Software und Strategien für den erfolgreichen Mittelstand

ERP aus der Cloud oder On Premise

Garantiefall Sicherheit

Jan Friedrich, Sage Software

Nach wie vor gilt die Frage zur Datensicherheit als der entscheidende Faktor, wenn Unternehmen den Einsatz von ERP-Software aus der Cloud – genauer als SaaS, Software as a Service – ins Auge fassen.

Eine Diskussion von ERP-Experten verdeutlicht: Standortvorteile sind ein wichtiger Faktor, aber auch die Betriebsmodelle in klassischen Rechenzentren erweisen sich als sicherer – verglichen mit dem Serverraum in den eigenen vier Wänden.

Software, die nach dem SaaS-Modell bereitgestellt wird, wirft bei Unternehmen vor allem Fragen in Bezug auf Risiken für das Identitätsmanagement, die Datenspeicherung und die Speicherortstrategie sowie die Datenübertragung auf. Die SaaS-basierten Angebote sollten daher über integrierte Funktionen verfügen, die in diesen Fragen für Sicherheit sorgen.

Defense in Depth

Plädiert für `‘Defense in Depth‘: Angela Mazza, Senior Vice President, Head of Cloud & Line of Business, Middle & Eastern Europe, SAP SE. Quelle: SAP
„Wer Software in der Cloud anbietet, kann sich keinen Skandal leisten", Jörg Jung, Geschäftsführer UNIT4 Business Software. Quelle: UNIT4

Die Anbieter von ERP-Lösungen aus der Cloud müssen die Sicherheit für die kritischen Daten eines Unternehmens garantieren können. Dabei ist auch das Zusammenspiel mit bestehenden IT-Infrastrukturen gefordert.

„Nach derzeitigem Stand beinhalten die bewährten Geschäftsverfahren für die Informationssicherheit ein Schichtenkonzept, in der Branche als `‘Defense in Depth‘ bezeichnet“, erklärt Angela Mazza, Senior Vice President, Head of Cloud & Line of Business, Middle & Eastern Europe, SAP SE. „Bei keiner Software, egal wie sie bereitgestellt wird, dürfen Sicherheitsvorkehrungen nur an einer Stelle implementiert werden. Damit ein SaaS-Anbieter die Sicherheit sensibler Daten sicherstellen kann, benötigt er ein umfassendes, vielschichtiges Sicherheitsprogramm. Das SAP-Cloud-Portfolio verfolgt ein ganzheitliches Konzept für die Informationssicherheit. An allen Kontaktpunkten im Datenfluss sind mehrschichtige Sicherheitsvorkehrungen vorhanden, die für vollständigen Datenschutz und Transparenz sorgen und Auditkontrollen bereitstellen. Dieses Konzept umfasst sowohl die physischen und logischen Schichten innerhalb der gesamten Anwendung als auch die Schichten der Middleware, der Datenbank, des Betriebssystems, des Netzwerks, der Kommunikationsschicht und die darunterliegenden Rechenzentren.“

Ein umfassendes Sicherheitskonzept steht auch bei Allgeier im Mittelpunkt: „Unsere hochverfügbare ERP-Software wird in unseren Rechenzentren im First-, Second- und Third-Level-Support, bei Bedarf 24 x7 Stunden sichergestellt“, gibt Sascha Vohl zu Protokoll. Der Prokurist bei der BSH IT Solutions, ein 100prozentigen Tochterunternehmen des Bremer IT-Unternehmens Allgeier IT Solutions, leitet daraus weitere Vorteile ab: „Eine Software-Aktualisierung ist im laufenden Betrieb möglich. Alle Rechenzentren werden von uns selbst betrieben und gewartet. Unser Service-Desk steht den Kunden bei Fragen zur Verfügung.“

„Wer Software in der Cloud anbietet, kann sich keinen Skandal leisten und tut daher alles dafür, um End-to-End-Sicherheit zu gewährleisten“, so lautet das Credo bei Jörg Jung, Geschäftsführer UNIT4 Business Software GmbH. „Hier zeichnen sich bei den Cloud-Anbietern gute Lösungen ab. Kritisch ist hingegen nach wie vor der Weg der Daten in die Cloud. Hier bedarf es durchgängiger Sicherheitskonzepte. Wenn die Daten einmal in der Cloud sind und sich der Cloud-Anbieter an die Vorgaben des europäischen Datenschutzes hält, dann sind die Daten mindestens so sicher oder gar sicherer wie bei der individuellen Inhouse-Lösung.“

Das bestätigen, so Jung, auch die Cloud-Kunden von UNIT4: „Allerdings haben wir natürlich den großen Vorteil, dass wir zum einen kein US-Unternehmen sind, und zum anderen auch lokale Rechenzentren unseren Kunden anbieten können. Wenn dies trotzdem noch nicht ausreicht, gibt es mittlerweile aber auch etablierte Cloud-Technologien am Markt, die sich noch einmal über die Cloud-Lösung legen, so dass meine Daten komplett verschlüsselt sind und mein Cloud-Betreiber gar nicht erst auf die Daten zugreifen kann.“

Standortvorteil

Henk Vluggen, Principal Presales bei Exact Software: „Sicherer als daheim auf den lokalen Server ohne Internet-Anbindung wird man es kaum schaffen.“ Quelle: Exact Software

Das Argument „Standortvorteil“ führt auch Philipp Erdkönig ins Feld. Der Department Director Business Development Center DACH bei der Comarch S.A. stellt fest: “Ein europäischer Anbieter wie Comarch mit eigenen Rechenzentren in Deutschland und jahrelanger Erfahrung im Hosting sensibler Daten beispielsweise für E-Plus oder BP/Aral kann einen viel höheren Schutz für die Daten eines Unternehmens bieten als die IT-Abteilung eines mittelständischen Unternehmens. Um dasselbe Schutzniveau zu erreichen, würden allein die Kosten für Hardware und Software das IT-Budget jedes Mittelständlers sprengen, vom Personalbedarf und baulichen Maßnahmen mal ganz abgesehen.“

Dem pflichtet auch Dirk Thomas Wagner bei, der im Haus Oracle für ERP Cloud D/CH zuständig ist: „Die physische Datensicherheit ist mit hoher Wahrscheinlichkeit wesentlich höher, als das normalerweise in den Unternehmen der Fall ist. Hochsicherheitsrechenzentren garantieren die Sicherheit der unternehmenskritischen Daten.“

Als weiteren Pluspunkt führt Erdkönig auf, dass Comarch ERP zudem über einen eigenen Webserver verfügt, der Webservices wie WebDav und eine ODBC-Schnittstelle bietet, über welche Daten verschlüsselt an bzw. vom ERP System gesendet werden: „Ob In-House oder Cloud Betrieb-eine performante und sichere Anbindung von Software ist somit jederzeit möglich. Als Extrembeispiel sind hier Online-Shops zu nennen, die in Rechenzentren von Drittanbietern betrieben werden und mit Comarch ERP in der Cloud kommunizieren.“

„Deutsche Unternehmen sollten, wenn Sie sicherstellen wollen, dass ihre Daten im Inland gehostet werden, einen Private-Cloud-Betreiber wählen, der Rechenzentren ausschließlich in Deutschland betreibt“, lautet die lapidare Aussage von Bernd Bätz, Teamleader, SAP Technical Consultant bei der FIS-ASP Application Service Providing und IT-Outsourcing GmbH. „Der Anbieter sollte dies auch nachweisen können. Eine hohe Zugangssicherheit lässt sich zudem dadurch gewährleisten, dass der Personenkreis derer, die Zugriff auf die Daten im Rechenzentrum haben, möglichst klein gehalten wird.“

„Sicherer als daheim auf den lokalen Server ohne Internet-Anbindung wird man es kaum schaffen“ – so schätzt Henk Vluggen von Exact Software den Status quo ein. „Aber wir machen heutzutage – fast – alles über das Internet, also wieso ERP dann nicht auch? Auch Security-Firmen wie Symantec oder Cisco sitzen nicht still und entwickeln immer bessere Sicherheitstools, wie zum Beispiel das hochsichere VPN-Tool ‚Anyconnect secure mobility client‘.“ 
Für Dan Matthews, CTO IFS World Operations, ist es der übliche Weg, „Cloud-ERP“ über Virtual Private Networks oder Multiprotocol Label Switching in die Netzwerke einzubinden: „Die Cloud-Server verhalten sich dann so, als wären sie im eigenen Rechenzentrum. Die Integration in andere IT-Assets wie Active Directory, Exchange oder Drucker funktioniert dann genauso wie beim Betrieb des ERP-Systems im eigenen Netzwerk.“

Zertifizierung

Frank Naujoks, Product Marketing Manager für Dynamics AX: „Microsoft lässt die eigenen Cloud-Angebote regelmäßig durch eine Reihe von Zertifizierungen überprüfen.“ Quelle: Microsoft

Frank Naujoks, Product Marketing Manager für Dynamics AX bei Microsoft, sieht die ERP-Hersteller in der Pflicht: „Microsoft lässt die eigenen Cloud-Angebote regelmäßig durch eine Reihe von Zertifizierungen überprüfen. Azure wurde von Cloud Controls Matrix (CCM) geprüft, die von der Cloud Security Alliance (CSA) eingeführt wurde. Mit dem ISO/IEC 27001:2005-Zertifikat wird validiert, dass Microsoft die in diesem Standard definierten, international anerkannten Informationssicherheitskontrollen implementiert hat, einschließlich Richtlinien und allgemeine Grundsätze für das Initiieren, Implementieren, Verwalten und Optimieren des Informationssicherheitsmanagements innerhalb einer Organisation.“

Andreas Anand, Vice President Consulting Services EMEA bei Infor, ist der Schutz der Daten nicht abhängig von der Frage Cloud ober On Premsie: „Heute kann sich kein Unternehmen mehr leisten, seine Daten ungeschützt zu verwalten, ob an den eigenen Standorten oder in einer Cloud. Wir arbeiten mit Amazon Web Services (AWS) zusammen. Die AWS-Cloud-Infrastruktur gilt als eine der flexibelsten und sichersten Cloud Computing-Umgebungen der heutigen Zeit. Die Einbindung von bestehenden Anwendungen für hybride Infrastrukturen stellen wir mit Infor ION sicher, unsere offene, intelligente Integrationslösung.“

„Eine 100prozentige Garantie gibt es – wie die zahlreichen Skandale der jüngsten Vergangenheit gezeigt haben – wohl keine“, ist Jan Friedrich überzeugt. Der Projektleiter Cloud Services im Geschäftsbereich „Kleine und mittlere Unternehmen“ der Sage Software GmbH ist aber überzeugt, dass Cloud Computing-Lösungen gerade bei kleinen Mittelständlern häufig ein viel höheres Maß an Risikovorsorge und Sicherheit gegen Datendiebe gewährleisten als die eigenen IT-Systeme. „Denn hier kümmern sich professionelle Anbieter um die IT-Sicherheit, die Datenspeicherung und um Notfallkonzepte“, so Friedrich.

So seien beispielsweise die Rechenzentren, in denen Sage seine Cloud-Lösungen betreibt, mit allen modernen Sicherheitsverfahren sowie ergänzenden technischen und organisatorischen Maßnahmen abgesichert: „Sie entsprechen höchsten Anforderungen hinsichtlich Informationssicherheit und Datenschutz, was durch entsprechende Zertifizierungen wie ISO 27001 belegt wird“, führt Friedrich aus. „Darüber hinaus wird die Sicherheit der Daten durch regelmäßige externe Penetrationstests gewährleistet. Regelmäßiges Daten-Backup sowie schnelle Wiederherstellung von verlorenen Daten sind in diesen Cloud-Anwendungen ebenfalls eingeschlossen. Deshalb ist die Cloud auch ein echtes Argument für die Datensicherheit von kleinen Betrieben, die sonst kaum die Möglichkeit hätten, ein solches Sicherheitsniveau selbst in ihren Unternehmen aufzubauen.“

Rainer Huttenloher