Datenhaltung in der Cloud ist nicht neu. Erst seitdem es vielerorts enorme Bandbreiten gibt, boomt das Cloud-Geschäft. Die Sicherheit der IT-Systeme und damit der Daten in der Cloud ist oft höher als auf veralteten Systemen mit unklaren Backup-Situationen im Keller eines Mittelstandsunternehmens.
Die Entscheider haben oft weder Klarheit über die eigenen IT-Systeme noch über aktuelle Cloud-Sicherheit und treffen auf Basis der medialen Berichterstattung die vorschnelle Entscheidung, doch lieber das Altsystem im Keller laufen zu lassen, denn dafür hat man den Schlüssel auf Schlüsselbund.
Unbewusst gefährden die Unternehmensverantwortlichen so das Vertrauen der Auftraggeber, die Auftragslage, die Jobs und schließlich das gesamte Unternehmen.
In den vergangenen fünf Jahren habe ich in über 200 IT-Sicherheits- und Datenschutzprüfungen weltweit mit meinem 20-köpfigen Team immer wieder ähnliche Feststellungen gemacht:
Schlechte, veraltete oder nicht vorhandene Dokumentation von Infrastruktur, Kennwörtern, Backups, Datenbanken
Unternehmen wissen nicht, wo ihre schützenswerten Informationen gespeichert sind und wie einfach man diese Informationen vor Datendiebstahl schützen könnte
Klassische Spionagetechniken in Kombination mit IT-Angriffen gefährden täglich "gut funktionierende Mittelstandsunternehmen", die oft ahnungslos in die einfachsten Fallen laufen.
Auftraggeber erwarten von Zulieferern nicht nur Vertraulichkeit, sondern eine nachweisbare Informationssicherheit, die vor Ort überprüft werden kann (BDSG §9, 11)
Subunternehmer werden nicht verpflichtet oder geprüft. Die Leistungskette ist lückenhaft.
Schwachstellen sind oft "bekannt", die Unternehmen fühlen sich überfordert systematisch nach Schadenswahrscheinlichkeit und -höhe priorisiert die Aufgaben anzupacken und umzusetzen. Genau damit beginnen die Teilnehmer einer zertifizierten Schnellprüfung.
Der Feind des Mittelstandes sind nicht die Geheimdienste sondern seine so genannten Marktbegleiter. Dem Wettbewerb aber sind aufgrund unzureichender Schutz- und Abwehrmaßnahmen oft Tür und Tor geöffnet und das sperrangelweit. Unverschlüsselte E-Mail etwa ermöglicht den Diebstahl von geistigem Eigentum (von Planungsskizzen bis hin zu schriftlichen Angeboten, die als Dateianhang an Kunden und Partner herausgehen) ohne großen Aufwand; DdOS-Attacken legen die Server lahm ... - der Beispiele sind viele.
Die Folgen aber sind immer die gleichen: Ausfälle erfolgskritischer Systeme, wirtschaftliche Einbußen, Schädigung der Reputation und im schlimmsten Fall der komplette Verlust der Wettbewerbsfähigkeit.
Datenschutz ist keine Sachbearbeitungsaufgabe
Gute Datenschutzbeauftragte verfügen neben einer guten Sachkunde über profundes Wissen in IT, Organisation, betriebswirtschaftlichen Zusammenhängen und Weitblick bei Risikoabschätzungen. Datenschutz ist essentieller Bestandteil eines GRC-Managements.
Zu allererst gehört das Wissen in die Köpfe der Entscheider! Selbst Führungskräfte von börsennotierten Unternehmen sind erstaunlich leichtfertig, wenn es um die Sicherheit ihrer persönlichen Daten und die ihres Unternehmens geht, vor allem auf Dienstreisen, in der abendlichen Abgeschiedenheit ihrer Hotelzimmer. Der Abruf von EMails und Unternehmensdaten über ungesicherte WLANs ist keine Seltenheit.
Was ist das wichtigste Kapital des Unternehmens?
Mittelständische Unternehmen müssen ihren Blick auf die Bereiche legen, in denen sie Geld verdienen. Forschung, Entwicklung und Produktion sind mindestens so gut zu schützen wie etwa die ERP-, CRM- und E-Mail-Systeme. Und so kann selbst die als unsicher geltende Dropbox datenschutzrechtlich sauber eingebunden werden: Es kommt darauf an, welche Informationen dort Dritten bereitgestellt werden sollen.
- Cloud Computing und der deutsche Markt 2014
Wie steht es um das Thema Cloud in deutschen Unternehmen? Was machen die großen Cloud Service Provider (CSP), außer ein Data Center nach dem anderen aus dem europäischen und deutschen Boden zu stampfen? Wir haben Zahlen und Fakten zusammengestellt. - Wie Anwender einen Cloud Provider finden
Bei der Auswahl eines Cloud-Service-Providers dominiert zwar mit "Integrationsfähigkeit" der Lösung ein technisches Kriterium. Fast ebenso wichtig sind jedoch Faktoren wie der Firmensitz des Anbieters und der Standort seiner Datacenter. - Das Misstrauen ist weider da
Deutsche Unternehmen hegen ein gewisses Misstrauen gegenüber Cloud-Services von externen Anbietern. Das spiegelt sich in Anforderungen wie der Datenspeicherung in Deutschland und der Vertragsgestaltung wider. - Wenn, dann sind es Konzerne
Laut der Studie Cloud Monitor 2014, welche die Beratungsgesellschaft KPMG im Auftrag des Hightech-Verbandes Bitkom erstellte, standen deutsche Unternehmen bis Ende 2013 Public-Cloud-Diensten skeptisch gegenüber. Nur 15 Prozent griffen auf solche Angebote zurück, vor allem Großfirmen. - Geeignetes Gegenmittel?
Amazon Web Services (AWS) versucht, ein Vertrauensverhältnis zu misstrauischen Kunden aufzubauen. - Hybride Modelle gefragt
Um die Kontrolle über ihre Daten nicht komplett an einen externen Provider abgeben zu müssen, tendieren viele Anwender mittlerweile zu Hybrid-Modellen. - HP Helion
HP setzt mit seiner auf OpenStack basierenden Helion-Architektur sowohl auf Private- als auch Public-Cloud-Ansätze. - Oracle Solaris
"Build for Clouds": Auch Oracle preist gewohnt vollmundig seine Cloud-Infrastruktur-Angebote an. - Die Deutschen dürfen mitspielen
T-Systems geht als größter nationaler CSP einen diversifizierten Weg und offeriert Dienste in allen Bereichen - von Business-Apps über Kommunikations-Dienste und Security bis hin zu PaaS- und BPM-Services. - Hindernisse bleiben
Für die Cloud-Provider sind aber immer noch große Steine zu klopfen: Sicherheitsbedenken, individuelle Wünsche, unternehmensinterne Widerstände und andere Prioritäten bremsen den "vollen Cloud-Umstieg" in vielen deutschen Anwenderunternehmen noch aus. - ... und wenn, dann bitte von hier
Globale Cloud-Provider werden es wohl weiterhin nicht leicht haben - die lokalen Dienstleister und Fachhändler oder stark spezialisierte Provider, die Kundenwünsche gezielt befriedigen können, haben Vorteile.
Mitarbeiter einbinden
Die Sensibilisierung der Mitarbeiter und umsichtiges Verhalten ist Pflicht. Denn sonst nützen Investitionen in technische Sicherheit gar nichts. Daher legen wir größten Wert auf regelmäßige Trainings der Belegschaften innerhalb und außerhalb des Unternehmens. Die Erfahrung draußen im Feld zeigt: Wenn der Datenschutzbeauftragte nicht jedem Mitarbeiter bekannt ist (und erst dann funktioniert der Datenschutz!), ist der Datenverlust nur noch eine Frage der Zeit.
Datenschutz als Wettbewerbsvorteil
Gelebter Datenschutz ist immer die Kombination aus technischen Maßnahmen und sensiblem Verhalten der Menschen, vom Berufseinsteiger bis hin zum Vorstand. In Kombination mit durchdachten Datenflüssen und Einbindung der Fachabteilungen werden die Datenschutzinteressen Dritter gewahrt - und der Datenschutz wird vom "ungeliebten Kind" zum echten Wettbewerbsvorteil.
Knackpunkt für Systemhäuser
IT Systemhäuser haben oft einen "guten Draht" zu Ihren Kunden. Der IT-Experte kann aber nicht gleichzeitig IT-Betrieb und Datenschutz umsetzen, die Funktionsüberschneidung ist unzulässig. Systemhäuser können aber dem internen oder externen Datenschutzbeauftragten (Partner) in Form von IT-Sicherheitsprüfungen zuarbeiten, um so die Bindung zu den vertrauten Kunden auszubauen und nicht durch Dritte zu gefährden. Dazu zählen auch die gemeinsamen Bewertungen von Cloud-Sicherheit und -Zulässigkeit. (rb)
- Aufmerksam verfolgten die Zuhörer die Vorträge.
- Ganz vertieft in die Details am APC Stand
- Norbert Keil von APC vermittelte Einblicke in die Rechenzentrums-Architektur der Wortmann Cloud.jpg
- Diskussion am Acmeo-Stand
- Manfred Wagner und Lutz Krocker von Akzentum
- Martin Klein von der Wortmann AG zeigte anhand der Terra Cloud, wie Partnern der Umstieg von On-premise- zu Cloud-Modellen gelingt.
- Wie Partner die Daten ihrer Kunden in virtuellen und Cloud-Umgebungen rundum schützen können, erläuterte William Fletcher von Webroot.
- Diskussion am APC-Stand
- Telekom Robert Klütsch und Arne Feddersen im Gespräch.
- Henning Meyer von Acmeo erläuterte, welche Konzepte und Tools Partner bei Managed Services erfolgreich unterstützen können.
- Diskussionsrunde mit Thomas Hefner von Kaseya und Jens Hagel vom Systemhaus Hagel IT-Services
- Julian Jobstreibizer zeigte, wie Partner ihre Dienstleistungen intelligent gestalten und transparent abrechnen können.
- Leckere Snacks und Mittagsbüffet halfen, die Cloud zu erden.
- Jens Hagel gründete 2004 das Hamburger Systemhaus Hagel IT-Services und setzte von Anfang an auf proaktiven Service. Er berichtete aus seiner Erfahrung, wie Managed Services in der Praxis funktionieren.
- Erfahrungsaustausch aus erster Hand am Stand von Kaseya
- Thomas Hefner von Kaseya und Jens Hagel von Hagel-IT Services erläuterten anschaulich, wie der Start ins Geschäft mit Managed Services gelingt.
- George Anderson und William Fletcher von Webroot.
- "Setzen Sie heute die entscheidende Weichenstellung für das Cloud-Geschäft", rät Marc Schumacher, Geschäftsführer des Sytemhauses C&P Capeletti & Perl, anderen Partnern aus seiner Erfahrung heraus.
- Michael Seebach von ComTeam und Regina Böckle von ChannelPartner moderierten die Veranstaltung.
- Knifflige Rechtsfragen klärte Thomas Feil sowohl aus Sicht des Anwenders wie des Anbieters.
- Arne Feddersen und Robert Klütsch von der Telekom Deutschland.
- Julian Jobstreibizer von Autotask im Gespräch
- Rechtsanwalt Thomas Feil verwandelte komplizierte Rechtsfragen zu Datenschutz, Haftungsfragen und Vertragsgestaltung in griffige Tipps.
- Robert Klütsch von der Telekom Deutschland packte aus, wie Partner mit den IT- und Cloud-Diensten der Telekom verdienen können.
- Rund 70 Systemhäuser und Dienstleister diskutierten im Hamberuger "Jensens Lagerhaus" über Chancen und Risiken der Cloud.
- Wie Systemhäuser wertvolle Serviceleistungen zu attraktiven Preisen anbieten können, verriet Thomas Hefner von Kaseya in seinem Vortrag.
- Gesprächsrunde am Webroot-Stand
- Partner wollen noch mehr zu Wortmanns Terra Cloud erfahren.