Lokale MSPs punkten mit Datensicherheit und Datenschutz in der Cloud

Thomas Ross: Beim Thema Datenschutz und Datensicherheit in der Cloud sind die meisten Unternehmen zurecht sehr sensibel. Einige legen Wert darauf, dass ihre IT ausschließlich in Deutschland betrieben wird – oder zumindest innerhalb der EU. Insofern decken sich die Zahlen der Umfrage mit unserer Wahrnehmung. Es gibt den berechtigten Wunsch, die eigenen Daten gegen alle Eventualitäten zu schützen, etwa in Bezug auf Persönlichkeitsrechte und gegen Industriespionage.

Wie dieses Ziel am besten erreicht wird, muss allerdings im Einzelfall bewertet werden. Beispielsweise sind gesetzliche und regulatorische Vorgaben häufig interpretierbar: Unternehmen A kommt zu dem Schluss, dass sie mit einem der großen Hyperscaler zusammenarbeiten darf. Microsoft Azure, Google Cloud Platform (GCP) und Amazon Web Services (AWS) haben ja auch Rechenzentren in der EU – mit Zertifizierungen, die belegen, dass sie die geforderten Compliance-Vorgaben einhalten. Unternehmen A lagert also wesentliche Teile seiner IT in die Azure-Cloud nach Irland aus. Unternehmen B hat die gleichen Anforderungen, lehnt die Azure-Cloud aber ab, weil ihre eigenen Datenschutzvorgaben nicht eindeutig anwendbar sind. In solchen Fällen beraten wir gerne und können, wenn gewünscht, unsere Managed Services ausschließlich aus Deutschland liefern. Und wenn wir aus dem Ausland arbeiten, dann sind wir dennoch EU-DSGVO-konform.

Thomas Ross: Hyperscaler heißt Public Cloud. Für mehr Schutz steht eine Private oder Provider Cloud. Als Anbieter kontrolliert NTT DATA den kompletten Stack: eigenes Gebäude eigene Mitarbeiter und Server. Somit können wir für alles einstehen. Diese Sicherheit ist belegbar. Wir haben Erfahrungen mit kritischer Infrastruktur, zum Beispiel für Automobilzulieferer, pharmazeutische Unternehmen und andere produzierende Unternehmen, Banken und Versicherungen, die wertvolle Daten vor Einblicken schützen wollen.

Grundsätzlich betreiben wir auch Kundensysteme auf Basis der Hyperscaler, aber abgesichert gemäß unserem hohen Standard. Als Partner und Berater des Kunden stehen wir für diese Sicherheit ein, haben belegbar hohe Qualitätsstandards – auch, wenn wir auf globale Mitarbeiter-Ressourcen zurückgreifen.

Thomas Ross: Die Applikationen und deren Anforderungen entscheiden darüber, wie wir die Möglichkeiten der Public Cloud und klassische, spezialisierte Umgebungen kombinieren können. Unsere Private Cloud ist beispielsweise für SAP-Workloads optimiert. Ein häufig genutztes Hybrid-Szenario: Web-Applikationen und Office-Anwendungen laufen beim Hyperscaler und die SAP-Systeme in einer Private Cloud oder SAP Public Cloud. Im Idealfall verbindet eine hybride Landschaft die Vorteile der verschiedenen Welten. Sie kann aber auch das Gesamtgebilde verkomplizieren: Je heterogener die Landschaft, desto wichtiger wird dann das Absichern.

Thomas Ross: Zuerst tauschen wir uns mit dem Unternehmen über dessen gesetzliche und regulatorische Vorgaben aus, auch über die persönlichen Präferenzen der Geschäftsführer und Inhaber. Welches Level an Sicherheit wird gebraucht? Welche sicherheitskritischen Informationen liegen in den Systemen, zum Beispiel Patente, Rezepturen, Konstruktionspläne? Dann werden die kurz- und langfristigen Ziele bestimmt: Was soll die eigene IT leisten, was soll ausgelagert werden, welche übergeordnete Strategie gibt es? Zur Beratung gehört auch, ein gemeinsames Verständnis zu schaffen: Was definieren wir Private, Public und Hybrid Cloud? Wie kann man DSGVO-Konformität in Europa, Asien oder global herstellen? Und zuletzt kommt der Abgleich mit dem Budget – denn sicheres Cloud Computing ist auch eine kaufmännische und unternehmerische Entscheidung. Meine Erfahrung ist hier, dass auf Entscheider-Ebene das Bewusstsein wächst, dass Sicherheit Geld kosten darf.

Thomas Ross: Hier müssen die Unternehmen genau hinschauen, denn einige Cloud-Anbieter haben komplizierte Preismodelle. Es lohnt sich, den Gesamtpreis pro Monat oder pro Jahr exakt nachzuvollziehen. Wir beobachten, dass hier mancher Kunde „kalt erwischt“ wird. Also: Nicht blauäugig in die Public Cloud gehen, sondern die Preismodelle durchleuchten und vergleichen.