von Dr. Dietmar Wiedemann

Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT [1], die durch Cloud Computing entstehen kann. Denn Mitarbeiter benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.

Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis und geht dabei insbesondere auf IT-Governance in der Cloud ein.

Cloud Computing benötigt Governance-Prozesse

Die Schatten-IT [1], die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können Mitarbeiter über USB-Sticks, CDs und via Internet Software auf den Rechner installieren.

In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten. Due eigene IT hinke den Anforderungen der Fachabteilungen technologisch hinterher.

Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Softwarelösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt. [2]
Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender Backup-Strategien verloren gehen können. Zudem können aufgrund einer unachtsamen Anbieter-Auswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen.
Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-Governance-Prozesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.

Herausforderung: IT-Governance für die Cloud

Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab.[5]

Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 2010“ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 12 Prozent entsprechende Policies explizit für Cloud Services entwickelt.[3]

Etablierte Standards für Cloud Governance

Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen. Allerdings muss das Rad nicht völlig neu erfunden werden: Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks [4], die nachfolgend skizziert werden.

COBIT

COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 17799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.

Val IT

Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.

Risk IT

Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:

• IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen,
• IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und
• IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können.

Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.

Business Model for Information Security

Das Business Model for Information Security (BMIS) stellt eine detaillierte Beschreibung eines umfassenden Geschäftsmodells zur Verfügung, das sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandelt. Damit adressiert das Modell Geschäftsrisiken, Werte, Ressourcen-Nutzung und Programme, die mit Cloud Computing einhergehen. Indem Bereiche, wie beispielsweise die Unternehmenskultur, Prozesse oder eingesetzte Technologien, betrachtet werden, hilft das BMIS Sicherheitsrisiken und -bedrohungen proaktiv zu erkennen. In Bezug auf die Cloud muss hier insbesondere ein Augenmerk auf zusätzliche Risiken gelegt werden, die durch Cloud Service Provider entstehen und verstanden werden, welchen Einfluss diese Risiken auf das Geschäft haben.

Fazit

In diesem Beitrag wurden vier Rahmenwerke diskutiert, mit denen Cloud Governance im Unternehmen umgesetzt werden können. Allerdings muss konstatiert werden, dass die wesentlichen Herausforderungen der Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegt. Beispielsweise beinhaltet COBIT vier Domänen, 34 Prozesse und 210 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar. Zudem findet man in den vier Standards keine Antworten, welche Risiken und Chancen im Cloud Computing bestehen. Zur Klärung helfen Publikationen, etwa von der European Network and Information Security Agency oder der Cloud Security Alliance. Dort werden nicht nur Risiken und Nutzen aufgezeigt, sondern Strategien entwickelt, diesen Risiken effektiv entgegenzuwirken und den Nutzen effektiv zu realisieren.
Vor diesem Hintergrund muss es für jedes Unternehmen, das den Weg in die Cloud gehen möchte, Ziel sein, IT-Governance-Prozesse in Hinblick auf die Anforderungen der Cloud und die eigenen Bedürfnisse zu entwickeln. Wenn ein Unternehmen bisher keine Governance-Prozesse etabliert hat, ist der Einstieg in die Cloud ein guter Zeitpunkt, dies nachzuholen. Wenn ein Unternehmen bereits über Governance-Prozesse verfügt, müssen diese sicherlich überprüft und an die neuen Gegebenheiten im Cloud Computing angepasst werden. Dabei sind die Erfolgsfaktoren [4] der Einbezug des Top Management, die Schaffung eines gemeinsames Verständnis für alle beteiligten Parteien zu Geschäfts- und IT-Zielen, die mit der Cloud-Nutzung erreicht werden sollen, sowie die Sicherstellung eines effektiven Kommunikations- und Change-Management.

Quellen
[1] Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 16.08.2011. Download: http://www.computerwoche.de/management/cloud-computing/2491361/index2.html.
[2] Büst, R.: Cloud Computing und die Schatten-IT. In CloudUser | Ξxpert 22.02.2011. Download: http://clouduser.org/management/cloud-computing-und-die-schatten-it-5986.
[3] Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21.01.2011. Download: http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html.
[4] ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011.
[5] Wiedemann, D.G.: IT-Governance – die Wolke fest im Griff. Vortrag auf der SecTXL ’11 in Hamburg, 11. August 2011. Download: http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-20110811.
[6] Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011. Karlsruhe, 2011. Download: http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011-zusammenfassung-der-studienergebnisse

Bildquelle: http://kscottmorrison.wordpress.com

by Matt Wood

Now fast forward and add cloud computing to the mix. Resource constraints are replaced with enabling technologies such as scalable storage, elastic compute and dynamic analysis platforms. Where IT procurement and lengthy technical reviews once cast long shadows over research, organisations are now accessing on-demand technology infrastructure with no upfront cost or negotiations.

With a cloud computing strategy in hand, the lab funds the project out of discretionary budgets. The project begins by sending samples to a sequencing service provider, who ships the results to a secure cloud environment. The necessary storage is available on-demand with a pay-as-you-go pricing model, meaning the researchers pay nothing until the first byte is written or after the final file is removed. The collaborators get straight to work performing large scale, distributed computations. Sharing results becomes as easy as sending an email. This is one of hundreds of examples of how cloud computing has changed the way organisations have acquired IT in the past three decades. The new world, where scientists are living today, is much different.

Researchers in industry and academia are using computers in continuously increasing quantities for molecular simulation, virtual screening and DNA and protein sequence analysis. In the past, organisations purchased expensive, purpose-built cluster resources and data management systems. This requires significant upfront investment and labs were often surprised by the management costs associated with running dedicated infrastructure. Those unable to afford hardware would use shared infrastructure, often at supercomputing centres, and wait in long queues for an opening weeks later.

These pressures have scientists earnestly exploring scalable and on-demand IT infrastructure that can meet the unpredictable demands of research and development. In six months, a project’s technology requirements may have changed three to four times (or more), so nimble technology is key. Scientists are also benefitting from IT resources that provide an affordable model for global collaboration, similar to The 1,000 Genomes Project, the largest study of genetic differences between people to date. The project offers a comprehensive resource on human genetic variation and involves participants from Europe, North America, South America and Asia who are sharing data and analysis in real time. To make data more available to a broader audience and to further innovation on genomic research, The 1,000 Genomes Project can also be accessed through the cloud. This means scientists with less advanced computers and infrastructure have the same access to the raw data as those with supercomputer technology. This is the type of sharing and collaborative model life science professionals are getting excited about today.

A simple way to explain cloud computing is that instead of buying, owning, and maintaining your own datacenters or servers, you purchase compute power and storage services from third party infrastructure providers on an as-needed basis. Database, messaging infrastructure and content distribution services are also available in the cloud. The provider manages and maintains the entire infrastructure in a secure environment and users interact with resources via the Internet. Capacity can grow or shrink instantly.

For an offering to truly be cloud computing, it must have the following characteristics: No upfront capital expenditure, pay-as-you-go services, elastic capacity, fast time to market (think server capacity in minutes) and the ability to remove undifferentiated heavy lifting. All of this must comply with regulatory needs and without sacrificing data security.

An example of a company that has taken advantage of the on-demand nature and scalability of cloud computing is Cambridge based Eagle Genomics, a bioinformatics services and software company specialising in genome content management. Eagle Genomics store and analyse large quantities of genomic data for its customers. Recent projects have included biomarker discovery, microarray probe mapping and genome assembly from next-gen sequencing data. At the heart of Eagle’s analysis projects lies an adapted version of the eHive workflow management system. Eagle’s modifications enable eHive to scale automatically by starting up and spinning down resources in response to capacity demands. This is something that Eagle could only do cost effectively by having its technology infrastructure in the cloud. This avoids the expense of purchasing and maintaining HPC hardware in-house and avoids underutilised resources.

Another life sciences organisation taking advantage of cloud computing is the European Bioinformatics Institute (EBI). The EBI is the home of cutting edge research using computers to study life science problems. One of the largest projects currently underway at the EBI is the genome browser, Ensembl – www.ensembl.org. Ensembl is a central tool used in worldwide bioinformatics research. When working as a global team, latency can become an issue. The EBI has reduced the latency of accessing the Ensembl service for their US collaborators, by moving the service to the cloud. This is making the large amounts of information hosted in the genome databases more readily available to researchers around the world to spend more time making discoveries and less time on accessing the information.

Yet another example is Galaxy, an open source web application and analysis platform designed to allow reproducible, sharable science. The team recently made Galaxy available as a cloud optimised and deployable solution to allow researchers anywhere in the world to run exactly the same pipelines and share data and results without investing in hardware or worry about managing servers.
Cloud Indicators.

These examples show innovative uses of the cloud, but how quickly is this catching on in the life science industry? All signs point to rapid adoption. Through discussions with scientists, engineers, developers, CIO’s and CTO’s of start-ups and enterprises, I’ve consistently heard why the cloud is a growing part of their future plans. The most frequently cited reasons include:

IT consolidation is on the rise. Driven by a need to optimise expenses and gain efficiencies, the biopharma industry is consolidating IT to focus on core expertise and reduce capital expenditure. This includes IT infrastructure, which most do not see as a competitive advantage. As organisations grow and work is distributed to scientists across the globe, technology infrastructure running in the cloud will improve efficiencies and utilisations in tandem with growth.

Agility is becoming necessary. If purchasing dedicated hardware, it can take organisations months to procure, provision and make resources available to users. That can feel like years in the fast-moving scientific world and make innovating on the science nearly impossible. IT managers and CIOs have discovered that with the cloud’s ability to rapidly provision resources, scientists can do their job with minimal resource contention. Organisations get to say no less and support more projects.

New methods lead to new collaborations. Science is all about collaboration, increasingly so as scientists start investigating biology at a systems level and collaborating with experts in specialised research functions. This has led to more distributed partnerships, both public-private and collaborations between academic institutions and companies. The availability of shared data spaces with easy access to on-demand computing resources makes the cloud very attractive today. Public access to data sets and associated data analysis tools are creating an ecosystem for data sharing and analysis that could portend a larger trend in scientific collaboration.

Scientific practices are evolving. From its early days, cloud computing has enabled new business models. Many start-ups have flourished because access to cloud services empowered them to create innovative solutions that take advantage of massively distributed architectures without having to invest the capital to build resources. Life sciences are following a similar trend. We can expect to see more start-ups emerge to provide analysis and data support roles. Instrument and service providers are also leveraging the cloud to distribute data and provide on-demand access to computing pipelines. Of course, this is all happening at a scale and lower cost than possible outside of the cloud.

Computing paradigms have shifted. Large scale modelling and simulation, and especially large scale data analysis, challenge existing infrastructure and workflow methodologies. Data-intensive workloads require massively parallel frameworks that are ideally built on top of commodity hardware. Such systems, like Hadoop and non-relational databases, are becoming part of the solution for difficult computing challenges. These frameworks are now tuned to successfully run in the cloud. The availability of dynamic cluster computing resources in the cloud has multiplied the capabilities researchers can access to solve scientific problems at massive scales. Before cloud computing, these problems remained untouched or were addressed at scales that limited utility.

A cloudy, data-driven future.
Economics, a desire to foster more collaboration and the need for faster innovation cycles are leading the life science industry to a new world where scientists have instant access to infinitely scalable resources. In the next few years, third generation sequencing, massive metagenomics sequencing projects, and an increased availability of molecular diagnostics are going to produce unprecedented amounts of data at relatively low costs. Cloud computing will play a key role in providing the technology infrastructure that will drive the data-driven future of life science.

Image source: http://www.dundee.ac.uk

von Matthias Rechenburg

Bestandsanalyse – was sind Rechenzentren?

Um es kurz zu sagen: „Rechenzentren sind komplexe Monster“.

Um Rechenzentren effizient zu betreiben ist es notwendig genau zu analysieren was ein „Rechenzentrum“ alles beinhaltet. Hierzu einigen einfache Fakten, die wir aus langjähriger Erfahrung im Aufbau, der Administration und Automatisierung von Rechenzentren, „gelernt“ haben.

Rechenzentren sind verschieden!

Jeder Betreiber von Rechenzentren hat verschiedenste Anforderungen, Bedürfnisse und auch (Technologie-) Vorlieben. Ein jedes Rechenzentrum wird dementsprechend geplant, aufgebaut und betrieben. Die Schlussfolgerung die sich daraus ergibt ist das alle Rechenzentren unterschiedlich sind und das es keine zwei genau gleichen Rechenzentren auf dieser Welt gibt.

Alle Rechenzentren implementieren dieselben Subsysteme

Trotz der unterschiedlichen Anforderungen der Rechenzentrumsbetreiber findet man in jedem Rechenzentrum dieselben „Subsystem“ wie z.B. Server-Deployment, Netzwerk-Management, IP-Adressen DNS Verwaltung, System- und Service-Überwachung, Backup/Restore, Virtual Machine- und Storage-Management usw.
Nahezu jedes Rechenzentrum auf dieser Welt verfügt über diese Subsysteme.

Die Technologien, die in den Subsysteme eingesetzt werden, sind verschieden!

Alle Rechenzentren benutzen dieselben Subsystem, jedoch implementieren sie diese Subsysteme mit einer Vielzahl an unterschiedlichen Technologien.

Hier ein Beispiel für das „Virtualization“ Subsystem:

• der eine schwört auf Xen
• der nächste bevorzugt KVM
• wieder ein anderer setzt nur VMware ein
• für den nächsten gibt es nur OpenVZ

Dasselbe Beispiel für das „System- und Service Überwachung“ Subsystem:

• der erste mag Nagios
• der zweite bevorzugt Icinga
• der dritte möchte lieber Zabbix
• und der vierte setzt Collectd ein

Die Auswahl der Technologien für ein jedes Subsystem in einem Rechenzentrum ist wiederum abhängig von den Anforderungen, Bedürfnissen und Vorlieben des Systemadministrators, der IT Infrastruktur-Designer und dem Firmen Grundsatz.

Erhöhung der Komplexität ist umgekehrt proportional zu Hochverfügbarkeit

Ein recht einfaches Prinzip. Je komplexer ein System ist, je schwieriger ist es, es hochverfügbar zu betreiben. „KIS“ (Keep It Simple) hilft oftmals den Grad der Robustheit drastisch zu erhöhen.

Erhöhung der Komplexität ist umgekehrt proportional zu Möglichkeit der Automatisierung

Angelehnt an die vorherige Erkenntnis hier auch wieder eine simple, umgekehrt proportionale Abhängigkeit bezüglich dem Grad der Möglichen Automatisierung und der Komplexität eines Systems. Ist jeder Server in einem Rechenzentrum eine „einzigartige Spezialkonstruktion“ ist es schwierig dieses System in die gesamt Automatisierungs- Strategie der IT Infrastruktur einzupassen.

Virtuelle Maschinen laufen auf physikalischen Server Systemen

Virtuelle Maschinen erlauben Services „Hardware unabhängig“ zu betreiben. Die Abstraktion des eigentlichen Services in einer Virtuellen Maschine bringt den gewaltigen Vorteil mit sich, das der eigentliche Dienst nun eine (virtuelle Maschine) „Datei“ ist und das man diese „Datei“ dann recht einfach von einer Hardware auf die andere migrieren kann.
Die „Hardware-Unabhängigkeit“ ist aber auch nur zum Teil richtig da einen Virtuelle Maschine immer ein physikalisches Host System benötigt auf dem sie betrieben wird.
Die einfache Schlussfolgerung daraus ist das Virtuelle Maschinen physikalische Systeme benötigen, auf denen sie laufen.

Physikalische System gehen „kaputt“

Ähnlich wie bei „Murphy’s Law“, wo wenn es schon schlimm ist noch schlimmer kommt, ist die Hauptabhängigkeit der Services die in einem Rechenzentrum betrieben werden leider nicht wirklich robust. Physikalische System gehen, ohne Ausnahme, irgendwann kaputt. Kaputt heißt z.B. Festplatten oder Lüfter fallen aus, Speicher korrumpiert, Netzwerkkarten fallen aus usw. Dies beeinträchtigt natürlich ungewollt den Betrieb der Dienste.

Gerade der Aspekt das physikalische System tendieren kaputt zu gehen ist sehr wichtig!
Eine große Bestrebung für Betreiber von Rechenzentren sollte also sein zu versuchen den „schwachen“ Teil der betriebenen Dienste, nämlich die physikalische Hardware, unabhängig zu machen von dem eigentlichen Dienst, der nur aus „Software“ besteht.
Die Software selber, die den Dienst ausmacht, kann eigentlich nicht wirklich kaputt gehen, denn die Bits und Bytes der Software verändern sich normalerweise nicht eigenständig (unter der Voraussetzung das sie auf einem sicheren, hochverfügbaren Storage-System gespeichert wird).

Was ist wichtig für den End-Benutzer?
Aus der Sicht eines End-Benutzers von Services eines Rechenzentrums sieht das ganze viel einfacher aus. Für den Benutzer ist es nur wichtig das der gewünschte Service „verfügbar“ ist. Das heißt im Detail das der Hostname (oder die IP-Adresse) des Serversystems, das den Service auf einem der IP-Ports anbietet, läuft und die Server-Applikation selber auch läuft und erreichbar ist. Einfachstes Beispiel dafür ist eine simple Webseite die auf einem Server mit einem speziellen Hostnamen unter TCP/IP Port 80 zu Verfügung steht.

Alles in die Cloud migrieren – das wird schon helfen …

Manch ein Cloud Anbieter verspricht Kunden gern:

“Einfach alles in die Cloud migrieren, das löst all Ihre Probleme.“

Dies ist auch zum Teil richtig da die vereinfachte und voll automatisierte Bereitstellung von vorkonfigurierten virtuellen Maschinen in bestimmten Bereichen wie z.B. in der Entwicklungs- und Qualtitätsicherungs-Abteilung, ohne großen Aufwand eingeführt werden können und dann zur Steigerung der Effizienz beitragen. Ein weiteres Beispiel sind Firmen deren Produktions-Systeme extrem schwankenden „Workload-Peaks“ ausgesetzt sind wie z.B. E-Commerce- und Shop-Systeme im Internet zur Weihnachtszeit.

Gerade die Möglichkeit des Ausbalancieren solcher Services mittels zusätzlicher Server-Ressourcen von öffentliche Cloud Providern während „Workload-Peaks“ bietet hohe Flexibilität und erlaubt es auch einen „Massenansturm“ von Kunden gut zu überstehen.

Je nach Geschäftsmodell und Fokus einer Firma kann Cloud Computing so in 50 – 60% der Abteilungen sinnvoll betrieben werden.

Nicht desto trotz gibt es immer ein Teil von Systemen die man, aus verschiedensten Gründen (z.B. rechtliche), nicht unbedingt in der Cloud (öffentlich oder auch private) betreiben möchte.

Und wer verwaltet und administriert die Cloud?

Ein weiterer wichtiger Aspekt ist das die „Wolke“ ein meist relativ abgeschlossener Teil der gesamten IT-Infrastruktur ist. Cloud Computing kann also nur zu einem begrenzten Teil dazu beitragen die komplette Verwaltung des Rechenzentrums zu automatisieren.

Des weiteren bedarf die Cloud, als ein Teil des Rechenzentrums, natürlich auch Verwaltungs- und Administration-Aufwand d.h. faktisch befinden uns immer noch in genau demselben Bereich wie am Anfang, nämlich die Bereitstellung und der Administration von physikalischen Server Systemen, … die irgendwann kaputt gehen.

Fazit: Cloud Computing vs. Datacenter Automation
Eine Cloud, die in einem Rechenzentrum betrieben wird, ist wiederum nur ein weiterer Dienst der unter denselben Aspekten der jeweiligen Subsystem behandelt und betrieben wird z.B. Die Cloud Dienste müssen überwacht werden, Virtuelle Maschinen und speziell deren physikalische Hosts System müssen bereitgestellt und administriert werden, die Cloud Systeme müssen ins Backup/Restore Subsystem eingebracht werden, IP-Adressen sowie DNS Hostnamen müssen konfiguriert werden usw.
Um genau jenen Bereich in einem Rechenzentrum zu automatisieren benötigt man eine

„Middleware“ zur kompletten Automatisierung von Rechenzentren

Für die Automatisierung von kompletten Rechenzentren ist eine übergreifende Abstraktionsschicht notwendig, die die automatisch Verwaltung aller beteiligten Subsystem eines Rechenzentrums erlaubt und deren Technologie-Schicht (unterhalb der Subsysteme) extrem modular gestaltet ist um jeglichen Technologie- Anforderungen und Bedürfnissen gerecht zu werden.

Des weiteren muss diese Abstraktionsschicht („Middleware“) die Rechenzentrums-Logik implementieren, die z.B. dafür notwendig ist um einen neuen Dienst bereitzustellen.
Diese Logik beschreibt den Lebens-Zyklus eines Dienstes in einem Rechenzentrum von der Initialen Konfiguration und Bereitstellung bis zur De-provisionierung. Der abgebildete Lebens-Zyklus hat zudem die Aufgabe den einzelnen Subsystem Informationen über den Dienst und dessen Status mitzuteilen, damit diese automatisiert ihre Arbeit verrichten können.

Es ist dann weiterhin erforderlich, das die eigentliche Aufgabe, z.B. das starten einer Virtuellen Maschine, wiederum in den verschiedenen möglichen Technologien, mittels unterschiedlicher Module für jede Technology (Plugins), abstrahiert wird.

Um den größtmöglichen Grad der Automatisierung von Rechenzentren zu erreichen ist also ein Modell nötig, das möglichst viele Informationen über einen zu betreibenden Dienst in einem „Master Objekt“ konzentriert um so möglichst viele der verschieden Aufgaben und Aktionen selbständig zu übernehmen.

Ein Fernseher ist ein hoch komplexes technisches System das dem End-Benutzer einen Dienst zu Verfügung stellt und „fernseh- gucken“ ermöglicht. Diese komplexe System wird für den Benutzer mittels einer einfachen Steuerung abstrahiert, der Fernbedienung.
Das Fernsehgerät selbst enthält alle Informationen wie die einzelnen Subsysteme anzusprechen sind z.B. was zu tun ist wenn der Benutzer den Kanal wechseln möchte.

Vielmehr als nur Cloud Computing …

Eine, wie hier beschriebene „Middleware“, die den oben angesprochenen Fakten und deren Schlussfolgerungen gerecht wird, ist die Open-Source Datacenter Management und Cloud Computing Plattform openQRM. openQRM wird zur übergreifenden Automatisierung von IT-Infrastrukturen eingesetzt und bietet zusätzlich auch Funktionalitäten zum Öffentlichem, Privatem,- und auch dem Hybrid Cloud Computing.

openQRM abstrahiert Dienste in einem „Appliance“ Master-Objekt das alle Informationen beinhaltet, wie ein Service zu verwalten ist z.B. Typ der Virtuellen Maschine oder welches Physikalische System, Hardware-Anforderungen, Typ und Version des Betriebssystems, Details über zu startenden Applikationen und auch Service-Level-Agreements (SLA) wie z.B. der Dienst benötigt mindestens 2 CPUs, 4GB Speicher und muss Hochverfügbar sein.

Unterhalb der Komponenten des „Appliance“ Master-Objekts sind die verschiedenen Subsystem angesiedelt, die die eigentlichen Aktionen dann mittels unterschiedlicher Plugins in den verschiedenen Technologien umsetzen und ausführen.

Als eines der wenigen Lösungen, die auf der Idee von Cloud Computing basieren, bietet openQRM die Möglichkeit die komplette IT-Infrastruktur zu automatisieren und nicht nur einen Teil davon, der mit der automatisierten Bereitstellung von Virtuellen Maschinen (Cloud Computing) abgedeckt werden kann. Mit openQRM lässt sich die gesamten Aufgaben in Rechenzentren effizient automatisieren ohne sich auf bestimmte Technologien festlegen zu müssen. Da openQRM auch die automatisierte Bereitstellung von physikalische Systemen voll unterstützt kann man es sogar benutzen um, innerhalb der openQRM Cloud, „Wolken“ andere Cloud Anbieter voll automatisch seinen Benutzern zur Verfügung zu stellen. Um den „Cloud Vendor Locking“ auszuschließen stellt openQRM zudem Schnittstellen zu den bekannten Öffentlichen Cloud Anbietern wie z.B. Amazon EC2, Eucalyptus und der Ubuntu Enterprise Cloud zur Verfügung.

Über Matthias Rechenburg

Matthias Rechenburg ist Projektmanager des openQRM Projekts und Geschäftsführer der openQRM Enterprise GmbH. Stellen Sie ihm eine beliebige Frage zu den tiefsten openQRM-Interna – Matthias wird sich freuen Ihnen die technisch fundierteste Antwort geben zu können. Seit vielen Jahren ist er in eine Vielzahl Open-Source-Projekte involviert, die sich mit hochverfügbaren Cluster-Lösungen, Serverkonsolidierung, Netzwerk- und Storage-Management beschäftigen. Sein Hauptinteresse liegt in den verschiedenen Virtualisierungs-Technologien, deren Funktionalität und deren Integration in eine generische Virtualisationsschicht für moderne Datacenter. Matthias lebt mit seiner Frau in Bonn, liebt es selbst zu entwickeln, reist gern und genießt es sich an Open-Source-Veranstaltungen und Kongressen zu beteiligen.

Bildquelle: http://www.hcrealty.com

von Sven Thomsen

Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben.

Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing.

Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.

Verantwortung und Verträge

Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“.

Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig.

Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden.

Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen.

Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen.

Der CIO des Bundes [1] hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.

Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen.

Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.

Outsourcing

Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt.

Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1.11 des Grundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards [4] 100-1 bis 100-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine
akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.

Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses.

Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1.11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.

Datensicherheit

Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.

Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.

Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter.

Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.

Datenschutz

Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen.

Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.

Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden.

Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.

Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.

Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.

Fazit

Cloud-Computing “erbt” in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.

Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen.

Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen.

Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff.

Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.

Über Sven Thomsen

Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutz bei der automatisierten Verarbeitung personenbezogener
Daten sowie den technischen Datenschutz in der Telekommunikation und bei Telemedien. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.

Onlinequellen
[1] http://www.cio.bund.de/cln_093/DE/Home/home_node.html
[2] http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
[3] https://www.bsi.bund.de/ContentBSI /grundschutz/kataloge/baust/b01 /b01 01 1 .html
[4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html

Zu den handverlesenen Sprechern in Hamburg gehören:

1. Dr. Johannes Mainusch | Vice President Operations, XING AG und freier Berater
2. Nina Diercks, Rechtsanwältin | http://www.socialmediarecht.de
3. Jan Schneider, Rechtsanwalt: SKW Schwarz Rechtsanwälte
4. Tim Cappelmann, Leiter Managed Service: AirITSystems GmbH
5. Udo Schneider, Architect EMEA: Trend Micro
6. Florian Ebert, IT-Security Consultant: Siemens Enterprise Communications
7. Eva Schlehahn, Legal Researcher + Consultant: Unabhängiges Landeszentrum für Datenschutz
8. Dr. Christopher Kunz, Geschäftsführer: filoo GmbH
9. Sebastian Rohr, CTO (CISSP/CISM) | accessec GmbH
10. Peter Griesbeck, Leiter Consulting & Design – Network, Infrastructure and Security: Siemens Enterprise Communications
11. Sven Thomsen, Referatsleiter / Referent | Unabhängiges Landeszentrum für Datenschutz
12. Steffen Heyde, Principal Portfolio Manager | secunet Security Networks AG
13. Sven Schlüter, Senior Security Consultant“ | Context Information Security
14. Julija Got, Absolventin der Wirtschaftsinformatik | TU München (Studenten Wildcard)

Studenten Wildcard

Neben 13 hochkarätigen und national sowie international bekannten Experten haben die Organisatoren der SecTXL dieses Jahr eine Wildcard für Studenten/innen eingeführt. Damit soll es dem Nachwuchs ermöglicht werden die Ergebnisse Ihrer Diplom-/ Bachelor- oder Masterarbeiten aus dem Bereich der IT-Security, IT-Recht oder zu einem passenden Themengebiet, das von der behandelt wird, den Teilnehmern/-innen zu präsentieren.

Keine Roadshow

Die Organisatoren weisen darüber hinaus daraufhin, dass es sich bei der SecTXL ’12 um KEINE Roadshow handelt:

Es mag der Eindruck vermittelt werden, dass es sich bei der SecTXL ’12 um eine Roadshow handelt, also in unterschiedlichen Städten zu Gast ist und dort jeweils dieselben Referenten und Ihre Themen präsentiert. Dem ist nicht so!

Wir möchten und werden allen Teilnehmern eine Sprecher-, Themen- und Vortragsvielfalt über das gesamte Jahr hinweg bieten. Es lohnt sich daher mehr als eine SecTXL ’12 zu besuchen.

Weitere Informationen

Alle weiteren Informationen sind unter http://12.sectxl.com/hamburg/agenda-hamburg bzw. http://12.sectxl.com/hamburg/referenten-hamburg zu finden.

Hier geht es zur kostenpflichtigen Registrierung der SecTXL ’12 | Hamburg.

Bildquelle: http://www.whizmoandgizmo.com

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Sicherheitsanforderungen

Bedenken in Bezug auf die Sicherheit gehören zu der größten Hemmschwelle und sprechen gegen den Einsatz von Cloud Computing. Cyber-Ark hat dazu acht Bereiche bei Cloud Anbietern identifiziert, die es zu beachten und überprüfen gilt. Denn speziell die Administratoren der Anbieter verfügen über den Zugriff auf sämtliche Daten sowie Anwendungen, Prozesse, Services und Systeme.

1. Management privilegierter Benutzerkonten: Der Cloud Anbieter muss über ein sogenanntes Privileged-Identity-Management-System zur Verwaltung privilegierter Accounts in seiner gesamten Infrastruktur verfügen. Damit soll dem Unternehmen garantiert werden, dass der Anbieter die Datensicherheitsanforderungen bzgl. Policies, Prozesse und Practices erfüllt. Zudem sollte der Cloud Anbieter Standards wie ISO 27001 oder 27002 einhalten.
2. Policy-Konformität: Alle Policies und Prozesse des Privileged Identity Management des Cloud Anbieters müssen im besten Fall den ISO-Normen entsprechen aber auf jedenfall mit denen des Unternehmens übereinstimmen.
3. Evaluierung: Die Sicherheitsstruktur des Cloud Anbieters muss vom Unternehmen im Detail überprüft und evaluiert werden. Hier ist besonders zu prüfen, dass Programme für das Privileged Identity Management genutzt werden, mit denen die Security-Policies und -Prozesse automatisch unterstützt werden.
4. Dokumentation: Die Richtlinien und Prozesse des Privileged Identity Management müssen Anforderungen für das Audit und Reporting erfüllen. Dazu sollten die eingesetzten Technologien und Konzepte innerhalb der Service Level Agreements festgehalten werden.
5. Definition von Rollen: Über Policies muss den privilegierten Benutzern der Zugang zu entsprechenden Bereichen limitiert werden. Dafür ist eine sogenannte “Separation of Duties” erforderlich.
6. Keine versteckten Passwörter: Es dürfen keine Passwörter gespeichert werden, die einen Zugang zu Backend-Systemen oder Datenbanken ermöglichen.
7. Überwachung: Der Cloud Anbieter ist in der Pflicht, die privilegierten Benutzerkonten dauerhaft zu kontrollieren und zu überwachen.
8. Reporting: Für alle privilegierten Benutzerkonten müssen lückenlose Protokolle und Reportings in Bezug auf den Zugriff und die Aktivitäten erstellt werden. Diese müssen dem Unternehmen wöchentlich oder monatlich zur Verfügung gestellt werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[...] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

• Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
• Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
• Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
  Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
• Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
• Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
• Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
  Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[...] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[...] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

Darauf kommt es im Kundenkontakt an

Bei der zunehmenden Komplexität und Geschwindigkeit im Arbeitsalltag ist es umso wichtiger, dass man adäquat auf die Fragen seiner Kunden und Partner reagieren kann. Sei es im persönlichen, telefonischen oder elektronischen Kontakt via E-Mail – ein guter und kompetenter Service gegenüber seinen Kunden ist die Basis für eine langfristige Geschäftsbeziehung. Die Grundlage dafür ist eine solide Informationsbasis. Zum einen müssen relevante Informationen, wie der Grund des letzten Gespräches firmenweit verfügbar sein, falls der jeweilige Kollege gerade einmal nicht erreichbar ist. Zum anderen muss man sich möglichst einfach und schnell zurecht finden.

Gerade für KMU gilt: Weniger ist mehr

Bei der Einführung einer neuen Cloud Software wie einem CRM System verändert sich eines nicht im Vergleich zu klassischer Software: Die Lösung sollte so einfach und intuitiv verständlich wie möglich sein. Der erste Schritt in die richtige Richtung ist die klare Eingrenzung des Funktionsumfangs. Gerade in kleinen Unternehmen sollte die Einführung möglichst ohne große Schulungsaufwände und Einarbeitungszeiten über die Bühne gehen, vielmehr sollte eine neue Lösung nach den ersten Tagen bereits eine spürbare Verbesserung des Arbeitsalltags mit sich bringen.

CentralStationCRM: Einfaches CRM für kleine Unternehmen

Die Cloud Lösung CentralStationCRM richtet sich klar an kleine Unternehmen ab dem ersten Mitarbeiter. Der Funktionsumfang und der Aufbau des Systems verfolgt einen sehr qualitativen Ansatz der Kontaktpflege und legt weniger wert auf Auswertungen und Berichte. Dadurch können die Eingabemasken deutlich verschlankt werden und der Blick des Anwenders liegt auf den wesentlichen Funktionen und Aufgaben im Zusammenhang mit den eigenen Kunden und Kontakten.

Neben der Dokumentation von Gesprächen oder E-Mails unterstützt CentralStationCRM bei der Aufgabenverteilung im Team und schafft Transparenz in den Kundenbeziehungen. Angebotsdaten oder sonstige Kundeninformationen sind so immer verfügbar und abrufbereit, ganz gleich ob der verantwortliche Kollege gerade im Urlaub oder in einer Besprechung ist.

CentralStationCRM ist der Begleiter in der täglichen Arbeit und kann die Vorteile der Cloud insbesondere bei der mobilen Nutzung ausspielen. So können die Kundendaten auch über mobile Endgeräte wie iPad, iPhone, Android Smartphones und mehr in Echtzeit abgerufen werden. Für Entwickler bietet 42he eine API, die mit diversen Ressourcen ausgestattet ist und die Programmierung von Erweiterungen zulässt.

Über 42he

42he entwickelt Produktivitätslösungen für kleine Teams und Unternehmen in der Cloud. Dazu gehören neben der CRM Software CentralStationCRM noch ein Projektmanagement System sowie eine Branchenlösung für die Gastronomie. Hier geht es um die CRM Lösung CentralStationCRM.

Was ist ein Sponsored Topic?

]]> http://clouduser.de/news/sponsored-topic-centralstationcrm-kontakt-und-kundenmanagement-aus-deutschland-6411/feed 0 http://clouduser.de/management/die-herausforderungen-des-cloud-computing-schatten-it-6091 http://clouduser.de/management/die-herausforderungen-des-cloud-computing-schatten-it-6091#comments Thu, 08 Dec 2011 09:24:26 +0000 René Büst http://clouduser.org/?p=6091 Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Schatten IT

Eine Schatten-IT entsteht durch die Nutzung von IT-Ressourcen wie Hardware und Software von Mitarbeitern ohne die Kenntnis der IT-Abteilung.

Dabei entsteht die Schatten-IT in den meisten Fällen nicht aus Boshaftigkeit, sondern aus Unwissenheit und z.T. Verzweiflung. So verfügt eine Vielzahl von Unternehmen bspw. nicht über ausreichend Softwarelizenzen. Die Mitarbeiter greifen dann auf alternative Anwendungen z.B. aus dem Open Source Bereich zurück. Anstatt nun auf lokale Applikationen zurückzugreifen, greifen die Mitarbeiter auf Anwendungen aus der Cloud zurück. So ist es z.B. sehr einfach möglich, einen kostenlosen Dropbox Account (Cloud Storage) zum Speichern von Dateien anzulegen oder mittels Google Docs ein Dokument zu erstellen. Ähnlich ist es mit Infrastruktur Ressourcen wie virtuellen Servern. Durch die immer leichter zu bedienenden Managementoberflächen über einen Webbrowser können sich Entwickler oder Fachabteilungen ein eigenes virtuelles Rechenzentrum in der Cloud aufbauen ohne dass die IT-Abteilungen etwas davon merken.

Solche Situationen entstehen, da die meisten IT-Abteilungen nicht auf dem aktuellen Stand technologischer Entwicklungen sind. Zudem vergehen von der Bestellung z.B. von Serverressourcen für ein Projekt bis zur endgültigen Bereitstellung durch die IT-Abteilung teilweise Monate. Durch den unkomplizierten Zugriff auf Ressourcen von einem Public Cloud Anbieter erhalten die Mitarbeiter schneller die Leistungen, die sie für ihr Projekt benötigen.

Durch den Einsatz von Firewalls und weiteren Sicherheitstechnologien können IT-Abteilungen den Zugriff auf externe Ressourcen beschränken. Das führt jedoch zur Verringerung der Kreativität der Mitarbeiter. Für die IT-Abteilungen gilt es daher in erster Linie aktiv Aufklärungsarbeit zu leisten. Zudem sollten IT-Abteilungen nicht zu einem überwachenden Organ werden. Unternehmen sollen mittlerweile dazu übergehen, Firmenkreditkarten zu überwachen. Wenn keine Firmenkreditkarten vorhanden sind, werden die Spesen und Reisekostenabrechnungen der Mitarbeiter überwacht, da Mitarbeiter und Fachabteilungen dazu übergegangen sind, die Kosten für den Cloud Service mit der privaten Kreditkarte zu begleichen und die Kosten über Spesen etc. zu verrechnen.

IT-Abteilungen sollten daher selbst kleine Cloud Projekte starten und über diese aktiv berichten. Damit zeigen sie ihren Kollegen und Mitarbeitern, dass sie über die geforderte Expertise verfügen und zudem offen gegenüber der Cloud und neuen Technologien sind. Die IT ist heutzutage nun einmal der Business Enabler und die IT-Abteilungen erhalten durch das Cloud Computing noch mehr Potential, das zu fördern.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

IT-Strategie und Unternehmensstrategie

Eine CA Studie hat ergeben, dass eine nachhaltige Veränderung nur erreicht werden kann, “[...] wenn das Thema Cloud Computing fest in der IT Strategie des Unternehmens verankert wird.” Mit dem Ansatz der Implementation mit nachfolgender Organisation führt nicht zur optimalen Ausnutzung der Cloud Computing Potenziale. Daher ist es notwendig, die vorhandene IT-Strategie zu überdenken und dabei den Aspekt des Cloud Computing mit einzubeziehen. Das grundlegende Ziel jeder IT ist die optimale Unterstützung der Kerngeschäfte eines Unternehmens. Wie Cloud Computing an dieser Stelle seinen Wertbeitrag leistet, ist von Unternehmen zu Unternehmen unterschiedlich. Jedoch zeigt ein Blick auf die Ziele eines Unternehmens, wie die IT-Strategie aussehen muss, woraus sich dann mögliche Cloud Computing Szenarien ableiten lassen. Auf Basis dieses Gesamtbildes lässt sich eine optimale Gesamtarchitektur entwickeln, in der auch mögliche Kandidaten für einen Cloud Service zu erkennen sind.