Dabei können beispielsweise eine Kostenreduktion für Anschaffung und Wartung von Infrastruktur, eine höhere Effizienz durch Flexibilität und Skalierbarkeit bei der Nutzung von IT-Ressourcen oder auch eine Verbesserung der Informationssicherheit im Fokus stehen. Neben diesen Aspekten kann auch Innovation der zentrale Treiber sein – hier können Cloud-Technologien entscheidend zur Umsetzung neuer Geschäftsmodelle oder zur Verbesserung bestehender Geschäftsprozesse beitragen.
Abhängig von den wesentlichen Zielen für eine Transformation in die Cloud kann sich auch der Umfang der Daten, welche in die Cloud verlagert werden sollen, erheblich unterscheiden. Auch Anwendungsfälle mit sensiblen Daten, z. B. aus den Bereichen Kundenmanagement oder Forschung und Entwicklung, können in die Cloud verlagert bzw. dort realisiert werden. Somit kann auch der Aspekt der Informationssicherheit einen unterschiedlichen Stellenwert und Fokus in der Cloud Strategie einnehmen.
Eine große Herausforderung von Unternehmen besteht darin, ihre Mitarbeitenden angemessen in die digitale Transformation miteinzubeziehen. Hier gilt es, Vorurteilen entgegenzutreten, Unsicherheiten abzubauen und eine gemeinsame Vision für die zukünftige Arbeitswelt zu entwickeln. Auch hinsichtlich der Einhaltung von Datenschutz- und Sicherheitsanforderungen existieren weit verbreitete Sorgen und Mythen, die mittels fundierter Analysen und Erfolgsbeispiele entkräftet werden können.
Effizienzvorteile der Cloud können zu einer Produktivitätssteigerung führen. Durch reduzierte Aufwände für die Beschaffung und Wartung von Infrastruktur-Komponenten kann beispielsweise eine Re-Fokussierung auf die wichtigeren Kernprozesse der Organisation erfolgen – so entsteht mehr Raum für Innovation und Geschäftsentwicklung. Cloud ist damit vielmehr ein Wegbereiter als ein Stellhebel zum Abbau von Arbeitsplätzen.
Wichtige Faktoren bei der Konkretisierung einer Cloud-Strategie sind sowohl die Festlegung der Cloud-Service-Ansätze als auch der Service-Modelle. Hieraus ergeben sich für Unternehmen unterschiedliche Verantwortungsbereiche hinsichtlich der Umsetzung von Sicherheitsanforderungen.
Grundsätzlich lässt sich festhalten: Unternehmen sind verantwortlich für Security IN the Cloud, Cloud Service Provider sind verantwortlich für Security OF the Cloud. In einigen Bereichen ergibt sich darüber hinaus eine geteilte Verantwortung.
Beim IaaS Modell (Infrastructure-as-a-Service) stellt der Cloud Service Provider lediglich Infrastruktur bereit. Somit tragen Unternehmen die Verantwortung für die Verwaltung und Absicherung der Daten, Ressourcen, Applikationen und Betriebssysteme bis zur Plattform-Ebene. Der Cloud Service Provider ist dagegen für die physische Sicherheit der Infrastruktur sowie für die Absicherung seiner Netzkomponenten verantwortlich. Beispiele hierfür sind der Schutz der Rechenzentren vor unberechtigtem Zugang sowie die Absicherung der Kommunikation zwischen Regionen und Verfügbarkeitszonen.
Das PaaS Modell (Platform-as-a-Service) ergänzt das IaaS Modell um den Aspekt, dass der Cloud Service Provider den Unternehmen zusätzlich Plattform-Ressourcen und Betriebssysteme bereitstellt. Unternehmen verantworten bei PaaS-Lösungen weiterhin ihre Applikationen und sind somit für deren Sicherheit verantwortlich.
Beim SaaS Modell (Software-as-a-Service) erweitert sich die Verantwortung des Cloud Service Providers auf die Verwaltung bereitgestellter Applikationen und Software. Auch in diesem Bereitstellungsmodell bleiben Unternehmen für den Schutz ihrer Daten nach geltenden rechtlichen und regulatorischen Anforderungen verantwortlich.
Eine Auslagerung der Verantwortung für Security Governance, Risk und Compliance an einen Cloud Service Provider ist unter keinen Umständen möglich.
Legacy-IT ist oftmals heterogen und über einen langen Zeitraum gewachsen – Nischen-Technologien und veraltete Anwendungen können neben funktionalen Einschränkungen auch hohe Aufwände für Betrieb und Wartung nach sich ziehen. Für Unternehmen stellt sich daher die Frage, ob Cloud Services in die bestehenden Technologien integriert und somit hybride Cloud-Umgebungen geschaffen werden, die Cloud als parallele IT-Umgebung und somit als Ergänzung zu Legacy-Systemen etabliert, oder ob die Legacy-Systeme vollständig in die Cloud transferiert und primär auf Cloud-nativen Services betrieben werden können. Die aufgeführten drei Optionen haben mitunter erheblichen Einfluss auf erzielbare Kosten- und Effizienzvorteile. Auch hinsichtlich der Sicherheits- und Datenschutzaspekte können sich wesentliche Unterschiede und Einschränkungen ergeben, z. B.: