28
MIDRANGE
AKTUELL
MIDRANGE
MAGAZIN · 10/2017
Uwe Schneider und Nils Wulf, UBL Informationssysteme GmbH
„Click and Hope, oder: Sicher
durch den Cloud-Dschungel“
In den letzten Monaten ist die Anzahl angebotener Services aus der Cloud geradezu explo-
diert. Es herrscht eine unübersichtliche Fülle an Angeboten in sehr umfangreichen Portalen
der Cloud-Anbieter, deren Komponenten sich kaum 1:1 miteinander vergleichen lassen.
Hinzu kommt, dass am Markt immer noch ein unterschiedliches Verständnis von Begriff-
lichkeiten herrscht und zum Unverständnis beiträgt. Die beiden Geschäftsführer der UBL
Informationssysteme GmbH, Uwe Schneider und Nils Wulf, verdeutlichen die Situation im
Gespräch mit dem Midrange Magazin (MM).
MM:
Was macht in Ihren Augen den Pu-
blic und Multi Cloud Markt so undurch-
sichtig, dass Sie vom Cloud „Dschun-
gel“ sprechen?
Schneider:
Das erfordert generell eine
intensive Auseinandersetzung mit dem
Thema. Betrachten Sie zum Beispiel
einmal die Services und das Delivery-
Modell von Amazon oder die Nutzung
von Chatbots bei Watson. Um hier alle
Aspekte vernünftig zu beleuchten, reicht
ein Tag nicht aus. Es ist hoch komplex,
seine individuellen Anforderungen mit
der Vielzahl an angebotenen Cloud Ser-
vices zu matchen, dafür fehlt es im Mit-
telstand an Manpower und Know-how.
Wir wundern uns nicht, wenn sich da
Ratlosigkeit breit macht. Gleichzeitig ist
es aber auch so, dass viele Fachabtei-
lungen in Unternehmen bereits Cloud
Services nutzen, ohne dass dies der
IT-Abteilung bekannt ist. Da sind die
Fachabteilungen oft schneller, leider
aber auch oft argloser gewesen. Das se-
hen wir mit Sorge.
MM:
Wozu raten Sie dann dem IT-
Verantwortlichen im klassischen Mit-
telstand? Erst einmal eine Bereinigung
am Cloud Markt abwarten und die
„Großen“ ihre Erfahrungen mit Multi
Clouds und Cloud Services machen
lassen?
Wulf:
Nein, das würde aus unserer Sicht
wichtige Innovationen verzögern und
bedeuten, die Wettbewerbsfähigkeit zu
riskieren. Die Agilität und Flexibilität
der IT sind wichtige Motoren für die In-
novationsfähigkeit eines Unternehmens
und Cloud Services können dabei sehr
gut unterstützen. Die Frage lautet für
uns nicht „ob“ in die Cloud gehen, son-
dern was gehört oder darf in die Cloud,
wann ist der richtige Zeitpunkt und wie
gehe ich vor? Da spielen vor allem Com-
pliance Richtlinien eine ganz große Rol-
le. Wir raten unseren Kunden dringend
dazu, die Dinge sehenden Auges zu tun
und nicht nach dem Prinzip „click and
hope“ Services buchen zu lassen und zu
hoffen, dass alles gut geht. Im Zweifel
entsteht dadurch eine Schatten-IT im ei-
genen Hause, deren Folgen keiner mehr
einschätzen kann.
MM:
Wie genau sollten Unternehmen
denn den Weg in die Cloud beschreiten,
um Risiken zu minimieren?
Wulf:
Da gibt es zum einen Kernthe-
men, mit denen sich CIOs prinzipiell
auseinandersetzen müssen, wie zum
Beispiel Rechtsfragen. Und dann gibt
es Themenbereiche, die ganz individuell
betrachtet werden müssen, zum Beispiel
wie geschäftskritisch sind die Daten und
Anwendungen. Bei den Kernthemen
geht es hauptsächlich um Compliance-
Richtlinien und die Frage, ob und wie
externe Cloud Services damit vereinbar
sind. Die Auslagerung einer Test- und
Entwicklungsumgebung in die Cloud ist
unter Compliance Gesichtspunkten völ-
lig anders zu bewerten als die Auslage-
rung einer Produktionsumgebung.
MM:
Wie sehen weitere typische Frage-
stellungen aus?
Wulf:
Sie beschäftigen sich beispielswei-
se damit, ob die Datenschutzregelungen
passen, wo die Daten liegen und wer
darauf zugreifen kann, ob individuelle
Verträge und SLAs möglich sind, was
lizenzrechtlich zu beachten ist, wann
welche Pönalen greifen, was im Rechts-
fall ein Gerichtsstand in oder außerhalb
der EU für mein Unternehmen bedeutet
oder ob die Cloud Services bereits der
neuen Europäischen Datengrundschutz-
verordnung entsprechen. Und natürlich
zählt auch der Faktor Sicherheit zu den
Kernthemen. Hier muss wirklich alles
auf den Prüfstand, damit ich mir mit
den Cloud Services keine sicherheitsre-
levanten Flanken zum Unternehmen hin
aufmache. Auch müssen mögliche Bedro-
hungsszenarien wie zum Beispiel DDoS-
Attacken durchgespielt und die Auswir-
kungen auf andere Geschäftsprozesse im
Unternehmen zu Ende gedacht werden.
