Thought Leadership
Kommentar von systemzwo-Geschäftsführer Björn Semjan.
Cloud-Services werden als ein revolutionäres Allheilmittel für den kostengünstigen Betrieb einer IT-Abteilung verkauft. Unternehmen können heute für den Betrieb ihrer Collaboration-, Mail-, ERP (Enterprise-Resource-Planning)- und anderer unternehmenskritischer Systeme über das Internet Services aus weltweit ansässigen Rechenzentren in Anspruch nehmen. Besonders erfolgreich sind dabei eine Handvoll amerikanischen Anbieter. Diese haben die Datenhaltung und den Betrieb der IT für Dritte schon längst als Ergänzung zur Macht über das Erdöl erkannt. Aktuelle Geschäfts- und Kundendaten gehören schließlich zu den begehrtesten Rohstoffen des 21. Jahrhunderts.
Marketingfloskeln wie „Energie sparen“, „Ressourcen konsolidieren“, „Informationen zeit- und ortsunabhängig verfügbar machen und sichern“ werden dabei immer wieder als Vorteile angepriesen, die gerade für Unternehmen heute zu einem „Muss“ geworden sind. Datensicherheit und der diskrete Umgang mit unternehmenskritischen Daten werden den Cloud-Kunden dabei stets suggeriert, ohne tatsächlich konkrete Nachweise dafür zu erbringen. Tatsache ist, dass eine durchgängige Kontrolle zur Verhinderung von Datenmissbrauch nahezu unmöglich ist, zudem wir je nach Region und Land auf der Erde jeweils eine ganz unterschiedliche Gesetzgebung diesbezüglich vorfinden. Man sollte sich deshalb vor Augen führen, welche Risiken ein Unternehmen eingeht, wenn es seine Daten und den Betrieb seiner Infrastruktur einem externen Anbieter in einem anderen Land anvertraut.
Von Werbemaßnahmen bis hin zur Industriespionage
Mangelhafte Mandantentrennung, Datenschutzverstöße und verletzte Richtlinien sind schwer nachzuweisen, zu verhindern oder zu ahnden, wenn sich die Geschäftsdaten auf Servern in anderen Ländern befinden, zusammen mit den dort jeweils geltenden nationalen Gesetzen. So erlaubt das US-amerikanische Gesetz "Patriot Act" den dortigen Sicherheitsbehörden und Geheimdiensten, auch die Daten bei ausländischen Tochtergesellschaften dieser Firmen auszuspionieren. Den Anbietern der Cloud-Services werden theoretisch Tür und Tor für den Datenmissbrauch geöffnet, von gezielten Werbemaßnahmen bis hin zur professionellen Industriespionage.
Uneingeschränktes Vertrauen ohne rationalen Grund
Beweisen lässt sich so etwas jedoch meistens nicht, und Kontrollmechanismen sind im Angebot für gewöhnlich nicht enthalten. Viel zu viele Unternehmen bringen beim Cloud-Computing den Global Playern ohne einen rationalen Grund uneingeschränktes Vertrauen entgegen. Stellen Sie sich vor, ein chinesischer Konkurrent kommt plötzlich, fast zeitgleich mit einem Plagiat Ihrer eigenen teuren Entwicklung auf den Markt. Der Schaden ist da, aber wen zieht man zur Verantwortung? Oder Sie werden konfrontiert mit Preisanstiegen nach Ende der Vertragslaufzeit? Gegebenfalls ändern sich auch Ihre Wünsche ab einem bestimmten Zeitpunkt signifikant. Mit wem verhandelt man, wenn die Vertragsbedingungen zu seinen Gunsten ändern möchte?
Über Jahre aufgebautes Know-how wird nahezu vollständig aufgegeben
Google, Microsoft, Apple & Co. operieren weitgehend mit ausländischen Call-Centern. Persönliche Ansprechpartner, die Ihre Infrastruktur gut kennen, gibt es dort genauso wenig wie einen greifbaren technischen Mitarbeiter. Wenn Sie dann Ihre Daten wieder ins eigene Haus umziehen wollen, ist das nur mit einem enormen zusätzlichen Kostenaufwand möglich. Der Umzug zu einem anderen Anbieter wird zum Verzweiflungsakt, der einen vom Regen in die Traufe bringt. Der Preis, den man bezahlt, wenn man seine IT-Abteilung zugunsten der Cloud-Services wegrationalisiert, ist aber noch viel höher: Mühsam ausgebildete Mitarbeiter und originäres, über Jahre aufgebautes Know-how wird nahezu vollständig aufgegeben, wenn man eine IT-Abteilung zusammenstreicht. Aber anders rechnet sich ein solches Vorhaben schließlich nicht.
Bestehen Sie auf verbindlichen Werten für die Service-Verfügbarkeit
Es gibt viele kleine Unternehmen in Deutschland, die nicht das Kapital und die Manpower haben, um eine eigene IT-Abteilung zu betreiben. Und einzelne Services auszulagern macht unter wirtschaftlichen und sicherheitstechnischen Aspekten auch für große Unternehmen durchaus Sinn. Allerdings sollte man dann auf einen regionalen Anbieter setzen, der den strengen deutschen Datenschutzvorschriften unterliegt und eine Zertifizierung seines Rechenzentrums (zum Beispiel BSI oder ISO 27001) vorweisen kann. Unter Umständen sollte das Unternehmen vor einer Auftragsvergabe das Rechenzentrum des Anbieters in Augenschein nehmen können. Kundenservice und persönlicher 24/7-Support per Telefon sind heute keine Hexerei mehr und sollten fester Bestandteil eines Service Level Agreements (SLA) sein, in denen der Anbieter verbindliche Werte beispielsweise für die Verfügbarkeit des Services garantiert.
Die Private-Cloud als Lösung für den Mittelstand
Die Cloud-Technologie kann gerade für neu gegründete und mittelständische Unternehmen ein Segen sein. Hier sollte man zweimal überlegen, ob ein anonymer Global Player aus dem Anzeigen- und Kundendatengeschäft wirklich der richtige Geschäftspartner ist. Mittelständische Unternehmen bevorzugen nicht ohne Grund gerne die Lösung „Private Cloud“, bei der sich sowohl Anbieter als auch Nutzer im selben Unternehmen befinden. Das Thema Datensicherheit bleibt hierbei fest in der Hand des Kunden.
