Cloud Computing für den Mittelstand, Teil 2: Welche K.o.-Kriterien für Cloud-Anbieter gelten

Software fürs Geschäft gibt es wie Sand am Meer. Meist sind die Lösungen einander auch so ähnlich wie ein Sandkorn dem anderen. Für die Auswahl einer Cloud-Lösung ist vor allem die Qualität des Anbieters selbst entscheidend. Er soll schließlich für Sicherheit, Datenschutz und Schnittstellen sorgen.

Das BDSG bestimmt den Standort

Von Sabine Philipp im Auftrag der Comarch AG

Ein Wechsel auf Cloud-Services ist immer ein Schritt, der reiflich erwogen sein will. Es schadet nicht, wenn die Geschäfts­führung selbst eine relativ genaue Vor­stellung davon hat, wie Cloud Computing funk­tioniert und was zu beachten ist. Vier Punkte sind besonders wichtig, damit der Cloud-Betrieb rund läuft: die Sicherheit, die Gesetzes­lage, die technischen Voraus­setzungen und das Vertragswerk.

Uneinnehmbar und verlustsicher

IT-Sicherheit ist ein hochkomplexes Unterfangen mit zahllosen Einzelaspekten: Gebäudeschutz, redundante Energieversorgung im Falle eines Stromausfalls, Virenschutz etc. Um hier den Überblick zu behalten, erstellen gute Cloud-Dienstleister ausgeklügelte Sicherheitskonzepte, in denen sie konkrete Sicherheitsziele definieren sowie Tools und Prozesse entwickeln, um diese Ziele konsequent zu erreichen. Experten überprüfen diese Konzepte in regelmäßigen Audits und passen sie gegebenenfalls an. Ein solches Sicherheitskonzept legt z.B. fest, welcher Mitarbeiter nach welchen Methoden die Backups fährt, wie er den Erfolg der Sicherung prüft und was er im Ernstfall zu tun hat.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Unternehmen, die einen Wechsel in die Cloud erwägen, sollten bei einem Cloud-Anbieter, den sie in die engere Wahl ziehen, unbedingt nachhaken, nach welchen Kriterien er vorgeht und welche Aspekte er im Einzelnen berücksichtigt. Hier kommt es nämlich schnell zu Missverständnissen. So umfasst ein Konzept für Datensicherheit nicht automatisch auch den Datenschutz. Bei der Datensicherheit geht es darum, dass die Daten sicher in den Systemen laufen und nicht verlorengehen. Beim Datenschutz geht es in erster Linie darum, „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 (1) BDSG) vor unbefugter Neugier zu schützen.

Serie: Cloud Computing für den Mittelstand
Teil 1 erklärt, wann kleine und mittlere Unternehmen von Cloud-Services profitieren. Teil 2 geht durch, was bei der Anbieterwahl zu beachten ist. Sicherheit, rechtliche Vorgaben, technische Voraus­setzungen und das Service Level Agreement sind die wichtigsten Punkte.

Verantwortung für Auftragsdatenverarbeitung

Ganz wichtig ist: Für die Einhaltung der Datenschutzvorgaben haftet stets das beauftragende Unternehmen! In §11 BDSG heißt es: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt“ – genau das ist bei Cloud Computing der Fall – „ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“ Das BDSG schreibt daher eine sorgfältige Anbieterauswahl vor, bei der namentlich zu berücksichtigen ist, ob die technischen und organisatorischen Maßnahmen dazu ausreichen. „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“

Vorsicht ist besonders dann geboten, wenn sich herausstellt, dass sich die Cloud-Rechenzentren in Nicht-EU-Ländern befinden, die ein unangemessenes Schutzniveau bieten (was im Übrigen gegen die EU-Richtlinie 95/46/EG verstößt). In einem solchen Fall müsste man als Cloud-Kunde selbst Maßnahmen ergreifen, um das unzureichende Schutzniveau im Drittland auszugleichen. Aus diesem Grund gibt es z.B. das – heftig umstrittene – Safe-Harbor-Abkommen zwischen den USA und Europa. Mit diesem versichern US-amerikanische Unternehmen öffentlich, dass sie die Bedingungen des U.S.-EU Safe Harbor Frameworks einhalten. Ob das Abkommen hält, was es verspricht, darf man allerdings bezweifeln. Selbst Andrus Ansip, designierter EU-Kommissar für den digitalen Binnenmarkt, will es auf den Prüfstand stellen.

Update: Cloud Computing nach Safe Harbor – Der Europäische Gerichtshofs hat mit Urteil vom 6. Oktober 2015 die bisherige Safe-Harbor-Praxis gekippt: Persönliche Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt. Ein Sonderbeitrag erklärt, welche Folgen das für deutsche Unternehmen hat und was vorerst zu tun ist.

Anders gesagt: Clouds mit Standort in Deutschland bzw. im EU-Ausland sind genau deshalb besonders sicher. Und warum sollte der Mittelstand nicht auch einmal vom Regulierungseifer des Gesetzgebers profitieren?

Einbindung und Anbindung

Die wichtigste technische Voraussetzung sind funktionierende Schnittstellen zwischen Firmen- und Cloud-IT. Im Idealfall bildet die Cloud die Prozesse im Unternehmen genau so nach, wie sie sich bewährt haben. Wichtig ist hier, dass der Anbieter bei Bedarf flexibel reagiert, und dass er versteht, wie mittelständische Unternehmen ticken und was sie brauchen.

Zudem benötigen Anwenderunternehmen je nach Cloud-Modell und Service eine mehr oder weniger starke Internet-Anbindung. Ebenso wichtig ist die Anbindung des Rechenzentrums ans Internet. Sonst kann es zu Stoßzeiten wie im Weihnachtsgeschäft schnell zu Engpässen kommen, wenn auch die anderen Kunden in der Cloud hohe Zugriffszahlen verzeichnen. Das kommt tatsächlich öfter vor, als man vermuten möchte. Solche Punkte sind Gegenstand der sogenannten SLAs (Service Level Agreements).

Fazit: Wortlaut des Kleingedruckten

Ein Service Level Agreement hält u.a. fest, welche Leistungen der Anbieter erbringen und mit welchen Einschränkungen der Nutzer gegebenenfalls leben muss. Der Teufel steckt wie immer auch hier im Detail. Hier sollte z.B. genau definiert sein, welche Vertragslaufzeiten gelten, was sich tatsächlich hinter den versprochenen Services verbirgt und was im Streitfall sowie bei Vertragsende passiert.

Comarch Cloud Akademie.jpg
Die Comarch Cloud Akademie hält kostenfrei nützliche Informationen und Lehrmaterial zu den einzelnen Cloud Services parat: Videos ebenso wie Text-Tutorials und eine Reihe von Online-Kursen. (Bild: Comarch)

Wie gesagt: Je genauer Entscheider wissen, worauf es bei Cloud-Diensten ankommt, desto einfacher fällt die SLA-Vereinbarung. Der BITKOM-Leitfaden „Cloud Computing – Evolution in der Technik, Revolution im Business“ gibt Unternehmen eine Checkliste an die Hand, mit der sie den Anbieter prüfen können. Das BSI-Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“ richtet sich zwar primär an Betreiber, kann aber auch Nutzern wertvolle Hinweise liefern. Eine Fülle praktischer Beiträge zum Thema Cloud Computing gibt es bei der Comarch Cloud Akademie.

Nützliche Links