Flexibilität, Skalierbarkeit und Geschwindigkeit sind wichtige Vorteile des Cloud
Computing. Demgegenüber gelten Sicherheits- und Complianceanforderungen oft
eher als hinderlich. Warum das ein Fehler ist – und warum Unternehmen ihre eigenen IT-Fähigkeiten häufiger kritisch hinterfragen sollten.

Seit einigen Jahren nutzen Unternehmen aller Größen immer häufiger Cloud Computing, auch in Branchen mit komplexen IT-Anforderungen. Denn Cloud Computing bietet, neben anderen Vorteilen, vor allem eine hohe Skalierbarkeit und große Flexibilität. Ein weiterer, allerdings oft unterschätzter Vorteil ist die Möglichkeit, die Zuverlässigkeit, Konformität und Sicherheit des IT-Betriebs zu verbessern.

Unternehmen unterschätzen häufig ihre eigenen Fähigkeiten

Eine der größten Herausforderungen beim Thema Cloudsicherheit: IT-Abteilungen überschätzen häufig ihre eigenen Fähigkeiten und glauben, dass sie eine gleich hohe oder gar bessere Zuverlässigkeit und Sicherheit bieten als Cloud-Service-Anbieter. Dies ist jedoch in aller Regel nicht der Fall. Denn besonders die größten Anbieter, die sogenannten Hyperscaler, wie Amazon Webservices (AWS) und Microsoft Azure verfügen über weltweit verteilte, hoch spezialisierte Expertenteams, die für die Verwaltung und Sicherung der Systeme verantwortlich sind. Sie investieren viel in die Entwicklung robuster und redundanter Systeme. Und sie ergreifen umfangreiche technische und organisatorische Maßnahmen, die Einzelunternehmen
häufig nicht umsetzen können.
Vielen IT-Abteilungen in Unternehmen fällt es außerdem schwer, stets mit allen sich rasch ändernden Technologietrends Schritt zu halten. Nur mit Mühe können sie das Fachwissen aufrechterhalten, das es braucht, um komplexe IT-Systeme zu verwalten. Kurzum: Sie verfügen oft schlicht nicht über die notwendigen Ressourcen, um Zuverlässigkeit und Sicherheit ausreichend zu gewährleisten.
Wesentlicher Baustein einer zeitgemäßen Cloudstrategie ist es daher auch, die eigenen Fähigkeiten kritisch zu hinterfragen. Unternehmen sollten dabei selbst oder unterstützt durch kompetente Beratung ihr aktuelles Niveau hinsichtlich Zuverlässigkeit, Compliance und Sicherheit analysieren, mit dem tatsächlichen Bedarf des Unternehmens abgleichen und dann mit den Möglichkeiten der Cloud-Service-Anbieter vergleichen.
Blicken wir nun genauer auf die fünf wichtigsten Anforderungen.

1. Verlässlichkeit

Die Verlässlichkeit der IT ist eine wesentliche Kenngröße für deren Qualität. Denn Systemausfälle bedeuten immer Kosten: durch entgangenen Umsatz, Stillstand, Fehlerkorrekturen oder gar Strafzahlungen. Hinzu kommt das Risiko von Reputationsschäden bei Handelspartnern oder in der öffentlichen Wahrnehmung.
Cloud Computing kann die Zuverlässigkeit des IT-Betriebs wesentlich verbessern helfen. Verlagern Unternehmen ihn in die Cloud, entfällt die Sorge um Hardwareausfälle oder andere hardwarenahe Probleme, die zu Ausfallzeiten führen und sich negativ auf das Geschäftsergebnis auswirken können.
Wesentlich, um zuverlässigen IT-Betrieb zu gewährleisten, sind sogenannte Failover-Funktionen  – also die Fähigkeiten eines Systems oder einer Anwendung, bei einem Fehler oder  Ausfall automatisch auf Ersatzkomponenten oder -systeme umzuschalten. Diese Funktionen werden, wie beim Eigenbetrieb, auch in einer Cloud-Computing-Umgebung durch die redundante Auslegung der Systeme erreicht. Werden mehrere Kopien von Daten und Systemen vorgehalten, übernimmt bei einer Störung sofort ein anderes System die anstehenden Aufgaben.  Dies stellt sicher, dass die Systeme verlässlich verfügbar und reaktionsfähig bleiben, falls eine Komponente ausfällt.
Große Cloudanbieter stellen solche Failover-Funktionen bereit. Sie profitieren von Skaleneffekten, weil sie Redundanzkapazitäten nutzerübergreifend auslegen können. Teilweise müssen Nutzer:innen diese auch als „Hochverfügbarkeit“ bezeichneten Lösungen allerdings erst aktivieren und gesondert bezahlen.
Ein weit verbreiteter Fehler auf Nutzerseite ist es, sich blind darauf zu verlassen, dass der Cloudanbieter standardmäßig alles tut, um den Schutzbedarf des Unternehmens zu erfüllen. Dies ist meist nicht der Fall, im Gegenteil: Das „Shared-Responsibility-Model“ der Cloudanbieter erfordert es sogar explizit, dass Kunden auch mit eigenen Maßnahmen sicherstellen, dass ihre Anforderungen tatsächlich erfüllt sind.

2. Skalierbarkeit

Ein weiterer Vorteil des Cloud Computing, auch unter dem Gesichtspunkt der Zuverlässigkeit, ist die Skalierbarkeit. Cloud-Service-Provider bieten eine breite Palette von Diensten an, die Unternehmen je nach ihren Bedürfnissen hoch- und runterskalieren können. Sie können ihre IT-Infrastruktur also schnell und einfach an sich ändernde Anforderungen anpassen, ohne umfangreich in Hardware oder Software zu investieren.
Dies ist besonders wichtig im Zusammenhang mit kapazitätsbedingten Ausfällen, die auftreten, wenn die IT-Systeme das Verarbeitungsvolumen nicht bewältigen können. Die Skalierbarkeit kann das Risiko kapazitätsbedingter Ausfälle senken, weil Unternehmen bei Bedarf automatisiert, schnell und einfach Computerressourcen hinzufügen oder entfernen können. So können  Organisationen ihre IT-Infrastruktur in Spitzenzeiten aufstocken und wieder herunterfahren, wenn der Bedarf an Rechenleistung sinkt.

3. Geographische Verteilung

Spätestens seit dem Beginn des Kriegs in der Ukraine stellt sich auch für mittelständische Unternehmen die Frage nach einer IT-technischen Geo-Redundanz der Datenspeicherung und des Systembetriebs. Vor allem Unternehmen mit globalen Produktions- und Vertriebswegen sollten, so drastisch die Überlegung auch ist, nicht riskieren, dass eine massive Störung der IT-Infrastruktur in Deutschland ihre globalen Aktivitäten beeinträchtigt.
Viele Großkonzerne setzen deshalb schon seit Jahrzehnten auf eine Datenhaltung sowie  IT- Disaster-Recovery-Pläne, die die Daten gezielt auf IT-Umgebungen auf den fünf Kontinenten verteilt. So kann beim Daten- und Infrastrukturverlust auf einem Kontinent ein anderer Standort übernehmen.
Solch ein Aufbau bedeutet im klassischen On-Premise-Betrieb großen Aufwand: Erforderlich sind meist mindestens zehn Rechenzentrumsstandorte, zwei je Kontinent. Eine gleichwertige Lösung lässt sich mit einem oder mehreren der großen Cloud-Service-Provider vergleichsweise unaufwändig aufbauen. Unter optimalen Bedingungen und bei entsprechender Vorbereitung sind für den Wechsel eines ganzen virtuellen Rechenzentrums von einem auf einen anderen Kontinent nur wenige Klicks notwendig. Dies wäre mit eigenen Rechenzentren nur mit hoher fachlicher Expertise und enormem Aufwand möglich.
Solch ein Aufbau bedeutet im klassischen On-Premise-Betrieb großen Aufwand: Erforderlich sind meist mindestens zehn Rechenzentrumsstandorte, zwei je Kontinent. Eine gleichwertige Lösung lässt sich mit einem oder mehreren der großen Cloud-Service-Provider vergleichsweise unaufwändig aufbauen. Unter optimalen Bedingungen und bei entsprechender Vorbereitung sind für den Wechsel eines ganzen virtuellen Rechenzentrums von einem auf einen anderen Kontinent nur wenige Klicks notwendig. Dies wäre mit eigenen Rechenzentren nur mit hoher fachlicher Expertise und enormem Aufwand möglich.

 

4. Einhaltung von Vorschriften (Compliance)

Die Einhaltung regulatorischer Vorgaben ist für viele Unternehmen Teil ihrer Betriebserlaubnis, ihrer „Licence to operate“. Die externen und internen Vorgaben des Business werden entsprechend in den IT-Systemumgebungen umgesetzt. Die Compliance zu verwalten, ist für IT-Abteilungen von Unternehmen komplex und zeitaufwändig. Setzen Organisationen dafür auf Cloud Computing, übergeben sie die Compliance-Verantwortung zwar nicht an einen Dritten, reduzieren aber den operativen Aufwand für die Einhaltung der Vorschriften deutlich.
Compliancevorgaben einzuhalten, ist bei nahezu jeder Cloud Transformation essenziell. Deshalb haben die Hyperscaler in den vergangenen Jahren massiv in Fachwissen und Ressourcen investiert, um sicherzustellen, dass ihre Systeme und Prozesse mit vielen relevanten Branchenvorschriften ihres Kundenstamms in Einklang sind. Um die Konformität mit Branchenstandards und -vorschriften nachzuweisen, unterziehen sich Cloud-Service-Anbieter regelmäßigen Audits und Zertifizierungen. Diese externe Beurteilung der Prozesse, Systeme und der Internen Kontrollsysteme (IKS) aus Sicht der Compliance bewirkt, dass der IT-Betrieb stetig optimiert wird – und damit auch seine Sicherheit und Zuverlässigkeit.
Gerade in diesem Punkt hat Deutschland eine Vorreiterrolle eingenommen. Mit dem „Cloud Computing Compliance Criteria Catalogue“ („C5“) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2016 einen der ersten Cloudsicherheitsstandards herausgegeben. Er schafft einen Rahmen, um die Sicherheit von Cloud-Service-Anbietern zu vergleichen und zu bewerten.
Der BSI-C5-Standard enthält eine Reihe von Sicherheitsanforderungen, die Cloud-Service-Anbieter erfüllen müssen, um nach ihm zertifiziert zu werden. Die Anforderungen decken ein breites Spektrum an Sicherheitsthemen ab, darunter Datenschutz, Zugriffskontrolle, Incident Management, aber auch die Business Continuity. Die Bedeutung des BSI-C5-Standards für das Cloud Computing kann nicht hoch genug eingeschätzt werden. Indem er klare und konsistente Anforderungen formuliert – insbesondere auch zum Wirksamkeitsnachweis der Maßnahmen im betreffenden Berichtszeitraum –, trägt er dazu bei, dass Cloudanbieter ihren Nutzern ein hohes Maß an Sicherheit und Konformität gewährleisten können.

Für Unternehmen, die erwägen, ihre IT-Abläufe in die Cloud zu verlagern, ist der BSI C5-Standard ein wertvolles Instrument und Qualitätsmerkmal, um die Sicherheit potenzieller Cloudanbieter zu bewerten. Entscheiden sie sich für einen nach BSI C5 zertifizierten Anbieter, können Unternehmen darauf vertrauen, dass ein robustes und zuverlässiges Kontrollsystem ihre Daten und Systeme schützt.
Ein wesentlicher Punkt aus Unternehmenssicht, der häufiger vergessen wird, ist, dass sich die Aussage des Prüfberichts nur auf den Verantwortungsbereich des jeweiligen Cloud-Service-Providers bezieht – die Compliance des Cloudanbieters bedeutet nicht automatisch, dass das nutzende Unternehmen auch alle Complianceanforderungen erfüllt! Unternehmen müssen also eigene Prozesse und Kontrollen für die Cloudnutzung aufbauen und sogenannte „User Entity Controls“ in das eigene Kontrollrahmenwerk aufnehmen, die die Maßnahmen des Cloudanbieters ergänzen. Dies kann in der Praxis, abhängig vom Cloudnutzungsmodell, durchaus umfangreichere Maßnahmen bedeuten.

5. Sicherheit

Last, but not least ist die Datensicherheit ein wichtiges Anliegen für Unternehmen, insbesondere für solche, die mit sensiblen Daten arbeiten. Auch in die Sicherheit haben die Cloud-Service-Anbieter massiv investiert, um sich dem Wettlauf mit Cyberkriminellen zu stellen. Demgegenüber ist Cybersecurity selbst bei größeren mittelständischen Unternehmen fatalerweise oft noch eine Nebenbeschäftigung des IT-Personals – ein massiver „Wettbewerbsvorteil“ für Cyberkriminelle. Immer wieder kommt es deshalb zu Ransomware-Angriffen und in der Folge zu Lösegeldforderungen – und auch -zahlungen. Beim Blick auf die Summen dürfte manchem IT-Verantwortlichen, insbesondere im Vergleich mit den Investitionen des Unternehmens in die IT-Sicherheit, schwindelig werden. Auch hier sind die Skaleneffekte der großen Cloudanbieter vorteilhaft: Die globalen hochqualifizierten Spezialistenteams der Hyperscaler sind den Angreifern auf jeden Fall gewachsen.

Ohne eigenen Aufwand geht es nicht

Während beim Cloud Computing oftmals Flexibilität, Skalierbarkeit und Geschwindigkeit als wesentliche Vorteile betrachtet werden, sehen Unternehmen Sicherheit und Compliance oft eher als Hindernis für die Cloudnutzung. Tatsächlich sollten sie jedoch Clouddienste deutlich stärker als bisher als Möglichkeit sehen, die Sicherheit und Zuverlässigkeit des IT-Betriebs zu verbessern und den operativen Aufwand für die Einhaltung der IT-Compliance zu reduzieren. Dazu brauchen sie vor allem einen kritischeren Blick auf die eigenen Fähigkeiten. Und die Erkenntnis, dass ein zuverlässiger, sicherer und konformer IT-Betrieb immer ein Mindestmaß an eigenem Aufwand erfordert – auch in der Cloud.

Der Autor:

Jörg Botsch ist Partner bei PwC Deutschland, Leiter der IT Reliability & Compliance Practice und Teil des Cloud Transformation Center of Excellence. Er ist verantwortlich für Fragen rund um den zuverlässigen, resilienten und regelkonformen IT-Betrieb unter Einsatz von Cloud-Diensten sowie in hybriden Szenarien mit eigener IT-Infrastruktur.