Cloud Computing und Datensicherheit untrennbar oder unvereinbar?

Transkript

1 Thesenpapier Cloud Computing und Datensicherheit untrennbar oder unvereinbar? Eine Analyse von Pierre Audoin Consultants (PAC) im Auftrag der Deutschen Telekom Januar 2014

2 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 2 Herausgegeben von Pierre Audoin Consultants (PAC) GmbH Holzstr München Kontakt: Karsten Leclerque (+49 [0] , k.leclerque@pac-online.com)

3 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 3 Inhalt Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 4 These 1: Vor dem Hintergrund der gegenwärtigen Datensicherheits-Diskussion werden häufig Datenschutz und Datensicherheit verwechselt 6 These 2: Mitarbeiter stellen eine größere Gefahr für Unternehmensdaten dar als Hackerangriffe oder technische Cloud-Probleme 11 These 3: Im Zweifel ist ein deutscher Mittelständler mit der Wahl eines deutschen Cloud-Anbieters auf der sicheren Seite 13 Das sollten Sie bei der Datenspeicherung in der Cloud beachten 15 Fazit 17

4 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 4 CLOUD COMPUTING UND DATENSICHERHEIT UNTRENNBAR ODER UNVEREINBAR? Cloud Computing hat sich längst vom vieldiskutierten Hype zu einem etablierten IT- Betriebs- und Bezugsmodell entwickelt. Das bestätigt nicht nur der anhaltende Erfolg reiner Cloud-Anbieter, es spiegelt sich auch in der Wandlung fast aller etablierten IT-Anbieter wider. Cloud-Angebote gehören zu den am stärksten wachsenden Angeboten der meisten Software-Provider, Technologiehersteller, ITK-Dienstleister und Systemhäuser. Auch auf Anwenderseite hat innerhalb weniger Jahre ein Umdenken stattgefunden. Die Vorzüge des Cloud-Modells, wie Flexibilität, Geschwindigkeit in der Bereitstellung von Ressourcen oder Kosteneffizienz sind weithin bekannt. Laut Cloud-Monitor 2013, einer Befragung unter mehr als 400 IT-Verantwortlichen in Deutschland durch PAC im Auftrag von KPMG, stieg die Zahl der Cloud-Nutzer von 28 Prozent im Vorjahr auf bereits 37 Prozent im Jahr Als besonders Cloud-affin zeigen sich Unternehmen aus den Bereichen Informations- und Telekommunikationstechnologie, Finanzdienstleistung, Verkehr und Logistik sowie Chemie und Pharma. Im Gegensatz dazu sind Unternehmen der Automobilindustrie, aus Anlagenund Maschinenbau sowie dem Handel tendenziell eher unentschlossen bis kritisch. Die Anzahl der Unternehmen, die Cloud Computing offen und interessiert gegenüberstehen, hat aber über alle Branchen und Größenklassen hinweg signifikant zugenommen, von 28 Prozent im Jahr 2011 auf 35 Prozent im Jahr Nachdem in den Anfängen Cloud Computing kontrovers diskutiert wurde, ist der Umgang mit diesem Thema heute weitgehend durch Pragmatismus geprägt. Dennoch wird Cloud Computing in der öffentlichen Diskussion nach wie vor häufig gleichgesetzt mit dem Public Cloud -Modell oder mit einer Übertragung von Daten über das Internet und der Ablage an einem unbekannten Ort, oftmals außerhalb Deutschlands oder der EU. Nur in Teilen wird das Thema heute differenzierter betrachtet und alternative Szenarien wie Private Cloud- oder hybride Modelle in die Erwägungen mit einbezogen. Während im Public Cloud-Modell viele Kunden gemeinsam auf eine Infrastruktur zugreifen, wird dem Kunden im Private Cloud-Modell eine dedizierte Infrastruktur beim

5 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 5 Provider oder im Rechenzentrum des Kunden zur Verfügung gestellt. Hybrid Cloud- Modelle beschreiben Mischformen, bei denen manche Teile einer Lösung aus einer Public Cloud bereitgestellt werden, andere in Form einer Private Cloud. Gerade deutsche Mittelständler stehen bei der Nutzung von Cloud-Lösungen noch am Anfang und scheuen sich, ihre Daten von den eigenen Rechnern in die Wolke zu verlagern. Ganz anders sieht es in den USA und Großbritannien aus. In einer 2013 weltweit von PAC durchgeführten Anwenderbefragung gaben beispielsweise 33 Prozent der US-amerikanischen und 28 Prozent der britischen Unternehmen an, bereits Infrastructure-as-a-Service zu nutzen. Zündstoff erhielt die Debatte in Deutschland besonders seit Beginn der Enthüllungen zu den umfassenden Überwachungsmaßnahmen verschiedener Geheimdienste Mitte Unternehmen sind wesentlich sensibler, wenn es um den Schutz vertraulicher Daten geht. Die Sicherheit der Daten stand allerdings schon früher regelmäßig an erster Stelle, wenn Argumente gegen die Nutzung einer Cloud-Lösung ins Feld geführt wurden. Aber die Enthüllungen rund um die Spähaktivitäten haben die öffentliche Debatte um die Sicherheit von Cloud Computing verstärkt. Vor diesem Hintergrund beauftragte die Geschäftskundeneinheit der Deutschen Telekom als Anbieter von Cloud-Lösungen und Betreiber des Business Marketplace das Marktanalyse- und Beratungsunternehmen Pierre Audoin Consultants (PAC) mit einer unabhängigen Einschätzung der Rolle des Themas Cloud Computing und Datensicherheit aus Sicht mittelständischer deutscher Unternehmen. Die Diskussion soll anhand der folgenden Thesen erfolgen: These 1: Vor dem Hintergrund der Datensicherheitsdiskussion werden häufig Datenschutz und Datensicherheit verwechselt These 2: Mitarbeiter stellen eine größere Gefahr für Unternehmensdaten dar als Hackerangriffe oder technische Cloud-Probleme These 3: Im Zweifel ist ein deutscher Mittelständler mit der Wahl eines deutschen Cloud-Anbieters auf der sicheren Seite

6 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 6 THESE 1: VOR DEM HINTERGRUND DER GEGENWÄRTIGEN DATENSICHERHEITS-DISKUSSION WERDEN HÄUFIG DATENSCHUTZ UND DATENSICHERHEIT VERWECHSELT Alle PAC-Umfragen der letzten Jahre belegen: Skepsis hinsichtlich der Sicherheit einer Cloud-Lösung zählt zu den am häufigsten genannten Gründen gegen eine Nutzung. Hürden bei der Nutzung von Public Cloud Lösungen bei Anwendungs planern und Anwenderunternehmen Trifft voll und ganz zu Trifft eher zu Trifft teilweise zu Angst vor Datenverlust... Integration mit Inhouse Lösungen schwierig... Bestehende rechtl. und regulator. Bestimmungen sprechen dagegen... Rechtslage unklar... Interoperabilität verschiedener Cloud Lösungen unzureichend... Angst vor IT Know how Verlust... Zweifel am Nutzen... Informationen über geeignete Cloud Lösungen fehlen... Es besteht Widerstand innerhalb der IT Abteilung... Passt nicht zur Unternehmenskultur Cloud Monitor 2013 KPMG / BITKOM, PAC Anteile (gewichtet) in Prozent der Unternehmen, die Public Cloud Computing bereits nutzen, dies planen oder diskutieren, n = 102 Quelle: Cloud-Monitor 2013 KPMG/BITKOM, PAC Oftmals scheinen die Bedenken allerdings eher einem Bauchgefühl zu entstammen als auf einer faktenbasierten Risikoanalyse zu beruhen. Spektakuläre Ausfälle von Cloud- Lösungen großer Anbieter werden in Presse und Öffentlichkeit ebenso hitzig diskutiert wie die Überwachung durch Geheimdienste oder Fälle von Datendiebstahl durch Hacker.

7 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 7 Ähnliche Vorkommnisse innerhalb einzelner Unternehmen dagegen werden der Öffentlichkeit nur selten bekannt. Allerdings wird das Thema oft wenig differenziert betrachtet, denn in der öffentlichen Diskussion wird der potenzielle Verlust von Daten häufig in einem Atemzug mit Datenspionage oder -missbrauch genannt, ebenso wie Datensicherheit mit Datenschutz gleichgesetzt wird. Hier gilt es aber zu unterscheiden, da beim Cloud Computing, ebenso wie beim klassischen IT-Outsourcing, in der Regel Auftragsdatenverarbeitung vorliegt. Dafür gibt es spezielle Datenschutzregeln, sobald personenbezogene Daten betroffen sind. Auftragsdatenverarbeitung (ADV) im Sinne des 11 BDSG ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. Datenschutz bezieht sich auf personenbezogene Daten, darunter Name, Alter, Familienstand, Anschrift, und soll das informationelle Selbstbestimmungsrecht der Betroffenen schützen, d. h. Personen sollen selbst darüber bestimmen können, ob und wie Daten erhoben, verarbeitet oder genutzt werden. Personenbezogene Daten können aus Sicht eines Unternehmens die Daten der eigenen Mitarbeiter sein, von Kunden und Adressaten von Vertriebs- oder Marketingaktionen, Lieferanten oder sonstigen Geschäftspartnern. Darunter fallen auch besondere Arten personenbezogener Daten, die als sehr sensibel gelten, etwa zu Religionsangehörigkeit, ethnischer Zugehörigkeit oder Gesundheit. Auch bestimmte Berufsgruppen können besonders engen Datenschutzbestimmungen unterliegen, wie etwa Angehörige des Gesundheits- oder Finanzwesens, Anwälte, Notare, Wirtschaftsprüfer oder Mitarbeiter von Kranken- oder Lebensversicherungen. Was Unternehmen in Bezug auf Cloud Computing nicht unterschätzen sollten: Das Datenschutzgesetz versteht unter personenbezogenen Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 BDSG). Gerade die Zusammenführung einzelner, zunächst unkritischer, Daten aus verschiedenen Cloud-Umgebungen kann Rückschlüsse auf eine Person zulassen. Datenschutz erfordert also Datensicherheit, ist aber nicht mit dieser gleichzusetzen.

8 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 8 Datensicherheit Allgemeine Daten Personenbezogene Daten Datenschutz Datenschutz sollte in einem Unternehmen interdisziplinär verstanden werden. Hierunter fallen generelle organisatorische und prozessuale Maßnahmen und Richtlinien. Datenschutz betrifft also auch die IT-Abteilung, ist aber nicht darauf beschränkt. Dabei ist zu beachten: Bei der Auftragsdatenverarbeitung ist der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich, auch wenn er einen Externen mit der Speicherung oder Verarbeitung beauftragt. Daher ist es auch die Pflicht des Cloud- Kunden, sich von den einwandfreien Sicherheitsmaßnahmen des Providers zu überzeugen und diese bei Bedarf vertraglich festzulegen. Alternativ können entsprechende Zertifizierungen, etwa zur IT-Sicherheit oder Prozessqualität, auf Seiten des Anbieters für Sicherheit sorgen und für den Cloud-Kunden die Auswahl erleichtern. Datensicherheit soll den Schutz sämtlicher Unternehmensdaten, die nicht selten den Wert eines Unternehmens darstellen, hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Datensicherheit umfasst also den technischen Schutz von Daten vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung, ebenso wie die Verfügbarkeit der Daten, also die Erreichbarkeit und die Datensicherung und Wiederherstellung sowie den Katastrophenschutz, also den Schutz der Daten vor Zerstörung durch äußere Gewalt oder Sabotage. Maßnahmen zur Datensicherheit können Zugriffsrechte bestimmter Nutzergruppen oder Personen und physische wie informationstechnische Zugangskontrolle, etwa zum Rechenzentrum, zu Endgeräten oder Kommunikationsnetzwerken, Notfallmaßnahmen wie Backup (Erstellen einer Sicherungskopie) und Disaster Recovery (Wiederherstellung der Daten im Notfall) oder Verschlüsselungsmaßnahmen umfassen. Bei der Beurteilung von Daten, die innerhalb einer Cloud-Lösung genutzt werden, sollten die Daten kategorisiert und geprüft werden, ob sie bestimmten gesetzlichen Regelungen unterliegen. Neben personenbezogenen Daten kann dies auch für handels- oder

9 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 9 steuerrechtlich relevante Daten gelten, die bestimmten Aufbewahrungspflichten unterliegen. Auch ist in manchen Bereichen zwingend vorgegeben, dass bestimmte Daten innerhalb Deutschlands oder der EU verbleiben müssen. Einige Branchen unterliegen zudem spezifischen Bestimmungen zur Speicherung von Daten, die eine Rückverfolgbarkeit von Lieferketten gewährleisten sollen. Darunter fallen etwa die Nahrungsmittel- oder die chemische Industrie. Aber auch allgemeine Daten, die unter keine spezielle Regelung fallen, können äußerst sensibel sein. Beispielsweise unterliegen Daten aus Forschung und Entwicklung oder aus der Produktion in der Regel keiner besonderen Datenschutzverordnung im rechtlichen Sinne. Aus Sicht des Unternehmens dagegen können sie sehr wohl zu den Betriebsgeheimnissen, also zu den besonders schützenswerten Daten, gehören. Dass die wichtigen Vorschriften vielfältig sein können, zeigt die nachfolgende Graphik: Je nach Art der Daten können unterschiedliche Gesetze berührt werden, deren jeweilige Bestimmungen einzuhalten sind oder die je nach Sachlage angewendet werden können. Telekommunikationsgesetz Verbraucherschutzgesetz Handelsgesetzbuch Kreditwesengesetz Abgabenordnung Strafgesetzbuch Sozialgesetzbuch Arbeitnehmerdatenschutz $ Bundesdatenschutzgesetz Landesdatenschutzgesetze... Handelsrechtl. relevante Daten Wirtschaftsdaten Steuerrelevante Daten Technische Daten Geschäftsgeheimnisse Personenbezogene Daten Persönliche Daten Berufsgeheimnisse Internationale Gesetzgebung (v.a. Nicht-EU; z.b. USA Patriot Act) Auch das Spannungsfeld zwischen deutschen oder europäischen und nichteuropäischen Gesetzgebungen, wie dem USA Patriot Act, ist teilweise noch nicht eindeutig geklärt. Die Bestimmungen des Patriot Act etwa erlauben US-Behörden wie dem FBI, der NSA oder

10 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 10 der CIA nicht nur den Zugriff auf die Server von US-Unternehmen ohne richterliche Anordnung. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren. Selbst dann, wenn lokale Gesetze dies untersagen. Da diese Komplexität gerade für ein mittelständisches Unternehmen eine besondere Herausforderung darstellen kann, sollte sichergestellt werden, dass der Cloud-Provider die notwendigen Sicherheitsstandards einhält. Ein wichtiger Indikator hierfür können Zertifizierungen zu Qualität und Sicherheit der Leistungserbringung sein, etwa nach ISO- Norm, durch den TÜV oder das Bundesamt für Sicherheit in der Informationstechnik. In jedem Fall sollten kleine und mittlere Unternehmen das Thema Datenschutz und Datensicherheit ganzheitlich betrachten und sich nicht nur auf die Risiken oder Vorzüge einer spezifischen Cloud-Lösung konzentrieren. Jedes Unternehmen sollte interne wie externe Sicherheitsrisiken und Gegenmaßnahmen abwägen, also etwa technische, prozessuale und organisatorische Maßnahmen. Bei einer solch ganzheitlichen Sicht darf man davon ausgehen, dass die Sicherheitsmaßnahmen professioneller Cloud-Anbieter jenen einzelner Unternehmen in der Regel nicht unterlegen sind. Sie werden diese vielmehr eher überschreiten. Schließlich ist das Kerngeschäft von Cloud-Anbietern der sichere und performante Betrieb von IT- Infrastrukturen. Und aufgrund zahlreicher Kunden können IT-Provider auf weitreichende Erfahrungen und Best Practices zurückgreifen. Zwischen Datensicherheit und Datenschutz gibt es Überschneidungen, gleichzusetzen sind sie allerdings nicht. Die Sicherheit und Verfügbarkeit von Unternehmensdaten, die nicht selten den Wert eines Unternehmens ausmachen, sollten höchste Priorität haben. Beim Umgang mit personenbezogenen Daten müssen außerdem die Vorgaben des Datenschutzes berücksichtigt werden. Das gilt aber weder exklusiv für das Thema Cloud Computing noch erhöht die Nutzung von Cloudbasierten Lösungen grundsätzlich das Sicherheitsrisiko, wie es angesichts der öffentlichen Diskussion oft den Anschein hat. Das Risiko einer Manipulation, Ausspähung oder eines Verlustes von Daten steigt generell mit der wachsenden Abhängigkeit von IT-Systemen und der zunehmenden Vernetzung der Wirtschaft. Unternehmen sollten daher potenzielle Sicherheitsrisiken bedenken die hausinternen Infrastrukturen und Prozesse wie jene von externen Anbietern. Dabei ist die Sicherheit der Cloud-Infrastruktur professioneller Anbieter der internen IT eines Unternehmens, dessen Kerngeschäft nicht die IT selbst ist, oft überlegen. Unternehmen sollten also sehr genau abwägen, welche Art von Daten sich für die Nutzung einer Cloud-Lösung eignen und welcher Provider im Hinblick auf Datenschutzvorgaben hinsichtlich des Standorts, der Sicherheitsmaßnahmen und Zertifizierungen der richtige ist.

11 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 11 THESE 2: MITARBEITER STELLEN EINE GRÖSSERE GEFAHR FÜR UNTERNEHMENSDATEN DAR ALS HACKERANGRIFFE ODER TECHNISCHE CLOUD-PROBLEME Während die IT-Sicherheit in den meisten Unternehmen prinzipiell ein wichtiges Thema ist, in das die meisten Unternehmen viel investieren, wird eine Gefahr häufig unterschätzt: eigene Mitarbeiter, die bewusst oder unbewusst die Sicherheit der Unternehmensdaten gefährden. Daher ist es eine besondere Herausforderung für Unternehmenslenker und IT, böswilligem oder fahrlässigem Umgang mit Unternehmensdaten durch Mitarbeiter entgegenzuwirken. Es ist sehr schwierig, unzufriedene Mitarbeiter vom Ausspähen oder gar Weitergeben unternehmenseigener Daten abzuhalten. Hier müssen Unternehmen abwägen zwischen vertrauensbildenden Maßnahmen wie Personalpolitik und gutem Betriebsklima sowie der Absicherung und Überwachung. Hierzu zählen etwa Zugriffskontrollen, Berechtigungskonzepte und Dokumentation, wer etwa wann zu welchem Zweck auf Daten zugegriffen oder diese verarbeitet hat. Ein mutwilliger Missbrauch durch solche Maßnahmen ist nur schwer zu verhindern, ohne das Betriebsklima nachhaltig zu schädigen und eine Atmosphäre des Misstrauens zu schaffen. Und schließlich stoßen auch die umfassendsten Sicherheitsmaßnahmen an ihre Grenzen. Prominentes Beispiel: Letztlich wurde der Geheimdienst-Spähskandal im Sommer 2013 nicht durch technische Mängel oder einen feindlichen Eingriff Dritter bekannt, sondern durch den zuvor als vertrauenswürdig eingestuften Whistleblower Edward Snowden aus dem Umfeld des Geheimdienstes. Ein weiterer Risikofaktor sind Mitarbeiter, die fahrlässig mit Unternehmensdaten umgehen. Waren in der Vergangenheit verlorene USB-Sticks und Laptops hier das größte Risiko, wird gerade in der jüngeren Generation die zunehmende Nutzung eigener Endgeräte und privat angemieteter Cloud-Lösungen für berufliche Zwecke zur Herausforderung. Angestellte nutzen lieber private Endgeräte als Geräte, die ihnen der Arbeitgeber zur Verfügung stellt. Der Vorteil: Mitarbeiter können damit unabhängig von Tageszeit oder

12 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 12 Standort arbeiten. Der Austausch über soziale Netzwerke ist mittlerweile selbstverständlich. Dies kann sogar die Effizienz steigern, falls diese Art der Kommunikation in der Unternehmensstrategie verankert ist und umgesetzt wird. Die eigene IT-Abteilung wird als zu starr empfunden, die Bereitstellung benötigter Ressourcen als zu langsam, so dass auf öffentliche Cloud-Lösungen zurückgegriffen wird. Dieses Phänomen nennt man Schatten-IT. Die Risiken, die von eigenen Mitarbeitern ausgehen, bestätigt auch eine Studie des Instituts für Demoskopie Allensbach, die 2013 im Auftrag der Deutschen Telekom unter Führungskräften in mittleren und großen Unternehmen durchgeführt wurde. Laut der Befragung sehen 57 Prozent den leichtfertigen Umgang mit Daten als große bis sehr große Gefahr, 50 Prozent stehen der Nutzung mobiler Endgeräte und immerhin 36 Prozent dem potenziellen Datenmissbrauch durch Mitarbeiter kritisch gegenüber. All diese Aspekte bergen zahlreiche Risiken für Unternehmenslenker und IT- Entscheider, denen ein Kontrollverlust droht, falls sie mit dieser Entwicklung nicht aktiv umgehen. Abhilfe schaffen Bring-Your-Own-Device -Konzepte oder Unternehmens- App-Stores, welche Sicherheitsrisiken berücksichtigen. Solche Konzepte können intern umgesetzt werden, erfordern aber umfassendes Knowhow und Investitionen. Deshalb entscheiden sich immer mehr Unternehmen für die Einbindung externer Cloud-Lösungen in die IT-Strategie des Unternehmens. Auf diesem Weg lassen sich ohne große Vorabinvestitionen getestete und bewährte Lösungen nutzen, die viele der angesprochenen Aspekte beinhalten. Cloud-Lösungen können die Gefahr verringern, die durch böswilliges oder fahrlässiges Verhalten eigener Mitarbeiter oder auch Partner ausgeht, etwa durch zentrale Datenhaltung und Applikationen, die unabhängig vom jeweiligen Endgerät in gesicherter Umgebung zur Verfügung stehen, über durchgehende Berechtigungskonzepte oder eine jederzeit nachvollziehbare Änderungshistorie. Werden den Mitarbeitern zudem über einen Unternehmens-App-Store verschiedene Lösungen per Cloud bereitgestellt, verringert sich die Gefahr, dass die Angestellten unkontrolliert auf Drittlösungen zugreifen. Unternehmensdaten lassen sich bis zu einem gewissen Grad gegenüber externen Risiken schützen. Eine mutwillige oder auch nur fahrlässige Schädigung durch eigene Mitarbeiter dagegen stellt eine besondere Herausforderung dar. Gerade unkontrolliert genutzte, private Cloud-Lösungen können ein erhebliches Sicherheitsrisiko für ein Unternehmen darstellen. Werden dagegen geprüfte Cloud-Lösungen zentral bereitgestellt, können nicht nur damit verbundene Risiken reduziert werden. Unternehmen können auf diese Weise sogar die Datensicherheit insgesamt erhöhen, indem Daten zentral gespeichert und Zugriffe kontrolliert und protokolliert werden.

13 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 13 THESE 3: IM ZWEIFEL IST EIN DEUTSCHER MITTELSTÄNDLER MIT DER WAHL EINES DEUTSCHEN CLOUD-ANBIETERS AUF DER SICHEREN SEITE Nicht erst angesichts der Enthüllungen rund um die Spähaktivitäten verschiedener Geheimdienste im Sommer 2013 fordern Anwenderunternehmen und Politiker, eine europäische oder gar deutsche Cloud zu etablieren. Wobei die Ziele nicht ausschließlich dem Schutz lokaler Unternehmen dienen. Schon lange hat die Politik erkannt, dass Cloud Computing ein enormes wirtschaftliches Potenzial darstellt, nicht nur für die IT- Branche. Cloud Computing ermöglicht das Entstehen neuer Geschäftsmodelle und kann helfen, etablierte Branchen effizienter, flexibler und moderner zu machen. Allerdings wird der Cloud-Computing-Markt bislang eindeutig dominiert von US-Unternehmen. Darin sehen deutsche Politiker mehr und mehr ein Problem. Dennoch haben sich auch in Deutschland zahlreiche lokale Anbieter dem Cloud Computing verschrieben. Interessierte Nutzer finden zahlreiche Lösungen, die von deutschen oder europäischen Anbietern lokal betrieben und nach lokalem Recht vermarktet werden. Diese Lösungen umfassen teils eigene, teils aber auch adaptierte Angebote von US-Providern. Auch haben einige Anbieter wie die Deutsche Telekom mittlerweile sogenannte Cloud-Marktplätze etabliert, auf denen Kunden unter verschiedensten Cloud- Angeboten wählen können. Deutsche Unternehmen müssen sich fragen, ob sie ihre Daten angesichts von NSA- Skandal, Patriot Act und schwächeren Datenschutzbestimmungen im Ausland generell nicht besser einem deutschen Provider anvertrauen. An erster Stelle eines Auswahlprozesses muss die Lösung an sich stehen. Kein Kunde kauft die Cloud. Vielmehr ist er auf der Suche nach Funktionalität. Er sucht also eine Softwarelösung oder Hardwareressource, welche die unternehmenseigenen Prozesse unterstützt. Die Cloud ist in diesem Fall eine interessante Alternative, falls die Angebote den eigenen Bedürfnissen entsprechen. Ist die generelle Entscheidung zugunsten einer Cloud-Lösung gefallen, stellen sich Fragen nach Aspekten wie Preis, vertraglichen Details, Integrationsfähigkeit, Sicherheit, Verfügbarkeit und Performanz der Lösung, welche die Entscheidung zugunsten eines Anbieters beeinflussen.

14 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 14 Hierbei muss es sich nicht zwingend um einen deutschen oder europäischen Anbieter handeln. In Bezug auf IT-Sicherheit, Ausfallsicherheit, Notfallmanagement oder Servicequalität gibt es durchaus Unterschiede zwischen einzelnen Providern. Diese lassen sich aber nicht pauschal einer bestimmten Region zuordnen. Und je nach Art der Nutzung und der transferierten Daten kann auch ein US-Angebot attraktiv sein. Die Zusammenarbeit mit einem deutschen Anbieter bietet Unternehmen allerdings einige Vorteile: Ein deutscher Provider unterliegt dem äußerst strikten deutschen Datenschutzgesetz, kennt dessen Spezifika und setzt dessen Anforderungen entsprechend um. US-Unternehmen unterliegen grundsätzlich dem USA Patriot Act. Gerade für mittelständische Unternehmen ist es oft angenehmer, mit einem deutschen Provider als Vertragspartner zu arbeiten, einen Vertrag nach deutschem Recht zu schließen und deutschen Kundenservice zu erhalten. Deutsche Provider betreiben in der Regel Rechenzentren in Deutschland. Und viele Kunden legen Wert auf ein Rechenzentrum in Deutschland, mindestens aber in Europa. Es ist in der Regel einfacher für den Kunden, sich von den Sicherheitsmaßnahmen und Datenschutzvorkehrungen eines lokalen Providers zu überzeugen als dies bei einem nichtdeutschen oder außereuropäischen Anbieter der Fall ist. Bei der Auswahl einer geeigneten Cloud-Lösung und des passenden Providers müssen viele Faktoren berücksichtigt werden. Sind aber Aspekte wie Funktionalität, Servicequalität, Preis und Sicherheit eines Angebots vergleichbar, kann die Wahl eines deutschen Anbieters von Vorteil sein, gerade angesichts komplexer Datenschutzbestimmungen.

15 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 15 DAS SOLLTEN SIE BEI DER DATENSPEICHERUNG IN DER CLOUD BEACHTEN Die Eignung einer Cloud-Lösung sowie die damit verbundene Speicherung von Unternehmensdaten auf einem externen Server hängen von zahlreichen Faktoren ab: von der spezifischen Unternehmenssituation und -strategie ebenso wie von äußeren Faktoren oder rechtlichen Vorgaben. Die Verantwortung für die gesetzeskonforme Verarbeitung der Daten liegt beim Kunden, unabhängig davon, ob er sie rein unternehmensintern verarbeitet oder dies bei einem externen Anbieter in Auftrag gibt, wie im Fall des Cloud Computing. Fakten, die ein Unternehmensentscheider bei der Abwägung für oder gegen eine Cloud- Nutzung sowie bei der Wahl einer geeigneten Cloud-Lösung beachten sollte: Entsprechen die Sicherheitsvorkehrungen und -zertifizierungen des Providers meinen Anforderungen? Hier spielen rechtliche Vorgaben eine Rolle ebenso wie unternehmensspezifische Anforderungen etwa in Bezug auf Betriebsgeheimnisse. Auch Datensicherheit, also die Absicherung des Rechenzentrums und der IT-Infrastruktur, sowie Datenschutz, wozu auch Prozesse oder Berechtigungskonzepte gehören, sollten berücksichtigt werden. Bietet mir der Provider den Abschluss eines Vertrags im Sinne der Auftragsdatenverarbeitung (ADV)? Ist die Rückführung der Daten bei Vertragsende eindeutig festgelegt, einschließlich der Angaben zu Format, Prozess, zeitlichem Ablauf oder Datenlöschung? Ist eine durchgehende Verschlüsselung der Daten gewährleistet, falls dies gewünscht wird von der Übertragung bis zur Speicherung? Ist gewährleistet, dass der Provider selbst keinen Zugriff auf den Schlüssel und damit auf meine Daten hat? Sind Benachrichtigungspflichten bei Sicherheitspannen klar geregelt? Dazu gehört auch die Frage, wer wann über welchen Weg benachrichtigt werden muss. Entsprechen die Backup- und Disaster Recovery-Lösungen des Providers meinen Anforderungen?

16 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 16 Gibt es die Möglichkeit, einen sicheren Zugang zum Provider über VPN zu etablieren? Bietet mir der Provider die Möglichkeit einer Auditierung, oder kann er auf andere Art, etwa anhand entsprechender Zertifizierungen, die Einhaltung der Datenschutzbestimmungen nachweisen? Habe ich die Möglichkeit, entsprechend der Kategorisierung meiner Daten verschiedene Sicherheitsstufen zu wählen? Bietet mir der Provider Zusatzdienste wie Archivierung der Daten? Entsprechen die Rechenzentrumsstandorte des Providers meinen Anforderungen und kann mir der Provider bei global verteilten Infrastrukturen die physische Speicherung meiner Daten innerhalb eines bestimmten Landes oder einer Region, etwa Deutschland, sowie innerhalb oder außerhalb der EU, gewährleisten? Ebenfalls für die datenschutzrechtliche Beurteilung von großer Bedeutung: Ist transparent ersichtlich, aus welchen Ländern auf meine Daten zugegriffen werden kann? Sind alle notwendigen Sicherheitsmaßnahmen im Preis der Cloud-Lösung enthalten oder fallen etwa für Lizenzen Zusatzkosten an? Arbeitet der Cloud-Provider mit Subunternehmern zusammen und erfüllen diese die Auflagen im selben Maße? Insbesondere beim Einsatz ausländischer Subunternehmen: Macht der Provider deren Einsatz transparent und bietet er mir die Möglichkeit einer gesetzeskonformen Datenhaltung? Kann er mir sagen, wer meine Daten speichert und wo diese gespeichert werden? Ist auch der Abschluss einer Auftragsdatenverarbeitung über die Leistung des Subunternehmers möglich? Sowohl die prinzipielle Entscheidung für die Nutzung einer Cloud-Lösung als auch die Wahl des passenden Anbieters sollten also sehr sorgfältig abgewogen werden. Unternehmen sollten hierzu im Vorfeld ihre Strategie, ihren Bedarf und ihre Erwartungshaltung definieren, rechtliche Beschränkungen prüfen und diese sorgfältig mit den zur Auswahl stehenden Angeboten abgleichen.

17 Cloud Computing und Datensicherheit untrennbar oder unvereinbar? 17 FAZIT Cloud Computing bietet zahlreiche Vorteile gegenüber traditionellen IT-Betriebsmodellen: Dazu gehören höhere Flexibilität, die schnellere Verfügbarkeit von Ressourcen sowie Kosteneffizienz. Angesichts dieser Vorzüge werden sich gerade auch kleine und mittlere Unternehmen mit Software aus der Cloud auseinander setzen müssen. Gerade diese Unternehmen können über die Cloud erstmals Software nutzen, die sie auf herkömmliche Weise nur schwer selbst hätten implementieren und betreiben können. Das Thema Datensicherheit ist dabei sehr wichtig. Zum einen stellen Unternehmensdaten einen erheblichen Wert dar. Zum anderen müssen gesetzliche Vorgaben zum Datenschutz berücksichtigt werden, falls personenbezogene Daten betroffen sind. Wenn Unternehmen Cloud-Lösungen einsetzen, steigt dadurch nicht grundsätzlich das Sicherheitsrisiko. Auch wenn es angesichts der öffentlichen Diskussion über spektakuläre Cloud-Ausfälle und den Geheimdienst-Spähskandal oft den Anschein hat. Cloud Computing kann sogar helfen, die Sicherheit zu erhöhen. So sind die Sicherheitsstandards professioneller Cloud-Anbieter jenen der internen IT eines Unternehmens oft überlegen. Zudem können zentrale Datenspeicherung, Berechtigungskonzepte und Protokollieren der Änderungshistorie den Schutz der Daten vor Ausspähen, Manipulieren oder Verlust erleichtern nicht nur gegen externe Gefahren, sondern auch gegenüber der Fahrlässigkeit oder Mutwilligkeit der eigenen Mitarbeiter. Kleine und mittelständische Unternehmen sollten sehr genau abwägen, welche Art von Daten sich für die Nutzung in einer Cloud-Umgebung eignen und welcher Provider hinsichtlich Datensicherheit und Datenschutz der richtige ist, etwa bezogen auf Herkunft, Standort, Sicherheitsmaßnahmen und Zertifizierungen. Denn Cloud Computing und Datensicherheit sind keinesfalls unvereinbar untrennbar dagegen schon.

18 Über Pierre Audoin Consultants PAC liefert fokussierte und objektive Antworten auf die Wachstumsherausforderungen der Akteure im Markt für Informations- und Kommunikationstechnologie (ITK) von der Strategie bis zur Umsetzung. Pierre Audoin Consultants wurde 1976 gegründet und ist ein unabhängiges Marktanalyse- und Beratungsunternehmen für den Software- und ITK-Services-Markt. Wir unterstützen ITK-Anbieter mit quantitativen und qualitativen Marktanalysen sowie strategischer und operativer Beratung. CIOs und Finanzinvestoren beraten wir bei der Bewertung von ITK-Anbietern und -Lösungen und begleiten sie bei ihren Investitionsentscheidungen. Öffentliche Organisationen und Verbände bauen auf unsere Analysen und Empfehlungen als Grundlage für die Gestaltung ihrer ITK-Politik. Weitere Informationen erhalten Sie unter