IT-Security und Datenschutz

9 Anforderungen an einen Cloud-Vertrag

25.11.2014 von Lynn-Kristin  Thorenz  
Ein Cloud-Service sollte für Anwender einen höheres Maß an Sicherheit und Ausfallsicherheit bieten als vorher, rät IDC. Deswegen gehören einige Basisanforderungen in jede Vertragsverhandlung.
Nach wie vor sind Sicherheits- und Datenschutzbedenken der mit Abstand wichtigste Grund, weshalb sich Unternehmen hierzulande gegen die Nutzung von Cloud-Services entscheiden.
Foto: maxkabakov, Fotolia.com

Mit der steigenden Zahl von Cloud-Nutzern in Deutschland rückt das Thema Security in den Hintergrund, könnte man meinen. Aber genau das Gegenteil ist der Fall. Und das ist auch richtig. Denn bei der Nutzung jeglicher Art von Informationstechnologie müssen sich Anwender im Klaren sein, welchen Level an Sicherheit die jeweilige Lösung und das Nutzungsmodell mit sich bringen. Jede Form von externer Leistungserbringung hat ihre Eigenheiten. Auch in Sicherheitsfragen.

Wenn Unternehmen ihre Anwendungen in die Cloud verlagern, ist das eine komplett andere Ausgangssituation, als wenn Unternehmen wie bisher auf traditionellem Wege ihre Anwendungen an einen externen IT-Service-Anbieter auslagern, da der CIO dabei in der Regel die Kontrolle über die Unternehmensdaten weiterhin behält. Bei Anwendungen, die als Cloud-Service geliefert werden, müssen Anbieter eine Reihe von technischen und prozesstechnischen Restriktionen für ihre Applikationen durchführen. Dies ist im konventionellen Outsourcing so nicht der Fall.

Ergebnisse aus IDC-Anwenderbefragung

Cloud-Services etablieren sich in deutschen Unternehmen immer stärker und gemischte IT-Landschaften entstehen. Nach Angaben der IT-Entscheider in einer aktuellen IDC-Anwenderbefragung nutzt oder implementiert fast die Hälfte (45 Prozent) der deutschen Unternehmen inzwischen Cloud-Services, weitere 36 Prozent befinden sich in der Planungsphase oder beschäftigen sich mit der Thematik.

Dabei sind Private Cloud-Umgebungen mit 66 Prozent aktuell noch die mit Abstand bevorzugte Cloud-Variante, 35 Prozent nutzen eine Hosted Private Cloud oder beziehen Lösungen aus der Public Cloud (24 Prozent). Dies führt in den Unternehmen zu heterogenen IT-Umgebungen aus unterschiedlichen Sourcing-Modellen.

Nach wie vor sind allerdings Sicherheits- (65 Prozent) und Datenschutzbedenken (41 Prozent) der mit Abstand wichtigste Grund, weshalb sich Unternehmen hierzulande gegen die Nutzung von Cloud-Services entscheiden.

9 Basisanforderungen an einen Cloud-Vertrag

Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen:

1. Zugangsrechte:Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern.

2. Gesetzliche Compliance:Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter.

Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz.

3. Anwendungszertifikate:Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen.

4. Datenursprung:Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen.

5. Datentrennung:Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen.

6. Datenwiederherstellung (Recovery):Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln.

7. Transfer der Applikationen:Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig.

8. Business Continuity:Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen.

9. Monitoring und Reporting:Dieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.

IDC-Studie "Hybrid Cloud in Deutschland 2014" -
IDC-Analyse über Cloud Computing
Für die Studie „Hybrid Cloud in Deutschland 2014“ hat der Marktforscher IDC IT-Chefs aus rund 200 Unternehmen befragt.
Kostensenken wird wichtiger
Als eine der wichtigsten Anforderungen an die IT gilt das Senken von Kosten. 48 Prozent der Befragten nennen diesen Punkt, in der Vorjahresstudie waren es mit 38 Prozent deutlich weniger. IDC spricht denn auch vom „zunehmenden Druck auf die IT-Budgets“.
Status Quo der Cloud-Nutzung
Nach den Zahlen der Studie nutzt gut jedes vierte Unternehmen (27 Prozent) Cloud Services, weitere 18 Prozent führen sie im Moment ein. 19 Prozent schließen die Cloud-Nutzung aus oder haben sich mit dem Thema noch nicht beschäftigt.
Externe Herausforderungen
Größte externe Herausforderungen beim Management einer hybriden Cloud sind Fragen der Sicherheit (65 Prozent) und Compliance (41 Prozent).
Interne Herausforderungen
Als größte interne Herausforderungen betrachten die IT-Chefs das Anpassen der Geschäftsprozesse (36 Prozent) und die steigende Komplexität der IT-Umgebungen (35 Prozent) sowie die aufwändige Integration der hauseigenen IT-Umgebung an die Cloud-Services (32 Prozent).
Software-Defined Datacenter
Als Brücke zwischen interner (physischer und virtualisierter) IT-Umgebung und externen Hosted oder Public Cloud Services sieht IDC ein Software-definiertes Datencenter (SDDC). Darin bündeln und automatisieren gekoppelte Software-Komponenten das Rechenzentrums-Provisioning.

CIO verantwortet IT-Sicherheit

Die Auswahl der passenden Cloud-Delivery-Modelle ist aktuell vor allem von der selbst gezogenen "Sicherheitslinie" der Unternehmen abhängig. Zudem hängen die Sicherheitsbedenken auch stark vom Erfahrungs- und Informationsstand des Unternehmens ab.

Letztlich wird aber der CIO auch weiterhin die Verantwortung für die IT-Sicherheit in den Unternehmen tragen und zwar unabhängig davon, wie und welche Art von Cloud-Services genutzt werden.

Daher rät IDC CIOs und IT-Leitern vor allem eine führende Rolle bei den Vertragshandlungen zur Einführung von Cloud-Services einzunehmen und gegebenenfalls auch auf neutrale externe Beratung zurückzugreifen.