Die wirtschaftlichen Vorteile und die bessere Flexibilität von Cloud Computing sind unter Analysten, Anbietern und IT-Entscheidern inzwischen weitgehend unbestritten. Geringerer Support- und Administrationsaufwand, das Umwandeln von festen in variable Kosten ohne Kapitalbindung, eine agilere IT-Infrastruktur und ein sich ausweitender Anbietermarkt machen das Cloud-Modell immer attraktiver.
Selbst Skeptiker kommen unter dem Druck knapper Budgets und drängender CFOs kaum mehr daran vorbei, Cloud-Angebote ins Kalkül zu ziehen. Wenn sich Unternehmen dennoch mit dem Einsatz von Cloud Computing zurückhalten, nennen sie als wichtigsten Grund fast immer die Sorge um die Sicherheit ihrer Daten und Anwendungen.
Foto: Fraunhofer SIT
Allerdings nicht immer mit stichhaltigen Argumenten: „Hervorgehoben wird stets die betriebswirtschaftliche Vorteilhaftigkeit von Cloud-Services, Sicherheitsimplikationen hingegen werden oft unsystematisch und per se nachteilig dargestellt“, sagt Werner Streitberger vom Fraunhofer Institut für sichere Informationstechnologie (SIT). Er hat die Sicherheit traditioneller IT-Systeme systematisch mit denen von Public-Cloud-Computing-Systemen verglichen.
Durch ihre Herangehensweise verhinderten Unternehmen bereits im Vorhinein weitergehende Auseinandersetzungen mit der Sicherheit in Cloud-Computing-Systemen. "Daraus entsteht der Eindruck, dass die Sicherheit von SaaS-Anwendungen keinerlei Vorteile gegenüber On-Premise-Lösungen besitzt“, sagt der Fraunhofer-Sicherheitsexperte. Das aber sei eine falsche Schlussfolgerung: Denn ob Cloud Computing tatsächlich zu geringerer Sicherheit führe, hänge auch wesentlich davon ab, welches Sicherheitsniveau im eigenen Unternehmen wirtschaftlich realisierbar sei.
Denn während Großunternehmen oft ein Rechenzentrum betreiben, das gegen Ausfälle und Sicherheitsbedrohungen aus dem Netz gut gerüstet ist, verfügen kleinere Unternehmen meist weder über die personellen Ressourcen und Know-how, noch über die finanziellen Mittel, um ihre RZ-Infrastruktur auf dem jeweils neuesten Stand der Technik aufzurüsten. „Für kleine und mittlere Unternehmen ist die redundante Auslegung der Infrastruktur bis hin zu Notstromlösungen und der Abwehr von Viren und anderer Malware oftmals zu aufwendig“, sagt der Fraunhofer-Forscher.
Sicherheitsgewinn vor allem für KMU
Gerade bei KMU könnten SaaS-Lösungen deshalb sogar zu einer deutlichen Verbesserung der Sicherheitsstandards führen. Im Vergleich zu traditionellen IT-Systemen lasse sich bei ihnen mit Public-Cloud-Computing-Systemen mehr Sicherheit zu geringeren Kosten realisieren. „In beiden Fällen, für KMUs und auch für Großunternehmen, bieten SaaS-Lösungen für Standardprozesse sehr hohe Einsparpotenziale, und Unternehmen können sich mitunter stärker auf ihre Kernkompetenzen konzentrieren“, sagt Streitberger.
Der elementare Stellenwert von Sicherheit und insbesondere Datensicherheit habe sich gegenüber der klassischen IT auch im Zeitalter des Cloud Computing nicht verringert. Aber während die Sicherheit ihrer IT-Infrastruktur bei Anwenderunternehmen oft den Rang einer unliebsamen, wenn auch unabänderlichen Notwendigkeit einnehme, habe sie für Cloud-Anbieter eine zentrale Bedeutung – auch für den wirtschaftlichen Erfolg: „Die Sicherheit stellt einen integralen Bestandteil des Geschäftsmodells eines Cloud-Anbieters dar. Nur Anwendungen, die den Kundenanforderungen bezüglich Sicherheit genügen, können langfristig profitabel und somit letztlich überlebensfähig sein“, sagt der Fraunhofer-Experte.
„Für Cloud-Provider gehört Sicherheit zu den Kernkompetenzen, weil die Verarbeitung und Verwaltung von Daten das Kerngeschäft dieser Unternehmen ist", sagt Streitberger. "Anwenderunternehmen dagegen sehen sie häufig nur als Kostenfaktor an.“
Davon könnten KMUs sogar überproportional profitieren: Mit einer SaaS-Applikation wird nicht nur die Unterstützung für den Geschäftsprozess, sondern auch der marktübliche Technologie- und Sicherheitsstandard implementiert. Weil die Cloud-Anbieter den höchsten Anforderungen von Anwendern genügen müssen und die Plattform immer danach ausgerichtet wird, sind es gerade die Großunternehmen, die im Zuge eines größeren Investitionsvolumens sehr hohe Sicherheitsstandards vorgeben. Dies ist auch auf die SOX-Prüfung für die auf dem US-Markt börsennotierten Unternehmen sowie unterschiedliche Audits und Zertifizierungen zurückzuführen, die in der Regel für Großkonzerne relevant sind.
Mehr Sicherheit durch Arbeitsteilung und Spezialisierung
Die fortwährenden Investitionen eines Cloud-Anbieters auf allen technologischen Ebenen eines Cloud-Computing-Systems führt zu einem ansteigenden Automatisierungsgrad. Im Vergleich zu traditionellen IT-Systemen wird auf diese Weise vor dem Hintergrund der Arbeitsteilung und Spezialisierung ein effektiverer und effizienterer Umgang mit Bedrohungen der Sicherheit ermöglicht. „Zusammenfassend kann man feststellen, dass die betriebswirtschaftliche Motivation zur Sicherung strategisch bedeutsamer Geschäftsprozesse unter Einsatz von Cloud-Services somit zu einem gesteigerten Sicherheitsgrad führt“, sagt Fraunhofer-Forscher Streitberger.
Bei der Entscheidung für eine neue Software muss sich der Konsument bei den beiden Kategorien - On-Premise- und On-Demand-Softwarelösungen - zuallererst Gedanken über das notwendige und gewünschte Sicherheitsniveau machen. Bei der Auswahl eines geeigneten Cloud-Anbieters rät Fraunhofer-Forscher Streitberger zum genauen Hinsehen: Der Anwender sollte sich gründlich über die Sicherheitsfunktionen des jeweiligen SaaS-Anbieters informieren und sicherstellen, dass der Provider die benötigten Sicherheitsanforderungen umsetzen kann.
Besonders wichtig für die Bewertung des Anbieters sei dabei der Reifegrad der eingesetzten Technologie „Natürlich ist nicht jede SaaS-Lösung gleichermaßen abgesichert - man kauft auch nicht jede beliebige Software und installiert diese im Unternehmen, sondern man wählt wohl eher einen vertrauenswürdigen Software-Anbieter, der längerfristig am Markt präsent und erfolgreich ist“, sagt Streitberger.