Wer arbeitet zuverlässig?
Von Sabine Philipp
Fairerweise muss man sagen, dass auch Cloud Computing keine heile Welt ist. Es gibt durchaus immer wieder Probleme und schlecht gelöste Dienste. Unseriöse Anbieter können Unternehmen dabei in ernste Schwierigkeiten bringen. Der Redaktion ist der Fall eines Finanzdienstleisters bekannt, der nicht öffentlich genannt werden möchte. Er konnte wegen einer schwachen Anbindung kaum Daten speichern. Zu Stoßzeiten war der Zugriff eine Qual. Und als der Cloud-Anbieter in Insolvenz ging, wollte er die Unternehmensdaten nur gegen einen Preisaufschlag herausrücken.
Um solche Fallstricke tunlichst zu vermeiden, sollte man vor Vertragsabschluss das Kleingedruckte sorgfältig unter die Lupe nehmen; hilfreich können hier die Sicherheitsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik sein.
Gegen Ausfälle absichern
Da Cloud-Anwendungen über das Web laufen, braucht man logischerweise eine dauerhaft stabile Internet-Verbindung. Für Notfälle wie den Bagger, der die DSL-Leitung kappt, ist es außerdem ratsam, sich über eine Alternativanbindung, z.B. per UMTS, abzusichern. Ein Durchsatz von 2 Mbit/s ist dabei das Minimum; das reicht in der Regel für kleine Unternehmen mit fünf bis zehn Arbeitsplätzen aus. Wichtig: Ein normaler asymmetrischer Hausanschluss genügt nicht, denn die Verbindung muss Daten genauso schnell hoch- wie herunterladen können.
Manchmal liegen die Probleme aber nicht an der Leitung, sondern im Rechenzentrum selbst. Daher ist es sehr ratsam, sich vor Vertragsabschluss zu informieren, welchen Plan B der Betreiber bei einem Ausfall in petto hat. In diesem Zusammenhang spielt die Verfügbarkeit, die das Cloud-Unternehmen dem Kunden vertraglich garantiert, eine entscheidende Rolle. Rechnen Sie lieber nach, wie viele Stunden Ausfall die imposant-hochprozentigen Zahlen in der Wirklichkeit bedeuten! (Beim oben genannten Finanzdienstleister betrug die Ausfalltoleranz übrigens vier Stunden pro Woche – sie fielen prompt in Stoßzeiten mit besonders viel Geschäft.)
Teil 1 sichtet den Bedarf und begleitet den Start des Fraunhofer-Projekts Logistics Mall. Teil 2 sagt, welche Sicherheitsfragen im Vertrag ausdrücklich geregelt sein müssen.
Das Leistungsmerkmal Verfügbarkeit sollte unbedingt schriftlich geregelt werden. Beim Datenschutz ist eine Vereinbarung auf Papier ohnehin vom Gesetzgeber vorgesehen.
Die Datenverantwortung bleibt
Es ist nie gut, wenn Unbefugte an Unternehmensdaten gelangen. Sobald jedoch personenbezogene Daten betroffen sind – die auch bei den üblichen logistischen Vorgängen entstehen – wird es besonders brenzlig. Denn hier kommt das strenge Bundesdatenschutzgesetz (BDSG) zum Zug, das nicht nur den Cloud-Anbieter ins Gebet nimmt. Es besagt nämlich nach § 11 BDSG u.a., dass der Unternehmer auch dann für die Einhaltung der Gesetzes- und Datenschutzvorschriften verantwortlich ist, wenn er personenbezogene Daten von einem anderen erheben, verarbeiten oder nutzen lässt.
Außerdem muss sich das Unternehmen selbst davon überzeugen, dass die vom Anbieter getroffenen technischen und organisatorischen Maßnahmen tauglich sind. Spezielle Datenschutzgütesiegel, z.B. vom Unabhängigen Landeszentrum Schleswig Holstein (ULD), können eine gewisse Sicherheit geben.
Diplom-Informatiker Oliver Wolf studierte nach seiner Ausbildung zum Industriekaufmann Wirtschaftsinformatik in Paderborn und Dortmund. Seit 1996 arbeitet er am Fraunhofer-Institut für Materialfluss und Logistik IML, wo er heute die Abteilung Software Engineering leitet. Daneben lehrt Wolf als Gastdozent an verschiedenen Hochschulen wie der Universität St. Gallen.
Vorkehrungen für Zweifelsfälle
Darüber hinaus müssen verschiedene Punkte schriftlich geregelt werden, etwa die Rückgabe der überlassenen Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags. Fachmann Wolf legt in diesem Kontext auch besonderen Wert auf die Mandantenfähigkeit der Systeme. Das bedeutet, dass die Daten der einzelnen Nutzer technisch sauber voneinander getrennt sind, so dass die Kunden – salopp gesagt – einander nicht in die Karten schauen können.
Vor allem darf der Unternehmer die Daten nicht in jedes beliebige Land transferieren. So verbietet es die EU-Datenschutzrichtlinie 95/46/EG, personenbezogene Daten in ein Land außerhalb der EU zu schaffen, wenn dieses Drittland kein angemessenes Datenschutzniveau aufweist.
Ein verwandtes Problem – und doch etwas anders – ist die Datensicherheit, ohne die kein Datenschutz möglich ist. Gute Konzepte schützen vor den Blicken der Konkurrenz, vor Viren und vor Verlusten.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeMAT 2014. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Grundlagen der Informationssicherheit
Es ist immer ein gutes Zeichen, wenn der Betreiber einer Cloud-Computing-Plattform ein wirksames Information Security Management System (ISMS) z.B. nach ISO 27001 umsetzt. Daneben sollte man grundsätzlich achten, dass die Cloud-Dienste ihre Daten bei jeder Transaktion verschlüsseln.
Ein weiterer wichtiger Punkt ist die Frage nach Sicherungskopien. Dass Backups kein Luxus sind, hat zuletzt eine aktuelle Meldung von Kroll Ontrack gezeigt: Der Datenrettungsspezialist teilt mit, dass ihn in letzter Zeit verstärkt Anfragen wegen Datenverlusten in virtualisierten oder Cloud-basierten Infrastrukturen erreichen. Das Unternehmen empfiehlt daher, u.a. die Service Level Agreements (SLA) vorab nicht nur auf die garantierte Verfügbarkeit sondern auch hinsichtlich der Disaster-Recovery-Maßnahmen genau zu prüfen. Denn vor menschlichen und technischen Fehlern sei auch die ausgereifteste Infrastruktur nicht gefeit.
Lebenswichtige Vertragspunkte
Und nicht nur die technischen Finessen müssen in den SLA geklärt sein. Auch auf der organisatorischen Ebene gilt es, Details klar zu stellen, z.B. was den Verbleib der Daten bei einer Insolvenz betrifft. Wichtig ist, dass für die Übergabe gleich noch eine Kooperationspflicht und eine Vertraulichkeitsregelung festgelegt werden.
Generell sollte es eine Selbstverständlichkeit sein, dass die Daten jederzeit in einem für den Nutzer bearbeitbaren Format aus der Cloud wieder exportiert werden können. Da dieser Punkt jedoch nicht für alle Cloud-Betreiber selbstverständlich ist, gehört auch er schriftlich geregelt.
Eine besondere Beachtung verdient außerdem die Vertragslaufzeit. Bei ungünstigen Bedingungen im Kleingedruckten kann die erwähnte Flexibilität ansonsten schnell verloren gehen. Bei Mindestlaufzeiten sollten zumindest partielle Differenzierungen möglich sein.
Eine gute Übersicht über die entscheidenden Vertragspunkte geben die Leitfäden, die BITKOM und EuroCloud herausgebracht haben. Den BITKOM-Leitfaden gibt es kostenlos zum Herunterladen, den von EuroCloud kann mann unter Angabe vollständiger Kontaktdaten bei leitfaden-recht@eurocloud.de als PDF bestellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile außerdem die endgültige Fassung seiner Mindestsicherheitsanforderungen herausgebracht; dort gibt es das Eckpunktepapier als PDF zum Herunterladen.
Fazit: Am Ende entscheidet Sicherheit
Wie hält es nun die Logistics Mall mit diesen Punkten? „Uns ist bekannt, dass unprofessionelle Lösungen ein großes Gefahrenpotenzial darstellen“, sagt Oliver Wolf. „Deshalb arbeiten wir mit Spezialisten aus verschiedenen Bereichen zusammen, um unseren Nutzern die bestmöglichste Sicherheit zu geben.“
Zum Team gehören u.a. Juristen der Hochschule Bremerhaven. „Zu ihrem Arbeitsgebiet gehört auch die Untersuchung der juristischen Aspekte wie zum Beispiel Gewährleistung, Datenschutz und Haftungsaspekte“, erläutert der Diplom-Informatiker. „Wir von den Fraunhofer Instituten zertifizieren die Software auf technischer Ebene und stellen sicher, dass sie läuft und dass die Schnittstellen passen. Die Abrechnung erfolgt unabhängig von der Zahl der Anbieter zentral durch die Logistics Mall.“
Bei Problemen gibt es eine zentrale Anlaufstelle. Die Mall selbst wird von der Logata GmbH betrieben. Hier war es Wolf besonders wichtig, auf einen Anbieter zu setzen, der die Daten in Deutschland hostet. „Etwas anderes hätten weder wir noch die Nutzer mitgemacht“, so Wolf zum Abschluss. Immerhin scheint das Konzept aufzugehen – die Lösung gewann den Innovationspreis-IT 2011 der Initiative Mittelstand in der Kategorie Cloud Computing.
