Information und Bildungsarbeit von und für die SAP-Community
Coverstory 15-12, MAG 15-12

Cloud – aber sicher

Immer mehr Unternehmen setzen auf Cloud-Lösungen. In Deutschland gibt es weiter Sicherheits­bedenken. Die Aufkündigung des Safe-Harbor-Abkommens zwischen den USA und der EU tut ihr Übriges dazu. Mit dem entsprechenden Know-how können Unternehmen ihre Daten gut schützen.
E-3 Magazin
4. Dezember 2015
Inhalt:
2015
avatar

Der deutsche Mittelstand scheut sich davor, seine wertvollen ERP-Daten in die Cloud zu legen. Zu groß sind die Bedenken gegen unberechtigte Zugriffe, die dazu führen könnten, dass die Konkurrenz Einblick in geschäftsentscheidende Daten erhält. Deshalb bieten viele Softwaredienstleister neben cloudbasierten oftmals auch On-premise-Lösungen an.

„Das Thema Cloud ist allgemein in Deutschland teilweise noch mit einem negativen Image behaftet, obwohl viele Unternehmen durch Outsourcing bereits vor langer Zeit den ersten Schritt in die Cloud gemacht haben“


weiß Nikolaj Schmitz, CIO bei G.I.B.

Private, Public und Hybrid Cloud

Gerade große Unternehmen setzen seit vielen Jahren auf die Dienstleistungen von Rechenzentren. Allerdings muss man dabei unterscheiden, denn Cloud ist nicht gleich Cloud.

Im Fall einer Private Cloud werden jedem Kunden dedizierte ERP-Systeme zur Verfügung gestellt. Auf sein quasi privates System hat er allein den exklusiven Zugriff.

„Solange man von der Private Cloud spricht, sehe ich, abgesehen von den zusätzlichen Möglichkeiten der Provisionierung, keinen großen Unterschied zum klassischen Outsourcing“

sagt IT-Experte Schmitz.

Anders sieht es hingegen bei der Public Cloud aus. Hier erhält eine große Zahl an Nutzern Zugriff auf standardisierte Anwendungen, die zum Beispiel für die Reisekostenabrechnung, im Event- oder Talent-Management eingesetzt werden, d. h., alle Nutzer teilen sich ein System.

Der Nachteil der Public Cloud: Mit ihr lassen sich in der Regel keine komplexen, hoch kundenspezifischen Prozesse wie etwa im Logistikbereich abbilden. Wenn beispielsweise bei der Buchung von Wareneingängen zu Lohnbearbeitungsbestellungen eine Rückmeldung des verursachenden Fertigungsauftragsvorganges erfolgen soll, können das Standardanwendungen meistens nicht leisten.

Daher werden Anwendungen in der Public Cloud häufig lediglich als Ergänzung zu bestehenden IT-Systemen eingesetzt, um solche Zusatzanwendungen nicht aufwändig im On-premise-System realisieren zu müssen. Man spricht in diesem Fall von einer Hybrid Cloud.

Konsequenzen aus dem Safe-Harbor-Urteil

Ob Public, Private oder Hybrid, die Auslagerung von Daten ist mit gewissen Risiken verbunden. Um diese zu minimieren, hat die EU im Jahr 2000 eine Datenschutzrichtlinie erlassen.

Die EU schloss mit den USA das sogenannte Safe-Harbor-Abkommen, in dem sich die Vereinigten Staaten bereiterklärten, die Bestimmungen der Richtlinie anzuerkennen.

Der Europäische Gerichtshof (EuGH) erklärte dieses Abkommen nun für ungültig. Ein Beleg dafür, dass Daten auf US-Servern nicht den Sicherheitsstandards der EU entsprechen.

„Aktuell sind die US-amerikanischen Anbieter dazu verpflichtet, den Ermittlungsbehörden Zugriff auf die Daten ihrer Kunden zu gewähren“

erklärt Schmitz.

Das ist selbst dann der Fall, wenn sich die Server amerikanischer Unternehmen im europäischen Ausland befinden.

Daher rät der IT-Experte dazu, bei der Auslagerung von Daten auf deutsche Anbieter zu setzen. Auch Rechenzentren im näheren europäischen Umfeld bieten in der Regel einen ausreichenden Schutz für ausgelagerte Daten.

Das befreit Unternehmen jedoch nicht von der Notwendigkeit, eine umfangreiche Prüfung der Sicherheitszertifizierungen eines Cloud-Anbieters oder Rechenzentrums vorzunehmen. Diese Zertifizierungen müssen in regelmäßigen Audits von externen Stellen kontrolliert werden.

Sicherheit für die Datenleitung

Das Risiko eines unberechtigten Zugriffs auf unternehmensinterne Informationen liegt aber nicht nur in der Datenhaltung, sondern auch in der Datenleitung.

„Verschlüsselung bei der Datenübertragung ist das A und O“

sagt IT-Leiter Schmitz.

Dieser Bereich hat sich in den vergangenen Jahren stark weiterentwickelt. So wird derzeit das lange verwendete SSL-Protokoll durch TLS ersetzt. Dabei handelt es sich quasi um eine Weiterentwicklung von SSL, mit der jedoch bekannte Sicherheitslücken geschlossen werden.

Ein weiterer Vorteil von TLS: Das Protokoll bietet die Möglichkeit, jedes höhere Protokoll auf TLS-Basis zu implementieren. Damit wird die Unabhängigkeit von Anwendungen und Systemen gewährleistet.

Des Weiteren verwenden Unternehmen VPN-Tunnel, um für eine sichere Übertragung ihrer sensiblen Daten zwischen der eigenen IT-Infrastruktur und externen Dienstleistern zu sorgen.

Die Option einiger Anbieter, dass Daten den deutschen Teil des Internets nicht verlassen, geht Schmitz jedoch zu weit.

„Das widerspricht aus meiner Sicht teilweise dem Grundgedanken des Internets“

so der IT-Experte. Ohnehin dürfte dieses Territorialdenken in einer immer globaler agierenden Wirtschaftswelt keine Lösung für Unternehmen sein, die international expandieren.

Risiken bei Web-Anwendungen

Gerade solche Unternehmen, die ihre Geschäfte auf andere Länder ausdehnen, sind darauf angewiesen, ihre Betriebsstätten im Ausland zu vernetzen bzw. ihren Mitarbeitern einen unkomplizierten und schnellen Zugriff auf wichtige Informationen zu bieten.

Sie setzen hierzu auf Web-Anwendungen, die eine große Zahl an Nutzern, die weltweit verteilt sitzen, auf unterschiedlichen Endgeräten nutzen können.

„Ohne Web-Anwendungen kommen viele Unternehmen heute nicht mehr aus“

weiß Schmitz.

Sie werden zum Beispiel häufig zur Bereitstellung von Service und Support für Kunden oder zur Anbindung von Lieferanten an ERP-Systeme eingesetzt. Auch hier existieren Sicherheitsmaßnahmen, von der Verschlüsselung über den Einsatz von Firewalls bis hin zum Monitoring der Zugriffe, die das Risiko eines Hacks minimieren.

Zudem bieten diverse externe Prüfer ihre Dienste an, um die Sicherheit entsprechender Systeme, zum Teil mit Hackermethoden, auf Herz und Nieren zu prüfen.

Besonders heikel ist jedoch die große Vielfalt an Endgeräten, die bei Web-Anwendungen genutzt werden.

„Aber auch in diesem Umfeld gibt es Lösungen, die ein zentrales und transparentes Management ermöglichen“

erklärt Schmitz.

So können beispielsweise von zentraler Stelle aus einheitliche Sicherheitseinstellungen für sämtliche im Einsatz befindliche Endgeräte ausgerollt werden.

Darüber hinaus setzen Unternehmen hier ebenfalls auf VPN-Tunnel oder verschlüsseln den Zugriff der Endgeräte auf die interne Web-Anwendung. Die Anmeldung an internen Systemen wird zudem meist mit einem mehrstufigen Authentifizierungsverfahren abgesichert.

Am falschen Ende sparen

Auch G.I.B nutzt für seine Softwarelösungen Dispo-Cockpit Forecast und Dispo-Cockpit Vendor Managed Inventory die Outsourcing-Lösungen eines Partners, der nachweislich über die erforderliche Kompetenz in IT-Sicherheitsfragen verfügt.

Die Zugriffe auf die G.I.B-Web-Anwendungen erfolgen ausschließlich über verschlüsselte Verbindungen.

„Weiterhin ist der Zugang zu den Anwendungen über entsprechende Firewalls auf das erforderliche Minimum reduziert“

erläutert Schmitz.

Alle Zugriffe werden zudem überwacht, um Angriffe schnell zu identifizieren und Gegenmaßnahmen einzuleiten.

Sicher, einen 100-prozentigen Schutz gibt es nicht und ein hohes Schutzniveau wie bei G.I.B ist mit einigem Aufwand und den dazugehörigen Kosten verbunden.

Jedoch empfiehlt es sich nicht, bei den Sicherheitsmaßnahmen zu sparen, denn der Verlust oder Missbrauch von Daten dürfte deutlich teurer ausfallen – ganz abgesehen vom Vertrauen, das Geschäftspartner schnell in ein Unternehmen verlieren, das keine ausreichende Daten­sicherheit bietet.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Alle Artikel des Autors

Open Source Toolchain

SAP Billing and Revenue Management

Drastische Verteuerung bei S/4-Umstellung und -Wartung

Schreibe einen Kommentar

Der Steampunk und BTP Summit 2024 findet am Mittwoch und Donnerstag, 28. und 29. Februar 2024, im Hotel Hilton Heidelberg, Kurfürstenanlage 1, statt. Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Die Teilnahmegebühr für den zweitägigen Summit beträgt Euro 590 exkl. USt. Bis Donnerstag, 30. November 2023, gibt es einen Early-Bird-Tarif von Euro 440 exkl. USt. Die Gebühr beinhaltet den Besuch aller Vorträge, des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.
Der Steampunk und BTP Summit 2024 findet am Mittwoch und Donnerstag, 28. und 29. Februar 2024, im Hotel Hilton Heidelberg, Kurfürstenanlage 1, statt. Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Die Teilnahmegebühr für den zweitägigen Summit beträgt Euro 590 exkl. USt. Bis Donnerstag, 30. November 2023, gibt es einen Early-Bird-Tarif von Euro 440 exkl. USt. Die Gebühr beinhaltet den Besuch aller Vorträge, des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.