Aus sicherheitstechnischer Sicht spricht wenig gegen die Hyperscaler. AWS, Microsoft oder Google schützen ihre Serverfarmen und die Kundendaten mit vergleichbarem Aufwand wie viele der europäischen und deutschen Cloud-Anbieter. Es gibt Security-Dashboards sowie an den Meldepflichten (BSI, EZB) und marktüblichen Rahmenwerken (beispielsweise ISO 27000 / ISMS) orientierte Auswertungen für Kunden. Da die Anbieter in diesen Rechenzentren auch eigene Daten verarbeiten, können sie sich allein aus Eigenschutz keine Ausfälle erlauben.

Den eigentlichen Unterschied machen der Datenschutz und branchenspezifische Vorgaben. Zudem befürchtet die Politik, dass es bei den Public Cloud-Anbietern ähnlich wie bei den marktdominierenden Internetfirmen Google, Amazon, Facebook und Apple eine Abhängigkeit auf dem Public-Cloud-Markt geben wird. Wären insbesondere geschäftskritische Daten und IT-Systeme komplett in der Hand der Hyperscaler, würde dies ein Risiko für die Wirtschaft in Europa bedeuten, da immer mehr Geschäftsstrategien auf Daten basieren.

Exit-Strategie als Teil des Cloud-Managements

Sollen Daten nach Übersee verlagert werden, gibt es bereits heute einige kritische Faktoren zu beachten. Wichtige Aspekte sind beispielsweise die Datenkontrolle, die Garantie einer physischen Datenlokation sowie das Risiko eines möglichen Datenabflusses. Aber was passiert, wenn Europa die Marktmacht von Cloud-Hyperscalern aus den USA oder zunehmend auch aus Asien eingrenzen möchte, seine Regularien und Compliance-Vorgaben strikter auslegt und die Speicherung besonders schützenswerter Daten in Übersee einschränkt?

Für diesen Fall brauchen Unternehmen eine Exit-Strategie, um ihre Daten unkompliziert und vollständig wieder zurückholen zu können. Ein Weg dorthin ist der Aufbau einer (Multi-) Cloud-Management-Architektur, die es erlaubt, virtuelle Maschinen und auf ihnen gespeicherte Daten auf Knopfdruck von einem Cloud-Anbieter zum nächsten zu transferieren. Es darf kein umfangreiches, langwieriges Migrationsprojekt daraus entstehen. In diesem Zusammenhang verlangt der Datenschutz auch, diese Daten in Übersee hinreichend zu löschen, was ebenfalls durch die Exit-Strategie garantiert werden muss.

So lange sich die genutzten Cloud-Dienste auf IaaS-Lösungen beschränken, gestaltet sich eine Exit-Strategie aus der Public Cloud noch weitgehend einfach. Durch den hohen Standardisierungsgrad auf dieser Serviceebene muss nur wenig angepasst werden. Daten lassen sich in der Regel einfach migrieren und nahtlos weiterverarbeiten.

Schwieriger wird es bei SaaS- und Plattform-as-a-Service (PaaS)-Produkten. Darunter fallen beispielsweise CRM- oder ERP-Dienste. Eine Exit-Strategie fällt für diese Systeme in der Regel ungleich komplexer aus. Migrationsprojekte von ERP-Systemen zählen zu den komplexesten IT-Projekten überhaupt.

Cloud Computing in regulierten Branchen

Insbesondere für Banken als kritische Infrastrukturen (KRITIS) bringt Cloud Computing Verpflichtungen mit sich, sobald Cloud-Provider banktypische Dienstleistungen übernehmen. Institutionen wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben daher Regeln erstellt, um den Rahmen für Cloud Computing in der Branche zu präzisieren.