Sicherheitssnetz für die Wolke

Compliance-Tipps für Cloud Computing

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Ohne sorgfältige Abwägung und juristische Beratung sollten keine Daten in der Wolke gespeichert werden. Denn Cloud Computing hat seine Tücken – von der Auswahl des geeigneten Providers bis zu den vertraglichen Details.

Cloud Computing kann Kosten senken – das ist mittlerweile bekannt. Wie sich „in der Wolke“ Compliance-Anforderungen erfüllen lassen, ist aber weithin unklar. Viele IT-Entscheider zerbrechen sich darüber den Kopf.

Diese Sorgen sind – leider – durchaus berechtigt. Letztlich handelt es sich beim Cloud-Computing um eine Form des Auslagerns, was stets mit juristischen Tücken verbunden ist. Rechtsexperten halten die Anforderungen zur Einhaltung von Compliance-Vorgaben beim Cloud ComputingCloud Computing für höher als bei Outsourcing, Offshoring oder Managed Services. Der Grund: Eine direkte Steuerung des Providers ist nicht möglich. Folgende Punkte sind deshalb zu beachten: Alles zu Cloud Computing auf CIO.de

Grundsätzlich sollte man über die Anbieter wissen, dass Wolke nicht gleich Wolke ist. Es gibt verschiedene Service- und Einsatz-Modelle, von denen die Kontrollmöglichkeiten für Kunden abhängen. Gibt ein Unternehmen seine Infrastruktur an einen Cloud-Computing-Provider, ist der Grad an Einflussmöglichkeiten gering. Besser sieht es aus, wenn nur einzelne Anwendungen in der Wolke gespeichert werden. Zudem gibt es unbewohnte und bevölkerte Wolken: solche, die exklusiv vom Kunden in Anspruch genommen werden, und solche, die von vielen Firmen zugleich genutzt werden. Über die Bedingungen in einer „private cloud“ lässt sich besser verhandeln als über jene in einer „public cloud“. Je weniger Mitbewohner, desto einfacher funktioniert also die ComplianceCompliance. Ein Beispiel: In „public clouds“ kann schon das Durchsetzen von Verwundbarkeits-Scans eine zähe Angelegenheit sein, weil die üblichen Verträgen den Kunden hier einschränken. Alles zu Compliance auf CIO.de

Bei Adressen auf den Cayman Islands werden Außenstehende hellhörig. Deshalb will ein auf Seriosität bedachtes Unternehmen mit solchen Anschrift gar nicht erst in Verbindung gebracht werdenn. Solche regionalen Erwägungen gilt es auch zu berücksichtigen, wenn Daten in der Wolke gespeichert werden sollen. Es kommt in hohem Maße darauf an, wo dies geschieht. Dabei sind auch klare gesetzliche Vorgaben zu befolgen.