5 Gründe, warum Verantwortung geteilt gehört

Daten bequem auslagern, Applikationen nutzen, wenn man sie braucht, Storage und Performance auf Knopfdruck – das wollen immer mehr Unternehmen. Cloud-Computing ist dazu eine wichtige Basis. Aber wer trägt eigentlich die Verantwortung in solchen Konzepten? Die Antwort mag überraschen – und auch Augen öffnen.

Outsourcing ist nicht gleich Cloud-Computing

Outsourcing ist cool. Das fängt beim geleasten Firmenwagen an und hört bei der Serverinfrastruktur noch lange nicht auf. Gleichzeitig öffnen sich damit viele Türen zu falschen Vorstellungen. „Das Thema Verantwortung in der Public Cloud ist eine Geschichte voller Missverständnisse“, sagt beispielsweise Gartner-Analyst René Büst. Seine Erfahrung: „Das klassische Outsourcing ist in den Köpfen vieler IT-Entscheider immer noch weit verbreitet.“ Daher werden Public-Cloud-Anbieter gerne als Full Service Provider verstanden – was nicht unbedingt der Intention in einem konkreten Projekt entsprechen muss.

Public-Cloud-Anbieter müssen keine Full Service Provider sein

Beim klassischen Outsourcing übernimmt ein externer Dienstleister den vollständigen IT-Betrieb. Daraus entstand die Erwartung oder der Wunsch, auch Public-Cloud-Anbieter als Full Service Provider zu betrachten. Allerdings kann eine erfolgreiche Cloud-Strategie nur gemeinsam entwickelt werden. Denn in der Regel handelt es sich bei solchen Projekten kaum um Lösungen von der Stange – zu individuell sind die Anforderungen der Unternehmen. Daher ist die aktive Mitwirkung des Kunden von Anfang an ganz entscheidend – und auch die gemeinsame Weiterentwicklung des Cloud-Konzepts.

Verantwortung für die Applikationen übernehmen

Daraus ergibt sich das Prinzip der „Shared Responsibility“: Die Verantwortung auf Plattform- bzw. Infrastrukturebene übernimmt der Cloud-Partner. Doch was dahinter liegt oder dahinter verwendet und genutzt wird, liegt in der Verantwortung des Kunden. „Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder VMware als Full Service Provider zu betrachten und ihnen die Verantwortung für den gesamten Stack – von der Infrastruktur bis hoch auf die Applikationsebene – übertragen zu wollen, ist falsch“, sagt Büst. Und appelliert an die Eigen- bzw. Selbstverantwortung.

Geteilte Zuständigkeit verstehen und anwenden

Als einer der führenden Anbieter von Cloud-Lösungen widmet sich Microsoft diesem Thema in einem eigenen White Paper.

Und Microsoft definiert die Zuständigkeiten klar: Firmenbezogene Daten und Identitäten gehören bei jeder Art von Cloudbereitstellung dem Unternehmen. Dieses ist daher auch für den Schutz der Sicherheit seiner Daten und Identitäten, lokalen Ressourcen und der von der Firma gesteuerten Cloudkomponenten zuständig (abhängig von der Art des Dienstes). Für Daten, Endpunkte, Konten und Zugriffsverwaltung ist also das Unternehmen bzw. der Cloud-Kunde zuständig.

Sicherheitsvorteile der Cloud helfen Unternehmen

Doch was ist dann der große Vorteil etwa von Azure? Es ist der Schutz von Daten. In einer rein lokalen Umgebung können Unternehmen kaum die gleichen Standards schaffen – zu aufwändig, zu teuer, zu komplex. Damit dient die Public Cloud auch als Schutz bzw. Zugbrücke gegen Angreifer. So lassen sich die täglichen Sicherheitsaufgaben an einen geeigneten und erfahrenen Cloud-Provider übergeben, während die interne IT sich der Zuordnung und Verwaltung der internen Ressourcen annimmt. Und noch eines: „Mitwachsende“ Lösungen, die auch unter dem Begriff „Cloud Intelligence“ zusammengefasst werden, sich für reine Private Clouds kaum realisierbar.

Fazit: Cloud-Computing bietet enorme Vorteile, muss aber richtig eingeordnet und verstanden werden. Entscheidend ist ein Partner, der alle relevanten Vorteile und Herausforderungen für ein Unternehmen versteht – und damit umzugehen weiß.