Engineering-Cloud: So profitiert die Produktentwicklung von der neuen Lösung

Viele Unternehmen haben inzwischen den Nachweis erbracht, dass sich durch die Nutzung von
Cloud-Ressourcen (z.B. der Engineering-Cloud) IT-Kosten senken lassen. Wie das gelingen kann, verrät uns Jenny Dawon, Chief Administrative Officer und Informationssicherheits­beauftragte beim Cloud-Anbieter CPU 24/7.

Mehr als nur ein Trend: Engineering-Cloud

Frau Dawon, was sind die wichtigsten Trends im ­Bereich Cloud?

Jenny Dawon: Der Kostendruck auf Unternehmen steigt weiter, nicht zuletzt aufgrund der immer noch aktuellen Pandemie. Viele Unternehmen haben inzwischen den Nachweis erbracht, dass sich durch die Nutzung von Cloud-Ressourcen IT-Kosten senken lassen. Insbesondere rechenintensive, aber nicht dauerhaft laufende Anwendungen, zum Beispiel teure Build-Prozesse, IIoT-Anwendungen mit großen Datenmengen oder KI-getriebene Automatisierungsprojekte, profitieren von skalierbaren und im Pay-per-Use-Modell abrechnungsfähige Cloud-Ressourcen. Darüber hinaus ist ein Trend in Richtung Open-Source-Software erkennbar – weg von teuren, proprietären und lizenzpflichtigen Softwareprodukten.

Die CPU 24/7 GmbH bietet eine Engineering-Cloud an. Was ist das Besondere an dieser Cloud-Umgebung?

Dawon: Wir stellen Engineering-Kunden eine auf sie zugeschnittene performante High-Security-Cloud-Infrastruktur bereit. Dazu zählen unter anderem die Bereitstellung dedizierter physischer und nicht geteilter Hardware, Datenspeicherung im deutschen Hochsicherheitsrechenzentrum, eine sichere Anbindung der Unternehmensstandorte sowie ein fortlaufendes Schwachstellen- und Patch-Management. CPU 24/7 hat langjährige Erfahrung im Bereich High Performance Computing (HPC), sodass wir auch für sehr komplexe numerische Berechnungen das passende Set an Hard- und Software als fertige Arbeitsumgebung bereitstellen können.

Welche Bereiche und Anwendungen des Produktentwicklungsprozesses lassen sich über die Engineering-Cloud abdecken?

Dawon: Wir decken mit unseren Services vor allem jene Prozessschritte ab, die hohe Anforderungen an die Leistungs­fähigkeit der Cloud-Umgebung stellen, beispielsweise das Produktdesign oder die virtuelle Test- und Verifikationsphase. Dar­über hinaus bieten wir Services, die den kompletten Produktlebenszyklus und die Kollaboration unterstützen. Dazu zählen Datenaustauschplattformen, Deployment-Pipelines oder virtuelle Kommunikationskanäle. Speziell unseren Kubernetes-as-a-Service nutzen Unternehmen, um eigene digitale Services extern zu vermarkten.

Containerlösungen und IT-Sicherheit

Welche Vorteile bietet die Container-Plattform Kubernetes und was ist dabei zu beachten?

Dawon: Für den Betrieb moderner IT-Services bieten Containerlösungen viele Vorteile: Sie lassen sich leichter ausliefern und warten und bilden die Grundvoraussetzung, den Bedarf – meist entlang der Nutzerzahl oder dem Berechnungsaufwand – zu skalieren. Die Analysten von Gartner bescheinigen diesem Markt ein großes Zukunftspotenzial, mit einem jährlichen Wachstum von 34 Prozent. Allerdings sind noch recht viele Technologien am Markt.

Laut der Gartner-Studie soll sich der Markt aber in den nächsten Jahren konsolidieren. Von derzeit 40 Lösungen bleiben dann noch zirka 15 übrig. Wenn man als IT-Entscheider zukunftsfähig agieren möchte, sollte man auf eine Plattform setzen, die sehr wahrscheinlich unter diesen 15 ist – und das Potenzial dafür bietet Kubernetes. Allerdings muss man sich auch sicher sein, dass man diese Technologie wirklich benötigt. Wenn Sie einen einfachen Workflow langfristig zur Verfügung stellen wollen und mit Down­times leben können, dann reicht eine einfache Containerlösung wie Docker. Wenn Sie aber die gleichen Services an verschiedene Kunden ausliefern wollen, dann lohnt sich Kubernetes als Plattform.

Ein besonders wichtiges Thema ist IT-Security. Was müssen Unternehmen bei der IT-Sicherheit beachten?

Dawon: Bei IT-Sicherheit denkt man schnell an die rein technischen Schutzmaßnahmen wie Firewalls, Virenscanner und Verschlüsselung. Das greift allerdings zu kurz. Vereinfacht lässt sich IT-Sicherheit anhand der Grundwerte beziehungsweise Schutzziele von Informationen beschreiben: Vertraulichkeit, Verfügbarkeit und Integrität. Es geht darum, wie verfügbar – also erreichbar – mein Service sein soll. Ist ein Ausfall von einer Stunde oder gar einer Woche tolerabel? Vertraulichkeit bedeutet: Wer kann die Informationen oder Daten sehen und wie lässt sich dies überprüfen. Bei der Integrität geht es darum, dass die Daten nicht unerkannt verändert werden dürfen, sondern dauerhaft korrekt und vollständig sind. Wenn wir also über IT-Sicherheit sprechen, hilft es die Schutzziele genau zu kennen und für den Anwendungsfall zu definieren, um dann konkrete Maßnahmen abzuleiten.

Wie funktioniert IT-Security in der Praxis?

Dawon: Idealerweise wird ein Manage­mentsystem implementiert, bei dem die zentralen Informationssicherheitsprozesse ineinandergreifen. Ein solches ist ein Informationssicherheitsmanagementsystem, kurz ISMS. Zu den wesentlichen Prozessen zählen unter anderem das Business-Continuity-Management, das Change- und Patch-Management sowie das Security-­Incident-Management. Wichtig hierbei ist, dass das ISMS in eine umfassende Sicherheitsorganisation eingegliedert und nachhaltig gelebt wird. Regelmäßige Tests sowie interne und externe Überprüfungen tragen zu einer fortlaufenden Verbesserung des Informationssicherheitsniveaus bei. 

Sicherheit für die Engineering-Cloud

Welche Trends gibt es bei ­ der ­IT-Sicherheit im Bereich Produkt­entwicklung?

Dawon: IT-Sicherheit spielt, nicht nur bei der Engineering-Cloud, stärker als in der Vergangenheit auch in frühen Produktentwicklungsphasen eine größere Rolle. Wichtige Design-Entscheidungen müssen dahingehend bewertet werden, ob sie auch aktuelle und zukünftige Compliance-Vorgaben erfüllen und die verarbeiteten Daten vor dem Zugriff Dritter geschützt sind. Im Zuge der Digitalisierung finden mehr und mehr Produktentwicklungsschritte virtuell statt, sodass IT-Sicherheit eigentlich in allen Phasen der Produktentwicklung relevant wird. Gerade das Thema Compliance-Monitoring ist ein wichtiges Thema, da Unternehmen bei immer komplexer werdenden IT-Landschaften die Einhaltung interner als auch externer Richtlinien und Standards überprüfen müssen. Durch den zunehmenden Einsatz von Cloud-Anwendungen und Software-as-a-Service-Lösungen ist vor allem eine zentrale IT- und Cloud-Governance für Unter­nehmen besonders wichtig.

Wie kann ein Unternehmen herausfinden, welche Anforderungen es an einen Dienstleister überhaupt hat?

Dawon: Zunächst einmal ist es wichtig, die eigenen Anforderungen zu kennen, denn nur so kann ein Dienstleister die Auslagerung effektiv planen und umsetzen. Idealerweise wurden die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität des Service bereits formuliert. Darüber hin­aus ist zu prüfen, ob weitere interne oder externe Anforderungen bestehen. Hierbei kann es sich zum Beispiel um Anforderungen aus Kundenverträgen handeln.

In der Automotive-Industrie werden Dienstleister in der Regel auf TISAX-Freigaben hin geprüft. Wichtig ist hierbei auch Datenschutzaspekte zu betrachten: Wo werden meine Daten verarbeitet? Oder: Können Behörden unter bestimmten Bedingungen die Daten einsehen? Zudem ist es bei der Auswahl des Dienstleisters hilfreich, anerkannte Nachweise anzufordern, zum Beispiel Zertifikate externer Prüfungen. Und man sollte sich ein solches Zertifikat genau ansehen. Nicht immer ist der Service, den man auslagern möchte, im Geltungsbereich des Zertifikats auch enthalten.

Frau Dawon, vielen Dank für das Gespräch!

Die Fragen stelle Rainer Trummer, Chefredakteur Digital Engineering Magazin.

Lesen Sie auch: Low-Code-Plattform: Kein Programmierwissen mehr nötig?