Depolyment: On-Prem vs. Cloud

Bereitstellungsarten

Es gibt im Kern zwei Haupttypen von Bereitstellungsarten: On-Prem und Cloud.

• On-Prem: wird auf den eigenen Servern des Unternehmens installiert, betrieben und gehostet.
• Cloud: wird auf den Servern eines externen Anbieters gehostet und über das Internet bereitgestellt.
  • Private Cloud: wird auf den Servern (Hardware) eines externen Anbieters (Rechenzentrum) installiert aber von einem selbst (Software) betrieben.
  • Public Cloud: wird auf den Servern (Hardware) eines externen Anbieters (Rechenzentrum) installiert und vom Anbieter (z.B. Dr.DOC) betrieben.

Es gibt sowohl Vor- als auch Nachteile von On-Prem und Cloud.

• On-Prem-ECM/DMS bieten mehr Kontrolle und teils mehr Flexibilität, aber sie erfordern mehr Administration.
• Cloud-ECM/DMS sind einfacher zu verwalten, aber bieten weniger Flexibilität und Kontrolle.

Fazit (Kurzfassung)

Die Entscheidung, ob On-Prem oder Cloud besser geeignet ist, hängt von den individuellen Bedürfnissen des Unternehmens ab.

Unternehmen sollten sich für ein On-Prem-DMS entscheiden, wenn folgende Kriterien zutreffen:

• hohe Sicherheits- und Complianceanforderungen
• hoher Bedarf an Flexibilität
• Daten und Dokumente werden maßgeblich im Unternehmen genutzt, konsumiert und produziert und selten von außerhalb

Unternehmen ohne fähige IT Abteilung und einem geringen Bedarf an Flexibilität sollten sich für ein Cloud-DMS entscheiden.

Für die Berücksichtigung aller Kosten müssen auch folgende Kriterien bewertet werden:

• Opportunitätskosten der Bindung von Mitarbeitern für IT Administration (Überwachung der Hardware, Aktualisierung der Software, Definition von Best Practices und Prozessen, Erstellung und Übung von Checklisten)
• Mögliche Kosten aus der Realisierung von Risiken (z.B. Virusbefall/Trojaner/Ransomware, Stromausfall, Brand, Blitzeinschlag)

Dazu gleich mehr.
Mit Dr.DOC können alle möglichen Bereitstellungsarten bedient werden!

Dr.DOC System Installationsarten

• Dr.DOC Netzwerk Server Installation / Dr.DOC Web-Server Installation
  System-Voraussetzung: Windows 11, Windows Server 2022, 2019, 2016, 2012, 2008, 2008 R2; Windows Home/Pro 11, 10, 8, 7 - mit x86/x64 Prozessorarchitektur
  
  • Im Haus / lokal / On-Prem
    Die geeignete Server-Hardware können wir Ihnen bei Bedarf gerne zusammenstellen.
  • Private Cloud / Rechenzentrum / Bei einem Hoster Ihrer Wahl
  • Dr.DOC Cloud / Managed Public Cloud / Auftragsdatenverarbeitung durch den Hersteller
• Dr.DOC Netzwerk Client Installation
  System-Voraussetzung: Windows Home/Pro 11, 10, 8, 7 - mit x86/x64 Prozessorarchitektur
  • Installation auf dem Terminalserver
  • Normale Installation auf dem Client PC
  • Programm über ein Netzlaufwerk laden
• Dr.DOC Web-Client:
  System: keine Installation notwendig / Zugriff durch modernen Web-Browser (alle gängigen Betriebssysteme und Smartphones)

Analyse

Für eine profunde, seriöse Beantwortung der Frage der Bereitstellungsart, müssen erst folgende Punkte im Unternehmen geklärt werden:

1. Anforderungsmanagement: Was sind meine Anforderungen?
   Feature/Funktion, Verbindlichkeit (Muss, Kann, Soll) und geforderte Qualität
2. Risikomanagement: Welche Risiken und Bedrohungsszenarien werden angenommen?
   Ereignis, Max. Schadensbetrag, Wahrscheinlichkeit, Auswirkungen, (Vermeidungs)maßnahmen
3. Make-or-Buy-Analyse: Was kann mein Unternehmen zu welchen Kosten bei welcher Qualität leisten?
   Welche Anforderungen und Risikovermeidungsmaßnahmen kann mein Unternehmen zu welchen Kosten erfüllen?

Anforderungenmanagement

Das Anforderungsmanagement ist der Prozess der Erfassung, Analyse und Priorisierung von Anforderungen an ein Produkt oder eine Dienstleistung. Bei der Entscheidung für ein DMS ist ein Anforderungsmanagement wichtig, da es helfen kann, sicherzustellen, dass das DMS in der jeweiligen Bereitstellungsart die Bedürfnisse des Unternehmens erfüllt.

Bei der Erfassung von Anforderungen sollten die folgenden Punkte berücksichtigt werden:

• Die aktuellen Dokumentenprozesse des Unternehmens
• Die zukünftigen Dokumentenprozesse des Unternehmens
• Die Sicherheitsanforderungen des Unternehmens
• Die Compliance-Anforderungen des Unternehmens

Nach der Erfassung der Anforderungen sollten diese analysiert und priorisiert werden. Die Anforderungen, die für das Unternehmen am wichtigsten sind, sollten zuerst erfüllt werden.
Die Anforderungen können in Form eines Lastenheftes oder ReqIF an den ECM/DMS Softwarehersteller übermittelt oder selbst aus verfürbaren Informationen eingetragen werden. Wenn ein Anbieter ein Muss-Kriterium nicht erfüllt, sollte der technische Vertieb/Entwicklung des Anbieters kontaktiert, eine Lösung von ihm gefunden und getestet werden ehe man ihn kategorisch ausschließt. Es kann schnell passieren, dass sich zwei definierte Anforderungen widersprechen oder eine Lösung sehr kompliziert machen (Ausnahmen).

Beispiel:

Sicherheit und Risikomanagement

Bei der Entscheidung über die Bereitstellungsart eines ECM/DMS greift es definitiv zu kurz, nur auf das Geld (im Sinne zahlungswirksamer Buchungen) zu schauen.
Es ist mittelfristig wichtig, die potenziellen Risiken zu berücksichtigen. Dazu gehören unter anderem:

• Datenverlust (z.B. Hardware defekt durch Feuer)
• Datenverschlüsselung (z.B. Ransomware)
• Datendiebstahl (z.B. Industriespionage)
• Datenmanipulation
• Datenmissbrauch

On-Prem-ECM/DMS bieten eine höhere Flexibilität und Kontrolle, was die Risiken im Hinblick auf Datensicherheit und Compliance verringern kann. Allerdings erfordern On-Prem-ECM/DMS mehr IT Administration.

Cloud-ECM/DMS sind einfacher zu verwalten, was die Risiken im Hinblick auf Kosten und Wartung verringern kann. Allerdings bieten Cloud-ECM/DMS weniger Flexibilität und Kontrolle, was die Risiken im Hinblick auf Datensicherheit und Compliance erhöhen kann. Das Unternehmen sollte sicherstellen, dass das Cloud-ECM/DMS oder das Unternehmen selbst (On-Prem) über angemessene Sicherheitsvorkehrungen verfügt und dass es den Anforderungen des Unternehmens in Bezug auf Compliance entspricht.

Die meisten Unternehmen haben begrenzte IT-Ressourcen, nicht immer ausreichend erprobte Sicherheitskonzepte und ein begrenztes Budget. Ein Cloud-ECM/DMS ist daher eine gute Option für diese Unternehmen.

Die Vermeidungsmaßnahmen sollten geeignet sein, die Risiken zu mitigieren, also von "Teuer und Wahrscheinlich" in "Nicht teuer und Unwahrscheinlich".
Nach der Auflistung kann z.B. Sortierung nach VAR bzw. Produkt aus Schadensbetrag und Wahrscheinlichkeit vorgenommen werden. 
Mit steigendem Schadensbetrag, Wahrscheinlichkeit und Häufigkeit ist es kostengünstiger eine Risikovermeidungsmaßnahme umzusetzen, als die Realisation der Risiken billigend in Kauf zu nehmen. Wenn ein Risiko potentiell ruinös ist, also nach Liquidation vorhandener Asstes unbezahlbar bleibt, sollte zwingend eine findige Lösung gefunden werden (besonders bei Kontrolle über die Rahmenbedingungen).
Eine thematische Klassifikation in Externalitäten (reagieren) und interne Risiken (proaktiv agieren) kann hilfreich sein. Weitere Merkmale können Prozesse und Komponenten sein.

Beispiel:

Das Unternehmen muss für On-Prem, als Vermeidungsmaßnahme für Risiken, folgende Prozesse selbst umsetzen und nach Möglichkeit automatisieren

• Regelmäßige, verschlüsselte Backups an verschiedene Standorte
• Überprüfung, Wartung, Beschaffung, Installation der Hardware (z.B. Speicherplatz, RAID1, SMART)
• Update/Upgrade von Betriebssystem
• Update/Upgrade von ECM/DMS
• Erneuerung der TLS Zertifikate für Transportverschlüsselung
• Prozess zum Backup Restore / Checkliste bei Ransomware Angriffen
• Organigramm über Kompetenzen, Rechte und Rollen in der Organisation
• Klare Vertreter Regelung für IT Handlungsfähigkeit
• Physischer Schutz der Hardware
• Schutz vor Stromausfall und Spannungsspitzen (Blitzeinschlag) durch USV geeigneter dimensionierung (sehr kurzfristig)
  in Kombination mit Stromaggregat für einige Tage
• Regelmäßige Überprüfung der Sicherheitskonzepte
• Regelmäßige Übung der Abläufe der Checklisten für Sicherheitsvorfälle
• Sichere Aufbewahrungsform und Ort für administrative Zugangsdaten sowie Vier-Augen-Prinzip für Zugriff
• Protokollierung für Zugriffe
• Dokumentation von Änderungen an Konfigurationen etc.

Rechtsrisiken durch Cloud-Anbieter aus den USA

Mehrere US-Gesetze verpflichten US-amerikanische Cloud-Anbieter (z.B. Microsoft, Google, AWS/Amazon, Adobe, DocuSign, Apple), US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. 
Das bedeutet, es kann keine "souveräne Cloud" eine US-Anbieters geben, selbst wenn die Daten auf deutschem Boden gespeichert sind.
Die Rechtsgrundlagen bilden:

• Foreign Intelligence Surveillance Act of 1978 (FISA)
• USA Patriot Act of 2001
• USA Freedom Act of 2015
• Clarifying Lawful Overseas Use of Data Act von 2018 (CLOUD Act)
  

Der Umfang der "Datenabrufe" von US-Behörden und Geheimdiensten ist gewaltig; man kann ohne Übertreibung von Industriespionage reden.
Allein beim US Cloud-Provider Google (Link) sind:

• ca. 200.000 Inhaltsdaten/Konten pro Jahr gemäß FISA (z.B. Dokumente, Tabellen, Fotos, E-Mails etc. )
• ca. 71.000 Metadaten/Konten pro Jahr gemäß FISA (z.B. Verbindungsdaten, Dateinamen, E-Mail-Adressen, Telefonnummern)
• ca. 3.000 Konten pro Jahr über National Security Letters

Als Betroffener bekommen Sie als Unternehmen oder Einzelperson selten etwas mit. Ein Instrument ist beispielsweise der "National Security Letter" (NSL).
Mit einem National Security Letter können Cloud-Anbieter zur Herausgabe von Kundendaten verpflichtet werden. In der Regel enthält ein NSL eine Geheimhaltungsanordnung, die es dem Empfänger verbietet, über den Inhalt oder auch nur den Erhalt eines NSL zu sprechen.

Link: Überblick zu den Rechtsgrundlagen vom wissenschaftlichen Dienst des Deutschen Bundestags.

Kennen Sie die versteckten Kosten? - Make-or-Buy-Analyse

Eine Make-or-Buy-Analyse ist ein Prozess, bei dem die Entscheidung getroffen wird, ob eine bestimmte Aufgabe intern erledigt oder an ein externes Unternehmen ausgelagert werden soll. Bei der Entscheidung für ein DMS ist eine Make-or-Buy-Analyse wichtig, da sie helfen kann, die Kosten und den Nutzen der verschiedenen Optionen zu vergleichen.

Bei der Entscheidung für ein On-Prem-ECM/DMS müssen die folgenden Kosten berücksichtigt werden:

• Softwarekosten
• Hardwarekosten
• Wartungskosten
• Personalkosten

Bei der Entscheidung für ein Cloud-ECM/DMS müssen die folgenden Kosten berücksichtigt werden:

• Abonnementkosten
• Datenübertragungskosten
• Sicherheitskosten

Die Vorteile eines On-Prem-ECM/DMS sind:

• Höhere Flexibilität
• Höhere Kontrolle
• Bessere Compliance

Die Vorteile eines Cloud-ECM/DMS sind:

• Einfacher zu verwalten
• Oft Günstiger
• Skalierbar

Beachten Sie, dass Dr.DOC auch als On-Prem-Lösung (im Rahmen der Hardware-Möglichkeiten) gut skalierbar und wenig personalintensiv ist, im Vergleich zu anderen Herstellern. Auch verteht nicht jeder Anbieter unter "Cloud" die selbe Qualität, wenn z.B. kein RAID10 verwendet wird oder mehrere Kunden auf einer Server Hardware laufen ohne angemessene Isolation der Instanzen/VMs.

Beispiel:

Fazit

Die Entscheidung für die Bereitstellungsart eines ECM/DMS ist eine wichtige Entscheidung, die sorgfältig getroffen werden sollte. Es gibt viele Faktoren zu berücksichtigen, wie z. B. die Kosten, die Vorteile, die Risiken, regulatorische Rahmenbedingungen, die Anforderungen des Unternehmens und die individuellen Bedürfnisse des Unternehmens.