Embed Size (px)
DESCRIPTION
In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.
Citation preview
Zehn Fragen an Dr. Carlo Velten, Chef-Analyst bei Crisp Research
Unternehmen werfen nach NSA-
Skandal ihre Cloud-Konzepte um
Autor: Dr. Carlo Velten , Senior Analyst
Datum: 30.10.2013
Tags: Cloud Computing, Security, Datensicherheit, Informationssicherheit, SaaS,
Private Cloud, Public Cloud, Cloud Exchange
2
© copyright crisp research
In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger,
Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten,
Managing Director der Crisp Research, zu den Themen
Datensicherheit und Datenschutz.
Götz Piwinger: Mittelständische Unternehmen gehen
vorsichtig dazu über, Firmendaten in der Cloud zu
verarbeiten. Haben Sie den Eindruck, dass diese
Unternehmen wissen, wonach sie fragen müssen, wenn es um
den Schutz und die Sicherheit ihrer Daten geht?
Dr. Carlo Velten: In der Tat ist es für viele Anwender in kleinen
wie auch in großen Unternehmen nicht leicht ersichtlich, wie gut
ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies
liegt einerseits an der mangelnden Transparenz vieler Anbieter,
die vielfach nicht offenlegen, wer im Rahmen der
Leistungserbringung von der Infrastruktur- und Managementseite
her eingebunden ist. Cloud Dienste sind in diesem Sinne
vergleichbar mit einem Bauprojekt, das von einem
Generalunternehmer gesteuert wird. Man hat in diesem Fall keinen
Überblick und Zugriff auf die handelnden Sub-Unternehmer,
sondern muss sich auf die Aussagen des Generalunternehmers
verlassen. Andererseits muss ehrlicherweise gesagt werden, dass
in vielen Unternehmen nur wenige Mitarbeiter über das
notwendige technische Know-how und vor allem die Zeit verfügen,
sich vertieft mit der Materie zu beschäftigen. Daher bleiben viele
Diskussionen oft an der Oberfläche und man lässt sich von seinem
Bauchgefühl leiten. Zudem haben viele Unternehmen ihre eigenen
Risiken noch nicht sauber analysiert und definiert. In diesem Fall
haben es Cloud-Provider immer schwer, die richtigen Antworten zu
3
© copyright crisp research
geben. Bedenkt man allerdings, welche extremen Aufwendungen
und Investitionen große Provider wie Google oder die Deutsche
Telekom in die IT-Sicherheit stecken, sollte man sich fragen, ob
der Eigenbetrieb der IT der bessere bzw. sichere Weg ist.
Piwinger: Sie beraten mittelständische und große
Unternehmen in Sachen Cloud Strategie und sagen: „Cloud
Computing ist kein Hype, sondern ein strategischer Imperativ
für CIOs“. Ist Cloud Computing wirklich ein reines CIO-
Thema?
Dr. Velten: Für IT-Entscheider in großen Unternehmen, ist es
essentiell, die Auswirkungen von Cloud Computing auf das eigene
Unternehmen vollständig zu erfassen. Denn einen großen
Unternehmenstanker kann man nicht so schnell umsteuern. Der
Weg in die Cloud ist gerade für die Großen ein langer und teils
steiniger Weg. Hier haben es kleine und mittelständische
Unternehmen vielfach einfacher, von den möglichen Cloud-
Vorteilen zu profitieren. Denn sie sind vom Cloud-Trend ebenso
betroffen und haben heute eine einmalige Chance: erstmalig
können sie die gleichen IT-Innovationen nutzen, wie große
Unternehmen mit Multi-Millionen IT-Budgets. Moderne IaaS-
oder SaaS-Lösungen haben keine Einstiegshürden und kosten
auch für kleine Unternehmen (fast) dasselbe wie für Großkunden.
Piwinger: In der aktuellen Presse stoßen wir nahezu täglich
auf Datenpannen, auch bei größeren und angesehenen
Unternehmen und Institutionen. Allein mit einer technischen
Lösung scheint dem nicht beizukommen zu sein. Was kann
4
© copyright crisp research
ihrer Meinung nach zur mehr Aufklärung der Unternehmen in
Sachen Datenschutz bei der Nutzung von Cloud-Technologien
zusätzlich unternommen werden?
Dr. Velten: Wenn in der digitalen Wirtschaft der Rubel rollt, dann
geht dies natürlich nicht ohne „digitale Kriminalität“ ab. Die
Verfahren, Tools und Taktiken von Cyberkriminellen werden immer
ausgefeilter und professioneller. Auch ist eine enorme Kreativität
am Werk, wenn es darum geht, in Firmennetzwerke einzubrechen
und Daten zu entwenden. Für die Anwender stellt sich die Frage,
ob sie selbst ein ausreichendes Sicherheitsniveau garantieren
können, oder ob dies besser ein Cloud-Service-Provider kann, der
über entsprechende Ressourcen verfügt. Am Anfang sollte eine
Analyse – und unternehmensinterne Aufklärung – stehen, welche
Datenbestände im Unternehmen als kritisch gelten und wie diese
zu schützen sind. Die Themen Intrusion Detection, Physical
Security und Data Protection (bzw. Data Leakage Protection)
sowie Virtualisierungssicherheit und Verschlüsselung werden in
den kommenden Jahre eine zentrale Rolle spielen. Man sollte sich
allerdings nichts vormachen, denn mit dem steigenden
Vernetzungsgrad geht auch ein ansteigender Verletzungsgrad
einher. In einer Welt in der Daten in Echtzeit verarbeitet, analysiert
und kommerzialisiert werden, wird es immer vereinzelt zu
Schadensfällen kommen. Man sollte darauf vorbereitet sein,
Stichwort Disaster Recovery Management.
Piwinger: Datenschutz und Datensicherheit sind zu
Prozessthemen geworden. Einerseits geht es im Top
Management um Reduktion des Haftungsrisikos. Andererseits
um wichtige Performancesteigerung. Dieses Bewusstsein
5
© copyright crisp research
sollte in der gesamten Belegschaft verinnerlicht sein. Welche
Rolle spielt Informationssicherheit und Compliance in Ihrer
Arbeit?
Dr. Velten: Das Thema wird bei uns natürlich groß geschrieben.
Als Marktforschungs- und Beratungsunternehmen gehen wir in
vielen Fällen mit sensiblen Daten um, die geschützt werden
müssen. Zudem haben wir eigene Cloud-basierte
Informationsdienste für IT-Entscheider entwickelt. Auch hier
müssen wir auf entsprechende Standards achten und unsere
Systeme, Daten sowie die User- und Nutzungsdaten unserer
Anwender schützen. Derzeit liegt der Schwerpunkt allerdings auf
sogenannten „Risk Heatmaps“, die den „Risikoappetit“ eines
Unternehmens definieren und festlegen, welche Risiken
eingegangen, gemessen und kontrolliert werden müssen.
Interessant sind vor allem die vielen Abhängigkeiten, die sich
innerhalb der Geschäftsprozesse ergeben. So kann der Ausfall
eines ursprünglich unkritischen IT-Systems in der Folge trotzdem
großen Schaden anrichten. Diese Abhängigkeiten zu identifizieren
und zu bewerten und dann ggf. in die Compliance- bzw. Risk
Management-Richtlinien aufzunehmen ist harte Arbeit.
Piwinger: Sie beraten bei Crisp Research prominente
Unternehmen. Kommen Ihre Kunden aktiv mit der Forderung
nach einer Lösung nach deutschen Datenschutzrichtlinien auf
Sie zu?
Dr. Velten: Es gibt in der Tat viele Kunden für die wir IT-
Betriebskonzepte entwerfen, die hauptsächlich auf lokale IT-
Service Provider zugeschnitten sind. In vielen Branchen gelten klar
6
© copyright crisp research
definierte gesetzliche Regeln, welche Daten außerhalb der
Landesgrenzen verarbeitet werden dürfen. Zudem ist der Anteil an
Unternehmen, die nach dem Hochkochen des NSA-Skandals ihre
Konzepte umgeworfen haben, enorm gestiegen. Gerade große
Unternehmen richten sich wieder gemütlich in ihren eigenen
Rechenzentren mit „Private Clouds“ ein, auch wenn ursprünglich
erste Schritte in Richtung „Public Cloud“ geplant waren. Generell
ist der deutsche Datenschutz derzeit so etwas wie ein gutes,
solides Markenzeichen. Im globalen Vergleich werden hier
sicherlich Maßstäbe gesetzt. Derzeit sieht Crisp Research
verstärkt globale Cloud-Player auf den deutschen Markt drängen.
Dies hat natürlich nicht primär mit dem deutschen Datenschutz zu
tun, sondern hauptsächlich mit der Größe des Marktes und der
Anforderung der Kunden, mit einem hohen Quality-of-Service und
nach deutschen Datenschutzstandards bedient zu werden. Und
das ist absolut nachvollziehbar.
Piwinger: Die Deutsche Börse geht mit dem Projekt „Cloud
Exchange“ 2014 an den Markt. Ähnlich der Strombörse
können dort Rechenleistung und Speicherkapazität gehandelt
werden. Derzeit ist geplant, nur nach US- und EU-Anbietern
auszuwählen. Beim Stromhandel kann ich zum Beispiel rein
regenerative Lösungen wählen. Beim Cloud-Speicher wäre
eine Auswahlmöglichkeit „Green Cloud“ und „German Cloud“
wünschenswert. Wie ist Ihre Meinung dazu?
Dr. Velten: Nach meinem Kenntnisstand befindet sich das
ambitionierte Projekt derzeit noch in der Konzeptions- und
Designphase. Die Grundidee ist bestechend. Sicherlich wäre es
7
© copyright crisp research
klug und wünschenswert die Rechenzentrumsstandorte möglichst
granular auswählen zu können. Sonst werden sich nur schwer
Kunden finden lassen. Ich würde allerdings davon ausgehen, dass
solche Wahloptionen in der finalen Version des Marktplatzes zur
Verfügung stehen.
Piwinger: Welche nächsten technischen Bewegungen sehen
Sie in der Entwicklung der Cloud-Märkte?
Dr. Velten: Oh, da gibt es natürlich eine ganze Menge. In 2014
wird sich verstärkt die Frage nach der Auswahl geeigneter und vor
allem standardkonformer Cloud-Management-Software stellen. In
diesem Kontext wird die Einschätzung und Verbreitung des Open-
Source-basierten Openstack-Frameworks eine wichtige Rolle
spielen. Hier wird Crisp Research in Kürze ein paar interessante
Ergebnisse vorlegen. Und der Blick wird sich von der Server-
Virtualisierung hin in Richtung Netzwerk-Virtualisierung (Software
Defined Networks) richten. Denn hier ist meist der Flaschenhals in
komplexen Cloud-Umgebungen zu finden,
wenn Workloads flexibel und effizient zwischen verschiedenen
Servern, Infrastrukturen und Rechenzentren hin- und herwandern
sollen. Letztlich wird sich in 2014 zeigen, ob und wie erfolgreich
sich Cloud-Services über Marktplätze verkaufen lassen.
Piwinger: Eine besondere Datenschutz-Herausforderung liegt
in der vernetzten Nutzung von Smartphones und
Firmenanwendungen. Während man sich bemüht,
Firmendaten zu schützen, erlaubt man fast jeder Smartphone-
App, die Handydaten auszulesen. Haben Sie hierzu eine
Empfehlung?
8
© copyright crisp research
Dr. Velten: In professionell gemanagten IT-Umgebungen in
größeren Unternehmen wird heute standardmäßig auf
entsprechend Mobile-Device-Management-Lösungen gesetzt, die
zumindest einen Großteil dieser Risiken reduzieren. Hier lassen
sich auch entsprechende Policies umsetzen, nach denen geregelt
ist, was die Nutzer und was die Unternehmen dürfen. Im besten
Fall sind diese Vereinbarungen mit dem Betriebsrat abgestimmt,
so dass auch die Mitarbeiter wissen, was auf ihrem Gerät getrackt
wird und was nicht. Ich persönlich empfehle all denjenigen, die hier
besonders auf ihre Privatsphäre achten wollen, die gute alte
Regel: eins fürs Business, eins fürs Private!
Piwinger: Wie verändert sich das Management von IT-
Sicherheit in Zeiten des Cloud Computings? Wo sieht Crisp
Research das größte Bedrohungspotenzial und die damit
verbundenen wichtigsten Handlungsfelder?
Dr. Velten: Wir stellen fest, dass sich die Bedrohungsszenarien
wandeln. Wurden noch vor fünf Jahren viele Angriffe auf
Firmennetzwerke von passionierten Hackern ohne Hintergrund in
der organisierten Kriminalität verübt, so hat sich dieses Verhältnis
umgekehrt. Angriffe werden heute mit den neuesten Technologien,
teils hohem Kapitaleinsatz und höchst professionell geführt. Wir
sprechen hier von sogenannten „High-Level-Incidents“ – also zum
Beispiel Angriffen auf Banken oder Infrastrukturbetreiber. Hinzu
kommt, dass sich die Angriffsmethoden und Taktiken verändern.
So hatten sich kürzlich Bankräuber, als IT-Administratoren eines
IT-Dienstleisters verkleidet, Zugang zu den Computern in einer
Londoner Bankfiliale verschafft. Per Remote Dongle (USB-Stick
9
© copyright crisp research
mit Fernwartungsfunktion) ging es dann daran, Millionen auf
andere Konten umzuleiten. Hier zeigt sich, dass wir zukünftig
einen integrierten Mix aus digitaler und physischer Sicherheit
brauchen. Wenn wir langsam aber sicher den Weg in die Data
Economy beschreiten und Daten das neue Gold sind, dann wird
Data Leakage Protection eines der zentralen IT-
Sicherheitsthemen. Auch das Thema Identity & Access
Management wird wohl eine Renaissance erleben.
Piwinger: Der deutsche Markt für Cloud Computing verspricht
enorme Wachstumsraten. Wird sich die Rolle der Berater und
Integratoren dadurch verändern?
Dr. Velten: Die Rolle der Integratoren und Berater ist nicht zu
unterschätzen. Sie spielen bei der Transformation und
Implementierung eine wichtige Rolle. Vielfach wird noch so getan,
als würden SaaS-Lösungen mit einem Klick gekauft und dann via
Self-Service eingeführt. Dem ist in der Praxis natürlich nicht so.
Selbst bekannte Lösungen wie Salesforce werden selten ohne
spezialisiertes Integrationsniveau von Partnern, wie beispielsweise
Tquila, implementiert. Die Herkulesaufgabe ist allerdings anderer
Natur: Die Evaluierung und Einführung der Cloud-Services muss
alle Anwender mitziehen, damit sich von Beginn an eine hohe
Akzeptanz einstellt. Denn nur so lassen sich Supportkosten
senken und die Produktivität wirklich erhöhen.
10
© copyright crisp research
Dr. Carlo Velten ist Managing Director des IT-
Research- und Beratungsunternehmens Crisp
Research. Seit über 15 Jahren berät Carlo Velten
als IT-Analyst namhafte Technologieunternehmen
in Marketing- und Strategiefragen. Seine Schwerpunktthemen sind Cloud
Strategy & Economics, Data Center Innovation und Digital Business
Transformation. Zuvor leitete er 8 Jahre lang gemeinsam mit Steve
Janata bei der Experton Group die „Cloud Computing & Innovation
Practice“ und war Initiator des „Cloud Vendor Benchmark“. Davor war
Carlo Velten verantwortlicher Senior Analyst bei der TechConsult und
dort für die Theman Open Source und Web Computing verantwortlich.
Dr. Carlo Velten ist Jurymitglied bei den „Best-in-Cloud-Awards“ und
engagiert sich im Branchenverband BITKOM. Als Business Angel
unterstützt er junge Startups und ist politisch als Vorstand des
Managerkreises der Friedrich Ebert Stiftung aktiv.
Dr. Carlo Velten, Senior Analyst & Managing Director
https://www.xing.com/profiles/Carlo_Velten
Autor
11
© copyright crisp research
Crisp Research ist ein europäisches IT-Research- und
Beratungsunternehmen. Mit einem Team erfahrener Analysten, Berater
und Software-Entwickler bewertet Crisp Research aktuelle und
kommende Technologie- und Markttrends. Crisp Research unterstützt IT-
Anbieter in Strategie-, Contentmarketing- und Vertriebsfragen.
Cloud Computing und Digital Business Transformation sind die
Themenschwerpunkte von Crisp Research. Wir verfügen in unseren
Crisp Labs über ein internes Software-Developer Team und testen
aktuelle Cloud Services und Produkte unter Live-Bedingungen.
www.crisp-research.com
@crisp_research
KONTAKT
Weißenburgstraße 10
D-34117 Kassel
Tel +49-561-2207 4080
Fax +49-561-2207 4081
http://www.crisp-research.com/
https://twitter.com/crisp_research
Über Crisp Research
12
© copyright crisp research
COPYRIGHT
Alle Rechte an den vorliegenden Inhalten liegen bei Crisp Research. Die
Daten und Informationen bleiben Eigentum von Crisp Research.
Vervielfältigungen, auch auszugsweise, bedürfen der schriftlichen
Genehmigung von Crisp Research.
