2017 war das Jahr der Hackerangriffe. Die Gesamtzahl dieser Attacken stieg im Jahresvergleich um 69 %. Damit erhebt sich die Frage nach der Datensicherheit auch und gerade im industriellen Umfeld. Denn für produzierende Unternehmen gewinnen Cloud-basierte Angebote zunehmend an Bedeutung. SAP und andere Serviceprovider setzen vermehrt auf diese Entwicklung und bieten Private Clouds an, die nur dem jeweiligen Vertragspartner zugänglich sind. In diesem Fall basiert das Datennetz auf einem unternehmens- beziehungsweise organisations-internen Intranet. Das Angebot reicht vom reinen Speicherplatz über mehr Rechenleistung bis hin zu Büro-Software und ERP-Anwendungen.
Bei manchen Cloud-Anbietern sind die ERP-Suites schon branchenspezifisch vorkonfiguriert (zum Beispiel mit einem produktionstechnischen oder serviceorientierten Schwerpunkt). Allerdings haben sich in vielen Betrieben im Laufe der Jahre individuelle Geschäftsprozesse etabliert, die nicht in diesen Rahmen passen. Eine Weiterentwicklung in Richtung Cloud-basiertes Datenmodell ist dann weder sinnvoll noch wirtschaftlich. Diese Prozesse werden sich im Zuge der Digitalisierung aber ohnehin wandeln müssen, um eine unternehmensübergreifende Wertschöpfungskette zu ermöglichen. Die Einführung einer standardisierten Software-as-a-Service-Applikation (SaaS) kann dabei behilflich sein, sich an Industrie-4.0-Standards anzupassen.
ERP-Anwendungen in einem SaaS-Modell bieten überzeugende Vorteile. Sie werden vom Service-Provider betrieben; Installation, Wartung und Updates laufen unbemerkt im Hintergrund. Alle relevanten Geschäftsdaten können mobil und von jedem Endgerät zeit- und ortsunabhängig genutzt werden – in Zeiten hoher Mobilität der Mitarbeiter ein entscheidender Vorteil. Anstelle der klassischen Softwarelizensierung tritt bei SaaS-Anbietern in den meisten Fällen ein modularer Abrechnungsmodus, der zu Einsparungen führen kann – denn nicht selten wird bei konventionellen Software-Paketen nur ein Teil genutzt, aber alles bezahlt. Dieser Kostenanteil entfällt bei einer individuellen Berechnung; ebenso der Aufwand für eine eigene IT-Infrastruktur sowie die Kosten für Räume, Wartung und Instandhaltung.
Pro und contra Wolke
Häufig werden gerade Sicherheitsargumente gegen eine Cloud-Lösung angeführt: Zu ungeschützt sei der Datenverkehr übers Internet zu Rechenzentren, auf die das Unternehmen keinen Einfluss hat. Doch meist ist genau das Gegenteil der Fall. Denn welches Unternehmen treibt schon den Security-Aufwand, den zertifizierte Rechenzentren bieten: redundante Strom- und Datenleitungen, Zutrittskontrollen, aufwendige Vorkehrungen für Brandschutz und Kühlung sowie Backup-Services an verteilten Standorten. Ganz zu schweigen von den jeweils neuesten Firewalls und Verschlüsselungs-Technologien.
Wo liegen die Hemmnisse in puncto Cloud für Mittelstand und KMUs in Deutschland? Im Rahmen der „The 2018 Global Cloud Data Security Study“ wurden weltweit über 3000 IT-Manager und Sicherheitsverantwortliche zu diesem Thema befragt. Demnach setzt bereits ein Drittel aller Unternehmen ausschließlich auf Cloud Computing; die Tendenz steigt. 79 % der Befragten gab an, dass Cloud-Anwendungen und Plattformlösungen wichtig oder sehr wichtig für den Geschäftsbetrieb sind. Die Studie erwartet, dass dieser Wert in den nächsten zwei Jahren auf 87 % steigt.
Und doch setzen noch viele Unternehmen auf On-Premise-Lösungen – also auf die Datenhaltung im eigenen Haus. Neben Sicherheitsfragen zählt zu den Gründen auch die Angst vor Abhängigkeit. Wer seine Daten einem Anbieter anvertraut und Schnittstellen und Strukturen darauf ausrichtet, kann zukünftig nur noch mit großem Aufwand den Anbieter wechseln. Standards, die den Wechsel zum nächsten Dienstleister ermöglichen, sind nicht in Sicht. Dazu kommen Detailfragen, wie die gesetzlich vorgeschriebene ultimative Löschung mancher Daten; das ist in der Cloud nicht ohne weiteres möglich. Oder auch die Frage, was bei einer Insolvenz des Service-Anbieters geschieht. Mit ziemlicher Wahrscheinlichkeit werden die entsprechenden Server dann an einen anderen Cloud-Anbieter verkauft – im Zweifelsfall inklusive aller Daten. Allerdings sind solche Schreckensszenarien noch nicht eingetreten.
Was noch für die Cloud spricht ist die nahezu unbegrenzte Skalierbarkeit. Wer den Speicherplatz im Netz mietet, kann Ressourcen flexibel ausbauen. Das ist gerade im Hinblick auf die sprunghaft ansteigenden Datenmengen im Industrie-4.0-Umfeld ein wichtiger Aspekt. In der Produktion ermitteln Sensoren zunehmend im Millisekunden-Takt den aktuellen Status von Systemen und Objekten und erzeugen Daten, die verarbeitet und gespeichert werden müssen.
Der Weg in die Cloud:
1. Analyse und Konsolidierung
Vor der Migration der eigenen Daten sollte eine Analyse des bestehenden Datenstammes stehen. Laut einer Schätzung der International Data Corporation (IDC) bestehen 60 % der in Rechenzentren gespeicherten Informationen aus mehreren Kopien und/oder veralteten Versionen derselben Daten, die durch unterschiedliche Anwendungen erzeugt wurden. Dabei kann die disruptive Kraft von Industrie-4.0-Konzepten dabei helfen, alte Strukturen und Prozesse zu analysieren und durch effizientere zu ersetzen.
2. Sicherheitsstufen und Verbindungswege festlegen
Die Compliance-Vorschriften mancher Marktpartner verlangen eine geschlossene IT-Architektur. Das muss nicht das Aus für eine Cloud-Lösung bedeuten. Die Alternative: Eine Hybrid-Cloud, in welcher die sensiblen Daten in der Private Cloud sowie alle anderen Daten in einer Public Cloud liegen. Über die Sicherheitsstufen hinaus sollten auch die Übertragungswege geprüft und festgelegt werden. Die verwendeten Netzstrukturen müssen jederzeit die festgelegten Geschwindigkeiten garantieren.
3. Die Wahl des Providers
Cloud ist nicht gleich Cloud. Die wichtigsten Unterscheidungsmerkmale bestehen zum Beispiel in den Standorten der Rechenzentren, in der Kontrolle über den Datenfluss und in Form der angebotenen Services. Der Standort ist entscheidend, weil unterschiedliche Länder verschiedene Datenschutz-Gesetze anwenden. Spätestens seit Edward Snowden ist klar, dass die großen externen Rechenzentren von Microsoft und Google nicht so sicher sind wie versprochen. Zudem haben amerikanische Behörden bestätigt, dass der europäische Datenschutz nicht für US-Firmen gilt, die in Europa tätig sind. Microsoft OneDrive for Business, Dropbox Business wie auch Box Business unterliegen beispielsweise dem US-Recht. Auf deren Servern gespeicherte personen- und unternehmensrelevante Daten sind daher nicht vor dem Zugriff von US-Behörden geschützt. Noch unsicherer gelten Provider-Standorte außerhalb Europas.
4. Leistungsbeschreibung
In den Vertrag mit dem ausgewählten Provider gehört die Zertifizierung des Anbieters, die einen Mindeststandard für die Informationssicherheit gewährleistet – zum Beispiel nach ISO 27001. Fernwartungszugriffe dürfen zum Beispiel nur nach ausreichender Authentifizierung über verschlüsselte Kommunikationsverbindungen erfolgen. Ebenso wichtig sind die Dokumentation von Schnittstellen für das Security Monitoring und Fragen des Incident Handlings. Auch dazu müssen Verantwortlichkeiten, Eskalationsstufen und Kommunikationswege zwischen dem Unternehmen und dem Provider festgeschrieben werden. Zudem müssen Regelungen für die Beendigung der Leistungen der Public Cloud getroffen werden: Zum Beispiel, welche Daten wie zu übergeben sind und welche Daten irreversibel gelöscht werden müssen. (mg)
Office-Lösungen und Groupware führen vor branchenspezifischen Anwendungen bei der Nutzung von SaaS-Modellen. Quelle: KPMG, Bitkom Research
