Von überall immer auf Daten und Programme zugreifen funktioniert auch mit der Cloud nicht. Aber schon wenige Minuten ohne Zugriff auf Daten und Programme kann für ein Unternehmen katastrophal sein. Vor allem zu Zeiten, wo Firmen vermehrt Zugriff auf ihre externen Server haben wollen, kann es zu Problemen kommen, etwa Ende Dezember.

Zuerst sollten Sie unbedingt mehrere Anbieter in die engere Auswahl nehmen, um vergleichen zu können. Eine Übersicht möglicher Anbieter finden Sie im Netz. Erst danach sollten Sie sich um Detailfragen kümmern. Bei der Auswahl ist natürlich wichtig, welche Preise die einzelnen Anbieter präsentieren. Darüber hinaus sollten Sie aber auch Detailfragen klären. Wie hoch ist die Verfügbarkeit des Anbieters? Meist wird dieser Wert in Prozent angegeben. Wer haftet bei einem kostspieligen Fehler in welchem Umfang? Alles Fragen, die Ihre Auswahl beeinflussen sollten.

Die Architektur der Software beim Kunden sollte eine verteilte Verarbeitung in der Cloud ermöglichen und die Datenleitung sollte entsprechend der Anforderungen dimensioniert sein. Neben diesen eher technischen Aspekten bezüglich der IT-Architektur gilt es sicherzustellen, dass die Auslagerung von Daten oder Berechnung überhaupt mit den strategischen Zielen des Unternehmens zu vereinbaren ist.

If you have a speed limit of 120 km/h and you use three cars that can reach 150, 180 and 220 km/h, all three cars will take you from A to B. There will be preferences, there will be more convenient solutions, but the basics will be covered in the three cases.

We have a similar situation today regarding inherent security mechanisms across the mobile OS spectrum. While there are some security differences between mobile OSs, the basic security features such as integrity protection, encryption, app isolation and kernel protection are covered by all four main OSs.

What differentiates mobile security for enterprises is OS manageability and updates. IT leaders and CISOs need to ensure that they can granularly and consistently manage mobile devices, and have assurance from the device and/or OS vendor that there will be fast security updates for the lifetime of the devices.

Auf der Experten- und Marktplattform gibt es die seher beliebte und stark frequentierte Anbieter-/Angebotsübersicht. Darin können die Entscheider auf einen Blick erkennen, welcher Anbieter welche Zertifizierungen und welches Cloud-Angebot hat. Des weiteren sind wir mit Security-Finder Schweiz vertieft für Datensicherheit, Datenschutz, Compliance, Risiko- und Businsess Continuty Management sehr breit präsent und – spezifisch für den Schweizer Markt – auch mit allen relevanten Grundlagen, Richtlinien und Expertisen vertreten. Beide Plattformen funktionieren als Customer Care Competence Center und alle Experten können jederzeit von interessierten Entscheidern angefragt werden. Zudem informieren wir monatlich über neue Themen, wichtige Projekte und auch neue Angebote und Anbieter für die verschiedensten Lösungen für die Datensicherheit und den Datenschutz.

Das ist, sowie die KMU-Struktur in der Schweiz, sehr vielschichtig. Zum einen ist für sehr viele die Sicherheit in „irgendeiner Cloud“ viel höher, als in einem verstaubten Rack, irgendwo im Betrieb oder – in einer Kellerecke. Zum anderen fehlt vielfach gar die Datenklassierung. Man ist sich also gar nicht bewusst, welchen Wert die Daten für für das Unternehmen darstellen. Dann gibt es aber durchaus auch IT-Verantwortliche die genau wissen, worauf Sie bei der Datensicherheit und beim Datenschutz achten müsen. Diese Unternehmen sind denn auch in der Lage, an ihren künftigen Cloud-Provider die richtigen Fragen zu stellen und denen dann sowohl in der Projektrealisation wie im Betrieb die gebührende Beachtung zu schenken.

Ein großer Vorteil der Cloud liegt darin, dass es auch mehreren Personen möglich ist, zeitgleich an einem Dokument zu arbeiten. Im Falle von Google Drive sehen Sie beispielsweise, wenn mehrere Personen ein Dokument bearbeiten.

Mit Cloud Computing beginnt die Wertschöpfung durch Virtualität dank moderner Informations- und Kommunikationstechnologie, Kompetenzbündelung und -Vernetzung, Zeit und Standortunabhängigkeit, Offenheit und Flexibilität. Es wird eine Neudefinition von Marktregeln und ein Redesign von Geschäftsprozessen geben. Dies wird alles durch Cloud-Computing lanciert. In der IT gibt es aktuell tief greifende Veränderungen. Consumerization und die Wege ins Rechencenter: Dieses Change-Management, aber auch die Unsicherheiten zur Themenwolke werden vor der Callcenter-Industrie nicht halt machen. Wenn die Customer-Care-Industrie diesen Change gut antizipiert, wird es zu ihrem Vorteil sein.

Cloud geht uns alle an. Mobilität, Big Data, Kundenfokussierung, Sicherheitsaspekte wie oben dargelegt, aber vor allem auch 24-h-Self-Service-Prozesse und alles mit «smart» und «e» läuft auf die sogenannte vierte IT-Revolution hinaus. In Kalifornien wurden im September 12 die Strassengesetze zu Gunsten «führerloser Autos» geändert. Also alle, vor allem aber die Unternehmen, die entlang des Consumer-Verhaltens ihre Waren und Dienstleistungen anbieten, sind stark davon betroffen. Wir stellen fest, dass sich die Entscheiderkette mehr und mehr auf den C-Level und in die Linien hinaus bewegt. Konkret kann jede Firma heute Cloud-Services nutzen, ohne dass der Informatikverantwortliche überhaupt etwas davon weiss; die Technologie steht für alle offen. Sie bringt den Unternehmen vor allem Agilität, Wachstumsfähigkeit und dies mit einer grossen Kostenoptimierung. Konkreter Nutzen? Hier sehen wir das gesamte Feld von Consumerization und Sef Service, rund um die Uhr, rund um den Globus. Vergleichen wir es mit einem Auto: Das eigene Auto ist die eigene IT-Umgebung. Das Mietauto das klassische IT-Outsourcing. Aber Cloud-Computing ist wie ein Taxi-Service. Man nutzt es bei Bedarf, zahlt eine bestimmte Leistung und muss nichts mehr bezahlen, wenn man aussteigt, also aufhört, es zu benutzen.

Zusätzlich wird eine vierte Ebene diskutiert, die als (Business) Process as a Service gekennzeichnet wird. Sie geht aus der SaaS-Ebene hervor und wird durch eine stärkere Nähe zum Geschäftsprozess charakterisiert.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Nun; mit Cloud-Computing beginnt die Wertschöpfung durch Virtualität dank moderner Informations- und Kommunikationstechnologie, Kompetenzbündelung und -Vernetzung, Zeit und Standortunabhängigkeit, Offenheit und Flexibilität. Es wird eine Neudefinition von Marktregeln und ein Redesign von Geschäftsprozessen geben. Dies wird alles durch Cloud-Computing lanciert. In der IT gibt es aktuell tief greifende Veränderungen. Consumerization und die Wege ins Rechencenter: Dieses Change-Management, aber auch die Unsicherheiten zur Themenwolke werden vor keiner Industrie halt machen.
Mit der Experten- und Marktplattform Cloud-Finder Schweiz übernehmen wir die Aufgabe eines «Competence Center Cloud Computing» und die eines Business Enablers. Wir fokussieren; offen, transparent, generisch und aus verschiedenen Perspektiven auf Cloud-Computing. Als Informations- und Wissensplattform behandeln wir unter dem Motto «Cloud360» spezifisches Wissen und managen es zu Mehrwert für Verwaltung und Wirtschaft. Wir schaffen Transparenz und behalten die Sicht aufs Ganze, sind aktuell und aktiv über das ganze Jahr präsent. Wir wollen Aufklären und Vertrauen fürs Cloud-Computing in der Schweiz schaffen. Es gehört also alles dazu – was den Entscheidern auf dem Weg in die Cloud helfen kann. Insbesondere sind dies die Themenschwerpunkte: Markt und Analysen. Prinzipien, Service- und Einsatzmodelle. Technologien und Architekturen. Bildung und Forschung. Betriebliche Aspekte. Sicherheit, Datenschutz, Legal, Compliance. Service-Provider und Anforderungen. Anbieter, Angebote und Nutzen-Argumentarien und die Qualitätssicherung. Politik, Gesetze und Industrie. Soziale Aspekte und Innovation. Gremien & Experten. Und – es gehört dazu; ein hochkarätiger Beirat aus der Wirtschaft, Wissenschaft und Verwaltung.

`Ein Markt` muss sich überhaupt erst richtig bilden und zusammensetzen. D.h. Klarheit in den Angeboten und technischen Möglichkeiten so, dass sich Angebot und Nachfrage `richtig und gut` treffen können. Das gesamte Puzzle muss als ganzes Bild für die Entscheider aller Unternehmensgrössen und Organisationen zur Verfügung stehen. Wenn also Angebot und Erfahrungen in der gesmaten Wirtschat (dazu gehört auch das Gov.-Umfeld) `in line`sind wird sich der Markt in die Richtung `as a service/usage` entwickeln. Entscheider, Kunden und Konsumenten wollen sich künftig nicht um Cloud-Architekturen, -Modelle etc. kümmern; sondern nur noch dieses Serives bedarfs- und kostengerecht nutzen resp. konsumieren.

Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single Tenant Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen.

Die Nutzung von Cloud-Services gleicht in vielem dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind:
Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer eine gemeinsame Infrastruktur. Cloud Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte Angebote rascher an den tatsächlichen Bedarf des Kunden angepasst werden. Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. So kann der Nutzer automatisiert die genutzten Dienste auf seine Bedürfnisse zuschneiden.

Durch die beim Cloud Computing genutzten Techniken ist es möglich, die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch weit verstreut sein können (Inland ebenso wie Ausland). Der Kunde kann die genutzten Dienste und seine Ressourcen einfach über Web-Oberflächen oder passende Schnittstellen administrieren, wobei wenig Interaktion mit dem Provider erforderlich ist.

Besonders relevant sind hier die branchenspezifischen Regelungen, welche nicht jeden Cloud-Nutzer betreffen, die Betroffenen aber umso intensiver. Zusammengefasst lässt sich sagen, dass, auch wenn keine länderübergreifend gültige Aussage getroffen werden kann, die Nutzung von Cloud-Computing-Dienstleistungen in den meisten Fällen zulässig ist, wenn auch mitunter mit gewissen Auflagen oder Einschränkungen.

Die meisten Unternehmen agieren im Moment zögerlich, was aber eher der Tatsache geschuldet ist, dass bei den Verwantwortlichen zu wenig Informationen über Cloud-Sicherheit zur Verfügung stehen. Mit ein wenig Know-how und einer Prise rechtlichen Beistands von (echten) Experten lässt sich in der Cloud ein sehr hohes Sicherheitsniveau erreichen. Nach einer Anfangsphase, in der sich nur Pioniere in die Cloud wagen wird es aber – ähnlich wie beim Online-Banking – dazu kommen, dass das Vertrauen und die Zuversicht langsam steigen und die Technologie sich auf lange Sicht durchsetzt. Es spricht einfach zu viel dafür um langfristig dagegen zu sein.

Die Cloud ist unter anderem als Datenspeicher ausgelegt. Deshalb ist es kein Problem, wenn Sie dort Ihre Dokumente sichern. Im Gegenteil: Dies bringt nur Vorteile, da Cloud-Dienste deutlich mehr Ausfallsicherheit bieten, als Ihr heimischer PC. Die Cloud ist also vor allem als Backup-Lösung für kleines Geld einsetzbar. Wenn Sie nur einige wenige Dokumente und Dateien sichern wollen, reicht Ihnen möglicherweise auch der kostenlose Speicherplatz einiger Anbieter aus.

Ja, die Cloud dürfen Sie sich wie ein gigantisches Rechenzentrum vorstellen. Dieses Rechenzentrum ist jedoch nicht dazu da, Webseiten oder dergleichen zu hosten. Die einzige Aufgabe besteht darin Ihre Inhalte sicher zu lagern und bei Bedarf bereitzustellen. Zahlreiche Cloud-Dienste bieten einen Synchronisierungsservice an. Dabei werden die Daten auf Ihrem PC mit denen in Ihrem Cloud-Account regelmäßig abgeglichen, sodass Sie online immer die aktuellste Version zur Verfügung haben. Egal, wo Sie sich gerade befinden.

Diverse Cloud-Anbieter legen besonderen Wert darauf, dass auch bereits die Übertragung der Daten von den Servern zu Ihnen und umgekehrt verschlüsselt ist. Dabei kommt häufig ein hochwertiger Algorithmus zum Einsatz, der als unknackbar gilt. Vor allem wenn Sie sensible Daten übertragen, sollten Sie darauf achten, dass Ihr Anbieter eine verschlüsselte Datenübertragung ermöglicht.

Cloud Compliance bezeichnet die nachweisbare Einhaltung von Regeln zur Nutzung oder Bereitstellung von Cloud Computing. Cloud Compliance hat zum Ziel, Transparenz und Sicherheit für alle Anspruchsgruppen (Stakeholder) zu schaffen. Cloud Compliance unterstützt insoweit dabei, die bestehende Zurückhaltung und die Vorbehalte gegenüber den Angeboten zum Cloud Computing aufzulösen. Damit schafft Cloud Compliance eine wichtige Basis, um alle Vorteile des Cloud Computings für Anbieter und Provider vollumfänglich nutzbar zu machen. Bei der Beschäftigung mit Cloud Compliance sind insbesondere die folgenden Herausforderungen zu bewältigen: Die Neuartigkeit und die damit verbundene Komplexität des Themas, die Vielzahl von Service-Angeboten und Geschäftsmodellen der Anbieter mit derzeit oft noch unklaren bzw. sich widersprechenden Cloud Definitionen sowie die fehlenden Standards im Markt. Die Folgen bei Nichterfüllung von Compliance-Anforderungen sind hinsichtlich Art und Ausmaß unterschiedlich. Sie reichen von Strafen und Bußgeldern über die Erfüllung von Schadenersatzansprüchen bis hin zur Einschränkung des Zugangs zum Kapitalmarkt. Auch der Verlust von Marktanteilen aufgrund von Imageschäden oder dem Ausschluss von Ausschreibungsverfahren sind möglich. Der Umgang mit den oben genannten Zielen und Herausforderungen wird durch den Einsatz eines geeigneten Compliance Management Systems (CMS) unterstützt. Es kann gleichermaßen von Anbietern sowie von Nutzern des Cloud Computings eingesetzt werden. Die Ausführungen hier basieren auf einem CMS mit sieben Grundelementen. Diese lassen sich vereinfacht zu den Kernthemen „Anforderungen“, „Risiken“ und „Risikomaßnahmen“ zusammenfassen. Zur Erreichung einer adäquaten Cloud Compliance gehört es, die Anforderungen insgesamt zu kennen und hinsichtlich ihrer Bedeutung zu bewerten. Die Kategorisierung der Anforderungen kann schematisch nach primär externen Vorgaben (Gesetzen und externen Regelwerken) sowie primär internen Vorgaben (interne Verpflichtungen und Verträge) erfolgen. Die Identifikation als auch die Kategorisierung sollten sowohl Nutzer als auch Anbieter von Cloud Computing individuell für ihre Geschäftszwecke vornehmen. Allgemein kann hierfür festgehalten werden, dass für Cloud-Computing keine eigenen Regeln gelten und insoweit die allgemeinen IT-Compliance-Anforderungen Anwendung finden. Hinter den IT-Compliance-Anforderungen stehen insoweit in aller Regel Ziele zur adäquaten Behandlung klassischer IT-Risiken (Sicherheit, Verfügbarkeit, Vollständigkeit, Nachvollziehbarkeit, etc.). Diese verlangen jedoch in jedem Fall eine gesonderte Auseinandersetzung mit den für Cloud Computing spezifischen Risiken. Hinsichtlich der Risiken ist zu beachten, dass ein Service aus der Cloud neue Merkmale aufweist, die so in der klassischen IT kaum existierten. Dazu zählen z. B. der Applikationsbezug über das Internet, der hohe Grad an Virtualisierung, die Service-Orchestrierung, die Datenlokation sowie die Multi-Mandanten-Fähigkeit der Anwendungen. Damit gehen neue Risikosituationen einher, die wie folgt gekennzeichnet werden können:

1. neue Risiken (denen mit neuen Maßnahmen begegnet werden muss),
2. gleichbleibende Risiken (bekannte Risiken für ein neues Cloud-Merkmal, denen mit analogen Maßnahmen zu begegnen ist),
3. reduzierte Risiken (denen aufgrund der besonderen Merkmale des Cloud Computings nunmehr geringere Bedeutung beizumessen ist).

Somit führt Cloud-Computing zu einem Mix an Anpassungsmaßnahmen im Risikoregister der Anwender und auch der Anbieter. In diese Betrachtungen ist sowohl die für die Cloud-Umgebung spezifische Ebene (IaaS, PaaS, SaaS) als auch die gewählte bzw. zu wählende Organisationsform (Private, Hybrid, Public) einzubeziehen. Bei allem Optimismus, die derzeit erkennbaren Risiken des Cloud Computings durch geeignete Maßnahmen zur Compliance zu steuern und damit die Chancen des Cloud-Computings auf breiter Ebene nutzbar zu machen, müssen aber auch die bestehenden Grenzen beachtet werden, bei denen Cloud Compliance nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. An der Lösung dieser Compliance-Herausforderungen muss heute schon gearbeitet werden. In erster Linie sind hier die Anbieter, die auf derartige Lösungen setzen, gefordert.

Cloud-Computing – Was Entscheider wissen müssen. BITKOM

Die uns von klassischen Produkten bekannte Schweizer Qualität trifft für die hiesigen Rechenzentren wie für Cloud-Computing besonders zu. Dazu kommen Rechtssicherheit mit stabil verbindlichen Rechtsrahmen und -auslegung, das Schweizer Datenschutzgesetz, die nationalen Infrastrukturen sowie die soziale Sicherheit. Alles wichtige Rahmenbedingungen für den Betrieb von Rechenzentren in der Schweiz und für einen guten und sicheren Weg in die Cloud.

Dies ist abhängig vom gewählten Dienst. Google Drive sowie Microsofts SkyDrive bieten Ihnen Zugang zu Office-Anwendungen. Auch einige weitere Anbieter stellen einen derartigen Service bereit. In der breiten Betrachtung handelt es sich hierbei jedoch keinesfalls um die Regel.

Da gibt es die rechtliche Situation zu berücksichtigen, Sicherheitsfragen, Datenschutz, die Integrationsfähigkeit der Cloud-Lösung, Verfügbarkeit, Leistung, der Support sowie das Abrechungsmodell. Unternehmen, die mit Cloud-Computing liebäugeln, sollten deshalb erst eine Bestandsaufnahme der eigenen IT machen. Dabei gilt es herauszufinden, welche Systeme sich prinzipiell auf Cloud-Services umstellen lassen und ob Kosten, Nutzen und Risiken das rechtfertigen. Idealerweise sollten Unternehmen für dieses Projekt einen Cloud-Verantwortlichen benennen, der sich mit der Materie vertraut macht und zusammen mit den einzelnen Abteilungen Angebote prüft. Tipp: Da sich Cloud-Umgebungen schnell und preiswert aufsetzen lassen, können Unternehmen ein Pilotprojekt starten und so ohne große Risiken erste Erfahrungen sammeln.

In Bezug auf die “absolute Datensicherheit” wissen wir beide, dass die weder existiert noch in unserer Digitalen Welt machbar sein wird. Die Sicherheit muss vor allem durch die Förderung eines verantwortungsvollen Umgangs, also der Security-Awareness, angestrebt werden. Aber anders rum darf “online” nicht schärfere Bestimmungen als “offline” haben. Um sozusagen Datenschutz, Datensicherheit und dies besonders in Cloud-Umgebungen, als Kernkompetenz zu fordern, gilt für Regierungen wie die Wirtschaft gleichermassen; die Medienkompetenz der Nutzer zu fördern, internetgerechte Rechtsmassnahmen als Rahmen zu gestalten, den Datenschutz auch vor staatlichen Zugriffen zu schützen; respektive die Persönlichkeitsrechte gleich stark zu gewichten – und auch die Datenschutzbestimmungen zu garantieren und diese laufend weiter zu entwicklen. Wichtig dabei ist aber auch, dass die Datensicherheit nicht wirklich ein Cloud-Thema ist, sondern damit nur wieder an die Oberfläche gekommen ist. Sie ist ein grunsätzliches Thema aller verantwortungsvollen IT-Managements und muss – mit oder ohne Cloud – wahrgenommen und wirksam umgesetzt werden.

Ziel eines CMS ist es, das regelkonforme Verhalten aller Beteiligten (also die Einhaltung der Regeln und die Verhinderung von Regelverstößen) durch entsprechende Maßnahmen sicherzustellen. Im Kern umfasst ein CMS die nachfolgend beschriebenen Grundelemente, die in die Unternehmensabläufe eingebunden sind: Compliance-Kultur, Compliance-Organisation, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Kommunikation, Compliance-Überwachung und Verbesserung.

Cloud-Computing – Was Entscheider wissen müssen. BITKOM

Zuerst müssen wir festhalten, dass bei den generellen erfolgskritischen Faktoren für die Cloud-Auswahl die Sicherheit weit hinten ansteht. Für die Integration von Cloud-Applikationen sind offene und standardisierte Programmierschnittstellen notwendig. Die Skalierbarkeit ist für viele Unternehmen im wichtig; denn dadurch kann flexibel auf Kundennachfragen reagiert werden. Datensicherheit und Datenschutz sind gemäss Entscheiderbefragungen eher am Schluss zu finden. Doch als Antwort auf Ihre Frage – kann man aus der Ditigalten Agenda zitieren.

“Jeder Schweizer weiss, dass seine Daten im Netz sicher sind und er sich ohne Risiko im Internet bewegen kann. Ohne Datenschutz werden viele der erwähnten Anwendungen keine Akzeptanz finden. Sicherheit und Stabilität sind bereits heute entscheidende Standortfaktoren der Schweiz. Nun geht es darum, diese Errungenschaften auch in der digitalen Welt zu verteidigen und jedem Schweizer die Gewissheit und Kompetenz zu geben, dass er sich in der virtuellen Welt genauso sicher bewegen kann wie in der realen. Datenschutz ist allerdings bereits heute keine nationale Angelegenheit mehr, sondern wird massgeblich auch international definiert.”

Sicherlich gibt es Grenzen. Diese Grenzen werden in der Praxis meistens bei durch den Kunden des Cloud-Dienstes definiert. Beispiele sind:

• Der Kunde muss eine entsprechende Datenleitung besitzen, um den erforderlichen Datenaustausch mit der Cloud zu ermöglichen.
• Kosten, die durch die Nutzung des Cloud-Angebots entstehen, dürfen einen bestimmten Betrag nicht überschreiten, da irgendwann der Betrieb eines eigenen Rechenzentrums lohnend wird. Ansonsten gibt es natürlich auch Grenzen beim Cloud-Anbieter, da dessen Ressourcen ebenfalls endlich sind – ich würde aber sagen, dass in der Praxis der Flaschenhals eher beim einem Kostendeckel des Kunden und bei der Datenübertragung über das Netzwerk zu suchen ist.

Bei Grid-Computing und Cloud-Computing handelt es sich um ähnliche, aber jeweils eigenständige Technologien. Dagegen ist die Virtualisierung grundlegender Bestandteil von Cloud-Computing. Beim Grid-Computing wird ein virtueller Supercomputer aus einem Rechnerverbund erzeugt. Mit einem solchen “Grid” bereitgestellte Ressourcen stehen allen Teilnehmern über das Internet zur Verfügung, sind anders als beim Cloud-Computing aber keiner zentralen Instanz untergeordnet. Weil die Verteilung der Rechenkapazität automatisch und häufig per Batch-Jobs erfolgt, kommt Grid-Computing außerdem ohne Virtualisierung aus. Cloud-Computing stellt Ressourcen dynamisch zur Verfügung und ist deshalb auf Virtualisierung angewiesen. Ohne Virtualisierung ließe sich ein Server nur einmal und für einen bestimmten Cloud-Dienst verwenden. Wird der Server dagegen in mehrere virtuelle Server aufgeteilt, können viele Kunden gleichzeitig den Service nutzen.

Richtig verwirrend wird es aber, wenn Hosting-Anbieter ihre Produkte plötzlich unter dem Namen Cloud Computing verkaufen, um beim Hype-Thema mitmischen zu können. Wichtigstes Unterscheidungsmerkmal ist also: Beim Hosting stehen IT-Ressourcen dem Kunden exklusiv zur Verfügung. Doch bei jeder Erweiterung ist Geduld gefragt. Für den Kapazitätsausbau muss der Anbieter erst neue Hardware bereitstellen, was nur mit einem zeitlichen Verzug einher geht. Über die Cloud läuft das anders.

In some businesses, providing information will become the business. The business model will be about selling data/information. In these cases, analytics is an explicit part of the business model. However, this will the minority.

In most companies, a digital business doesn’t mean directly monetising (selling data). An insurance company will sell insurance. A retailer will still sell consumer packaged goods, etc., However, to be an insurance company, a retailer, or any company in the private and public sector delivering goods and services, will be required to be wrapped in an information context. For example, that insurance company will collect more granular data than ever to personalise the insurance experience. The same will be true in all industries. Making sense of this information through analytics will be a key aspect of how well one competes.

In order to fully leverage the Nexus of Forces, architectures must be as flexible as possible. The intersections of these disruptive forces catalyse innovations and changes that are difficult or impossible to predict. Therefore, agility and flexibility should be prized characteristics – more so than traditional focus on stability, reliability and security. Not that the latter are not important, but they should not be prioritised over the agility because without it, the benefits will be elusive.

One of Gartner’s new predictions says that through 2017, the number of citizen data scientists will grow five times faster than the number of highly skilled data scientists.

Extracting value out of data is not a trivial task, and one of the key elements of any such “making sense out of data” programme is the people, who must have the right skills. Data scientists are not traditional business analysts, they are professionals with the rare capability to derive mathematical models from data to reap clear and hard-hitting business benefits. They need to network well across different business units and work at the intersection of business goals, constraints, processes, available data and analytical possibilities.

Lots of our most advanced clients are experimenting with the notions of chief data officers (CDOs) or chief analytics officers (CAOs). Sometimes the CDO/CAO will directly command a (virtual) data science lab. We think that those labs must be orchestrated virtually, with the (citizen) data scientists distributed throughout the organisation

Beschreibung der Organisationsform: Eine Hybrid Cloud ist kein eigener Cloud-Typ, sondern bezeichnet Szenarien für jede Art von Kopplung zwischen traditioneller IT, Private Clouds und Public Clouds. Die Gesamtverantwortung verbleibt beim Kunden, die IT-Betriebsverantwortung wird geteilt: Sie liegt beim jeweiligen IT-Betriebsverantwortlichen. Die Herausforderung dieses Modells liegt in der Security und Service-Integration der verschiedenen Cloud-Typen. Zugriff: Für den Teil der Private Cloud: Sicherer Zugang mittels VPN; nur für den Kunden selbst, autorisierte Geschäftspartner, Kunden und Lieferanten. Für den Teil der Public Cloud: Mittels Browser über das Internet oder via VPN bei einer Virtual Private Cloud. Service Level Agreements: Kombination aus individuell (Private Cloud) und Standard (Public Cloud). Sourcing Optionen: Der Teil der Private Cloud kann vom Kunden selbst oder von einem Dienstleister (der i. d. R. nicht gleichzeitig Provider der Public Cloud ist) betrieben werden. Damit sind prinzipiell alle Sourcing-Optionen möglich. Der Teil der Public Cloud ist outsourced.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Die Service-Ebene IaaS ist im Rahmen von Cloud-Computing die Bereitstellung einer skalierbaren IT-Infrastruktur auf nicht eindeutig zugeordneten IT-Ressourcen über Netzwerk. Dieses Geschäftsmodell sieht eine Nutzung von Rechnerinfrastruktur nach Bedarf vor und bildet einen Gegenentwurf zum klassischen Erwerb. Die IT-Leistungen der Basisinfrastruktur stellen das Tätigkeitsfeld der Spezialisten für den IT-Betrieb sowie der IT-Dienstleister dar. Auf technologischer Ebene wird hier im Wesentlichen wenig veredelte Rechen und Speicherleistung auf virtualisierten Servern sowie Netzwerkinfrastruktur-Funktionalität mit hohem Standardisierungsgrad und intelligentem System-Management als Service bereitgestellt.

Eckpunkte für sicheres Cloud-Computing. BITKOM

All three have become expected aspects of how BI and analytics projects are delivered. A key focus at this year’s Summit will be cloud and its impact because virtually every new BI and analytics offering that hits the market will be designed to work in the cloud first. The growth of cloud-based business applications will only accelerate this trend.

Die Normierung der Cloud hinsichtlich Interoperabilität und Integration ist derzeit Gegenstand politischer Initiativen auf nationaler und europäischer Ebene. Auch die Industrie und die Verbände versuchen, einheitliche Standards auf dem Markt zu etablieren. Mit Ausnahme von Webservices und der universellen Auszeichnungssprache XML haben sich bisher noch keine Standards auf breiter Linie durchgesetzt. Deshalb muss für jeden einzelnen Geschäftsprozess geklärt werden, welche Cloud Services integrierbar sind. Die nachstehenden Kontrollfragen unterstützen den Verantwortlichen bei der erforderlichen Prüfung der Integrationsmöglichkeit von Cloud-Service-Angeboten in die vorhandene IT-Infrastruktur. Die Kontrollfragen. Ist es möglich, die Daten lokal zu speichern bzw. sichern und in welchem Format liegen sie dann vor? Welcher Aufwand und welche Kosten entstehen bei der Anfertigung von Sicherheitskopien aller Daten (Abzug)? Der Nutzer betreibt lokal installierte Anwendungen wie z. B. CRM, Mailsystem, Warenwirtschaftsprogramm etc. Können die Daten dieser Anwendungen in der Cloud verarbeitet werden und welche Prozesse/Schritte sind einmalig oder laufend dazu notwendig? Der Kunde nutzt Internet-basierte Anwendungen wie z. B. CRM, Mailsystem, Warenwirtschaftsprogramm etc. Können die Daten dieser Anwendungen in der neuen Cloud-Anwendung verarbeitet werden und welche Prozesse/Schritte sind einmalig oder kontinuierlich dazu notwendig?

Eckpunkte für sicheres Cloud-Computing. BITKOM

ISO/IEC 27000 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement): Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge (Tools) und Ressourcen (z.B. Menschen, Anlagen), die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil.

Beide Standards befassen sich mit Managementsystemen. ISO/IEC 27000 spezifiziert (in ISO/IEC 27001) Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält.

Es handelt sich um einen Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektrotechnisches Komitee) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27000 sind die Festlegung einer einheitlichen Terminologie und die Definition einheitlicher (standardisierter) Kriterien, nach denen Organisationen hinsichtlich einer umfassenden und effektiven Verwaltung und Steuerung ihrer Aktivitäten zur Gewährleistung der Informationssicherheit bewertet (auditiert) werden können.

ISO/IEC 27000 ist eine Reihe von Dokumenten, die sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement befassen. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Hier werden zum einen die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) beschrieben (Kapitel 4 bis 8), zum anderen werden in einer tabellarischen Darstellung über 130 Sicherheitsmaßnahmen (die sogenannten Controls) beschrieben (Anhang A). Das zweite Haupt-Dokument, ISO/IEC 27002 trägt den Beinamen „Code of Practice“ und enthält auf 138 Seiten Umsetzungshinweise (implementation guidance) für die in ISO/IEC 27001 beschriebenen Controls.

Unbedingt. Die IT-Sicherheit als Teil der operationellen Risiken gehört in das Risikomanagement Framework eingebettet und als Prozess gelebt. Dabei müssen, wie im gesamten Risikomanagement, die Schnittstellen zu den Geschäftsprozessen identifiziert werden. Was eine integrierte IT-Sicherheit sowie Identity & Access Management zur Folge hat. Dann ist die IT «Mittel zum Zweck», d.h. die IT hat die Geschäftsprozesse zu unterstützen resp. die IT bildet die Produktionsstrasse des modernen Unternehmens. Daher muss eine Verschmelzung erfolgen.

Der veränderte Sicht auf die Bedeutung und der Umgang mit den Technologie-näheren Ebenen der IT-Systeme bietet viele neue Chancen, deren Nutzen verstärkt werden kann. Wichtig sind in diesem Zusammenhang: die Reduktion der In-house-Komplexität zur Gewinnung von Flexibilität, Geschwindigkeit und Kostenvorteilen durch stufenweise Modularisierung, das Prinzip der Kapselung aus dem Informations-Management zur Reduktion der Komplexität bei gleichzeitiger Wahrung der Integrierbarkeit der Daten und Arbeitsabläufe, z. B. durch Service-orientierte Architekturen (SOA), die Einführung und Nutzung von Standard-Software zur Reduktion der Entwicklungs- und Wartungskosten bzw. Einführungs- und Integrationsaufwände, die Integration oder enge Kopplung der eigenen Geschäftsprozesse mit denen anderer Geschäftspartner auf eine Cloud-Computing-Plattform ohne Lock-in in das Geschäftspartner-Netzwerk und ohne hohe Investitionskosten und langfristige Bindungen.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Aufgrund des weiter anhaltenden Ausbaus großer Rechenkapazitäten kann davon ausgegangen werden, dass die Preise für Rechenzeit weiterhin abnehmen werden. Im Bereich der Übertragungskapazitäten ist eine Abschätzung schwieriger, jedoch wird man zumindest von einem konstanten Preis-/Leistungsverhältnis ausgehen können. Diesen langfristigen Kostenvorteilen durch Cloud-Computing sind Kosten z. B. für die Provider-Auswahl und die Einführung gegenzurechnen. Es entstehen weitere Kosten für Schulungsmaßnahmen aber auch – abhängig vom Umfang der Cloud-Nutzung – für ein regelmäßiges Monitoring des Cloud Service Providers. Die Kostenarten: Auswahl des Providers; Kosten der Lieferantenauswahl und -bewertung (meist Einmalkosten), Kosten für Vertragsgestaltung und rechtsanwaltliche Beratung.
Einführungsprojektkosten; Aufwand für die Datenübernahme in das System des Cloud Service Providers, Reorganisation von Arbeitsabläufen und Organisation, Kosten für Maßnahmen zur Kontrolle und Überwachung des Cloud Service Providers, projektspezifische Aufwände für die Integration zu verbleibenden On-Premise-Systemen. Datenvolumina; ggfs. Ausbau der externen Netzwerkanbindung für höhere Datenvolumina und redundanten Zugang. Schulung; Kosten für Mitarbeiterschulung. Monitoring und SLA-Kontrolle; Aufwände, die für das Monitoring und die SLA-Überwachung anfallen.
Einfluss laufender IT-Projekte; die Einführung von Cloud-Services wird in der Regel die laufenden IT-Projekte beeinflussen es können Integrationskosten zu On-Premise-Lösungen entstehen, die projektspezifisch zu schätzen sind.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Fakt ist: Nur die Unternehmen können mit Outsourcing in die Wolke Geld sparen, wenn sie auch zum Geschäftsmodell passt. Oft glauben Firmen, dass sie nun um Kosten für Infrastruktur-Maintenance herumkommen. Stimmt, aber ganz so einfach ist es natürlich nicht. Denn natürlich fallen auch Kosten an, wenn die Performance-Level nicht erreicht werden, die man bräuchte, wenn die angestrebte Kapazität nicht verfügbar ist oder im schlimmsten Fall gar dank Downtime unsicher ist. Entscheider sollten sich zudem bewusst sein: Zwar ist die IT-Nutzung flexibel – aber die Verträge sind es nicht. Braucht man plötzlich mehr oder weniger Volumina, kann es passieren, dass einen Anbieter nicht aus dem Vertrag lassen. Firmen, bei denen die IT Business-kritisch ist, sollten vielleicht auf die Cloud verzichten oder einen Anbieter werden, der traditionelles Hosting mit Cloud verbindet.

Die Cloud kan vor allem für kleine Büros & Agenturen eine optimale Lösung sein. Sie arbeiten stets mit den aktuellsten Software-Versionen, verfügen über eine hohe Integrität Ihrer Daten, können bei Bedarf zusätzliche Ressourcen zeitlich exakt terminiert hinzubuchen und vieles mehr.

Hier sehen wir das gesamte Feld von Consumerization und Sef Service, rund um die Uhr, rund um den Globus. Vergleichen wir es mit einem Auto: Das eigene Auto ist die eigene IT-Umgebung. Das Mietauto das klassische IT-Outsourcing. Aber Cloud Computing ist wie ein Taxi-Service. Man nutzt es bei Bedarf, zahlt eine bestimmte Leistung und muss nichts mehr bezahlen, wenn man aussteigt, also aufhört, es zu benutzen.

Der größte Vorteil des Cloud Computing ist die große Flexibilität. Das beginnt bei der betriebswirtschaftlichen Seite: Statt große Beträge in die Anschaffung eigener IT-Ausstattung zu investieren, die über viele Jahre den wechselnden Anforderungen genügen muss, kann flexibel Kapazität eingekauft werden. Damit lassen sich Investitionskosten in Betriebskosten umwandeln: Die genutzte Kapazität lässt sich kurzfristig variabel an den tatsächlichen Bedarf anpassen und bezahlt wird nur, was auch verbraucht wird. Ein weiterer Vorteil von Cloud Computing: Software-Updates werden zentral vom Anbieter erledigt. Den Mitarbeitern der Kunden stehen die aktuellen Versionen ohne großen Zeitabstand zur Verfügung.

Ja, dies ist grundsätzlich möglich. Entscheidend ist hierbei, ob Ihr Cloud-Anbieter die Zugangsoberfläche im Web oder als App bereitstellt. Wenn dem so ist, ist Ihr Zugang jederzeit von einem mobilen Endgerät aus möglich. Achten Sie dabei jedoch darauf, dass Ihr Smartphone über eine ausreichend schnelle Anbindung verfügt. Sonst warten Sie bei der Dateiübertragung sehr lange.

Unternehmen stellen heute besondere Ansprüche an die IT. Diese muss dem Unternehmen Marktchancen eröffnen, gleichzeitig aber auch sicher und zuverlässig sein. IT bzw. IT-Services müssen demnach folgende Eigenschaften besitzen: funktionell, schnell, skalierbar, flexibel, sicher, zuverlässig, hochverfügbar, kostengünstig, effizient und transparent. Cloud Computing, als echte Sourcing-Alternative, verspricht eine Antwort auf die Anforderungen, die das Business heute an IT stellt. Die Hebelwirkungen sind: Skalierbarkeit, Flexibilität und Agilität, Kürzere Implementierungszeiten / schnellere Realisierung, Reduktion von Komplexität und Administration, Reduktion der IT-Ausgaben, Verbesserung der Performance und Verfügbarkeit.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Einer der kommunizierten Vorteile von Cloud-Computing ist das Versprechen, günstiger zu sein als herkömmliches Computing. Bei dieser Betrachtung der ökonomischen Vorteile der Cloud werden einige der grundlegenden Faktoren besprochen, die Cloud-Computing billiger machen; sowohl von der Lieferantenseite her als auch von der Consumer-Seite.

Die Service-Ebene PaaS ist im Rahmen von Cloud-Computing die Bereitstellung von gemeinsam nutzbaren Laufzeit- oder Entwicklungsplattformen auf nicht eindeutig zugeordneten IT-Ressourcen über Netzwerk. Dieses Geschäftsmodell stellt eine integrierte Laufzeit- und ggf. auch Entwicklungsumgebung als Dienst zur Verfügung, der dem Anwender gegenüber nach Nutzung abgerechnet wird. Mit den Cloud-Services der Ebene PaaS befassen sich System-Architekten und Anwendungsentwickler. PaaS beschreibt Services auf der Anwendungs-Infrastruktur-Ebene (Datenbanken, -Integration und Security), die auf Basis von technischen Frameworks, also Entwicklungs-Plattformen, angeboten werden. Mit ihnen lassen sich Anwendungskomponenten entwickeln und Plattform übergreifend integrieren.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Beschreibung der Organisationsform: Private Cloud bezeichnet die Bereitstellung von Cloud-Computing-Leistungen nur für vorab definierte Nutzer. Private Clouds sind nicht öffentlich. Management und Betrieb werden innerhalb eines Unternehmens oder einer gemeinsamen Organisation abgewickelt. Der Zugang ist beschränkt auf von dem Betreiber autorisierte Personen und erfolgt in der Regel über ein Intranet beziehungsweise ein Virtual Private Network (VPN). Private Clouds bieten also eine nach Cloud-Design-Kriterien erstellte effiziente, standardisierte, virtualisierte und sichere IT-Betriebsumgebung unter Kontrolle des Kunden (innerhalb der Kunden-Firewall). Private Clouds erlauben individuelle Anpassungen und können z. B. die Sicherheits- und Compliance-Nachteile von Public Clouds kompensieren, erreichen aber nicht deren Skaleneffekte. Zugriff: Sicherer Zugang mittels VPN auf alle drei Service-Ebenen für einen eingeschränkten Nutzerkreis: i. d. R. nur für den Eigentümer der Private Cloud selbst, autorisierte Geschäftspartner, Kunden und Lieferanten.? Service Level Agreements: kundenspezifisch frei definierbar. Sourcing Optionen: Private Clouds werden i. d. R. vom Kunden selbst oder nach seinen Vorgaben von einem externen Dienstleister betrieben. Damit sind für Private Clouds alle Sourcing-Optionen möglich.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Private Clouds oder hochautomatisierte, virtualisierte und selbst verwaltete, interne Rechenzentren sind für manche Unternehmen möglicherweise die ideale Lösung. Sie bringen einige der Skaleneffekte, die auch die öffentliche Cloud zu bieten hat, wenn auch in weit geringerem Umfang. Gleichzeitig ist der Betreiber des Rechenzentrums in der Lage, individuelle Sicherheits-, Performance- oder Compliance-Anforderungen zu erfüllen, die durch eine öffentliche Cloud nicht immer erfüllt werden können. Es ist jedoch nur schwer möglich, eine Private Cloud-Umgebung kostengünstiger zu betreiben, als dies in einer Public Cloud möglich wäre.

Dahinter verbirgt sich letztlich die Frage wie man unterschiedliche SaaS-Angebote verknüpfen kann und was der Kunde letztendlich einkaufen möchte. Durch den mit Cloud Computing verbundenen Paradigmenwechsel stellen sich immer mehr Menschen die Frage ob sie wirklich eine bestimmte Software bzw. Anwendung benötigen oder vielleicht doch vielmehr eine Lösung (d.h. einen Service) für einen bestimmten Geschäftsprozess. Die Prozessgrenzen und die Anwendungsgrenzen können sich da durchaus unterscheiden.

Dieselbe im privaten genutzten Funktionen und Arbeitsweisen erwarten Mitarbeiter auch von der Unternehmens-IT. Diese gerät hierdurch zunehmend unter Druck unterschiedliche Cloud-Services in immer kürzerer Zeit den Unternehmensbereichen bereitstellen zu müssen. Erfolgt die gewünschte Bereitstellung nicht oder nur unzureichend, so umgehen einzelne Mitarbeiter oder auch ganze Fachabteilungen die interne IT, beschaffen sich diese Cloud-Services direkt und nutzen sie in der täglichen Arbeit. Ausgehend von dem Trend bzw. Wunsch IT schnell und einfach nutzen zu können, entsteht eine „Schatten-IT“ ohne Berücksichtigung vorhandener Sicherheits- und Compliance-Vorgaben und ohne eine feste Einbindung in Unternehmensprozesse. Diese Herausforderungen vor Augen, stellen sich einige Unternehmen die Frage, ob es nicht sinnvoller sei, eine Private Cloud (im eigenen Rechenzentrum) zu betreiben, bevor sie den Schritt wagen und auf bestehende Public Cloud-Services zurückgreifen.

Beschreibung der Organisationsform: Sie stellt eine Auswahl von hochstandardisierten skalierbaren Geschäftsprozessen, Anwendungen und/oder Infrastruktur-Services auf einer variablen »pay per use«-Basis grundsätzlich für jedermann gleichzeitig (Multimandantenfähigkeit) zur Verfügung. Die Nutzer sind organisatorisch nicht verbunden. Die Public Cloud zielt auf Skaleneffekte und Consumerisation of IT. Die Nutzer teilen sich die zugrunde liegende Infrastruktur. Eine Lokalisierung der Ressourcen ist in der Regel nicht gegeben. Eigentümer und Betreiber einer Public Cloud ist meist ein IT-Dienstleister. Zugriff: Mittels Browser über das Internet auf IaaS-, PaaS- und SaaS-Services. Service Level Agreements: Standard (in der Regel nicht individuell anpassbar). Sourcing Optionen: outsourced.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Wo sind die Daten gespeichert?“, „Wie sind die Datenschutzanforderungen umgesetzt?“ oder „Können Daten nach Beendigung der Nutzung wieder vollständig verfügbar gemacht werden?“.

Es gibt viele Möglichkeiten öffentliche und private Bereiche in Hybridkonzepten zu verbinden. Hinter dem Begriff Community Cloud verbergen sich z.B. Konstrukte bei denen mehrere Unternehmen Teile ihrer IT-Systeme zu einer gemeinsamen Cloud verbinden um dann in den genannten Bereichen besser kooperieren zu können. Diese Ansätze sind z.T. bereits unter dem Namen Grid Computing seit Jahren etabliert.

Das größte Risikoliegt in der Kombination von Technologien und Einzellösungen die nicht aufeinander abgestimmt sind. Grundsätzlich gibt es für alles eine Lösung. Man sollte aber zum einen wissen was man tut und zum anderen, was man miteinander erfolgreich kombinieren kann. Die Frage ist, ob diese Lösungen dann praktisch nutzbar sind und wie man sie umsetzt. Ein Beispiel ist hier das Zusammenspiel von e-Identity-Services und der Nutzerauthentifizierung an Cloud-Services. Im Projekt SkIDentity arbeitet das Fraunhofer IAO mit verschiedenen Partnern daran, diese zwei Welten auch praktisch miteinander in Einklang zu bringen. Darüber hinaus liegt natürlich ein großes Risiko in der Ausgestaltung der Nutzungsvereinbarung, d.h. in der rechtlichen Absicherung. Auch hier gilt: es gibt für alles eine Lösung, aber man benötigt definitiv Experten, die sich intensiv damit befassen.

Die Service-Ebene SaaS ist im Rahmen von Cloud-Computing die Bereitstellung von gemeinsam nutzbarer Software auf nicht eindeutig zugeordneten IT-Ressourcen über Netzwerk. Unter SaaS versteht man ein Geschäftsmodell mit der Philosophie, Software als laufende Leistung basierend auf Internettechniken bereitzustellen, zu betreuen und zu betreiben, die in der Regel pro Aufruf abgerechnet wird und die Software nicht länger als Lizenz an einen Nutzer zu verkaufen. SaaS richtet sich an Anwender. Geschäftsanwendungen werden als standardisierte Services von einem Dienstleister bereitgestellt. Dabei sind ihre Anpassungs- und Integrationsmöglichkeiten oft eingeschränkt. Desktop-, Kollaborations- und Kommunikations-Anwendungen sowie industriespezifische Geschäftsabläufe, die vollständig von der Technologie abstrahiert sind, fallen in diesen Bereich.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Grundsätzlich können drei verschiedene Kategorien von Servicemodellen unterschieden werden:

1. Infrastructure as a Service (IaaS)
2. Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kunde z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen.
3. Platform as a Service (PaaS)
4. Ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der CSP in der Regel eigene Werkzeuge anbietet.
5. Software as a Service (SaaS)
6. Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt.

Der Begriff “as a Service” wird noch für eine Vielzahl weiterer Angebote benutzt, wie z. B. für Security as a Service, BP as a Service (Business Process), Storage as a Service, so dass häufig auch von “XaaS” geredet wird, also “irgendwas als Dienstleistung“. Dabei lassen sich die meisten dieser Angebote zumindest grob einer der obigen Kategorien zuordnen.

Die Servicemodelle unterscheiden sich auch im Einfluss des Kunden auf die Sicherheit der angebotenen Dienste. Bei IaaS hat der Kunde die volle Kontrolle über das IT-System vom Betriebssystem aufwärts, da alles innerhalb seines Verantwortungsbereichs betrieben wird, bei PaaS hat er nur noch Kontrolle über seine Anwendungen, die auf der Plattform laufen, und bei SaaS übergibt er praktisch die ganze Kontrolle an den CSP.

Der Cloud-Nutzer muss die IT-Technik in den eigenen Räumen vor unbefugten Zugriff schützen. Dazu sind die in nachstehend zusammengestellten Mindestanforderungen zu erfüllen. Bei ihrer Realisierung kann der Cloud-Nutzer vom CSP unterstützt werden. Mindestanforderungen: Rollenbasierte Zutrittskontrolle, Zwei-Faktor-Authentifizierung, Brandschutz, Kontrolle der Service-Dienstleister, Weiterbildung in IT-Sicherheit, Schulung zu Social Engineering, Kontrolle und Schulung von Awareness, Notfallplan, Auswertung der Dokumentation der letzten Notfallübungen, Sicherheitskonzept, Periodische Sicherheitsprüfungen.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Das Sicherheitsrisiko beim Cloud Computing ist nicht weg zu leugnen, ist aber durchaus mit der Bedrohung für unternehmensinterne IT-Lösungen zu vergleichen. Jedes Computersystem mit Anbindung zum Internet ist potenziell Angriffen ausgesetzt. Viel entscheidender als diese allgemeine Bedrohung ist allerdings die Frage, wie Cloud Computing-Anbieter selbst mit den Kundendaten umgehen. Wenn Unternehmen kritische Informationen sozusagen in fremde Hände geben, spielt Vertrauenswürdigkeit eine entscheidende Rolle. Nicht zuletzt müssen rechtliche Rahmenbedingungen beachtet werden. Insbesondere bei der Verarbeitung personenbezogener Daten setzen sie einer möglichen Cloud-Lösung enge Grenzen.

Hinsichtlich der Sicherheit kommen bei vielen Cloud-Anbietern verschiedene Dienste zum Einsatz. Gute Cloud-Anbieter verschlüsseln nicht nur die Daten auf deren Servern, sondern auch bereits während der Übertragung. Dadurch sind sie besonders geschützt. Bevorzugt kommt hierbei ein Verschlüsselungsalgorithmus wie AES zum Einsatz.

Die Abrechnung von Cloud-Services erfolgt nutzungsabhängig, da nur tatsächlich genutzte Dienste bezahlt werden müssen. Cloud-Computing transformiert die Ökonomik weg von Kapital-intensiven Investitionen hin zu einem “pay-as-you-go“ Service Level Agreement, welches dem Nutzer jeweils soviel Kapazitäten garantiert, wie er in einem bestimmten Moment gerade benötigt.

Woher bezieht der Rechenzentrumsbetreiber seinen Strom?

Last year’s conference was very much focused on creating a very innovative, data driven business model (transparent, decisive, and personalized). We painted a picture of a digital business, and the advanced analytical capabilities it would require. This year’s theme discusses how to cross the analytical divide to achieve this vision to create a more data driven company, but to do it in a way that doesn’t abandon the old ways.

Organisations are being told they need to invest in all this cool, innovative technology, such as predictive, content, and real time analytics; however, they still need to deliver the traditional management reports and dashboards that run the company. So the theme, “Crossing the Analytical Divide, is very much from the perspective of the analytics leader who needs to deliver on an innovative vision, while keeping the day to day analytic operations up and running. It’s not an easy task.

Mobile devices are seeing a rapid growth in malware attacks. Frequently used techniques are repackaging legitimate apps into malicious ones and apps that act as a man-in-the-mobile. However, those attacks are specifically targeting consumer apps that have transactional value.

In the last few months we have also witnessed the development of mobile attacks that can be applied across the enterprise, are more realistic, can be exploited remotely and can do greater damage. However, we have yet to see these attacks translate into actual damages for organizations.

IT leaders and CISOs should take some basic precautions to minimize the risks of mobile malware:

Require basic enterprise security policies. Define device passcodes including length and complexity as well as retry and timeout standards.
Specify the minimum and maximum versions allowed of platforms and OSs. Disallow models that cannot be updated or supported.
Ban jailbreaking and rooting, and restrict the use of unapproved third-party app stores. Require apps to be signed.
Organizations’ emphasis should remain on preventing data leakage through physical loss or leaky apps.

Mr. Zumerle will further discuss security and privacy aspects for mobile devices at the Gartner Security & Risk Management Summit 2015, September 14-15 in London, U.K.

Cloud-Computing ist eine strategische Option, die Unternehmen viel Potenzial bietet. Deren Realisierung kann durch begleitende Strategien und Maßnahmen verstärkt werden. Cloud-Computing ermöglicht zudem eine Fokussierung auf die eigenen wertschöpfenden Prozesse in den Unternehmen. Gleichzeitig erhöht sich die unternehmerische Flexibilität. Die Notwendigkeit entfällt, ein eigenes Technologie-Portfolio für IT vorzuhalten. Der Nutzen kann verstärkt werden, wenn Strukturen zur strategischen und operativen Steuerung des Cloud.Computing frühzeitig im Rahmen einer proaktiven Pilotierung und begleitet von einer kommunizierten IT-Cloud-Computing-Strategie entwickelt werden. Wesentliche zusätzliche Vorteile können aus einem übergreifenden Architektur-Management, einer angepassten Governance sowie einem strategischen und operativen funktionalen Anforderungs-Management gezogen werden.

Eckpunkte für sicheres Cloud-Computing. BITKOM

NIST unterscheidet vier Bereitstellungsmodelle (Deployment Models):

1. In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen.
2. Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden.
3. In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden.
4. Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt.

Die oben genannten Definitionen decken aber nicht alle Varianten von Cloud-Angeboten ab, was zu weiteren Definitionen wie „Virtual Private Cloud“, etc. führt.

Beschreibung der Organisationsform: Ist ein Spezialfall der Public Cloud. In einer Virtual Private Cloud wird dem Nutzer eine durch geeignete Sicherheitsmechanismen abgeschottete und individualisierte IT-Umgebung zur Verfügung gestellt. In der Virtual Private Cloud kann der Nutzer damit über eine quasiindividuelle Betriebsumgebung verfügen, die über ein Virtual Private Network (VPN) mit seiner IT verbunden ist. Zugriff: Mittels Browser über Intranet (sichere VPN-Verbindung) auf IaaS-, PaaS- und SaaS-Services. Service Level Agreements: in Grenzen individuell anpassbar. Sourcing Optionen: otsourced.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Ein Ansatz sind Mischlösungen: Bestimmte Bereiche der IT können durchaus zu externen Anbietern ausgelagert werden, beispielsweise Anwenderprogramme im Bereich Kundenmanagement als Software as a Service (SaaS). Eine andere Strategie ist der Aufbau einer “Private Cloud“ in der Unternehmens-IT, ein Prinzip, das auf dem Konzept der Virtualisierung aufsetzt. Dabei teilen sich die Mitarbeiter IT-Kapazität auf zentralen Servern, die sich dynamisch am aktuellen, individuellen Bedarf ausrichtet. Dies ermöglicht die optimale Auslastung des Systems, was nicht nur die Anschaffungskosten gering hält, sondern auch die laufenden Ausgaben senkt. Viele Server in Unternehmensrechenzentren laufen heute mit einer Auslastung von weniger als 15 Prozent. Mit Virtualisierung und Einsatz der “Private Cloud“ kann eine Auslastungssteigerung auf bis zu 85 Prozent erreicht werden – mit entsprechenden Einsparungen bei Beschaffung und Betrieb, zum Beispiel bei den Energiekosten.

Es gibt einige wesentliche Vorteile der Cloud. Zu den offensichtlichen zählen die Einsparpotenziale, die sich durch die Nutzung von Skaleneffekten im IT-Betrieb und durch das pay-per-use Geschäftsmodell ergeben. Daneben kommt noch ein ganz wesentlicher Aspekt zum Tragen, nämlich der Komfort-Faktor. In der Cloud kümmern sich andere um den Betrieb, die Wartung und Pflege von IT-Systemen und Software. Das heißt im Klartext, dass der Stress mit Installation, Updates, Upgrades und Patches der Vergangenheit angehört. Ein weniger offensichtlicher aber nicht minder wichtiger Punkt ist dann noch, dass man in der Cloud Dinge realisieren kann die vorher nicht möglich waren. Ein prominentes Beispiel ist die New York Times. Dort sollten zigtausende von bereits elektronisch vorhandenen Archivartikeln ins PDF-Format konvertiert werden um Sie online bereitstellen zu können. Dem sechs-stelligen Kostenvoranschlag der IT mit einer monatelangen Realisierungsphase stand am Ende eine sehr pragmatische Cloud-Lösung gegenüber, bei der innerhalb von 24 Stunden für einen Betrag von nur ca. 100,- $ die komplette Aufgabe erledigt war. Gerade wenn es um kurzfristige schnelle Realisierungen geht kann die Cloud völlig neue Perspektiven eröffnen.

Der Einsatz von Cloud Computing bringt jedem Unternehmen Vorteile, und zwar unabhängig von seiner Größe. Es gibt mittlerweile ein großes Angebot unterschiedlichster Lösungen. Firmen können ihre Pläne schnell und ohne große Investitionen umsetzen und dadurch Kosten und Risiken reduzieren. Die Hauptvorteile im Überblick: Service ist komplett virtuell: Die Anwender sehen nur die virtuellen IT-Ressourcen, nicht aber die dahinter stehende Infrastruktur. Der Betreiber kann seinen Serverpark deshalb optimal an die Bedürfnisse seiner Kunden anpassen und ihnen niedrige Preise anbieten. Wer riesige Rechenleistung braucht, spart sich durch die virtuelle Infrastruktur einiges an den sonst fälligen Strom- und Kühlungskosten.Viele Mandanten parallel: Einzelne Hardware- und Software-Komponenten stehen vielen Kunden gleichzeitig zur Verfügung. Der Anbieter kann sie bestmöglich auslasten und den Kostenvorteil an die Kunden weitergeben. Bezahlung nach Verbrauch: Unternehmen zahlen dem Cloud-Computing-Anbieter nur die Leistung, die sie in Anspruch genommen haben. Den Verbrauch können sie dabei je nach Bedarf anpassen und schnell auf Geschäftsanforderungen reagieren. Flexibel: Unternehmen können die Cloud-Ressourcen jederzeit konfigurieren und den Leistungsumfang der IT-Dienstleistung damit dynamisch anpassen. Elastizität: Cloud-Computing-Lösungen passen sich hohen Auslastungs-Schwankungen ohne Verzögerung an. Herkömmliche Hosting-Angebote haben hier das Nachsehen, denn es dauert deutlich länger, sie neu zu konfigurieren. Außerdem können Hosting-Plattformen zu einem bestimmten Zeitpunkt nur eine begrenzte Menge an Ressourcen bereitstellen.

Digitale Transformation bedeutet, den Nutzer so zu bedienen, wie er es möchte – das umfasst auch das Gerät seiner Wahl und damit eine Mobilitätsstrategie. Diese erfordert die Nutzung von Apps, in denen sensible Daten bereitgestellt werden. Die Ausführung findet dabei auf dem Privateigentum des Kunden statt, dem Smartphone. Der Sicherheitszustand privater Smartphones lässt sich jedoch nicht einschätzen. Das Risiko, dass das Smartphone und seine Apps zum Einfallstor für Cyber-Angriffe werden, ist demnach nicht abschätzbar. Unternehmen müssen ihre Apps daher als “Security-Endpoint” verstehen und diese absichern. Hier kommen Lösungen zur App-Härtung ins Spiel. Dabei handelt es sich um Softwaremodule, die von den App-Entwicklern in die App eingebaut werden und eine Vielzahl von Sicherheitsfunktionen bereitstellen. So geschützte Apps können sich selbstständig “verteidigen” und schützen sich proaktiv vor Malware, Trojanern und Hacker- Angriffen. Damit lassen sich die Daten der Kunden und Unternehmen mit viel höherer Sicherheit in der App verarbeiten und lagern und können nicht von Dritten abgezogen oder manipuliert werden. Der Einsatz von App-Härtung ist daher ein wichtiger Baustein in einem Sicherheits-Gesamtkonzept, um eine vollständige “360 Grad-Sicherheit” zu ermöglichen. Ziel sind sichere Apps, die den Best-Practice Empfehlungen der Behörden und Sicherheitsexperten folgen.

Bisher konnte sich für den Begriff Cloud-Computing keine Definition als allgemeingültig durchsetzen. In Publikationen oder Vorträgen werden häufig Definitionen verwendet, die sich zwar meist ähneln, aber die doch immer wieder variieren. Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology), die auch von der ENISA (European Network and Information Security Agency) genutzt wird:

“Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.”
Folgende fünf Eigenschaften charakterisieren gemäß der NIST-Definition einen Cloud Service:

1. On-demand Self Service: Die Provisionierung der Ressourcen (z. B. Rechenleistung, Storage) läuft automatisch ohne Interaktion mit dem Service Provider ab.
2. Broad Network Access: Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden.
3. Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie können aber vertraglich den Speicherort, also z. B. Region, Land oder Rechenzentrum, festlegen.
4. Rapid Elasticity: Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein.
5. 5.Measured Services: Die Ressourcennutzung kann gemessen und überwacht werden und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden.

Diese Definition gibt die Vision von Cloud-Computing wieder, wobei davon abgesehen werden sollte, die einzelnen Punkte zu dogmatisch zu sehen. So wird z. B. eine ubiquitäre Verfügbarkeit bei Private Clouds eventuell gar nicht angestrebt.

Nach der Cloud Security Alliance (CSA) hat Cloud-Computing neben der oben erwähnten Elastizität und dem Self Service noch folgende Eigenschaften:

• Service orientierte Architektur (SOA) ist eine der Grundvoraussetzungen für Cloud Computing. Die Cloud-Dienste werden in der Regel über ein sogenanntes REST-API angeboten.
• In einer Cloud-Umgebung teilen sich viele Anwender gemeinsame Ressourcen, die deshalb mandantenfähig sein muss.
• Es werden nur die Ressourcen bezahlt, die auch tatsächlich in Anspruch genommen wurden (Pay per Use Model), wobei es auch Flatrate-Modelle geben kann.

Clouds übernehmen so gut wie jede Aufgabe. Je nach gewählter Ebene (IaaS, PaaS oder SaaS) können Unternehmen ihre komplette IT-Infrastruktur auslagern oder nur ein spezielles Programm mieten. In letzterem Fall greift zum Beispiel “Software as a Service” (SaaS), mit dem sich Standard-Aufgaben wie E-Mail-Dienste oder VoIP-Telefonie virtualisieren lassen. Alle denkbaren Lösungen in der Cloud; es muss allerdings nicht nur die Kommunikations-Infrastruktur sein. Benötigen Unternehmen zum Beispiel eine Umgebung zur Softwareentwicklung oder eine Datenbank, können sie diese als PaaS (Platform as a Service) ebenfalls mieten. Es geht auch völlig ohne Hardware: Bei IaaS-Diensten (Infrastructure as a Service) verlagern Firmen ihre Anwendungen komplett ins virtuelle Rechenzentrum und haben dabei administrativen Zugriff auf die Ressourcen.

Unter Vorbehalt, dass Managen von Sicherheit, Legal und Compliance als Basis-Aufgaben eines jeden verantwortungsvollen IT-Governance verstanden wird – bringt Cloud keine Gefahren. Höchstens die, dass Unternehmen und Organisation diesen tiefgreifenden Wandel verpassen und so den Anschluss verlieren; an Ihre Kunden, an Mitbewerber und Märkte.

Cloud-Computing bedeutet in der Regel, dass Leistungen von Extern bezogen werden. Damit verbunden sind alle Risiken des Outsourcings: Abhängigkeit vom Anbieter, Kontrollverlust etc. Wenn der Anbieter im Ausland stationiert ist, können sich zusätzlich rechtliche und kulturbedingte Probleme ergeben.

1. Infrastruktur-Provider: Versorgung der Rollenträger in der gesamten Wertschöpfungskette mit den Rechen- und Speicherleistungen, die erforderlich sind, um Anwendungen in der Cloud betreiben zu können. Sie bieten das infrastrukturelle Rückgrat von Cloud-Computing.
2. Plattform-Provider: bieten ein Umfeld, in dem Cloud-Anwendungen bereitgestellt werden können. Sie fungieren als eine Art Kataloganbieter, die die Services verschiedener Diensteanbieter bündeln.
3. Software-Provider: Entwickeln und Betreiben von Software-Services, die auf Cloud-Computing-Plattformen angeboten werden und Zugang zu Hardware und Infrastruktur der Infrastruktur Provider ermöglichen. Sie bieten Mehrwert für die Unternehmenskunden und für die Provider von aggregierten Services.

Enterprise Cloud-Service Buyer. Der Enterprise Cloud-Service Buyer (Unternehmenskunde) ist der ultimative Käufer (Buyer) und Anwender (End User) von Cloud-Services. Cloud-Services werden vom Cloud-Service-Provider über ein Internet-Portal verfügbar gemacht und vom Unternehmenskunden im Self-Service provisioniert und über das Internet genutzt. Abgerechnet wird über ein Pay per Use Preismodell. Die Nutzer müssen IT-Ressourcen nicht mehr selber physisch anschaffen und betreiben, sondern beziehen Infrastruktur, Plattformen und Applikationen als  Services aus dem Internet. Cloud-Computing verändert die Preisgestaltung von IT-Services. Es bietet den Unternehmen die Möglichkeit, von einem Preismodell mit fixen IT-Kosten auf eines mit flexiblen Kosten, dem  „Pay-per-Use“ Modell zu wechseln. Dies ermöglicht es, die Capital Expenditures (CAPEX) in Operational Expenditures (OPEX) umzuwandeln. Dadurch werden Cloud Services attraktiver als IT Services aus eigener IT.

Nicht alle Anwendungen bzw. Informationen eignen sich für die öffentliche Cloud. Bei entsprechender Kritikalität der Daten und Funktionen werden nur interne Anbieter oder nur solche aus der Schweiz berücksichtigt. Externe Anbieter haben die geforderten Sicherheitsnachweise zu erbringen. Zusätzlich
werden fallweise spezifische technische Massnahmen ergriffen (z.B. Verschlüsselung).

Allem vorausgehend ist die gründliche Prüfung des Anbieters mit den wichtigen Fragen nach dem Standort der Datenlagerung, den SLA und nach welchen Standards er arbeitet. Eine sogenannte „lock-in“ Situation sollte wenn immer möglich vermieden, respektive eine Exit Strategie entworfen werden.

Es beginnt eine neue Wertschöpfung durch Virtualität dank moderner Informations- und Kommunikationstechnologie, Kompetenzbündelung und -Vernetzung; für Zeit- und Standortunabhängigkeit, Agilität, schnelles Markt-Going, Skaleneffekte etc.. Es wird eine Neudefinition von Marktregeln und
ein Redesign aller Geschäftsprozessen geben; das macht vor keiner Industrie halt und alle können davon profitieren.

Mit dem zielgerichteten Einsatz von Cloud-Diensten können wir Kosten sparen und Lösungen ohne grosse Vorinvestionen rasch und mit geringem Aufwand zum Einsatz bringen. Besonders interessant ist Cloud-Computing dort, wo kurzzeitig viel Rechenleistung benötigt wird.

Die wesentlichen Vorteile liegen sicherlich in der Skalierbarkeit, Flexibilität und der Standortunabhängigkeit. Schwer zu quantifizieren aber nicht zu unterschätzen ist der Vorteil, dass sich Organisationen auf ihr Kernbusiness fokussieren können.

Aus rechtlicher Sicht ist die erste und grundlegendste Frage, die sich bei Cloud-Computing stellt, jene nach dem anwendbaren Recht. Verschiedene Rechtsordnungen können nämlich mitunter sehr unterschiedliche Vorschriften zu den maßgeblichen Rechtsgebieten haben.

Zu den allgemeinen Wirtschaftlichkeitsfaktoren von Cloud-Computing gehören Faktoren, die den eigentlichen C131Kern des Cloud Computing ausmachen, wie z. B. die Abrechnungsform (Pay-per-use) oder die Form der Bedarfsdeckung. Für eine Wirtschaftlichkeitsbetrachtung müssen Cloud-utzer ihre Verbräuche und zukünftigen Bedarfe ermitteln. Die Faktoren sind: Economies of scale, Pay-per-use, Self-Provisioning, Elastizität, Time-to-Market, IT-Sicherheit und Datenschutz, Technologieexpertise, Downtime.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Cloud-Computing bedeutet Standardisierung in den Services, in den Applikationen und in den Prozessen. Aber geht auch eine „Standardisierung“ der Organisation damit einher? Benötigt Cloud Computing andere Organisationsstrukturen? Welchen Einfluss hat Cloud Computing auf die Organisation und Prozesse eines Unternehmens?

Cloud-Computing ist die gemeinsame Nutzung von virtualisierten IT-Ressourcen und bietet so eine effiziente und agile IT-Infrastruktur. Um besser zu verstehen, wie Cloud-Computing zustande kommt, wird die gesamte Wertschöpfungskette vom Infrastruktur-Provider bis zum Unternehmenskunden vorgestellt.

Putting the right team together. CIOs need to make sure there is a cross functional team of technical and business skills, and an organisational structure that serves both the centralised needs of the enterprise and the decentralised needs of local domains.

CIOs also must create a more realistic plan for technology standardisations, for example, logical data warehouse vs. enterprise data warehouse, data discovery as an augmentation to traditional BI and provision capabilities for the big data era.

Digital business requires new thinking. The resultant application strategies that will enable the transition will rely on four principles: 1) overturn assumptions, 2) bypass everything, 3) be open to serendipity, and 4) use adaptive technologies. You are going to have to accept some chaos and become more fluid in approaches to address the issues.

The future of the Web is reaching further into new areas of technology and business. These directions include mobility, programmability, social software, context-aware computing, cloud computing, and improved user experiences. One thing remains constant in the evolution of the web and that is its focus on standards. Often the real value in web technologies and approaches lies more in the standardization and ubiquity rather than specific capabilities. The next frontier in web technologies and standards is HTML5.

Much misunderstood, HTML5 is not one thing, but many and needs to be examined as such. Confusion reigns regarding the role of HTML5, especially in the mobile world. Despite the confusion and myths and misunderstanding, HTML5 will be a key component of mobile solutions but will not by itself deliver all the functionality. Organisations should not wait for HTML5 or delay implementations but should leverage appropriate components as applicable.

The reality is that the threats targeting mobile devices have not changed. There are still two main causes of data loss on mobile devices: physical device loss and misuse of apps.

What has changed is the severity of the consequences. Mobile devices are now storing and accessing more-sensitive data. In healthcare, for example, an increasing number of physicians are using tablets to process sensitive data about their patients. In finance, brokers are using their smartphones to exchange sensitive information. In these scenarios, a device that falls in the wrong hands and does not have adequate protection can be the source of a major data breach.

As for users’ misuse of apps, the problem is that the majority of apps are invasive. Many ask for permission to access the user’s contact list, personal information and location. In addition, many employees use personal file sharing apps with corporate documents. Few of these apps are truly malicious, but the vast majority do not offer enterprise-grade security and are frequently the subject of credential leaks and other security incidents. This “bad hygiene” results in a multitude of enterprise data breaches, most of which go unreported.

The overall amount of data and analytics is growing in every industry. CIOs need data science to extract nontrivial information. For example, it’s mission-critical to determine how to acquire new customers, do more cross-selling and predict demand and failures. Normal business intelligence and descriptive analytics, and even traditional software engineering, can’t handle those situations.

Advanced analytics can surpass human capability in coping with significant volumes of data, and dealing with highly complex digital business settings. Digital businesses have to adopt data science methods in more use cases, by driving the availability of sensor data, expanding bandwidth and reducing storage costs.

Datenschutz und -integrität sowie Datenzugriff und Schutz der vertraulichen Informationen sind schon beim klassischen IT-Betrieb sehr wichtige Themen und Funktionen. Umso wichtiger noch, wenn die IT und ihr Betrieb ausgelagert wird. Die Verantwortung dafür bleibt beim Auftraggeber. Also muss der Cloud-Provider die Verlässlichkeit, betriebliche Ausführung und das definierte Service-Level- und Security-Management gewährleisten – aber der Auftraggeber muss es kontrollieren.

Folgend Fragen und Antworten gilt es u.a. zu erarbeiten. Wie muss ein Cloud-Service gemanaged werden (Planung und Vorbereitung: Step by Step)? Welche Service Level (SLs) sind möglich und erforderlich? Wie werden diese verknüpft, um über mehrere, ggf. kaskadierte, Cloud-Services hinweg einen durchgängigen Business-Prozess bedienen und unterstützen zu können? Wie bereit ist unser Unternehmen, unsere Organisation und unsere Struktur für die Cloud (bspw. ein Cloud Readiness Check)? Wie sieht das Management mit welchen Key-Performance-Indikatoren aus und wie die Kommunikation und das Controlling?

Eine IT, gut gemanaged und in die Cloud verlagert, bietet meistens mehr an Daten-, Informations- und Betriebssicherheit als herkömmliche KMU-IT-Infrastrukturen. Die Sicherheit ist also viel höher als in einem verstaubten Rack irgendwo im Betrieb. Zum anderen fehlt vielfach in solchen Organisationen die Datenklassierung. Man ist sich gar nicht bewusst, welchen Wert welche Daten für das Unternehmen darstellen. Buchhaltungsdaten werden ausgelagert, Kundendaten nicht – oder umgekehrt; Enscheidungen fallen also meist willkürlich. Andererseits gibt es zum Glück ITVerantwortliche die exakt wissen, worauf sie bei der Datensicherheit und beim Datenschutz achten müssen. Diese sind denn auch in der Lage, an ihren künftigen Cloud-Provider die richtigen Forderungen und Fragen zu stellen. Sie übernehmen bei der Projektumsetzung wie im Betrieb die Verantwortung und schenken diesen Themen gebührend Beachtung.

Wirtschaft wie Staat sollten wach werden und sich international umsehen, etwa in Australien, in China, in Nordeuropa – oder in einzelnen Staaten und Städten in den USA; das ist eine Notwendigkeit. Cloud geht uns alle an. Mobilität, Big Data, Kundenfokussierung, 24-h-Self-Service-Prozesse und alles mit «smart» und «e» laufen auf Cloud-Computing hinaus. Weiter brauchen wir Aublärung zum Datenschutz und zur Nutzung von Cloudtechnologien. In Bezug auf die «absolute Datensicherheit» wissen mittlerweile alle, dass sie weder existiert noch in unserer digitalen Welt machbar sein wird. Die Sicherheit muss vor allem durch die Förderung eines verantwortungsvollen Umgangs, also der Security Awareness, angestrebt werden. Um Datenschutz und Datensicherheit und dies (besonders in Cloud-Umgebungen) als Kernkompetenz zu fordern, gilt für Regierungen wie für die Wirtschaft gleichermassen: Die Medienkompetenz der Nutzer fördern, internetgerechte Rechtsmassnahmen als Rahmen gestalten, den Datenschutz auch vor staatlichen Zugriffen schützen respektive die Persönlichkeitsrechte gleich stark gewichten – und auch die Datenschutzbestimmungen garantieren und diese laufend weiter entwicklen. Alle Teilnehmer dieser unterschiedlichen Wertschöpfungsketten – sprich alle Organisationen, vom Staat bis zum KMU – sollten sich diesem neuen Cloud-Kompetenz- und -Goldstrom widmen. Der Aunspruch ist wichtig sowie die Fähigkeit, dieses Thema schnell und wirksam zu antizipieren; ein Wandel zu einer Cloud-Kultur. Alles andere sind Business-, Prozess- und IT-Themen, die sich managen lassen.

Wir stehen erst am Anfang. Cloud bringt uns verbessserte Mobilität, Big Data-Möglichkeiten, Kundenfokussierung, 24-h-Self-Service-Prozesse; und alles mit «smart» und «e». Cloud verändert sich durch die stärkere Integration in unser Leben (Privat und Geschäft). Es ist aber nicht die Technologie – diese ermöglicht einfach, unsere neuen Lebensgewohnheiten mit Daten und Informationen zu unterstützen.

Der Einsatz von Cloud-Diensten wird zunehmen und mit ihr die Standardisierung von generischen Leistungen. Wir werden vermehrt Angebote sehen, die Cloud-Dienste kreativ zu neuen Cloud-Diensten verheiraten. Datenschutz- und Sicherheitsprobleme werden neue Lösungsansätze stimulieren.

Anbieterseitig werden wir im Bereich Infrastruktur eine Preisreduktion bei den Cloud Ressourcen erleben. Auf Benutzer Seite gehe ich längerfristig auch im Business von einem stärkeren Trend hin zur Verwendung von Apps und Cloud Storage aus. Die vollkommene Flexibilität an Gerät und Standort also.

Cloud-Computing bietet die Chance, Investitionsbedarfe im Bereich IT zu verringern und somit das in den bestehenden IT-Anlagen gebundene Vermögen für andere betriebliche Zwecke zu verwenden. Damit verändert sich zum einen die Bilanzstruktur des Unternehmens, zum anderen werden Up-front-Kosten für die Inbetriebnahme von IT Anlagen reduziert. Darüber hinaus erlaubt die verbrauchsabhängige Fakturierung der bezogenen IT-Leistungen eine Feinsteuerung der Bedarfe und die Vermeidung von Leerkapazitäten. Dem gegenüber stehen Einmalkosten für die Inbetriebnahme der Cloud-Anwendung. Im Kapitel 5 werden die Chancen des Cloud-Computings zur Verbesserung der eigenen Wirtschaftlichkeit getrennt nach Kostenfaktoren aufgezeigt.

Eckpunkte für sicheres Cloud-Computing. BITKOM

Many of our clients assume that once they have mastered analytics, they can then progress to the next level with simply some learning and additional software tools. The reality is that advanced analytics isn’t just a more complex form of normal analytics. “Normal” nalytics mainly reports what has happened (descriptive analytics), whereas advanced analytics solves problems using predictive analytics and prescriptive analytics. Predictive analytics predicts future outcomes and behaviour, such as a customer’s shopping behaviour or a machine’s failure. Prescriptive analytics goes further, suggesting actions to take based on the predictions.

For example, predicting a machine breaks down after producing a certain number of parts, prescriptive analytics might suggest that the company conducts maintenance before that maximum number of parts is reached. This would prevent unscheduled and costly downtime.

It is also important to mention that the technologies for advanced analytics are different from those for analytics, and require different skills. These skills typically include a solid understanding of statistics, machine learning and operations research.

Das wäre schön: In der Wolke schneller arbeiten mit besseren Reaktionszeiten. Leider ist es nicht immer so. Denn im Kern sind Public Clouds oft langsam. Das liegt am Aufbau der Cloud. Wenn nämlich mehrere Units auf einmal ausfallen, kann die Cloud nicht immer ausgleichen. Die Software kann nur eine begrenzte Anzahl an Ereignissen kompensieren. Für High-Performance-Leistungen sind diese Outsourcing-Modelle nicht geeignet.

Der Zugriff auf Dateien und Dokumente innerhalb der Cloud lässt sich individuell regeln. So stellen Sie sicher, dass nur die Personen Zugriff auf eine Datei erlangen, die dazu berechtigt sind.

Mit IAMaaS wollen wir Unternehmen helfen, ein Identity & Access Management wirkungsvoll zu betreiben. Mit IAMaaS adressieren wir zwei Themen. Einerseits den schnellen Einstieg ins IAM mit «IAMnow», welcher klassisch oder auf Basis einer «onpremise»-Lösung erfolgen kann. Basis bildet dazu ein weitgehend standardisiertes und vordefiniertes IAM-System.

Mit unserer IAMnow-Lösung bieten wir eine Lösung mit integrierten Prozessen und Workflows, letztendlich Services für die Benutzer und Berechtigungsadministration, wie sie in allen Unternehmen vorkommen. Ähnlich dem Gedanken der Nutzung von Office365. Mit IAMaaS adressieren wir aber auch die Betriebsfragen. Viele Unternehmen bekunden Mühe, ihre IAM-Infrastruktur langfristig mit ausreichend Know-how zu betreiben. Oder man sieht IAM nicht als Kernkompetenz und sucht einen Partner, der den IAM-Applikationsbetrieb (SaaS) wie auch die Operations, d.h. das Tagesgeschäft, übernimmt. Hier haben wir mit unserem IAM-Operation-Team immer die passende Antwort auf die vielfältigen Interessen der Kunden.