In den letzten Jahren speichern immer mehr Unternehmen und Privatleute ihre Daten zentral in einer Cloud ab. Digitalexperte Christian Ehringfeld von der Gewerkschaft der Polizei (GdP) erläutert, welche Vor- und Nachteile externe Cloud-Lösungen haben und worauf man besonders achten sollte.
Viele Unternehmen versuchen inzwischen, ihre Daten zu zentralisieren und losgelöst vom eigenen Computer in eine Cloud zu übertragen. Auch im Privaten ist man dazu übergegangen, seine Dokumente und Fotos in einer Cloud zu speichern“, erläutert Christian Ehringfeld, Mitglied im Geschäftsführenden Bundesjugendvorstand der Gewerkschaft der Polizei (GdP). Dabei kann der Cloud-Begriff ganz unterschiedliche Bedeutungen haben. Während Cloud-Anbieter wie Dropbox vor allem ermöglichen, Daten online zu speichern, zwischen verschiedenen Geräten zu synchronisieren oder Daten mit anderen zu teilen, kann hinter einer Cloud auch eine riesige Infrastruktur stecken. „Amazon und Microsoft bieten zum Beispiel solche großen Plattformen an. Daneben gibt es aber auch viele mittelständische Anbieter“, weiß Ehringfeld, der sich bei der GdP schwerpunktmäßig mit den Themen Tarif und Digitalisierung beschäftigt.
Schnelle und kostengünstige Verfügbarkeit versus Abhängigkeit
Ein Unternehmen sollte im Vorfeld gut überlegen, ob es die eigene IT-Infrastruktur in eine Cloud auslagert. Ein großer Vorteil ist, dass durch die Nutzung eines Cloud-Anbieters mit relativ wenig Aufwand schnell und kostengünstig viele Dienste verfügbar sind. „Will ein Unternehmen seine IT-Infrastruktur dagegen selbst auslagern, benötigt es erst einmal Platz in einem Rechenzentrum oder in den eigenen Räumlichkeiten mit adäquater Internetanbindung und muss die Server selbst anschaffen. Das dauert meist länger und kostet mehr“, so der gelernte Softwareentwickler. Andererseits ist man von einem Cloud-Dienst immer abhängig. „Es gibt zwar Verträge, aber im Grunde ist man zu 100 Prozent an den Anbieter gebunden und ein Wechsel mit großem Aufwand verbunden“, erklärt Ehringfeld.
Wie geht man mit einem Datenverlust um?
Auch bei einer zentralen Speicherung in einer Cloud sind Unternehmen nicht davor geschützt, dass Daten einmal verloren gehen. Sie müssten sich dann mit dem Cloud-Anbieter auseinandersetzen und Schadensersatzansprüche geltend machen. „Es ist also immer auch eine strategische Frage für ein Unternehmen, wie es mit Risiken, wie mit Datenverlust umgeht, wie viel Geld es in die eigene IT-Sicherheit investiert und ob es sich von einem externen Anbieter abhängig machen will“, unterstreicht Christian Ehringfeld. Auf der anderen Seite kann man davon ausgehen, dass bei Unternehmen wie Amazon und Microsoft sehr qualifizierte Leute arbeiten. „Unternehmen müssten erst einmal adäquates IT-Personal finden, das ihnen eine entsprechende Cloud-Infrastruktur erstellt“, sagt Ehringfeld. Deswegen macht es für kleinere Firmen durchaus Sinn, einen Cloud-Dienst zu nutzen. Die meisten Anbieter auf dem deutschen Markt bieten inzwischen individuelle Lösungen an. „Bei mittelständischen, wachsenden Firmen wäre mein persönliches Plädoyer, immer auch eigene Ressourcen aufzubauen. Einfach weil man dann weniger abhängig von anderen Diensten ist“, so der IT-Experte.
Augen auf bei der Standortwahl
Unternehmen, die ihre IT-Infrastruktur auslagern wollen, sollten einige Dinge beachten. Etwa, wenn ein Cloud-Anbieter seine Rechenzentren außerhalb der EU betreibt. Das kann zwar kostengünstiger, aber dafür viel schwieriger sein, Einfluss auf den Umgang mit den gespeicherten Daten zu haben. Werden die Daten innerhalb der EU gespeichert, gilt im Wesentlichen durch die Datenschutz-Grundverordnung ein gleiches Datenschutzniveau. Die Nutzung europäischer Services erleichtert es zudem vertragsrechtlich gegen den Cloudanbieter vorzugehen, wenn Vertragsbedingungen nicht eingehalten werden.
Auftragsdatenverarbeitung
„Ich empfehle Unternehmen, neben der meist ohnehin verpflichtenden Auftragsdatenverarbeitung auch Service Level Agreements (SLA) abzuschließen, wo alle wichtigen Details geregelt sind. Dass man zum Beispiel auch Garantien vom Anbieter hat, in welchen Zeiten er bei Problemen reagieren muss“, betont Ehringfeld. Die meisten bekannten Dienstleister bieten inzwischen vorgefertigte Auftragsdatenverarbeitungen und standardisierte SLAs an. Unternehmen sollten Wert darauflegen, dass die Kommunikation verschlüsselt stattfindet und ihre Daten verschlüsselt abgelegt werden. „Das sollte eigentlich Standard heutzutage sein“, so Ehringfeld. Ebenso sollten Rollen- und Rechte-Konzepte enthalten sein, damit nicht Unbefugte auf die Daten zugreifen können. Wichtig ist auch, dass regelmäßige Backups gemacht werden – am besten an verschiedenen Standorten, falls im schlimmsten Fall zum Beispiel einmal ein Rechenzentrum zerstört wird (Geo-Redundanz). Bei der Auftragsdatenverarbeitung gibt es sehr vielfältige Ausgestaltungen. Idealerweise lässt man sie vorher von einem Juristen prüfen.
Christian Ehringfeld, Mitglied im Geschäftsführenden Bundesjugendvorstand der Gewerkschaft der Polizei (GdP)
© Hagen Immel
Umfassend informieren und Mitarbeiter schulen
Unternehmen sollten sich in jedem Fall viel Zeit zu nehmen, um ordentliche Entscheidungen zu treffen. „Man muss sich bewusst machen, dass es nicht nur einfach damit getan ist, Daten in eine Cloud zu packen. Man vertraut jemand anderem seine empfindlichsten Daten an, die eben auch geklaut werden können. Christian Ehringfeld betont: „Wir würden ja auch nicht jeder beliebigen Person den eigenen Haustürschlüssel anvertrauen, sondern erst einmal abklären, ob sie überhaupt vertrauenswürdig ist.“ Schließlich sind hinsichtlich Datensicherung und Datenschutz auch Mitarbeiterschulungen ratsam, bei denen die Verhaltensweisen im Internet wie beispielsweise der Umgang mit schadhaften E-Mail-Anhängen erläutert werden. „Es gibt Statistiken, die besagen, dass ein sehr großer Teil des Datenverlustes auf mangelnde Sensibilisierung der Mitarbeiter oder auf Innentäter zurückzuführen ist“, erläutert Ehringfeld. Bei besonders sensiblen Daten sollten daher immer nur zwei Mitarbeiter gleichzeitig Zugriff auf die Daten in der Cloud erhalten, um die Korruptionsanfälligkeit zu senken.
Wie finde ich einen geeigneten Cloud-Dienstleister?
- Der Verein „Kompetenznetzwerk Trusted Cloud e. V. bietet unter www.trusted-cloud.de Informationen zu vertrauenswürdigen Cloud Services.
- Das Bundesamt für Sicherheit in der Informationstechnik hat auf seiner Website Mindeststandards zur Nutzung externer Cloud-Dienste zusammengestellt.
- Erfahrungswerte: Wenn Sie Personen kennen, deren Arbeitgeber bereits Daten in der Cloud speichern, können Sie diese Berichte bei der Auswahl eines Dienstleisters mit einfließen lassen.
(SB/WL, 27.05.2021)