Cloud Computing für die Logistik, Teil 2

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Wer arbeitet zuverlässig?

Péter Mács

Von Sabine Philipp

Fairerweise muss man sagen, dass auch Cloud Computing keine heile Welt ist. Es gibt durchaus immer wieder Probleme und schlecht gelöste Dienste. Unseriöse Anbieter können Unternehmen dabei in ernste Schwierigkeiten bringen. Der Redaktion ist der Fall eines Finanzdienstleisters bekannt, der nicht öffentlich genannt werden möchte. Er konnte wegen einer schwachen Anbindung kaum Daten speichern. Zu Stoßzeiten war der Zugriff eine Qual. Und als der Cloud-Anbieter in Insolvenz ging, wollte er die Unternehmensdaten nur gegen einen Preisaufschlag herausrücken.

Um solche Fallstricke tunlichst zu vermeiden, sollte man vor Vertragsabschluss das Kleingedruckte sorgfältig unter die Lupe nehmen; hilfreich können hier die Sicherheitsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik sein.

Gegen Ausfälle absichern

Da Cloud-Anwendungen über das Web laufen, braucht man logischerweise eine dauerhaft stabile Internet-Verbindung. Für Notfälle wie den Bagger, der die DSL-Leitung kappt, ist es außerdem ratsam, sich über eine Alternativanbindung, z.B. per UMTS, abzusichern. Ein Durchsatz von 2 Mbit/s ist dabei das Minimum; das reicht in der Regel für kleine Unternehmen mit fünf bis zehn Arbeitsplätzen aus. Wichtig: Ein normaler asymmetrischer Hausanschluss genügt nicht, denn die Verbindung muss Daten genauso schnell hoch- wie herunterladen können.

Manchmal liegen die Probleme aber nicht an der Leitung, sondern im Rechenzentrum selbst. Daher ist es sehr ratsam, sich vor Vertragsabschluss zu informieren, welchen Plan B der Betreiber bei einem Ausfall in petto hat. In diesem Zusammenhang spielt die Verfügbarkeit, die das Cloud-Unternehmen dem Kunden vertraglich garantiert, eine entscheidende Rolle. Rechnen Sie lieber nach, wie viele Stunden Ausfall die imposant-hochprozentigen Zahlen in der Wirklichkeit bedeuten! (Beim oben genannten Finanzdienstleister betrug die Ausfalltoleranz übrigens vier Stunden pro Woche – sie fielen prompt in Stoßzeiten mit besonders viel Geschäft.)

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.
Serie: Cloud Computing für die Logistik
Teil 1 sichtet den Be­darf und be­gleitet den Start des Fraun­hofer-Projekts Logistics Mall. Teil 2 sagt, welche Sicher­heits­fragen im Ver­trag aus­drücklich ge­regelt sein müssen.

Das Leistungsmerkmal Verfügbarkeit sollte unbedingt schriftlich geregelt werden. Beim Datenschutz ist eine Vereinbarung auf Papier ohnehin vom Gesetzgeber vorgesehen.

Die Daten­verantwortung bleibt

Es ist nie gut, wenn Unbefugte an Unternehmensdaten gelangen. Sobald jedoch personenbezogene Daten betroffen sind – die auch bei den üblichen logistischen Vorgängen entstehen – wird es besonders brenzlig. Denn hier kommt das strenge Bundesdatenschutzgesetz (BDSG) zum Zug, das nicht nur den Cloud-Anbieter ins Gebet nimmt. Es besagt nämlich nach § 11 BDSG u.a., dass der Unternehmer auch dann für die Einhaltung der Gesetzes- und Datenschutzvorschriften verantwortlich ist, wenn er personenbezogene Daten von einem anderen erheben, verarbeiten oder nutzen lässt.

Außerdem muss sich das Unternehmen selbst davon überzeugen, dass die vom Anbieter getroffenen technischen und organisatorischen Maßnahmen tauglich sind. Spezielle Datenschutzgütesiegel, z.B. vom Unabhängigen Landeszentrum Schleswig Holstein (ULD), können eine gewisse Sicherheit geben.

Oliver Wolf.jpg
Diplom-Informatiker Oliver Wolf stu­dierte nach seiner Aus­bil­dung zum Industrie­kauf­mann Wirt­schafts­in­for­matik in Pader­born und Dort­mund. Seit 1996 ar­beitet er am Fraun­hofer-Institut für Ma­terial­fluss und Lo­gistik IML, wo er heute die Ab­teilung Soft­ware En­gineer­ing leitet. Da­neben lehrt Wolf als Gast­dozent an ver­schie­denen Hoch­schulen wie der Uni­ver­sität St. Gallen.

Vorkehrungen für Zweifelsfälle

Darüber hinaus müssen verschiedene Punkte schriftlich geregelt werden, etwa die Rückgabe der überlassenen Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags. Fachmann Wolf legt in diesem Kontext auch besonderen Wert auf die Mandantenfähigkeit der Systeme. Das bedeutet, dass die Daten der einzelnen Nutzer technisch sauber voneinander getrennt sind, so dass die Kunden – salopp gesagt – einander nicht in die Karten schauen können.

Vor allem darf der Unternehmer die Daten nicht in jedes beliebige Land transferieren. So verbietet es die EU-Datenschutzrichtlinie 95/46/EG, personenbezogene Daten in ein Land außerhalb der EU zu schaffen, wenn dieses Drittland kein angemessenes Datenschutzniveau aufweist.

Ein verwandtes Problem – und doch etwas anders – ist die Datensicherheit, ohne die kein Datenschutz möglich ist. Gute Konzepte schützen vor den Blicken der Konkurrenz, vor Viren und vor Verlusten.

MittelstandsWiki 10.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeMAT 2014. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Grundlagen der Informationssicherheit

Es ist immer ein gutes Zeichen, wenn der Betreiber einer Cloud-Computing-Plattform ein wirksames Information Security Management System (ISMS) z.B. nach ISO 27001 umsetzt. Daneben sollte man grundsätzlich achten, dass die Cloud-Dienste ihre Daten bei jeder Transaktion verschlüsseln.

Ein weiterer wichtiger Punkt ist die Frage nach Sicherungskopien. Dass Backups kein Luxus sind, hat zuletzt eine aktuelle Meldung von Kroll Ontrack gezeigt: Der Datenrettungsspezialist teilt mit, dass ihn in letzter Zeit verstärkt Anfragen wegen Datenverlusten in virtualisierten oder Cloud-basierten Infrastrukturen erreichen. Das Unternehmen empfiehlt daher, u.a. die Service Level Agreements (SLA) vorab nicht nur auf die garantierte Verfügbarkeit sondern auch hinsichtlich der Disaster-Recovery-Maßnahmen genau zu prüfen. Denn vor menschlichen und technischen Fehlern sei auch die ausgereifteste Infrastruktur nicht gefeit.

Lebenswichtige Vertragspunkte

Und nicht nur die technischen Finessen müssen in den SLA geklärt sein. Auch auf der organisatorischen Ebene gilt es, Details klar zu stellen, z.B. was den Verbleib der Daten bei einer Insolvenz betrifft. Wichtig ist, dass für die Übergabe gleich noch eine Kooperationspflicht und eine Vertraulichkeitsregelung festgelegt werden.

Generell sollte es eine Selbstverständlichkeit sein, dass die Daten jederzeit in einem für den Nutzer bearbeitbaren Format aus der Cloud wieder exportiert werden können. Da dieser Punkt jedoch nicht für alle Cloud-Betreiber selbstverständlich ist, gehört auch er schriftlich geregelt.

Eine besondere Beachtung verdient außerdem die Vertragslaufzeit. Bei ungünstigen Bedingungen im Kleingedruckten kann die erwähnte Flexibilität ansonsten schnell verloren gehen. Bei Mindestlaufzeiten sollten zumindest partielle Differenzierungen möglich sein.

Cloud-Ratgeber online
Eine gute Übersicht über die ent­scheidenden Vertrags­punkte geben die Leit­fäden, die BITKOM und EuroCloud herausgebracht haben. Den BITKOM-Leitfaden gibt es kosten­los zum Herunter­laden, den von Euro­Cloud kann mann unter An­gabe voll­ständiger Kontakt­daten bei leitfaden-recht@eurocloud.de als PDF bestellen. Das Bundes­amt für Sicher­heit in der Informations­technik (BSI) hat mittler­weile außerdem die end­gültige Fassung seiner Mindest­sicherheits­anforderungen herausgebracht; dort gibt es das Eckpunktepapier als PDF zum Herunterladen.

Fazit: Am Ende entscheidet Sicherheit

Wie hält es nun die Logistics Mall mit diesen Punkten? „Uns ist bekannt, dass unprofessionelle Lösungen ein großes Gefahrenpotenzial darstellen“, sagt Oliver Wolf. „Deshalb arbeiten wir mit Spezialisten aus verschiedenen Bereichen zusammen, um unseren Nutzern die bestmöglichste Sicherheit zu geben.“

Zum Team gehören u.a. Juristen der Hochschule Bremerhaven. „Zu ihrem Arbeitsgebiet gehört auch die Untersuchung der juristischen Aspekte wie zum Beispiel Gewährleistung, Datenschutz und Haftungsaspekte“, erläutert der Diplom-Informatiker. „Wir von den Fraunhofer Instituten zertifizieren die Software auf technischer Ebene und stellen sicher, dass sie läuft und dass die Schnittstellen passen. Die Abrechnung erfolgt unabhängig von der Zahl der Anbieter zentral durch die Logistics Mall.“

Bei Problemen gibt es eine zentrale Anlaufstelle. Die Mall selbst wird von der Logata GmbH betrieben. Hier war es Wolf besonders wichtig, auf einen Anbieter zu setzen, der die Daten in Deutschland hostet. „Etwas anderes hätten weder wir noch die Nutzer mitgemacht“, so Wolf zum Abschluss. Immerhin scheint das Konzept aufzugehen – die Lösung gewann den Innovationspreis-IT 2011 der Initiative Mittelstand in der Kategorie Cloud Computing.

Nützliche Links