So gelingt KMUs der Einstieg in die Cloud

Die zögerliche Haltung vieler deutscher Unternehmen gegenüber der Cloud hat sich deutlich verringert. Gemäß den Marktforschern von IDC stieg der Anteil der Firmen, die private oder öffentliche Cloud-Anwendungen nutzen, im Vergleich zu 2015 um 70 Prozent. Mittlerweile setzen bereits 63 Prozent auf diese Technologie. Sicherheitsbedenken sind weiterhin das größte Hindernis für die Verwendung von Public-Cloud-Computing. 58 Prozent fürchten einen unberechtigten Zugriff auf Unternehmensdaten, 45 Prozent den Verlust von Daten. 36 Prozent sehen außerdem Unklarheiten hinsichtlich der Rechtslage, für 28 Prozent sprechen rechtliche und regulatorische Bestimmungen gegen die Cloud.

Diese Vorsicht liegt aber weniger an harten Fakten, sondern eher am Gefühl der Verantwortlichen. Eine Ursache dafür ist der bisherige Denkansatz, Informationen möglichst sicher und geschützt in der eigenen „Burg“ zu behalten und möglichst wenig nach außen zu geben.

Doch angesichts mobiler Geräte, Online-Apps und der zunehmenden Kooperation mit externen Partnern gilt dieser Ansatz heute nicht mehr. Die Daten befinden sich praktisch überall. Um einen aktuellen, umfassenden Sicherheitsansatz zu entwickeln und umzusetzen, fehlen vielen mittelständischen Unternehmen aber Know-how und Zeit.

Entsprechend tendieren viele Mittelständler dazu, das Thema Cloud einfach zu ignorieren. Doch dies ist keine Lösung. Schließlich sind nicht nur mobile Geräte Realität, sondern auch Schatten-IT. Falls das Unternehmen seinen Mitarbeitern keine praktisch nutzbaren Apps bereitstellt, helfen sich diese selbst und verwenden Lösungen aus dem privaten Bereich. Ob Dropbox, Box, OneDrive, WhatsApp oder Facebook: Diese Anwendungen entsprechen kaum den in Unternehmen erforderlichen Sicherheitsstandards. Zudem bleibt deren Nutzung der IT-Abteilung oft verborgen, sodass sie nicht kontrollieren kann, was die Mitarbeiter hier genau tun.

Im ersten Schritt sollte ein Unternehmen herausfinden, wie groß das Problem tatsächlich ist. Häufig wird es unterschätzt. Während IT-Verantwortliche meist davon ausgehen, dass die Mitarbeiter etwa zehn Apps unerlaubt nutzen, sind es in Wirklichkeit oft bis zu 100. Anschließend ist zu analysieren, welche Cloud-Dienste wie häufig für welche Aufgaben eingesetzt werden.

Ein schlichtes Verbot der unerlaubt genutzten Apps führt oft nur zu unzufriedenen Mitarbeitern, da sie bestimmte Aufgaben dann sehr viel umständlicher erledigen müssen. Dies wiederum zieht nach sich, dass Kollegen das Verbot ignorieren – nicht aus bösem Willen, sondern um Arbeitsprozesse effektiv durchzuführen. Daher sollten diese Apps nicht einfach untersagt, sondern durch sichere und für den Unternehmens­einsatz geeignete Anwendungen ersetzt werden. Dies erfordert eine Marktrecherche, Mitarbeiterumfragen, Entwicklungsaufwand für individuelle Anpassungen sowie Test- und Implementierungsphasen. Viele Mittelständler fürchten den dafür nötigen Aufwand in Bezug auf Personal und Zeit. Zudem fehlt ihnen oft das nötige Risikobewusstsein.

Dabei gibt es bereits viele attraktive Cloud-Lösungen für Unternehmen. Ob AWS, Google, Azure, IBM oder Hoster, die cloudähnliche Dienste bereitstellen: Aufgrund des starken Wettbewerbs bieten sie einfach nutzbare, sichere und individuell anpassbare Lösungen. Aber nach welchen Kriterien sollten Mittelständler den Provider aussuchen?

Für den Unternehmenseinsatz sind vor allem Zertifizierungen im Bereich Sicherheit wichtig. Hinzu kommt die persönliche Betreuung – auf analytisch-korrekte wie auch pragmatische Weise. Erklärungen und Diskussionen auf Augenhöhe bilden den Grundpfeiler einer langfristig erfolgreichen Zusammenarbeit. Trotzdem kann jede Kooperation einmal zu Ende gehen. Daher müssen Mittelständler schon im Vorfeld festlegen, wie sie aus dem Vertrag ohne großen Aufwand wieder herauskommen. Lassen sich bei einem cloudbasierten E-Mail-System die Mails ohne Weiteres auf eine andere Lösung übertragen? Können Daten aus dem Cloud-ERP- oder Cloud-CRM-System wieder in das eigene Rechenzentrum zurückgeholt werden? Was passiert mit den Kalendereinträgen in der Groupware? Selbst scheinbare Kleinigkeiten können zu sehr viel Aufwand führen.

Rein technische Anforderungen spielen dagegen eine immer geringere Rolle, da die meisten Provider diese mit vergleichsweise wenig Aufwand erfüllen können. Trotzdem sollten sie ausführlich betrachtet werden. Der Standort der Rechenzentren in Deutschland oder Europa wird oft gefordert. Dies mag aus Compliance-Gründen für öffentliche Institutionen, Finanzunternehmen oder Anbieter aus dem Gesundheitswesen berechtigt sein. Doch in vielen anderen Branchen sind die Compliance-Anforderungen nicht so hoch.

Aus der Sicherheitsperspektive ist der Standort unerheblich. Cyberkriminelle können prinzipiell in alle Systeme eindringen, die mit dem Internet verbunden sind, unabhängig vom Ort. Gerade aus diesem Grund sind Daten in der Cloud oft sicherer als im eigenen Rechenzentrum oder auf Notebooks. Ist ein Hacker zum Beispiel in das Tablet eines Mitarbeiters eingedrungen, kann er über dessen Zugangsberechtigungen oft auch auf die Server des Unternehmens zugreifen – ähnlich wie ein Einbrecher, der über das schlecht gesicherte Ga­ragentor ins Haus eindringt und vom Keller bis zum Dachboden alle Wertgegenstände abräumt.

Cloud-Angebote sind demgegenüber meist um einige Größenordnungen besser gesichert. Sie verfügen nicht nur über mehrere Zugangsschranken, sondern segmentieren auch im Inneren die Bereiche. Die Entsprechung ist hier ein hochgesichertes Forschungsgebäude: Am Eingangstor befinden sich ein hoher Zaun, eine Videokamera, ein Bewegungsmelder und ein Pförtner, die der Einbrecher zuerst alle überwinden muss. Auf dem Freigelände sind ebenfalls Kameras und Bewegungsmelder installiert und es patrouilliert ein Sicherheitsdienst. Selbst wenn der Einbrecher durch die mehrfach gesicherte Eingangstür kommt, muss er erst diverse weitere Sicherheitstüren passieren, um in ein Labor zu gelangen. Zudem ist bei Cloud-Angeboten meist alles verboten, was nicht ausdrücklich erlaubt ist. Dies erschwert Cyberkriminellen illegale Aktionen zusätzlich.

Außer von einer höheren Datensicherheit profitieren mittelständische Unternehmen von weiteren Vorteilen durch die Cloud. Neue Anwendungen lassen sich deutlich schneller einführen und bereitstellen, sie können Geschäftsprozesse flexibler an Marktänderungen anpassen, die Kosten für Updates sinken und sie sparen Aufwand, Ressourcen und Geld. Zudem werden viele Prozesse automatisch in der Cloud bereitgestellt, die im eigenen Rechenzentrum manuell oder gar nicht durchgeführt werden. Dazu gehören Nutzungsanalysen, Abrechnungsprozesse oder das Nachverfolgen von Sicherheitsvorfällen.

Reduzierte Kosten, höhere Effizienz und Wettbewerbsvorteile sind die größten Vorzüge der Cloud für Mittelständler. Deshalb kann es sich heute kein Unternehmen mehr leisten, vollständig auf die Cloud zu verzichten. Ein hybrides System aus bewährten Anwendungen im eigenen Rechenzentrum und Cloud-Angeboten kombiniert das Beste aus beiden Welten.

Gemäß Bitkom-Cloud-Monitor fürchten aber 31 Prozent der deutschen Unternehmen, dass Pu­blic-Cloud-Lösungen nur schwer mit Inhouse-Lösungen kombinierbar sind. Dies ist zum Teil berechtigt. So sollten Unternehmen prüfen, wie gut etwa das bisherige CRM-System mit Cloud-Lösungen harmoniert. Eigenentwicklungen stellen oft große Herausforderungen dar. Viele moderne Systeme haben aber bereits Schnittstellen, die sich mit wenig Aufwand in Cloud-Lösungen integrieren lassen. Man sollte also überlegen, zu einer Anwendung zu wechseln, die rein cloudbasiert ist oder sich hybrid einsetzen lässt.

Dies gilt auch für Sicherheitslösungen. Cloud- und On-Premise-Bestandteile sollten über die gleichen Sicherheitsvorkehrungen verfügen, die sich zentral verwalten und durchsetzen lassen. So sollten die Lösungen Agenten für die genutzten Cloud-Angebote haben. Zudem sollten sie Erkenntnisse, wie neu entdeckte Ransomware, mit den Lösungen anderer Hersteller austauschen können. Denn nur eine hohe Transparenz über alle Systeme hinweg gewährleistet ein hohes Sicherheitsniveau. Entsprechend reichen übliche musterbasierte Ansätze wie Firewall oder IDS (Intrusion Detection System) nicht mehr aus. Sie sollten durch selbstständig lernende Systeme mit künstlicher Intelligenz ergänzt werden, um auch vor unbekannten Bedrohungen geschützt zu sein.

Die Cloud-Migration geht nicht von heute auf morgen oder in einem großen Schritt. So sollten mittelständische Unternehmen eine Strategie erstellen, wie sie mit der Cloud umgehen. Dies erfordert zwar einen gewissen Aufwand, doch dieser ist deutlich geringer als das Risiko einzugehen, nichts zu tun. Erfahrene Berater können hier wertvolle Anregungen liefern und Hersteller in wenigen Wochen individuell angepasste Anwendungen bereitstellen, die sich schrittweise einführen lassen. Zum Beispiel können neue Funktionen erst in der Cloud bereitgestellt und die Inhouse-Lösungen nach und nach abgelöst werden. Intelligenz und Rechenpower befinden sich dabei häufig in der Cloud, die Bedienoberflächen im eigenen Rechenzentrum.

---

Dies gilt auch bei Security as a Service. Denn es lässt sich auch das gesamte Sicherheitsmanagement in die Cloud auslagern. Ein Managed Security Operations Center (SOC) versendet dabei sofort Alarmmeldungen bei Sicherheitsvorfällen und das Unternehmen kann schnell reagieren. Denn ist ein Vorfall binnen einer Stunde entdeckt und behoben, bleibt der Schaden meist deutlich geringer als bei einer späteren Erkennung.

Ob sie wollen oder nicht: Mittelständische Unternehmen müssen sich heute mit dem Thema Cloud auseinandersetzen. Sonst nutzen die Mitarbeiter unerlaubt Cloud-Anwendungen, um ihre Aufgaben effizient zu erledigen – mit den entsprechenden Risiken. Unternehmen, die sichere, einheitliche und für Unternehmen konzipierte Cloud-Anwendungen nutzen, sind effizienter und flexibler und verfügen im heutigen dynamischen Markt über einen großen Wettbewerbsvorteil.

Das heißt umgekehrt: Wer sich der Cloud verweigert, verschlechtert seine Marktposition und riskiert in letzter Konsequenz sogar den Fortbestand des Unternehmens. Dabei lassen sich Cloud-Anwendungen heute mit wenig Aufwand einführen und in Geschäftsprozesse integrieren. Mit den richtigen Beratern und Anbietern ist die Cloud kein Hexenwerk.

Dieser Artikel wurde verfasst von Harry Zorn, Head of IT-Security bei Konica Minolta IT Solutions