„Langfristig werden sich Apps wegen ihrer einfachen Nutzung durchsetzen“

Wie setzen Anbieter die gestiegenen Sicherheitsanforderungen für Unternehmenssoftware um?

Sontow: Beim Thema Sicherheit von Unternehmenssoftware kann man zwei Anforderungen unterscheiden. Das sind zum einen gesetzliche Vorgaben und branchentypische Regelungen, die aus den Prozessabläufen entstehen und von den einschlägigen Anbietern beherrscht wird. Zum anderen sind das Anforderungen, die durch Software as a Service (SaaS) oder mobile Nutzung entstehen. Und da wird IT-affinen Entscheidern sukzessive klar, dass neue Herausforderungen auf sie zukommen. Als Beratungsunternehmen stellen wir fest, dass die Verantwortung noch relativ stark bei den Lösungsanbietern gesehen wird. Das ist aber zu kurz gedacht.

Damit SaaS akzeptiert wird, ist es wichtig, dass entsprechende Sicherheitskonzepte vorhanden sind. Welche Problemfelder sehen Sie hier?

Heerdegen: Bei SaaS verschiebt sich insgesamt das Verantwortungsgefüge. Das heißt, dass Unternehmen unter Umständen bereit sind, ihrem Anbieter mehr zuzutrauen als der eigenen IT-Abteilung. Wenn man als eigenes Unternehmen nicht die Ressourcen hat, seine IT sicher aufzustellen, um es damit beispielsweise gegen unberechtigten Datenzugriff zu schützen, dann macht es durchaus Sinn, auf eine SaaS-Anwendung eines professionellen Anbieters zu setzen.

Bruckmaier: Unternehmen, die auf SaaS setzen, sollten ein dreistufiges Sicherheitskonzept umsetzen. Dazu gehört an erster Stelle ein ausgefeiltes Rechtemanagement: Wer darf im Unternehmen mit welchen Daten arbeiten? Damit ist eine Grundvoraussetzung erfüllt, das Risiko des Datenmissbrauchs soweit wie nur irgend möglich zu reduzieren. Zum zweiten müssen Daten, die transferiert werden, so lange verschlüsselt sein, bis sie bei dem jeweiligen Endgerät des Anwenders liegen. Hier ist natürlich auch die Kompetenz des Anbieters gefragt. Der dritte Punkt, der immer gern unterschätzt wird, ist ein ausgeklügeltes Passwortsystem. Die Komplexität von Passwörtern muss immens steigen, damit sie gegen Angriffe von außen geschützt sind.

Sontow: Hinzu kommt insbesondere für mittelständische Unternehmen, dass sie wieder viel stärker architektonisch tätig werden müssen. Hier fehlt es oft an der notwendigen Kompetenz und den Ressourcen. Ergebnis ist ein mehr oder minder konzertiertes Zusammenspiel eines heterogenen Parks unterschiedlicher Lösungen.

Können Integrationsprobleme mit der bestehenden IT entstehen, wenn SaaS nur in Teilbereichen eingesetzt wird?

Heerdegen: Führt eine Fachabteilung eine CRM-Lösung in einer SaaS-Umgebung als Insellösung ein, ergeben sich zusätzliche Herausforderungen. Nämlich dann, wenn die Mitarbeiter aus der Fachabteilung das Unternehmen verlassen. Die Fragestellung ist nun die, wie sichergestellt werden kann, dass diese nicht mehr auf die Applikation zugreifen können. Wenn die Applikation über eine Single-Sign-on-Möglichkeit verfügt, ist das kein großes Problem. Denn dann kann die IT ehemaligen Mitarbeitern den Zugriff zu dem System sperren. Sicherlich ist Single Sign-on kein Allheilmittel, kann aber eines der größten Herausforderungen lösen.

Bruckmaier: Unternehmen müssen kalkulieren, dass ihre Fachbereiche SaaS-Lösungen ohne Wissen der zentralen IT nutzen. Stichwort: Schatten-IT. Der Anwender nutzt beispielsweise privat Cloud-Anwendungen und erwartet auch, dass er im Unternehmen eigenständig Cloud-Lösungen für seine Zwecke herunterladen kann. Es ist Illusion, dass IT-Abteilungen eine komplette Übersicht darüber haben, welche Applikationen genutzt werden.

Sontow: Aufgrund der häufig anzutreffenden heterogenen IT-Landschaften finden wir in Unternehmen in der Regel ein Konvolut an unterschiedlichen Sicherheitsabstufungen vor, was das Ganze natürlich sehr komplex macht. Teilweise gehen die Anwender auch recht blauäugig mit dem Thema Sicherheit um und vertrauen hier dem Anbieter. Durch den Einsatz unterschiedlicher Architekturen, seien es On-Premise-Lösungen oder SaaS-Szenarien, ist der Anwender aber immer mehr gezwungen, sich mit dem Thema Sicherheit auseinanderzusetzen. Die Frage stellt sich dann, wer dafür verantwortlich ist. Jeder Anbieter kann nur für die Sicherheit für seine Applikation sprechen, was aber dazwischen ist, beispielsweise beim Datenaustausch zwischen zwei Anwendungen, ist derzeit nicht klar.

Wie ist die Sicherheit beim mobilen Zugriff gewährleistet?

Sontow: Hier gilt es viele Löcher zu stopfen. Der vergessene Laptop auf dem Bahnsteig ohne verschlüsselte Festplatten ist nur ein Beispiel. Wir stellen fest, dass Unternehmen die Sicherheitsrisiken derzeit bewusst werden und sie versuchen, ihre Anwender für die Gefahren zu sensibilisieren. Denn technisch allein lässt sich diese Herausforderung nicht lösen.

Heerdegen: Bei aller Diskussion um die möglichen Sicherheitsrisiken sollte man nicht vergessen: Die Cloud oder der mobile Datenzugriff haben gigantische Vorteile. Sicherheit hat immer einen Trade-off. Der Effizienzgewinn durch mobile Endgeräte oder die geringeren Investitionsrisiken durch die Cloud sind enorm. Über sichere Passwörter, verschlüsselte Platten oder die Möglichkeit, mobile Endgeräte remote zu wipen, also von der zentralen IT-Abteilung deren Inhalt komplett löschen zu lassen, können einige Risiken gemindert werden.

In welchen Bereichen ist der mobile Zugriff auf Unternehmensdaten sinnvoll?

Sontow: Typische Anwendungsgebiete sind der Vertrieb, etwa bei der Auftragsabwicklung, oder der Zugriff auf Kundendaten. Aber auch bei Inhouse-Anwendungen, wie Intralogistik oder im Lager, kommen verstärkt mobile Endgeräte zum Einsatz. Zusätzlichen Schub hat das Thema bekommen, als auch die Management-Ebene den Vorteil erkannt hat und auch außerhalb vom Unternehmen auf entscheidungsrelevante Daten zugreift.

Wie erfolgt die Anbindung der mobilen Endgeräten? Reicht ein browserbasierter Zugriff oder ist eine App vorteilhaft?

Bruckmaier: Dem Anwender ist das eigentlich egal. Hauptsache es funktioniert. Für uns als Hersteller ist es wichtig, dass wir Komplexität soweit wie möglich verhindern. So viel browserbasiert wie möglich reduziert für uns den Pflegeaufwand.

Heerdegen: Solange die Applikation auf offene Standards setzt, ist der browserbasierte Zugriff eine Alternative. Langfristig werden sich Apps durchsetzen, die die Benutzung maximal vereinfachen.

Nicole Körber Journalistin in Stockelsdorf

Trovarit auf der IT & Business: Halle 3, Stand E41

Die Themen Cloud Computing und Mobile Solutions nehmen im Forenprogramm auf der DMS EXPO und IT & Business einen breiten Raum ein. Innerhalb des umfassenden dreitägigen Forenprogramms erfahren die Besucher, wie sie durch Nutzung mobiler Endgeräte und des Cloud Computings einen hohen Effizienzgewinn generieren können. Praxisnah informieren Experten über die Chancen und präsentieren geeignete, sichere Lösungen. So ist Cloud Computing im Bereich Logistik und IT beispielsweise Thema eines Vortags des Fraunhofer ILM im Fachforum 3.3 in Halle 3. Auf dem Bitkom-Forum 3.4 in Hall 3 referiert Citrix über das Thema „Mehr Flexibilität und Kontrolle mit Desktops und Anwendungen aus der Cloud“, und Kurt Rindle, Cloud Portfolio Leader bei IBM Deutschland, empfiehlt zum Thema Cloud „10 goldene Regeln“ für den Mittelstand.