- Anzeige -


Sie sind hier: Startseite » Fachartikel » Grundlagen

Der sichere Pfad in die Cloud


Viele Unternehmen marschieren mit großen Schritten in Richtung Cloud Computing, da es Möglichkeiten bietet, kostengünstig und flexibel IT-Infrastrukturen und Anwendungen zu betreiben
Den Chancen stehen aber auch Risiken gegenüber. Dabei kommt es besonders darauf an, einen klar definierten Prozess zur Migration in die Cloud zu verfolgen


Von: Dr. Thomas Störtkuhl, (ISC)⊃2;-zertifizierter CISSP, Mitglied der Geschäftsleitung, Secaron AG

(04.07.11) - Dieser Artikel versucht einen Prozess zur sicheren Migration in eine Public Cloud zu beschreiben. Das vorgestellte funktionsunabhängige Vorgehen soll eine Kontrolle der Risiken und Compliance-Anforderungen und damit ein angemessenes Sicherheitsniveau gewährleisten. Zudem werden die besonderen Risiken, die mit dem Outsourcing in eine Public Cloud verbunden sind, aufgezeigt. In diesem Zusammenhang wird Cloud Computing als ein Outsourcing-Vorhaben mit folgenden Besonderheiten betrachtet:

>> die Provider und die "Standorte" der Cloud sind anonym weltweit verteilt;
>> die Ressourcen können on-demand sofort zur Verfügung gestellt werden.

Chancen durch Cloud Computing
Cloud Computing steht für kostengünstige und flexible Services, die sofort verfügbar sind. Neue Geschäftsprozesse können so flexibel gestaltet und zügig eingeführt werden. Die Cloud stellt dafür zahlreiche Applikationen und Ressourcen zu Verfügung. Dabei werden die Daten der Geschäftsprozesse weltweit erreichbar und das auf denkbar einfache Weise: der Benutzer kann mit seinem "Mobile Device" über die von der Cloud zur Verfügung gestellten Schnittstellen jeder Zeit problemlos auf die gewünschten Informationen und Applikationen zugreifen. Gleichzeitig bieten unterschiedliche Abrechnungsmodelle große Einsparmöglichkeiten. Neben der Wartung von Hard- und Software, sowie dem IT Service Continuity Management, können mittlerweile auch erste Sicherheitsfunktionalitäten wie das Content Filtering als Cloud Services genutzt werden.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Risiken durch Cloud Computing
Die Betrachtung der Risiken beschränkt sich hier auf das Thema Public Cloud. Dieser Outsourcing-Fall schafft folgendes Risikoszenario:

>> Missbrauch der Cloud
Eine Public Cloud kann in vielfältiger Weise missbraucht werden: Server der Cloud können als Teil eines Botnetzes missbraucht werden, die Rechenleitung der Clouds könnte für das hacken von Passwörtern oder für Denial-of-Service-Angriffe verwendet werden, Malware könnte in der Cloud gespeichert werden etc. All diese Risiken betreffen zunächst den Betreiber einer Public Cloud, aber indirekt natürlich auch seine Nutzer.

>> Unsichere Schnittstellen
Die Schnittstellen der Cloud müssen ausreichend abgesichert werden, um Risiken wie die unverschlüsselte Übertragung sensibler Daten und Credentials (Passwörter, kryptographischer Schlüssel) oder unautorisierte Zugriffe auf Daten und Applikationen zu verhindern.

>> Interne Angriffe
Eine Lokalisierung der Daten ist auf einfache Weise insbesondere für den Dateneigentümer nicht mehr möglich. Die Gefahr liegt darin, dass aufgrund mangelnder Transparenz nicht klar ist in welchen Ländern und Rechenzentren sowie auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell ist es eine große Herausforderung kulturenübergreifend bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. All diese Umstände führen dazu, dass interne Angriffe stärker als Risiko berücksichtigt werden müssen.

>> Löschung von Daten nicht möglich
Hier ist zu berücksichtigen, dass Applikationen zusammen mit ihren Daten beliebig zwischen Servern und Rechenzentren verschoben werden können. Damit ergibt sich das Problem, dass Daten, die auf verschiedenen Festplatten, in verteilten Archiven und Backups gespeichert sind, so gelöscht werden können, dass keine Möglichkeit mehr besteht sie wieder zu generieren. Zu beachten ist insbesondere, dass nach Beendigung des Vertragsverhältnisses die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen oder auf sichere Weise auf andere Systeme übertragen werden.

>> Verletzung von Datenschutzgesetzen
Da nicht von vornherein klar ist, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden und auch die Datenflüsse prinzipiell unbekannt sind, besteht eine erhöhte Gefahr der Verletzung von Datenschutzvorschriften.

>> Intransparenz durch Subunternehmer
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen, so dass nicht bekannt ist, auf welchen weltweit verteilten Ressourcen sich die Daten des Benutzers befinden.

>> Insolvenz des Providers
Die Insolvenz eines Providers bedeutet nicht, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden.

>> Beschlagnahmung von Hardware
Eine Beschlagnahmung von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen betreibt. Diese kann aus vielen Gründen erfolgen, die nicht durch den Auftraggeber verantwortet oder beeinflusst werden können. Dabei können sich Daten des Auftraggebers auf den beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über Geschäftstätigkeiten ermöglichen auch wenn keine sonstigen Geschäftsdaten vorliegen.

>> Handel mit Ressourcen wird denkbar
Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine "Ressourcenbörse" ist aber denkbar. Die Konsequenzen, die sich daraus für die Sicherheit ergeben, können im Moment noch nicht beurteilt werden.

>> Erpressungsgefahr
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

Sicherheit in der Cloud umsetzen
Im Folgenden sollen nicht die gängigen Maßnahmen wie die Absicherung der Rechenzentren, Einsatz von Firewalls etc. diskutiert, sondern diejenigen Maßnahmen aufgezeigt werden, die geeignet sind die oben genannten Risiken zu reduzieren. Diese Maßnahmen betreffen besonders die Bereiche:
>> Verschlüsselung und Integrität
>> Authentisierung
>> Identity Management
>> Vertragsgestaltung und Compliance (Datenschutz)
>> Organisation

Eine Vielzahl von technischen und organisatorischen Maßnahmen ist denkbar um Risiken bei der Migration in die Cloud zu reduzieren. Hierzu zählen vertragliche Regelungen, die Themen wie Notfälle, Datenschutz, Audit-Rechte und Vertragsbeendigung berücksichtigen. Ergänzend muss in SLAs (Service Level Agreement) festgeschrieben werden, mit welcher Güte (Überprüfbar mit messbaren Kennzahlen) die Cloud Services zu erbringen sind. Bei den technischen Maßnahmen ist weiterhin die Verschlüsselung der Daten in Datenbanken und bei der Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client, XML Encryption zertifikatsbasiert zur Realisierung einer Ende-zu-Ende Verschlüsselung) zu berücksichtigen:

>> Einsatz digitaler Signaturen zum Schutz der Daten und Dokumente (XML Signature),
>> eine verbesserte Authentisierung mittels einer 2-Faktor-Authentisierung zum Beispiel mit dem Einsatz von Smartcard und digitalen Zertifikaten,
>> ein ausgereiftes Identity Management, das es erlaubt elektronische Identitäten gesichert zu transportieren (Federation),
>> Schutz von Dokumenten über Rights Mangement Systeme
>> Entwicklung von Sicherheitskonzepten, die auch den Notfall und die Migration in die Cloud und aus der Cloud berücksichtigen,

Um die notwendigen Maßnahmen zu erkennen, zu koordinieren und letztendlich umzusetzen sollte ein definiertes Verfahren, ein sogenannter sicherer Pfad für die Migration in eine Public Cloud durchlaufen und nicht verlassen werden.

Dieses Vorgehen sollte mindestens folgende Aspekte beinhalten:

>> Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, welche Geschäftsbereiche oder -prozesse in eine Public Cloud ausgelagert werden dürfen und sollen und welche nicht. Zudem wird erläutert, welche allgemeinen Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.
>> Das Vorgehen definiert klar die Phasen Planung, Vertragsgestaltung, Migration und Betrieb sowie alle notwendigen Verantwortlichkeiten.
>> Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang an einbezogen.
>> Für die Migration in die Public Cloud ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

Planungsphase
Zunächst wird für die Migration in die Public Cloud auf grober Ebene eine erste "Sicherheitsanalyse" durchgeführt. Hierzu werden erste Varianten für die Migration in die Public Cloud entwickelt, die sich zum Beispiel bzgl. des Service Modells (Software-as-a-Service - SaaS, Platform-as-a-Service - PaaS oder Infrastructure-as-a-Service - IaaS) unterscheiden können. Die unterschiedlichen Varianten, die in Frage kommen werden einer Schutzbedarfs- und Risikoanalyse unterzogen. In die Analyse fließen auch gesetzliche (insbesondere Datenschutzrichtlinien) und organisatorische Anforderungen ein. Aus den gewonnenen Informationen werden Sicherheitsanforderungen abgeleitet, die zu erfüllen sind. Aufgrund der analysierten Risiken und umzusetzenden Maßnahmen sowie den damit verbundenen Kosten wird eine Entscheidung getroffen. Die ausgewählte Variante wird im Arbeitsschritt "Auswahl des Dienstleisters" ausgeschrieben und ein Dienstleiter ausgewählt, der die ermittelten Sicherheitsanforderungen möglichst umfassen und kostengünstig erfüllen kann.
Vertragsphase
Ziel des Arbeitsschrittes "Vertragsgestaltung" ist es, in Verträgen und/oder Service Level Agreements (SLA) eine kontrollierbare Leistungsbeschreibung zu vereinbaren. Besondere Schwierigkeiten bei der Vertragsgestaltung bereiten u.a. folgende Punkte:

>> Einräumung von Auditrechten
Im Allgemeinen wird der Cloud-Anbieter seinen Kunden keine Auditrechte in seinen Rechenzentren einräumen. Dies wäre für den Cloud-Anbieter einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn hunderte Fremd-Auditoren der Kunden die Rechenzentren prüfen. Deshalb ist es sinnvoll, sich Auditrechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um z.B. den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bzgl. Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).

>> Kennzahlen
Gerade die Definition von messbaren Kennzahlen für Vertraulichkeit und Integrität ist keine einfache Aufgabe. In Bezug auf die Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Cloud-Anbieter angegeben.

>> Schnittstellendefinition
Besonders wichtig sind die Schnittstellen für den korrekten Betrieb der ausgelagerten Funktion, zum Beispiel bzgl. Security Monitoring, Notfallmanagement und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen dem Kunden und dem Cloud-Anbieter definiert werden.

>> Regelungen für die Beendigung der Auslagerung in die Cloud
Auch Vereinbarungen für die Beendigung der Auslagerung in die Public Cloud sind zu treffen. Insbesondere muss u.a. geregelt werden, wie Daten zu übergeben sind und welche Daten so gelöscht werden, dass sie nicht mehr wiederhergestellt werden können.

Migrationsphase
Nach Abschluss des Vertrages beginnt die eigentliche Migration, also die schrittweise und geplante Auslagerung der Funktion. Die Umsetzung der Auslagerung in die Public Cloud beginnt mit der Erstellung von Sicherheitskonzepten, die zusammen mit dem Dienstleister entwickelt werden. Diese stellen die Sicherheitsarchitektur dar, benennen die Risiken und leiten daraus die umzusetzenden Maßnahmen ab. Die Sicherheitskonzepte berücksichtigen dabei die Migrationsphase selbst, da auch während der Migration zu jeder Zeit ein ausreichendes Sicherheitsniveau erhalten bleiben muss. Die Migration erfolgt dann gemäß den Vorgaben der mit dem Dienstleister abgestimmten Sicherheitskonzepte, in denen insbesondere die Verantwortlichkeiten klar definiert werden müssen. Es ist darüber hinaus erforderlich die Sicherheitskonzepte gemäß der Projektentwicklung laufend anzupassen.

Betriebsphase
In Arbeitsschritt "Aufrechterhaltung des sicheren Betriebs" werden die ausgelagerten Funktionen gemäß Vertrag und Sicherheitskonzepten durch den Cloud-Anbieter nach den Sicherheitsanforderungen des Kunden betrieben. Wichtig sind jetzt funktionierende Prozesse und Schnittstellen. Insbesondere dient das Security Monitoring dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können.

Mit dem Arbeitsschritt "Sichere Beendigung der Auslagerung" wird eine geregelte Beendigung der Auslagerung durchgeführt. Auch die Beendigung der Auslagerung muss nach den vertraglich vereinbarten Regelungen erfolgen. Der Dienstleister muss nachweisbar Daten auf seinen Systemen so löschen, dass sie auch mit ausgefeilten Methoden und Technologien nicht wieder hergestellt werden können. Hierzu zählen nicht nur Daten des Geschäftsprozesses, sondern auch betriebliche Daten wie Protokolldaten von Systemen und Applikationen.

Fazit
Die Migration von Funktionen in eine Public Cloud ist wie ein Outsourcing-Vorhaben, beinhaltet jedoch einige Besonderheiten, die zusätzlich berücksichtigt werden müssen. Die Vorteile der Cloud sind u.a. Flexibilität, Skalierbarkeit, Service-basierte Abrechnungsmodelle etc. Diese tragen letztendlich dazu bei Kosten zu reduzieren und eine höhere Flexibilität zu erreichen. Dass all dem Potenzial auch Risiken gegenüberstehen sollte nicht ausblendet werden, vor allem nicht, weil diese mit Hilfe eines definierten sicheren Verfahrens für die Migration beherrschbar sind. Mit einem solchen Verfahren bleibt gewährleistet, dass Risiken rechtzeitig erkannt und kontrolliert werden können.
(Secaron: ra)

Secaron: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Neue Datenverkehrsmuster im Entstehen

    Der rasante technologische Wandel und die damit verbundene Disruption von Geschäftsmodellen führen dazu, dass multinationale Konzerne in ihren wichtigsten Märkten zunehmend agiler auftreten müssen. Jedoch fällt es ihnen aufgrund des expansiven Wachstums ihrer IT-Ökosysteme schwer, wirklich agil zu operieren - insbesondere dann, wenn sie durch eine veraltete IT-Infrastruktur ausgebremst werden. Cloud-Deployments und die massive Zunahme von Anwendungen und Endgeräten erhöhen den Druck auf die Verantwortlichen, die IT-Landschaft zu modernisieren.

  • Kontrolle über SaaS-Anwendungen behalten

    Wer Software-Ausgaben unter Kontrolle bringen will, braucht ein intelligentes Software Management. Daran hat auch Software-as-a-Service (SaaS) nichts geändert. Ganz im Gegenteil: Schatten-IT und Shelfware zählen zu den größten Kostenfallen bei Cloud-basierten Anwendungen. Durchschnittlich kommen in Unternehmen 15x mehr SaaS-Anwendungen zum Einsatz als auf offizieller Seite bekannt ist. Der Grund für die Schatten-IT ist leicht nachzuvollziehen: Für Mitarbeiter ist es sehr einfach Anwendungen über die Cloud zu abonnieren. Kreditkarte und E-Mail-Adresse reichen Public Cloud-Anbietern wie Amazon Web Services (AWS) und Microsoft Azure aus, um in wenigen Schritten ein Konto anzulegen und je nach Bedarf SaaS-Anwendungen zu beziehen - in vielen Fällen ohne Absprache mitder IT oder dem Einkauf.

  • In die Cloud - aber sicher

    Dr. Chris Brennan, Regional Director DACH, Eastern Europe, Russia and Israel von Skybox Security erläutert, wie die Migration in die Cloud und dabei zu berücksichtigende Sicherheitsaspekte in Einklang gebracht werden können. Unternehmen setzen vermehrt auf Cloud Computing-Umgebungen. Einer der Vorteile dabei ist, dass die Cloud eine hohe Skalierbarkeit und Agilität aufweist. Wenn dabei aber die Sicherheitsrisiken vernachlässigt werden, die dieser Schritt mit sich bringt, kann daraus ein großer Nachteil erwachsen. Ein gängiger Fehler dabei ist, dass viele Entscheider denken, dass der Cloud Security Provider (CSP) mehr Verantwortung für die Sicherheit trägt, als er tatsächlich tut.

  • Das lebende Unternehmen

    Der menschliche Körper ist ein bemerkenswerter Organismus. Ohne hier zu tief in Anatomie und Physiologie des Menschen einzutauchen, gibt es zahlreiche Bereiche, in denen sich der Mensch und die Datenverarbeitung eines Unternehmens stark ähneln. Zwar sind die Systeme des Menschen nicht digital sondern organisch, das Gesamtsystem Mensch funktioniert jedoch ganz ähnlich wie eine Organisation - eine große Anzahl an Informationssystemen laufen parallel und transportieren eine Fülle von Informationen zu jedem Organ. Wenig überraschend, ist der Mensch der IT in Sachen Datenverarbeitung nach vielen Millionen Jahren Evolution um einiges voraus. So funktioniert die Datenverarbeitung des Menschen in den meisten Fällen nicht nur in Echtzeit, sondern auch komplett automatisiert. Hier können Unternehmen ansetzen, um vom Menschen zu lernen und ihre IT in Zeiten der Digitalisierung leistungsfähiger zu machen.

  • Security und Leistung in der Cloud vereinen

    Moderne Anwendungen müssen skalieren und performant sein. Um diese Anforderungen zu erreichen, werden viele Implementierungen auf Public Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) gehostet, was für Elastizität und Geschwindigkeit sorgt. Und die Cloud-Nutzung boomt, mittlerweile setzen zwei von drei Unternehmen in Deutschland Cloud Computing ein, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Vorteile wie hohe Flexibilität, Effizienzsteigerung der Betriebsabläufe und verbrauchsabhängige Abrechnung von Services liegen auf der Hand.

  • Es ist an der Zeit, die Cloud zu dezentralisieren

    Heute beheimatet die Erde 206 souveräne Staaten. Souveränität ist, wie uns das Lexikon erklärt, das "volle Recht und die Macht eines Regierungsorgans über sich selbst, ohne Einmischung von außen". In gewisser Weise hat die in den frühen 2000er Jahren eingeführte Public Cloud die Souveränität vieler Staaten in Frage gestellt: Sie zentralisierte Daten- und Cloud Computing-Services auf sehr effiziente Weise, um Kunden in jeder Ecke der Welt zu bedienen - eine Welt ohne Grenzen. Verbraucher und Unternehmen begrüßten das befreiende Konzept, das sich schnell weiterentwickelte.

  • Cloud-Sicherheit & Shared Responsibility-Modell

    Viele Unternehmen setzen auf eine Kombination verschiedener Backup-Lösungen, häufig über mehrere Standorte hinweg. Im Krisenfall macht es solch eine Strategie jedoch oft schwierig, Dateien zeitnah wiederherzustellen. Dagegen bieten Cloud-integrierte Lösungen einfaches Testen der Disaster-Recovery-Strategie und im Notfall die rasche Rückkehr zum Normalbetrieb. Daten sind für Unternehmen heute wertvolle Rohstoffe und müssen besser gesichert werden als je zuvor. Gerade in Zeiten weltweiter Ransomware-Attacken ist eine profunde Backup- und Disaster Recovery-Strategie daher unabdingbar geworden, um im Krisenfall sofort reagieren zu können und die Geschäftskontinuität zu sichern. Doch bei der Disaster Recovery geht es nicht nur um Ransomware-Bedrohungen und Advanced Threats, sondern ebenso um die Wiederherstellung nach Hardware-Ausfällen von IT-Komponenten wie Servern und Storage-Systemen, aufgrund menschlicher Fehler oder einer Naturkatastrophe.

  • Wächter des Cloud-Datenschatzes

    Im Zuge der Digitalisierung wächst die Datenmenge, die Unternehmen täglich verarbeiten, stetig an. Dies spiegelt sich auch in der gestiegenen Nutzung von Cloud Computing-Anwendungen in den vergangenen Jahren wider. Unternehmensdaten sind rund um die Uhr überall zugänglich, ermöglichen effiziente Arbeitsabläufe und - zumindest auf den ersten Blick - etwas weniger Verwaltungsaufwand für die IT-Abteilung. Dieser Effekt relativiert sich jedoch, wenn man die Cloud Computing-Nutzung unter dem Aspekt der Sicherheit betrachtet. Die damit einhergehenden Risiken und neuen Bedrohungen erfordern fortschrittliche Sicherheitstechnologien, um den Schutz von Unternehmensdaten gewährleisten zu können.

  • Cloud-Sicherheit: Shared Responsibility-Modell

    Viele Unternehmen setzen auf eine Kombination verschiedener Backup-Lösungen, häufig über mehrere Standorte hinweg. Im Krisenfall macht es solch eine Strategie jedoch oft schwierig, Dateien zeitnah wiederherzustellen. Dagegen bieten Cloud-integrierte Lösungen einfaches Testen der Disaster-Recovery-Strategie und im Notfall die rasche Rückkehr zum Normalbetrieb. Daten sind für Unternehmen heute wertvolle Rohstoffe und müssen besser gesichert werden als je zuvor. Gerade in Zeiten weltweiter Ransomware-Attacken ist eine profunde Backup- und Disaster Recovery-Strategie daher unabdingbar geworden, um im Krisenfall sofort reagieren zu können und die Geschäftskontinuität zu sichern.

  • DevOps: Eine Gefahr oder die Zukunft für ITSM?

    Der digitale Wandel beeinflusst die Unternehmenslandschaft stark. Auch im IT-Service-Management stehen Entscheider zahlreichen neuen Herausforderungen gegenüber. Die Verzahnung von Entwicklung und Betrieb, auch Development and Operations, kurz DevOps, spielt eine immer größere Rolle. Häufig stellen sich die Verantwortlichen jedoch eine Frage: Ist DevOps eine Gefahr oder die Zukunft des IT-Service-Managements (ITSM)? Zu den Ursachen für etwaige Bedenken zählt unter anderem die Infragestellung der Stabilität des IT-Betriebes. Angebote aus der Cloud werden mit einem Angriff auf die eigene IT gleichgesetzt und gestandene ITIL-Change-Manager können sich eine weitere Verkürzung und Vereinfachung der Prozesse nicht mehr vorstellen. Dabei lässt sich bei Betrachtung des Bereichs "Entwicklung und Betrieb von Applikationen" feststellen, dass es zahlreiche Gründe gibt, sich mit den Inhalten von DevOps zu befassen. Veränderungen im IT-Service-Management stellen dabei stets eine Notwendigkeit dar.