Nicht ohne grösstmögliche Datensicherheit

Ihre Namen sind meist nur Brancheninsidern vertraut: Hidden Champions, die geheimen Marktführer im Mittelstand. Der Wettbewerbsdruck ist gross und nur wer es vermag, flexibel auf kurzfristige Marktschwankungen und Kundenwünsche zu reagieren, kann der Konkurrenz standhalten. Die meisten Mittelständler rüsten deshalb ihre IT auf – vor allem dynamische Lösungen wie Cloud Computing stehen dabei ganz oben auf der Liste.

Zwar begleiten KMU die Entwicklung von Cloud Computing noch immer mit Skepsis. Doch die Vorzüge sind nicht von der Hand zu weisen:

› Erstens entstehen Unternehmen durch den Bezug von Cloud-Diensten vergleichsweise geringe Kosten, es entfallen die üblichen Anfangsinvestitionen wie Hard- oder Software sowie Kosten für den Betrieb oder Backups – und auch Updates werden in der Regel kostenlos von den Service-Providern durchgeführt. Bei den meisten Anbietern erfolgt die Abrechnung verbrauchabhängig (Pay-per-Use) und ohne vertragliche Mindestlaufzeit. Gerade für Mittelständler mit knappem Budget eine hervorragende Lösung, um ihre IT-Landschaft auf dem modernsten Stand zu halten.

› Zweitens schaffen Cloud-Lösungen Freiräume und entlasten IT-Mitarbeiter. So können Unternehmen flexibel auf Veränderungen und Anpassungen in der IT reagieren. Auch die Skalierbarkeit der Lösungen selbst bietet grosse Flexibilität, meist zu überschaubaren Kosten.

› Drittens stehen Dokumente, Daten und Fakten jederzeit und weltweit zur Verfügung, vorausgesetzt es gibt eine sichere Internetverbindung. Dadurch ist es Mitarbeitern möglich, mobil zu arbeiten – die Produktivität steigt.

› Viertens fördert Cloud Computing die Innovationskraft des Unternehmens: Es kann leichter und schneller neue Dienste und professionelle Applikationen nutzen, die bisher unerschwinglich oder schwer zu implementieren waren. Viele Mittelständler bilden beispielsweise Prozesse und Aufgaben nur in Office-Dokumenten ab oder geben Informationen via E-Mail weiter. Mit der Cloud ist es nun auch kleineren Unternehmen möglich, echte Collaboration-Tools wie Instant Messaging oder Online-Meetings einzusetzen.

› Fünftens vereinfacht Cloud Computing die Zusammenarbeit mit Kollegen, externen Partnern und Kunden, da der Zugriff über eine zentrale Plattform erfolgt.

› Und sechstens können Mittelständler ihre Unternehmensstrategie und Ziele durch den Einsatz von Cloud-Lösungen schneller und effizienter erreichen: In jedem Unternehmen werden Prozesse durch die IT unterstützt – vom Einkauf über die Produktionsdaten bis hin zum Vertrieb mit Kundendaten. Auch die Personalabteilung arbeitet bei der Zeiterfassung sowie der Personalbuchhaltung IT-gestützt. Wenn die Prozesse durch gut funktionierende Applikationen unterstützt werden, spart das Doppelarbeit und dadurch Geld. Und auch ERP- und CRM-Systeme helfen, den gesamten Prozess anhand der Wertschöpfungskette darzustellen: Jeder Kontakt mit Kunden wird im Programm dokumentiert, so dass Mitarbeitende jederzeit Zugriff auf den aktuellen Status der Kunden haben; ebenso können Angebotsdaten oder besondere Eigenschaften der Kunden vermerkt werden.

Trotz offensichtlicher Vorteile bleiben viele Mittelständler bei konventionellen stationären Lösungen – als zu unsicher wird Cloud Computing oft empfunden. Schliesslich geben die Unternehmen bereits mit der Auslagerung ihrer Daten einen Teil ihrer Hoheit an den Dienstleister ab. Immer wieder nähren aktuelle Fälle aus der Presse bei vielen die Sorge vor Spionage und dem Abfluss vertraulicher Informationen. Deshalb gilt:

› Vor Anwendung eines Cloud-Services muss geprüft werden, welche Informationen in die Cloud gehen sollen. Grundsätzlich ist zu beachten: je sen­sibler die Daten, desto sorgfältiger sollte die Entscheidung getroffen werden.

› Inwieweit können kritische Informationen aus den Cloud-Lösungen «herausgehalten» werden? Beispielsweise muss im Teamkalender der Kundenname nicht unbedingt im Klartext stehen – man kann sich intern durchaus auf Abkürzungen verständigen, die für Aussenstehende nicht nachvollziehbar sind.

› Für viele Mittelständler kann es sinnvoll sein, Audits vor Aufnahme eines Dienstleistungsverhältnisses durchzuführen und mit dem Provider regelmässige Reviews und Auswertungen zu vereinbaren.

› Um wertvolle Informationen zu verwalten und vor allem zu schützen, empfiehlt es sich für Unternehmen ausserdem, sich nach internationalen Standards, wie der ISO/IEC 27000-Reihe zu richten und einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG abzuschliessen. Beispielsweise spezifiziert der internationale Standard ISO/IEC 27001 klare Anforderungen für Einführung, Betrieb, regelmäs­sige Überwachung und Wartung eines dokumentierten Informationssicherheits-Managementsystems. Mit einer Zertifizierung nach dieser Norm können Unternehmen zeigen, dass sie mit Anforderungen an Informationssicherheit strukturiert umgehen und Risiken steuern.

Haben sich Unternehmen dafür entschieden, ihre internen IT-Ressourcen um Cloud Computing zu erweitern, bedarf es einer detaillierten Planung. Den Grundstein für die Auslagerung bildet dabei eine festgelegte IT-Strategie, in der die Daten klassifiziert und eine grobe IT-Architektur beschrieben wird: der Aufbau des Netzwerkes, der Serverlandschaft, der eingesetzten Datenbanken und Applikationen sowie die Übertragungswege der Daten inklusive Sicherung der Infrastruktur nach aussen.

Die Infrastruktur sollte dabei von einem fachlich kompetenten Mitarbeiter des Unternehmens in Zusammenarbeit mit dem Cloud-Anbieter bewertet werden: Im ersten Schritt, welche Arten von Informationen aus der Hand gegeben werden können. Im zweiten Schritt werden diese Daten dann in Klassen eingeteilt, bewährt hat sich hier ein Drei- bis Fünf-Stufenprinzip. Üblicherweise geschieht diese Klassifizierung nach folgenden Kriterien:

› Vertraulichkeit – wer darf welche Informationen lesen? Hier haben sich vier Stufen durchgesetzt: Erstens «offen» für öffentlich verfügbare Informationen. Zweitens «intern» für alle innerhalb der Organisation zu haltenden Informationen. Drittens «vertraulich» z. B. für personenbezogene Daten und viertens «streng vertraulich» für alle besonders schützenswerten Informationen, z. B. besonderes Know-how.

› Integrität – wer darf welche Informationen verändern? Und wie kann die Authentizität und Vollständigkeit von Information gewährleistet werden?

› Verfügbarkeit – welche Service-Level sind erforderlich? Innerhalb welcher Zeitspanne müssen Informationen im Betriebsfall zur Verfügung stehen? Wie sieht diese Frist in einem Störungsfall aus, welche Unterbrechungszeit ist akzeptabel?

Bei der Einführung von Cloud Computing ist es essenziell, auch die Mitarbeiter im Umgang mit der Cloud zu schulen. Allerdings besteht unterschiedlicher Sensibilisierungs- und Schulungsbedarf:

› Erstens hat es sich in der Praxis bewährt, alle Mitarbeiter, die mit «Cloud Computing» arbeiten, zu schulen. Hier bieten sich Workshops an, die allgemeine Themen behandeln, also beispielsweise: Welche Veränderungen im beruflichen Alltag bringt die Einführung von Cloud Computing mit sich? Welche Sicherheitsaspekte müssen nun besonders beachtet werden? Und welche Vorteile bietet Cloud Computing für den einzelnen Mitarbeiter?

› Zweitens ist es Aufgabe der Administratoren, Cloud- mit unternehmenseigenen Lösungen sinnvoll und sicher zu verknüpfen und später die Cloud-Lösung inklusive Provider zu überwachen. Je nach Grösse des Unternehmens bieten sich unterschiedliche Schulungsformen an. Bei einer grösseren Anzahl von Mitarbeitern kann eine Online-Schulung direkt im Programm durchgeführt werden; bei einer überschaubaren Anzahl sollten kleinere Gruppen gebildet und das Programm von IT-Mitarbeitern erläutert werden.

› Drittens die wichtigste Gruppe, die IT-Strategen: Auch sie gilt es über die unterschiedlichen Arten von Cloud-Services aufzuklären: Welche Lösungen gibt es? Welche Schutzmechanismen sind verfügbar und welche Best-Practice-Ansätze finden sich? Hilfreich ist zudem, Zertifikate beurteilen und auswerten zu können, um die Zuverlässigkeit des Cloud-Providers einzuschätzen. Hier eignen sich insbesondere Schulungen bei professionellen Organisationen, die bei Bedarf auch in-house durchgeführt werden können und das Unternehmen bei der Erstellung der Strategie unterstützen.

Cloud Computing ist vor allem für den Mittelstand eine gute Lösung, um nicht nur Kosten zu sparen und flexibler zu werden, sondern um Unternehmensziele effizienter und schneller zu erreichen – sogenannte On-premise-Systeme, also im Unternehmen betriebene Systeme, wird es jedoch nicht vollständig ablösen können. Da sich hinter Cloud Computing variable Modelle und Architekturen verbergen, gibt es für jedes Unternehmen die passende Lösung, um Strategien umzusetzen und Ziele zu erreichen. laquo;