Sichere und nachhaltige Cloud-Transformation

„Cloud-Dienste sind ein Booster für die Digitalisierung.“

Warum eine Cloud in Teilen sicherer als eine On-Premise-Lösung ist, was eine sichere und nachhaltige Cloud-Transformation ausmacht und wie Unternehmen durch die Cloud profitieren, erzählt Cloud-Experte Tim Gravemann vom IT-Dienstleister pco.

Tim, bereits zahlreiche Unternehmen setzen auf Cloud-Dienste, andere zögern noch. Warum sollten Unternehmen den Schritt in die Cloud wagen?

Ich bin der Meinung, dass gerade mittelständische Unternehmen sich in Zukunft weiter digital transformieren und modern aufstellen müssen. Der Weg in die Cloud ist hierbei aus unserer Sicht unumgänglich. Mittelständische Unternehmen agieren aktuell immer mehr in dynamischen und unvorhersehbaren Märkten. Um zukunftsfähig zu bleiben, müssen sich Unternehmen heute schneller mit digitalen Geschäftsmodellen beschäftigen und anpassungsfähiger in ihren Prozessen sein.

Was ist denn anders als, sagen wir mal, vor fünf Jahren?

Wie schnell neue und digitale Geschäftsmodelle Branchen verändern können, zeigen Beispiele von Unternehmen wie Uber oder AirBnB, die mit ihrem Konzept lang etablierte Wettbewerber alt haben aussehen lassen. Das sind extreme Beispiele. Aber welche Umwelteinflüsse beispielsweise auf Unternehmen wirken können, haben wir während Corona gesehen. Ohne den Einsatz von Cloud-Diensten hätten viele Betriebe nicht in der Geschwindigkeit weiterarbeiten können.

Der Mittelstand scheint beim Thema Digitalisierung im Vergleich zu Großunternehmen ganz besonders unter Druck zu stehen.

Ja. Gerade mittelständische Unternehmen sind, durch unterschiedliche Einflüsse, schnell einem ganz neuen Wettbewerbsdruck ausgesetzt, der Branchen disruptiv verändern kann. Unternehmen müssen also flexibler denken, ohne dabei auf Sicherheit verzichten zu müssen.

Wir können sogar noch einen Schritt weitergehen. Zusätzlich zeigt aus meiner Sicht der Einsatz von Cloud-Technologien, wie innovativ ein Unternehmen tickt. Gerade in Zeiten eines weit verbreiteten Fachkräftemangels – vor allem in der IT – sorgen moderne Services und Infrastrukturen für ein großes Plus in der Mitarbeitergewinnung von „Young-Professionals“, die einen ganzen anderen Anspruch an ihren Arbeitsplatz haben.

Auch im Bereich Nachhaltigkeit ist die Cloud weit vorne. Unternehmen müssen aktuell zahlreiche politische Vorgaben erfüllen. Alle Cloudanbieter werden bis 2025 zu 100 Prozent auf erneuerbare Energien setzen. Darüber soll Cloud Computing nach EU-Vorgaben bis 2030 CO2-neutral werden.

Ihr seht die Cloud-Transformation für eure Kunden als wichtigen Schritt in Richtung Zukunft an. Wie schätzt du die aktuelle Situation am Markt ein?  

Aktuell ist unsere Erfahrung, dass es in den Kundengesprächen nicht um die Frage “ob Cloud geht“ , sondern “wann und mit welchen Services“.  Hierbei stellen wir häufig fest, dass bei unseren Kunden eine Übersicht über alle relevanten IT-Services und die unterliegende IT-Architektur fehlt. Denn nur wenn wir wissen, um welche IT-Services es sich handelt, können wir eine bedarfsgerechte Sourcing- oder Cloud-Strategie entwickeln.

Trotzdem schreitet die Cloud-Transformation insgesamt noch sehr langsam voran.

Der Entwicklung stehen tatsächlich einige Hindernisse entgegen, die den Einsatz neuer Technologien erschweren. Hierzu gehören vor allem der Fachkräftemangel, eine nicht ausreichende technologische Basis sowie Compliance- und Governance-Anforderungen. Um diesen Herausforderungen entgegenzuwirken, ist es umso wichtiger, die IT zu entlasten und den richtigen Partner oder Managed Service Provider an der Seite zu haben, der bei diesen Vorhaben unterstützt.

Auch Sicherheitsbedenken verlangsamen den Transformationsprozess. Wie sicher ist die Cloud?

Das ist ein großes Thema und auch bei unseren Kunden und Kundinnen gibt es immer mal wieder Bedenken. In Kundengesprächen geht es vor allem um das Thema Vertrauen, auch in Hinblick darauf, Daten beispielsweise einem amerikanischen Unternehmen anzuvertrauen. Dabei ist es besonders wichtig, dass auch die Unternehmen selbst das Thema Datensicherheit verantwortungsbewusst angehen. Denn ein bedeutender Faktor für die Sicherheit der Unternehmensdaten ist der Umgang mit diesen durch die Mitarbeiter und Mitarbeiterinnen. Neben der entsprechenden Schulung der Mitarbeitenden und einer eindeutigen Sicherheitsrichtlinie ist auch ein lösungsorientierter Datenschützer sehr wichtig.

Vielen fällt deshalb die Auswahl der richtigen Cloud nicht leicht. Hast du Tipps?

Die Auswahl der richtigen Cloud ist ein sehr wichtiger Aspekt für die Datensicherheit. Die Microsoft Cloud-Lösung Azure ist eine der führenden Lösungen am Markt und auch bei unseren Kunden sehr beliebt. Das Engagement und die Investitionen von Microsoft im Bereich Datensicherheit sprechen für sich und zeigen deutlich, wie Microsoft die Cloud sicher macht. Ich habe ein paar Zahlen dazu mitgebracht, soll ich sie mal in den Raum werfen oder sprengt das das Interview?

“Die Auswahl der richtigen Cloud ist ein sehr wichtiger Aspekt für die Datensicherheit.“

Wir sind neugierig. Nur zu!

Microsoft hat auf fünf Jahre gesehen insgesamt 20 Milliarden US-Dollar in die Datensicherheit investiert und rund 8500 Experten aus 77 Ländern allein im Bereich Cyber Security beschäftigt. Im Zeitalter des Fachkräftemangels zieht es nun einmal viele Experten zu den großen Herstellern und Dienstleistern. Hierdurch sind Unternehmen darauf angewiesen, Themen abzugeben und Security Services einzukaufen.

Täglich werden von einem Analysten-Team etwa 24 Billionen Sicherheitssignale verarbeitet, die durch künstliche Intelligenz gestützte Vorhersagen treffen und das mit beeindruckenden Resultaten: 9 Milliarden Endpoint Threads, 31 Milliarden Identity Threads und 32 Milliarden E-Mail Threads wurden blockiert – die Microsoft Plattform wird unter anderem dazu genutzt, weltweit Telemetriedaten zu sammeln und Anomalien zu erkennen. Es geht dabei nicht nur um Cloud-Sicherheit. Es werden mit den Tools auch viele On-Premises und andere Cloud-Infrastrukturen überwacht. Signale, die Microsoft nutzt, um die IT-Welt ein Stück sicherer zu machen, sind unter anderem IoT, Defender, aber auch AWS oder andere Clouds.

Beeindruckende Zahlen, aber wie übersetze ich das jetzt? Welche Mechanismen greifen denn ganz konkret in der Cloud?

Sollten tatsächlich einmal Sicherheitsprobleme auftauchen, gibt es zahlreiche Sicherheitssysteme der Hersteller, um schnell zu reagieren und den Schutz wieder herzustellen. Zudem sichern viele Mechanismen den Zugriff auf die Unternehmensdaten: Schutz per Default, integrierte-Zwei-Faktoren-Lösungen oder Conditional Access Lösungen. So lässt sich granular steuern, welche User Zugriff auf entsprechende Daten in der Cloud sowie On-Premises haben.

Und speziell bei den Microsoft-Technologien?

In der Microsoft Cloud gibt es beispielsweise verschiedene Mechanismen, durch die Daten wie Kreditkarteninfos, Passwörter oder weitere sensitive Daten verschlüsselt werden. Diese Daten werden automatisch verschlüsselt, sobald sie das Unternehmen verlassen. Hier gibt es zudem verschiedene Warnungen, die die entsprechenden Nutzer erhalten. Solche Mechanismen sind teilweise als Standard in Microsoft-Plänen enthalten und bedürfen keiner aufwendigen Konfiguration.

Auch für die Ausfallsicherheit von Services gibt es schnelle und einfache Lösungen: SQL-Services, virtuelle Maschinen, die in der Cloud bereitgestellt werden und Ausfälle sichern. Im On-Prem Bereich wird das deutlich teurer. In der Cloud lässt sich ein Ausfallszenario leicht über ein Data Center bauen und die Ressourcen aus dem Data Center in die Cloud spiegeln und duplizieren.

Ergänzen wir diese technischen Möglichkeiten mit dem wachsenden Fortschritt von cloudbasierten KI-Technologien, scheint es nur sinnvoll zu sein, dass Unternehmen sich mit dem Thema Cloud und Cloud-Sicherheit befassen, um Ressourcen für das Kerngeschäft freizumachen.

Neben den technischen Möglichkeiten werden auch häufig regulatorische Herausforderungen eine Rolle spielen. Gibt es hier Neuigkeiten, die den Weg in Richtung Cloud eventuell vereinfachen?

Eine bedeutende Neuerung ist das EU-US Data Privacy Framework (kurz: DPF), welches seit dem 10.07.23 den Datenexport in die USA erlaubt. Dieses neue Datenschutzabkommen mit den USA ermöglicht einen unproblematischen Einsatz von M365. Hier gilt es für Unternehmen und Cloud-Anbieter Folgendes zu beachten: Das DPF muss als Grundlage des Exports verwendet werden, Unternehmen dessen Cloud-Dienste verwendet werden, müssen entsprechend zertifiziert sein und es muss beim Dienst geprüft werden, dass dessen Datenschutzhinweise und die Auftragsdatenverarbeitung sich auch auf das DPF stützen.  

Natürlich sollte weiterhin der Grundsatz der Datensparsamkeit beachtet und möglichst alles abgeschaltet werden, was nicht benötigt wird sowie entsprechende Sicherheitsmaßnahmen etabliert werden. Um einen Überblick zu bekommen, welche Daten wohin fließen, benötigt man darüber hinaus eine Datenklassifikation, die man mit den Bordmitteln von Microsoft 365 Business Premium, E3 und E5 sowie den entsprechenden Education und Frontlineworker Lizenzen sehr gut umsetzen kann.

“Die Verantwortung zur Datensicherheit kann nicht allein beim Cloud-Anbieter liegen.”

Du hast eben angesprochen, dass auch die eigenen Mitarbeiter und Mitarbeiterinnen ein potenzielles Sicherheitsrisiko darstellen können. Was meinst du damit?

Die Verantwortung zur Datensicherheit kann nicht allein beim Cloud-Anbieter liegen, denn oft sind es User, die Daten falsch ablegen beziehungsweise Sicherheitsrichtlinien missachten. Diesbezüglich gibt es das Shared-Responsibility-Modell, welches die Verantwortlichkeiten für die abzulegenden Daten und Informationen klar regelt.

Das musst du genauer erklären.

Kurz gesagt: Der Cloud-Anbieter stellt einen sicheren Ort, also die Cloud, zur Verfügung – Die Nutzer, oder Kunden, sind dafür verantwortlich, die Daten und Anwendungen sicher zu halten und zu organisieren. Kunden und Kundinnen müssen also auch unbedingt sensibilisiert und angeleitet werden, wie sie mit ihren Daten umzugehen haben. Die IT sorgt gleichwohl dafür, dass keine Daten unverschlüsselt abgelegt werden können und ergänzt gegebenenfalls noch Verfahren wie “Bring your own key” oder “hold your own key”. Hierbei kann die IT des Kunden entscheiden, wo der „Schlüssel“ für die Daten liegt: On-Premise oder in der Cloud. Das minimiert das Risiko, oder besser, erhöht die Cloud-Sicherheit.

Unternehmen stehen gerade also konkret vor dem Wandel in digitale Geschäftsmodelle. Märkte werden komplexer und IT-Personal wird immer weniger. Führt zukünftig noch ein Weg an Cloud-Diensten vorbei, um sicher digitalisieren zu können? 

Meiner Meinung nach heißt die Lösung der Zukunft ganz klar: Cloud! Cloud-Dienste sind ein Booster für die Digitalisierung und schaffen in vielen Bereichen eine sichere Basis. Das heißt aber nicht zwingend, alles in die Cloud zu migrieren, sondern den richtigen Mittelweg beziehungsweise den richtigen Sourcing-Mix auf Basis der IT- und Unternehmensstrategie zu finden. Managed Service Provider wie pco können Unternehmen dabei mit ihrer Erfahrung und Kompetenz in diesem Bereich unterstützen, diese Infrastrukturen zu betreiben. Denn das Wichtigste ist nun, sicher zu digitalisieren und Vertrauen zu schaffen. Einer der Slogans unseres Geschäftsbereichs heißt: Wer nicht mit der Zeit geht, geht mit der Zeit. Das trifft es ziemlich auf den Punkt.

Vielen Dank, Tim.

Das Interview erschien erstmalig in der Ausgabe 02/23 unseres Magazins data! Alle Ausgaben und Artikel findest du hier:

data! Magazin: Cloud Services, Data Analytics & AI | taod