MAG 1602 Management

Hohe Datenschutzstandards senken Cloud-Risiken

2016
Geschrieben von Lars Janitz, Itelligence

Das Wichtigste beim Cloud Computing ist der Schutz kritischer Unternehmensdaten. Die Auswahl eines Serviceanbieters für Cloud, Hosting und/oder IaaS mit Rechenzentren und zugehöriger Infrastruktur in Deutschland reduziert diese Sicherheitsrisiken deutlich.

Speziell für mittelständische Betriebe stellt Cloud Computing mit Blick auf die in der Regel limitierten finanziellen und personellen Ressourcen eine attraktive Alternative zum herkömmlichen On-premise-Betrieb dar.

Zur Wahl stehen hier unter anderem die Servicemodelle Software as a Service (SaaS) und Infrastructure as a Service (IaaS). Mit Software as a Service bezeichnet man eine native, multimandantenfähige Cloud-Lösung, die ein Anbieter in seinem Rechenzentrum betreibt und von vielen Firmen gleichzeitig genutzt wird.

Beim Infrastructure-as-a-Service-Modell (IaaS) betreibt der Kunde seine eigenen Applikationen, also etwa ERP powered by Hana oder die Suite S/4, inklusive sämtlicher Erweiterungen und Customizing-Einstellungen im Rechenzentrum eines Cloud-Providers, und zwar auf einem virtuellen Server, der auf einer physischen Maschine läuft. Die benötigte Rechenleistung wird dynamisch und bedarfsgerecht bereitgestellt.

Winshuttle

Keine Angst vor der Cloud

Unabhängig davon, ob ein Mittelständler eine Cloud-Software oder ein IaaS-Modell nutzt, auf den Schutz, die Sicherheit und die Integrität seiner Daten will er sich absolut verlassen können. Erfahrungsgemäß bereitet das Thema des Datenverlusts den IT-Leitern in mittelständischen Firmen dabei noch die geringste Sorge.

Die Gefahr des Verlusts kritischer Daten durch die Nutzung einer Cloud-Lösung oder den Betrieb der eigenen IT-Landschaft in einem IaaS-Modell wird als eher niedrig eingestuft. Der Grund liegt darin, dass die Anbieter von Cloud-Software und Cloud-IaaS-Lösungen in ihren Rechenzentren in State-of-the-Art-Technologien investieren, welche für ein einzelnes mittelständisches Branchen-Unternehmen meist zu teuer wären.

Dabei sind sämtliche kritischen Komponenten in den Rechenzentren, von Applikations- und Datenbankservern über Storage-Systeme, Netzwerk, Energiezufuhr bis hin zur produktiven Datenbank, redundant ausgelegt.

Es gibt keinen „Single Point of Failure“ mehr. Zudem existieren in der Regel Dual-Data-Center-Konzepte, die in Verbindung mit Disaster-Recovery-Lösungen eine echte Absicherung gegen Katastrophen (K-Fall) wie Brand, Erdbeben oder Hochwasser bieten.

100 Prozent Schutz gibt es nicht

Beim Datenschutz dagegen sieht es schlechter aus. Nach der NSA-Affäre fragen sich mittelständische Firmen – und nicht nur sie –, ob geschäftskritische Informationen, Firmengeheimnisse und Geschäftsprozesse in einer SaaS- oder IaaS-Umgebung wirklich sicher sind vor unerlaubtem Zugriff oder Spionage.

In der dynamischen und sensiblen Geschäftswelt unserer Tage kann es sich kein Unternehmen leisten, dass personenbezogene Daten, Forschungsergebnisse, wichtige Kennzahlen oder auch Angebote und Verträge der Konkurrenz in die Hände fallen.

Hier kommt es in hohem Maße auf den geografischen Standort des Cloud-SaaS- oder Cloud-IaaS-Anbieters und seiner Rechenzentren an. Bei der Entscheidung für einen Cloud-Partner sollte daher unbedingt darauf geachtet werden, dass er ein, idealerweise mehrere Rechenzentren in Deutschland betreibt und die Geschäftsdaten und Informationen seiner Kunden ausschließlich hierzulande verarbeitet und speichert.

Nur dann unterliegt er nämlich dem deutschen Bundesdatenschutzgesetz (BDSG), dessen Vorschriften im Hinblick auf die Datenverarbeitung und -speicherung besonders streng sind. Auch die Hürden für einen Zugriff staatlicher Behörden auf diese Daten liegen in Deutschland extrem hoch.

Wenn der Cloud-Partner dann noch anhand von Zertifizierungen oder Qualitätssiegeln wie der ISO/IEC 27001, die regelmäßig durch unabhängige Experten überprüft werden, strenge Sicherheitsstandards nachweisen kann, ist das ein zusätzliches Plus.

Hingegen kann zum Beispiel ein in den USA ansässiger Provider von der US-Regierung unter Berufung auf den Patriot Act verhältnismäßig leicht aufgefordert werden, die Geschäftsdaten und Dokumente seiner Kunden herauszugeben.

Aus dem Grund verzichtet über ein Drittel der deutschen Mittelständler ganz auf Cloud Computing, wie eine aktuelle Destatis-Umfrage zeigt. Hier stellt sich allerdings die Frage, ob die IT-Abteilung eines Mittelständlers mit ihren begrenzten Ressourcen kritische Daten im eigenen Rechenzentrum tatsächlich besser zu schützen vermag als ein hochspezialisierter SaaS- oder IaaS-Anbieter.

Wofür man sich letztlich entscheidet, eines steht fest: Einen hundertprozentigen Schutz für kritische Daten gibt es leider nicht.

Über den Autor

Lars Janitz, Itelligence

Lars Janitz ist Executive Vice President Head of Global Managed Services bei Itelligence.

Hinterlassen Sie einen Kommentar