Cloud Computing im Mittelstand, Teil 2

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Zuverlässigkeit hat Vorrang

scottchan

Von Sabine Philipp

Nicht nur in Fragen der Portabilität und Migration ist Cloud-Sicherheit von vorrangiger Bedeutung. Der Betreiber sollte auch ein wirksames ISMS (Information Security Management System), z.B. nach ISO 27001 umsetzen. „Wird die Buchhaltung ausgelagert, müssen die Anforderungen des Handelsgesetzbuches (HGB) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) erfüllt werden“, betont Fachmann Marc Schumacher. „Wirtschaftsprüfer müssen bei Auslagerungen auch auf eine Zertifizierung nach IDW PS 951 achten“, so der Experte weiter. Sobald personenbezogene Daten ins Spiel kommen, sollte man zudem ein Zertifikat anforfern, das den Datenschutz garantiert.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Und natürlich müssen die Informationen bei jeder Transaktion verschlüsselt sein. Schumacher: „Ein guter Anbieter achtet darauf, dass ein Kunde unverschlüsselt gar nicht auf die Daten zugreifen kann.“ Auch in der Cloud selbst ist wichtig, dass die Daten verschlüsselt abgelegt werden. Hier rät Schumacher, auf ein System zu setzen, bei dem der Anbieter selbst gar nicht zugreifen kann, weil der Nutzer sein Material intern verschlüsselt.

Hinter virtuellen Palisaden

Ein wichtiger Punkt ist für Schumacher die Mandatenfähigkeit. Er vergleicht das gerne mit dem kleinen gallischen Dorf der Asterix-Comicreihe: Mandantenfähigkeit stellt sicher, dass die einzelnen Nutzer innerhalb der Cloud sauber voneinander getrennt bleiben und einander nicht in die Daten blicken können. Mit anderen Worten: dass sie so autonom sind wie das kleine Dorf – obwohl der Rest Galliens von den Römern besetzt ist.

Marc Schumacher.jpg
Marc Schumacher ist Gesell­schafter, Pro­kurist und haupt­verant­wortlich für die Ab­teilung Rechen­zentrum/Infra­struktur bei der Ham­burger C&P Capeletti & Perl GmbH. Der Diplom-Kauf­mann fing direkt nach seinem Stu­dium 1998 bei dem Unter­nehmen an und hat das Cloud-Rechen­zentrum, das sich spe­ziell an kleine und mittel­ständi­sche Kun­den richtet, mit aufgebaut.

„Um die höchstmögliche Eigenständigkeit zu bewahren, raten wir unseren Kunden außerdem, die Software nicht beim Programmanbieter selbst zu hosten, sondern sie eigenständig beim Cloud-Anbieter zu mieten. Dann läuft sie so, als ob sie auf dem eigenen Server installiert wäre. Ein möglicher Einblick in die Daten durch den Softwarehersteller kann so am ehesten ausgeschlossen werden“, erklärt Schumacher.

Nur mit klarem Notfallplan

Der Alptraum jedes Cloud-Nutzers ist ein glatter Datenverlust. Diese Gefahr ist offenbar keineswegs unrealistisch, zumindest nicht nach den Erfahrungen des Datenrettungsspezialisten Kroll Ontrack. Erst im Mai 2011 teilte das Unternehmen mit, dass es in letzter Zeit verstärkt Anfragen wegen Datenverlusten in virtualisierten oder Cloud-basierten Infrastrukturen erhalte. Der Dienstleister empfiehlt daher, die Service Level Agreements vorab nicht nur auf die garantierte Verfügbarkeit, sondern auch hinsichtlich der Desaster-Recovery-Maßnahmen genau zu prüfen.

Online-Ratgeber zum Download
Woran erkenne ich einen verlässlichen Anbieter? – Eine hilfreiche Übersicht für Nutzer und Cloud-Anbieter nebst Check­listen gibt das Eckpunktepapier des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es behandelt etliche Bereiche, die vom BSI als kritisch ange­sehen werden, wie das Sicher­heits­management beim An­bieter, das Notfall­management, die Porta­bilität und Inter­operabilität, den Daten­schutz und die Com­pliance sowie die Vertrags­gestaltung. Einzelne Check­listen helfen, den Anbieter auf Herz und Nieren zu testen. Auch BITKOM und Euro-Cloud haben ähnliche Check­listen herausgebracht: Den BITKOM-Leitfaden kann man kostenlos herunterladen, der von EuroCloud wird unter Angabe der vollständigen Kontaktdaten per Mail an leitfaden-recht@eurocloud.de als PDF bestellt.

Marc Schumacher rät in diesem Zusammenhang zu einer Vollsicherung der kompletten Serverlandschaft. „Es nützt wenig, wenn die Daten gesichert sind, aber der Server darunter explodiert ist. Mit der Serversicherung können die Systeme zeitnah neu aufgebaut werden und der Kunde kann sofort weiterarbeiten“, sagt der Experte.

In Abläufen denken

Ansonsten sind es die Details, die den Unter­schied zwischen den Anbietern ausmachen. „Das Rechen­zentrum sollte alle Arten von Peripherie­geräten unter­stützen“, betont Schu­macher. Gerade beim mobilen Ein­satz kann es vor­kommen, dass eine Ver­bindung zu einem Gerät aufge­baut werden muss, z.B. zu einem Drucker, der beim Cloud-Be­treiber nicht angemeldet ist.

Die pragmatische Lösung, auf die Schu­macher in diesem Fall setzt, be­steht darin, mit Uni­ver­sal­drucker­treibern zu arbei­ten. „Dann können Sie viel­leicht nicht das aller­letzte Drucker­bit an­sprechen, aber man be­kommt eine ver­nünftige Seite heraus.“

Noch wichtiger als solche Feinheiten ist aber, dass es überhaupt läuft.

Jeder Ausfall ist zu viel

Wie verlässlich die Systeme laufen, geht aus den Angaben zur Verfügbarkeit hervor. In der Regel wird sie mit einer Prozentzahl wie 99,999 angegeben. Diese besagt, wie hoch der Zeitanteil ist, in dem die Services für den Nutzer verfügbar sein müssen. Bei Werten zwischen 95 und 99 % heißt das allerdings, dass die Ausfallzeit zwischen 8:24 h (95 %) und 1:40 h (99 %) pro Woche betragen kann. Es ist natürlich übel, wenn diese Ausfallzeiten mitten in die Arbeitszeit fallen.

Kommunikation-und-netze-2015-02.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Genau diese Erfahrung musste aber ein mitteldeutscher Finanzdienstleister machen. Wie er der Redaktion mitteilte, ließ er sich von einem Cloud-Anbieter (der übrigens mittlerweile insolvent ist), eine Anwendung verkaufen, die für sein Unternehmen und für die vorhandene Internet-Verbindung schlicht überdimensioniert war. Neben den Ausfallzeiten kamen quälend lange Arbeitsprozesse hinzu, so dass an ein vernünftiges Arbeiten nicht zu denken war.

Anschluss mit Reserve

Ohne Internet läuft beim Cloud Computing nichts. Und genau hier liegt der Hund begraben: Ausfälle kann und wird es immer geben. Aus diesem Grund, sagt Schumacher, muss mindestens eine Ersatzleitung her: „Sie sollte sowohl einen Medienbruch darstellen als auch bei einem anderen Anbieter gebucht werden“, so der Fachmann. „Die Hauptleitung kann z.B. ein DSL-Anschluss bei einem Festnetzbetreiber, die Backup-Lösung eine UMTS-Leitung bei einem Mobilfunkanbieter sein.“ Es sei zwar theoretisch möglich, dass Bauarbeiten die Leitung aufreißen und ein Sturm gleichzeitig die Antenne knickt, die Wahrscheinlichkeit schätzt der Profi jedoch als extrem gering ein.

Wie ist es aber, wenn das Unternehmen nur eine schwache Internet-Anbindung hat? „In der Regel sind keine großen Bandbreiten nötig. Bei kleinen Kunden mit 10 bis 20 Arbeitsplätzen reicht für Standardanwendungen wie Office meist eine Bandbreite von 2 Mbit/s vollkommen aus“, erklärt Schumacher und schränkt gleichzeitig ein: „Es muss sich jedoch um eine synchrone Leitung handeln, bei der Up- und Downstream gleich schnell sind. Denn Sie müssen ja nicht nur Daten aus dem Rechenzentrum herunterladen, sie möchten ja auch hochladen.“ Außerdem muss die Leitung stabil und zuverlässig sein.

Nun hat der Breitbandausbau noch nicht ganz Deutschland erreicht. Als Alternativlösungen bieten sich z.B. der Telekom-Zugang CompanyConnect, der in vielen solcher Gebiete verfügbar sei, jedoch monatlich mit etwa 300 Euro zu Buche schlagen könne, oder Kabel Deutschland an, was ebenfalls in vielen Gebieten verbreitet und recht günstig sei.

Die Freude über einen günstigen Internet-Tarif kann jedoch schnell verfliegen, wenn das Preismodell des Cloud-Anbieters selbst intransparent oder gar überteuert ist. Meist laufen die Verträge über eine bestimmte Zeitspanne. „Innerhalb dieser Dauer sollten jedoch partielle Differenzierungen möglich sein“, warnt der Diplom-Kaufmann. Denn schließlich gehe man ja in die Cloud, um flexibel zu sein. Auch was den Arbeitsort betrifft.

Serie: Cloud Computing im Mittelstand
Teil 1 legt sich einen Plan zurecht: Was brauche ich wozu? Und wie kriege ich es am besten? Teil 2 geht ins Detail und be­rät zu Fra­gen von Sicher­heit, Daten­schutz und Inter­net-Anbindung.

Fazit: Auf Erfahrung setzen

Schumacher ist überzeugt, dass sich Cloud Computing immer stärker durchsetzen wird, u.a. deshalb, weil immer mehr Menschen dezentral, z.B. von unterwegs oder vom heimischen Büro aus arbeiten – ein Einsatz, für den die Technik geradezu prädestiniert sei. Ebenso glaubt er, dass es gerade kleine und mittlere Unternehmen in die Wolke ziehen wird, da sie besonders davon profitieren. „Kleinere Unternehmen verfügen in der Regel nicht über ein besondere IT-Budgets.“ Mit einer Cloud könnten sie die nötige Leistung für relativ wenig Geld extern einkaufen und dabei softwaretechnisch stets auf dem Laufenden bleiben. „Bei der C&P beginnen die Kosten, auf den einzelnen Nutzer heruntergerechnet bei etwa 50 bis 60 Euro im Monat und gehen bis hin zu 120 Euro bei Highend-Lösungen“, erzählt Schumacher.

Der Experte geht ebenso davon aus, dass es kleinere Firmen eher zu regional ansässigen Systemhäusern ziehen wird, die die Unternehmen kennen und in denen ein persönlicher Ansprechpartner auf ihre spezifischen Bedürfnisse als Mittelständler eingeht. Das setzt allerdings voraus, dass der Cloud-Partner seriös ist und gut berät. Hierzu hat er zum Schluss noch einen praktischen Tipp im Ärmel: den Blick auf die Kundenliste. „Wirtschaftsprüfer und Steuerberater sind nicht nur von Berufs wegen besonders vorsichtig. Sie sind auch gezwungen, sich ganz besonders genau an Gesetz und Ordnung zu halten.“ Wenn so jemand auf der Kundenliste eines Cloud-Anbieters steht, so sei das in der Regel ein gutes Zeichen.

Nützliche Links