ICT & Technik

IT-Sicherheit

Cloud Computing ohne Datenverlust

01.03.2012
Im Cloud-Computing-Dschungel existiert eine Vielzahl von Angeboten. Dabei reicht die Palette von simplen E-Mail-Services bis hin zu kompletten Customer-Relationship-Management- und Enterprise-Ressource-Planning-Systemen. Möchte ein Unternehmen diese nutzen, sollte es sich zuvor unbedingt mit der Vertragsgestaltung, der Sicherheit der Rechenzentren und den Möglichkeiten des Anbieterwechsels auseinandersetzen.
PDF Kaufen

Unzufriedenheit macht sich breit. Viele Anwender klagen beim Cloud Computing über intransparente Leistungsprozesse und eine unklar definierte Servicequalität, so eine Studie der Beratungsunternehmens Ardour Consulting von 2010. Da verwundert es nicht, dass sich 17 Prozent der Schweizer Unternehmen komplett gegen den Datentransfer in der Internetwolke entschieden haben.

Sicherheitsbedenken

Immerhin 19 Prozent der Schweizer Unternehmen nutzen Cloud-Anbieter, neun Prozent wollen in den nächsten zwei Jahren dazu- kommen. 55 Prozent aller Unternehmen sind sich noch unsicher, ob und wie sie die Internetwolke nutzen wollen. Denn die meisten Unternehmen haben immer noch ein ungutes Gefühl dabei, ihre Daten in ein externes System zu geben, über das sie vielleicht nicht die nötige Kontrolle haben. Gerade bei Public Clouds liegen die Hauptbefürchtungen immer noch bei der Sicherheit, wie eine aktuelle IDC-Studie belegt. Vor dem Hintergrund aktueller Datenskandale scheinen diese Bedenken nicht ganz unbegründet. Wie das deutsche Magazin Wirtschaftswoche im August 2011 berichtete, müssen amerikanische Cloud Provider, wie Salesforce, Rackspace, Google und Amazon, die auf ihren Servern gespeicherte Informationen auf Anfrage im Namen der Terrorbekämpfung und Spionageabwehr jederzeit an US-Geheimdienste abtreten. Erst vor Kurzem verlängerte US-Präsident Obama das umstrittene Spionagegesetz Patriot Act sogar noch um weitere vier Jahre.

Europäische Wolken sicherer?

Vermehrt legen Unternehmen wie etwa Daimler und T-Systems daher Wert darauf, ihre sensiblen Daten in europäische externe Rechenzentren zu verlagern, so dass sie keinesfalls auf US-Servern gespeichert sind. Hierbei ist auch die Rechenzentrumsgrösse ausschlaggebend. «Kleine Rechenzentren sind generell seltener von Skandalen betroffen, da sie nicht so stark im Visier der Hacker stehen. Viele davon können zudem mit vergleichbar guter Infrastruktur und Disaster Recovery aufwarten. Insbesondere grosse, internationale Kunden fühlen sich daher bei spezialisierten Mittelständlern oft besser aufgehoben als bei den ganz grossen Anbietern», erläutert Bernd Seeburger, CEO der Seeburger AG, einem Unternehmen, das selbst ein ISO-zertifiziertes Rechenzentrum betreibt. Stefan Riedl von IT-Business weist ausserdem darauf hin, dass Änderungen beim Cloud-Anbieter selbst mit Risiken einhergehen können. Schaltet ein Cloud Provider Subunternehmen ein, wissen Unternehmen oft nicht einmal mehr, in welchen Ländern ihre Daten gespeichert sind. Sobald sich eine Cloud über verschiedene Länder erstreckt, entstehen überdies im Schadens­fall juristische Probleme. Zum Schutz der europäischen Daten in den USA gibt es daher das Safe-Harbor-Abkommen, dem auch die Schweiz beigetreten ist. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) empfiehlt zudem den Leitfaden des IT-Verbands Bitkom. Dieser rät Unternehmen unter anderem dazu, grundsätzlich noch vor Vertragsabschluss zu klären, wo die Daten gelagert werden und ob der Cloud-Anbieter Subunternehmer einschalten darf. Denn diese können sich in Drittländern befinden, in denen kein vergleichbares Datenschutzniveau herrscht.

Standards in Rechenzentren

Trotz aller Bedenken ist der Sicherheitsstandard externer Rechenzentren meist höher als der von In-House-Systemen. Der EDÖB stellt in Kürze ein Infoblatt zum Thema Datenschutz bei Cloud Computing online, dort verweist er unter anderem auf die Standards des BSI (deutsches Bundesamt für Sicherheit in der Informationstechnik). Dieses führt in seinem Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Computing-Anbieter die wichtigsten Standards auf (siehe Kasten «Sicherheitsempfehlungen»). Demnach sollten Unternehmen sichergehen, dass eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stracks (Anwendung, Server, Netze, Storage, etc.) gewährleistet ist. Dies ist wichtig, um Vertraulichkeit, Integrität und Verfügbarkeit der dort gespeicherten Informationen nicht zu gefährden. Selbes gilt ebenfalls für die Art der Inhalte. Ungleiche Inhalte sollten niemals auf gleiche Weise behandelt werden. Auch die Sicherheit der Anlagen aus technischer Sicht, d.h. Videoüberwachung, redundante Auslegung der Versorgungskanäle, Brandschutz, Zutritt über Zwei-Faktor-Authentisierung muss erfüllt sein. Da viele Cloud Provider über keine eigene Infrastruktur verfügen, müssen Unternehmen sicherstellen, dass der eigentliche Rechenzentrumsbetreiber diese Sicherheitsanforderungen erfüllt.

Exit-Management

«Cloud Computing erfordert immer grosses Vertrauen, das man dem Anbieter entgegenbringen muss», ist Christian Lanzeraths Überzeugung. In seinem Buch «Cloud Computing und Microsoft Online Services» (erschienen 2010 bei eload 24) warnt er auch vor dem sogenannten Lock-In-Effekt. Die Bindung an den Cloud-Service-Anbieter kann sehr stark sein. Oft sind Verträge mit langen Mindestlaufzeiten verbunden und ein Wechsel zu einem anderen Anbieter kann aufgrund technischer Inkompatibilitäten sehr aufwendig werden. Angebotene Schnittstellen sind äusserst herstellerspezifisch und verhindern den reibungslosen Datentransfer aus einer Cloud in die andere. Ausserdem befürchten Cloud-Nutzer, dass sie nach Vertragsende zusätzlich zur Kasse gebeten werden und, trotz Kündigung, weiter an die Cloud gebunden sind. «Für Unternehmen ist es wichtig, frühzeitig festzulegen, wie eine effiziente Migration der geschäftskritischen Daten zwischen den verschiedenen Systemen bzw. Anbietern stattfindet», so Cloud-Experte Seeburger. «Ein regelmässiger Download sowie die Zuordnung der Cloud-Daten zur Anwender-Datenstruktur (Mapping) sollten jederzeit möglich sein. Dieses Prinzip greift auch, wenn Daten in die eigene Cloud oder in eine neue Cloud übertragen werden.»

Datenverlust vorbeugen

Da es für Cloud-Nutzer generell nicht so einfach ist, selbst Daten herunterzuladen, sollte der Anbieter dies schon während der Laufzeit der Cloud tun. Hierbei liegt die Schwierigkeit darin, Daten in das vom Kunden gewünschte Datenformat zu konvertieren. «Treten Schwierigkeiten auf, muss sich das Unternehmen an einen Konvertierungsexperten wenden», rät Seeburger. «Diese können für jede Art von Cloud-Lösung eines Fremdanbieters eine Exit-Strategie anbieten, wenn ihnen die Schnittstellendefinitionen des Cloud Providers vorliegen.» Je spezialisierter der Anbieter daher darauf ist, Daten zu konvertieren, umso besser für das Unternehmen. So muss es keine Ängste vor Datenverlust oder Datenbeschädigung haben. Thomas Ludwig Uhl, Geschäftsführer der Topalis Holding, rät, zweigleisig zu fahren: «Die Abhängigkeit von einem einzigen Anbieter ist desaströs. Als Anwender braucht man immer eine Dual-Vendor-Strategie, allein schon für den Fall, dass einem ein Cloud-Anbieter aus irgendeinem Grund abhandenkommt oder eine Zeitlang down ist.»

Bei Vertragsabschluss müssen Unternehmen das Thema Anbieterwechsel ansprechen. Der Leitfaden des IT-Verbands Bitkom empfiehlt, beim Exit-Management und Exit-Support zu klären, wer für welche Schritte und Massnahmen in welchem Zeitfenster und zu welchem Preis verantwortlich ist. Die Modalitäten, wenn die Daten nach Vertragsende übergeben werden, müssen genau festgelegt sein. Da die Vertragsregelungen bisher nicht standardisiert sind, sollten Cloud-Kunden genau auf Datenschutz und Compliance-Richtlinien achten. Für viele Unternehmen ist Flexibilität ein Hauptargument für Cloud-Lösungen. So selbstverständlich dies dem Kunden scheint, so wichtig ist es, dass genau dies sich auch im Vertrag widerspiegelt.