Vertrauen ist gut, Wissen ist besser

Die Auslagerung tendenziell sensibler Geschäftsdaten und -prozesse in eine externe Cloud will gut überlegt sein. Immerhin gibt das Unternehmen mit diesem Schritt die Verantwortung für diese IT- und Geschäftsteile ab, mit allen damit verbundenen Risiken. Und die sind sehr komplex.

Im Zeitalter des Cloud-Computing wird von den Cloud-Providern, aber auch von IT-Analysten, die Auslagerung von Daten, Anwendungen und Systemen angepriesen. Dieser Schachzug, heißt es, sei ein probates Mittel für die Unternehmen, ihre IT-Kosten nachhaltig zu senken, ohne dafür Leistungseinbußen gegenüber dem Eigenbetrieb hinnehmen zu müssen. Gerne unterbeleuchtet werden bei diesen Avancen die Leistungs- und Sicherheitsrisiken, die mit der Abgabe von IT-Verantwortungen an Cloud-Dienstleister einhergehen. Auch die Kostenbeispiele für externe Cloud-Dienste, die teils mit aufgeführt werden, sind mit Vorsicht zu genießen.

Kritische Daten unter Eigenregie

Die Entscheidung, ob Unternehmen in Zeiten der wachsenden Gefahr vor allem aus dem Cyberspace Teile der IT abgeben sollten, steht und fällt mit der Sensibilität der Daten und der Geschäftsprozesse.

Soviel vorweg: Geschäftswichtige Daten und Prozesse gehören nicht in externe Hände. Für diese Strategie sprechen viele Gründe: Mit der Auslagerung gibt das Unternehmen nicht nur die Obhut, sondern auch die Kompetenz zur Absicherung und zum Schutz der Daten sowie Prozesse
ab. Das Unternehmen kann im Fall von Outsourcing weder direkt auf die Absicherung und den Schutz einwirken, noch diese Absicherung und diesen Schutz eigenständig nach Bedarf ausbauen.

Kommt es zu Problemen, kann man nur mittelbar über den Cloud-Provider Gegenmaßnahmen anstoßen. Dabei ist das Unternehmen für eine korrekte Bewertung der Vorfälle auf die Vollständigkeit und Qualität der Informationsgabe des Cloud-Dienstleisters angewiesen. Fehlt es an dem Einen oder Anderen, zum Beispiel weil der Provider Strafzahlungen vermeiden will, wird dies zwangsläufig auf Kosten geeigneter Gegenmaßnahmen und somit der Sicherheit der Daten und Geschäftsprozesse gehen. Davon wäre dann auch die Compliance, also die nachweisliche Einhaltung gesetzlicher Vorschriften, negativ betroffen. Die extern bereitgestellten Compliance-Informationen werden selten die Vollständigkeit und Qualität erreichen, die unternehmensintern mit direkter Weisungsbefugnis umsetzbar sind.

Zudem müssten geschäftswichtige Daten und Prozesse vom Cloud-Dienstleister besser abgesichert und geschützt werden. Standardservices reichen dafür nicht aus. Dies zieht für das Unternehmen höhere Dienstleistungskosten nach sich. Hinzu kämen die internen Kosten, um die Services für die Daten, Anwendungen, Systeme sowie Prozesse im eigenen Haus und die in externer Obhut zu organisieren, zu koordinieren, zu überwachen, zu messen und zu bewerten. Parallel müssten alle damit verbundenen personellen Leistungen schnell und reibungslos ineinandergreifen. Das ist zwischen internen und externen Kräften in der geforderten Qualität oft schwer realisierbar. Bei US-Cloud-Providern käme hinzu, dass Unternehmen nie sicher sein können, dass der Dienstleister geschäftswichtige Kundendaten nicht an US-Geheimdienste weitergibt. Daten, die auf Servern in den USA liegen und verarbeitet werden, sind für US-Geheimdienste meist leicht zugänglich. Gleiches dürfte für Cloud-Provider in Großbritannien und den Geheimdienst GCHQ gelten.

Verschlüsselungssysteme, die US-Provider bereitstellen, könnten kompromittiert sein, indem zuvor die Algorithmen offengelegt wurden. Geheimdienste sollen darüber hinaus Daten an zentralen Knotenpunkten des öffentlichen Netzes abgreifen. Das ist ein Grund mehr, dass geschäftswichtige Informationen und Prozesse besser abgesicherte Unternehmens- oder Partnernetze nicht verlassen sollten.

Daten und Prozesse mittlerer Kritikalität

Vertrauen ist gut, Wissen wäre besser. Ein Unternehmen weiß bei der Auslagerung nie vollständig, was im Hintergrund mit seinen Daten passiert. Würde jeder Cloud-Dienstleister für sein Personal die Hand ins Feuer legen oder personelles Fehlverhalten beziehungsweise nicht abgewehrte Hacking-Attacken öffentlich machen?

Auch bei Daten und Geschäftsprozessen mittlerer Kritikalität ist die Frage, ob Teile der Unternehmens-IT ausgelagert werden können, nicht nur eine Kosten-Leistungsfrage. Damit verbunden ist die Fragestellung, welche Leistungs-, Sicherheits- und Compliance-Risiken das Unternehmen dafür bereit ist, in Kauf zu nehmen oder dafür in Kauf nehmen kann. Um Kosten und Leistungen ins richtige Verhältnis zu setzen, ist es erforderlich, alle Kostenfaktoren für die Bewertung „intern oder extern“ zu berücksichtigen. Dazu zählen zum Beispiel die Projekt-, Bereitstellungs-, Betriebs-, Veränderungs-, Koordinierungs- und Weiterentwicklungskosten.  

Das tatsächliche Leistungsniveau des Cloud-Dienstleisters wird das Unternehmen vorab bestenfalls annähernd bewerten können, beispielsweise über Expertisen anderer Kunden. Auch vom Dienstleister vorgelegte Zertifizierungen sind meist nur bedingt aussagekräftig. Vor der Entscheidung „in oder out“ steht im Unternehmen eine gründliche Analyse an, um die Kritikalität von Datenbeständen und Geschäftsprozessen bewerten und einstufen zu können. Erst danach ist es möglich, die Eigenkosten, um diese Datenbestände und Geschäftsprozesse mittlerer Kritikalität abzusichern und zu schützen, detailliert zu erheben und mit der Offerte beziehungsweise Leistungsbeschreibung des Cloud-Dienstleisters zu vergleichen.

Unabhängig davon, wie stark die Auslagerungstendenz im Unternehmen für Daten mittlerer und geringer Kritikalität ist: Zuvor sollte das Sicherheitskonzept stehen. Wichtig ist in diesem Zusammenhang, dass dieses Konzept ausgehend von den Geschäftsprozessen ganzheitlich betrachtet wird. Denn schließlich geht es für das Unternehmen um die Sicherheit und den Schutz der eigenen Daten und Geschäftsprozesse, unabhängig davon, wo diese residieren und ausgeführt werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Vertrauen ist gut, Wissen ist besser
2. Sicherheitskonzept ganzheitlich planen
3. Expertenkommentar: Kriterien für sinnvolles Outsourcing
4. Expertenkommentar: Service mit Brief und Siegel
5. Expertenkommentar: Safe Harbour, Privacy Shield und Co.
6. Expertenkommentar: Compliance unter Kontrolle

Lesen Sie mehr zum Thema

Weitere Artikel zu MATERNA GmbH Information & Com

„Souveräne deutsche IT-Lösungen“

Materna und StackIT schließen Partnerschaft

Bechtle gewinnt Ausschreibung

Bundesverwaltung kauft Apple-Produkte für 770 Millionen Euro

Ziel bis 2027: die Umsatzmilliarde

Materna verzeichnet 21,5 Prozent Umsatzwachstum

Platinum-Partner von Aleph Alpha

Materna entwickelt KI-Kofferlösung für Behörden

Vorstandsaufgaben neu verteilt

Überraschender Chefwechsel bei Materna

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta

Weitere Artikel zu Public Cloud

Pharia AI-as-a-Service

Souveräne KI-Komplettlösung von Aleph Alpha und Schwarz Digits

Business Backup-Cloud

Geschäftsdaten georedundant sichern mit M-net

Hybrid-Cloud-Security-Studie von Gigamon

Komplexität und Sichtbarkeitslücken als Risiken

Virtualisierung

Morpheus-Software ins HPE-Portfolio integriert

Erstes Quartal 2025

Ionos mit starkem Wachstum