Bundesamt für Sicherheit in der Informationstechnik

G 2.198 Mangelnde Planung der Migration zu Cloud Services

In Abhängigkeit des Leistungsumfangs und der Kritikalität der genutzten Cloud Services kann deren Einsatz erhebliche finanzielle und organisatorische Risiken für die Institution mit sich bringen. Insbesondere die Phase der Migration hin zur Nutzung von Cloud Services ist anfällig für Fehler, die sich möglicherweise auf die Informationssicherheit innerhalb der Institution auswirken.

Unter Migration ist in diesem Zusammenhang sowohl der Umstieg von der Nutzung klassischer IT auf die Nutzung von Cloud Services zu verstehen als auch der Wechsel von einem Cloud-Diensteanbieter zu einem anderen. In der Praxis werden häufig die Begriffe Migration und Transition oder auch Transformation synonym verwendet.

Mängel in der Planung der Migration zu Cloud Services beruhen oftmals darauf, dass die diesbezüglichen Besonderheiten gegenüber Migrationen, wie sie beispielsweise bei klassischer IT oder im Zusammenhang mit Outsourcing-Vorhaben anzutreffen sind, nicht oder nur unzureichend berücksichtigt werden.

Eine Migration im Cloud-Umfeld erfordert in der Regel kein hartes Umschalten zwischen klassischer IT und der Nutzung von Cloud Services. In der Praxis ist häufig zu beobachten, dass der alte Service und der neue, über den Cloud-Diensteanbieter bezogene Service über längere Zeit parallel eingesetzt werden. Der Wegfall beziehungsweise die Abschaltung des alten Services und die Nutzung des Cloud Services überschneiden sich an dieser Stelle. Für eine Institution können sich aus einem solchen Parallelbetrieb zusätzliche Herausforderungen und Gefährdungen, zum Beispiel hinsichtlich der Datenkonsistenz, ergeben.

Im Cloud-Umfeld sind Migrationen von einem Diensteanbieter zum anderen in der Regel kurzfristiger und flexibler möglich als beispielsweise im Rahmen von Outsourcing-Vorhaben. Die vertraglichen Vereinbarungen sehen häufig keine langfristigen Bindungen vor. Die technische Umsetzung der Migration von einem Diensteanbieter zu einem anderen kann sich jedoch als problematisch erweisen und ist abhängig vom gewählten Servicemodell. So ist beispielsweise die Migration eines Infrastructure-as-a-Service-Dienstes in der Regel unproblematisch umzusetzen, während bei einem Cloud-Dienst, der als Software as a Service erbracht wird, häufig Schwierigkeiten im Zusammenhang mit dem erforderlichen Datenformat anzutreffen sind.

Verzichtet eine Institution im Rahmen der Planungsphase auf die Betrachtung einer stufenweisen Migration, können in der Praxis zusätzliche Probleme auftreten. Der Verzicht auf das Ausdehnen der Migration über mehrere Stufen, die Auswahl von Pilot-Benutzern oder den Parallelbetrieb von bestehender Infrastruktur und Cloud Services, birgt die Gefahr von Datenverlusten oder kompletten Serviceausfällen, sofern die Migration nicht erwartungsgemäß verläuft.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK