Wertschöpfung aus der Cloud bedingt organisatorischen Wandel. Ganz besonders relevant: die Sicherheitsperspektive. Neun Dimensionen müssen beherrscht werden. Ein Security-Assessment, Datenschutz als Managed Service und externes Schlüsselmanagement sind weitere Zutaten für maximale Resilienz.
Schweizer Spitäler stehen unter Kostendruck. Die Digitalisierung im Gesundheitswesen erfordert auch in der IT passende Strategien. Systeme und Infrastruktur müssen fit gemacht werden für die digitale Transformation. Gleichzeitig spielt die Ausgestaltung der IT-Arbeitsplätze eine immer wichtigere Rolle. Eine benutzerfreundliche und moderne Umgebung macht die Arbeit des Spitalpersonals nicht nur effizienter, sie trägt auch dazu bei, Anforderungen an Security und Datenschutz gerecht zu werden. Für die Spital-IT ist es eine Herausforderung, die Vielzahl an Diensten zu verwalten und zu supporten. Einen Service Provider an Bord zu holen, kann wertvolle Ressourcen und Kosten einsparen und gleichzeitig die Qualität der Services erhöhen.
Mehr als 10’000 Kunden zählt Amazon Web Services, die Hyperscaler-Cloudplattform, in der Schweiz. In der Schweiz ist die Nachfrage nach Cloudressourcen derzeit besonders stark. Eine Folge davon: AWS spielt kontinuierlich neue Features in seine ohnehin bereits sehr umfassende Plattform für Public Cloud Services ein, um die Vielfalt an Bedürfnissen abzudecken. Infolge der fast täglichen Änderungen und Aktualisierungen ist das System allerdings mittlerweile komplex zu handhaben. Die strategische Planung und Verlagerung bislang inhouse betriebener IT in eine Hybrid-, Multi- oder Public-Cloudumgebung ist daher am besten bei einem zertifizierten Managed Services Partner aufgehoben, in dessen Verantwortung es liegt, sich permanent up to date zu halten.
Sich von ihrer gewachsenen Infrastruktur zu trennen, fällt vielen Unternehmen nicht leicht. Sie meinen ihre Netzwerke zu kennen und agieren noch häufig nach dem Motto: «Besser der Spatz in der Hand als die Taube auf dem Dach». Für sie ist der mit der einhergehende Wechsel auf neue Betriebsformen in der IT noch eher abschreckend. Wer jahrelang Software-Lizenzen verwaltet hat und nun die Software als Service bezieht, muss Beschaffungs- und administrative Prozesse ändern. Er muss klären, wie die Cloud und die hochskalierbaren Services zur strategischen Zielerreichung beitragen, wie sie effizient genutzt werden können – und wie vor allem deren Sicherheit und die Sicherheit der Daten gewährleistet werden können.
Eine mögliche Strategie, sich an die Cloud «heranzutasten», ist, nicht unmittelbar das Geschäftsmodell des gesamten Unternehmens zu verändern. Vorzugsweise beginnt man mit einer Geschäftsidee und geht klein, aber dafür smart vor – und überträgt die Erfahrungen dann auf die weiteren Bereiche. Damit wird deutlich, dass der Weg in die Cloud für jedes Unternehmen ein anderer ist. Dennoch hat AWS ein «Cloud Adoption Framework» (CAF) vorgelegt, an dessen Best Practices man sich «entlanghangeln» kann. Der Vorteil eines Managed Services Partners auch hier: Er hat dieses Framework bereits bei der Cloudifizierung anderer Unternehmen angewendet und weiss um die Priorisierung und den Nutzen der einen oder anderen Empfehlung zur Vorgehensweise.
Das CAF blickt auf den umfangreichen Planungsvorgang aus sechs Perspektiven. Deren drei – Geschäft, Personen und Governance – befassen sich mit unternehmerischen Aspekten. Drei weitere beleuchten die technische Basis: Plattform, Betrieb – und: Sicherheit.
Die Sicherheitsperspektive richtet sich auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Workloads. Sie bezieht den CISO (Chief Information Security Officer), den CCO (Chief Cybersecurity Officer), den Leiter der internen Revision sowie Sicherheitsarchitekten und -ingenieure ein.
Bei AWS gilt das «Shared Responsibility Model». Der Hyperscaler hat Sicherheit in seine Plattform eingebaut. Doch die Transformation und der Betrieb liegen in der Verantwortlichkeit des Anwenders; es sei denn, dieser stützt sich auf einen Partner ab. Gewährleistet werden muss Sicherheit in den Dimensionen: Security Governance (Rollen, Verantwortlichkeiten, Prozesse, Policies), Bedrohungserkennung (Identifikation von potenziellen Gefahrenherden), Datenschutz, Security Assurance (Überwachung und Optimierung der Effektivität von Sicherheits- und Datenschutzplänen), Schwachstellenmanagement, Anwendungssicherheit, Identitäts- und Zugriffsmanagement, der Schutz der Infrastruktur sowie Incident Response, indem effizient auf sicherheitsrelevante Vorfälle reagiert werden kann.
Die Erfahrung zeigt, dass viele Unternehmen ihre on-premise-Infrastrukturen als sicher einstufen und die Public Cloud als eher unsicher. Die Auflistung der Sicherheitsparameter gemäss AWS CAF lässt aber schlussfolgern, dass kaum eine Firma im eigenen Rechencenter auf all diesen Ebenen professionell und optimal aufgestellt ist, wenn IT nicht in der Kernkompetenz liegt.
Ein Security Assessment durch einen Profi hilft, Handlungsbedarf zu identifizieren und Abhilfe zu schaffen. Etablierte Methoden von der Datenerfassung und Planung über die Durchführung bis hin zu den Reports und Empfehlungen führen zu einer systematischen Priorisierung und einer Umsetzungs-Roadmap, die das Unternehmen entweder allein oder mit dem professionellen Partner ausführen kann. T-Systems gibt in der Regel nach Abschluss eine Qualitätsgarantie ab, dass alle Sicherheitsempfehlungen state-of-the-art implementiert wurden.
Dabei eignen sich etliche dieser Bereiche sehr gut für Automatisierung – etwa die Threat Detection oder das Vulnerability Management, indem Verhaltensmuster nach Anomalien abgesucht werden, was der Algorithmus zuverlässiger erkennt als der Mensch. Dies lohnt sich für ein einzelnes Unternehmen allerdings häufig nicht; ein Managed Services Partner hingegen kann skalieren.
Vertraulichkeit ist das A und O bei Infrastrukturen und Daten. Ein Managed Services Provider stellt diese vertraglich, technisch und organisatorisch sicher. Er garantiert, dass Compliance nach geltenden Datenschutzbestimmungen eingehalten wird. Und er gewährleistet den 24/7-Support im Betrieb, den ein Hyperscaler in seiner Self-Service Public Cloud per definitionem nicht bietet. Supportprozesse werden so auch nicht in die USA geroutet, sondern die Tickets werden ausschliesslich von HR-validierten Mitarbeitenden mit geographischer Eingrenzung abgearbeitet.
Mehr noch: T-Systems steht AWS-Kunden mit einer vertrauenswürdigen Cloud Landing Zone zur Seite, die nach AWS Best Practices aufgebaut ist und betrieben wird. Zugleich verwaltet T-Systems die Datenresidenz und setzt Verschlüsselungstechnologien ein, bei denen nicht der Hyperscaler, sondern der Managed Partner, in diesem Fall T-Systems, den Schlüssel verwaltet. Beim «External Key Management» wird zudem jeder Ver- und Entschlüsselungsvorgang geloggt und kann verweigert, kontrolliert und transparent nachvollzogen werden.
In diesem Modell haben Hyperscaler und lokaler Partner ein gemeinsames Interesse, in die Plattform und Services zu investieren. Der lokale Partner bietet seine Beratungs- und Betriebsleistungen; der Hyperscaler wiederum gewinnt Zugang zu Use Cases, die ihm bis anhin aufgrund der Sensitivität von Daten und Applikationen verschlossen waren.
