6 Best Practices im Mittelstand

Migration in die Cloud

Zehn Jahre nach dem Start hat sich Cloud Computing etabliert, und auch der Mittelstand drängt nun verstärkt in die Cloud. Der Einstieg sollte allerdings sorgfältig geplant werden. Sechs Best Practices zeigen, worauf zu achten ist.

Cloud im Serverraum

Die IT darf 2016 ein kleines Jubiläum feiern: Am 24. August 2006 hat Amazon mit einer Testversion von "Elastic Compute Cloud" (EC2) das Cloud Computing zum ersten Mal für die öffentliche Nutzung zur Verfügung gestellt; Cloud Computing wird in dem Sommer also zehn Jahre alt. Vor allem der Mittelstand hat sich mit der Idee des Cloud Computing lange Zeit schwer getan: Dass die IT, die im Lauf der Zeit zu einer unverzichtbaren Ressource geworden ist, nicht mehr unter der eigenen Kontrolle stehen sollte, war für viele ein unerträglicher Gedanke. Mittlerweile haben sich, trotz NSA-Affäre, die Vorteile herumgesprochen, Unternehmen wissen, was es ihnen bringt, zumindest Teile ihrer IT-Infrastruktur in die Cloud zu verlagern.

Nicht zuletzt aufgrund solcher Verzögerungen bei der Umsetzung des Cloud Computing gibt es beim deutschen Mittelstand einen erheblichen Bedarf an Cloud-Lösungen. Unternehmen werden mit wachsenden IT-Herausforderungen wie einer steigenden Komplexität der IT, beschränkten IT-Budgets, aber auch mit einem Mangel an IT-Fachkräften konfrontiert. Statt weiterhin umfangreiche Infrastrukturen und alle Applikationen in einem Rund-um-die-Uhr-Betrieb zu implementieren und selbst zu betreuen, entscheiden sich Unternehmen immer öfter für eine Auslagerung von IT-Systemen in eine sichere Cloud-Umgebung.

Dennoch hat die lange Phase der Diskussionen und Bedenken auch dazu geführt, dass sich – zumindest in Deutschland und besonders im deutschen Mittelstand – niemand dem Cloud Computing mit sorgloser Euphorie nähert. Vor allem machen sich Anwender noch immer, und nicht zu Unrecht, Gedanken über die Sicherheit ihrer Anwendungen und Daten. Hier hat sich herumgesprochen, dass nur Rechenzentren, die in Deutschland von deutschen Unternehmen betrieben werden, den strengen deutschen Datenschutzgesetzgebung unterliegen und insofern – im Gegensatz zu ausländischen Anbietern – absoluter Rechtssicherheit bieten können.

Auch wenn Cloud Computing nun "angekommen" ist, eine Migration von Anwendungen in die Cloud ist nicht die triviale Angelegenheit als die sie mitunter angepriesen wird; Unternehmen müssen sorgfältig vorgehen, damit ein solcher Übergang effizient und sicher funktioniert. Auf folgende Punkte sollten sie dabei besonders achten:

  • IT-Infrastruktur analysieren
    Vor jedem Migrationsprojekt sollte eine Ist-Analyse der vorhandenen Applikationslandschaft erfolgen. Sie verschafft Überblick über die eingesetzten Standardpakete und die Individual-Applikationen, die in physischen und virtualisierten Umgebungen genutzt werden. Damit wird zugleich dafür gesorgt, dass nicht mehr verwendete Programme aufgespürt und deinstalliert werden können. Auf diese Weise wird die Applikationslandschaft schlanker, was in der Cloud wiederum Lizenzkosten spart.
  • Applikationen für eine Migration in die Cloud identifizieren
    Viele mittelständische Unternehmen haben über viele Jahre eine komplexe IT-Infrastruktur aufgebaut, bei der die Anwendungen vielfältig verflochten sind. Solche Strukturen müssen offengelegt werden, damit erkennbar wird, welche Auswirkungen die Auslagerung bestimmter Applikationen und Daten hat. Außerdem sind in vielen Branchen dabei detaillierte regulatorische und Compliance-Gesichtspunkte zu berücksichtigen.
  • Cloud-Modell wählen
    Je nachdem welche Aufgaben beziehungsweise Ressourcen in die Cloud verlagert werden sollen, ist – am besten in Zusammenarbeit mit Cloud-Experten – zu entscheiden, welches Deployment-Modell das Passende ist: Public, Private oder Hybride Cloud. Außerdem ist festzulegen, welche Service-Modelle genutzt werden sollen: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), oder Software as a Service (SaaS). Unternehmen, die mehrere Aufgaben migrieren, werden auch mehrere unterschiedliche Modelle nutzen; häufig wird man zunächst für ganz einfache Workloads mit IaaS in einer Public Cloud beginnen.
  • Cloud-Provider wählen
    Bei Datensicherheit und Datenschutz dürfen Unternehmen keine Kompromisse eingehen, andernfalls geraten sie in Gefahr, selbst für Schäden haftbar gemacht zu werden. Sie sollten sich daher für einen Partner entscheiden, dessen Rechenzentren ausschließlich in Deutschland betrieben werden. Nur eine Kombination aus deutschem Betreiber und dem Hosting in Deutschland sorgt dafür, dass für personenbezogene Daten ausschließlich das Bundesdatenschutzgesetz gilt. Beispielsweise erhalten US-Behörden auch dann Einblick in hiesige Rechenzentren, wenn der Betreiber ein US-Unternehmen ist. Eine zusätzliche Sicherheit haben Unternehmen, wenn Internetzugang und Datentransport über das eigene Netz eines zuverlässigen Cloud-Providers erfolgt.
  • IT-Sicherheitskonzept prüfen
    Ein Cloud-Provider muss ein umfangreiches und zuverlässiges IT-Sicherheitskonzept vorweisen können, das alle Aspekte berücksichtigt, die die Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten gefährden könnten. Dazu gehören die regelmäßige, systematische Überwachung aller Infrastrukturkomponenten sowie die Aufzeichnung und Auswertung aller Logfiles. Cloud-Nutzer können die Einhaltung eines hohen IT-Sicherheitsstandards an Referenzprojekten und an der formellen Zertifizierung nach ISO/IEC 27001 erkennen. Damit dokumentieren Cloud-Provider, dass die notwendigen Maßnahmen bezüglich des Informationssicherheits-Managements umgesetzt wurden und dass deren Einhaltung regelmäßig von externen Prüfern bestätigt wird.
  • Verschlüsselte Datenübertragung
    Wenn geplant ist, in der Cloud auch vertrauliche Daten zu verarbeiten, müssen Nutzer vorab prüfen, ob der Cloud-Provider tatsächlich eine leistungsfähige Verschlüsselung anbietet; für hohe Anforderungen hinsichtlich Revisions- und Rechtssicherheit ist eine reine Transportverschlüsselung mit HTTPS und SSL nämlich nicht ausreichend. Hier ist eine Verschlüsselung notwendig, die auf dem Endgerät des Versenders beginnt und den gesamten Übertragungsweg bis zum Cloud-Provider umfasst. Dieser sollte für eine zusätzliche Sicherheit sorgen, indem er die Daten der Kunden auch verschlüsselt gespeichert werden.

Häufig werden Cloud-Lösungen primär unter Kosten-Aspekten gesehen. Ein Einsparpotential ist zwar zweifellos gegeben, jedoch sollten Unternehmen das nicht in den Vordergrund stellen. Cloud Computing ist vor allem eine Strategie, mit der gerade mittelständische Unternehmen ihre IT-Ressourcen flexibler, skalierbarer und anpassungsfähiger machen können. Und zehn Jahre nach dem Start darf Cloud Computing auch als ausgereifte Technologie gelten.


*Christian Ebert ist Chief Information Security Officer bei QSC in Köln

Bildquelle: Thinkstock/ iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok