Wie ein Bezahlsystem zur Grundlage einer Security Strategie wird

von Richard Werner, Business Consultant

Ja, der Titel ist ernst gemeint. Eigentlich schaut man sich immer zuerst nach der Ware um und kümmert sich dann um den Preis, aber gerade in der Cloud laufen die Dinge anders. Deshalb ist es an der Zeit, sich auch mit neuen Ideen zu beschäftigen. Um zu verstehen, warum Überlegungen zum Bezahlmodell in der Cloud bei der Auswahl des Security Providers viel Mühe sparen kann, ist es wichtig, zuerst die Motivationen zu verstehen, die ein Unternehmen dazu treibt, ganz oder teilweise in die Cloud zu gehen.

Flexibilität

Die Mär, die Cloud sei billiger, hält sich hartnäckig. Doch gerade in Sicherheitskreisen weiss man, dass dies so nicht stimmt. Zieht ein Unternehmen im Rahmen einer Migration System um System in die Cloud und vergleicht erst anschliessend die Kosten, so läuft die Aktion bestenfalls auf eine Nullsumme hinaus. Und genau darum geht es aber nicht, denn die Cloud soll ein Unternehmen agiler machen und Über- bzw. Unterkapazitäten ausgleichen.

Als Beispiel dafür, wie Flexibilität in der IT Security zum Erfolg führen kann, mag hier die Geschichte eines Serviceanbieters aus Texas dienen. Dieses Unternehmen offeriert seinen Kunden weltweit Dienstleistungen rund um das Thema Event-Management. Vom Ticketverkauf bis zur Event-Organisation kann alles gebucht werden. Das Unternehmen hatte 2019 mit dem „Problem“ zu kämpfen, erfolgreich zu sein. Aufgrund der schnellen Ausweitung des Angebots kam es regelmässig zu Kapazitätsengpässen. Da das Geschäft dennoch starken Schwankungen unterlag, war die Beschaffung, Verteilung und Koordinierung von Rechenkapazitäten zur grössten IT Herausforderung geworden. Der Gang in die Cloud löste das Problem. Aufgrund unbegrenzter Kapazitäten sowie der Möglichkeit je nach Bedarf automatisiert Systeme zu- oder abzuschalten, konnte die häufig saisonal bzw. regional bedingten Kapazitätsänderungen ohne logistische Herausforderung abgebildet werden.

Logistic kills Deployment

Die IT-Sicherheitsabteilung des Anbieters erstellte daraufhin zusammen mit ihrem Security Provider ein Konzept, welches es erlaubte, das Sicherheitsniveau des Rechenzentrums weitestgehend in der Cloud abzubilden. Die Sache hatte nur einen Haken: Als die IT-Security bei den Fachabteilungen anfragte, welcher Aufwand zu erwarten sei, um die benötigten Lizenzen zu erwerben bzw. abzuschätzen in welchem Masse Mehraufwand bezüglich des Managements von zwei verschiedenen Security-Lösungen auf Sicherheitsmitarbeiter zukäme, wurde ihnen mit einem Schulterzucken geantwortet.

Der Grund, in die Cloud zu gehen, war genau der, dass diese Fragen offen waren. Je nach Auftragslage wurden mitunter für einen kurzen Zeitraum grosse Kapazitäten benötigt. Parallel zeigte der wirtschaftliche Erfolg des Unternehmens (vor Corona), dass die Gesamtanforderung weiter ansteigen würde. Das Unternehmen wollte seinen Erfolg schlicht nicht von der Verfügbarkeit der Rechenleistung abhängig machen. Da sich die Security-Anforderungen des Unternehmens an Compliance Vorgaben (speziell DSGVO und PCI-DSS) ausrichteten, waren Mindestanforderungen verpflichtend einzuhalten.

Hier stellte sich der erstellte Prozess als derart unflexibel und technisch komplex heraus, dass für die Cloud-Bestandteile des Unternehmens die Einrichtung und Dokumentation der Compliance eine beträchtliche logistische Herausforderung mit sich brachte. Unter anderem führte dies dazu, dass sich Abteilungen genötigt sahen, entweder ihre Aufträge zu verzögern oder auf die rechtzeitige Bereitstellung von Security zu verzichten. Der daraus erwachsende Konflikt, entweder Geschäftsoptionen zu gefährden oder zumindest temporär die Einhaltung der Compliance zu „übersehen“, eskalierte zunehmend.

Als sich das Unternehmen schliesslich aufgrund der Empfehlung seines Cloud Managed Service-Partners für Trend Micro entschied, war die Situation bereits derart eskaliert, dass die Lösung ohne weiteren Proof of Concept in bereits bestehende Live-Systeme integriert wurde. Bei vergleichbaren technischen Optionen war im Besonderen die komplette Integration in Cloud- und On-Premise-Operationen, so wie die flexible Möglichkeit, die Kosten anhand des Bedarfs auszurichten, entscheidend. Die Lizenzen wurden nach Bedarf sowohl in der Cloud als auch On-Premise berechnet. Das hatte während Corona übrigens auch einen ungeplanten Vorteil. Für die Eventagentur brachen in kurzer Zeit immer mehr Märkte ein, bis am Ende fast alles stand. Durch die Abrechnung nach Bedarf wurden so enorme Geldmengen eingespart, weil Systeme nicht bezahlt werden mussten, die nichts mehr zu tun hatten.

„Bring Your Own License“ versus „Pay as You Go“

Sieht man sich im Bereich Cloud-Migration um, so finden beide Bezahlmodelle ihren Platz: „Bring Your own License“ ist dabei der klassische Weg der Vorauszahlung. Der Vorteil dieser Lösung ist, dass sie die Kosten planbar macht, und sie obendrein mit dem Lieferanten verhandelt werden können. Die klassische Migration, Maschine für Maschine, kann so ohne weitere Lizenzabfrage durchgeführt werden. Der Nachteil dieser Lizenzierung ist, dass sie jegliche Flexibilität unmöglich macht. Werden mehr Lizenzen benötigt, muss das Unternehmen einen Beschaffungsprozess starten – Bedarfsabschätzung eingeschlossen. Benötigt es weniger, hat es halt „draufgezahlt“. Bei der nächsten Verhandlung geht das Spiel dann von vorn los.

„Pay as You Go“ wiederum versucht diese Nachteile auszugleichen. Hier wird nach Verbrauch abgerechnet. Moderne Verfahren ermöglichen eine Minuten genaue Taktung. Werden neue Maschinen gestartet, werden diese automatisch erfasst und mit den vorgegebenen Security-Einstellungen versorgt. Genauso werden sie wieder ausgecheckt, wenn die Systeme nicht mehr benötigt werden. Security wird damit automatisch zu einem Punkt der Betriebskosten. Die Ausgaben steigen oder fallen je nach Erfolg des Unternehmens.

Gemeinsam verwalten

Beide Bezahlmethoden haben ihre Vor- und Nachteile. Wie bereits erwähnt, entscheidet der Anwender mit der Auswahl letztlich darüber, welche Flexibilität seine Sicherheitsabteilung haben wird. Unabhängig davon, für welche Methode ein Unternehmen sich entscheidet, letztendlich geht es darum, dass Sicherheit das tut, wofür sie da ist, nämlich das Geschäft des Unternehmens zu schützen.

Entscheidend dabei ist, dass alles, was mit IT Security zu tun hat, schnell und einfach visualisiert werden kann. Wie auch immer das Datacenter aufgebaut ist, Hybrid oder Multicloud, immer werden Systeme zwischen den Formfaktoren hin und her migriert, flexibel errichtet oder auch ausgeschaltet. Um den Management-Aufwand zu minimieren und auch die Übersicht über Compliance- oder IT-Security-Aufgaben zu erhalten, sollten Organisationen vor allem nach einer Lösung Ausschau halten, die alles gemeinsam verwaltet. Sonst wird IT-Security schnell zu einem logistischen Alptraum.

Fazit

Flexibel zu sein, zahlt sich für Unternehmen aus. Den Erfolg von logistischen Bedürfnissen abzukoppeln heisst, das Business kann nach Bedarf wachsen — „The Sky is the Limit“. Aus Sicht der IT-Security kommt noch hinzu, dass aus „Bremsern“ Partner werden. Damit wird auch Security nicht mehr als Belastung empfunden, sondern als notwendige Massnahme geschätzt.

Für weitere wertvolle Informationen zur Migration in der Cloud melden Sie sich für das Webinar an.