Cloud-Computing bringt flexible Anwendungen, die nach tatsächlicher Nutzung abgerechnet werden. Es lauern aber auch Risiken. Der Hosting-Provider Plutex erläutert die Dos and Don’ts, mit denen Unternehmen den Erfolg von Cloud-Projekten sichern.
Don’t do it
- Besitzansprüche nicht klar definieren
Bei jeder Form der Cloud-Nutzung müssen Unternehmen sicherstellen: dass der Cloudanbieter die Daten nicht einbehält oder mit einer Technologie verwaltet, die Kunden von ihm abhängig macht. Ein solcher Vendor-Lock-in wird zum Problem, wenn der Anbieter seine Dienstleistung einstellt oder Kunden zu einem anderen Anbieter wechseln wollen. „Dann es im schlimmsten Fall dazu kommen, dass Kunden zur Kasse gebeten werden, um wieder in den Besitz ihrer Daten zu gelangen“, erklärt Torben Belz, Geschäftsführer des Bremer Hosting-Anbieters PLUTEX GmbH. „Setzt der Anbieter zur Speicherung und Verwaltung der Anbieter keine standardisierten Technologien ein, ist eine Datenmigration sehr aufwändig. Das ist ein absolutes No-go.“ Belz rät zu standardisierten und dokumentierten Schnittstellen. Auf Anbieter-spezifische Formate sollten Unternehmen hingegen verzichten, denn diese führen bei einem möglichen Wechsel zu einer kosten- und arbeitsaufwändigen Migration der Daten. Der Anbieter sollte seine diesbezügliche Strategie idealerweise bereits beim ersten Beratungsgespräch darlegen und spätestens auf Nachfrage eindeutig beantworten. Ebenso wichtig ist es, dass die Daten immer Eigentum des Kunden bleiben.
- Verschlüsselungen nicht detailliert erfragen
Beim Datenaustausch über die Cloud sorgen sich Unternehmen Sorgen um den Schutz ihrer Daten. Das ist mitunter berechtigt. Sind die Daten nicht verschlüsselt, können Dritte diese bei der Übertragung abfangen. Als Anbieter kommt folglich nur infrage, wer eine Verschlüsselung anbietet. Auch nach dem Transfer gibt es Unterschiede. Den Vorgaben des europäischen Datenschutzes entspricht eine Cloud nur, wenn auch Speicherung, Archivierung und Verwaltung verschlüsselt verläuft. „So wie das Recht auf Privatsphäre gesetzlich geregelt ist, so schützt die DSGVO in besonderem Maße unsere personenbezogenen Daten.“, erläutert Belz. „Unternehmen, die mit solchen Daten arbeiten, müssen genau dokumentieren können, wie sie diese schützen, zum Beispiel durch Verschlüsselung beim Datentransfer und bei der Ablage. Gleiches gilt für die Aspekte, wo Daten hinterlegt sind, zu welchem Zweck und wie lange diese aufbewahrt werden. Die Daten dürfen dabei nicht den europäischen Rechtsraum verlassen, um Transparenz und Dokumentierbarkeit sicherzustellen.“
- Maßnahmen bei Datenverlust unklar lassen
Ob Hackerangriff oder Einstellen der Dienste des Anbieters – es kann immer vorkommen, dass Daten verloren gehen. „Vorfallsmanagement gehört in unserer Branche mit dazu. verdeutlicht Belz. „Für diese Fälle suchen Unternehmen doch die Unterstützung beim Experten. Wer also als Cloud-Anbieter beim Beratungsgespräch keinen Maßnahmenkatalog für den Fall eines Datenverlustes mit dem potenziellen Kunden erstellt oder dieses Thema gar nicht anspricht, der ist laut Belz gleichermaßen arrogant wie unprofessionell: „Zu einem guten Vorfallsmanagement gehören eine vollumfassende Datenredundanz mit Mehrfachspeicherungen an geografisch getrennten Orten sowie ein Maßnahmenplan vom Anbieter und ein 24-Stunden-Notfall-Support mit Bereitschaft.“
- Die Vorteile von Cloud-Anwendungen gar nicht ausschöpfen
Die größten Vorteile der Cloud sind Flexibilität der Anwendungen und die Freiheit, genau das zu buchen, was benötigt wird, und auch nur das zu bezahlen. Das erleichtert das Enterprise-Resource-Planning sowie die Realisierung von Testumgebungen. Starre Konstrukte wie reine Private oder Public Clouds als homogene Lösung sind nicht mehr zeitgemäß und schränken die Möglichkeiten der Kombination von hoher Sicherheit und Flexibilität ein. Das Mittel der Wahl sind nun Lösungen wie Hybrid Cloud oder Multi Cloud.
Do it
- Provider aus Deutschland wählen
Serviceprovider und Rechenzentren aus Deutschland müssen die strengen Datenschutzbestimmungen erfüllen, die hierzulande herrschen. Anbieter aus anderen Ländern sind nicht dazu verpflichtet, die Maßnahmen ihrer Kunden länderspezifisch anzupassen. Anbieter aus Deutschland punkten nicht nur beim Datenschutz. Auch die Performance der Anwendungen ist oft besser, da regionale Rechenzentren oft an den örtlichen Internetknotenpunkten sitzen, selbst den Netzausbau mit Glasfaser und Richtfunk vorantreiben, und so den schnellen Datenverkehr sicherstellen. Zudem haben Kunden sogar die Möglichkeit der persönlichen Beratung und Projektplanung, wenn der Anbieter in der eigenen Region sitzt. „Wer ein Haus plant, spricht ja auch hin und wieder persönlich mit dem Architekten oder Bauunternehmer“, berichtet Belz. „Bei komplexen Projekten ist das unablässig für Erfolg und Effektivität – und individuelle IT-Projekte sind immer komplex.“
- Compliance wahren
Maßnahmen zu Art und Umfang der Datensicherung sowie Risikoszenarien und entsprechende Vorgehensweisen in Cloud-Projekten sollten im Vertrag schriftlich festgelegt werden. Transparenz ist hier oberstes Gebot. Klare Informationen, wie die Datenübertragung und Speicherung, sowie detaillierte Sicherheitskonzepte und Maßnahmenpläne für das Vorfallsmanagement spielen hier rein. Ein guter Anhaltspunkt sind TÜV-Zertifikate für IT- und Informationssicherheit (ISO 27001) und Qualitätsmanagement (ISO/IEC 9001). Sie bestätigen von unabhängiger Seite, dass der Anbieter genau so arbeitet, wie er es seinen Kunden verspricht.
- Individualität leben
Vor dem Einstieg in die Cloud steht die Ermittlung des Bedarfs. Die Unternehmen sollten sich fragen, was genau sie von der Cloud erwarten, welche Prozesse über die Anwendungen laufen sollen, und wie sensibel die verwendeten Daten sind. Cloud-Umgebungen sind heute sehr individuell – Hybrid -und Multi-Cloud-Konzepte machen es möglich. Bei der Multi-Vendor-Cloud-Strategie nutzen Unternehmen mehrere Anbieter und teilen Leistungen wie Infrastructure as a Service, Software as a Service oder Platform as a Service unter ihnen auf. „Verteilen sich einzelne Leistungen auf mehrere Anbieter, entgehen Kunden der Gefahr eines Lock-in“, erläutert Belz den Vorteil einer Multi-Vendor-Strategie. Jürgen Frisch
