SAP und die Cloud Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012
SAP und die Cloud Zur Person Cloud = was? Sicherheit in der Cloud SAP s Cloud Historie Aktuelle Angebote Chancen und Risiken
Zur Person Professor für Wirtschaftsinformatik und Security Management Studiendekan, Datenschutzbeauftragter, Profilbeauftragter... 8 Jahre SAP Director Product Management Security Chief Security Officer SVP Product Security Nebenbei: Analyst für Governance, Risk & Compliance Engagement in Netzwerken und Vereinen
Cloud = was? Infrastructure as a Service Platform as a Service Software as a Service BILD Picking a Cloud Vendor: Questions to Ask in Due Diligence by Ravi Kalakota
Cloud Security ist anders... Klassische Sicherheitsmechanismen greifen nicht mehr: Die Dienste sind nicht mehr unter (vollständiger) Kontrolle des Anwenders Es gibt keine Grenze zwischen "drinnen" (= sicher) und "draußen" (= unsicher) mehr Die Daten können irgendwo liegen Cloud Security erfordert einen Paradigmenwechsel Von Sicherheit ist Infrastrukturaufgabe Zu Sicherheit ist Anwendungsaufgabe
Cloud Security Beispiele Beispiel 1: Datenablage in der Cloud Klassische Schutzmechanismen: Firewalls, Anti-Virus, Backup, Data Loss Prevention Neue Schutzmechanismen: Information Rights Management, Daten-orientierte Verschlüsselung Beispiel 2: CRM-Anwendung in der Cloud Klassische Schutzmechanismen: Firewalls, Server-Hardening, Single Sign-On Neue Schutzmechanismen: Identity Management, IT-GRC Lösungen, sichere Anwendungsentwicklung Die klassischen Mechanismen sind für die Anbieter Pflicht!
Die 5 wichtigsten Cloud Computing Security Gefahren 1. Angriffe von Cloud Services aus dem Internet 2. Unberechtigter Zugriff auf Cloud Daten durch andere Kunden 3. Verlust der Nachvollziehbarkeit bei Transaktionen 4. Nichteinhaltung von Datenschutz-Vorgaben 5. Nutzung / Kopieren von Informationen durch Cloud Anbieter Kunde 1 Kunde 4 Cloud Service Provider Kunde 2 Kunde 3
SAP s Cloud Historie SAP Streamwork SAP Markets SAP und das Internet Business by Design ARIBA SuccessFactors Mainframe 3-Tier-Architektur ITS ESOA JAVA statt ABAP Business Server Pages SAP All-in-One Hosted
Aktuelle Angebote 1. SAP BusinessObjects BI OnDemand 2. SAP Business ByDesign 3. SAP E-Invoicing for Compliance OnDemand 4. Cloud-Lösungen für SAP HCM 5. SAP Information Interchange OnDemand 6. SAP Sales OnDemand 7. SAP Sourcing OnDemand 8. SAP StreamWork 9. SAP Travel OnDemand http://www.sap.com/germany/solutions/technology/cloud/overview/solutions.epx
SAP in der Cloud - erfolgreich? Investitionen: 3,4 (ARIBA) + 2,5 (SuccessFactors) + 1 (bydesign?) Umsatz durch Cloud:??? 11,35 Mrd für Software in 2011 2% SuccessFactors in 2012 geplant Warum? Never touch a running system Lizenzmodelle sind anders / komplizierter (?) Fehlende Sicherheit (?) Organisch das Geschäftsmodell ändern ist SEHR schwer
SAP und Sicherheit in der Cloud Identity Management IT-GRC ja - aber nicht im Cloud-Mode. Service wird bisher nicht angeboten, genauso wenig die Anbindung von Cloud Services an internes IDM Wird angeboten - unklar, ob die Dienste in der Cloud angebunden sind Sichere Anwendungsentwicklung SAP ist - zusammen mit MS - inzwischen Vorreiter Offen: wirkt das auch für Zukäufe?
SAP und Datenschutz in der Cloud Mehrmalige Nachfragen haben leider kein Ergebnis gehabt Kleinemeier zweifelt an Deutschland-Cloud FTD-Interview am 13.02.2012 "In Amerika springen die Kunden schneller auf neue Züge", sagte Kleinemeier. Hierzulande seien die Unternehmen etwas "besonnener". "Manche Kunden lehnen das heute noch komplett ab. Die Anzahl der Kunden, die ihre IT oder Teile davon auch aus der Hand geben würden, steigt aber." Aktivitäten für Cloud-Gütesiegel, europäisch einheitliche Vorgaben
Chancen und Risiken für Anwender Chancen Vereinheitlichung von Prozessen Vergleichbarkeit von Aufgaben Mehr Wertschöpfung durch Menschen Empowerment in der Fachabteilung Entkopplung vom Lieferanten / der Technologie Risiken Datenschutz!!!!! Abbau von Arbeitsplätzen (in der IT) Verlust von Flexibilität Verlust der Kontrolle
Alternativen? Die Cloud ist bereits da: Google Salesforce Office365 (oder 1und1...) doodle Empfehlung: Bewusster Umgang mit der Technologie Nutzen mitnehmen Risiken minimieren ==> Frühzeitige Qualifizierung der Mitarbeiter
Fachbereich Wirtschaft Vielen Dank für Ihre Aufmerksamkeit Prof. Dr. Sachar Paulus 09/25/12