Sicher in die Cloud – aber wie?

Kosteneinsparungen und Effizienzsteigerungen – die meistgenannten Vorteile der virtuellen Infrastruktur – sind schlagende Argumente für die Verlagerung der IT in die Cloud. Bei einer genaueren Betrachtung fällt es IT-Verantwortlichen jedoch schwer, die von ihnen geforderte Informationssicherheit zu verantworten. Schließlich müssen sie sicherstellen, dass die Informationen vertraulich, integer und authentisch bleiben und jederzeit verfügbar sind.

Das Angebot vieler Cloud-Anbieter ist verlockend, aber intransparent. Weder der Datenstandort noch die eingebundenen Partnerunternehmen sind bekannt und beeinflussbar. Der Mangel an etablierten internationalen Standards macht es schwer, Anbieter zu beurteilen und zu ver­gleichen. Eine genaue Prüfung der recht­lichen Rahmenbedingungen, der phy­sischen Infrastruktur und der involvierten Unternehmen ist daher dringend zu empfehlen.

Die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unterliegt generell dem Datenschutz und darf im Zuge der Cloud-Verarbeitung auf keinen Fall unterwandert werden. Diese Daten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde.

Nach Bundesdatenschutzgesetz (BDSG) gilt ein Cloud-Anwender bei Erhebung personenbezogener Daten als rechtlich verantwortlich. Selbst wenn der Cloud-Anwender die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, etwa um die Daten zu speichern oder zu verarbeiten, bleibt der Cloud-Anwender für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen in der Verantwortung.

Bei der Auswahl des Cloud-Anbieters können sich Anwender grundsätzlich an der Zertifizierung nach ISO 27001 orientieren. Allerdings muss der Cloud-Anwender vom Cloud-Anbieter auch einen Nachweis von einer unabhängigen Stelle einfordern, womit die Datenschutzrisiken für den Anwender wie vom Gesetz vorgeschrieben begrenzt werden.

Sollte der Cloud-Anbieter selbst Unteranbieter beauftragen, dann muss dafür einerseits die Erlaubnis des Cloud-Anwenders vorliegen. Andererseits muss für die Unterbeauftragung der gleiche Kontrollmaßstab wie zwischen Cloud-Anwender und Cloud-Anbieter angelegt werden und der zwischen dem Cloud-Anbieter und dem Unterauftragnehmer geschlossene Vertrag die zwischen dem Cloud-Anwender und Cloud-Anbieter geltenden Vertragsbedingungen widerspiegeln. Weil der EuGH aber kürzlich das Safe-Harbor-Abkommen mit den USA für ungültig erklärt hat, dürfen personenbezogene Daten künftig nicht mehr in die USA transferiert werden.

Wichtig: Die Beauftragung des Cloud-Anbieters muss schriftlich erfolgen. Eine Mustervereinbarung bietet der Hessische Datenschutzbeauftragte.

Der Begriff Cloud-Computing sollte nicht da­rüber hinwegtäuschen, dass die IT nach wie vor einen festen physischen Standort in einem oder mehreren Rechenzentren hat. Ein optimal gesicherter Primärstandort des Cloud-Anbieters liegt in einer risikoarmen, aber gut erschlossenen Zone und ist durch geeignete physische Sicherheitsmaßnahmen vor unbefugten Zugriffen geschützt. Die gleichen Kriterien gelten selbstverständlich auch für den Backup-Standort. Dieser sollte zur Wahrung der Business-Continuity in ausreichender Distanz zum Primärrechenzentrum liegen.

Die sogenannten Tier-Levels, die Rechenzentrumsanbieter zur Klassifizierung ihrer Service-Leistungen nutzen, geben Aufschluss über die vorhandenen Redundanzen bei der Strom-, Klimatisierungs- und Netzwerkinfrastruktur. Die höchsten Anforderungen an einen Cloud-Service erfüllen derzeit nach Tier IV zertifizierte Standorte. Sie bieten eine Verfügbarkeit von 99,995 Prozent. Viele Anbieter organisieren auf Anfrage die Prüfung der Infrastruktur vor Ort.

Mit Wachstumsraten von über 40 Prozent pro Jahr ist der Cloud-Markt der derzeit dynamischste ICT-Bereich. Neue Dienstleistungen entstehen fast täglich, ebenso neue Anbieter. Es empfiehlt sich daher, Unternehmen und Dienstleistungsmodelle in Bezug auf Service-Leistungen, Zertifizierungen, Rentabilität und Zukunftssicherheit besonders kritisch zu betrachten. Wichtige Hinweise geben die Kundenreferenzen.

Der Cloud-Anbieter sollte dem Kunden die freie Wahl von Support- und Umsetzungspartner überlassen. Denn welche Zusammensetzung für den Einstieg in die Cloud sinnvoll ist, hängt vom jeweiligen Projekt ab. Damit die Vorteile der Cloud – Kosteneinsparungen und Effizienzgewinn – zum Tragen kommen, ist eine Reduktion auf möglichst wenige spezialisierte Leistungserbringer ratsam. Dies vereinfacht auch die Zuordnung der Verantwortlichkeiten – von der Infrastruktur über die Virtualisierung bis hin zum Support der Anwendung.

Erfolgt die Auslagerung in die Cloud zunächst nur für eine begrenzte Funktion oder einen Prozess, so erweist sich dies bei positivem Verlauf oft lediglich als erster Schritt, dem weitere folgen. Es empfiehlt sich deshalb, bereits zu Beginn abzuklären, welche Zukunftsperspektiven der Cloud-Partner bietet. Welche Schnittstellen stehen beispielsweise zur Verfügung und was leistet die Managementkonsole? Ist es verhältnismäßig einfach, Testumgebungen aufzubauen und Anwendungen in die Cloud oder wieder zurück in die eigene Infrastruktur zu verlagern? Sind beim Cloud-Anbieter mehrere Datenstandorte wählbar und bietet er auch Lösungen für hybride Clouds? Es lohnt sich, schon bei der Partnerwahl genau hinzuschauen, welche Plattform zum Einsatz kommt und wie der Partner sie weiterentwickelt.

Auch verantwortungsvolle CIOs müssen auf den Einsatz von Cloud-Computing keinesfalls verzichten – wenn sie ihn überlegt angehen und sich aller Implikationen bewusst sind. Vor allem Unternehmen, die im Zusammenhang mit der Benutzung eines Cloud-Services Datensammlungen oder geschäftskritische Anwendungen in die Cloud auslagern wollen, sollten die geplanten Dienstleistungen im Vorfeld genau prüfen.