Cloud Computing im praktischen Einsatz Umfrageergebnisse der HiSolutions-Studie im Frühjahr 2011 HiSolutions AG Information Security Consulting Bouchéstraße 12 12435 Berlin GERMANY
Inhaltsverzeichnis 1 MANAGEMENT SUMMARY... 3 2 MOTIVATION... 3 3 DURCHFÜHRUNG DER UMFRAGE... 4 4 ERGEBNISSE... 4 4.1 Nutzung von Cloud Computing... 4 4.2 Modelle für das Cloud Computing... 5 4.3 Anwendungen in der Cloud... 5 4.4 Gründe für Cloud Computing... 6 4.5 Gründe gegen Cloud Computing... 7 4.6 Anbieter-Zertifizierung... 8 5 FAZIT... 8 Cloud Computing im praktischen Einsatz Seite 2
1 Management Summary In einer Umfrage im eigenen Kontaktnetzwerk hat HiSolutions den aktuellen Stand beim praktischen Einsatz von Cloud-Computing-Lösungen sowie die relevanten Argumente für und gegen den Einsatz dieser Technologie in den Unternehmen erfragt. Während sich ein relativ ausgeglichenes Bild zwischen Unternehmen, die Cloud Computing nutzen, solchen die den Einsatz planen, und Cloud-Computing-Verweigerern ergibt, zeigt sich doch, dass ein großer Anteil der Befragten die Technologie an sich als interessant einstuft, vor allem aus Gründen der Flexibilität beim Kapazitätsmanagement und unter Kostenaspekten. Allerdings herrscht auch ein großes Bewusstsein für die Risiken und Nachteile der Technologie, die offenbar in einigen Fällen die erwarteten Vorteile des Cloud Computing deutlich überwiegen. Hierzu zählen insbesondere Sicherheitsbedenken, in erster Linie zur Vertraulichkeit, sowie rechtliche Schwierigkeiten und die Abhängigkeit von externen Dienstleistern. Schließlich wird deutlich, dass der überwiegende Teil der Befragten eine Zertifizierung des Informationssicherheits-Managementsystems des Cloud-Anbieters als eine wichtige Voraussetzung für die Zusammenarbeit betrachten. Hier könnte ein verstärktes Engagement der Anbieter also durchaus neues Kundenpotenzial erschließen. 2 Motivation Cloud Computing gilt als einer der wichtigsten aktuellen Trends in der Informationstechnologie. Über die gemeinsame, bedarfsgerecht skalierbare Nutzung von IT-Ressourcen für unterschiedliche Mandanten, gegeben Falls auch über Unternehmensgrenzen hinweg, sollen dabei Kosten eingespart und gleichzeitig die Flexibilität der IT-Services erhöht werden. Neben begeisterten Befürwortern gibt es jedoch auch Kritiker dieses Ansatzes, die insbesondere auf Probleme bei der Einhaltung nationaler Datenschutzbestimmungen und auf fehlende Transparenz darüber hinweisen, wo Unternehmensdaten von wem verarbeitet und gespeichert werden. Ist Cloud Computing ein typischer Hype, mit dem die IT-Industrie den Unternehmen neue Angebote schmackhaft machen will oder handelt es sich tatsächlich um einen Weg, den eine Mehrheit der Unternehmen in ihrer IT-Strategie beschreiten will? Wie weit sind die Konzepte des Cloud Computing heute bereits in der Praxis angekommen? Welche Entwicklung ist in dieser Hinsicht abzusehen? Um den theoretischen Betrachtungen der Vor- und Nachteile von Cloud Computing, die zurzeit auf jeder IT-Konferenz in der einen oder anderen Form diskutiert werden, einmal eine solide Aussage über Cloud Computing im tatsächlichen betrieblichen Einsatz gegenüberzustellen, hat HiSolutions eine Befragung von Unternehmen aus seinem Adressdatenbestand durchgeführt und auf diesem Wege eine Momentaufnahme zum Ist-Stand im Cloud Computing erstellt. Dieses Papier stellt die Umfrageergebnisse vor und unternimmt einen Bewertungsversuch aus Sicht der HiSolutions als produktneutralem Beratungshaus für Informationssicherheit und IT Service Management. Cloud Computing im praktischen Einsatz Seite 3
3 Durchführung der Umfrage Die Umfrage wurde im Zeitraum von Mitte März bis Ende Mai mit Hilfe einer webbasierten Umfrageplattform durchgeführt und umfasste einen zweiseitigen Fragebogen mit sechs Fragen rund um den Einsatz von Cloud Computing im Unternehmen des Umfrageteilnehmers. Über ein Rundmail im Kontaktnetzwerk der HiSolutions AG und ergänzenden Hinweisen im Rahmen von Veranstaltungen wurden Umfrageteilnehmer geworben. Insgesamt 60 Teilnehmer haben daraufhin an der Befragung teilgenommen. Da der Umfragelink ausschließlich im Rahmen geschäftlicher Kontakte von HiSolutions als Beratungsunternehmen im IT-Umfeld versendet wurde, ist eine Verfälschung der Umfrageergebnisse durch Spaßteilnehmer weitgehend auszuschließen, so dass wir davon ausgehen, dass das gewonnene Bild einen realistischen Einblick in die betriebliche Praxis gibt. Über drei Viertel der Umfrageteilnehmer haben IT-bezogene Positionen in ihrem jeweiligen Unternehmen inne (13 x IT-Leitung, 13 x IT-Mitarbeiter, 21 x IT-Sicherheitsverantwortlicher ). Die übrigen Teilnehmer verteilten sich auf unterschiedliche Funktionen von der Geschäftsleitung über Datenschutzbeauftragte und die Revision bis hin zu Funktionen in den Fachbereichen. 4 Ergebnisse 4.1 Nutzung von Cloud Computing Bei der Frage, ob im eigenen Unternehmen bereits Cloud Computing eingesetzt wird, teilt sich das Bild in drei etwa gleich große Lager: Die erste Gruppe setzt Cloud Computing bereits ein, eine weitere Gruppe ist mit der Einführung beschäftigt oder prüft die Einsatzmöglichkeiten, und die dritte Gruppe sieht keinen absehbaren Bedarf: Nutzt Ihr Unternehmen bereits Cloud Computing? Ja, innerhalb der eigenen IT-Infrastruktur 12 20 % Ja, durch den Rückgriff auf entsprechende Angebot Dritter 8 13 % Nein, aber entsprechende Projekte laufen 4 7 % Nein, aber wir erwägen den zukünftigen Einsatz 12 20 % Nein, das ist absehbar nicht geplant 24 40 % Summe der Antworten 60 100 % Bei den Cloud-Computing-Anwendern überwiegt der Einsatz innerhalb der eigenen IT-Infrastruktur ( private cloud ) deutlich. Nur 13 % der befragten Unternehmen setzen danach bisher Dienstleistungen von Cloud-Anbietern ein. Cloud Computing im praktischen Einsatz Seite 4
4.2 Modelle für das Cloud Computing Da unter dem Begriff Cloud Computing z. T. sehr unterschiedliche Dienste zusammengefasst werden, wird häufig eine Unterscheidung in drei Modelle vorgenommen: Infrastructure as a Service (IaaS) : Der Cloud-Betreiber stellt dem Anwender dynamisch skalierbare Basisressourcen zur Verfügung (z. B. Rechenleistung, Speicherplatz). Der Anwender nutzt diese Ressourcen für den Betrieb seiner eigenen Anwendungen. Platform as a Service (PaaS) : Hier stellt der Cloud-Betreiber dem Anwender neben den Infrastruktur-Ressourcen auch eine Plattform für die Realisierung eigener Anwendungen zur Verfügung. Application as a Service (AaaS) : In diesem Modell betreibt der Cloud-Anbieter Anwendungen in der Cloud, die von den Anwendern als Mandanten genutzt werden. Auf die Frage, welche Modelle für die Unternehmen interessant sind, ergibt sich kein eindeutiges Bild, sondern nur eine sehr leicht abnehmende Tendenz von den Infrastruktur-Clouds hin zu den Anwendungs-Clouds. Das könnte das Bestreben der Unternehmen widerspiegeln, selbst die Hoheit über ihre Anwendungen zu behalten bzw. unternehmensspezifische Prozesse möglichst kompromisslos in ihren Anwendungen abzubilden. Grundsätzlich scheinen jedoch alle Cloud- Modelle für die befragten Unternehmen interessant zu sein (soweit der Einsatz von Clouds nicht generell abgelehnt wird): Welche Modelle sind beim Einsatz von Cloud Computing für Sie interessant? Infrastructure as a Service = Cloud-Dienstleister stellt Rechnerkapazitäten Platform as a Service = Cloud-Dienstleister stellt Rechnerkapazitäten und Middleware (Datenbanken, Anwendungsframeworks) Application as a Service = Cloud-Dienstleister stellt komplette Anwendungen 31 52 % 28 47 % 26 43 % Antworten mit mindestens einem Ja 47 78 % Insgesamt 14 Teilnehmer haben dabei mindestens eines der Modelle als interessant beurteilt, obwohl sie in Frage 1 den Einsatz von Cloud Computing in ihrem Unternehmen als nicht absehbar geplant angegeben haben. Offensichtlich besteht hier also keine grundsätzliche Ablehnung von Cloud-Computing-Szenarien, sondern durchaus interessante Szenarien werden aus anderen Gründen nicht für den praktischen Einsatz in Erwägung gezogen (zu möglichen Gründen dafür siehe weiter unten). 4.3 Anwendungen in der Cloud Auf die Frage, welche Anwendungen von den Unternehmen in der Cloud betrieben werden, ergab sich ein sehr durchmischtes Bild. Zu den genannten Anwendungen zählen: Servervirtualisierung Customer-Relationship-Management-Systeme (CRM) Cloud Computing im praktischen Einsatz Seite 5
E-Mail, E-Mail-Sicherheit und E-Mail-Archivierung Collaboration-Systeme Datenbanken Storage Diverse Fachanwendungen. Auf keinen einzelnen Anwendungstyp fielen mehr als drei Nennungen. Es kann daher nicht von einem gehäuften Einsatz von Cloud-Diensten für einen bestimmten Anwendungstyp gesprochen werden, vielmehr scheinen die bisherigen Cloud-Lösungen sehr breit gestreut zu sein. 4.4 Gründe für Cloud Computing In der nächsten Frage ging es darum, welche Gründe aus Sicht der Teilnehmer für den Einsatz von Cloud Computing sprechen. An erster Stelle stand hier die Flexibilität/schnelle Kapazitätsanpassung von cloud-basierten Diensten. Weitere wichtige Gründe sind die Einsparung von Kosten und die Entlastung der vorhandenen Personalressourcen in der IT: Was sind aus Ihrer Sicht relevante Gründe für den Einsatz von Cloud Computing? Schnelle Kapazitätsanpassung 40 67 % Kosteneinsparung 38 63 % Entlastung des IT-Personals 27 45 % Höhere Systemverfügbarkeit 19 32 % Sicherheitsgewinne 10 17 % Technologische Trends aufgreifen 9 15 % Image; in sein 4 7 % Antworten mit mindestens einem Ja 56 93 % Weitere von den Teilnehmern formulierte Gründe für den Einsatz von Cloud Computing waren die schnelle und einfache Realisierbarkeit von kurzlebigen IT-Anwendungen sowie die leichte Realisierung von Lösungen über Standorte und Unternehmensgrenzen hinweg. Auch hier bestätigt sich, dass die Anzahl von Teilnehmern, die gar keine Vorteile beim Cloud Computing für relevant halten, deutlich niedriger ist als die Anzahl der Teilnehmer, bei denen eine Einführung nicht absehbar geplant ist. Offenbar stehen den erkannten Vorteilen Hemmnisse im Weg, die trotzdem zu einer Entscheidung gegen den Einsatz führen. Cloud Computing im praktischen Einsatz Seite 6
4.5 Gründe gegen Cloud Computing Bei den Antworten auf die vorigen Fragen wurde schon deutlich, dass einige Befragte dem Cloud Computing durchaus interessante Seiten abgewinnen, aber dennoch ein Einsatz im eigenen Unternehmen nicht absehbar geplant ist. Entsprechend ging es in der nächsten Frage darum, welche Gründe aus Sicht der Teilnehmer gegen den Einsatz von Cloud Computing sprechen: Was sind aus Ihrer Sicht relevante Gründe gegen den Einsatz von Cloud Computing? Sicherheitsbedenken: Vertraulichkeit der Daten 51 85 % Rechtliche Schwierigkeiten (z. B. Auftragsdatenverarbeitung) 44 73 % Abhängigkeit von externen Dienstleistern 39 65 % Sicherheitsbedenken: Verfügbarkeit der Systeme 32 53 % Sicherheitsbedenken: Nachvollziehbarkeit der Verarbeitung 32 53 % Sicherheitsbedenken: Integrität (Richtigkeit) der Daten 24 40 % Hindernisse bei der Vorfallsbehandlung/IT-Forensik 24 40 % Fehlendes Know-how 8 13 % Kein Bedarf/kein Mehrwert erkennbar 6 10 % Wirtschaftliche Gründe/Kosten 4 7 % Antworten mit mindestens einem Ja 58 97 % An erster Stelle stehen Bedenken bezüglich der Vertraulichkeit der in der Cloud verarbeiteten Daten, gefolgt von rechtlichen Problemstellungen. Hier spielen sicherlich die Anforderungen des Bundesdatenschutzgesetzes für die Auftragsdatenverarbeitung eine wesentliche Rolle, die bei der Verarbeitung von personenbezogenen Daten in einer Cloud nur schwer erfüllbar scheinen. Weitere signifikante Nennungen betreffen die Abhängigkeit von externen Dienstleistern sowie Sicherheitsbedenken in Bezug auf die Verfügbarkeit und die Nachvollziehbarkeit der Verarbeitung. Weitere, von den Teilnehmern formulierte, Argumente gegen Cloud Computing sind fehlende Transparenz über Risiken, Performance-Einschränkungen und Bedenken zur Rückführbarkeit der Daten. Auch hier bestätigt sich wieder, dass der Anteil der Teilnehmer, die keinen Mehrwert in Cloud- Computing-Anwendung sehen, deutlich niedriger ist, als der Anteil der Unternehmen, die eine Einführung nicht absehbar planen. Andererseits wird deutlich, dass auch die Unternehmen, die Cloud-Dienste bereits nutzen, sich der Gegenargumente durchaus bewusst sind: Alle Teilnehmer, die Cloud-Dienste im Einsatz haben, haben mindestens einen der hier genannten Gründe als relevant eingestuft. Cloud Computing im praktischen Einsatz Seite 7
4.6 Anbieter-Zertifizierung Das deutliche Bewusstsein der Umfrageteilnehmer für die Risiken und Hemmnisse äußert sich deutlich in dem Wunsch nach einer Anbieterzertifizierung: Erwarten Sie von Anbietern von Cloud-Computing-Diensten die Vorlage eines Zertifikats für ihr Informationssicherheitsmanagement-System (z. B. IT-Grundschutz, ISO 27001)? Ja, die Zertifizierung wäre Voraussetzung für eine Zusammenarbeit 32 53 % Ja, die Zertifizierung wäre positiv für die Bewertung 24 40 % Nein 3 5 % Summe der Antworten 59 98 % Mehr als die Hälfte der Befragten sieht eine Sicherheitszertifizierung des Anbieters sogar als Voraussetzung einer Zusammenarbeit an. Bisher sind solche Zertifizierungen in der Praxis jedoch relativ selten anzutreffen. Es besteht daher durchaus die Möglichkeit, dass eine Investition der Cloud-Anbieter in ihre Sicherheit und eine entsprechende Zertifizierung den Anteil der Anwenderunternehmen deutlich erhöhen könnte. 5 Fazit Die Ergebnisse der Studie bestätigen Cloud Computing als einen wesentlichen Trend in der IT. Die Einsatzgebiete und die gewählten technologischen Modelle decken dabei ein großes Spektrum ab; bevorzugte Einsatzgebiete oder Modelle lassen sich derzeit nicht erkennen. Die Hauptfaktoren für den Cloud-Einsatz sind die Flexibilität des IT-Einsatzes und Kosteneinsparungen. Dem stehen aber Risiken gegenüber, die von den Teilnehmern der Studie deutlich gesehen wurden. Neben Befürchtungen über die Vertraulichkeit der Daten werden dabei vor allem rechtliche Risiken gesehen. Hier könnten Sicherheitszertifizierungen der Anbieter helfen, Vertrauen zu schaffen und neue Einsatzgebiete zu erschließen. Cloud Computing im praktischen Einsatz Seite 8
Kontakt: Timo Kob +49 30 533 289-0 kob@hisolutions.com HiSolutions AG Information Security Consulting Bouchéstraße 12 12435 Berlin Phone +49 30 533 289-0 Fax +49 30 533 289-900 Web http://www.hisolutions.com/ E-mail security-consulting@hisolutions.com Cloud Computing im praktischen Einsatz Seite 9