Amazon Web Services
Eigene Infrastrukturen bieten in vielen Fällen keine Business-Vorteile mehr. Die Heterogenität von Anforderungen einerseits und die zu erfüllende Tiefe je Anforderung anderseits macht es zunehmend unmöglich, eigene Infrastrukturen professionell nebenbei zu betreiben.
Professionell bedeutet dabei längst nicht mehr Selbstverständlichkeiten wie den hohen Ausbildungsstand von Administratoren oder Zertifizierungen zu haben und zu leben.
Eine kurze Frage
Nehmen wir – nur als Beispiel – eine einfache Fragen zu aktuellen Anforderungen an die Sicherheit: erfüllt Ihre Infrastruktur auch die folgenden Standards?
- Reports nach SSAE16 (Statement on Standards for Attestation Engagements) des American Institute of Certified Public Accountants (AICPA) d.h. dem Dachverband der US-amerikanischen Wirtschaftsprüfer
- SOC1 Type II,
- SOC 2 Type und
- SOC 3
- PCI DSS Level 1
- Zertifizierung nach ISO 27001
- FedRAMP
- FISMA
- DIACAP
Ein kurzes Blitzlicht, was u.a. hinter diesen Punkten inhaltlich steht:
- separate Überprüfung von Systemen durch mehrere unabhängige Auditoren aus Compliance-Sicht
- Bestätigung der Konformität zu Compliance- und Sicherheits-Standards über einen Zeitraum (und nicht – wie häufig in Audits – nur zu einem Zeitpunkt)
- Aktualisierung von internen Auditberichten im Abstand von 6 Monaten (anstatt intern üblichen 12 Monaten)
- jährliche Re-Zertifizierungen nach ISO 27001
- Zertifizierung nach höchster Stufe der PCI (Payment Card Industry Security Standards Council., notwendig um als Händler oder Dienstleister Kreditkartenzahlungen abwickeln zu dürfen), d.h.
- Erfüllung von Stufe 1 (für Dienstleister die über 300.000 Transaktionen pro Jahr vornehmen)
- Auditierung durch unabhängige, zugelassene Prüfer, sog. PCI QSA (QSA, qualifizierter Sicherheitsprüfer) der PCI (Payment Card Industry )
- Konformität zu FedRAMP der FISMA-Stufen „Low“ und „Moderate“
- Erfüllung sowohl von EU-, US- und weiteren internationalen Sicherheits-Standards
Erfahrungsgemäß wäre es in vielen Umgebungen schon ein großes Projekt, die oben gestellte Frage auch nur audit-sicher zu beantworten. … und ein größeres, die vielen Gaps zu stopfen, die so eine Analyse zu Tage fördern würde.
Eine ähnliche Komplexität verbirgt sich auch hinter weiteren Merkmalen von Software wie Effizienz, Wartbarkeit oder Operabilität.
Die gängigen Cloud-Angebote wie Amazon Web Services, Microsoft Azure oder Google Cloud Computing bieten Lösungen, die in internen Umgebungen so kaum mehr zu erreichen sind.
Trend
Tatsächlich scheint sich der Aufwand einer eigenen umfangreichen IT-Infrastruktur nur noch für Unternehmen zu lohnen, deren Kerngeschäft IT-Services sind. Selbst Unternehmen, die ausschließlich dem Internet entstammen, machen sich diese Mühe nicht mehr. Denn auch wenn das Know-How da wäre: IT-Infrastruktur wird auch unrentabel, wenn sie z.B. in Peak-Situationen hochzuverlässig sein muss, diese Peaks aber nur kurzfristig auftreten.
Der sich abzeichnende Trend ist ziemlich klar: große eigene IT-Infrastrukturen werden -abgesehen von den Zugangsclients – ähnliche Ausnahmen bilden wie heute eigene Anlagen zur Energiegewinnung. Hier ist die meistverwendete Schnittstelle heute die Steckdose und nicht mehr die eigene Dampfmaschine.
Wollen Sie mehr wissen?
Dr. Gellner führt mit Ihnen eine Analyse des IST-Standes durch und berät zu Alternativen. Ebenso gibt es regelmäßig Info-Veranstaltungen und Workshops.