Foto: ktsdesign, Fotolia.com
Für Cloud-Anbieter steht außer Frage: Mit Unified-Communications-Services aus der Wolke sind Unternehmen besser beraten, als wenn sie solche Services in Eigenregie planen, implementieren und betreiben. Beispielsweise verspricht Rainer Oude Hengel, ICT Marketing Executive Consultant bei der Deutschen Telekom: "Cloud-Provider, die sich mit UC-Services auf die Bereitstellung für das Enterprise-Segment spezialisiert haben, können die IT-Sicherheits- und IT-Compliance-Anforderungen der Kunden komplett erfüllen." Dafür führt er, neben der Standardisierung, Skalierbarkeit und zentralen Bereitstellung der Services stets aktuelle Release-Stände der Software an, allen voran der Sicherheits-Updates. Hengel spricht innerhalb der Virtual Private Cloud von einer "völlig abgeschirmten Kundenumgebung", um darin die Privatsphäre für UC-Kundendaten sicherzustellen. Sie könne durch Virtualisierung oder, noch weitergehend, durch physische Trennung mittels Hardware erreicht werden. Die UC-Offerte der Deutschen Telekom: Dynamic Services auf Basis der Microsoft Collaboration Suite (Exchange, Sharepoint und Lync).
KMU fehlt Risikobewusstsein
Ralf Ebbinghaus, Mitgründer und Vorstand von Swyx Solutions, sieht generell die kleinen und mittelständischen Firmen im Fokus der UC-Offerte. "Auch wenn sich beim Cloud-Provider ganze Abteilungen mit dem Thema Security beschäftigen, das Outsourcen von Daten und Apps birgt für Unternehmen Gefahren." Kleineren und mittleren Unternehmen (KMU) fehle meist die eigene IT-Abteilung, mit den Folgen, dass sie eine sichere UC-Installation in Eigenregie nicht errichten und betreiben könnten sowie sich außerdem der tatsächlichen Risiken nicht bewusst seien. Cloud-Anbieter wollen KMU deshalb auf halbem Weg abholen. Mittels Security Audits erfahren Anwender, welche Maßnahmen und Prozeduren sie auf eigene Kosten treffen müssen, um ins Betreibermodell des UC-Service-Anbieters zu passen. Später im Betrieb sind nach Ebbinghaus Monitoring, bedarfsgerechte Deployment-Prozesse und eine strikte Mandantentrennung wichtige Provider-Funktionen, um IT-Sicherheit zu bieten.
Ob dies und die virtuelle oder physische Abgrenzung der Kundenumgebungen innerhalb der Dienstleistungswolke ausreicht, darf aber bezweifelt werden. Gerade die Virtualisierung verleitet die Provider, die Kundendaten irgendwo und für die Unternehmen nicht nachvollziehbar zu verarbeiten und zu speichern.
Stolperstein Patriot Act
In größeren Unternehmen, wo die Sicherheitsrisiken klarer erkannt und realistischer bewertet werden, gehen die Entscheider mit ernsthaften Einsatzambitionen zu externen UC-Services ohnehin auf Abstand. "Unternehmen, die sich kritische Fragen zur IT-Sicherheit stellen, tun sich mit der Verlagerung ihrer Daten und Apps in die Cloud weiterhin schwer", berichtet Arnold Stender, Vorstand QSC AG. Er qualifiziert für die Unternehmen zudem den Datenschutz als kritisch, so wenn Daten außerhalb der EU, beispielsweise in den USA, gehostet werden. "Der Patriot Act erlaubt den US-Behörden, jederzeit Kundendaten einzusehen, bei Cloud-Providern mit US-Wurzeln sogar Daten in europäischen Rechenzentren." Was der QSC-Vorstand in puncto Sicherheit der Kundendaten und -Apps auf Provider-Seite zusätzlich aufführt, sind eine TÜV-geprüfte Sicherheit von Rechenzentren und direkte Cloud-Anbindungen. "Sie sind nicht nur für die Herausbildung durchgehender Quality-of-Services für verzögerungsempfindliche UC-Ströme wichtig. Auch die Übertragungsdaten sind durch Ende-zu-Ende-QoS besser vor Fremdzugriffen geschützt." Unter anderem setzen D-KN Group Dialogmarketing, Köln, EBS Universität für Wirtschaft und Medien, Wiesbaden, und die Filmproduktionsgesellschaft Eyeworks Germany, Köln, auf UC-Services von QSC.
Ob mit Fokus auf kleine, mittlere oder größere Unternehmen: Die Provider werden für die Sicherheit von Daten und Apps, zudem von Nutzeridentitäten und Endgeräten deutlich mehr tun müssen. Rene Princz-Schelter, Leiter Presales bei Alcatel-Lucent Enterprise, verweist auf zwei dafür unverzichtbare Kommunikationskomponenten: Session Border Controller und Reverse Proxy. "Die erste Komponente schlägt eine sichere Brücke zwischen dem Unternehmen und dem Cloud-Anbieter. Sie regelt und überwacht die Vergabe von User-IDs, Passwörtern und Zertifikaten und schließt den Diebstahl von Nutzeridentitäten und Zugriffsrechten weitgehend aus. Die zweite Komponente in zentraler Rolle steuert für UC-Daten und -Apps verlässliche Authentisierungs- und Autorisierungsmechanismen bei, führt außerdem automatisch Passwort-Wechsel und Ende-zu-Ende-Verschlüsselungen durch."
Trend geht zur Hybridlösung
Erst durch beide Instanzen, so Princz-Schelter, sei der Sicherheitsrahmen für UC-Services geschlossen. Für ihn steht außer Frage, wo der Session Border Controller und Reverse Proxy stehen sollten: "In größeren Unternehmen, die mehr Wert auf die Sicherheit, Integrität und Verfügbarkeit ihrer Daten legen, im Unternehmen selbst. Nur so haben und behalten die Verantwortlichen die Hoheit über ihre Daten und Apps."
Princz-Schelter sieht generell einen Trend zu hybriden UC-Lösungen, mit einer klaren Unterscheidung, was intern abgehandelt werden sollte und was, weil weniger sicherheitskritisch, ausgelagert werden kann. "Für solche vorsichtigen Überlegungen spricht, dass Unternehmen auch für die ausgelagerten Daten, Apps, Funktionen und Systeme hinsichtlich der Einhaltung der Sicherheitsvorschriften (Compliance) haften", sagt Mathias Hein, freier IT-Berater in Neuburg an der Donau. "Kein Unternehmen sollte deshalb diese Verantwortung outsourcen." Weitere triftige Gründe sprechen gegen eine Auslagerung: "Das Unternehmen müsste Insiderwissen nicht nur zu den installierten Techniken, sondern auch über sein Geschäft an den Provider preisgeben. Werden Daten in die Cloud abgegeben, führt dies zu einer strikten Bindung an den Dienstleister. Ein späterer Provider-Wechsel ist kaum möglich, weil der aktuelle Provider die Daten meist in proprietären Formaten zurückgibt."
Apps provozieren Risiken
Florian Weisenberger, Service Owner Mobility Services/IT Client Services bei Audi, spricht sich für den Fall, dass der Konzern in Richtung verketteter UC-Prozesse aufbrechen sollte, für eine Lösung komplett in Eigenregie aus: "Durch die Verkettung von Apps und Daten wird die Kommunikation nicht nur hochkomplex. Es wächst auch der Anteil geschäftskritischer Daten innerhalb solcher Ketten. Das wiederum erhöht die IT-Sicherheits- und IT-Compliance-Risiken." Nicht zu vergessen seien die hohen Verfügbarkeitsanforderungen solcher Ablaufketten. "Diesen wachsenden Risiken", so Weisenberger, "kann am besten in Eigenregie mit eigenen Kontrollen, Prüfungen und Vorkehrungen begegnet werden." Christof Baumgärtner, Country Manager DACH beim Workplace-Management-Spezialisten MobileIron, geht noch weiter: "Das Gros der Daten in den Apps ist schon heute sensibel. Daraus ergibt sich, dass diese Daten gegebenenfalls vom Unternehmen aus löschbar sein müssen." Und: "Unternehmen, die ihre sensiblen Daten absichern müssen und Compliance-konform behandeln wollen, sollten eine Speicherung dieser Daten in externen Clouds kategorisch ausschließen."
Der Komplexität von UC-Szenarien und -Installationen sowie der wachsenden Risiken durchaus bewusst, setzt Telekom-Manager Hengel auf die Fähigkeit des Providers, die Lösung aus der Cloud mit Datenbanken und anderen IT- und Kommunikationssystemen im Unternehmen zu vernetzen.
Qualitätsmerkmal Integration
Diese Integrationsfähigkeit ist ein entscheidendes Qualitätsmerkmal im Enterprise-Segment. "Stimmen Provider-seitig die Voraussetzungen, kann das Unternehmen die UC-Lösung aus der Wolke flexibel an seinen Bedarf und seine Sicherheitsanforderungen anpassen und seine Geschäftsprozesse optimal durch Collaboration unterstützen", sagt Hengel. Wichtig seien in diesem Zusammenhang auch die Integrationsfähigkeit mit den Telefonanlagen im Unternehmen und die Provider-seitige Unterstützung von Unternehmens-Audits. Die Kehrseite solcher hochgradig integrierten Hybridlösungen: Mit jeder zusätzlichen Integrationsleistung gehen die Provider-Kos-ten in die Höhe. Bis sich schließlich UC-Services aus der Cloud für das Unternehmen aus kaufmännischer Sicht womöglich nicht mehr lohnen.
Hadi Stiel ist freier Journalist in Bad Camberg.