Für S+C gehört Sicherheit mit ihren Ausprägungen in die eigene Obhut. Das über 130 Jahre alte Familienunternehmen, Hersteller von Systemen aus Edelstahlguss und Schmiedekomponenten, baut deshalb auf eine eigene IT-Sicherheitsinfrastruktur. Sie wurde allerdings mit externer Unterstützung durch einen Sicherheitsdienstleister konzipiert und errichtet. Von diesem Serviceunternehmen lässt S+C sie auch betreiben betreiben und kontinuierlich weiterentwickeln.

Mangelnde Transparerenz

Die Abneigung gegen eine externe Security-Verantwortung ist tief verwurzelt. Als das Thema "verlässliche IT-Sicherheits-Infrastruktur" vor zweieinhalb Jahren akut wurde, zweifelte Thomas Taterra, Leiter der Informationstechnologie bei S+C, keinen Moment: "Managed Security Services aus einer Cloud zu beziehen, war für unser Unternehmen nie ein Thema gewesen." Und dies, obwohl das Unternehmen genau darauf achtet, dass sich die Kosten für die höhere Sicherheit der Geschäftsdaten stets in engen Grenzen halten.

"Aus unserer Sicht kann ein externer Cloud-Anbieter zwar vertraglich verpflichtet werden, die geforderten Sicherheitsmaßnahmen einzurichten und zu betreiben", erläutert Taterra, "aber welche Sicherheitslücken dort durch mangelnde technische Vorkehrungen oder durch unzureichende personelle Überwachung tatsächlich entstehen, das hätte sich unserer Kenntnis entzogen." Solche Risiken haben durch die virtualisierte IT, die dem Cloud Computing zugrunde liegt, noch zugenommen. "Damit hätten wir zu keiner Zeit gewusst, wo innerhalb der externen Wolke die für unsere Sicherheit relevanten Daten verarbeitet und abgelegt werden - vielleicht sogar zwischenzeitlich auf Servern und Speichern im Ausland", erläutert der IT-Leiter.