Das Thema Cloud Computing ist seit Jahren ein Trend, der sowohl die IT-Strategien verschiedenster Unternehmen dominiert, als auch neue strategische Vorteile im Wettbewerb der Unternehmen untereinander bietet. Der Markt der Cloud Service Provider (kurz: CSP) wächst stetig, sodass auch große Unternehmen, die in dem Markt erst seit wenigen Jahren agieren, ihre strategischen Ziele auf diesen Markt ausrichten. Darunter der Hersteller Microsoft, der mit den Cloud Themen Microsoft Azure und Microsoft Office365 den Markt adressiert.
Viele Unternehmen stehen vor der Auswahl zwischen dem IT-Eigenbetrieb und dem Einkauf der IT Leistung aus der Cloud. Verschiedenste Aspekte sind bei dieser Entscheidung wichtig. Neben den Fragen der Kostenreduktion und Kostentransparenz müssen auch Aspekte der Sicherheit, der Marktwahrnehmung und der Lock-In Faktoren betrachtet werden, um den Weg in die Cloud realistisch zu bewerten. Im Rahmen dieser multidimensionalen Betrachtung, ob und wie weit die Cloud die eigene IT voran bringt, müssen die eigenen Fähigkeiten realistisch betrachtet und bewertet werden. Die Frage steht im Raum, ob ein Unternehmen gleiche IT-Sicherheitsarchitekturen und IT-Sicherheitsbetriebe so zur Verfügung stellen kann wie die CSPs.
Darüber hinaus sind Fragen zu klären welche Sicherheitsanforderungen erfüllt werden können und welche Risiken durch Gesetzgebungen des deutschen, aber auch des europäischen Raums nicht auf den CSP übertragbar sind. Die vorhandenen Sicherheitsbedenken bremsen die Cloud-Euphorie stark aus. Sie sind laut einer Studie des britischen IT-Marktforschungsunternehmens Quocirca für mehr als ein Drittel der Befragten noch immer ein wichtiger Grund Cloud Computing kategorisch abzulehnen.
Inhaltsverzeichnis
1 EINLEITUNG
1.1 Vorwort
1.2 Zielstellung
2 GRUNDLAGEN
2.1 Cloud Computing
2.2 Datenschutz
2.3 Informationssicherheit
2.4 Sicherheitstopologie
3 CLOUD SECURITY AM BEISPIEL VON MICROSOFT AZURE
3.1 Unterscheidungs- und Alleinungsmerkmale
3.2 Zertifizierungen
3.3 Rechenzentrumsbetrieb
3.4 Datenredundanz
3.5 Sicherheitsbetrieb
4 CHANCEN UND RISIKEN FÜR DEN MITTELSTAND
4.1 Vorurteile
4.2 Kostenreduktion
4.3 Optimierung der Sicherheitstopologie
4.4 Verfügbarkeit
4.5 Lock-In-Faktoren
5 ABSCHLUSS
5.1 Probleme
5.2 Ausblick
Zielsetzung & Themen
Die Arbeit untersucht das Outsourcing von IT-Strukturen in die Cloud, insbesondere unter dem Aspekt, ob dadurch die IT-Sicherheit in mittelständischen Unternehmen gesteigert werden kann, indem Sicherheitsaufgaben an spezialisierte Cloud Service Provider (CSP) übertragen werden.
- Analyse der Grundlagen von Cloud Computing und Sicherheitstopologien.
- Evaluation des Sicherheitsportfolios von Microsoft Azure als Praxisbeispiel.
- Diskussion der spezifischen Chancen und Risiken von Cloud-Outsourcing für den deutschen Mittelstand.
- Bewertung von Sicherheitsaspekten wie Datenschutz, Verfügbarkeit und Lock-In-Effekten.
- Kritische Auseinandersetzung mit der Frage nach der Optimierung der eigenen Sicherheit durch externe Anbieter.
Auszug aus dem Buch
3.5 Sicherheitsbetrieb
Microsoft betreibt ein eigenes Global Security Operations Center (kurz: GSOC), das im globalen Kontext die Microsoft Cloud Infrastrukturen und die angebundenen Wide Area Networks (kurz: WAN) überwacht. Die Lokationen sind so gewählt, dass ein 24 Stunden Betrieb im Sinne der „Follow the Sun“ Betriebs möglich wird. Dieses Center bildet die Basis für Operational Security Assurance (kurz: OSA). Die OSA ist die Zusage hinsichtlich eines ganzheitlichen Sicherheitsbetriebs der Strukturen. Es gibt dedizierte Mitarbeiter, die nichts anderes tun als die Sicherheit der Microsoft Infrastrukturen proaktiv zu überwachen.
Die Mitarbeiter des GSOCs überwachen 840 Lokationen weltweit und sind dementsprechend personell so ausgestattet, das eine ganzheitliche Überwachung ermöglicht wird. Ein solcher GSOC Betrieb für die Rechenzentren ist wenigen Unternehmen vorbehalten. Hintergrund sind die hohen Kosten des Betriebs und der Erstinvestition. Die kleinere Ausbaustufe ist ein Security Operations Center (kurz: SOC), das öfter anzutreffen ist, doch durch die neuen Arten der Angriffe mehr und mehr zur Diskussion gestellt wird.
Zusammenfassung der Kapitel
1 EINLEITUNG: Einführung in das Thema Cloud Computing, Abgrenzung zwischen IT-Eigenbetrieb und Cloud-Einkauf sowie Vorstellung der Zielsetzung der Arbeit.
2 GRUNDLAGEN: Definition der für die Arbeit relevanten Begriffe wie Cloud Computing, Datenschutz, Informationssicherheit und Sicherheitstopologie.
3 CLOUD SECURITY AM BEISPIEL VON MICROSOFT AZURE: Analyse der Sicherheitsstrategie und der Maßnahmen von Microsoft Azure hinsichtlich Zertifizierungen, Rechenzentrumseffizienz, Redundanz und operativem Sicherheitsbetrieb.
4 CHANCEN UND RISIKEN FÜR DEN MITTELSTAND: Untersuchung der Vorbehalte, Kostenvorteile, Möglichkeiten zur Optimierung der Sicherheitstopologie, Verfügbarkeitsaspekte und Lock-In-Gefahren für mittelständische Unternehmen.
5 ABSCHLUSS: Zusammenfassende kritische Betrachtung der Ergebnisse und Ausblick auf die weitere Entwicklung der IT-Sicherheit im Mittelstand im Kontext von Cloud-Lösungen.
Schlüsselwörter
Cloud Computing, IT-Sicherheit, Outsourcing, Microsoft Azure, Mittelstand, Datenschutz, Informationssicherheit, Verfügbarkeit, Sicherheitstopologie, Lock-In-Faktoren, Rechenzentrumsbetrieb, Cyber Security, Cloud Service Provider, Risikomanagement, Kosteneffizienz
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht, ob mittelständische Unternehmen ihre IT-Sicherheit verbessern können, indem sie IT-Dienste in die Cloud auslagern und somit von den Sicherheitsressourcen professioneller Cloud Service Provider profitieren.
Was sind die zentralen Themenfelder der Analyse?
Die zentralen Themen sind Cloud Security, die spezifischen Anforderungen an die IT-Sicherheit im Mittelstand, die Evaluierung von Cloud-Anbietern sowie eine kritische Abwägung von Vor- und Nachteilen des Outsourcings.
Was ist das primäre Ziel der Forschungsarbeit?
Das Hauptziel ist es, die Vorbehalte gegenüber Cloud Computing kritisch zu prüfen und die Eingangsfrage zu diskutieren, ob die eigene IT-Sicherheit durch die Nutzung von Cloud-Diensten tatsächlich erhöht werden kann.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Literaturanalyse und einer deskriptiven Untersuchung aktueller Sicherheitsstandards, Marktstudien sowie einem praktischen Vergleich am Beispiel von Microsoft Azure.
Was wird im Hauptteil behandelt?
Im Hauptteil werden neben den theoretischen Grundlagen der IT-Sicherheit insbesondere die Zertifizierungen und der operative Sicherheitsbetrieb bei Microsoft Azure sowie die spezifischen Chancen, Risiken und Lock-In-Faktoren für den Mittelstand detailliert beleuchtet.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wesentliche Begriffe sind Cloud Computing, IT-Sicherheit, Outsourcing, Microsoft Azure, Datenschutz, Mittelstand und Sicherheitstopologie.
Warum spielt der Mittelstand eine besondere Rolle in dieser Untersuchung?
Der Mittelstand steht im Fokus, da er oft nicht über die Ressourcen für eine eigene, hochperformante Sicherheitsinfrastruktur verfügt und daher besonders von den Skaleneffekten und Sicherheitsstandards großer Cloud-Anbieter profitieren könnte.
Wie geht die Arbeit mit dem Thema Lock-In-Effekte um?
Die Arbeit identifiziert verschiedene Lock-In-Risiken, wie etwa proprietäre Datenformate oder Know-how-Verlust, und stellt diesen konkrete Lösungsansätze gegenüber, die Unternehmen mit einem Cloud-Anbieter vereinbaren können.
- Arbeit zitieren
- Marc Sundermann (Autor:in), 2015, Outsourcing in die sichere Cloud. Optimierung der IT-Sicherheit oder Risiko?, München, GRIN Verlag, https://www.grin.com/document/307573
