Mittelstand und Cloud Computing

In vielen mittelständischen Unternehmen wird heutzutage eine Frage heiß diskutiert: Wie lässt sich die Effizienz, die Cloud Services mit sich bringen, mit der nötigen Sicherheit der eigenen Daten verbinden? Angesichts diverser Datenskandale und strenger Compliance-Richtlinien überwiegt bei den IT-Verantwortlichen häufig noch die Skepsis gegenüber der nebulösen Cloud. Die Mitarbeiter in den Fachabteilungen hingegen begrüßen die unkomplizierten Dienste aus der Wolke. Schließlich müssen sie in ihrer täglichen Arbeit schnell Ergebnisse abliefern, in Echtzeit Projektinformationen mit Kollegen an anderen Standorten austauschen, mobil auf Daten zugreifen und flexibel auf unvorhergesehene Projektänderungen reagieren – mit Software as a Service (SaaS) ein Kinderspiel.

Genau dieser Interessenkonflikt macht es jedoch zusehends komplizierter, die Risiken für die IT-Infrastruktur in den Griff zu bekommen. Dies gilt umso mehr, als Mitarbeiter ihre privaten, vor allem mobilen Endgeräte im Rahmen von „Bring you own Device“ (ByoD) für die Arbeit in der Firma verwenden, zum Beispiel zum Empfangen von E-Mails. Oft führen sie auch Lösungen zum gemeinsamen Dateizugriff, so genannte Filesharing-Lösungen, Backup- und Recovery, Projektmanagement- und andere Collaboration-Tools und Apps aus der Cloud eigenmächtig ein, um effizienter zu arbeiten. Einerseits wird dies vom Management oder den kaufmännisch verantwortlichen Personen aus Kostensenkungs- und Effektivitätsgründen nicht nur geduldet, sondern sogar unterstützt. Andererseits kommt es für die IT-Abteilungen dem Hüten eines Sacks Flöhe gleich, den dadurch entstehenden Wildwuchs ihrer IT-Landschaft zu verwalten.

Sie müssen sich bei der Einbindung von privaten, insbesondere mobilen Endgeräten und cloud-basierten Lösungen in die IT-Infrastruktur Fragen stellen wie:

• Wie lassen sich die Endgeräte vor dem Zugriff Dritter, etwa bei Verlust des Gerätes, schützen?
• Wie kann die Datenverbindung abgesichert werden?
• Wie kann sichergestellt werden, dass ein privates Gerät keine Malware in das firmeninterne Netzwerk einschleust?
• Wie lassen sich private Geräte in die internen Sicherheitsrichtlinien und Compliance-Policies integrieren (zum Beispiel Patchmanagement oder Updates)?
• Wie lässt sich sicherstellen, dass die Systeme ausfallsicher und redundant sind, dass Backups periodisch und gewissenhaft ausgeführt werden und dass die Wiederherstellung funktioniert und regelmäßig getestet wird?
• Wie können Firmendaten, E-Mails, Kontaktdaten oder Projektinformationen vom mobilen Gerät des Mitarbeiters gelöscht werden, ohne dessen Privatsphäre zu verletzen, wenn dieser das Unternehmen verlässt?
• Wo sind die sensiblen Unternehmensdaten gespeichert und wer hat die Kontrolle darüber?
• Wie sicher ist die Infrastruktur des Cloud-Service-Anbieters und welche Rechte an den Daten behält er sich vor?

All diese Fragen sind teilweise hoch kritisch und ihre Beantwortung erfordert großen Weitblick. Die Herausforderung liegt darin, die Übersicht zu behalten in dem schier unüberschaubaren Dschungel an Verordnungen, Lösungen, Cloud-Services und Anbietern. Dies alles ist Aufgabe der IT-Abteilung, die auf gutes Know-how angewiesen ist.

Statt eines Flickenteppichs an Lösungen ist deshalb in erster Linie eine transparente und einheitliche Sicherheitsstrategie, die sowohl Cloud-Technologien als auch alle Mitarbeiter einbindet, unabdingbar für die Sicherheit von Daten und Unternehmen. Dabei gilt es, zwischen zwei Aspekten von Cloud Security zu unterscheiden:

1. Security-Lösungen, die aus der Cloud heraus als Services bezogen werden, zum Beispiel Web- und E-Mail-Security as a Service oder Authentifizierungsdienste.

2. Sicherheitsvorkehrungen, um Unternehmensdaten in der und auf dem Weg in die Cloud zu schützen, zum Beispiel verschlüsselte Datenübertragung, Einhaltung aller rechtlichen Vorgaben oder physische Sicherheit wie Zugangskontrolle zu den Cloud-Rechenzentren.

Beide Punkte bringen große Hürden und Herausforderungen für den Mittelstand mit sich. Denn was in Großkonzernen längst täglich gelebte Praxis ist, findet man in kleineren Unternehmen häufig nur unzureichend: Klare Spielregeln in Sachen IT-Sicherheit! Für die meisten Mittelständler ist es ein erheblicher Kraftakt, alle Sicherheitsanforderungen zu erfüllen und passende Lösungen einzusetzen. Oft fehlen dafür schlichtweg die personellen und finanziellen Ressourcen.

Doch gerade mit Hilfe von Cloud-Computing-Services können Mittelständler nun auch auf bislang zu kostspielige Sicherheitslösungen zurückgreifen. Sogar individuell programmierte Spezialanwendungen können heute als nutzungsabhängiger Service flexibel über das Internet bezogen werden. Dies gilt auch für Anwendungen jenseits der gängigen Standardvorkehrungen, etwa URL- und Web-Content-Filter, E-Mail-Archivierung oder generelle revisionssichere Archivierung. Richtig zusammengestellt, führen derartige Cloud-Computing-Services zu einem Plus an Sicherheit im Mittelstand.

Ein Beispiel ist die „Starke Authentifizierung“, also das sichere Erkennen der Nutzer beim Zugriff auf die Unternehmenssysteme. Die dafür notwendige Software oder Infrastruktur ist in der Regel sehr teuer und beispielsweise für ein Ingenieurbüro mit fünf Mitarbeitern weder erschwinglich noch sinnvoll. Deutlich zweckmäßiger ist es für das kleine Unternehmen hingegen, die sichere Authentisierung über einen flexibel abrechenbaren Cloud Service zu beziehen und sich so zuverlässig etwa vor Industriespionage zu schützen.

Da der sichere Betrieb von IT-Infrastrukturen zum Kerngeschäft von spezialisierten Cloud-Anbietern gehört, übertreffen diese das Sicherheitsniveau eines Großteils der Mittelständler meist deutlich. Ihre IT-Infrastruktur ist mehrfach redundant ausgelegt und sie verfügen über Sicherheitstechnologien und Prozesse, die denen von Großunternehmen gleichen. Das Argument vieler IT-Verantwortlicher und Mittelstands-Manager, die Datenhaltung im eigenen Haus sei unbedenklicher, trifft also oft nicht zu. Denn was nutzt es, wenn die Daten zwar im eigenen Rechenzentrum liegen, Hacker und andere Unbefugte aber ein leichtes Spiel haben, darauf zuzugreifen?

Das A und O bei der Cloud-Sicherheitsstrategie ist nicht nur die Auswahl des richtigen Cloud-Anbieters, sondern auch die ständige Überprüfung, ob dieser alle notwendigen Sicherheitsparameter permanent umsetzt. Für einen Mittelständler mit begrenzten Ressourcen und eingeschränktem IT-Know-how kann es von Vorteil sein, einen herstellerunabhängigen externen Berater ins Boot zu holen. Dieser kann Unternehmen vom Transformationsprozess über die Auswahl bedarfsgerechter Cloud-Lösungen und zuverlässiger Anbieter bis hin zur Vertragsgestaltung und Inbetriebnahme der Services begleiten. So gelingt es zum einen, Kosten zu senken und effizienter zu arbeiten, da die Geschäftsverantwortlichen sich auf ihr Kerngeschäft statt auf die Erfüllung von Sicherheitsauflagen konzentrieren können. Zum anderen können mittelständische Unternehmen durch Cloud Services und mit dem richtigen Partner Sicherheitsvorschriften einhalten, die bisher aufgrund von Unkenntnis und Zeitmangel vernachlässigt wurden.