Die Maturität des Providers schafft die Basis für das Vertrauen in die Cloud
Es herrscht Goldgräberstimmung am Cloud-Markt. Unternehmen sehen die Cloud als Zukunftsmodell für die Bereitstellung der IT, aber viele CEOs zweifeln an der Sicherheit. Provider müssen Vertrauen schaffen, besonders durch digitale Souveränität. Hier muss der Provider ansetzen, will er das Vertrauen der Kunden auf der Reise in die Cloud gewinnen.
Bei den Themen rund um die digitale Transformation, Big Data oder künstliche Intelligenz setzt sich bei den Nutzerinnen und Nutzern die Erkenntnis durch, dass Cloud Computing eine wichtige Grundvoraussetzung darstellt. Entsprechend werden viele Cloud-Strategien definiert und Migrationsprojekte gestartet. Für jeden potenziellen Nutzer von Cloud-Diensten stellt sich jedoch die Frage: "Kann ich diesem Cloud-Service vertrauen?" Und was genau bedeutet "Vertrauen" im Zusammenhang mit Cloud Computing? Was ist die Grundlage für dieses Vertrauen?
Letztlich ist Vertrauen nur ein Gefühl, eine bestimmte Art von subjektiver, auch emotional gefärbter Überzeugung. Aber bei der Einführung oder Migration eines Cloud-Dienstes will der Kunde wirklich sicher sein, dass seine Daten vor unbefugtem Zugriff geschützt sind, seine Daten nur zu den vereinbarten Zwecken und gemäss den geltenden Gesetzen und Vorschriften erfasst und verarbeitet werden und der Cloud-Dienst gemäss den vertraglich festgelegten Spezifikationen erbracht wird und etwaige Unterbrechungen sein laufendes Business nicht beeinträchtigen.
Ein entscheidender Faktor für das Vertrauen in die Cloud ist dabei die Gewährung der digitalen Souveränität. Digitale Souveränität bedeutet, dass ein Unternehmen die volle Kontrolle und Hoheit über seine Daten behält, unabhängig davon, ob diese intern oder in der Cloud verwaltet werden. Dies ist besonders relevant in einer Zeit, in der Daten als wertvollstes Gut eines Unternehmens betrachtet werden. Die Fähigkeit, jederzeit zu wissen, wo sich die Daten befinden, wer darauf zugreifen kann und wie sie geschützt sind, ist essenziell.
Vertrauen ist eine wichtige Voraussetzung
Das Vertrauen in die Cloud hängt im Wesentlichen von drei Variablen ab: Transparenz, Gewissheit und wahrgenommene Verantwortlichkeit. Wenn ein Provider keinen physischen oder logischen Zugang zu seiner Plattform bieten kann, so kann er trotzdem Nachweise in einem Umfang vorlegen, der es Cloud-Kunden ermöglicht, sich ein vernünftiges Urteil darüber zu bilden, was dieser Anbieter tut und was nicht. Je mehr Faktoren ein Provider nachweisen kann, wie beispielsweise Zugangsbeschränkungen, Verschlüsselung oder andere Kontrollen, desto mehr Anzeichen gibt es, dass er transparent arbeitet.
Gewissheit bedeutet in diesem Kontext, dass eine Kontrolle wie vorgesehen funktioniert. Dies kann mit der Häufigkeit zusammenhängen, wie oft diese Kontrollen überprüft werden: kontinuierlich oder punktuell. Und wer führt die Überprüfung durch? Ist es der Provider selbst oder ein völlig unabhängiger externer Auditor? Bezüglich wahrgenommener Verantwortlichkeit geht es darum, dass der Provider nicht nur erklärt, dass er sich verpflichtet, etwas zu tun, sondern dass er aktiv demonstriert, dass er es tut. Und wenn ein Service nicht wie angegeben funktioniert, zeigt sich diese Verantwortung daran, wie der Provider reagiert, um Abhilfe zu schaffen.
Man kann sich diese Elemente wie die drei Beine eines Hockers vorstellen. Wenn eine hohe Transparenz, aber eine begrenzt wahrgenommene Verantwortlichkeit und ein mässiges Mass an Gewissheit gegeben sind, wirkt sich dies darauf aus, wie sehr der Kunde einem Provider vertraut. Letztlich liegt diese Einschätzung immer auch im Auge des Betrachters. Der Kunde ist sich in der Regel sehr wohl bewusst, dass die Verantwortlichkeiten über Daten und deren Verarbeitung nie extern ausgelagert werden können. Er selbst muss immer dafür geradestehen und muss seine eigene Risikobereitschaft kennen. Er muss wissen, ob er irgendwelchen Vorschriften unterliegt, die er zwingend einhalten muss. Aber wie will er diese Verantwortung wahrnehmen, wenn die Cloud für ihn eine Black-Box ohne Zugang und Zugriff auf die zugrundeliegenden Infrastrukturen und Anwendungen ist?
Die Aufgabenverteilung sollte klar sein
Der grösste Fehler oder Vertrauensmissbrauch besteht darin, wenn Kunden glauben, ihr Provider sei für die gesamte Sicherheit verantwortlich, obwohl dies in den meisten Fällen nicht der Fall ist. Genau hier muss jeder Cloud Provider ansetzen, will er die Herzen der Kunden gewinnen. Die Reise in die Cloud beginnt damit, dass der Kunde lernt zu verstehen, wie er die verloren geglaubte Kontrolle über Daten und Infrastruktur nach wie vor wahrnehmen und sogar überwachen kann. Der Provider muss ihn auf dieser Reise begleiten und damit die Basis für das Vertrauen legen. Für den Kunden stellt sich die Frage: Woran erkenne ich einen kompetenten und verantwortungsbewussten Cloud-Provider? Wie kann ich besser hinter die Hochglanz-Broschüren der Provider schauen, ob die Grundlage einer langfristigen Zusammenarbeit gegeben ist? Hier bietet sich dem Provider die Chance, offen und ehrlich aufzuzeigen, dass Cloud Computing kein blosses Auslagern von Services darstellt, bei dem sich der Kunde um nichts mehr zu kümmern braucht. Es ist vielmehr eine Partnerschaft mit geteilten Verantwortlichkeiten mit Aufgaben und Verpflichtungen auf beiden Seiten.
Das Modell der geteilten Verantwortung ist der Schlüssel einer erfolgreichen Cloud-Migration. Beide Parteien, der Kunde wie auch der Provider, haben klare Aufgaben und Pflichten, die jeder auf seiner Seite wahrnehmen muss. Der Kunde muss die Sicherheitskontrollen ermitteln, Daten klassifizieren, Verschlüsselungskeys verwalten und vieles mehr. Viele Kontrollen müssen auch gemeinsam durchgeführt werden, wie etwa die Steuerung der Servicezugangs, wo der Kunde die Rechte und Identitäten überwacht und der Provider die technischen Kontrollen bereitstellt, welche die Umsetzung dieser Pflichten dem Kunden gegenüber ermöglicht.
Die Rollenverteilung gehört in den Vertrag
Während diese Umstellung des Betriebsmodells für den Kunden neu und ihm vielfach auch nicht genug bewusst ist, kann der Cloud-Provider auf seine etablierten Prozesse und Automatismen abstützen, sofern er diese hat. Der Cloud-Provider kann aber genau hier helfen, den Kunden auf seiner Reise in die Cloud aktiv zu begleiten und bei der Ausgestaltung seines künftigen Betriebsmodells zu unterstützen. Nicht nur, dass die Daten und Applikationen technisch migriert werden, sondern dass er den Kunden mit seiner Organisation in die neue Realität begleitet und gemeinsam mit ihm ein integriertes Service-Ökosystem bildet. Dadurch sind neben dem Design und der Migration der künftigen Cloud-Lösung auch immer ein Organisationsdesign und eine Transformation des Betriebs notwendig. Die Mitarbeitenden des Kunden müssen mit Unterstützung des Providers in ihre neuen Rollen hineinwachsen können.
Letztlich muss diese geforderte Klarheit der jeweiligen Rollen und Verantwortlichkeiten detailliert genug im Vertrag abgebildet werden. Die Maturität eines Cloud-Providers ist dabei immer mehr eine zentrale Voraussetzung bei der Wahl eines Partners aus Sicht des Kunden. Wenn ein Cloud-Provider nicht über standardisierte Prozesse, notwendige Zertifizierungen und regelmässige Audits und Sicherheitstests verfügt und nicht bereit ist, die Ergebnisse der verschiedenen Assessments und Audits dem Kunden offenzulegen, mangelt es ihm an der vom Kunden geforderten Transparenz und damit am Schlüssel zum angestrebten Vertrauen. Ist der Cloud-Provider aber bereit, seine Professionalität zu demonstrieren und offenzulegen, dann hat er die Voraussetzungen, um eine echte, langanhaltende und vertrauensvolle Partnerschaft mit seinen Kunden einzugehen. Aber Vertrauen funktioniert in beiden Richtungen. Auch Kunden müssen ein gewisses Mass an Vertrauenswürdigkeit nachweisen, bevor der Provider bereit ist, bestimmte Informationen öffentlich zugänglich zu machen. Die Reise in die Cloud bietet die Chance, dieses Vertrauen zu festigen.
Fazit
Die Reise in die Cloud bietet Unternehmen enorme Vorteile, stellt sie aber auch vor Herausforderungen, insbesondere in Bezug auf Sicherheit und Vertrauen. Digitale Souveränität ist hierbei ein wesentlicher Faktor, der sicherstellt, dass Unternehmen die Kontrolle über ihre Daten und IT-Prozesse behalten. Cloud-Provider, die Transparenz, Gewissheit und wahrgenommene Verantwortlichkeit bieten, können das Vertrauen ihrer Kunden gewinnen und langfristige, erfolgreiche Partnerschaften aufbauen. Es ist eine gemeinsame Reise, auf der beide Seiten, Kunde und Provider, ihre Verantwortung wahrnehmen müssen, um die Vorteile der Cloud voll auszuschöpfen und die digitale Souveränität zu gewährleisten.
Aktualisierte Version vom 28.08.2024. Dieser Beitrag erschien ursprünglich am 22.06.2022.
Yamaha lanciert Schulungsplattform für den Pro-AV-Markt
Six setzt auf FinanceGPT
Bug Bounty Switzerland lanciert Schutzschild für Unternehmen
Dun & Bradstreet ernennt neue Schweiz-Chefin
HPE lanciert Virtualisierungsplattform
Supercomputer Alps verliert Spitzenposition in Europa
Dä Wolf vo dä Bahnhofstrass
Update: Bundesrat veranlasst Vorprojekt für Versuche mit E-Collecting
Cyberkriminelle nehmen Ledger-User ins Visier
