Lesen Sie, welche Security-Risiken das Cloud Computing birgt und was Sie dagegen tun können.

von Martin Schweinoch, Rechtsanwalt und Thomas Störtkuhl, Secaron AG

Cloud Computing wirft ein neues Licht auf bekannte Themen. Ein zentraler Aspekt ist die IT-Sicherheit. Das gilt gerade für allgemein zugängliche Public Clouds, deren Anbieter oft sehr einfache Verfahren für den Vertragsabschluss und die Leistungserbringung einschließlich der Migration von Daten in die Cloud vorsehen. Dadurch sinken die Sicherheitsbedürfnisse und -anforderungen der Kunden allerdings nicht. Schon der Schutz personenbezogener Daten in der Cloud verlangt angemessene technische und organisatorische Maßnahmen auch für die IT-Sicherheit (Paragraf 9 Bundesdatenschutzgesetz).

Complianceanforderungen des Kunden und gesetzliche Regelungen für spezifische Daten setzen zusätzliche Kriterien für die IT-Sicherheit. Die Umsetzung erfordert nicht nur die Analyse und Bewertung der Sicherheitsmaßnahmen des Providers durch den Kunden. Notwendige Maßnahmen sind vor Beginn der Nutzung der Cloud-Lösung zu vereinbaren und zu realisieren.

Dieser Artikel dreht sich um eine Auslagerung von kritischen Funktionen (Applikationen, Plattformen, Infrastruktur) in eine Public Cloud oder Hybrid Cloud (mit Public Cloud-Anteil). Die Auslagerung in allgemein zugängliche Public Cloud Ressourcen weist eine typische Besonderheit auf: Die Provider und die "Standorte" einer Public Cloud sind anonym über die Welt verteilt. Gerade diese Besonderheit führt aber zu neuen Risiken, denen das in Abbildung 1 dargestellte Vorgehen begegnet.

Bei der Auslagerung von sensitiven Daten ist ein Vorgehen wie in Abbildung 1 dargestellt kaum verzichtbar. Insoweit wird das „klassische“ Paradigma der Public Cloud verlassen, was zu höheren Kosten für die Auslagerung von Funktionen führen kann.

Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.

Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.

Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.

Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.

Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.

Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.

Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.

Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).

Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.

Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.

Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.

Die 10 größten Security-Risiken in der Cloud

Allgemein sind folgende Risiken bei dem Einsatz von Leistungen aus einer Public oder Hybrid Cloud zu beachten:

• Verletzung der Vertraulichkeit und Integrität der Daten
  Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. Gerade für sensitive Daten kann eine ausreichende Zugriffskontrolle nur schwer realisiert werden. Auch die Infrastruktur der Cloud selbst kann angegriffen oder missbraucht werden.
  

• Löschung von Daten
  Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist. Auch nach Beendigung des Auftrags müssen die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden.
  

• Ungenügende Mandantentrennung
  Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. Dieses Risiko ist in einer Public Cloud erhöht, da durch Virtualisierung und Grid Computing keine physikalische Trennung der Daten unterschiedlicher Mandanten erfolgt.
  

• Verletzung der Compliance
  Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.
  

• Verletzung von Datenschutzgesetzen
  Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. Auch sind die Datenflüsse unbekannt. Es besteht dadurch die Gefahr der Verletzung von Datenschutzvorschriften.
  

• Insolvenz des Providers
  Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden. In allen diesen Fällen besteht das Risiko, dass Daten nicht vor unberechtigtem Zugriff geschützt sind.
  

• Problematik der Subunternehmer
  Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben). Daten können sich dann auf Computing-Ressourcen eines unbekannten Subunternehmers irgendwo in der Welt befinden.
  

• Beschlagnahmung von Hardware
  Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. Logdaten auf Servern und Routern können Schlussfolgerungen auf die Geschäftstätigkeit des Kunden auch ermöglichen, wenn keine sonstigen Geschäftsdaten vorliegen.
  

• Handel mit Ressourcen wird denkbar

  Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in Abbildung 2 angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde etwa der Preis pro CPU Stunde auf der Börse höher gehandelt. Welche Konsequenzen dies für die Sicherheit der Daten haben kann, ist noch vollkommen unklar.
  

• Erpressungsversuche
  Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.

Auslagern in die Public Cloud: So sollten Sie vorgehen

Jedes Unternehmen, das den Einsatz von Leistungen einer Public Cloud plant, sollte zunächst über eine Strategie für Outsourcing-Vorhaben nachdenken. Die Outsourcing-Strategie stellt dar, wie ein Outsourcing-Vorhaben in die gesamte Strategie (insbesondere auch in die Risikostrategie) des Unternehmens zu integrieren ist. Dazu gehören Aspekte wie generelle Zielvorgaben, Etablierung eines Outsourcing-Managements mit Organisationsstrukturen und definierten Verantwortlichkeiten, die Festlegung akzeptabler Risiken und Entwicklung von Fallback-Strategien.

Insbesondere muss geklärt werden, welche Funktionen nicht in eine Public Cloud ausgelagert werden dürfen (wegen gesetzlichen Anforderungen, zu hohen Risiken oder anderen Gründen). Weiter ist das Outsourcing-Management in das Managementsystem des Unternehmens zu integrieren. Als weitere Mindestanforderung darf keine Auslagerung einer Funktion in eine Public Cloud ohne Sicherheitskonzepte, SLAs und Verträge mit definierten, messbaren Leistungen realisiert werden. Wesentlich ist die Implementierung eines Outsourcing-Prozesses, der gemäß Abbildung 1 näher erläutert wird.

1. Planungsphase

Zunächst sind verschiedene Alternativen für das Cloud Computing auf grober Ebene zu entwickeln und einer ersten "Sicherheitsanalyse" zu unterziehen. Unterscheidungsmerkmale der Alternativen sind u.a. die Lokalitäten der Rechenzentren, Möglichkeiten zur Beschränkung der Public Cloud auf bestimmte Regionen, Kontrollmöglichkeiten für den Datenfluss und die angebotenen Service-Ebenen (Software as a Service, Platform as a Service oder Infrastructure as a Service). Die Alternativen für die Auslagerung in die Public Cloud werden einer Sicherheits- und Risikoanalyse unterzogen. Zudem wird ermittelt, welche gesetzlichen (insbesondere des Datenschutzes) und organisatorischen Anforderungen für die verschiedenen Alternativen gelten. Aus all diesen Informationen werden die zu erfüllenden "Sicherheitsanforderungen" abgeleitet.

Danach wird entschieden, welche Alternativen in die engere Auswahl fallen oder überhaupt in Betracht gezogen werden können. Für diese Alternativen wird ein Leistungskatalog erstellt, der detailliert die Auslagerung und alle geforderten Leistungen inklusive aller Sicherheitsanforderungen beschreibt. Die Angebote der Provider können aufgrund dieses Leistungskataloges bewertet werden. Insbesondere können Defizite von Providern identifiziert werden, die zuvor noch nicht in die Sicherheitsanalyse einfließen konnten. Zusätzlich kann eine due diligence Prüfung des Providers durchgeführt werden. Danach erfolgt eine Entscheidung für eine Alternative und für einen Provider.

2. Vertragsphase

Im Schritt "Vertragsgestaltung" erfolgt die Ausarbeitung eines Vertrages. Ziel ist es, in Verträgen und/oder Service Level Agreements (SLA) eine vollständige und kontrollierbare Leistungsbeschreibung zur Gewährleistung der Qualität und Informationssicherheit in der Public Cloud zu vereinbaren. Besondere Aufmerksamkeit bei der Vertragsgestaltung erfordern u.a. folgende Punkte:

• Einräumung von Auditrechten
  Im Allgemeinen wird der Provider seinen Kunden keine Auditrechte für seine Rechenzentren einräumen wollen und können. Dies wäre für den Provider einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn viele Fremd-Auditoren der Kunden die Rechenzentren inspizieren würden. Deshalb ist es sinnvoll, sich Auditrechte für Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um etwa den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard für Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).
  

• Kennzahlen
  Gerade die Definition messbarer Kennzahlen für Vertraulichkeit und Integrität als Schutzziele ist keine einfache Aufgabe. Für Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Provider angegeben.
  

• Schnittstellendefinition
  Besonders wichtig für den korrekten Betrieb der ausgelagerten Funktion sind Schnittstellen für Security Monitoring und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen Kunde und Provider definiert werden.
  

• Regelungen für die Beendigung der Cloud-Leistungen
  Auch Vereinbarungen für die Beendigung der Leistungen der Public Cloud sind zu treffen. Insbesondere muss auch geregelt werden, welche Daten wie zu übergeben sind und welche Daten nicht mehr wiederherstellbar gelöscht werden.

3. Migration

Nach Vertragsabschluss beginnt die Migration, also die schrittweise und geplante Auslagerung der Funktion. Zur Planung gehört die Erstellung von Sicherheitskonzepten, die sowohl die Migration als auch den Betrieb und die Beendigung der Auslagerung beinhalten. Als Basis für ihre Erstellung dienen die Ergebnisse der Risikoanalyse und des Auswahlverfahrens der Planungsphase. Die Umsetzung und das Testen der Auslagerung in die Cloud erfolgen nach den erstellten Sicherheitskonzepten.

4. Betriebsphase

Während der Betriebsphase werden die ausgelagerten Funktionen gemäß Vertrag und Sicherheitskonzepten durch den Provider betrieben. Wichtig ist jetzt ein funktionierendes Security Monitoring, um Abweichungen vom erforderlichen Sicherheitsniveau schnell erkennen zu können. Das Security Monitoring dient auch dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können.

5. Beendigung der Auslagerung

Mit diesem Arbeitsschritt wird eine geregelte Beendigung der Cloud-Leistungen durchgeführt. Auch die Beendigung muss nach den vertraglich vereinbarten Regelungen erfolgen. Der Provider muss insbesondere Daten auf seinen Systemen nachweisbar so löschen, dass sie auch mit ausgefeilten Methoden und Technologien nicht wiederherstellbar sind. Hierzu zählen nicht nur Daten des Geschäftsprozesses, sondern auch betriebliche Daten wie Protokolldaten von Systemen und Applikationen.

Diese Sicherheitsmaßnahmen sollten Sie treffen

Über folgende generelle Sicherheitsmaßnahmen müssen Unternehmen bei Leistungen aus einer Public oder Hybrid Cloud nachdenken:

1. Prozesse

Der Provider muss über definierte und dokumentierte Prozesse (z.B. Benutzer- und Rechte-Management, Change Management, Incident Handling, Problem Management etc.) verfügen, deren Schnittstellen zu den entsprechenden Prozessen des Kunden nach den Sicherheitskonzepten der Migrationsphase getestet wurden. Alle technischen Schnittstellen zum Provider müssen den Architektur- und Sicherheitsanforderungen des Kunden entsprechen. Beispiele für diesen Bereich: Es dürfen nur durch den Kunden autorisierte Änderungen durchgeführt werden; Eskalations- und Kritikalitätsstufen sowie Reaktionszeiten des Kunden für Störungen müssen beim Incident Handling eingehalten werden. Weiter weist der Provider über die regelmäßige Auswertung von Kennzahlen nach, dass die Prozesse mit einem vereinbarten Reifegrad eingehalten werden.

2. Business Continuity

Der Provider muss durch Zertifizierung und Protokolldaten nachweisen, dass er ein angemessenes Notfallmanagement aufgebaut hat und betreibt. Zusammen mit dem Kunden entwickelt der Provider geeignete Notfall- und Recovery-Pläne, die etwa Teil der Sicherheitskonzepte aus der Migrationsphase sind. Nach diesen Plänen erfolgen regelmäßige Übungen, die auch Tests für das Zusammenspiel zwischen Kunde und Provider einbeziehen.

3. Technik

Alle Kommunikationsverbindungen, über die sensitive Daten übertragen werden, sind mit State-of-the-Art Technologien zu verschlüsseln (auch in den Cloud-Rechenzentren). Bei hohen Anforderungen an die Vertraulichkeit sind Daten auch in verschlüsselter Form zu speichern.
Die Authentifizierung von Benutzern und Administratoren muss angemessen abgesichert werden. Bei hohen Zugriffsrechten sollte mindestens eine 2-Faktor-Authentifizierung (z.B. durch Wissen und Besitz, Passwort und Token) erfolgen. Fernwartungszugriffe erfolgen nur nach ausreichender Authentifizierung über verschlüsselte Kommunikationsverbindungen. Weiter ist ein Monitoring zu implementieren, dass ein frühzeitiges Erkennen von Störungen und Sicherheitsvorfällen erlaubt.

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?

Fazit: IT-Sicherheit und Cloud sind kein Widerspruch

Auch wenn die Anforderungen und das Vorgehen für die IT-Sicherheit zunächst als Widerspruch zum Paradigma des „klassischen“ Public und Hybrid Cloud Computings erscheinen mögen: Es liegt bereits im eigenen Interesse der Provider, Sicherheitsmaßnahmen zu implementieren, die das Niveau vieler Anwender deutlich übertreffen. Kunden können diese Maßnahmen für ihr eigenes Sicherheitskonzept nutzen, wenn sie entsprechende Maßgaben zuvor im Cloud-Computing-Vertrag vereinbaren. (cw/rw)

Dieser Beitrag erschien bereits in der ChannelPartner-Schwester-Publikation COMPUTERWOCHE.

Cloud-Services aus Deutschland ...
Die COMPUTERWOCHE stellt eine Auswahl nützlicher Cloud-Services von deutschen Anbietern vor.

Cloud-Services aus Deutschland ...
Die COMPUTERWOCHE stellt eine Auswahl nützlicher Cloud-Services von deutschen Anbietern vor.

Cloud-Services aus Deutschland ...
Die COMPUTERWOCHE stellt eine Auswahl nützlicher Cloud-Services von deutschen Anbietern vor.

Audriga
Die Audriga GmbH aus Karlsruhe entwickelt und betreibt einen skalierbaren Umzugsservice für E-Mail, Kontakte und Kalender.

eleven
Das Berliner Unternehmen existiert seit 2001 und hat sich auf Cloud-basierte Managed E-Mail Security spezialisiert.

FI-TS
FI-TS ist ein Tochterunternehmen der Finanz Informatik (FI) und seit 1994 als IT-Service-Partner für die Finanzbranche aktiv. Seit 2011 bietet FI-TS eine Finance Cloud an.

net-files
net-files wurde 2012 gegründet und stellt Projekt- und Datenräume im Internet bereit.

Retarus
Retarus entwickelt seit 1992 Managed Services für die elektronische Kommunikation. Das Portfolio umfasst unter anderem Managed Services für E-Mail-Security, E-Mail-Management und E-Mail-Compliance inklusive Message Retention, EDI-Integrationslösungen oder eine webbasierende Versandplattform für E-Mail-Newsletter.

Reporta
Reporta greift bei der Zahlenjagd unter die Arme. Der Cloud-Service verknüpft Daten und Zahlen, analysiert sie und kann die Ergebnisse visualisieren. Dank browserbasierter Umsetzung und eigener Applikation für Smartphones lassen sich die wichtigsten Zahlen nun auch in die Hosentasche stecken.

Cierp3®
Die Anwender können sich mit cierp3 ihre eigene systemunabhängige ERP-Software zusammenstellen, ohne eigene Serverfarmen und IT-Experten zu benötigen.

Appeleon
Mittels eines Baukasten können Webapplikationen ohne Programmieraufwand erstellt oder erweitert werden - in nur drei Schritten. Wer es noch eiliger hat, greift auf die sogenannte "Application Mall" zurück. Hier warten zahlreiche Vorlagen für App-Templates auf den Einsatz.

Unicloud
Der webbasierte Cloud-Service ermöglicht es verteilt sitzenden Nutzern, gemeinsam Dokumente, Termine und Projekte zu organisieren und zu bearbeiten.

Netviewer
Der Cloud-Service der Netviewer AG ermöglicht Webkonferenzen. Nicht nur Bild und Ton des Gegenübers werden über das Internet übertragen, sondern es wird eine gemeinsame Arbeitsumgebung geschaffen. So bietet der Dienst eine gegenseitige Bildschirmansicht und die Option, gemeinsam Daten zu sichten und zu editieren.

BrandMaker Marketing Planer
Mithilfe des Marketing Planer von BrandMaker können Unternehmen ihre komplette Marketingstrategie erarbeiten, umsetzen und überwachen. Je nach Bedarf bucht der Nutzer einzelne Module wie beispielsweise einen Medien-Pool hinzu und erweitert so die Marketingstrategie gezielt.

CAS PIA
Die webbasierte Vertriebs- und Organisationslösung unterstützt bei der Pflege und Nutzung der Kundenkommunikation. Gerade Selbstständige und Kleinunternehmen können damit ihre Marketingstrategien aufbauen, ohne zusätzliches Personal einzustellen oder sich eine neue Infrastruktur zuzulegen.

Inxmail Professional
Mit Inxmail Professsional lassen sich Unternehmens-Newsletter erstellen und dank umfassender Reportings auch auswerten.

BSCW Shared Workspace System
Das Software-as-a-Service-Angebot unterstützt das moderne Arbeiten und sticht insbesondere durch eine logische und intuitive Benutzeroberfläche hervor.

Cortado
Via mobiler oder stationärer Endgeräte kann der Nutzer auf einen virtuellen Arbeitsplatz zugreifen, der in die jeweilige Unternehmens-IT integriert werden kann. So lassen sich beispielsweise aktuelle Geschäftszahlen kurzfristig via Cloud-Printing überall ausdrucken - und schon haben Sie sie im Kundengespräch griffbereit.

Scopevisio

Actindo
Die Actindo GmbH ist Spezialist für ERP-Systeme im Bereich E-Commerce. Das ERP von Actindo ist in verschiedenen Modulen für unterschiedliche Shopgrößen erhältlich und ist dank bidirektionalen Schnittstellen mit allen gängigen Shopsystemen kompatibel.

BOSTER
Die Schwerpunkte der BOSTER GmbH sind Cloud Computing und Microsoft-Server-Technologien. Das Unternehmen bietet Private Clouds sowie fertige Backoffice-Umgebungen für System- und Software-Firmen an, die im eigenen Rechenzentrum zur Verfügung gestellt werden.

cCloud von centron
Die cCloud der centron GmbH ist eine Platform as a Service (PaaS) Lösung, auf der Cloud Services abgebildet werden können. Das Besondere an dem Dienst ist der "Pay as you grow"-Ansatz.

PIRONET NDH AG
Zielgruppe der PIRONET NDH AG ist der deutsche Mittelstand. Als Management-Holding bündelt es vier Unternehmen aus verschiedenen Geschäftsfeldern und unterschiedlichen Tätigkeitsschwerpunkten.

PIRONET NDH AG
Zielgruppe der PIRONET NDH AG ist der deutsche Mittelstand. Als Management-Holding bündelt es vier Unternehmen aus verschiedenen Geschäftsfeldern und unterschiedlichen Tätigkeitsschwerpunkten.

Visionapp
Visionapp vertreibt einerseits seine Plattform-Technologie, gleichzeitig unterstützt der Anbieter Unternehmen bei der Planung und Umsetzung von eigenen Cloud-Computing-Services. Darüber hinaus helfen die Hessen Kunden dabei, standardisierte SaaS-Portale und SaaS-Dienste zu erstellen und zu vermarkten, entweder in einer Public, einer Private oder einer Hybrid Cloud.

Login2Work
Login2Work stellt Cloud-Lösungen mit nutzungsbasierter Abrechnung aus einem deutschen Rechenzentrum zur Verfügung. Seit Anfang des Jahres können die Services dank einer Citrix-App auch auf dem iPad genutzt werden.

DTS Systeme GmbH
Die DTS Systeme GmbH hat ihren Hauptsitz in Herfurt und verfügt über ein eigenes TÜV-zertifiziertes Rechenzentrum. Das Unternehmen bietet Cloud Computing Dienste aus den Bereichen Software as a Service (SaaS), Platform as a Service (PaaS) als auch Infrastructure as a Service (IaaS) an.

Axel Dunkel GmbH
Der Dienstleister besitzt zwei ISO-zertifizierte Rechenzentren in Frankfurt. Neben SaaS-, PaaS- und IaaS- Lösungen bietet Dunkel auch inhaltliche Unterstützung an. Firmen und Unternehmen können sich bei der Gestaltung und Umsetzung von Webseiten und Corporate Designs beraten lassen.

GlobalConcept
Der Software as a Service (SaaS) Anbieter sitzt in Neumarkt und ist auf Customer Relationship Management (CRM), Business Intelligence (BI) und Business Process Management (BPM) spezialisiert.

Virtual-Core
Kamp Netzwerkdienste GmbH ist seit über 20 Jahren als Dienstleister in der Informationstechnologie tätig. Ihr Infrastructure as a Service (IaaS) Angebot mit dem Namen Virtual-Core richtet sich in erster Linie an mittleständische Unternehmen.

Best in Cloud
Die COMPUTERWOCHE will es wissen: Wie gut sind Cloud-Anbieter? Maßgeblich sind die besten Cloud-Projekte. Jetzt mitmachen unter:

Antispameurope
Antispameurope verlegt den Spamfilter in die Cloud. Der Anbieter verspricht mit seinen Managed Security Services, Spam, Viren und Malware aus dem E-Mail-Verkehr zu filtern, bevor dieser die Unternehmens-IT erreicht.

CloudSafe
Das Hamburger Start-up CloudSafe ist seit November 2009 aktiv und bietet seit 2010 ihre Datenablage als Infrastructure as a Service (IaaS) an. Das Unternehmen legt dabei besonderen Wert auf das Thema Sicherheit: Alle Daten werden verschlüsselt auf den Server abgelegt und auch der Transfer zu den in Deutschland liegenden Servern erfolgt ausnahmslos SSL-verschlüsselt.

FastBill
Das Unternehmen bietet seine Lösung für die digitale Abbrechnung von Dienstleistungen als Software-as-a-Service (SaaS) an. Dank optionaler digitaler Signatur ist zudem ein gesetzeskonformer Rechnungsversand per E-Mail möglich.

Forcont
Das Softwarehaus sitzt in Berlin sowie Leipzig und bietet verschiedene Enterprise Content Management (ECM)-Lösungen für diverse Branchen und Unternehmensgrößen an. Auch Services und Lösungen für ECM-Produkte von SAP sind Teil des Portfolios.

Wetura von Wepro
Mit Wetura können Unternehmen einen Teil der eigenen IT durch Cloud-Services ersetzen. Das Angebot umfasst dabei Lösungen für ERP, CRM, GPS-Ortung, Mobile Device Management oder Zeit- und Tourmanagement.

ROC Deutschland GmbH
Das Thema Human Ressources (HR) gewinnt in Unternehmen weiter an Bedeutung. Zugleich wächst damit der Bedarf an Lösungen für das Human Capital Management (HCM)-Reporting. Vielen Unternehmen fehlen allerdings die Ressourcen für eigene Reporting-Projekte. Hier bietet das weltweit tätige Beratungshaus ROC, das seinen Themenschwerpunkt auf dem Bereich SAP HCM hat, Unterstützung für alle HR-Bereiche an.

PowerFolder
Mittlerweile bieten etliche Unternehmen Cloud-Storage-Lösungen verschiedener Art an. PowerFolder etwa stellt neben der eigentlichen Speicherlösung noch weitere Funktionen zur Verfügung. Neben hohen Standards in puncto Datensicherheit sowie automatischen Backup- und Archivierungsfunktionen bietet der Service auch eine automatische Datensynchronisierung. Mithilfe dieses Dienstes lassen sich ganze Verzeichnisse oder Dateien zwischen zwei oder mehreren Rechnern synchron halten. Unabhängig vom Betriebssystem und unter anderem auch mit mobilen Endgeräten können die Anwender immer auf die aktuellen Datenbestände zugreifen.

5 Point AG
Die 5 POINT AG hat sich auf die Konzeption und Entwicklung von Intra- und Internet-Anwendungen spezialisiert. Der Darmstädter IT-Dienstleister wurde 1999 gegründet und beschäftigt aktuell 18 Mitarbeiter. Das Unternehmen bietet unter anderem Collaboration-Lösungen, Multi-Projektmanagement, CRM- und Ticketsysteme als Software as a Service (SaaS) an.

Billomat
Billomat bietet seine Customer Relationship Managment (CRM)-Lösung als SaaS an. Neben Rechnungen lassen sich mit dem Angebot auch Angebote, Mahnungen, Gutschriften oder Auftragsbestätigungen erstellen, versenden und organisieren. Wie bei anderen CRM-Systemen werden alle Daten dem jeweiligen Kunden zugeordnet.

Zimory
Die Zimory GmbH entwickelt seit 2007 Cloud-Computing-Anwendungen, mit deren Hilfe Unternehmen virtualisierte Rechenzentren als Service-Infrastruktur nutzen können. Die Carrier Grade Cloud-Computing-Produkte des Berliner Anbieters ermöglichen eine skalierbare, sichere und durchgängige Nutzung von Private Clouds, Public Clouds und Database Clouds.

Deutsche Telekom
Alles unter einem Dach: Im Cloud Center bündelt die Telekom ihre Cloud-Services für mittelständische Geschäftskunden. Dazu gehören etwa E-Mail-Anwendungen, Videokonferenz-Dienste, virtueller Speicherplatz oder ein kompletter Arbeitsplatz aus dem Netz.