Welche Rolle spielt die Cloud, um Deutschlands mittelständische Unternehmen digitaler zu machen und wie muss diese aufgesetzt werden?
Die Cloud per se ist nicht nur quasi ein Ding, also nicht ein »one size fits all«-Modell, wie die Amerikaner sagen. Deswegen hat sich diese Cloud-first-Thematik nicht einfach so durchgesetzt. Viele Unternehmen haben dieses Credo ausgesprochen und umgesetzt. Aber im Detail laufen sie dann doch wieder in Herausforderungen hinein, die dann mit einer Private Cloud oder einem hybriden Ansatz zu lösen sind. Dabei steht der Aufenthaltsort, das heißt hier der Speicherort der Daten, immer mehr im Mittelpunkt. Am Ende des Tages muss jeder für sich entscheiden, wessen Geschichte und Glaubwürdigkeit er vertraut. Genau das ist der Punkt, an dem der deutsche Mittelstand sein Misstrauen gegenüber den internationalen Hyperscalern, aber auch dem lokalen Anbietern gegenüber kundtut. Kann Letzterer wirklich Alles lösen? Hinzu kommen die gemanagten Plattformen. Bei größeren Unternehmen haben sie noch ihre Daseinsberechtigung, doch sind diese teilweise nicht mehr state-of-the-art und vielleicht nicht mehr so dezentral verteilt, wie es sein sollte. Dafür braucht man dann Dienstleister, die alle drei Kirchengesänge, wie ich immer so gern sage, singen können und daraus das Optimum für den Kunden herausholen. Hier komme ich zurück auf die Best Practices: Es gibt nicht den einen Ansatz mit der Softwaretechnologie, sondern immer wieder unterschiedliche Wege. Je nach der eigenen Digitalisierungsreife ist der eine oder andere Ansatz besser. Aber das findet man nicht heraus, indem man nur nachliest. Dafür braucht es den Austausch mit den Menschen. Da arbeiten wir darauf hin. Als neutraler Rechenzentrumsanbieter sind wir nicht exklusiv unterwegs. Wir versuchen, den Kunden zu vermitteln, was unsere Partner tun. Die können dann miteinander schauen, wer zueinander am besten passt.
Viele Unternehmen können das aus der IT-Abteilung heraus gar nicht leisten?
Richtig. Wenn jemand wirklich securitywise top sein und sich in einer kleineren Abteilung, wo vielleicht ein zwei Köpfe sind, weiterentwickeln will, dann ist der Wissensaufbau rein vom Setup her begrenzt machbar. Das hat nichts mit den beteiligten Personen zu tun. Dann geht es auch noch um Ferienzeit und 24/7-Monitoring der IT-Landschaft, wofür man mindestens drei Mitarbeiter braucht und so weiter und so fort. Ich würde sogar sagen, es ist nicht mehr möglich, IT in der bisherigen Form unter Risikomanagement-Perspektive in Eigenregie weiterzubetreiben, weil die Cyber-Risk-Thematik so massiv zugenommen hat.
Viele Unternehmen haben ja auch gar kein SOC, also ein Security Operation Center?
Ja, korrekt. Wo fangen wir mit Security an und wo endet das? Wir sind als Rechenzentrumsanbieter von unserer Aufgabenstellung her brick-and-mortar, sprich wir liefern die physische Sicherheit, Zutrittssicherheit und Resilienz im Sinne von Strom, Kühlung und Konnektivität mit redundanten Infrastrukturen. Steigt dann aber aus Cyber-Risk-Gründen die Anforderung an Sicherheit, für Network-Security und durch Ransomware-Attacken, dann arbeiten wir mit Partnern auf europäischer Basis zusammen. Wenn es um Datensicherheit geht, ist es an NorthC, aufzuzeigen, wo es datensouveräne Lösungen gibt. Die Mission ist grundsätzlich Folgende: Lieber Kunde, was sind deine Kriterien? Entscheide du, welche Lösung am besten für dich passt?
Wie ist Datensouveränität im Corporate-Bereich sicherzustellen und was braucht es aus der Sicht eines Rechenzentrumsanbieters an Infrastrukturen und Voraussetzungen?
Wir reden jetzt von europäischer, beziehungsweise deutscher Datensouveränität. Die Eingrenzung ist wichtig, weil wir damit auch die Kriterien definieren. Es gibt Sollkriterien und optionale Kriterien. Wir schließen US-Software per se nicht aus. Viele reden von Open Source, also eigener IT und Softwarelösungen, die wiederum durch deutsche oder europäische Anbieter eingebracht werden, ohne etwas »Ausländisches« dazu zu nehmen. Ich glaube, das ist irgendwann nicht praktikabel. Die Ökonomie spielt immer mit. Wie garantieren wir jetzt aber die Datensicherheit? Und das ist nun mal mit deutschen Rechenzentren und deutschen Dienstleistern und den Gesetzen am besten umzusetzen.
Können Sie dem CEO oder IT-Leiter eines mittelständischen Betriebs drei Punkte nennen, was er zu tun hat oder worauf er achten muss?
Das Thema ist sehr komplex. Eine Empfehlung ist, dass man entweder selbst einen Ecosystem-Dienstleister nutzt oder sich einem neutralen Digital Ecosystem anschließt, damit man die künftige Agilität des eigenen Unternehmens und Innovationsfähigkeit sicherstellen kann. Zweitens sollte man logischerweise die eigene Digitalisierungsreife prüfen lassen, und drittens die Cloud-Smart-Strategie befolgen, sprich die schönen Attribute der Cloud mit Innovation, Agilität und so weiter mit den Unternehmenszielen verbinden. Cloud Smart bedeutet, verschiedenste Unternehmen immer wieder zu prüfen und den Anbieter bei Bedarf wechseln zu können. Das bedingt die Freedom of Choice.