Cloud Computing hat sich von einer Hype-Technologie zu einem zuverlässigen Werkzeug für Unternehmen gewandelt. Das gilt insbesondere für private und hybride Cloud-Infrastrukturen. Hier hat es bei der Verarbeitung sensibler Informationen in letzter Zeit deutliche Fortschritte gegeben.
Die Gesetzgebung und Regulierung wurden angepasst, die Anbieter zogen mit entsprechenden Dienstleistungen nach. Damit lassen sich auch geschäftskritische und extrem sensible Daten sicher in einer Private- oder Hybrid-Cloud-Umgebung verarbeiten. Das ist gut so, denn Cloud-basierte Infrastrukturen bieten Unternehmen neue Möglichkeiten. Dazu gehört das flexible Reagieren auf konkrete Aufgabenstellungen.
„Ich denke, bei den Themen Compliance und Adaption von Cloud-basierten Technologien spielt die Unternehmensgröße eine wichtige Rolle. Konzerne wie auch der gehobene Mittelstand können beide Themen meistern, weil sie heute bereits die richtigen Partner aus der Informations- und Kommunikationstechnik (ITK) an ihrer Seite haben“, sagt Thomas Barsch, Gründer der Pionierfabrik GmbH. „Bei den kleineren und mittleren Unternehmen sieht es da schon anders aus. Viele Dienstleister sind noch im Tiefschlaf, sie schieben die Themen vor sich her. Und ihre Kunden verhalten sich ebenso.“
Unternehmen müssen ihre Hausaufgaben machen
Karsten Leclerque, Principal Consultant Outsourcing & Cloud bei Pierre Audoin Consultants (PAC), sieht es praktisch: „Bevor Unternehmen in die Cloud gehen, müssen sie ihre Hausaufgaben machen und ihre eigenen Compliance-Vorgaben definieren. Zentral ist dabei die Kategorisierung der Daten nach ihrer Relevanz für das Unternehmen.“
„Aufgrund der zunehmenden Bedeutung von Cloud Computing in Europa müssen auch CIOs allmählich Änderungen in ihren IT-Abteilungen durchsetzen. Nur so können sie den veränderten Anforderungen an die Expertise der IT-Mitarbeiter gerecht werden,“ sagt Chris Ingle, Associate Vice President Research and Consulting, SIS Group.“
Die jeweiligen Fachabteilungen in Firmen sollten dabei nicht allein gelassen werden. „Fachabteilungen verfügen selten über die notwendige IT-Expertise und können die jeweiligen Angebote nur schwer bewerten“, so Frank Beckereit, Geschäftsbereichsleiter bei Data Center Solutions. „Die Bandbreite an Cloud-Diensten wächst jeden Tag. Die Auswahl des richtigen Anbieters erfordert profunde Kenntnisse rund um Leistungsbeschreibungen, rechtliche Aspekte und Compliance sowie Integration und Sicherheit. Viele Fachabteilungen sind sich dieser Problemstellungen nicht vollumfänglich bewusst und buchen oft externe Dienste direkt, quasi an der IT vorbei.“
Dabei bedeutet Cloud keinesfalls automatisch Unsicherheit, so Khaled Chaar, Geschäftsführer von Pironet: „Bei der Debatte um die Sicherheit von Daten in der Cloud sollte auch berücksichtigt werden, dass Cloud-Rechenzentren in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen verfügen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrumsstrukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwendig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen."
Cloud-Compliance ist machbar
„‘Cloud-Compliance’ bezeichnet die nachweisbare Einhaltung von Regeln, die für die Nutzung von Cloud-Computing gelten, seien es gesetzliche oder auch unternehmensindividuelle”, erklärt Heiko Schmidt, Managing Consultant bei PA Consulting. „Cloud-Compliance hat Transparenz und Sicherheit für alle Anspruchsgruppen zum Ziel.”
„Compliance-Regeln sind für die Cloud nicht schwieriger umzusetzen als für herkömmliche Betriebsmodelle mit externen Partnern“, ist sich Stefan Lenz, Vice President IT Infrastructure bei der Adidas Group, sicher. „In der Praxis ist der Umstieg von einer durch externe Partner vor Ort erbrachten Dienstleistung auf eine Cloud-Alternative selten ein Problem. In beiden Fällen ist eine vertragliche Regelung zur ‚Datenverarbeitung im Auftrag‘ notwendig. Problematisch ist manchmal lediglich, dass große Cloud Hoster ihre eigenen Musterklauseln nutzen und nicht auf Besonderheiten des Kunden eingehen.“
Arno van Züren, Compliance Experte bei Trend Micro, ergänzt: „Firmen sollten in monatlichen Abständen Sicherheitsberichte anfordern. Nur so lässt sich das Sicherheitsniveau und der Reifegrad des Cloud-Services bestimmen.“
Die Cloud geht nicht mehr weg
„Entmystifiziert man den Begriff ‚Cloud-Computing‘ auf den wesentlichen Bestandteil des sicheren Betriebes von Server-Plattformen, liegt der regulative Einfluss auf der Hand. Wie professionell ein Cloud-Anbieter arbeitet, lässt sich klar feststellen“, erläutert Dr. Ralf Cordes, Partner der NextDBI in Nürtingen und Geschäftsführer der Gesellschaft für IT-Management in Dresden. „Wichtige Informationen liefern die Qualitätsklassen Tier1 bis Tier4 für Rechenzentren, die IT-Sicherheitsanforderungen der ISO 27001 sowie die Datenschutzanforderungen entsprechender Gesetze.“ Dieser regulative Einfluss auf Cloud-Anbieter entbinde den Anwender in starkem Maße, so Cordes. Er müsse sich nicht mehr selbst um diese drei Faktoren des IT-Betriebs kümmern und könne sich stattdessen auf den zu adaptierenden Betrieb der eigenen Anwendungen in der Cloud konzentrieren.
Als Voraussetzung für die erfolgreiche Einführung von Cloud Services im Unternehmen betrachtet Ewald Glöckl, eine „sorgfältige Beschreibung aller relevanten, vereinbarten Leistungen in den Vertragsgrundlagen mit dem Dienstleister.” Sobald kritische Geschäftsprozesse von Cloud Computing unterstützt werden, führt das zu einer Anbieterabhängigkeit. Dessen sollten sich Unternehmen bewusst sein.
Dabei geht es weniger um Entweder-oder-Lösungen: „In der Praxis haben wir es meist mit hybriden Modellen und unterschiedlich verteilten Arbeitsaufgaben zu tun. Grundsätzlich gilt: Je wichtiger die Daten, desto stärker müssen die Schutzmaßnahmen sein", erläutert Karsten Leclerque. „Unternehmen sollten daher in den SLAs festlegen, dass die Daten Deutschland nicht verlassen dürfen. So verhindern sie, dass Informationen in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden.“ Das kann durchaus eine Herausforderung sein. „Hier herrscht im Moment eine rechtlich unklare Situation. Daher sollten Unternehmen betroffene Daten identifizieren und sich grundsätzlich überlegen, ob sie einem Cloud Provider mit Sitz in den USA trauen.“