Die Nutzung von Cloud-Softwarelösungen wird in der momentanen Krise und mit Blick auf die Zukunft oft als Allheilmittel genannt – aber ist sie das auch? In dieser Beitragsserie möchten wir Ihnen einen Überblick über das Thema Cloud in Bezug auf Dynamics NAV / Business Central geben. Nach zahlreichen ERP-Projekten in den vergangenen Jahren teilen wir unsere Erfahrungen mit Ihnen und steigen dabei tiefer in die Bereiche Strategie, Performance, Collaboration/Benutzererfahrung, Sicherheit und Kosten ein. Wir starten in diesem Beitrag mit zwei der meistdiskutierten Aspekte.
Sicherheit und Datenschutz
Wie sicher ist eigentlich die Cloud? Täglich lesen wir in der Presse über Datenklau, Hackerangriffe, Verletzung der Privatsphäre und andere digitale Kriminalfälle. Dagegen stehen Herstelleraussagen, die ihre spezialisierten Rechenzentren als die sicherste Datenablage der Welt anpreisen.
Wem soll und kann man seine geschäftlichen Daten, ja sogar sein ganzes ERP System, denn nun anvertrauen? Hierbei gilt es zwei Sicherheitsbedürfnisse zu prüfen, zum einen den Datenschutz und zum anderen die Datensicherheit.
Das Thema Datenschutz belegt immer die vorderen Ränge, wenn es um die Clouddiskussion geht. Absolute Ausfallsicherheit, Top Performance, 24 Stunden Ansprechbarkeit kämpfen hier gegen den Wunsch, dass die Daten größtmöglich geschützt vor Ort liegen, das Land nie verlassen und nur sehr wenige Menschen vollen Zugriff darauf haben sollen. Politische Machtspiele und Unsicherheit über die persönliche Haftung geben ihr Übriges dazu, dass das Thema an Schrecken zunimmt.
Urteile beschleunigen den Prozess
Erst vor Kurzem wurde mit dem Schrems II Urteil für viel Unruhe unter den europäischen Microsoft Anwendern gesorgt. Schon länger geplant aber sicherlich durch das Urteil beschleunigt, wurde seitens Microsoft im letzten Jahr die GoLocal Initiative für die Business Applications vorangetrieben. Seit letztem Herbst werden Business Central Instanzen nicht mehr nur in "Western Europe", sondern tatsächlich in Deutschland gehostet. Seit einigen Tagen sind Office 365 und weitere geschäftliche Anwendungen, wie Dynamics Sales und Power BI, dazugekommen. Weitere Informationen dazu erhalten Sie hier.
Die Zusammenarbeit mit namhaften und besonders beobachteten Unternehmen, wie der Deutschen Börse, wirken zusätzlich vertrauensbildend. Nach unserer Erfahrung ist die Frage des Datenschutzes beim externen Dienstleister aber nur eine Seite der Medaille. Vielmehr müssen Unternehmen auch regelmäßig intern prüfen, ob datenschutzrechtlich sauber gearbeitet wird.
Bei Nutzung von Standardsoftware und -diensten aus der Cloud können Sie auf die bereits durch den Anbieter erstellten Prüfzertifikate im Rahmen einer Prüfung verweisen und müssen sich nicht aufwendig selbst prüfen und zertifizieren lassen.
Einfluss durch Home-Office
Neben dem Datenschutz belegt die Datensicherheit eine der andere Topplatzierungen in der Clouddiskussion. Der Schutz vor fremdem Eindringen ist seit Beginn der Pandemie sogar noch viel wichtiger geworden, wie u.a. der aktuelle Sicherheitsreport von Microsoft zeigt.
Der Wechsel ins Home-Office hat digitale Umstellungen auf z.B. Teams oder Fernzugriffe in enorm kurzer Zeit gefordert. Dabei sind IT-Abteilungen auf Hard- und Softwareseite mit viel Energie losgesprintet und haben trotz großer Sorgfalt vergessen, die ein oder andere Tür richtig zu schließen.
Die Anzahl Hackerangriffe auf Unternehmensnetze haben gleichzeitig stark zugenommen. Dabei sind es nicht die Großen, sondern nach unserer Erfahrung auch viele typische KMU Kunden, die überraschend von Verschlüsselungstrojanern oder Ähnlichem heimgesucht werden. Solch ein Angriff hinterlässt Spuren.
Neben dem Shutdown aller Systeme kommt die Frage auf, ob ausreichend sichere Backups vorhanden sind, wo diese sicher wieder aufgebaut werden können, wie lange es dauert wieder handlungsfähig zu werden und ob Kundendaten kompromittiert worden sind. Neben dem Schaden durch den Shutdown des eigenen Geschäfts und der Wiederaufbaukosten drohen ggf. also zusätzliche Regressansprüche Dritter.
Eine sichere IT-Umgebung selbst zu betreiben, die neben dem laufenden Betrieb, dem Backup und Desastermanagement noch proaktiv unbekannte Angriffe von außen abwehrt, ist nicht nur ein Kosten- und Kompetenzproblem, sondern oft auch eine Entscheidung danach, wie weit man hinsichtlich moderner Kommunikation und Collaboration hinter dem Markt herlaufen kann.
Ein Blick auf die digitale Entwicklung
Arbeitsmarktforscher sehen nach der Pandemie einen großen Trend zum Home-Office, so dass die Risiken der digitalen Öffnung weiter Bestand haben werden. Hier setzen große Cloudanbieter an und projizieren gerne ein Bild in unsere Köpfe, in dem rund um die Uhr ein Heer aus top-ausgebildeten Fachleuten in einer NASA-ähnlichen Steuerzentrale eine gigantische, undurchdringbare Festung aus Serverschränken mitten im Nirgendwo bewacht.
Anstatt mit unendlichen Konfigurationseinstellungen in der Firewall kämpft die eigene IT dann mit seitenlangen Verträgen oder Produktfeatures, die man an- und abwählen kann. Das All-In-Angebot ist auch kein Selbstläufer und muss sorgsam gegen das eigene Sicherheitsbedürfnis geprüft werden.
Ich bin ehrlich, beides hat seinen Reiz. Ich habe schon top-performante IT-Abteilungen und Dienstleister kennengelernt, die Unternehmensnetze klinisch sauber halten. Genauso aber auch die Stärke von spezialisierten Fachleuten im Rechenzentrum, die im Gegensatz zum lokalen IT-Allrounder die allerletzte Sicherheitsschraube eines spezifischen Dienstes kannten.
Die Entscheidung für oder gegen den Einsatz von Clouddiensten sollte sich aus der gesamten IT- Strategie ableiten und einem ehrlichen Blick auf die Kompetenzen und Schwerpunkte des eigenen Unternehmens folgen. Bei den wenigsten Unternehmen ist die IT ein Teil der Wertschöpfung oder eine Kernkompetenz.
So kann die Verlagerung von Diensten in die Cloud im Rahmen einer kombinierten Strategie mit eigenen Fachleuten der richtige Weg sein, um eigene Kompetenzlücken dauerhaft zu schließen, Überforderung zu verhindern und im Bedarfsfall besser handlungsfähig zu bleiben.
Wichtig ist, das Thema Sicherheit ist ein nie endendes Wettrennen und selbst die heute stärkste Mauer muss immer wieder auf Haltbarkeit geprüft werden. Wir empfehlen daher, regelmäßige Penetrationstest durch externe Dienstleister durchführen zu lassen und den Desasterfall zu üben.
Ein abschließender Gedanke zum Thema Cloud: Strom und Wasser stellen für viele Unternehmen einen wichtigen Roh- / Betriebsstoff dar, aber die wenigsten produzieren sie selbst. Das war nicht immer so, fühlt sich aber heute ganz normal an.
Update Dezember 2022
Seitens Microsoft gab es im Dezember 2022 ein Update zum Rollout des sogenannten EU Data Boundary Programms. Neben dem bisherigen Hosting verschiedener Kernprodukte in der EU, soll im Rahmen des Programms die komplette Speicherung und Verarbeitung aller Daten ausschließlich in der EU möglich sein. Insbesondere für Zusatzdienste aus dem Bereich Azure oder hochspezialisierte Dienste wie KI/AI war dies in der Vergangenheit nicht vollständig möglich, so dass z.B. Daten trotz EU Speicherung zur Verarbeitung außerhalb der EU gesendet und dann wieder empfangen wurden. Ein weiteres Szenario ist die technische Unterstützung, für die man ggf. sensible Daten an Microsoft übertragen muss, die heute nicht zwingend innerhalb der EU zur Analyse und Fehlerbehebung verarbeitet werden. Eine Übersicht über das Programm und den aktuellen Fortschritt findet man auf dieser Landingpage.
Schauen Sie auch bei den nächsten Beiträgen dieser Serie rein, die in den kommenden Monaten veröffentlicht werden. Um diese nicht zu verpassen, abonnieren Sie einfach bequem den Blog und sie werden automatisch informiert.
