Nicht jeder Cloud-Dienst kann einfach so in einem Unternehmen eingesetzt werden. Diese Erfahrung musste Zürich Financial Solutions (Zufiso) machen, eine Steuerberatungsfirma aus der Schweiz. Zufiso bietet seinen Kunden per App eine digitale Steuererklärung an. Das Prinzip ist leicht: Die Kunden fotografieren sämtliche relevanten Dokumente ab und laden sie über das Internet in die Cloud. Das Problem: Die Daten waren öffentlich zugänglich. Lohnabrechnungen, Heiratsurkunden und vieles mehr von tausenden von Kunden konnten von jedem User mit aktivem Nutzerkonto eingesehen werden. Ein Sicherheitsforscher machte das Unternehmen darauf aufmerksam. Dabei kann Cloud-Computing die Produktivität und Effektivität eines Unternehmens in ungeahnte Höhen steigern. Wichtig ist hier das richtige System.

Cloud-Computing

Viele Unternehmen zögern noch damit, eigene Daten in Clouds zu speichern oder andere Cloud-Services in Anspruch zu nehmen. Allerdings sind öffentliche Dienste durch Verschlüsselung und diverse Identitäts- und Zugriffsbearbeitungstools wesentlich sicherer als noch vor ein paar Jahren. Zum Vergleich: Nur 2,7 Prozent aller auf diese Weise gespeicherten Daten haben laut Statistik eine Erlaubnis ausgegeben, öffentlich eingesehen zu werden. Somit bleibt Zufiso eine Ausnahme. Die Vorteile sind:

1. Cloud-Computing spart Ressourcen ein. Weil alle auf einer Cloud basierenden Services über das Internet abrufbar sind, können sich die User unkompliziert einwählen und die benötigten Daten abrufen. Eigene Hardware-Ressourcen, wie externe Festplatten oder USB-Sticks, müssen nicht angeschafft werden. Die Anmietung einer Cloud ist oftmals billiger.

2. Die User können von überall aus auf ihre Daten zugreifen. Solange sie eine Internetverbindung haben. Projekte oder Arbeitsschritte, die von mehreren Mitarbeitern ausgeführt werden, sind so live für alle gleichzeitig verfügbar.

3. Für die Nutzung zahlt der User per „Pay to use“-System. Bei diesem werden die Rechnernutzung gemessen und lediglich die Ressourcen berechnet, die der User auch wirklich benutzt hat. Einige Cloud-Systeme bieten auch Flatrate-Zahlungen an.

infografik cloud-computing 2

Quelle: Statista

Infrastruktur in den Wolken

Es gibt drei Arten von Cloud-Computing-Services. Der erste von ihnen wird Infrastructure as a Service genannt, kurz IaaS. Der Name ist Programm, denn IaaS-Dienste stellen Infrastrukturen zur Verfügung. Zum Beispiel Rechnerleistung und Speicherkapazitäten. Unternehmen, die keine eigenen Server führen, können sie über den Anbieter einfach per Internet mieten. Ein Negativpunkt: Fehlende Transparenz. Wenn alle Dienste gemietet und nicht gekauft sind, hat ein Unternehmen keine Einsicht darin, wie die Infrastrukturen konfiguriert sind. Ein Beispiel für eine IaaS-Cloud sind die von Zufiso gebrauchten Amazon Web Services.

Weitere Beispiele für IaaS-Anbieter: Microsoft Azure, Google Compute Engine

Wer eine Plattform braucht

Platform as a Service (PaaS) stellt dem User Hardware und Software-Werkzeuge zur Verfügung. Der PaaS-Anbieter baut und unterhält Plattformen für Entwickler von Webanwendungen. So ist es Nutzern von PaaS-Diensten möglich, sich auf die Entwicklung und Ausführung dieser Anwendungen zu konzentrieren, ohne die grundlegenden Services selbst konstruieren zu müssen. Hat der PaaS-Anbieter allerdings Serverprobleme oder ist nicht erreichbar, so wirkt sich das negativ auf die Produktivität der User aus. Heroku beispielsweise bietet dem User die Möglichkeit, eine eigene Website zu entwerfen und zu hosten. Anschließend werden alle Daten in der Cloud gespeichert.

Weitere Beispiele für PaaS-Anbieter: AWS Elastic Beanstalk, Google App Engine

Software über das Internet

Automatische Updates, flexible Zahlungsoptionen, Abrufbarkeit: Das bietet das Software as a Service-Prinzip (SaaS) des Cloud-Computings. SaaS eliminiert die Notwendigkeit, Software wie etwa Apps selbst installieren und benutzen zu müssen und stellt dem User Software zur Benutzung in der eigenen Infrastruktur bereit. Aus diesem Grund wird SaaS auch “Software on Demand” genannt. Ebenso fallen damit die Lizensierung und Support weg. Ein Beispiel für eine SaaS-App ist Microsoft Office 365. Ideal für alle, die ihren eigenen Rechner nicht mit Programmen überfüllen möchten.

Weitere Beispiele für SaaS-Anbieter: Salesforce, NetSuite, Concur

Von Zufiso lernen

Die Daten, die vom Nutzer an die Cloud übertragen werden, sollten um jeden Preis geschützt sein. Dabei gilt es zu beachten, dass viele Anbieter aus den USA stammen und sich dementsprechend an amerikanische Gesetze halten. Daher ist der Nutzer auf die Datenschutzmaßnahmen des Anbieters angewiesen. Außerdem unterliegen alle dort gespeicherten Daten dem Patriot Act und müssen daher der Regierung vorgelegt werden. Sobald diese Regelung personenbezogene Daten Dritter betrifft, liegt ein Verstoß gegen die deutschen Datenschutzbestimmungen vor. Vor dem Anmieten ist es hilfreich, sich die folgenden Fragen zu stellen:

1. Für welche Bereiche meines Unternehmens brauche ich Cloud-Computing?
2. Ist der Preis nachvollziehbar?
3. Welche Leistungen erhalte ich und kann ich später noch welche dazu mieten?
4. Wie regelt der Anbieter den Datenschutz?
5. Gibt es Downtimes? Ist der Anbieter gut erreichbar?
6. Kann ich den Dienst mit einem, den ich bereits nutze, „koppeln“?

infografik-cloud-computing-3

Quelle: Statista

Bescheinigter Datenschutz

Ein Anbieter muss nachweisen können, dass seine Dienste die notwendigen Datenschutz- und Sicherheitsbestimmungen einhalten. Da es viele verschiedene Zertifikate gibt, die sich mit Cloud-Computing befassen, entwickelte das Bundesministerium für Wirtschaft gemeinsam mit der Stiftung Datenschutz das “Trusted Cloud”-Zertifikat. Es prüft die Einhaltung sämtlicher gesetzlicher Anforderungen im Hinblick auf den Datenschutz. Das TCDP (Trusted Cloud Datenschutz-Profil) deckt als einziger Prüf-Standard sämtliche Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung ab. Besonders wichtig ist das für Unternehmen, die Kunden- oder Personendaten verarbeiten.

Die folgenden Maßnahmen sorgen für einen ausreichenden Datenschutz:

  • Zertifikat prüfen
  • Verschlüsselungs- und Anonymisierungsoptionen bestellen
  • Europäischen Serverstandort auswählen
  • Gibt es Backup-Optionen?
  • Sind einsehbare Protokolle zum Monitoring vorhanden?

Der erfolgreichen Integration von Cloud-Services in den Unternehmensalltag steht so nichts mehr im Wege.

Titelbild: © lassedesignen / Fotolia.com