Information et éducation par et pour la communauté SAP
Coverstory 15-12, MAG 15-12

Cloud – aber sicher

Immer mehr Unternehmen setzen auf Cloud-Lösungen. In Deutschland gibt es weiter Sicherheits­bedenken. Die Aufkündigung des Safe-Harbor-Abkommens zwischen den USA und der EU tut ihr Übriges dazu. Mit dem entsprechenden Know-how können Unternehmen ihre Daten gut schützen.
Magazine E-3
4 décembre 2015
Contenu :
2015
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Der deutsche Mittelstand scheut sich davor, seine wertvollen ERP-Daten in die Cloud zu legen. Zu groß sind die Bedenken gegen unberechtigte Zugriffe, die dazu führen könnten, dass die Konkurrenz Einblick in geschäftsentscheidende Daten erhält. Deshalb bieten viele Softwaredienstleister neben cloudbasierten oftmals auch On-premise-Lösungen an.

„Das Thema Cloud ist allgemein in Deutschland teilweise noch mit einem negativen Image behaftet, obwohl viele Unternehmen durch Outsourcing bereits vor langer Zeit den ersten Schritt in die Cloud gemacht haben“

weiß Nikolaj Schmitz, CIO bei G.I.B.

Private, Public und Hybrid Cloud

Gerade große Unternehmen setzen seit vielen Jahren auf die Dienstleistungen von Rechenzentren. Allerdings muss man dabei unterscheiden, denn Cloud ist nicht gleich Cloud.

Im Fall einer Private Cloud werden jedem Kunden dedizierte ERP-Systeme zur Verfügung gestellt. Auf sein quasi privates System hat er allein den exklusiven Zugriff.

„Solange man von der Private Cloud spricht, sehe ich, abgesehen von den zusätzlichen Möglichkeiten der Provisionierung, keinen großen Unterschied zum klassischen Outsourcing“

sagt IT-Experte Schmitz.

Anders sieht es hingegen bei der Public Cloud aus. Hier erhält eine große Zahl an Nutzern Zugriff auf standardisierte Anwendungen, die zum Beispiel für die Reisekostenabrechnung, im Event- oder Talent-Management eingesetzt werden, d. h., alle Nutzer teilen sich ein System.

Der Nachteil der Public Cloud: Mit ihr lassen sich in der Regel keine komplexen, hoch kundenspezifischen Prozesse wie etwa im Logistikbereich abbilden. Wenn beispielsweise bei der Buchung von Wareneingängen zu Lohnbearbeitungsbestellungen eine Rückmeldung des verursachenden Fertigungsauftragsvorganges erfolgen soll, können das Standardanwendungen meistens nicht leisten.

Daher werden Anwendungen in der Public Cloud häufig lediglich als Ergänzung zu bestehenden IT-Systemen eingesetzt, um solche Zusatzanwendungen nicht aufwändig im On-premise-System realisieren zu müssen. Man spricht in diesem Fall von einer Hybrid Cloud.

Konsequenzen aus dem Safe-Harbor-Urteil

Ob Public, Private oder Hybrid, die Auslagerung von Daten ist mit gewissen Risiken verbunden. Um diese zu minimieren, hat die EU im Jahr 2000 eine Datenschutzrichtlinie erlassen.

Die EU schloss mit den USA das sogenannte Safe-Harbor-Abkommen, in dem sich die Vereinigten Staaten bereiterklärten, die Bestimmungen der Richtlinie anzuerkennen.

Der Europäische Gerichtshof (EuGH) erklärte dieses Abkommen nun für ungültig. Ein Beleg dafür, dass Daten auf US-Servern nicht den Sicherheitsstandards der EU entsprechen.

„Aktuell sind die US-amerikanischen Anbieter dazu verpflichtet, den Ermittlungsbehörden Zugriff auf die Daten ihrer Kunden zu gewähren“

erklärt Schmitz.

Das ist selbst dann der Fall, wenn sich die Server amerikanischer Unternehmen im europäischen Ausland befinden.

Daher rät der IT-Experte dazu, bei der Auslagerung von Daten auf deutsche Anbieter zu setzen. Auch Rechenzentren im näheren europäischen Umfeld bieten in der Regel einen ausreichenden Schutz für ausgelagerte Daten.

Das befreit Unternehmen jedoch nicht von der Notwendigkeit, eine umfangreiche Prüfung der Sicherheitszertifizierungen eines Cloud-Anbieters oder Rechenzentrums vorzunehmen. Diese Zertifizierungen müssen in regelmäßigen Audits von externen Stellen kontrolliert werden.

Sicherheit für die Datenleitung

Das Risiko eines unberechtigten Zugriffs auf unternehmensinterne Informationen liegt aber nicht nur in der Datenhaltung, sondern auch in der Datenleitung.

„Verschlüsselung bei der Datenübertragung ist das A und O“

sagt IT-Leiter Schmitz.

Dieser Bereich hat sich in den vergangenen Jahren stark weiterentwickelt. So wird derzeit das lange verwendete SSL-Protokoll durch TLS ersetzt. Dabei handelt es sich quasi um eine Weiterentwicklung von SSL, mit der jedoch bekannte Sicherheitslücken geschlossen werden.

Ein weiterer Vorteil von TLS: Das Protokoll bietet die Möglichkeit, jedes höhere Protokoll auf TLS-Basis zu implementieren. Damit wird die Unabhängigkeit von Anwendungen und Systemen gewährleistet.

Des Weiteren verwenden Unternehmen VPN-Tunnel, um für eine sichere Übertragung ihrer sensiblen Daten zwischen der eigenen IT-Infrastruktur und externen Dienstleistern zu sorgen.

Die Option einiger Anbieter, dass Daten den deutschen Teil des Internets nicht verlassen, geht Schmitz jedoch zu weit.

„Das widerspricht aus meiner Sicht teilweise dem Grundgedanken des Internets“

so der IT-Experte. Ohnehin dürfte dieses Territorialdenken in einer immer globaler agierenden Wirtschaftswelt keine Lösung für Unternehmen sein, die international expandieren.

Risiken bei Web-Anwendungen

Gerade solche Unternehmen, die ihre Geschäfte auf andere Länder ausdehnen, sind darauf angewiesen, ihre Betriebsstätten im Ausland zu vernetzen bzw. ihren Mitarbeitern einen unkomplizierten und schnellen Zugriff auf wichtige Informationen zu bieten.

Sie setzen hierzu auf Web-Anwendungen, die eine große Zahl an Nutzern, die weltweit verteilt sitzen, auf unterschiedlichen Endgeräten nutzen können.

„Ohne Web-Anwendungen kommen viele Unternehmen heute nicht mehr aus“

weiß Schmitz.

Sie werden zum Beispiel häufig zur Bereitstellung von Service und Support für Kunden oder zur Anbindung von Lieferanten an ERP-Systeme eingesetzt. Auch hier existieren Sicherheitsmaßnahmen, von der Verschlüsselung über den Einsatz von Firewalls bis hin zum Monitoring der Zugriffe, die das Risiko eines Hacks minimieren.

Zudem bieten diverse externe Prüfer ihre Dienste an, um die Sicherheit entsprechender Systeme, zum Teil mit Hackermethoden, auf Herz und Nieren zu prüfen.

Besonders heikel ist jedoch die große Vielfalt an Endgeräten, die bei Web-Anwendungen genutzt werden.

„Aber auch in diesem Umfeld gibt es Lösungen, die ein zentrales und transparentes Management ermöglichen“

erklärt Schmitz.

So können beispielsweise von zentraler Stelle aus einheitliche Sicherheitseinstellungen für sämtliche im Einsatz befindliche Endgeräte ausgerollt werden.

Darüber hinaus setzen Unternehmen hier ebenfalls auf VPN-Tunnel oder verschlüsseln den Zugriff der Endgeräte auf die interne Web-Anwendung. Die Anmeldung an internen Systemen wird zudem meist mit einem mehrstufigen Authentifizierungsverfahren abgesichert.

Am falschen Ende sparen

Auch G.I.B nutzt für seine Softwarelösungen Dispo-Cockpit Forecast und Dispo-Cockpit Vendor Managed Inventory die Outsourcing-Lösungen eines Partners, der nachweislich über die erforderliche Kompetenz in IT-Sicherheitsfragen verfügt.

Die Zugriffe auf die G.I.B-Web-Anwendungen erfolgen ausschließlich über verschlüsselte Verbindungen.

„Weiterhin ist der Zugang zu den Anwendungen über entsprechende Firewalls auf das erforderliche Minimum reduziert“

erläutert Schmitz.

Alle Zugriffe werden zudem überwacht, um Angriffe schnell zu identifizieren und Gegenmaßnahmen einzuleiten.

Sicher, einen 100-prozentigen Schutz gibt es nicht und ein hohes Schutzniveau wie bei G.I.B ist mit einigem Aufwand und den dazugehörigen Kosten verbunden.

Jedoch empfiehlt es sich nicht, bei den Sicherheitsmaßnahmen zu sparen, denn der Verlust oder Missbrauch von Daten dürfte deutlich teurer ausfallen – ganz abgesehen vom Vertrauen, das Geschäftspartner schnell in ein Unternehmen verlieren, das keine ausreichende Daten­sicherheit bietet.

avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Tous les articles de l'auteur

Écrire un commentaire

Agents intelligents pour le traitement intégré des factures SAP

AI Doomsayers

Intelligence artificielle : le pas de l'idée à la production

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.