IT-Trends und die nötige Anpassung auch in kleinen Unternehmen , Teil 1 Durch Anpassung der IT zum gewinnbringenden Daten-Management

Autor / Redakteur: Daniele Fiebig / Jürgen Sprenzinger

Heute gehört das Handling von Daten verschiedenster Herkunft zum Geschäftsalltag und die IT nimmt einen immer höheren Stellenwert im Unternehmen ein. Zukünftig müssen Unternehmen nach Schätzungen von Analysten etwa das 50-fache an Informationen verwalten und auswerten.

Firma zum Thema

Windows Server 2012 Hyper-V Component Architecture
Windows Server 2012 Hyper-V Component Architecture
(Bild: Microsoft)

Für ein effektives Daten-Management fehlen jedoch häufig durchgängige und skalierbare Konzepte und Infrastrukturen.Um aus Daten Informationen zu gewinnen und diese auch gewinnbringend einsetzen zu können, sind viele Schritte, gegebenenfalls aber auch Anpassungen in der Unternehmensorganisation sowie Investitionen nötig.

Bei der Planung ihrer zukünftigen IT-Landschaft geraten Unternehmen unweigerlich in einen Schlagwort-Dschungel, der sehr oft zu Verwirrungen führen kann. Hier eine kleine Auswahl:

  • Geschäftsprozesse, Prozesslandkarte, BPMN (Business process model and notation)
  • Geschäftsstrategie, IT-Strategie, Sicherheitskonzepte
  • Service-Management
  • serviceorientierte Architektur (SOA)
  • Storage Management
  • Enterprise Service Management
  • Kommunikationsstrategie
  • Unified communications (UC), BYOD (Bring your own device), Mobile Device Management
  • Virtualisierung
  • Cloud Computing
  • Big Data

Gerade in kleinen und mittleren Unternehmen müssen Unternehmensleitung und IT-Entscheider wahre Technologie- und Business-Allrounder sein, um ihre IT-Systeme immer den aktuellen Anforderungen anzupassen. Dazu kommt, dass die Halbwertzeit von teuren Systemlösungen ständig sinkt, weshalb Unternehmen zögern, sofort auf neue Schlagworte und Trends zu setzen. Strategische Investitionen müssen deshalb ganzheitlich geplant und in die Unternehmensstrategie eingepasst werden, damit neben den Kosten, die unweigerlich für Personal, Betrieb, Wartung und Pflege der Hard- und Software anfallen, der Beitrag der IT zum Geschäftserfolg messbar steigt.

Um aus den heutigen Informationen die jeweils wichtigen für den Geschäftsablauf zu eruieren, müssen Entscheider ihre Prozesslandkarte im Kopf haben. Die meisten Verantwortlichen kennen die Geschäftsprozesse ihres Unternehmens zwar genau. Häufig liegen sie jedoch nicht dokumentiert vor, so dass eine IT-Unterstützung schwierig wenn nicht gar ausgeschlossen ist.

Die Geschäftsprozess-Analyse

Der erste Schritt zur Einführung neuer Technologien ist die Erfassung, Dokumentation und Optimierung der aktuellen Geschäftsprozesse sowie die Planung ihrer kontinuierlichen Überprüfung und Anpassung. Die Unternehmensstrategie muss heute öfter denn je an neue Anforderungen angepasst werden. Durch den Abgleich mit der Unternehmensstrategie stellt die IT-Strategie sicher, dass die IT einen effizienten Beitrag zum Unternehmenserfolg leisten kann.

Für die Dokumentation der Geschäftsprozesse wird die „Sprache“ Business Process Model and Notation (BPMN) verwendet. Sie stellt eine Auswahl an Symbolen zur Verfügung, mit denen Geschäftsprozesse und Arbeitsabläufe modelliert und dokumentiert werden können.

Auf Basis dieser Dokumentation können Optimierungspotenziale und Zusammenhänge abgeleitet werden. So lassen sich die Auswirkung von Anpassungen und Organisationsänderungen simulieren.

Geeignete Werkzeuge

Für die elektronische Abbildung von operativen Geschäftsprozessen steht eine Auswahl an durchaus geeigneten Systeme zur Verfügung, zum Beispiel „Microsoft Visio“, „Inubit, „Aris, „Oracle Fusion“, „Saperion ECM“ und „Alfresco ECM“.Desweiteren stehen OpenSource-Plattformen zur Auswahl wie die „ctiviti BPM-Suite“, „Apache ODE“ oder „JBoss jBPM“.

Bevor eine Tool-Entscheidung gefällt wird, sollten auch DCIM-Systeme (Datacenter Infrastructure Management System) analysiert werden. Diese Systeme bringen häufig ebenfalls Tools zum Geschäftsprozess- und Workflow-Management mit, wie „BMC Suite“, „Trellis“, „FNT Suite“ und „CA DCIM“.

Ergänzendes zum Thema
Geschäftsprozess/Prozesslandkarte

Geschäftsprozess beschreibt eine Folge von Einzeltätigkeiten, die schrittweise ausgeführt werden, um ein geschäftliches oder betriebliches Ziel zu erreichen.

Durch die Geschäftsprozessmodellierung werden Informationen wie Auslöser, Ausführende, Input, Ergebnis(se) ermittelt und der Prozessfluss dokumentiert - besonders wenn das Ausführen der Geschäftsprozesse durch automatisiertes Workflow-Management unterstützt werden soll.

Prozesslandkarte beschreibt sämtliche Geschäftsprozesse und Abläufe, Richtlinien, Verfahrens-, Betriebs- und Arbeitsanweisungen systematisch.

Unternehmen benötigen ein gewisses Set an Informationen und Tools für das Infrastruktur-, Verfügbarkeits-, Skalierbarkeits-, Security- und Ressourcen-Management. Hier sollte die Entscheidung für ein Tool erst fallen, wenn alle Anforderungen bekannt sind, da in der Konsolidierung und in der Zentralisation der Informationen ein erheblicher Einspareffekt steckt, wenn nicht für jeden Bereich ein separates Managementtool eingeführt wird.

Die Unternehmens- und IT-Strategie

Als Zweites sollten die Unternehmens- und IT-Strategie geprüft und angepasst werden. Auch hier sind die Prozesse zu definieren, die für einen kontinuierlichen Abgleich der Dokumente sorgen sowie für die Bekanntgabe und Kommunikation der Strategie-Eckwerte im Unternehmen. Um den Wertbeitrag der IT am Unternehmenserfolg sicherzustellen, ist es für Unternehmen unerlässlich, eine aus der Unternehmensstrategie abgeleitete IT-Strategie zu formulieren und diese zielgerichtet zu verfolgen.

Ausgangspunkte für die IT-Strategie sind die Anforderungen, die aus der Unternehmensstrategie, den aktuellen und zukünftigen Geschäftsprozessen sowie aus der vorhandene IT-Landschaft und den vorhandenen Datenbeständen (IST-Analyse der aktuellen IT-Bestände) resultieren.

Unternehmen gehen heute mit einer steigenden Menge an Daten um, die unterschiedliche Werte für den Geschäftsprozess haben. Hier muss eine schlüssige IT-Sicherheitsstrategie die Prozesse zum Datenschutz und zur Datensicherheit definieren.

Die Gesetze und Vorschriften

Weiterhin ist neben der IT-Sicherheitsstrategie die Risikomanagementstrategie eine wichtige Führungsaufgabe. Beide Strategien beruhen auf gesetzlichen Vorgaben wie dem BDSG (Bundesdatenschutzgesetz), den Datenschutzgesetzen der Länder, dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), dem Telekommunikationsgesetz, Sarbanes-Oxley-Act (SOX), Basel II, Solvency und den DIN ISO Normen 31000 beispielsweise. Wichtige Hilfsmittel für die IT-Sicherheit bieten die ISO2700x-Reihe und ISO 22301 (Business Continuity).

ISO 27001 listet die Anforderungen für Management-Systeme für Informationssicherheit auf, die ISO 27002 formuliert einen Verhaltenscodex für das Management von Informationssicherheit (Code of practice), ISO 27005 hat das Risiko-Management für Informationssicherheit zum Thema und die ISO 27034-1 beinhaltet den ersten Teil von sechs Empfehlungen für Sicherheit in der Software-Entwicklung. Weitere Leitlinien bieten die Grundschutzkataloge des BSI oder auch der „Der Leitfaden zum KMU Risikomanagement“ des Institut für Arbeitswissenschaft (IAD) an der Technische Universität Darmstadt.

Ergänzendes zum Thema
Unternehmensstrategie/IT-Strategie

Unternehmensstrategie beschreibt als Erstes einen Plan (intended strategy) für die zukünftige Unternehmensentsentwicklung und zweitens die Umsetzung (Strategisches Management). Nachgeordnet folgen Teilstrategien (Marketingstrategie, Finanzierungsstrategie usw.).

IT-Strategie ist ein Teil der UN-Strategie und richtet die Prozesse, die Systemarchitektur und die Informationssysteme konsequent an den derzeitigen und zukünftigen Geschäftsanforderungen aus.

Zusammenfassend sollte gesagt werden, dass die Entwicklung aller Pläne und Strategien eine Management- und Führungsaufgabe ist und dass jeweils ein Verantwortlicher dafür benannt werden muss.

Laut „Risk-Management-Benchmarking 2011/2012“, des PwC verfügt fast jedes dritte der befragten Unternehmen inzwischen über eine operationalisierbare Risikostrategie. Weitere Regelungen umfassen die lückenlose Überwachung und das Reporting von Zugriffen auf vertrauliche und personenbezogene Daten wie z. B. Payment Card Industry Data Security Standard (PCI DSS), Gramm-Leach-Bliley (GBLA), HIPAA (Health Insurance Portability and Accountability Act), Sarbanes-Oxley Act und Basel II.

Die IT-Sicherheitsstrategie

Es muss eine IT-Sicherheitsstrategie erstellt und prozessual definiert werden (IT-Sicherheits-Management). Für die IT-Sicherheit ist die Unternehmensleitung verantwortlich, auch dann, wenn die Daten teilweise oder ganz ausgelagert wurden (Outsourcing Rechenzentrum, Cloud).

Der Teil der IT-Sicherheitsstrategie, welcher die Daten betrachtet, muss neben dem Wert und dem Schutzbedarf der Daten auch eine Kategorisierungsmöglichkeit für die Unternehmensdaten definieren. Nicht alle Daten haben für das Unternehmen den gleichen Wert und müssen über lange Zeit aufbewahrt werden. Des Weiteren muss die Art, die Menge und das zukünftige Wachstum der Daten analysiert und in die Strategie einbezogen werden. Hieraus ergeben sich Anforderungen und Eckwerte für das Storagemanagement, das Datensicherungskonzept (Backup) und die erforderlichen Technologien.

Für den Umgang und die Speicherung von großen Datenbeständen stehen heute viele Möglichkeiten und Techniken zur Verfügung. So ist zu überlegen, ob alle Daten gesichert werden müssen, welche Daten aus gesetzlichen Anforderungen aufbewahrt werden müssen und welche Daten welchen Wert für das Unternehmen haben.

Was ist technisch notwendig?

Aus technischer Sicht ist zu prüfen, ob ein Backup-Rechenzentrum erforderlich ist und wie es realisiert wird - physisch, in sicherer Entfernung oder in der cloud?. Von der eingesetzten Backup-Technologie (Full-, Incremental-, Differenzial- oder Level Backup) und den verfügbaren Bandbreiten ist die erforderliche Zeit für ein Backup und auch für eine etwaige erforderliche Wiederherstellung der Daten abhängig.

Ein wichtiger Faktor für die Performance ist die Anzahl der gleichzeitig zugreifenden Clients. Speichervirtualisierung ermöglicht das zentrale Management aller Speicherressourcen. Replikation (gleichzeitiges Vorhalten von identischen, aktiven Datenbeständen) sichert den schnellen Datenzugriff.

Zunehmend werden zwei räumlich getrennte Rechenzentren gekoppelt und bilden so eine Aktiv-Passiv (Backup Rechenzentrum) oder auch eine Aktiv-Aktiv Instanz (synchrone Datenbestände in zwei Rechenzentren) ab. Bei der Off-Site-Replizierung (Replizierung der kompletten Datenbestände in ein externes Rechenzentrum oder in die cloud) spielen Überlegungen zu Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) eine entscheidende Rolle.

Der Grad an Redundanz

Das bedeutet: Es muss definiert werden, wie lange das Wiederherstellen von verloren gegangenen Daten dauert (RTO) bezihungsweise wie groß der Zeitraum zwischen zwei Datensicherungsläufen sein darf, ohne dass bei einem Systemausfall wertvolle Daten verloren gehen können (RPO). Die Anforderungen an die Verfügbarkeit der Daten und Systeme sollte mit Augenmaß erfolgen und hängt maßgeblich davon ab, was ein Ausfall oder die Nichtverfügbarkeit der Daten je Minute kosten. Dies kann sehr unterschiedlich sein und beinhaltet direkte Schäden als auch Folgekosten oder nicht realisierte Umsätze.

Derzeit steigt die Abhängigkeit der Unternehmen von der IT stetig, was bei der Betrachtung möglicher Ausfallkosten und Gefährdungen berücksichtigt werden muss. Dagegen stehen die Aufwendungen, die zur Verringerung des Ausfallrisikos investiert werden müssten.

Sicherheitsinvestitionen: Kostensteigerungskurve nach Verfügbarkeit
Sicherheitsinvestitionen: Kostensteigerungskurve nach Verfügbarkeit
(Bild: Gartner Research)
Als ausfallbedingte Kosten werden die Aufwendungen zur Verhinderung eines Ausfalls und zur schnellen Wiederherstellung bezeichnet. Sie sind zeitabhängig: Je höher die angestrebte Verfügbarkeit ist und je kürzer die Wiederherstellzeit sein darf, umso höher liegen die dafür erforderlichen Investitionen.

Augenmaß und Kalkulation

Hier helfen nur Augenmaß und die Betrachtung der Eintrittswahrscheinlichkeit einzelner Ausfallrisiken (kontinuierliches Risiko-Management). Komponentenausfälle werden durch Redundanzen verringert. Der Ausfall eines gesamten Rechenzentrums durch Katastrophen, wie Brand, Wasser oder Sabotage muss durch das Unternehmen im Rahmen des Risiko-Managements betrachtet und per bewusster Entscheidung behandelt oder in Kauf genommen werden.

Das Marktforschungsunternehmen Techconsult hat im Auftrag von HP Deutschland 300 Unternehmen mit 200 bis 4.999 Mitarbeitern zu ihren Ausfällen geschäftskritischer IT-Systeme befragt und festgestellt, dass deutschen Mittelständlern durch Ausfälle Kosten von durchschnittlich bis zu 380.000 Euro pro Unternehmen und Jahr entstehen.

Ergänzendes zum Thema
IT-Sicherheits-Management-System (ISMS)

IT-Sicherheitsmanagementsystem (ISMS) ist Teil gesamten Managements, der auf Basis eines Risikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.

Rund 77 Prozent der für die Studie untersuchten Mittelständler verzeichneten 2012 Ausfälle geschäftskritischer IT-Systeme, etwa für unternehmenskritische Prozesse, Warenwirtschaft, Fertigung oder Vertrieb. Im Durchschnitt waren es vier Ausfälle pro Unternehmen und Jahr. Je Ausfall-Stunde entstanden den Unternehmen Kosten in Höhe von durchschnittlich 25.000 Euro . Diese Zahlen unterstreichen die Notwendigkeit von aktuellen Notfallplänen mehr als deutlich.

Die Sicherheitsstrategie umfasst aber auch:

  • IT-Infrastruktur/Management, zum Beispiel Zutrittskontrolle, Klimatisierung, Brandschutz und Energieversorgung
  • Internet- und E-Mail-Nutzung, zum Beispiel Richtlinien, Firewall, Intrusion Detection/Prevention Systeme (IDS/IPS), Monitoring und Nutzer/Rechte-Matrix
  • Mobile Business. etwa Mobile Device Management (MDM), Profile
  • Datenschutz/IT-Sicherheits-Management, inklusive Cloud Computing)

Konsolidierung als Maßgabe

Die IT-Infrastuktur der Unternehmen ist vielfältig
Die IT-Infrastuktur der Unternehmen ist vielfältig
(Bild: Gartner Research)
Die IT-Infrastruktur von Unternehmen ist historisch gewachsen und in der Regel von einer erheblichen Gerätevielfalt geprägt. Sie lässt sich in die Bereiche Server, Storage, Netzwerk und Infrastruktur teilen. Wobei die Infrastruktur alle Systeme und Anlagen des Rechenzentrums umfasst, wie Gebäude, GLT, Stromversorgung, Klima und Brandschutz.

Ergänzendes zum Thema
Recovery Time Objectives (RTO) / Recovery Point Objectives (RPO)

Recovery Time Objectives (RTO) ist die Wiederherstellungszeit für verloren gegangene Daten.

Recovery Point Objectives (RPO) ist der Zeitraum zwischen zwei Datensicherungsläufen.

Die Zeiten, in denen je Applikation/Funktion ein Server bereitgestellt wurde, sind längst vorbei. Der Trend zur Konsolidierung hat das Ziel, die Komplexität der IT zu senken bei gleichbleibenden oder geringen Kosten jedoch bei höherer Leistungsfähigkeit und bei geringerem Platzbedarf. Dies setzt aber neue RZ-Architekturen wie SOA und neue Technologien wie Virtualisierung und Cloud Computing voraus.

Die Service-orientierte Architektur und das Service-Management

SOA ermöglicht die Standardisierung von Funktionen, zum Beispiel „Umsatzzahlen für das 1. Quartal abfragen”, „Auftragsbestand um eins erhöhen”, und kompletten Businessprozessen wie etwa „Kundenkonto verwalten”, „Produktionsergebnisse prüfen”, so dass sie unternehmensweit zugänglich sind. Geschäftsdaten, Prozesse und Funktionen können ortsunabhängig genutzt werden.

Im Netzwerkbereich tragen konvergierte Netzwerkstrukturen maßgeblich zu einer Konsolidierung im Rechenzentrum bei. Das Merkmal von konvergenten Netzarchitekturen ist, dass unterschiedliche Vermittlungstechniken wie die Datenpaketvermittlung und die Leitungsvermittlung ebenso zusammengeführt werden, wie die verschiedensten Dienste.

Ergänzendes zum Thema
Service-orientierte Architektur (SOA)

Serviceorientierte Architektur (SOA) auch dienstorientierte Architektur, ist ein auf Services basierendes Unternehmens- und IT-Architekturkonzept. Dienste werden von Mitarbeitern und Organisationen getrennt, strukturiert und unternehmensweit genutzt. Diese Strukturierung und Nutzung kann auf unterschiedlichen Ebenen erfolgen.

Optisches Merkmal ist eine massiv reduzierte Verkabelung, wobei technisch iSCSI, IP und Fibre Channel gemeinsam als FCoE (Fiber Channel over Ethernet) übertragen werden. Die konvergente Netzwerkarchitektur bildet die Basis für die Next Generation Networks (NGN). Sie arbeiten mit Media-Gateways (MGW), über die vorhandene Sprachnetze und digitale Netze mit dem IP-Netz verbunden werden.

Neue Netze

Neue Netzwerkkomponenten wie Datacenter Switches, Signalling Gateways (SGW) und Media Gateway Controller (MGC) tragen mit höherer Packungsdichte und Leistungsfähigkeit ebenfalls zur Platzeinsparung bei. SOA ist also kein Standard sondern lediglich ein Prinzip zur Standardisierung und Konsolidierung mit dem Ziel, Transparenz der IT-Landschaft und deren Effizienz zu erhöhen.

Neben der Konsolidierung im Netzwerkbereich müssen dazu auch alle Möglichkeiten für die Konsolidierung und Standardisierung im Server- und Applikationsbereich genutzt werden. Virtualisierung und Cloud-Computing sind zwei Trends die das SOA-Prinzip unterstützen.

Die Virtualisierung

Transparenz durch Virtualisierung
Transparenz durch Virtualisierung
(Bild: Microsoft)
Dank Virtualisierung kann ein physisches System in mehrere virtuelle Systeme unterteilt werden, von denen jedes unabhängig mit anderen Geräten, Anwendungen, Daten und Benutzern interagieren kann. Der Einsatz einer Server-Virtualisierung ermöglicht ein bis dahin nicht dagewesenes Maß an Skalierbarkeit und Elastizität.

Andererseits können durch Virtualisierung mehrere physische Ressourcen zu einer einzigen virtuellen Ressource zusammengefasst werden. Die Speichervirtualisierung ist ein hervorragendes Beispiel dafür, wie mehrere Netzwerk-Speicher-Ressourcen zu einem einzigen Speichergerät kombiniert werden können. Durch die Speichervirtualisierung werden die Nutzung und das Management von Speicherressourcen einfacher und effizienter.

Die Hypervisor-Software macht die Virtualisierung möglich. Diese Software trennt Betriebssystem und Anwendungen von der Hardware, um den Betrieb unterschiedlicher Betriebssysteme und Applikationen ohne Abhängigkeiten, nebeneinander auf einem Host-System zu ermöglichen. Beispiele für Hypervisor-Software sind „Microsoft Hyper-V“, „Citrix XenServer 5“, „VMware vSphere 4“, „Oracle VirtualBox“, „VMware Server 2.0“, „VMware vCenter Converter“, „Evalaze“ und „Parallels Desktop 4“ für Windows & Linux.

Was soll virtualsiert werden?

Die Entscheidung für den Einsatz von Virtualisierung ist meist schnell getroffen, jedoch erfordert auch die Virtualisierung eine bewusste Entscheidung für eine oder mehrere Virtualisierungsmethoden sowie für die Hypervisor-Software. Bei den Virtualisierungsmethoden werden die folgenden Haupttypen unterschieden: Server-, Storage-, Netzwerk-, Applikationsvirtualisierung und virtuelle Desktops.

Server-Virtualisierung dient der Konsolidierung der Rechenzentrumsinfrastruktur. Die häufig auf Spitzenlasten ausgelegten Infrastrukturen werden im Normalbetrieb nicht ausgelastet und sind somit ineffizient und teuer. Die Server-Virtualisierung kann für eine ausgeglichene Auslastung der Ressourcen sorgen.

Die Storage-Virtualiserung oder auch Storage Area Network (SAN) verbindet Storage-Systeme und ermöglicht eine effektive Auslastung und ein zentrales Management der vorhandenen Speicherressourcen.

Gut überlegen!

Die Netzwerkvirtualisierung bildet ein nach außen abgeschirmtes Netzwerk über verschiedene physische Netze. Aktuell ist die Software-defined Networking (SDN) in aller Munde. In diesem Zusammenhang werden drei Technologien für die Netzwerkvirtualisierung beschrieben.

Applikationsvirtualisierung (Anwendungsvirtualisierung) ist das lokale Ausführen von Desktop- oder Server-Anwendungen, ohne dass diese auf dem ausführenden System installiert werden müssen.

Aufgrund der großen Vielfalt an Virtualsierungstechnologien, Anbietern und der Tatsache, dass alle IT-Ressourcen (Hardware, Software, Netzwerk) betroffen sind, führt nur ein übergreifendes Konzept zu Kosteneinsparungen und ermöglicht somit ein zentrales Monitoring und Management der vorhandenen IT-Ressourcen.

Cloud Computing / Cloud Services

Mit Cloud Computing zur flexibleren IT
Mit Cloud Computing zur flexibleren IT
(Bild: Gartner Research)
Cloud Computing soll die IT effizienter, flexibler und transparenter machen sowie Kosten sparen. Es wirft aber auch immer die Frage auf, wie es sicherzustellen ist, dass die Unternehmen jederzeit Herr ihrer Daten bleiben.

Cloud Computing basiert auf Virtualisierungstechnologien, die die Bereitstellung von IT-Services aus einem flexiblen Ressourcenpool ermöglichen. Die Unternehmen können aus einer wachsenden Zahl von Cloud-basierten IT-Services für den Einsatz in unterschiedlichen Umgebungen wählen.

  • Software as a Service (SaaS) (Bei Software as a Service wird Software als integrierte Dienstleistung netzbasiert über die Cloud bereitgestellt).
  • Platform as a Service (PaaS) Bei Platform as a Service werden neben Software auch Infrastrukturressourcen wie eine Entwicklungsumgebung oder virtuelle Speicherbereiche in der Cloud genutzt.
  • Infrastructure as a Service (IaaS) Bei Infrastructure as a Service ersetzt die Cloud die IT-Basis-Infrastruktur wie Speicher-, Netz- und Rechenkapazität. Beim Anwender entfallen so Kosten für Hardware, Software sowie für Wartung der IT-Infrastruktur.
  • Business Process as a Service (BPaaS) Bei Business Process as a Service erfolgt die inhaltliche Durchführung von Teilprozessen oder kompletten Geschäftsprozesse in der Cloud.

Cloud-Services können in den verschiedenen Umgebungen bereitgestellt werden. Bei der Public-Cloud stellt ein externer Provider Ressourcen über das Netz bereit, die von mehreren Nutzern abgerufen werden können. Bei Abruf werden die Ressourcen dem Abrufenden individuell zugeordnet.

Bei der Privat Cloud stellt ein externer oder interner Provider speziell zugeschnittene Ressourcen einem Nutzer exklusiv zur Verfügung.

Die Hybrid-Cloud ist eine Mischung aus Public- und Private Cloud. Bei der Community Cloud nutzen mehrere Unternehmen eine Private-Cloud gemeinsam.

Die Risiken

Die Vorteile der Cloud liegen auf der Hand: Cloud-Services stehen kurzfristig in der benötigten Dimension global zur Verfügung und erhöhen somit den Spielraum des Unternehmens.Doch sollte man dabei nicht außer Acht lassen, dass die Risiken der Cloudnutzung auber auch vielfältig sind:

  • Datenübertragung: Hier muß zwingend auf sichere Übertragung, zum Beispiel SSL, httpsund VPN geachtet werden
  • Speicherort und Datensegregation: Der Dateneigner sollte immer über den physikalischen Speicherort seiner Daten Bescheid wissen (Vertragsabschluß, RZ-Lokalität und Sicherung, Monitoring, Reporting). Dies schließt die Nutzung separater Hardware und Speicherbereiche ein.
  • Zugriffsrechte: Es müssen die eigenen Anforderungen an die Zugriffssicherheit auf den Provider übertragen und vertraglich gesichert lassen.
  • Überwachung und Report: Aussagekräftiges Reporting und Monitoring verlangen.
  • Verfügbarkeit und Datenwiederherstellung: Der Provider muss über ein schlüssiges, getestetes Sicherheits- und Business Continuity Konzept verfügen, welches die im Vertrag zugesicherte Verfügbarkeit garantiert und eine Notfallvorsorge einschließt.
  • Rechtliche Anforderungen und Zertifikate: Es muss sichergestellt werden, dass der Provider, die rechtlichen Anforderungen der Anwender einhalten kann und sich diesbezüglich bei Bedarf prüfen und zertifizieren lässt.

Bei der Entscheidung für den Cloud-Betrieb, die Cloud-Betriebsart und den Anbieter müssen die Unternehmen vielfältige Überlegungen finanzieller, organisatorischer, sicherheitstechnischer, vertraglicher Art anstellen. Cloud Computing erfordert von Unternehmen ein Umdenken bei der IT-Security-Strategie, um Cloud Services nahtlos und sicher in bestehende Infrastrukturen zu integrieren. Bei der Planung von Cloud Computing Projekte müssen grundlegende Überlegungen dazu gemacht werden, wie sich die eigenen Anforderungen und vor allem die Rechtekonzepte auf die Cloud übertragen lassen.

Die Vertragsbedingungen

Hier spielen die Vertragsbedingungen sowie die Service Level Agreements (SLAs) eine entscheidende Rolle. Neben Verfügbarkeit, Incident-Management und Kosten sollte der Vertrag beinhalten, wo die Daten liegen und wie der Provider ihre Vertraulichkeit und Integrität sichert.

Dabei müssen neben dem normalen Betrieb auch Störungen und Ausfällen beim Provider betrachtet werden. Keiner sollte sich scheuen, nach dem Notfallplan des Providers zu fragen. Die Hinzuziehung eines fachkundigen Anwaltes zum Vertragsabschluss ist beinah ein MUSS, besonders dann, wenn es sich um geschäftskritische oder personenbezogene Daten oder Applikationen handelt.

Die Beschaffung und Verwaltung von Cloud-Service-Verträgen unterstützt der ENISA-Leitfaden zur Kontrolle von Cloud-Computing-Verträgen. Werden personenbezogene Daten in die Cloud verlagert, sollte zudem der Beschluss des Düsseldorfer Kreises „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing“ beachtet werden.

Cloud-Zertfikate

Des Weiteren gibt es unzählige, unabhängige Cloud Zertifikate. Hier muss der Anwender selbst die Prüfgrundlagen eruieren. Die wichtigsten Cloud Anbieter sind IBM, Google, Salesforce.com, Microsoft, Amazon, Yahoo, Salesforce.com, Trend Micro, SAP, Oracle, Cisco, Hewlett Packard, 10gen, Bluewolf, T-Systems, British Telecom, Sun Microsystems, Intel und VMware (Quelle: experton GROUP, Cloud Vendor Benchmark 2013).

Ergänzendes zum Thema
Cloud Computing

Cloud Computing (Definition der NIST (National Institute of Standards and Technology))

„Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“

Cloud-Anbieter für kleinere Unternehmen sind etwa justcloud, STRATO, CloudSigma, TelekomCloud, livedrive, SugarSync, Microsoft Sky Drive, Fabasoft Cloud, Apple iCloud.Im Bereich der Open source cloud platforms finden sich beispielsweise OpenStack, CloudStack und Eucalyptus. Für das Cloud Zugriffs- und Access Management gibt es verschiedene Produkte wie „Cloud Access Log Management“ von Tibco, „Loglogic Log Management Intelligence“, „Panda cloud office protection“, „Cloud Audit“ von Cipher Cloud, „Internet Evidence Finder“ (IEF)von Magnet Forensics.

Unternehmen, die ihre Verantwortung für den Datenschutz ernst nehmen, verfügen über eine Überwachung der Cloud-Aktivitäten mittels Cloud-Logging und ein Notfallkonzept. Die richtige Bewertung von Cloud-Gütesiegeln bei der Wahl des Cloud-Anbieters und die Festlegung aller wichtigen Regeln, Reports und Servicelevel im Vertrag mit dem Cloud Anbieter sind ebenfalls wichtige Sicherheitsmerkmale.

(Fortsetzung folgt)

Die Autorin:

Dr. Daniele Fiebig freiberufliche IT-Beraterin.

(ID:42288417)