Transcript Cloud - Trusted or Not

Cloud Trusted or Not
AGENDA
•
•
•
•
•
•
•
•
•
CLOUD was ist das und was ist das nicht
Cloud-Arten im Überblick
Cloud Service Models
Die 10 Irrtümer des Cloud Computing
Mitarbeiter geben eigenständig Millionenbeträge für Cloud-Services aus
Daten in die Cloud – aber mit Bedacht
Cloud begünstigt Schatten-IT in Unternehmen
Ist PRISM das Ende für die Cloud
Cloud Computing als essentieller Bestandteil der Unternehmensstrategie
04.11.2013
© Franz J. Steppe
2
CLOUD was ist das und was ist das nicht
Cloud Computing verändert unser Verständnis von Technologie.
Cloud Computing ist ein IT-Modell, bei dem Software, Middleware und IT-Ressourcen bedarfsgerecht
bereitgestellt werden.
Durch die Bereitstellung von Technologie als Service erhalten die Benutzer Zugang zu den
Ressourcen, die sie tatsächlich für eine bestimmte Aufgabe benötigen.
Damit wird verhindert, dass für ungenutzte IT-Ressourcen bezahlt wird.
Cloud Computing bringt Ihnen jedoch neben Kosteneinsparungen weitere Vorteile.
So stehen Cloud-Nutzern jeweils ohne zusätzliche Aufwände, für sonst erforderliche Updates, die
neuesten Software- und Infrastrukturlösungen zur Verfügung.
04.11.2013
© Franz J. Steppe
3
Cloud-Arten im Überblick
04.11.2013
© Franz J. Steppe
4
Public Cloud
•
•
•
Public Clouds werden von Providern betrieben und dienen dazu, Unternehmen oder
Einzelpersonen schnellen und kostengünstigen Zugang zu IT-Ressourcen zu ermöglichen. Bei
der Nutzung von Public-Cloud-Services müssen die Benutzer die erforderliche Hardware,
Software und Infrastruktur nicht erwerben, da diese vom jeweiligen Provider vorgehalten und
betrieben werden.
Viele Unternehmen nutzen Software as a Service (SaaS) über die Public Cloud für
Anwendungen, die von Customer-Resource-Management (CRM) – wie Salesforce.com – bis zu
Transaktionsmanagement und Datenanalyse reichen.
Neben SaaS-Anwendungen nutzen die Unternehmen weitere Public-Cloud-Services, wie z. B.
Infrastructure as a Service (IaaS), um kurzfristig zusätzliche Speicherkapazität oder
Rechenleistung zur Verfügung zu haben, und Platform as a Service (PaaS) als Umgebung für die
Cloud-basierte Entwicklung und Implementierung von Anwendungen.
04.11.2013
© Franz J. Steppe
5
Private Cloud
•
•
Eine Private Cloud wird von einem einzelnen Unternehmen betrieben, das selbst die Anpassung
der virtuellen Ressourcen und automatisierten Prozesse steuert, die von den verschiedenen
Geschäftsbereichen und Benutzergruppen verwendet werden. Mit einer Private Cloud können
viele der Vorteile des Cloud Computing genutzt werden, während die Kontrolle über die
Ressourcen voll und ganz im eigenen Unternehmen verbleibt. Eine gemeinsame Nutzung der
Ressourcen mit anderen Unternehmen findet nicht statt.
Zu den wichtigsten Merkmalen der Private Cloud gehören folgende:
– Eine Self-Service-Schnittstelle, über die Services gesteuert werden, sodass die IT-Abteilung
schnell und bedarfsgerecht IT-Ressourcen bereitstellen und zuordnen kann.
– Hochautomatisiertes Management von Ressourcenpools für Rechenleistung, Speicher,
Analysefunktionen, Middleware und weitere Ressourcen.
– Ausgereifte Mechanismen für Sicherheit und Governance, die auf die Anforderungen des
jeweiligen Unternehmens abgestimmt sind.
04.11.2013
© Franz J. Steppe
6
Hybrid Cloud
•
•
•
Eine Hybrid Cloud ist eine Kombination aus einer Private Cloud und der strategischen Nutzung
von Services, die über eine Public Cloud verfügbar sind. Die Realität sieht so aus, dass eine
Private Cloud nicht isoliert von den übrigen IT-Ressourcen eines Unternehmen und der Public
Cloud existieren kann. Die meisten Unternehmen mit Private Clouds verteilen mit der Zeit Ihre
Workloads auf Rechenzentren, Private Clouds und Public Clouds. Auf diese Weise entsteht eine
Hybrid Cloud.
Das Konzept der Hybrid Cloud ermöglicht es Unternehmen, kritische
Geschäftsbereichsanwendungen und sensible Daten in einem traditionellen Rechenzentrum oder
einer Private Cloud vorzuhalten und gleichzeitig Ressourcen der Public Cloud zu nutzen. Damit
stehen ihnen z. B. mit SaaS die neuesten Anwendungen und mit IaaS kostengünstige virtuelle
Ressourcen in beliebigem Umfang zur Verfügung.
Der wichtigste Faktor für den Erfolg der Hybrid Cloud
– Die Möglichkeit, eine effiziente und sichere IT-Umgebung zu nutzen, in der Services aus
der Public Cloud und der Private Cloud kombiniert werden, ist ein wesentlicher Vorteil des
Cloud Computing.
04.11.2013
© Franz J. Steppe
7
Cloud-Arten im Überblick
04.11.2013
© Franz J. Steppe
8
Cloud Service Models
04.11.2013
© Franz J. Steppe
9
Infrastructure as a Service (IaaS)
•
•
Das Modell Infrastructure as a Service stellt Unternehmen IT-Ressourcen, wie z. B. Server,
Netzwerkkomponenten, Speicher und Rechenzentrumsinfrastruktur zur Verfügung, die auf Basis
der tatsächlichen Nutzung abgerechnet werden.
Indem Sie diese virtuellen IT-Ressourcen „mieten“, statt selbst vorzuhalten und zu betreiben,
profitieren sie u. a. von folgenden Vorteilen:
– Bedarfsgerechte und flexible Nutzung von Services — schnelles Hinzufügen oder Entfernen
von Services.
– Self-Service-Funktionen, automatisiertes Provisioning und De-Provisioning.
– Reduzierte Kosten durch Größenvorteile und die Nutzung von Ressourcenpools.
– Nutzungsabhängige Abrechnung auf Basis der gemessenen Servicenutzung.
– Diese überzeugenden Vorteile zählen zu den Faktoren die Cloud Computing zu einer
revolutionären Technologie machen. Unternehmen können die IT-Investitionsausgaben
senken und gleichzeitig größtmögliche Flexibilität erreichen. Sie können neue Funktionalität
schnell einführen und die IT optimal zur Unterstützung geschäftlicher Innovation nutzen.
04.11.2013
© Franz J. Steppe
10
Platform as a Service (PaaS)
•
•
Platform as a Service ist ein Modell, bei dem eine vollständige Cloud-basierte Umgebung für den
gesamten Prozess der Erstellung und Bereitstellung von webbasierten Anwendungen in der
Cloud zur Verfügung gestellt wird. Für Unternehmen, die dieses Modell nutzen, entfallen die
Kosten und der Aufwand für den Erwerb und das Management der erforderlichen Hardware und
Software sowie für deren Betrieb und Bereitstellung.
Mit PaaS können Sie:
– Anwendungen schneller entwickeln und einführen,
– neue Webanwendungen in der Cloud in wenigen Minuten implementieren,
– mithilfe von Middleware as a Service die Komplexität verringern.
04.11.2013
© Franz J. Steppe
11
Software as a Service (SaaS)
•
•
•
Cloud-basierte Anwendungen laufen als Software as a Service (SaaS) auf der Infrastuktur eines
externen Providers „in der Cloud“. Der Zugriff durch die Benutzer erfolgt über das Internet, meist
über einen Web-Browser.
gmail von Google ist beispielsweise eine Cloud-basierte SaaS-Anwendung und unterscheidet sich
damit von traditionellen E-Mail-Programmen, die auf dem Computer des Benutzers ausgeführt
werden, wie z. B. Outlook oder Eudora.
Welche Vorteile bieten SaaS-Cloud-Anwendungen?
– Der Hauptvorteil liegt darin, dass der Benutzer keine Software erwerben, installieren,
aktualisieren und pflegen muss, da dies durch den jeweiligen Service-Provider erfolgt.
– Sie melden sich einfach an und können innerhalb von Minuten Cloud-Anwendungen
nutzen.
– Der Zugriff auf Anwendungen und Daten ist über jeden Computer mit Internetzugang
möglich.
– Es gehen keine Daten verloren, wenn Ihr Computer defekt ist, denn die Daten befinden sich
in der Cloud.
04.11.2013
© Franz J. Steppe
12
Die 10 Irrtümer des Cloud Computing - 1
•
Cloud Computing macht Probleme beim Datenschutz!
– Datenschutz ist niemals ein Selbstläufer – das gilt auch für Cloud Computing. Beispielsweise kommt es darauf an, in welcher Form die Cloud genutzt wird: Das Modell macht
den Unterschied. Bei Private Clouds gelten die gleichen Sicherheitsstandards wie bisher,
wenn IT-Infrastruktur selbst betrieben oder von einem Service-Provider gemanagt wird.
Anders bei der Public Cloud: Die extremen Kostenvorteile von Cloud resultieren aus der
gemeinsamen Nutzung von Infrastruktur durch viele Teilnehmer. Die großen Anbieter
betreiben riesige Infrastrukturen, oft über mehrere Standorte verteilt. Hier muss genau
hingesehen werden, ob der Provider den individuellen Datenschutzanforderungen gerecht
wird.
04.11.2013
© Franz J. Steppe
13 von 13
Die 10 Irrtümer des Cloud Computing - 2
•
Cloud Computing bedeutet weniger Datensicherheit!
– Jedes Unternehmen braucht seine eigene Cloud-Sicherheitsstrategie. Die muss
berücksichtigen, welche Nutzlasten in die Cloud gehen, wie diese zusammenarbeiten und
welche Zugriffsmodelle dafür sinnvoll und notwendig sind. Zudem muss gewährleistet sein,
dass Sicherheitslücken geschlossen und die eigenen Systeme auf dem jeweils aktuellen
„Patchlevel“ sind. Eine Public Cloud eines großen Anbieters kann beispielsweise besser
geschützt sein gegen Angreifer, Datendiebstahl, Viren oder fehlerhafte Anwendungen als
eine private IT-Infrastruktur oder eine selbst betriebene Private Cloud in einem
Unternehmen, dessen Kernkompetenz nicht die IT ist. Es empfiehlt sich, hier auf die
Expertise von Unternehmen zu setzen, die langjährige Erfahrung im Aufbau und Betrieb
hochsicherer Systeme haben.
04.11.2013
© Franz J. Steppe
14
Die 10 Irrtümer des Cloud Computing - 3
•
Cloud Computing erschwert die Einhaltung von Compliance-Vorgaben
– Zu Compliance-Anforderungen in Unternehmen gehört die fortlaufende Anpassung der ITRessourcen und -Prozesse an die Compliance-Vorgaben sowie die Bewertung der
entsprechenden Risiko- oder Gefahrenpotenziale. Im Hinblick auf Cloud gibt es keine
eigenen Regeln, sondern es gelten die allgemeinen und spezifischen ComplianceAnforderungen. Bei der Einführung einer Cloud-Infrastruktur, basierend auf einer Businessund IT-Architektur und den dazugehörigen Maßnahmen des umzusetzenden
Prozesswesens, sind diese Richtlinien zu berücksichtigen. Dabei gilt: Je höher die Ebene
der Cloud-Dienste des Anbieters (IaaS, PaaS, SaaS), desto komplexer können die
Anforderungen an diese werden und umso sorgfältiger muss auf die Umsetzung, Einhaltung
und Kommunikation der Compliance-Vorgaben geachtet werden. Große Anbieter kennen
die Anforderungen und richten sich danach.
04.11.2013
© Franz J. Steppe
15
Die 10 Irrtümer des Cloud Computing - 4
•
Verfügbarkeit und Performance sind nur eine Frage der SLA's
– Informationstechnologie ist in einer automatisierten Cloud-Umgebung meist schneller
verfügbar als in traditionellen Umgebungen. Dabei wird die Verfügbarkeit im Sinne der
Performance von Cloud Services häufig analog zur Herangehensweise bei traditionellen ITUmgebungen auf die Kennzahl Service Level Agreement (SLA) reduziert. Fakt ist jedoch:
Es gibt keinen Industriestandard SLA beim Thema Cloud. SLAs beziehen sich meist auf die
Infrastruktur, manchmal auf Zonen oder die Erreichbarkeit von Portalen. In diesem Kontext
werden sie von Anbietern unterschiedlich definiert, ein individueller Gestaltungsrahmen für
den Kunden existiert in der Regel nicht. Dennoch können Nutzer von Cloud-Diensten
(Hoch-)Verfügbarkeit erreichen: Entweder durch Inanspruchnahme von zusätzlichen
Dienstleistungen eines Anbieters oder Vorkehrungen zur Redundanz in höheren Schichten,
z. B. durch geeignete Softwaremechanismen.
04.11.2013
© Franz J. Steppe
16
Die 10 Irrtümer des Cloud Computing - 5
•
Kostensenkung ist das alleinige Hauptmotiv für Cloud Computing
– Kosteneinsparungen sind nur ein Grund für die Inanspruchnahme von Leistungen aus der
Cloud. Sie werden vor allem dann realisiert, wenn es bei schwankenden Lastspitzen um die
automatische, standardisierte Bereitstellung von IT für einzelne Fachbereiche geht. Ein
guter Anbieter sorgt dabei für Transparenz und effizientes Management der Kosten.
Keinen Vorteil bedeutet die Nutzung der Cloud hingegen bei statischen Nutzlasten mit
gleichbleibend hoher Auslastung. Die Kosten sind zudem abhängig von den gewählten
Instanzen, Speichereinheiten oder Managementfunktionen. Deshalb ist es wichtig, die
Preise im Vorfeld kalkulieren zu können und dadurch die notwendige Transparenz zu
schaffen. Ein weiteres gewichtiges Argument für die Cloud stellt darüber hinaus die
Möglichkeit zur Entwicklung neuer Nutzungsmodelle dar, die Unternehmen und
Geschäftsprozesse nicht nur flexibler und beweglicher machen, sondern auch mehr Raum
für Innovationen und die Entwicklung zusätzlicher Geschäftsfelder bieten – Erfolg und
steigender Unternehmenswert inklusive.
04.11.2013
© Franz J. Steppe
17
Die 10 Irrtümer des Cloud Computing - 6
•
Cloud Computing ist nichts für den Mittelstand
– Mittelständischen Unternehmen fehlt häufig das Vertrauen in die Cloud. Sie befürchten
Sicherheits-, Compliance- und Verfügbarkeitsprobleme, haben Bedenken, sich von einem
Cloud-Dienstleister abhängig zu machen oder mit einer Cloud-Lösung nicht mehr Herr ihrer
Daten zu sein. Die Vorbehalte sind im Einzelfall und vor allem für das Modell der Public
Cloud nicht unberechtigt, doch in den meisten Fällen unbegründet. Insbesondere für Private
Clouds trifft eher das Gegenteil zu: Sie erfüllen die höchsten Ansprüche im Hinblick auf
Datenschutz, Datensicherheit, Compliance sowie Performance und Verfügbarkeit – häufig
sogar besser als die existierenden Alt-Systeme. Zudem lassen sie sich meist sehr gut in
bestehende IT-Umgebungen integrieren.
04.11.2013
© Franz J. Steppe
18
Die 10 Irrtümer des Cloud Computing - 7
•
Fehlende Standards erschweren die Integration und Migration von Daten
– Richtig ist, dass offene Standards und hohe Integrationsfähigkeit (noch) kein Selbstläufer
beim Cloud Computing sind. Bevor sich ein Unternehmen auf einen Anbieter festlegt,
sollten ein paar Fragen geklärt werden:
• Basiert die Lösung auf offenen Standards?
• Können Module verschiedener Hersteller und verschiedene Prozessorarchitekturen
verwendet werden?
• Ist man auf eine Plattform oder – noch schlimmer – auf die Plattform eines Herstellers
festgelegt?
• Kann problemlos gewechselt werden?
• Existieren Netzwerkoptionen und unterstützt die Cloud-Management-Software Module
anderer Anbieter ebenfalls?
• Verfügt der Hersteller über eine Referenzarchitektur, die sowohl für Private Clouds als
auch für Public Clouds verwendet werden kann?
– Erst wenn alle diese Fragen mit „Ja“ beantwortet werden können, bietet die Cloud alle
Optionen für die Integration und Migration von Daten.
04.11.2013
© Franz J. Steppe
19
Die 10 Irrtümer des Cloud Computing - 8
•
Cloud Computing führt zum Kontrollverlust über die eigenen Daten
– Bei der Datenauslagerung an einen externen Provider ergeben sich unterschiedliche
Fragen im Hinblick auf die Qualität der Dienstleistung und das Datenmanagement. Unter
anderem geht es um Erreichbarkeit und Antwortzeiten des Dienstleisters, um
Kontrollmöglichkeiten und Transparenz, aber auch darum, was nach Vertragsende mit den
Daten geschieht.
– Grundsätzlich gilt: Die Antworten sind abhängig vom gebuchten Cloud-Service und den
vereinbarten SLAs. Entscheiden Sie sich für den Service und den Anbieter, der Ihre
Anforderungen erfüllt. Kunden haben bei bei verschiedenen Anbietern über APIs und webbasierte Portale Zugang zu ihren Daten und können diese in Abhängigkeit der gebuchten
Services auf unterschiedliche Weise herunterladen. Ein weiteres Anliegen der Kunden ist
das Thema offene Standards. Verschiedene Anbieter setzen auf eine Referenzarchitektur
nach offenen Standards und verzichten auf proprietäre Systeme. Damit wird
Interoperabilität gewährleistet und unterschiedliche Lösungen lassen sich problemlos
miteinander verknüpfen.
04.11.2013
© Franz J. Steppe
20
Die 10 Irrtümer des Cloud Computing - 9
•
•
Mit Cloud Computing gibt es zu wenig individuelle Optionen
Prinzipiell ist beim Cloud Computing fast alles möglich – je nach individueller IT-Strategie und
Nutzlastanalysen, die Auskunft geben über den konkreten Bedarf. Auf dieser Grundlage kann
entschieden werden, welche Cloud-Varianten – Private, Hybrid oder Public Cloud – am besten
passen oder ob andere IT-Service-Modelle die bessere Alternative sind. Public-Cloud-Angebote
sind extrem standardisiert und damit kaum individuell anpassbar, Private Clouds bieten den
größten Spielraum für maßgeschneiderte Lösungen. In vielen Fällen sind deshalb Hybrid Clouds,
also eine Kombination aus beiden, die optimale Lösung, um die Bedürfnisse eines Unternehmens
umzusetzen.
04.11.2013
© Franz J. Steppe
21
Die 10 Irrtümer des Cloud Computing - 10
•
Cloud Computing schwächt die Rolle der IT-Abteilung
– Viele IT-Verantwortliche befürchten, dass mit Cloud Computing IT-Wissen verloren geht,
dass eine „IT-Schattenwirtschaft“ entsteht, ja sogar, dass Arbeitsplatzabbau droht. Diese
Sorgen sind unbegründet. Tatsache ist: Cloud Computing verändert die Rolle der internen
IT und des CIOs. Sie wird jedoch prinzipiell nicht geschwächt, sondern im Gegenteil
aufgewertet. Das hat vor allem mit dem enormen Potenzial der Cloud und der wachsenden
Bedeutung der IT für den wirtschaftlichen Erfolg eines Unternehmens zu tun. Cloud
Computing bietet Chancen für neue Geschäftsmodelle und der Einsatz einer Cloud
erfordert spezialisiertes Wissen sowie einen intensiven Dialog mit den Fachabteilungen im
Unternehmen. Die IT kann sich dabei als Vermittler und Innovator etablieren und den
eigenen Wandel vom rein technischen Ratgeber zum Berater für moderne
Geschäftsmodelle forcieren.
– Zudem wird IT-Wissen auch zukünftig im Unternehmen gebraucht: Etwa, um die passende IT-Architektur für das Unternehmen und die notwendigen Sicherheitsanforderungen
zu definieren. Aber auch, um Entwicklung, Planung und Umsetzung der richtigen CloudStrategie voranzutreiben. Laut einer aktuellen Studie von IDG Enterprise aus dem Jahr
2012 bestätigen 65 Prozent der befragten Unternehmen, dass mit der Einführung von Cloud
Computing die IT-Abteilung für ihre Organisation wichtiger geworden ist. Zudem sehen 69
Prozent erhöhten Wissensbedarf im Bereich IT.
04.11.2013
© Franz J. Steppe
22
Mitarbeiter geben eigenständig Millionenbeträge für CloudServices aus (1 von 3)
•
•
•
Der einfache Zugang zu Cloud-Lösungen begünstigt eine Schatten-IT. Laut einer von VMware in
Auftrag gegebenen europaweiten Studie unter 1.500 IT-Professionals und 3.000 Angestellten
werden in jedem Unternehmen durchschnittlich 1,6 Millionen Euro im Jahr an der IT-Abteilung
vorbei für nicht genehmigte Cloud-Dienste ausgegeben.
37 Prozent der befragten IT-Entscheider vermuten, dass andere Abteilungen kostenpflichtige
Cloud-Dienste ohne offizielle Genehmigung nutzen. Trotz möglicher Sicherheitsrisiken sehen
Unternehmen diese „Schatten-Clouds“ aber nicht gänzlich negativ. Dadurch würden Innovationen
im Unternehmen gefördert, schnelleres und effizienteres Arbeiten ermöglicht und
Wettbewerbsvorteile erzielt.
In Deutschland sind sogar 80 Prozent der IT-Entscheider davon überzeugt, die ungenehmigt
erworbenen Cloud-Services seien von Vorteil. Im europaweiten Durchschnitt glauben 72 Prozent
der Befragten, die Nutzung von Cloud-Angeboten ermögliche eine schnellere Reaktion auf
Kundenanforderungen (49 Prozent) und fördere Wachstum und Innovation im Unternehmen (34
Prozent).
04.11.2013
© Franz J. Steppe
23
Mitarbeiter geben eigenständig Millionenbeträge für CloudServices aus (2 von 3)
•
•
•
•
Sicherheitsrisiken
Dennoch bleiben Bedenken: Zwei Drittel der deutschen IT-Verantwortlichen sorgen sich über
mögliche Kontrollverluste und Sicherheitsrisiken. Bei ihren europäischen Kollegen ist es jeder
zweite, der sich darüber Gedanken macht.
In der VMware-Umfrage geben 45 Prozent der europaweit Befragten an, sie würden sich nicht
scheuen, auch ungenehmigt Cloud-Angebote zu nutzen, und 36 Prozent haben das schon einmal
getan. Deutsche Arbeitnehmer sind mit 29 Prozent etwas zurückhaltender; am wenigsten Skrupel
haben italienische Angestellte (49 Prozent).
Fast ein Viertel der Mitarbeiter hat für solche Cloud-Dienste Unternehmensgeld verwendet. Von
diesen Angestellten haben 47 Prozent im vergangenen Jahr bis zu 2.000 Euro, zwölf Prozent bis
zu 5.000 Euro und ebenso viele mehr als 5.000 Euro ausgegeben. Abgerechnet wird dabei meist
über die Budgets der Abteilungen, Spesenkonten oder die Kreditkarte der Unternehmen.
04.11.2013
© Franz J. Steppe
24
Mitarbeiter geben eigenständig Millionenbeträge für CloudServices aus (3 von 3)
•
•
•
•
IT-Abteilungen zu langsam
In der VMware-Studie nannten die Befragten zwei Gründe dafür, warum sie ohne Abstimmung mit
der IT in die Cloud gehen: Zum einen erleichterten ihnen die Services ihre tägliche Arbeit,
ermöglichten schnellere und effizientere Prozesse und unterstützten sie bei der Einführung neuer
Produkte. Zum anderen würden IT-Organisationen häufig zu spät oder zu langsam reagieren, so
dass sich Fachabteilungen eigenständig am IT-Markt bedienen.
Am eifrigsten bei der Beschaffung von Cloud-Angeboten sind in Deutschland die Bereiche
Marketing & Kommunikation (37 Prozent), Einkauf (36 Prozent), Vertrieb (31 Prozent), Forschung
& Entwicklung (27 Prozent) und Finanzen (22 Prozent). Die Top-Fünf der beliebtesten CloudServices sind Daten und File-Sharing-Dienste (54 Prozent), E-Mails (49 Prozent), Instant
Messaging (46 Prozent), Video-Conferencing (41 Prozent), Applikations- oder Daten-HostingServices (30 Prozent).
„IT-Abteilungen sind an einem Wendepunkt angelangt, an dem sie die entstehenden SchattenClouds in ihren Unternehmen nicht länger ignorieren können“, kommentiert Jörg Hesske, Country
Manager VMware Deutschland, die Studie. IT-Leute sollten ihren Kollegen die für deren Arbeit
benötigte Flexibilität bieten, ohne die Kontrolle zu verlieren oder Sicherheitslücken zu riskieren.
„Was jetzt wichtig ist, ist ein intensiver Dialog zwischen den Abteilungen“, rät Hesske. Wenn
Mitarbeiter die Initiative für Innovation und Wachstum ergreifen, müsse dies abgestimmt mit der IT
geschehen.
04.11.2013
© Franz J. Steppe
25
Daten in die Cloud – aber mit Bedacht
1 von 8
•
•
Sogar in der Fernsehwerbung sind Cloud-Angebote mittlerweile angekommen. Neben zahlreichen
kleineren Anbietern buhlen die ganz Großen wie Google, Apple, Microsoft, Amazon und die
Telekom um die Gunst der Kunden. Versprochen werden insbesondere der Datenzugriff von
überall,
Backup-Funktionen,
automatische
Synchronhaltung
aller
Geräte
und
Einsparmöglichkeiten. So verlockend das klingt, rechtlich betrachtet sollten Unternehmer ihre
Daten nie bedenkenlos in der Wolke speichern - sonst droht datenschutz- und mitunter
steuerrechtlicher Ärger.
Umfassender Schutz personenbezogener Daten
– Das Bundesdatenschutzgesetz (BDSG) verpflichtet jeden - abgesehen von der
ausschließlichen Speicherung für persönliche oder familiäre Zwecke - zum
verantwortungsvollen Umgang mit personenbezogenen Daten. Es dient damit vor allem
dem Grundrecht auf informationelle Selbstbestimmung. Über Preisgabe und Verwendung
personenbezogener Daten bestimmt demnach jeder Einzelne. Dritten drohen bei Verstößen
dagegen hohe Bußgelder, Schadensersatzklagen und Geld- und Haftstrafen - von
Imageschäden ganz zu schweigen.
04.11.2013
© Franz J. Steppe
26
Daten in die Cloud – aber mit Bedacht
2 von 8
•
Identifizierbarkeit der Daten ist entscheidende Frage
– Entscheidende Frage für die Personenbezogenheit der Daten ist: Lässt sich mittels ihnen
eine Einzelperson identifizieren? Name, Alter, Herkunft, Geschlecht, Ausbildung,
Familienstand, Telefonnummer, Post-, E-Mail- und IP-Adressen stellen typische Beispiele
dar. Aber auch Informationen zu Konsumverhalten und Kreditwürdigkeit können
personenbezogen sein. Belanglose Daten gibt es laut Bundesverfassungsgericht dabei
nicht. Letztlich kommt es immer darauf an, ob die Informationen den Rückschluss auf eine
bestimmte natürliche Person zulassen. Politische Meinungen, religiöse Überzeugungen,
ethnische Herkunft und Gewerkschaftszugehörigkeit stehen als Beispiele besonderer Daten
unter noch stärkerem Schutz. Indirekt betrifft das auch Daten zum Gehalt und zu
beruflichen Fehlzeiten. Umgekehrt bedeutet das aber auch, dass Unternehmensdaten ohne
Personenbezug keine datenschutzrechtlichen Bedenken aufwerfen. Bloße Warenlisten,
Analysen, Darstellungen oder Ähnliches ohne Personenbezug unterliegen nicht dem
BDSG.
04.11.2013
© Franz J. Steppe
27
Daten in die Cloud – aber mit Bedacht
3 von 8
•
Cloud-Nutzung als Auftragsdatenverarbeitung
– Daten zu bearbeiten, ist nur mit gesetzlicher Erlaubnis oder persönlicher Einwilligung des
Betroffenen erlaubt. Vor allem ihre sorglose Weitergabe verschärfte die Regeln des
Datenumgangs im Laufe der Zeit. Denn ohne Sicherheit, wer wann mit welchen
personenbezogenen Daten umgehen darf, ist die informationelle Selbstbestimmung nichts
mehr wert. Im Mittelpunkt der Cloud-Nutzung steht daher die Frage: Wie lassen sich
Datenschutz und Datenwolke vereinbaren? Cloud-Lösungen unterfallen nach dem BDSG
der sogenannten Auftragsdatenverarbeitung. Diese liegt nur bei Weisungsgebundenheit
des Auftragnehmers vor. Das Gesetz behandelt diesen dabei wie eine ausgelagerte
Abteilung des Auftraggebers, der den Anbieter dementsprechend regelmäßig zu
überwachen hat.
04.11.2013
© Franz J. Steppe
28
Daten in die Cloud – aber mit Bedacht
4 von 8
•
Datensicherheit ist zu gewährleisten
– Immens wichtig ist die Datensicherheit. Die Anlage zu § 9 BDSG nennt dazu die acht
goldenen Regeln des Datenschutzes. Unbefugter Zutritt zur Datenverarbeitungsanlage,
unerlaubte Datennutzung sowie unkontrollierter Zugriff auf die Daten sind zu verhindern.
Des Weiteren ist die Datenweitergabe so zu organisieren, dass keine Daten nach außen
dringen und nachvollziehbar bleibt, an wen die Daten gelangten. Ebenso zu kontrollieren
ist, wer die Daten bearbeitet hat und ob dies gemäß der Weisungen des Auftraggebers
geschah. Nicht zuletzt sind auch Maßnahmen gegen Datenverlust und zur getrennten
Datenverarbeitung zu treffen. Ein Vertrag mit dem Cloud-Anbieter muss insbesondere diese
Punkte enthalten.
04.11.2013
© Franz J. Steppe
29
Daten in die Cloud – aber mit Bedacht
5 von 8
•
Ausführlicher Vertrag und spätere Kontrolle erforderlich
– Mit dem Vertrag allein ist es nicht getan: Der Cloud-Nutzer hat sich gemäß § 11 BDSG vor
Beginn der Datenverarbeitung sowie danach von der Einhaltung der technischen und
organisatorischen Vorkehrungen zu überzeugen, das schriftlich zu dokumentieren und den
Aufsichtsbehörden auf Anforderung Auskunft zu erteilen. Derartige Verträge mit großen
Cloud-Anbietern auszuhandeln und sie zu kontrollieren, dürfte für viele unmöglich sein.
Viele Verträge ausländischer Anbieter unterwerfen sich höchstselten deutschem
Datenschutzrecht. So dürfte auch die stets zu beantwortbare Frage, wo die Daten physisch
liegen, schwerfallen. Google behält sich etwa vor, Daten irgendwo auf der Welt zu
speichern.
04.11.2013
© Franz J. Steppe
30
Daten in die Cloud – aber mit Bedacht
6 von 8
•
Vorsicht bei der Datenspeicherung im Ausland
– Das führt direkt zum Problem der Datenspeicherung im Ausland. Abgesehen von den
Ländern Kanada, Schweiz, Argentinien, Guernsey sowie der Isle of Man existiert nach
Ansicht der EU-Kommission außerhalb der EU und des EWR kein dem europäischen
Niveau genügender Datenschutz. Brisant wird das bei der Datenspeicherung in den USA Heimatland insbesondere von Google, Apple, Amazon und Microsoft und vieler ihrer
Rechenzentren. Grund ist der USA PATRIOT Act zur Terrorbekämpfung, der insbesondere
die Dateneinsicht ohne Richterbeschluss zulässt. Mit hiesigem Datenschutzrecht ist das
unvereinbar. Zwar verpflichten sich mittlerweile viele US-Unternehmen zur Einhaltung
europäischer Datenschutzstandards aufgrund des zwischen der EU und den USA
geschlossenen Safe-Harbor-Abkommens. Aus EU-Sicht ist eine Übermittlung
personenbezogener Daten an diese US-Unternehmen legal. Viele Fachleute zweifeln dies
jedoch an. Denn das Safe-Harbor-Abkommen ist nur eine freiwillige Selbstverpflichtung
ohne Nachkontrolle. Und der weitergehende Cybersecurity Act erlaubt sogar die effektive
Aufhebung des Datenschutzes. Microsoft gibt deshalb etwa offen zu, Daten ohne Weiteres
an US-Behörden preiszugeben - selbst wenn sie auf europäischen Servern liegen. Mittels
eines möglichen staatlichen Maulkorb-Erlasses erfahren Betroffene eventuell nicht einmal
etwas davon.
04.11.2013
© Franz J. Steppe
31
Daten in die Cloud – aber mit Bedacht
7 von 8
•
Rechtliche Absicherung ist wichtig
– Dringend anzuraten ist daher die Wahl eines Anbieters, der dem europäischen - besser
noch dem deutschen - Datenschutzniveau unterliegt. Außerdem ist die intensive Suche
nach einem sicheren Anbieter angesichts der drohenden Konsequenzen Pflicht. Denn auch
danach verbleibt die Verantwortung für personenbezogene Daten überwiegend beim
Auftraggeber. Diese vor der Speicherung zu verschlüsseln, erscheint wenig praktikabel.
Und letztendlich kann der Schutz auch geknackt werden.
04.11.2013
© Franz J. Steppe
32
Daten in die Cloud – aber mit Bedacht
8 von 8
•
Steuerlich relevante Daten nur nach Genehmigung
– Cloud-Computing kann auch steuerrechtliche Folgen haben. Seit 2010 dürfen
Steuerpflichtige gemäß § 146 Abs. 2a Abgabenordnung steuerlich relevante Daten auch im
Ausland speichern. Allerdings nur nach vorheriger Genehmigung der Finanzbehörden und
innerhalb des EU- und EWR-Gebiets. Eine Erlaubnis darüber hinaus gibt es nur in
Härtefällen. Auf eine Personenbezogenheit der Daten kommt es, anders als im
Datenschutzrecht, dabei nicht an.
04.11.2013
© Franz J. Steppe
33
Cloud begünstigt Schatten-IT in Unternehmen
1 von 3
•
•
Der leichte Zugang zu Cloud-Lösungen begünstigt das Wachstum einer Schatten-IT in
Unternehmen. Das zeigt jedenfalls eine von Vanson Bourne im Auftrag von VMware
durchgeführte europaweite Befragung unter 1.500 IT-Professionals und 3.000 Angestellten.
Dieser Studie zufolge werden in jedem großen Unternehmen pro Jahr durchschnittlich 1,6
Millionen Euro für nicht genehmigte Cloud-Dienste ausgegeben. Mehr als ein Drittel der ITEntscheider vermutet, dass in ihrer Firma auch kostenpflichtige Cloud-Dienste ohne offizielle
Genehmigung genutzt werden.
Kleiner Trost für die Unternehmensspitze: Die Schatten-IT birgt zwar Sicherheitsrisiken, fördert
aber auch die Innovationen im Unternehmen, weil sie tatsächlich schnelleres und effizienteres
Arbeiten ermöglicht und dadurch Wettbewerbsvorteile mit sich bringt. Jedenfalls sind die
befragten IT-Entscheider der Meinung. In Deutschland ist die positive Haltung mit 80 Prozent der
Befragten sogar besonders stark ausgeprägt, der europäische Durchschnitt liegt bei 72 Prozent.
Besonders große Vorteile erwarten die IT-Verantwortlichen durch die Schatten-Dienste in Bezug
auf eine schnellere Reaktion auf Kundenanforderungen (49 Prozent) und die Förderung von
Wachstum und Innovation im Unternehmen (34 Prozent). Zugleich sorgt sich in Europa jeder
Zweite der IT-Verantwortlichen über mögliche Kontrollverluste und Sicherheitsrisiken, in
Deutschland machen sich zwei Drittel der Befragten entsprechende Gedanken.
04.11.2013
© Franz J. Steppe
34
Cloud begünstigt Schatten-IT in Unternehmen
2 von 3
•
•
•
Zugleich sind die Angestellten in Deutschland allerdings besonders zurückhaltend, wenn es um
den Einsatz solcher ungenehmigten Dienste geht. So greifen hierzulande nur 29 Prozent zu
solchen Lösungen, europaweit tun das 36 Prozent der Befragten, 45 Prozent schließen es nicht
aus. Die wenigsten Skrupel haben die Italiener (49 Prozent).
Dabei geht es bei solchen Cloud-Diensten nicht nur um Fragen der Sicherheit, sondern auch um
Geld, wie die Umfrage weiter zeigt. So hat bereits ein knappes Viertel der Befragten Dienste in
Anspruch genommen, für die das Unternehmen zahlen musste. In 47 Prozent der Fälle ging es
um Beträge von bis zu 2.000 Euro, bei weiteren 12 Prozent um bis zu 5.000 Euro und in ebenfalls
12 Prozent der Fälle ging es um Summen über 5.000 Euro. Die Kosten gehen in Deutschland in
61 Prozent der Fälle dann zu Lasten der Abteilungsbudgets (europaweit: 43 Prozent). In 19
Prozent der Fälle werden sie in Spesen versteckt (europaweit: 38 Prozent) oder über die FirmenKreditkarte eingekauft (Deutschland: 24 Prozent, europaweit: 33 Prozent).
Die Arbeitnehmer kaufen die Cloud-Lösungen allerdings nicht ein, um sich persönliche Vorteile zu
verschaffen. Vielmehr handelt es sich in der Regel um eine Art "Notwehr", weil dringend eine
Lösung gebraucht wird und die IT-Abteilungen zu spät oder zu langsam reagieren. Dies wird auch
dadurch bestätigt, dass 27 Prozent der Entscheider sagen, sie würden die eingesetzten CloudApplikationen auch gerne offiziell einführen. Die Schatten-IT entsteht, weil sie den Mitarbeitern die
tägliche Arbeit erleichtert und somit sind die Investitionen auch keine Verschwendung. Allerdings
laufen die IT-Abteilungen immer mehr Gefahr, den Überblick und vor allem die Kontrolle über die
eingesetzten Lösungen zu verlieren.
04.11.2013
© Franz J. Steppe
35
Cloud begünstigt Schatten-IT in Unternehmen
3 von 3
•
•
Besonders oft greifen laut Studie Mitarbeiter aus den Bereichen Marketing, Werbung und
Kommunikation auf solche Lösungen zurück. Auf den weiteren Plätzen der Top-5 folgen die
Abteilungen Einkauf, Vertrieb, Forschung & Entwicklung sowie Finanzen.
Am häufigsten werden in Deutschland übrigens Daten- und File-Sharing-Dienste, Cloud-basierte
E-Mails, Instant Messaging, Video Conferencing sowie Applikations- oder Daten-Hosting-Anbieter
wie Amazon Web Services oder Rackspace eingesetzt. Dicht dahinter folgen Enterprise Social
Networks, Plattform-as-a-Service- und Software-as-a-Service-Lösungen
04.11.2013
© Franz J. Steppe
36
Ist PRISM das Ende für die Cloud?
1 von 4
•
•
•
Wie so oft nach spektakulären Veröffentlichungen ist es hilfreich, erst einmal die Fakten etwas zu
ordnen. Zunächst war die Veröffentlichung inhaltlich keine wirkliche Überraschung. Die
Informationen von Edward Snowden, dem "Whistle-Blower", haben nur bestätigt, was schon lange
die allgemeine Vermutung zumindest in IT-Sicherheitskreisen war: Staatliche Stellen haben in
unterschiedlicher Form Zugriffsmöglichkeiten auf Informationen, die im Internet fließen oder
gespeichert werden.
Dazu reicht im Übrigen ein Blick auf das zu Zeiten des kalten Krieges eingeführte und bekannt
gewordene Echelon-Netzwerk, mit dessen weltweit über 100 Stationen die US-Geheimdienste
und verbündete Nationen Auslandsaufklärung betreiben, indem sie den analogen und digitalen
drahtgebundenen und drahtlosen Telefon- und Datenverkehr abhören, speichern und analysieren.
Echelon hat heute einen anderen Namen, aber es ist nicht verschwunden. Realistisch ist davon
auszugehen, dass auch die aktuellen Veröffentlichungen nur die Spitze des Eisbergs zeigen,
wiewohl vor allem die jüngsten Informationen zum britischen Tempora System zeigen, dass es
sich um einen gewaltigen Eisberg handelt.
Dass der größte Teil des Eisbergs noch verborgen ist, zeigt sich spätestens beim letzten,
vergleichsweise unspektakulären Teil der Veröffentlichungen von Snowden, in dem es um
amerikanische "Cyber-Angriffe" auf China geht. Es wäre nun ja reichlich naiv gewesen, davon
auszugehen, dass es keine solchen Angriffe gibt. Wer die Meldungen der vergangenen Monate
über staatliche Angriffe ("nation-state attacks") beobachtet hat, weiß, dass hier inzwischen sehr
viele Staaten in unterschiedlichste Richtungen aktiv sind.
04.11.2013
© Franz J. Steppe
37
Ist PRISM das Ende für die Cloud?
2 von 4
•
•
•
Die nun bekannt gewordenen, von PRISM überwachten Dienste sind - auch das ist ein Teil der
Faktenlage - nicht die überwiegend oder ausschließlich von Unternehmen genutzten CloudDienste, sondern Mail-Dienste, soziale Netzwerke und Instant Messaging-Dienste. Sieht man
einmal von der Tatsache ab, dass Google Docs, Facebook und Skype als Aufklärungsquellen der
Geheimdienste nicht nur die Privatsphäre von Millionen von Bürgern weltweit verletzt, sondern
natürlich auch Unternehmen tangiert, lässt der Umfang der Spionageaktivitäten leider nicht den
Umkehrschluss zu, dass Geheimdienste nicht auch im Bereich professioneller Cloud-Lösungen
aktiv wären.
Doch die Cloud zu meiden, ist keine Lösung, denn es geht keineswegs nur um das Backend von
Cloud-Diensten, also den Zugriff auf gespeicherte Daten, sondern auch um deren Transport. Das
machen gerade die Aktivitäten des britischen Geheimdienstes GCHQ deutlich, der dem
Vernehmen nach ja im Rahmen seines Tempora-Projekts den Datenverkehr über die
Transatlantik-Leitungen systematisch mitliest, speichert und analysiert. Auch hier muss man nicht
paranoid sein, um anzunehmen, dass auch andere Staaten systematisch Netzwerke an
geeigneten Knotenpunkten überwachen.
Mit den Veröffentlichungen von Edward Snowden zeigt sich uns das Bild einer globalen AbhörInfrastruktur von unglaublichem Ausmaß. Zwischen deren Verwendung für die Gefahrenabwehr
und für andere Zwecke, beispielsweise die Wirtschaftsspionage, liegt nur eine Änderung der
Suchbegriffe. Geheimdienste spielen traditionell und schon immer eine wichtige Rolle bei der
Wirtschaftsspionage, wie bereits aus Kapitel 10.5 des 2001 veröffentlichen Bericht des
Europäischen Parlaments zu Echelon hervorgeht.
04.11.2013
© Franz J. Steppe
38
Ist PRISM das Ende für die Cloud?
3 von 4
•
•
•
Die Frage für Unternehmen ist: Welche Konsequenzen müssen daraus gezogen werden? Die
naheliegende Antwort, IT nur im Unternehmen zu betreiben, löst nicht das Problem der
abgehörten Datenströme. Außerdem ist die interne IT von Unternehmen längst ebenfalls zum Ziel
unterschiedlichster Angreifer geworden, und es gibt heute diese strikte Trennung zwischen der
internen IT und der Außenwelt mit einem klar definierten Perimeter längst nicht mehr. Mobile
Computing und immer mehr Geschäftsprozesse über die Unternehmensgrenzen hinaus in immer
komplexeren Wertschöpfungsketten haben den klassischen Perimeter längst durchlöchert.
Der erste, wichtigste Schritt für Unternehmen ist eine konsequente Analyse der Risiken. Was ist
eigentlich für Angreifer interessant? Wo bestehen mögliche Gefährdungspotentiale? Es geht um
alle Unternehmensbereiche, nicht nur die klassische IT, sondern auch um die Steuerung von
Produktionsanlagen oder beispielsweise das Remote-Management von Systemen (Heizungen,
Smart Meter, Solaranlagen, Autos,…) bei den Kunden.
Mit diesem Wissen kann entschieden werden, welchen Aufwand ein Unternehmen für welche
zusätzlichen Schutzmechanismen in Kauf nehmen will und welche Maßnahmen davon zwingend
erforderlich sind, um die globale Wettbewerbsfähigkeit zu erhalten Es können aber beispielsweise
auch bewusste Entscheidungen darüber getroffen werden, welche externen IT-Dienste in welcher
Form - also insbesondere auch, mit welchen Sicherheitsmaßnahmen und welchem
verbleibendem Restrisiko - genutzt werden können.
04.11.2013
© Franz J. Steppe
39
Ist PRISM das Ende für die Cloud?
4 von 4
•
•
Zu den wichtigsten Sicherheitsmaßnahmen zählt dabei die Verschlüsselung, sowohl beim
Transport als auch bei der Speicherung. Ansätze für die Ende-zu-Ende-Sicherheit und für
Informationssicherheit (im Sinne von informationszentrischer Sicherheit), bei der der Schutz der
Information und nicht von Systemen oder Netzen im Blickpunkt stehen, sind von zentraler
Bedeutung dafür, Risiken verringern zu können.
Risikoorientierte Vorgehensweisen, strukturierte Entscheidungsprozesse für die Auswahl von
Cloud-Diensten mit Blick insbesondere auch auf die Balance zwischen verbleibenden Restrisiken,
Kosten und dem möglichen Mehrwert für das Business und die konsequente Nutzung von
Verschlüsselungslösungen sind wichtige Bausteine, um die IT trotz der bestehenden
Bedrohungen weiterentwickeln zu können, ohne dabei die "Kronjuwelen" des Unternehmens zu
großen Gefahren auszusetzen. Die Veröffentlichungen der keineswegs so geheimen
Geheimnisse haben vielleicht immerhin den positiven Effekt, dass IT-Sicherheit und RisikoManagement in Unternehmen nun einen anderen Stellenwert erhalten.
04.11.2013
© Franz J. Steppe
40
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
1 von 6
•
•
•
•
•
"Wer nicht in die Cloud will, sollte sich warm anziehen", oder anders ausgedrückt "Wenn
du die Absicht hast, dich nicht zu erneuern, tu es trotzdem jeden Tag." Warum sich
Unternehmen zwingend mit dem Thema Cloud Computing auseinandersetzen sollten,
erklärte Marktanalyst Axel Oppermann.
Fakt ist: Quasi jedermann nutzt Cloud Services im Privaten. Sei es direkt via PC, Mac oder
Smartphone; oder indirekt, indem an Automaten Waren und Dienstleistungen beschafft oder
Kartenzahlungen ausgelöst werden. Auch setzen immer mehr Unternehmen auf diese Form der
IT-Beschaffung. Immer mehr IT-Leiter sind überzeugt, dass dieses Modell eine feine Sache ist.
Cloud Computing macht kleine Firmen groß: Sie haben Zugriff auf Systeme, die sie sonst nicht
einsetzen konnten. Dies ist unter anderem auch durch Kniffe wie dem Verschieben von CAPEX
(Capital Expenditures) zu OPEX (Operational Expense) möglich.
Cloud Computing macht große Firmen klein und agil: Sie können schnell und ohne auf Altsysteme
Rücksicht nehmen zu müssen neue oder kurzfristige Bedürfnisse befriedigen. Cloud Computing
macht die Gesellschaft mobil: Ob „einfache“ Kartendienste oder komplexe medizinische Services.
Vieles was Alltag ist, wäre ohne IT – ohne Cloud Computing – in dieser Form nicht möglich.
Doch bei all dem prognostizierten und realen Marktwachstum, bei dem Marketinggetöse und dem
Produktfeuerwerk haben viele CIOs gemischte Gefühle, wenn es um das Thema Cloud
Computing geht. Sie sind nicht davon überzeugt, dass Cloud der richtige Weg für sie ist, den sie
zukünftig gehen wollen. Dies gilt in Teilen auch für private Clouds.
04.11.2013
© Franz J. Steppe
41
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
2 von 6
•
•
•
Gründe, Einwände und Vorwände gibt es reichlich. Aber was viele Entscheider neben ethischen
und moralischen Gründen abhält, sind insbesondere die über die Jahre hinweg geleisteten
Investitionen in Mitarbeiter-Know-how, den Aufbau einer IT-Infrastruktur und die SupportServiceleistungen rings um das Client-Server-Modell. Werden diese Beträge kumuliert, kommt in
mittelständischen Unternehmen schnell ein sechs- oder siebenstelliger Betrag zusammen. In
großen Unternehmen oder Konzernen sind diese (verlorenen) Investitionen um ein Mehrfaches
höher.
Ob die Entscheidung gegen Cloud Computing im eigenen Unternehmen nun auf fundierten
Fakten oder dem „Bauchgefühl der alten Hasen“ beruht, ist zweitrangig. Von primärer Bedeutung
sind die Auswirkungen. Es muss klar sein, dass Cloud Computing ein agiler Ansatz ist, der es
Unternehmen erlaubt konkurrenzfähig zu sein, zu werden oder zu bleiben. Eine entscheidende
Größe in Märkten, die durch Verdrängung geprägt sind.
Es steht ferner außer Frage, dass es bei Cloud Computing nicht vorrangig um das direkte
einsparen von Geld geht. Vielmehr müssen bei allen Betrachtungen die Möglichkeiten für das
Unternehmensziel an oberster Stelle stehen. Unternehmens-IT im Allgemeinen und Cloud
Computing verfolgen keinen Selbstzweck. Aber es gilt auch das Credo, dass nur derjenige
wirklich Nutzen ziehen kann (Erfolg haben wird), der sich unterscheidet.
04.11.2013
© Franz J. Steppe
42
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
3 von 6
•
•
•
Unabhängig davon, ob sich ein CIO für oder gegen Cloud Computing als einen zentralen Teil
seiner Unternehmens-IT ausspricht, bedarf es einer umfassenden Strategie. Dies gilt
insbesondere für Unternehmen, die weiterhin ihrem „klassischen“ IT-Betrieb – dem Client-ServerModell – folgen wollen. Für sie wird es zunehmend schwierig, bedarfsgerecht und zukunftssicher
Informationstechnologie wie Hardware, Software oder auch IT-Dienstleistungen zu beziehen. Dies
wird insbesondere dann sichtbar, wenn die Produktplanungen (Roadmaps) der großen Anbieter
genauer betrachtet werden.
Noch dramatischer wird die Situation für diese IT-Verantwortlichen, wenn sie sich die sich
ändernden Nutzungsrechte für Software oder die sich immer mehr öffnende Schere zwischen
Preisen für „klassische“ Beschaffungsmodelle und Cloud-Lösungen veranschaulichen. Es ist eher
die Regel als die Ausnahme, dass Hersteller ihren Cloud-Angeboten umfassendere
Nutzungsrechte einräumen, als es bei den On-Premises-Lizenzen der Fall ist. Auch ist zu
erkennen, dass die Lizenzpreise für Datenbanklösungen oder Server-Lösungen steigen, während
der sich Preise für Rechenleistung & Co. aus der Cloud noch regelmäßig reduziert.
Ein weiteres Problem, welches für IT-Abteilungen entsteht, ist der zunehmende Druck auf die
Leistungsfähigkeit der eigenen IT-Organisation. Es ist davon auszugehen, dass die großen CloudAnbieter in einem ihrer nächsten Marketingschachzüge verstärkt auf Entscheider in den
Fachabteilungen und der Unternehmensführung zugehen und über eine direkte Vergleichbarkeit
der Leistungen (Leistungsfähigkeit) kommen.
04.11.2013
© Franz J. Steppe
43
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
4 von 6
•
•
•
•
Dies wird auf zwei Ebenen erfolgen: Einerseits bezogen auf die Geschäftsanforderungen und
Geschäftsnotwendigkeiten. Auf der anderen Seite fokussiert auf Kennzahlen für den Bereich
Betrieb oder Qualität (Service Level). Diese, mit hohen Millionenbeträgen finanzierten
Kampagnen, werden der Unternehmens-IT abermals zusetzen.
Oder anders ausgedrückt: Wenn du die Absicht hast, dich nicht zu erneuern, tu es trotzdem jeden
Tag. Für CIOs, die sich aus welchen Gründen auch immer gegen Cloud Computing entscheiden,
kann es ein „weiter so“ nicht geben. Auch wer beim klassischen Client-Server-Modell verharrt,
eigene Service- und Support-Abteilungen betreibt und sogar ausbaut oder den Betrieb eigener
Rechenzentren – respektive etablierte Sourcing-Modelle – forciert, muss in Bewegung bleiben.
Die Abläufe und IT-Organisation müssen optimiert werden. Sie müssen sich mit denen moderner
IT-Fabriken messen lassen. Stundenlanges „Betanken“ von Clients, tagelanges Aufsetzen von
Servern oder wochenlanges Bauen von Images wird nicht mehr tragbar sein. Diese
Unternehmens-IT ist gezwungen, sich mit den Gepflogenheiten globaler IT-Konzerne zu messen.
Insbesondere für mittelständische Unternehmen ein schweres Unterfangen. Gerade hier wird IT
oftmals nicht als Produktionsfaktor verstanden.
Spätestens in zwei bis drei Jahren werden diese Unternehmen Probleme mit ihrer BudgetPlanung bekommen. Bereits heute erhöhen die führenden Anbieter von Business-IT die Preise für
Software oder Nutzungsrechte beinahe willkürlich. Anstiege von über 30 Prozent über
Produktgenerationen hinweg sind keine Seltenheit. Nutzungsrechte werden immer stärker
gekoppelt. Dies treibt die Kosten. Bei Planungen kann zunehmend nicht mehr auf
Erfahrungswerte zurückgegriffen werden.
04.11.2013
© Franz J. Steppe
44
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
5 von 6
•
•
•
•
•
IT-Dienstleister standardisieren – ganz dem Ruf der IT-Fabrik und Cloud folgend – ihre Services.
Sollte dies einer breiten Masse an Dienstleistern in den kommenden zwei bis vier Jahren
gelingen, werden Services, die nicht der dann gültigen Norm entsprechen preislich diskriminiert –
also stark verteuert.
Neben all den IT-bezogenen Größen gilt es, die Anforderungen der Fachabteilungen (Lines of
Business, LOB) nicht zu unterschätzen. Diese haben sich in den letzten Jahren nachhaltig
geändert. Die LOBs haben sich emanzipiert und können ihre Forderungen durchsetzen –
respektive auch ohne Unternehmens-IT ihre Bedarfe decken. Insbesondere die Mobilisierung von
Prozessschritten und die Fragmentierung der Arbeitswelt wird die klassische IT vor
Herausforderungen stellen.
Schon der amerikanische Schriftsteller Christopher Darlington Morley sagte: „Es gibt nur einen
Erfolg – das Leben nach seinen eigenen Vorstellungen leben zu können.“ Leider ist dies in
unserer globalisierten und arbeitsteiligen Welt kaum möglich. Insbesondere die Interessen und
Strategien Dritter gilt es, in unserem darwinistischen Wirtschaftssystem zu antizipieren.
Bezogen auf die Unternehmens-IT bedeutet dies aktuell stärker als je zuvor, die Strategien von
relevanten IT-Anbietern und Dienstleistern zu verstehen. Dann gilt es, die richtigen Schlüsse zu
ziehen.
CIOs, die nicht auf Cloud Computing setzen, müssen ihre IT-Organisation an die sich ändernden
Rahmenparameter anpassen. Und dies lieber heute als morgen.
04.11.2013
© Franz J. Steppe
45
Cloud Computing als essentieller Bestandteil der
Unternehmensstrategie
6 von 6
•
•
Hierzu gilt es, die eigene Roadmap und IT-Strategie an der Ausrichtung der führenden ITLieferanten zu spiegeln. Gibt es viele Gemeinsamkeiten oder Parallelen, die wie bei einem
Parabolspiegel, exakt im Brennpunkt (der eigenen Strategie) gebündelt werden, scheint die Welt
in Ordnung. Gibt es eine große Streuung, welche zu Wechselwirkungen führen, erhöht sich der
Handlungsdruck.
Es wird empfohlen, sich in diesem Kontext auch mit präferierten IT-Dienstleistern auszutauschen.
Darüber hinaus sollten Interessengemeinschaften auf Anwenderseite forciert werden.
04.11.2013
© Franz J. Steppe
46
Abkürzungen
ASP
B2B
BPO
CAPEX
CRM
EDV
ERP
FTP
HTTPS
HW
IDC
ITK
ISP
ISV
IP
IT
KMU
LE
LVS
OPEX
PC
04.11.2013
Application Service Providing
Business to Business
Business Process Outsourcing
Capital Expenditures
Customer Relationship Management
Elektronische Datenverarbeitung
Enterprise-Resource-Planning
File Transfer Protocol
Hypertext Transfer Protocol Secure
Hardware
IDC Central Europe GmbH(ITMarktbeobachtung und Beratung)
Informations-und Kommunikationstechnologie
Internet Service Provider
Independent Software Vendor (unabhängiges
Softwarehaus)
Internet Protocol
Informationstechnologie
Kleine und Mittelständische Unternehmen
Large Enterprises
Lagerverwaltungssysteme
Operational Expense
Personal Computer
RFID Radio Frequency Identification
RfQ
Request for Quotation
ROI
Return on Investment
RZ
Rechenzentrum
SaaS
Software as a Service
SFTP
Secure File Transmission Protocol
SH
Systemhaus
SLA
Service-Level-Agreement
SMTP
Simple Mail Transfer Protocol
SPLA
Service Provider License Agreement
SSL
Secure Socket Layer
SW
Software
TCO
Total Cost of Ownership
UDDI
Universal Description, Discovery and Integration
UrhG
Urheberrechtsgesetz
USP
Unique Selling Proposition
WWS
Warenwirtschaftssysteme
XML
Extensible Markup Language
© Franz J. Steppe
47
Quellen & Weiterführende Informationen
•
Allgemeine Quellen:
– www.bitcom.org
– www.cloud-practice.de
•
Leitfaden Cloud Computing
www.franzsteppe.com/download/bitkom-leitfaden-cloudcomputing_web.pdf
Leitfaden Cloud Computing – Was Entscheider wissen müssen
www.franzsteppe.com/download/bitkom_leitfaden_cloud_computingwas_entscheider_wissen_muessen.pdf
Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing (Prof. Dr. Peter Buxmann)
www.franzsteppe.com/download/Ergebnisbericht_Anbieter.pdf
Mythen des Cloud Computing
www.franzsteppe.com/download/Mythen_des_Cloud_Computing.pdf
CLOUD-Computing * IRRWEG oder Lösung
http://www.franzsteppe.com/download/CLOUD-Computing_IRRWEG_oder_Loesung.pdf
CLOUD-Computing * Versicherbare Ereignisse
http://www.franzsteppe.com/download/CLOUD-Computing_Versicherbare-Ereignisse.pdf
CLOUD-Computing * Risikoverteilung und Begrenzung
http://www.franzsteppe.com/download/CLOUD-Computing_Risikoverteilung-und-Begrenzung.pdf
•
•
•
•
•
•
04.11.2013
© Franz J. Steppe
48
Quellen & Weiterführende Informationen
•
Anwendungsmodelle (deployment models) im Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
04.11.2013
© Franz J. Steppe
49
Franz J. Steppe
Interim Manager
Am Blütenanger 47B
80995 München
mobile +49 172 83 05 202
e-mail [email protected]
Internet www.franzsteppe.com
04.11.2013
© Franz J. Steppe
50