Zehn Fragen an Dr.

Carlo Velten, Chef-Analyst bei Crisp Research

Unternehmen werfen nach NSASkandal ihre Cloud-Konzepte um

Autor: Datum: Tags: Dr. Carlo Velten , Senior Analyst 30.10.2013 Cloud Computing, Security, Datensicherheit, Informationssicherheit, SaaS, Private Cloud, Public Cloud, Cloud Exchange

In der Reihe Zehn Fragen an interviewte Gtz Piwinger, Geschftsfhrer der Initiative German Cloud, Dr. Carlo Velten, Managing Director der Crisp Research, zu den Themen Datensicherheit und Datenschutz. Gtz Piwinger: dazu Mittelstndische ber, Firmendaten den Sie Unternehmen in der Eindruck, dass gehen zu diese

vorsichtig verarbeiten.

Cloud

Haben

Unternehmen wissen, wonach sie fragen mssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht? Dr. Carlo Velten: In der Tat ist es fr viele Anwender in kleinen wie auch in groen Unternehmen nicht leicht ersichtlich, wie gut ihre Daten bei bestimmten Cloud-Providern aufgehoben sind. Dies liegt einerseits an der mangelnden Transparenz vieler Anbieter, die vielfach nicht offenlegen, wer im Rahmen der Leistungserbringung von der Infrastruktur- und Managementseite her eingebunden ist. Cloud Dienste sind in diesem Sinne vergleichbar mit einem Bauprojekt, das von einem Generalunternehmer gesteuert wird. Man hat in diesem Fall keinen berblick und Zugriff auf die handelnden Sub-Unternehmer, sondern muss sich auf die Aussagen des Generalunternehmers verlassen. Andererseits muss ehrlicherweise gesagt werden, dass in vielen Unternehmen nur wenige Mitarbeiter ber das notwendige technische Know-how und vor allem die Zeit verfgen, sich vertieft mit der Materie zu beschftigen. Daher bleiben viele Diskussionen oft an der Oberflche und man lsst sich von seinem Bauchgefhl leiten. Zudem haben viele Unternehmen ihre eigenen Risiken noch nicht sauber analysiert und definiert. In diesem Fall haben es Cloud-Provider immer schwer, die richtigen Antworten zu
2

copyright crisp research

geben. Bedenkt man allerdings, welche extremen Aufwendungen und Investitionen groe Provider wie Google oder die Deutsche Telekom in die IT-Sicherheit stecken, sollte man sich fragen, ob der Eigenbetrieb der IT der bessere bzw. sichere Weg ist. Piwinger: Sie beraten mittelstndische und groe

Unternehmen in Sachen Cloud Strategie und sagen: Cloud Computing ist kein Hype, sondern ein strategischer Imperativ fr CIOs. Ist Cloud Computing wirklich ein reines CIOThema? Dr. Velten: Fr IT-Entscheider in groen Unternehmen, ist es essentiell, die Auswirkungen von Cloud Computing auf das eigene Unternehmen vollstndig zu erfassen. Denn einen groen Unternehmenstanker kann man nicht so schnell umsteuern. Der Weg in die Cloud ist gerade fr die Groen ein langer und teils steiniger Weg. Hier haben es kleine und mittelstndische Unternehmen vielfach einfacher, von den mglichen CloudVorteilen zu profitieren. Denn sie sind vom Cloud-Trend ebenso betroffen und haben heute eine einmalige Chance: erstmalig knnen sie die gleichen IT-Innovationen nutzen, wie groe Unternehmen mit Multi-Millionen IT-Budgets. Moderne IaaSoder SaaS-Lsungen haben keine Einstiegshrden und kosten auch fr kleine Unternehmen (fast) dasselbe wie fr Grokunden. Piwinger: In der aktuellen Presse stoen wir nahezu tglich auf Datenpannen, auch bei greren und angesehenen Unternehmen und Institutionen. Allein mit einer technischen Lsung scheint dem nicht beizukommen zu sein. Was kann
3

copyright crisp research

ihrer Meinung nach zur mehr Aufklrung der Unternehmen in Sachen Datenschutz bei der Nutzung von Cloud-Technologien zustzlich unternommen werden? Dr. Velten: Wenn in der digitalen Wirtschaft der Rubel rollt, dann geht dies natrlich nicht ohne digitale Kriminalitt ab. Die Verfahren, Tools und Taktiken von Cyberkriminellen werden immer ausgefeilter und professioneller. Auch ist eine enorme Kreativitt am Werk, wenn es darum geht, in Firmennetzwerke einzubrechen und Daten zu entwenden. Fr die Anwender stellt sich die Frage, ob sie selbst ein ausreichendes Sicherheitsniveau garantieren knnen, oder ob dies besser ein Cloud-Service-Provider kann, der ber entsprechende Ressourcen verfgt. Am Anfang sollte eine Analyse und unternehmensinterne Aufklrung stehen, welche Datenbestnde im Unternehmen als kritisch gelten und wie diese zu schtzen sind. Die Themen Intrusion Detection, Physical Security und Data Protection (bzw. Data Leakage Protection) sowie Virtualisierungssicherheit und Verschlsselung werden in den kommenden Jahre eine zentrale Rolle spielen. Man sollte sich allerdings nichts vormachen, denn mit dem steigenden Vernetzungsgrad geht auch ein ansteigender Verletzungsgrad einher. In einer Welt in der Daten in Echtzeit verarbeitet, analysiert und kommerzialisiert werden, wird es immer vereinzelt zu Schadensfllen kommen. Man sollte darauf vorbereitet sein, Stichwort Disaster Recovery Management. Piwinger: Datenschutz und Datensicherheit geht es sind im zu Top

Prozessthemen

geworden.

Einerseits

Management um Reduktion des Haftungsrisikos. Andererseits um wichtige Performancesteigerung. Dieses Bewusstsein

4

copyright crisp research

sollte in der gesamten Belegschaft verinnerlicht sein. Welche Rolle spielt Informationssicherheit und Compliance in Ihrer Arbeit? Dr. Velten: Das Thema wird bei uns natrlich gro geschrieben. Als Marktforschungs- und Beratungsunternehmen gehen wir in vielen Fllen mit sensiblen Daten um, die geschtzt werden mssen. Zudem haben wir eigene Cloud-basierte Informationsdienste fr IT-Entscheider entwickelt. Auch hier mssen wir auf entsprechende Standards achten und unsere Systeme, Daten sowie die User- und Nutzungsdaten unserer Anwender schtzen. Derzeit liegt der Schwerpunkt allerdings auf sogenannten Risk Heatmaps, die den Risikoappetit eines Unternehmens eingegangen, definieren gemessen und und festlegen, kontrolliert welche werden Risiken mssen.

Interessant sind vor allem die vielen Abhngigkeiten, die sich innerhalb der Geschftsprozesse ergeben. So kann der Ausfall eines ursprnglich unkritischen IT-Systems in der Folge trotzdem groen Schaden anrichten. Diese Abhngigkeiten zu identifizieren und zu bewerten und dann ggf. in die Compliance- bzw. Risk Management-Richtlinien aufzunehmen ist harte Arbeit. Piwinger: Sie beraten bei Crisp Research prominente

Unternehmen. Kommen Ihre Kunden aktiv mit der Forderung nach einer Lsung nach deutschen Datenschutzrichtlinien auf Sie zu? Dr. Velten: Es gibt in der Tat viele Kunden fr die wir ITBetriebskonzepte entwerfen, die hauptschlich auf lokale ITService Provider zugeschnitten sind. In vielen Branchen gelten klar
5

copyright crisp research

definierte gesetzliche Regeln, welche Daten auerhalb der Landesgrenzen verarbeitet werden drfen. Zudem ist der Anteil an Unternehmen, die nach dem Hochkochen des NSA-Skandals ihre Konzepte umgeworfen haben, enorm gestiegen. Gerade groe Unternehmen richten sich wieder gemtlich in ihren eigenen Rechenzentren mit Private Clouds ein, auch wenn ursprnglich erste Schritte in Richtung Public Cloud geplant waren. Generell ist der deutsche Datenschutz derzeit so etwas wie ein gutes, solides Markenzeichen. Im globalen Vergleich werden hier sicherlich Mastbe gesetzt. Derzeit sieht Crisp Research verstrkt globale Cloud-Player auf den deutschen Markt drngen. Dies hat natrlich nicht primr mit dem deutschen Datenschutz zu tun, sondern hauptschlich mit der Gre des Marktes und der Anforderung der Kunden, mit einem hohen Quality-of-Service und nach deutschen Datenschutzstandards bedient zu werden. Und das ist absolut nachvollziehbar. Piwinger: Die Deutsche Brse geht mit dem Projekt Cloud Exchange 2014 an den Markt. hnlich der Strombrse knnen dort Rechenleistung und Speicherkapazitt gehandelt werden. Derzeit ist geplant, nur nach US- und EU-Anbietern auszuwhlen. Beim Stromhandel kann ich zum Beispiel rein regenerative Lsungen whlen. Beim Cloud-Speicher wre eine Auswahlmglichkeit Green Cloud und German Cloud wnschenswert. Wie ist Ihre Meinung dazu? Dr. Velten: Nach meinem Kenntnisstand befindet sich das ambitionierte Projekt derzeit noch in der Konzeptions- und Designphase. Die Grundidee ist bestechend. Sicherlich wre es
6

copyright crisp research

klug und wnschenswert die Rechenzentrumsstandorte mglichst granular auswhlen zu knnen. Sonst werden sich nur schwer Kunden finden lassen. Ich wrde allerdings davon ausgehen, dass solche Wahloptionen in der finalen Version des Marktplatzes zur Verfgung stehen. Piwinger: Welche nchsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Mrkte? Dr. Velten: Oh, da gibt es natrlich eine ganze Menge. In 2014 wird sich verstrkt die Frage nach der Auswahl geeigneter und vor allem standardkonformer Cloud-Management-Software stellen. In diesem Kontext wird die Einschtzung und Verbreitung des OpenSource-basierten Openstack-Frameworks eine wichtige Rolle spielen. Hier wird Crisp Research in Krze ein paar interessante Ergebnisse vorlegen. Und der Blick wird sich von der ServerVirtualisierung hin in Richtung Netzwerk-Virtualisierung (Software Defined Networks) richten. Denn hier ist meist der Flaschenhals in komplexen Cloud-Umgebungen zu finden, wenn Workloads flexibel und effizient zwischen verschiedenen Servern, Infrastrukturen und Rechenzentren hin- und herwandern sollen. Letztlich wird sich in 2014 zeigen, ob und wie erfolgreich sich Cloud-Services ber Marktpltze verkaufen lassen. Piwinger: Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung Whrend von Smartphones sich und Firmenanwendungen. man bemht,

Firmendaten zu schtzen, erlaubt man fast jeder SmartphoneApp, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?
7

copyright crisp research

Dr. Velten: In professionell gemanagten IT-Umgebungen in greren Unternehmen wird heute standardmig auf entsprechend Mobile-Device-Management-Lsungen gesetzt, die zumindest einen Groteil dieser Risiken reduzieren. Hier lassen sich auch entsprechende Policies umsetzen, nach denen geregelt ist, was die Nutzer und was die Unternehmen drfen. Im besten Fall sind diese Vereinbarungen mit dem Betriebsrat abgestimmt, so dass auch die Mitarbeiter wissen, was auf ihrem Gert getrackt wird und was nicht. Ich persnlich empfehle all denjenigen, die hier besonders auf ihre Privatsphre achten wollen, die gute alte Regel: eins frs Business, eins frs Private! Piwinger: Wie verndert sich das Management von ITSicherheit in Zeiten des Cloud Computings? Wo sieht Crisp Research das grte Bedrohungspotenzial und die damit verbundenen wichtigsten Handlungsfelder? Dr. Velten: Wir stellen fest, dass sich die Bedrohungsszenarien wandeln. Wurden noch vor fnf Jahren viele Angriffe auf Firmennetzwerke von passionierten Hackern ohne Hintergrund in der organisierten Kriminalitt verbt, so hat sich dieses Verhltnis umgekehrt. Angriffe werden heute mit den neuesten Technologien, teils hohem Kapitaleinsatz und hchst professionell gefhrt. Wir sprechen hier von sogenannten High-Level-Incidents also zum Beispiel Angriffen auf Banken oder Infrastrukturbetreiber. Hinzu kommt, dass sich die Angriffsmethoden und Taktiken verndern. So hatten sich krzlich Bankruber, als IT-Administratoren eines IT-Dienstleisters verkleidet, Zugang zu den Computern in einer Londoner Bankfiliale verschafft. Per Remote Dongle (USB-Stick
8

copyright crisp research

mit Fernwartungsfunktion) ging es dann daran, Millionen auf andere Konten umzuleiten. Hier zeigt sich, dass wir zuknftig einen integrierten Mix aus digitaler und physischer Sicherheit brauchen. Wenn wir langsam aber sicher den Weg in die Data Economy beschreiten und Daten das neue Gold sind, dann wird Data Leakage Protection Auch das eines Thema der zentralen & ITSicherheitsthemen. Identity Access

Management wird wohl eine Renaissance erleben. Piwinger: Der deutsche Markt fr Cloud Computing verspricht enorme Wachstumsraten. Wird sich die Rolle der Berater und Integratoren dadurch verndern? Dr. Velten: Die Rolle der Integratoren und Berater ist nicht zu unterschtzen. Sie spielen bei der Transformation und Implementierung eine wichtige Rolle. Vielfach wird noch so getan, als wrden SaaS-Lsungen mit einem Klick gekauft und dann via Self-Service eingefhrt. Dem ist in der Praxis natrlich nicht so. Selbst bekannte Lsungen wie Salesforce werden selten ohne spezialisiertes Integrationsniveau von Partnern, wie beispielsweise Tquila, implementiert. Die Herkulesaufgabe ist allerdings anderer Natur: Die Evaluierung und Einfhrung der Cloud-Services muss alle Anwender mitziehen, damit sich von Beginn an eine hohe Akzeptanz einstellt. Denn nur so lassen sich Supportkosten senken und die Produktivitt wirklich erhhen.

copyright crisp research

Autor

Dr. Carlo Velten ist Managing Director des ITResearchund Beratungsunternehmens Crisp Research. Seit ber 15 Jahren bert Carlo Velten als IT-Analyst namhafte Technologieunternehmen in Marketing- und Strategiefragen. Seine Schwerpunktthemen sind Cloud Strategy & Economics, Data Center Innovation und Digital Business Transformation. Zuvor leitete er 8 Jahre lang gemeinsam mit Steve Janata bei der Experton Group die Cloud Computing & Innovation Practice und war Initiator des Cloud Vendor Benchmark. Davor war Carlo Velten verantwortlicher Senior Analyst bei der TechConsult und dort fr die Theman Open Source und Web Computing verantwortlich. Dr. Carlo Velten ist Jurymitglied bei den Best-in-Cloud-Awards und engagiert sich im Branchenverband BITKOM. Als Business Angel untersttzt er junge Startups und ist politisch als Vorstand des Managerkreises der Friedrich Ebert Stiftung aktiv. Dr. Carlo Velten, Senior Analyst & Managing Director carlo.velten@crisp-research.com https://www.xing.com/profiles/Carlo_Velten

10

copyright crisp research

ber Crisp Research

Crisp und

Research

ist

ein

europisches Crisp

IT-Researchaktuelle

und und

Beratungsunternehmen. Mit einem Team erfahrener Analysten, Berater Software-Entwickler bewertet Research kommende Technologie- und Markttrends. Crisp Research untersttzt ITAnbieter in Strategie-, Contentmarketing- und Vertriebsfragen. Cloud Computing und Digital Business Transformation sind die Themenschwerpunkte von Crisp Research. Wir verfgen in unseren Crisp Labs ber ein internes Software-Developer Team und testen aktuelle Cloud Services und Produkte unter Live-Bedingungen. www.crisp-research.com @crisp_research

KONTAKT Weienburgstrae 10 D-34117 Kassel Tel +49-561-2207 4080 Fax +49-561-2207 4081 info@crisp-research.com http://www.crisp-research.com/ https://twitter.com/crisp_research
11

copyright crisp research

COPYRIGHT Alle Rechte an den vorliegenden Inhalten liegen bei Crisp Research. Die Daten und Informationen bleiben Eigentum von Crisp Research. Vervielfltigungen, auch auszugsweise, bedrfen der schriftlichen Genehmigung von Crisp Research.

12

copyright crisp research