Beim Cloud Computing schwirren Daten nicht in einer nebelhaften Wolke umher. Sie werden gezielt in die Rechenzentren der Cloud Provider transferiert und dort gespeichert. Wir verfolgen die Reise der Daten und zeigen, was mit ihnen vor und hinter den Kulissen passiert.

Die genutzten Anwendungen laufen beim Cloud Computing auf den Servern des Cloud-Dienstleisters. Alle Daten werden folglich im dortigen Rechenzentrum gespeichert und auch dort abgerufen. Im Prinzip ist es von überall aus möglich, die Programme zu verwenden sowie die Daten zu speichern und zu laden. Das Gute daran: Außer dem Zugang zum Internet benötigen die eingesetzten PCs, Laptops, Tablets und Smartphones oder auch ein schlanker Thin-Client keine wesentlichen Programme. Auf den Endgeräten läuft lediglich ein Webbrowser, über den der Benutzer Zugriff auf die Applikationen beziehungsweise die Services des Cloud Providers hat.

Einer der Vorteile von Cloud Computing ist, dass Mitarbeiter überall auf ihre Arbeitsdaten zugreifen können.

Die Cloud-Lösung SAP Business ByDesign beispielsweise beinhaltet CRM- und ERP-Funktionalitäten, mit der Finanzbuchhaltung, Administration von Kundenkonten, Bestellabwicklung und Forderungsmanagement weltweit zugänglich sind. Die Daten werden in der Cloud gespeichert und von dort abgerufen.

Wie aber funktioniert das? Grundsätzlich gilt: Der Datentransfer zum Provider – und auch der Zugriff auf die Daten beim Provider – erfolgt in der Regel über eine Internetverbindung. Eine Verbindung über einen sichereren „Tunnel“, das Virtual Private Network (VPN), ist eher die Ausnahme als die Regel. Folglich existieren in öffentlichen Cloud-Systemen offene Schnittstellen zum Internet.

Sicherheit ist deshalb das A und O, Cloud-Dienstleister und Kunde müssen diese Schnittstellen vor unberechtigter Nutzung schützen.

Für Mittelständler mit wenig personellen und finanziellen Ressourcen lassen sich Sicherheits-Features heute oft als flexibel abrufbare Cloud-Dienste buchen.

Datenreise mit Verschlüsselung
Um eine Cloud-Anwendung wie beispielsweise SAP Business ByDesign zu nutzen, meldet sich der Mitarbeiter von seinem Arbeitsplatz, vom Home-Office oder von unterwegs einfach am Server im Rechenzentrum des Cloud Providers an. Die Authentifizierung erfolgt im einfachsten Fall mit Benutzername und Passwort, es können aber auch komplexere und sicherere Verfahren eingesetzt werden.

Ein sehr sicheres Verfahren sind Public-Key-Infrastrukturen (PKI). Sie schalten den Zugang erst nach erfolgreicher Identifikation über Chipkarten mit Signaturfunktion, biometrische Verfahren oder über ein Mehrwegpasswort frei. Manche Cloud Provider stellen auch Zertifikate über ihr eigenes Trustcenter aus.

Sind die Werte korrekt und „findet“ das System den Nutzer, erfolgt die Autorisierung. Daten und Programme, für die er einen gültigen Zugriff hat, sind nun freigegeben. Nach erfolgreicher Registrierung wird automatisch eine Verbindung zur Gegenstelle im Rechenzentrum hergestellt. Die Daten gelangen verschlüsselt zum Provider, da sie auf dem Weg dorthin nicht gelesen oder gar verändert werden sollen. Auch bei der Reise der Daten vom Provider zum Anwender werden die Daten verschlüsselt. Dabei wird die Secure-Socket-Layer (SSL)-Verschlüsselung verwendet.TCP/IP zerlegt die Daten

Legt der Nutzer in SAP Business ByDesign neue Kundendaten an oder ändert er bestehende Stammdaten, werden diese via Internet zu SAP geschickt. Die verschlüsselte Übertragung der Daten erfolgt nach den Regeln des TCP/IP-Protokolls. Das Übertragungsprotokoll TCP (Transmission Control Protocol) zerlegt die Informationen in kleine Datenpakete und schickt jedes einzelne – über möglicherweise verschiedene Routen – an die gleiche Ziel-IP-Adresse.

Jedes Paket enthält dazu Angaben, an welche Adresse es geschickt werden soll, und eine Nummer, die angibt, das wievielte Paket innerhalb der Sendung es ist. Diese Adressierung übernimmt das IP-Protokoll. So wird dafür gesorgt, dass die Pakete auch wirklich beim Provider ankommen und in der richtigen Reihenfolge wieder zusammengesetzt werden. Am anderen Ende, im RZ des Providers, werden die einzelnen Pakete durch TCP wieder zusammengesetzt und als Datei an den Server weitergegeben.

Der Provider betreibt in der Regel ganze Serverfarmen – Dutzende oder gar Hunderte miteinander vernetzter Rechner –, die oft dezentral in einem Cluster aufgestellt sein können. Jeder Server in einem Cloud-Rechenzentrum kann durch Virtualisierungssoftware, einen Hypervisor, in mehrere virtuelle Maschinen unterteilt werden, die typischerweise von verschiedenen Kunden genutzt werden. Auch lassen sich einzelne Server untereinander durch Virtualisierungssoftware zu einem großen System zusammenschließen.

Mandantenfähigkeit trennt Kundendaten
Bei der Speicherung der Daten wird gewährleistet, dass die Daten der Kunden des Providers strikt voneinander getrennt sind. Alle Datenpakete müssen den richtigen Kunden zugeordnet werden, die unterschiedliche Mandanten der Anwendung nutzen, sodass für jeden Kunden eine vollständig isolierte Umgebung auf logischer Ebene besteht.

Die konkrete Speicherung der Daten erfolgt meist in relationalen Datenbanksystemen. Die Software kann für die einzelnen Nutzer bestimmte Rollen und Rechte festlegen, die bestimmen, wer worauf zugreifen darf. Relationale Datenbanksysteme bieten etwa Features wie Authentifizierungsmechanismen und die verschlüsselte Speicherung.

Ein gegenseitiger Einblick in Daten oder die Benutzerverwaltung ist damit nicht möglich.

Um die Daten zu sichern, gewährleistet der Provider zudem regelmäßige Backups der Kundendaten. Backups werden normalerweise mehrmals täglich erstellt. Im Falle eines Datenverlustes können die Daten damit einfach wiederhergestellt werden.