Strategie & Management

Maximale Risikobegrenzung beim Auslagern in die Cloud

Resilienztipps für Risikomanager – Teil 4: Cloud Computing

12.08.2014 -

Resilienz ist das Vermögen, nach einem Schadenfall schnell und ohne nachhaltige Auswirkungen zurück zum alltäglichen Geschäftsablauf zu gelangen. Ein gezieltes, effektives Risikomanagement stärkt die Resilienz eines Unternehmens. CHEManager stellt in einer vierteiligen Serie potenzielle Risiken für die Chemieindustrie und entsprechende Lösungsansätze für Risikomanager und Unternehmen vor. Nach der Betrachtung von Hochwasser- und Überflutungsrisiken, von chemischen und technologischen Unfällen sowie den Gefahren für die Lieferkette geht es im letzten Teil dieser Serie um Risiken und Stolpersteine beim Cloud Computing.

Wir leben in Zeiten rasanter technologischer Entwicklungen, von denen sich viele als zukunftsfähige Geschäftslösungen erweisen - allen voran die „Cloud". Beim Cloud-Computing werden bestimmte Anwendungen von In-House-Systemen auf Drittpartei-Systeme transferiert und somit über ein Netzwerk ortsunabhängig erreichbar. IT-Prozesse befinden sich somit nicht auf lokalen Rechnern, sondern werden von einem Dienstleister bereitgestellt. Die Frage, die sich Unternehmen stellen müssen, ist also, ob sämtliche Anforderungen an die IT über interne Ressourcen abgedeckt werden, oder ob die IT-Infrastruktur und die dazugehörigen Dienstleistungen ganz oder teilweise an externe Servicegesellschaften ausgelagert werden sollten.

Dem „Cloud-Monitor 2014" der Wirtschaftsprüfungsgesellschaft KPMG und des Hightech-Verbands Bitkom zufolge nutzen 40 % der Unternehmen in Deutschland Cloud-Computing, weitere 29 % planen oder diskutieren den Einsatz. Ein Unternehmen, das keine Server kaufen und instand halten muss, kann erhebliche Kosten sparen. Darüber hinaus ist die Fähigkeit, Daten überall auf der Welt abrufen zu können, ein enormer Vorteil für jeden Geschäftsprozess. Doch neue Technologien bringen auch neue Risiken mit sich. Nahezu jedes Unternehmen muss sich auf die Leistungsfähigkeit der Datenübertragung verlassen. Minuten- oder nur sekundenlange Ausfälle können bereits den Geschäftsprozess beeinträchtigen.

Bedenken und Risiken

Gegen die Einführung einer Cloud-Strategie sprechen daher Sicherheits-, Compliance- und Zuverlässigkeitsbedenken. „Cloud-Computing stellt leider keinen sicheren Schutz vor Datenausfällen, Softwarepannen oder Cyberangriffen dar", betont Frank Drolsbach, Engineering Manager beim Industrieversicherer FM Global. Ratsam ist eine End-to-End-Verschlüsselung, die die Daten nicht nur auf dem Cloud-Server chiffriert, sondern auch vor dem Transfer auf den Cloud-Server. Zudem sollten nur bestimmte User, d. h. Mitarbeiter des Unternehmens, den Entschlüsselungscode haben, und nicht der Provider. Denn sollte der Cloud-Anbieter gehackt werden und der Schlüssel zur Dekodierung liegt „direkt bei den Daten", nutzt auch die beste Datenverschlüsselung nichts.

Aktuell bevorzugen deutsche Unternehmen aufgrund der NSA-Affäre deutsche Cloud-Anbieter, deren Rechenzentren in Deutschland ansässig sind. 25 % der befragten Unternehmen des „Cloud-Monitor 2014" befürworten eine nationale Cloud, auch wenn sie mit Mehrkosten verbunden ist.

Zu den technischen Risiken kommen jene auf der „Meta-Ebene": weitreichende Konsequenzen für das Unternehmen durch den Ausfall der Systeme, die wiederum durch Gefahren wie Brände oder Naturkatastrophen ausgelöst werden können und zu Betriebsunterbrechungen führen. Es ist kaum möglich zu garantieren, dass ein Cloud-Dienst vollkommen risikolos bleibt. „Viele Dienstleister oder IT-Subunternehmer haben ihren Sitz in Ländern, in denen eher vage Sicherheitsvorschriften herrschen und in denen staatlich gelenkte Computerangriffe an der Tagesordnung sind", sagt Drolsbach. „Das ist ein großes Problem für alle Unternehmen, die auf die Zuverlässigkeit und Sicherheit ihrer IT- Systeme angewiesen sind."

Datenzentren im Ausland

Zahlreiche Cloud-Dienstleister und ihre Vertragsnehmer bauen Datenzentren in neuen Märkten wie Hongkong, Singapur oder Taiwan auf, wo die Kosten für den Bau und die Infrastruktur geringer sind. Unbestritten ist, dass Immobilien in diesen Ländern hohen Risiken, insbesondere Naturgefahren, ausgesetzt sind. Im Hinblick auf Risikomanagement und Schadenverhütung stellen Datenzentren daher eine große Herausforderung dar, vergleichbar mit anderen Branchen, die auf extrem hochpreisige Anlagen zurückgreifen, wie z. B. die Petrochemie. Da die Bauvorschriften in den neuen Märkten möglicherweise nicht die eigenen Sicherheitsstandards und die des Versicherers erfüllen, sollten Standorte für Datenzentren nach einem anerkannten Standard konzipiert sein, wie dem Uptime Institute's Data Centre Site Infrastructure Tier Standard.

„Der Schutz vor Feuer und Stromausfällen ist für die Betreiber von Datenzentren das A und O. Die meisten Ausfälle gehen auf Fehler in der Elektrik zurück, wie zum Beispiel Stromunterbrechungen oder Kabelbrände", weiß Frank Drolsbach. Er rät zu erhöhter Achtsamkeit bei der Auswahl der Zulieferer. „Entscheidend ist nicht nur der Preis, sondern auch die Zuverlässigkeit des Dienstleisters und seine Fähigkeit, Daten verfügbar und abrufbar zu halten", fügt er hinzu. Cloud-Dienstleister sollten auf demselben Sicherheitsstandard sein, den Unternehmen auch für die In-House-Datenspeicherung anwenden.

Bestehenden Versicherungsschutz anpassen

Zudem sollten bestehende Versicherungsverträge dahingehend überprüft werden, ob sie Cloud-Computing und damit verbundene Verluste abdecken. Denn in der Industrieversicherung gelten für Unterbrechungen bei IT-Dienstleistungen andere Bestimmungen als für gewöhnliche ausgelagerte Dienstleistungen. Im Falle eines Datenverlusts als Folge eines IT-Ausfalls ist der Versicherungsschutz möglicherweise nicht ausreichend, wenn ein Unternehmen mit Cloud-Technologie arbeitet.

Unternehmen sollten sich der Risiken des Cloud-Computing genauso bewusst sein und sich so vorbereiten wie auch bei anderen, technischen Risiken wie Brandgefahren, Naturkatastrophen oder Lieferkettenunterbrechungen. Wer diese neue Technologie aus Angst ablehnt, verschließt sich selbst vor Möglichkeiten zur Steigerung der Wettbewerbsfähigkeit. So sieht es auch Frank Drolsbach: „Ein umfassendes, gezieltes Risikomanagement umfasst auch solche IT-Prozesse und sorgt dafür, dass alle Gefahren berücksichtigt und vermieden werden, um die Resilienz des Unternehmens zu steigern."

Contact

FM Insurance Company

Eschersheimer Landstr. 55
60322 Frankfurt am Main
Germany

+49 69 15406 0
+49 69 15406 199