendigen Technologien und Schnittstellen auch selbst auskennt, lassen sich hybride Clouds erfolgreich und sicher betreiben", sagt Carlo Velten, Senior Advisor bei den Marktforschern der Experton Group.

Dies bedeutet für Unternehmen sowohl kulturell als auch auf Prozessebene sich auf das neue Sourcing-Modell einzustellen. Unternehmen sollten die Herausforderung ganzheitlich angehen. Die Cloud Governance solle sich an den Kriterien Transparenz, Machbarkeit und Messbarkeit orientieren, um im Rahmen einer breiter angelegten IT Governance Bestand zu haben, präzisiert Velten. "Nur wenn Strategien, Roadmaps, Projekte, Architekturen und Sourcingprozesse klar und verständlich beschrieben und in der Praxis umsetzbar sind, wird das Modell im Unternehmen Erfolg haben."

Man dürfe die Cloud-Problematik ohnehin nicht losgelöst betrachten von anderen IT-Trends, etwa von der Mobilität oder der rasant anwachsenden Endgerätevielfalt, ergänzt Viktor Hagen, Experte Data Center Architecture & Virtualisation bei Cisco. Der Ansatzpunkt für eine tragfähige Governance-Strategie könne daher nur das Netzwerk selbst sein: "Denn Netzwerke sind die Plattform sowohl für jede Art von Cloud-Service als auch für den mobilen Remote-Zugriff auf Unternehmensressourcen."

Für eine ganzheitliche Sichtweise offeriert der Netzwerkspezialist diverse Lösungsansätze, etwa auf Basis der High-Level Policy Language von Cisco SecureX. Ein optimaler und zugleich pragmatischer Lösungsansatz ergebe sich durch eine Kombination aus übergreifendem Policy Enforcement, kontextsensitiven Scanning-Modulen und globaler Thread-Defense-Intelligenz, empfiehlt Viktor Hagen.

"Bei der Planung von virtuellen Umgebungen muss die Governance von Anfang an mit eingebaut werden", betont demgegenüber Mark Masterson, Innovation Lead Cloud Computing, beim IT-Dienstleister CSC. Üblicherweise werde Governance jedoch von den Virtualisierungsspezialisten eher als störend empfunden und nicht als Business Enabler. Die Governance-Verantwortlichen dagegen verstünden oftmals nicht die technischen Zusammenhänge. Hier sei deshalb gegenseitige Aufklärungsarbeit zu leisten, "und es sollten heterogene Projektteams gebildet werden", so der Experte weiter.

Virtualisierung und SaaS treiben den Markt

Ein erster Schritt zum unternehmensweiten Abheben in die Wolke liegt zweifellos in der Virtualisierung. "Neben der konsequenten Nutzung der technischen Möglichkeiten einer virtuellen IT-Infrastrukturplattform ist vor allem ein Umdenken im Bereich der Service-Bereitstellung sowie die hiermit verbundene Evaluierung der internen Prozesse und SLAs zu nennen", skizziert Manfred Schulz, Director Systems Engineering beim Lösungsanbieter VMware.

Die Gewährleistung der Datensicherheit und das Einhalten von länderspezifischen Regularien bedeuten aktuell eine enorme Herausforderung für Unternehmen, gerade in Verbindung mit der Nutzung von Public Cloud-Lösungen. "Neue zertifizierte Vorgehensweisen, Schnittstellen und Protokolle werden hierzu als Grundlage benötigt", so Schulz weiter.

Wo die Unternehmen unabhängig von ihrer Branchenzugehörigkeit konkret den Hebel ansetzen sollten, das erläutert Herbert Blaauw, IT Security Consultant bei Atos Origin Deutschland und CEMA. Die IT Governance habe sich den neuen Möglichkeiten und Risiken anzupassen, um Datensicherheit, Compliance und Verfügbarkeit aus einem Guss zu gewährleisten.

"Dazu gehört unter anderem eine sorgfältige unternehmensinterne Strategiediskussion, wohin sich das Business entwickelt, welchen Risiken man begegnen muss, einschließlich einer sorgfältigen Auswahl des Cloud-Partners unter dem führenden Aspekt der Risikobeherrschung - und nicht unter dem Aspekt der Kostenminimierung", gibt der Experte zu bedenken.

Engmaschiges Framework schafft Verbindlichkeit

Die Anbieter haben auf den erhöhten Orientierungs- und Beratungsbedarf seitens der Unternehmen bereits reagiert. So offeriert etwa IT-Dienstleister Atos Origin maßgeschneiderte Cloud Security Assessment Services. "Wir prüfen, ob Cloud Provider datenschutzrechtliche Bestimmungen einhalten und empfehlen unseren Kunden, den Provider vertraglich unbedingt auf die datenschutzrechtlichen Bedingungen zu binden, damit die Kunden nicht schon im Vorfeld gegen diese Regelungen verstoßen", sagt Blaauw.

Nur im intensiven Dialog mit den Fachbereichen lässt sich laut den Spezialisten von Atos Origin garantieren, dass die Sicherheitsanforderungen des Unternehmens bei der Nutzung von Cloud Services berücksichtigt worden sind. Das wolkenbasierte Regelwerk hat auch die führenden Sicherheitsspezialisten längst erreicht. Aufgrund von Anforderungen wie BASEL II existieren in den meisten Unternehmen bereits Risikomanagement- und IT-Informationsmanagement-Systeme sowie Verfahrensregister, auf denen das Unternehmen aufsatteln kann.

Das Zauberwort hat Arno van Züren, Business Development Manager bei Trend Micro, dabei in einem leistungsfähigen IT-basierten Informationsmanagementsystem ausgemacht. Sind alle geforderten Prozesse einmal konsequent umgesetzt, dann befinde sich das Unternehmen auf der sicheren Seite. "Konkret bedeutet dies, einen IT-Sicherheitsbeauftragten zu benennen, ein Risikomanagement einzuführen, anständige Freigabeverfahren zu etablieren, Kontrollmechanismen zu schalten und Informationen zu klassifizieren", sagt van Züren.

Eine entsprechend wasserdicht aufgestellte Organisationsstruktur könne so auch bei der Umsetzung einer unternehmensweiten Cloud-Initiative helfen. Fazit: Trotz des derzeit grassierenden Hypes in der IT-Branche dürften mittel- bis langfristig immer mehr Applikationen in die Cloud wandern, sei es in eine private oder eine öffentliche Cloud.

Cloud Computing: So gelingt die Umsetzung der IT Governance erfolgreich

Noch befinden sich unzählige Projekte in Europa im Vergleich zu den USA in der Sondierungs- bzw. Testphase. Erst nach und nach werden die Unternehmen sie in ihre Produktivlandschaft einbetten, beispielsweise durch Integration von privaten in öffentliche Clouds. Für die Applikations-, oder Sicherheitsspezialisten bedeutet dies heute schon, sich für die Wolke zu wappnen, und zwar bevor unangenehme Fragen aus den Fachabteilungen oder seitens der Revision auf sie zurollen.

Wo werden die Daten physisch gespeichert? Bestimmte Daten dürfen nicht ohne weiteres im (nicht-europäischem) Ausland verarbeitet bzw. gespeichert werden (z. B. personenbezogene Daten).

Wie sind die Schnittstellen abgesichert? Der Kunde benötigt nicht nur Cloud-Zugriff für den Cloud-Dienst selbst, sondern auch für die Provisionierung von Benutzern, das Management der Umgebung oder für das Monitoring. Die Schnittstellen müssen deswegen gegen Schwachstellen, wie beispielsweise schwache Authentisierung, Übermitteln von Daten in Klartext und falsche Autorisierung, geschützt sein.

Wie schützt man sich gegen interne Angreifer? Die Gefährdung von internen Angreifern ist nicht neu. Die Auswirkung ist bei Cloud Computing aber bedeutend höher, da ein interner Angreifer Zugriff auf Daten mehrerer Kunden haben kann. Der Cloud Provider sollte deswegen darstellen, wie mit privilegierten Benutzern umgegangen wird und wie internen Angriffen vorgebeugt werden kann.

Wie wird die Vertraulichkeit der Daten gewährleistet? Durch die Komplexität der Architektur können kleine Fehler beim Provider große Auswirkungen haben. Der Cloud Provider sollte nicht nur darstellen, wie die Vertraulichkeit der Daten bei der Übertragung, Verarbeitung und Speicherung gewährleistet wird, sondern auch wie die Vertraulichkeit über den ganzen Lebenszyklus der Hardware garantiert ist (sichere Entsorgung) und was mit den Daten passiert, nachdem der Vertrag abgelaufen oder gekündigt ist.

Wie sind die Security-Management-Prozesse implementiert? Damit der Kunde sein Risikoprofil bestimmen kann, braucht er Einsicht in die Prozesse in den Bereichen Security Incident Management, Hardening, Patching, Logging, etc. beim Provider. Hilfreich sind hier auch Zertifizierungen wie ISO 27001/2, SAS70 oder PCI DSS. Wichtig ist hierbei aber, sich nicht auf die Zertifizierung zu verlassen, sondern sich über die Einhaltung der Prozesse zu vergewissern und Audit-Reports einzusehen.

Quelle: Lothar Lochmaier/Atos Origin