Volle Kontrolle

Welche Rolle spielt Good Governance?

Rechtskonform und sicherWie die Cloud

Datenschutzansätze neu definiert

Unversehrt und unantastbarPrivate-Cloud-Lösungen

und Sicherheit

Life in InformationWinter 2010

3

4 Folgen Sie nicht dem Kuhpfad David Hill: Datenschutzstrategien müssen den 'Kuhpfad' vermeiden, der durch veraltete Lösungen geschaffen wurde.

8 IT-Infrastruktur Peter Hinssen erklärt, wie Strukturen sich entwickeln - von Lösungen 'die lange halten' hin zu 'für Veränderungen gemacht'

6 Die Private Cloud hat einen Silberstreifen Sanjay Mirchandani: Neue Rollen und Möglichkeiten locken IT-Experten an.

10 Schutz vor dem Sturm Herausforderungen und Lösungen für Cloud-Sicherheit von RSA.

14 Cloud-Einsatz: hoch, höher und weg Wir lauschen dem Führungsgremium für Informationsvorsprung zum Thema Good Governance in der Cloud.

16 Wolken für die öffentliche Verwaltung. Das Interesse an Cloud-Computing-Konzepten wächst.

18 Referenzbeispiel. Archiv mit doppeltem Boden bei der Hessischen Justiz

Inhalt

„Ein hochwertiges Angebot an Cloud-Diensten ist für die Attraktivität des Standorts Deutschland wichtig“, unterstrich jüngst Dr. Bernd Pfaffenbach, Staatssekretär im Bundesministerium für Wirtschaft und Technologie, das September 2010 eine Cloud-Computing-Initiative angekündigt hat. Das Interesse an Cloud-Computing-Konzepten wächst auch in Verwaltungen und Behörden, die IT-Abteilungen bauen virtuelle Infrastrukturen und realisieren erste Effizienzgewinne.

Sicherheit in der Wolke ist gefragt – sowohl in der Privatwirtschaft als auch auf Seiten der öffentlichen Hand. Security-Richtlinien, die beim Cloud Computing direkt in der Virtualisierungsschicht verankert werden, sorgen für Vertrauen bei IT-Administratoren und Anwendern. Die aktuellen Sicherheitsherausforderungen erläutert Ihnen Tom Heiser, Chief Operating Officer von RSA in einem Interview.

Dem Thema Cloud Computing und Governance gewinnt zunehmend an Bedeutung. So hat eine von EMC in Auftrag gegebene Studie ergeben, dass nur bei 34 Prozent der Befragten Governance-Regeln existieren – hier besteht also im Sinne einer erfolgreichen Implementierung Handlungsbedarf.

Und wir sprechen mit dem Gründer von CIOnet über CIOnet, ein internationales, privates Netzwerk für CIOs.

Michael HammersteinGeschäftsführer EMC Deutschland

Die Wolke im Griff

Willkommen

Herausgeber: EMC Deutschland GmbH, Hauptverwaltungund Sitz: Am Kronberger Hang 2a, 65824 Schwalbach/Ts.,Deutschland, Amtsgericht Königstein/Ts., HRB 2486,Geschäftsführer: Michael Hammerstein, Paul ThomasDacier, William Joseph TeuberGesamtverantwortung Redaktion: Frank Gülpen, V.i.S.d.P.Tel.: +49 61 96/47 28-240, E-Mail: guelpen_frank@emc.com.Namentlich gekennzeichnete Artikel werden vom Autorverantwortet.

„Sicherheit in der Wolke ist gefragt – sowohl in der

Privatwirtschaft als auch auf Seiten der

öffentlichen Hand.“

12 Gut verbunden CIOnet zur Bedeutung sozialer Netzwerke für CIOs und IT-Manager.

4

Datenschutz

Moderne Historiker halten die Geschichte zwar für einen Mythos, aber angeblich ist das dysfunktionale Verkehrsnetz in Boston das Ergebnis von Kühen, die Pfade trampelten, die sich später in Straßen verwandelt haben. Nehmen wir einmal an, diese Geschichte ist wahr? Handelte es sich hier von Anfang an um einen Fehler?

Eigentlich nicht.

Obwohl wahrscheinlich nicht jeder Kuhpfad die kürzeste Verbindung zwischen zwei Endpunkten war, war es vermutlich die kürzeste Strecke, die für die Kühe geeignet war. Und die Besitzer mussten so nicht selbst Pfade erschaffen. Unglücklicherweise führten diese optimalen Kuhpfade letztendlich zu einer suboptimalen Lösung für Bostons Straßensystem als Ganzes.

Heute haben wir eine ähnliche Situation im Datenschutz, wo Unternehmen - private wie öffentliche - eine Reihe von Kuhpfaden in Form von veralteten Datenschutzlösungen übernommen haben. Unternehmen müssen verstehen, dass diese bestehenden Lösungen effektiv koordiniert werden müssen, um eine umfassende, nahezu optimale Datenschutzlösung für die heutigen Entwicklungsbedürfnisse zu erschaffen.

Zu diesen neuen Bedürfnissen

zählen oft die Umsetzung von Servervirtualisierung und eine Cloud, entweder eine Private oder Hybrid Cloud. In diesen Situationen ist es der Weg des geringsten Widerstandes, veraltete Datenschutzlösungen zu belassen, wie sie sind, und neue, unabhängige 'Kuhpfad-'Lösungen für neue Hardware und Software in dieser Struktur zu schaffen. Das ist allerdings genau das, was Unternehmen nicht tun sollten. Ein effektives Unternehmen definiert stattdessen eine ideale Datenschutzstruktur und passt die alten und neuen Lösungen an diese Struktur an.

Schaffen Sie ein umfassendes RahmenwerkDer erste Schritt beim Aufbau und der Umsetzung eines umfassenden Datenschutzsystems ist die Definition eines geeigneten Modells, das verschiedene Datenschutzfunktionen integriert. Heutzutage ist Datenschutz eine wichtige Komponente für Geschäftskontinuität, Disaster Recovery, Datensicherheit, Einhaltung rechtlicher Vorschriften, eDiscovery für Zivilprozesse und andere Funktionen. Welches Modell oder welche Daumenregel verwenden wir um sicherzustellen, dass all diese Facetten des Datenschutzes effektiv in eine umfassende Lösung integriert werden können?

Ein zentrales Prinzip ist, dass alle Datenschutzfunktionen auf hoher Ebene (wie Backup, Zugriffskontrolle und Verschlüsselung) auf sämtliche Datentypen und Speicherorte angewendet werden können. Diese Datenschutzfunktionen stellen die erste Stufe unseres Modells dar.

In diesem Zusammenhang führt die Notwendigkeit ein Gleichgewicht zwischen Privatsphäre und Sicherheit herzustellen möglicherweise zu unterschiedlichen Kontroll- und Archivierungsrichtlinien für die verschiedenen Informationsarten. Datenschutz für die Sozialversicherungsnummern von Angestellten oder Finanzergebnisse von Unternehmen, die noch nicht veröffentlicht wurden, wäre beispielsweise strenger als für Online-Reparaturanleitungen oder Fertigungsmittel. Auf ähnliche Weise sollten die besten Vorgehensweisen für Site Mirroring, Disaster-Vorbereitung und Data Recovery definiert werden, obwohl Datenbanken möglicherweise dringender eine stufenweise Datensicherung benötigen, als beispielsweise Email-Ablagen. Das Modell sollte in anderen Worten einen allgemeinen, informationszentrierten Ansatz für Datenschutz auf oberster Ebene bieten und eine passende Unterfunktionen für

Folgen Sie nicht dem KuhpfadVon David G. Hill

Veraltete Datenschutzlösungen müssen sich an die aufsteigenden Cloud Computing- und Virtualisierungstechnologien anpassen - nicht anders herum

ILLu

STRA

TIo

N V

oN

AD

AM

MCC

AuLE

y

5

Cloud-Datenschutz, unterteilt nach Typ und Datensensitivität, in den besagten Gesamtansatz.

Dieser informationszentrierte Ansatz macht es deutlich einfacher sicherzustellen, dass die definierten Datenschutzziele - zu denen Erhaltung, Verfügbarkeit, Reaktionsfähigkeit, Vertraulichkeit und/oder Prüffähigkeit zählen können - für verschiedene Informationskategorien erreicht wurden.

Wer verwendet die Daten? Und warum?Dieser Ansatz deckt keine Fälle ab, in denen verschiedene Kundenkreise auf denselben Datentyp zugreifen. Daher beschafft sich die dritte Stufe unseres Modells mit Entscheidungen darüber, wie die manchmal widersprüchlichen Anfragen verschiedener Endnutzer und Anwendungen in Einklang gebracht werden können. Geschäftskontinuität bedarf beispielsweise der Aufbewahrung von Daten, um Genauigkeit und Vollständigkeit zu garantieren, während für eDiscovery die Aufbewahrung wichtig ist, um sicherzustellen, dass die Daten fälschungssicher sind und somit in Zivilverfahren verwendet werden können.

Basierend auf den Bedürfnissen von Endnutzern und Anwendungszugriffen müssen Datenschutzpläne außerdem den effektivsten Zeitpunkt definieren, an dem die Verschiebung von verschieden Informationsarten in weniger kostenintensive Langzeitspeicher als Teil der Informationslebenszyklusverwaltung am günstigstens ist. Die Entwicklung

von Regeln auf der dritten Stufe, um diese Bedürfnisse und Konflikte zu organisieren, führt zu einer integrierten Datenschutzlösung, die kostengünstig, belastbar, messbar und einfach zu nutzen ist. Im Gegenzug dazu hilft es Unternehmen, Ad Hoc- und stückweise Ansätze für neue Datenschutzherausforderungen zu verhindern.

Beachten Sie, dass dieses Datenschutzmodell gut in ein Governance-, Risikomanagement- und Compliance- (GRC) Framework passt. Die drei Säulen des GRC-Frameworks - welche die drei Hauptaufgaben eines jeden Unternehmens repräsentieren - bieten eine Möglichkeit, alle Facetten des Datenschutzes in umfassender Weise zu verstehen.

Der nächste Schritt: RealitätstestWährend unser ideales Modell es uns erlaubt, anfangs auf hoher Ebene zu agieren und Prinzipien und Ziele zu

beachten, muss die Datenschutzplanung letztendlich einem Realitätstest an einzelnen Technologien stattfinden, um den Kuhpfadeffekt zu vermeiden. Was passiert beispielsweise, wenn wir aktive Archivierung der Datenschutzumgebung hinzufügen?

Aktive Archivierung ist mehr als die automatische Stapelung von unregelmäßigen Daten, oder Daten, auf die nie zugegriffen wird, auf Diskettenlaufwerke mit relativ hoher Kapazität / niedriger Leistung. Obwohl hierarchische Speicherverwaltung Disks kosteneffektiver verwendet, gibt sie (für sie alleine genommen) den Nutzern kein vollständiges Angebot an Datenschutzfähigkeiten.

Aktive Archive bieten dagegen eine kontrollierte Umgebung, in der alle Facetten des Datenschutzes auf umfassende und gleichbleibende Weise verwaltet werden können.

Der letzte Schritt: Bleiben Sie Ihrem Modell treuSobald ein Datenschutzmodell erschaffen und umgesetzt wurde, bleibt noch eine letzte Aufgabe: den umfassenden, informations-zentrierten Ansatz als Teil der gesamten IT-Verwaltung aufrecht zu erhalten.

Konkret gesagt heißt das, dass der Kuhpfadeffekt in der heutigen Zeit nicht mehr auftreten darf. Der Druck durch Kosteneinschränkungen und schnell marktfertige Lösungen macht es IT-Leuten vielleicht schwer, schnellen Lösungen zu widerstehen, die unabhängige Datenpläne erschaffen, aber auf lange Zeit gesehen würde die Vorherrschaft von unabhängigen viele Probleme verursachen, die wir mit den heutigen, veralteten Lösungen haben. o

David Hill ist der Leiter der Mesabi Group LLC und Autor des vor kurzem veröffentlichten Buchs Datenschutz: Governance, Risikomanagement und Compliance http://www.mesabigroup.com/English/Portfolio/Portfolio.html.

"Die Entwicklung von Regeln auf der dritten Stufe, um diese Bedürfnisse und Konflikte zu organisieren, führt zu einer integrierten Datenschutzlösung, die kostengünstig, belastbar, messbar und einfach zu nutzen ist."

6

ILLu

STRA

TIo

N V

oN

JoH

N S

. DyK

ES

CIO-Ecke

Stellt sich irgendjemand die Frage, ob dieses 'Wolken-Ding' gut ist für die Karrieren von IT-Experten? Schaffen wir einmal alle Zweifel aus dem Weg: Es ist gut.

Es scheint, dass in letzter Zeit, wenn ich CIOs und andere IT-Manager besuche, diese vor allem darüber sprechen möchten, wie ein cloud-basiertes Unternehmen aussieht. Sie möchten darüber reden, welche Positionen ihre IT-Abteilung neu schaffen sollte, um eine private Cloud-Umgebung zu planen, zu bauen und zu erhalten. Das ist ein kluger Ansatz, denn alles beginnt mit Menschen - deren Fähigkeiten, Vorbereitungsbereitschaft und Gesamtverständnis darüber, wie viel Gutes IT tun kann, um die Wettbewerbsfähigkeit eines Unternehmens zu fördern.

In all den Jahren, die ich in der IT- und der Technologie-Branche gearbeitet habe, habe ich Technologiewellen kommen und gehen gesehen. Doch die Private Cloud ist nicht nur solch eine Welle. Sie ist eine bahnbrechende Gelegenheit für IT-Experten. Sie beantwortet die alte Frage: "Ist die IT am Unternehmen ausgerichtet?" Mit einer Private Cloud können wir einen Katalog - eine Reihe von Angeboten - liefern und brauchen dabei keine benutzerdefinierten Codes und speziell entwickelte, übermäßig komplizierte Lösungen.

Wenn jemand eine Private Cloud entwickelt und am Laufen hält, ändert sich sein Leben. Gespräche ändern sich. Und der berufliche Alltag ändert sich, durch die neuen Möglichkeiten, sich beruflich weiter zu entwickeln.

Ihren Fingerabdruck auf der Cloud hinterlassenWir befinden uns noch ganz am

Die Private Cloud hat einen SilberstreifenVon Sanjay Mirchandani

Das Wachstum der Private Cloud-umgebung schafft neue Rollen und neue Möglichkeiten für IT-Experten

Consultant, Cloud Governance-Risk-Compliance Manager, Cloud Security Architect, und so weiter.

Angestellte in meinem Unternehmen erzählen mir, dass sie schon ganz neugierig darauf sind zu sehen, was der Ausbau der Private Cloud für sie bedeuten wird. Es ist offensichtlich, dass sie sich ernsthaft Gedanken darüber gemacht haben, wie sie diese Gelegenheit zu ihrem Vorteil nutzen, ihre Kompetenz

Anfang dieser Reise und wir haben die Möglichkeit, unsere eigenen Fingerabdrücke zu hinterlassen, während sich die Private Cloud in unseren Unternehmen entwickelt. Wie fundamental wird sie sich entwickeln?

Nun, Ziel ist es, sie der IT als Service anzubieten. Unsere Teams müssen die Umgebung anders gestalten als früher und sie auch anders verwalten. Mit der Entwicklung einer Infrastruktur in eine Private Cloud wachsen auch unsere Kompetenzen als IT-Experten

Es ändert sich beispielsweise das gesamte Konzept der 'Geographie'. Diese Tatsache zwingt uns, unsere physikalischen Grenzen, unseren föderalistischen Ansatz und unsere Taktiken für die Arbeit mit externen Anbietern neu zu betrachten, um sie zu Public Clouds zu erweitern.

Eine Private Cloud bringt außerdem automatisierte Vorgänge in die Tätigkeiten von Datenzentren. In einfachen Worten: Unsere Leute müssen die Infrastruktur oder ihre Nutzer nicht mehr rund um die Uhr betreuen. In einer Private Cloud können sich interne Kunden beispielsweise selbst helfen, indem sie ihren eigenen Speicher durch das Ausfüllen eines Web-Formulars einrichten. Es bringt die Mitarbeiter in unseren Unternehmen dazu, darüber nachzudenken, welchen hochwertigeren IT-Aktivitäten sie nachgehen können; welche Fähigkeiten sie entwickeln können; welche neuen Kompetenzen sie erwerben können.

Wir können bereits jetzt beobachten, wie neue Cloud-Rollen nach und nach auftauchen. Diese tragen Titel wie Cloud Architect, Cloud Capacity Planner, Cloud Service Manager, Cloud Solution

7

Systemen, Netzwerken und IT-Sicherheit befasst, steigt ihr beruflicher Wert ganz beträchtlich. Sie ist auf dem besten Weg ein Cloud-Architekt zu werden, der dazu in der Lage ist, alles - begonnen vom anfänglichen Anwendungsgedanken bis hin zum stabilen Laufen einer Cloud-Infrastruktur - miteinander zu verbinden. Einige meiner Mitarbeiter verfolgen jetzt solch einen beruflichen Pfad.

Karrieremöglichkeiten kommen also mit dem 'Pay-as-you-go'-Aspekt des cloud-basierten Konsums. Das selbstständige Einrichten von Private Clouds und die hohe Zahl an Nutzern bedeutet, dass wir geschulte Kapazitätenplaner brauchen. Es ist sogar so, dass der Cloud-Kapazitätenplaner an noch nie da gewesener Bedeutung gewinnt. In der alten Welt war das Planen von Kapazitäten vermutlich nur ein Nebenjob. In der neuen Welt ist das Planen von Kapazitäten eine Vollzeitbeschäftigung, die sämtliche Ecksteine von Speicher-, System- und Netzwerktechnologien nutzt.

Eine weitere Cloud-Position: Der Cloud Service Manager, ein interner

Berater, der durchplant, wie ein Unternehmen mit Cloud Services Gewinn machen und sie in der gesamten Bandbreite nutzen kann. Und denken Sie an die Karrieren, die durch das tägliche Betreiben einer Private Cloud entstehen. Wir nutzen beispielsweise eine 'einzige Glasscheibe', um Cloud Services einzurichten. Aber wir brauchen keinen Speicher-Administrator, System-Administrator und Netzwerk-Administrator, die alle - bildlich gesprochen - um die Maus zur Steuerung der Konsole kämpfen. Ich denke, wir werden sehen, dass einige der Leute, die zu Cloud Infrastructure Administratoren werden, mit der Einrichtung des gesamten Systems betraut werden. Unsere eigenen IT-Angestellten träumten davon und bauten vor circa einem Jahr das EMC IT Global Operations Command Centre - unser Fenster zu unseren Private Cloud. Innerhalb der Wände dieses Centers befinden sich Experten in Speicherung, Systemen, Netzwerken und Sicherheit, die ihr Wissen übertragen und ihre Fähigkeiten erweitern.

Das letzte Stück der Karrieremöglichkeiten bezieht sich auf die Verwaltung von Private Clouds. Wenn Sie es Endnutzern ermöglichen, Speicher selbstständig einzurichten, brauchen Sie jemanden der sicherstellt, dass die Nutzer nichts tun, was sie nicht tun sollten. Ein Cloud Governance Manager entwickelt den Servicekatalog und passt das Serviceangebot an die Bedürfnisse des Unternehmens an um sicherzustellen, dass die richtigen Leute Zugang auf die richtigen Dinge haben.

Diese Job-Titel sind vielleicht nicht endgültig, aber sie beschreiben die Kompetenzen, die wir brauchen. Warum sollten sich unsere Mitarbeiter nicht in die Lok dieses Zuges begeben? Es ist nicht schwer an Bord zu kommen. Genießen Sie die Reise. Sie beginnt jetzt. o

Sanjay Mirchandani ist Senior Vizepräsident und Chief Information Officer bei EMC.

„Das Unternehmen, das wir betreiben, wird sich weiter entwickeln. Warum sollten sich unsere Mitarbeiter nicht in die Lok dieses Zuges begeben?“

in Sachen Funktionalität erweitern und ihren beruflichen Wert steigern können.

Neue Paradigmen, neue Rollen In der neuen Cloud-Welt entwickeln wir eine Gastplattform für Unternehmen mit standardisierten Komponenten, die maßstäblich gebaut wurden. Wir bauen sie einmal und richten sie dann wieder und wieder und wieder ein. Was bedeutet das für einen IT-Experten, der seine Karriere voranbringen möchte? Diejenigen unter uns, die im IT-Bereich arbeiten, sind daran gewöhnt, sich selbst neu zu erfinden, wenn neue Technologien das Licht der Welt erblicken.

Wenn eine Person mit Fachwissen im Speicherbereich sich auch mit neuen

8

Peter Hinssen ist einer der führenden Denker Europas zum Thema Einfluss von Technologie auf unsere Gesellschaft. Das erste Buch des renommierten Autors 'Business/IT Fusion' war ein Erfolg, der Leser auf der ganzen Welt erreichte. Sein zweites Buch 'The New Normal' wurde vor kurzem in Europa veröffentlicht und ist bereits jetzt Gegenstand von Diskussionen in der IT-Branche. In diesem Beitrag, dem zweiten Artikel aus einer Dreierserie, erforscht Hinssen den Einfluss der Infrastruktur in der sich schnell wandelnden IT-Umgebung.

Architektur ist zweifelsfrei die wichtigste Disziplin im IT-Bereich. Architektur definiert die Vergangenheit, Gegenwart und Zukunft der Technologie. Architektur besteht aus einem vorgegebenen Satz an prinzipiellen Richtlinien, die unserer Entwicklung den Weg weisen, unsere Infrastruktur definieren und unsere Zukunft im IT-Bereich gestalten.

Doch Architektur wird gleichzeitig als das langweiligste Thema der Welt betrachtet. 'Architektur' ist wahrscheinlich der beste Weg, um eine ganze Vorstandsversammlung augenblicklich zum Einschlafen zu bringen. Wahrscheinlich besser als Valium. Und wenn Sie sie wirklich in hirnlose Zombies verwandeln wollen, verwenden Sie die tödliche Kombination aus 'Architektur-Governance'. Das wird sie umgehend in ein Koma versetzen.

Ich glaube, dass heutzutage die wichtigste Aufgabe in der IT die Rolle

des Architekten ist. Niemand außer den Architekten hat die Gelegenheit, das System zu ändern, zu formen und zu gestalten. Niemand sonst hat die Möglichkeit, nicht nur unsere Arbeitsweise zu transformieren, sondern direkten Einfluss auf unsere Rolle als IT-Experten zu nehmen.

Architektur hat schon längst auf eine beträchtliche Transformation gewartet. Das kann man vor allem dann sehen, wenn man sich die Entwicklung in der IT von 'Bauen zu Kaufen zu Kombinieren' betrachtet. In den Anfangstagen der Informationstechnologie konzentrierten wir uns vor allem auf das BAUEN von Anwendungen. Noch immer finden wir diese veralteten Systeme in unseren Datenzentren, die schon seit 20, 25, 30 Jahren oder noch länger am Laufen sind. Früher nannten wir sie Silos, aber Silo hat sich in der IT mittlerweile zu einem Schimpfwort entwickelt. Veraltete

Systeme wollen einfach nicht aussterben. Doch wir haben uns vom Bauen

unserer eigenen Systeme vor 20 Jahren weiterentwickelt, hin zum hauptsächlichen KAUFEN von Anwendungen von Anbietern wie SAP oder Oracle und bewegen uns nun auf die KOMBINIEREN-Phase zu. Anstatt Systeme zu bauen oder kaufen, setzen wir Systeme und Anwendungen, basierend auf deren Diensten zusammen.

Neues TerritoriumMeiner Meinung nach ist die Cloud das aufregendste 'neue' Territorium bei unserer digitalen Erforschung. Es ist neues Territorium, da es viele IT-Experten dazu zwingen wird, außerhalb der Wände Ihres Unternehmens zu denken - Grenzen, die ihnen über Jahre hinweg gute Dienste geleistet haben.

Aber es ist an der Zeit, diese Grenzen zu durchbrechen. Die Cloud bietet

Der neue Mechanismus der IT-Architektur

Thought leadership

9

Computing' bezeichnen. Dabei können Sie geteilte Anwendungen im Netzwerk nutzen, was schließlich zum Konzept der Cloud führt, wie wir sie kennen: Cloud 1.0.

Aber das ist bloß eine Übergangsphase. Was also, wenn wir die Sache noch weiter vorantreiben?

Cloud 2.0Wenn wir weiterhin die 'alten' Anwendungen in die Cloud-Zone verschieben, geben wir uns einfach nicht genug Mühe. Doch wenn wir die 'Schranken durchbrechen', können wir wahrscheinlich die Art und Weise verändern, wie wir über Technologie denken.

Sehen wir uns die erste Schranke an: Wenn wir nur die 'alten' Anwendungen virtualisieren, werden wir niemals in der Lage sein, einen Vorteil aus den neuen Funktionalitäten zu ziehen. Im Grunde OPTIMIEREN wir lediglich bereits bestehende Anwendungen und nutzen sie effektiver. Doch wenn wir die Anwendungen neu strukturieren und uns wirklich Gedanken über die Services anstatt über die Anwendungen machen, können wir eine ganz neue Flexibilität in cloud-basierte Anwendungen einbauen und unser Bauen > Kaufen > Kombinieren -Versprechen tatsächlich einhalten. Doch es bedeutet auch, dass wir einige überdenken, neu bauen und neu strukturieren müssen, um die Cloud zu unserem Vorteil zu nutzen.

Gleichzeitig ist die zweite Schranke auf der rechten Seite das 'Netzwerk-Denken'. Wenn wir nur Anwendungen aus der Komfortzone unseres Unternehmens auslagern, und sie auf einem Server innerhalb des Netzwerks laufen lassen, tragen Sie nicht wirklich zur Wertsteigerung für den Endverbraucher bei. Doch wenn Sie die Anwendungen

neu planen können, um die Tatsache auszunutzen, dass das System netzwerk-basiert ist, können Sie die Anwendungen transformieren, so dass diese als 'Netzwerkanwendungen' fungieren. Es ist wie der Wandel der Personalliste in Ihrem eigenen Intranet und der Schritt hin zu Nutzung einer LinkedIn-Plattform. Das ist Netzwerk-Denken. Doch es bedeutet auch, dass wir einige überdenken, neu bauen und neu strukturieren müssen, um die Cloud zu unserem Vorteil zu nutzen.

Wenn wir also die Machtstellung der Cloud stärken wollen, müssen wir die Schranken der existierenden Anwendungen durchbrechen und uns über Services und netzwerk-basierte Ansätze Gedanken machen. DANN werden wir die wahre Macht der Cloud freilassen.

Sind wir schon soweit? Einige sind vielleicht schon auf dem Weg von Cloud 1.0 zu Cloud 2.0. Doch es gibt immer noch viele CIOs, die es noch nicht einmal bis zu Cloud 1.0 geschafft haben. Marc Benioff, Gründer und CEO von Salesforce.com meint dazu Folgendes: "Wir müssen uns alle schneller bewegen. Leider würden einige CIOs lieber in den Ruhestand gehen, als sich schneller zu bewegen."

Wenn wir uns von Cloud 1.0 zu Cloud 2.0 bewegen, werden wir sehen, dass sich die Beweggründe für die Verwendung der Cloud langsam ändern.

Bei Cloud 1.0 ging es um Kosteneffizienz, Messbarkeit und Flexibilität. Doch Cloud 2.0 hat andere Beweggründe. Hier werden wir das wahre Potential der Cloud sehen, und uns mit Nutzerfreundlichkeit, Agilität und netzwerk-basierten Ansätzen als den wahren Beweggründen befassen. o

Peter Hinssen ist Berater, Dozent und Autor

"Anstatt Systeme zu bauen oder kaufen, setzen wir Systeme und Anwendungen, basierend auf deren Diensten zusammen."

Gelegenheiten, schneller und flexibler als jemals zuvor neue Funktionen zu nutzen, neue Anwendungen zu erschaffen und neue Möglichkeiten zu bieten. Doch wir fühlen uns außerhalb der Wände unseres Unternehmens noch immer ein wenig unbeholfen und nackt. Es ist ein wenig seltsam, außerhalb der Sicherheit unserer Firewalls zu arbeiten und wir sehen in dem neuen Territorium, das wir die Cloud nennen, offen gestanden ein wenig albern aus.

Betrachten Sie die beiden Aspekte, die das 'Cloud'-Phänomen geprägt haben: die Macht der Virtualisierung und die Aussicht auf Outsourcing.

Bei der 'alten Informationstechnologie' stand das Paradigma 'eine Anwendung, ein Server' im Mittelpunkt, wobei die typischen IT-Silos unsere Technologielandschaft besiedelten. Wir verwurzelten unsere eigenen Server fest an unseren eigenen Standorten und tendierten dazu, neue Infrastrukturen zu bauen, während wir mehr und mehr Anwendungen entwickelten.

Der große Trend, der zunehmend an Geschwindigkeit gewinnt, ist es, die Anwendungen und Infrastrukturen zu 'virtualisieren' und damit die vertikale Achse nach OBEN zu bewegen, indem wir auf intelligente Weise Ressourcen teilen. Gleichzeitig lagern wir mehr und mehr Funktionen aus unserem Unternehmen aus und greifen auf externe Ressourcen zu. Wenn Sie diese beiden Vorgehensweisen miteinander kombinieren, erhalten Sie die Kombination aus Teilen und Outsourcen, die wir mittlerweile als 'On Demand

Die Macht der Virtualisierung und die Aussicht auf Outsourcing prägen die Cloud: Dies kann einfach beschrieben werden, indem Sie das 'Teilen von Ressourcen' der vertikalen Achse und den 'Standort der Ressourcen' der horizontalen Achse zuordnen.

10

Schutz vor dem SturmSicherheit ist das wichtigste Anliegen von CIos, wenn diese mehr und mehr bedeutende Anwendungen in die Cloud verschieben. Wir sprachen mit Tom Heiser, Chief operating officer von RSA, der Sicherheitsabteilung von EMC.

Welche Schranken existieren bei der Einführung privater Clouds? Die Hauptschranken, welche diese Unternehmen davon abhalten, die Privaten Clouds intensiver zu nutzen, sind die Sicherheits- und Compliance-Anforderungen der Virtualisierung - also im Prinzip die Grundlage des Cloud Computings.

Ein Forbes Insights-Bericht, für den 235 CIOs und leitende IT-Manager befragt wurden, hat ergeben, dass 43% der Befragten Sicherheit als ihr wichtigstes Anliegen betrachten.(1) Die Anpassung der Virtualisierung an IT-Test und Entwicklungsumgebungen nimmt sehr schnell zu.

Doch indem unsere Kunden die Vorteile der Virtualisierung auch für unternehmenskritische Anwendungen nutzen, tauchen gleichzeitig neue Sicherheits- und Compliance-Bedenken auf.

Wie bewahren Sie die Privatsphäre und Sicherheit der Private Cloud?Der Prozess für die Sicherheitsverwaltung und das Nachweisen der Compliance ist für die physikalische und für die virtualisierte Informationstechnologie sehr ähnlich, aber die Virtualisierung stellt uns vor einige einzigartige Herausforderungen.

Dazu zählen die schnellen Veränderungen in der virtuellen Infrastruktur, dadurch dass virtuelle Maschinen regelmäßig auf- und abgebaut oder von einem Server zum nächsten verlegt werden. Es ist wichtig, dass die Sicherheits- und Compliance-Teams in die Planung von Virtualisierungsprojekten miteinbezogen werden, da sie ansonsten in der virtualisierten IT-Umgebung nicht die gleiche Sichtbarkeit und Kontrolle haben, wie

in der physikalischen Infrastruktur.

Wie bewerten Sie die Probleme mit Governance, Risk und Compliance innerhalb von Private Clouds? Im Großen und Ganzen gelten für die physikalische und für die virtuelle Infrastruktur die selben Regeln, obwohl einige, wie etwa der Payment Card Industry (PCI) Datensicherheitsstandard, bearbeitet werden, um auch Richtlinien für virtualisierte Systeme vorzugeben.

Doch ganz gleich ob es sich um physikalische, virtuelle oder hybride Infrastrukturen handelt – Unternehmen und Cloud Service-Anbieter müssen ihre Umgebung stärker absichern, die Leistung ihres Kontrollrahmenwerks beurteilen, Mängel beseitigen und die Compliance sowohl nach innen, wie auch nach außen berichten.

Mit der Herausgabe der RSA-Lösung für Cloud-Sicherheit und Compliance war RSA der erste Anbieter, der die Probleme Governance, Risiko und Compliance in einer virtuellen Serverumgebung in Angriff nahm. Diese Lösung, die auf der RSA-Archer-Plattform aufbaut, ermöglicht die Verwaltung und Umsetzung von Unternehmensvorgaben, Sicherheits- und Compliance-Maßnahmen, Problemlösungen und Reporting - alles in einem einzigen Verwaltungssystem, geeignet für physikalische und virtuelle Infrastrukturen.

Archer kann in das Verwaltungssystem von RSA enVision® integriert werden, um dort Sicherheits- und Compliance-Ereignisse aus einer Vielzahl von Quellen zu sammeln und miteinander zu verbinden, wie etwa RSA Data Loss Prevention Suite, VMware vShield und VMware Cloud Director.

Die Lösung ermöglicht es Unternehmen, ihre Sicherheits- und ihre Compliance-Anforderungen einzuhalten, während sie sich immer schneller in Richtung Virtualisierung und Cloud entwickeln.

Wie werden sich Ihrer Ansicht nach Sicherheit und Datenschutz innerhalb der Private Cloud entwickeln? Cloud und Virtualisierung sind Gelegenheiten, Sicherheitskontrollen umzusetzen, die den physikalischen Methoden überlegen sind. Der Bedarf für Informationssicherheit ändert sich durch die Einführung der Cloud nicht. Sie brauchen nach wie vor Ihre existierenden Kontrollen, jedoch müssen Sie in einer Private oder Public Cloud-Umgebung dazu in der Lage sein, neue Risiken in der virtuellen Umgebung zu senken.

12

Interview

Gut verbunden

Was ist CIOnet?CIOnet ist, in einfachen Worten erklärt, ein unabhängiges, privates, soziales Netzwerk für CIOs. Doch es ist noch mehr als nur das. CIOnet ist das erste internationale Netzwerk, das online und offline genutzt werden kann, und CIOs

und IT-Managern die Möglichkeit gibt, effiziente und effektive Netzwerke für ihre Geschäfte aufzubauen. Unser Ziel ist es, einen so großen Nutzen wie möglich zu schaffen, indem wir eine Online- und Offline-Gemeinschaft für CIOs gründen, über welche diese Wissen teilen, industriespezifische Probleme lösen, Ideen austauschen und darüber Beziehungen aufbauen und neue Freunde finden.

Wie funktioniert es?Wenn ein CIO neu beitritt, erstellt er sich seine eigene Profilseite. Dabei können Sie so viel oder so wenig Informationen angeben, wie sie möchten. Sobald ein CIO sein Profil eingerichtet hat, kann er es mit anderen CIOs verlinken, die für ihn von Interesse sind oder kann anderen Mitgliedern empfehlen, sich zu verlinken und Informationen mit anderen zu teilen. Darüber hinaus können sie Artikel auf die Seite hochladen oder Diskussionsforen beitreten.

Zu Offline-Aktivitäten zählen

CIOnet verbindet schon seit 2005 CIOs auf der ganzen Welt.

Wir sprachen mit Hendrik Deckers, dem

Geschäftsführer und Gründer von CIOnet, über den Wert sozialer Netzwerke und wie man bessere Verbindungen in einer zunehmend vernetzten Welt herstellen kann.

13

normalerweise sechs oder sieben lokale und internationale Veranstaltungen und Konferenzen pro Jahr, regelmäßige Umfragen, ein Magazin, das zweimal pro Jahr erscheint, spezialisierte Interessengruppen und so weiter, unterstützen den Online-Aspekt der Gemeinschaft. Da wir das einzige Netzwerk sind, dass diese Rundumverbindung von Online- und Offlineaktivitäten anbietet, können wir Mitglieder besser miteinander verbinden. Mitglieder können beispielsweise eine Veranstaltung ansehen, die Tagesordnung, wer plant zu der Veranstaltung zu erscheinen und haben die Möglichkeit, diese Personen zu kontaktieren. Das bietet eine Gelegenheit, sich mit anderen CIOs persönlich zu treffen.

Wer setzt die Tagesordnung fest?Die CIOs. CIOnet ist lediglich die Plattform die das Teilen von Wissen und Werten ermöglicht. Die Mitglieder - vor allem der Beirat - setzt in den einzelnen Ländern die Tagesordnung und das Programm für das kommende Jahr fest. Denn schließlich wissen die Mitglieder am besten, welche Themen ihnen wichtig

sind, über welche Technologien sie etwas hören wollen und welche Lösungen für sie am besten funktionieren. Wir bieten zusätzliche Themen und Vorschläge für Gruppen mit speziellen Interessen, doch die Mitglieder geben die Diskussionsrichtung vor.

Warum sind Netzwerke so wichtig für CIOs?CIOs finden sich in der gleichzeitig beneidenswerten und wenig beneidenswerten Position, dass sie sowohl die Industrie/das Unternehmen, in dem sie arbeiten, verstehen, wie auch die Technologie, die dem Ganzen zugrunde liegt. Niemand sonst im Unternehmen hat Einsicht in beide Bereiche. Normalerweise berichtet ein CIO an jemanden, der das Unternehmen gut kennt, aber nicht versteht, was die IT-Abteilung macht, oder welche Probleme sich dabei ergeben, wenn sie dem Unternehmen Dienste bereitstellt. Das bedeutet, dass CIOs in der Regel am meisten von Kollegen in der gleichen Position lernen. Indem sie mit diesen Kollegen verbunden sind, können sie Wissen ansammeln und ihr Verständnis über verwandte Lösungen erweitern. Es

kann beispielsweise sehr hilfreich sein, von Kollegen zu hören, die ebenfalls im Finanzsektor tätig sind, um so eigene Probleme zu lösen.

Auf welche Weise unterscheiden Sie sich von allen anderen CIO-Netzwerken?Nun, das beginnt damit, dass wir die größte, internationale Gemeinschaft von CIOs sind. Wir haben weltweit über 1750 Mitglieder und erwarten, dass diese Zahl bis Ende des Jahre auf 2000 ansteigt. Je mehr hochrangige CIOs wir als Mitglieder haben, desto mehr Nutzen können alle Mitglieder aus dem Netzwerk ziehen. Wir sind außerdem das einzige Netzwerk, das sowohl Online-, als auch Offlineaktivitäten anbietet, und Mitglieder aktiv auffordert, Wissen zu teilen und so anderen mehr Nutzen zu bringen. Zudem fördern wir aktiv Verbindungen mit und Beziehungen zu anderen Gemeinschaften wie Wirtschaftsschulen, Industrieinstituten und Medienpartnern. Das ermöglicht es den Mitgliedern, den Wert ihrer eigenen Verbindungen zu steigern.

Wie kann ich ein Mitglied werden?Die Mitgliedschaft ist kostenlos, ist aber nur durch eine Einladung möglich. Das CIOnet-Team arbeitet hart, um weltweit die richtigen CIOs zu identifizieren, die davon profitieren würden und für das Netzwerk von Wert sind. Natürlich können andere Mitglieder Empfehlungen aussprechen und CIOs können sich einfach um eine Mitgliedschaft bewerben, doch wir haben strenge Kriterien, die erfüllt werden müssen, bevor eine Mitgliedschaft möglich ist. Auch Wisssenschaftler dürfen unserem Netzwerk beitreten, da wir denken, dass sie zum Wert des Inhalts, der unseren Mitgliedern zur Verfügung steht, beitragen können.

Alternativ haben wir außerdem Geschäftspartner, wie EMC, die ihr Unternehmen den Mitgliedern präsentieren. CIOnet bietet seinen Partnern Zugriff auf Inhalte, die ihnen dabei helfen, besser zu verstehen, welchen Herausforderungen ihre Kunden ausgesetzt sind. o

Für weitere Informationen besuchen Sie www.cionet.com.

"CIonet ist das erste internationale Netzwerk, das

online und offline genutzt werden kann, und CIos und

IT-Managern die Möglichkeit gibt, effiziente und effektive Netzwerke für

ihre Geschäfte aufzubauen."

14

Thought leadership

Cloud-Einsatz: hoch, höher und weg?

Eine aktuelle CIO-Marktpulsumfrage, die von der EMC Information Intelligence Group gesponsert wurde, hat ergeben, dass mehr als drei Viertel der befragten IT-Unternehmen gegenwärtig Anwendungen in einer privaten, hybriden oder öffentlichen Cloud-Umgebung über die nächsten 12 Monate betreiben, aktiv erforschen oder planen.

Sobald CIOs über die anfänglichen Bedenken hinsichtlich der Verlässlichkeit von cloud-basierten Lösungen hinweg sind, warten schon die nächsten Herausforderungen. Die Studie hat außerdem gezeigt, dass Informations-Governancestrategien in hybriden und öffentlichen Cloud-Umgebungen immer komplizierter werden - dennoch haben nur 34% der über 200 Teilnehmer an der CIO-Marktpulsumfrage berichtet, dass bereits Governance-Regeln bestehen, obwohl 86% Information-Governance als oberstes Anliegen nannten.

Im folgenden Beitrag wirft das Leadership council for information advantage einen Blick auf zentraleHerausforderungen, denen sich CIos beim Einsatz von CloudComputing gegenüber gestellt sehen und erklärt, warum es sowichtig ist, die Governance von Anfang an richtig zu machen.

Ohne klar definierte Governance könnte der Einsatz von Cloud Computing-Diensten seit langem bestehende IT-Probleme noch verschlimmern. Wenn CIOs die Cloud-Strategie ihres Unternehmens bewerten, müssen sie sich darüber klar werden, wie die Daten-Governance-Modelle – und im Prinzip der Grundgedanke der Informationstechnologie – sich entwickeln muss, um die neue Strategie zu unterstützen.. Nicht ausreichende oder mangelnde Regeln zur Verwaltung der Daten, die in diesen verschiedenen Umgebungen gespeichert sind, wird das Risiko dramatisch erhöhen, dass IT-Unternehmen die Kontrolle über Informationen verlieren, die sie eigentlich beschützen sollten.

Steigende Cloud: Ein perfekter Sturm für Informationen?Die Cloud verspricht, unsere Fähigkeiten in Sachen Zugriff, Prozesse und Informationen teilen zu verbessern und zu beschleunigen. Dennoch ist ein 'perfekter Sturm' aus Bedingungen im Anmarsch, der eine Bedrohung für den Fluss und den Wert von Unternehmensinformationen darstellt.

1. Unkontrollierte Proliferation von inkompatiblen Cloud-Plattformen und Diensten - Die Zugänglichkeit und Einfachheit von öffentlichen Cloud-Infrastrukturen und Softwarediensten macht es Unternehmen zunehmend einfacher, die IT zu umgehen und neue Cloud-Dienste direkt einzureichen, ohne darüber nachzudenken, wie sie in die

IT-Infrastruktur des Unternehmens als Ganzes passt. Dies kann möglicherweise dazu führen, dass verschiedene Abteilungen im selben Unternehmen inkompatible Geschäftsanwendungen für ähnliche Situationen verwenden, die sich nicht nur negativ auf Skaleneffekte auswirken, sondern auch die Anzahl an Systemen und Diensten erhöhen, die die IT integrieren und unterstützen muss.

Der potentielle Konflikt zwischen dem Wunsch der IT, Bedingungen für das Betreten der Cloud vorzugeben, und der neu gewonnen Freiheit, die geschäftliche Nutzer für die Nutzung von cloud-basierten Diensten entdeckt haben, ist ein weiterer potentieller Reibepunkt für Informations-Governance.

2. Daten-Silos 2.0 - Ohne gute Governance, Planung und Integration stehen die aufbewahrten Informationen der Cloud den anderen IT-Systemen, Geschäftsprozessen oder Gruppen des Unternehmens nicht ohne weiteres offen. Dies kann zu cloud-spezifischen Informationssilos führen, die nicht gesichert sind - vor allem

„Menschen wählen Cloud-Service, weil dieser schneller, pragmatischer, leichter verfügbar und billiger ist. Und ich denke all die Strukturen und Pläne könnten aus diesem Grund verworfen werden.“Deirdre Woods, Stellvertretender Dekan und CIO der The Wharton School sagt dazu

15

Integrationsbemühungen von noch nie da gewesenem Ausmaß bedeuten.

3. Steigendes Potential für Herstellerabhängigkeit - Cloud-Anbieter stellen den APIs Dienste bereit, um Services und Daten zu deren Plattformen zu portieren. Obwohl einige, wie etwa Salesforce.com, ausreichenden Markterfolg erreicht haben, um de facto als Standard innerhalb ihres Sektors zu gelten, ist der Gesamtmarkt für Cloud-Dienste nach wie vor stark fragmentiert. Eine Cloud-Plattform auswählen kann, aus praktischer Sicht betrachtet, bedeuten, dass eine langfristige Verpflichtung dem Hersteller gegenüber eingegangen wird. Obwohl das Wechseln von einer Cloud-Plattform zu einer anderen vielleicht nicht so kostspielig und zeitaufwendig ist, wie der Wechsel von IBM UNIX zu Wintel-Servern, ist das Potential doch auffallend ähnlich zu dem, was wir vor 15 Jahren in der IT-Hardware gesehen haben.

4. Komplexe Produktketten für Informationsverwaltung und

Sicherheit - Dadurch dass Unternehmen verschiedene IT-Dienste in diverse Clouds verschieben, verkomplizieren sie die Produktkette für Informationen, die sich nun sowohl im Haus, wie auch in externen privaten oder öffentlichen Clouds befinden können. Cloud-Verkäufer im gesamten Dienstleistungsbereich müssen überwacht werden, um sicherzustellen, dass sie die Unternehmensinformationen angemessen verwalten und Regeln hinsichtlich Informationssicherheit, Privatsphäre, E-Discovery, Archivierung und Backup einführen.

Governance-modelle hinken hinterherTrotz dieser Bedenken sind CIOs langsam wenn es darum geht, Governance-Regeln für Cloud-Dienste zu entwickeln. Beinahe 4 aus 10 Befragten (38 Prozent) sagen, dass sie Pläne haben, Regeln zu entwickeln, die cloud-basierte Informationen abdecken. Doch nahezu ein Viertel der CIOs (22 Prozent) sagten, sie hätten keine Pläne, solche Regeln zu entwickeln - trotz der Tatsache, das 86 Prozent sagen, die Cloud stelle neue Risiken bei der Informations-Governance, Föderation und Verwaltung dar.

Wenn mehr Informationen in die Cloud wandern, könnte der Mangel an Informations-Governance-Regeln die CIOs vor neue Herausforderungen stellen. Durchschnittlich laufen derzeit nur 9 Prozent der Daten von befragten Unternehmen in der Public Cloud und durchschnittlich 16 Prozent in einer privaten Cloud. Aber beinahe die Hälfte der Befragten erwarten, dass die Datenmenge, die sowohl in der öffentlichen Cloud (45 Prozent), als auch in der privaten Cloud (49 Prozent) laufen, in den nächsten 12 Monaten ansteigen werden.

Ein Mangel an angemessener Planung, Integration und Governance - in Kombination mit einem Einfluss von Anwendungen und Informationen, die in die Cloud bewegt werden - sollte den CIOs als Warnung dienen. o

Mehr Infos unter http://www.councilforinformationadvantage.com/

bei Public Clouds. Das Problem kann noch verstärkt werden, wenn geschäftliche Nutzer neue Cloud-Dienste einrichten, die ausschließlich auf ihren aktuellen Bedürfnissen und eine Unternehmenskreditkarte basieren. Informationszugriff und Portabilität werden bedeutende Anliegen sein, wenn Unternehmen ihre IT-Dienste zur Cloud übertragen. Falls sich tatsächlich cloud-basierte Informationssilos entwickeln, kann das Einbinden dieser Silos in der Zukunft

Der Leadership Council for Information Advantage wurde von EMC ins Leben gerufen und ist ein branchenübergreifendes Expertenforum, dem weltweit Führungspersönlichkeiten von unternehmen angehören, die Informationen erfolgreich einsetzen, um ihre Wettbewerbsfähigkeit zu stärken.

Über den “Council for Information Advantage”

16

Thought leadership

Wolken für die öffentliche Verwaltung Das Interesse an Cloud-Computing-Konzepten für den öffentlichen Sektor wächst. IT-Abteilungen in Verwaltung und Behörden bauen virtuelle Infrastrukturen auf und verbuchen bereits erste Erfolge.

Verwaltungsverfahren gewinnen an Effizienz und On-Demand-Dienste lassen sich preiswert bereit stellen. Wichtige Voraussetzungen für die zunehmende Akzeptanz des flexiblen Wolkenrechnens bei staatlichen Stellen sind allerdings die Vertrauenswürdigkeit des IT-Dienstleisters und die Sicherheit des gewählten Cloud-Modells. Die IT des Anbieters muss auf allen Infrastrukturebenen mandantenfähig sein, damit Anwendungen und Daten verschiedener Verwaltungseinheiten sauber voneinander getrennt bleiben. Solche Trusted Clouds zahlen sich für Behörden aus. Eine Studie des Beratungsunternehmens A.T. Kearney rechnet mit 25 Prozent IT-Einsparungen. Cloud-Services stellen zusätzlich eine dauerhaft höhere Kostentransparenz und bessere Planbarkeit in Aussicht. Schließlich halten öffentliche Verwaltungen mithilfe von Cloud-Dienstleistung mit der Technologieentwicklung Schritt, ohne in eine eigene Wolkeninfrastruktur investieren zu müssen.

Auch die Politik hat inzwischen das Potenzial sicherer Cloud-Computing-Ansätze für Behörden erkannt. Das Bundesministerium für Wirtschaft und Technologie kündigte Anfang September 2010 eine Cloud-Computing-Initiative an: „Ein hochwertiges

Angebot an Cloud-Diensten ist für die Attraktivität des Standorts Deutschland wichtig“, unterstreicht der zuständige Staatssekretär Dr. Bernd Pfaffenbach. Das Ministerium fördert die Entwicklung sicherer Cloud-Anwendungen für den öffentlichen Sektor zum Beispiel mit einem Technologiewettbewerb zum Thema Trusted Cloud. Ziel ist es, Hemmnisse beim Einsatz von Cloud Computing schrittweise abzubauen.

Wege aus der KomplexitätsfalleAuf Seiten der Hersteller wächst das Lösungsangebot für die speziellen Cloud-Anforderungen der öffentlichen Verwaltung ebenfalls rapide. Der Aufbau einer Trusted Cloud ist mit einigen Herausforderungen verbunden. Ursache hierfür sind vielfältige Wechselwirkungen zwischen virtuellen Servern, Speichersystemen

und Netzwerkkomponenten. Um komplexitätsbedingte Risiken auszuschließen und die Virtualisierung in Rechenzentren zu vereinfachen, haben sich EMC, Cisco und VMware 2009 zur Virtual Computing Environment Koalition (VCE) zusammengetan. Die drei Hersteller bieten fertige Out-of-the-Box-Lösungen für Private und Trusted

„Ein hochwertiges Angebot an Cloud-Diensten ist für die Attraktivität des Standorts Deutschland wichtig“, unterstreicht der zuständige Staatssekretär Dr. Bernd Pfaffenbach.

17

Clouds an. Private Clouds basieren auf virtualisierten IT-Umgebungen, die über ein abgesichertes Netzwerk miteinander verbunden sind – daraus bildet sich dann die private Wolke. Die sogenannten Vblock-Infrastrukturpakete ermöglichen ein einheitliches und transparentes Management über alle Server-, Speicher- und Netzwerkbereiche

hinweg – bis hinab auf die Ebene einzelner virtueller Maschinen. So wird die ansonsten überbordende Komplexität wirksam eingedämmt. Die Sicherheit des Cloud-Paketes garantieren die Security-Technologien von RSA, The Security Division of EMC. Authentifizierungs-Lösungen schützen den Zugang zur Cloud und Reporting- und Monitoringtools überwachen die Einhaltung von Sicherheitsrichtlinien. RSA ist momentan als einziger Sicherheitsanbieter für den Vblock zertifiziert.

Als bundesweit erster IT-Dienstleister hat das EDV-Centrum für Kirche und Diakonie ECKD ein Vblock-Infrastrukturpaket in einem neuen Rechenzentrum installiert. Das ECKD, dessen Service auch immer mehr öffentliche Auftraggeber nutzen, kann damit sogar extrem sensible Anwendungen wie das kirchliche Meldewesen mit Abermillionen Datensätzen virtualisieren. Durch die bessere Kapazitätsauslastung konnten die CO2-Emissionen deutlich gesenkt werden: Im früheren Rechenzentrum wäre der Stromverbrauch mindestens viermal so hoch gewesen. ECKD-Kunden können sich künftig per Browser mit wenigen Mausklicks einen virtuellen Webserver in der Cloud ihres Dienstleisters zusammenstellen. So kann ein diakonisches Pflegeheim kurzfristig und ohne Eigeninvestitionen eine mobile Leistungserfassung einführen. Schwestern und Pfleger müssten weniger Formulare ausfüllen und könnten sich intensiver um die Bewohner kümmern.

Sicherheit in der Wolke ist gefragtWie in der Privatwirtschaft haben auch die IT-Verantwortlichen der öffentlichen Hand Bedenken in Bezug auf die Sicherheit ihrer Daten in der Cloud. Ein Blick auf die technologischen Möglichkeiten von Cloud Security lässt diese Skepsis

allerdings eher unbegründet erscheinen. Security-Richtlinien können beim Cloud Computing direkt in der Virtualisierungsschicht verankert werden. EMC, RSA und VMware gehen in dem gemeinsamen Leitfaden „Identity and Data Protection in the Cloud: Best Practices for Establishing Environments of Trust“ noch einen Schritt weiter. Die Hersteller sind überzeugt, dass das Sicherheitsniveau in Clouds herkömmliche IT-Infrastrukturen sogar bei Weitem übertrifft. Auch für den Schutz der Private Cloud gegen unberechtigte Zugriffe von außen lässt sich effizient sorgen. Zusätzlich zur verschlüsselten Netzwerkanbindung in der gesamten Cloud sind starke Authentisierungsverfahren ratsam. Authentifizierungs- und Fraud-Detection-Systeme eignen sich, um Informationsdiebstahl abzuwehren. Der Weg zur vertrauenswürdigen Cloud-Umgebung muss also nicht erfunden werden, es gibt ihn schon.

Besonders zurückhaltend zeigen sich viele IT-Verantwortliche aus der öffentlichen Verwaltung, wenn es um Public Clouds geht. Doch auch hier gibt es sinnvolle Einsatzmöglichkeiten. Nicht vertrauliche Informationsangebote mit allgemein zugänglichen Inhalten können ohne Bedenken in eine kostengünstige öffentliche Cloud verlagert werden. Via Web 2.0 könnten Bürger die Einträge dort bewerten, ergänzen und kommentieren und sich zu einer Open-Government-Community formieren. Wie bereits erläutert: Cloud ist nicht gleich Cloud. Begriffliche Klarheit ist notwendig, um die Chancen und Risiken verschiedener Cloud-Modelle in der öffentlichen Verwaltung realistisch einschätzen zu können. Aber mit dem passenden Augenmerk auf die Vertrauenswürdigkeit des Anbieters und die eigene Sicherheitsstrategie bietet jede Wolkenvariante Potenzial, um IT- und Verwaltungsprozesse zu optimieren. o

Private Clouds basieren auf virtualisierten IT-Umgebungen, die über ein abgesichertes Netzwerk miteinander verbunden sind – daraus bildet sich dann die private Wolke.

18

Die Hessische Justiz setzt zur Entlastung der Papierarchive auf modernste Technik. Die in den 80er Jahren eingerichteten fünf Mikrofilmstellen der Hessischen Justiz in Kassel, Hünfeld, Marburg, Bad Homburg und Groß-Gerau wurden im Jahre 2008 zu einem der weltweit modernsten Mikrofilm-Workflows ausgebaut: Die fünf Standorte sind wie eine große virtuelle Mikrofilmstelle miteinander verbunden. Sie arbeiten heute nach dem Prinzip der Hybridarchivierung. Dabei wird Schriftgut gescannt und anschließend gleichzeitig in elektronischer Form und auf Mikrofilm archiviert. Wenn die Urschrift einer Akte durch ihre Speicherung auf einen Bild- oder Datenträger ersetzt wird und die rechtliche Grundlage gegeben ist, können Papierakten entsorgt und der beanspruchte Archivraum deutlich verringert werden. Zusätzlich greifen die Mitarbeiter der Hessischen Justiz vom eigenen Arbeitsplatz aus schnell und bequem online auf die Akten zu.

Um die langfristige, unveränderte Speicherung auch im digitalen Umfeld zu sichern, wurden im Juni 2010 die bis dato insgesamt 17 Millionen digitalen Aktenseiten durch die Hybridarchivierungs-Software e-VIS der Firma e-das GmbH auf das Langzeitarchiv EMC Centera migriert. Über die herstellerunabhängige Standard-Schnittstelle XAM (eXtensible Access Method) erreichten die Daten problemlos den neuen Archivspeicher. Mit der zukunftssicheren Archivlösung

beschleunigen die hessischen Gerichte Arbeitsabläufe, bauen die Papierarchive ab und erfüllen die gesetzlichen Auflagen für die digitale Langzeitaufbewahrung von 30 und mehr Jahren.

Geplante Langzeitarchivierung„Schon zu Beginn des Projektes Hybridarchivierung war die Möglichkeit der Speicherung auf der EMC Centera eingeplant“, erläutert Steffen W. Schilke, Projektleiter bei der Hessischen Zentrale für Datenverarbeitung (HZD). Voraussetzung hierfür war die Umstellung auf ein spezielles Archivspeichernetz. Es wird von der HZD an den Standorten Hünfeld und Wiesbaden betrieben. Nachdem die Umstellung auf das Archivspeichernetz als Standort der EMC Centera erfolgreich durchgeführt war, stand der Datenmigration der Hybridarchivierung auf den Langzeitspeicher nichts mehr im Weg.

Für die Kommunikation mit dem Langzeitspeicher setzte das Projektteam auf die von der SNIA (Storage Networking Industry Association) definierte, herstellerunabhängige Schnittstelle XAM. Das Langzeitarchiv der Hessischen Justiz kann so flexibel mit Speichersystemen und Anwendungen verschiedener Hersteller erweitert werden. Neben den gescannten Akten werden über XAM auch die beschreibenden Metadaten der Akten auf der Centera abgelegt. Im

K-Fall lässt sich aus den gesicherten Akten und deren Metadaten die Metadaten-Datenbank wieder herstellen.

Migration in einer WocheVor der Migration des Produktionssystems standen verschiedene Tests auf dem Programm. Die Übernahme der knapp 300.000 Akten, mit. 425 GB Kapazität, erfolgte parallel zum laufenden Betrieb der Hybridarchivierung innerhalb einer Woche im Juni 2010. Nach dem schnellen und erfolgreichen Abschluss der Migration wurde komplett auf die Nutzung des EMC Centera Langzeitspeichers umgestellt und seitdem läuft die Lösung ohne Probleme produktiv. Lediglich am Tag der Umstellung war das System nicht verfügbar, ansonsten haben die Anwender keinerlei Beeinträchtigung bei ihrer Arbeit gespürt. Auf die Akten greifen derzeit rund 150 berechtigte Nutzer in den hessischen Gerichten zu. Das Land Hessen kann künftig XAM-basierende Speichersysteme ohne Betriebsunterbrechungen in die Langzeitspeicher-Infrastruktur einbinden. „Mit seiner Entscheidung für XAM und EMC Centera ist das Land Hessen für lange Zeit auf der sicheren Seite der Langzeitspeicherung“, fasst Schilke zusammen.

((3.754 Zeichen))

Bildmaterial

Archiv mit doppeltem Boden bei der Hessischen Justiz

• rechtskonforme Langzeitarchivierung für Justizunterlagen

• flexible Architektur der Langzeitspeicher-Infrastruktur

• Reduzierung des Papierarchivs• schneller Zugriff auf Gerichtsakten

• Hybridarchivierung: EMC Centera und Mikrofilm

• XAM-Schnittstelle für flexible Einbindung von Speicher-Hardware und -Software

• Migration von mehr als 17 Millionen Aktenseiten vom SAN (Storage Area Network) auf EMC Centera

• Mikrofilm 2.0: virtuelle Mikrofilmstelle über fünf Standorte

• mehr als 150 Nutzer in den Gerichten• Sicherung von 30

Schwerbehindertenarbeitsplätzen

Die Anforderungen

Die Lösung