CRM in der Cloud & IT-Sicherheit
Studie zu sicherer Cloud-Anwendung: Der Schutzbedarf von CRM-Daten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit ist hoch
Im Rahmen der Studie wurden verschiedene Marktangebote aus funktionaler Sicht, rechtlicher Sicht und aus der Sicht der IT-Sicherheit evaluiert
(09.07.12) - Untersuchung am eigenen Praxisbeispiel: Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat am Beispiel der eigenen Verbandsgeschäftsstelle die praktische Umsetzung von Cloud Computing-Anwendungen untersucht. Die Studie kann als Referenz für Vereine und KMU angesehen werden, die sichere Public-Cloud-Services verwenden wollen.
Cloud Computing beginnt Strukturen und Arbeitsabläufe in der Wirtschaft nachhaltig zu verändern. Durch die gemeinsame Nutzung von Ressourcen werden Synergieeffekte erschlossen. Dies führt nicht selten zu einer Verbesserung der IT-Sicherheit gegenüber traditionellen IT-Systemen. Andererseits sind viele Datenschutz- und Sicherheitsfragen beim Cloud Computing zumindest teilweise ungeklärt.
Untersucht wurden von TeleTrusT benötigte Anwendungen wie E-Mail, Cloud-Datenspeicher und CRM. Im Rahmen der Studie wurden verschiedene Marktangebote aus funktionaler Sicht, rechtlicher Sicht und aus der Sicht der IT-Sicherheit evaluiert.
Die wichtigste Anforderung an das CRM ist die Unterstützung der Adressverwaltung. Darüber hinaus soll CRM für TeleTrusT folgende Funktionen umfassen:
>> Verwaltung der Mitgliederkontakte;
>> Auswahl von Mitgliedergruppen;
>> Individuelle Ansprache der Mitglieder in Serienbriefen und E-Mails;
>> Verwaltung von Veranstaltungen;
>> Auswertungen & Berichte über diverse Aktivitäten;
>> Zentral abgelegte Dokumente.
Das CRM soll eine Dublettenprüfung unterstützen, um die Qualität der Daten durch die Identifikation und Entfernung von doppelten Datensätzen zu sichern. Es sollen maximal fünf Nutzer das CRM nutzen, je nach Lizenzmodell sind auch drei bis vier Nutzerzugänge ausreichend. Mindestens 50 verschiedene Adresslisten müssen verwaltbar sein, mit jeweils bis
zu 1.500 Einträgen. Für die volle Nutzung der CRM-Funktionalitäten, wie z.B. Serien-E-Mails, muss der Mailserver eingebunden werden können.
Alle Änderungen im System sollen durch Protokollierung nachvollzogen werden können. Rollen und Berechtigungen sollen im CRM umsetzbar sein. Die Übertragung der CRM-Daten soll über eine verschlüsselte SSL-Datenverbindung (z.B. z.B. mindestens AES 256 Bit)
erfolgen. Daten im CRM sollen mindestens wöchentlich gesichert werden. Der Export aller Daten im CRM muss über ein allgemein lesbares Format (z.B. CSV) möglich sein.
Oliver Dehning, antispameurope, Leiter der TeleTrusT-AG "Cloud Computing", sagte: "Cloud Computing-Angebote bieten hinsichtlich Funktionalität oft mehr als zu vergleichbaren Kosten betriebene interne Lösungen – das hat die Untersuchung bestätigt. Sie hat aber auch gezeigt, dass viele Anbieter sich noch immer schwertun, konkrete Aussagen zur Sicherheit und Verfügbarkeit ihrer Services zu treffen, unabhängig von der Größe der Anbieter."
Organisationen mit einfacher Infrastruktur können oft keine besonderen Bedingungen und Service Level Agreements mit den Anbietern aushandeln. Umso mehr müssen sie die Bedingungen der Standardangebote sorgfältig prüfen. Dies besonders dann, wenn es um die Verarbeitung personenbezogener Daten gemäß Bundesdatenschutzgesetz. geht. Die Organisation ist und bleibt auch im Cloud Computing der "Herr der Daten" und somit für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten verantwortlich. Ob Cloud Computing-Anwendungen die Anforderungen einer Organisation besser erfüllen als eine intern betriebene Lösung, sollte deshalb im Einzelfall geprüft werden.
Die Publikation ist über TeleTrusT oder auf http://www.teletrust.de/publikationen/broschueren/cloud-anwendungen/ verfügbar. (TeleTrusT: ra)
TeleTrusT Deutschland: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.