Was müssen kleine und mittlere Unternehmen in puncto Sicherheit beachten, wenn sie Cloud-Lösungen nutzen?
Beim Cloud Computing können Anwender IT-Leistungen wie Speicherplatz, Rechenkapazitäten oder Software je nach Bedarf über ein Netzwerk nutzen. Dieses Netzwerk kann das öffentliche Internet (Public Cloud) oder ein firmeninternes Intranet (Private Cloud) sein. Etwa 40 Prozent der Unternehmen in Deutschland nutzen Cloud Computing, so das Ergebnis des „Cloud Monitor 2014“. Diese Studie des Branchenverbands Bitkom zeigt, dass die Affinität zur Cloud je nach Betriebsgröße unterschiedlich ausgeprägt ist: Mehr als zwei Drittel der Großunternehmen setzen bereits auf Cloud-Lösungen, bei Firmen mit weniger als 100 Mitarbeitern sind es 37 Prozent.
Auf der it-sa, der Nürnberger Fachmesse für IT-Sicherheit, informierte das IHK-Fachforum „Sichere Cloud-Lösungen für Unternehmen“ darüber, welche Sicherheitsanforderungen kleine und mittlere Unternehmen beachten sollten. „Am Thema Cloud kommt man nicht vorbei“, erklärte Martin Krämer, Leiter IT-Lösungen & Logistik bei der Datev eG in Nürnberg. In seinem Vortrag unterstrich er die Vorteile Cloud-basierter Lösungen: Unternehmen werden flexibler, weil sie ihre IT-Systeme schneller an sich verändernde Marktbedingungen anpassen können. Nutzer können über verschiedene Endgeräte auf zentrale Datenbestände zugreifen („Mobilität und Cloud sind Synonyme“). Außerdem kann der verringerte Bedarf an betriebseigenen IT-Ressourcen die Betriebskosten senken.
Clouds in Deutschland
Diese Pluspunkte machen Cloud-Lösungen gerade für mittelständische Unternehmen interessant, aber viele sind nach der NSA-Affäre verunsichert: Laut „Cloud Monitor 2014“ haben 61 Prozent der Cloud-Nutzer seit den NSA-Enthüllungen weniger Vertrauen in ihre Cloud-Anbieter. Diese Entwicklung birgt für Anbieter von Cloud-Lösungen Herausforderungen und Chancen zugleich, denn gerade deutsche IT-Dienstleister können nach Ansicht von Branchenexperten indirekt von der NSA-Affäre profitieren. Joachim Astel, Vorstand der Nürnberger Noris Network AG, berichtete, dass viele Unternehmen bei Cloud-basierten Lösungen bewusst auf deutsche Anbieter und damit auf die Sicherheit der in Deutschland geltenden Datenschutzgesetze setzen. An der zunehmenden Bedeutung des Cloud Computing ließ auch Astel keinen Zweifel: Die Anforderungen an die IT im Unternehmen steigen, sowohl bei der Infrastruktur (Hardware, Betriebssystem und Applikationen) als auch in puncto Ausfallsicherheit und Risikomanagement. Gerade für Mittelständler sei diese Komplexität ein Kraftakt, für den sie ihre interne IT-Abteilung deutlich aufstocken müssten. Auch deshalb entscheiden sich immer mehr Unternehmen, IT-Dienstleistungen extern „einzukaufen“, um freie Ressourcen für ihre interne IT zu schaffen.
Die passende Lösung
Die „Qual der Wahl“ bei der Auswahl der passenden Cloud-Lösung thematisierte Timo Gehle von der Datev-Consulting Datenschutz und IT-Prüfung. Er betonte, dass am Anfang immer die Frage stehen muss „Welche Daten kann ich auslagern?“. So müssen sich Unternehmen u.a. intensiv damit befassen, ob die Vertraulichkeit der Daten eine Auslagerung überhaupt zulässt. Zum Beispiel können Geheimhaltungsvereinbarungen mit Vertragspartnern eine Auslagerung oder Übertragung via Datenleitung untersagen. Bei der Auswahl des Cloud-Anbieters rät Gehle den Unternehmen zu größtmöglicher Sorgfalt: Wesentlich seien die Aspekte Sicherheitsmanagement, Sicherheitsarchitektur (Wie setzt der Cloud-Anbieter IT-Sicherheit technisch um?), Portabilität und Interoperabilität, Vertragsgestaltung, Überwachung und Notbetrieb sowie Datenschutz und Compliance.
Wolfgang Kunert, Steuerberater und Fachanwalt für Steuerrecht aus Nürnberg, gab einen Einblick in die Praxis. Er schilderte, wie bei der Finanzbuchführung die Zusammenarbeit zwischen Kanzlei, Mandanten-Unternehmen und IT-Dienstleister via Datev-Cloud funktioniert. Der digitale Belegaustausch biete die Möglichkeit, jederzeit eine aktuelle Auswertung „in Echtzeit“ zu erstellen. Das sei gegenüber der klassisch-analogen Variante des Belegaustauschs im „Pendelordner“ ein großer Vorteil.
Auf das Thema Sicherheit ging Tobias Lehner von IBI Research an der Universität Regensburg ein. „Cybercrime ist alltäglich geworden. Jedes Unternehmen sollte damit rechnen, angegriffen zu werden“, so die Warnung des IT-Sicherheitsexperten. Trotz der wachsenden Bedrohung durch Cybercrime haben jedoch relativ viele Unternehmen ein ziemlich laxes Risikomanagement. Laut Befragungen durch IBI Research existieren in etwa 40 Prozent aller Unternehmen keine Anweisungen zu den Themen Informationssicherheit und Datenschutz bzw. diese sind den Mitarbeitern nicht bekannt.
Für Stefan Zenkel, Geschäftsführer der AConTech Enterprise IT-Solutions GmbH in Fürth, kommen solche Aussagen wenig überraschend. „Der normale Mittelständler, der Angst um seine Daten in der Cloud hat, hat in der Regel keine sicheren eigenen Netzwerke.“ Zenkel, dessen Unternehmen auf die Entwicklung flexibler IT-Services für Unternehmen – insbesondere auf maßgeschneiderte Cloud-Lösungen – spezialisiert ist, plädierte auf dem IHK-Forum für ein differenziertes Herangehen an das Thema Cloud Computing: Jedes Unternehmen müsse genau überlegen, zu welchem Zweck welche Daten mithilfe cloud-basierter Lösungen verarbeitet bzw. archiviert werden sollen.
