Dieser Blogbeitrag basiert auf einem Interview mit Carsten Lillelund Pedersen, Thinking as a Service, im Podcast Regnskabets Time, Staffel 2 Folge 3
Wir sprachen mit einem der dänischen Pioniere im Bereich Cloud-Infrastruktur und Datensicherheit, Carsten Lillelund Pedersen von Thinking as a Service, um mehr darüber zu erfahren, welche Initiativen Unternehmen ergreifen sollten und was sie von SaaS-Anbietern erwarten sollten. Wir erörterten auch, warum das altmodische Sprichwort "Wenn es nicht kaputt ist, repariere es nicht" kein guter Ansatz für IT-Systeme und Datensicherheit mehr ist.
Interviewer: Willkommen Carsten. Kannst du uns etwas über Thinking as a Service erzählen?
Carsten: Seit die Menschen vor etwa 30-40 Jahren begonnen haben, sich professionell mit IT zu beschäftigen, gab es verschiedene Trends in Bezug auf die Art und Weise, wie IT gesehen und genutzt werden sollte. Am Anfang wurde die IT als technische Dienstleistung betrachtet. Dies konnte in Form von support oder der Einrichtung von lokalen Netzwerken oder Servern geschehen. Heute betrachten wir IT als eine Dienstleistung, die erbracht wird. Aus diesem Grund sind Cloud-Dienste wie Software as a Service, Platform as a Service, Infrastructure as a Service und Back-up as a Service heute der Standard und die Norm, wenn es um die Bereitstellung von IT geht. Es ist die Architektur hinter diesen Konzepten und die Beratung, mit der wir uns bei Thinking as a Service beschäftigen.
Interviewer: Carsten, du hast dich in den letzten 25 Jahren mit Datensicherheit beschäftigt. Könntest du uns etwas über die Entwicklung im Bereich Datensicherheit und Cyberkriminalität erzählen?
Carsten: Ja. Die Entwicklung ist der gleichen Welle gefolgt, die ich bereits erwähnt habe: Die IT ist dienstleistungsorientierter geworden. Vor 25 Jahren wurde Cyberkriminalität von ein paar Typen betrachtet, die in einem Keller saßen und versuchten, sich in alle möglichen ungeschützten Bereiche zu hacken. Das hat sich natürlich zu etwas Anspruchsvollerem entwickelt. Der neueste Trend bei der Internetkriminalität besteht darin, dass sie jetzt auch zu einer Dienstleistung geworden ist. Das heißt, so wie es Tools zum Schutz der Daten eines Unternehmens gibt, nutzen Kriminelle jetzt IT-Tools, um Geld aus Unternehmen herauszuholen, die ihre Sicherheit nicht zu 100 % unter Kontrolle haben. Durch den Aufstieg der nicht zurückverfolgbaren Kryptowährungen ist es möglich geworden, einen solchen Dienst anzubieten.
Interviewer: Als wir uns auf dieses Interview vorbereiteten, haben Sie etwas erwähnt, das mich überrascht hat. Sie sagten, es sei nicht immer eine gute Idee, Daten in einer Cloud-Lösung zu speichern. Können Sie das näher erläutern?
Carsten: Es mag für einige überraschend sein, aber eine Cloud-Lösung ist nicht immer die beste Lösung, wenn es um die Speicherung von Daten geht. Es ist jedoch wichtig, den Kontext zu verstehen. In den Anfängen hatten die Unternehmen Daten und Netzwerke in Serverräumen im Keller. Und mit relativ wenigen Mitarbeitern und Ressourcen musste das Unternehmen dann versuchen, alle benötigten IT-Tools bereitzustellen. Das bedeutet, dass die IT-Abteilung Webserver, Mailsysteme, Finanzsysteme, Dateisysteme, Verwaltungssysteme usw. bereitstellen sollte. Wenn man so viele Dienste bereitstellen muss und es sich gleichzeitig nicht um den Kerndienst des Unternehmens handelt, wird keiner der Dienste so gut ausfallen.
Das ist keine Option mehr. Deshalb empfehle ich Unternehmen, nach einer Cloud-Lösung zu suchen, die als SaaS bereitgestellt wird. Wenn es sich aber um den Kerndienst des Unternehmens handelt - es könnte z.B. ein Anbieter von Expense Management sein - dann muss es On-Premise sein. Dann ist das Unternehmen selbst für den Betrieb, die Entwicklung und die Wartung verantwortlich. Der Anbieter des betreffenden Dienstes muss aber auch die 100-prozentige Kontrolle über seinen Kerndienst haben, weshalb es sinnvoll ist, die Lösung on-premise zu hosten. Alles, was über den Kerndienst hinausgeht, muss ausgelagert werden.
Interviewer: Infolge dieser Entwicklung werden in dänischen Unternehmen viele Dienste als Cloud solutions gekauft. Ich frage mich, ob es nicht einige Dinge gibt, die man beachten sollte, wenn es darum geht, wer für die Sicherheit verantwortlich ist?
In den ersten 20 Jahren, die ich in der IT-Branche gearbeitet habe, gab es ein Sprichwort: Wenn es nicht kaputt ist, sollte man es nicht reparieren". Das lag daran, dass jedes Mal, wenn etwas aktualisiert wurde, Fehler folgten. Es war einfacher, die Dinge so lange zu belassen, bis sie nicht mehr funktionierten. Das ist natürlich gefährlich. Die Kriminellen halten sich nicht daran, ihre Methoden zu aktualisieren. Genau aus diesem Grund müssen Sie alles auslagern, was nicht zum Kerngeschäft des Unternehmens gehört. Denn es sind die betreffenden SaaS-Anbieter, die die von Ihnen genutzten Anwendungen und Tools selbst warten müssen. Damit wird die Verantwortung auf Ihren SaaS-Anbieter übertragen. Es gibt mehrere Faktoren, anhand derer man beurteilen kann, wie gut der SaaS-Anbieter Ihre Daten schützt. Eine gute Möglichkeit, dies zu beurteilen, besteht darin, den App Store oder Google Play aufzusuchen und zu prüfen, wie oft die Anwendung aktualisiert wird. Je mehr, desto besser. Das sagt nicht unbedingt alles über die Sicherheit aus, aber es gibt einen guten Hinweis.
Es ist daher eine gute Idee, dafür zu sorgen, dass jemand ein Auge auf Ihre SaaS-Anbieter hat. Es stimmt nicht unbedingt, dass es viel einfacher ist, solutions und Dienste zu verwalten, wenn Sie sie auslagern. Allerdings sind die Daten dann sicherer. Sie können nicht alle Probleme selbst lösen. Das muss deutlich gemacht werden.