Von Clint Oram, Mitbegründer und CTO von SugarCRM

"Die Zukunft liegt in der Cloud!" - Zu diesem Ergebnis kam im Januar die Studie "Digitalisierung in der Versicherungsbranche" vom IT-Markt-Analysten TechConsult. Das leuchtet ein - schließlich bringt die Cloud grundsätzlich erst einmal viele Vorteile. Das gilt nicht nur für Versicherungen, sondern für alle Unternehmen.

Werden kurzfristig bedarfsgerechte IT-Kapazitäten benötigt, kann problemlos auf IaaS-Lösungen (Infrastructure as a Service) zurückgegriffen werden. Diese sind dabei oft erheblich günstiger und weniger Service-intensiv, als wenn in eigene Infrastruktur investiert werden würde.

Kürzlich hat eine Bitglass-Umfrage mit 92 internationalen CIOs und IT-Chefs ergeben, dass 55 Prozent der Befragten eine "Cloud-first"-Strategie auf ihrer Agenda haben. Aber es gibt seitens der IT-Entscheider speziell in Deutschland noch eine gewisse Skepsis gegenüber Cloud-Lösungen.

Fallstrick I: Post Safe-Harbor und strenge Regulierung in Deutschland

Erst kürzlich hatte ich ein Meeting mit einem großen Unternehmen aus dem Finanzsektor. Es ging dabei um die Implementierung eines CRM-Systems. Von Anfang an wurde deutlich gemacht: "Auf keinen Fall können wir die Daten unserer Kunden in einer öffentlichen Cloud speichern. Wir wollen schließlich nicht die Kontrolle über vertraulichen Informationen verlieren!"

Die Verantwortlichen hatten insbesondere Bedenken wegen der strengen Regulierungen, wo Daten gespeichert werden dürfen und wo nicht. Ein Nichteinhalten von nationalen Regulierungen kann nämlich dramatische Folgen für Verantwortliche und das Unternehmen haben. Die Bank of Queensland in Australien musste Anfang 2015 zehn Millionen US-Dollar in einen dreijährigen Gerichtsprozess investieren. Eine falsch gewählte Bereitstellungsoption für ein CRM-System war hierfür der Grund. Die bittere Erkenntnis für das Unternehmen war, dass die Cloud-Lösung nicht den Normen und Richtlinien der APRA entsprach (Australian Prudential Regulation Authority), der regulierenden Instanz der Finanzdienstleister. Entgegen der Warnung der Behörde, wurden die Daten außerhalb der Landesgrenzen gesammelt. Das Resultat: Der verantwortliche CIO wurde abgelöst, das Projekt eingestellt und die Bank musste sich restrukturieren.

Viele Länder sind ähnlich streng wie Australien reguliert, wenn es um das Speichern und Sammeln von Kundendaten geht. In Deutschland beispielsweise müssen Daten auch innerhalb der Landesgrenzen gespeichert werden. Dies hat Folgen für global aufgestellte Einheiten mit Niederlassungen in den USA und Europa. Viele Unternehmen entschließen sich daher dazu, ihre Kundendaten zumindest innerhalb der europäischen Grenzen zu speichern, wenn nicht sogar im eigenen Land, um die Einhaltung der Bestimmungen zu gewährleisten. Hier braucht es flexible Lösungen, die regionale Hosting-Optionen zur Verfügung stellen, aber auch immer die Bereitstellung auf firmeneigenen Servern erlauben. So kann schnellstmöglich auf veränderte Anforderungen reagiert werden, ohne den täglichen Ablauf zu behindern. 

Fallstrick II: Sicherheitsaspekte und Kontrolle über die Daten

Neben der Regulierung ist das Zugriffsrecht auf die Daten ein weiteres Sorgenkind der CIOs, wenn es um gemeinsam genutzte, öffentliche Clouds und IT-Infrastrukturen geht. Viele Entscheider fürchten die Kontrolle über die Daten zu verlieren, die in den öffentlichen Clouds gespeichert sind. Die Vorstellung, viel Geld in Sicherheits-Tools und komplexe Autorisierungszertifikate zu investieren, nur um dann den Sicherheitsmechanismen des Cloud-Anbieters zu scheitern, ist für viele absurd. Denn oft hat nicht einmal die IT-Abteilung Einblick in die Sicherheitsmechanismen eines Cloud-Anbieters. Und wenn diese Mechanismen versagen, können sie weder etwas reparieren, noch mit ihren Daten selbstständig zu einem anderen Anbieter wechseln. Diese Aussichten hinterlassen bei vielen CIOs ein ungutes Gefühl.

Gekoppelt ist dies zusätzlich mit dem Risiko, im öffentlichen Licht sein Gesicht zu verlieren, wenn der Datenverlust publik wird - wie vor Kurzem etwa bei Anthem Insurance, AT & T oder Ashley Madison in den USA geschehen. Spätestens seit diesem Zeitpunkt diskutiert jeder über die Gefahren, die extern gespeicherte Daten mit sich bringen. Vertrauensbrüche dieser Art können nicht nur Geschäftsverluste bedeuten, sondern schlimmstenfalls auch mit Bußgeldern einhergehen.

Mögliche Alternativen?

Ein sinnvoller Lösungsansatz bei der Nutzung von Cloud Computing kann beispielsweise ein sicheres Hosting-Modell darstellen. T-Systems hat in seinen deutschen hoch sicheren Rechenzentren unlängst einen SugarCRM Software Hosting Service gestartet und vermarktet die gehostete CRM-Lösung aus seiner eigenen Infrastruktur. Der Bundesverband mittelständische Wirtschaft (BVMW) ist einer der ersten Kunden dieser Lösung. Die BVMW-Repräsentanten haben jedes Jahr über 700.000 Kontakte mit mittelständischen Unternehmerinnen und Unternehmern, um die Interessen von rund 270.000 Unternehmen zu vertreten.

In der Vergangenheit verwalteten die einzelnen BVMW-Niederlassungen die Mitgliederkontakte individuell mit Hilfe mehrerer unterschiedlicher Systeme. Dass Informationen zwischen den Systemen nicht ausgetauscht und synchronisiert werden konnten, erwies sich zunehmend umständlich und zeitintensiv.

Fazit

Unternehmen sollten immer die Freiheit und Flexibilität haben, diejenigen Lösungen und Architekturen implementieren zu können, die exakt ihren individuellen Ansprüchen und Anforderungen an Sicherheit, Compliance-Vorgaben und Datenintegration entsprechen. Cloud Computing gilt als Wirtschaftstreiber und speziell im Exportland Deutschland werden vernetzte Produktionsanlagen im Zeitalter von Industrie 4.0 immer wichtiger. Aber bei der Umsetzung gilt es ganz genau hinzuschauen und sich für eine Strategie zu entscheiden, die insbesondere den Themen Datenintegrität und Zukunftssicherheit gerecht wird. Der Zugriff auf (Kunden-)Daten muss problemlos und unterbrechungsfrei möglich sein.

Die beste Möglichkeit, Vorkehrungen für jede Art von Ausfall zu treffen, ist die Auswahl eines Anbieters, der im Falle einer Katastrophe oder einer längeren Ausfallzeit einen soliden Schutz und die Möglichkeit bietet, dass man Inhaber seiner Software ist und diese von überall aus ausführen kann - und nicht nur über eine einzelne begrenzte Cloud-Umgebung darauf zugreifen kann.