Tipps für Software on-Demand

Die große SaaS-Checkliste

03.02.2013

Von

Ertan Özdil ist CEO von weclapp, einem Anbieter von cloud-basierter Business Software. Bereits 2008 sah er das Potenzial von ERP-Systemen aus der Cloud und war damit einer der ersten, die eine echte Cloud-Lösung auf den Markt brachten. Ertan Özdils Schwerpunkte sind Cloud-Computing, Saas und ERP.

Alle Posts des Autors Email: Connect:

Datenschutz und Disaster Recovery

Datenschutz

Die Daten eines Unternehmens sind ein wertvolles Gut. Einen besonders hohen Stellenwert hat der Schutz der personenbezogenen Daten. Für Kunden stellt sich daher die Frage nach der Datentrennung im Rechenzentrum. Hier gilt es, folgende Kriterien zu beachten:

Verschlüsselung: Bei der Übertragung ist die Verschlüsselung der Daten für den SaaS-Anbieter zwingend vorgeschrieben. Die Erfüllung der Bankenstandards ist ein Muss.
Datentrennung: Für die klare Trennung zwischen den gespeicherten Daten verschiedener Unternehmen sollte zudem gesorgt sein. Sämtliche Kundendaten sind separat von den Daten anderer Unternehmen aufzubewahren. Im besten Fall sorgt ein ausgeklügeltes Sicherheitssystem für diese Datentrennung. Auch hier kann man sich an einem Zertifikat orientieren: TCSEC (Trusted Computer System Evaluation Criteria) ist ein von der US-Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen.
Rechte-Management: Ein zuverlässiges Management der Rechte sowie auf Rollen basierende Sicherheitseinstellungen gewährleisten, dass die Daten innerhalb des Unternehmens in die richtigen Hände gelangen und nur berechtigten Personen zugänglich sind. Es ist unter diesem Aspekt darauf zu achten, dass nur ein kleiner und entsprechend geschulter Personenkreis beim SaaS-Anbieter auf Kundendaten zugreifen kann.

Tipp: Bietet der SaaS-Provider von Kunden gemeinsam genutzte Umgebungen (sogenannte Shared-Umgebungen) an, ist dies im Fall von besonders sensiblen Unternehmensdaten eher kritisch. Es ist darauf zu achten, dass der Anbieter der Wahl "dedizierte" Umgebungen für Daten zur Verfügung stellt: Hier werden sämtliche Kundendaten separat von den Informationen anderer Unternehmen gespeichert.

Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten.
Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen.
Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein).
Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein.
Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien.
Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen.
Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen.
Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln.
Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.

Disaster Recovery

Weitere elementare Auswahlkriterien sind Business Continuity und Disaster Recovery - mit anderen Worten: Sind Daten auch im Krisenfall sicher?

Der Ausfall eines Rechenzentrums ist durchaus als Gefährdung für das Unternehmen zu sehen, denn im schlimmsten Fall können geschäftskritische Daten verloren gehen. Nutzt ein Betrieb zum Beispiel ein Warenwirtschaftsprogramm als SaaS-Anwendung und das Rechenzentrum des Anbieters fällt aus, steht auch beim Kunden die Arbeit still. Der SaaS-Anbieter sollte also für alle denkbaren Probleme einen Plan B parat haben, um im Ernstfall schnell reagieren zu können. Bedacht werden müssen Datenschutzproblematiken, Notfallpläne für den Netzausfall und wie man im Falle einer Insolvenz des Dienstleisters an die gespeicherten Daten gelangt.

Disaster Recovery: Disaster Recovery ist eine Art Versicherung, um im Notfall Daten zu schützen. Der Begriff bezeichnet Rettungsmaßnahmen, die nach einer Panne in der Informationstechnik eingeleitet werden. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer Infrastruktur und Hardware.
Business-Continuity-Management: Unter Business-Continuity-Management (BCM) ist ein unternehmensweiter Ansatz zu verstehen, mit dem sichergestellt werden soll, dass die kritischen Geschäftsfunktionen im Fall interner oder externer Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. Es ist zu prüfen, dass der SaaS-Anbieter über einen Plan verfügt, der im Ernstfall greift.
Replikation: Eine weitere wichtige Frage ist, ob Daten im Ernstfall an einen anderen Standort übertragen werden. Eine solche Replikation reduziert das Datenverlustrisiko und ermöglicht im Fall von geplanten oder ungeplanten Ausfällen und Notfällen die Ausführung kritischer Anwendungen von einem anderen Standort aus.

Tipp: Achten Sie darauf, dass diese Leistungen Teil des Grundpakets und in dessen Kosten enthalten sind - sonst kann es im Zweifelsfall teuer werden.

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren