Auf Wolke Sieben oder im dichten Nebel?
Auf Wolke Sieben oder im dichten Nebel?
Kommentar Die Auslagerung von
Softwareanwendungen und Datenbanken an externe Dienstleister bringt
Unternehmen nicht nur mögliche Kostenersparnisse und eine erhöhte
Flexibilität. Die Risiken sind enorm. Firmen sollten das bedenken, bevor
sie sich für diesen Schritt entscheiden. von Hans-Jürgen Allerdissen
Anzeige
Hans-Jürgen Allerdissen ist Geschäftsführer
der Deutschen Verkehrs-Assekuranz-Vermittlungs-GmbH
Die Computermesse CeBIT hat ihre Pforten
geöffnet, und eines der Hauptthemen ist das "Cloud Computing". Darunter
versteht man die Auslagerung von IT-Dienstleistungen - auch unter
Nutzung des Internets. Softwareanwendungen und Datenbanken befinden sich
nicht mehr im Unternehmen, sondern bei einem externen Anbieter auf
"Server-Farmen", die automatisch dafür sorgen, dass die Rechnerlast auf
die einzelnen Server der Cloud verteilt werden. Dabei können diese
Rechner weltweit an beliebigen Standorten stehen.
Die Unternehmen erwarten durch das Auslagern
Kostenvorteile, erhöhte Flexibilität und Effektivität, weil ihre
Mitarbeiter jederzeit und an beliebigen Standorten auf die Firmendaten
zugreifen können. Zurzeit wird der Marktanteil des Cloud Computings am
gesamten IT-Markt in Deutschland auf weniger als 5 Prozent geschätzt.
Experten prognostizieren jedoch ein rapides Wachstum.
Wie jede neue Technologie birgt aber auch
diese neue Risiken. Das gilt besonders dann, wenn die Daten mehrerer
Kunden auf einem Cloud-Server liegen. Wenn es zum Beispiel Hackern
gelungen ist, den Zugang eines dieser Kunden zu hacken, besteht die
Gefahr, dass auch die Daten der eigenen Firma einsehbar oder veränderbar
sind. Die Sicherheitslücken in den Internet-Browsern sind dafür mögliche
Einfalltore.
Eine weitere Gefahr: Wenn schon die
Zuverlässigkeit der IT-Mitarbeiter im eigenen Unternehmen nicht bis ins
letzte überprüfbar ist, so ist das für IT-Mitarbeiter des
Cloud-Anbieters, die überall in der Welt sitzen können, völlig
unmöglich. Das gilt besonders im Fall einer drohenden Kündigung.
Weitere Risiken für das auslagernde
Unternehmen können sich ergeben, wenn die Daten in einem Land mit völlig
anderer Rechtsordnung liegen. Dafür mag das Beispiel Wikileaks
herhalten: Quasi über Nacht hat der Cloud-Anbieter Amazon Wikileaks von
seinen Servern geworfen, und zwar mit der Behauptung eines Verstoßes
gegen die Geschäftsbedingungen. Es gab keinen richterlichen Beschluss in
dieser Angelegenheit, offensichtlich hatte sich Amazon dem extrem
starken politischen Druck gebeugt. Ohne hier auf das problematische
Verhalten von Wikileaks eingehen zu wollen, macht der Fall doch
deutlich, dass je nach politischem Druck oder örtlich geltendem
Rechtsverständnis das plötzliche Abschalten prinzipiell auch anderen
Cloud-Nutzern passieren kann.
Umgehen könnten die Anbieter dies allenfalls,
wenn sie ständig überprüfen würden, ob ihre Kunden immer entsprechend
den Geschäftsbedingungen und den örtlich geltenden Gesetzen die Server
nutzen. An einer derart umfassenden Kontrolle, die wahrscheinlich gar
nicht darstellbar wäre, kann keiner der Kunden interessiert sein. Was
passiert eigentlich, wenn es zu einer Beschlagnahme des örtlichen
Servers durch Ermittlungsbehörden kommt? Dann sind die Daten und
Anwendungen aller anderen Firmen auf dem Server, den der "Übeltäter"
genutzt hat, gleich mit konfisziert.
Ein letzter Hinweis: Wenn sich das Unternehmen
von dem Cloud-Anbieter trennen will, hat es keine Garantie dafür, dass
ihm die Daten und Anwendungen in lesbarer Form sofort übermittelt werden
und seine Daten auf dem Cloud-Server vollständig gelöscht werden.
Zusätzlich wird die Migration der Anwendungen und Daten auf einen
anderen Cloud-Anbieter dadurch praktisch unmöglich, dass es bis heute
nicht gelungen ist, einen einheitlichen Standard für alle Anbieter
einzuführen.
Die Risikolandschaft der Unternehmen verändert
sich rapide, wenn sie ihre IT auf diese Weise auslagern. Es ist deswegen
besonders wichtig, dass sich bei einem derartigen Schritt die
IT-Fachleute mit den Risikomanagern ihrer Unternehmen intensiv darüber
Gedanken machen, welche Anwendungen sich überhaupt für einen solchen
Schritt eignen und welche zur unverzichtbaren kritischen Infrastruktur
des Unternehmens zählen und für ein Auslagern ungeeignet sind.
Ich habe nicht das Gefühl, dass diese
Diskussion überall schon in der nötigen Tiefe geführt wird.
Übrigens - nutzen Sie Google , MySpace,
Facebook oder ähnliche Internetanwendungen privat? Dann sind Sie mit all
Ihren Daten schon längst in einige dieser Wolken eingetaucht.
FTD.de, 04.03.2011
© 2011 Financial Times Deutschland
