Worauf es bei der Wahl eines Cloud-Providers ankommt
Wie sicher ist Cloud Computing? Diese Frage stellen sich viele Unternehmen, die Anwendungen und Daten in die „Wolke“ auslagern wollen; insbesondere besteht Unsicherheit, ob Datenbestände dort auch wirklich sicher aufgehoben sind. Die folgenden Tipps sollen dabei helfen, geeignete Anbieter aus der Masse der Provider herauszufiltern.
Der Cloudlösungsanbieter Fabasoft wird regelmäßig mit den Bedenken hinsichtlich der Datensicherheit in der „Wolke“ konfrontiert. Als Reaktion darauf wurde eine Reihe essenzieller Kriterien formuliert, die bei der Providerwahl Beachtung finden sollten.
EU-Rechenzentren sind die erste Wahl
So mancher „Cloud-Dienstleister“ nutzt das Marktsegment nur, um mit billigen, unsicheren oder intransparenten Diensten und Geräten ein Stück vom großen Umsatzkuchen abzubekommen. Ratsam ist es daher, bereits im Auswahlprozess darauf zu achten, dass der präferierte Provider eindeutig definierte und national rechtskonforme Vereinbarungen für Daten-, Zugriffs- und Rechtssicherheit sowie zertifizierte Qualitätsstandards vorzuweisen hat.
Zudem sollten Unternehmen hinterfragen, an welchen Standorten der Cloud-Anbieter seine Rechenzentren betreibt: Unterhält der Cloud-Anbieter seine eigenen Rechenzentren – oder bedient er sich anderer Plattformen und versucht möglicherweise, die eigentliche Datenhaltung zu verschleiern? Ein Cloud-Anbieter mit einem Rechenzentrum in der EU ist die sicherste Wahl, denn er muss sich an strikte EU-Gesetze wie die Datenschutzrichtlinie (Richtlinie 95/46/EG) halten, die ab Mai 2018 mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) noch strenger wird.
Unternehmen, die aktuell noch auf eine andere Lösung setzen, riskieren daher, sich ab diesem Zeitpunkt kurzfristig eine Alternative suchen zu müssen. Ein EU-Cloud-Provider bietet dagegen heute schon hohe Standards in Sachen Rechtssicherheit und die notwendige Transparenz, um stets über die Aufbewahrung der eigenen Daten im Bilde zu bleiben.
Native Cloud-Lösungen sind sicherer und hochwertiger
Firmen sollten in der Lage sein, „Trittbrettfahrer“ zu identifizieren, die mit möglichst wenig Aufwand und ohne fundierte Expertise vom Digitalisierungs-Hype profitieren möchten. Es gibt so manche, die ihre Software lediglich „cloudifiziert“, sie also von einer On-Premise-Lösung in eine cloudbasierte Lösung umgewandelt haben.
Hierbei bleiben oft die Skalierbarkeit und vor allem auch die Sicherheit der Lösung auf der Strecke: Ein Cloud-Service muss ganz andere Anforderungen erfüllen können als eine On-Premise-Installation. Auf Daten und Dokumente in einer Cloud haben in der Regel deutlich mehr Benutzer und Organisationen Zugriff. Damit fallen einer gesicherten Authentifizierung, der Verschlüsselung der Daten und der Dokumentation von Zugriffen wesentlich mehr Bedeutung zu.
Eine native Cloud-Lösung ist in der Regel auf diesen Grundsäulen aufgebaut. Somit lässt sich eine höhere Qualität in Bezug auf Sicherheit und Compliance erreichen sowie ein höherer Nutzen erzielen – da es im Gegensatz zu lediglich „cloudifizierten“ Lösungen weniger technische Hürden gibt.
Einen unabhängigen Provider wählen
Benutzer und Unternehmen können sich zeitlich, finanziell und aufgrund fehlender Erfahrung oft nicht kontinuierlich um umfassende Sicherheit bei der Kollaboration mit externen Unternehmen kümmern. Daher ist die Wahl eines verlässlichen und fachkundigen Cloud Services-Anbieters umso wichtiger – und Unabhängigkeit spielt hierbei eine zentrale Rolle: Die höchsten Ansprüche an Datensicherheit, Datenschutz und Ausfallsicherheit genügen nicht, wenn die Bereitstellung dieser Leistungen von Drittfirmen abhängt.
Denn so gehen Firmen eine vertragliche Bindung mit einer Cloud-Lösung ein, die im schlimmsten Fall Reklamationen hinsichtlich der Verfügbarkeit des Services und rechtlich nicht klar definierte Verantwortlichkeiten erzeugt. Cloud-Anbieter, die Hardware, Software, Softwareentwicklung und Support aus einer Hand bieten und somit Unabhängigkeit garantieren, sind die weitaus bessere und letztendlich lohnenswertere Alternative.
Auf anerkannte Zertifikate und Qualitätssiegel setzen
Qualität und Verlässlichkeit sind für Cloud-Neulinge oft schwer zu beurteilen. Deshalb sind Zertifizierungen von Institutionen wie der EuroCloud oder dem TÜV hilfreich: Sie geben Aufschluss darüber, wie sicher ein Cloud-Provider agiert. Diese Zertifizierung ist für Cloud-Nutzer wie eine Versicherungspolice gegen Datenmissbrauch.
Beim „Star Audit“ der EuroCloud verrät die Anzahl der Sterne – vergleichbar mit der Hotel-Klassifizierung –, wie gut und sicher ein Cloud-Service ist. Eine weitere Zertifizierung, die als Gradmesser für Qualität und Sicherheit dient, ist der „Certified Cloud Service“ des TÜV Rheinland. Er auditiert Cloud-Services hinsichtlich Sicherheit, Interoperabilität, Compliance sowie Datenschutz und überprüft dies sogar in Form von Penetrations-Tests (hier wird testweise versucht, Sicherheitsmechanismen zu überwinden).
Vorgaben und Zertifizierungen wie diese tragen dazu bei, dass mit ihnen ausgezeichnete Cloud-Lösungen höchste Standards in Sachen Sicherheit und Datenschutz aufweisen. Vorsicht ist jedoch bei sogenannten Gütesiegeln geboten: Diese werden mittlerweile von unzähligen Stellen ausgegeben – oftmals ohne eigentliches Audit, sondern lediglich auf Basis einer Selbstauskunft des Cloud-Betreibers. Ein positives Beispiel für ein relevantes und professionelles Gütesiegel ist dagegen „Trusted Cloud“, das unter der Schirmherrschaft des Bundesministeriums für Wirtschaft auf Basis von internationalen Standard-Zertifizierungen wie ISO 20000, ISO 27001, ISO 27018, ISAE 3402 und dem Star Audit vergeben wird.
Dominik Hohmann ist für die Agentur Lewis in Düsseldorf tätig.