Cloud Computing ohne Datenverlust

(is) Möchte ein Unternehmen diese Angebote nutzen, sollte es sich zuvor unbedingt mit der Vertragsgestaltung, der Sicherheit der Rechenzentren und den Möglichkeiten des Anbieterwechsels auseinandersetzen.

Unzufriedenheit macht sich breit

Viele Anwender klagen beim Cloud Computing über intransparente Leistungsprozesse und eine unklar definierte Servicequalität, so eine Ardour- Studie von 2010. Da verwundert es nicht, dass sich 17 Prozent der Schweizer Unternehmen komplett gegen den Datentransfer in der Internetwolke entschieden haben. Immerhin 19 Prozent der Schweizer Unternehmen nutzen Cloud-Anbieter, neun Prozent wollen in den nächsten zwei Jahren dazukommen. 55 Prozent aller Unternehmen sind sich noch unsicher, ob und wie sie die Internetwolke nutzen wollen. Denn die meisten Unternehmen haben immer noch ein ungutes Gefühl dabei, ihre Daten in ein externes System zu geben, über das sie vielleicht nicht die nötige Kontrolle haben.

Sicherheitsbedenken nicht ganz unbegründet

Gerade bei Public Clouds liegen die Hauptbefürchtungen immer noch bei der Sicherheit, wie eine aktuelle IDC-Studie belegt. Vor dem Hintergrund aktueller Datenskandale scheinen diese Bedenken nicht ganz unbegründet. Wie die «WirtschaftsWoche» im August 2011 berichtete, müssen amerikanische Cloud Provider, wie Salesforce, Rackspace, Google und Amazon, die auf ihren Servern gespeicherten Informationen auf Anfrage im Namen der Terrorbekämpfung und Spionageabwehr jederzeit an US-Geheimdienste abtreten. Erst vor kurzem verlängerte US-Präsident Obama das umstrittene Spionagegesetz Patriot Act sogar noch um weitere vier Jahre.

Sind europäische Wolken sicherer?

Vermehrt legen Unternehmen wie etwa Daimler und T-Systems daher Wert darauf, ihre sensiblen Daten in europäische externe Rechenzentren zu verlagern, sodass sie keinesfalls auf US-Servern gespeichert sind. Hierbei ist auch die Grösse des Zentrums ausschlaggebend. «Kleine Rechenzentren sind generell seltener von Skandalen betroffen, da sie nicht so stark im Visier der Hacker stehen. Viele davon können zudem mit vergleichbar guter Infrastruktur und Disaster Recovery aufwarten. Insbesondere grosse, internationale Kunden fühlen sich daher bei spezialisierten Mittelständlern oft besser aufgehoben als bei den ganz grossen Anbietern», erläutert Bernd Seeburger, CEO der Seeburger AG, einem Unternehmen das selbst ein ISO-zertifiziertes Rechenzentrum betreibt.

Stefan Riedl von «IT-Business» weist ausserdem darauf hin, dass Änderungen beim Cloud-Anbieter selbst mit Risiken einhergehen können. Schaltet ein Cloud Provider Subunternehmen ein, wissen Unternehmen oft nicht einmal mehr, in welchen Ländern ihre Daten gespeichert sind. Erstreckt sich eine Cloud über verschiedene Länder, entstehen im Schadensfall juristische Probleme. Zum Schutz der europäischen Daten in den USA gibt es daher das Safe-Harbor-Abkommen, dem auch die Schweiz beigetreten ist.

Der Eidgenössische Beauftragte für Datenschutz und Öffentlichkeit (EDÖB) empfiehlt zudem den Leitfaden des IT-Verbands Bitkom. Dieser rät Unternehmen unter anderem dazu, grundsätzlich noch vor Vertragsabschluss zu klären, wo die Daten gelagert werden und ob der Cloud-Anbieter Subunternehmer einschalten darf. Denn diese können sich in Drittländern befinden, in denen kein vergleichbares Datenschutzniveau herrscht.

Sicherheitsarchitektur von Rechenzentren

Trotz aller Bedenken ist der Sicherheitsstandard externer Rechenzentren meist höher als jener von Inhouse- Systemen. Der EDÖB stellt in Kürze ein Infoblatt zum Thema Datenschutz bei Cloud Computing online, in dem er unter anderem auf die Standards des BSI (deutsches Bundesamt für Sicherheit in der Informationstechnik) verweist. Dieses führt in seinem Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing-Anbieter die wichtigsten Standards auf.

Demnach sollten Unternehmen sichergehen, dass eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stack (Anwendung, Server, Netze, Storage usw.) gewährleistet ist. Dies ist wichtig, um Vertraulichkeit, Integrität und Verfügbarkeit der dort gespeicherten Informationen nicht zu gefährden. Dasselbe gilt auch für die Art der Inhalte. Ungleiche Inhalte sollten niemals auf gleiche Weise behandelt werden.

Auch die Sicherheit der Anlagen aus technischer Sicht, das heisst Videoüberwachung, redundante Auslegung der Versorgungskanäle, Brandschutz oder der Zutritt über Zwei-Faktoren- Authentisierung, muss erfüllt sein. Da viele Cloud Provider über keine eigene Infrastruktur verfügen, müssen Unternehmen sicherstellen, dass der eigentliche Rechenzentrumsbetreiber diese Sicherheitsanforderungen erfüllt.

Gutes Exit-Management ist das A und O

«Cloud Computing erfordert immer grosses Vertrauen, das man dem Anbieter entgegenbringen muss», ist Christian Lanzeraths Überzeugung. In seinem Buch «Cloud Computing und Microsoft Online Services» warnt er auch vor dem sogenannten Lock-In-Effekt. Die Bindung an den Cloud- Service-Anbieter kann sehr stark sein. Oft sind Verträge mit langen Mindestlaufzeiten verbunden und ein Wechsel zu einem anderen Anbieter kann aufgrund technischer Inkompatibilitäten sehr aufwendig werden. Angebotene Schnittstellen sind äusserst herstellerspezifisch und verhindern den reibungslosen Datentransfer aus einer Cloud in die andere. Ausserdem befürchten Cloud-Nutzer, dass sie nach Vertragsende zusätzlich zur Kasse gebeten werden und, trotz erfolgter Kündigung, vorerst weiter an die Cloud gebunden sind.

Wie können die Cloud-Nutzer solchen Problemen entgehen? «Für Unternehmen ist es wichtig, frühzeitig festzulegen, wie eine effiziente Migration der geschäftskritischen Daten zwischen den verschiedenen Systemen bzw. Anbietern stattfindet», so Cloud-Experte Bernd Seeburger. «Ein regelmässiger Download sowie die Zuordnung der Cloud-Daten zur Anwender-Datenstruktur (Mapping) sollten jederzeit möglich sein. Dieses Prinzip greift auch dann, wenn Daten in die eigene Cloud oder in eine neue Cloud übertragen werden.»

Datenverlust vorbeugen

Da es für Cloud-Nutzer generell nicht so einfach ist, selbst Daten herunterzuladen, sollte der Anbieter dies schon während der Laufzeit der Cloud tun. Hierbei liegt die Schwierigkeit darin, Daten in das vom Kunden gewünschte Datenformat zu konvertieren. «Treten Schwierigkeiten auf, muss sich das Unternehmen an einen Konvertierungsexperten wenden», rät Bernd Seeburger. «Dieser kann für jede Art von Cloud-Lösung eines Fremdanbieters eine Exit-Strategie anbieten, wenn ihm die Schnittstellendefinitionen des Cloud Providers vorliegen.» Je spezialisierter der Anbieter darauf ist, Daten zu konvertieren, umso besser für das Unternehmen. So muss es keine Angst vor Datenverlust oder Datenbeschädigung haben.

Thomas Ludwig Uhl, Geschäftsführer der Topalis Holding, legt Unternehmen darüber hinaus von Anfang an nahe, zweigleisig zu fahren: «Die Abhängigkeit von einem einzigen Anbieter ist desaströs. Als Anwender braucht man immer eine Dual-Vendor-Strategie, allein schon für den Fall, dass einem ein Cloud-Anbieter aus irgendeinem Grund abhandenkommt oder eine Zeitlang down ist.»

Das Kleingedruckte beachten

Bei Vertragsabschluss müssen Unternehmen das Thema Anbieterwechsel ansprechen. Im Leitfaden des IT-Verbands Bitkom wird empfohlen, beim Exit-Management und Exit-Support zu klären, wer für welche Schritte und Massnahmen in welchem Zeitfenster und zu welchem Preis verantwortlich ist. Die Modalitäten, wenn die Daten nach Vertragsende übergeben werden, müssen genau festgelegt sein.

Da die Vertragsregelungen bisher nicht standardisiert sind, sollten Cloud- Kunden genau auf Datenschutz und Compliance-Richtlinien achten. Für viele Unternehmen ist Flexibilität ein Hauptargument für Cloud-Lösungen. So selbstverständlich dies dem Kunden scheint, so wichtig ist es, dass genau dies sich auch im Vertrag widerspiegelt.