Software und Strategien für den erfolgreichen Mittelstand

Sicherheit beim Bezug von Business Software aus der Cloud

Örtliche Nähe der Cloud schafft mehr Vertrauen

Diskussionsteilnehmer am Roundtable Business Software aus der Cloud
Diskutiert haben (von links): Christian Horak, Vice President Cloud Marketing bei der SAP AG, Andre Kiehne, Vice President Cloud Business bei Fujitsu Technology Solutions, Ralf Adebar, Projektmanager NCT Cloudcenter Lösungsplattform, Frank Siewert, Director Presales Consultat bei Comarch Software und Beratung AG, Michael Korbacher, Head of Google Enterprise Deutschland, Österreich, Schweiz, Ditmar Tybussek, Entwicklungsleiter bei Allgeier IT Solutions, Rainer Huttenloher, Chefredakteur Solutions for Business, Kurt Rindle, ist als Cloud Portfolio Leader bei der IBM Deutschland, sowie Sascha Köhler, Software Architekt bei PROFI Engineering.

Der Einsatz des Cloud Computing in seinen vielfältigen Ausprägungen setzt sich bei den Unternehmen durch – zu dieser Einschätzung kommen alle relevanten Marktforscher. Die Anwender haben aber nach wie vor ihre Bedenken zu einigen Teilbereichen, wenn Software aus der Cloud bezogen werden soll, die für den Erfolg eines Unternehmens kritisch ist. Zu den am häufigsten genannten Problemfeldern zählt dabei das Thema Sicherheit.

Sicherheit

Andre Kiehne, Vice President Cloud Business bei Fujitsu Technology Solutions, empfiehlt den Anwendern „eine Reise in die Cloud“.

Wenn es um das Thema Sicherheit im Kontext des Cloud Computings geht, handelt es sich aus Sicht von Ditmar Tybussek, Entwicklungsleiter bei Allgeier IT Solutions, oftmals um emotionale Gründe: „Selbst wenn ein Unternehmen sich mit seiner Kern-IT hin zum Internet geöffnet hat, sind die  IT-Verantwortlichen der Meinung, dass die Daten im eigenen Haus besser geschützt sind. Doch wir verfügen über ein eigenes Rechenzentrum und bieten eine Cloud-basierte ERP-Lösung an“. Dabei wurde sehr viel in den sicheren Rechenzentrumsbetrieb investiert und hohe Sicherheitsvorkehrungen getroffen. Das müsse man allerdings den Anwendern auch beweisen. „Vor allem die ältere Generation der IT-Leiter – die ‚Silver Surfer‘ – vertrauen nicht so sehr auf die Cloud Anbieter.“

„Mit dem Thema Sicherheit in der Cloud gehen wir offen um,“ erläutert Frank Siewert, Director Presales Consultant bei der Comarch Software und Beratung AG. „Je nach Branche trifft man allerdings auf mehr oder weniger Bereitschaft der Anwender.“ Wichtig sei es aber, sich nach den Kunden richten zu können – wer seine Informationen im Haus behalten möchte, der kann das etwa in Form einer Private Cloud auch so betreiben, denn so Siewert: „Alle unsere Anwendungen sind für Cloud-Betrieb gut geeignet.“

Das Thema Aufklärung über die Sicherheitsprobleme und wie ihnen begegnet
werden kann, steht auch bei Andre Kiehne, Vice President Cloud Business bei Fujitsu Technology Solutions, im Vordergrund: „Damit kann man vor allem beim kleineren Mittelstand punkten. Wenn der Betrieb der Applikationen im  Serverraum im eigenen Haus des Mittelständlers – womöglich sogar ohne sauber definierte Backup- und Restore-Prozesse – abläuft und er sich dagegen die hochsicheren Betriebsprozesse in einem professionellen Rechenzentrum ansieht, dann kann er nicht mehr allen Ernstes behaupten, dass der Cloud-Betrieb unsicherer sei.“ Doch um dies zu vermitteln, bedürfe es einer massiven Aufklärungsarbeit.

Am besten biete man dem Interessenten sozusagen eine Reise in die Cloud an: „Dabei muss sich der Cloud Anbieter allerdings an den Parametern ausrichten, die der Kunde vorgibt, etwa wie schnell muss das gehen, wie kann die Mischung zwischen Cloud und On Premise aussehen.“

Cloud-Modell

Zudem sei zu definieren, welche Cloud-Modelle passen – Public, Hybrid oder gar eine Community Cloud. Daher spiele das Vertrauen eine wichtige Rolle. Unternehmen sollten für ihre kritischen Anwendungen nicht nach dem Motto vorgehen „Wo bekomme ich das günstigste Cloud-Angebot im Internet“, es buchen und damit starten.

„Das führt in der Regel zu einer Diskrepanz zwischen IT-Abteilung und Fachabteilung. Denn wer vertrauliche Businesspläne auf einer Speicherplattform wie Dropbox ablegt, der wird von der IT-Abteilung ‚zurückgepfiffen‘.“ Die Erfahrungen des Cloud-Anbieters in Bezug auf die Sicherheit können Cloud-Interessenten ebenfalls überzeugen.
Nach Ansicht von Michael Korbacher, Head of Google Enterprise für Deutschland, Österreich und die Schweiz, sollte man immer den Ausgangspunkt beim Kunden analysieren und dann vergleichen, wie das Thema Sicherheit zum Beispiel bei Google angegangen wird: „Unser komplettes Geschäft basiert auf der Cloud. Wir betreiben das drittgrößte IT-Netzwerk der Welt. Unsere Grundaufgabe besteht darin, den Nutzern die Informationen binnen Sekundenbruchteilen zur Verfügung zu stellen, die sie suchen.“

Daten weltweit verteilt

Google hat die eigenen Rechenzentren über die Welt verteilt und mit schnellen Leitungen verbunden. „Mittlerweile sind wir auch der dritt- bis viertgrößte Serverhersteller der Welt, verkaufen diese Systeme aber nicht“, führt Korbacher ins Feld. „Wir  verwenden eine eigene Architektur und legen dabei großen Wert darauf, dass auch die Angriffsflächen reduziert werden. Dazu kommt ein sicheres, eigenes Linux-Betriebssystem zum Einsatz. Wo unsere Rechenzentren liegen, wird mit wenigen Ausnahmen nicht publiziert“.

In Bezug auf den Datenschutz geht man bei Google sogar noch einen Schritt weiter: „Daten werden auf verschiedene Rechenzentren und Server Sicherheit und IBM gut zusammen passen.“ Denn die IBM baue bereits Clouds für große Unternehmen – wie große Banken – und die öffentliche Hand, darunter auch Verteidigungsministerien.

„Das Thema Sicherheit ist aus drei Richtungen anzugehen: faktisch, praktisch und emotional,“ so Rindle. Unter dem Aspekt  faktisch rangiert für Rindle, dass es sich beim Großteil der heutzutage aufgebauten Clouds um private Clouds handle. Dabei komme es zu keinen Unterschied zu einer traditionellen, eigenen Infrastruktur der Unternehmen. Unter dem praktischen Aspekt verweist Rindle darauf, dass die IBM mehr als 6000 Sicherheitsexperten in der Firma beschäftigt: „Secure by Design – so lautet unser Motto. Dabei ist unsere Architektur in sich bereits sicher und wir haben auch alles publiziert – eine offene Referenzarchitektur, die auch an die Open Group gegeben wurde.“ Generell sei die Sicherheit in jeder Ebene eingebaut, nicht nur beim Hypervisor, sondern von unten bis oben über den gesamten System- und Software-Stack. „Aber auch die Zertifizierung ist wichtig, hier kommen Argumente wie ISO 27001 und einschlägige Audits ins Spiel“, so Rindle weiter.

Die zehn Irrtümer des Cloud Computings

Der emotionale Faktor sei ebenfalls vorhanden. „Dazu haben wir eine Broschüre raus gebracht – ‚Die 10 Irrtümer des Cloud Computings‘. Damit betreiben wir aktiv Aufklärung.“ Die City Cloud ist speziell für Anwender gedacht, die einen Partner auf Augenhöhe haben wollen und nicht unbedingt mit einem großen Unternehmen wie IBM direkt kooperieren wollen. Hier  übernehmen die Partner, sie bieten auf IBM-Technologie und -Architektur eigene Clouds an und stellen die auch „nahe“ beim Kunden auf.

„Als erster City Cloud Partner der IBM in Deutschland haben wir eines gelernt: ‚One Size does not fit all‘ – als kleiner IBM-Partner leben wir davon, das Angebot zu individualisieren,“ erklärt Ralf Adebar. Der Projektmanager NCT Cloudcenter Lösungsplattform gibt zu, dass die ursprüngliche Intention anders ausgesehen hat: „Bei NCT wollten wir als kleines  Unternehmen einen großen Hebel bekommen und mit einem ‚1-Klick-Geschäft‘ ein Angebot nach dem Motto ‚1 für n‘ Kunden schnüren – ganz so wie das die Großen machen.“

Doch für die Klientel von NCT ließ sich dieser Ansatz nicht realisieren. Unternehmen mit 100 bis maximal 2000 Mitarbeitern wollen ein individuelles Beratungsgeschäft. „Cloud ist ein vertrauensbasiertes Geschäft zwischen zwei Parteien. Für unsere  Interessenten haben wir Planspiele aufgesetzt, in denen Themen wie Performance, Sicherheit und ‚Geldsparen‘ angegangen wurden. Dabei lässt sich die emotionale Komponente, Stück für Stück reduzieren.“ Anfängliche Bedenken könne man auf diese Weise Schritt für Schritt abarbeiten und in letzter Konsequenz entstehe Vertrauen beim Kunden. „Dann ist ein ‚Gleiten‘ in das Cloud Computing machbar.“

Faktor Emotion

Michael Korbacher, Head of Google Enterprise: „Daten werden auf verschiedene Rechenzentren und Server verteilt. Die Daten aus einem System allein reichen nicht aus, um daraus an die vertraulichen Informationen zu kommen.“
Sascha Köhler, Software Architekt bei PROFI Engineering: „Ein Kunde will Services. Bekommt er die aus der Cloud, ist das eben eine der möglichen Optionen, wie der Service erbracht wird.

Zu ähnlichen Erfahrungen ist man bei PROFI Engineering gekommen. Der Software Architekt Sascha Köhler bringt es auf den Punkt: „Ein Kunde will Services. Bekommt er die aus der Cloud, ist das eben eine der möglichen Optionen, wie der Service erbracht wird.“ Dabei sei die Sicherheit ein wichtiger Faktor, der Preis der andere.

„Die Security hat mehrere Ansatzpunkte“, so Köhler. „Es geht zum einen um die physische Sicherheit – sprich wie ist das Rechenzentrum selbst abgesichert. Ein anderer Blickwinkel richtet sich nach außen, also der Schutz vor Hackerangriffen. Und dann darf man die innere Sicherheit nicht vergessen. Daten und Dienste kann man nur schwerlich zu 100 Prozent sicher machen. Irgendwo findet sich immer eine Lücke – ansonsten kann man die Informationen nicht mehr komfortabel benutzen.“

Die Art der Applikation entscheidet

Seitens SAP kommt noch eine weitere Fragestellung in die Diskussion: „Wichtig ist die Unterscheidung, welche Art von  Anwendung man in der Cloud betreiben möchte“, gibt Christian Horak zu Bedenken. Der Vice President Cloud Marketing bei der
SAP AG nennt dazu ein Beispiel: „In der Social Cloud liegen zum Beispiel private-E‑Mails, aber es gibt noch die Business Cloud. Wer Unternehmenskunden fragt, ob sie die Stammdaten ihrer ERP-Software bei Amazon lagern wollen, der bekommt zuerst mal ein klares Nein als Antwort. Sprich es muss eine Unterscheidung stattfinden, wie geschäftskritisch die Daten sind.“

Ist diese Ausgangsfrage geklärt, komme es zu einem üblichen Ablauf: „Die Early Adopter legen vor, dann werden es immer mehr und dann folgt schließlich die große Masse. Datev zum Beispiel gibt es seit Jahrzehnten, da beschwert sich niemand über das  Thema Sicherheit.“

Der Faktor Emotion spielt mit

Wenn ein Unternehmen etwa nur „geschäftsunkritische CRM-Prozesse“ aus der Cloud beziehe, sei das etwas anderes, als wenn es seine Herstellungsdaten für ein innovatives Produkt sorglos in der Cloud lagert. „Diese Sache ist nach wie vor sehr emotional, es kommt aber auch darauf an, wie ein Cloud Provider sich als Marke aufgestellt hat. Einer IBM oder SAP trauen viele Unternehmen zu, dass sie die Daten sicher in der Cloud verwahren.“

Die Diskussion um die Sicherheitsvorbehalte stellt allerdings kein Argument gegen den Cloud-Einsatz dar. Bei Google sind es mittlerweile mehr als fünf Millionen Unternehmen, die Google Apps verwenden. Davon stammt eine Million aus dem  Wirtschaftsraum EMEA. Darunter beispielsweise die spanische Bank BBVA mit 100.000 Anwendern, das Pharmaunternehmen
Roche mit 90.000 Mitarbeitern in Deutschland, Österreich und der Schweiz, sowie das Recruitment-Unternehmen Randstad mit 29.000 Google Apps-Nutzern. Und jeden Tag kommen laut Korbacher bei Google Apps 5.000 neue Anwenderunternehmen hinzu.

„Natürlich arbeiten wir mit den Unternehmen zusammen, damit sie die jeweils geltenden – in Deutschland durchaus anspruchsvollen – rechtlichen Anforderungen im jeweiligen Land erfüllen,” sagt Korbacher. Google kenne die einschlägige Rechtsprechung und hält sich an die Gesetze und Normen eines jeden Landes. „In unserem so genannten Transparency
Report publizieren wir, welche Anfragen es von behördlichen Stellen gegeben hat. Nach strenger Prüfung der Anträge kann es auch sein, dass wir die Herausgabe von Daten ablehnen, da die gesetzliche Grundlage fehlt,“ so Korbacher.

Rainer Huttenloher