Cloud hat speziell in den letzten Jahren den Schritt vom einstigen Hype-Thema zur nutzbringenden Technologie vollzogen. Cloud ist in den Köpfen der IT-Verantwortlichen und in den Rechenzentren angekommen. Doch im Jahr zwei nach Whistleblower Edward Snowden zeigt sich auch: Ohne Verschlüsselung darf es eigentlich nicht gehen. Das Thema Security nimmt berechtigerweise einen immer höheren Stellenwert ein. speicherguide.de sprach über dieses Thema mit Ulrich Müh, Practice Director, Enterprise Services bei Unisys Information Services.

  Wenn es um Cloud und Verschlüsselung geht – denken Ihrer Erfahrung nach die Administratoren schon strategisch für ihr Unternehmen? Oder noch zu punktuell?

Anzeige

Ulrich Müh, Practice Director, Enterprise Services, Unisys Information ServicesMüh: Das ist sehr abhängig von der Branche und vom Unternehmen bzw. dem jeweiligen Administrator. Oft entstammt die Umstellung auf Cloud einer globalen Unternehmensstrategie. Wir beobachten aber immer häufiger, dass IT-Projekte quasi »bottom up« aus dem konkreten Bedarf heraus entstehen. Die Herausforderung ist dann, einerseits die Anforderungen in konkrete flexible und skalierbare IT-Architekturen zu »übersetzen«, andererseits aber auch Ausfall- sowie Datensicherheit nicht außer Acht zu lassen.

  Werden bei Bedarf nur Dateien/Files/Dokumente verschlüsselt? Oder auch schon die interne Netzwerkkommunikation in Unternehmen? Kümmern sich Unternehmen verstärkt um verschlüsselte E-Mail-Kommunikation – oder ist das kaum ein Thema trotz Edward Snowden?

Müh: Die Sensibilität für Sicherheitsthemen allgemein ist seit den Enthüllungen von Snowden deutlich gestiegen. Es wird stärker als zuvor darauf geachtet, welche Informationen mit wem ausgetauscht werden. Gerade Unternehmen, die viel mit externen Partnern zusammenarbeiten und vertrauliche oder unternehmensspezifische Dokumente austauschen, legen mehr Augenmerk auf die Verschlüsselung der Daten. Das betrifft natürlich auch E-Mail-Kommunikation.

  Wenn sich Unternehmen für Verschlüsselung interessieren – müssen Sie noch beweisen, dass es funktioniert? Werden Best-Practises angefordert/verlangt?

Müh: Bei renommierten und bewährten Industrielösungen werden in der Regel keine Best-Practices angefordert, außer es handelt sich um sehr komplexe Szenarien, oder es müssen externe Zusatzfunktionen in die gewählte Lösung integriert werden. Etwas anders sieht es bei Kunden aus dem öffentlichen Sektor aus: Diese benötigen oft einen Referenzkunden und/oder ein Proof-of-Concept. Allerdings hat dies oft mehr mit den Vergaberichtlinien zu tun als mit bestehenden Zweifeln, ob die Verschlüsselung tatsächlich funktioniert.

  Können Sie in Ihrem Geschäftsumfeld erkennen, dass seit der Snowden-Affäre Risikoerwägungen viele Unternehmen noch davon abhalten, mehr Computing-Ressourcen und Geschäftsdaten in die Cloud zu verlagern?

Müh: Die Sensibilität für Datensicherheit ist seit der Snowden-Affäre sicherlich gestiegen. Dies führt dazu, dass einige Unternehmen stärker wieder auf deutsche Partner zurückgreifen oder Inhouse-Lösungen wählen, statt ihre Services ins Ausland zu verlagern. Leider gibt es beim Thema Cloud immer wieder negative Beispiele, was beim Einsatz dieser Technologie schief gehen kann. Gerade erst wurde bekannt, dass das Sony-Netzwerk erneut angegriffen wurde. Obwohl laut Sony »nur« eine DDoS-Attacke gestartet und keine Daten entwendet wurden, erinnert man sich dennoch an den letzten bekannt gewordenen Angriff, bei dem auch Kreditkarteninformationen entwendet wurden.

  Haben Sie das Gefühl, dass Unternehmen – wenn sie sich mit der Cloud beschäftigen – verstärkt europäische/deutsche Cloud-Anbieter/Hoster in Betracht ziehen?

Müh: Ja, definitiv. Wir raten unseren Kunden sogar dazu, sich intensiv mit dem Thema Datenschutz zu beschäftigen. Gerade wenn es um sensible Daten geht, bevorzugen Kunden deutsche bzw. europäische Partner und deren Lösungen. US-amerikanische Partner werden hingegen als rechtlich unsicher eingestuft. In jedem Fall sollte darauf geachtet werden, dass der Cloud-Provider auf Anfrage Auditrechte einräumt, oder auch mit Zertifizierungen die Einhaltung von Branchenstandards bei der Informationssicherheit nachweisen kann.

  Gibt es spezielle Bereiche, wo Sie denken, dass die Cloud leichter in den Unternehmen 2014 ankommt? Beispielsweise Backup-to-the-Cloud, oder unternehmenseigene App-Markets, oder E-Mail-Hosting, oder Archivierung in der Cloud?

Müh: Hier kann zwischen zwei Bereichen unterschieden werden. Im Bereich E-Mail, Backup-Services und Archivierung können schnell Erfolge erzielt werden. Aber auch hier muss darauf geachtet werden, dass die Services weiterhin in die allgemeinen Geschäftsprozesse eingebunden sind. Andere Themengebiete sind etwas aufwändiger umzusetzen, dort bieten sich aber meist größere Einsparpotentiale für den Kunden. Der Erfolg eines Projekts ist in jedem Fall abhängig von den Betriebsprozessen sowie der Mentalität des Unternehmens im Umgang mit der Cloud-Technologie.
In der Praxis kommt es zudem durchaus vor, dass Unternehmen zunächst nur ein vergleichsweise simples Projekt im Bereich Backup oder Archivierung beauftragen. Weil sich dabei aber häufig schon erste »Schmerzpunkte« zeigen, ergeben sich hier bei entsprechenden Erfolgen mitunter Folgeaufträge für kompliziertere Themen. Der Vorteil ist, dass man sich bereits kennt und wir als Dienstleister eine tiefere Kenntnis der Abläufe im Unternehmen haben. So können wir selbst umfangreiche Transformationen noch detailgenauer in die bestehenden IT- und Geschäftsprozesse einpassen.

  Auf welche Entwicklungen sollten kleinere und mittelständische Unternehmen (KMUs), wenn sie sich mit Cloud und Verschlüsselung befassen, besonders achten?

Müh: Bei KMU gilt noch stärker als bei größeren Unternehmen, dass eine einmal getätigte Investition zukunftssicher sein sollte und den zugedachten Zweck zuverlässig erfüllen muss. Insofern sind (extreme) Abhängigkeitssituationen zu vermeiden. Darunter fällt beispielsweise, dass das Abrechnungsmodell flexibel und wirklich »pay per use« ist, und es sich nicht um einen Vertrag mit weitreichender finanzieller oder zeitlicher Bindung handelt.