Cloud Computing: Die Wolke rechtssicher nutzen

Geschrieben von K. Kopp am . Gepostet in Digital.

Längere Zeit hatte man den Eindruck, dass all das Gerede um die Cloud und ihre Bedeutung der Wirklichkeit vorausgegriffen hat. Immer noch spielt sich zwar ein Großteil der Anwendungen, geschäftlich wie privat, lokal auf dem Rechner, mobilen Endgerät oder dem Firmenserver ab. Cloud Computing gehört immer noch zu den Trendthemen in der IT, hat aber in der Praxis deutlich spürbar an Fahrt gewonnen, es ist da, auch wenn vielerorts teilweise laut Bedenken bei der Datensicherheit dagegen vorgebracht werden.

Wer Apps entwickelt, flexibel Speicherplatz oder große Rechenleistung etwa zu wissenschaftlichen Zwecken benötigt oder auch nur seine Infrastruktur neu organisieren möchte, kommt angesichts ihrer Flexibilität und Leistungskraft um Cloud-Dienste kaum mehr herum. Im vergangenen Jahr betrug der Markt für Cloud-Dienstleistungen im B2B-Segment knapp drei Milliarden Euro. 2016 soll sich das Geschäft mit Cloud-Diensten (SaaS, IaaS, PaaS), Integrations- und Beratungsprojekten sowie mit Cloud-Technologien auf 10,6 Milliarden Euro verdreifachen.

Ein Wolkenkuckucksheim ist Cloud Computing natürlich nicht, kann es auch gar nicht sein, wenn sein Geschäftsinhalt darin besteht, den gesamten Datenprozess als Dienstleistung auf einen Dritten zu übertragen und sich damit der Hoheit über sensible Daten, Informationen und Geschäftsgeheimnisse weitgehend zu entledigen: Wenn Unternehmen und Freiberufler jedoch ein paar Grundregeln beachten und über Zugriffsrechte, Compliance und Datenschutz nachdenken, kann sich der Cloudnebel ziemlich rasch lichten. Was ist zu beachten?

Bei der Auswahl des Cloud-Providers ist zunächst danach zu fragen, wo die Daten gespeichert werden. Nur dann ist der deutsche Datenschutz- und Datensicherheitsstandard überhaupt gewährleistet.Wirklich sicher können Daten nie sein, das dürfte sich in aller Bewusstsein mittlerweile verfestigt haben. Da nützt es auch wenig, dass sich die bundesrepublikanische IT-Sicherheit aufgrund hiesiger vergleichsweise strenger Datenschutz- und Datensicherheitsvorschriften gerade ein eigenes Gütesiegel „Datenschutz made in Germany“ erarbeitet, aber immerhin. Wichtig in diesem Zusammenhang ist auch, dass sich Cloud-Dienstleister der Leistung von Drittanbietern bedienen können. Lassen Sie sich daher nachweisen, wie der Zugang dieser Drittanbieter zur Infrastruktur geregelt ist, welchen Kontrollmechanismen sie unterliegen und wie Service Levels eingehalten werden.

So traurig das ist, aber Datensicherheit ist auch der Schutz der Daten vor der eigenen Belegschaft: Cloud-basierte Lösungen haben deshalb umfassend zu definieren, welche Zugriffsrechte einzelne Mitarbeiter erhalten und in Echtzeit zentral Änderungen in den Benutzerrechten auf sämtliche Systeme und Anwendungen im Unternehmen zu übertragen. Nur so kann gewährleistet werden, dass Zugangsberechtigungen aktuell verwaltet und Datenverlustrisiken, etwa beim Ausscheiden von Mitarbeitern, minimiert werden.

Werden große Datenmengen in der Cloud gespeichert und bearbeitet, empfiehlt es sich darüber hinaus, nicht nur die Autorisierung in Form der Freigabe von Benutzerrechten für Mitarbeiter zu reglementieren, sondern auch die Authentisierung, also den Nachweis, dass der Mitarbeiter auch derjenige ist, für den er sich ausgibt. Aktuelle Systeme bieten eine zweifache Anmeldung an, die der Nutzer nur vornehmen kann, wenn er neben Benutzernamen und Passwort noch eine zweite Sicherheitsstufe überwindet und zB eine mobile PIN oder ein Token verwendet.

Nicht unterschätzen sollte man schließlich die Vorteile eines gewissenhaften Cloud-Providers in rechtlicher Hinsicht. Die Anforderungen an die IT-Compliance sind in den vergangenen Jahren ebenso gestiegen wie unübersichtlicher geworden und überfordern daher zunehmend IT-Abteilungen sogar größerer Unternehmen. Da kann es nicht schaden, Verantwortung an einen Dienstleister zu übertragen, der im Fall der Fälle auch haftet. Hier kommt es neben einem transparenten Regelwerk, das der Kunde verstehen muss, auch wenn er nicht Jura studiert hat, nur dann ist es auch zeitgemäß, auch darauf an, sich sorgfältig umzusehen und die Vertrauenswürdigkeit des künftigen Cloud-Partners kritisch prüfen. Cloud-Provider als externe Dienstleister haben daher zertifiziert zu sein, wobei die Zertifizierung sowohl nach ISO 27001 als auch nach ISAE 3402 Type 2 in Betracht kommt. Beides sind international anerkannte Standards.

Der Markt für Cloud-Services präsentiert sich recht unübersichtlich. Wenn die genannten Kriterien erfüllt sind, ist das ein gutes Zeichen. Und wenn dann noch Verschlüsselungstechnologien nach dem Stand der Technik zum Einsatz kommen, damit zB Mitarbeiter des Cloud-Providers nicht ohne weiteres auf Ihre gespeicherten Daten zugreifen können, dann spricht vieles dafür, dass Sie beim Studieren des Angebots in der Wolke alles richtig gemacht haben, so dass es hoffentlich ohne rechtliche Beeinträchtigungen heißen kann: Einloggen, Dienst auswählen, nutzen, bezahlen, fertig. Benötigen Sie rechtliche Unterstützung, ist DIGITALRECHT gerne für Sie da.

Tags:, , , ,

Trackback von ihrer Webseite.