Nur ein Drittel der kleinen und mittelständischen Unternehmen (KMU) in Deutschland nutzt derzeit Dienstleistungen aus der Cloud, wie TecChannel kürzlich mit seiner Studie "Cloud Computing im Mittelstand" gezeigt hat. Der Grund: Angst der Unternehmer vor Sicherheitslücken und Datenverlust. Eine Angst, die unbegründet ist, wenn die Geschäftsführer und IT-Leiter bei der Auslagerung ihrer Daten und der Nutzung der Cloud einige Grundregeln beachten.
Die KMU versprechen sich von der Cloud vor allem die schnellere Bereitstellung von IT-Services und deren verbesserte Skalierbarkeit, den ortsunabhängigen Zugriff auf IT-Ressourcen und automatische Updates. Auch dies hat die TecChannel-Studie gezeigt.
Dennoch: So klar sie die Vorteile der Cloud sehen, so skeptisch sind die betreffenden Firmen bei der Frage, mit welchem Risiko diese Benefits verbunden sind. Die Sicherheitsbedenken aufgrund medialer Großereignisse wie der NSA-Affäre sind in Deutschland viel größer als in anderen Industrienationen - und bescheren dem deutschen Mittelstand damit international einen Wettbewerbsnachteil. Das ist paradox, wenn man bedenkt, dass der Datenschutz in Deutschland höchsten Ansprüchen genügt. Planen KMU die Verlagerung von Daten oder Anwendungen in die Cloud, ist aber auch die genaue Prüfung des Dienstleisters - etwa hinsichtlich bestehender Zertifizierungen - wichtige Grundlage für ein entsprechendes Sicherheitsniveau.
Die Cloud gibt es nicht als Standardlösung
Eine gute Lösung ist auf jeden Kunden individuell zugeschnitten. Public, Private oder Hybrid Cloud? In Verbindung mit Managed-Services oder gar komplettes Outsourcing? Der Provider sollte den Kunden beraten können, wo welche Daten am besten aufgehoben sind. Das ist abhängig von der Größe des Unternehmens, der Branche, einer Bewertung und Klassifizierung der Unternehmensdaten und dem Umfang der Services, die benötigt werden. Standardisierte Elemente sind dabei günstig und erprobt, die Kunden sollten aber immer auch Wert auf Flexibilität legen. Der technische Support und die Kapazitäten müssen an den persönlichen Anforderungen gemessen - und abgerechnet - werden, nicht am durchschnittlichen Bedarf. Bei der Nutzung von externen Providern gibt es zudem verschiedene Sicherheitsaspekte:
Der Provider schützt seine Infrastruktur und Software vor Angriffen von außen und sollte eine sichere Verbindung zwischen Kunde und Rechenzentrum bereitstellen. Von den hohen Sicherheitsstandards eines externen Providers kann die IT-Abteilung nur profitieren. Dank neuester Sicherheitssoftware und regelmäßiger Wartung ist die umfassende Datensicherheit meist weitaus besser gewährleistet als im eigenen Rechenzentrum. Welche Personen auf welche Daten zugreifen dürfen, muss im Unternehmen geregelt sein. Auch hier kann und sollte ein professioneller Anbieter helfen, klare Regeln aufzustellen.
Security-Services: auf den individuellen Bedarf zugeschnitten
Grundlegend für eine sichere IT ist eine qualifizierte Analyse, welche speziellen Security-Mechanismen für bestimmte Daten und Anwendungen bereitgestellt werden müssen. Dabei spielt eine Rolle, welche Daten wohin migriert werden sollen und ob sie nur für Interna oder auch für den Kundenkontakt genutzt werden sollen. Sollten Kundendaten bei einem externen Provider lagern, können KMU auf einer strikten Trennung bestehen: Ein guter Provider installiert pro Kunde eine eigene Umgebung - eine versehentliche Verwechslung oder Vermengung der Daten ist damit ausgeschlossen.
Die Unternehmen sollten darauf achten, dass besondere Sicherheitsvorkehrungen eingehalten werden, etwa wenn sie in der Cloud sensible Daten verwalten wollen. So ist zum Beispiel beim Dateiaustausch mittels Triple-Crypt-Verschlüsselungstechnologie die Garantie gegeben, dass der Schutz höchsten Sicherheitsstandards genügt. Eine weitere gute Option zur Absicherung sind Back-up-Systeme, die Kunden selbst steuern können - ohne dass Provider Zugriff darauf haben.
"Schatten-IT" schadet der Sicherheit - und wird dank der Cloud überflüssig
Sicherheitslücken, die wegen der Unachtsamkeit der eigenen Mitarbeiter im System entstehen, stellen die IT-Abteilung von KMU vielfach vor größere Herausforderungen als gezielte Angriffe von außen. Das größte Problem ist die "Schatten-IT": Viele Mitarbeiter meiden den Weg über die hausinterne IT, weil sie schnelle, unbürokratische Geschäftslösungen wie etwa Dienstleistungen zum Datentransfer oder zur Aktualisierung von Software benötigen.
Die finden sie vielfach auf Online-Portalen mit undurchsichtigen Sicherheitsvorkehrungen. Über einen Anbieter mit einer transparenten Datenschutzpolitik könnte Software-as-a-Service ohne hohe Anfangsinvestition bezogen werden. Dort sind die Anwendungen ständig auf dem aktuellsten Stand und durch den Provider zusätzlich geschützt. Das hilft der IT-Abteilung, Compliance und Sicherheitsvorschriften des Unternehmens einzuhalten. Unternehmen sollten ihre Mitarbeiter auch darüber hinaus sensibilisieren: Wenn diese mit privaten Geräten auf Firmendaten zugreifen, birgt das bei mangelndem Schutz der Devices große Sicherheitsrisiken. Ein sicheres Mobile Device Management ist also entscheidend für die Nutzung von externen Services und Cloud-Lösungen.
Unternehmen müssen Cloud-ready sein, bevor sie die Services nutzen
Um Cloud-Lösungen effizient und sicher nutzen zu können, sollten KMU den Datenumzug gewissenhaft planen. Ein guter Provider wird die Unternehmens-IT dafür auf Cloud-Readiness überprüfen. Dazu gehört die Analyse der unternehmerischen Anforderungen, der betrieblichen Abläufe sowie der vorhandenen Technologien mit Blick auf den Nutzen beim Einsatz von Cloud-Computing.
Wichtig ist, die bei einem Umstieg auf die Cloud-Lösung entstehenden Kosten mit denen zu vergleichen, die der Aus- und Umbau der bestehenden IT-Infrastruktur nach sich ziehen würde. Wenn die Cloud finanzielle Vorteile bringt, müssen KMU notwendige Änderungen in der IT-Umgebung und ihre spezifischen Cloud-Anforderungen identifizieren. Basis sind die vier zentralen Aspekte des Cloud-Computings: Unternehmensausrichtung, Organisation, Infrastruktur und Anwendungen. Schlussendlich sollte der Anbieter den richtigen Zeitpunkt für den Umstieg wählen. Entwicklungs- und Implementierungsverzögerungen bei der Cloud selbst sowie solche, die bei wichtigen Projekten durch die Implementierung der Cloud-Strategie entstehen könnten, sollen so vermieden werden.
Zertifizierungen als Hinweis auf die Verlässlichkeit des Providers
Zertifizierungen sind ein guter Hinweis auf die Verlässlichkeit und Qualität des Providers. Allerdings gibt es eine große Anzahl dieser Prüfsiegel, die auf den ersten Blick verwirrt. Wichtig ist, dass ein Provider Zertifizierungen erhalten hat, die sich sowohl an globalen als auch an lokalen Standards orientieren, dass er also für seine weltweite Verfügbarkeit sowie für die Einhaltung der lokalen Datenschutzbestimmungen gute Zeugnisse bekommt. Natürlich ist es auch wichtig, welche Institution das Siegel vergibt:
Die ISO-Standards definiert und überprüft das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine der vertrauenswürdigsten Quellen. Der Provider sollte dort über alle und vor allem die aktuellsten Zertifikate verfügen. Bei Bedenken in Bezug auf Datenschutz ist das EU-Safe-Harbor-Zertifikat eine gute Richtschnur: Damit ist gewährleistet, dass der Provider die Daten nach europäischem Recht schützt und nicht etwa nach amerikanischem. Wer genau hinschaut, sollte neben der Layer2-Verschlüsselung auch auf ein rollenbasiertes Sicherheitskonzept achten. Das reglementiert Zugriffe noch stärker. Beide Sicherheitsmechanismen werden zum Beispiel von einem Provider wie Dimension Data aufgrund ihrer netzwerkzentrischen Cloud-Architektur angewendet.
Herstellerzertifizierungen bedeuten einfache Implementierung
Ein weiteres Entscheidungskriterium bei der Wahl des passenden Providers sind etwaige Zertifizierungen durch Hersteller. Wenn Kunden Anwendungen zu einem Cloud-Provider "umziehen" wollen, ist es wichtig zu wissen, wie leicht diese in die Umgebung eingebettet und wie reibungslos die gesamten Abläufe dort implementiert werden können. Namhafte Hersteller wie Microsoft oder SAP haben daher ihre eigenen Zertifizierungen.
Der deutsche Softwarehersteller SAP überprüft vor der Zertifizierung beispielsweise die Infrastruktur der Rechenzentren eines Providers, dessen IT-Spezialisten, die physikalischen und logischen Vorkehrungen zum Schutz der Daten, die Prozesse sowie Portale eingehend. Alle Faktoren müssen den Ansprüchen von SAP im Bereich der Qualität, Verfügbarkeit und Sicherheit genügen. Wenn ein Provider diese Zertifizierung erhält, dann können die bereits genutzten Anwendungen dort einfach implementiert und die mit ihrer Nutzung verbundene Rechenleistung noch besser skaliert werden.
Die rechtlichen Grundlagen im Hinterkopf
Wenn Unternehmen die Daten vor fremdem Zugriff schützen wollen, müssen sie auch die rechtlichen Grundlagen parat haben. Der Datenschutz in Deutschland genügt dabei höchsten Ansprüchen. Man sollte sich aber auch darüber im Klaren sein, dass es "die deutsche Cloud" im eigentlichen Sinne nicht geben kann, denn die Cloud macht nicht vor Ländergrenzen halt. Gerade bei den Globalisierungsvorhaben vieler Mittelständler ist die weltweite Verfügbarkeit von Cloud-Services eines Provider entscheidend dafür, den Ambitionen der Kunden Rechnung zu tragen.
Das deutsche Bundesdatenschutzgesetz ist ein wichtiger Eckpfeiler, und auch die europäische Datenschutz-Richtlinie 95/46/EG ist bis zur Entwicklung eines neuen und umfassenden Gesetzes ein Hinweis auf eine gute Datenschutzpolitik. Wichtig ist, einen Partner auszuwählen, der mit seinen Cloud-Diensten und Rechenzentren im europäischen Rechtsraum auf sicherem Terrain verankert ist. Dieser Partner sollte die IT-Transformation der Kunden begleiten, die nicht nur Cloud-Lösungen, sondern auch Beratungsleistungen, Managed-Services oder gar Outsourcing beinhaltet, damit die IT bedarfsgerecht und auf die individuelle Kundensituation zugeschnitten bereitgestellt werden kann.
Kunden können entscheiden, wo ihre Daten liegen
Die Frage nach der sicheren Nutzung von Cloud-Technologien ist in erster Linie eine Frage der Beherrschbarkeit und der damit verbundenen Risiken. Je nach Einsatzszenario ergeben sich unterschiedliche Sicherheitsanforderungen. Bei der richtigen Beratung sind vorrangig die Anbieter in der Pflicht und dafür zuständig, Transparenz zu schaffen. Sie müssen dem Kunden jederzeit Auskunft erteilen können, in welchem Rechenzentrum seine Daten liegen und auf welcher Plattform sie gehostet werden.
Verfügt ein Provider über mehrere Rechenzentren mit Standorten in mehreren Ländern, können die Kunden entscheiden, wo ihre Daten gelagert werden. Ausschließlich sie selbst legen fest, wer Zugriff auf die Daten hat und wie die Zugriffe auf die Cloud überwacht werden sollen. Der Provider selbst darf und kann nicht auf die Daten zugreifen, die Unternehmer in der Cloud lagern. (hal)