Alles „Cloud“

… oder was?

Wir kennen die Wolke als bildliche Darstellung des Internets. Ihren Ursprung findet die Wolken-Grafik in den Anfängen des Cloud Computing, als man begann, geografisch verteilte und organisatorisch geteilte Computerressourcen für Datenspeicherung und Informationsaustausch zu verwenden. Das war lange vor dem Internet, wie wir es heute kennen. Aber das Bild passte weiterhin, den das Internet ist fließend, nicht greifbar und gewisser Maßen chaotisch verteilt, aber von einem System zusammen gehalten, wie das Wetterphänomen „Wolke“. Und so wurde aus dem „Internet“ =  die „Cloud“. Und umgekehrt.

Die Verlockungen der „Cloud“

Doch inzwischen wird alles undifferenziert als „Cloud“ bezeichnet, was irgendwie mit Internet zu tun hat. Besonders gerne im Zusammenhang mit der Digitalisierung verschwimmen die Grenzen.Wo früher ein Unternehmen mit seinem „Business“ ins Internet musste, gehören nach allgemeiner Auffassung Geschäftsanwendungen einfach in die Cloud. Das jedenfalls versuchen Cloud Service Betreiber den Unternehmen bzw. ihren Entscheidern einzutrichtern. Dabei (ver)locken diese Anbieter gerne mit Kostenersparnis, Mobilität und Flexibilität. Und ebenso bereitwillig folgen besonders techniknahe Unternehmen diesen Ruf. Doch leider übersehen sie dabei etwas entscheidendes. Denn was als „Cloudlösung“ verkauft wird, ist meistens eine Mogelpackung für „Software as a Service“, also Mietprogramme. Diese laufen auf zentralen Internetservern eines einzelnen Betreibers in einem einzigen Datacenter. Die Programme werden mit den Kundendaten eng miteinander verknüpft gespeichtert.

Als Kunde ist man diesem Konstrukt auf Gedeih und Verderb ausgeliefert. Tatsächlich ist das ein Problem, denn es schafft Abhängigkeiten, wo es keine geben darf. Darüber hinaus hat dieses Geschäftsmodell mit dem Cloudgedanken rein gar nichts mehr zu tun.

Die Cloud nutzen und digital souverän bleiben

Für eine naive Vertrauensseligkeit gegenüber Cloudanbietern gibt es keinen Grund. Aber Cloud Services als „Teufelswerk“ abzutun, ist genau so unangebracht. Denn viele Anwendungen wie zum Beispiel Mailserver Services sind schon lange „Cloudlösungen“. Darüber hinaus möchte kein Unternehmen mehr auf Datenclouds oder Webkonferenz-Systeme verzichten, nachdem es seine Mitarbeiter in den letzten Monaten ins Homeoffice schicken musste. Und das ist auch gut so. Aber eine „alles ab in die Cloud“ Euphorie ist gefährlich. Denn so manche für das Unternehmen überlebenswichtige Geschäftsanwendung gehört nicht dorthin, jedenfalls nicht ohne ein organisatorisches und technisches „Backup“. Darüber hinaus gibt es noch andere technische Lösungsansätze, welche Mitarbeitern den mobilen Zugriff auf Geschäftsprozesse erlauben. Und zwar so, dass man die firmeninternen Daten nicht aus der Hand an fremde Dritte geben muss und unabhängig, also „digital souverän“ bleibt.

Lösungsansätze

Da Cloudanwendungen für eine sinnvolle Digitalisierung immer wichtiger werden, aber auch ihre Schattenseiten haben, widmen wir diesem wichtigen Thema zwei Beiträge:

Im Zentrum unserer Ausführungen steht somit die „digitale Souveränität“, welche zunächst ein Gegenpol zur „Digitalisierung via Cloud“ darstellt. Damit Sie nicht zwischen dem „Entweder – Oder“ hängen bleiben, sondern bei einem konstruktiven „Und“ landen, geben wir Ihnen wie immer jede Menge Denkanstöße und Entscheidungshilfen. Denn wenn Sie diese Beiträge durchgearbeitet haben, dann wissen Sie, worauf es bei Geschäftsanwendungen als Cloudlösungen ankommt. Und wenn dann noch Fragen offen sind oder neue auftauchen, die beantwortet werden müssen, dann melden Sie sich bei uns.

Digital souverän dank Datensicherung und Backup

Warum geht das Eine nicht ohne das Andere?

In diesem Beitrag führen wir zwei Bereiche zusammen, die wir bis dato immer wieder einzeln betrachtet haben. Doch anläßlich der jüngsten Ausfälle zweier großer, namhafter Cloudanbieter müssen wir genau dieser Frage nachgehen. Denn zweifelsohne sind Cloudanwendungen aus der Digitalisierung von Geschäftsprozessen nicht mehr wegzudenken. Um so schlimmer ist es, wenn sich Unternehmen – vor allem KMUs – (un)wissentlich in eine Abhängigkeit begeben, die fatale Folgen haben kann. Also schauen wir uns den konzeptionellen Zusammenhang von digitaler Souveränität, Datensicherung und Backup genauer an.

Zwei Vorfälle, die zu denken geben

Am 5. April 2022 gab es einen Totalausfall bei „Atlassian“, einem namhaften, großen Cloudanbieter für Ticketsysteme, Collaborations- und CRM-Anwendungen. Noch zwei Wochen später waren nicht alle Daten der Kunden wieder vollständig hergestellt. Da diese Werkzeuge zu den typischen „kritischen Geschäftsprozessen“ gehören, waren die betroffenen Unternehmen über mehrere Tag komplett arbeitsunfähig. Denn die betroffenen Unternehmen verwalteten unter anderem mit den beiden Cloud-Diensten Jira & Confluence alle wichtigen Geschäftsprozesse, beispielsweise in der Entwicklung bzw. Software-Entwicklung.

Kaum waren die Schäden behoben, machte am 15.04. ein großer Hoster Schlagzeilen wegen eines Festplattenausfalls. Nun, Hardware kann tatsächlich plötzlich ausfallen. Davor ist kein Datacenter-Betreiber gefeit. Aber dass 1500 sogenannte Snapshots (Momentaufnahmen eines Server-Zustandes) dabei unwiederbringlich verloren gingen, die eigentlich als Absicherung dienen sollten, ist schon bedenklich. So gab es offensichtlich keine Datensicherung, geschweige denn ein Backup.

Zum Kern der digitalen Souveränität in Zusammenhang mit Datensicherung und Backup

Wie wir sehen, sind Cloudanwendungen ohne zusätzliche Absicherung riskant, besonders für Sie, den Cloudanwender. Aber Sie können diesen „Cloud-Risiken“ vorbeugen und Ihre digitale Souveränität wahren, also trotzdem unabhängiger werden, wenn Sie die Konzepte von Datensicherung und Backup kennen und konsequent verfolgen. Doch fangen wir mit der digitalen Souveränität an. Denn sie ist von grundlegender Bedeutung für die planmässige Erreichung von Unternehmenszielen.

Digitale Souveränität

Als Unternehmer sollten Sie daran interessiert sein, dass das Unternehmen auf die von Ihnen geplante Art und Weise funktioniert. Das lässt sich umso besser realisieren, je mehr strategische Entscheidungen IM Unternehmen fallen. Aber je mehr Sie diese Fähigkeit nach draußen verlagern, desto weniger Einfluss haben Sie auf die Prozesse und Entscheidungen, die Ihr Unternehmen direkt oder indirekt betreffen.

Komfortabel in der Cloud oder souverän digitalisiert?

„Wir müssen in die Cloud! … Wieso?“

Als man vor gut zwei Jahrzehnten über einen ähnlich lautenden Dialog in einem IBM-Werbespot schmunzelte, da steckte das „eBusiness“ quasi noch in den Kinderschuhen. Die „Zukunft des Business“ im Internet schien vielen in weiter Ferne. Doch nur wenige Jahre später galt ein Unternehmen ohne Website quasi als nicht existent, die E-Mail wurde zum wichtigsten Kommunikationsmittel im Geschäftsverkehr. Seit neuestem sind es die Cloudlösungen, welche die Digitalisierung von Unternehmen vorantreiben sollen.

Eine berechtigte Frage …

Die Digitalisierung steht also inzwischen ganz oben auf der Zukunftsagenda. Aber was genau bedeutet das? Cloudanbieter vermitteln gerne den Eindruck, dass Digitalisierung nur mit Cloudlösungen, also über das Internet, zu erreichen ist. Doch Unternehmen, die diesem Aufruf bedingungslos und uneingeschränkt folgen, bezahlen einen hohen Preis. Die Frage nach dem „Wieso (eigentlich)?“ ist also durchaus berechtigt. Deshalb gehen wir ihr in diesem Online-Ratgeber nach.

Was machen Cloudlösungen so gut?

Es gibt viele, sehr gute Gründe, für bestimmte Anwendungen Cloudlösungen einzusetzen. Denn im Internet verfügbare Dienste sind in der Regel von überall aus mit jedem Endgerät jederzeit abrufbar. Sie können theoretisch für einen unbegrenzten Personenkreis sofort bereit gestellt und von allen Beteiligten genutzt werden. Der Betrieb der Software auf externen Servern ist in der Regel recht preiswert, denn man teilt sich die Ressourcen mit anderen Anwendern auf der technischen Infrastruktur des Cloudanbieters. Keine Frage, das Arbeiten mit Cloudlösungen hat viele Vorteile. Spätestens seit Frühjahr 2020 sind Cloudlösungen aus dem betrieblichen Alltag nicht mehr wegzudenken. Denn Home-Office ohne Videokonferenz System, Datencloud und Groupware ist eine ziemlich spaßbefreite Angelegenheit.

Eine erste Antwort

Also halten wir zum „Wieso“ fest: Für bestimmte Anwendungen sind Cloudlösungen sehr praktisch und komfortabel. Sie sind wichtiger Bestandteil einer sinnvollen Digitalisierung. Dennoch müssen Sie hier ein paar grundlegende Dinge unterscheiden. Denn es gibt auch eine Reihe von Geschäftsanwendungen, die in der Cloud eigentlich gar nichts zu suchen haben, jedenfalls nicht ohne doppeltes Netz und vierfachen Boden. Vor allem, wenn Sie Wert auf „Business Continuity“ legen, also auf die Ausfallsicherheit Ihres Unternehmens. Aber dazu später mehr. Wenden wir uns zunächst der Schokoladenseite von Cloudlösungen zu.

Drei Grundregeln für den Einsatz von Cloudlösungen

Egal, wie Sie es drehen und wenden, mit jeder Geschäftsanwendungen, die Sie in die Cloud verlegen, geben Sie ein Stück digitale Souveränität auf. Und bleiben dennoch in der unternehmerischen Verantwortung. Outsourcing schafft Abhängigkeiten und bindet Sie an Ihren Anbieter. Deshalb die

Regel Nr. 1: Anbieter sorgfältig auswählen

Das gilt sowohl für Ihre Agentur, die Ihnen eine Cloudlösung vermittelt als auch für den Softwarehersteller, der Ihnen eigentlich eine „Software as a Service (SaaS)“ als Mietmodell anbietet. Fragen Sie nach, welche Backup- und Datensicherungskonzepte mit angeboten werden. Haken Sie nach, ob die technische Infrastruktur  (Strom, Klima, Leitungen etc.) redundant angelegt ist. Denn nur so können Sie ein Mindestmaß an Ausfallsicherheit und durchgehender Verfügbarkeit voraussetzen. Wie wichtig das ist, können Sie hier nachlesen: „Cloud – zu Risiken und Nebenwirkungen …“

Regel Nr. 2:  Serverstandort D oder EU bevorzugen

Wie Sie wissen, unterliegt Ihr Unternehmen der (EU)-DSGVO. Sie müssen damit sicherstellen, dass die Server, auf denen die Sie Ihre Daten speichern und bearbeiten, sich mindestens innerhalb des EU-Gebietes befinden. Andernfalls müssen Sie mit entsprechenden AV-Vereinbarungen sicherstellen, dass der Cloudserver Betreiber – und nicht nur Ihre Agentur oder der Softwaranbieter ! – die europäischen Datenschutzregeln einhält. Die Veranwortung lässt sich hier leider nicht delegieren, sondern liegt ganz bei Ihnen. Als Tipp für die Praxis geben wir Ihnen mit, den Geschäftssitz der Anbieter zu überprüfen. Dieser ist zwar für Laien oft nicht so leicht zu ermitteln, aber mit etwas Beharrlichkeit bekommen Sie das hin. Denn auch die IP der Dienste erlaubt Rückschlüsse auf den Serverstandort. Für mehr Tipps in dieser Sache empfehlen wir Ihnen unseren Webcast: Datenverarbeitung in den USA.

Regel Nr. 3: Eignungstest der Geschäftsanwendungen (Cloud vs. digital-souveräne Alternative)

Hier geht es ans Eingemachte. Wir erwähnten bereits, dass nicht jede Anwendung „in die Cloud“ gehört. Aber über das „JA“ oder „NEIN“ müssen Sie selbst entscheiden. Denn schließlich geht es um Ihre digitale Souveränität, also um die unternehmerische Eigenständigkeit Ihrer Unternehmens-IT. Sie sollten allerdings wissen, dass es immer die eine Alternative zur Cloud gibt, ohne auf die Vorteile digitaler Geschäftsabläufe verzichten zu müssen.

Aktuelle Entwicklungen im Webdesign mit WordPress

Einst trat WordPress mit dem Anspruch an, sehr schnell und verhältnismäßig einfach zu sehr brauchbaren Websites zu kommen. Auch als programmiertechnischer Laie bekommt man schnell seine Erfolgserlebnisse. Aber mit der Einfachheit ist schon seit ein paar Jahren vorbei. Denn die Ansprüche der Anwender an ein modernes Webdesign mit WordPress wachsen. Und natürlich schläft auch die Konkurrenz nicht. Also haben sie bei diesem beliebten CMS ein paar tiefgreifende Veränderungen ergeben.

Ein klares, einfaches Konzept

Kein anderes Content Management System zieht die Trennung zwischen Design, Funktion und Inhalt unter strikter Einhaltung der PHP- und HTML-Konventionen bis heute so konsequent durch, wie WordPress. Modularer Aufbau und einfache Handhabung sowohl im Aufbau als in der Pflege von Websites waren der Garant für den weltweiten Erfolg. Aber auch die größte Schwäche.

Während andere professionelle CMS mit einer eigenen Skriptsprache für ein Mindestmaß an Qualitätssicherung sorgten, konnte quasi jeder mit einem Minimum an PHP, HTML, JS und CSS Kenntnissen eigene Widgets, Plugins oder Themes entwickeln. Das führte in der Vergangenheit zu Problemen bei Stabilität und Sicherheit. Aber hier hat die WordPress-Community inzwischen ordentlich nachgearbeitet.

Quantitativ und qualitativ gewachsen

Inzwischen hat sich ein eigener riesiger Markt für kostenpflichtige, qualitativ hochwertige WordPress Komponenten für jeden nur erdenklichen Zweck und Anwendungsbereich entwickelt. Natürlich mit den entsprechenden Support Services. Die Auswahl an professionellen, nützlichen oder auch verspielten Themes, Plugins und Widgets, egal ob „for free“ oder kostenpflichtig, ist unüberschaubar. Aber das gute an dieser Entwicklung ist, Sie finden irgendwann garantiert eine Lösung für Ihr eigenes zeitgemäßes Webdesin mit WordPress. Sie müssen nur wissen, wo und wie Sie suchen sollen.

Das Update-Management bleibt aufwändig

WordPress hat aufgrund seiner Systemarchitektur eine einzige Schwäche, die bleibt: das Update-Management. Kommt eine neue WordPress-Version heraus oder werden Sicherheitslücken in bestimmten Schnittstellen entdeckt, dann müssen nicht die das verwendete theme, sondern auch alle betroffenen Plugins ebenfalls aktualisiert werden. Das können 10 und mehr auf einen Streich sein.

Safety First

Ist das Internet in Gefahr?

Die beruhigende Nachricht lautet: Nein, nicht mehr als sonst auch. Zumindest nicht bei uns hier in der „westlichen, freien Welt“. Aber wir müssen wachsam bleiben und noch vorsichtiger sein, als sonst. Dazu gehört in erster Linie: Alle vorgeschriebenen und möglichen technischen und organisatorischen Maßnahmen zum Datenschutz (TOM) umsetzen. Denn wer diese Vorgaben der EU und unserer Bundesregierung zum Datenschutz einhält, der tut auch sehr viel für die eigene IT-Sicherheit.

Etwas Nachhilfe für mehr Internetsicherheit.

Die Liste der einfachen Schutzmaßnahmen ist eigentlich nicht sehr kompliziert und auch nicht sehr lang:

  1. Verwenden Sie, wo es geht, Public-Private-Key Verschlüsselung. Das ist besser als Passwortschutz.
  2. Wenn Sie Passwörter verwenden, dann solten diese aus Ziffern, Sonderzeichen, Satzzeichen, Groß- und Kleinbuchstaben bestehen, am besten durch einen Zufallsgenerator erzeugt. Keine Eigennamen oder lexikalisch suchbaren Begriffe verwenden.
  3. Öffnen Sie NIEMALS E-Mails und Dateianhänge unbekannter Herkunft oder mit eindringlichen Handlungsaufforderungen.
  4. Das gleiche gilt für  Links mit seltsamen Domain-Endungen. Eigentlich am besten auf keine Links in E-Mails klicken
  5. Streichen Sie Protokolle wie z. B. FTP zum Datei-Upload aus Ihrem Repertoire. Es gibt bessere und sichere Übertragungsverahren, zum Beispiel RDP über ein verschlüsseltes VPN.
  6. Hören Sie damit auf, Anwendungen wie WhatsApp, Telegram, DropBox, Zoom, Teamviewer etc. für die betriebsinterne oder geschäftliche Kommunikation zu verwenden.
  7. Verzichten Sie auf als unsicher bekannte Scripte und Funktionserweiterungen bei Online-Anwendungen.
  8. Stellen Sie IoT-Lösungen (Internet of Things), wenn Sie diese wirklich unbedingt brauchen, hinter eine Firewall wie pfSense oder OPNsense oder eine vergleichbar, zusätzliche Absicherung (Fritzbox gehört nicht dazu).
  9. Vermeiden Sie es, private Endgeräte für geschäftliche Zwecke einzusetzen und umgekehrt.
  10. Bewegen Sie sich bei Ihren Internetanwendungen im Rahmen der DSGVO bzw. EU-DSGVO, sowohl als Anwender, als auch als Anbieter bzw. Betreiber von Onlinediensten.

Wie Sie sehen, besteht diese Liste eigentlich überwiegend aus Handlungen, die Sie unterlassen sollten. Und keine dieser Empfehlungen ist wirklich neu. Aber in einer Situation wie dieser wird es immer wichtiger, sich daran auch zu halten.

Unsere Themen und Beiträge im März 2022

Im Moment sind die USA wieder unsere Freunde. Aber wie wir gelernt haben, sollten wir nicht allzu sehr darauf vertrauen. Vor allem wenn es um den Schutz von Daten geht, haben die EU und die US-Regierung „etwas“ unterschiedliche rechtliche Auffassungen. Damit Sie nicht mit einer tollen Webanwendung aus den Staaten ins Fettnäpfchen treten, informieren wir Sie im „Webcast: Datenverarbeitung in den USA“, worauf Sie achten müssen.