Partner von
Partner von

Lancom

Der rheinische Netzwerkanbieter Lancom hat sich lange von der Wolke ferngehalten – nun bietet er seinen Kunden selbst Cloud-Lösungen an. Die eigenen Sicherheitsbedenken hat er darüber nicht vergessen.




• Angenommen, Sie sind mittelständischer Unternehmer und vertrauen bei Ihren Netzwerklösungen einem einheimischen Anbieter, immerhin die Nummer zwei auf dem deutschen Markt. Und wann immer Sie ihn nach Cloud-Anwendungen fragen, winkt er ab: zu unsicher. Bis 2017. Dann wird der Geschäftspartner plötzlich selbst zum Cloud-Anbieter – was war geschehen?

Tatsächlich hatten Ralf Koenzen und seine Mitarbeiter vom Netzwerkspezialisten Lancom Systems im rheinischen Würselen keine Wahl. Die Software, auf die sie bislang für ihre Kundenverwaltung gesetzt hatten, wurde nicht mehr weiterentwickelt. Jahrelang hatten sie eine Cloud-Lösung gemieden, weil sie ihre Daten nicht in ein externes Rechenzentrum auslagern wollten. Der Gedanke, nicht mehr Hüter der wertvollen Informationen zu sein, behagte ihnen so wenig wie vielen ihrer Kunden. Doch nun bot kein Hersteller mehr ein Programm an, das erlaubte, die Daten abgeschirmt von der Außenwelt allein auf den eigenen Firmenrechnern zu verarbeiten und zu verwalten. Es gab kein Entkommen vor der Wolke.

Was dem Privatmenschen, der seine Fotos und Musikdateien seit Mitte der Nullerjahre in der Cloud ablegt, als überfällige Anpassung erscheinen mag, ist für Unternehmen eine weitreichende Entscheidung. Denn wenn sie sich darauf einlassen, bedeutet das mehr als die schiere Ablage: Um sich vom Büro oder von unterwegs aus auf die leistungsstarken Rechner der Cloud-Anbieter schalten zu können und deren Arbeitskapazitäten oder die dort installierte Software zu nutzen, müssen sie auch sensible Daten abgeben.

Der einstige Skeptiker Ralf Koenzen sieht heute durchaus die Vorteile: „Einerseits lassen sich große Einsparungen erzielen, zum Beispiel bei der Anschaffung der Server-Hardware, beim Strom für Betrieb und Kühlung sowie bei den Ausgaben für Wartungspersonal. Außerdem muss man sich nicht um die Aktualisierung eventuell genutzter Programme oder um System-Backups sorgen, das erledigt der Cloud-Anbieter.“ Das lohne sich nicht nur für große Firmen. „Weil man den Umfang der Dienste dem Bedarf des Unternehmens anpassen kann und nur auf dieser Basis zahlt, ist das auch für kleinere und neu gegründete Betriebe interessant.“ Diese könnten sich so sehr schnell eine leistungsfähige IT-Infrastruktur aufbauen, ohne in eigene Ausrüstung und Personal investieren zu müssen – und die Kapazitäten ausbauen oder jederzeit wieder zurückfahren, wenn es nicht so gut läuft.

Doch der Preis für solche Vorteile: Man gibt firmeninterne Daten aus der Hand. Vor allem deshalb, sagt Koenen, waren „die Unternehmen in Deutschland dem Cloud Computing gegenüber lange skeptisch“. Inzwischen aber scheint das Misstrauen gewichen zu sein, wie eine Studie des IT-Branchenverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG bestätigt: Seit Jahren steigt die Zahl der Wolkennutzer hierzulande stetig an. Setzten 2011 gerade mal 28 Prozent der Betriebe entsprechende Dienste ein, waren es bei der jüngsten Befragung 2016 bereits knapp zwei Drittel. Weitere 18 Prozent planen oder diskutieren der Studie zufolge ihren Einsatz. Dementsprechend wächst auch der Markt dafür – nach Schätzungen des Analysehauses Gartner im vergangenen Jahr weltweit um fast 20 Prozent. 2016 hatte der Umsatz mit Public Cloud Computing knapp 220 Milliarden Dollar betragen. Dabei liegt Amazon, so der Branchenbeobachter Synergy, unangefochten an der Spitze mit einem Marktanteil, der so groß ist wie jener der vier Verfolger Microsoft, IBM, Google und Alibaba zusammen.

Auch Lancom ist nicht mehr nur Nutzer, sondern auch Anbieter solcher Dienste. 2002 hat Ralf Koenzen das Unternehmen zusammen mit einem damaligen Kollegen gegründet, mit dem er zuvor bei der Aachener Elsa AG in der Abteilung für professionelle Datenkommunikation gearbeitet hatte. Als die Firma pleiteging, kauften sie den Bereich heraus und machten sich als Anbieter für Netzwerkgeräte wie Router und sogenannte Switches selbstständig. (Auf ähnliche Weise ist auch Devolo entstanden, das ebenfalls aus der Elsa-Konkursmasse stammt, siehe Seite 60.) Heute ist Lancom mit rund 330 Mitarbeitern und einem Jahresumsatz von etwa 60 Millionen Euro eigenen Angaben zufolge nach dem US-Anbieter Cisco Systems die Nummer zwei auf dem heimischen Netzwerkmarkt. Zu seinen Kunden zählen unter anderen die Datev, Marc O’Polo, Kamps und das Deutsche Zentrum für Luft- und Raumfahrt. Auch in vielen hiesigen Polizeidienststellen und im Bundeskanzleramt arbeiten Lancom-Geräte.

Als Lancom 2015 beschloss, auch auf die Wolke zu setzen, bildete es zunächst ein Entwicklerteam von 25 Mitarbeitern. Rund zwei Jahre arbeitete die Gruppe an der sogenannten Lancom Management Cloud, seit etwa einem Dreivierteljahr können die Kunden ihre Netzwerke nun auch darüber einrichten und warten. „Wir sind auf den Zug aufgesprungen“, sagt Koenzen, „aber mit einem anderen Konzept als üblich, das unseren Kunden maximale Entscheidungsfreiheit lässt.“


Router im Testbetrieb

Die größte Gefahr: die eigenen Angestellten

Um zu zeigen, wie das funktioniert, loggt sich Koenzen über einen Webbrowser in die Lancom-Wolke ein, und auf dem Bildschirm erscheinen eine Deutschlandkarte und eine Liste mit fiktiven Standorten von Netzwerkgeräten – ein typisches Szenario, etwa für eine Supermarktkette mit Tausenden Filialen. „Hier kann man sehen, ob und wie gut jeder einzelne Apparat in den Läden funktioniert“, sagt er. „Es ist beispielsweise möglich, mit wenig Aufwand die Systemeinstellungen einiger oder aller Geräte zu verändern, Updates einzuspielen oder weitere Hardware hinzuzufügen – und das zentral von jedem Rechner oder Smartphone mit Internetverbindung. Ohne Cloud ginge das nicht.“

Und was ist mit der Gefahr eines Datenklaus oder -verlusts? Sind die Informationen in der Wolke sicher?

„Absolute Sicherheit gibt es in der Informatik nicht“, sagt Linda Strick, stellvertretende Leiterin des Bereichs Innovationsmanagement am Fraunhofer-Institut für Offene Kommunikationssysteme (Fokus) in Berlin. Selbst wenn man einen Rechner isoliert betriebe, könne er geknackt, gestohlen oder durch ein Feuer zerstört werden. „Wenn ein Cloud-Anbieter jedoch gemäß des internationalen Standards ISO 27001 zertifiziert ist oder ein sogenanntes C5-Testat vorweisen kann, dessen Kriterien vom Bundesamt für Sicherheit in der Informationstechnik entwickelt wurden, würde ich ihm als Unternehmer vertrauen.“

Die Flucht in die sogenannte Private Cloud, die nur von einem Nutzer verwendet und von ihm selbst oder einem professionellen Anbieter betrieben wird, bringt laut Strick jedenfalls nicht zwangsläufig größeren Schutz: „Die großen Cloud-Firmen können sich viel mehr und bessere Sicherheitsfachleute leisten als die gewöhnliche IT-Abteilung eines Betriebs“, sagt sie. „Deshalb sind Daten dort meist besser aufgehoben.“

Ralf Koenzen setzt bei Lancom intern auf eine gemischte Lösung: Die Kundenverwaltung ist ausgelagert, aber der E-Mail-Server und die Rechner, auf denen die Programmierer die Software für die Netzwerkgeräte entwickeln, stehen immer noch in der Firmenzentrale. Und das wird sich vermutlich auch nicht so schnell ändern.

Wenn ein Unternehmer die Auslagerung von Daten und Diensten erwägt, sollte er allerdings auch geografische Details im Auge behalten: „Der Sitz des Anbieters entscheidet, ob und in welchen Fällen Dritte Zugriff auf die gespeicherten Informationen nehmen können“, sagt Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. „Bei Anbietern aus den USA oder China ist wegen der dortigen Gesetzeslage durchaus damit zu rechnen, dass etwa Geheimdienste oder Strafverfolgungsbehörden die Daten einsehen. Von deutschen und anderen europäischen Cloud-Firmen können Nutzer dagegen ein gutes Schutzniveau erwarten.“ Hier sollte auch keine legale Zugriffsmöglichkeit für US-Ermittlungsbehörden bestehen. Deutsche und andere europäische öffentliche Einrichtungen dürften sich allerdings im Rahmen der Gesetze Einsicht verschaffen, zum Beispiel mit einem richterlichen Beschluss.

Unklar sei die Sicherheit nach Ansicht Caspars, wenn die Daten zwar in Europa lagern, aber der Cloud-Anbieter einen US-Bezug hat. Er verweist auf einen aktuellen Rechtsstreit in den USA, in dem der Supreme Court entscheiden muss, ob das FBI von Microsoft die Herausgabe von Daten verlangen kann, die in einem irischen Rechenzentrum gelagert und von der dortigen Microsoft-Niederlassung verarbeitet werden. Interessant sei deshalb der Treuhänder-Ansatz, den die US-Firma in Deutschland zusammen mit der Telekom-Tochter T-Systems verfolgt. Dabei nutzt Microsoft keine eigenen Rechenzentren, sondern speichert die Daten auf den Servern des Partners, zu denen es nach eigenen Angaben keinen Zugang ohne dessen Begleitung habe. „Ob dadurch allerdings der Zugriff von US-Behörden tatsächlich verhindert werden kann, ist für mich immer noch offen“, sagt Caspar.

Ralf Koenzen hat festgestellt, dass viele Firmen, darunter große Konzerne, immer noch recht unbekümmert an das Thema herangehen. „Wenn man denen klarmacht, dass ihre Daten in den USA liegen, sind viele erstaunt“, sagt er. Da sei noch viel Aufklärung zu leisten.

Lancom hat sich entschieden, seine Cloud-Dienste zur Netzwerksteuerung über eine deutsche Partnerfirma abzuwickeln, um eine möglichst große Sicherheit zu garantieren. „Das ist ein mittelständischer Betrieb in Aachen, der deutschem Recht unterliegt“, sagt Koenzen. „Die Server stehen fünf Kilometer von hier entfernt.“ So lokal verankert sei die komplette Lancom-Technik. „Wir entwickeln die Geräte und Programme bei uns im Haus und wissen genau, was drin ist. Deshalb können wir unseren Kunden auch garantieren, dass es keine eingebauten Hintertüren gibt, über die Geheimdienste sich unbemerkt Zugang zu den Netzen verschaffen können.“

Wie geschützt die Informationen sind, hängt aber nicht nur von der Auswahl des Betreibers ab, sondern auch von den Mitarbeitern des eigenen Unternehmens. Wenn diese mit ungesicherten Privatgeräten darauf zugreifen, um zum Beispiel Firmendaten darauf zu kopieren und zu bearbeiten, können Hacker zufassen. Deshalb ist es wichtig, dass solche Prozesse der sogenannten Schatten-Informationstechnik überwacht werden, indem man zum Beispiel Firewall-Logfiles auswertet oder Schutzprogramme zur Kontrolle der genutzten Cloud-Dienste einsetzt. Erstaunlicherweise wenden viele Unternehmen laut Bitkom-Studie nur einzelne solcher Überwachungsmaßnahmen an, ein Drittel verzichtet sogar ganz darauf.

Die beste Absicherung: eine Ausstiegsklausel

Um die passende Wolke zu finden, kann es hilfreich sein, Anbietern verschiedene Leitfragen zu stellen, die das Bundesministerium für Wirtschaft und Energie in der Broschüre „Chancen für den Mittelstand durch Cloud Computing – ein Wegweiser“ zusammengestellt hat. Wie sichert der Dienstleister die Daten auf seinen Servern? Ist eine Verschlüsselung möglich? Wie reagiert der Anbieter bei sicherheitsrelevanten Vorfällen? Informiert er darüber? Welche Maßnahmen zur Sicherung und Wiederherstellung bietet er an?

Ralf Koenzen rät zudem, vor dem Einstieg bereits an den Ausstieg zu denken. „Ich muss mich vorher informieren, ob ich im Notfall auch wieder sicher aus der Cloud herauskomme“, sagt er. Deshalb ist es wichtig zu wissen, ob die Daten von anderen Programmen außerhalb der Wolke importiert und verarbeitet werden können. Oder ob es für den Anwender möglich wäre, die Dienste zum Beispiel auch in einer privaten Cloud zu übernehmen.

„Unter Umständen hängen an der Exit-Strategie nicht nur Daten und Programme, sondern auch Geräte – und dann bleibt man womöglich auf einem Haufen Elektroschrott sitzen“, sagt Koenzen. Seinen Kunden lässt der Unternehmer deshalb die Entscheidungsfreiheit, ob und wie sie die Lancom-Cloudservices nutzen wollen. Die Anwender können ihr Netzwerk über eine öffentliche wie auch über eine private Wolke verwalten – oder bei Nichtgefallen jederzeit wieder auf die herkömmliche Weise ohne zentrale Steuerung umsteigen. Koenzen: „Wir glauben an die neue Technik, aber wir verstehen es, wenn jemand noch skeptisch ist. Deshalb sollen unsere Kunden unser Angebot ohne Risiko ausprobieren können. Wir kennen allerdings niemanden, der den Schritt zurückgegangen ist.“ ---