Sichere Cloud-Alternativen anbieten

Ein schlichtes Verbot der unerlaubt genutzten Apps führt oft nur zu unzufriedenen Mitarbeitern, da sie bestimmte Aufgaben dann sehr viel umständlicher erledigen müssen. Dies wiederum zieht nach sich, dass Kollegen das Verbot ignorieren – nicht aus bösem Willen, sondern um Arbeitsprozesse effektiv durchzuführen. Daher sollten diese Apps nicht einfach untersagt, sondern durch sichere und für den Unternehmens­einsatz geeignete Anwendungen ersetzt werden. Dies erfordert eine Marktrecherche, Mitarbeiterumfragen, Entwicklungsaufwand für individuelle Anpassungen sowie Test- und Implementierungsphasen. Viele Mittelständler fürchten den dafür nötigen Aufwand in Bezug auf Personal und Zeit. Zudem fehlt ihnen oft das nötige Risikobewusstsein.

Dabei gibt es bereits viele attraktive Cloud-Lösungen für Unternehmen. Ob AWS, Google, Azure, IBM oder Hoster, die cloudähnliche Dienste bereitstellen: Aufgrund des starken Wettbewerbs bieten sie einfach nutzbare, sichere und individuell anpassbare Lösungen. Aber nach welchen Kriterien sollten Mittelständler den Provider aussuchen?

Für den Unternehmenseinsatz sind vor allem Zertifizierungen im Bereich Sicherheit wichtig. Hinzu kommt die persönliche Betreuung – auf analytisch-korrekte wie auch pragmatische Weise. Erklärungen und Diskussionen auf Augenhöhe bilden den Grundpfeiler einer langfristig erfolgreichen Zusammenarbeit. Trotzdem kann jede Kooperation einmal zu Ende gehen. Daher müssen Mittelständler schon im Vorfeld festlegen, wie sie aus dem Vertrag ohne großen Aufwand wieder herauskommen. Lassen sich bei einem cloudbasierten E-Mail-System die Mails ohne Weiteres auf eine andere Lösung übertragen? Können Daten aus dem Cloud-ERP- oder Cloud-CRM-System wieder in das eigene Rechenzentrum zurückgeholt werden? Was passiert mit den Kalendereinträgen in der Groupware? Selbst scheinbare Kleinigkeiten können zu sehr viel Aufwand führen.

Rein technische Anforderungen spielen dagegen eine immer geringere Rolle, da die meisten Provider diese mit vergleichsweise wenig Aufwand erfüllen können. Trotzdem sollten sie ausführlich betrachtet werden. Der Standort der Rechenzentren in Deutschland oder Europa wird oft gefordert. Dies mag aus Compliance-Gründen für öffentliche Institutionen, Finanzunternehmen oder Anbieter aus dem Gesundheitswesen berechtigt sein. Doch in vielen anderen Branchen sind die Compliance-Anforderungen nicht so hoch.

Aus der Sicherheitsperspektive ist der Standort unerheblich. Cyberkriminelle können prinzipiell in alle Systeme eindringen, die mit dem Internet verbunden sind, unabhängig vom Ort. Gerade aus diesem Grund sind Daten in der Cloud oft sicherer als im eigenen Rechenzentrum oder auf Notebooks. Ist ein Hacker zum Beispiel in das Tablet eines Mitarbeiters eingedrungen, kann er über dessen Zugangsberechtigungen oft auch auf die Server des Unternehmens zugreifen – ähnlich wie ein Einbrecher, der über das schlecht gesicherte Ga­ragentor ins Haus eindringt und vom Keller bis zum Dachboden alle Wertgegenstände abräumt.

Cloud-Angebote sind demgegenüber meist um einige Größenordnungen besser gesichert. Sie verfügen nicht nur über mehrere Zugangsschranken, sondern segmentieren auch im Inneren die Bereiche. Die Entsprechung ist hier ein hochgesichertes Forschungsgebäude: Am Eingangstor befinden sich ein hoher Zaun, eine Videokamera, ein Bewegungsmelder und ein Pförtner, die der Einbrecher zuerst alle überwinden muss. Auf dem Freigelände sind ebenfalls Kameras und Bewegungsmelder installiert und es patrouilliert ein Sicherheitsdienst. Selbst wenn der Einbrecher durch die mehrfach gesicherte Eingangstür kommt, muss er erst diverse weitere Sicherheitstüren passieren, um in ein Labor zu gelangen. Zudem ist bei Cloud-Angeboten meist alles verboten, was nicht ausdrücklich erlaubt ist. Dies erschwert Cyberkriminellen illegale Aktionen zusätzlich.