Ransomware
Sicherheitsmythos: Onprem ist tot, es lebe die Cloud?
Es gab eine Zeit, das schien Onpremise tatsächlich tot zu sein und die Cloud ein würdiger Ersatz. Doch wie immer im Leben, ist nicht alles schwarz oder weiß, und beide Konzepte haben mittlerweile ihre Vor- und Nachteile gezeigt.
In der IT-Welt von gestern gab es den sprichwörtlichen Maschinenraum tatsächlich. In Rechenzentren reihte sich Metallschrank an Metallschrank, und das Öl dieser Räume war das Kühlmittel der Klimaanlagen. Die Kosten waren so hoch, dass sich sogar konkurrierende Unternehmen zwecks Redundanz gegenseitig in die Rechenzentren einmieteten. Und das war streng genommen eigentlich auch schon der Beginn dessen, was wir heute als „private Cloud“ bezeichnen. Die zuerst unterirdisch gelegenen Anlagen (Luftangriff) wurden dank Flutkatastrophen dann auch ab den 1990ern in höhergelegene Etagen gebracht.
Aber das braucht es heute nicht mehr. Diese Probleme sind an die Cloud-Betreiber ausgelagert worden. Stromversorgung, Kühlung, Wachmannschaften, Blech und alles, was damit zusammenhängt. Man überprüft heute nur noch, wie es der Provider regelt, setzt daneben ein Häkchen, und schon sind die Compliance-Anforderungen erfüllt. So funktioniert beispielsweise das vom BSI eingeführte C5-Testat. Wer möchte das denn dann noch im eigenen Keller haben und seine eigenen Prozesse dokumentieren? Also stimmt es, On-Premise ist tot, es lebe die Cloud!
Renaissance in der IT
Und doch - Totgesagte leben länger. Denn, auch wenn die Cloud für das Gros der Aufgaben geeignet ist, so gibt es manche Herausforderung, deren Lösung On-Prem, also das Besitzen der eigenen IT-Infrastruktur, voraussetzt. Da wären zunächst die Kosten zu nennen. Auch wenn die Cloud „günstiger“ scheint, gilt das noch lange nicht für alle Anwendungsbereiche. Wer eine relativ konstante Auslastung der Systeme hat, wird sich oft mit der Frage nach dem „Wert“ der Cloud beschäftigen. Kommt man wohl durch die Einsparungen für Sekundärkosten, wie z.B. Verwaltung oder Raummiete, nicht doch günstiger weg? Entsprechend werden immer mehr Cloudprojekte heute genauestens durchkalkuliert, so wie es eigentlich schon immer hätte gemacht werden sollen.
Noch spannender wird es beim Stichwort „Souveränität“. Die Problematik kommt hier aus der Politik. Die Cloud, vor allem die so genannten „öffentlichen“ (public) Cloud Provider sind leider politisch nicht neutral. Sie gehören zu Unternehmen, die sich an die Gesetzgebung ihrer Heimatländer halten müssen. Die beiden größten Cloud-Anbieterländer, die USA und China, haben aber Gesetze, die es ihren Regierungen erlauben, auf Daten zuzugreifen, die auf der Infrastruktur entsprechender Provider liegen. Dies spielt im Besonderen für politische Daten wie z.B. die Landesverteidigung eine entsprechend große Rolle. Aber auch die Funktionalität kritischer Infrastruktur kann nicht nur dem Gutdünken einer anderen Nation anvertraut werden.
Entsprechend erlebt On-Premise gerade so etwas wie eine Renaissance. Immer mehr Angebote werden bewusst auch für das gute alte Rechenzentrum gebaut, wobei es vor allem darum geht, die Kontrolle über seine Daten und auch die Infrastruktur zu behalten.
Die Zukunft bleibt hybrid
Doch Vorsicht… was aus politischen Überlegungen logisch erscheint, hat einen technischen Haken. In Zeiten von Personalmangel, Klima- und Energiekrise wäre es falsch, wieder zurückzugehen. Vor allem kleine und mittelständische Unternehmen wären damit komplett überfordert. Zum anderen ermöglicht die Cloud eine Form des Service-Geschäfts, die ohne sie gar nicht möglich wäre oder zu einer Preisexplosion führen würde. Denn für viele Anwenderszenarien ist sie genau das richtige Werkzeug.
Ja, vieles gibt es nur dank Cloud. Und dazu gehört auch das neueste Hype-Kind die künstliche Intelligenz. Ohne Cloud gäbe es kein ChatGPT & Co. Ob das langfristig so bleibt, steht derzeit in den Sternen.
Damit ist die Politik nun in der Zwickmühle. Die Konkurrenzfähigkeit der eigenen Wirtschaft muss gewahrt bleiben und gleichzeitig ist es unerlässlich, den Erfolg der Wirtschaft von den Launen der Politik anderer Nationen unabhängig zu gestalten.
Das ist die Idee hinter einem hybriden Ansatz, bei dem, je nach Wichtigkeit, bestimmte Daten auf den eigenen Systemen vorgehalten werden, während besonders bei skalierbaren und weniger sensiblen Aufgaben private (exklusive Miete bei einem Anbieter) oder sogar Public Cloud-Angebote wahrgenommen werden.
Diese Form des Schutzes der Daten hat allerdings nichts mit der Datenschutz Grundverordnung (DS-GVO) zu tun, mit der sie vor allem in kleinen und mittelständischen Unternehmen gerne verwechselt wird. Für die Erfüllung der DS-GVO gibt es auch in der öffentlichen Cloud genügend Optionen. Um diese darzustellen, haben wir ein Whitepaper für Datenschutzbeauftragte erstellen lassen, welches Sie hier erhalten. Alternativ finden Sie in unserem Blog eine kurze Zusammenfassung.
Und Security?
Aus Sicht der IT-Sicherheit darf es keinen Unterschied geben, auf welcher Infrastruktur Unternehmen ihre Prozesse abbilden. Sie muss überall mit unverminderter Wirksamkeit agieren und von den Verantwortlichen optimal koordiniert werden können. Hierin liegt eine der Hauptherausforderung hybrider Konzepte, denn wenn je Infrastruktur ein neues Sicherheitskonzept erstellt wird, multipliziert sich der Aufwand in Beschaffung und Unterhalt.
Für Unternehmen lohnt es deshalb sich nach Angeboten umzusehen, die möglichst viele Anforderungen hybrider Umgebungen in einer Lösung abbilden können, wie etwa Trend Micro Vision One.