Das Thema würde ich zur Zeit als Dilemma für die meisten Berater sehen und somit auch für die Firmen die sich damit auseinandersetzen wollen oder müssen.
Es gibt für beide Seiten eine recht große Pro Liste, somit ergibt sich zwangsläufig auch eine Contra Liste für beide Herangehensweisen.
Zuerst aber einmal etwas Aufarbeitung zu dem verwendeten Wörtern.
Es gibt 3 Begrifflichkeiten die wir hier zuerst klären müssen.
On Premise=im Haus
Das bedeutet, dass die Systeme in ihrem eigenen Haus, also am besten in einem abgeschlossenen Serverraum stehen.
Hier demnächste ein Link wo ich das genauer ausführe.
Cloude=Wolke
Der Dienst den sie nutzen wird in einem Rechenzentrumsverbund betrieben, sie selbst greifen darauf über das Internet zu.
Hier ein Link wo ich das demnächst genauer ausführe.
Managed Service
All beiden oben genannten Varianten können meist in der Kombination mit Managed Service gebucht werden. Hier liegt der Unterschied darin ob sie sich selbst um alles „relevante“ zum Betrieb kümmern müssen oder ob das eine dritte Dienstleistungsstelle für sie übernimmt. Je nach Service kann so durchaus ein Cloud Dienst in Ihrem eigenen Rechenzentrum stehen, der von externen Mitarbeitern betreut wird. Hier wird dann oft von der „Own Cloud“ also der eigenen Wolke gesprochen.
Jetzt zu dem was ich über das Thema denke und wie ich das einschätze.
Auf Grund der in den deutschen Medien immer wieder betonten Problematik mit Cloud Services und den rechtlichen Themen muss jeder natürlich selbst abwägen was für seine Daten das Beste ist, aber es gibt schon einige Orientierungshilfen.
Die großen Cloud Serviceanbieter, welche weltweit aufgestellt sind, betonen alle, dass sie die lokale Rechtsprechung achten. Aber ganz ehrlich gesagt, was sollen die auch anderes machen? Es gibt gültige Gesetze in den USA, welche dort ansässige Unternehmen dazu verpflichten, unter gewissen Umständen, den Sicherheitsbehörden einen Zugriff auf abgelegte Daten zu ermöglichen. Hierbei ist es auch unabhängig davon ob die Daten in einem Rechenzentrum in den USA liegen oder außerhalb.
Viele amerikanische Unternehmen währen sich zwar gegen diese Maßnahmen, meistens mit einer dieser beiden Strategien.
- Die Firmen gehen nachdem sie das Gesuch zur Freigabe von Daten erhalten haben an die Presse und legen das öffentlich dar, einige auch schon bevor sie das Gesuch erhalten haben.
- Die Firmen versuchen selbst ihren Service so zu sichern, das sie selbst nicht mehr an die Daten kommen.
Die 2te Maßnahme scheint die am besten Ziel führende zu sein, weil sie die allgemeine Sicherheit erhöht. Wird also nur ein Passwort verwendet, welches per Zufall auf einem System z.B. Ihrem Handy generiert wird, dann kann kaum jemand an Ihre Daten kommen, egal wo die liegen und welche Behörde es verlangt, vorausgesetzt das Erstellungsverfahren dieses Schlüssels ist keine Mogelpackung. Am dieser stelle kommt dann auch wieder open Source Software ins Gespräch. Unter diesem Gesichtspunkt ist es ziemlich gut wenn der Algorithmus zur Berechnung offen dargelegt wird und einschlägige Spezialisten diesen auf seine unkompromittiertheut prüfen können. Schwachstellen werden hier sehr oft zügig gefunden und dann auch beseitigt. Beruhen also Teile einer Software auf „Open Source Code“, ist das keinesfalls ein Argument gegen diese Software.
So kann man auch folgende Schlußfolgerung ableiten, selbst das unsicherste Übertragungsmedium können sie benutzen, wenn sie ihre Daten zuvor selbst absichern. Dieses erfordert aber meistens händische Aktionen und das alles gestaltet sich oft nicht so anwenderfreundlich, wie meistens gewünscht.
Es geht aber nicht immer nur um einen reinen Datentransfer, oft sollen komplexe Abläufe in der Cloud ablaufen, also z.B. Buchhaltung oder Konstruktionen. Hier liegt es dann selbst an Ihnen dieses zu bewerten. Sind sie z.B. jemand der mit der Rüstungsindustrie zusammenarbeitet, dann sollten sie NICHT ihre Daten in einem Cloud Service ablegen.
Auch sollten sie nie aus Kostengründen ihre Patentübersetzungen mit online Diensten oder gar SIRI machen. Solche Onlinedienste speichern ihre Eingaben teilweise über Jahre und den AGBs haben sie bestimmt irgendwann einmal zugestimmt!
Ein gutes Beispiel was das bedeuten kann, wenn man zu unbedarft an das Thema herangeht, kann man gut an dem Beispiel der Firma Prezi sehen, Google´n sie mal das Unternehmen. Mit Prezi können sie online super Präsentationen machen und das ganze kostenfrei. Sie bekommen sogar 100 MB freien Platz wo sie Ohre Präsentationen Speicher können. Aber genau da ist der Haken, bei dem freien Lizenzmodell sind ihre Präsentationen direkt für jeden weltweit zugänglich und das können sie auch nicht mehr ändern. Das kann natürlich OK sein, wenn sie sowieso für ihr Unternehmen werben wollen, erstellen sie aber interne Präsentationen oder welche mit nicht allgemein zugänglichen Daten, dann sollten sie dieses Produkt nicht einsetzen, bzw. einen kostenpflichtigen Account wählen.
Nicht alles was sie also im Internet lockt und ihnen ein gutes Angebot verspricht ist wirklich sinnvoll für ihr Unternehmen.
Aber zurück zur Ausgangsbetrachtung, vor wem wollen sie sich schützen? Wenn sie Angst vor Geheimdiensten haben, dann sollten sie ihre gesamte IT sowieso in eine andere Liga heben und lesen wahrscheinlich auf dieser Webseite sowieso nicht und falls doch sollten sie Cloud Angeboten mehr als skeptisch gegenüber stehen.
Haben Sie aber Angst vor dem normalen Hacker, einem Einbrecher, einem Stromausfall, einer Überflutung oder einem neidischen Mitbewerber, dann sind sie bei den Cloud Serviceanbietern vielleicht genau an der richtigen Stelle.
Weil die ihre Dienste oft sehr günstig anbieten, sind die hochgradig Effizient. Dort wird alles automatisch umgesetzt, neue Treiber, Sicherheitsupdates und neue Programm Versionen werden meistens ohne ein zutun von ihnen automatisch aktiviert.
Sie haben meistens einen Top aktuellen Versionsstand, der es den Hackern schon Parse sehr schwer macht, weil wer kennt schon die Lücken in einer Software die erst seit einigen Tagen im Netz ist. Setzen sie hingegen eine alte Software selbst auf einem Server ein, dann sind die Schwachstellen meist sehr schnell zu finden und auch ausgenutzt.
Hier mal ein sehr verbreitetes Szenario, sie selbst haben einen Internetanschluss und jemand im Bekanntenkreis richtet ihnen einen Webserver ein, der auch noch in ihrem eigenen Büro steht (muss er aber nicht auch bei einem Provider kann das Risiko bestehen). Oft wird darüber noch ein Shop angebunden und sie verkaufen darüber ihre Waren.
Weihnachten ist auch für sie ein sehr gutes Geschäft, wenn dieser Server läuft.
Aber glauben sie mir es gibt hunderte von Gründen warum der Server ausfallen kann. Selbst wenn es nur ein Mitbewerber der ist der einfach mit einer Flut von Anfragen ihren Server bzw. Ihren Internetanschluss in die Knie zwingt. Bei Cloud Anbietern setzen hier automatische Prozesse ein, welche den Datenstrom über andere Wege leiten. Da die jeden Tag damit zu kämpfen haben, können die das sehr gut. Wenn sie es selbst betreiben, ist es dann meistens das erste Mal und bis sie selbst das Problem beseitigt haben ist eventuell Weihnachten vorbei und somit auch ein großer Teil ihres Jahresgeschäftes.
Ein weiteres Beispiel, welches ich auch im letzen Jahr 2 mal bei Bekannten erlebt habe, ist das der Hoster die Webseite vom Netz getrennt hat, weil darüber Viren verteilt wurden. Was war geschehen? Die Webseiten wurden auf einem gemieteten WebSpace betrieben, hier ist zwar ein Hoster im Boot, aber der kümmert sich nur um die Erreichbarkeit der Seite aber nicht um den Inhalt.
Das Problem war das vor einer geraumen Zeit jemand die Webseiten mit einem Tool gebaut hat und diese dann auf den WebSpace geladen hat. Solange das dann ohne merkliche Probleme läuft, verändert man das auch nicht mehr, leider liegt das in unserem Wesen, wir haken das als erledigt ab. Eigentlich hätte es aber jetzt wie folgt laufen müssen. Alle X-Wochen liefert der Hersteller der Software mit der die Webseite gebaut wurde Updates aus. Mit diesen Updates hätte die Webseite immer wieder neu gespeichert werden müssen und wieder auf den Webspace übertragen werden müssen. So hätte man keine Sicherheitslücken bekommen und die Webseite währe dauerhaft erreichbar gewesen.
Das war bis jetzt ziemlich Pro Cloud, aber es gibt auch eine andere Seite, welche beleuchtet werden sollte.
Im Prinzip übertragen sie ja ihre Daten auf einen Speicher im Internet und das bedeutet zwangsweise, das sie auch etwas von den Möglichkeiten aufgeben, zu kontrollieren was genau mit den Daten passiert. Wer kann schon genau sagen ober der Anbieter nicht gegen Datenschutzbestimmungen oder Compliance Richtlinien verstößt. In einem Dokument von Symantec (*1) stand letzte Woche, daß in der EU die Höchststrafe wegen verstossen gegen den Datenschutz bei 4% des Jahresumsatzes liegen kann. Jetzt wird vielleicht auch schon klar warum viele Unternehmen für Endkunden und auch Geschäftskunden unterschiedliche Cloudmodelle haben. In den USA können die Strafen noch einmal deutlich höher ausfallen.
Besonders zu achten haben sie auf personenbezogene Daten, das sind in erster Linie Daten von Ihren Mitarbeitern und Kunden. Immer wenn jemand anders ein Schaden entstehen könnte wenn die Daten in die falschen Hände kommen, sollten bei ihnen Alarmglocken angehen. Im übrigen zählen dazu schon die Telefonnummern und erst recht die Kreditkarten Daten.
Wägen sie immer zwischen Cloud und on Premise ab und entscheiden sie welche Daten wo liegen dürfen. Es ist keine Entscheidung von schwarz oder weiß, es sollte eine bewußte gefällte Entscheidung sein.
Sie sollten auf jeden Fall eine Strategie dazu haben oder spätestens jetzt eine entwickeln und diese auch mit ihren Mitarbeitern verpflichtend klären. Nur so können sie Schaden von sich abwenden.
Bei Fragen sprechen sich mich an, ich helfe ihnen gerne.
Ihr IT-Coach
Quelle:
*1 PDF Document from Symantec über Richtlinien für Cloud Anwendungen