Besondere Risiken bei Nutzung von Cloud Computing bei einer Multi-Vendor-Cloud-Strategie - Jürgen Kreuz GmbH

Ein Gastbeitrag von Ernst Sybon, Interne Revision bei der Schmitz Cargobull AG  

 

Blogbild_Cloud Computing_Juergen Kreuz Consulting
10_icon_Statistik

Der Trend zur Nutzung von Cloud-Diensten nimmt eine rasante Entwicklung an. 

Laut BSI ist der Umsatz der Cloud-Anbieter der letzten 5 Jahre um 70% gestiegen und wird weiter steigen.

Trend geht zu multiplen Cloud-Anbietern

Des Weiteren geht der Trend von vielen Unternehmen dazu über nicht nur einen Service aus der Cloud zu beziehen, sondern mehrere verschiedene Cloud-Dienste von unterschiedlichen Cloud-Anbietern über das Unternehmen zu beziehen. Daher wird folgende oder ähnliche Konstellation von Cloud Computing in Unternehmen zukünftig keine Seltenheit mehr sein, bzw. sind es bereits:

  • SAP as a Software as a Service von SAP
  • Office 365 as a Software as a Service von Microsoft
  • Datenbank as a Platform as a Service von Oracle
  • Rechenzentrum as a Infrastructure as a Service von IBM

In dieser oder in vergleichbarer Kombination werden Unternehmen von unterschiedlichen Lieferanten unterschiedliche Leistungen beziehen. Die Herausforderung für das Unternehmen wird sein, diese unterschiedlichen Lieferanten so zu steuern, dass die eingekaufte und notwendige Leistung gewinnbringend erbracht wird.

Etablierung einer unternehmensweiten Multi-Vendor-Cloud-Strategie

Hierfür ist es aus meiner Sicht unabdingbar, eine unternehmensweite und von der Unternehmensleitung verabschiedete Multi-Vendor-Cloud-Strategie (MVCS) für die Nutzung von Cloud Computing zu entwickeln und zu etablieren.

Bei der Definition und Festlegung einer derartigen Multi-Vendor-Cloud-Strategie sollten unter anderem folgende Punkte berücksichtigt werden: 

  • Warum gehen wir in die Cloud – Welche Ziele verfolgen wir damit?
  • Aufbau und Definition eines internen Cloud-Kompetenzteams mit klar vereinbarten Kompetenzen
  • Etablierung von Kommunikationswegen mit den unterschiedlichen Cloud-Anbietern
  • Durchführung einer zweistufigen Risikoanalyse
    • Übergeordnete Risiken aus der Multi-Vendor-Cloud-Strategie
    • Risikoanalyse pro Cloud-Vendor
  • Business Continuity Management unter Einbezug aller Cloud-Anbietern
    • Regelmäßige Notfalltests festlegen und durchführen
  • Sicherstellen, dass alle Cloud-Anbieter den internen und externen Mindestanforderungen an Datenschutz- sowie Informationssicherheitsanforderungen erfüllen.   

 

Für die Risikoanalyse der einzelnen Cloud-Anbieter verweise ich auf die 5 C´s des BSI. Das BSI gibt in diesem Dokument sehr detailliert an, welche Anforderungen ein Cloud-Anbieter erfüllen sollte. Jedoch geht das BSI auf die speziellen Anforderungen und Risiken bei einer Multi-Vendor-Cloud Strategie nicht ein.

Was sind die besonderen Anforderungen, die sich ein Unternehmen bei einer
Multi-Vendor-Cloud-Strategie stellen muss?

An erster Stelle steht die extrem hohe Komplexität der Zusammenarbeit der unterschiedlichen Cloud-Anbietern. Was in der Vergangenheit in einem eigenem Haus (eigene IT-Abteilung) gemanagt wurde, muss nun in einem „Cloud-House“ gesteuert werden.

Bevor ich auf die Risiken eingehe möchte ich kurz skizzieren, was ich unter einem Multi-Vendor-Cloud-House verstehe:

Darstellung Multi Vendor Cloud House

Im Dach des Cloud-House steht die Multi-Vendor-Cloud Strategie. Die MVCS basiert auf drei Säulen, die die allgemein bekannten Services (IaaS, PaaS, SaaS) des klassischen Cloud Computing darstellen. Je nach Unternehmen können weitere Services aufgeführt werden, wie z.Bsp. Security as a Service, Process as a Service, etc.

Für alle genutzte Services sollten Mindestanforderungen insgesamt und pro Dienstleister definiert werden, um externe sowie interne Erwartungen zu erfüllen. Darüber sollten für die „allgemein bekannten Risiken“ (Sicherheitsrisiken; Compliancerisiken; Vertragsrisiken; Performancerisiken) geeignete Sicherheitsmaßnahmen implementiert werden. Die Sicherheitsmaßnahmen können von Unternehmen zu Unternehmen unterschiedlich ausgestaltet sein. Grundlage für die eingesetzten Sicherheitsmaßnahmen sollte immer die zugrundeliegende Risikoanalyse sein.

Das Fundament besteht aus dem Internen Cloud-Kompetenzteam, das alle Cloud-Anbieter steuert und sicherstellt, dass alle Systeme aufeinander abgestimmt sind. Des Weiteren stellt es ein wirksames Business Continuity Management, unter Berücksichtigung aller Cloud-Anbietern und den internen IT-Services, sicher.

Spezifische Risiken einer Multi-Vendor-Cloud-Strategie​

Zum Abschluss möchte ich neben den „allgemein bekannten Risiken“ auf die bereits erwähnten spezifischen Risiken bei einer MVCS eingehen:

  • Cloud-Anbieter untereinander sind nicht kompatibel
  • Wechselwirkungen: Der Ausfall eines Cloud-Anbieter hat Auswirkungen auf andere Cloud-Services
  • Schnittstellenproblematik bei Datenübermittlungen zwischen Cloud-Anbietern
  • Fehlendes internes IT-Know-how, um die Komplexität der verschiedenen Anbietern zu überblicken
  • Einheitliches über alle Cloud-Anbietern Verständnis und Einhaltung von Datenschutz- und Informationsschutz
  • Verlass auf externe Audits (Schwierigkeit eigene Prüfungen bei externen Dienstleistern durchzuführen).

 

Die kleine Übersicht verdeutlicht das zukünftige Problem beim Betreiben einer MVCS. Diese Risiken sind vorab zu beachten und sollten in einer MVCS festgehalten werden.

Falls diese strategischen Vorüberlegungen fehlen, werden die Probleme und Störungen mit der Zunahme von Cloud-Services zunehmen.

Ich lade Sie recht herzlich dazu ein, dieses und weitere spannende Themen hinsichtlich Cloud Computing mit mir zu diskutieren.

Dazu bietet sich bereits die Möglichkeit im Seminar „Prüffeld Cloud Computing in Zusammenarbeit mit Jürgen Kreuz am 17./18. August 2020 in Köln. 

Hier geht es zur Seminaranmeldung