Wie sicher sind Lieferketten noch?

Beim Hosting der Infrastruktur ist Differenzierung gefragt

Keinesfalls ist es so, dass die Verantwortung für die Software und den Betrieb allein beim jeweiligen Cloud-Provider liegt. Es kommt vielmehr auf die Ausgestaltung der Service Level Agreements (SLA) an. Wenn es hart auf hart kommt, sind in der Regel der CIO oder CISO beziehungsweise letzten Endes der CEO des Kundenunternehmens haftbar. Vor allem muss man sich darüber im Klaren sein: Der Hoster sichert zwar seine Infrastruktur ab, aber nicht die Software, die darauf läuft. Es macht also einen grossen Unterschied, was man unter «cloudbasiert» im Einzelnen versteht: Handelt es sich um Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS)?
In der Private Cloud findet sich oft ein Mix aus IaaS mit bestimmten Managed Services on top. Punkto Sicherheit und Haftung gilt es deshalb auseinanderzuhalten: Der Hoster verantwortet Infrastruktur und operatives System, die Software-Anwendungen hingegen wird er nicht anfassen und darin Einstellungen vornehmen, denn dies würde einen expliziten Eingriff in die Geschäftsprozesse der Kundenunternehmen bedeuten. Es kann also von Vorteil sein, Supply-Chain-Management-Lösungen – von SAP oder anderen Herstellern – an einen Cloud-Provider auszulagern. Die Sicherheitslage betreffend muss dafür aber vorab detailliert geregelt werden, wer für welche Komponenten zuständig und verantwortlich ist.

Hybride Szenarien als Ausweg

Bei DDoS-Attacken auf die Cloud-Software ist man fein raus – was bleibt, ist der geschäftliche Schaden. Diesen ersetzt dem Unternehmen aber auch der Cloud-Provider nicht. Was ist zudem bei einem Angriff auf den Internetanschluss oder die Standleitung, die wiederum im eigenen Verantwortungsbereich liegen?
Hier könnte ein hybrides Szenario ein Ausweg sein, bei dem die eigene Produktion und Supply Chain in Teilen autark funktionieren. Beispiel: Die für den Produktionsprozess erforderlichen Funktionen laufen On-Premises, alle weiteren Szenarien (für Prognosen, Analysen und so weiter), die nicht dem laufenden Betrieb, sondern eher der Weiterentwicklung und Optimierung dienen, werden aus der Cloud bezogen. Dann kann die Produktion auch bei DDoS-Angriffen, oder wenn die Cloud-Software ausfällt, ungehindert weiterlaufen. 
Die Autoren
v. l. n. r. Michael Moser und Jean-Claude Flury
DSAG
Michael Moser ist Fachvorstand Produktion & Supply-Chain-Management der DSAG.
Jean-Claude Flury ist DSAG-Fachvorstand Schweiz. www.dsag.de



Das könnte Sie auch interessieren