Datensicherheit: Risiken beim Gang in die Cloud
04.07.2022 //Es klingt etwas abgedroschen, aber Daten sind das neue Gold. Umso verblüffender ist es, wenn mit ihnen umgegangen wird, als gäbe es keine Risiken. KMU haben jedoch viel zu verlieren.
Wie eine Cloud-Lösung verloren gehen kann
Ich bin ein leidenschaftlicher Hobbysportler. So gehöre ich wohl zu der Sorte Mensch, die morgens um 6:30 Uhr bereits im Gym stehen, während andere sich noch einmal im Bett umdrehen. Überzeugt davon, dass bessere Daten bei richtiger Nutzung bessere Entscheidungen ermöglichen, führe ich über mein Training digital Buch. Jahrelang war ich begeisterter Anwender von Runtastic. Da gab es eine App für jeden Zweck: eine fürs Rennvelo, eine fürs Mountainbike. Auch die Jogging-App umfasste die Funktion, meine Fortschritte im Langlauf zu überwachen. Ergänzt wurde diese Produktpalette mit einer – wie ich finde – ansprechenden Weblösung. Das Preis-Leistungs-Verhältnis war sagenhaft. War. Denn dann kam der Verkauf. Adidas hat sich das erfolgreiche Jungunternehmen einverleibt: für die Investoren mit Sicherheit ein Bombengeschäft. Für die Käuferin ein lohnender Versuch, das eigene Versäumnis, ein digitales Ökosystem aufzubauen, aus der Welt zu schaffen. Eine klassische Win-win-Situation. Nur nicht für mich. Denn Adidas hat die strategische Entscheidung getroffen, sich in Zukunft nur noch auf Jogger zu konzentrieren.
Mit der Neuausrichtung wurde die Wartung der für mich relevanten Apps abgestellt. Noch schlimmer: Die Weblösung wurde komplett ausser Betrieb genommen. Und das mit einer Vorankündigungsfrist von gut einer Woche. Ab Tag X war kein Zugriff mehr möglich. Fertig aus. Wer schnell genug war, durfte immerhin noch seine Daten in einem CSV-File (Comma-Separated Values) exportieren und darauf hoffen, diese irgendwann, irgendwo wieder importieren zu können. Ja, ich bin ein Hobbysportler mit Ambitionen. Dieses Erlebnis bedeutet nichts mehr als eine ärgerliche Geschichte, die sich höchstens dazu eignet, hervorgekramt zu werden, wenn in einer illustren Runde die Gesprächsthemen ausgehen. Wirklich einschneidend ist es also nicht. Was aber, wenn sich ein ähnliches Szenario mit meinen eigenen, überlebenswichtigen Unternehmensdaten ereignen würde?
Datensicherheit in der Cloud
Welchen Wert haben meine Unternehmensdaten?
Plötzlich kein Zugriff mehr auf wichtige Unternehmensdaten in der Cloud. Eine absolute Horrorvorstellung. Alle Verkaufschancen, Vertragsdaten, offene Aufträge und Rechnungen, Supporttickets, erbrachte Leistungen und mehr befinden sich höchstens in einer flachen CSV-Struktur. Wenn überhaupt noch ein Export vor dem Shutdown möglich war. Wie finde ich da die Dokumentationen zu Gesprächen mit Kunden, zu ihren Systemumgebungen und all das festgehaltene Wissen vergangener Supportfälle wieder? Es mag abgedroschen klingen, aber Daten sind tatsächlich das neue Gold. Auch wenn man «nur» über seine eigenen verfügt und nicht wie Google, Facebook oder Amazon über die der halben Welt. In den Fokus rückt das Thema meistens, wenn es darum geht, was diese Unternehmen alles mit meinen persönlichen Daten anzustellen gedenken. Auch eine wichtige und oft vernachlässigte Frage. Meine Unternehmensdaten sind für mich meine halbe Welt – oder sogar noch mehr.
Wie lange überlebt mein Unternehmen ohne seine Daten?
Zurück zu unserem Worst-Case-Szenario eines Totalausfalls. Sollten Sie noch nie ein CSV-File gesehen haben, empfehle ich Ihnen, einmal selbst einen Export aus einer von Ihnen verwendeten Weblösung auszuführen. Die meisten bieten eine solche Funktion, und das File lässt sich einfach in Excel öffnen. Wenn Sie ein paar Zehntausend Einträge verteilt über verschiedene Tabellen haben, wird es ganz schön unübersichtlich. Die ganze Programmlogik aus Ihrer alten Lösung ist weg – Sie sehen nur noch Daten, Daten, Daten. Und schon eine kleinere Firma ist schnell bei Zehntausenden Einträgen angelangt. Die gute Nachricht ist: Diese Daten lassen sich meist wieder in ein Zielsystem einlesen. Vielleicht geht die eine oder andere nützliche, aber nicht zwingend notwendige Information verloren. Damit können Sie leben. Schlimmer ist: Sie brauchen Zeit. Wie viel konkret, hängt von verschiedenen Faktoren ab. Sicher ist, Sie müssen erst mal eine neue Lösung evaluieren. Der Anbieter muss Ihre Daten analysieren und vermutlich das eine oder andere Migrationsskript schreiben. Danach müssen Sie die Migration überprüfen, was je nach Datenmenge lange dauern wird. Doch es lohnt sich zu checken, ob alle Verträge oder Abos bei den richtigen Kunden gelandet sind. Schliesslich möchten Sie nicht erst beim Erstellen einer dringenden Offerte feststellen, dass Ihre Artikelstruktur teilweise auseinandergerissen wurde und auch die Rabatte nicht mehr richtig zugeordnet sind. Blitzartig sind da ein paar Wochen ins Land gezogen, bevor Sie wieder mehr oder weniger in der gewohnten Art und Weise arbeiten und Ihre Kunden bedienen dürfen.
Aus meiner Vergangenheit bei einer Schweizer Grossbank weiss ich, dass bei einem Totalausfall des Mainframes die damalige Überlebensdauer wenige Tage betragen hätte. Heute wären es wohl wenige Stunden. Dafür sind die Systeme verteilter und die Wahrscheinlichkeit eines kompletten Ausfalls geringer. Das spielt aber keine Rolle. Klar ist: Stehen die Systeme nicht unverzüglich wieder zur Verfügung, kann die Bank ihren Verpflichtungen nicht mehr nachkommen und geht Konkurs. Volkswirtschaftlich gesehen ein systemrelevantes Problem und darum auch akribisch reguliert. Die meisten KMUs machen keine Termingeschäfte am Geldmarkt, und wenn, dann nicht in vergleichbaren Dimensionen. Aber wie würde das in meinen Firmen aussehen? Wie hoch sind eigentlich unsere Liquiditätsreserven, um einen Unterbruch im Fakturierungsprozess zu überbrücken? Wie hoch ist die Wahrscheinlichkeit, dass wir morgen nicht mehr einfach auf wichtige Daten zugreifen können?
💡Tipp: Den Risikomanagementprozess anwenden
Wie gehe ich mit Risiken beim Gang in die Cloud um? Es lohnt sich, dem klassischen Risikomanagementprozess zu folgen:
🔍 Risiken identifizieren
📊 Risiken bewerten
🛠️ Massnahmen definieren und umsetzen
Risiken gibt es bei Cloud-Lösungen unter anderem im Bereich Datenschutz und Datensicherheit. Bei der Datensicherheit, die das Ziel verfolgt, Daten technisch gegen Verlust, Veränderung oder andere Bedrohungen zu sichern, ist auch das kommerzielle Ausfallrisiko des Anbieters mitzuberücksichtigen.
Bei der Bewertung der Risiken wird die Frage beantwortet, wie hoch die Eintretenswahrscheinlichkeit des Risikos ist und was die Auswirkungen beim Eintreten wären. Auch bei sehr geringer Wahrscheinlichkeit benötigen diejenigen Risiken hohe Aufmerksamkeit, bei denen die Auswirkungen fatal wären und die Existenz des eigenen Unternehmens bedrohen.
Massnahmen sollen, wo möglich, die Eintretenswahrscheinlichkeit verkleinern. Oft ist das nur eingeschränkt möglich, und es gilt, die Tragweite der Auswirkungen zu verringern. Insbesondere regelmässige, automatisch durchgeführte Exports, idealerweise in einer höheren Strukturierung (z.B. als Datenbank), und ein organisatorischer Plan, wie im Falle eines Ausfalls vorgegangen wird.
Ein Hoch auf das Risikomanagement
Dieser Artikel ist kein Votum gegen Cloud-Lösungen. Diese bieten sehr viele Vorteile und werden sich langfristig durchsetzen. Wer als Softwarehersteller seine Lösung in den kommenden Jahren nicht cloudfähig macht, wird keine Zukunft haben. Das gilt auch für uns. Daher investieren wir sehr viel Ressourcen und Herzblut in dieses Thema. Vielmehr ist der Artikel ein Votum für das Risikomanagement in KMUs. Ich bin immer wieder erstaunt, mit welcher Sorglosigkeit in KMUs Entscheidungen zum Beispiel in Bezug auf Daten getroffen werden. Selten höre ich die Frage, was eigentlich passiert, falls der Anbieter die Bilanz deponieren muss oder es aus anderen Gründen zu einem längeren Systemausfall kommt. Einen klaren Plan zu haben für solche Situationen, kann über das Überleben eines Unternehmens entscheiden. Oft höre ich Unternehmer dagegen argumentieren, man sei «zu klein», um sich eine eigene IT-Abteilung leisten zu können. Das ist verständlich, und in vielen Fällen ist es nicht sinnvoll, eine solche aufzubauen. Leider lassen sich das Risikomanagement und das strategische Management von IT-Themen dennoch nicht outsourcen.
Jeder Unternehmer muss heute in der Lage sein, die richtigen Fragen zu stellen, Antworten zu plausibilisieren und damit die richtigen Entscheidungen zu treffen. Unternehmer sein bedeutet ebenso, Risiken einzugehen. Doch das Risiko, alle seine Geschäftsdaten zu verlieren, muss beachtet werden. Viele Risiken lassen sich im besten Fall auch nur reduzieren und nicht vollständig aus der Gleichung nehmen. Es ist ein grosser Unterschied, ob man sich eines Risikos bewusst ist oder erst davon Kenntnis nimmt, wenn es zugeschlagen hat.
intusdata ag – Ihr Partner für strategisches Cloud-Management
Möchten Sie ein unverbindliches Beratungsgespräch? Wir stehen Ihnen gerne zur Verfügung! Kontaktieren Sie uns noch heute und erfahren Sie, wie wir Ihnen helfen können, Ihre Ziele zu erreichen.