CLOUD-KONTROLLE

Die Umsetzung einer Cloud-Verteidigung ist dabei nur der Anfang. Bei Cloud Computing werden Dienste über das Internet bereitgestellt. Informationssicherheit ist von grundlegender Bedeutung für jedes Cloud-Angebot und sollte daher nicht als ein notwendiges Übel oder einfach nur als eine Sache der Firewall definiert werden. Wenn bei der Informationssicherheit etwas schief läuft, dann hat dies bedeutende Auswirkungen auf die Geschäftsprozesse und die gesamte Geschäftstätigkeit eines Unternehmens. Das Risiko betrifft nicht nur das Cloud Computing, sondern auch die Art und Weise, wie Informationen während des Verteidigungsprozesses verarbeitet werden.

Der Vorteil der Cloud liegt zwar darin, dass die Kosten für IT-Ressourcen gesenkt werden, doch besteht auf der anderen Seite das Risiko, dass diese Kosten auf der Integrations- und Sicherheitsebene wieder auftauchen, indem Compliance-Kosten steigen und die Integration als Ganzes komplexer wird. Wenn es zudem aufgrund der Umstellung auf Cloud Computing und der damit verbundenen Integrations- und Sicherheitsprobleme zu Verzögerungen bei Projekten kommt, stellen diese Kosten eine Belastung für das Unternehmen dar.

Integration ist der wichtigste Nutzenverstärker der IT, denn durch sie werden alle Bereiche der Verteidigung, die Streitkräfte, Lieferanten und Partner, miteinander verbunden. Mehr Daten, Funktionen und Informationsanforderungen in taktischen, operativen und strategischen Geschäftsumgebungen bedeuten, dass das Verständnis für die Geschäftsdatenflüsse zu einer Kernkompetenz wird, um Kosten zu senken und Nutzen zu generieren. Die wichtigsten Punkte dabei sind:

• Dezentralisierte Sicherheit: Applikationen und Informationen befinden sich außerhalb der traditionellen Firewall. Die Sicherheit der Informationen muss auch dann gegeben sein, wenn auf diese nicht über die Benutzerschnittstelle der Applikation zugegriffen wird.
• Kein fester Standort: Die Informationen werden in einer virtuellen Umgebung gespeichert. Der Anbieter kann physische und virtuelle Maschinen erweitern oder austauschen. Die Endpunkte müssen flexibel und dynamisch konfiguriert werden können.
• Geschäftsprozesse: Sind nun in Applikationen abgebildet, über die der Benutzer nicht immer die Kontrolle hat. Bei Anbietern von Software as a Service (SaaS) steht unter Umständen nur eine begrenzte Zahl von Eingabe- und Ausgabepunkten für Informationen zur Verfügung. Kosten für den Support von Integration und Prozess können höher ausfallen, wenn maßgeschneiderte Touchpoints eingerichtet werden müssen.
• Anwendbares Recht: Recht des Landes, in dem die Daten gespeichert sind. Mit dem Aufkommen von Business-Process-Outsourcing und Cloud Computing und vor allem mit der zunehmenden Verbreitung von SaaS-Lösungen haben Bestimmungen zum Datenexport größere Bedeutung erlangt. Eine Sache ist der Standort der SaaS-Plattform, doch das Nachverfolgen und Sichern der „Transitdaten“ im Rahmen eines integrierten Geschäftsprozesses ist eine andere. Das mit einer Cloud-Integration einhergehende Sicherheitsrisiko muss unter allen Umständen berücksichtigt werden: Schnittstellen als Unternehmensdienstleistungen mit einer wirksamen Richtlinienverwaltung zu behandeln kann dabei helfen, die erforderliche Absicherung und Transaktionstransparenz zu erreichen. „Integration ist der wichtigste Nutzenverstärker der IT, denn durch sie werden alle Bereiche der Verteidigung, die Streitkräfte, Lieferanten und Partner, miteinander verbunden.“
• Einhaltung der Rechtsvorschriften: Die Gesetzgebung in Bezug auf PCI, FSA, DPA und NAO für die Speicherung und Bereitstellung von geheimen Informationen wird immer komplexer. Als Teil der Compliance muss auch klar sein, wo und von wem die Benutzerdaten kontrolliert werden.
• Geschwindigkeit und Volumen: Die Verteidigung hat komplexe Anforderungen an ihre Daten. Diese Anforderungen können über unterschiedliche Integrationsprofile erfüllt werden. Eine Möglichkeit zu vermeiden, dass es zum Kollaps kommt besteht darin durch Integrationsmuster festzulegen, wie hohe Volumen und/oder eine niedrige Latenz bei der Nutzung von Off-Premise-Daten erreicht werden.
• Den Ausstieg planen: Zurzeit ist Cloud Computing das Top-Thema. Doch was passiert, wenn – wie dies bereits bei einigen wichtigen Outsourcing-Diensten geschehen ist – Cloud-Kunden ihre IT wieder intern verwalten müssen? Die Transaktionsgrenzen von Unternehmensapplikationen und -dienstleistungen zu schützen und zu kennen kann dazu beitragen, langwierige und teure Reintegrationsprogramme zu vermeiden.

Die Voraussetzung dafür, dass Integration und Sicherheit gut gelingen (und zwar unabhängig vom Cloud Computing), ist, dass die im Vorfeld entwickelte Architektur, das Design und die Planung mit einer Governance für den gesamten Lebenszyklus gekoppelt werden. Cloud Computing für die Verteidigung ist nicht eine Frage des „ob“, sondern des „wann“. Das Verständnis dafür, wie Daten und Informationen in Cloud- und Nicht-Cloud-Umgebungen bereitzustellen und zu verarbeiten sind, beginnt mit soliden Architekturen und führt zu einer nahtlosen und sicheren Integration.