Cloud Plus - Wissen für Entscheider

Cloud-Services im Mittelstand: unbedingt, aber sicher müssen sie sein!

Cloud-Services im Mittelstand: unbedingt, aber sicher müssen sie sein!

Stellen Sie sich das folgende Szenario vor: Bei einem mittelständischen ­Automobilteilezulieferer nehmen der Anteil IT-gestützter Arbeitsprozesse im Geschäft und die Vernetzung mit Kunden und Partnern stetig zu. Das Datenvolumen wächst rasant. Notwen­dige Investitionen in die eigene Rechenzentrumsinfrastruktur, Hardware und Software wurden von diesem Unternehmen in den zurückliegenden Jahren projektbezogen getätigt. Die so gewachsenen Systeme wurden zum Teil zentral und teilvirtualisiert im Rechenzentrum des Hauptstandorts betrieben, zum Teil dezentral an weiteren Unternehmens­standorten.

Mit der Neuausrichtung der IT-Strategie soll nun aber künftig – trotz geringen Handlungsspielraums bei IT- und Personalbudgets – noch schneller und flexibler auf sich verändernde Geschäftsanforderungen reagiert werden können.

Konsequenz daraus: Teile des Hard- und Softwarebetriebs werden im Rahmen eines Cloud-Modells an einen modernen IT-Dienstleister in Deutschland ausgelagert. Dieser ermöglicht es, dass Speicher, Hard- und Software nicht länger selbst vom Automobilteilezulieferer angeschafft, betrieben und vorgehalten werden müssen. Sie werden stattdessen vom IT-Dienstleister nach Bedarf als Service bereitgestellt. So erhöhen sich die Qualität, Verfügbarkeit und Bedienbarkeit der IT insgesamt, die dafür aufzuwendenden Kosten sinken.

Dass alle Geschäftsdaten den Automobilteilezulieferer ausschließlich verschlüsselt verlassen, ist selbstverständlich Bestandteil der vertraglichen Vereinbarungen. Die angebotenen Services des IT-Dienstleisters sind mit dem deutschen Datenschutzrecht und anderen Compliance1-Anforderungen konform. Kurz: Der Automobilteilezulieferer wird 24 Stunden am Tag und sieben Tage die Woche dabei unterstützt, die immer komplexeren IT-Vorhaben zuverlässig und wirtschaftlich sinnvoll zu realisieren.

Regionalität schafft Vertrauen

Das eben beschriebene Beispiel lässt sich auf viele weitere Branchen übertragen. Aber bleiben wir beim mittelständischen Automobilteilezulieferer und den von ihm ausgelagerten IT-Aufgaben. Seine Anforderung an den IT-Dienstleister ist es, dass die Daten von File Services, Messaging, Back-up und Disaster Recovery sowie der Archivierung der E-Mail-Postfächer (Bestandteile des Vertrags mit dem Cloud-Services-Provider) Deutschland nicht verlassen dürfen. Weil der IT-Dienstleister mit Rechenzentren in der Region kooperiert, kann er diesem Wunsch Rechnung tragen. Was innerhalb dieser Rechenzentren an Infrastruktur steht, wird ausschließlich von diesem IT-Dienstleister gemanagt und betrieben. Die Frage ist: Könnte Google oder Amazon das bieten?

Go secure, go Concat and Synergy

Als kompetenter Anbieter von sicheren Private-Cloud-Enterprise-Lösungen und schlanken Managed Services im Hybrid- und Public-Cloud-Bereich positionieren sich die Concat AG aus Bensheim und deren Tochter Synergy Systems in München. Concat und Synergy Experten entlasten die Kunden im Zusammenspiel mit mandantenfähigen, voll automatisierten Dienstleistungen von IT-Aufgaben, die für den Erfolg mittelständischer Unternehmen essenziell sind.

Lesen Sie nachfolgend das Kurzinterview, das wir mit dem Synergy Systems Geschäftsführer Stefan Tübinger führten.

Interview: So tickt der Mittelstand in Sachen IT-Security

 

Welche konkreten Ansprüche hat der Mittelstand in Bezug auf Datenschutz und Datensicherheit?

Tübinger: Die erste Frage des Kunden richtet sich immer danach, wo wir seine Daten in Deutschland aufheben. Also wo steht das Rechenzentrum? Dann muss man unterscheiden, ob er eine Private- oder Hybrid-Cloud-Lösung wünscht. Bei der Hybrid Cloud bedienen wir im Allgemeinen mehrere Mandanten auf einer umfassenden Infrastruktur. Hier fragt der Mittelständler zuerst nach der Mandantentrennung. Dafür gibt es heute viele Methoden, diese technisch abzubilden. Und er möchte natürlich sicher sein, dass er die Ressourcen, die er bezahlt, auch tatsächlich bekommt. Also nicht wie bei der Flugbuchung: Da werden für 100 Sitzplätze 120 Flugtickets verkauft, weil man davon ausgeht, dass 20 Personen eh nicht kommen. Das ist bei den Concat und Synergy Cloud-Services nicht der Fall. Hier stellen wir dem Kunden nur genau die IT-Ressourcen bereit, die er tatsächlich fordert und bezahlt.

Welche Services kann der mittelständische Anwender ohne große Migrationsprobleme aus der bestehenden IT herausnehmen und in die Cloud geben?

Tübinger: Immer mehr Mittelständler sagen, die Cloud ist eine coole Sache. Schon des betriebswirtschaftlichen Ansatzes wegen. Anstatt Hardware, Serverleistung und so weiter zu kaufen oder zu leasen, entscheidet man sich für IT-Services, die den konkreten Anforderungen entsprechen und für die man monatlich bezahlt. Wo man sich nicht mehr selbst darum kümmern muss, ob nun zum Beispiel das Storage während der Laufzeit mit einem Wartungs-„Carepack“ ausgestattet ist. Oder ob die bestehende Stromversorgung die richtige ist. Dazu kommt die zunehmende Komplexität der Prozesse. Ebenso die Verzahnung der Services. Da kann die Cloud von Vorteil sein. Ein Beispiel: Collaboration via Lync, Sharepoint oder Exchange. In Unternehmen mit geringer Userzahl lässt sich so etwas schnell in die Cloud packen. Das Vertrauen in Concat und Synergy fasst der Kunde leichter, wenn er erst einmal einen Cloud-Service ausgewählt und getestet hat und das prima lief. Dann ist er frei, in weiteren Schritten tiefer in die Cloud einzusteigen, um damit die wachsenden Ansprüche an Verfügbarkeit zu erreichen und die eigenen IT-Mitarbeiter zu entlasten.

Secure Data Space – die Businessalternative zu Dropbox und Co.

In vielen Unternehmen gibt es keine zentrale Lösung für den Dateiaustausch mit Dritten. Also suchen sich die Mitarbeiter selbstständig und häufig ohne Rücksprache mit den internen IT-Verantwortlichen frei verfügbare Alternativen wie zum Beispiel Dropbox. Damit liegen relevante Daten eventuell unverschlüsselt außerhalb des Zugriffsbereiches der Unternehmens-IT – und verstoßen damit gegen Sicherheitsrichtlinien. Alternative made in Germany: Secure Data Space von Synergy Systems. Hier sind der Rechenzentrumsbetrieb und die Prozesse nach ISO270012 zertifiziert und erfüllen umfassend die IT-Compliance-Vorgaben hinsichtlich Datenschutz und Datensicherheit. Weiterführende Informationen finden Sie auf dieser Website: http://www.synergysystems.de
sds01

 

In einer Diskussionsrunde auf der CeBIT meinte ein Teilnehmer: Die Cloud ist dann etabliert, wenn man nicht mehr darüber spricht. Zustimmung oder Widerspruch?

Tübinger: Gegenfrage – was ist denn Cloud? Cloud Computing gibt es schon viele Jahre. Da hieß das Kind nur anders. Damals wie heute geht es doch aber um nichts anderes als um IT-Services, die aus einer sicheren Umgebung heraus für den Anwender erbracht werden. Früher hat man das IT-seitig mit Mainframes und großen Hosts gemacht. Heute läuft das via Virtualisierung. Der große Unterschied heute: die Null-Fehler-Toleranz des Anwenders an Nichtverfügbarkeit. Man ertappt sich ja selber am Samstagabend zu Hause im Wohnzimmer. Da will man spontan und jederzeit bei Amazon oder sonst wo etwas bestellen und würde sich ärgern, wenn das nicht funktionierte. Deshalb sehe ich die Cloud auch eher für die „Always-on-Services“ und weniger für Unternehmen, die am Wochenende keine Serviceleistungen erbringen.

Stichwort Verfügbarkeit der geschäftskritischen Anwendungen: Wo liegen aus der Sicht des Anwenders die Vorteile einer Cloud-Lösung gegenüber einer lokalen IT-Infrastruktur?

Tübinger: Nehmen wir an, das Firmen-Headquarter gibt vor, ein zweites Data Center für Disaster Recovery aufzubauen. Dann hat man als Unternehmen prinzipiell drei Möglichkeiten. Variante 1: Man sucht sich selber einen Standort, baut sich dort einen entsprechenden Rechnerraum oder ein kleines Data Center aus und betreibt dieses als Back-up-Rechenzentrum. Variante 2: Man spart sich die Investition in Bau und Betrieb und mietet sich im Rechenzentrum des Cloud-Service-Providers die notwendige Fläche. Möglichkeit 3 ist es, über das virtuelle Data Center des Service-Anbieters CPU, RAM, Storage plus eine dedizierte Security-Infrastruktur zu beziehen. Im virtuellen Data Center erhöhen sich für den User die Compliance, Sicherheit und Verfügbarkeit, ohne dass dabei eine große Investition getätigt werden muss. Weitere Ressourcen können bedarfsgerecht hinzugeschaltet werden.

Herr Tübinger, Danke für Ihre Einblicke.

Sie haben die Hoheit – so oder so

Beim Thema sichere Cloud-Services gibt es unterschiedliche „Fertigungstiefen“. Zum einen haben Sie die Möglichkeit, sich vom Cloud-Service-Provider eine Plattform, IT-Umgebung bzw. -Infrastruktur bereitstellen zu lassen, auf der Sie dann Ihre eigenen Anwendungen bzw. Applikationen betreiben. In diesem Falle hat der Cloud-Service-Provider keinen Zugang zu Ihren Geschäftsdaten.

Oder nehmen wir einmal an, Sie möchten sich gar nicht mit IT-Belangen beschäftigen und sich noch mehr auf Ihre Kernaufgaben konzentrieren. Dann können Sie dem Cloud-Experten weitere Befugnisse einräumen. Unter Umständen bis hin zum Zugriffsrecht auf Ihr Firmenbetriebssystem. Ungeachtet der damit einhergehenden Vorteile muss eines klar sein: Berücksichtigen Sie in jedem Fall, dass Aufgaben und Zuständigkeiten (Directory Services3, Benutzerverwaltung usw.) sauber voneinander abgegrenzt und schriftlich fixiert werden. Dies sollte in entsprechenden Service- und Betriebshandbüchern dokumentiert sein.

Im Folgenden seien einige wichtige exemplarische Checkpunkte genannt. Diese erlauben es, sich zumindest einen ersten Überblick über Maßnahmen zur Absicherung gegen Datenverlust in der Wolke zu verschaffen:

Absicherung gegen Datenverlust in der Wolke: Maßnahmen Punkt für Punkt

  • Der Server-Standort ist Deutschland (Data Center eines erfahrenen Cloud-Dienstleisters).
  • Daten in der Cloud sind nur Berechtigten zugänglich. Man weiß, wer (Mitarbeiter, Geschäftspartner, staatliche Behörden) auf den Server zugreifen kann.
  • Kommunikation wird über sichere ­Verbindungen hergestellt.
  • Alle Files sind mit anerkannter ­Verschlüsselungstechnik auf dem ­Server abgelegt.
  • Passwörter, Rechtekonzepte inklusive Back-up sind verschlüsselt gespeichert.
  • Der Zugriff auf relevante Inhalte wird z. B. über Authentifizierung kontrolliert.
  • Die individuelle Ausgestaltbarkeit (bzw. flexible Erweiterbarkeit) der IT-Systeme bietet maximale Zukunftssicherheit.
  • Der sichere Zugriff auf die Cloud ist über unterschiedliche Endgeräte (Desktop-PC, Notebook, Tablet, Smartphone usw.) möglich.
  • Compliance beschreibt in der Unternehmensführung die Einhaltung gesetzlicher, unternehmensinterner und vertraglicher Regelungen. Ein Beispiel: Der § 257 des Handelsgesetzbuches schreibt vor, etwa Buchungsunterlagen zehn Jahre lang aufzubewahren.
  • ISO27001 ist die internationale Zertifizierungsnorm für Systeme der Informationssicherheit.
  • Directory Services sind Dienste, die im Firmennetzwerk einer Nutzergruppe Daten bestimmter Art zur Verfügung stellen.

 

Stefan Tübinger

SynergySystems_Stefan_Tuebinger_93

Synergy Systems GmbH

Stefan Tübinger studierte Wirtschaftsingenieurwesen an der Hochschule Esslingen und schloss das Studium 1993 mit Diplom ab. Bereits 1991, während seines Studiums, gründete er ein IT-Consulting-Unternehmen und war als IT-Berater aktiv. Mit seiner Firma CST Unternehmensberatung spezialisierte er sich auf Kliniken und Reha-Einrichtungen und entwickelte für diese Softwarelösungen. 2003 gründete er die Synergy Systems GmbH in München mit den Schwerpunkten Softwareentwicklung, Rechenzentrumsbetrieb, Network Operations und Managed Services für IT-Organisationen. 2013 erwarb die Concat AG Synergy als 100-prozentige Tochter.