„Datensicherheit ist Teil unserer DNA“

Wenn Unternehmen ihre Geschäftsprozesse in die Cloud verlagern, ist Sicherheit das A und O. Sven Denecken, Global Vice President Strategy and Co-Innovation Cloud Solutions bei SAP, erläutert, worauf Kunden achten sollten.

Wenn Unternehmen erwägen, ihre IT in die Cloud zu verlagern, lautet die erste Frage meist: „Wie sicher ist das?“. Wie würden Sie aus SAP-Sicht diese Frage beantworten?

Denecken: Wir entwickeln unsere Cloud-Software mit derselben Sorgfalt und denselben Sicherheitsmechanismen, wie wir es auch für unsere traditionellen On-Premise-Lösungen tun. Sicherheit beginnt für uns dabei bereits bei der Entwicklung. Nur so haben wir bereits früh im Prozess einen sehr großen Einfluss auf die spätere Qualität der fertigen Lösung. Außerdem warten wir unsere Cloud-Lösungen kontinuierlich und mit höchster Sorgfalt. Zum Beispiel sorgen wir mit regelmäßigen Updates dafür, dass stets die aktuellen Sicherheitsstandards zum Einsatz kommen.

Zudem verfolgen wir bei SAP einen ganzheitlichen Ansatz. Denn wenn von Sicherheit in der Cloud die Rede ist, wird häufig nur die Software-Ebene betrachtet. Eine qualitativ sichere Lösung muss aber neben der Software- auch die Plattform- und die Infrastruktur-Ebene berücksichtigen. Eine gute, stabile Cloud-Lösung braucht eine ebenso gute und sichere Plattform und Infrastruktur. Deshalb beschränkt sich Sicherheit für uns nicht bloß auf die Softwareentwicklung. Sie umfasst auch die Art und Weise, wie unsere Lösungen betrieben werden und wie die dazugehörige Infrastruktur aufgebaut ist. Hierzu gehören der Betrieb unserer Rechenzentren, ein sicherer Datenzugriff sowie das Management der Daten. Mit sensiblen Kundendaten umzugehen, ist für SAP übrigens nichts Neues: Wir haben seit über 40 Jahren Erfahrung darin, Kundendaten zu verwalten, weil wir diese auch schon in der On-Premise-Welt für unsere Kunden gehostet haben. Diese Erfahrung kommt heute auch unseren Cloud-Kunden zugute.

Wir wollen sicherstellen, dass Unternehmen künftig ihre gesamten Geschäftsprozesse sicher in der Cloud betreiben können. Dieser Anspruch bildet die Messlatte für die Qualität jeder SAP-Cloud-Lösung.

Einem externen Anbieter die eigenen Unternehmensdaten zu überlassen, erfordert ein hohes Maß an Vertrauen. Wie kann SAP diese Vertrauensbeziehung schaffen?

Zunächst einmal zeigen wir unseren Kunden sehr transparent, wie und wo wir in unsere Cloud-Angebote investieren. Hierbei stellt sich häufig heraus, dass wir gerade im Bereich Infrastruktur deutlich höher in die Sicherheit investieren können, als es vielen unserer Kunden möglich wäre. Die Sicherheit von Softwarelösungen gehört schließlich zu unserem Kerngeschäft – Datensicherheit und Datenschutz sind Teil unserer DNA.

Zweitens legen wir größten Wert darauf, dass die Daten unserer Kunden sicher gelagert werden. Unsere Rechenzentren sind so gestaltet, dass sie Gesamtunternehmensszenarien abbilden können, also den höchsten Anforderungen eines Unternehmens an Sicherheit entsprechen. Außerdem sind die SAP-Rechenzentren mit einem umfassenden, mehrschichtigen Sicherheitssystem ausgestattet, das unter anderem biometrische Zugangskontrollen für sensible Bereiche, redundante Datenspeicherung und Stromversorgung sowie Brand- und Hochwasserschutzmaßnahmen umfasst. Der TÜV, die Wirtschaftsprüfungsgesellschaft KPMG und wir selbst überprüfen in regelmäßigen Abständen, ob die Technik und die Infrastruktur einwandfrei funktionieren. Die meisten unserer deutschen Kunden speichern ihre Daten in unserem deutschen Rechenzentrum, das sich fünf Kilometer von Walldorf entfernt in St. Leon-Rot befindet. Wir bieten übrigens regelmäßig Touren durch unser Rechenzentrum in St. Leon-Rot an, das man auch virtuell unter http://www.sapdatacenter.combesuchen kann. Hier zeigen wir ausführlich, welche Maßnahmen wir hinsichtlich physischer Sicherheit, Netzwerksicherheit, Backups oder Compliance betreiben.

Und Drittens: Während sich viele Diskussionen heute meist auf den Datenzugriff beschränken, gehen wir noch einen Schritt weiter und fragen, welche Daten in verteilten Landschaften wo gehalten werden. Der Kunde kann bei uns selbst entscheiden, in welchem Rechtsraum wir bestimmte Daten halten sollen. Diese freie Entscheidungsmöglichkeit ist wichtig, denn sie ist Teil des Sicherheitsbedürfnisses unserer Kunden. So kann ein Kunde beispielsweise entscheiden, dass die Daten seiner Unternehmensniederlassung in China auch nur dort gehalten und nicht mit Daten aus anderen Regionen vermischt werden. Ebenso kann ein Kunde entscheiden, dass Teile seiner Daten weiterhin On-Premise in seinem Unternehmen gehalten werden und Teile in der SAP-Cloud. Bis Ende 2014 werden wir knapp 20 Datencenter weltweit betreiben, um den Kunden entsprechende Verteilungsmechanismen und Möglichkeiten zur Skalierung zu bieten. Auf Wunsch können wir außerdem sicherstellen, dass die Kundendaten nur an einem Ort gehalten werden.

Beim Cloud Computing werden Daten über Landesgrenzen hinweg ausgetauscht und gespeichert. Nach welchen Rechtsrahmen und Standards richtet sich SAP dabei?

SAP orientiert sich grundsätzlich am Rahmen der lokalen Gesetzgebung. Zusätzlich befolgen wir weltweit internationale Standards wie beispielsweise ISO 27001, ISAE-3402 oder SSAE-16. In Sachen Datenschutz halten wir uns in Europa an die europäischen Regularien, in Deutschland natürlich an das besonders strenge Bundesdatenschutzgesetz. Diesen sehr hohen Qualitätsstandard können wir auch ausländischen Kunden in Deutschland anbieten.

Wir denken auch überregional darüber nach, wie der Datenverkehr in einer sicheren Form vereinfacht werden kann. Speziell zeigt sich dies bei Anwendungsfällen wie Geschäftsnetzwerken, wozu auch unser Ariba-Netzwerk gehört. Denn die oft hochgradig geographisch verteilten B2B-Netzwerke sind von unterschiedlichen Gesetzgebungen betroffen. Dies kann ein Hindernis darstellen. Deshalb bemühen wir uns auf einem hohen und vertrauensvollen Niveau darum, die rechtlichen Regularien auf internationaler Ebene zu harmonisieren und standardisieren.

Wir haben darüber gesprochen, was SAP für die Sicherheit der Kundendaten tut. Worauf sollten die Kunden selbst achten, wenn sie Software aus der Cloud nutzen möchten?

Entscheidend ist, dass die Kunden das Thema Cloud-Sicherheit nicht allein unter dem Aspekt der Datensicherheit, also des Zugriffs auf Daten, betrachten. Die Zugriffssicherheit ist zweifellos richtig und wichtig, es gibt daneben aber weitere wichtige Aspekte, die eine sichere Cloud ausmachen.

Kunden sollten sich darüber im Klaren sein, dass die zunehmende Verlagerung von Geschäftsprozessen in die Cloud heute schlichtweg eine Realität ist. Nicht alle Prozesse werden in die Cloud wandern, aber Lösungen werden dennoch zunehmend aus der Cloud bedient. Die Fähigkeit zur Geschäftsprozessintegration sollte also fester Bestandteil des Designs einer jeden Cloud-Lösung sein. Die Frage der Sicherheit betrifft aber nicht nur die Cloud-Lösung als solche, sondern auch ihre Integrationsfähigkeit in die bereits vorhandene On-Premise-Landschaft des Kunden sowie in andere Cloud-Lösungen.

Ein zweiter wichtiger Punkt ist, dass der Umgang der Endanwender mit Cloud-Lösungen, insbesondere über Mobilgeräte, ein hohes Maß an Sicherheitsmechanismen erfordert. Unternehmen sollten also darauf achten, dass ihr Anbieter in der Lage ist, mobile Varianten seiner Cloud-Lösung mit der entsprechenden Qualität und Sicherheit bereitzustellen. Hierzu gehört die zentrale Verwaltung mobiler Endgeräte einschließlich „Bring Your Own Device“ ebenso wie die Frage, wer Zugriff auf welche Teile der Lösung hat, also ihre Konfigurationsmöglichkeiten.

Gibt es weitere Punkte, die bei der Auswahl der richtigen Cloud-Lösung zu beachten sind?

Es gibt eine Reihe grundsätzlicher Fragen, die Unternehmen ihrem Cloud-Anbieter stellen und auf die er klare Antworten haben sollte:

  • Wo sind welche Daten? Diese Frage ist sowohl regional- als auch produktspezifisch zu verstehen. Regionalspezifisch heißt: Weiß ich, in welchen Ländern meine Daten gespeichert werden, und kann ich mir diese Länder aussuchen? Produktspezifisch bedeutet: Kann ich Geschäftsprozesse so gestalten, dass bestimmte Daten weiterhin in meinen eigenen Systemen gehalten werden können, während ich andere Daten in die Cloud geben kann – sind also hybride Landschaften möglich?
  • Portierbarkeit von Daten: Wenn ich morgen einen Cloud-Service nicht mehr nutzen will, kann ich meine Daten problemlos und sicher zu einem anderen Cloud-Service portieren?
  • Identity Management: Wie verwalte ich Nutzer, die über verschiedene Systeme auf meine Daten und Anwendungen zugreifen? Und wie stelle ich sicher, dass nur die richtige Person Zugriff auf die richtigen Daten hat?
  • Betreuung der Systeme: Kann ich meine Cloud-Lösung mit den gleichen Tools betreuen, wie ich es aus der On-Premise-Welt gewohnt bin? Oder liegt die Betreuung komplett in der Hand des Herstellers?

Nicht zuletzt ist Sicherheit immer auch eine Frage der Kultur. Sie muss von den Mitarbeitern eines Cloud-Anbieters gelebt werden. Dazu gehören bereits so scheinbar simple Dinge wir der sorgfältige Umgang mit Passwörtern oder das Sperren von Mobilgeräten, wenn sie nicht genutzt werden. Bei SAP selbst, als Anbieter und auch Nutzer von Cloud-Lösungen, legen wir hohen Wert darauf, dass sämtliche Mitarbeiter ein umfassendes Sicherheitstraining erhalten und regelmäßige Prüfungen ablegen müssen

Video: Cloud Update Sven Denecken

Bildquelle: Shutterstock

Kommentare

You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>