Daten und Anwendungen in die Cloud auslagern, ohne Abstriche in Sachen Sicherheit und Compliance zu machen – geht das? Natürlich, wenn Sie es richtig anstellen. Basis für den sorgenfreien Einstieg in die Datenwolke ist ein strukturierter Evaluierungsprozess, in dem Sie Ihre speziellen Anforderungen definieren und einen passenden Anbieter finden. Dieser Artikel beschreibt, wie Sie vorgehen.
Artikelserie: Sicherheit und Compliance in der Cloud
- Teil 1: Warum sich jedes Unternehmen mit der Cloud beschäftigen muss
- Teil 2: Wie Sie die passende Cloud-Lösung finden
- Teil 3: So sicher sind Ihre Daten in der SAP-Cloud
In Teil 1 dieses Artikels haben wir uns mit der Frage befasst, warum sich jedes Unternehmen mit der Cloud beschäftigen sollte, auch wenn die Daten auf den eigenen Servern ganz gut aufgehoben scheinen. Wie gehen Sie sinnvoll an das Thema heran, ohne sich in Sachen Sicherheit und Compliance aufs Glatteis zu begeben? a) Sie buchen beim Provider Ihres Vertrauens einfach mal ein Cloud-Paket, schieben Ihre Daten dorthin und testen ganz pragmatisch aus, wie sich die Cloud im Praxiseinsatz schlägt. b) Sie beauftragen einen IT-Praktikanten, zuerst ein bisschen zum Thema zu googeln und eine Powerpoint-Präsentation zu erstellen, bevor Sie sich entscheiden. Oder c) Sie gehen planvoll und strukturiert an das Thema heran und führen einen Evaluierungsprozess durch. Wenn Sie a) oder b) favorisieren, dürfen Sie gerne aufhören zu lesen. Für alle anderen wird im Folgenden beschrieben, wie so ein Prozess beispielhaft aussehen kann.
Vorab: Platzieren Sie das Thema nicht nur bei Ihrer IT, sondern stellen Sie ein Projektteam zusammen. Die Geschäftsführung, die Fachabteilung(en), der Datenschutzbeauftragte und der Hausjurist/Firmenanwalt müssen zwingend mit am Tisch sitzen.
Den Evaluierungsprozess teilen Sie in vier Phasen auf:
-
Daten kategorisieren
-
Standards für die Daten festlegen
-
Anbieter/Lösungen überprüfen
-
Entscheidung treffen
1. Daten kategorisieren
Die Cloud-Lösung für alle Ihre Daten, eine eierlegende Wollmilch-Cloud, gibt es nicht. Ihre Unternehmensdaten unterscheiden sich stark voneinander: von flüchtig bis archivierungspflichtig, von einigen Bytes bis zu vielen Terabytes groß, von fast zu vernachlässigen bis extrem wertvoll. Eine einzige Cloud-Lösung für alle Daten zusammen wäre wohl höchst ineffizient: zu teuer, zu komplex, zu schwerfällig. Deshalb müssen Sie Ihre Daten vor dem eigentlichen Auswahlverfahren erst einmal kategorisieren. Weisen Sie Ihre Daten zwei bis drei Kategorien zu:
Unkritische Daten
Dazu gehören Daten, bei denen Ihnen kein größerer Schaden entstehen würde, wenn Dritte darauf Zugriff bekämen oder die Daten verloren gingen, sowie Daten, die keinen gesetzlichen Bestimmungen unterliegen. Beispielsweise Ihre allgemeine Geschäftskorrespondenz, Chats oder Marketing- und Vertriebsmaterialien.
Kritische Daten
In diese Kategorie gehören Daten, die einen hohen Wert für Sie darstellen, nicht in fremde Hände gehören und nicht verloren gehen dürfen, etwa Kunden- oder Mitarbeiterdaten, interne Kalkulationen, Geschäftszahlen und die Buchhaltung. Außerdem sind hier alle weiteren Daten anzusiedeln, die speziellen gesetzlichen Bestimmungen bezüglich Datenschutz, Transparenz, Steuerrecht, etc. unterliegen.
Extrem kritische Daten
Je nach Art Ihres Unternehmens benötigen Sie diese dritte Kategorie, um die „Kronjuwelen“ Ihres Datenbestands zu schützen. Das können geheime Forschungs- und Entwicklungsergebnisse sein oder auch sensible Zahlungsinformationen Ihrer Kunden; kaum auszudenken, welcher Schaden entstehen würde, wenn diese gestohlen würden.
2. Standards für die Daten festlegen
Die mehrstufige Kategorisierung macht es Ihnen möglich, detaillierte Anforderungen für die Speicherung Ihrer Daten in der Cloud zu definieren. Folgende Bereiche müssen Sie dabei berücksichtigen:
-
Zugriffsrechte: Wer darf mit welchen Rechten von wo aus und zu welchen Zeiten auf die Daten zugreifen? (auch: Welche Zugriffsrechte bekommen die Admins eingeräumt?)
-
Back-up und Recovery: Wie oft und wo müssen die Daten gesichert werden? Wie schnell muss eine Rückspielung möglich sein?
-
Verfügbarkeit und Performance: Welche Mindestverfügbarkeit und welche Transferraten sind erforderlich?
-
Datensicherheit: Müssen die Daten verschlüsselt werden und, wenn ja, wie? Welche weiteren Sicherheitsmaßnahmen sind erforderlich?
-
Zugangskontrolle: Wie sicher muss die Nutzerauthentifikation sein?
-
Transparenz und Kontrollmechanismen: Wie müssen Zugriffe protokolliert werden und welche Reportings sind erforderlich? Welche gesetzlichen Compliance-Anforderungen gibt es?
-
Datenschutz: Welche weiteren gesetzlichen Anforderungen gibt es für personenbezogene Daten?
-
Archivierung: Wird eine spezielle Archivierungslösung benötigt?
Falls Sie weitere spezifische Anforderungen haben, ergänzen Sie diese. Mit der Liste können Sie nun konkret in Gespräche mit Cloud-Anbietern einsteigen.
3. Anbieter und Lösungen überprüfen
Prüfen Sie die Leistungen von Cloud-Providern auf Herz und Nieren, bevor Sie eine Entscheidung treffen – bei Datenlecks oder Gesetzesverstößen haften nämlich in erster Linie Sie und nicht der Provider (bei Cloud Computing handelt es sich im gesetzlichen Sinne meist um „Auftragsdatenverarbeitung“, die Kontrollpflicht in Sachen Datenschutz obliegt hier dem Kunden). Die meisten Anbieter können Ihnen wahrscheinlich umfangreiches Infomaterial zur Verfügung stellen. Trotzdem sollte ein persönlicher Besuch im Rechenzentrum zum Pflichtprogramm gehören, um sich von der Richtigkeit der Angaben zu überzeugen. Ist der Anbieter von einer anerkannten Stelle zertifiziert und wird laufend überprüft, darf man auf die Einhaltung der Kriterien vertrauen. Als Beispiel sei hier das Siegel „Certified Cloud Service“ genannt, das der TÜV Rheinland vergibt. Es gilt für drei Jahre und die Anforderungen werden jährlich überprüft. Ausdrücklich gesagt werden muss aber, dass auch ein Zertifikat Sie nicht von Ihren gesetzlichen Kontrollpflichten befreit.
Gehen Sie nach und nach Ihre formulierten Anforderungen durch und gleichen Sie diese mit dem Leistungsangebot und den Geschäftsbedingungen des Providers ab. Prüfen Sie, wo Ihre Daten liegen werden, wer darauf zugreift, wie die Sicherheits- und Notfallkonzepte (softwaregestützt und physikalisch) aussehen, welche Kontroll- und Reportingmöglichkeiten es gibt oder welche Zusatzleistungen, die Ihnen das Leben leichter machen.
Im Spannungsfeld von Cloud Computing und Datenschutz kommt dem geographischen „Aufenthaltsort“ Ihrer Daten aufgrund der unterschiedlichen gesetzlichen Bestimmungen in verschiedenen Ländern, speziell außerhalb der EU, eine besondere Bedeutung zu. Gerade bei Anbietern mit Sitz oder Niederlassungen in den USA ist Vorsicht angebracht, Stichwort „Safe Harbor/Privacy Shield”. Um den deutschen Markt besser bedienen zu können, sind viele Provider aber dazu übergegangen, Rechenzentren in Deutschland aufzubauen und Garantien zu geben, dass die Daten innerhalb der Landesgrenzen bleiben.
Es bringt allein nichts, wenn die Server zwar physikalisch in Deutschland stehen, aber durch ein Team in den USA oder Indien administriert werden. Auch dann verlassen die Daten nämlich die „sichere Zone”. Vergewissern Sie sich deshalb, dass der Provider möglichst mit eigenen, kompetenten Mitarbeitern operiert oder zumindest mit Dienstleistern, die sich den hohen Standards verpflichtet haben. Das schönste Sicherheitskonzept bringt nichts, wenn – überspitzt ausgedrückt – an Wochenenden ein in Russland lebender Freelancer Bereitschaftsdienst hat und über seinen privaten Laptop auf die Daten zugreift.
Wahrscheinlich müssen Sie sich also durch eine Menge an Kleingedrucktem arbeiten. Lieber zu Beginn einmal mehr hinschauen als später ein böses Erwachen erleben. Wobei natürlich die meisten Enterprise-Cloud-Provider hierzulande mittlerweile auf sehr hohem Niveau arbeiten und sich ihrer Verantwortung durchaus bewusst sind.
4. Entscheidung treffen
Wenn Sie bis hierher gut gearbeitet haben, ist dieser letzte Punkt relativ schnell erledigt. Nochmal zur Erinnerung: Wir reden hier nicht (unbedingt) von der Entscheidung für eine Cloud für all Ihre Daten, sondern jeweils für eine Kategorie Ihrer Daten (oder auch nur für Teilbereiche davon). Im Regelfall ist eine Hybrid Cloud die Lösung der Wahl. Für die Teamkommunikation oder den allgemeinen Dateiserver reicht meist schon einer der gängigen SaaS-Anbieter (Public Cloud) aus, die einfaches Handling und ein vernünftiges Maß an Datensicherheit bieten. Bei einem CRM mit Kundendaten wollen Sie vielleicht ein etwas höheres Level und wählen eine Lösung, die gesetzeskonforme Datenschutzmaßnahmen integriert hat. Für unternehmenskritische Anwendungen und Daten kommt wahrscheinlich eher eine Hosted-Cloud-Lösung in einem Rechenzentrum in der Nähe infrage, die Sie selbst oder über einen Dienstleister managen können.
Während Public-Cloud-Anbieter feste Vertragsbedingungen und standardisierte Service Level Agreements (SLA) haben, können Sie bei Hosted Clouds oftmals eigene Bedingungen aushandeln. Lassen Sie kritische Punkte, die Ihnen besonders wichtig sind, mit in den Vertrag aufnehmen. Auch bei den SLA gehen die Anbieter meist auf individuelle Wünsche ein, die Sie natürlich extra bezahlen müssen.
Wo wir gerade bei Thema Geld sind: Behalten Sie bei Ihrer Entscheidung stets das Kosten-Nutzen-Verhältnis im Auge. Natürlich gibt es gewisse Daten, die mit allen Mitteln geschützt werden müssen. Wenn aber die Sicherheitsmaßnahmen (und auch der damit einhergehende Produktivitätsverlust) auf Dauer mehr kosten, als ein eventueller Datenverlust oder -klau an Schaden verursachen würde, stellt sich die Frage nach der Verhältnismäßigkeit. Wenn Daten unkritisch sind, behandeln Sie sie auch so. Setzen Sie Ihr Budget lieber gezielt an den Stellen ein, an denen es darauf ankommt. Falls Sie zu dem Schluss kommen, bestimmte Daten doch lieber im Haus hosten zu wollen, rechnen Sie auch hier nochmals mit spitzem Bleistift nach. Können Sie wirklich zu vertretbaren Kosten ein vergleichbares Sicherheits- und Compliance-Niveau wie ein spezialisierter Anbieter gewährleisten?
Über den Wolken muss die Freiheit wohl grenzenlos sein, so begann der erste Teil dieses Artikels. Ganz so locker und leichtfüßig ist das Thema Cloud leider nicht, wie wir gesehen haben. Aber zumindest sollten Sie Ihre Daten sorgenfrei in die Hände eines Cloud-Anbieters übergeben können. Ein strukturierter Evaluierungsprozess, der alle wichtigen Aspekte berücksichtigt, ist Voraussetzung dafür.
Bild: Fotolia, Andy Ilmberger