29.01.2018 (Peter Marwan)
4 von 5, (1 Bewertung)

DSGVO-konforme Multi-Cloud-Nutzung

  • Inhalt dieses Artikels
  • DSGVO-konforme Multi-Cloud-Nutzung
  • Cloud und DSGVO wie Hund und Katz?
  • DSGVO: Anwender können Verantwortung nicht abgeben
  • Was die Hybrid-Cloud-Adaption bremst
  • Multi-Cloud-Management bei HPE
  • Multi-Cloud-Management bei Nutanix

Die Nutzung von zwei oder mehr Cloud-Angeboten ist in Unternehmen nicht ungewöhnliches mehr. Der Trend geht zur Multi-Cloud, auch in Deutschland. Die im Mai 2018 endende Übergangsfrist für die EU-DSGVO droht diese Entwicklung jedoch auszubremsen. Schließlich gelten Datensicherheit und Datenschutz als größte Probleme bei der Cloud-Nutzung.

Julien Bam ist ein besonders bei jungen Leuten beliebter YouTuber. Er hat bei Twitter kürzlich darüber berichtet, dass er eine WhatsApp-Gruppe erstellt, einen anderen Nutzer eingeladen und direkt wieder ausgeladen hat. Was zunächst wie ein Dumme-Jungen-Streich klingt begründet Bam folgendermaßen: »Jetzt kann ich mir Dinge selbst schicken und abspeichern. Die Cloud des einfachen Mannes. Hammer!«

Den Tweet sollten sich eigentlich alle für die Cloud-Strategie ihrer Firma Verantwortlichen ausdrucken, über den Schreibtisch hängen und jeden Morgen bei Arbeitsbeginn einige Minute darüber nachdenken. Schließlich zeigt er exemplarisch, was alles möglich ist, wie Mitarbeiter verfügbare Tools und Programme zweckentfremden und wie sorglos sie dabei sind: Es wird einfach gemacht, gedacht wird dann später – wenn überhaupt. Dies geschieht in der Regel nicht mit böser Absicht, sondern aus dem Wunsch heraus, einfach effizienter zu arbeiten.

Nur Public und nur Privat sind Cloud-Auslaufmodelle. Der Trend geht zur Multi-Cloud (Grafik: Crisp Research).Nur Public und nur Privat sind Cloud-Auslaufmodelle. Der Trend geht zur Multi-Cloud (Grafik: Crisp Research).Verantwortlichen ist die Problematik seit Jahren bewusst. In diversen Befragungen zu Problemen bei der Nutzung von Public-, Hybrid- oder Multi-Cloud rangieren Datensicherheit und Datenschutz jeweils ganz oben. Laut Crisp Research waren es 2015 rund 63 respektive 49 Prozent der IT-Entscheider, die sich diesbezüglich Sorgen machten. Komplexität (25 %) und Compliance (19 %) lagen deutlich zurück.

Eine Studie von IDC (speicherguide.de berichtete) bestätigte das im Herbst 2017. Ihr zufolge hatten sich 44 Prozent der deutschen Unternehmen noch nicht ausreichend auf die DSGVO vorbereitet. Eine mögliche Ursache: Die Verantwortlichen unterschätzen die möglichen Folgen der Nichteinhaltung. Hier könnte es für viel noch ein böses Erwachen geben.

Cloud und DSGVO wie Hund und Katz?

Außerdem wird der Aufwand für die Einhaltung der Vorgaben bei DSGVO-relevanten Prozessen deutlich unterschätzt. Viele Firmen verzettelten sich und haben zwar einige Prozesse bereits an der DSGVO ausgerichtet, haben aber bei anderen, die zu den Hauptanforderungen gehören, noch erheblichen Nachholbedarf. Um den zu decken, investieren Firmen der IDC-Studie zufolge vor allem in CybersSecurity (47 Prozent der Befragten), aber auch Mobility und Cloud (jeweils 39 Prozent).

Speziell für Multi-Cloud-Szenarien hielten es von Crisp Research befragte Anwender in Hinblick auf die kommende DSGVO-Deadline für problematisch, Datenschutz- und Compliance-Richtlinien einzuhalten (rund 47 %) sowie Schatten-IT und unautorisierte Nutzung einzudämmen (40 %). Aber auch das erwünschte einheitliche Management der unterschiedlichen Infrastrukturen ist für fast ein Drittel eine ernsthafte Herausforderung.

DSGVO: Anwender können Verantwortung nicht abgeben

Viele Schwierigkeiten, die Anwender bei der Multi-Cloud-Nutzung sehen, sind auch aus Sicht der DSGVO relevant. Um sie in den Griff zu bekommen, ist ein möglichst einfaches Multi-Cloud-Management erforderlich (Grafik: Crisp Research).Viele Schwierigkeiten, die Anwender bei der Multi-Cloud-Nutzung sehen, sind auch aus Sicht der DSGVO relevant. Um sie in den Griff zu bekommen, ist ein möglichst einfaches Multi-Cloud-Management erforderlich (Grafik: Crisp Research).Die Cloud-Anbieter reagieren auf die Sorgen der Kunden. Marktforscher sehen die DSGVO 2018 sogar als treibende Kraft bei der Steigerung des Reifegrades der Cloud-Angebote. Dieser Reifegrad hängt Crisp-Analyst Dr. Ekkehard Schnedermann zufolge einerseits davon ab, inwieweit gesetzliche und regulatorische Vorgaben durch die Anbieter selbst erfüllt werden. Andererseits schließt er die Möglichkeiten ein, die Anwenderunternehmen bekommen, um die an sie gestellten Anforderungen überhaupt erfüllen zu können – etwa Auskunfts- oder Berichtspflichten nach Sicherheitsvorfällen.

Juristisch sind Unternehmen dafür verantwortlich, dass die Schutzmaßnahmen beim Cloud-Anbieter ausreichen, um die in dessen Systeme übergebenen personenbezogenen Daten zu schützen. Andersherum gesagt: Stellt sich nach einem Datenverlust heraus, dass ein Unternehmen bei der Auswahl des Cloud-Providers nicht sorgfältig genug war, kann das erhebliche rechtliche Konsequenzen haben. Allerdings können Cloud-Nutzer die Schutzmaßnahmen bei den Anbietern kaum prüfen.

Was die Hybrid-Cloud-Adaption bremst

Einer vom Analystenhaus Quocirca im Frühsommer 2017 durchgeführten Umfrage unter europäischen Großunternehmen zufolge sind Sicherheitsprobleme der Plattform, etwa eine Fehlkonfiguration, der wesentliche Grund, dass die Firmen nicht konsequenter auf die Hybrid Cloud setzen. Auf Rang zwei und drei folgen die Furcht vor menschlichem Versagen beim Cloud-Provider sowie die Komplexität bei der Einrichtung der Plattform.

Daher etablieren sich für Cloud-Anbieter gerade diverse Zertifizierungsdienste. Sie können Anwenderunternehmen als Richtschnur dienen. Welche sich letztlich am Markt durchsetzen, ist noch unklar. Gute Chancen hat national zum Beispiel Trusted-Cloud der Stiftung Datenschutz ,stehen dahinter doch zwei Bundesministerien. Ähnliches gilt für ein Testat, das den Anbietern bescheinigt, den Anforderungskatalog Cloud-Computing (C5) des BSI zu erfüllen. Das haben immerhin schon AWS, Microsoft, Box, Dropbox, Fabasoft und zuletzt Alibaba erhalten.

Doch bisher wollen sich jedoch nur die wenigsten Unternehmen (laut Crisp 7,6 %) ausschließlich auf die Unterstützung der einzelnen Cloud-Anbieter verlassen. Für diese Aufgabe eigene Tools zu entwickeln, planen nur rund 16 Prozent. Beides funktioniert wahrscheinlich noch am ehesten, wenn wirklich nur einer oder zumindest sehr wenige Cloud-Anbieter genutzt werden.

Das wiederum ist aber langfristig unwahrscheinlich. Laut Crisp geht der Trend eindeutig zur Multi-Cloud-Nutzung. Bereits in zwei Jahren – 2020 – setzten demnach fast 50 Prozent der Firmen auf eine Hybrid-Cloud, weitere 30 Prozent auf das Management einer Multi-Cloud-Umgebung. Ausschließlich die Applikationen und Systeme eines Public-Cloud-Anbieters nutzen den Analysten zufolge dann nur 19 Prozent, eine reine Private-Cloud-Infrastruktur nur drei Prozent.

Der Großteil der von Crisp Befragten (über 52 %) sucht daher nach Werkzeugen von Drittanbietern. Die sollen ihnen nicht nur dabei helfen, ihren Part bei der Erfüllung der DSGVO-Vorgaben zu erbringen, sondern auch die Komplexität reduzieren. Die wird bei der Hybrid-Cloud – der Kombination von Private- und Public-Cloud – insbesondere durch die vielen und sehr unterschiedlichen Dienste hoch, aus einer Public-Cloud (der mehreren Public-Clouds) genutzt. Das Ergebnis ist ein bunter und sich ständig verändernder Mix aus Infrastruktur-Services (IaaS), Plattform-Services (PaaS) und Software-Services (SaaS).

Eines davon ist das Enterprise Cloud Angebot von Nutanix. Aber auch HPE hat seit der Übernahme des Nutanix-Mitbewerbers SimpliVity im Frühjahr 2017 entsprechende Angebote entwickelt. Sie werden nun im Rahmen größerer Architekturkonzepte vermarktet.

Multi-Cloud-Management bei HPE

HPE spricht dabei von Hybrid-IT: Die soll Verfügbarkeit und Ausfallsicherheit gewährleisten, flexible Nutzungsmodelle unterstützen, Anwendungsentwicklung und -bereitstellung in der Cloud beschleunigen und es ermöglichen, dass IT als Service – der HPE-Terminus dafür ist ITaaS – angeboten wird. Als Spätberufener im Bereich Hyperkonvergenter Systeme prescht HPE nun zumindest konzeptionell am Wettbewerb vorbei. Das Schlagwort dafür ist Composable-Infrastructure, das Ziel eine Infrastruktur für jede Anwendung bereitzustellen. Lesen Sie hierzu auch die Meinung von Doc Storage zu Composable-Infrastructure.

Vermarktet werden die erforderlichen Produkte – und das sind eine ganze Menge – unter dem Begriff HPE Synergy. Synergy positioniert HPE als Alternative zu Cisco UCS und Dell FX. Eigenen Kunden bietet es die Migration vom HPE BladeSystem an.

In diesen integrierten Systemen wurden mehrere Zukäufe der vergangenen Jahre zusammengeführt. Neben der von Simplivity stammenden Software OmniStack gehören dazu auch HPEs 3PAR-Storage-Systeme, der Zukauf Nimble Storage sowie Multi-Cloud-Management-Tools. Letztere wurden Ende 2017 aktualisiert und an die neuen HPE-Konzepte angepasst. Besonderheit ist, dass sie selbst im SaaS-Modell angeboten werden sollen. Die Markteinführung des Multi-Cloud-Management-Tools soll Ende Januar unter dem Namen HPE OneSphere erfolgen.

Onespere führt laut Anbieter alle genutzten Clouds in eine logische Wolke zusammen und hilft der IT, die Perspektive zu wechseln: Sie soll sich auf die Anwendungen konzentrieren können. Welche Ressourcen dafür jeweils im Hintergrund erforderlich sind und wo die genau liegen, werde zweitrangig. Wesentlicher Aspekt sei es, die durch die zunehmende Hybrid-Cloud-Nutzung enorm zunehmende Komplexität beherrschbar zu machen.

Multi-Cloud-Management bei Nutanix

Für das Konzept der Enterprise-Cloud hat Nutanix einen umfangreichen Software-Stack aufgebaut, in dem Multi-Cloud-Management die oberste Schicht ist (Grafik: Nutanix).Für das Konzept der Enterprise-Cloud hat Nutanix einen umfangreichen Software-Stack aufgebaut, in dem Multi-Cloud-Management die oberste Schicht ist (Grafik: Nutanix).Das verspricht auch Nutanix. Hier heißt das Zauberwort Enterprise Cloud. Für Management, Betrieb, Planung und Überwachung der Infrastruktur dient bei Nutanix die Software Prism. Mit Nutanix Calm wird die Automatisierung der IT aus Anwendungssicht erreicht. Dazu wurde 2016 das relativ kleine Technologieunternehmen Calm.io übernommen. Mit dem Schritt verfolgte Nutanix seine früher formulierte Strategie weiter, Anwendungen bei der Verwaltung der IT in den Vordergrund zu rücken, die dafür erforderliche Infrastruktur dagegen auszublenden und austauschbar zu machen.

Die Leistungsfähigkeit der Infrastruktur wird von Nutanix quasi vorausgesetzt. Die Software, die dafür sorgt, wurde teils in Kooperation Dell, IBM, Lenovo, teils gegen deren Willen (Cisco und HPE) auf der Hardware der marktrelevanten Hersteller verfügbar gemacht. Damit laufen die Anwendungen unabhängig von der Hardware, dem Infrastruktur-Software-Stack oder der genutzten Virtualisierung.

Anwendungen lassen sich zudem weitgehend naht- und reibungslos verschieben. Das gilt nicht nur in der eigenen Infrastruktur. Nutanix-Kunden können so auch von einer Public-Cloud in eine andere migrieren. Dazu prüft Nutanix Calm zuvor die Infrastruktur, ob sie für den jeweiligen Workload geeignet ist.

Rolle der demnächst zu erwartenden »Xi Cloud Services« im Nutanix-Gesamtkonzept (Grafik: Nutanix).Rolle der demnächst zu erwartenden »Xi Cloud Services« im Nutanix-Gesamtkonzept (Grafik: Nutanix).Im Laufe des ersten Quartals des Jahres 2018 sollen die Nutanix Xi Cloud auch in Europa angeboten werden. Damit verspricht Nutanix einen »schlüsselfertigen Cloud-Dienst«. IT-Abteilungen sollen damit »innerhalb von Minuten« einen vollständigen Cloud-basierenden Desaster-Recovery-Dienst implementieren, managen und testen können.

Den Betrieb der Cloud will Nutanix einigen wenigen strategischen Partnern überlassen. Den Anfang machte Google, offizielle Pläne gibt es für AWS und Azure. Zur Markteinführung in Europa sollen aber auch regionale Besonderheiten berücksichtigen: Heißt: Es wird mindestens einen geben, der seine Firmenzentrale in Deutschland hat.