- Anzeige -


Schlaglicht: Kostenkontrolle in der Cloud


Bei einem Umzug von Diensten in die Cloud oder dem Management der Infrastruktur über Cloud-Dienste gibt es einiges zu bedenken
Was kann man tun, damit die Kosten nicht aus dem Ruder laufen?

- Anzeigen -





Von Robert Meyers, FIP und Datenschutzexperte bei One Identity

Einfach, schnell und flexibel auf Ressourcen zugreifen und das bei deutlich niedrigeren Kosten. Das sind die wichtigsten Argumente, die Unternehmen bewogen haben, Dienste ganz oder teilweise in die Cloud zu migrieren. Aber sind Cloud-Lösungen automatisch auch rentabler und ziehen Firmen wirklich den maximalen Gewinn aus den Services?

Bei einem Umzug von Diensten in die Cloud oder dem Management der Infrastruktur über Cloud-Dienste gibt es einiges zu bedenken. Ganz besonders, was die Kostenkontrolle angeht. Im Rahmen der Planung gilt es zunächst, ein Verständnis für die Elastizität des Modells zu entwickeln. Wenn Systeme nicht genutzt oder ausgelastet werden, kann man ihre Zahl reduzieren oder sie ganz abschalten. Im Idealfall automatisiert man diesen Prozess. Es ist nicht unüblich, dass Unternehmen, die hier den richtigen Hebel ansetzen, erhebliche Einsparungen erzielen. Das betrifft allerdings nur die Bereiche, in denen Unternehmen die Cloud im geschäftlichen Alltag nutzen.

Was kann man sonst noch tun, damit die Kosten nicht aus dem Ruder laufen?
Legen Sie fest, was genau Sie in die Cloud migrieren wollen. Optimale Ergebnisse erreichen Sie nur, wenn Sie sowohl die geeigneten Workloads als auch die richtigen Dienste auswählen. Für die meisten Unternehmen gilt: Nicht alles muss in die Cloud. Als Nächstes sollten Sie sicherstellen, dass Sie die richtigen Lizenzen für jeden der ausgewählten Dienste oder Benutzer in der Cloud verwenden. Wenn Sie in der Cloud arbeiten, müssen Sie normalerweise keinen Lizenzen zur späteren Verwendung speichern. Solche nicht genutzten Zugriffslizenzen nennt man aus gutem Grund "Shelfware". Das ist schon per Definitionem Geldverschwendung. Der springende Punkt in der Cloud ist schließlich ihr

On-Demand-Modell. Wenn Sie nach Diensten suchen, die Sie nicht genau dabei unterstützen, beziehungsweise, Ihnen helfen On-Demand-Ressourcen zu verwalten, dann suchen Sie wahrscheinlich an der falschen Stelle.

Mit dem letzten Punkt verhält es sich ein wenig anders. Mit einem umfassenden Remote-Zugriff und all den in die Cloud verlagerten Ressourcen, müssen Sie zwangsläufig Protokolle verwalten und nicht alles wie es ist im SIEM-System ablegen. Die SIEM-Kosten laufen bei vielen Unternehmen immer mehr aus dem Ruder. Verwalten Sie die Logs und senden Sie nur das, was Sie wirklich brauchen, an Ihr SIEM-System.

Und dann ist da noch die Verwaltung der Daten in der Cloud. Wenn es um die Datenschutz-Grundverordnung, DSGVO, und die Cloud geht, tauchen sofort eine Menge Fragen auf. Wer die Verantwortung trägt, ist eine der wichtigsten davon. Tatsache ist: Wenn Sie die Cloud bei der Verwaltung eines Unternehmens nutzen und die damit assoziierten Dienste einsetzen, kommen Sie um Data Governance nicht herum.

Ganz genau wie der CISO eines Unternehmens sollte der Datenschutzbeauftragte eine "Business First"- Mentalität mitbringen. Treibt man den Gedanken auf die Spitze, wäre der beste Weg, Risiken zu senken, erst gar keine Geschäfte zu machen. Leider ein für Unternehmen wenig hilfreicher Rat.

Der Datenschutzbeauftragte tut sich und dem Unternehmen einen großen Gefallen, wenn er von Anfang an mit dem CISO oder CIO ebenso eng kooperiert wie mit den Risk Managern. Sollen Datenschutzinitiativen und Programme in der Praxis wirklich funktionieren beziehen Sie sämtliche Stakeholder mit ein. Wer das nicht tut, riskiert, dass er scheitert.

Letztendlich sollte man Cloud-Dienste so betrachten und verwalten, als ob sie zum Unternehmen gehören. Man braucht vertragliche Grundlagen, genau wie bei der Nutzung eines Rechenzentrums. Diese Grundlagen umfassen den Datenschutz im Besonderen, generelle Sicherheitsbelange und die Wiederherstellung im Fall des Falles. Viele Firmen lassen sich von den Anforderungen in der Cloud überfluten als hätten sie es mit einem gänzlich neuen Konzept zu tun. Das ist es aber nicht. Es ist nichts anderes als wenn Sie die Verwaltung Ihrer Infrastruktur an einen Mitarbeiter outsourcen. Ohne es zu wissen, machen das einige größere IT-Firmen schon seit über 20 Jahren. Die Cloud hieß damals noch nicht Cloud, aber es gab sie schon. Die Rolle eines Datenschutzbeauftragten, eines Risikomanagers, eines CISO oder CIO besteht darin, das Unternehmen zu schützen und es ihm gleichermaßen zu erlauben, seine Geschäftstätigkeit so sicher wie möglich zu gestalten. (One Identity: ra)

eingetragen: 11.08.20
Newsletterlauf: 30.09.20

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Kommentare und Meinungen

  • Zunahme von Cloud-Migrationen

    Die aktuelle "IDG Cloud Computing Survey 2020" analysiert den Status Quo und die Trends bezüglich des Einsatzes und der Nutzung von Clouds in Unternehmen weltweit. So haben 92 Prozent der Unternehmen zumindest einen Teil ihrer IT-Struktur in die Cloud migriert, während bereits 55 Prozent mehrere öffentliche Clouds nutzen. Datenschutz ist und bleibt dabei eine der größten Herausforderungen für Unternehmen. Neben den Kosten, treiben fast 40 Prozent der Unternehmen Fragen des Datenschutzes und Überlegungen zu Sicherheitsanforderungen um. Christian Milde, General Manager DACH bei Kaspersky, schätzt das Thema Sicherheit bei der Cloud-Nutzung wie folgt ein.

  • Schlaglicht: Kostenkontrolle in der Cloud

    Einfach, schnell und flexibel auf Ressourcen zugreifen und das bei deutlich niedrigeren Kosten. Das sind die wichtigsten Argumente, die Unternehmen bewogen haben, Dienste ganz oder teilweise in die Cloud zu migrieren. Aber sind Cloud-Lösungen automatisch auch rentabler und ziehen Firmen wirklich den maximalen Gewinn aus den Services? Bei einem Umzug von Diensten in die Cloud oder dem Management der Infrastruktur über Cloud-Dienste gibt es einiges zu bedenken. Ganz besonders, was die Kostenkontrolle angeht. Im Rahmen der Planung gilt es zunächst, ein Verständnis für die Elastizität des Modells zu entwickeln. Wenn Systeme nicht genutzt oder ausgelastet werden, kann man ihre Zahl reduzieren oder sie ganz abschalten. Im Idealfall automatisiert man diesen Prozess. Es ist nicht unüblich, dass Unternehmen, die hier den richtigen Hebel ansetzen, erhebliche Einsparungen erzielen. Das betrifft allerdings nur die Bereiche, in denen Unternehmen die Cloud im geschäftlichen Alltag nutzen.

  • "Finger weg von Public-Cloud-Diensten"

    Immer mehr Organisationen und Unternehmen rüsten sich in diesen Tagen für Heimarbeit im großen Stil. Sie ist im Fall der Fälle die einzige Möglichkeit, den Geschäftsbetrieb aufrechtzuerhalten und den wirtschaftlichen Schaden weitestmöglich zu begrenzen. Die IT-Abteilungen stehen dadurch aber vor einer großen Herausforderung: Sie müssen den Mitarbeitern einen bequemen und gleichzeitig sicheren externen Zugang zu den Unternehmensressourcen verschaffen. Groupware-Funktionen wie E-Mail oder Kalender stellen dabei in der Regel kein großes Problem dar, da sie ohnehin bereits meist via Web-Clients und mobile Apps ortsunabhängig verfügbar sind. Anders sieht die Sache dagegen beim Austausch von Dateien und Dokumenten aus. Wollen Unternehmen den Home-Office-Mitarbeitern Zugang zu den internen Netzlaufwerken verschaffen, sind dafür oft komplexe und aufwändige VPN-Konstruktionen erforderlich. Ein Zugriff von Smartphones oder Tablets ist dabei in der Regel überhaupt nicht möglich.

  • IT-Sicherheit und Cloud Computing

    Cloud Computing ist eine Technologie, die Daten und Anwendungen in einer bisher unbekannten Weise gegenüber dem Internet zugänglich macht. Außerdem sorgt sie für eine zentralisierte Sammlung verschiedener Informationen, was einerseits zu einfacheren Abläufen führt, andererseits aber einen hervorragenden Schutz und verantwortungsvollen Umgang mit diesen Datentöpfen verlangt. Firmen sollten hier große Vorsicht walten lassen, denn Social Engineering wird als Angriffsmethode unter Cyberkriminellen stetig beliebter. Sie versuchen entweder das Konto eines Mitarbeiters zu übernehmen oder sich als, beispielsweise, Vorstandsvorsitzender auszugeben. Der Erfolg beruht darauf, möglichst viele private Informationen über das Opfer vorab zu sammeln.

  • Projekt Gaia-X aus Sicht eines lokalen Hosters

    Die Cloud hat sich längst zu einer wichtigen Kraft bei der Bereitstellung von IT-Infrastruktur etabliert. Doch die Dominanz der US-amerikanischen Hyperscaler hat viele europäische Unternehmen aber auch Regierungen in eine zunehmend schwierige Lage gebracht. Es geht um die Unabhängigkeit der in Europa ansässigen Organisationen von den Marktführern in den USA sowie den Vorschriften und Praktiken, unter denen diese Unternehmen auch europäische Daten verarbeiten. Deutschland und Frankreich haben sich nun durch einen neuen Vorstoß vorgenommen, europäische Daten besser zu schützen. Auch die Niederlande stehen als wichtiger Cloud-Standort bereit und in den kommenden Monaten sollen noch weitere Länder mit an Bord kommen, um ein neues souveränes Ökosystem zu schaffen: Gaia-X. Das Projekt Gaia-X ist eine Initiative, die sichere und souveräne europäische Dateninfrastruktur bereitstellen soll. Gaia-X soll durch lokale Gesetze reguliert werden und komplett unabhängig von der Rechtsprechung fremder Regionen sein. Und viel wichtiger: Sie soll von europäischen Dienstleistern umgesetzt werden.

  • Status quo heute ist absolut unbefriedigend

    "Wir haben in den letzten Monaten - gemeinsam mit Banken und FinTechs - eine Outsourcing-Leitlinie erarbeitet. Sie soll eine Navigationshilfe im dichten Regulierungs-Dschungel sein, für Banken und vor allem auch für FinTechs", sagte Bankenverbands-Hauptgeschäftsführer Andreas Krautscheid mit Blick auf das neue ‚Positionspapier Outsourcing-Leitlinie'. "Wir verbinden damit das sehr ambitionierte Ziel, die Zusammenarbeit zwischen Banken und FinTechs effizienter, verlässlicher und natürlich deutlich einfacher und damit schneller zu machen. Unser Anspruch ist, dass unsere Mitglieder die Leitlinie problemlos in der Praxis anwenden und in ihr Regelwerk integrieren können und durch sie einen echten Mehrwert erfahren. Was uns sehr freut: Auch die Bankenaufsicht hat die Zweckmäßigkeit unseres Ansatzes ausdrücklich bestätigt.

  • Meilenstein der Quantum Supremacy

    Obwohl es zweifellos ein enormer Meilenstein ist, dass Google die Überlegenheit der Quantencomputer - die so genannte Quantum Supremacy - belegen konnte, steht dem Unternehmen noch eine gewaltige Aufgabe bevor. Wenn schnelles und leistungsfähiges Quanten-Computing über die Cloud verfügbar wird, können riesige Datenmengen und Aufgaben millionenfach schneller bearbeitet werden. Die Technik wird damit unser Alltags- und Geschäftsleben entscheidend prägen. Beispielsweise könnten Anwendungen, die auf Quanten-Computing basieren, so diverse Problemfelder wie Verkehrsstaus, Internetkriminalität oder Krebserkrankungen einschränken oder gar verhindern. Dass Google nun den Meilenstein der Quantum Supremacy erreicht hat, bedeutet jedoch noch nicht, dass sie nun den Fuß vom Gas nehmen können. Vielmehr hat das Unternehmen damit den Startschuss für das Wettrennen um die Kommerzialisierung des Quanten-Computing gegeben. Denn nur mit dem Beleg, dass etwas möglich ist, kann man die Technologie noch lange nicht beherrschen.

  • Cloud-Sicherheit: Geteilte Verantwortung

    Wer übernimmt beim Cloud Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt - und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz - und hier liegt oft das Missverständnis - hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

  • Imageschaden für das Cloud-Konzept

    Schon wieder ein Datenvorfall: mehrere Millionen Patientendaten waren ungeschützt via Internet erreichbar. Das fanden der Bayerische Rundfunk und das US-Rechercheportal ProPublica heraus. Den Tipp gab ein IT-Sicherheitsspezialist. Ihm gelang es mühelos, Adressen und Röntgenbilder von Patienten, in Deutschland mehr als 13.000, anzusehen. Sinnentsprechend meinte der Security-Fachmann, dass er die Bilder wohl im Internet früher als die Ärzte gesehen habe. Wie konnte das passieren? Florian van Keulen, Solution Architect & Head of Product Design for Cloud und Cloud Security beim IT-Dienstleister Trivadis, kommentiert.

  • Compliance mit hiesigen Verordnungen

    Wie die Frankfurter Allgemeine Zeitung unter Berufung auf die Deutsche Bundesregierung berichtete, strebt Bundeswirtschaftsminister Peter Altmaier ein europäisches Cloud-Netzwerk an. Konkret sollen sich hier kleinere Anbieter aus dem Bereich Cloud verbünden, indem sie ein offenes Netzwerk bilden und somit Europa mit Rechenkraft versorgen. Als Quelle für diese Informationen nannte die FAZ ein internes Papier des Ministers, nach dem eine europäische Dateninfrastruktur das Ziel sei. Die Bundesregierung plane weiterhin, als Nutzer der europäischen Cloud eine zentrale Rolle zu übernehmen. Die Entscheidung, ob das vorerst auf "Gaia-X" getaufte Projekt als Unternehmen, Stiftung oder Verein gegründet werden solle, stehe derzeit noch aus.