„Ein Unternehmen braucht in erster Linie eine Datenstrategie“

ITD: Herr Brennecke, die IT zieht zunehmend in die Cloud. Dieser Trend bringt Unternehmen viele Vorteile, aber auch Herausforderungen in puncto Sicherheit und Compliance. Wo sehen Sie die größten Potenziale, aber auch Risiken in Sachen „Cloud Computing“?
Brennecke: Cloud Computing hilft der IT-Abteilung, sich auf ihre Kernkompetenzen zu konzentrieren und damit besser zum Unternehmenserfolg beizutragen. Besonderes Potenzial bietet dabei der Zugang zu hochautomatisierten IT-Leistungen, etwa Infrastruktur, Plattformen oder Services etwa im Bereich KI/ML. Hierfür fehlt oft eigenes Know-how. Den Umstieg auf Cloud Computing nutzt man idealerweise auch, um die IT-Abteilung in einen internen IT-Service-Broker umzuwandeln.

Risiken entstehen immer dann, wenn Unternehmen wahl- und ziellos Applikationen und Daten in eine Public Cloud migrieren. Statt Verbesserungen bringt das oft unnötige Kosten und Latenz. Außerdem bleibt das Unternehmen weiterhin für die eigene Security und Compliance verantwortlich – Clouds bieten zwar eine Vielzahl technologischer Hilfestellungen, aber die muss ich auch richtig einsetzen, sonst drohen immense Sicherheits- und Compliance-Lücken. Das sind alles keine Gründe gegen Cloud Computing, sondern es ist ein Plädoyer für ein überlegtes und gezieltes Vorgehen.

ITD: Welche besonderen Herausforderungen müssen vor allem IT-Verantwortliche von großen, global agierenden Unternehmen hinsichtlich der Sicherheit ihrer Cloud-Architektur beachten?
Brennecke: Ein Unternehmen braucht in erster Linie eine Datenstrategie. Das heißt, ich muss mir jederzeit bewusst sein, wo welche Daten meines Unternehmens liegen, wie sie klassifiziert sind, wer darauf Zugriff hat etc. Nur dann kann ich auch sicherstellen, dass z.B. Compliance-Anforderungen berücksichtigt werden. Angesichts der geopolitischen Lage werden zudem Fragen der Resilienz zunehmend wichtig: Wie sicher und verfügbar sind meine Daten und Workloads, besonders solche, die z.B. auf Systemen außerhalb der EU liegen? Ist es notwendig, den Workload und die Daten auf weitere Verfügbarkeits-Zonen zu skalieren oder eine Fallback-Strategie zu entwickeln?

ITD: Laut der Studie „Cloud Security 2021“ hat schon jedes dritte Unternehmen innerhalb eines Jahres einmal einen Schaden durch Cloud-Attacken erlitten, sogar 39 Prozent der größeren Unternehmen mit 500 bis 999 Beschäftigten. Inwieweit werden Cyberbedrohungen im Cloud-Umfeld von Unternehmen als Risikofaktor wahrgenommen?
Brennecke: Noch zu wenig. Wenn ich Bestandteile der geschäftskritischen IT in eine Cloud-Umgebung verlagere, muss ich mir natürlich weiterhin Gedanken bzgl. der Daten- und Applikationsverfügbarkeit und evtl. notwendiger Desaster-Konzepte machen. Dazu gehört auch, dass ich moderne Sicherungs-Konzepte mit near-zero RPO und RTO nutze – im eigenen Rechenzentrum, in der Private Cloud und in der Public Cloud. Wird mein Unternehmen Opfer einer Ransomware-Attacke, sind diese modernen Sicherungskonzepte oft der einzige Ausweg, diese Situation annähernd unbeschadet und ohne längere Ausfallzeiten zu überstehen.

ITD: Wie können Unternehmen sicherstellen, dass sie durch die Cloud-Transformation tatsächlich ihre Innovationsfähigkeit vorantreiben und Kosten reduzieren?
Brennecke: Dabei helfen etablierte Cloud-Adoption-Frameworks. Auf ihrer Basis kann man in Bezug auf Technik und Business bewusste Entscheidungen treffen und Abhängigkeiten erkennen. In welcher Detailtiefe man dies macht, ist abhängig von der jeweiligen Situation. Man sollte nicht perfektionistisch sein, aber man sollte sich auch nicht nur auf die einfachen technologischen Entscheidungen konzentrieren. Betrachtet man nur diese, kann man durchaus Workloads in die Cloud verlagern, aber die gesteckten Unternehmensziele erreicht man nicht. Die Technologie allein wird weder signifikant Kosten reduzieren noch organisatorische Synergieeffekte erzielen. Eine CI/CD-Pipeline macht noch keine DevOps-Kultur im Unternehmen.

ITD: Warum führt gerade für große Unternehmen grundsätzlich kein Weg mehr an der Cloud Transformation Journey vorbei?
Brennecke: Weil es nicht um den Ort der Cloud-Dienste im Sinne einer Auslagerung in ein fremdes Rechenzentrum geht – es geht um die Beantwortung der Frage, wie in Zukunft IT-Services effizient genutzt, erbracht und bezogen werden sollen. Und dabei stellt sich oft heraus, dass die Nutzung von Cloud-Diensten im eigenen Rechenzentrum oder an verteilten Standorten eine finanziell und technologisch attraktive Variante ist. Cloud sollte in erster Linie als Betriebs- und Sourcing-Konzept verstanden werden. Darüber hinaus beinhaltet es die organisatorischen Ebene, die Aus- und Weiterbildung der IT-Mitarbeiter, die Berücksichtigung der Unternehmensstrategie etc. Cloud-Adoption-Frameworks beinhalten daher neben der technologischen Sichtweite viele weitere Ebenen. Technologie ist bei Cloud nur ein Thema unter mehreren.