Die Meinung der SAP-Community IT-Security Kolumne MAG 1603

Cloud oder nicht Cloud – das ist oft keine Frage…

Security
Geschrieben von E-3 Magazin

In Deutschland rühmen wir uns unserer Vorsicht; abfällig auch „German Angst“ genannt. Beispiel Cloud Computing: Einige Unternehmen sehen in der „Private Cloud“ im eigenen Rechenzentrum den einzigen Weg – möglichen Skaleneffekten zum Trotz.

Manche vergleichen die hybride Cloud als Übergangstechnologie vom eigenen Rechenzentrum zur öffentlichen Wolke sogar mit Drogen – der „erste Schuss“ sei kostenlos…

Dementsprechend werden Sicherheitskonzepte und -lösungen abgetan, die lokale und in der Cloud lagernde Workloads (bzw. den Übergang) sichern.

Natürlich gibt es Anwendungsfälle, in denen rechtliche Gründe das Auslagern von Daten und Prozessen an Dritte verbieten. Trotzdem übersehen viele einen entscheidenden Aspekt: Nicht jedes Unternehmen hat die nötige Größe, bei der der Betrieb der IT im eigenen Rechenzentrum möglich oder wirtschaftlich ist.

Kleinere Unternehmen können nicht wählen, ob sie für oder gegen „die Cloud“ stimmen – viele Dienste gibt es heute faktisch nur noch als Abo-Modell in der Cloud (SaaS): von so simplen Dingen wie E-Mail, Kalender und Kontakten auf Laptop und Handy über Filesharing- und Office-Software bis hin zu Reisekosten oder Urlaubsplänen.

Selbst beim Betrieb eigener Anwendungen geht der Trend weg von eigenen statischen hin zu PaaS- oder IaaS-Angeboten. Speziell wenn das Webangebot geschäftskritisch ist, ist der zum hochverfügbaren Betrieb von Root-Servern nötige Aufwand und das benötigte Wissen oftmals nicht tragbar.

Bei PaaS- oder IaaS-Angeboten dagegen ist das oft nur ein Häkchen in der Konfigurationsoberfläche…

Eines darf man keinesfalls vergessen: Der Großteil der deutschen Unternehmen ist „Hidden Champion“ im Mittelstand. Auch jenen Unternehmen, die nicht in der Luxussituation sind, alles im eigenen Haus halten zu können, muss man Gehör schenken – und ihnen Werkzeuge zur sicheren Nutzung der Dienste an die Hand geben.

Große Unternehmen haben häufig eine eigene IT, womöglich im eigenen Rechenzentrum. Der Weg in die Cloud führt von Hardware über Virtualisierung hin zu IaaS-Angeboten, ein klassisches Hybrid-Cloud-Szenario also. Man ersetzt die eigene Hardware im Rechenzentrum, behält das Betriebsmodell aber bei.

Einige Dienste, besonders die selbst entwickelten oder internen, werden unter Umständen zu PaaS-Providern ausgelagert bzw. als SaaS-Dienst eingekauft. Aus Sicht der IT-Sicherheit bieten sich hier Lösungen an, die transparent und unabhängig von der Infrastruktur Sicherheitsmaßnahmen durchsetzen können.

Kleinere Unternehmen gehen oft den umgekehrten Weg. Die initial eingesetzten Dienste sind oft im SaaS-Bereich zu finden. Mit wachsender Größe, steigendem Bedarf und spezielleren Anforderungen wandern einzelne Dienste dann womöglich erst auf PaaS- und dann auf IaaS-Plattformen.

Bei kritischen Daten und Prozessen ist als letzter Schritt manchmal die Verlagerung von Public-IaaS-Angeboten auf eigene virtualisierte Hardware denkbar. Bei diesem Weg ist die hybride Cloud selbst für Gegner der öffentlichen Cloud etwas Positives; nämlich die Möglichkeit, Daten und Prozesse zurück ins eigene Rechenzentrum zu holen.

Auch hier spielen Sicherheitslösungen, die alle Stationen abdecken, eine entscheidende Rolle. Sie ermöglichen das „Mitnehmen“ bewährter Sicherheitsrichtlinien und -mechanismen unabhängig von der darunter liegenden Plattform. Man kann beim Sicherheitsniveau der Public Cloud durchaus geteilter Meinung sein.

Die pauschale Ablehnung der Cloud und die Verteufelung von Übergangstechnologien sind aber weder sinnvoll noch zielführend. Denn: Viele Unternehmen haben einfach keine Wahl!

Die Nutzung der Hybrid Cloud erlaubt den „sanften Übergang“ in beide Richtungen – dem Sicherheitslösungen und -konzepte nicht im Weg stehen, sondern mitwandern sollten. Bei großen Firmen ist es der Übergang von der eigenen IT in die Cloud, bei vielen kleineren die Möglichkeit des Übergangs von der Cloud in eine eigene IT.

Jeder Sicherheitsverantwortliche ist gut beraten, sich nicht blind einem Dogma zu unterwerfen, sondern eine fundierte Entscheidung im Kontext „seines“ Unternehmens zu treffen. Dazu gehören neben benötigtem Sicherheitsniveau und Unternehmensgröße auch wirtschaftliche Rahmenbedingungen, sowohl in der Gegenwart als auch für die Zukunft auf dem Weg in die Cloud – oder aus der Cloud.

Über den Autor

E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2