Flexibilität, Agilität, Schnelligkeit, Innovationsfähigkeit: Dies sind Attribute, die Entscheider neben der Kostenersparnis besonders häufig mit der Cloud in Verbindung bringen. Die zunehmende Popularität bestätigt auch der „Cloud-Monitor 2018“ von Bitkom und KPMG, wonach bereits zwei Drittel der deutschen Unternehmen auf Cloud-Computing setzen.

Tatsächlich ist die digitale Transformation ohne virtuelle Speicher und Dienste kaum vorstellbar. An flexiblen Angeboten für KMU und auch für Enterprise-Kunden mangelt es ebenfalls nicht. In puncto Sicherheit und Verfügbarkeit erreichen die Cloud-Provider selbst mit Basisfunktionen ein Level, das auf Ebene einzelner Unternehmen kaum mit vertretbaren Kosten zu realisieren ist.

Mit der zunehmenden Verlagerung von Assets in die Cloud gehen trotz allem enorme Risiken einher. So ist es ein Irrglaube, dass alleine der Cloud-Anbieter für das Thema Security Verantwortung trägt. Bei der Nutzung von Public und Private Clouds stehen Unternehmen in zahlreichen Datenschutz- und Datensicherheitsfragen selbst in der Pflicht – etwa wenn es um Zugangsberechtigungen und Back-ups geht. Angesichts von Multi-Cloud-Umgebungen, in denen sich die IT-Infrastruktur eines einzigen Unternehmens über drei bis vier Cloud-Provider erstreckt, müssen die IT-Teams zudem den administrativen Überblick behalten. Das Ideal liegt in einer einheitlichen Governance, die über einen Management-Layer abgebildet wird. Aus der Vernetzung der virtuellen und der lokalen IT des Unternehmens ergibt sich ein weiteres Risiko. Die Schnittstellen (APIs) können schnell zum Flaschenhals werden, wenn Angreifer sie gezielt mit manipulierten Datenströmen überfluten. Eine Filterung des gesamten Datenverkehrs, der legitime von illegitimen Zugriffen trennt, ist der beste Schutz gegen diese Ausfallszenarien.

Marc Wilczek
... ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Managementfunktionen bei der Deutschen Telekom war er zuvor unter anderem als Senior Vice President Asien-Pazifik/Lateinamerika/ Naher Osten und Afrika beim E-Health-Konzern CompuGroup Medical tätig.

Zudem liegt es in der Natur der Sache, dass die Anbindung an das öffentliche Netz ein potenzielles Einfallstor für Cyberkriminelle darstellt. Eine besondere Gefahr sind DDoS-Attacken, die sich gegen sämtliche Teile der hybriden IT-Infrastruktur von Unternehmen richten können. Mittlerweile werden laut aktuellen Aufzeichnungen von Link11 mehr als die Hälfte dieser Überlastungsangriffe über missbrauchte Cloud-Server ausgeführt. Dabei sind es schlicht die hohen Bandbreiten, die das Interesse der Angreifer wecken.

Welche Dimension Ausfälle der Cloud annehmen können, zeigt unter anderem eine durch menschliches Versagen hervorgerufene Nichtverfügbarkeit von Amazon Web Services (AWS) Ende Oktober 2019. Die AWS-Infrastruktur war in Teilen über acht Stunden lang nicht erreichbar. Der Schaden bei den Anwenderunternehmen dürfte sich auf über 100 Millionen US-$ summieren.

Unternehmen sind jedoch nicht nur von der Verfügbarkeit ihrer Cloud-Ressourcen abhängig, sondern zunehmend auch vom Provider selbst. Die Rede ist vom sogenannten Lock-in-Effekt, der insbesondere durch zwei Faktoren hervorgerufen wird: Einerseits entsteht er durch die hohen Kosten einer Cloud-Migration – die enormen Switch-Investitionen amortisieren sich oftmals erst nach vielen Jahren –, auf der anderen Seite ist die eingeschränkte Portabilität der großvolumigen Datenbestände für den Lock-in verantwortlich.

Blicken wir zuletzt hinter die Kulissen, so wird deutlich: Mit einem Wechsel in die Cloud möchten Unternehmen zwar ihr digitales Geschäft beflügeln, letztlich ist bei vielen Firmen die Hauptmotivation jedoch das Einsparen von Geld. Diese Erwartung wird entgegen der landläufigen Meinung bei einer großen Zahl der Unternehmen nur selten erfüllt. Ursächlich sind insbesondere unterschätzte Migrationskosten und zu optimistische Zeitpläne. Terminüberschreitungen führen häufig dazu, dass unternehmenseigene Rechenzentren und Cloud-Infrastrukturen länger als angenommen parallel betrieben werden müssen. Hinzu kommt der „Cloud-Speck“: Diese unnötige Überversorgung mit Cloud-Ressourcen verursacht laut „RightScale 2019 State of the Cloud Report“ von Flexera irrwitzige 27 % der Cloud-Ausgaben. Eine sonnige und schattenlose Cloud-Bilanz können Unternehmen nur dann ziehen, wenn sie neben dem Segensreichtum die drei wesentlichen Flüche der Wolke im Blick behalten: Sicherheitsrisiken, Abhängigkeiten und ausufernde Kosten.

Text: Marc Wilczek

Der Gastkommentar ist in unserer Dezember-Ausgabe 2019 „Sicherheit“ erschienen.

Opinions expressed by Forbes Contributors are their own.