Im ersten Teil des Fachinterviews mit Norbert Fuchs, Geschäftsführer der Managementberatung convio Leadership Consulting zum „SaaS-Dschungel“ ging es um die begriffliche Unterscheidung und Abgrenzung von Cloud Computing, Infrastructure as a Service (IaaS), Plattform as a Service (PaaS) und Software as a Service (SaaS).
Im zweiten Teil setzen wir uns mit sicherheitsrelevanten Fragestellungen rund um SaaS-Lösungen auseinander.
=> Direkter Link zum Video-Interview
Gerade in Zeiten zunehmender Internetkriminalität ist es für Unternehmen wichtig, sich über die Sicherheit der eigenen IT-Sparte Gedanken zu machen. Das gilt natürlich auch für SaaS-Anwendungen.
Insbesondere als Anwender/Nutzer gilt es in diesem Fall mehrere Szenarien durchzugehen, um zu überprüfen, ob der entsprechende Anbieter von SaaS-Lösungen den Anforderungen auch entspricht. Dabei gibt es verschiedene Kerngebiete, die einer näheren Beleuchtung bedürfen. Darunter fallen Fragestellungen die den Datenschutz, die Übertragungswege, die Verschlüsselung von Informationen und den Schutz vor Hacker-Angriffen betreffen.
Und auch wenn diese Fragen geklärt sind, gilt es immer noch, die geplanten Schritte des Anbieters im Falle eines Worst-Case-Szenarios zu überprüfen und dabei eine sorgfältige Auswahl zu treffen. Disaster-Recovery-Konzepte werden in Unternehmen oft vernachlässigt. Wenn geschäftskritische Daten in eine virtuelle Struktur eingebunden werden, kann das im schlimmsten Fall stark geschäftsschädigenden Folgen haben. Um den Geschäftsbetrieb im Falle eines Ausfalls zu erhalten, müssen virtuelle Infrastrukturen nicht nur verfügbar gehalten werden, sondern im Notfall auch schnell wiederherstellbar sein. Site Recovery-Technologien können helfen, auch verteilte Ressourcen zu nutzen und Kosten zu sparen. In diesem Szenario sind speziell die Pläne für einen potentiellen Ausfall der angebotenen Leistungen zu berücksichtigen, etwa wie lange der Anbieter für eine Wiederherstellung seiner Services braucht. Dies sollte dann mit eigenen Vorsichtsmaßnahmen ergänzt werden. Darunter fallen natürlich aktualisierte Daten-Backups, die vorsorgliche Auswahl eines Ersatzproviders und die damit verbundenen Maßnahmen zur Umschichtung relevanter Daten. In diesem Präventionspaket ist es wichtig, bereits bei den ersten Vertragsgestaltungen die entsprechenden Punkte schriftlich zu verankern, damit es im Falle eines Zusammenbruchs zu keinerlei juristischen Streitigkeiten mit dem Anbieter kommen kann.
Nichtsdestotrotz kann es dennoch zu Einbußen kommen, auch wenn ein Präventionsplan ausgearbeitet wurde. Daher sollte man sich vor der Inanspruchnahme von SaaS-Lösungen darüber im Klaren sein, dass immer ein Restrisiko vorherrscht. Auf die Frage, wie lange das eigene Unternehmen einen Ausfall des Providers verkraften kann, sollte früh eine Antwort gefunden werden und in die verschiedenen Ausweichszenarien eingearbeitet werden.
Diese Sicherheitsaspekte sind jedoch auch außerhalb des SaaS-Bereichs relevant. Arbeitet ein Unternehmen im IT-Bereich eigenständig, folgt daraus auch die eigene Verantwortung für eventuelle Ausfälle. Zwar ist man in diesem Fall unabhängig in der Wahl der folgenden Schritte, jedoch ist es fraglich, inwiefern speziell kleinere Unternehmen über eine ähnliche Expertise bei der Lösung solcher Probleme verfügen, wie es bei großen Providern mit technisch hochgerüsteten Rechenzentren üblich ist. Diese sind in der Regel mit allen Facetten der IT-Sicherheit vertraut und verfügen über die entsprechenden Ressourcen zur Lösung des Problems. Dennoch können auch kleinere und mittlere Unternehmen in eigener Verantwortung agieren, sollten jedoch die grundsätzlichen Maßnahmen zum Schutz gegen Hacker, die Aktualisierung und Bereithaltung von Daten-Backups, sowie die Verlagerung eigener Infrastruktur auf einen externen Anbieter im Falle eines Sicherheitsrisikos nicht außer Acht lassen.
Im dritten Teil der Interviewreihe wird mit Norbert Fuchs der SaaS-Markt aus der Anbietersicht beleuchtet. Dieser Beitrag erscheint am 09. März 2012.