Sicherheitsaspekte von Software on Demand und webbasierten Onlinelösungen

Sicherheitsaspekte von Software on Demand und webbasierten Onlinelösungen Praktisch, aber unsicher - so lautet ein häufiges Vorurteil

gegenüber Software On Demand und webbasierten Anwendungen. Doch Vorteile sind vor allem eins: Vorurteile. Es lohnt sich also ein genauerer Blick auf das Thema. In die Sicherheitsgleichung rund um Software on Demand gehen mehr Faktoren ein, als auf den ersten Blick zu erwarten wäre.   So spielt nicht nur die Sicherheit des Dienstanbieters eine Rolle, sondern auch die Verlässlichkeit der Übertragung über das Netz und die Sicherheitsvorkehrungen des Nutzers. Zudem kann keine Lösung eine hundertprozentige Sicherheit bieten.

Die Frage nach der Sicherheit von Software on Demand ist also im Vergleich mit herkömmlichen Lösungen wie dem Betrieb lokaler Server zu beantworten. Drei Sicherheitsaspekte sind für den Produktiveinsatz von Software im Unternehmen besonders relevant: Die Verfügbarkeit des Dienstes, der Schutz der eigenen Daten vor unauthorisierten Zugriff und die Integrität der Daten. Diese Sicherheiten müssen zudem langfristig garantiert werden können. Daraus ergeben sich sowohl für den Dienstanbieter als auch für den Kunden eine Reihe von Anforderungen.

Der Dienstanbieter (auch Application Service Provider, kurz ASP), hat die Aufgabe, seine Infrastruktur, seine hard- und softwareseitige Ausstattung sowie seine internen Richtlinien und Arbeitsabläufe den Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität gemäß einzurichten. Dazu zählen alle Maßnahmen von der Absicherung der Rechenzentrums gegen Naturgewalten über die ständige Prüfung der eingesetzten Software bis hin zur sachgemäßen Entsorgung alter Datenträger. In den meisten Fällen ist es jedoch für den Kunden nicht möglich, alle Maßnahmen des Anbieters zu überprüfen. Kunden sollten daher darauf achten, ob der Anbieter seine Maßnahmen transparent kommuniziert, die erforderlichen Sicherheiten auch vertraglich zusichert und ob seine Datenschutzrichtlinien denen des eigenen Unternehmens genügen. Die internationale Norm ISO/IEC 27001, welche seit Ende 2008 auch als deutsche DIN-Norm vorliegt, fasst die Sicherheitsanforderungen an IT-Dienstleister umfassend zusammen.Zertifizierte Anbieter sollten also bevorzugt werden. Weiterhin ist auf ein zertifiziertes Qualitätsmanagement gemäß EN ISO 9001 zu achten.

Die Verbindung zum Dienstanbieter sollte grundsätzlich über geschützte Verbindungen wie ein VPN Netzwerk oder eine https-Verbindung hergestellt werden.

Die Sicherheitsanforderungen auf der Seite des Kunden entstehen nicht erst mit der Nutzung von Software on Demand, sondern mit der Internetanbindung des Unternehmens. Trotzdem sollten diese Aufgaben nicht vernachlässigt werden. Die besten Sicherheitsrichtlinien des Anbieters sind nutzlos, wenn auf Kundenseite beispielsweise unsichere Passwörter verwendet werden.

In der Praxis werden die hier formulierten Anforderungen sehr unterschiedlich umgesetzt. Eine der beliebtesten webbasierten Anwendungen, google docs besticht zwar durch ausgereifte Funktionen, bietet aber laut der Nutzungsbedingungen keinerlei vertraglich zugesicherte Verfügbarkeit und keinen ausreichenden Datenschutz. Die Webservices von Amazon bieten hingegen für einige Dienste ein so genanntes Service Level Agreement (SLA) an, welches eine Mindestverfügbarkeit garantiert. Zudem bietet Amazon einige Dienste speziell für erhöhte Sicherheitsanforderungen wie etwa im Gesundheitsbereich an.

Es gilt also abzuwägen, ob die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität besser durch eine lokale Lösung oder die Zusammenarbeit mit einem ASP erfüllt werden können. Je nach dem, welche Möglichkeiten ein Unternehmen hat, kann dies zu sehr unterschiedlichen Ergebnissen führen. So kann ein ASP notwendige Sicherheitsmaßnahmen durch die Verteilung der Kosten auf viele Kunden gleichzeitig preiswerter und aktueller anbieten, als die IT-Abteilung eines kleinen Unternehmens.

von Martin Schmidt