Standortvorteil nutzen

Cloud Computing – Eine Vertrauenssache

| Autor / Redakteur: Christian Ebert * / Elke Witmer-Goßner

Cloud-Nutzung per se muss nicht unsicher und vertrauensunwürdig sein: Es ist nur eine Frage des Standorts.
Cloud-Nutzung per se muss nicht unsicher und vertrauensunwürdig sein: Es ist nur eine Frage des Standorts. (Bild: Mojolo, Fotolia)

Es hätte so schön sein können. Im Grunde war Cloud Computing doch ein perfektes, maßgeschneidertes Angebot gerade für mittelständische Unternehmen. Mehr als andere können sie von der Cloud profitieren.

Durch die Nutzung von IT-Ressourcen, die bei einem Provider konzentriert sind, können sie Skaleneffekte nutzen, wie sie sonst nur den großen Playern offen stehen. Via Cloud lässt sich die IT wesentlich effizierter und vor allem flexibler betreiben als das nur mit eigenen, notwendigerweise beschränkten Mitteln möglich wäre. So lassen sich beispielsweise kurzfristige Spitzenbelastungen mit der Cloud schnell ausgleichen, ohne dass man mit großem Aufwand Server vorhalten müsste.

Und welcher Mittelständler kann schon ein eigenes Team an Security-Experten bereitstellen? Cloud-Provider können natürlich auch das. Es hätte so schön sein können, schön, bequem, sicher und effizient.

Trügerische Sicherheit

Aber Cloud Computing ist nun mal vor allem Vertrauenssache. Immerhin übergeben Unternehmen einem Provider Daten und Applikationen, und beide gehören in der Digitalen Wirtschaft zu den wesentlichen Ressourcen eines jeden Unternehmens. Gerade der Mittelstand war deshalb auch lange skeptisch gegenüber dem Cloud-Konzept, man konnte und wollte sich nicht so recht mit dem Gedanken anfreunden, dass etwa Kundendaten, Informationen über technische Verfahren, Konstruktionszeichnungen, Dokumente über Angebote oder Kalkulationen auf einmal nicht mehr im eigenen Rechenzentrum, sondern unter fremder Kontrolle gespeichert und verarbeitet werden.

Sollten solche Informationen in falsche Hände geraten, wäre der wirtschaftliche, aber auch der immaterielle Schaden unkalkulierbar. Natürlich kann man darüber Verträge schließen und sich Vertraulichkeit zusichern lassen. Und schließlich gibt es ja auch noch Gesetze und Gerichte, die die Daten von Unternehmen schützen – warum sollte ausgerechnet Cloud Computing außerhalb der Rechtsordnung stehen? Warum sollte die Cloud weniger Vertraulichkeit bieten als ein Briefträger?

Legaler Vertrauensbruch

Die NSA-Affäre hat jedoch gezeigt, dass man hier in neuen Bahnen denken muss. Zunächst musste man erfahren – und für viele war das sehr überraschend –, dass große Public-Cloud-Anbieter wie Amazon, Microsoft oder Salesforce als US-amerikanische Unternehmen immer auch der dortigen Rechtsprechung unterliegen, und dass sich die US-Behörden einen Zugriff auf Daten, die von US-Providern verarbeitet werden, vorbehalten. Und zwar selbst dann, wenn die betreffenden Rechenzentren in Europa stehen. Dabei handelt es sich nicht etwa um eine Lücke, um Fehler oder Versäumnisse, sondern um ein Konstruktionsmerkmal – das Problem ist weder beheb- noch verhandelbar.

Unter diesen Bedingungen kann ein mittelständisches Unternehmen gegenüber seinen Kunden und Geschäftspartnern jedoch nicht die Vertraulichkeit gewährleisten, die ihm andererseits deutsche Vorschriften selbst abverlangen. Insofern war es eine ernüchternde Erkenntnis, dass die Cloud hier tatsächlich weniger Vertraulichkeit bietet als ein Briefträger.

„Provide in Germany“

Vorschnell war es allerdings, deswegen gleich das Ende des Cloud Computing auszurufen. Das Konzept ist flexibel genug, um Alternativen zu eröffnen: Cloud-Rechenzentren müssen eben im Geltungsbereich der Rechtsordnung betrieben werden, der auch der Anwender selbst unterliegt. Und sie müssen von Providern betrieben werden, die ausschließlich dieser Rechtsordnung unterliegen.

Anders ausgedrückt: Nur der geographische Rechenzentrums-Standort Deutschland und in Deutschland ansässige Provider bieten zu 100 Prozent Datenschutz nach deutschen Vorschriften. In einer deutschen Private Cloud ist Vertraulichkeit gegeben, nicht nur weil Unternehmen sich das in den LSA zusichern lassen können, sondern – und das ist das Entscheidende – weil die Provider das hierzulande, im Unterschied zu ihren US-amerikanischen Kollegen, auch einhalten können, dürfen und müssen.

Christian Ebert, QSC AG.
Christian Ebert, QSC AG. (Bild: QSC)

Zudem können Cloud-Kunden in diesem Szenario über entsprechende ISO- und TÜV-Zertifizierungen sicherstellen, dass solche Zusicherungen eingehalten werden, dass die Vertraulichkeit also nicht nur ein Wort ist, sondern Brief und Siegel erhält. So gerüstet können Anwender dann ihre eigenen Compliance-Vorschriften problemlos einhalten. So und nur so erhalten Unternehmen auch in der Cloud eine revisionssichere Kontrollmöglichkeit über ihre IT-Ressourcen von Ende-zu-Ende, vom einzelnen Anschluss über das Netz bis zum Rechenzentrum. Cloud Computing ist eben Vertrauenssache. Aber Kontrolle ist trotzdem nie verkehrt.

* Der Autor Christian Ebert ist Chief Security Officer bei der QSC AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43527025 / Recht und Datenschutz)