Cloud-Dienste – Pro und Contra

Augen auf bei der Standortwahl

Unternehmen, die ihre IT-Infrastruktur auslagern wollen, sollten einige Dinge beachten. Etwa, wenn ein Cloud-Anbieter seine Rechenzentren außerhalb der EU betreibt. Das kann zwar kostengünstiger, aber dafür viel schwieriger sein, Einfluss auf den Umgang mit den gespeicherten Daten zu haben. Werden die Daten innerhalb der EU gespeichert, gilt im Wesentlichen durch die Datenschutz-Grundverordnung ein gleiches Datenschutzniveau. Die Nutzung europäischer Services erleichtert es zudem vertragsrechtlich gegen den Cloudanbieter vorzugehen, wenn Vertragsbedingungen nicht eingehalten werden.

Auftragsdatenverarbeitung

„Ich empfehle Unternehmen, neben der meist ohnehin verpflichtenden Auftragsdatenverarbeitung auch Service Level Agreements (SLA) abzuschließen, wo alle wichtigen Details geregelt sind. Dass man zum Beispiel auch Garantien vom Anbieter hat, in welchen Zeiten er bei Problemen reagieren muss“, betont Ehringfeld. Die meisten bekannten Dienstleister bieten inzwischen vorgefertigte Auftragsdatenverarbeitungen und standardisierte SLAs an. Unternehmen sollten Wert darauflegen, dass die Kommunikation verschlüsselt stattfindet und ihre Daten verschlüsselt abgelegt werden. „Das sollte eigentlich Standard heutzutage sein“, so Ehringfeld. Ebenso sollten Rollen- und Rechte-Konzepte enthalten sein, damit nicht Unbefugte auf die Daten zugreifen können. Wichtig ist auch, dass regelmäßige Backups gemacht werden – am besten an verschiedenen Standorten, falls im schlimmsten Fall zum Beispiel einmal ein Rechenzentrum zerstört wird (Geo-Redundanz). Bei der Auftragsdatenverarbeitung gibt es sehr vielfältige Ausgestaltungen. Idealerweise lässt man sie vorher von einem Juristen prüfen.

Umfassend informieren und Mitarbeiter schulen

Unternehmen sollten sich in jedem Fall viel Zeit zu nehmen, um ordentliche Entscheidungen zu treffen. „Man muss sich bewusst machen, dass es nicht nur einfach damit getan ist, Daten in eine Cloud zu packen. Man vertraut jemand anderem seine empfindlichsten Daten an, die eben auch geklaut werden können. Christian Ehringfeld betont: „Wir würden ja auch nicht jeder beliebigen Person den eigenen Haustürschlüssel anvertrauen, sondern erst einmal abklären, ob sie überhaupt vertrauenswürdig ist.“ Schließlich sind hinsichtlich Datensicherung und Datenschutz auch Mitarbeiterschulungen ratsam, bei denen die Verhaltensweisen im Internet wie beispielsweise der Umgang mit schadhaften E-Mail-Anhängen erläutert werden. „Es gibt Statistiken, die besagen, dass ein sehr großer Teil des Datenverlustes auf mangelnde Sensibilisierung der Mitarbeiter oder auf Innentäter zurückzuführen ist“, erläutert Ehringfeld. Bei besonders sensiblen Daten sollten daher immer nur zwei Mitarbeiter gleichzeitig Zugriff auf die Daten in der Cloud erhalten, um die Korruptionsanfälligkeit zu senken.

Wie finde ich einen geeigneten Cloud-Dienstleister?

• Der Verein „Kompetenznetzwerk Trusted Cloud e. V. bietet unter www.trusted-cloud.de Informationen zu vertrauenswürdigen Cloud Services.
• Das Bundesamt für Sicherheit in der Informationstechnik hat auf seiner Website Mindeststandards zur Nutzung externer Cloud-Dienste zusammengestellt.
• Erfahrungswerte: Wenn Sie Personen kennen, deren Arbeitgeber bereits Daten in der Cloud speichern, können Sie diese Berichte bei der Auswahl eines Dienstleisters mit einfließen lassen.

(SB/WL, 27.05.2021)