In sechs Schritten zum sicheren Cloud Computing - Wie sich Risiken der Datenwolke minimieren lassen

Eine funktionierende IT ist lebenswichtig für Unternehmen. Schon kurze Ausfälle können zu Produktions- oder Geschäftsbeeinträchtigungen führen. Auch dürfen geschäftskritische Daten nicht verlorengehen oder in falsche Hände geraten. Gerade kleine und mittelständische Unternehmen können mit Cloud-Lösungen ein deutlich höheres Sicherheitsniveau erreichen als mit IT-Systemen, die sie in Eigenregie betreiben. Für die erfolgreiche Nutzung von Cloud Computing müssen sie jedoch die technischen und rechtlichen Voraussetzungen schaffen. Henrik Hausen, Vorstand der Alpha Business Solutions AG und Ali Jelveh, Gründer und Geschäftsführer der Protonet GmbH aus Hamburg gaben Tipps, was auf dem Weg in die Cloud zu beachten ist.

1. Ziele definieren, Strategie erarbeiten

Unternehmen sollten im ersten Schritt definieren, welche Ziele sie mit dem Einsatz von Cloud Computing verfolgen. Im nächsten Schritt muss dann festgelegt werden, welche Geschäftsprozesse und Services in die Cloud verlagert werden können. Mittelständische Unternehmen haben häufig eine über die Jahre gewachsene IT-Infrastruktur mit zahlreichen Anpassungen an die Besonderheiten des Unternehmens. Es gilt also zu prüfen, welche mit bereitgestellten Services aus der Cloud ergänzt und welche sinnvollerweise ersetzt werden.

2. Zertifizierte Anbieter wählen

Unternehmen sollten auf zertifizierte Anbieter zurückgreifen, denn bei ihnen werden die Prozesse durch laufende Kontrollen geprüft. Wichtige Zertifikate sind etwa:

• die ISO 27001 von der International Standardization Organisation
• die EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. oder
• die SAS 70 des American Institute of Certified Public Accountants (AICPA),

3. Provider checken

Serviceleistungen und die Transparenz des Anbieters können im Vorfeld geprüft werden:

• Ist der Provider telefonisch bei Fragen und Problemen erreichbar?
• Wie kontrolliert er seine Mitarbeiter?
• An wen und nach welchen Kriterien vergibt der Provider Aufträge an Subunternehmer?
• Erfüllt der Provider die gesetzlichen und andere für das Unternehmen wichtige Anforderungen?
• Welche Maßnahmen zur Gewährleistung der Sicherheit und Berücksichtigung der gesetzlichen Datenschutz- und Compliance-Anforderungen hat der Anbieter getroffen?
• Welche Verschlüsselung wird verwendet?

Nicht immer erfüllen Provider aus Übersee deutsche Rechtsvorgaben. Eine Gefahr, die bei Verwendung amerikanischer Cloud-Anbieter droht, ist der sogenannte „Patriot Act“. Er erlaubt es den US-Behörden, bei Verdachtsmomenten auf die Cloud-Daten deutscher Unternehmen zuzugreifen. Dies steht, vor allem bei personenbezogenen Daten, im rechtlichen Widerspruch zum strengen Bundesdatenschutzgesetz (BDSG) in Deutschland. Um sicherzustellen, dass ein Anbieter die einschlägigen datenschutzrechtlichen Bestimmungen und Anforderungen einhält, sollte vorrangig mit Providern einer EU/EWR-Cloud gearbeitet werden.

4. Wasserdichten Vertrag abschließen

Ziel des Vertragswerkes zwischen Unternehmen und Provider ist es, mittels so genannter Service Level Agreements (SALs) die Leistungserbringung zu definieren und später überwachen zu können. Unternehmen sollten darauf achten, dass der Vertrag folgende Aspekte berücksichtigt:

• Einhaltung von Datenschutz
• Verbindliche Kennzahlen für Verfügbarkeit und Performance
• Zuverlässigkeit und fest vereinbarte Reaktionszeiten bei Störfällen
• Datensicherung
• ein explizites Archivierungskonzept
• umfangreiche Maßnahmen für Disaster Recovery – also die Möglichkeit, die Daten nach einem Katastrophenfall wiederherzustellen.

5. Auf transparente Preis- und Abrechnungsmodelle achten

Die höhere Kostentransparenz ist ein wesentliches Argument für Cloud Computing. Um diesen Vorteil aber tatsächlich realisieren zu können, muss der IT-Dienstleister ein transparentes Preismodell haben. Es sollte alle anfallenden Kosten aufzeigen, zum Beispiel auch einmalige Implementierungskosten oder zusätzliche Servicepauschalen.

6. Datenkompatibilität prüfen

Vor Vertragsabschluss sollten Unternehmen auch Ausstiegsszenarien berücksichtigen. Was passiert zum Beispiel mit den Daten nach Vertragsende? Wie wird die Rückholung von Daten ins Unternehmen oder die Übergabe an einen anderen Anbieter organisiert? Um die eigenen Daten zu einem späteren Zeitpunkt zu einem anderen Anbieter oder zurück ins unternehmensinterne Data-Center verlegen zu können, sollten Fragen der Datenkompatibilität sorgfältig geprüft werden.

Fazit

„Die Verantwortung für den Datenschutz bleibt auch in der Cloud beim Unternehmen. Das Unternehmen ist und bleibt ‘Herr der Daten‘ und damit auch für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich. Deshalb muss das Unternehmen das Datenschutzrecht beachten und sicherstellen, dass die Verarbeitung dieser Daten in der Cloud datenschutzkonform ist“, gibt Henrik Hausen von Alpha Business Solutions AG zu bedenken. Ob ein Unternehmen eher eine Private Cloud-Lösung wählt oder eine Public Cloud-Variante die bessere Variante ist, muss bedarfsabhängig entschieden werden. „Letztlich muss man bei der Auswahl des Anbieters auch seinem Bauchgefühl vertrauen. Hat man Vertrauen zu einem Provider? Stimmt die Chemie zwischen den Unternehmen? Immerhin vertraut man dem Cloud Provider wichtige Teile der Unternehmens-IT an“, sagt Ali Jelveh von der Protonet GmbH.