Digitalpolitik Multi-Cloud-Strategie – viel Potenzial, aber nicht ohne Risiko

Von David Friend

Der Koalitionsvertrag der neuen Bundesregierung zeigt eines ganz deutlich: Deutschland will in vielen Bereichen digitaler werden. Ein Vorhaben, das zu einem wichtigen Teil auch die Öffentliche Verwaltung betrifft. Hier besteht noch immer großer, digitaler Optimierungsbedarf. Dabei setzt die Regierung zukünftig auf eine Multi-Cloud-Strategie, um ihr Verwaltungswesen zu modernisieren. Doch was steckt dahinter?

Anbieter zum Thema

Der neue Koalitionsvertrag sieht eine flächendeckende Digitalisierung in Deutschland vor. Die Ampelkoalititon setzt dabei auf eine Multi-Cloud-Architektur
Der neue Koalitionsvertrag sieht eine flächendeckende Digitalisierung in Deutschland vor. Die Ampelkoalititon setzt dabei auf eine Multi-Cloud-Architektur
(© Of The Village - stock.adobe.com)

Der Wunsch aus der Bevölkerung nach einer reibungslosen Kommunikation mit dem Amt ist seit Jahren omnipräsent. Die Realität sieht jedoch anders aus: Eine aktuelle Studie der IDG zeigt, dass bislang lediglich ein Viertel aller Behördenleitungen in Deutschland mit einem Digitalisierungsprojekt ­beauftragt ist – und das, obwohl das Onlinezugangsgesetz bis Ende des Jahres die Digitalisierung von rund 600 administrativen Vorgangstypen vorsieht. Unzureichende IT-Budgets und veraltete Softwarelösungen erschweren dieses Vorhaben.

Das aktuelle Regierungspapier ist sich den Missständen bewusst und geht darauf im Unterpunkt „Digitale Innovationen und digitale Infrastruktur“ (Digitaler Staat und digitale Verwaltung) ein. Die Koalition bezieht Stellung: „Die Menschen erwarten vom Staat einfach handhabbare und zeitgemäße digitale Leistungen, nutzerorientiert, medienbruchfrei und flächendeckend.“ Um diesem Versprechen gerecht zu werden, präsentieren die Parteien ihren Lösungsansatz: „Auf Basis einer Multi-Cloud-­Strategie und offener Schnittstellen ­sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der Öffentlichen Verwaltung auf.“

Die Multi-Cloud

Die „Multi-Cloud“ zielt darauf ab, monolithische IT-Konstrukte und Cloud-Strategien aufzulösen, welche an einen einzelnen Anbieter und sein Service-Angebot gebunden sind.

Um das zu erreichen, bedient sich der Strategieansatz der „Best of Breed“-Philosophie – einer Vorgehensweise, die abhängig vom realen Bedarf eines Unternehmens die Lösungen verschiedener Anbieter miteinander kombiniert. Richten Unternehmen und Organisationen also eine Multi-Cloud-Architektur ein, so individualisieren sie ihre Datenmanagement-Strategie und bündeln die für sie besten Services aus verschiedenen Anwendungsbereichen in einer ­einzelnen Cloud-Lösung – ungeachtet der Anzahl an Anbietern.

Indem sich Nutzende nicht an ­einen einzelnen Service-Provider binden, können sie sich – ganz im Sinne von „Best of Breed“ – das Beste aus der Welt verschiedenster Cloud-Anbieter zusammenstellen und in ihre eigene IT-Architektur implementieren. Das bedeutet auch, dass sich Organisationen nicht zwangsläufig am Angebot der großen Hyperscaler orientieren müssen, sondern auch die Vorteile anderer, kleinerer und stärker spezialisierter Provider berücksichtigen können.

Doch Multi-Cloud bietet mehr als nur eine große Auswahl. Eine solche Struktur hat für Unternehmen und Organisationen Vorteile und Chancen:

  • Finanzielle Entlastung: Den kompletten Cloud-Bedarf mit dem Angebot eines einzelnen Service-Providers zu decken, schafft finanzielle Abhängigkeit. Unternehmen sind durch eine solche Bindung an die Preis­politik des jeweiligen Anbieters gebunden; sehen sie ein günstigeres Angebot, müssen sie entweder nachverhandeln oder den Anbieter wechseln. Verteilen ­Organisationen ihre Services entsprechend ihres Bedarfs auf verschiedene Provider, so flexibilisieren sie ihre Strategie und können auf Veränderungen schneller und kostengünstiger reagieren. Frei nach dem Motto: Ein Rad auszutauschen ist immer preiswerter, als ein neues Auto zu ­kaufen.
  • Failover, verbesserter Schutz vor Ausfällen: Verfolgen Unternehmen eine Multi-Cloud-Strategie, so schützen sie sich durch die Aufteilung auf verschiedene Anbieter und Rechenzentren ­besser vor Service-Ausfällen: So dient beispielsweise eine Cloud-Komponente als primärer Service-Provider und eine zweite Cloud als Hot-Standby, um im Falle eines Ausfalls die Geschäftskontinuität zu wahren und eine Notfallwiederherstellung einzuleiten.
  • Multi-Cloud sichert Compliance: Für öffentliche Organisationen oder multinational operierende Konzerne stellt die Compliance häufig ein Hindernis dar, wenn sie auf nur einen Anbieter zurückgreifen wollen. Der Grund dafür ist, dass die Vorschriften zum Datenschutz und zur Datenaufbewahrung von Land zu Land variieren. Gerade der Finanzsektor macht das Compliance-Problem deutlich: In den Vereinigten Staaten legen die Securities and Exchange Commission (SEC), die Finan­cial Industry Regulatory Authority (FINRA) und die Commodity Futures Trading Commission (CFTC) eine Reihe von Regeln für den Schutz und die Aufbewahrung elektronischer Aufzeichnungen fest. In der EU ­schreiben hingegen die Europäische Finanzmarktrichtlinie ­(MIFID) und die Europäische Datenschutzgrundverordnung (EU-DSGVO) ein anderes Regelwerk vor. Mit Hilfe der Multi-Cloud-Strategie können Unternehmen und Organisationen stets den richtigen Service für den jeweiligen Business-Case entlang der Compliance-Regelungen wählen.

Kampf gegen Ransomware

Obwohl das Vorhaben, den Wunsch nach mehr Digitalisierung mit Hilfe einer Multi-Cloud-Strategie zu decken, ein Schritt in die richtige Richtung ist, müssen sich insbesondere Verwaltungen (und folglich auch Politik und Wirtschaft) über die Risiken einer solchen IT-Struktur bewusst sein. Ein zentrales Element, mit dem sich die Verwaltung bei der Wahl ihrer Cloud-Strategie beschäftigen sollte, ist der Schutz vor Ransomware.

Zuletzt warnte das Bundeskriminalamt vor der steigenden Anzahl an Ransomware-Angriffen und Lösegeld-Forderungen gegenüber der Administration. Das BKA bezieht Stellung zur Gefahrenlage: „Neben finanziellen Schäden für die Wiederherstellung der technischen ­Infrastrukturen, kann ein erfolgreicher Cyber-Angriff auf Städte und Gemeinden den Verlust und die Veröffentlichung sensibler Daten sowie eine auch längerfristige Einschränkung bei der Wahrnehmung wichtiger Dienstleistungen der Öffentlichen Verwaltung zur Folge haben.“

Auch der Ransomware-Report von Veritas Technologies „The 2020 Ransomware Resiliency Report“ wirft einen kritischen Blick auf das Angriffsgeschehen und untersucht dabei explizit, wie sich eine Multi-Cloud-Strategie auf den Schutz vor Ransomware-Attacken auswirkt. Die Studie stellt in Aussicht, dass sich die steigende Komplexität einer Cloud-Infrastruktur negativ auf den Schutz gegen Angriffe aus dem Netz auswirken kann.

Es gibt jedoch mehrere Lösungen, um einen soliden Schutz gegen Ransomware aufzubauen – unabhängig davon, wie viele verschiedene Cloud-Dienste Unternehmen nutzen. Einer der wirksamsten Schutzmaßnahmen gegen solche Angriffe ist das Kriterium der ­Unveränderbarkeit der Daten: ­Unveränderliche Buckets in Cloud-Speichern können von niemandem, nicht einmal von einem Systemadministrator gelöscht, manipuliert oder verändert werden. Damit bieten sie Schutz vor Ransomware-Hackern, die versuchen, Backups zu zerstören.

Darüber hinaus können Unternehmen und Organisationen durch den „3-2-1“-Backup-Ansatz verhindern, dass Hacker Datenkopien sperren oder verschlüsseln. Dies führt zu einer schnelleren Wiederherstellung der Daten und vermeidet kostspielige Ausfallzeiten.

Entscheiden sich Unternehmen oder öffentliche Organisationen letztlich für den Multi-Cloud-­Ansatz, so müssen sie das Für und Wider dieser Strategie abwägen – das gilt für Multi-Cloud genauso wie für alle anderen Strategien auch. Im Hinblick auf das aktuelle Regierungspapier muss jedoch berücksichtigt werden, dass politisch getriebene Organisationen oft andere Instrumente und Voraussetzungen für ein Maß an Sicherheit erfüllen – ein Abwägen ist somit keine Blaupause, die für Wirtschaft und Öffentliche Verwaltung gleichermaßen gilt.

Fazit

Der Koalitionsvertrag sieht eine flächendeckende Digitalisierung in Deutschland vor und treibt damit das Optimierungsvor­haben veralteter Systeme Sektor-übergreifend voran. Für einen ­solchen Ausbau setzt die Bundesregierung auf eine Multi-Cloud-Architektur. Eine solcher Ansatz deckt den Anwendungsbedarf von Unternehmen und Organisationen individuell und verteilt Cloud-Services auf verschiedene Provider. Das eröffnet die Möglichkeit, aus einem ­breiten Anbieter-Pool zu wählen, senkt Verwaltungskosten und verbessert Ausfall-Rückschläge – ohne dabei an Compliance einzubüßen. Dennoch sollten sich Unternehmen und Organisationen bewusst sein, dass eine Multi-Cloud-Strategie nicht risikofrei ist. So begünstigen komplexe Architekturen Sicherheitslücken und bieten eine breite Angriffsfläche, welche sich jedoch durch eine ­Unveränderlichkeit von Daten und dem „3-2-1“-Backup-Ansatz deutlich verkleinern lässt.

Der Autor: David Friend
Mitbegründer und CEO von Wasabi Technologies

Bildquelle: Wasabi Technologies

(ID:48043868)