Unternehmen werfen nach NSA-Skandal ihre Cloud-Konzepte um - Zehn Fragen an Dr. Carlo Velten, Chef-Analyst bei Crisp Research

Published on May 2016 | Categories: Types, Brochures | Downloads: 32 | Comments: 0 | Views: 318
of x
Download PDF   Embed   Report

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz.

Comments

Content

Zehn Fragen an Dr. Carlo Velten, Chef-Analyst bei Crisp Research

Unternehmen werfen nach NSASkandal ihre Cloud-Konzepte um
Autor: Datum: Tags: Dr. Carlo Velten , Senior Analyst 30.10.2013 Cloud Computing, Security, Datensicherheit, Informationssicherheit, SaaS, Private Cloud, Public Cloud, Cloud Exchange

In der Reihe „Zehn Fragen an…“ interviewte Götz Piwinger, Geschäftsführer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz. Götz Piwinger: dazu Mittelständische über, Firmendaten den Sie Unternehmen in der Eindruck, dass gehen zu diese

vorsichtig verarbeiten.

Cloud

Haben

Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht? Dr. Carlo Velten: In der Tat ist es für viele Anwender in kleinen wie auch in großen Unternehmen nicht leicht ersichtlich, wie gut ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies liegt einerseits an der mangelnden Transparenz vieler Anbieter, die vielfach nicht offenlegen, wer im Rahmen der Leistungserbringung von der Infrastruktur- und Managementseite her eingebunden ist. Cloud Dienste sind in diesem Sinne vergleichbar mit einem Bauprojekt, das von einem Generalunternehmer gesteuert wird. Man hat in diesem Fall keinen Überblick und Zugriff auf die handelnden Sub-Unternehmer, sondern muss sich auf die Aussagen des Generalunternehmers verlassen. Andererseits muss ehrlicherweise gesagt werden, dass in vielen Unternehmen nur wenige Mitarbeiter über das notwendige technische Know-how und vor allem die Zeit verfügen, sich vertieft mit der Materie zu beschäftigen. Daher bleiben viele Diskussionen oft an der Oberfläche und man lässt sich von seinem Bauchgefühl leiten. Zudem haben viele Unternehmen ihre eigenen Risiken noch nicht sauber analysiert und definiert. In diesem Fall haben es Cloud-Provider immer schwer, die richtigen Antworten zu
2

© copyright crisp research

geben. Bedenkt man allerdings, welche extremen Aufwendungen und Investitionen große Provider wie Google oder die Deutsche Telekom in die IT-Sicherheit stecken, sollte man sich fragen, ob der Eigenbetrieb der IT der bessere bzw. sichere Weg ist. Piwinger: Sie beraten mittelständische und große

Unternehmen in Sachen Cloud Strategie und sagen: „Cloud Computing ist kein Hype, sondern ein strategischer Imperativ für CIOs“. Ist Cloud Computing wirklich ein reines CIOThema? Dr. Velten: Für IT-Entscheider in großen Unternehmen, ist es essentiell, die Auswirkungen von Cloud Computing auf das eigene Unternehmen vollständig zu erfassen. Denn einen großen Unternehmenstanker kann man nicht so schnell umsteuern. Der Weg in die Cloud ist gerade für die Großen ein langer und teils steiniger Weg. Hier haben es kleine und mittelständische Unternehmen vielfach einfacher, von den möglichen CloudVorteilen zu profitieren. Denn sie sind vom Cloud-Trend ebenso betroffen und haben heute eine einmalige Chance: erstmalig können sie die gleichen IT-Innovationen nutzen, wie große Unternehmen mit Multi-Millionen IT-Budgets. Moderne IaaSoder SaaS-Lösungen haben keine Einstiegshürden und kosten auch für kleine Unternehmen (fast) dasselbe wie für Großkunden. Piwinger: In der aktuellen Presse stoßen wir nahezu täglich auf Datenpannen, auch bei größeren und angesehenen Unternehmen und Institutionen. Allein mit einer technischen Lösung scheint dem nicht beizukommen zu sein. Was kann
3

© copyright crisp research

ihrer Meinung nach zur mehr Aufklärung der Unternehmen in Sachen Datenschutz bei der Nutzung von Cloud-Technologien zusätzlich unternommen werden? Dr. Velten: Wenn in der digitalen Wirtschaft der Rubel rollt, dann geht dies natürlich nicht ohne „digitale Kriminalität“ ab. Die Verfahren, Tools und Taktiken von Cyberkriminellen werden immer ausgefeilter und professioneller. Auch ist eine enorme Kreativität am Werk, wenn es darum geht, in Firmennetzwerke einzubrechen und Daten zu entwenden. Für die Anwender stellt sich die Frage, ob sie selbst ein ausreichendes Sicherheitsniveau garantieren können, oder ob dies besser ein Cloud-Service-Provider kann, der über entsprechende Ressourcen verfügt. Am Anfang sollte eine Analyse – und unternehmensinterne Aufklärung – stehen, welche Datenbestände im Unternehmen als kritisch gelten und wie diese zu schützen sind. Die Themen Intrusion Detection, Physical Security und Data Protection (bzw. Data Leakage Protection) sowie Virtualisierungssicherheit und Verschlüsselung werden in den kommenden Jahre eine zentrale Rolle spielen. Man sollte sich allerdings nichts vormachen, denn mit dem steigenden Vernetzungsgrad geht auch ein ansteigender Verletzungsgrad einher. In einer Welt in der Daten in Echtzeit verarbeitet, analysiert und kommerzialisiert werden, wird es immer vereinzelt zu Schadensfällen kommen. Man sollte darauf vorbereitet sein, Stichwort Disaster Recovery Management. Piwinger: Datenschutz und Datensicherheit geht es sind im zu Top

Prozessthemen

geworden.

Einerseits

Management um Reduktion des Haftungsrisikos. Andererseits um wichtige Performancesteigerung. Dieses Bewusstsein
4

© copyright crisp research

sollte in der gesamten Belegschaft verinnerlicht sein. Welche Rolle spielt Informationssicherheit und Compliance in Ihrer Arbeit? Dr. Velten: Das Thema wird bei uns natürlich groß geschrieben. Als Marktforschungs- und Beratungsunternehmen gehen wir in vielen Fällen mit sensiblen Daten um, die geschützt werden müssen. Zudem haben wir eigene Cloud-basierte Informationsdienste für IT-Entscheider entwickelt. Auch hier müssen wir auf entsprechende Standards achten und unsere Systeme, Daten sowie die User- und Nutzungsdaten unserer Anwender schützen. Derzeit liegt der Schwerpunkt allerdings auf sogenannten „Risk Heatmaps“, die den „Risikoappetit“ eines Unternehmens eingegangen, definieren gemessen und und festlegen, kontrolliert welche werden Risiken müssen.

Interessant sind vor allem die vielen Abhängigkeiten, die sich innerhalb der Geschäftsprozesse ergeben. So kann der Ausfall eines ursprünglich unkritischen IT-Systems in der Folge trotzdem großen Schaden anrichten. Diese Abhängigkeiten zu identifizieren und zu bewerten und dann ggf. in die Compliance- bzw. Risk Management-Richtlinien aufzunehmen ist harte Arbeit. Piwinger: Sie beraten bei Crisp Research prominente

Unternehmen. Kommen Ihre Kunden aktiv mit der Forderung nach einer Lösung nach deutschen Datenschutzrichtlinien auf Sie zu? Dr. Velten: Es gibt in der Tat viele Kunden für die wir ITBetriebskonzepte entwerfen, die hauptsächlich auf lokale ITService Provider zugeschnitten sind. In vielen Branchen gelten klar
5

© copyright crisp research

definierte gesetzliche Regeln, welche Daten außerhalb der Landesgrenzen verarbeitet werden dürfen. Zudem ist der Anteil an Unternehmen, die nach dem Hochkochen des NSA-Skandals ihre Konzepte umgeworfen haben, enorm gestiegen. Gerade große Unternehmen richten sich wieder gemütlich in ihren eigenen Rechenzentren mit „Private Clouds“ ein, auch wenn ursprünglich erste Schritte in Richtung „Public Cloud“ geplant waren. Generell ist der deutsche Datenschutz derzeit so etwas wie ein gutes, solides Markenzeichen. Im globalen Vergleich werden hier sicherlich Maßstäbe gesetzt. Derzeit sieht Crisp Research verstärkt globale Cloud-Player auf den deutschen Markt drängen. Dies hat natürlich nicht primär mit dem deutschen Datenschutz zu tun, sondern hauptsächlich mit der Größe des Marktes und der Anforderung der Kunden, mit einem hohen Quality-of-Service und nach deutschen Datenschutzstandards bedient zu werden. Und das ist absolut nachvollziehbar. Piwinger: Die Deutsche Börse geht mit dem Projekt „Cloud Exchange“ 2014 an den Markt. Ähnlich der Strombörse können dort Rechenleistung und Speicherkapazität gehandelt werden. Derzeit ist geplant, nur nach US- und EU-Anbietern auszuwählen. Beim Stromhandel kann ich zum Beispiel rein regenerative Lösungen wählen. Beim Cloud-Speicher wäre eine Auswahlmöglichkeit „Green Cloud“ und „German Cloud“ wünschenswert. Wie ist Ihre Meinung dazu? Dr. Velten: Nach meinem Kenntnisstand befindet sich das ambitionierte Projekt derzeit noch in der Konzeptions- und Designphase. Die Grundidee ist bestechend. Sicherlich wäre es
6

© copyright crisp research

klug und wünschenswert die Rechenzentrumsstandorte möglichst granular auswählen zu können. Sonst werden sich nur schwer Kunden finden lassen. Ich würde allerdings davon ausgehen, dass solche Wahloptionen in der finalen Version des Marktplatzes zur Verfügung stehen. Piwinger: Welche nächsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Märkte? Dr. Velten: Oh, da gibt es natürlich eine ganze Menge. In 2014 wird sich verstärkt die Frage nach der Auswahl geeigneter und vor allem standardkonformer Cloud-Management-Software stellen. In diesem Kontext wird die Einschätzung und Verbreitung des OpenSource-basierten Openstack-Frameworks eine wichtige Rolle spielen. Hier wird Crisp Research in Kürze ein paar interessante Ergebnisse vorlegen. Und der Blick wird sich von der ServerVirtualisierung hin in Richtung Netzwerk-Virtualisierung (Software Defined Networks) richten. Denn hier ist meist der Flaschenhals in komplexen Cloud-Umgebungen zu finden, wenn Workloads flexibel und effizient zwischen verschiedenen Servern, Infrastrukturen und Rechenzentren hin- und herwandern sollen. Letztlich wird sich in 2014 zeigen, ob und wie erfolgreich sich Cloud-Services über Marktplätze verkaufen lassen. Piwinger: Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung Während von Smartphones sich und Firmenanwendungen. man bemüht,

Firmendaten zu schützen, erlaubt man fast jeder SmartphoneApp, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?
7

© copyright crisp research

Dr. Velten: In professionell gemanagten IT-Umgebungen in größeren Unternehmen wird heute standardmäßig auf entsprechend Mobile-Device-Management-Lösungen gesetzt, die zumindest einen Großteil dieser Risiken reduzieren. Hier lassen sich auch entsprechende Policies umsetzen, nach denen geregelt ist, was die Nutzer und was die Unternehmen dürfen. Im besten Fall sind diese Vereinbarungen mit dem Betriebsrat abgestimmt, so dass auch die Mitarbeiter wissen, was auf ihrem Gerät getrackt wird und was nicht. Ich persönlich empfehle all denjenigen, die hier besonders auf ihre Privatsphäre achten wollen, die gute alte Regel: eins fürs Business, eins fürs Private! Piwinger: Wie verändert sich das Management von ITSicherheit in Zeiten des Cloud Computings? Wo sieht Crisp Research das größte Bedrohungspotenzial und die damit verbundenen wichtigsten Handlungsfelder? Dr. Velten: Wir stellen fest, dass sich die Bedrohungsszenarien wandeln. Wurden noch vor fünf Jahren viele Angriffe auf Firmennetzwerke von passionierten Hackern ohne Hintergrund in der organisierten Kriminalität verübt, so hat sich dieses Verhältnis umgekehrt. Angriffe werden heute mit den neuesten Technologien, teils hohem Kapitaleinsatz und höchst professionell geführt. Wir sprechen hier von sogenannten „High-Level-Incidents“ – also zum Beispiel Angriffen auf Banken oder Infrastrukturbetreiber. Hinzu kommt, dass sich die Angriffsmethoden und Taktiken verändern. So hatten sich kürzlich Bankräuber, als IT-Administratoren eines IT-Dienstleisters verkleidet, Zugang zu den Computern in einer Londoner Bankfiliale verschafft. Per Remote Dongle (USB-Stick
8

© copyright crisp research

mit Fernwartungsfunktion) ging es dann daran, Millionen auf andere Konten umzuleiten. Hier zeigt sich, dass wir zukünftig einen integrierten Mix aus digitaler und physischer Sicherheit brauchen. Wenn wir langsam aber sicher den Weg in die Data Economy beschreiten und Daten das neue Gold sind, dann wird Data Leakage Protection Auch das eines Thema der zentralen & ITSicherheitsthemen. Identity Access

Management wird wohl eine Renaissance erleben. Piwinger: Der deutsche Markt für Cloud Computing verspricht enorme Wachstumsraten. Wird sich die Rolle der Berater und Integratoren dadurch verändern? Dr. Velten: Die Rolle der Integratoren und Berater ist nicht zu unterschätzen. Sie spielen bei der Transformation und Implementierung eine wichtige Rolle. Vielfach wird noch so getan, als würden SaaS-Lösungen mit einem Klick gekauft und dann via Self-Service eingeführt. Dem ist in der Praxis natürlich nicht so. Selbst bekannte Lösungen wie Salesforce werden selten ohne spezialisiertes Integrationsniveau von Partnern, wie beispielsweise Tquila, implementiert. Die Herkulesaufgabe ist allerdings anderer Natur: Die Evaluierung und Einführung der Cloud-Services muss alle Anwender mitziehen, damit sich von Beginn an eine hohe Akzeptanz einstellt. Denn nur so lassen sich Supportkosten senken und die Produktivität wirklich erhöhen.

9

© copyright crisp research

Autor

Dr. Carlo Velten ist Managing Director des ITResearchund Beratungsunternehmens Crisp Research. Seit über 15 Jahren berät Carlo Velten als IT-Analyst namhafte Technologieunternehmen in Marketing- und Strategiefragen. Seine Schwerpunktthemen sind Cloud Strategy & Economics, Data Center Innovation und Digital Business Transformation. Zuvor leitete er 8 Jahre lang gemeinsam mit Steve Janata bei der Experton Group die „Cloud Computing & Innovation Practice“ und war Initiator des „Cloud Vendor Benchmark“. Davor war Carlo Velten verantwortlicher Senior Analyst bei der TechConsult und dort für die Theman Open Source und Web Computing verantwortlich. Dr. Carlo Velten ist Jurymitglied bei den „Best-in-Cloud-Awards“ und engagiert sich im Branchenverband BITKOM. Als Business Angel unterstützt er junge Startups und ist politisch als Vorstand des Managerkreises der Friedrich Ebert Stiftung aktiv. Dr. Carlo Velten, Senior Analyst & Managing Director [email protected] https://www.xing.com/profiles/Carlo_Velten

10

© copyright crisp research

Über Crisp Research

Crisp und

Research

ist

ein

europäisches Crisp

IT-Researchaktuelle

und und

Beratungsunternehmen. Mit einem Team erfahrener Analysten, Berater Software-Entwickler bewertet Research kommende Technologie- und Markttrends. Crisp Research unterstützt ITAnbieter in Strategie-, Contentmarketing- und Vertriebsfragen. Cloud Computing und Digital Business Transformation sind die Themenschwerpunkte von Crisp Research. Wir verfügen in unseren Crisp Labs über ein internes Software-Developer Team und testen aktuelle Cloud Services und Produkte unter Live-Bedingungen. www.crisp-research.com @crisp_research

KONTAKT Weißenburgstraße 10 D-34117 Kassel Tel +49-561-2207 4080 Fax +49-561-2207 4081 [email protected] http://www.crisp-research.com/ https://twitter.com/crisp_research
11

© copyright crisp research

COPYRIGHT Alle Rechte an den vorliegenden Inhalten liegen bei Crisp Research. Die Daten und Informationen bleiben Eigentum von Crisp Research. Vervielfältigungen, auch auszugsweise, bedürfen der schriftlichen Genehmigung von Crisp Research.

12

© copyright crisp research

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close