Cloud Computing steht derzeit als eine Art Wunderwaffe der IT-Konsolidierung auf den Wunschlisten der meisten Unternehmen - einzig die Bedenken um die Sicherheit stellen oft noch eine letzte große Hürde dar. Ein Problem, das sich jedoch mit einem ausgereiften strategischem Ansatz gut in den Griff bekommen lässt, wie Analyst Martin Kuppinger darlegt.

Eines der am intensivsten diskutierten Themen auf der European Identity Conference 2010 Anfang Mai war Sicherheit und Zugriffsmanagement in der Cloud. Das Ergebnis lässt sich einfach zusammenfassen: Wer richtig plant und Cloud Computing strategisch angeht, kann die Sicherheitsrisiken verlässlich minimieren.

Die größte Herausforderung beim Cloud Computing ist, mit anderen Worten, eine taktische, opportunistische Vorgehensweise, bei der ohne zentrale Vorgaben und ohne zentrale Kontrolle einzelne externe Dienste genutzt werden. Bei einem solchen Ansatz fehlen die Mechanismen für das Identity und Access Management, für das Auditing und die Regeln dafür, welche Informationen überhaupt wo in einer öffentlichen Cloud im Internet liegen dürfen.

Wer dagegen Cloud Computing als einen Ansatz begreift, bei dem IT-Services in standardisierter und strukturierter Weise vom jeweils bestgeeigneten Anbieter – einschließlich der internen IT – bezogen werden und dafür eine Vorgehensweise festlegt und deren Einhaltung kontrolliert, kann die Chancen, die das Cloud Computing für den optimierten, flexiblen und kalkulierbaren Bezug von IT-Leistungen und die Optimierung der eigenen IT-»Produktion« bietet, auch nutzen.

Die Rahmenbedingungen für IT-Dienste müssen dabei nicht nur die funktionale Seite, sondern auch die im weitesten Sinne als »Governance« zu bezeichnenden Aspekte einbeziehen. Dabei geht es um Fragen wie die Zugriffssteuerung, die Überwachung, die zulässigen Speicherorte für Informationen gerade in geografischer Hinsicht und Anforderungen an die Datensicherheit, aber auch die Frage, wie man Daten zu einem Dienstanbieter migrieren und von dort wieder zurück bekommen kann.

Wer diese Anforderungen definiert und ihre Einhaltung über Service Level Agreements (SLAs) sicherstellt, kann die Risiken der Leistungserbringung von IT-Diensten kontrollieren und damit auch gezielt reduzieren.

Ohne eine solche Vorgehensweise gibt es dagegen in der Tat unkalkulierbare Risiken. Wo liegen die Daten? Wie kann man sie bei Bedarf zu einem anderen Provider migrieren? Wie werden die Zugriffsberechtigungen auf externe Cloud-Dienste gesteuert? Und wie geht man mit privilegierten Zugriffsberechtigungen der eigenen Administratoren und Operatoren für einen solchen Dienst und der privilegierten Benutzer beim externen Dienstanbieter um? Diese Fragen lassen sich nur beantworten und die mit ihnen verbundenen Risiken nur minimieren, wenn man sie auch stellt – und das setzt eben voraus, dass man beim Servicemanagement und umfassenden Servicebeschreibungen beginnt, bevor man Dienste bei externen Anbieter bezieht. Wer es konsequent für alle IT-Dienste macht, wird auch durch eine höhere Qualität der eigenen IT-Leistungserbringung davon profitieren.