Suchen

Gute Vorbereitung spart Trennungsschmerz Cloud Computing – Geschäftsende im Service-Vertrag berücksichtigen

| Autor / Redakteur: Caroline Neufert, (ISC)²-zertifizierter CISSP / Stephan Augsten

Trennungen sind sowohl im Privat- als auch im Geschäftsleben an der Tagesordnung. Besonders heikel kann es für ein Unternehmen werden, das die Geschäftsbeziehung zum Cloud-Computing-Anbieter aufkündigen möchte. Deshalb sollte das Ende des Geschäftsverhältnisses von Anfang an klar definiert werden, um Sicherheitsrisiken zu vermeiden.

Firma zum Thema

Potenzielle Cloud-Service-Kunden sollten vor Vertragsabschluss klären, was mit den in der Wolke abgelegten Daten geschieht.
Potenzielle Cloud-Service-Kunden sollten vor Vertragsabschluss klären, was mit den in der Wolke abgelegten Daten geschieht.
( Archiv: Vogel Business Media )

IT bedarfsorientiert zu mieten anstatt zu kaufen, gilt als zukunftsweisend.: IT-Ressourcen egal welcher Art können jederzeit netzbasiert und dem tatsächlichen Nutzerbedarf angepasst von einem Dienstleister bezogen werden.

Mittlerweile lassen ich verschiedenste Lösungen „as -a -sService“ (als Dienstleistung) aus der Cloud beziehen. Für diesen Ansatz spricht insbesondere, dass nur die Leistungen abgerechnet werden, die faktisch genutzt worden sind. Mit anderen Worten: die Cloud bietet ein Rundum-Sorglos-Paket zu fairen Konditionen. Leider gibt es dieses Paket nicht umsonst, sondern zu dem Preis einiger zusätzlicher Geschäftsrisiken.

Es gibt zwar bereits diverse Verfahren, Methoden und Maßnahmen, wie sie auch vom BSI im Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“ beschrieben werden. Über ein Thema wird aber bisher kaum gesprochen: Was passiert am Ende einer Geschäftsbeziehung mit den Daten eines Cloud-Nutzers? Sicherheitsrichtlinien und -standards für die Beendigung des Geschäftsverhältnisses mit einem Cloud-Dienstleister gibt es kaum.

Dass die Kündigung oder Auflösung des Vertrags als Aspekt der Geschäftsbeziehung bislang vernachlässigt worden ist, zeugt von kurzfristigem Denken. Zu so einer Situation kann es aber jederzeit aus verschiedenen, zum Teil unvorhersehbaren Gründen kommen. So kann es passieren, dass der Cloud-Anbieter plötzlich Insolvenz anmelden muss. Möglicherweise ändert sich aber auch die eigene Geschäftsstrategie, so dass bisherige Prozesse und Infrastrukturen nicht mehr relevant sind. Hinzu kommt, dass der Markt für Cloud-Services sehr dynamisch ist und die Angebote anderer Anbieter plötzlich attraktiver werden.

Vorausschauende Vertragsgestaltung

Im Falle einer Beendigung der Geschäftsbeziehung stellen sich einige scheinbar triviale, aber für die IT-Sicherheit wichtige Fragen:

  • Wie kommen Unternehmen nach Beendigung des Vertrags an ihre Daten?
  • In welcher Form werden die Daten zur Verfügung gestellt?
  • Können die Daten problemlos in Systeme integriert werden bzw. sind die Systeme kompatibel, so dass ein anderer Anbieter sie einfach und leicht in seine Applikationen/Systeme implementieren kann?
  • Sind die Daten für das Unternehmen so verfügbar, wie s in SLAs vereinbart ist?
  • Wie wird sichergestellt, dass meine Daten nach Beendigung des Vertrags komplett gelöscht werden (auch aus den Systemen möglicher Subunternehmer)?

Das sind nur einige Fragen, die im Falle einer Beendigung der Geschäftsbeziehung mit einem Cloud-Anbieter relevant werden – und für die häufig die geeigneten Antworten fehlen. Das liegt daran, dass diesem Aspekt noch zu wenig Beachtung geschenkt wird, was aber schwerwiegende Folgen für die Sicherheit haben kann.

Helfen können hier zum einen eine Vertragsgestaltung, die ihr Augenmerk auch auf die Kündigungsparagraphen und Bereitstellungspflichten des Anbieters richtet und zum anderen der Aufruf an die Community zur Schaffung von geeigneten Interoperabilitätsstandards. Das bedeutet, dass in den Verträgen, Verweise auf die Portabilität der Daten enthalten sein sollten.

Cloud-Anbieter sehen das zweifelsohne nicht so gern. Sie fürchten, dass die Möglichkeit eines einfachen und schnellen Wechsels den ohnehin schon starken Wettbewerb untereinander erhöht und den Preisverfall beschleunigt. Dabei könnte sich der Anbieter durch Servicequalität und Leistungsportfolio ja durchaus Alleinstellungsmerkmale verschaffen. Und zur Lösung von Interoperabilität und Portabilität gibt es beispielsweise die „Open Cloud Manifesto“-Initiative für die Etablierung entsprechender Standards (z.B. standardisierte APIs) auf Seiten der Cloud-Anbieter.

So oder so, auch wenn viele der angesprochenen Fragen von Vornherein vertraglich geklärt werden können, bleiben immer noch etliche Hürden. Um es mit den Worten des Internetpioniers Vinton Cerf auf den Punkt zu bringen:„[…] bis Wolken lernen, miteinander zu reden, ist ihr Nutzen begrenzt. […]“.

Caroline Neufert

CISSP

Compliance

GRC

Caroline Neufert ist (ISC)²-zertifizierter CISSP und arbeitet als Senior Manager im Bereich Governance, Risk, Compliance (GRC) und Security bei der BearingPoint GmbH.

(ID:2052094)