Zuverlässigkeit hat Vorrang
Von Sabine Philipp
Nicht nur in Fragen der Portabilität und Migration ist Cloud-Sicherheit von vorrangiger Bedeutung. Der Betreiber sollte auch ein wirksames ISMS (Information Security Management System), z.B. nach ISO 27001 umsetzen. „Wird die Buchhaltung ausgelagert, müssen die Anforderungen des Handelsgesetzbuches (HGB) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) erfüllt werden“, betont Fachmann Marc Schumacher. „Wirtschaftsprüfer müssen bei Auslagerungen auch auf eine Zertifizierung nach IDW PS 951 achten“, so der Experte weiter. Sobald personenbezogene Daten ins Spiel kommen, sollte man zudem ein Zertifikat anforfern, das den Datenschutz garantiert.
Und natürlich müssen die Informationen bei jeder Transaktion verschlüsselt sein. Schumacher: „Ein guter Anbieter achtet darauf, dass ein Kunde unverschlüsselt gar nicht auf die Daten zugreifen kann.“ Auch in der Cloud selbst ist wichtig, dass die Daten verschlüsselt abgelegt werden. Hier rät Schumacher, auf ein System zu setzen, bei dem der Anbieter selbst gar nicht zugreifen kann, weil der Nutzer sein Material intern verschlüsselt.
Hinter virtuellen Palisaden
Ein wichtiger Punkt ist für Schumacher die Mandatenfähigkeit. Er vergleicht das gerne mit dem kleinen gallischen Dorf der Asterix-Comicreihe: Mandantenfähigkeit stellt sicher, dass die einzelnen Nutzer innerhalb der Cloud sauber voneinander getrennt bleiben und einander nicht in die Daten blicken können. Mit anderen Worten: dass sie so autonom sind wie das kleine Dorf – obwohl der Rest Galliens von den Römern besetzt ist.
Marc Schumacher ist Gesellschafter, Prokurist und hauptverantwortlich für die Abteilung Rechenzentrum/Infrastruktur bei der Hamburger C&P Capeletti & Perl GmbH. Der Diplom-Kaufmann fing direkt nach seinem Studium 1998 bei dem Unternehmen an und hat das Cloud-Rechenzentrum, das sich speziell an kleine und mittelständische Kunden richtet, mit aufgebaut.
„Um die höchstmögliche Eigenständigkeit zu bewahren, raten wir unseren Kunden außerdem, die Software nicht beim Programmanbieter selbst zu hosten, sondern sie eigenständig beim Cloud-Anbieter zu mieten. Dann läuft sie so, als ob sie auf dem eigenen Server installiert wäre. Ein möglicher Einblick in die Daten durch den Softwarehersteller kann so am ehesten ausgeschlossen werden“, erklärt Schumacher.
Nur mit klarem Notfallplan
Der Alptraum jedes Cloud-Nutzers ist ein glatter Datenverlust. Diese Gefahr ist offenbar keineswegs unrealistisch, zumindest nicht nach den Erfahrungen des Datenrettungsspezialisten Kroll Ontrack. Erst im Mai 2011 teilte das Unternehmen mit, dass es in letzter Zeit verstärkt Anfragen wegen Datenverlusten in virtualisierten oder Cloud-basierten Infrastrukturen erhalte. Der Dienstleister empfiehlt daher, die Service Level Agreements vorab nicht nur auf die garantierte Verfügbarkeit, sondern auch hinsichtlich der Desaster-Recovery-Maßnahmen genau zu prüfen.
Woran erkenne ich einen verlässlichen Anbieter? – Eine hilfreiche Übersicht für Nutzer und Cloud-Anbieter nebst Checklisten gibt das Eckpunktepapier des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es behandelt etliche Bereiche, die vom BSI als kritisch angesehen werden, wie das Sicherheitsmanagement beim Anbieter, das Notfallmanagement, die Portabilität und Interoperabilität, den Datenschutz und die Compliance sowie die Vertragsgestaltung. Einzelne Checklisten helfen, den Anbieter auf Herz und Nieren zu testen. Auch BITKOM und Euro-Cloud haben ähnliche Checklisten herausgebracht: Den BITKOM-Leitfaden kann man kostenlos herunterladen, der von EuroCloud wird unter Angabe der vollständigen Kontaktdaten per Mail an leitfaden-recht@eurocloud.de als PDF bestellt.
Marc Schumacher rät in diesem Zusammenhang zu einer Vollsicherung der kompletten Serverlandschaft. „Es nützt wenig, wenn die Daten gesichert sind, aber der Server darunter explodiert ist. Mit der Serversicherung können die Systeme zeitnah neu aufgebaut werden und der Kunde kann sofort weiterarbeiten“, sagt der Experte.
In Abläufen denken
Ansonsten sind es die Details, die den Unterschied zwischen den Anbietern ausmachen. „Das Rechenzentrum sollte alle Arten von Peripheriegeräten unterstützen“, betont Schumacher. Gerade beim mobilen Einsatz kann es vorkommen, dass eine Verbindung zu einem Gerät aufgebaut werden muss, z.B. zu einem Drucker, der beim Cloud-Betreiber nicht angemeldet ist.
Die pragmatische Lösung, auf die Schumacher in diesem Fall setzt, besteht darin, mit Universaldruckertreibern zu arbeiten. „Dann können Sie vielleicht nicht das allerletzte Druckerbit ansprechen, aber man bekommt eine vernünftige Seite heraus.“
Noch wichtiger als solche Feinheiten ist aber, dass es überhaupt läuft.
Jeder Ausfall ist zu viel
Wie verlässlich die Systeme laufen, geht aus den Angaben zur Verfügbarkeit hervor. In der Regel wird sie mit einer Prozentzahl wie 99,999 angegeben. Diese besagt, wie hoch der Zeitanteil ist, in dem die Services für den Nutzer verfügbar sein müssen. Bei Werten zwischen 95 und 99 % heißt das allerdings, dass die Ausfallzeit zwischen 8:24 h (95 %) und 1:40 h (99 %) pro Woche betragen kann. Es ist natürlich übel, wenn diese Ausfallzeiten mitten in die Arbeitszeit fallen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Genau diese Erfahrung musste aber ein mitteldeutscher Finanzdienstleister machen. Wie er der Redaktion mitteilte, ließ er sich von einem Cloud-Anbieter (der übrigens mittlerweile insolvent ist), eine Anwendung verkaufen, die für sein Unternehmen und für die vorhandene Internet-Verbindung schlicht überdimensioniert war. Neben den Ausfallzeiten kamen quälend lange Arbeitsprozesse hinzu, so dass an ein vernünftiges Arbeiten nicht zu denken war.
Anschluss mit Reserve
Ohne Internet läuft beim Cloud Computing nichts. Und genau hier liegt der Hund begraben: Ausfälle kann und wird es immer geben. Aus diesem Grund, sagt Schumacher, muss mindestens eine Ersatzleitung her: „Sie sollte sowohl einen Medienbruch darstellen als auch bei einem anderen Anbieter gebucht werden“, so der Fachmann. „Die Hauptleitung kann z.B. ein DSL-Anschluss bei einem Festnetzbetreiber, die Backup-Lösung eine UMTS-Leitung bei einem Mobilfunkanbieter sein.“ Es sei zwar theoretisch möglich, dass Bauarbeiten die Leitung aufreißen und ein Sturm gleichzeitig die Antenne knickt, die Wahrscheinlichkeit schätzt der Profi jedoch als extrem gering ein.
Wie ist es aber, wenn das Unternehmen nur eine schwache Internet-Anbindung hat? „In der Regel sind keine großen Bandbreiten nötig. Bei kleinen Kunden mit 10 bis 20 Arbeitsplätzen reicht für Standardanwendungen wie Office meist eine Bandbreite von 2 Mbit/s vollkommen aus“, erklärt Schumacher und schränkt gleichzeitig ein: „Es muss sich jedoch um eine synchrone Leitung handeln, bei der Up- und Downstream gleich schnell sind. Denn Sie müssen ja nicht nur Daten aus dem Rechenzentrum herunterladen, sie möchten ja auch hochladen.“ Außerdem muss die Leitung stabil und zuverlässig sein.
Nun hat der Breitbandausbau noch nicht ganz Deutschland erreicht. Als Alternativlösungen bieten sich z.B. der Telekom-Zugang CompanyConnect, der in vielen solcher Gebiete verfügbar sei, jedoch monatlich mit etwa 300 Euro zu Buche schlagen könne, oder Kabel Deutschland an, was ebenfalls in vielen Gebieten verbreitet und recht günstig sei.
Die Freude über einen günstigen Internet-Tarif kann jedoch schnell verfliegen, wenn das Preismodell des Cloud-Anbieters selbst intransparent oder gar überteuert ist. Meist laufen die Verträge über eine bestimmte Zeitspanne. „Innerhalb dieser Dauer sollten jedoch partielle Differenzierungen möglich sein“, warnt der Diplom-Kaufmann. Denn schließlich gehe man ja in die Cloud, um flexibel zu sein. Auch was den Arbeitsort betrifft.
Teil 1 legt sich einen Plan zurecht: Was brauche ich wozu? Und wie kriege ich es am besten? Teil 2 geht ins Detail und berät zu Fragen von Sicherheit, Datenschutz und Internet-Anbindung.
Fazit: Auf Erfahrung setzen
Schumacher ist überzeugt, dass sich Cloud Computing immer stärker durchsetzen wird, u.a. deshalb, weil immer mehr Menschen dezentral, z.B. von unterwegs oder vom heimischen Büro aus arbeiten – ein Einsatz, für den die Technik geradezu prädestiniert sei. Ebenso glaubt er, dass es gerade kleine und mittlere Unternehmen in die Wolke ziehen wird, da sie besonders davon profitieren. „Kleinere Unternehmen verfügen in der Regel nicht über ein besondere IT-Budgets.“ Mit einer Cloud könnten sie die nötige Leistung für relativ wenig Geld extern einkaufen und dabei softwaretechnisch stets auf dem Laufenden bleiben. „Bei der C&P beginnen die Kosten, auf den einzelnen Nutzer heruntergerechnet bei etwa 50 bis 60 Euro im Monat und gehen bis hin zu 120 Euro bei Highend-Lösungen“, erzählt Schumacher.
Der Experte geht ebenso davon aus, dass es kleinere Firmen eher zu regional ansässigen Systemhäusern ziehen wird, die die Unternehmen kennen und in denen ein persönlicher Ansprechpartner auf ihre spezifischen Bedürfnisse als Mittelständler eingeht. Das setzt allerdings voraus, dass der Cloud-Partner seriös ist und gut berät. Hierzu hat er zum Schluss noch einen praktischen Tipp im Ärmel: den Blick auf die Kundenliste. „Wirtschaftsprüfer und Steuerberater sind nicht nur von Berufs wegen besonders vorsichtig. Sie sind auch gezwungen, sich ganz besonders genau an Gesetz und Ordnung zu halten.“ Wenn so jemand auf der Kundenliste eines Cloud-Anbieters steht, so sei das in der Regel ein gutes Zeichen.
