Clouds - wissen, wo sie hingehören

Nicht alle Daten gehören in die Cloud

Durch die Einrichtung geschützter Privatbereiche wirken IT-Service-Anbieter nach Aussage von Müller den Sicherheitsbedenken der Unternehmen bei der Nutzung von Cloud-Computing-Leistungen entgegen. Dennoch sind nicht alle Unternehmensdaten Cloud-geeignet. Datenskandale wie im vergangenen Jahr bei T-Mobile, als aufgrund eines Server-Fehlers beim Dienstleister Danger tausende von Kundendaten verloren gingen, bestärken viele IT-Verantwortliche in ihren Vorbehalten. Doch solche Vorkommnisse hält SIS-Mann Müller für vermeidbar: "Bei Cloud-Modellen mit einem durchdachten Sicherheitskonzept sind die Daten gekapselt über mehrere Rechenzentren flexibel verfügbar."

Nach Erfahrungen von Müller schützt das die Daten vor Server-Ausfällen ebenso wie vor Datenmissbrauch - "häufig sogar wirkungsvoller als bei Systemen, die von Unternehmen selbst gehostet werden." Cloud-Leistungen zu beziehen eignet sich besonders für nicht wettbewerbskritsche Unternehmensprozesse, die einen hohen Standardisierungsgrad aufweisen. So lässt sich etwa mit Standard-E-Mail-Services, Dokumenten-Management oder CRM-Systemen aus einer Public Cloud Geld sparen. Prominentes Beispiel dafür ist der Münchener Elektronikkonzern Siemens, der Oracles Siebel-CRM on demand nutzt, oder die Technikbörse Nasdaq, die täglich 30 bis 60 Gigabyte an Daten in den Amazon-Web-Speicherdienst S3 transferriert.

Anders sieht es aus, wenn es um die Verwaltung und Speicherung sensibler Unternehmensdaten oder sogar geistigen Eigentums geht. "Cloud-Projekte mit höherer Komplexität erfordern natürlich eine strukturierte Herangehensweise, die die technischen, die auf Geschäftsprozesse bezogenen rechtlichen und finanziellen Aspekte mit einbezieht", sagt Müller. "Primär geht es um die Frage, welche Daten und Anwendungen überhaupt Cloud-geeignet sind."

Beispiel E-Mail und Cloud

Ein Beispiel ist die E-Mail-Kommunikation eines Unternehmens. Zunächst gibt es den Typ der Standard-E-Mail, der mit standardisierten E-Mail-Services eines Cloud-Providers verwaltet werden kann. "Hier kann die Nutzung von Public-Cloud-Lösungen unter Umständen eine durchaus sinnvolle Variante darstellen", kommentiert SIS-Mann Müller. Fach- und Führungskräfte, deren digitalen Nachrichten jedoch vertrauliche Informationen enthalten, erfordern ein hohes Maß an Sicherheit, das hoch standardisierte Cloud-E-Mail-Lösungen in der Regel nicht erfüllen.

Compliance-relevante Nachrichten, wie sie beispielsweise im Bereich Controlling und Buchhaltung entstehen, bedürfen der Nachweispflicht eines E-Mail-Managements und müssen den SOX-Richtlinien entsprechen. Dieser E-Mail-Typ würde wohl kaum in einer Public, sondern vielmehr in einer Private Cloud seinen Platz finden - ein besonders abgegrenzter Bereich einer Cloud mit besonderen Sicherheitsstandards. Alle drei E-Mail-Typen können indes von ein und demselben IT-Provider innerhalb einer "aggregated E-Mailbox-Landschaft" angeboten werden.