Cloud-Angebote reichen von E-Mail-Services bis hin zum kompletten ERP-System. Möchte ein Unternehmen diese nutzen, sollte es sich zuvor unbedingt mit Fragen zur Vertragsgestaltung, Rechenzentrumssicherheit und zum Anbieterwechsel auseinandersetzen. [...]
Gerade bei Public Clouds liegen die Hauptbefürchtungen immer noch bei der Sicherheit, wie eine aktuelle IDC-Studie belegt. Vor dem Hintergrund aktueller Datenskandale scheinen diese Bedenken nicht ganz unbegründet. Amerikanische Cloud-Provider wie Salesforce, Rackspace, Google und Amazon müssen die auf ihren Servern gespeicherten Informationen auf Anfrage im Namen der Terrorbekämpfung und Spionageabwehr jederzeit an US-Geheimdienste abtreten. Im Mai 2011 verlängerte der Kongress in Washington das umstrittene Spionagegesetz Patriot Act sogar noch um weitere vier Jahre.
Vermehrt legen Unternehmen daher nun Wert darauf, ihre sensiblen Daten in europäische externe Rechenzentren zu verlagern, sodass sie keinesfalls auf US-Servern gespeichert sind. Hierbei ist auch die Rechenzentrumsgröße ausschlaggebend. »Kleine Rechenzentren sind generell seltener von Skandalen betroffen, da sie nicht so stark im Visier der Hacker stehen. Viele davon können zudem mit vergleichbar guter Infrastruktur und Disaster Recovery aufwarten. Insbesondere große, internationale Kunden fühlen sich daher bei spezialisierten Mittelständlern oft besser aufgehoben als bei den ganz großen Anbietern«, erklärt Bernd Seeburger, CEO der Seeburger AG, die selbst ein ISO-zertifiziertes Rechenzentrum betreibt.
CLOUD IN EUROPA SICHERER?
Stefan Riedl von IT-Business weist außerdem darauf hin, dass Änderungen beim Cloud-Anbieter selbst mit Risiken einhergehen können. Schaltet ein Cloud-Provider Subunternehmen ein, wissen Unternehmen oft nicht einmal mehr in welchen Ländern ihre Daten gespeichert sind. Sobald sich eine Cloud über verschiedene Länder erstreckt, entstehen überdies im Schadensfall juristische Probleme. Zum Schutz der europäischen Daten in den USA gibt es daher das Safe-Harbor-Abkommen. Der VÖSI (Verband Österreichischer Software Industrie) rät Unternehmen grundsätzlich noch vor Vertragsabschluss zu klären, wo die Daten gelagert werden und ob der Cloud-Anbieter Subunternehmer einschalten darf. Denn diese können sich in Drittländern mit niedrigem Datenschutzniveau befinden.
Trotz aller Bedenken ist der Sicherheitsstandard externer Rechenzentren meist höher als der von In-House-Systemen. Unternehmen sollten sichergehen, dass eine robuste Trennung der Kunden auf allen Ebenen des Cloud-Computing-Stacks (Anwendung, Server, Netze, Storage, etc.) gewährleistet ist. Dies ist wichtig, um Vertraulichkeit, Integrität und Verfügbarkeit der dort gespeicherten Informationen nicht zu gefährden. Selbes gilt ebenfalls für die Art der Inhalte. Ungleiche Inhalte sollten niemals auf gleiche Weise behandelt werden. Auch die Sicherheit der Anlagen aus technischer Sicht – Videoüberwachung, redundante Auslegung der Versorgungskanäle, Brandschutz, Zutritt über Zwei-Faktor-Authentisierung – muss erfüllt sein. Da viele Cloud-Provider über keine eigene Infrastruktur verfügen, müssen Unternehmen sicherstellen, dass der eigentliche Rechenzentrumsbetreiber diese Sicherheitsanforderungen erfüllt.
»Cloud Computing erfordert immer großes Vertrauen, das man dem Anbieter entgegenbringen muss«, sagt Christian Lanzerath. In seinem Buch »Cloud Computing und Microsoft Online Services« warnt er auch vor dem Lock-In-Effekt. Die Bindung an den Cloud-Service-Anbieter kann sehr stark sein. Für Anwender ist immer eine Dual-Vendor-Strategie ratsam, allein schon für den Fall, dass einem ein Cloud-Anbieter abhanden kommt oder eine Zeit lang down ist. Oft sind Verträge mit langen Mindestlaufzeiten verbunden und ein Wechsel zu einem anderen Anbieter kann auf Grund technischer Inkompatibilitäten sehr aufwendig werden. Schnittstellen sind äußerst herstellerspezifisch und verhindern den reibungslosen Datentransfer aus einer Cloud in die andere. Außerdem befürchten Cloud-Nutzer, dass sie nach Vertragsende zusätzlich zur Kasse gebeten werden und trotz Kündigung vorerst weiter an die Cloud gebunden sind.
Wie können Cloud-Nutzer diesen Problemen entgehen? »Für Unternehmen ist es wichtig, frühzeitig festzulegen, wie eine effiziente Migration der geschäftskritischen Daten zwischen den verschiedenen Systemen bzw. Anbietern stattfindet«, sagt Cloud-Experte Bernd Seeburger. »Ein regelmäßiger Download sowie die Zuordnung der Cloud-Daten zur Anwender-Datenstruktur (Mapping), sollten jederzeit möglich sein. Dieses Prinzip greift auch, wenn Daten in die eigene Cloud oder in eine neue Cloud übertragen werden.«
KONVERTIERUNG VON DATEN
Da es für Cloud-Nutzer generell nicht so einfach ist, selbst Daten herunterzuladen, sollte der Anbieter dies schon während der Laufzeit der Cloud tun. Hierbei liegt die Schwierigkeit darin, Daten in das vom Kunden gewünschte Datenformat zu konvertieren. »Treten Schwierigkeiten auf, muss sich das Unternehmen an einen Konvertierungsexperten wenden«, rät Seeburger. »Diese können für jede Art von Cloud-Lösung eines Fremdanbieters eine Exit-Strategie anbieten, wenn ihnen die Schnittstellendefinitionen des Cloud-Providers vorliegen.« Je spezialisierter der Anbieter daher darauf ist, Daten zu konvertieren, umso besser für das Unternehmen. So muss es keine Ängste vor Datenverlust oder Datenbeschädigung haben.
Bei Vertragsabschluss müssen Unternehmen das Thema Anbieterwechsel ansprechen. Die IT-Sicherheitshandbücher der Bundessparte Information und Consulting der WKO empfehlen, beim Exit-Management und Exit-Support zu klären, wer für welche Schritte und Maßnahmen in welchem Zeitfenster und zu welchem Preis verantwortlich ist. Die Modalitäten, wenn die Daten nach Vertragsende übergeben werden, müssen genau festgelegt sein. Da die Vertragsregelungen bisher nicht standardisiert sind, sollten Cloud-Kunden genau auf Datenschutz und Compliance-Richtlinien achten. Für viele Unternehmen ist Flexibilität ein Hauptargument für Cloud-Lösungen. So selbstverständlich dies dem Kunden scheint, so wichtig ist es, dass das auch im Vertrag steht.
* Julia Staudacher arbeitet als Fachjournalistin in Deutschland.
Be the first to comment