Der Weg in die Cloud. The safe way.

Ein kurzer Leitfaden von Prof. Dr. Hannes Lubich, der Ihnen die Entscheidung Pro oder Contra erleichtert.

Prof. Dr. Hannes Lubich arbeitete an der ETH Zürich als Forscher und Dozent und war massgeblich am Aufbau des Internet und des Internet-Sicherheits-Teams (CERT) beteiligt. Seit 2009 ist er Professor für IT System & Service Management an der FH Nordwestschweiz in Brugg. Er beschäftigt sich seit 30 Jahren mit IT-Systemen, Netzwerken und IT-Sicherheit.

Der sichere Weg in die Cloud führt nur über einen mehrstufigen Prozess.

Wer ohne unnötige Risiken in die Cloud will, muss Schritt für Schritt die richtigen Entscheidungen treffen.

Die Praxis zeigt, das Thema Sicherheit in der Cloud kann man nur umfassend angehen. Nachhaltige Lösungen, die allen Bedrohungen standhalten, entstehen nur dann, wenn Sicherheitsanforderungen von Anfang an thematisiert werden. Das beginnt schon in der Mandatsphase in der das Unternehmen klar definieren muss, was erreicht werden soll, welche direkten und indirekten Erwartungen bestehen. Schon in dieser Phase sollten alle Sicherheitsanforderungen auf dem Tisch sein.

In der nächsten Phase, der Analysephase, sollte eine fundierte Chancen- und Risikobewertung erfolgen. Je früher alle die nachvollziehbaren Fakten für die Abwägung von Chancen und Risiken kennen, je motivierter unterstützen alle im Entscheidungsprozess Beteiligten den Weg in die Cloud.

Zudem geht es hier um die Frage, welche Cloud-Variante zu welchem Preis die Anforderungen des Unternehmens und insbesondere die Security-Anforderungen, optimal erfüllt. Erst dann folgt die Suche nach einem Anbieter, der diese Variante maximal unterstützt und den Spagat zwischen Funktionalität, Sicherheit und Preis am besten beherrscht.

Dem schliesst sich die Pilotierungsphase an, in der man erstmals eine aussagekräftige Teilmenge dieses Dienstes nutzt und so auch dem Benutzer die Möglichkeit gibt, Erfahrungen im Tagesgeschäft zu sammeln. Daraus ergeben sich oftmals weitere Modifikationen.

Erst dann folgt die Arbeits- und Optimierungsphase in der man feststellt, ob die gefundene Lösung für das gesamte Mengengerüst taugt und ob die Compliance Standards eingehalten werden. Hat sich die Cloudlösung im Arbeitsalltag bewährt und hat man umfangreiche Securitytests duchgeführt, geht man auf die Suche nach weiteren Anwendungsfällen.

Ein Prozess mit unterschiedlichen Phasen ist kein Selbstläufer.

Wie sollte ein idealer Start eines solchen Prozesses ganz konkret aussehen?

Entscheidend für den Start ist es, dass man einerseits alle an diesem Entscheid Beteiligten, einbindet. Dabei kommt neben IT und Management auch den Security- und Datenschutzbeauftragten eine Schlüsselrolle zu. Wenn man nachträglich noch einen Entscheidungsträger einbinden muss, wird das eher aufwändig. Andererseits müssen alle Teilnehmer an diesem Schritt Ihre Verantwortung verstehen und seriös wahrnehmen.

Als zweites Element braucht es eine faire Auslegung von Chancen und Risiken. Hier muss man die Erwartungshaltungen managen. Alle Anforderungen speziell in Sachen Data Security müssen auf den Tisch. Wird z.B. erst im Nachhinein klar, dass Kosten das entscheidende Kriterium sind, hat man möglicherweise das gesamte Projekt falsch aufgesetzt.

Zudem gibt es zu Beginn eines solchen Projekts das Problem, dass das Wissenslevel verschieden gross ist. Daraus entstehen oft auch Sicherheitsbedenken. Umso wichtiger ist es, alle auf das gleiche Niveau zu bringen und Transparenz herzustellen. Das sind die wichtigsten Einstiegspunkte.

Des Weiteren gilt es, die prinzipielle Frage zu klären, wie risikoaffin oder risikoavers eine Organisation ist. Ist zum Beispiel ein Problem mit der Verfügbarkeit für die Firma ein Problem, oder eher zu vernachlässigen? Oft stellt man dann fest: ja, es besteht ein gewisses Risiko, aber es gibt eine ganze Reihe von begleitenden Massnahmen mit denen man dieses Risiko auf ein akzeptables Mass reduzieren kann. Am Ende steht das Abwägen der Chancen und Risiken und eine Managemententscheidung, wie man damit umgeht und welche Restrisiken akzeptabel sind.

Nur wenn alle den gleichen Kenntnisstand haben, ziehen alle am selben Strang.

Sind alle die Datensicherheit betreffenden Bedenken ausgeräumt, ist die Wahl des passenden Providers eine weitere, echte Schlüsselentscheidung.

Bei der Auswahl eines Providers ist zu beachten, dass die Economy of Scale stimmt. Das heisst, die geforderte Lösung muss dem Geschäftsmodell des Dienstanbieters entsprechen. Der Provider macht nur Gewinn, wenn er viele möglichst hoch standardisierte Dienstleistungen auf einer schlanken, zentralen Infrastruktur anbieten kann.

Daneben gibt es die üblichen Kriterien, die ein Anbieter erfüllen muss. Viel hängt davon ab, dass man bei unterschiedlichen Services auch unterschiedliche Dienstqualitäten in diversen Ausprägungen bekommt. Zudem muss der Anbieter die Grundbedenken, die gegenüber der Cloudnutzung bestehen, überzeugend ausräumen können. In die engere Wahl sollte ein Provider nur, wenn er eine performante, stabile und sichere Lösung mit funktionierenden Schnittstellen zu den eigenen Prozessen und Systemen anbieten und die richtigen Zertifikationen nachweisen kann. Zudem sollte man hier fragen, wie der Umgang mit Policies geregelt und im Arbeitsprozess eingebunden ist? Wie Daten konkret geschützt werden. Aber auch vergleichbare Referenzkunden geben Sicherheit. So erhält man, nach einer strukturierten Überprüfung der Referenz, eine unabhängige Sekundärmeinung. Dabei ist es besonders wichtig, dass man mit unterschiedlichen Positionen innerhalb des Unternehmens spricht.

Zudem sollte man auch den Fall durchspielen, dass etwas mal nicht so richtig funktioniert. Da müssen sich beide Seiten Gedanken machen. Wie sieht ein Notfallplan, wie sehen die Schnittstellen aus? Was passiert, wenn der Provider tagelang ausfällt? Agiert der Provider nach dem Motto «No risk no fun» oder sind da Experten am Werk, die auch in kritischen Situationen einen kühlen Kopf bewahren? Das ist fast der wichtigste Punkt, denn Verträge sind im Streitfall erfahrungsgemäss wirkungslos.

Man muss seine Hausaufgaben machen, um den richtigen Provider zu finden.

Mit der richtigen Planung läuft der sichere Wechsel in die Cloud reibungsloser und entspannter als viele denken.

Man braucht in jedem Fall einen erfahrenen Projektleiter, der zwischen den Beteiligten moderieren kann. Zudem ist der Übergang zwischen der Projekt- und der Betriebsphase enorm wichtig. Wie diese Transition realisiert wird, ist singulär fast das grösste Problem. Deshalb braucht es eine Migration, eine Weiche, einen Early Live Support. Ein Support der dabei hilft, dass das Projekt am Anfang überlebt. Deshalb sollte man das Projekt solange mit Ressourcen stehen lassen, bis man genügend Erfahrungen im Betrieb gesammelt hat, bis also alles stabil läuft.

Aber auch danach ist eine Taskforce, die bei Problemen einschreiten kann, die Optimierungen initiiert und umsetzt, von grossem Wert. Sie kann Compliance Standards überwachen aber auch weitere Potentiale für die Cloud erkennen. Zudem muss sich jemand ums Reporting kümmern oder regelmässig kontrollieren, ob Ressourcen, die man bezieht, auch genutzt werden.

Nur mit einer steuernden und überwachenden Funktion im Unternehmens kann man beurteilen, wie die Zusammenarbeit läuft und wie Policies umgesetzt werden. Umso wichtiger ist es regelmässig zu tracken und zu reviewen. Nur so kann man herauszufinden, ob die Erwartungen und Anforderungen des Unternehmens erfüllt werden, oder nicht. Dazu braucht man einen Verantwortlichen innerhalb des Unternehmens, der die Governance- aber auch die Scoutfunktion wahrnimmt. So bekommt man wertvolle Einblicke, welche neuen Technologien der Provider anbietet, wie es um Funktionen steht, die Sie gerne einsetzen würden und wie Ihr Unternehmen auf Basis neuer Technologien neue Produkte oder neue Dienstleistungen anbieten kann.

Auch wer die Sicherheit in den Vordergrund stellt, kann den Weg in die Cloud gehen.

Als Resümee ist festzuhalten. Der Weg in die Cloud ist nicht gratis, aber er lohnt sich und erfüllt alle Sicherheitsanforderungen, wenn man seine Hausaufgaben bezüglich Planung, Umsetzung und Nutzung macht. Es bedarf auf jeden Fall Zeit und Aufwand, um erfolgreich und sicher in die Cloud zu starten. Aber wenn es gut läuft, kann ein Unternehmen viel Geld sparen. Die Cloud setzt im Unternehmen Ressourcen frei. Man kann sich stärker auf eigene Kernkompetenzen konzentrieren. Man geht raus aus den hohen Betriebskosten und hat mehr Geld für Investitionen und Innovationen. Was Sicherheitsbedenken angeht, müssen Unternehmen allgemeiner Bedenken relaxter werden, und sich auf die konkreten Sicherheitsanforderungen konzentrieren. Daten können auch in der Cloud hervorragende gesichert werden, die Verfügbarkeit hat ein sehr, sehr hohes Level erreicht und die Daten sind auch gegen Hackerangriffe professionell geschützt. Oder anders gesagt: Inzwischen ist das Sicherheitslevel in der Public- oder Hybrid Cloud meist höher, als es kleine und mittelgrosse Unternehmen jemals realisieren konnten und in Zukunft realisieren können.

Anforderungen müssen aber auch früher und klarer definiert werden. Die Frage lautet nicht mehr. Ja oder nein. Die Frage lautet: auf welche Art und wie schafft man eine Balance zwischen Chance und Risiko. Und, ganz wichtig: Das ist kein IT-Entscheid, das muss ein Management-Entscheid sein. Die Cloud wird zwar heute noch von vielen als ein IT-Problem wahrgenommen – aber das ist sie nicht. Wenn alle Beteiligten an einem Strang ziehen, ihre Erwartungen richtig einstellen und im Betrieb ihren Governance-Pflichten nachkommen, ist die Cloud eine Erfolgsgeschichte. Nahezu immer und überall. Und auch in Sachen Sicherheit für viele Unternehmen ein klarer Schritt nach vorne.

Sie suchen einen Cloud- und Security Spezialisten? BNC unterstützt Sie auf Ihrem Weg in die Cloud. Security ist ein Schlüsselfaktor dabei, BNC’s Technologiepartner Check Point bietet proaktiven Schutz für Cloud-Daten, Workloads, Netzwerke und Anwendungen.