Sicherheit
Wer SaaS-Lösungen nutzt, muss sich unter dem Aspekt der Sicherheit immer folgende Frage stellen: Wie sicher und zuverlässig ist das Rechenzentrum, in dem die Unternehmensdaten auf Hochleistungsrechnern lagern? Um zu ermitteln, ob die Daten dort auch absolut sicher vorgehalten werden, sollten Interessenten prüfen, ob ein stabiler Betrieb des Rechenzentrums durch den SaaS-Anbieter gewährleistet wird.
Kriterien für eine solche Prüfung der Betriebssicherheit sind:
-
Weniger ist mehr: Je weniger weitere Dienstleister in die Datenverwaltung und -speicherung eingebunden sind, desto besser. Im besten Fall arbeitet der SaaS-Anbieter mit einem eigenen Rechenzentrum. Ein Pluspunkt in Zeiten der Energiewende ist ein "grünes Rechenzentrum", welches beispielsweise auf solargekühlte Serverräume setzt.
-
Doppelt hält besser: Moderne Rechenzentren stellen eine hochredundante Infrastruktur bereit, in der Server mit minimalen Ausfallzeiten arbeiten können. Das heißt: Sämtliche für den Betrieb benötigte Anlagen sind mehrfach vorhanden. Fällt eines der Systeme aus, springt das andere ein und gewährleistet so, dass Daten jederzeit verfügbar und sicher sind. Solche Redundanz- und Sicherheitsmaßnahmen können sich kleine Unternehmen gar nicht leisten.
-
Stromversorgung: Einen wichtigen Faktor stellt zudem die Stromversorgung dar, die auch im Notfall gewährleistet sein muss. Um auf Nummer sicher zu gehen, sollte eine Notstromversorgung vorhanden sein.
-
Verfügbarkeit: Das IT-System und seine Daten müssen zu jedem geplanten Zeitpunkt erreichbar sein und Prozesse in angemessener Zeit ausführen können. Eine permanente Datensicherung sollte durch automatische Backups sichergestellt werden.
Ein entscheidender Faktor ist ferner die physische Sicherheit des Rechenzentrums. Wie sicher Daten im sind, hängt auch vom Gebäude ab. Hier spielen folgende Aspekte eine wichtige Rolle:
-
Zugangskontrolle: Das Rechenzentrum muss durch eine Zugangskontrolle gesichert sein. Chipkarten oder ein PIN-System an der Eingangstür sollten nur autorisierten Personen den Zutritt erlauben.
-
Protokoll: Ein solches Zugangskontrollsystem sollte gleichzeitig dokumentieren, wer zu welchem Zeitpunkt das Rechenzentrum betreten hat. Eine Liste mit den Zutrittsdaten sollte einmal monatlich überprüft werden, um Unregelmäßigkeiten zu erkennen.
-
Videosicherheit: Gemäß dem Motto "Vertrauen ist gut, Kontrolle ist besser" gehen Rechenzentrumsbetreiber auf Nummer sicher, wenn sie an kritischen Orten Videokameras installieren. So werden alle Aktivitäten im und rund um das Rechenzentrum genau dokumentiert.
Tipp: Am besten achtet man nicht nur darauf, ob der SaaS-Anbieter alle diese Kriterien erfüllt, sondern auch, ob sie in regelmäßigen Abständen von einem unabhängigen Experten überprüft werden.
- Top100 - Cloud Computing
Keine Frage: Cloud Computing ist nicht nur als Theoriediskussion in den IT-Zentralen angekommen. Die Wolke ist Wirklichkeit geworden in deutschen Unternehmen. Aber Cloud ist nicht gleich Cloud. - Hype Cycle für Cloud-Computing
Gartners Hype Cycle für Cloud-Computing-Entwicklungen zeigt, dass doch noch überraschend viele Schätze zu heben sind und Cloud-Techniken noch lange nicht ausschöpfend genutzt werden. - Die größten SaaS-Anbieter
Für 2010 hat IDC einmal die größten SaaS-Anbieter aufgeführt. Hier hätte man noch ein paar wenige Anbieter mehr vermutet... - B2B-Cloud-Investitionen
... denn es zeigt sich, dass SaaS auch 2012 noch das mit Abstand lukrativste Investitionssegment darstellt. (Quelle: Experton Group 2012) - Cloud-Akzeptanz nach Branchen
Interessant, wiewohl irgendwie vorhersehbar ist die Tatsache, dass die Finanz- und Versicherungsbranche nur zögerlich die Cloud-Option spielt. (Quelle: Experton Group 2012) - Cloud-Vendor Benchmark
Schon interessant, wen Experton unter den Cloud-Anbietern warum interessant findet. - B2B versus Unterhaltung
Nicht unbedingt vorhersehbar ist, dass ein größerer Teil der Umsätze im Cloud-Umfeld im Bereich Unterhaltung generiert wird. (Quelle: Experton Group 2012) - Cloud ist ein Servicesmarkt
Wenig überraschend wiederum ist, dass in Deutschland mit SaaS, PaaS und IaaS die meisten Umsätze erzielt werden. (Quelle: Experton Group 2012)
Unter Sicherheitsaspekten ist das Augenmerk aber nicht nur auf den Betrieb und das Gebäude zu richten, sondern auch auf das IT-System des SaaS-Providers. Hier sind folgende Punkte zu beachten:
-
Spionageabwehr: Auch die IT-Systeme müssen durch den SaaS-Anbieter vor unbefugter Systemnutzung, dem Ausspionieren oder Verfälschen von Daten geschützt werden.
-
Sicherheitsstandards: Deutschland hat sehr strikte gesetzliche Vorgaben in Sachen Datenschutz und Datensicherheit. Ein wichtiges Kriterium für die Wahl des Anbieters ist deshalb die Einhaltung der deutschen und damit weltweit strengsten Sicherheitsstandards. Damit diese erfüllt werden, müssen Datenspeicherung und der Gerichtsstand in Deutschland sein. Das ist gewährleistet, wenn das Rechenzentrum auf deutschem Boden steht. Kunden sind gut beraten, den Ort der technischen Verarbeitung von personenbezogenen Daten vertraglich zu vereinbaren.
-
Zertifizierung: Die Sicherheitsvorkehrungen des Rechenzentrums sollten der ISO-27001-Zertifizierung (siehe Glossar) entsprechen. Auch die sogenannte SAS-70-Type-II-Zertifizierung gibt Aufschluss über die Systemsicherheit. Sie bescheinigt, dass ein Unternehmen über ein funktionierendes Kontrollsystem verfügt und gewährleistet ist, dass die Verarbeitung und das Hosting der Kundendaten sicher und geschützt erfolgt.
Tipp: Fragen Sie den Anbieter, welche Zertifikate er vorzuweisen hat. Ist er Mitglied in Initiativen wie "Cloud Services Made in Germany" oder "EuroCloud Deutschland" ist das ein weiterer Pluspunkt. Damit wird bestätigt, dass Daten innerhalb Deutschlands gespeichert werden und der Anbieter sich an die deutschen Gesetze hält.