ERP aus der Cloud: Den richtigen Provider finden

Sicherheit in der Cloud ist ein riesiges Thema. Um den passenden Provider zu finden, sollten Unternehmen auf verschiedene Anforderungen achten. Der richtige Partner ist wichtig, denn wenn es um die Sicherheit der Daten geht, sitzt man bei der Haftung im selben Boot. Was vielen nicht bewusst ist: Ein Teil der Verantwortung liegt auch beim Unternehmen, welches die Daten verwaltet.

IT-Sicherheit gehört in der Wohnungs- und Immobilienbranche zu einer der wichtigsten Daueraufgaben. Denn jedes Unternehmen erhebt Unmengen an personenbezogenen Daten und verarbeitet sie digital. Geraten die Informationen in die falschen Hände, kann dies weitreichende Folgen mit sehr kritischen Konsequenzen haben.

Nach wie vor tun sich viele Unternehmen schwer, den Ablageort der Daten aus dem Haus zu geben und sie über einen externen Anbieter in der Cloud zu speichern. Dabei vergessen sie oft eines: Bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. Sie investieren sehr viel Geld in die Absicherung ihrer Cloud-Umgebungen, setzen aktuellste Sicherheitstechnologie ein und beschäftigen ein größeres Team an Spezialisten, die ausschließlich Security-Maßnahmen umsetzen, überprüfen und anpassen wozu kleinere und mittlere Unternehmen kaum in der Lage sind. Genau wie beim Bankgeschäft kommt es aber auch beim Cloud-Computing auf den richtigen Dienstleister an.

Was der passende Provider können muss

Wie lässt sich der richtige Provider finden? Eine erste Orientierung für die Minimalanforderungen bei Cloud-Security und Cloud-Compliance bieten die Leitfäden des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des IT-Branchenverbands Bitkom. Bei der Einschätzung des von einem Provider versprochenen Sicherheitsniveaus helfen zudem Zertifikate weiter etwa ISO/IEC 27001.

Darüber hinaus benötigt man transparente Informationen über die Sicherheitskonzeption des Cloud-Providers. Dieser sollte beispielsweise auf folgende Fragen detailliert antworten: Wie sicher sind die Kanäle? Wo werden die Daten abgelegt? Wie sieht der Notfallplan aus, wenn Daten verschwinden sollten? Wie sieht es mit Verschlüsselung, Zugangskontrolle, Backup und fachkundigem Personal aus? Wer greift wann und mit welchen Rechten auf die Daten zu? Werden die Daten fristgerecht gelöscht? Was passiert mit den Daten bei Ende des Vertrags? Wie gut ist der Kundenservice und steht einem für den Notfall jederzeit ein Ansprechpartner zur Verfügung?

DSGVO: Daten sollten in Deutschland liegen

Unternehmen sollten darauf achten, dass die Daten Deutschland nicht verlassen und nicht in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden. Diese Vorgabe gilt auch für die Partner und Subunternehmer des Providers sowie für den Notfall.

Moderne ERP-Systeme für Wohnungsunternehmen und Immobilienverwaltungen in der Cloud, so auch Haufe axera, erfüllen diese Bedingungen. Diese webbasierte Software wird in der Cloud-Plattform Microsoft Azure in Deutschland betrieben und bereitgestellt. Microsoft erfüllt mit ISO-Standards und mehrfachen Zertifizierungen höchste IT-Sicherheitsanforderungen und berücksichtigt sämtliche Datenschutz-Regularien hierzulande, auch die Vorgaben aus der Datenschutzgrundverordnung (DSGVO). Die Daten werden ausschließlich in Deutschland gespeichert und verarbeitet.

Geteilte Verantwortung in der Cloud

Eines ist in diesem Zusammenhang noch wichtig: Mit der Verlagerung von Anwendungen in die Cloud können Unternehmen sich noch nicht "zurücklehnen". Denn in der Public Cloud gilt grundsätzlich das Prinzip der Shared Responsibilitydas heißt, die Sicherheit und Compliance liegen in der geteilten Verantwortung von Provider und Kunden.

Für Firmen gibt es eine zentrale Sicherheitsmaßnahme: die Verschlüsselung der Daten, die in der Cloud gespeichert werden, und zwar auch während der Übertragung. Entscheidend ist, dass sie hierzu die Hoheit über die Verschlüsselungscodes behalten und diese selbst kontrollieren.

Neben der Verschlüsselung können Unternehmen ihre Cloud-Anwendungen und -Daten mit vielen weiteren Maßnahmen schützen. Cloud-Firewalls analysieren die Datenübertragungen und sichern sie ab. Eine Multi-Faktor-Authentifizierung mit Passwort, Smart Cards, Security-Tokens oder biometrischen Faktoren (Fingerabdruck, Iris-Scan, Stimmerkennung) erhöht ebenfalls die Sicherheit, genauso wie eine rollenbasierte Zugriffskontrolle mit abgestimmten Nutzerrechten.

Von Cloud-Daten sollten regelmäßig Backups erstellt werden. Zudem sollten Firmen eigenständig auf einen verantwortungsvollen Umgang mit dem Cloud-System achten, ihr Personal regelmäßig schulen sowie die Zugriffsrechte von Kunden und Partnern überprüfen und aktuell halten.


Das könnte Sie auch interessieren:

In die Cloud – oder nicht – oder doch: Wirrwarr um die Datensicherheit

DSGVO in der Immobilienwirtschaft: 1x1 der Bußgeldberechnung