»Ohne Open Source kein Internet«
Open-Xchange-Chef Rafael Laguna über die Bedeutung von Open Source im Cloud Computing, Microsofts Windows Azure…
Analyse: Cloud Computing - ein kalkulierbares Risiko
- Datum 25-02-2010
Cloud Computing ist ein Hype-Thema der IT. Doch viele Unternehmen fragen sich, ob das Sicherheitsrisiko nicht viel zu hoch ist, um wirklich den Schritt in die Cloud zu gehen.
Bevor man sich der Frage nach der Sicherheit des Cloud Computings widmet, gilt es aber zunächst zu klären, was Cloud Computing überhaupt ist. Wie bei allen populären Themen gibt es unzählige Definitionen, oft von den Marketing-Abteilungen der Hersteller entsprechend vorhandener oder auch neuer Produktangebote geprägt.
Es geht um Services
Die Quintessenz des Cloud Computings ist der Schritt zu einer serviceorientierten IT, die in der Lage ist, die für die Business-Anforderungen erforderlichen Dienste flexibel bereitzustellen und dabei unterschiedliche IT-Services zu »orchestrieren«.
Diese Services können intern oder extern erbracht werden. Deutlich wird, dass es in erster Linie um eine optimale Service-Erbringung geht - und nur im zweiten Schritt um externe Dienste, die eben manchmal besser geeignet sind, um das zu erreichen, manchmal aber auch nicht.
Public Cloud, Private Cloud, Hybrid Cloud
Das erklärt auch, warum so viel über verschiedene Clouds wie eine Public Cloud, die Private Cloud oder die Hybrid Cloud gesprochen wird, wobei auch diese Begriffe keineswegs klar und eindeutig definiert sind. Letztlich kann man aber von einer externen, einer internen und einer gemischten Leistungserbringung sprechen. Mit Blick auf die Gesamt-IT ist dabei heute schon der hybride Ansatz die Regel.
Welches Unternehmen bezieht nicht schon einzelne Leistungen, vom Backup über eMail-Services, Updates von Virendefinitionen, Web-Hosting oder Web Conferencing bis hin zu spezialisierten Leistungen wie denen von Datev von externen IT-Dienstleistern? Auch das Outsourcing kann durchaus als eine sehr spezialisierte Form des Cloud Computings mit spezialisierten statt generischen Leistungen verstanden werden.
Wie so oft zeigt sich bei näherer Betrachtung, dass keineswegs alles neu ist. Cloud Computing ist ein neuer Dachbegriff in einer Entwicklung, die schon viel früher begonnen hat. Themen wie SaaS (Software as a Service) oder On Demand-Computing spielen schon seit Jahren eine Rolle.
Sicherheit und Cloud Computing
Das bedeutet aber, dass auch die Sicherheitsthemen des Cloud Computings keineswegs ganz neu sind. Denn die grundsätzlichen Fragestellungen gibt es schon, seit Unternehmen begonnen haben, irgendwelche IT-Leistungen nach außen zu vergeben. Allerdings verändern sich manche dieser Herausforderungen mit dem Cloud Computing und es ergeben sich durch technische Änderungen durchaus auch neue Anforderungen.
»Cloud Computing stellt ein kalkulierbares Risiko für die IT dar - auch bei der Nutzung externer Dienste.« Martin Kuppinger
Einer der wichtigsten Aspekte beim Cloud Computing ist, dass dieses den Übergang von einer taktischen, opportunistischen Nutzung einzelner externer Dienste hin zu einem strategischen Ansatz darstellt, in dem der jeweils beste Diensterbringer flexibel ausgewählt und auch gewechselt werden kann. Das birgt Chancen und Risiken.
Die Chance liegt darin, dass man in einem solchen strategischen Ansatz standardisiert und mit festen Kriterien entscheidet und damit das Thema Sicherheit potenziell genauer beleuchtet als das oft bei ad hoc-Entscheidungen der Fall ist. Das Risiko liegt darin, dass man zukünftig mit deutlich mehr externen Leistungserbringern zusammen arbeiten wird und damit natürlich auch die Überwachungsanforderungen steigen.
Neue Anforderungen entstehen zudem durch die zunehmende Virtualisierung, die einige spezielle technische Herausforderungen birgt, die man nicht unterschätzen darf.
Die Compliance-Sicht
Nicht unterschätzen darf man zudem die Compliance-Anforderungen beim Cloud Computing. Im Bereich des Datenschutzes kann man als Faustregel nehmen, dass eine Verarbeitung von personenbezogenen und anderen sensitiven Daten außerhalb der EU bedenklich ist, da hier teilweise unterschiedliche Regelungen beispielsweise der USA mit europäischem Recht in Konflikt stehen. Das ist ein Feld, das derzeit zunehmend diskutiert wird. Beispielsweise gilt nach Ansicht beispielsweise des Berliner Datenschutzbeauftragten, dass eine cloud-basierte Verarbeitung von personenbezogenen Daten außerhalb der EU nach dem deutschen Recht nicht zulässig ist.
