Hohe Sicherheits- und Datenschutzanforderungen bei Nutzung von Cloud-Produkten in Wasserversorgungsunternehmen
Bei der Nutzung von Cloud-Produkten tun sich Unternehmen aus dem KRITIS-Bereich (kritische Infrastrukturen) häufig noch schwer. Doch dafür gibt es gute Gründe. Denn welche Anforderungen stellen sich an die Anwendung und welche Nachweise und Zertifikate sind ausreichend für eine Datenschutz- und IT-Sicherheitskonforme Nutzung dieser Dienste? Da sind sich Nutzer in den Fachbereichen, IT-Einheiten und IT-Sicherheitsabteilungen in vielen Fällen uneins. Hinzu kommt eine besondere Vorsicht der IT-Einheiten aufgrund der KRITIS-Verordnung und eine zunehmende Bedrohungslage infolge weltweit zunehmender Hackerangriffe. Auf der anderen Seite setzen Softwarehersteller zunehmend auf SaaS ("Software as a service") und bieten ihre Lösungen mit besseren Funktionalitäten oder ausschließlich in der Cloud an.
Bei HAMBURG WASSER wurde 2018 ein Recruitingtool auf der Basis einer Ausschreibung eingeführt, in der Anwendungen gesucht wurden, die vor Ort bzw. lokal ("on premise") betrieben werden können. Es verblieb nur ein kleiner Anbieterkreis, da mehrere Anbieter angesichts der Vorgaben im Verfahren ausgestiegen sind.
Es zeigte sich in der Folge, dass die Einrichtung und das Customizing des Recruitingstools einige Zeit erforderte und mehr interne Aufwände benötigte, als zunächst geplant gewesen war. Außerdem gab es Performanceprobleme mit der IT-Landschaft und den Firewalls im Unternehmen. Zwischenzeitlich hatte der Dienstleister die "on premise"-Version aufgekündigt und einen weiteren Betrieb in der aktuellen Version ausschließlich als Cloud-Anwendung angeboten.
Bei HAMBURG WASSER war dies nicht der erste Fall, weshalb eine Cloud-Richtlinie erarbeitet und Prüfungsabläufe für Softwareprodukte entwickelt wurden. Wesentlich ist, dass Anwendungen auf Servern in Europa und nicht in Amerika betrieben werden. Die erforderliche Datenverschlüsselung und weitere Bedingungen erfüllen inzwischen die meisten Anbieter. So entschied sich der Hamburger Wasserversorger nach intensiver Prüfung der Rahmenbedingungen auch im Falle des Recruitingtools für einen Wechsel in die Cloud, was dann im Jahr 2021 umgesetzt wurde. Als erweiterte Funktionen standen anschließend z.B. die Veröffentlichung von Stellengesuchen in Job-Plattformen genauso wie die einfache Übernahme von Personendaten der Bewerber aus z.B. LinkedIN und XING zur Verfügung. Eine weitere Anbindung an das im Einsatz befindliche Human Capital Management (HCM) und an das Azure Active Directory sind geplant.