Immer mehr Firmen verlagern ihre Geschäftsprozesse in die Cloud. Soll der Schritt gelingen, müssen Sicherheit, Datenschutz und Compliance von Beginn an zu den Kernfragen gehören.
Geringere Kosten, höhere Flexibilität, größere Agilität – die Vorteile und Chancen des Cloud Computing sind verlockend. Kein Wunder also, dass inzwischen mit 54 Prozent mehr als die Hälfte der Unternehmen in Deutschland mit über 20 Mitarbeitern Cloud-Dienste nutzt, weitere 18 Prozent planen den Einstieg, so Zahlen des aktuellen Cloud Monitor des Branchenverbandes Bitkom.
Nach wie vor jedoch zögern Unternehmen aufgrund von Sicherheitsbedenken, den Schritt in die Datenwolke zu tun. Für York Karsten, Product Manager Cloud bei ALSO, lassen sich solche Bedenken jedoch mit einem geeigneten Vorgehen ausräumen. „Für eine aussichtsreiche Verlagerung von Geschäftsprozessen von den eigenen Servern und Desktop-Rechnern in die Cloud, sollten Unternehmen sich Zeit nehmen und von Anfang an die Themen Sicherheit, Datenschutz und Compliance berücksichtigen.“ Wichtig dabei: Unternehmen sollten keine spezielle Cloud-Sicherheits-Strategie erarbeiten, sondern sie in die bestehende einbetten“, so Karsten.
US-Anbieter haben ihre Hausaufgaben gemacht
Damit das Vorhaben überschaubar und zugleich wirtschaftlich darstellbar bleibt, empfiehlt Cloud-Experte Karsten, einen einzelnen und ohnehin veralteten Server oder eine überholte on-premises-Software mit einem Cloud-Projekt zu erneuern. Diese Strategie ist durchaus üblich. Oftmals ersetzt in einem ersten Schritt zunächst etwa eine Fachabteilung zum Beispiel das veraltete CRM-Tool durch ein entsprechendes SaaS-Tool, führt eine cloud-basierte Groupware oder ein BI-Tool ein oder erneuert unter dem Stichwort IaaS mit VoIP die alte Telefonanlage.
„Wichtig ist zu analysieren, welche Daten betroffen sind und welche sich hiervon, laut Compliance, für das Auslagern in die Cloud eignen und welche nicht“, sagt York Karsten. Weitere abzuklopfende Faktoren sind die geschäftliche Bedeutung der Applikation, die Nutzungsmuster und der Integrationsgrad der Applikation mit anderen Unternehmensfunktionen.
Neben solch technischen Aspekten gilt es, rechtliche Fallstricke auszuräumen. Die Transformation in die Cloud muss Datenschutzgesetzen, Vorgaben von Steuerbehörden, Auditierungsanforderungen und anderem entsprechen. Dies insbesondere dann, wenn ein externer Cloud-Anbieter einbezogen wird. Denn auch wenn IT-Prozesse über die Wolke an einen Dienstleister ausgelagert sind, bleibt der Auftraggeber datenschutzrechtlich in der Pflicht. Das veranlasste Unternehmen im Zweifel bislang dazu, keine Public Clouds zu nutzen, sondern sich eine Private Cloud aufzubauen, sprich ein Intranet.
Auf diese Weise bleiben die Daten vollständig unter Kontrolle. Seit Kurzem jedoch holen Public Clouds auf. Laut Cloud Monitor der Bitkom stieg die Nutzung im Jahr 2015 gegenüber 2014 um zehn Prozent. Die Nutzung von Private Clouds dagegen ließ im gleichen Zeitraum etwas nach. Mit ein Grund hierfür: Insbesondere die US-amerikanischen Hersteller haben ihre Hausaufgaben gemacht und betreiben inzwischen Rechenzentren in Deutschland oder zumindest innerhalb der EU. Auf diese Weise unterliegt das Cloud-Angebot dem deutschen bzw. europäischen Datenschutzrecht. Die großen US-Hersteller stellen somit von Beginn an klar, in welchem Land und in welchem Rechenzentrum sich die Daten ihrer Kunden befinden und handhaben sie nach den jeweiligen rechtlichen Standards.
Zertifizierungen schaffen Vergleichbarkeit
Noch in anderen Punkten müssen Cloud-Angebote höchsten Anforderungen genügen. „Für Unternehmen erkennbar wird dies an Zertifizierungen“, erläutert Experte Karsten. Zwar gibt es nach wie vor kein einheitliches Siegel für Cloud-Angebote. Doch alle verbreiteten wie SaaS von EuroCloud, CSA STAR oder TÜV Trust IT basieren auf den gleichen Normen, nämlich ISO 27001, ISO 27017 sowie ISO 27018. Während ISO 27001 quasi den IT-Grundschutz bzw. den Aufbau eines Informationssicherheitsmanagements (ISMS) vorgibt, enthält ISO 27017 spezielle Vorgaben für das Cloud Computing. Die noch recht neue ISO 27018 berücksichtigt zusätzlich Regeln für das Verarbeiten personenbezogener Daten in einer Public Cloud. Mit ihr stellen Anbieter zum Beispiel sicher, dass Endkunden ihre Daten einsehen, ändern und löschen können. „Je nach Bedarf können Unternehmen solche speziellen Anforderungen in den SLAs vereinbaren“, so York Karsten. Wie selbstverständlich gehört das Verschlüsseln der Daten dazu, die Kunde und Cloud-Dienstleister austauschen. Dies geschieht entweder über spezielle Verschlüsselungstechnologien, welche die Informationen als einzelne, verschlüsselte Pakete über das öffentliche Internet schicken oder über ein gesichertes VPN.
Wer bei der Planung eines Cloud-Projekts keinen Punkt vergessen will, sollte sich die Publikation „Anforderungen Cloud Computing“ des Bundesamtes für Informationssicherheit vornehmen. Anfang dieses Jahres auf einen aktuellen Stand gebracht, klopft das Amt darin auf mehr als 90 Seiten alle erdenklichen Kriterien für sicheres Cloud Computing ab.
Sicherheitsniveau kann mit Cloud Computing steigen
Kein Geheimnis ist, dass gerade KMU mit Cloud Computing ihr Sicherheitsniveau steigern können. So befragte das Beratungshaus Pierre Audoin Consultants (PAC) im Frühjahr 2013 Unternehmen, die Cloud-Konzepte einsetzen, zum Thema Datensicherheit Vorher-Nacher. Ergebnis: Im Vergleich zum Betrieb der IT in den eigenen vier Wänden schätzten zwei Drittel die Datensicherheit als höher ein. Eine von Microsoft in Auftrag gegebene Studie vom Mai 2012 bestätigt dies: Mehr als ein Drittel der befragten KMU mit zwischen 100 und 250 PC-Arbeitsplätzen gaben an, dass sie mit Cloud Computing ein erheblich höheres Sicherheitsniveau erreicht haben. Ein weiteres Drittel der Befragten befand, sie würden sich nun weniger Sorgen um Cyberattacken machen und deutlich Zeit für die Gewährleistung der Sicherheit ihrer Infrastruktur sparen. Geschuldet ist dies freilich dem Umstand, dass Cloud-Dienstleister ihre Technik stets auf dem neuesten Stand halten. York Karsten hat noch ein weiteres Kriterium für erfolgreiches Cloud Computing parat: „Entscheidend ist, den Weg mit einem starken und vertrauensvollen Partner zu beschreiten.