Der Siegeszug der Cloud ist auch in Deutschland nicht aufzuhalten. Laut dem Cloud Monitor 2020 von Bitkom Research und KPMG nutzen bereits drei Viertel der deutschen Unternehmen Cloud-Ressourcen. Das ist nicht überraschend, denn die Cloud hat zahlreiche Vorteile. Kleine und mittlere Unternehmen (KMU) erhalten durch die Cloud Zugang zu IT-Ressourcen, deren Leistungsfähigkeit, Hochverfügbarkeit und Sicherheit sie niemals im eigenen Unternehmen realisieren könnten.
Die leichte Zugänglichkeit und Konsumierbarkeit von Cloud-Diensten darf jedoch nicht darüber hinwegtäuschen, dass KMU auch dann Verantwortung für ihre IT tragen, wenn sie diese ganz oder zum Teil in die Cloud auslagern. Diese Erkenntnis hat sich noch nicht genügend durchgesetzt, wie der Cloud Monitor zeigt. Während 56 Prozent der großen Unternehmen bereits Sicherheitskonzepte für Cloud-Szenarien umgesetzt haben, sind es bei kleinen Betrieben erst 36 Prozent. Laut dem Praxisreport 2020 Mittelstand @ IT-Sicherheit der Initiative Deutschland sicher im Netz (DsiN) haben sich nur 29 Prozent der Cloud-nutzenden Mittelständler mit den damit einhergehenden IT-Sicherheitsanforderungen auseinandergesetzt, 18 Prozent wissen weder über die rechtlichen Rahmenbedingungen, noch über IT-Security-Aspekte Bescheid.
Das Shared-Responsibility-Modell
Die noch verbreitete Unkenntnis ist erstaunlich, denn die Cloud-Provider bemühen sich durchaus um Aufklärung. So informiert etwa Microsoft ausführlich über die gemeinsame Verantwortung in der Azure Cloud und auch bei Amazon Web Services finden sich entsprechende Informationen. Alle Modelle betonen die gemeinsame Verantwortung (Shared Responsibility) von Provider und Kunde. Die Verteilung hängt allerdings sehr stark davon ab, wie der Kunde Cloud-Ressourcen nutzt. Prinzipiell lassen sich drei Arten der Bereitstellung unterscheiden:
- Infrastructure-as-a-Service (IaaS): Der Kunde bucht bei IaaS Rechenleistung, Speicher und Netzwerkfunktionen, meist in Form einer virtuellen Maschine. Betriebssystem, Applikationen und Hilfssysteme wie Datenbanken implementiert er selbst. In diesem Modell ist der Provider für die physische Absicherung seiner Rechenzentren zuständig. Dazu gehören neben einem ausreichenden Zugangsschutz auch die Vorsorge vor Ausfällen durch Naturkatastrophen, Brände, Stromausfälle oder andere Ereignisse. Auch Verfügbarkeit und Leistungsfähigkeit der Ressourcen sind im Rahmen der Servicevereinbarungen (Service Level Agreements, SLA) Sache des Anbieters. Die Konfiguration von Servern, Speicher und Netzwerkverbindungen sowie die Installation, Aktualisierung und Absicherung von Betriebssystem, Datenbanken und Applikationen liegt in der Verantwortung des Kunden.
- Platform-as-a-Service (PaaS): In diesem Modell stellt der Cloud-Betreiber neben der Hardware und dem Basismanagement der Ressourcen das Betriebssystem, Datenbanken und andere Hilfssysteme als Plattform zur Verfügung, auf der ein Kunde seine eigenen Applikationen betreiben kann. Der Anwender kann sich im Rahmen der SLA darauf verlassen, dass die Systeme aktuell gehalten und vor Fremdzugriffen geschützt sind. Installiert er Applikationen auf der Plattform oder entwickelt dort eigene Software, so ist er für deren Sicherheit selbst verantwortlich.
- Software as a Service (SaaS): Das SaaS-Modell bietet den größten Komfort. Der Anwender bucht dabei direkt eine Applikation. Auf welcher Hard- und Softwarebasis diese betrieben wird, ist für ihn unerheblich. In diesem Fall muss der Anbieter nicht nur für eine sichere Infrastruktur, sondern auch für ausreichenden Schutz der Anwendung sorgen.
Wo sich Verantwortung nicht delegieren lässt
Unabhängig vom gewählten Bereitstellungsmodell gibt es jedoch Aspekte der Cloud-Nutzung, in denen der Kunde ganz oder zumindest überwiegend selbst Verantwortung trägt. Das sind im Wesentlichen die folgenden Bereiche:
- Datenschutz und Datensicherheit: Bei der Entscheidung, welche Daten in einer Public Cloud gespeichert werden dürfen, sind Gesetzesvorgaben wie die Europäische Datenschutzgrundverordnung (DSGVO), aber auch branchenspezifische Regularien wie die Payment Service Direktive (PSD II) zu berücksichtigen. Die Daten müssen zudem genauso mit einem Backup und Recovery-Konzept gesichert werden wie lokal gespeicherte Informationen.
- Identitäts- und Zugangsmanagement: Public-Cloud-Konten sind über das öffentliche Internet zugänglich. Sie müssen daher besonders gut gegen eine Übernahme geschützt sein. Der Kunde hat dafür zu sorgen, dass Anmeldedaten nicht in fremde Hände geraten und ausreichend sichere Passwörter verwendet werden. Sofern der Provider eine Multi-Faktor-Authentifizierung bietet, sollte diese auf jeden Fall genutzt werden.
- Endgerätesicherheit: Das beste Cloud-Security-Konzept nutzt nichts, wenn sich Angreifer über ein kompromittiertes Endgerät Zugang zu den Cloud-Ressourcen verschaffen können. Regelmäßige Aktualisierungen von Betriebssystem und Applikationen sowie Antivirus-Software auf allen Endgeräten des Kunden sind daher Pflicht.
Fazit
Die Cloud-Nutzung entlastet KMU von vielen IT-Aufgaben und stellt ihnen Rechenleistung und Services in einer Leistungsfähigkeit und Qualität zur Verfügung, die im Selbstbetrieb nicht möglich wären. Die Verwaltung und Absicherung der Cloud-Ressourcen sind jedoch Herausforderungen, die nicht zu unterschätzen sind. Dell unterstützt Unternehmen bei dieser Aufgabe mit seinen Cloud-Services. Dank Cloud Data Protection lassen sich beispielsweise Daten umfassend schützen, egal in welcher Cloud sie sich befinden oder welches Bereitstellungsmodell der Kunde gewählt hat. Dell Technologies Cloud ermöglicht darüber hinaus eine schnelle Migration ohne Unterbrechungen und den Aufbau einer zuverlässigen und sicheren Cloud-Infrastruktur. So können auch KMU Cloud-Ressourcen effektiv nutzen und ihrem Teil der Verantwortung gerecht werden.
Um dieses Konzept wirkungsvoll umsetzen zu können, sollten sich kleine Unternehmen Unterstützung holen, wie sie etwa die Dell Technologies Berater bieten. Sie helfen, sich in der Vielzahl der Technologien zurechtzufinden und bieten fortlaufenden Support.