Eine Private Cloud ist oftmals das passende Modell für ERP-, BW-, CRM- und ähnliche grundlegende Systeme. Sie vereint ein hohes Schutzniveau mit der Einfachheit, Flexibilität und Skalierbarkeit einer Cloud-Lösung. Im Rechenzentrum St. Leon-Rot scheut die SAP keine Kosten und Mühen, um die Daten ihrer Kunden sicher und compliant zu verwalten.
SAP-Systeme beherbergen meist die wertvollsten und zugleich kritischsten Daten im Unternehmen überhaupt: Finanzdaten, Kundendaten, Daten aus Forschung und Entwicklung. Wenn es um die Auslagerung von Anwendungen in die Cloud geht, ist der erste Reflex deshalb meistens: „Diese Daten müssen im Haus bleiben. Darüber brauchen wir die volle Kontrolle.” Dabei kann es gerade Sinn ergeben, die wertvollsten Daten in fremde Hände zu geben. Nämlich dann, wenn diese Hände genau darauf spezialisiert sind, Ihre Daten unter allen Umständen vor Diebstahl, Manipulation oder Verlust zu schützen. Schließlich kommt ja auch (fast) kein Unternehmer auf die Idee, seine Stromversorgung komplett selbst in die Hand zu nehmen, nur weil diese für den eigenen Betrieb absolut überlebenswichtig ist. Das können andere einfach besser.
Im zweiten Teil dieser Artikelserie hatten wir uns damit beschäftigt, wie sich die Auslagerung in die Cloud am besten vorbereiten lässt. Im Wesentlichen besteht die Arbeit darin, Ihre Daten zu kategorisieren, für die einzelnen Kategorien ein Sicherheitslevel zu definieren und mit diesen Anforderungen ein Cloud-Modell sowie einen Provider auszusuchen.
Eine Private Cloud ist oftmals das passende Modell für ERP-, BW-, CRM- und ähnliche grundlegende Systeme. Sie vereint das Schutzniveau eines eigenen Serverraums mit der Einfachheit, Flexibilität und Skalierbarkeit einer Cloud-Lösung. Denn trotz des Begriffs Cloud schwirren Ihre Daten in einer Private Cloud nicht undefinierbar irgendwo in der Weltgeschichte herum wie bei einer Public Cloud, sondern befinden sich dezidiert an einem gut geschützten Ort – einem Ort, den Sie kennen und an dem Sie Ihren Daten einen Besuch abstatten können, wenn Sie das denn möchten.
So ein Ort ist zum Beispiel das SAP-Datacenter (neudeutsch für Rechenzentrum) in St. Leon-Rot, unweit der SAP-Zentrale in Walldorf. Dort betreibt SAP für seine deutschen und europäischen Kunden die SAP HANA Enterprise Cloud. Damit können Unternehmen den vollen Funktionsumfang der SAP HANA Datenbank und aller unterstützter Anwendungen nutzen, ohne sich selbst um Infrastruktur, Betrieb und Wartung zu kümmern.
Das SAP-Rechenzentrum ist ein beeindruckendes Gebäude, auch wenn es eher unscheinbar aussieht. Wenn Sie wissen wollen, wie das Rechenzentrum gegen Stromausfälle, Brände oder Naturkatastrophen und die Hardware gegen Defekte oder Überhitzung geschützt ist, empfehle ich Ihnen einen Blick auf die Webseite des SAP-Datacenter. Wahrscheinlich wird Sie jedoch eher die Frage umtreiben, wie es in der SAP-Cloud um Datenschutz, Compliance und Schutz gegen Cyberkriminalität bestellt ist. SAP bietet hier ein umfassendes, von mehreren Stellen zertifiziertes Sicherheitskonzept, das Ihnen die Entscheidung leicht macht. Die wesentlichen Bausteine dieses Konzepts fasse ich für Sie kurz zusammen:
Die Kommunikationsflüsse ins Rechenzentrum werden permanent durch ein Intrusion Detection System überwacht. Mehrere hintereinander geschaltete Firewalls von unterschiedlichen Firmen lassen keinen Eindringling durch. Alle Daten von Kunden werden grundsätzlich verschlüsselt ausgetauscht oder über abhörsichere Glasfaserkabel übertragen.
Das Rechenzentrum wird 24/7 bewacht. Der Zutritt ist nur einzeln durch Schleusen möglich. Mitarbeiter müssen sich mit ID-Karten authentifizieren, in sensiblen Bereichen auch durch biometrische Scans. Jeder Mitarbeiter darf nur die Räume betreten, für die er befugt ist und in denen er Aufgaben zu erledigen hat. Alle Zutritte werden lückenlos dokumentiert.
Täglich werden Voll-Back-ups sowie mehrere Zwischen-Back-ups aller Daten erstellt und doppelt im selben Rechenzentrum sowie an einem zweiten, räumlich getrennten Ort aufbewahrt. Dadurch ist sowohl ein schneller Zugriff als auch die sichere Verwahrung garantiert.
Alle Kundendaten bleiben prinzipiell innerhalb des Rechenzentrums in St. Leon-Rot. Back-ups werden zwar räumlich getrennt, aber immer innerhalb desselben Rechtsraums (also Deutschland bzw. die EU) aufbewahrt.
Die Daten verschiedener SAP-Kunden werden im Rechenzentrum grundsätzlich physisch voneinander getrennt gespeichert.
Kundendaten werden von SAP generell nicht an Dritte weitergegeben.
Alle SAP-Mitarbeiter, interne wie externe, sind einzeln zum Datenschutz und zur Geheimhaltung verpflichtet.
Müssen SAP-Mitarbeiter im Support-Fall auf Kundendaten zugreifen, tun sie dies über dezidierte Terminalserver. Der Zugang wird über individuelle Accounts und temporäre Passwörter für maximal eine Stunde gewährt. Mitarbeiter können also nur anlassbezogen und mit Zustimmung des Kunden auf dessen Daten zugreifen. Alle Zugriffe werden dokumentiert.
Der Kunde erhält eine Liste aller Unterauftragnehmer und wird vorab informiert, wenn sich Änderungen ergeben. Alle Unterauftragnehmer werden nach EU-Standard-Verträgen zum Datenschutz verpflichtet.
Alle genannten und weitere Kriterien werden mehrmals jährlich durch unabhängige Prüfer nach verschiedenen Standards auditiert. So können Sie sicher sein, dass das Sicherheitsniveau dauerhaft hochgehalten wird und dem aktuellsten Stand der Technik entspricht. Sie können selbstverständlich alle Prüfberichte und Zertifikate des Rechenzentrums einsehen. Persönliche Audits durch den Kunden vor Ort sind zwar ebenfalls möglich, aber wahrscheinlich unnötig.
Die transparente Darstellung des Sicherheitskonzepts und die lückenlose Dokumentation aller (physischen und digitalen) Zugriffe macht es Ihnen einfach, einerseits Ihre Daten angstfrei in die SAP-Cloud auszulagern und andererseits alle gesetzlichen Bestimmungen und Compliance-Vorgaben mit so wenig Aufwand wie möglich zu erfüllen.
So sicher Ihre Systeme in der Cloud sind, Sie müssen ja von verschiedenen Orten darauf zugreifen, zum Beispiel von Ihren verschiedenen Niederlassungen aus, von unterwegs im Außendienst oder im Homeoffice. Außerdem werden Ihre On-premise-Systeme (also die, die Sie inhouse betreiben) mit den Cloud-Anwendungen laufend Daten austauschen müssen, damit alle Systeme aktuell bleiben. Hier ergibt sich eine potenzielle Schwachstelle: Wenn Unternehmen eigene Clouds betreiben, gibt es oft Tausende offene Verbindungen und Endpunkte, die zu schützen sind.
Mit der SAP HANA Enterprise Cloud lösen Sie dieses Problem äußerst elegant und effizient. Die Daten der On-premise-Welt von SAP werden über einen VPN-Tunnel mit der SAP Cloud verbunden. Das Tool dafür nennt sich SAP Cloud Connector. So gibt es nur eine Verbindung in das Unternehmensnetz und nur einen Endpunkt bei der SAP, auf den Sie Ihre Schutzmaßnahmen konzentrieren können.
Ihre inhouse vorhandenen Daten werden in die SAP-Cloud repliziert und die Cloud-Anwendungen darauf aufgebaut. Selbst wenn ein Hacker in einem sehr unwahrscheinlichen Falle in die SAP eindringen könnte, hätte er nur auf einen kleinen, replizierten Teil der Daten Zugriff. Er könnte keine Backend-Transaktionen, zum Beispiel Banküberweisungen, ausführen. Selbst wenn solche Transaktionen über die Cloud erlaubt sein sollen, kann der Zugriff zusätzlich über eine Zwei-Faktoren-Authentifizierung abgesichert werden. Spätestens hier ist dann für einen Hacker Schluss.
Genau solche Lösungen wie die oben beschriebene haben wir von IBsolution bereits mehrfach für unsere Kunden realisiert. Falls Sie eine Auslagerung Ihrer Systeme in die Cloud planen und weitere Informationen benötigen, fragen Sie uns.
Oder Sie schauen sich zum Einstieg in das Thema unser Webinar aus dem Oktober 2016 an. Der Titel: Integration von Cloud und On-Premise mit der SAP HANA Cloud Platform – ein Überblick.
Bilder: SAP