Richtig ausgewählt, kann eine moderne SaaS- oder PaaS-Lösung (Software as a Service, Platform as a Service) die Erstellung und Pflege von Unternehmensanwendungen wie Urlaubsgenehmigungen, Genehmigungsprozesse, gemeinsame Kalender bis hin zu Prozessen wie Angebotserstellung etc. wesentlich vereinfachen. Notwendig dafür sind aber Eigenschaften wie eine mandantenfähige Architektur (ein gemeinsamer Quellcode, notwendig für reibungslose Updates für viele Kunden), offene und standardbasierte Schnittstellen (Application Programming Interfaces, APIs), ein hohes Maß an Sicherheit (technische Funktionen und unabhängige Prüfungszertifikate) sowie die Möglichkeit der Integration in die Unternehmens-IT und Security-Infrastruktur.

Große Bedeutung kommt folgenden Security-Aspekten zu:

Schutz vor Datenverlust (Hochverfügbarkeit, Backups, Disaster Recovery),

Schutz vor Diebstahl der Daten sowie

Schutz vor Manipulation und Veränderung von Daten.

Der erste Punkt betrifft das Kerngeschäft des Anbieters und sollte natürlich sorgfältig geprüft und durch entsprechende internationale und nationale (zum Beispiel TÜV-) Zertifizierung validiert sein. Wichtig ist auch, ob die Verfügbarkeit solcher Zertifizierungen transparent kommuniziert wird. Ein Blick in die Referenzliste sicherheitskritischer Unternehmen gibt einen guten Hinweis, mit welchen Anbietern man sich näher beschäftigen sollte.

Der Schutz vor Datendiebstahl besteht im Wesentlichen aus entsprechenden Maßnahmen, die genutzte PaaS-Platform mit der darunter liegenden Datenbank abzusichern. Dabei darf man neben den Angriffen krimineller Hacker nicht vernachlässigen, dass auch (Ex-)Mitarbeiter in Versuchung geraten könnten, Kundendaten „mitzunehmen“. Ein systembedingter Vorteil von Public Cloud Services ist dabei, dass die Daten nicht auf Notebooks, Tabets, Memory Sticks oder CDs gespeichert werden – denn dies ist der einfachste Weg, die Daten auf Geschäftsreisen an einen unbekannten Empfänger zu verlieren. Im Idealfall lassen sich dank der Berechtigungskonzepte der gewählten Cloud-Plattform Lese?, Änderungs- und Löschrechte granular einstellbar. Unabdingbar ist die Möglichkeit, diese Rechte bis auf Feldebene zu differenzieren, um zum Beispiel die Veränderung von Finanzdaten zu verhindern, während der Außendienst kundenrelevante Daten ergänzen kann.

Benutzerverwaltung