© best_vector/Shutterstock.com
Kolumne: Stropek as a Service

Wer das volle Potenzial der Cloud ausschöpfen will, muss umdenken


Wenn ich mit Kunden arbeite, die den Umstieg von klassischer IT in Richtung Cloud planen, stehen in Sachen Informationssicherheit so gut wie immer zwei Fragen im Mittelpunkt: Wie halten wir Hacker durch Firewalls von unseren Servern fern und wie verhindern wir das Mitlauschen der US-Cloud-Provider? Diese Fragen spiegeln den typischen Sicherheitsansatz wider, den Firmen seit Jahrzehnten verfolgen. Sie schotten ihr Netzwerk durch Firewalls vom Internet ab und treffen unterschiedlich stark ausgeprägte Maßnahmen, um ihr lokales Netz sicher zu halten. Die Serverhardware und große Teile ihrer Netzwerkinfrastruktur halten sie unter ihrer physischen Kontrolle, um den Zugriff durch nicht berechtigte Personen zu verhindern und dadurch den Datenschutz sicherzustellen.

Diese Maßnahmen prägen auch die Organisationsstruktur. Es gibt in der Regel eine eigene IT-Sicherheitsabteilung, die zum Großteil aus Expertinnen und Experten für Firewalls, Netzwerksicherheit, Virenscanner und Betriebssicherheit im Rechenzentrum besteht. Sie arbeiten Hand in Hand mit den Administratorinnen und Administratoren, die die Hoheit über hochprivilegierte Benutzerkonten sowie die Verantwortung für die Hochverfügbarkeit der Basisinfrastruktur besitzen und sich um Updates kümmern. Die Softwareentwicklung ist organisatorisch getrennt.

In der Cloud ist alles anders

Firmen, die seit langer Zeit so organisiert sind, fühlen sich beim Gedanken an eine Public Cloud im ersten Moment unwohl. Erstens verlieren sie in der Cloud die physische Kontrolle über ihre Server- und Netzwerkinfrastruktur. Die dicke Stahltür, mit der ihr eigenes Rechenzentrum versperrt ist, sehen sie nicht mehr. Es hat sich aber mittlerweile bei praktisch allen meinen Kunden die Überzeugung durchgesetzt, dass die großen Cloud-Provider in Sachen Rechenzentrumsbetrieb wissen, was sie tun. Diverse ISO-Zertifizierungen durch unabhängige Prüfinstitute und viele Videos, in denen die beeindruckenden Sicherheitsmaßnahmen präsentiert werden, zeigen Wirkung. Man findet sich damit ab, ein wenig Kontrolle abzugeben.

Dann ist da aber als Nächstes die Sache mit PaaS und Serverless. Cloud-Expertinnen und -Experten wie ich werden nicht müde, den Kunden zu erzählen, dass man mit IaaS das Potenzial der Cloud nicht ausschöpft. Wer von der Cloud in vollem Umfang profitieren möchte, setzt auf Platform as a Service (PaaS) und Serverless. Das bedeutet aber, dass man auch auf Softwareebene Kontrolle abgeben muss. Keine Betriebssystemupdates mehr selbst ins...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang