Das Dokument thematisiert die Chancen und Risiken des Cloud Computing, betont die Vorteile hinsichtlich Kostensenkung, Flexibilität und Skalierbarkeit und diskutiert die Herausforderungen bei der Sicherheit und Compliance. Es wird darauf hingewiesen, dass Unternehmen eine klare Cloud-Strategie entwickeln sollten, um die Vorteile der Cloud-Technologie zu nutzen und gleichzeitig Sicherheits- und Identitätsmanagement-Aspekte zu berücksichtigen. Abschließend wird die Notwendigkeit einer neuen IT-Kultur hervorgehoben, um erfolgreich im Cloud-Umfeld agieren zu können.

1. Cloud Computing – Chance oder Risiko?
Erfolgsfaktoren, Trends und Prognosen
Tim Cole
Kuppinger Cole + Partner

3. „A
cloud
is
just
water
vapor“

5. Was ist das?
Edge Computing
Meta Computing
P2P Computing PaaS Virtualisierung
Public Cloud
Ubiquitous Computing
Private Cloud
„Blue“ Cloud
Hosted Computing
Organic Computing
SaaS ASP
Island Computing
Miet-IT
Cluster Computing Grid Computing
On-Demand Grid
Utility Computing
Elastic Computing Distributed Computing

6. Was sagen die anderen Analysten?
• Forrester: „Pool aus abstrahierter, hochskalierbarer
und verwalteter IT-Infrastruktur, die
Kundenanwendungen vorhält und nach Verbrauch
abgerechnet wird“
• Gartner: „Bereitstellen skalierbarer IT-Services über
das Internet für eine potenziell große Zahl externer
Kunden“
• Red Hat: „Grid for Rent“
• Salesforce.com: „Cloud = SaaS“

7. Was sagen wir?
„Cloud Computing ist die
kontrollierte und sichere Bereitstellung
und Nutzung von definierten
Services unterschiedlicher Provider,
extern wie intern,
wobei der Wechsel zwischen Providern
einfach und jederzeit möglich sein muss.“

8. Wolke ist nicht gleich Wolke
Private Cloud
Hybrid Cloud
Public Cloud
Community Cloud

9. Vorteile von Cloud Computing
• virtuelle Nutzung von Software, Speicher,
Rechenleistung und IT-Infrastrukturen
– Unternehmen können bis zu 25 Prozent ihrer IT-
Kosten einsparen*
• Beliebige Skalierbarkeit
– „Infrastructure-as-a-Service“
• Abrechnung nach Nutzung
– Fixkosten in variable Kosten umwandeln
• „CapEx – OpEx“
Quelle: A.T. Kearny, 08/09

10. Flexibilität
Mehrwert
Kostensenkung CLOUD
Software-as-a-Service
Platform-as-a-Service
Infrastructure-as-a-Service
VIRTUALIZATION
Server, Anwendungen
und Desktops
LEGACY
Rechenzentren,
Hardware und
Software
Physical / Legacy Virtualization 1.0 Virtualization 2.0 / Cloud

11. End-
User
Mehrwert für User
Anwendungs-
Entwickler
Netzwerk-
Architekten

12. Mehrwert fürs Unternehmen
IaaS
SaaS
PaaS

13. Rolls Royce / Salesforce.com
Uwe Oltjen, Sonnenhof Westerstede
Johannes Schick, höltl GmbH

14. Kleine und mittlere Unternehmen
werden überproportional von Cloud
Computing profitieren

15. Markt für Cloud Computing in Deutschland
Quelle: BITKOM 09/09

16. Nachteile von Cloud Computing?

17. Warum?
“Many regulations like SOX and HIPAA put
very real consequences on failure to secure
data and processes. C-level executives can
go to jail for failure to comply.
CIOs know that they have control of their own
data centers. That‘s why they‘re leery of the
Cloud.“*
*Quelle: DevCenter, 04/09

18. Was tun?
Noch müssen die
meisten Anwender vom Nutzen
(und der Sicherheit)
von Cloud Computing
überzeugt werden.
*Quelle: DevCental, 04/09

19. Securing the Cloud

20. IT Security als „blinder Fleck“
„IT Security Profis verstehen
(in der Regel) nichts von
Software-Entwicklung“
„Software-Entwickler
verstehen (in der Regel) nichts
von IT Security“

21. „Beide verstehen nichts von
Identity Management“

22. Im Cloud können die Folgen fatal sein

23. Ziele von IT-Security
• Schutz vor technischem Systemausfall
• Schutz vor Sabotage oder Spionage
• Schutz vor Betrug und Diebstahl
• Schutz vor Systemmissbrauch, durch illegitime
Ressourcennutzung, Veränderung von
publizierten Inhalten, etc.
Quelle: Wikipedia, Stichwort „Informationssicherheit“

25. Ziele von Identity Management
• Konsistenz und Aktualität der Nutzerdaten
• Erleichterung bei der Einführung von neuen
Diensten und Methoden (z.B. Single Sign-on)
• Vereinfachung der Datenhaltung
• dauerhafte Kosteneinsparungen in der
Administration
• bessere Kontrolle über die Ressourcen
• optimale Unterstützung von internationalen
Projekten im Bereich Cloud Computing
• höhere Sicherheit

27. Klassischer Security-Ansatz: Perimeter Defense
Internet
corporation
datacenter

28. Eine Wolke hat
keinen „Perimeter“

29. ?
Internet/Extranet/Intranet
? ? ?
?
? ? datacenter

30. Identity-Ansatz: Lückenlose Kontrolle
supplier company customers
„extended enterprise“ (things)
products / services
IT systems
(machines)
applications
(people)
users
So who is allowed to do what within your business processes?

31. „Identitäts-basierte Security und
effektives Rollenmanagement in der
Cloud ist Voraussetzung für
nachhaltige Sicherheit.“

32. Warum?
IAM adressiert ALLE Aspekte von Cloud Security
DLP (Data Leakage Prevention)
– Attestierung von Zugriffsberechtigungen
– Schutz vor Insider-Angriffen
– Missbrauch privilegierter Benutzerkonten („Evil
Admins“)

33. Was tun?
Cloud Computing darf NICHT zu Lasten
von Investitionen in
Identity & Access Management gehen!

34. Cloud Governance

35. Cloud Governance steckt noch
in den Kinderschuhen
• Segregation of Duties in der Cloud
• Standard-basierte Bewertung von Risiken in der Cloud
• Auditing über Systemgrenzen hinweg
• Identifizierung von Benutzung, Steuerung von
Berechtigungen über verschiedene Cloud Services hinweg
• Mit Cloud Computing sind Compliance-Konflikte
vorprogrammiert
– USA/Homeland Security vs.EU-Datenschutzrichtlinie)
• Welches Gericht ist zuständig?
• Wer soll es machen?
– „Governance-as-a-Service“?

36. Nichts ist so schwer
wiederherzustellen wie verlorenes
Vertrauen

37. „Cloud-Universum 2009“
Google Apps
viele
Novell
Amazon
„Cloud for Mozy
Cloud Service Provider/Reseller
the Masses“
Microsoft
Online
RM5
Kunden
Industry
Cloud Oracle
IBM SalesForce
„cloud“ SAP
Classic
SaaS
Outsourcing Siemens
IBM EMC
wenige
„classic“
spezifisch generisch
Wiederverwendbarkeit des Angebots

38. Questions to ask your IT people
…and your vendor
• Was bringt Cloud Computing für unser Unternehmen?
– Kostenvorteile
– Nachhaltigkeit
– Sicherheit (Zertifizierung!)
– Firmenwert („was passiert bei M&As?“)
• Welche Cloud-Strategie ist für unser Unternehmen die richtige?
– Private cloud
– Public cloud
– Community cloud
• Wo sollen wir anfangen?
• Was wird aus unserer bestehenden IT-Infrastruktur?
• Was sagen unsere Wirtschaftsprüfer?
• Was sagen unsere Kunden?
– Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten
Cloud Computing betreiben?

39. Fazit:
Unternehmen sollten nicht über „Cloud
Computing“ sondern über „Cloud IT“ nachdenken.
– Erfordert neue Organisationsformen und neue Ansätze in
• Sicherheit, Identity Management,
• GRC (Governance, Risk Management & Compliance)
• Business Prozess Development & Management
Bedeutet eine ganz neue IT-Kultur im Unternehmen.

40. Cloud ist ein ganz neues Spiel,
und keiner kommt daran vorbei!

41. Vielen Dank!
tc@kuppingercole.de