© 2015 ISACA Germany Chapter e.V. 1

Cloud Governance in deutschen Unternehmen – eine StandortbestimmungISACA Fokus Event „Meet & Explore ‐ IT‐Sicherheit & Cloud“

Aleksei Resetko, CISA, CISSPPricewaterhouseCoopers AG WPG

© 2015 ISACA Germany Chapter e.V. 2

Inhalte der Studie

Cloud Governance in Deutschland Eine Standortbestimmung 

• Bedeutung von Cloud Computing für Unternehmen

• Nutzung von Cloud Computing in Unternehmen

• Haltung der Fachabteilungen gegenüber Cloud Computing

• Beurteilung der Güte von Cloud‐Angeboten

• Herausforderungen für die Steuerung der IT

© 2015 ISACA Germany Chapter e.V. 3

Herausgeber

• ISACA ist der bedeutendste Verband von IT‐Revisoren, IT‐Sicherheits‐managern und IT‐Governance‐Beauftragten

• In Deutschland ca. 2.400 Mitglieder

• Weltweit ca. 115.000 Mitglieder in über 180 Ländern

• PwC ist die führende Wirtschaftsprüfungs‐ und Beratungsgesellschaft in Deutschland und Mitglied im internationalen Netzwerk

• Deutschlandweit rund 500 Partner und 9.400 Mitarbeiter an 29 Standorten 

• Rund 195.000 Experten in 158 Ländern

© 2015 ISACA Germany Chapter e.V. 4

Befragte Experten Kompetenz & Erfahrung bei IT Governance

• Antworten von 306 Mitgliedern des ISACA Germany Chapters.

• Führungs‐ und Fachkräfte aus den Bereichen Finanzen, Revision, Audit, IT und Risikomanagement.

• Deutscher Mittelstand als auch global agierende Konzerne. 

61%

39%

Angestellte Führungskräfte/Entscheider in einem Unternehmen

Externe Beratungs-, Begleit- oderKoordinierungsfunktion in einem odermehreren Unternehmen

© 2015 ISACA Germany Chapter e.V. 5

Repräsentierte UnternehmenUnterschiedlichste Größen und Branchen

• Große Unternehmen mit mehr als 5.000 Mitarbeiter und Umsätzen von über 1 Mrd. Euro sind relativ stark vertreten.

• Die Mehrheit der repräsentierten Unternehmen ist weltweit oder europaweit aktiv – lediglich 27% sind ausschließlich in Deutschland tätig.

• Kleine Unternehmen werden eher durch Berater repräsentiert, große durch angestellte Führungs‐ und Fachkräfte. 

20%

14%

42%

31%

37%

53%

Mitarbeiter inDeutschland

Mitarbeiterweltweit

< 500 500 bis 4999 > 5000 keine Angabe

22%

16%

16%

10%

36%

50%

26%

34%

Umsatz inDeutschland

Umsatzweltweit

< 500 Mio. € 0,5 - 1 Mrd. €> 1 Mrd. € nicht anwendbar/k.A.

© 2015 ISACA Germany Chapter e.V. 6

Nutzung von Cloud Computing

• Ca. 70% der Unternehmen nutzen Cloud‐Services – größere intensiver als kleinere.

• Der Großteil der Nichtnutzer plant auch keinen Einsatz von Cloud Computing

• Mehr als die Hälfte der repräsentierten Unternehmen verfügen über eine definierte Cloud‐Strategie.

• Unternehmen der Branchen Technologie und Medien sowie Automotive verfolgen besonders häufig eine Cloud‐Strategie.

Nichtnutzer31%

69% Nutzer

Cloud Computing ist in deutschen Unternehmen 

angekommen

© 2015 ISACA Germany Chapter e.V. 7

38%

42%

53%

54%

Interne Revision

Risikomanagement

IT-Sicherheit, Compliance

Datenschutz-Beauftragter

Befürworter von Cloud Computing und Skeptiker 

Eher Pro Eher Contra

Zustimmung und Ablehnung liegen oft dicht beieinanderZustimmung und Ablehnung liegen oft dicht beieinander

33%

35%

42%

46%

Produktions- undFachbereiche

Geschäftsleitung

IT-Betrieb

Marketing/ Vertrieb

© 2015 ISACA Germany Chapter e.V. 8

Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit 

Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit 

Wichtige Erwartungen – häufig genannt

49%

54%

55%

56%

57%

67%

Verbesserte Verfügbarkeit

Pay-per-Use-Prinzip

Flexibilität und Skalierbarkeit

Bessere Time to Market

keine hohen Vorabinvestitionen

Kosteneinsparungen

© 2015 ISACA Germany Chapter e.V. 9

23 %                         __der Unternehmen 

erwarten Verbesserungen bei der Informationssicherheit

23 %                         __der Unternehmen 

erwarten Verbesserungen bei der Informationssicherheit

29%

38%

44%

48%

48%

Erhöhte Informationssicherheit

Größere Benutzerfreundlichkeit

Professionalisierung der eigenen IT

Mehr Kostentransparenz

Unabhängigkeit von eigenen IT-Ressourcen

Unterstützung neuer & innovativerGeschäftsmodelle

Wichtige Erwartungen – weniger häufig

© 2015 ISACA Germany Chapter e.V. 10

18%

32%

34%

54%

77%

84%

Noch keine Beschäftigung mit dem Thema

Zu hoher Integrationsaufwand

Markt zu unübersichtlich

Keine Vorteile für das Unternehmen

Compliance-Verstöße

Sicherheit nicht gewährleistet

Wichtigster Ausschlussgrund sind Zweifel an der Informationssicherheit.

Bedenken

© 2015 ISACA Germany Chapter e.V. 11

Wichtigste Kriterien für die Auswahl eines Cloud‐Services und ‐Anbieters

73%

78%

85%

89%

91%

Zertifizierungen durch Dritte

Image, Vertrauenswürdigkeit

Standort Datenspeicherung/verarbeitung

Compliance-Anforderungen

Daten- bzw. Informationssicherheit

Datenschutz, Informations‐sicherheit und Compliance sind die 

wichtigsten Auswahlkriterien.

Datenschutz, Informations‐sicherheit und Compliance sind die 

wichtigsten Auswahlkriterien.

Hinzu kommt der Standort der Server und 

der Rechtsrahmen.

Hinzu kommt der Standort der Server und 

der Rechtsrahmen.

© 2015 ISACA Germany Chapter e.V. 12

28%

37%

42%

50%

58%

61%

61%

64%

72%

72%

Unternehmerische soziale Verantwortung

Bewertung durch Scoring-/Ratingfirmen

Empfehlung durch Dritte, Erfahrungsberichte

Größe des Anbieters

Finanzstärke des Anbieters

Flexibilität in Verträgen, Exit-Möglichkeiten

Flexible & verbrauchsgerechte Preismodelle

Firmensitz des Anbieters

Skalierbarkeit der Lösung

Möglichkeiten von eigenen Audits

Weniger wichtige Kriterien …

© 2015 ISACA Germany Chapter e.V. 13

Relevante Standards und Zertifikate bei der Auswahl eines Cloud‐Anbieters

9%

11%

8%

21%

27%

30%

31%

36%

47%

54%

82%

weiß nicht, keine Angabe

andere Standards und Zertifikate

Open Data Center Alliance (ODCA)

AICPA, SOC Reports

BITKOM-Leitfäden

IAASB

Payment Card Industry (PCI) Standard

Cloud Security Alliance (CSA)

COBIT

ITIL bzw. ISO/IEC 20000

ISO/IEC 2700x

Die Bedeutung Cloud‐spezifischer Richtlinien 

und Zertifikate nimmt zu.

Auch bei Cloud Computing setzen 

Unternehmen auf die ISO/IEC 27000‐Reihe.

© 2015 ISACA Germany Chapter e.V. 14

Die Erfahrungen mit den genutzen 

Steuerungsmodellen sind auch für Cloud Computing 

meist positiv. .

Eingesetzte Steuerungsmodelle

18%

14%

46%

66%

74%

21%

andere standardisierteMethode

CMMI

Cobit

ISO/IEC 2700x

ITIL, ISO 20000

individuelle, nichtstandardisierte Methode

ITIL/ISO 20000 und die ISO 27000‐Reihe 

haben sich in Unternehmen durchgesetzt. 

© 2015 ISACA Germany Chapter e.V. 15

Funktioniert die Sicherheit in der Cloud?

Funktioniert Cloud‐Sicherheit besser oder schlechter als „on premise“?

14%

14%

36%

32%

32%

33%

43%

45%

23%

11%

9%

8%

Erkennung von Sicherheitsvorfällen

Schutz gegen Angriffe von Außen

Umsetzung von Verfügbarkeit

„besser“ „gleich“ „schlechter“ „weiss nicht“

Der Schutz vor  Angriffen  und  das  Erkennen  von Vorfällen  bleibt eine 

Herausforderung  für Service Provider.

Der Schutz vor  Angriffen  und  das  Erkennen  von Vorfällen  bleibt eine 

Herausforderung  für Service Provider.

© 2015 ISACA Germany Chapter e.V. 16

Erfahrungen mit Cloud Service‐Modellen

• Software‐as‐a‐Service (SaaS) wird bevorzugt genutzt. Überwiegend positive Erfahrungen mit allen Serviceformen.

• Standardisierte und individuell konfigurierte Serviceverträge werden zu annähernd gleichen Teilen genutzt. 

• Die meisten Erfahrungen haben die Befragten mit Private Clouds gemacht. Diese fallen vorwiegend positiv aus.

41%

19%

44%

53%

66%

14%

14%

20%

15%

20%

27%

37%

22%

22%

7%

18%

30%

14%

10%

7%

Consulting

BpaaS

PaaS

IaaS

SaaS

Ja, bereits genutzt Ja, geplant

Nein keine Angabe

Unternehmen bevorzugen SaaS.

© 2015 ISACA Germany Chapter e.V. 17

Erfahrungen mit Cloud Deployment‐Modellen

• Überwiegend positive Erfahrungen mit Private Clouds.

• Mit Public Clouds hat fast jeder dritte Teilnehmer negative Erfahrungen gemacht.

6%

6%

6%

16%

62%

63%

57%

71%

23%

26%

29%

9%

3%

1%

9%

5%

5%

3%

Community Clouds

Hybrid Clouds

Public Clouds

Private Clouds

sehr positiv eher positiv eher negativ

sehr negativ keine Angabe

Private Cloud Modelle führen.

© 2015 ISACA Germany Chapter e.V. 18

… das Schlüsselmaterial unter eigener Kontrolle verbleibt  (88%)

… der Server in Deutschland bzw. der EU steht  (79%)

…. die Compliance belegt ist  (64%) 

… das Schlüsselmaterial unter eigener Kontrolle verbleibt  (88%)

… der Server in Deutschland bzw. der EU steht  (79%)

…. die Compliance belegt ist  (64%) 

Ja, wenn …Ja, wenn …

Herausforderungen bei Public Clouds

Speicherung von Unternehmensdaten in einer Public Cloud:

Generell nein   42%Generell nein   42%

58 %

42 %

© 2015 ISACA Germany Chapter e.V. 19

Herausforderungen

50%

67%

76%

77%

90%

Leitlinien für Entscheider

Standards und Leitfäden mitkonkreten Empfehlungen für

bestimmte…

Management von Risiken beider Einführung von Cloud-

Diensten

Unterstützung bei derUmsetzung rechtlicher

Vorgaben

Prüfbarkeit von Cloud-Dienstleistungen

Die Befragten wünschen sich mehr Orientierung beim Risiko‐ und Compliance‐Management sowie der Prüfbarkeit von Cloud‐Services und Cloud‐Anbietern. 

© 2015 ISACA Germany Chapter e.V. 20

38%

42%

54%

70%

71%

73%

75%

44%

38%

29%

25%

20%

20%

20%

14%

16%

13%

2%

7%

2%

3%

4%

4%

4%

3%

2%

5%

2%

Planung/Evaluation

Integration

Kostenkontrolle

Risikomanagement

Kontrollen & Auditierung

Juristische Prüfungen

Sicherheitsmanagement

Prognosen

Der  Aufwand für  … „nimmt zu“ „bleibt gleich“ „nimmt ab“ „weiss nicht“

© 2015 ISACA Germany Chapter e.V. 21

Fazit

• Die Cloud ist in Deutschland angekommenInformationssicherheit & Compliance sind und bleiben Schlüsselthemen. Verschlüsselung, Compliance und Rechtssicherheit sind wichtige Enabler für den weiteren Ausbau.

• „as‐a‐Service“ Lösungen müssen in vorhandene Steuerungsmodelle integrierbar seinUnternehmen erwarten vom Anbieter Sicherheits‐ und Governance‐Ansätze,  die zu denen im eigenen Unternehmen passen. ISO 27001 und ITIL/ISO 20000 sind die bevorzugten Steuerungsmodelle. 

• IT‐Governance wird wichtiger und aufwändigerSicherheits‐ und Risikomanagement, juristische Prüfungen und Audits können nicht komplett an Cloud Anbieter ausgelagert werden.

• Unternehmen haben weiterhin Orientierungs‐ und Beratungsbedarf Vor allem bzgl. Risiko‐ und Compliance‐Management und der Prüfbarkeit von Cloud‐Services und Cloud‐Anbietern wird Unterstützung erwartet. 

© 2015 ISACA Germany Chapter e.V. 22

Fragen und Antworten

Danke für Ihre Aufmerksamkeit!

Die vollständige Studie ist über folgenden Webseiten erhältlich:ISACA Germany Chapter e.V. :  www.isaca.de/index.php/fg‐start/cloudPricewaterhouseCoopers AG :  www.pwc.de/cloud

Dr. Karl‐Friedrich ThierT‐Systems InternationalT: 06151‐5832753E: karl‐friedrich.thier@t‐systems.com

Aleksei ResetkoPricewaterhouseCoopersT: 069‐9585‐5059E: aleksei.resetko@de.pwc.com

© 2015 ISACA Germany Chapter e.V. 23

Weitere ISACA Dokumente zum Thema Cloud Computing

• Security as a Service: Business Benefits with Security and Assurance Perspectives (Whitepaper,2013)

• Security Considerations for Cloud Computing (2012)

• IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud (2011)

Download der Dokumente: www.isaca.org/Knowledge‐Center/