Cloud, SAP & Sicherheit – Belastbare Migrationsszenarien als wichtiger vertrauensbildender Schritt

Das Thema Cloud wird insbesondere im Zusammenhang mit Sicherheit schon seit längerem und immer noch intensiv und kontrovers diskutiert. Natürlich ist es hilfreich, dass Marktführer wie Microsoft mit Office 365 oder Adobe mit der Creative Cloud das Thema im Bereich der Office-Anwendungen alltagstauglich machen. Oder dass SalesForce sich zu einem führenden CRM-System gemausert hat, womit  es zu einem Paradebeispiel für Anwendungen mit unternehmenskritischen Daten in der Cloud geworden ist. Aber auch SAP verändert sich bewusst mit der „Cloud first, but not cloud only“-Strategie von einem On-Premise-Anbieter zu einem Anbieter, bei dem Cloud-Anwendungen eine bedeutende Rolle spielen sollen. SAP Hana aus der Cloud – wie reagieren SAP-Anwender auf eine solche Vorstellung?

Generell sind bei vielen Unternehmen Cloud-Lösungen im Einsatz. Nach einer DSAG-Umfrage sieht es im Hinblick auf den Einsatz eines ERP-Systems aus der Cloud eher weniger euphorisch aus. Nur 5 % der Befragten könnten sich eine Komplettlösung in der Cloud vorstellen, fast 68 % hingegen sehen ein on-Demand ERP-System in den nächsten fünf Jahren als unwahrscheinlich an. Wo, stellt sich an dieser Stelle die Frage, bestehen die Zweifel und welche Argumente werden gegen die Cloud ins Feld geführt?

Die Vorteile sind schnell aufgezählt. Die Befragten sehen eine Senkung der Gesamtbetriebskosten, eine schnelle Implementierung, die Nutzung neuer Funktionen und eine deutliche Vereinfachung bei internationalen Roll-Outs.  Dagegen sprechen, wie zu erwarten, Sicherheitsbedenken.

Hier dreht es sich weniger um physische und organisatorische Vorgänge. Der „Standort“ der Daten kann vertraglich festgelegt werden, wie beispielsweise für die SAP HANA Enterprise Cloud: St. Leon-Rot und Amsterdam für europäische Kunden und Sterling, Virginia und Santa Clara, Kalifornien für Kunden in Amerika. Gleiches gilt für die Daten aus Backups. Durch Standards wie beispielsweise ISO 27001, ISAE-3402 oder SSAE-16 werden alle technischen und organisatorischen Sicherheitsmaßnahmen regelmäßig geprüft und zertifiziert. Dadurch ist die Cloud nicht länger ein undefinierteres, virtuelles Gebilde, sondern wird durch Zertifikate und Vertragsvereinbarungen sehr real und physisch. Dennoch ist Sicherheit der Punkt, der den Betroffenen am meisten Bauschmerzen bereitet.

ERP-Systeme sind hochkomplex und bilden das Herzstück eines Unternehmens. Veränderungen in diesem Umfeld sind meist sehr langwierig und werden sehr vorsichtig gehandhabt. Im Speziellen ist es der Schutz des geistigen Eigentums, den ein Großteil der Befragten negativ sieht. Mehr als 41 % gehen davon aus, dass sich der Schutz des geistigen Eigentumes verschlechtert, nur 23 % gehen davon aus, dass es unverändert bleibt und eine positive Entwicklung glänzt mit einer Null vorm Komma.

Allerdings ist Sicherheit nicht die alleinige Komponente der Bedenken. Mit Sicherheit lässt sich einfach argumentieren. Sicherheitsbedenken sind nachvollziehbar, aber teilweise auch im Irrationalen angesiedelt und insofern auch schwer auszuräumen. Was vielen SAP-Anwendern überdies fehlt, ist eine schlüssige Migrationsstrategie: Wenn ich mein SAP ERP 6.0 in die SAP HANA Cloud bringe, was passiert dann mit Eigenentwicklungen? Mit Anpassungen? Mit Schnittstellen zu Systemen, die weiterhin vorerst in der On-Premise-Welt verbleiben? Kann man ein solches Szenraio noch als Migration bezeichnen oder ist es nicht ein komplett neues Projekt, bei dem vieles der Investitionen der vergangenen Jahre verloren geht? Jenseits von Sicherheit ist es also notwendig, SAP-Anwendern eine klare Migrationsstrategie aufzuzeigen, konkret zu machen, wie eine Migration technisch, organisatorisch und finanziell durchgeführt werden kann. Das ist nicht einfach, denn vielfach sind SAP-Systeme stark angepasst, so dass es kaum die eine Migrationsstrategie gibt, die einfach zu dokumentieren und zu erklären wäre.

Komplette ERP-Systeme in der Cloud sind somit eine Frage des Vertrauens in die Service-Anbieter: auf Sicherheit und Datenschutz bezogen, aber auch auf konkrete technische und finanzielle Umsetzungsmöglichkeiten. SAP Hana in der Cloud – es wird zweifellos ein langfristiger Prozess, bis sich dieses Modell durchsetzt.  Aber wenn Sicherheit und konkrete Umsetzungsszenarien als zwei Seiten einer Medaille begriffen werden, kann das Modell für manchen attraktiv werden – schneller als erwartet.