Diesen Artikel bewerten: 

5 Fragen zum Thema Sicherheit

Datenschutz in der Cloud

Sven Denecken ist als Senior Vice President, Product Management und Co-Innovation SAP S/4HANA, bei SAP tätig. In seiner Rolle ist er unter anderem auch für strategische Projekte von SAP zuständig und arbeitet eng mit SAP-Partnern und Kunden zusammen.
Damit sensible Unternehmensdaten nicht gestohlen werden können, müssen Cloud-Anwendungen entsprechende Sicherheitsanforderungen erfüllen. Fünf Fragen, die Sie vorab mit Ihrem Cloud-Anbieter klären sollten.

Wenn Sie mit dem Gedanken spielen, Ihre Unternehmenssoftware in die Cloud auszulagern, müssen Sie darauf achten, dass verschiedene Sicherheitsanforderungen seitens der Cloud-Anbieter zu Ihrer Zufriedenheit beantwortet werden können. Dazu gehören insbesondere Fragen zum Datenschutz und der Datensicherheit.

Bevor Sie sich für einen Cloud-Anbieter entscheiden, sollten Sie diese fünf Fragen mit ihm klären:

1. Wie kann sichergestellt werden, dass nur befugte Nutzer Zugriff auf die kritischen Daten der Kunden haben?

Der mittlerweile ältere, dennoch sehr aktuelle Verizon Data Breach Investigation Report hat gezeigt, dass 86 Prozent aller Sicherheitsverstöße auf Grund von gestohlenen Zugangsdaten geschehen. Das heißt, dass Schwachstellen nicht nur in den Anwendungen, Systemen oder Rechenzentren ausfindig gemacht werden können, sondern auch ein Augenmerk auf den Bildschirm gerichtet werden sollte.

Die Passwortstärke, aber auch der Umgang mit den Passwörtern wird seitens der Nutzer zu häufig unterschätzt. Beispielsweise ist "Eines-für-Alle" beim Thema Sicherheit und Passwort die falsche Herangehensweise. Wenn ein Passwort bei mehreren Anwendungen verwendet wird, ist automatisch die am wenigsten geschützte Anwendung das Einfalltor für alle anderen Lösungen.

Um dem entgegenzuwirken, sollte seitens des Cloud-Anbieters eine gewisse Stärke der Passwörter gefordert und eine periodische Änderung der Passwörter veranlasst werden. Die Passwortstärke sollte hierbei immer den industriespezifischen Standards und Anforderungen entsprechen. Außerdem sollten Passörter nicht als Text gespeichert werden.

Eine SSO-Funktionalität (Single Sign On) ist stark empfohlen und sorgt zusätzlich dafür, dass Nutzer zunächst durch ein zentrales Berechtigungssystem bestätigt werden, bevor sie auf die Cloud zugreifen können.

Bei der Anmeldung sollte sichergestellt werden, dass Nutzerdaten und Administratorberechtigungen von den Berechtigungsmodulen separiert sind, um sogenannten "Cross-Scripting"-Attacken vorzubeugen.

Professionelle Anbieter geben ihren Kunden die Wahl zwischen zwei Szenarien: Die Handhabung der Sicherheit über ein zentrales Unternehmens-Identitätsmanagement oder die Möglichkeit die individuellen Cloud-Lösungen mit einem eigenem Identitätsmanagement zu betreiben.

2. Kann ich auf meine Cloud von überall zugreifen?

Cloud-Lösungen sind über eine Internetverbindung von überall zugänglich, auch auf mobilen Endgeräten, was sich in der Zukunft speziell noch verstärken wird. Deshalb sollte man beim Anbieter überprüfen ob mit einer "mobilen Endgerät first" Strategie entwickelt wird.

Umfrage zu CRM in der Cloud

Das bedeutet, dass Cloud-Lösungen primär für mobile Endgeräte entwickelt werden, bevor sie dann für größere Bildschirme als Browseranwendung weiterentwickelt werden. Hinterfragen Sie, ob die mobilen Applikationen auf allen gängigen mobilen Betriebssystemen laufen (iPhone, Android, etc.) und die Freiheit besteht, auf dem Desktop verschieden Browser zu nutzen (Internet Explorer, Safari, Firefox, Google Chrome etc.).

Ein echtes Cloud-Design hat auch positiven Einfluss auf die Lauf- und Ladezeiten von Anwendungsdaten.

3. Wie schnell kann mir ein solches System zur Verfügung gestellt werden?

Heute hat man aus zeitlicher Sicht durch Cloudlösungen einen klaren Vorteil, Kunden anzubinden. Was früher bei On-Premise Software teilweise lange gedauert hatte, geht mit Hilfe der Cloud in wenigen Wochen und Monaten. Doch auch hier - beim Onboarding - sollte sichergestellt werden, dass Prozesse sicher angebunden werden und Systeme in sicheren Umgebungen laufen.

4. Wie sieht der Support bei Cloudlösungen aus?

Kunden sollte ein Support zur Verfügung gestellt werden, der von einem eindeutigen Zugangspunkt gesteuert wird, egal um welches Szenario es sich handelt. Technisch werden heute verschiedenste Liefermodelle mit einander kombiniert, wir sprechen von hybriden Lösungen. Dabei bleibt oft der Kunde auf der Strecke, der gar nicht mehr entscheiden kann, wo er Support für welchen Bereich bekommt. Eine nahtlose Verzahnung des Supports sollte über alle Geschäftsprozesse hinweg zur Verfügung gestellt werden.

5. Sind meine Daten ausschließlich für mich erreichbar?

Die saubere physische Trennung von System (Funktionalität) und Daten ist eine unabdingbare Grundlage, um Kundendaten sauber gegeneinander abzugrenzen und dennoch die Skalierungsvorteile zu bekommen, die sich Kunden von der Cloud erwarten.

Dies sichert dem Kunden zu, dass er bereits im Testbetrieb (TRIAL) geschützte Datenbereiche hat und auch nach einem Auszug aus einer Cloud seine Daten wirklich restlos aus dem System gelöscht werden können.

Bei Fragen zur Datensicherheit oder anderen Themen rund um das Thema Cloud Computing empfehle ich Ihnen einen Blick auf das SAP Community Network zu werfen, in dem wir regelmäßig Beiträge zu den heißesten Themen in der Cloud veröffentlichen.

Um jederzeit die aktuellsten Neuigkeiten zum Thema Cloud Computing zu erhalten folgen Sie mir und meinem Team auf LinkedIn oder Twitter:@SDenecken,@BeSchulzeoder@SAPCloud