Die aktuellen Zahlen zeichnen ein zerrissenes Bild: Laut Ifo-Institut nutzen derzeit 46,5 Prozent der Unternehmen die Cloud-Technologie für ihre Geschäftsprozesse und 11,1 Prozent planen ihren Einsatz. [...]
18 % diskutieren über den Schritt in die Wolke und stehen dabei vor einigen Fragen: Ist die Lagerung von Firmen- und Kundendaten im eigenen Rechenzentrum sinnvoll? Wenn ausgelagert werden soll: Welche Cloud-Form ist die passende? Wie lassen sich Datenintegrität, -souveränität und -sicherheit in der Cloud gewährleisten?
Welches Infrastrukturmodell das Richtige ist, hängt von den individuellen Bedürfnissen und Ressourcen eines Unternehmens ab. Beim traditionellen Betrieb einer Software auf eigenen Servern (On-Premise) gehen viele Unternehmen davon aus, dass sie die vollständige Kontrolle über die Daten haben und diese Anbieter-unabhängig verwalten können.
Demgegenüber stehen jedoch auch hohe initiale Investitionen in Hardware, Software sowie in die laufenden Kosten für Personal und Sicherheitsmaßnahmen. Unternehmen sind auch für die Wartung und Aktualisierung allein verantwortlich.
Da die Technologie jedoch regelmäßig auf den neuesten Stand gebracht werden muss, entstehen wieder neue Kosten. Hinzu kommt die Problematik der begrenzten Skalierbarkeit der eigenen Infrastruktur.
Cloud-basierte Infrastrukturmodelle
Am anderen Ende steht die vollständige Auslagerung in die Cloud über Software as a Service (SaaS). Bleibt man beim Beispiel des Rechnungswesens, kümmert sich auch hier der Anbieter um den kompletten Betrieb, die Wartung, um Backups und Support. Ändert sich der Bedarf, kann der Anbieter seine Leistungen flexibel an die Bedürfnisse des Kunden-Unternehmens anpassen. Eigene IT-Ressourcen braucht der Kunde nicht und die Kosten sind planbar.
In einer hybriden Infrastruktur wird Software aus verschiedenen Betriebsformen kombiniert. So kann z.B. ein Teil der Buchhaltungssoftware im Eigenbetrieb laufen und verwaltet werden, während bestimmte Funktionen über Cloud-Dienste genutzt werden.
Das bietet mehr Flexibilität als der reine Eigenbetrieb, bringt aber zugleich eine höhere Komplexität. Beispielsweise kann es sehr aufwändig sein, die nahtlose Kommunikation zwischen den unterschiedlichen Komponenten sicherzustellen.
Und: Wer zwei Infrastrukturen verwaltet, muss mit höheren Kosten rechnen.
Die Private Cloud wird ausschließlich für ein Unternehmen betrieben, entweder über firmeneigene Rechenzentren oder durch Dritte. So oder so: Die Private Cloud erfordert recht hohe Anfangsinvestitionen für Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung und physische Sicherheit. Im Eigenbetrieb entstehen für die Private Cloud zudem zusätzlich Personalkosten. Je mehr Anpassungen vorgenommen werden, desto komplexer kann die Verwaltung werden.
Nutzt ein Unternehmen mehrere Dienste oder Clouds parallel, spricht man auch von Multi-Cloud. Ist die “Datenlast” auf mehrere Schultern verteilt, erhöht das die Ausfallsicherheit und senkt das Risiko der Abhängigkeit von einem einzelnen Anbieter. Aber auch hier gilt es, die Workloads und den Datenaustausch zwischen den Anbietern zu koordinieren, Kosten und Verträge zu prüfen, um unnötige Ausgaben zu vermeiden.
Die Frage nach der Datenhoheit
Ein weiterer Aspekt der Cloud ist die Frage nach der Datenhoheit. In diesem Punkt ist die Public Cloud nicht ganz unumstritten, allen voran die Angebote der nicht-europäischen, also nicht DSGVO-pflichtigen, Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud und Alibaba. Bei der Anbieterauswahl empfiehlt es sich, auf ein entsprechend zertifiziertes Rechenzentrum innerhalb der EU zu vertrauen.
Ein Beispiel hierfür ist die Open Telekom Cloud, die inRechenzentren gehostet wird und dem hiesigen Datenschutzrecht unterliegt. Die fortschreitende Digitalisierung wirft vermehrt rechtliche Fragen auf, die weit über die DSGVO hinausgehen.
Ein anschauliches Beispiel hierfür findet sich im Rechnungseingangsmanagement. Eine Cloud-basierte Software mit klar definiertem Workflow ermöglicht es, dass sämtliche Schritte – von der Erfassung eingehender Rechnungen bis hin zu ihrer Ablage – vollständig digitalisiert sind.
Dieses Vorhaben erfordert ein umfassendes Berechtigungskonzept, eine rechtlich geforderte Verfahrensdokumentation sowie die revisionssicheren Ablage in einem Cloud-Archiv. Ein Hinweis dafür, dass ein Anbieter Compliance nicht auf die leichte Schulter nimmt, ist, wenn er seinen Kund:innen ein Software-Testat zur Verfügung stellt.
Dabei wurde die Software einer umfassenden Prüfung durch eine unabhängige Prüfungsgesellschaft unterzogen. Das Testat belegt die korrekte Anwendung der Basisfunktionalitäten, z.B. der Finanzbuchhaltung.
In manchen Fällen lassen Softwarehersteller zusätzlich auch die individuellen Fachmodule sowie die Dokumentation und die Sicherheit der Rechnungswesensoftware prüfen. Der Leistungsumfang eines Testats sollte daher vorab immer geprüft werden.
Datensicherheit – Lohnt der Schritt zurück ins eigene Rechenzentrum?
Die Sorge um Datenschutzbestimmungen ist ein Grund, weshalb es sogar einen Rückwärts-Trend aus der Cloud zurück in das eigene Rechenzentrum gibt. Laut einer aktuellen Umfrage der hybriden Multi-Cloud-Datenplattform Cloudera, planen trotz der Migration in die Cloud 74 Prozent der befragten Unternehmen konkret, ihre Daten wieder ins eigene Rechenzentrum zu holen.
Doch was geschieht dann? Sind Daten On-Premise ausreichend vor Ausfällen oder Cyber-Kriminalität geschützt? Stehen dem Unternehmen hierzu ausreichende Ressourcen zur Verfügung?
Über ausreichend IT-Fachkräfte verfügen aktuell nur die wenigsten Unternehmen. Das Institut für Wirtschaft hat errechnet, dass es 2022 bundesweit durchschnittlich rund 68.000 offene IT-Stellen gab. Durch den demografischen Wandel wird sich diese Situation in den kommenden Jahren zuspitzen. Zugleich steigt das Risiko durch Hacker-Angriffe.
Die Kreditanstalt für Wiederaufbau (KfW) hat 2023 eine Studie zur Verbreitung der Cyberkriminalität in Unternehmen veröffentlicht und darin Cyberkriminalität als die vorherrschende Gefahr für kleine und mittlere Unternehmen (KMU) identifiziert.
Die Studie zeigt, dass die Anzahl der Cyberangriffe in den letzten Jahren in allen Wirtschaftszweigen deutlich zugenommen hat, was an der steigenden Digitalisierungsreife der Unternehmen zu tun hat. Daten nicht in die Cloud zu migrieren, ist vor diesem Hintergrund jedoch auch kein Garant für ihre Sicherheit, denn Angriffe auf eigene Rechenzentren ist für Hacker in der Regel leichter als auf Server mit robusten Sicherheitsmaßnahmen von seriösen Anbietern.
Zertifizierungen nach ISO27001, TCDP 1.0, SOC 1 und 2, BSI C5 oder Dokumentenverschlüsselung nach AES 256 geben bei der Auswahl eine gute Orientierung und Sicherheit. Schließlich ist dies die Geschäftsgrundlage von Cloud-Hostern. Sie bieten ein Maß an Sicherheit, das die wenigsten Unternehmen für ihre hauseigene IT-Infrastruktur erreichen können – oder nur unter einem immensen Aufwand.
Be the first to comment