Cloud Computing kann Kosten senken – das ist mittlerweile bekannt. Wie sich „in der Wolke“ Compliance-Anforderungen erfüllen lassen, ist aber weithin unklar. Viele IT-Entscheider zerbrechen sich darüber den Kopf.
Diese Sorgen sind – leider – durchaus berechtigt. Letztlich handelt es sich beim Cloud-Computing um eine Form des Auslagerns, was stets mit juristischen Tücken verbunden ist. Rechtsexperten halten die Anforderungen zur Einhaltung von Compliance-Vorgaben beim Cloud Computing für höher als bei Outsourcing, Offshoring oder Managed Services. Der Grund: Eine direkte Steuerung des Providers ist nicht möglich. Folgende Punkte sind deshalb zu beachten:
Grundsätzlich sollte man über die Anbieter wissen, dass Wolke nicht gleich Wolke ist. Es gibt verschiedene Service- und Einsatz-Modelle, von denen die Kontrollmöglichkeiten für Kunden abhängen. Gibt ein Unternehmen seine Infrastruktur an einen Cloud-Computing-Provider, ist der Grad an Einflussmöglichkeiten gering. Besser sieht es aus, wenn nur einzelne Anwendungen in der Wolke gespeichert werden. Zudem gibt es unbewohnte und bevölkerte Wolken: solche, die exklusiv vom Kunden in Anspruch genommen werden, und solche, die von vielen Firmen zugleich genutzt werden. Über die Bedingungen in einer „private cloud“ lässt sich besser verhandeln als über jene in einer „public cloud“. Je weniger Mitbewohner, desto einfacher funktioniert also die Compliance. Ein Beispiel: In „public clouds“ kann schon das Durchsetzen von Verwundbarkeits-Scans eine zähe Angelegenheit sein, weil die üblichen Verträgen den Kunden hier einschränken.
Bei Adressen auf den Cayman Islands werden Außenstehende hellhörig. Deshalb will ein auf Seriosität bedachtes Unternehmen mit solchen Anschrift gar nicht erst in Verbindung gebracht werdenn. Solche regionalen Erwägungen gilt es auch zu berücksichtigen, wenn Daten in der Wolke gespeichert werden sollen. Es kommt in hohem Maße darauf an, wo dies geschieht. Dabei sind auch klare gesetzliche Vorgaben zu befolgen.
Stellen Sie also in jedem Fall sicher, dass Ihr Provider Ihnen mitteilt, wo Ihre Daten physisch gelagert werden. Am einfachsten ist es, wenn dies in Deutschland oder innerhalb der EU der Fall ist. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten. Außerdem lässt das deutsche Datenschutzrecht die Verarbeitung von Personendaten außerhalb der EU nicht zu. Zu gewährleisten ist außerdem, dass das Finanzamt jederzeit Zugriff auf relevante Daten hat – also auch das Steuerrecht im Blick behalten!
Schutzmechanismen einbauen!
Überhaupt sollte genau überlegt werden, welche Anwendungen aus wirtschaftlichen und technischen Gründen für eine Auslagerung in Frage kommen sowie welche Daten und Informationen als kritisch einzuordnen sind. Möglicherweise eignen sich bestimmte Daten aus rechtlichen Gründen schlichtweg nicht fürs Cloud Computing, auch wenn es finanziell attraktiv erscheint. Vorsicht ist beispielsweise geboten bei Gesundheitsdaten, Steuerdaten und im Umfeld von staatlichen Organisationen.
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) empfiehlt, dem Service-Provider die Anforderungen an Datenschutz und Vertraulichkeit zu übermitteln. Sie sollten vertraglich fixiert und kontinuierlich überprüft werden.
Insgesamt bedürfen Cloud-Computing-Verträge einer besonderen Aufmerksamkeit. Ein erstes Augenmerk gilt einer umfassenden Leistungsbeschreibung mit klaren Vereinbarungen über Zugangszeiten und Datenmengen. Achten Sie auf eindeutige Service Levels und auf ausreichenden Datenschutz, informieren Sie sich bei einer Zusammenarbeit mit einem Provider aus dem Ausland über gesetzliche Regelungen und zuständigen Gerichtsstand. Bauen Sie Schutzmechanismen für Notfälle ein. Regeln Sie, ob und wann Daten an Drittprovider weitergegeben werden dürfen.
Rechtsberatung ist in jedem Fall ratsam, denn die Verluste durch Systemausfälle, Lieferverzögerungen, Klagen aufgrund von Rechtsverletzungen und Imageschäden wegen solcher Vorfälle können hoch ausfallen. Naturgemäß fällt Großunternehmen mit eigener Rechtsabteilung das Verhandeln mit den Providern leichter. Mittelständler sollten an dieser Stelle aber nicht blauäugig agieren. Eine Hilfe können vertragliche Standards für verbreitete Anwendungen sein, die von Providern zum Teil angeboten werden. Aus Kostengründen dürfte Cloud Computing auch für den Mittelstand über kurz oder lang eine Option sein. Davor also keine unnötige Scheu, aber erst nach sorgfältiger Abwägung in die Wolke entschweben.
Wissen ist Macht, Flexibilität im Wettbewerb stets von Vorteil, Kontrolle besser als Vertrauen. Beherzigen Sie das, dann sind Compliance und Cloud Computing leichter zusammenzubringen. Konkret heißt das laut Empfehlung der Cloud Security Alliance: Informieren Sie sich, so gut es geht – über branchenspezifische Gesetzeslagen, über adäquaten Schutz für Ihre verschiedenen Kategorien von Daten. Dokumentieren Sie ihre Compliance mit Hilfe von Audit Logs, Aktivitätsberichten, Kopien von Systemkonfigurationen und Change Management Reports. Ändern Sie Ihre eingespielte Unternehmenspolitik bezüglich Aktivitätsreporting, Loggings, Datenarchivierung und Incident Response, falls erforderlich. Sichern Sie sich das Recht auf Auditing des Providers. Nach einer Weile können eventuell Zertifizierungen die Audits zum Teil ersetzen.
Provider-Pleite einkalkulieren
Klären Sie außerdem folgende Fragen: Verfügt der Provider über die nötigen Strategien und Prozesse zur Datenkontrolle? Gibt es angemessene Lösungen für Disaster Recovery und Business Continuity? Was passiert, wenn der Provider Bankrott geht? Wie würde im Fall des Falles ein Anbieterwechsel ablaufen?