Die Gründung deines Traum-Unternehmens steht kurz bevor. Du stellst dir die Frage, wo die Daten deines Unternehmens aufbewahrt werden sollten – auf einem Server in deinem Unternehmen oder auf einer Cloud eines externen Anbieters? Unter Berücksichtigung der Cyber- und Compliance-Aspekten bieten wir dir eine Hilfestellung, ob für dein Unternehmen eine Cloud beziehungsweise eine On Premises (“vor Ort”) Lösung vorteilhafter ist.
Eine On Premises Lösung ist, wenn du deinen eigenen Server von Grund auf selbst aufbaust, pflegst und alles selbst verwaltest. Als Analogie, das ist wie als würdest du zu Hause in deiner eigenen Küche eine Pizza backen. Wenn allerdings Server, Speicher oder Programme online erreichbar sind, handelt es sich um eine Cloud Lösung. Als Unternehmen kannst du verschiedene Cloud Services von unterschiedlichen Anbietern beziehen.
Nachfolgend stellen wir dir verschiedene Cloud Modelle vor. Bei IaaS (Infrastructure-as-a-Service) verwaltet und pflegt ein Anbieter einen virtuellen Server für dich. Auf das Pizza-Beispiel übertragen bedeutet dies, dass dir die Küche, Räumlichkeiten und Zutaten zur Verfügung gestellt werden. Backen, Belegen und den Tisch decken musst du selbst. PaaS (Platform-as-a-Service) ist, wenn dir ein Anbieter eine virtuelle Arbeitsumgebung zur Verfügung stellt, um Applikationen und Software zu entwickeln. Du bestellst dir eine Pizza nach Hause, nur noch den Tisch decken musst du selbst. Bei SaaS (Software-as-a-Service) stellt der Anbieter seine Software auf seinem eigenen Server bereit. Stell dir vor, dass du in einem Restaurant die Pizza bestellst und dort isst.
Welches sind nun die Eigenschaften der IT-Strategien in Bezug auf Cybersecurity und Compliance? Bei einer On Premises Lösung ist einiges an Vorwissen in Bezug auf Cybersecurity nötig, da du einen Server von Grund auf konfigurieren und pflegen musst. Hier sind beispielsweise regelmässige Sicherheitsupdates nötig, du musst stetig mit der neuesten Verschlüsselungstechnologie mitgehen und dich um die Authentifizierung kümmern. Veraltete Geräte, die nicht gepflegt werden, sind Kanonenfutter für Hacker. Auf der anderen Seite bietet sich die Chance an, alles von Grund auf selbst aufzubauen und man ist nur von sich selbst abhängig. Du hast die Datenhoheit. Zudem bist du für die Verfügbarkeit zuständig. Bei einer Cloud sind die Verantwortlichkeiten anders geregelt. Beispielsweise bei einer SaaS Lösung bekommst du die Software und musst dich nur einloggen. Die Authentifizierung ist gegeben und für die Verfügbarkeit deiner Daten ist der Anbieter verantwortlich. Der Speicherort der Daten ist jedoch nicht immer transparent vom Anbieter ausgewiesen.
Da du bei einer On Premises Lösung die gesamte Infrastruktur selbst verwaltest, hast du die Kontrolle über deine Daten. Die Einhaltung von Compliance-Vorgaben in Bezug auf den Datenschutz und weitere gesetzliche, regulatorische, branchenspezifische oder auch unternehmensinterner Vorschriften werden durch dich gesteuert. Bei einer Cloud-Lösung hingegen teilst du dir das Managen der IT-Infrastruktur mit dem Anbieter. Deine Daten verlassen die Obhut deines Unternehmens, was ein potenzielles Risiko darstellt. Dennoch bist du für die Einhaltung der Vorschriften verantwortlich.
Folgendes empfehlen wir dir:
Was musst du bei einer On Premises Lösung beachten?
- Wir empfehlen dir diese Lösung, wenn du in deinem neu gegründeten Unternehmen das Know-How und die personellen Ressourcen hast, selbst einen Server aufzubauen.
- Ebenfalls empfehlen wir diese Lösung, wenn dein Kerngeschäft sich mit der Serverlandschaften oder ähnlichen Technologien befasst (beispielsweise ein Robotik Unternehmen).
- Wenn die Datenhoheit ein fundamentaler Punkt ist, wäre diese Lösung ein guter Ansatz. Solltest du das Wissen für den Aufbau eines Servers nicht haben, so besteht immer noch die Option, sich diese Expertise einzukaufen.
Und was ist bei einer Cloud Lösung zu berücksichtigen?
- Wähle den Cloud-Anbieter sorgfältig aus (Checkliste zur Auswahl eines Cloud-Dienstes)
- Beachte, dass du im Detail abklären musst, ob die für dein Unternehmen geltenden Vorschriften durch den Anbieter eingehalten werden. Unter anderem, ob der Anbieter die notwendigen Zertifizierungen zur Sicherstellung der Datensicherheit vorweisen kann, wie beziehungsweise wo die Daten bearbeitet werden, wo sich der Server befindet, wer auf die Daten zugreifen kann und wie die Verfügbarkeit der Daten eingehalten werden muss (weiterführende Informationen zum Datenschutz).
- Halte die Verantwortlichkeiten deiner Unternehmung und die des Anbieters vertraglich fest.