Interview: Warum Cybersecurity immer auch Chefsache sein muss
Featured

Interview: Warum Cybersecurity immer auch Chefsache sein muss

223 Milliarden Euro Schaden verursachten Cyberangriffe auf die deutsche Wirtschaft allein im vergangenen Jahr. Inzwischen stellt sich für mittelständische Unternehmen nicht mehr die Frage, ob, sondern wann sie Opfer von Cyberkriminalität werden, lautet das Fazit des Branchenverbands Bitkom. KUMAlive sprach mit Andreas Pehnelt, Head of IT bei KUMAVISION, über Cloud-Mythen, IT-Sicherheit und über neue Freiräume für IT-Verantwortliche und deren Mitarbeitende.

Andreas Pehnelt, Head of IT bei KUMAVISION

 

Wohin geht die Reise bei Cloud-Lösungen?

Alle nennenswerten Anbieter von Business-Software verfolgen seit mehreren Jahren Software-as-a-Service (SaaS) als strategisches Ziel. Das bedeutet im Umkehrschluss aber auch, dass die Weiterentwicklungen von On-Premises-Lösungen zurückgehen.

Wie äußert sich die nachlassende Unterstützung von On-Premises-Lösungen durch die Hersteller?

Die Nachteile liegen auf der Hand. Ein geringerer Funktions­umfang, längere Innovationszyklen, ungünstigere Vertrags- und Supportmodelle oder sogar komplette Abkündigungen. Dazu kommt, dass neue Innovationen vielfach ausschließlich mit Fokus auf SaaS entwickelt werden. So ist die KI-Unterstützung mit dem Microsoft Copilot derzeit allein Cloud-Kunden vorbehalten. Moderne CRM-Lösungen sind schon länger nur noch als Cloud-Angebot verfügbar. Das wird sich in den nächsten ein bis zwei Jahren noch deutlicher abzeichnen, so dass ich heute schon sagen kann: Im Jahr 2024 kann es sich keiner mehr ­leisten, auf On-Premises-Lösungen zu setzen.

Warum sind Innovationszyklen so wichtig?

Unternehmen müssen heute agil und anpassungsfähig sein. Ob innovative Geschäftsmodelle, neue regulatorische Anforderungen oder ein verändertes Marktumfeld – ich kann die Herausforderungen von 2024 nicht mit einem Werkzeug von 2014 lösen. Und genau auf diese Situation treffen wir häufig in der ­Praxis, wenn Unternehmen mit einem zehn Jahre alten ERP-System arbeiten. SaaS-Lösungen sind dagegen per Design immer aktuell. Automatische Updates, die regelmäßig im Hintergrund durchgeführt werden, sind ein Grundprinzip dieses Betreibermodells. Bei KUMAVISION folgen wir dem Innovationsrhythmus unseres Technologiepartners Microsoft. Das heißt, jeden Monat ein Update, wobei es im April und Oktober jeweils ein größeres Update und in den anderen Monaten kleinere Updates gibt.

Die Anwendungen sind also immer auf dem neuesten Stand?

Genau. Das betrifft zum einen die Sicherheit, zum anderen den Funktionsumfang. Beispielsweise erhält der Microsoft Copilot praktisch jeden Monat neue Features. Ein anderes Beispiel sind regulatorische Änderungen, wie z. B. die zeitlich befristete Senkung der Mehrwertsteuer während der COVID-Pandemie. Bei SaaS-Kunden wurde das automatisch im ERP angepasst, ohne dass dazu ein eigenes Projekt erforderlich gewesen wäre.

Warum zögern Unternehmen vor einer Cloud-Migration?

Als zentrales Kriterium sehe ich hier die „German Angst“, also Angst vor Neuem, Angst vor Veränderungen. Denn die Cloud bedeutet in vielen Bereichen eine Disruption. Dazu kommen zahlreiche weitverbreitete Cloud-Mythen, die mit der Realität überhaupt nichts zu tun haben. In Austauschgesprächen mit anderen IT-Leitern stelle ich fest, dass es sich auf alle IT-Bereiche und nicht nur auf das ERP-System bezieht, wenn das Management oder IT-Verantwortliche diesbezüglich Bedenken haben. Nach meiner Einschätzung bewertet man hier die Risiken des Unbekannten zu stark und übersieht die Risiken und die Verantwortung, die man beim Selbstbetrieb einer On-Premises-Lösung auf sich nimmt. Seit vielen Jahren übernehme ich nun schon Verantwortung für den IT-Betrieb in unterschiedlichen Branchen und muss dabei feststellen, dass eine so sichere und hohe Verfügbarkeit wie eine SaaS-Lösung nicht mit einer lokalen Installation gelingt. Obwohl ich stets großartige Knowhow-Träger in meinen Teams hatte – die Ressourcen der großen SaaS-Anbieter, insbesondere Microsoft, übertreffen diese. Dazu kommt: Bereits mit der ersten SaaS-Lizenz profitiere ich von einer durchgreifenden Abwehr von Cyberangriffen.

Auf welche Cloud-Mythen spielen Sie an?

Zu den weit verbreiteten Mythen über Cloud Computing gehören der Verlust der Kontrolle über Daten und Infrastruktur sowie der Irrglaube, man könnte den Betrieb selbst sicherer, zuver­lässiger und günstiger betreiben. Genau das Gegenteil ist der Fall. Die Rechenzentren für unsere Public- und Private-Cloud­Lösungen bieten durch redundanten Betrieb und redundante Datenhaltung eine Ausfallsicherheit, die lokale Installationen nur in seltensten Fällen erreichen. Infrastruktur-Teams stellen den Betrieb von Business Central und weiteren Microsoft Dynamics 365-Anwendungen rund um die Uhr sicher. Zugriff auf die Daten haben selbstverständlich nur unsere Kunden. Auch bei der Sicherheit sieht die Wirklichkeit anders aus. Dazu ein ­Beispiel aus der Praxis: Eine Untersuchung des BSI (Bundesamt für Sicherheit in der Informationstechnik) geht davon aus, dass 37 Prozent der lokal betriebenen Exchange-Server stark anfällig für Cyberangriffe sind, realistisch gesehen dürfte mehr als die Hälfte betroffen sein. In der SaaS-Welt haben wir dezidierte IT-Security-Teams, die potenzielle Angriffe überwachen und sofort Gegenmaßnahmen einleiten. Das kann eine lokale IT nicht leisten, wie der wiederholte Kontakt mit Kunden, deren On-Premise-Systeme Ziel eines Angriffes geworden sind, zeigt. Generell würde ich aus Sicht eines IT-Leiters mehr von Gewinnen als von Verlusten durch die Cloud sprechen.

Wo zeigt sich dieser Gewinn?

Datenmanagement, Datenschutz, Compliance-Themen wie ISO oder NIS2, Fachkräftemangel, Zeit- und Innovationsdruck, KI, Cyberattacken, IT-Sicherheit … Als Head of IT stehe ich ­praktisch ständig unter Druck. Das Betreibermodell SaaS nimmt meinem Team und mir viel von diesem Druck und gibt uns Zeit und Freiraum für Aufgaben, die das Unternehmen ­weiterbringen.

Zurück zur Sicherheit: Was macht die Cloud anders?

Nehmen wir als Beispiel Ransomware-Attacken, bei denen lokale Server und Datenbanken verschlüsselt werden und hohes Lösegeld für die Daten gefordert wird. Wenn ein Unternehmen durch einen solchen Angriff sechs Wochen stillsteht, kann dies sehr schnell existenzbedrohende Auswirkungen annehmen. SaaS-Lösungen erschweren solche Angriffe oder machen sie je nach Angriffspunkt unmöglich. Das ist ein Thema, das definitiv nicht nur mich als IT-Verantwortlichen, sondern insbesondere die Geschäftsleitung betrifft. Wenn die Cloud meinem Unternehmen einen wirksamen Schutz gegen viele Cyberattacken bietet, habe ich eine ganz andere Motivation für eine Cloud-Migration.

Welche Unterstützung leistet Microsoft für die Sicherheit?

Mit unserem Technologiepartner Microsoft haben wir in der SaaS-Welt ein Sicherheitsniveau, das lokale Installationen praktisch nicht erreichen können. Ein paar Rahmendaten aus dem Microsoft Digital Defense Report 2023 machen den drastischen Unterschied deutlich: Microsoft beschäftigt weltweit über 10.000 IT-Sicherheitsexperten, die 24/7 im Einsatz sind. Pro Sekunde werden über 750 Milliarden Signale mit hoch entwickelten Datenanalysen und KI-Algorithmen verarbeitet, um digitale Bedrohungen und kriminelle Cyberaktivitäten zu verstehen und davor zu schützen. Über 100.000 für Cyberangriffe eingesetzte Websites wurden deaktiviert. Dazu kommt ein sehr wichtiger Punkt: Früher haben Angreifer fremde IT-Systeme gehackt, heute loggen sie sich ein. Microsoft bietet mit der Zero-Trust-Architektur und dem mehrfach abgesicherten Identitäts- und Zugriffsmanagement Entra ID hier ein ganzheit­liches Schutzkonzept, das die gesamte Microsoft-Technologieplattform abdeckt.

Wo kann die Cloud noch unterstützen?

SaaS ermöglicht es, gegensätzliche Anforderungen unter einem optimalen Sicherheitskonzept zu vereinen. Auf der einen Seite haben wir den Wunsch nach dem höchsten Sicherheitslevel und dem Schutz vor sich ständig verändernden Bedrohungen. Auf der anderen Seite wünschen wir uns möglichst einfache Lösungen, die die Produktivität der Mitarbeitenden steigern, und einen modernen, digitalisierten Arbeitsplatz. Gerade mit Angeboten wie mobiles Arbeiten, aktuelle IT-Anwendungen, automatisierte Prozesslandschaften, innovative KI-Assistenten oder „Bring your own device“ (BYOD) kann ein Unternehmen seine Attraktivität als Arbeitgeber stärken. Das sind alles ­Themen, die auch die Geschäftsführung betreffen. Die Herausforderung besteht darin, für die Cloud-Migration eine Entscheidungsgrundlage zu erarbeiten, die solche Vorteile für das Management als Business-Outcomes darstellt und sich nicht in technologischen Details verliert.

Ihre Empfehlung zum Abschluss?

Die schlechteste Strategie ist es, keine Cloud-Strategie zu haben. Wer heute ein neues ERP-System oder eine andere Business-Software einführen will, kann es sich nicht mehr leisten, sich gegen ein SaaS-Projekt zu entscheiden. Eine Cloud-Strategie kann auch bedeuten, als Zwischenlösung auf eine ­Private Cloud wie unser Angebot KUMA365 zu wechseln. Entscheidend ist es, die Cloud-Strategie regelmäßig zu evaluieren, wobei neben der IT auch die Geschäftsleitung eingebunden werden muss. Denn letztlich geht es primär nicht um Kosten oder Produkte, sondern um Mehrwerte, Sicherheit und Lösungen für das gesamte Unternehmen.

Vielen Dank für das Gespräch.

 

Kontakt