57
sondern die Absicherung der Server selbst. Fer-
ner
verfügen CSP über leistungsstärkere,
aktuellere und technisch ausgereiftere IT-
Infrastrukturen
. Da ein Verlust von Kundenda-
ten unbedingt zu vermeiden ist, richtet sich der
Fokus der Anbieter auf die Bereitstellung zuver-
lässiger Sicherheitsarchitekturen, die üblicher-
weise weit höher sind als jene der unterneh-
mensinternen IT (vgl. Arnesen (2013), S. 47).
Hierfür beschäftigen die CSP eigene Experten,
die sich auf die Absicherung der Daten konzen-
trieren (vgl. Gill (2011), S. 47).
Trotz einer sicheren technischen Ausstattung
ist darauf hinzuweisen, dass Datenverluste in
der Praxis mit höherer Wahrscheinlichkeit
durch menschliches Verhalten als durch tech-
nische Mängel verursacht werden, da Mitar-
beiter unabhängig von ERPaaS oder on-premi-
se Lösungen sensible Daten von den Servern
kopieren und unerlaubterweise an den Mitbe-
werber weitergeben können. Bei der Auslage-
rung der Daten in externe Rechenzentren von
CSP haben die Unternehmen jedoch weniger
Kontrolle darüber, ob diese unberechtigterwei-
se weitergegeben werden (vgl. Peng/Gala
(2014), S. 27).
Wie bereits bei den Chancen dargelegt, sieht
ERPaaS vor, die Software einer möglichst gro-
ßen Zahl von Unternehmen nutzbar zu machen
und ist deshalb auf Standardfunktionen mit ei-
ner geringen Individualität beschränkt (vgl.
Benlian et al. (2009), S. 15; Josefiok/Göring/
Rohde (2014), S. 28). Demnach müssen sich
Unternehmen für einen geeigneten ERPaaS-
Anbieter entscheiden und überprüfen,
ob die
angebotenen Standardfunktionen ihren
Ansprüchen genügen und gegebenenfalls
ihre Geschäftsprozesse entsprechend der
Möglichkeiten der Software anpassen
(vgl.
Bitkom (2009), Internet, S. 48). Dieser Sach-
verhalt tritt zwar auch bei on-premise ERP-Sys-
temen auf (vgl. Davenport (1998), S. 122 f.),
der Zwang zur Standardisierung wird allerdings
durch den Einsatz von ERPaaS nochmals er-
heblich verstärkt (vgl. Kleinert/Sontow (2010),
S. 25 f.). Daraus folgt,
dass sich eher Anwen-
dungen mit stark formalisierten oder einfa-
chen Ablaufstrukturen
(z. B. CRM, HR)
eig-
nen
(vgl. Benlian et al. (2009), S. 16 f.; Klei-
nert/Sontow (2010), S. 26). In Übereinstim-
mung damit wird gegenwärtig noch von einem
den, entsteht Datensicherheit durch geeignete
organisatorische, personelle und technische
Maßnahmen, die den unerlaubten Zugriff, die
Offenlegung und den Verlust von Daten unter-
binden sollen (vgl. Peng/Gala (2014), S. 27).
Der Transfer streng vertraulicher Daten
über das Internet kann ein großes Risiko bei
ERPaaS darstellen und die Anfälligkeit für
Angriffe durch Cyberkriminelle erhöhen
(vgl. Arnesen (2013), S. 47; Benlian et al. (2009),
S. 15; Elragal/Kommos (2012), S. 3). Innerhalb
des eigenen Unternehmens betriebene on-pre-
mise ERP-Systeme werden deshalb von man-
chen als die sicherere technische Lösung ange-
sehen, da die Daten hier unter der eigenen Kon-
trolle bleiben, nie die eigenen Rechenzentren
verlassen und somit Hackern weniger Angriffs-
möglichkeiten bieten (vgl. Elragal/Kommos
(2012), S. 10). Diesem Argument wird in der
Literatur damit entgegnet, dass die Risiken des
Datentransports über das Internet
durch den
Einsatz angemessener Technologien
(z. B.
SSL-Verschlüsselungen, Virtual Local Area Net-
works) bewältigt werden können. Ebenso wird
angemerkt, dass selbst Unternehmen ohne
SaaS-Lösungen in der Regel mit dem Internet
verbunden sind. Aufgrund dessen besteht bei
mangelhaften Sicherheitsvorkehrungen den-
noch die Möglichkeit eines Zugriffs auf interne
Server und damit auf die Daten on-premise ge-
hosteter ERP-Systeme (vgl. Gill (2011), S. 46 f.).
Demzufolge stellt beim Vergleich der Datensi-
cherheit von ERPaaS und on-premise ERP-
Systeme nicht die Internetverbindung per se
das entscheidende Sicherheitskriterium dar,
Auslagerung besonders unternehmenskriti-
sche, sensible Daten (z. B. Kundeninformatio-
nen, Budgets, Produktdetails) betrifft (vgl. Klei-
nert/Sontow (2010), S. 26).
Vor allem der geografische Standort des Re-
chenzentrums, in dem die IT-Leistungen er-
bracht werden, ist von besonderer Bedeutung
für den Datenschutz,
da die Daten nicht den
Datenschutzbestimmungen des Ursprungs-
landes unterliegen, sondern jenen, in denen
sie abgespeichert werden
(vgl. Johansson/
Ruivo (2013), S. 97). Unter den Mitgliedsstaa-
ten der Europäischen Union (EU) wird aufgrund
der EU-Datenschutzrichtlinie grundsätzlich ein
gleichwertiges Datenschutzniveau angenom-
men, doch
der außereuropäische Raum
weist oft ein anderes Verständnis und Ni-
veau von Datenschutz
(vgl. z. B. USA Patriot
Act) auf. Europäischen Unternehmen ist infolge
der unterschiedlichen Rechtslage zu empfeh-
len,
ERPaaS-Dienste europäischer Anbieter
zu verwenden
. Die Vorsicht der Nutzer zeigt
sich auch in den Ergebnissen des Cloud-Moni-
tors 2015, wonach mittlerweile 74% der deut-
schen Unternehmen bei der Auswahl eines CSP
darauf achten, ob sich dessen Rechenzentrum
im Rechtsgebiet der EU befindet und 67% dar-
auf, ob dessen Hauptsitz innerhalb des Rechts-
gebiets der EU liegt (vgl. Gärtner/Rockenschaub
(2015), S. 711).
Während sich Datenschutz auf das Recht der
Kunden bezieht, dass ihre an die CSP weiterge-
gebenen Daten streng vertraulich behandelt,
kontrolliert und angemessen verwendet wer-
Autoren
MMag. Dr. Bernhard Gärtner
ist wissenschaftlicher Mitarbeiter am Institut für Controlling &
Consulting der Johannes Kepler Universität Linz.
E-Mail:
BSc. Sven Valek
ist Student an der Johannes Kepler Universität Linz.
E-Mail:
CM Mai / Juni 2017