Laut Cloud Monitor 2020 von Bitkom und KPMG setzen 76 Prozent der Unternehmen in Deutschland bereits auf die Cloud, weitere 19 planen ihren Einsatz. Unternehmen sollten bei der Entscheidung für eine SaaS (Software as a Service) Field Service Management-Lösung besonderes Augenmerk auf folgende Punkte legen:
Speicherort der Daten und Vertragsbedingungen
Unternehmen in der EU sollten einen SaaS-Anbieter wählen, dessen Betrieb in einem europäischen Rechenzentrum erfolgt, das den Richtlinien der GDPR (General Data Protection Regulation) unterliegt und nach ISO 27001 zertifiziert ist. Im Gegensatz zu Diensten von Endkonsumenten, bei denen Daten oft ohne das Wissen des Nutzers ins Ausland verschoben werden, wird der Speicherort im B2B-Bereich in einem Vertrag mit einem Cloud-Dienstleister genau definiert. Auch alternative Rechenzentren, die zu Redundanzzwecken erforderlich sind, sollten darin geografisch festgelegt werden.
Die Details der Verarbeitung von Daten werden in einem rechtlich bindenden Data Processing Agreement (DPA) festgelegt. Hierzu gehören die Art und Dauer sowie der Grund der Verarbeitung, die Art der (persönlichen) Daten, sowie Rechte und Pflichten des Cloud-Providers und des Kunden.
Ein sogenanntes Cloud Service Agreement (CSA) definiert die weiteren Verantwortlichkeiten von Nutzer und Cloud-Provider. Hierzu gehören Zertifizierungen, das Monitoring von Standards wie CVE-Listen, Regeln zum Reporting von Vorfällen, Recovery nach Ausfällen und Metriken. Die Service Level Agreements (SLAs) sind Teil des CSAs. Sie setzen klare Erwartungen zwischen dem Nutzer und dem Cloud-Provider hinsichtlich Frequenz und Art erwarteter Ausfällen oder zugesicherter Performanz der Services.
Nichts ist für die Ewigkeit und schon gar nicht in der IT! Deswegen sollte man beim Vertragsabschluss auch bereits festlegen, wie der Exit-Prozess genau abläuft, wenn man den Cloud-Anbieter wechseln möchte oder die Field Service Management-Lösung im eigenen Rechenzentrum betreiben möchte. Die komplette Löschung von Daten, der zeitliche Ablauf sowie die Kosten für den Datentransfer sollten dabei geregelt sein.
Verfügbarkeit und Ausfallsicherheit
Einer der wichtigsten Punkte von Service Level Agreements, die Kunden mit dem Anbieter einer Field Service Management-Lösung im Cloud-Betrieb festlegen sollten, ist die Verfügbarkeit. Sie definiert den Zeitraum, den der Dienst pro Tag, Monat oder Jahr für den Kunden nutzbar ist minus der geplanten Wartungszeiten und ungeplanten Ausfälle. Je höher die Verfügbarkeit ist, desto teurer müssen Kunden dafür bezahlen. Ein Wert von 99,9% gilt heute als Mindestwert und bedeutet aufs Jahr gerechnet immerhin noch einen Zugriffverlust von 8,7 Stunden. Was für die meisten Unternehmen ausreichend erscheinen mag, wenn diese Zeiten außerhalb der Geschäftszeiten liegen – was nicht immer planbar ist – oder ein Unternehmen nicht international ist, mag für systemrelevante Unternehmen inakzeptabel sein. In kritischen Branchen gilt deshalb ein Wert von 99,999 Prozent als Standard, was einer Ausfallzeit von fünf Minuten pro Jahr entspricht.
Datensicherheit durch Verschlüsselung und Authentifizierung
Daten sind allgemein at Rest und in Flight anfällig für einen unberechtigten Zugriff: auf dem Server, auf dem sie gespeichert sind und bei der Übertragung an einen anderen Ort. Dies gilt nicht nur für Cloud-Dienste und Field Service Management-Lösungen, sondern generell. Doch werden beim Einsatz von mobilen Apps für die Auftragsabwicklung besonders häufig Kundendaten außerhalb eines gesicherten Firmennetzwerks bewegt. Deswegen gilt es hier besonders auf eine sichere Transportverschlüsselung wie HTTPS/TLS zu setzen.
Für den sicheren Zugriff auf Daten in Rest sollten die Nutzer sich erst authentisieren. Damit erbringen sie den Nachweis ihrer Identität und Berechtigung für den Zugriff auf die FSM-Lösung. Eine Zwei- oder Multi-Faktor-Authentisierung – also eine Kombination aus zwei oder mehreren Faktoren für die Anmeldung – erhöht hier die Sicherheit.
Mit der Authentifizierung überprüft das FSM-System anschließend die Identität, indem es die hinterlegten Informationen zur behaupteten Identität abgleicht oder eine dritte, autorisierte Stelle befragt. Die klassische Authentifizierung gegenüber dem Server hat in der Cloud ausgedient. Stattdessen kommen heute separate Identity Provider zum Einsatz, die auf eine Authentifizierung über SAML 2.0 oder OAuth 2.0 setzen.
Ist das Ergebnis der Authentifizierung positiv, erfolgt die Autorisierung der User. Sie erhalten also die Gewährung von bestimmten Rechten im Field Service Management-System. Um die Verwaltung von Usern und Rechten für Administratoren zu erleichtern, bieten die meisten FSM-Systeme ein Rollenkonzept an, das Funktionen mit genau definierten Rechten verknüpft.
Netzwerksicherheit innerhalb der Cloud
Im Gegensatz zu Private Cloud-Ansätzen werden Public Cloud-Plattformen in der Regel als Multi Tenancy betrieben, was natürlich Ressourcen- und Kostengründe hat. Das heißt, mehrere Kunden teilen sich die gleiche Infrastruktur, wodurch allerdings neue Herausforderungen bezüglich der Sicherheit entstehen.
Ein Zero Trust-Ansatz behandelt hier die interne Infrastruktur mit gleicher Vorsicht wie die externe und vertraut niemandem. Deswegen werden Services im selben Netz innerhalb der Cloud-Plattform ständig überprüft und authentifiziert z.B. über mTLS. So können Anbieter Kunden eine größtmögliche Sicherheit in der Public Cloud gewährleisten.
Physische Sicherheitsmaßnahmen vor Ort
Neben den technologischen Maßnahmen zum Schutz der Daten vor unberechtigtem Zugriff, müssen Cloud-Anbieter natürlich auch dafür Sorge tragen, dass sich in ihrem Rechenzentrum vor Ort keine Unbefugten Zutritt verschaffen und Schaden anrichten. Strikte Zutrittskontrollen, Videoüberwachung, USV-Anlagen sollten hier ebenso selbstverständlich sein wie eine kontinuierliche und redundante Datensicherung an zwei Standorten.
Fazit
Erfüllt der Anbieter alle oben genannten, erforderlichen Sicherheitsaspekte, bietet eine Field Service Management-Lösung in der Cloud eine attraktive und auch sichere Alternative für kleine und mittelgroße Unternehmen. Meist bieten diese Anbieter sogar mehr Sicherheit als KMUs On-Premise selbst leisten könnten. Zudem erleichtert eine Public Cloud-Infrastruktur die Interaktion mit anderen Cloud-Systemen, was für Kunden und Mitarbeiter im Home Office von Vorteil sein kann.
Weitere Informationen:
Den vollständigen Cloud Monitor 2020 von Bitkom und KPMG finden Sie hier.
Johannes Göhr, Technical Lead bei der mobileX AG, www.mobilexag.de