Der Weg in die Cloud: Interview mit Joachim Seidler, Adesso

Sicherheit von Cloud-Services

Interview mit Joachim Seidler, Geschäftsführer der Adesso Hosting Services GmbH, über Qualität und Sicherheit im Cloud Computing

Joachim Seidler, Geschäftsführer der Adesso Hosting Services GmbH

ITM: Herr Seidler, anhand welcher Zertifizierungen oder Gütesiegel können mittelständische Verantwortliche die Qualität und Sicherheit von Cloud-Services bewerten?
Joachim Seidler:
Für die Beurteilung der Qualität und Sicherheit von Cloud-Services ist eine ISO-27001-Zertifizierung des Rechenzentrums und des Cloud-Betriebs wichtig. Damit werden alle Maßnahmen zum Thema Datenschutz und -sicherheit dokumentiert. Anwender sollten sich aber den Umfang der Zertifizierung genau anschauen, um sicherzustellen, dass tatsächlich der Cloud-Betrieb zertifiziert ist. Ein Testat nach PS 951, für das Risikomanagement, ist ebenfalls hilfreich.

ITM: Wie sollten Mittelständler am besten vorgehen, wenn sie bestehende Systeme in die Wolke eines Cloud-Service-Providers hieven möchten?
Seidler:
Grundsätzlich muss man sich vor Augen halten, dass Clouds ganz anders als die klassische IT funktionieren. Gleichzeitig muss geprüft werden, ob bestehende Systeme überhaupt in eine Cloud migriert werden können. Ansonsten sollten Unternehmen sich genau darüber klar werden, welche Anforderungen die bestehenden Systeme an Netzwerkkonfiguration, Performance oder Verfügbarkeit haben. Außerdem sollte klar sein, welche Aufgaben die eigene Mannschaft übernimmt und welcher Service vom Cloud-Anbieter erwartet wird.

ITM: Worauf sollte bei einer solchen Migration in die Cloud vor allem geachtet werden? Welche Hürden müssen gemeistert werden?
Seidler:
Bei etwas komplexeren Systemen, bestehend aus mehreren Servern ist genau zu prüfen, wie bei dem Cloud-Anbieter die einzelnen Systeme miteinander kommunizieren und welche Netzwerkkonfigurationen möglich sind. Auch der Umgang mit Storage-Systemen ist kritisch zu beleuchten. Eventuell benötigen Server einen gemeinsamen Shared Storage, dann muss man prüfen, ob das abbildbar ist. Die meisten klassischen Applikationen können mit Cloud-Storage, der über Http angesprochen wird, nicht umgehen. Auch darüber muss man sich im Klaren sein.

ITM: Wie können Unternehmen die einmal in die Cloud gegebenen Systeme bzw. Applikationen wieder in einen herkömmlichen Eigenbetrieb zurückholen? Oder ist die Entscheidung zugunsten einer Cloud per se eine Einbahnstraße?
Seidler:
Wenn im eigenen Unternehmen die gleichen Technologien eingesetzt werden wie in der Cloud, ist es jederzeit möglich, Systeme wieder in eigener Regie zu betreiben. Hier wäre VMware vCloud als Plattform zu erwähnen. Für Unternehmen, die selber auf VMware-Basis ihre Produktionsumgebung aufgebaut haben, bietet es sich an, einen Cloud-Anbieter zu nutzen, der seinerseits eine vCloud-Plattform betreibt. Dann kann jederzeit entschieden werden, ob extern oder intern betrieben wird. Als Unternehmen hat man dann auch eine ganz andere Verhandlungsposition.

ITM: Wie aufwendig ist die Migration von einem zum anderen Cloud-Service-Partner? Wie kann dies ohne Ausfallszeiten für den Kunden realisiert werden bzw. welche weiteren Hürden sind denkbar?
Seidler:
Das kommt darauf an, wie unterschiedlich die Technologien und Konzepte der Cloud-Anbieter sind. Eine unterbrechungsfreie Migration wird in der Regel nicht möglich sein. Es ist zu prüfen, ob sich die aktuell betriebene Architektur überhaupt genauso auf den neuen Dienstleister übertragen lässt oder ob eine Neukonzeption notwendig ist.

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsschluss auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Seidler:
Eine vollkommene Sicherheit lässt sich hier eigentlich nicht erreichen. Wobei man bei einem Unternehmen mit nach ISO 27001 zertifiziertem Betrieb davon ausgehen kann, dass geeignete Prozesse vorhanden sind, um auch eine Löschung der Daten zu gewährleisten. Auf jeden Fall sollte jede Löschung von Daten vom Anbieter an den Kunden schriftlich dokumentiert und bestätigt werden.

ITM: In bestimmten Branchen müssen Anwenderunternehmen ein Auditing ihrer eingesetzten IT-Lösungen vornehmen lassen (z.B. in der Pharma- oder Lebensmittelindustrie) – wie wird bei diesen Audits der Umgang mit Cloud-Lösungen derzeit gehandhabt?
Seidler:
Eigene Audits von Cloud-Infrastrukturen und Betriebsprozessen sind überhaupt nur bei kleinen Spezialanbietern möglich. Große Anbieter wie Amazon und Microsoft schließen dies aus. Diese Anbieter haben ein Geschäftsmodell, das nicht auf solche Spezialfälle passt; das schlägt sich natürlich auch in den Kosten nieder.

ITM: Wie sieht es in der Praxis aus: Welche Probleme können bei der Auditierung von Cloud-Lösungen auftreten?
Seidler:
Das größte Problem ist meist, dass ein Audit erst gar nicht zustande kommt. Sofern es zustande kommt, sollte im Vorfeld – beim Pre-Audit – zunächst geprüft werden, ob die grundsätzlichen Anforderungen erfüllt sind. Ist dies nicht der Fall, braucht ein echtes Audit erst gar nicht starten. In einem Pre-Audit kann auf die spezifischen Anforderungen im Hinblick auf die eingeschränkten Möglichkeiten beim Cloud-Betrieb eingegangen werden.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok