Categories
Analysen

Cloud Computing ist auch eine Frage des Risikomanagements

Ausfälle wie Sie bei Amazon der Fall waren zeigen, dass für die Nutzung von Cloud Computing ebenfalls das Risiko betrachtet und bewertet werden muss, um darüber zu bestimmen, welche Auswirkungen bspw. ein Ausfall des Anbieters oder dessen nicht Erreichbarkeit auf das Unternehmen und seinen Geschäftsbetrieb hat.

Das gilt für die Nutzung von IaaS genauso wie für SaaS oder PaaS. Im Vergleich zu SaaS bestehen bei IaaS und PaaS jedoch weniger Möglichkeiten, eine Cloud Multivendor Strategie aufzubauen. Das ist dem Umstand geschuldet, dass der SaaS Anbieter den kompletten Stack von der Infrastruktur, über die Datenhaltung bis hin zur Oberfläche abbildet. Der automatische Transfer der Daten während eines Fehlerfalls bzw. die Echtzeit Synchronisation der Daten zwischen zwei oder mehreren SaaS Anbietern ist quasi unmöglich, was letzten Endes nicht nur an den proprietären Schnittstellen liegt, sondern ebenfalls der Art wie die einzelnen Prozesse intern abgebildet sind. Cloud Computing bedeutet nun einmal auch Standardisierung auf höchstem Niveau. Un dessen muss man sich als Unternehmen bewusst sein, wenn man Software-as-a-Service nutzen möchte.

Im Gegensatz dazu können bei der Nutzung von IaaS und auch PaaS die Daten bzw. das System oder die Anwendungen bedeutend einfacher automatisiert über mehrere Anbieter hinweg verteilt werden. IaaS Anbieter zeigen sich für den Bereich der Infrastruktur verantwortlich. Hier erhält man lediglich den Zugriff auf virtuelle Ressourcen (Server) um auf dieser Basis seine eigene virtuelle Infrastruktur aufzubauen. Durch den Anbieter bereitgestellte APIs kann über Skripte eine automatische Verteilung der Daten als auch der Anwendungen zu mehreren Anbietern erfolgen. Dieses Szenario gilt für Public Cloud, als auch Virtual Private Cloud Anbieter. Im Bereich PaaS sieht es ähnlich aus. Hier ist der Anbieter für die Infrastruktur, also den für die Applikationen benötigten virtuellen Ressourcen sowie dem Betriebsystem inkl. dem Anwendungstack (z.B. Apache, Tomcat, usw.) zuständig. Einige kleinere PaaS Anbieter sind jedoch dazu übergegangen, die Infrastruktur nicht selber bereitzustellen und stattdessen auf auf IaaS Public Cloud Anbieter zurückzugreifen. Die Portabilität der Daten und der Anwendung selbst ist abhängig vom Anbieter und welche Programmiersprache bzw. Programmiermodelle genutzt werden können. Bspw. ist die Google AppEngie sehr proprietär, wodurch ein 1:1 Transfer der Anwendung nicht ohne weiteres stattfinden kann.

Unabhängig vom Cloud Computing sind diverse Unternehmen dazu verpflichtet, ein Risikomanagementsystem einzusetzen. Das Thema Risiko ist jedoch nicht immer sehr greifbar, dennoch hat jeder von uns unterbewusst sein eigenes Risikomanagementsystem. Gehen wir bspw. bei Rot über die Ampel, prüfen wir vorher wie es um das Risiko steht, von einem Auto erfasst zu werden. Es ist also ein sehr logischer Vorgang, der im Unternehmensumfeld zu einer sehr komplexen Aufgabe werden kann, wenn alle Parameter berücksichtigt werden müssen, die Einfluss auf eine bestimmte Situation oder ein Szenario haben.

Und genau deswegen muss auch ein Risikomanagement bei der Nutzung von Cloud Computing erfolgen. Zu Beginn habe ich beschrieben, dass auf Basis einer Cloud Multivendor Strategie dem Ausfall meines bevorzugten Cloud Computing Anbieters vorgebeugt werden sollte. Dieses Beispiel ist für ein produzierendes Unternehmen z.B. aus der Automobilindustrie selbstverständlich. So verfügt jeder Hersteller über mehr als einen Zulieferer, für den Fall, dass der primäre Lieferant ausfallen sollte. Wie wir sehen, ist dieses analoge Beispiel sehr gut auf das Thema Cloud Computing abzubilden.

Risikomanagement ist durchaus kompliziert. Sind die wichtigsten Faktoren und Variablen jedoch bekannt und sind dafür ebenfalls Lösungen vorhanden, steht der sicheren und risikominimierten Nutzung von Cloud Computing nichts mehr im Weg.

Dennoch besteht noch viel Aufklärungsarbeit bzgl. der risikokonformen Nutzung von Cloud Computing. Und auch die technische Sicherheit darf in diesem Zusammenhang nicht vernachlässigt werden. Denn nicht nur die Cloud Computing Anbieter selbst sind für die Einführung und Einhaltung technischer (Ausfall-)Sicherheitsmaßnahmen zuständig. Auch der Cloud Computing Nutzer steht in der Pflicht, seine Hausaufgaben zu erledigen und muss sich über die aktuelle Situation informieren und entsprechende Maßnahmen einleiten.